MATRIZ DE RIESGOS

La descripcin de los riesgos brutos identificados ser registrada en el sistema Paws,

bajo las siguientes consideraciones:
Estos riesgos deben ser valorizados en el sistema Paws en funcin a la probabilidad
de ocurrencia y magnitud del impacto asociado, considerando los siguientes
criterios:
a. Probabilidad de Ocurrencia
Alias
Significado
5
Casi Cierto

Descripcin
Se espera que ocurra en casi todos los casos o ya
est ocurriendo

Probable

Se espera que ocurra regularmente

Posible

Puede ocurrir en algn momento pero no a menudo

Poco probable

Podra ocurrir en raras circunstancias, pero no se

espera en el corto plazo

Remoto

Podra ocurrir slo en circunstancias excepcionales

b. Magnitud de Impacto
Alias
5

Categora
Catastrfico

Mayor

Moderado

Financiero
% Ventas
1%

0.75%

0.50%

Seguridad

Imagen

Cumplimiento

Amenaza a la vida
humana

Prdida significativa del

valor de la marca

Incumplimientos legales o
contractuales con efectos penales

Suspensin de actividades a
nivel de cadena

Se produjo un fraude

Daos significativos en
la imagen

Incumplimiento recurrente de
procedimientos y controles
internos que podran originar
casos de fraude

Prdida seria y sostenida de ms

del 50% de la participacin
actual del mercado

Daos graves a la
vida humana:
Incapacidad
permanente

Prdida importante del

valor de la marca

Incumplimientos legales o
contractuales con
indemnizaciones o multas
significativas.

Debilidades
operativas que
pueden derivar en
fraudes
Daos a la vida
humana: incapacidad
temporal

Daos serios en la
imagen

Prdida en el valor de la
marca a corto plazo
Daos en la imagen

Menor

Insignificante

0.25%

0.10%

Tratamiento mdico
requerido

Prdida menor en el
valor de la marca

Tratamiento de
primeros auxilios en
tienda

Daos menores en la
imagen
No existe impacto en el
valor de la marca y la
imagen de la Compaa

Incumplimiento de
procedimientos y controles
internos que podran originar
casos de fraude
Notificaciones de incumplimiento
legal con adjudicacin de multas

Continuidad

Prdida de alianzas claves

Suspensin de actividades de
alguna unidad de negocio o
tienda por ms de dos das

Participacin en
Plan de Accin
Miembros del
Directorio,
Gerente General
Corporativo
Country Manager

Gerentes
Generales de cada
Pas

Prdida no mayor del 30% de

participacin actual del mercado
Amenazas en alianzas claves
Suspensin de actividades en
reas operativas o tiendas por 1
da o menos.

Incumplimientos recurrentes de
procedimientos y controles
internos en actividades no crticas
Incumplimiento parcial de
procedimientos y controles
internos en actividades crticas

Prdida no mayor del10% de

participacin actual de mercado
Interrupcin parcial de las
actividades en las reas
operativas o tiendas

Incumplimiento parcial de
procedimientos y controles
internos en actividades no crticas

No se genera efecto en la
continuidad del negocio, rea o
tienda

Gerentes
Centrales

Gerencias Medias
y Gerencias de
Tiendas
Jefaturas
Operativas

Producto de esta valoracin de riesgos se identificar la categora de severidad en la que

se encuentra el riesgo bruto, de acuerdo a la siguiente matriz:

OcurrenciaProbabilidad de

Catastrfico

Mayor

Moderado

Menor

Insignificante
Insignificante

Menor

Moderado

Mayor

Catastrfico

Magnitud de Impacto
Calificacin de Riesgos Brutos:
Crtico

Alto

Medio

Bajo

Los riesgos brutos de calificacin Bajo no generarn procedimientos adicionales de

auditora.
REGISTRO DE CONTROLES
Por cada uno de los riesgos identificados y valuados, se deben relacionar los controles
identificados durante el entendimiento del proceso. Tomar en cuenta que un riesgo
puede requerir varios controles, y por el contrario, un mismo control puede cubrir varios
riesgos.

