Facilitador : Alfonzo Muñoz

Facilitador : Alfonzo Muñoz

[email protected]

EVOLUCIÓN DE LAS TENDENCIAS DE

LA GESTIÓN DE LOS RIESGOS

La gestión del riesgo es una

“responsabilidad de todos”, pero aún más si usted es miembro del Cuerpo Directivo o de la Auditoría.

En las evaluaciones de la “Gestión”

se debe aportar evidencia de una profunda y continua

Administración del Riesgo.

Una activa gestión del riesgo, soportada en Sistema de Información y un continuo monitoreo ayuda a proteger el

personal, los proyectos y los activos.

EVOLUCIÓN DE LA ADMINISTRACIÓN DEL

RIESGO

• Evitar sorpresas costosas, estabilidad de las operaciones.

• Arraigar la cultura de Gestión del Riesgo para asegurar el logro de los objetivos y metas.

• Hacer realidad la Gobernabilidad Corporativa.

• Mantener la competitividad.

• Flexibilidad para afrontar cambios en el ambiente de negocios e implementación de nuevas estrategias.

• Cumplir con las normas y regulaciones del estado.

Principales razones, en orden de importancia, para implementar la gestión del riesgo:

TENDENCIAS

TENDENCIA - INTEGRACIÓN

Objetivos/Metas Sistema de Gestión Integral

del Riesgo ISO 31000 AS/NZS:

4360

Gobernabilidad

Corporativa Sistemas de Gestión de

Calidad / Salud / M.

ambiente……

Basilea II –III / BIS

COSO – ERM / CobIT / ITIL Exigencias de

entidades reguladoras Gestión del

Riesgo y SCI / (S. Público) Ley Sarbanes

– Oxley (Sarbox)

BSC: Balance Score Card (Indicadores)

La Gestión del Riesgo como

elemento

“Integrador” de todos los métodos y elementos de gestión y control

organizacional

PROCESO

DE ADMINISTRACIÓN DEL RIESGO

BASADO EN RISK MANAGEMENT AS/NZS

ISO 31000

¿QUÉ IMPLICA EL RETO DE LA GESTIÓN DEL RIESGO?

La Administración del Riesgo el nuevo enfoque de la

Gestión Gerencial

MEJORAMIENTO DEL SAR

Nuestra responsabilidad es mejorar en la Gestión de los Riesgos y propender por tener seguridad y confiabilidad razonable en el SAR implementado y sus resultados.

Una deficiente identificación y análisis de los riesgos, puede conducir a la creencia de tener controlados los riesgos, pero la realidad es todo lo contrario.

GESTIONAR LOS RIESGOS IMPLICA:

1. Usar una metodología consistente con los estándares internacionales (ISO-31000, ISO-31010, Modelo COSO-ERM) y alineada con las normas locales.

2. Implementar la Cultura de Gestionar los Riesgos a lo

largo de toda la organización.

Aplicable en el ciclo de vida de toda: Actividad, Función, Proyecto, Producto o Activo:

• Estrategia de la Organización

• Procesos claves (Core business)

• Proyectos e Inversiones

• Programas de prevención fraudes

• Cambios Organizacionales y Tecnológicos

• Aspectos ambientales

• Planeación de continuidad del negocio

• Salud Ocupacional

• Seguridad Industrial

• Operaciones moneda extranjera

• Sistemas de Información y redes de telecomunicaciones

Aplicable en Cualquier Entidad (Pública-Privada)

Único estándar de Administración del Riesgo de amplio uso en el ámbito internacional

Risk Management AS/NZS ISO 31000: 2009

Riesgo Estratégico

Riesgo de Crédito

Riesgo de

Mercado Riesgo de

Liquidez

Riesgo Legal RO

Riesgo Reputacional

Riesgo Operacional

RO Riesgo

Ambiental RO?

Riesgo Salud / Profesional

RO

Identificar, medir, tratar, controlar y reportar el riesgo

Considera Todas las Categorías de Riesgos Organizacionales

Risk Management AS/NZS ISO 31000: 2009

Perspectiva Moderna del Riesgo

AS/NSZ ISO 31000:2009 –

Risk Management Principles and Guidelines

Los objetivos pueden abarcar diferentes aspectos (financieros, bienestar, operativos, salud, seguridad, ambientales) y pueden aplicar a diferentes niveles en la organización (estratégico, organizacional, procesos, proyectos, productos).

El Riesgo es usualmente caracterizado por la referencia de potenciales eventos y consecuencias o la combinación de estos.

Es la aplicación sistemática de políticas gerenciales, procedimientos y practicas a las actividades de:

Comunicar, consultar, establecer el contexto e identificar, analizar, evaluar , tratar, monitorear y revisar los riesgos que afectan o podrían afectar.

El logro de los objetivos y metas de la organización

¿Qué es un Proceso de Administración Integral del Riesgo?

RISK MANAGEMENT AS/NZS ISO 31000: 2009

RISK MANAGEMENT AS/NZS ISO 31000: 2009

PRINCIPIOS DE LA ADMINISTRACIÓN

DEL RIESGO

IMPLEMENTACIÓN DE LA ADMINISTRACIÓN

DEL RIESGO MONITOREO Y REVISIÓN

DE LA ADMINISTRACIÓN DEL RIESGO

MANDATO Y COMPROMISO

DISEÑO DEL MARCO / MODELO DE

ADMINISTRACIÓN DEL RIESGO

MEJORA CONTINUA DE LA ADMINISTRACIÓN

DEL RIESGO

Esquema del proceso interactivo de Administración Integral del Riesgo:

ISO 31000:2009 (AS/NZS: 4360) + ISO 31010:2009 + Basilea II + SOX + ….

