Este documento presenta una guía para la elaboración de una matriz de riesgos para evaluar y gestionar los riesgos en una organización. Explica las diferencias entre el enfoque tradicional y el nuevo enfoque basado en la identificación, medición y control de riesgos. Además, detalla las fases para elaborar una matriz de riesgos, incluyendo la identificación de riesgos, su valoración, la evaluación de controles y el cálculo del riesgo residual. Finalmente, ofrece recomendaciones como constituir equipos multidisciplinarios

1. SEGURIDAD EN COMPUTACION E INFORMATICA MAPA/MATRIZ DE RIESGOS PARA EVALUACIÓN O VALORACIÓN DEL RIESGO INTEGRANTES: AGÜERO ORTEGA JORGE ISAAC CABEZUDO MARTINEZ WILLIAM FELIX PASACHE PAPA JESUS CHRISTIAM

2. INTRODUCCION Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados. La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos. En los últimos años las tendencias internacionales han registrado un importante cambio de visión en cuanto a la gestión de riesgos: de un enfoque de gestión tradicional hacia una gestión basada en la identificación, monitoreo, control, medición y divulgación de los riesgos.

3. CONTENIDO EVALUACION Y GESTION DE RIESGOS Diferencias entre el modelo tradicional y el nuevo enfoque de evaluación de la gestión de riesgos, según las últimas tendencias: La política de evaluación de riesgo es formal y claramente definida y entendida. No existe una política de evaluación de riesgo formal. La evaluación de riesgo esta integrada en todas las operaciones y líneas de negocio. Cada función es independiente y desintegrada. Solo algunas funciones tratan de la evaluación de riesgos. La evaluación de riesgos se enfoca en la identificación, medición y control o monitoreo de riesgos cumpliendo que se logre los objetivos de la organización haciendo que el impacto sea mínimo. La evaluación de riesgos se enfoca en las transacciones financieras y los controles internos. La evaluación de riesgo anticipa y es preventiva. La evaluación de riesgo detecta y es reactiva. La evaluación de riesgo es continua e iterativa. La evaluación de riesgo es histórica y se realiza eventualmente. ENFOQUE NUEVO MODELO TRADICIONAL

4. MATRIZ DE RIESGOS La matriz de riesgos constituye una herramienta de control y de gestión que permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por lo tanto al logro de los objetivos de una organización. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades.

5. FASES DE LA ELABORACION DE UNA MATRIZ DE RIESGOS Objetivos estratégicos del negocio Probabilidad de ocurrencia y valoración Riesgo neto o residual Evaluación de controles internos Decisiones sobre el Riesgo neto o residual Factores de Riesgo o Riesgos Inherentes Identificación de Riesgos - =

6. A partir de los objetivos estratégicos y plan de negocio: 1 ° La gestión de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas dichas actividades. 2 ° I dentificar los “ factores de riesgo o riesgos inherentes” . 3 ° Determinar la “probabilidad” de que el riesgo suceda y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad .

7. La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5)), dependiendo de la combinación entre impacto y probabilidad. Impacto Valoración de Riesgo Inherente Frecuencia o Probabilidad de ocurrencia Alto Medio Bajo 4 2 1 Bajo 5 3 3 Medio 5 5 4 Alto

8. 4 ° Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión” , a fin de determinar que tan eficaces son los controles. 5 ° Finalmente, se calcula el “riesgo neto o residual” , que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración.

9. EJEMPLO N ° 1 Calculo del riesgo neto o residual utilizando escalas numéricas de posición de riesgo:

10. Calidad de Gestión (*) Promedio de los datos de efectividad (**) Resultado de la división entre nivel de riesgo/ Promedio de efectividad (***) Promedio: Se considera un mismo peso de ponderación a los Riesgos Inherentes

11. EJEMPLO N° 2 PROCEDIMIENTO PARA LA EMISION DE POLIZA DE VIDA INDIVIDUAL

12. ANALISIS DEL PROCESO E IDENTIFICACION DE RIESGOS

13. ANALISIS DEL PROCESO E IDENTIFICACION DE RIESGOS

14. RIESGOS OBSERVADOS Una vez que tenemos identificados los riesgos identificamos sus características para determinar sus características

