Cómo elaborar una matriz de riesgos: plantilla con ejemplo
Aprenda cómo elaborar una matriz de riesgos paso a paso, con una plantilla práctica y un ejemplo aplicado a empresas y ONGs en Perú para fortalecer su control interno.
¿Qué es una matriz de riesgos y por qué es importante?
La matriz de riesgos es una herramienta de control interno que permite identificar, evaluar, priorizar y gestionar los riesgos que pueden afectar el cumplimiento de los objetivos de una organización. Su utilidad es transversal: aplica tanto a empresas comerciales, industriales y de servicios, como a asociaciones, fundaciones, cooperativas y ONGs.
En términos prácticos, una matriz de riesgos ayuda a responder cuatro preguntas clave:
- ¿Qué puede salir mal?
- ¿Qué tan probable es que ocurra?
- ¿Qué impacto tendría si ocurre?
- ¿Qué controles existen o deben implementarse?
Desde la perspectiva de auditoría, esta herramienta se alinea con la NIA 315 – Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno, ya que permite comprender procesos, riesgos y controles relevantes. Asimismo, se relaciona con la NIA 330 – Respuestas del auditor a los riesgos valorados, en la medida en que la organización puede diseñar controles y respuestas frente a riesgos previamente identificados.
En el ámbito empresarial peruano, una matriz de riesgos bien elaborada puede prevenir situaciones frecuentes como:
- Pérdidas por faltantes de caja o inventarios.
- Pagos duplicados a proveedores.
- Incumplimientos tributarios ante SUNAT.
- Uso inadecuado de fondos restringidos en ONGs.
- Retrasos en la presentación de información financiera.
- Errores en planillas y obligaciones laborales.
En resumen, no se trata solo de un documento formal. Es una herramienta de gestión que facilita la toma de decisiones y fortalece el sistema de control interno.
Base conceptual: riesgo, probabilidad, impacto y control
Antes de elaborar la matriz, conviene definir algunos conceptos básicos:
Riesgo
Es la posibilidad de que ocurra un evento que afecte negativamente el logro de los objetivos de la entidad. Por ejemplo, que un asistente administrativo registre una factura falsa y esta sea pagada.
Probabilidad
Es la posibilidad de ocurrencia del riesgo. Puede calificarse como baja, media o alta, o asignarse una escala numérica, por ejemplo del 1 al 5.
Impacto
Es la magnitud de las consecuencias si el riesgo se materializa. Puede medirse en términos económicos, operativos, legales, reputacionales o tributarios.
Control
Es la política, procedimiento o actividad diseñada para prevenir, detectar o corregir un riesgo. Por ejemplo, la doble aprobación de pagos mayores a S/ 10,000.
Riesgo inherente y riesgo residual
El riesgo inherente es el nivel de riesgo antes de considerar controles. El riesgo residual es el nivel que permanece después de aplicar los controles existentes. Esta distinción es importante porque muchas organizaciones creen que “tener un procedimiento” equivale a “tener el riesgo controlado”, lo cual no siempre es cierto.
¿Cuándo conviene elaborar una matriz de riesgos?
La respuesta corta es: cuanto antes. Sin embargo, en la práctica peruana suele ser especialmente necesaria en los siguientes escenarios:
- Cuando la empresa está creciendo y los procesos ya no dependen solo del dueño o gerente.
- Cuando una ONG administra fondos de cooperación internacional y debe rendir cuentas por proyecto.
- Cuando existen observaciones recurrentes de auditoría interna o externa.
- Cuando se detectan contingencias tributarias, laborales o legales.
- Cuando se implementa un nuevo sistema contable, ERP o software de tesorería.
- Cuando la entidad desea formalizar su sistema de control interno.
Por ejemplo, una asociación sin fines de lucro que ejecuta varios convenios simultáneamente puede enfrentar el riesgo de mezclar gastos administrativos con gastos financiados por un donante. Una matriz de riesgos permite identificar ese punto crítico y diseñar controles específicos.