Auditoría / Of. Control

Interno

Evaluaciones Externas Establecer contexto SAR

• Externo

• Interno

• Específico

Partes Involucradas

Definir las Fuentes de Riesgo Definir las Áreas de Impacto

Riesgo Absoluto (Inherente) Riesgo con Controles (Residual)

Identificar los Riesgos

M O N I T O R E O

Objetivos/Metas (Oportunidades)

Implementar Planes Acción Riesgo con Tratamientos C

O M U N I C A C I Ó N Y C O N S U L T A

Auto Evaluación

(CRSA)

Cambios

Eventos de Riesgo Indicadores

de Riesgo

Identificar la totalidad de los

procesos

Metodologías

identificación eventos de RO

identificar eventos de RO (Reales/Potenciales)

Medición Riesgo Inherente

Control Riesgo inherente

Corregir / Transferir / Aceptar / Evitar los

RO Revisoría Fiscal

Reporte Evaluación cumplimiento del SARO SARO alineado con estrategia

Esquema del proceso del SARO

Las entidades deben contar con la tecnología y los sistemas para garantizar el adecuado funcionamiento del SARO

Identificar la totalidad de las actividades (procesos) Metodologías de

Segmentación e Identificación de

riesgos identificar las formas de riesgo

de LA/FT Medición

Riesgos Control Riesgo

inherente

Seguimiento Riesgo Inherente y Residual, asegurar efectividad y oportunidad controles

Revisoría Fiscal Reporte Evaluación cumplimiento del SARLAFT

Las entidades deben contar con la tecnología y los sistemas para garantizar el adecuado funcionamiento del SARLAFT

Políticas SARLAFT / Código ética

Esquema del proceso del SARLAFT

Esquema del proceso de Administración del

Riesgo complementado con el Modelo COSO-ERM

Ambiente Interno

(Apetito al Riesgo)

Identificación del Evento Investigación del Riesgo Actividades de Control Respuesta al Riesgo

Auto Evaluación de Riesgos y Controles (CRSA)

Establecimiento Objetivos

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

ESTABLECER EL CONTEXTO DEL SAR

Ambiente global

Ambiente local

• Ambiente Interno

• Objetivos/

Metas

• Procesos

• Recursos

Contexto Externo

Contexto Interno

Áreas de Impacto de los Riesgos

Fuentes de Riesgo Externas

Clientes

Inversionistas Competencia Global

Competencia Directa

Reguladores

Circunstancias Políticas y Legislativas Circunstancias Económicas

Fuentes de Riesgo Internas

PERSPECTIVA GLOBAL DE LA GESTIÓN DEL RIESGO

Decidir los criterios frente a los cuales se va a evaluar el riesgo.

ESTABLECER CONTEXTO: CRITERIOS

 Criterios de Riesgo más importantes a considerar

◦ Consecuencias (Impacto) que podrían ocurrir y como deberían medirse;

◦ Como será definida la probabilidad;

◦ Como será determinado el Nivel de Riesgo;

◦ ¿Qué Nivel de Riesgo, debería requerir tratamiento?

Establecer las metas, objetivos, estrategias, alcance y parámetros de la actividad o parte de la organización a la cual se aplicará el proceso de administración del riesgo e implica:

 Establecer sus objetivos y metas , definir y delimitar claramente el proceso, actividad o proyecto, con sus entradas y salidas.

 Definir la extensión de la actividad, proyecto o función en términos de tiempo y localización.

 Relación de la actividad o proyecto con otras actividades y proyectos de la organización.

 Recursos requeridos y los registros que deben ser guardados (Trazabilidad, transparencia, auditabilidad).

 Roles y responsabilidades de las partes de la organización y los participantes en el proceso de administración del riesgo.

ESTABLECER CONTEXTO:

DEL SAR ESPECÍFICO

Definir la estructura de la actividad, función o proyecto (escenario) al que se aplicara la Administración del Riesgo.

 Separar en sus componentes de alto nivel, que provean un modelo o marco para la identificación de los riesgos y obviar que alguno sea omitido, o que se dupliquen riesgos de otros escenarios.

 Diferentes estructuras pueden ser apropiadas, dependiendo del enfoque deseado, la naturaleza de los riesgos, y el propósito del SAR específico:

◦ Unidades / Actividades del Negocio (Planeación Estratégica)

◦ Procesos / Sub-procesos (El más recomendable)

◦ Estructura Áreas / Dependencias (Áreas jerárquicas)

◦ Proyectos / Fases

◦ Estructura Contable relevante (Activos, Pasivos, Ingresos, Egresos, etc.)

◦ Por tipo riesgos, (Crediticio, Mercado, Operacional, etc.)

◦ Localización física / geográfica

ESTABLECER CONTEXTO: DEL SAR ESPECÍFICO

Proceso

ESTABLECER CONTEXTO: DEL SAR ESPECÍFICO

 Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman entradas en salidas (ISO 9000)

 Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

Áreas de Riesgo (Procesos)

(Cadena Valor)

Objetivos

• Negocio

• Procesos Activos críticos TI / Otros

(Plan Continuidad del Negocio)

Cuentas Contables (Ley SOX)

Estructuras del SAR - Como perspectivas de Gestión de Riesgos

Otras:

• Factores de Riesgo (LA/FT)

• CobIT

• ISO 27000

• Riesgos Proyectos

• Auditorías de Cumplimiento

¿Cuáles son las partes involucradas?

ESTABLECER EL CONTEXTO INTERNO / ESPECÍFICO DEL SAR

 Los individuos dentro de la organización, tales como empleados, gerentes, ejecutivos y voluntarios.

 Quienes toman las decisiones.

 La Competencia.

 Grupos de empleados.

 Sindicatos.

 Instituciones financieras.