15. CALIFICACION DE RIESGOS Seguidamente definimos la frecuencia de los riesgos, su severidad y su peso.

16. ELABORACION DE LA MATRIZ DE RIESGOS DEL PROCESO

17. ELABORACION DE LA MATRIZ DE RIESGOS DEL PROCESO Los riesgos del proceso que se encuentran en alarma roja son los que se deben atenderse de forma inmediata. Los riesgos que no se encuentran en alarma roja no deben dejarse de lado, en su debido momento se atenderán. Para cada riesgo se determina una o varias actividades de control a realizar: MODIFICACION AL SISTEMA CAPACITACION AL PERSONAL REPORTES CON CIFRAS DE CONTROL REDEFINIR FUNCIONES

18. En la siguiente diapositiva se presenta una matriz simplificada, donde: En cada fila se presenta una amenaza identificada En la columna de probabilidad se coloca cuan probable es que esta amenaza ocurra. En la columna siguiente se coloca para cada uno de los activos a proteger cual es el importe de la perdida media estimada que ocasionaria esa amenaza en ese activo Los datos precedentes permiten calcular el riesgo total, el cual es la suma de los productos de las amenazas por el impacto de toda la fila Luego se presenta la efectividad del control actuante , osea a que riesgo se puede mitigar Finalmente se indica en la ultima columna el riesgo residual, que resulta de aplicar la efectividad del control al riesgo total

19. Matriz de Riesgo

20. BENEFICIOS DE LA ELABORACION DE LA MATRIZ DE RIESGOS Los beneficios de esta metodología de supervisión, entre otros, son los siguientes: Identificación de instituciones que requieren mayor atención y áreas críticas de riesgo. Uso eficiente de recursos aplicados a la supervisión, basado en perfiles de riesgos de las entidades. Permite la intervención inmediata y la acción oportuna. Evaluación metódica de los riesgos. Promueve una sólida gestión de riesgos. Monitoreo continuo.

21. CONCLUSIONES Las entidades financieras, al tomar posiciones en activos financieros, no buscan eliminar estos riesgos, sino gestionarlos, evaluarlos y controlarlos, para lo cual necesitan identificarlos y medirlos. Sin embargo, antes es preciso establecer el perfil de riesgo que se quiere adoptar, lo que es decisión propia y exclusiva de cada entidad, en función de su estrategia de largo plazo o plan de negocio. El riesgo neto o residual según una valoración cualitativa o cuantitativa de los riesgos ayuda a determinar a los administradores o gestores del negocio a tomar mejores decisiones sobre los riesgos evaluados.

22. CONCLUSIONES Los costos anuales asociados al control y mitigación de riesgos no debe exceder el costo del riesgo total Los distintos procedimientos de control pueden ser agrupados en 3 categorias: aquellos referidos a brindar seguridad, calidad y control interno

23. RECOMENDACIONES Constituir círculos de calidad, con equipos de trabajo multidisciplinarios altamente motivados y capacitados encargados de evaluar los riesgos y aplicar la escala de valoración y ponderación de los riesgos del negocio al mapa de riesgos obtenido. Lo anterior evita los sesgos y el criterio subjetivo que el líder del proceso pueda imprimirle al ejercicio de acuerdo a sus intereses. Redefinir las escalas de calificación de acuerdo al estudio de las variables internas y externas que en un momento dado afecten a cada organización, especialmente ajustándose a las tendencias del sector sobre su base normativa. Cuantificar el costo de los riesgos, sería un importante aporte que nutre aun más el análisis de proporciones, ya que cruza la posibilidad de ocurrencia misma del siniestro con la afectación financiera de la empresa en un momento determinado.

24. RECOMENDACIONES La participación activa de la alta Dirección es imprescindible para garantizar tanto los factores de estructura y apoyo al desarrollo del proceso de evaluación, como la credibilidad y motivación que representa su involucramiento y liderazgo.