Una Matriz de Riesgos es una herramienta que se utiliza para identificar los Riesgos más significativos inherentes a las actividades de una organización.

Para el sector de Auditoría Interna de las Entidades Financieras, la Matriz de Riesgos es una herramienta clave a la hora de realizar la planificación anual, ya que se utiliza como base para la definición y el alcance del Plan.

Además, la Matriz permite identificar los Riesgos asociados a cada procedimiento, el impacto, la probabilidad de ocurrencia y los controles mitigantes asociados a los mismos.

Para cada ciclo (o proceso) de la entidad se arma por separado una matriz, con el fin de definir su nivel de riesgo, que luego servirá como base para establecer, por ejemplo, la frecuencia de revisión, siendo que para los ciclos de riesgo alto se realizará una revisión con una frecuencia semestral, para los de riesgo medio anual, y riesgo bajo bianual.

A continuación se detallan los pasos para armar una Matriz de Riesgos de un Ciclo:

En primer lugar, se debe realizar un relevamiento con los diferentes actores involucrados. Vale aclarar que cada ciclo, por ejemplo el ciclo “Depósitos”, conlleva diferentes subprocesos o actividades, por ejemplo “Apertura de Cuenta”, “Cierre de Cuenta”, “Renovación de Plazos Fijos”, etc.

Una vez realizado el relevamiento, donde se identificaron las diferentes actividades, se procede a definir los riesgos relacionados a estas y detectar los controles diseñados por la Entidad tendientes a reducir dichos riesgos. Esto será plasmado en la Matriz de Riesgos (Ciclo/Subproceso/Riesgo asociado/Controles existentes).

En la matriz se plasmaran solo los controles que sean considerados como “relevantes” debido a que la falta o deficiencia de los mismos podrían afectar significativamente el control interno del ciclo bajo análisis.

Posteriormente, se procede a analizar el impacto y probabilidad de ocurrencia de cada riesgo detectado previamente, obteniendo así el Riesgo Inherente de los mismos.

Luego, se procede a determinar la efectividad de los controles existentes, evaluando su oportunidad, periodicidad y nivel de automatización.

Una vez obtenido el riesgo inherente y la efectividad del control de cada uno, se procede a obtener el Riesgo Residual, que es el nivel de riesgo que permanece en la entidad tras mitigar/reducir o eliminar los riesgos, y que surge de multiplicar ambos datos.

Por último, se realiza la sumatoria de todos los riesgos residuales divido por la cantidad de subprocesos, que nos dará como resultado el nivel de riesgo del ciclo.

Fuentes:

- https://www.isotools.org/2015/08/06/en-que-consiste-una-matriz-de-riesgos/

- Elaboración Propia.