¿Cuáles son las partes involucradas?

ESTABLECER EL CONTEXTO INTERNO / ESPECÍFICO DEL SAR

 Compañías de seguros.

 Organizaciones reguladoras estatales u otras que tienen autoridad sobre las actividades.

 Políticos (a todo nivel del gobierno) que tiene un interés electoral o en los servicios.

 Organizaciones no gubernamentales tales como grupos ambientales y grupos de interés público.

 Clientes.

¿Cuáles son las partes involucradas?

ESTABLECER EL CONTEXTO INTERNO / ESPECÍFICO DEL SAR

 Proveedores de productos, proveedores de servicios y contratistas de la actividad.

 La prensa, quienes son potenciales partes involucradas o

“stakeholders” en la medida que son medios de información hacia otras partes involucradas.

 Comunidades locales; y

 La Sociedad en general.

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

DEFINIR ÁREAS DE IMPACTO

ÁREA DE IMPACTO

Área de Impacto (Objeto en Riesgo)

Es todo recurso, bien u oportunidad (Objeto financiero) al cual la Organización le ha de (o debe) asignar un valor y su afectación (en mayor o menor valor) podría comprometer el cumplimiento de sus objetivos y metas.

Con base en que información se identificarían las Áreas de Impacto?

El análisis del riesgo puede concentrarse en los impactos en una área solamente o en varias áreas de posible impacto.

Es el análisis de las posibles áreas que podrían verse afectadas por la fuente de riesgo por lo general son los recursos y activos de la organización.

Definir Áreas de Impacto

DEFINIR ÁREAS DE IMPACTO

DEFINIR ÁREAS DE IMPACTO

Activos y Recursos

Básicos Empleados, Temporales,

Asesores

Activos

Pasivos Capital

Recursos de TI (Información)

De la Organización, incluyendo al personal.

DEFINIR ÁREAS DE IMPACTO

Ingresos y Derechos

Ventas

Comisiones

Intereses

Regalías Patentes

Derechos de Autor

DEFINIR ÁREAS DE IMPACTO

Costos Costos Directos

Costos Indirectos

Reposición / Reconstrucción Indemnizaciones

Sanciones De las Actividades, tanto directos como indirectos.

DEFINIR ÁREAS DE IMPACTO

Gente Comunidad

Vecinos

Localidad

Ciudad

País Transeúntes

Balance Social

Impacto en las personas o en la comunidad (medio ambiente).

EFECTO (BOOMERANG)

DEFINIR ÁREAS DE IMPACTO

Clima

Organizacional Valores Éticos

Moral Empleados

“Accountability”

Estabilidad Idoneidad

Afecta el ambiente de control de la organización.

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

DEFINIR FUENTES DE RIESGO

FUENTES DE RIESGO

Fuente de Riesgo

Es todo individuo, grupo humano, entidad, elemento físico, o fenómeno del entorno, de los cuales se pueden derivar eventos que podrían afectar las áreas de impacto (objetos en riesgo), y cuya ocurrencia se debe evitar (minimizar) o maximizar, para incrementar la posibilidad del logro de los objetivos y metas.

¿Cuál sería la información básica para identificar las Fuentes de Riesgo?

Elemento que, solo o en combinación tiene el potencial

intrínseco de dar origen a un riesgo. AS/NSZ: ISO 31000:2009

Cada fuente genérica del riesgo tiene numerosos componentes, y cualquiera de los cuales puede iniciar un riesgo.

Algunos componentes pueden esta bajo el control de la organización, como otros pueden estar por fuera del control. Ambos tipos necesitan ser considerados cuando estamos identificando el riesgo.

DEFINIR FUENTES DE RIESGO

DEFINIR FUENTES DE RIESGO



Para cada Proceso o Área seleccionada, identifique las posibles fuentes del riesgo de acuerdo al proceso o actividad.



Seleccione las fuentes de acuerdo a su importancia con relación al proceso o actividad que se este

tratando.



La siguiente lista le puede ayudar en este proceso de

selección. Recuerde que usted debe personalizar la

lista de acuerdo al proceso o actividad en estudio.

DEFINIR FUENTES DE RIESGO

Relaciones Comerciales y

Legales Competencia

Proveedores

Entidades Financieras Clientes o

Usuarios Aliados de

Negocios

Entre la organización y otras organizaciones, por ejemplo proveedores, subcontratistas, comisionistas.

DEFINIR FUENTES DE RIESGO

Circunstancias Económicas

Banca y Organismos de Economía Mundial

Organismos Reguladores

Mundiales

Banco Emisor y Reguladores

Locales Fenómenos

Macro y Micro Económicos

Mercado de Valores

De la organización, del país, internacionales o también factores que contribuyen a estas

circunstancias ejemplo: cambio en tasas de interés.

DEFINIR FUENTES DE RIESGO

Comportamiento Humano

Sindicatos

Gremios

Grupos de Interés con Manifestaciones Comunidad

Local, Nacional,

Mundial.

Tanto del personal involucrado en la empresa como del que no lo está.

DEFINIR FUENTES DE RIESGO

Eventos Naturales

Fenómenos Climatológicos

Fenómenos Eléctricos

Fenómenos Sísmicos Fenómenos

Marítimos

Todo tipo de evento natural que pueda afectar la organización.

DEFINIR FUENTES DE RIESGO

Aspectos Tecnológicos y

Técnicos Maquinaria y

Equipo (Hardware) Software del

Sistema, de Base y de Aplicación

Telecomunicaciones Instalaciones

Estructurales Instalaciones

eléctricas, hidráulicas

Equipos de Refrigeración

Tanto internos como

externos a la organización.