Al registrar los controles en el sistema Paws, considerar lo siguiente:

Referencia
Descripcin
Orientacin: permite definir si el control descrito reduce la Probabilidad de
Ocurrencia o la Magnitud de Impacto del riesgo, o si acta sobre ambos.
Clase: definir si es un control manual o automtico.
Categora:
o Autorizacin: aprobacin de transacciones y acceso a registros y activos
o Segregacin de funciones: separacin de funciones y responsabilidades
o Reconciliacin: aseguran la integridad y exactitud en la transmisin de la
informacin
o Revisin de la gerencia: revisiones por personas distintas a las que
ejecutan la actividad, incluye revisiones de logs.
o Reportes de excepcin: operaciones que salen de los estndares
o Salvaguarda: generacin de backups
Tipo:
o Preventivo: se encuentra antes que las operaciones normales se ejecuten
o Detectivo: se encuentra despus que las operaciones normales se
ejecuten
o Correctivo: se implementa cuando ha ocurrido un evento negativo en el
proceso por una debilidad de control, posteriormente puede convertirse
en Preventivo o Detectivo.
Ejecutado por: indicar el detalle del cargo responsable del control
Frecuencia: frecuencia con la que se ejecuta el control
Control clave: se considera que un control es clave cuando su no ejecucin
podra generar un efecto adverso significativo en el cumplimiento de los
objetivos de negocio.

En el caso que no se hayan implementado controles para mitigar los riesgos, se deber
generar inmediatamente una observacin de auditora.
EVALUACION DE CONTROLES
Evaluacin del diseo de los controles
Para evaluar el diseo de los controles se recomiendo efectuar la tcnica de
Walkthrough en las operaciones del proceso. Es decir, se seleccionar una operacin
representativa de cada tipo de operaciones y se har el seguimiento a travs de todas sus
actividades en el proceso.
Las calificaciones para evaluar el diseo son:
Adecuado: los controles, tal y como estn diseados, pueden mitigar los riesgos
identificados.
Inadecuado: los controles no mitigan los riesgos diseados

Si producto de la evaluacin del diseo de los controles, se concluye que el mismo es

Inadecuado, no se ejecutarn procedimientos adicionales de auditora y se emitir la
observacin de auditora.

Evaluacin de la efectividad de los controles

Posterior a la evaluacin del diseo, el auditor encargado procede a evaluar la
efectividad de los controles, es decir, verificar si el control se ejecuta tal y como est
diseado en las operaciones del proceso en evaluacin.
Para ello, es necesario seleccionar un grupo de operaciones representativas del proceso
(muestra) y auditar el cumplimiento del control. Se denomina muestra representativa a
aquella que puede llegar a representar de manera razonable el universo de las
operaciones en revisin.
Las calificaciones para evaluar la efectividad de los controles son:

Alto: Los controles funcionan completamente o slo muestran un error de 10%

de la muestra
Medio:
o Los controles funcionan pero con ciertas dificultades
o Se presentan ms del 10% de errores en la muestra revisada.
Bajo
o Los controles no funcionan tal y como se han definido

Matriz de Evaluacin de Controles

Efectividad

Evaluados el Diseo y la Efectividad de los controles, la matriz que cubre ambos

aspectos quedar representada de la siguiente forma:
Alto
Medio
Bajo
Insatisfactorio

Satisfactorio

Diseo
Calificacin de Controles:
Dbil

Moderado

Fuerte

Todo control calificado como Dbil o Moderado debe originar una observacin de
auditora o recomendacin de oportunidad de mejora.
EVALUACION DEL RIESGO RESIDUAL
Luego de evaluados los controles, el auditor encargado deber evaluar nuevamente los
riesgos identificados a fin de identificar el nivel de riesgo residual existente.
Se denomina Riesgo Residual a todo riesgo que no est siendo cubierto por los
controles implementados por la Gerencia.
La evaluacin de los controles puede generar los Riesgos Brutos sean afectados en la
Probabilidad de Ocurrencia, Magnitud de Impacto o Ambos.
Por ejemplo: Un Riesgo Bruto evaluado como Crtico, luego de evaluados sus controles
relacionados, podra tener una evaluacin de Riesgo Residual:
Crtico: en el caso que los controles hayan sido calificados como Dbiles
Alto / Medio : en el caso que los controles hayan sido calificados como
Moderados
Bajo: en el caso que los controles hayan sido calificados como Fuertes

