SEGURIDAD EN COMPUTACION E INFORMATICA

MAPA/MATRIZ DE RIESGOS PARA EVALUACIÓN O VALORACIÓN DEL RIESGOINTEGRANTES: AGÜERO ORTEGA JORGE ISAAC CABEZUDO MARTINEZ WILLIAM FELIXPASACHE PAPA JESUS CHRISTIAM

UNFV-FIIS 2

INTRODUCCION

Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados. La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos.

En los últimos años las tendencias internacionales han registrado un importante cambio de visión en cuanto a la gestión de riesgos: de un enfoque de gestión tradicional hacia una gestión basada en la identificación, monitoreo, control, medición y divulgación de los riesgos.

UNFV-FIIS 3

CONTENIDOEVALUACION Y GESTION DE RIESGOS

Diferencias entre el modelo tradicional y el nuevo enfoque de evaluación de la gestión de riesgos, según las últimas

tendencias: MODELO TRADICIONAL ENFOQUE NUEVO

La evaluación de riesgo es histórica y se realiza eventualmente.

La evaluación de riesgo es continua e iterativa.

La evaluación de riesgo detecta y es reactiva.

La evaluación de riesgo anticipa y es preventiva.

La evaluación de riesgos se enfoca en las transacciones financieras y los controles internos.

La evaluación de riesgos se enfoca en la identificación, medición y control o monitoreo de riesgos cumpliendo que se logre los objetivos de la organización haciendo que el impacto sea mínimo.

Cada función es independiente y desintegrada. Solo algunas funciones tratan de la evaluación de riesgos.

La evaluación de riesgo esta integrada en todas las operaciones y líneas de negocio.

No existe una política de evaluación de riesgo formal.

La política de evaluación de riesgo es formal y claramente definida y entendida.

UNFV-FIIS 4

MATRIZ DE RIESGOS

La matriz de riesgos constituye una herramienta de control y de gestión que permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por lo tanto al logro de los objetivos de una organización.

Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades.

UNFV-FIIS 5

FASES DE LA ELABORACION DE UNA MATRIZ DE RIESGOS

Objetivos estratégicos del negocio

Probabilidad de ocurrencia y valoración

Riesgo neto o residual

Evaluación de controles internos

Decisiones sobre el Riesgo neto o residual

Factores de Riesgo o Riesgos Inherentes

Identificación de Riesgos

-

=

UNFV-FIIS 6

A partir de los objetivos estratégicos y plan de negocio:

1° La gestión de riesgos debe desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas dichas actividades.

2° Identificar los “ factores de riesgo o riesgos inherentes”.

3° Determinar la “probabilidad” de que el riesgo suceda y un cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad.

UNFV-FIIS 7

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5)), dependiendo de la combinación entre impacto y probabilidad.

Alto 4 5 5

Medio 3 3 5

Bajo 1 2 4

Bajo Medio Alto

Valoración de Riesgo Inherente

Frecuencia o Probabilidad de ocurrencia

UNFV-FIIS 8

4° Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a fin de determinar que tan eficaces son los controles.

5° Finalmente, se calcula el “riesgo neto o

residual”, que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración.

UNFV-FIIS 9

EJEMPLO N ° 1

Calculo del riesgo neto o residual utilizando escalas numéricas de posición de riesgo:

UNFV-FIIS 10

Calidad de Gestión

(*) Promedio de los datos de efectividad(**) Resultado de la división entre nivel de riesgo/ Promedio de efectividad(***) Promedio: Se considera un mismo peso de ponderación a los Riesgos Inherentes

UNFV-FIIS 11

EJEMPLO N° 2

PROCEDIMIENTO PARA LA EMISION DE POLIZA DE VIDA INDIVIDUAL

UNFV-FIIS 12

ANALISIS DEL PROCESO E IDENTIFICACION DE RIESGOS

UNFV-FIIS 13

ANALISIS DEL PROCESO E IDENTIFICACION DE RIESGOS

UNFV-FIIS 14

RIESGOS OBSERVADOSUna vez que tenemos identificados los riesgos identificamos sus características para determinar sus características

UNFV-FIIS 15

CALIFICACION DE RIESGOSSeguidamente definimos la frecuencia de los riesgos, su severidad y su peso.