DEFINIR FUENTES DE RIESGO

Actividades Individuales y

Gerenciales

Empleados: Errores - Delitos (Cuello Blanco

- Cuello Azul)

Allegados:

Clientes, Proveedores,

Asesores, Familiares Ajenas: - Bandas o

Mafias Organizadas Hackers: Intrusos “Sin

Malas Intenciones”

(Curiosidad, Ataques No Específicos)

Crakers: Intrusos “Con Malas Intenciones” (Ataque Específico / Premeditado)

Intencionales y NO Intencionales

“Los ACTIVOS DE TI son Fuentes o Medios de Riesgo al comprometer la Calidad de la Información de la Organización”

FUENTES DEL RIESGO: ESPECÍFICAS

INFRAESTRUCTURA TI

 Software operativo

 Hardware

 Equipos de soporte

 Telecomunicaciones

INFRAESTRUCTURA TI

 Estructurales

 Instalación eléctrica

 Instalación hidráulica

 Equipos refrigeración

 Instalaciones telefónicas INFORMACIÓN

APLICACIONES

-

- No Financieras

EFECTIVIDAD EFICIENCIA INTEGRIDAD DISPONIBILIDAD CONFIDENCIALIDAD CUMPLIMIENTO LEGAL CONFIABILIDAD

PERSONAS

“Los ACTIVOS DE TI son Fuentes o Medios de Riesgo al comprometer la Calidad de la Información de la Organización”

FUENTES DEL RIESGO: ESPECÍFICAS

EL AGENTE

EL MOTIVO

LOS RESULTADOS

Catalizador. Puede ser HUMANO, UNA MAQUINA o NATURAL.

Es algo que causa que el agente actúe. Pueden ser ACCIDENTALES o INTENCIONALES.

EFECTOS de la Amenaza.

En seguridad ---> pérdida de acceso, acceso no autorizado, modificación, revelación o

destrucción del activo INFORMACIÓN.

ELEMENTOS DE UNA AMENAZA

Falta de Comunicación Estrés/Pánico Inexperiencia

Accidentes Venganza

AMENAZAS HUMANAS

SARLA/FT

Factores de Riesgo (Fuentes)

• Clientes / Usuarios (Persona natural o jurídica)

• Productos (Cuenta corriente, Ahorros, CTS, etc.)

• Canales de Distribución (Oficina, Teléfono, Internet, etc.)

• Jurisdicciones (Localidades)

Son los agentes generadores del riesgo de LA/FT:

Segmentar

 Identificar los riesgos de LA/FT y asociados respecto a cada factor de riesgo

 Identificar las formas a través de las cuales se puede presentar el riesgo de LA/FT

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

IDENTIFICAR LOS RIESGOS

IDENTIFICACIÓN DE LOS RIESGOS – REFLEXIONES

Cuáles y Cuántos Riesgos se

deberían identificar y documentar

?

AS/NZS ISO 31000: Es el EFECTO de la INCERTIDUMBRE en los Objetivos.

IIA: Riesgo es la probabilidad de que un evento o acción pueda afectar adversamente la organización o la actividad auditada.

ISACA: Riesgo es la posibilidad de que ocurra un evento o acto que podría tener un efecto adverso en la organización y sus sistemas de información.

SBS: Riesgo es la condición en que existe la posibilidad de que un evento ocurra e impacte negativamente sobre los objetivos de la empresa.

EVENTO: Es la Ocurrencia o cambio, de un particular conjunto de circunstancias.

IDENTIFICAR LOS RIESGOS: ¿QUÉ ES UN RIESGO ?

Un evento puede tener una o varias Ocurrencias y tener varias Causas.

Un evento puede consistir en algo que no ha sucedido.

Un evento es referido también como un “incidente” o “ accidente”.

IDENTIFICACIÓN DEL RIESGO

Qué, Porqué

Cómo, Cuándo, Y Donde,

Es el proceso para determinar:

podría ocurrir algo

IDENTIFICACIÓN DEL RIESGO – EFECTO DEFICIENCIAS

• Que un “buen número” de los riesgos identificados, no sean

“realmente” riesgos.

• Una alta probabilidad, de no identificar riesgos potenciales, que aún no se han materializado.

• Información parcial o incorrecta, como base para valorar el riesgo

totalmente subjetivas.

• No contar con bases conceptuales sólidas y comprensible para transmitir una real cultura de riesgos, a todos los empleados y demás Stakeholders.

• Graves dificultades para implementar las actividades de Monitoreo,

al no contar con bases sólidas y objetivas de las diferentes

valoraciones y mediciones de los riesgos y sus controles.

Una información de buena calidad es importante para la identificación de riesgos (Adicional al Contexto Externo / Interno / Específico):

MEDIOS Y AYUDAS EN LA IDENTIFICACIÓN DE RIESGOS



Listas de clasificaciones / categorías de Riesgos.



Experiencia local o en el extranjero.



Informes de declaraciones de seguros.



Registros de incidentes, y de análisis de fallas y de riesgos anteriores.



Resultados e informes de auditorias, inspecciones y visitas en el sitio.



Encuestas y cuestionarios.



Listas de chequeo.



Juicio de expertos.

Escenario: Proceso / Actividad / Proyecto …...

(2) ¿Por qué?

¿Cómo?

(Evento / Causa)

(1) ¿Qué podría ocurrir?

(Consecuencia/

Impacto/ Efecto)

Reales – Potenciales?

Fuentes de Riesgo

Áreas de Impacto

Riesgos

R4 R1

R2 R3

Rn

(3) ¿Donde? (Localidad)

¿Cuándo?(4)

OBJETIVOS

TÉCNICA PARA IDENTIFICAR LOS RIESGOS: MATRIZ DE FUENTES Y ÁREAS IMPACTO

Categorías /Clases de Eventos de

Riesgo

IDENTIFICACIÓN DE LOS RIESGOS

¿Qué podría Ocurrir?