Pasos para elaborar una matriz de riesgos
1. Definir el proceso o área a evaluar
El primer paso es delimitar el alcance. La matriz puede elaborarse para toda la organización o para un proceso específico, como tesorería, compras, inventarios, planillas, proyectos o contabilidad.
En la práctica, recomendamos comenzar por procesos sensibles o de mayor exposición, por ejemplo:
- Caja y bancos
- Compras y pagos
- Inventarios
- Planillas
- Ejecución de proyectos en ONGs
- Cumplimiento tributario
2. Identificar los objetivos del proceso
No se puede evaluar riesgos sin conocer primero qué se busca proteger. Por ejemplo, en tesorería, algunos objetivos pueden ser:
- Realizar pagos válidos, oportunos y autorizados.
- Proteger los fondos de la organización.
- Registrar correctamente las operaciones en contabilidad.
3. Identificar los riesgos
Luego se listan los eventos que podrían impedir el cumplimiento de esos objetivos. Algunos ejemplos frecuentes en Perú:
- Pagos a proveedores sin sustento documentario suficiente.
- Transferencias bancarias no autorizadas.
- Gastos no deducibles para efectos del Impuesto a la Renta.
- Pérdida de comprobantes de pago.
- Uso de fondos para fines distintos a los aprobados.
4. Identificar causas y consecuencias
Este paso mejora la calidad del análisis. No basta con decir “hay riesgo de pago indebido”; conviene entender por qué podría ocurrir y qué efecto tendría.
Ejemplo:
- Riesgo: pago duplicado a proveedor.
- Causa: ausencia de conciliación entre orden de compra, factura y constancia de pago anterior.
- Consecuencia: pérdida de efectivo, dificultad de recuperación, observación de auditoría.
5. Evaluar probabilidad e impacto
La evaluación puede hacerse con escalas cualitativas o cuantitativas. Una metodología simple y efectiva es usar valores del 1 al 3 o del 1 al 5.
Por ejemplo:
| Valor | Probabilidad | Impacto |
|---|---|---|
| 1 | Baja | Menor, sin efecto material |
| 2 | Media | Moderado, requiere corrección |
| 3 | Alta | Significativo, afecta resultados o cumplimiento |
El nivel de riesgo suele obtenerse multiplicando probabilidad por impacto. Así, un riesgo con probabilidad 3 e impacto 3 tendrá una calificación de 9, considerada alta.
6. Identificar controles existentes
En esta etapa se documentan los controles ya implementados. Por ejemplo:
- Aprobación de pagos por jefatura y gerencia.
- Conciliaciones bancarias mensuales.
- Segregación entre quien solicita, aprueba y ejecuta el pago.
- Archivo digital de comprobantes.
- Revisión tributaria previa al registro contable.
7. Evaluar el riesgo residual
Una vez identificados los controles, se analiza si reducen efectivamente el riesgo. Si el control existe solo en papel, el riesgo residual puede seguir siendo alto.
8. Definir acciones de mejora y responsables
La matriz no debe quedarse en diagnóstico. Debe incluir acciones concretas, responsables y plazos. Por ejemplo:
- Implementar política de doble firma para pagos mayores a S/ 5,000.
- Automatizar el correlativo de órdenes de pago.
- Capacitar al personal sobre sustento tributario de gastos.
Plantilla de matriz de riesgos
A continuación, presentamos una plantilla base que puede adaptarse a empresas y ONGs:
| Proceso | Objetivo | Riesgo | Causa | Consecuencia | Probabilidad | Impacto | Nivel | Controles existentes | Riesgo residual | Acción de mejora | Responsable | Plazo |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tesorería | Realizar pagos válidos y autorizados | Pago duplicado a proveedor | Falta de validación previa | Pérdida de efectivo | 3 | 3 | 9 | Revisión manual del expediente | Medio | Implementar control en sistema y doble revisión | Jefe de Tesorería | 30 días |
Esta estructura puede desarrollarse en Excel, Google Sheets o en un software de gestión de riesgos. Para muchas pequeñas y medianas empresas peruanas, una hoja de cálculo bien diseñada es suficiente como punto de partida.
