Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
Descargar como docx, pdf o txt
Está en la página 1/ 10
MATRIZ DE RIESGO Y CONTROLES
La Matriz de Riesgos es una herramienta de gestión que permite determinar objetivamente
cuáles son los riesgos relevantes para la seguridad y salud de los trabajadores que enfrenta una organización. Su llenado es simple y requiere del análisis de las tareas que desarrollan los trabajadores.
Sirve para analizar el nivel de riesgo presente en los trabajos, para comparar por nivel de riesgo diferentes tareas, para proponer acciones concretas para disminuir los riesgos y para estimar el impacto que estas acciones tendrán sobre el nivel de riesgo de los trabajadores.
Se debe utilizar cada vez que se implemente una tarea nueva, cada vez que se cambie un procedimiento y por lo menos una vez al año como parte de la gestión de seguridad para asegurar que no ha habido cambios en el nivel de protección de los trabajadores.
La Matriz de Riegos se llena de izquierda a derecha completando los campos que indica.
Una vez levantada la información e identificados los eventos en el resumen de
levantamiento de información que se obtiene a través de los líderes de procesos de las diferentes áreas de la Empresa, se desarrolla la matriz en base a la metodología descrita en dónde;
Riesgo: identificar en forma resumida los riesgos o eventos que afecten la
consecución de objetivos de la entidad, enumerar en forma secuencial y describir los eventos negativos y el impacto que pueden generar. Factores de Riesgo: Una vez identificados los riesgos, conforme esta metodología se debe marcar con una x el factor de riesgo al que pertenece el evento de riesgo o riesgo identificado, que puede afectar el cumplimiento de los objetivos institucionales. Los factores de riesgo pueden ser: Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización de las actividades, la institución debe contar con procesos definidos de conformidad con la estrategia y las políticas adoptadas. Personas: Las instituciones controladas deben administrar el capital humano de forma adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al factor “personas”, tales como: falta de personal adecuado, negligencia, error humano, nepotismo de conformidad con las disposiciones lega les vigentes, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros. Tecnología de la información: Las instituciones controladas deben contar con la tecnología de la información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable; evitar interrupciones del negocio y lograr que la información, inclusive aquella bajo la modalidad de servicios provistos por terceros, sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones. Eventos externos: En la administración del riesgo operativo, las instituciones controladas deben considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como: fallas en los servicios públicos, ocurrencia de desastres naturales, atentados y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio. Riesgo Inherente. - Luego de haber identificado los factores de riesgo, procedemos a calificar el riesgo inherente a través de la siguiente fórmula.
R . I =PROBABILIDAD × IMPACTO
Para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las
matrices descritas, en dónde:
Impacto: se entiende las consecuencias o la magnitud de sus efectos y se
ponderaran utilizando el juicio experto puesto que se ha obtenido la suficiente información a través de levantamiento de información y fuentes históricas. Probabilidad: es la posibilidad de ocurrencia del riesgo y se ponderaran utilizando el juicio experto del jefe de cada área (dueño del proceso) en conjunto con la Gerencia de Procesos y Control Interno. Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se procede a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto.
Riesgo Residual. - Luego de haber calificado el riesgo inherente, se identifica y
describe los procesos de control que el negocio utiliza para eliminar o mitigar los riesgos. Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a pesar de aplicar medidas de control el riesgo aún existe.
Los Controles que se proponen para el presente modelo, se dividen en tres:
1. Control Manual 2. Control Semiautomático 3. Control Automático o Control manual: aquellos que son ejecutados por una o más personal del área usuaria sin la utilización de herramientas computacionales. o Control Semiautomático: aquellos que son ejecutados por una o más personas y por un sistema de información, es decir es un trabajo conjunto entre ambas partes. o Control Automático: son generalmente los incorporados en el software, de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.; es decir no requiere intervención humana.
Una vez identificados el tipo de control a aplicar se utilizará la siguiente fórmula para identificar el nivel del riesgo.
R .C=PROBABILIDAD × IMPACTO
Para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices
descritas, en dónde:
Probabilidad: es la posibilidad de ocurrencia del riesgo y se ponderaran
utilizando el juicio experto. Impacto: se entiende las consecuencias o la magnitud de sus efectos y se ponderaran utilizando el juicio experto puesto que se ha obtenido la suficiente información a través de las encuestas y fuentes históricas.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto utilizando el cuadro que menciona el nivel de riesgo y el cuadro que se refiere al mapa de riesgo.
Es decir, se realiza el mismo procedimiento que se utilizó para calificar el riesgo inherente.
Establecimiento de Indicadores: Una vez establecidos los planes de acción la
metodología propone el establecimiento de indicadores para detectar señales tempranas sobre la exposición creciente de los riesgos a los que están expuestas las diversas áreas de negocio, de manera que alerten sobre esta situación y puedan adoptarse las medidas correctivas que resulten pertinentes, antes de que los efectos negativos se hayan materializado sobre los objetivos. Los indicadores clave de riesgo son variables que ofrecen una base razonable para estimar la probabilidad e impacto de uno o más eventos de riesgo operacional, así también, es una herramienta que permite la validación, cálculo y monitoreo de los indicadores clave de riesgo, para los procesos de ingresos y egresos de la compañía. La Gerencia de Procesos y Control Interno conforme a la estructura de gestión de control interno y riesgo empresariales detallada en el presente modelo, será la encargada de consolidar la información enviada por las áreas operativas (propietarias del riesgo) con el fin de identificar fluctuaciones que alerten la existencia de una posible exposición ante un evento de riesgo operacional y definir planes de acción correctivos. MATRIZ DE RIESGOS INFORME DE RIESGOS Y ACTUALIZACIÓN DEL SISTEMA DE CONTROL INTERNO
Informe de riesgos 1. Descripción de la empresa: Misión, visión, objetivos estratégicos y organigrama.
