5. MATRIZ DE RIESGO La Matriz de Riesgo es una herramienta que ayuda a identificar las actividades (procesos) más importantes de la empresa por medio de control y gestión, los cuales arrojan un resultado del tipo de nivel de riesgo que tiene una organización. Igualmente, la matriz de riesgo permite evaluar que tan alto son los riesgos financieros de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalué de manera integral los riesgos de una organización, con los cuales se realiza un diagnostico del cómo está la situación real de la organización frente al riesgo. Una eficaz matriz de riesgo permite realizar comparaciones objetivas entre los diferentes actividades (proyectos, productos, entre otros.) de una organización, para lo cual constituye un soporte objetual para un Sistema Integral De Gestión De Riesgo. 5.1 DISEÑO DE MATRIZ DE RIESGO 5.1.1 A partir del plan de negocio de la empresa, se debe desarrollar un proceso para la IDENTIFICACIÓN de las actividades principales y a los riesgos que están expuestos. 5.1.2 Una vez establecidas todas las actividades, se deben de identificar las fuentes o factores de riesgo es decir FACTORES DE RIESGO Ó RIESGOS INHERENTES, los riesgos inherentes son las actividades intrínsecas de las actividades cambiantes del negocio. Los riesgos inherentes no tienen el mismo impacto 36
IMPACTO sobre el riesgo total ya que siendo unos más relevantes que otros, por tanto se debe de priorizar los riegos primarios. 5.1.3 Luego se establece la probabilidad de ocurrencia del riesgo y el cálculo de los efectos potenciales de éstos riesgos sobre los activos de la organización. La valorización pueden darse en cualitativos ó cuantitativos. La clasificación consiste en asignar calificaciones a los riesgos dentro de un rango que podría ser por ejemplo de 1 a 5 (1 leve, 2 bajo, 3 Medio, 4 Alto, 5 Catastrófico), dependiendo de la relación de la probabilidad e impacto. Tabla 2: Tabla de Impacto Vs Probabilidad de Ocurrencia Catastrófico Alto Medio Bajo Leve Leve Bajo Medio Alto Catastrófico Leve Bajo Medio Alto Catastrófico La combinación de colores se da según el resultado de la matriz de riesgo 5.2 PROBABILIDAD DE OCURRENCIA 5.2.1 Ya obtenida la valorización de los riesgos se procede a EVALUAR EL CONTROL INTERNO, es decir que tan eficaces han sido los controles establecidos por la empresa para mitigar los riesgo encontrados. Según el resultado y dependiendo si los riesgos han sido mitigados el riesgo neto tiende a disminuir. 37
Para la evaluación del control interno se puede hacer por ejemplo una valoración de la efectividad. Tabla 3: Probabilidad de Ocurrencia Control Efectividad Ninguno 0 Medio 1 Bajo 2 Alto 3 Muy alto 4 5.2.2 Finalmente se calcula el riesgo neto que resulta de la acción timada para mitigar el riesgo por parte de la administración y el grado de manifestación del riesgo. A partir de este Riesgo neto los administradores pueden tomar decisiones como la de abandonar o continuar dependiendo del nivel de riesgo, implementar nuevos controles o fortalecer los que se tienen o finalmente contratando pólizas de seguro para estos riesgos. 38
5.3 PASOS PARA LA ELABORACIÓN DE UNA MATRIZ DE RIESGO Plan de negocio de la Empresa Identificación de Riesgos Se identifican todos los factores de riesgo Probabilidad de Ocurrencia Evaluación del control Interno Riesgo Neto Decisión que se toma sobre el riesgo neto Figura 4: Pasos Para La Elaboración De Una Matriz De Riesgo 39
A continuación un ejemplo de una matriz de riesgo Tabla 4: Ejemplo Matriz de Riesgos CALIDAD DE GESTIÓN ACTIVIDA D NIVEL DE RIESG O TIPOS DE MEDIDA DE CONTRO EFECTIVIDA D PROMEDIO(* ) RIESGO RESIDUA L O NETO (**) L Riesgo 1 4 Control 1 4 2 2 Control 2 0 4 Control 1 3 Riesgo 2 Control 2 4 2.5 1.6 Control 3 1 Control 4 2 5 Control 1 0 Riesgo 3 Control 2 2 1.7 3 Control 3 3 Control 1 4 Riesgo 4 1 Control 2 3 3.7 0.3 Control 3 4 Riesgo NETO TOTAL (***) 1.7 (*) Promedio de los datos de efectividad (**) Resultado de la división entre el nivel de riesgo / promedio de efectividad (***)Promedio del riesgo residual o neto (muestra el perfil global de riesgo de la línea de negocio 40