Ejemplo práctico: matriz de riesgos en el proceso de compras y pagos
Supongamos una empresa comercial en Chiclayo con ventas anuales de S/ 4 millones. La gerencia detecta retrasos en pagos, observaciones de SUNAT por sustento insuficiente y quejas por compras no planificadas. Se decide elaborar una matriz de riesgos del proceso de compras y pagos.
Matriz resumida del ejemplo
| Proceso | Riesgo | Prob. | Impacto | Nivel | Control existente | Acción recomendada |
|---|---|---|---|---|---|---|
| Compras | Adquisiciones sin autorización | 3 | 2 | 6 | Correo de aprobación informal | Implementar formato de requerimiento aprobado |
| Compras | Selección de proveedor no competitiva | 2 | 3 | 6 | Cotizaciones no siempre archivadas | Exigir mínimo 3 cotizaciones para compras mayores a S/ 3,500 |
| Pagos | Pago duplicado | 3 | 3 | 9 | Revisión manual | Bloqueo en sistema y checklist previo |
| Pagos | Pago con comprobante no válido | 2 | 3 | 6 | Revisión contable posterior | Validación SUNAT antes del pago |
| Contabilidad | Registro en periodo incorrecto | 2 | 2 | 4 | Cierre mensual básico | Cronograma de cierre y revisión de devengados |
Análisis del ejemplo
En este caso, el riesgo más alto es el pago duplicado, con nivel 9. Aunque existe una revisión manual, esta no resulta suficiente porque depende de una sola persona y no hay alerta automática en el sistema.
La acción recomendada sería:
- Numerar correlativamente las órdenes de pago.
- Exigir que cada pago tenga expediente completo: requerimiento, orden de compra, factura, conformidad y evidencia de recepción.
- Configurar el sistema para alertar facturas con mismo número, proveedor e importe.
- Separar funciones entre quien registra, quien aprueba y quien ejecuta la transferencia.
Con estas medidas, el riesgo residual podría reducirse de alto a medio o bajo, dependiendo del grado de cumplimiento.
Ejemplo práctico: matriz de riesgos para una ONG en Perú
Ahora veamos un caso más cercano al sector no lucrativo. Una ONG en Lima administra un proyecto financiado por cooperación internacional por S/ 850,000. El convenio exige que los fondos se utilicen exclusivamente en actividades aprobadas y que cada gasto tenga sustento documentario.
Riesgos identificados
| Proceso | Riesgo | Consecuencia | Control existente | Mejora sugerida |
|---|---|---|---|---|
| Ejecución de proyecto | Uso de fondos en actividades no presupuestadas | Observación del donante y devolución de fondos | Revisión del coordinador | Control presupuestal mensual por línea de gasto |
| Rendición | Gastos sin comprobante válido | No aceptación del gasto | Archivo físico | Checklist tributario y archivo digital |
| Tesorería | Pago de viáticos sin rendición oportuna | Saldos pendientes y debilidad de control | Formato simple de rendición | Política con plazo máximo y descuento por planilla si aplica |
| Contabilidad | Registro incorrecto por proyecto | Reportes financieros errados | Codificación manual | Centros de costo obligatorios en el sistema |
Este ejemplo muestra algo muy común en ONGs peruanas: el riesgo no siempre se limita a una pérdida económica directa. También puede haber impacto reputacional, contractual y de continuidad del financiamiento.
Criterios para calificar los riesgos
Una de las dudas más frecuentes es cómo asignar objetivamente la probabilidad y el impacto. La recomendación es definir criterios internos y aplicarlos de manera uniforme.
| Nivel | Probabilidad | Criterio sugerido | Impacto | Criterio sugerido |
|---|---|---|---|---|
| Bajo | 1 | Ocurre rara vez o no hay antecedentes | 1 | Pérdida menor a S/ 2,000 o efecto operativo limitado |
| Medio | 2 | Puede ocurrir ocasionalmente | 2 | Pérdida entre S/ 2,000 y S/ 20,000 o incumplimiento corregible |
| Alto | 3 | Ha ocurrido o es muy probable | 3 | Pérdida mayor a S/ 20,000, contingencia legal o reputacional relevante |
Estos rangos son referenciales. Cada entidad debe adaptarlos a su tamaño, complejidad y capacidad financiera.