¿Por qué podría Ocurrir?

¿Cómo podría

Ocurrir?

Riesgo

Área de Impacto Fuente de Riesgo

Consecuencia (Impacto –

Efecto)

Evento Causa

(Amenaza)

Cuantificables:

 Perdida de Vidas (Impacto en la Comunidad).

 Perdida Activos / Pasivos / Capital (Quiebra).

 Perdida de Mercado (Perdida Clientes/ Prospectos).

 Costos Reposición o Reconstrucción.

 Perdida de Ingresos (Ventas / Comisiones / Intereses).

 Perdida de Ingresos Por Derechos de Autor / Patentes.

 No Aprovechamiento Oportunidades / Fortalezas.

 Sanciones Legales (Locales / Internacionales).

 Indemnizaciones.

 Costos Excesivos.

“Que podría ocurrir, que pudiera disminuir

(incrementar), el efectivo logro de

los objetivos y metas

establecidas para la Organización,

operaciones y proyectos.”

ÁREA DE IMPACTO - ¿QUÉ PUEDE OCURRIR?

Consecuencia Impacto Efecto

Cuantificables:

 GASTOS EN JUICIOS LITIGIOS (RESPONSABILIDAD LEGAL).

 PÉRDIDA / DAÑOS EN ACTIVOS (INMUEBLES, EQUIPOS, TITULOS...).

 PÉRDIDAS DE EFECTIVO.

 PÉRDIDAS POR FRAUDES (MEDIOS DE PAGO, ROBOS, ESTAFAS...) .

 PÉRDIDAS DE CREDITO POR EVENTOS DE RIESGO OPERATIVO.

 PÉRDIDAS EN MERCADOS POR EVENTOS DE RIESGO OPERATIVO .

ÁREA DE IMPACTO – ¿QUÉ PUEDE OCURRIR?

Consecuencia Impacto Efecto

 Obtener ventajas competitivas deshonestas (Competencia) .

 Inviabilidad económica de los proveedores (Proveedores) .

 Precios superiores a la competencia (Costos / Competencia) .

 Acceso accidental o doloso a sistemas, aplicativos, información sensible por empleados / terceros (Hackers) .

 Iliquidez (Costos / Carga impositiva / Acceso a Bancos…) ^.

 Recursos no disponibles cuando se requieren (Proveedores) .

 Tiempo suspensión servicio de TI (total – parcial) (Errores) .

 Desmotivación (Decisiones Gerenciales) .

 Pérdida de pertenencia (Decisiones Gerenciales) .

 Resistencia al cambio (Recursos Humanos) .

Deliberadas - Accidentales

FUENTES DE RIESGO – ¿POR QUÉ? ¿CÓMO?

Causas

Eventos

 Adquisición no económica de recursos (Decisiones Gerenciales).

 Utilización no eficiente de recursos (Decisiones Gerenciales).

 Uso de información incorrecta, incompleta, inoportuna... (Fallas Software, Hardware / Personal).

 Alteración dolosa o inadvertida de información (Fallas Software, Hardware / Personal / Hackers / Crakers).

 Incumplimiento de leyes y regulaciones relevantes (Decisiones Gerenciales / Personal / Asesores).

 Actos ilegales, dolosos, no éticos (Decisiones Gerenciales / Personal).

 Actos terroristas (Guerrilla / Paramilitares / Chantajistas)^.

 Contabilidad inapropiada (Decisiones Gerenciales / Personal / Fallas software).

 Reportes financieros fraudulentos (Decisiones Gerenciales / Personal).

 Insatisfacción de los clientes, publicidad negativa (Varios).

FUENTES DE RIESGO – ¿POR QUÉ? ¿CÓMO?

 Fallas de hardware (Aspectos tecnológicos).

 Humedad y temperaturas extremas, Polvo (Eventos naturales - Medio ambiente).

 Radiación electromagnética y carga electrostática (Aspectos técnicos).

 Robo^.

 Uso no autorizado de medios magnéticos.

 Deterioro medios magnéticos.

 Error de operación.

 Error en mantenimiento.

 Fallas de software.

 Uso de información incorrecta, incompleta, inoportuna... (Fallas Software, Hardware / Personal).

 Alteración dolosa o inadvertida de información (Fallas Software, Hardware / Personal / Hackers / Crakers)^.

FUENTES DE RIESGO – ¿POR QUÉ? ¿CÓMO?

Por alteración de los datos.

IDENTIFICAR Y DESCRIBIR LOS RIESGOS:

EJEMPLO

Ingresos no percibidos.

Mediante el acceso a los archivos.

¿QUÉ?

¿POR QUÉ?

¿CÓMO?

Causa

Por alteración del parámetro, por menor valor, de la tasa de interés base de los cálculos en el

procesamiento por la aplicación.

Ingresos no percibidos de Intereses de Cartera.

Mediante el acceso en línea de empleados a los archivos de cuentas por cobrar

(cartera)

IDENTIFICAR Y DESCRIBIR LOS RIESGOS:

EJEMPLO

¿QUÉ?

¿POR QUÉ?

¿CÓMO?

Causa

Por alteración del parámetro, por menor valor, de la tasa de interés base de los

cálculos en el procesamiento por la aplicación.

Ingresos no percibidos de Intereses de Cartera.

Mediante el acceso en línea de empleados a los archivos de cuentas por cobrar (cartera).

Causa Raíz

Causa (s) Mediata

IDENTIFICAR Y DESCRIBIR LOS RIESGOS:

EJEMPLO

¿QUÉ?

¿POR QUÉ?

¿CÓMO?

Causa

Por pago de indemnizaciones, debido a:

Incremento de costos de operación en banca electrónica.

