MATRIZ DE EVALUACIÓN DE RIESGO HORIZONTAL La Matriz de Evaluación de Riesgos Horizontal o Matriz de Evaluación de Riesgos por Procesos de Negocio (ERPN) incluida en AutoAudit permite evaluar los riesgos de los organismos sujetos a control para determinar las que mayor nivel de riesgo inherente presentan para incluirlas prioritariamente en la Planificación Anual. La plantilla de ERPN a ser utilizada para evaluar los riesgos será la que defina la Dirección de Investigación Técnica y Normativa. El proceso de creación de una matriz de riesgos es la siguiente: Paso 1.- Acceso a matrices CREACIÓN DE UNA NUEVA MATRIZ En el menú principal Evaluación de Riesgo, seleccionar el submenú Vista de Riesgo. BARRA DE MENÚ EVALUACIÓN DE RIESGO Paso 2.- Selección de Matriz En la ventana Vista del Universo de Riesgos desplegada se debe hacer clic en Crear un documento de ERPN
Paso 3.- Identificación de la matriz En la parte superior de la ventana Evaluación de Riesgo por Procesos del Negocio (ERPN), el usuario autorizado debe identificar a la matriz con los siguientes datos y requisitos: Ejemplo: VENTANA DE CONFIGURACIÓN DE MATRIZ DE RIESGO HORIZONTAL El usuario podrá agregar como archivo anexo la orden de trabajo que le faculta a desarrollar la matriz de riesgos horizontal. (Ver Archivos Anexos)
Paso 4.- Calificación de riesgos inherentes De acuerdo con la plantilla de evaluación de riesgos definida por la Dirección de Investigación Técnica y Normativa, el usuario autorizado debe calificar los riesgos inherentes descritos en ella, para lo cual se considerarán los siguientes aspectos: ESQUEMA El esquema de la Matriz permite la agrupación de los factores de riesgo en 2 niveles: Componente y Subcomponente y un tercero define cada riesgo específico dentro de cada categoría como se muestra en el siguiente ejemplo: RIESGOS COMPONENTE SUBCOMPONENTE RIESGO Ambiente Interno Valores Éticos Orientación Moral Código de Ética Estilo de Operación Estilo de Operación de la Administración Interacción y Descentralización RIESGO INHERENTE Es el riesgo para la entidad en ausencia de cualquier acción realizada por la administración para alterar la probabilidad o el impacto. RIESGO RESIDUAL Es el riesgo calificado por el auditor (Ver Matriz de Pruebas) para validar los riesgos inherentes establecidos previamente por el Evaluador de Riesgos. Es el riesgo remanente después de la acción realizada por la administración para alterar su probabilidad o impacto. VALORACIÓN La valoración del Riesgo Inherente y del Riesgo Residual se realiza a base de un esquema de valoración utilizando una escala conceptual con la asignación de una valoración numérica. La escala de valoración es única y se aplica para todos los riesgos de la matriz. Inicialmente todos indican "Sin Evaluar" con valor de riesgo 0. Las respuestas posibles incluyen "N/A" con valor 0 para discriminar los riesgos que habiendo sido evaluados, no son aplicables (y diferenciarlos de los casos que no han sido evaluados).