Errores frecuentes al elaborar una matriz de riesgos
En nuestra experiencia de auditoría y consultoría en Perú, estos son algunos errores recurrentes:
1. Elaborarla solo para cumplir un requisito
Cuando la matriz se prepara únicamente para mostrarla a auditoría o al directorio, pierde utilidad práctica.
2. Describir riesgos demasiado generales
Por ejemplo, poner “riesgo de fraude” sin detallar en qué proceso, cómo podría ocurrir y qué consecuencias tendría.
3. No vincular riesgos con controles reales
Un manual no implementado no es un control efectivo.
4. No actualizarla
Los riesgos cambian con el tiempo. Un nuevo sistema, una nueva sede o una nueva fuente de financiamiento pueden modificar el mapa de riesgos.
5. No asignar responsables ni plazos
Sin seguimiento, las acciones de mejora quedan en buenas intenciones.
Relación con el control interno y la normativa aplicable
La matriz de riesgos forma parte de una adecuada estructura de control interno. Aunque no existe una única ley peruana que obligue a todas las entidades privadas a contar con una matriz formal, sí hay disposiciones y marcos normativos que respaldan su implementación como buena práctica de gestión.
Desde la perspectiva societaria, la Ley General de Sociedades, Ley N.° 26887, establece en su artículo 190 que el directorio tiene facultades de gestión y representación necesarias para la administración de la sociedad dentro de su objeto, lo que implica la responsabilidad de supervisar adecuadamente los riesgos del negocio. Asimismo, el artículo 221 dispone que los estados financieros deben prepararse conforme a disposiciones legales y principios de contabilidad generalmente aceptados en el país, lo que exige procesos confiables y controles razonables.
En materia tributaria, un control interno deficiente puede generar contingencias frente a SUNAT, especialmente si no se sustenta adecuadamente el gasto. Por ejemplo, el Texto Único Ordenado de la Ley del Impuesto a la Renta, aprobado por Decreto Supremo N.° 179-2004-EF, señala en su artículo 37 que para determinar la renta neta de tercera categoría son deducibles los gastos necesarios para producirla y mantener su fuente, siempre que estén debidamente sustentados. Una mala gestión de riesgos en compras y pagos puede afectar directamente la deducibilidad tributaria.
Además, el artículo 44 de la misma norma detalla conceptos no deducibles, lo que refuerza la necesidad de controles sobre documentación, causalidad y razonabilidad del gasto.
Desde el enfoque de información financiera, la identificación de riesgos y controles también contribuye a la calidad de los estados financieros preparados bajo NIIF o marcos contables aplicables.
Recomendaciones para implementar una matriz de riesgos útil
- Comience por los procesos más críticos, no por toda la organización a la vez.
- Involucre a quienes ejecutan el proceso diariamente.
- Use una escala simple y comprensible.
- Documente controles realmente aplicados.
- Priorice riesgos altos y de rápida ocurrencia.
- Revise la matriz al menos una vez al año o ante cambios relevantes.
- Integre la matriz con auditoría interna, cumplimiento tributario y seguimiento gerencial.
Conclusión
Elaborar una matriz de riesgos no es un ejercicio meramente documental; es una práctica esencial para fortalecer el control interno, anticipar problemas y proteger los recursos de la organización. Una buena matriz permite identificar riesgos concretos, evaluar su probabilidad e impacto, revisar la efectividad de los controles y definir acciones de mejora con responsables y plazos.
En el contexto peruano, esta herramienta resulta especialmente valiosa para empresas en crecimiento, organizaciones con alta rotación de personal, entidades sujetas a fiscalización tributaria y ONGs que administran fondos de terceros. Con una plantilla clara y una metodología sencilla, es posible construir una matriz útil y aplicable desde el primer momento.
Si su empresa u organización necesita apoyo para diseñar su matriz de riesgos, evaluar controles internos o preparar una revisión independiente de sus procesos, puede escribirnos a auditor@carloslingan.pe.