¿Estará OK?

Transferencia fraudulenta de fondos monetarios de los clientes realizada por funcionarios deshonestos que suplantaron la

identidad de los clientes mediante engaño telefónico.

Terceros que interceptaron la información del cliente y suplantaron su identidad.

IDENTIFICAR Y DESCRIBIR LOS RIESGOS: EJEMPLO

¿QUÉ?

¿POR QUÉ?

¿CÓMO?

Causa

CAUSAS

Incurrir en costos excesivos en

las adquisiciones, ¿QUÉ?

por decisiones de compras a precios

superiores a los promedios del mercado,

¿POR QUÉ?

Por desconocimiento de los precios y ofertas del mercado de la competencia y/o,

Por suministro de información falsa o inexacta por los proveedores y/o,

Colusión con el proveedor.

Por manipulación información de compras por funcionarios deshonestos, y/o…

Por falta de integridad de la información procesada en el Sistema de compras, y/o

Negligencia en las negociaciones o decisiones y/o…

¿CÓMO?

Causa Raíz (Inmediata)

Causas Mediatas

IDENTIFICACIÓN DEL RIESGO – EJEMPLO

Consideraciones para optimizar la identificación y modelamiento de Riesgos

IDENTIFICAR Y DESCRIBIR LOS RIESGOS

• Descomponer la “ESTRUCTURA” a fin de Identificar los riesgos del negocio en los

“procesos” de menor nivel.

• Excluir los sub-procesos y actividades propias de control (excepto si el sub-proceso se materializa en riesgos inherentes relevantes).

• Analizar todas las Área de Impacto con relación a todas las Fuentes de Riesgo, iniciando por las que se supone de mayor impacto en los Objetivos y Metas (o viceversa).

• Revaluar las Áreas de Impacto y Fuentes de Riesgo previamente identificadas.

• Identificar todos los riesgos reales o potenciales posibles, estén o NO, aparentemente bajo el control de la organización.

Identificar y describir los Riesgos:

DOCUMENTACIÓN BÁSICA

 Área / Función asociada con el Riesgo : (Unidad / Proceso / Actividad / Transacción)

 Descripción: Corta y detallada (¿Qué, Porqué, Cómo, Cuándo, Donde?)

 Categoría: Según naturaleza / Área de Impacto / Fuente / Regulación / Etc.

 Propietario: Persona o entidad con la responsabilidad y autoridad de Administrar el riesgo.

 Controles: Que mitigan el riesgo

 Valoraciones del Riesgo (Absoluta / Con Controles / Con Tratamientos):

– Escalas de Consecuencias / Probabilidades a ser consideradas.

– Criterios de aceptación de la Alta Gerencia (Tolerancia al riesgo).

– Eventos de Pérdida históricos.

 Objetivos del negocio que podrían ser afectados y como podrían ser afectados.

 Tratamientos en proceso (Evaluación / Implementación).

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

VALORAR / MEDIR EL RIESGO ABSOLUTO (INHERENTE)

REGISTRO

®

®

Valoración Riesgo Absoluto (Inherente)

Aceptación

®

¿Exposición?

Valoración Riesgo con Controles

Aceptación

®

ANÁLISIS RIESGO: NIVELES VALORACIÓN / MEDICIÓN / ACEPTACIÓN

?

No

Valoración Riesgo con Tratamientos

Aceptación

®

Planes de Acción

® ^Residual

Sí ¿FIN?

1

2

3

ANÁLISIS / VALORACIÓN Y MEDICIÓN DEL RIESGO:

ESTIMACIÓN

CONSECUENCIA

Es el resultado de un evento (Causa) afectando los Objetivos

ANÁLISIS / VALORACIÓN Y MEDICIÓN DEL RIESGO:

ESTIMACIÓN

• Un evento podría derivar un rango de Consecuencias.

• Puede ser expresada cualitativa o cuantitativamente.

• Puede ser cierta o incierta y podría tener un efecto negativo o positivo en los Objetivos.

• Las Consecuencias son consideradas en relación con las

Áreas de Impacto (Objetos a Riesgo) que podrían afectar

el logro de los objetivos y metas.

PROBABILIDAD

Se utiliza como una descripción general de Probabilidad, Frecuencia o Posibilidad.

ANÁLISIS / VALORACIÓN Y MEDICIÓN DEL RIESGO:

ESTIMACIÓN

• Probabilidad: Es la posibilidad de un evento específico o resultado, medido por la ruta de eventos específicos o resultados sobre el número total de posibles eventos o resultados. (Rango de 0 – 1 / %).

• Frecuencia: Es una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado. (Una vez cada día/ Una vez cada semana / Una vez cada 15 días / Una vez cada mes ...).

• Posibilidad: Expresión cualitativa de la Probabilidad.

Cuantitativo Cualitativo

Semi-cuantitativo

PRECISIÓN Costo / B

ANÁLISIS / VALORACIÓN Y MEDICIÓN RIESGOS:

MÉTODOS / TÉCNICAS - ISO - 31010

Las criterios y puntajes de medición para cada escala deben ser definidos por cada organización y tener alguna relación con los objetivos / tamaño / apetito al riesgo / etc.

