MATRIZ O MAPA DE RIESGOS

EN SERVICIOS DE SALUD
APLICACIN DE DOCUMENTO TCNICO N 36 DEL CAIGG

Presidente de la Repblica
C.A.I.G.G.

Secretara
Ejecutiva

Comit de
Asesora Tcnica
formado por los
Auditores Ministeriales
MINISTERIO

Auditor Ministerial

Comit de
Auditora Interna

Auditora Interna

Servicio Pblico
o
Empresa del Estado
Comit de
Auditora

Qu es una matriz o mapa de riesgos?

Es una presentacin grfica en forma de Matriz, que construida

de acuerdo a una metodologa, permite identificar y priorizar los
principales riesgos y exposiciones al riesgo que afectan a los
procesos y en consecuencia a la posibilidad de alcanzar los
objetivos institucionales.-

METODOLOGA PARA CONSTRUIR

LA MATRIZ
1.- Identificacin y ponderacin de procesos relevantes en la
institucin.
2.- Identificacin y ponderacin de subprocesos en los procesos
relevantes.
3.- Identificacin y ponderacin de etapas en cada subproceso.
4.- Identificacin de objetivos especficos.
5.- Identificacin y clasificacin de riesgos operativos relevantes.
6.- Identificacin y anlisis de controles claves.
7.- Clculo de la Exposicin al riesgo individual, por etapa,
subproceso y proceso.
5

Notas importantes

Es necesario tener presente que la identificacin de procesos,

subprocesos y etapas es una labor que los Servicios deberan
tener realizada y respaldada a travs de documentos formales.

En caso que no estn formalizadas, el auditor debe analizar e

identificar en conjunto con los ejecutivos y directivos responsables,
la estructura de los procesos.

3.- Identificacin de etapas en cada subproceso.

Etapa:
Las acciones o actividades que en conjunto forman el
subproceso.
Proceso:

Recursos Humanos.

Subproceso: Remuneraciones.
Etapa:

Liquidacin de remuneraciones

4.- Identificacin de objetivos especficos.

Se entender por objetivos especficos, aquella meta o finalidad que se

persigue cumplir mediante la ejecucin de una etapa o mediante la
ejecucin de un Sub Proceso. Una etapa puede tener ms de un objetivo.
Obj. 1) Liquidar oportuna y adecuadamente las remuneraciones
del personal.

Obj. 2) Liquidar oportuna y adecuadamente las cotizaciones

previsionales

5.- Identificacin de riesgos operativos relevantes.

El riesgo se define por la probabilidad de ocurrencia de un hecho no

deseado, o de la no ocurrencia de un hecho deseado.
Afectando el cumplimiento de las metas y objetivos especficos que se
estn evaluando.

Medicin del riesgo

El riesgo, luego de identificado se le cuantifica mediante una matriz
de dos variables:
V1) Probabilidad de ocurrencia.
V2) Grado de impacto.
El cruce de ambas variables determina la Severidad del riesgo.

Clasificacin de los riesgos

Segn origen:

Interno o Externo.

Segn naturaleza: Econmicos, sociales, tecnolgicos, estratgicos,

medioambientales, procesos, legales, personas,
imagen, sistemas.
Medicin del riesgo
El riesgo, luego de identificado se le cuantifica mediante una matriz
de dos variables:
V1) Probabilidad de ocurrencia.
V2) Grado de impacto.
El cruce de ambas variables determina la Severidad del riesgo.
10

Categoras de probabilidad:
Categora

Valor

Descripcin

Casi certeza

Riesgo cuya probabilidad de ocurrencia tiende al

100%

Probable

Riesgo cuya probabilidad se estima entre 75% a

95%

Moderado

Riesgo cuya probabilidad se estima entre 51% a

74%

Improbable

Riesgo cuya probabilidad se estima entre 26% a

50%

Muy improbable

Riesgo cuya probabilidad se estima entre 1% a 25%

11

Categoras de Impacto:
(Categora, valor, descripcin)
Catastrficas (Valor 5)
Riesgo cuya materializacin influye directamente en el cumplimiento de la misin, prdida patrimonial o
deterioro de la imagen, dejando adems sin funcionar totalmente o por un perodo importante de tiempo,
los programas o servicios que entrega la institucin.

Mayores (Valor 4)
Riesgo cuya materializacin daara significativamente el patrimonio, imagen o logro de los objetivos
sociales. Adems, se requerira una cantidad importante de tiempo de la alta direccin en investigar y
corregir los daos.

Moderadas (Valor 3)
Riesgo cuya materializacin causara ya sea una prdida importante en el patrimonio o un deterioro
significativo de la imagen. Adems, se requerira una cantidad de tiempo importante de la alta direccin en
investigar y corregir los daos.

Menores (Valor 2)
Riesgo que causa un dao en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no
afecta el cumplimiento de los objetivos estratgicos

Insignificantes (Valor 1)
Riesgo que puede tener un pequeo o nulo efecto en la institucin

12

SEVERIDAD DEL RIESGO.

La severidad del riesgo se obtiene de multiplicar la
probabilidad por el impacto, as se determina una
escala que va desde 25 a 01, en orden decreciente
de severidad.