OcurrenciaProbabilidad de

Catastrfico

R
R

R
R

Mayor

R
B
R
R

Moderado

R
R
R
R

Menor

R
R

Insignificante
Insignificante

Menor

Moderado

Mayor

Magnitud de Impacto
R
B

Riesgo Bruto

R
R

Riesgo Residual

Catastrfico

Slo los Riesgos Residuales evaluados como Bajo y Medio (a juicio del auditor), no
generarn observaciones de auditora y sern considerados como Oportunidades de
Mejora.

OBSERVACIONES DE AUDITORA
Las observaciones de auditora describen las deficiencias o debilidades identificadas en
el proceso evaluado. Estas observaciones deben ser categorizadas considerando su
evaluacin de Riesgo Residual, utilizando para ello las cuatro categoras definidas:
Crtico
Alto
Medio
Bajo
Los componentes de toda observacin de auditora son:

Ttulo: Describe de manera resumida la observacin de auditora

Descripcin: Presenta el detalle de la observacin de auditora, y las causas
que originaron la deficiencia de control. De ser necesario, se presentar un anexo
que permita ampliar la explicacin de la observacin.
Riesgo: describe el efecto que est generando o podra generar en las
operaciones de la Compaa
Recomendacin: Expone la posicin de auditora interna para mitigar la
causa y el efecto de los riesgos identificados en la deficiencia de control. Las
recomendaciones deben emitirse considerando el uso eficiente de los recursos de
la Compaa, as como un nivel ptimo y realista para su ejecucin. Para ello, se
considerarn: Visin y Misin de la Compaa, Polticas y Procedimientos
Internos o Corporativos, Buenas Prcticas Operativas Internas o de la Industria,
Estndares Internacionales.
Comentario: en este espacio los auditados tienen la posibilidad de explicar
los motivos o problemas que puedan estar originando la observacin
identificada.
Plan de Accin: Describe la respuesta de la Gerencia responsable del proceso
auditado para mitigar la observacin de auditora. Toda observacin de auditora
interna debe tener asociado un plan de accin que contemple el compromiso de
la gerencia para mitigar el riesgo residual y la causa asociados a la observacin.
El plan de accin debe corresponder a acciones realistas, concretas y medibles, y
debe incluir la fecha y responsable de su implementacin, para poder realizar el
posterior seguimiento.

En caso de existir observaciones con riesgo residual crtico o alto y cuya mitigacin
requiere un mayor tiempo por su complejidad o por factores externos, el auditor debe
requerir que se apliquen controles compensatorios mientras se implementa el control
definitivo, que permita actuar en el corto plazo frente al riesgo.

CALIFICACION DEL INFORME

Por cada trabajo de auditora el auditor encargado debe preparar un informe, el cual
debe presentar la Calificacin de auditora a su ambiente de control. La calificacin es
asignada sobre la base de una evaluacin objetiva y con base en el juicio del Auditor
Encargado, Auditor General y/o Gerente Contralor. Para ello, se utilizarn las
siguientes descripciones como gua de calificacin:

Bueno:
Existe un buen ambiente de control.
Todos los controles crticos en el proceso existen y funcionan
correctamente
Se han identificado observaciones de riesgo Bajo y Medio

Aceptable:
Existe un ambiente de control adecuado.
Algn control crtico funciona con algunas deficiencias.
Se han identificado observaciones de riesgo Medio y hasta dos
observaciones de riesgo Alto.

Insuficiente:
El ambiente de control no es adecuado y en el corto plazo podra exponer
a la Compaa a riesgos importantes.
Uno o ms controles crticos no ha sido implementado o funciona con
deficiencias.
Se ha identificado una observacin de riesgo Crtico ms de dos
observaciones de riesgo Alto, y observaciones de riesgo Medio

Deficiente:
El ambiente de control es malo o no existe, y expone a la Compaa a un
nivel de riesgo inaceptable.
No existen controles crticos implementados o los controles crticos no
se ejecutan.
Se han identificado dos o ms observaciones de riesgo Crtico y
observaciones de riesgo Alto o Medio.