ANÁLISIS / VALORACIÓN Y MEDICIÓN DE LOS RIESGOS

X = ^Severidad

TIPOS GENERALES DE CONSECUENCIAS

TABLA SEMI – CUANTITATIVA CONSECUENCIA - EJEMPLOS

Tabla Semi -Cuantitativa: Probabilidad - Ejemplos

CONSISTENCIA

de las VALORACIONES a lo largo de la organización Descripción de Tablas Únicas

de Equivalencias con Valores acordes a cada organización

Medición Riesgos Semi-cuantitativa: CONSISTENCIA

RESULTADOS FINALES

(C y P) DE MÉTODOS

Y/O

TÉCNICAS DE VALORACIÓN

UTILIZADAS

Perspectiva Unificada de la valoración de todos los riesgos de la organización

(MAPAS / Matrices)

TABLAS DE MEDICIÓN

INDEPENDENCIA DE LOS MÉTODOS Y TÉCNICAS DE VALORACIÓN

Nivel de Severidad Riesgos según combinaciones de Consecuencia

y Probabilidad

Casi Certeza

(5) A A E E E

Probable

(4) M A A E E

Moderado

(3) B M A E E

Improbable

(2) B B M A E

Raro

(1) B B M A A

Probabilidad

Insignificante (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

Consecuencia

ESCALAS DE MEDICIÓN - SEVERIDAD

Severidad Consecuencia

DISTRIBUCIÓN RIESGOS EN LOS MAPAS SEGÚN SEVERIDAD

EXTREMA

Riesgo extremo, se requiere acción inmediata. Planes de Tratamiento requeridos, implementados y reportados a la Junta de Directores y al Presidente

ALTA

Riesgo alto requiere atención de la alta gerencia. Planes de Tratamiento requeridos, implementados y reportados a los Gerentes de Unidades

MODERADA

Riesgo moderado, la responsabilidad gerencial debe ser especificada. Riesgo aceptable – Administrado con procedimientos normales de control

BAJA

Riesgo bajo, se administra con procedimientos rutinarios. Riesgo insignificante no se requiere ninguna acción

N O A C E P T A B L E

A C E P T A B L E

EJEMPLOS DE SEVERIDAD Y PROTOCOLOS DE ACCIÓN

N i v e l J e r á r q u i c o

N i v e l D e c i s

i ó n

1. Contexto / Ambiente de control (Externo / Interno).

o Ambiente de control general de la TI (CobIT = PO / M).

o Desmotivación (Decisiones Gerenciales).

o Pérdida de pertenencia (Decisiones Gerenciales).

o Resistencia al cambio (Recursos Humanos).

o Conflictos / tensiones entre procesos.

2. Ambiente de negocios (Externo / Interno).

o Rápido crecimiento.

o Nuevos productos.

o Mercados desconocidos.

o Productos o actividades ajenas al “Core” del negocio.

o Apertura productos competitivos.

o Beneficios / Restricciones arancelarias.

o Fluctuación tasa de cambio.

o Fluctuación tasas de interés.

EJEMPLOS DE FACTORES DE RIESGO QUE INCIDEN EN LA VALORACIÓN DE LA CONSECUENCIA O DE LA

PROBABILIDAD:

4. Características del proceso / Actividad/ Transacciones

o Complejidad.

o Grado de manualidad o de automatización.

o Grado / madurez de los cambios.

o Calidad documentación.

o Calidad comunicación.

o Rotación del personal.

o Carga de trabajo.

o Asignación de Autoridad / Responsabilidades.

o Negociabilidad objetos financieros (Efectivo, Títulos valores, Activos fijos, etc.).

o Concentración (Funciones / Decisiones / Operaciones / etc.).

5. Materialidad

o Valor en riesgo de Activos.

o Valor en riesgo de Pasivos.

o Valor en riesgo del capital.

o Valor en riesgo de los ingresos.

o Valor en riesgo de los egresos.

EJEMPLOS DE FACTORES DE RIESGO QUE INCIDEN EN LA VALORACION DE LA CONSECUENCIA O DE LA

PROBABILIDAD:

6. Legales

o Estabilidad / inestabilidad de las leyes.

o Orden jurídico.

o Oportunidad fallos jurídicos.

7. Ambiente Físico e instalaciones

o Localización susceptible a inundaciones, químicos.

o Susceptibilidad a variaciones de voltaje.

o Susceptibilidad a variaciones de temperatura.

o Susceptibilidad a variaciones de humedad, polvo, tierra.

o Susceptibilidad a radiaciones electromagnéticas.

8. Comunicaciones Físicas

o Pobre unión del cableado.

o Líneas Dial-up (Conmutadas).

9. Software

o Interfaces de usuario complicadas o poco amigables.

o Divulgación de las debilidades de control del software.

o Calidad documentación.

EJEMPLOS DE FACTORES DE RIESGO QUE INCIDEN EN LA VALORACION DE LA CONSECUENCIA O DE LA

PROBABILIDAD:

Análisis / Valoración Riesgo Absoluto: Datos / Valores

Métodos para la valoración, usando

Factores de Riesgo, utilizando el Scoring

VALORACIÓN RIESGO ABSOLUTO: SCORING - PROBABILIDAD

• A más Factores evaluados, mayor precisión y complejidad.

• La incidencia de cada factor se podría diferenciar con la

ponderación.

• Sobre algunos factores se podría ejercer influencia (control)

sobre otros no.

• Según el contexto del riesgo, pueden aplicar diferentes y diversos factores:

– ¿Varias Tablas?

– ¿Factores comodín?

Este ejemplo supone que todos los factores aplican y con el máximo puntaje (probabilidad)

ANÁLISIS / VALORACIÓN RIESGO ABSOLUTO: EJEMPLO

Valoración Consecuencia:

• Valor intereses cada proceso de cartera:

$ 500’000.000=

• Valor intereses C x C promedio

$ 10´000.000=

• Valor Intereses C x C de mayor valor:

$ 30´000.000=

Valoración Probabilidad:

Tabla Factores Fraude (5 x 5 = 25 máximo):

1. Valores empleados = 4 2. Motivación (C/B) delito = 2 3. Capacidad técnica requerida = 5 4. Facilidades de acceso = 3 5. Número Fraudes históricos = 0

Total puntos (scoring):  14

Riesgo-1: Ingresos no percibidos de intereses de cartera, por alteración por menor valor de los parámetros de tasas de interés, base de los cálculos en el proceso de Facturación,

mediante el acceso en línea de empleados a los archivos de cuentas por cobrar (Cartera).