Clasificndose en: Extremo, Alto, Moderado y Bajo.

13

EJEMPLO

RIESGOS IDENTIFICADOS
OBJETIVOS
ESPECIFICOS

Liquidar en
forma
oportuna y
Adecua
da las
remuneracion
es

DESCRIPCION DEL
RIESGO

PROBABIL
IDAD
CLA
SIFI
C

VAL
OR

IMPACTO

SEVE
RIDAD
DEL
CLAS VAL
RIESG
IFIC OR
O

VAL
OR

May

Alt.

Liquidacion indebida o
errnea
de
remuneraciones
Muy
1

Impr

14

4.- Identificacin de controles claves.

Identificados los riesgos, es necesario identificar y analizar los

controles claves existentes en la institucin, los que tericamente
mitigan los riesgos

Estos controles se califican de acuerdo a su diseo y aplicacin,

tomando en cuenta tres caractersticas:
1) Oportunidad (en que momento del proceso se aplican; preventivos,
correctivos, detectivos).
2) Periodicidad (si son permanentes, peridicos u ocasionales).
3) Grado de automatizacin (manual, semi automatizado, 100%
automatizado)

15

Criterio de Oportunidad

( Clasificacin, descripcin)
Preventivo (Pv)

Controles claves que actan antes o al inicio de un proceso.

Correctivo (Cr)

Controles claves que actan durante el proceso y que

permiten corregir las deficiencias.

Detectivo (Dt)

Controles claves que slo actan una vez que el proceso ha

terminado.

16

Criterio de Periodicidad

(Clasificacin, descripcin)
Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir,
en cada operacin.
Peridico (Pd) Controles claves aplicados en forma constante slo cuando ha
transcurrido un peridico especfico de tiempo
Ocasional (Oc) Controles claves que se aplican slo en forma ocasional en un
proceso.

17

Criterio de Automatizacin
(Clasificacin, descripcin )
100% automatizado (At) Controles claves incorporados en el
proceso, cuya aplicacin es completamente informatizada. Estn
incorporados en los sistemas informatizados
Semi automatizado (Sa) Controles claves incorporados en el
proceso, cuya aplicacin es parcialmente aplicada mediante sistemas
informatizados.
Manual (Ma) Controles claves incorporados en el proceso, cuya
aplicacin no considera uso de sistemas informatizados

Nota: Al margen de la clasificacin se debe calificar si el

control cumple o no normas mnimas de efectividad.
18

Caractersticas diseo del control clave

Periodicidad
(Pd)

Oportunidad
(O)

Automatizacin
(A)

Permanente
Permanente
Permanente

Preventivo
Preventivo
Preventivo

Informatizado
Semi Informa
Manual

Permanente
Permanente
Permanente

Correctivo
Correctivo
Correctivo

Informatizado
Semi Informa
Manual

Permanente
Permanente
Permanente

Detectivo
Detectivo
Detectivo

Informatizado
Semi Informa
Manual

Peridico
Peridico
Peridico

Preventivo
Preventivo
Preventivo

Informatizado
Semi Informa
Manual

Clasific. Nivel
control control

OP
TI
MO

BU
E
NO

19

MAS
QUE
REG.

Peridico
Peridico
Peridico

Correctivo
Correctivo
Correctivo

Informatizado
Semi Informa
Manual

Peridico
Peridico
Peridico

Detectivo
Detectivo
Detectivo

Informatizado
Semi Informa
Manual

Ocasional
Ocasional
Ocasional

Preventivo
Preventivo
Preventivo

Informatizado
Semi Informa
Manual

Ocasional
Ocasional
Ocasional

Correctivo
Correctivo
Correctivo

Informatizado
Semi Informa
Manual

Ocasional
Ocasional
Ocasional

Detectivo
Detectivo
Detectivo

Informatizado
Semi Informa
Manual

DEFI
CIENTE

No
determinado

No
determinado

No
determinado

INEXIST

REGU
LAR

2
1
----------------

20

Formula para determinar la

exposicin al riesgo

NIVEL SEVERIDAD DEL RIESGO

NIVEL EFICIENCIA DEL CONTROL

Valores
Posibles

Nivel de
exposicin

8,0 - 25

No acept. (Na)

4,0 7,99 Mayor (Ma)

3,0 3,99 Media (Md)
0,2 2,99 Menor (Me)

21

Consideraciones finales.

La matriz de riesgos como herramienta de gestin, solo adquiere

relevancia si es aplicada de manera consistente y permanente en la
totalidad de los procesos relevantes de la organizacin.
La matriz de riesgos es una herramienta de gestin, que como tal
debe ser adaptada a las caractersticas de la organizacin.

La matriz de riesgos es una herramienta de evaluacin que sirve

como insumo, para orientar los esfuerzos de gestin en orden a
reducir al mnimo posible los riesgos, asegurando razonablemente el
logro de los objetivos de la institucin.

22

Por ltimo la responsabilidad de construir las diferentes

matrices de riesgo parte por la alta direccin y obliga a las
etapas intermedias.
En ese contexto el rol de Auditoria es validar el proceso,
sobretodo en lo referente a Riesgos y Controles.

Fin
23