2. Objetivos: Políticas y procedimientos, formación normativa legal, apetito al
riesgo, servicios externalizados y riesgo aceptado.
3. Identificación de riesgos: Ficha/cuestionarios/listado, riesgos fraude.
4. Evaluación de riesgos: Cualitativo, cuantitativo y riesgo inherente.
5. Controles: Preventivo, detectivo y correctivo.
6. Riesgo residual. Matriz de riesgos.
7. Estrategia/toma de decisiones: Cumplir normativa, costes de
implementación, mapa de riesgos y análisis costes/beneficios.
8. Planes de acción: FODA.
9. Supervisión/Auditoría externa.
10. Conclusiones de la gestión de riesgos y recomendaciones.
Actualización del sistema de control interno
Las Normas de Control Interno desarrolladas incluyen: normas generales y otras específicas relacionadas con la administración financiera gubernamental, talento humano, tecnología de la información y administración de proyectos y recogen la utilización del marco integrado de control interno emitido por el Comité de Organizaciones que patrocina la Comisión Treadway (COSO), que plantea cinco componentes interrelacionados e integrados al proceso de administración, con la finalidad de ayudar a las entidades a lograr sus objetivos. Las Normas de Control Interno son concordantes con el marco legal vigente y están diseñadas bajo principios administrativos, disposiciones legales y normativa técnica pertinente. La actualización de las normas fue realizada con la participación, aporte y coordinación de usuarios internos y externos quienes proporcionaron información importante sobre áreas específicas de gestión, por tanto, es el resultado de un esfuerzo común. Es un documento que promueve el diseño, implantación y evaluación del sistema de control interno, que debe ser perfeccionado continuamente para incorporar el impacto de los nuevos avances y tendencias actuales en la administración, en beneficio de las instituciones del sector público, de las personas jurídicas de derecho privado que dispongan de recursos públicos y de la sociedad en general, usuaria de los bienes y servicios que éstas proveen.
En el año 1977, se expidió la Ley Orgánica de Administración Financiera y Control,
reemplazó a la Ley Orgánica de Hacienda y fue concebida bajo un enfoque sistemático de los diferentes componentes de la Administración Financiera. En el Capítulo 3 del Título VII, se señalaron los parámetros fundamentales sobre los que la Contraloría General del Estado debía formular las Normas Técnicas de Control Interno, como parte de las normas secundarias de los sistemas de contabilidad y de control que le correspondía emitir al organismo de control.
En noviembre del mismo año, con Acuerdo 000971, la Contraloría General del Estado expidió las primeras Normas Técnicas de Control Interno conjuntamente con las Políticas de Contabilidad, Normas Técnicas de Contabilidad y Políticas de Auditoría del Sector Público. Esta normatividad fue actualizada en abril de 1994, con la expedición del Acuerdo 017-CG.
En el ámbito internacional se celebraron eventos que marcaron una etapa importante en el
desarrollo del control interno; en el año 1990 se publicó el documento "Control Interno - Marco Integrado" (Internal Control - Integrated Framework, 1990), elaborado por la Comisión Nacional sobre Información Financiera Fraudulenta conocida como la Comisión Treadway, quienes adoptaron el nombre de COSO.
El informe COSO concentró los distintos enfoques existentes en el ámbito mundial, en uno solo, definiendo al control interno como un modelo integrado a la gestión de las organizaciones, ejecutado por el personal de las entidades en sus distintos niveles jerárquicos; que promueve la honestidad y la responsabilidad y suministra seguridad razonable en el uso de los recursos para conseguir los objetivos de: impulsar el uso racional de estrategias, promover la eficiencia en las operaciones, cumplir con las normativas aplicables y contar con una herramienta apropiada para prevenir errores e irregularidades.
En el año 1992, la Organización Internacional de Entidades Fiscalizadoras Superiores,
INTOSAI, aprobó la guía para las Normas de Control Interno del Sector Público, concebida para visualizar el diseño, implantación y evaluación del control interno en las entidades fiscalizadoras superiores. Esta guía fue actualizada en distintos eventos internacionales, siendo la última reforma en el año 2004, luego del XVII Congreso Internacional de las Entidades Fiscalizadoras Superiores, INCOSAI, realizado en Budapest.
Con el propósito de asegurar la correcta y eficiente administración de los recursos y bienes
de las entidades y organismos del sector público ecuatoriano, en el año 2002, la Contraloría General del Estado emitió las Normas de Control Interno, que constituyen lineamientos orientados al cumplimiento de dichos objetivos.
Los cambios en el ordenamiento jurídico del país, a partir de ese mismo año, los avances y mejores prácticas en la gestión pública, exigen la actualización de las normas de control interno, cuya aplicación propiciará el mejoramiento de los sistemas de control interno y la administración pública en relación a la utilización de los recursos estatales y la consecución de los objetivos institucionales