Medición Consecuencia Medición Probabilidad

30 millones  Moderada  3 14 / 25 = 56%  Moderada  3

Nivel de Riesgo (Severidad) = 3 x 3  ALTA

ANÁLISIS / VALORACIÓN RIESGO: RIESGO ABSOLUTO

IMPLEMENTACIÓN DEL PROCESO

DE

ADMINISTRACIÓN DEL RIESGO

VALORAR / MEDIR EL RIESGO CON CONTROLES (RESIDUAL)

¿QUÉ ES EL CONTROL INTERNO?

• COSO:

• Estratégicos: Relativo a las metas de alto nivel, alineado y soportados por la Visión/Misión.

• Operativos: Relativos a la Efectividad y Eficiencia de las operaciones (Desempeño, rentabilidad y salvaguarda recursos).

• De Reporte: Efectividad y Confiabilidad información financiera o no Financiera.

• Cumplimiento: Cumplimiento leyes y regulaciones aplicables.

¿QUÉ ES CONTROL?

• ISO 31000

– Medida que modifica el riesgo.

• AS/NZS

– Son las políticas, procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos adversos o mejorar

oportunidades positivas. Proveen una seguridad razonable relativa al logro de los Objetivos.

• IIA

– Es toda acción tomada por la gerencia para mejorar la probabilidad de que los Objetivos y metas establecidas sean alcanzadas. El control es el resultado de la adecuada planeación, organización y dirección por la gerencia.

¿QUÉ ES CONTROL?

• ISACA

Las Políticas, Procedimientos, Prácticas y Estructuras Organizacionales, diseñadas para asegurar razonablemente el logro de los Objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos.

• SBS - Perú

Un proceso, realizado por el Directorio, la Gerencia y el Personal, diseñado para proveer un aseguramiento razonable en el logro de objetivos referidos a la eficacia y eficiencia de las operaciones,

confiabilidad de la información financiera, y cumplimiento de las leyes aplicables y regulaciones.

Las Actividades de Control

o Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna.

o La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado.

o Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones.

Tipos de Actividades de Control:

o Gerenciales u Operacionales.

o Generales o Específicos.

o Preventivas o detectivas.

o Manuales o Computarizados

ACTIVIDADES DE CONTROL

Las actividades de control son aquellas que realiza la Gerencia y demás personal de la Organización para cumplir diariamente con las actividades asignadas en los diferentes áreas, departamento o unidades de negocio.

6. Revisión de Procesos y actividades

1. Aprobación y Autorización

2. Delegación de funciones

5. Evaluación de Desempeño

4. Verificación y Conciliación

3. Accesibilidad

LAS ACTIVIDADES DE CONTROL

TIPOS DE CONTROL



Controles Predictivos :

Son todos aquellos procedimientos y normas técnicas tendientes a predecir en base a antecedentes históricamente validados, tendencias, riesgos potenciales de alta probabilidad de ocurrencia que pueden afectar la continuidad y/o los objetivos de negocio.

TIPOS DE CONTROL

TIPOS DE CONTROL



Controles Directivos :

Son todos aquellos procedimientos, estructuras funcionales, directrices, políticas y normas estratégicas, emanados desde la más alta gerencia de la Empresa con el fin de delimitar la gestión estratégica de la organización y que dicha gestión esté sincronizado con los objetivos de negocio.

TIPOS DE CONTROL



Controles Preventivos :

Son todos aquellos procedimientos administrativos y/o automatizados orientados a prevenir antes de su ocurrencia o materialización, riesgos que puedan afectar la seguridad física y lógica de las áreas de tecnologías impactando negativamente en la continuidad de las operaciones de negocio.



Controles Detectivos :

Son todos aquellos procedimientos administrativos y/o automatizados orientados a detectar la ocurrencia o materialización, de riesgos o acciones indeseadas que puedan afectar la seguridad física y lógica de las áreas de tecnologías o otras áreas criticas vulnerables impactando negativamente en la continuidad de las operaciones de negocio.

TIPOS DE CONTROL

TIPOS DE CONTROL



Controles Correctivos:

Son todos aquellos procedimientos administrativos y/o automatizados orientados a corregir o restaurar un objeto tecnológico que haya sufrido la ocurrencia o materialización, de riesgos o acciones indeseadas que afectaron la seguridad física y/o lógica de las áreas de tecnologías o otras áreas criticas vulnerables impactando negativamente en la continuidad de las operaciones de negocio.



Controles de Recuperación :

Son todos aquellos procedimientos estratégicos administrativos y/o automatizados orientados a recuperar la capacidad de operación, servicio y gestión de negocio frente a la materialización, de riesgos o acciones indeseadas que afectaron la seguridad física y lógica de las áreas de tecnologías o otras áreas criticas vulnerables impactando negativamente en la continuidad de las operaciones de negocio.

TIPOS DE CONTROL

Evaluación Individual del Control

Cobertura de cada Control sobre el Riesgo

REDUCCION del Riesgo EFECTIVIDAD

Características (Riesgo del Control)

EFECTO MITIGANTE SOBRE EL RIESGO:

• En proporción (%) del Riesgo absoluto (inherente)

• Sobre Probabilidad y/o Consecuencia Abs.

Eficacia conjunto de Controles sobre el Riesgo IDENTIFICAR CONTROLES ACTUALES

VALORACIÓN DEL RIESGO CON CONTROLES: RESUMEN