Peso Probabilidad Impacto Total Muy 3 Alto 3 90 Probable Medio 2 60 Bajo 1 30 Probable 2 Alto 3 60 Peso 10 Medio 2 40 Bajo 1 20 Improbable 1 Alto 3 30 Medio 2 20 Bajo 1 10 Peso 5 Peso 1 Muy Probable 3 Alto 3 45 Medio 2 30 Bajo 1 15 Probable 2 Alto 3 30 Medio 2 20 Bajo 1 10 Improbable 1 Alto 3 15 Medio 2 10 Bajo 1 5 Muy Probable 3 Alto 3 9 Medio 2 6 Bajo 1 3 Probable 2 Alto 3 6 Medio 2 4 Bajo 1 2 Improbable 1 Alto 3 3 Medio 2 2 Bajo 1 1 Para calificar un riesgo, el usuario elegirá uno y en el campo desplegable Riesgo Inherente, seleccionará una calificación, por ejemplo: VENTANA DE MATRIZ DE RIESGO HORIZONTAL - CALIFICACIÓN
El usuario autorizado seleccionará la calificación más adecuada según el criterio profesional y la metodología que dicte la Dirección de Investigación Técnica y Normativa para evaluar el riesgo inherente del sistema de control interno de los organismos sujetos a control. (Ver anexo.- Escalas de Valoración de Riesgos Horizontales) Paso 5.- Guardar Para que las ediciones efectuadas en el formulario ERPN puedan registrarse correctamente en la base de datos, el usuario debe guardarlos. Si existen varias calificaciones de riesgos por uno o varios usuarios, en la ventana Vista del Universo de Riesgos, se puede observar la sumatoria de las valorizaciones de los riesgos individuales, que permite armar un ordenamiento, de mayor a menor criticidad, de las entidades para realizar la Planificación Anual. VENTANA DE VISTA DE RIESGOS HORIZONTALES - ORDENAMIENTO Nota: Para que los auditores puedan calificar los riesgos residuales dentro de Matrices de Prueba de las auditorías asignadas, debe existir previamente un proceso de evaluación de riesgos horizontal. Paso 6.- Configurar Auditoría (Opcional) El usuario autorizado puede configurar auditorías desde la ventana Vista del Universo de Riesgos, es decir, incluir las evaluaciones de riesgo como parte de un Plan de Control, a base de los resultados de la calificación de los riesgos. Al efecto, se debe seleccionar uno o varios riesgos, elegir la opción Agregar selección a plan de control y luego digitar el año al cual desea configurar la auditoría:
Cuando el usuario presione OK, el riesgo que se haya agregado al plan de control, constará como una auditoría en estado planeado dentro de Configuración de Auditorías (Ver Configuración de Auditorías) o en cualquiera de las opciones donde se visualice el nombre de la auditoría, tales como: Programación, Calendario, Menú de Papeles de Trabajo, etc. INFORMACIÓN ADICIONAL IMPORTANTE OPCIONES DISPONIBLES Cerrar.- El usuario puede cerrar el formulario de trabajo con esta opción, en caso de que la información no haya sido guardada previamente, al cerrar la ventana aparecerá un cuadro de diálogo preguntando si se desea guardar los cambios o no. Crear.- Esta opción genera un nuevo formulario de Evaluación de Riesgo por Proceso de Negocio pero conservando los valores de riesgo y procedimiento de control. Guardar.- Permite conservar los cambios del formulario de trabajo en la base de datos de AutoAudit. Imprimir.- Imprime la información de la ventana de trabajo y cuenta con tres opciones de impresión
Imprimir Documento. Imprimir Archivos Anexos como Documentos Separados. Imprimir Archivos Incrustados como Documentos Separados. Ocultar/Mostrar.- Esta opción esconde los riesgos que no han sido calificados, y muestra los riesgos con un puntaje inherente mayor que cero. Para mostrar toda la lista de riesgos nuevamente, se debe hacer en clic en Mostar. Ubicada en el mismo lugar que Ocultar. Estas opciones son mutuamente excluyentes y mientras la una opción se encuentra activa la otra estará desactiva y se ocultará del menú de opciones. Es decir mientras se encuentra activa la opción Ocultar la opción Mostrar desaparecerá del menú y cuando la opción Mostar se encuentra activa la opción Ocultar, desaparecerá del menú. Archivos.- Es un acceso directo a la ventana Archivos Anexos, a los archivos que se encuentran adjuntos al formulario y a las opciones disponibles para trabajar de la ventana. Además muestra el número de archivos adjuntos al formulario. Flechas para Ocultar y Mostar Detalles.- Todos los formularios en el Menú de los Papeles de Trabajo tienen información adicional que es desplegada u ocultada por medio de las Flechas Arriba Abajo ubicadas en la parte inferior izquierda de la pantalla.