UNFV-FIIS 16

ELABORACION DE LA MATRIZ DE RIESGOS DEL PROCESO

UNFV-FIIS 17

ELABORACION DE LA MATRIZ DE RIESGOS DEL PROCESO

Los riesgos del proceso que se encuentran en alarma roja son los que se deben atenderse de forma inmediata. Los riesgos que no se encuentran en alarma roja no deben dejarse de lado, en su debido momento se atenderán. Para cada riesgo se determina una o varias actividades de control a realizar:

MODIFICACION AL SISTEMACAPACITACION AL PERSONALREPORTES CON CIFRAS DE CONTROLREDEFINIR FUNCIONES

UNFV-FIIS 18

En la siguiente diapositiva se presenta una matriz simplificada, donde:

En cada fila se presenta una amenaza identificada En la columna de probabilidad se coloca cuan probable es que esta

amenaza ocurra. En la columna siguiente se coloca para cada uno de los activos a proteger

cual es el importe de la perdida media estimada que ocasionaria esa amenaza en ese activo

Los datos precedentes permiten calcular el riesgo total, el cual es la suma de los productos de las amenazas por el impacto de toda la fila

Luego se presenta la efectividad del control actuante , osea a que riesgo se puede mitigar

Finalmente se indica en la ultima columna el riesgo residual, que resulta de aplicar la efectividad del control al riesgo total

UNFV-FIIS 19

Matriz de Riesgo

UNFV-FIIS 20

BENEFICIOS DE LA ELABORACION DE LA MATRIZ DE RIESGOSLos beneficios de esta metodología de supervisión, entre otros, son los siguientes:

Identificación de instituciones que requieren mayor atención y áreas críticas de riesgo.Uso eficiente de recursos aplicados a la supervisión, basado en perfiles de riesgos de las entidades.Permite la intervención inmediata y la acción oportuna.Evaluación metódica de los riesgos.Promueve una sólida gestión de riesgos.Monitoreo continuo.

UNFV-FIIS 21

CONCLUSIONES

Las entidades financieras, al tomar posiciones en activos financieros, no buscan eliminar estos riesgos, sino gestionarlos, evaluarlos y controlarlos, para lo cual necesitan identificarlos y medirlos. Sin embargo, antes es preciso establecer el perfil de riesgo que se quiere adoptar, lo que es decisión propia y exclusiva de cada entidad, en función de su estrategia de largo plazo o plan de negocio.

El riesgo neto o residual según una valoración cualitativa o cuantitativa de los riesgos ayuda a determinar a los administradores o gestores del negocio a tomar mejores decisiones sobre los riesgos evaluados.

UNFV-FIIS 22

CONCLUSIONES

Los costos anuales asociados al control y mitigación de riesgos no debe exceder el costo del riesgo total

Los distintos procedimientos de control pueden ser agrupados en 3 categorias: aquellos referidos a brindar seguridad, calidad y control interno

UNFV-FIIS 23

RECOMENDACIONES

Constituir círculos de calidad, con equipos de trabajo multidisciplinarios altamente motivados y capacitados encargados de evaluar los riesgos y aplicar la escala de valoración y ponderación de los riesgos del negocio al mapa de riesgos obtenido. Lo anterior evita los sesgos y el criterio subjetivo que el líder del proceso pueda imprimirle al ejercicio de acuerdo a sus intereses.

Redefinir las escalas de calificación de acuerdo al estudio de las variables internas y externas que en un momento dado afecten a cada organización, especialmente ajustándose a las tendencias del sector sobre su base normativa.

Cuantificar el costo de los riesgos, sería un importante aporte que nutre aun más el análisis de proporciones, ya que cruza la posibilidad de ocurrencia misma del siniestro con la afectación financiera de la empresa en un momento determinado.

UNFV-FIIS 24

RECOMENDACIONES

La participación activa de la alta Dirección es imprescindible para garantizar tanto los factores de estructura y apoyo al desarrollo del proceso de evaluación, como la credibilidad y motivación que representa su involucramiento y liderazgo.