sesion 7 teoria_gral_de_riesgos

Page 1


RIESGO “ES LA PROBABILIDAD DE QUE UN HECHO OCURRA EN EL FUTURO DEPENDIENDO DE FACTORES DE AZAR, DE PERSONAS O SITUACIONES IMPREVISIBLES”


RIESGO RAE:

Contingencia o proximidad de un da単o Estar expuesto a perderse o a no verificarse.


PROBABILIDAD • EL GRADO DE FIRMEZA DE UNA OPINIÓN O CREENCIA • LA PROPORCIÓN DE VECES QUE UN SUCESO OCURRE EN UN PERIODO DE TIEMPO

LA PROBABILIDAD DE TODO SUCESO ESTA COMPRENDIDO ENTRE 0 Y 1


ORIGEN DE LAS ORGANIZACIONES RECURSOS

MERCADO

EMPRESA FINANCIEROS NATURALES

TECNOLOGICOS TECNICOS OTROS

FISICOS

PROCESO ADMINISTRATIVO

• PLANEACION • ORGANIZACIÓN • DIRECCION • CONTROL

RECURSOS

AREAS FUNCIONALES

• TALENTO HUMANO • PRODUCCION • MERCADEO • SERVICIOS • FINANZAS

 DATOS  SISTEMAS DE APLICACIÓN  TECNOLOGIA  INSTALACIONES  GENTE


FLUJOGRAMA DE LA PLANEACION ESTRATEGICA MEDIO AMBIENTE - COMPETENCIA FORTALEZAS ANALISIS INTERNO

EL SER EL DEBER SER DETERMINACION DEL RUMBO IMPLEMENTACION

PEFOD DEBILIDADES

MATRIZ PORTAFOLIO DOFA

S

OPORTUNIDADES POLITICAS

ANALISIS EXTERNO

POAM

METAS

AMENAZAS ESTRATEGIA CORPORATIVA

OBJETIVOS TACTICAS

PRINCIPIOS ESTRATEGIAS FUNCIONALES PLAN ESTRATEGICO

CULTURA CORPORATIVA

VISION

MISION

VALORES

PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2

I S T E M A E S T R A T E G I C O

D E

C O N T R O L


SISTEMA ESTRATEGICO DE CONTROL OBJETIVOS

METAS

CORRA LAONDE

INDICADORES

CORRESPONDE

MEDICION

LA REALIDAD A LO PPLANEADO

POLITICAS

TECNICAS

ESTRATEGIA

TACTICAS FUNCIONAL

NO

ADOPTAR MEDIDAS CORRECTIVAS

CONTINUAR

SI


VARIABLES DEL ENTORNO

AMBIENTAL

GEOGRAFICA DEMOGRAFICA

COMPETITIVA

ECONOMICA

TECNOLOGICA

POLITICA

SOCIO CULTURAL


INCERTIDUMBRE ORGANIZACIONAL

I G N O R A N C I A

RIESGO

C E R T E Z A

<

> INCERTIDUMBRE

RIESGO

RIESGO

RIESGO

RIESGO


PERCEPCION DEL RIESGO

โ ข La percepciรณn del Riesgo de las personas difiere notablemente en funciรณn de su experiencia personal y directa


Los Riesgos Varían...

• DE UN LUGAR A OTRO • DE UN SISTEMA A OTRO • DE UN MOMENTO A OTRO


RECURSOS DE TECNOLOGÍA DE INFORMACIÓN • DATOS:

INCLUYE A LOS OBJETOS DE INFORMACIÓN EN SU SENTIDO MÁS AMPLIO, INTERNOS Y EXTERNOS, ESTRUCTURADOS Y NO ESTRUCTURADOS, GRÁFICOS, SONIDOS, IMÁGENES, ETC. • SISTEMAS DE APLICACIÓN:

LA SUMA DE PROCEDIMIENTOS MANUALES Y PROGRAMADOS.


RECURSOS DE TECNOLOGÍA DE INFORMACIÓN • TECNOLOGÍA:

INCLUYE HARDWARE, SISTEMAS OPERACIONALES, DBMS’S, REDES, MULTIMEDIA, ETC. • INSTALACIONES:

LOS RECURSOS NECESARIOS PARA ALOJAR Y SOPORTAR LOS SISTEMAS DE INFORMACIÓN * LAS PERSONAS: INCLUYE LAS HABILIDADES, CONCIENCIA Y PRODUCTIVIDAD DE LAS PERSONAS PARA PLANEAR, ORGANIZAR, ADQUIRIR, PRESTAR SERVICIOS, SOPORTAR Y MONITOREAR LOS SERVICIOS Y SISTEMAS DE INFORMACIÓN.


FACTORES DE LOS QUE DEPENDEN LOS RIESGOS • EL VOLUMEN DE LOS RECURSOS • LA COMPLEJIDAD DE LAS ACTIVIDADES • ESTRUCTURA ORGANIZATIVA • MAGNITUD DE RECURSOS Y PRODUCTOS • GIRO DE LA EMPRESA • NIVEL DE TECNIFICACION ALCANZADO • LAPSO Y MOMENTO EVOLUTIVO DE LA EMPRESA • MARCO COMPETITIVO NACIONAL E INTERNACIONAL • VELOCIDAD CON QUE SE DESENVUELVE LA EMPRESA


ACTITUD FRENTE AL RIESGO • ELUDIRLO O EVITARLO: actúan para abandonar las actividades que generan riesgos • REDUCIRLO: reducen la probabilidad del riesgo, el impacto del mismo o ambos. • COMPARTIRLO O TRANSFERIRLO: reducen la probabilidad o el impacto del riesgo transfiriendo o compartiendo de otro modo una porción del riesgo • ACEPTARLO: no actúan de forma alguna para modificar la probabilidad o el impacto del riesgo.


EVALUACION DE LOS RIESGOS CONOCIMIENTO

OBSERVADORES ALTAMENTE CALIFICADOS ADVIERTEN LOS RIESGOS TÉCNICOS DESCUBREN CUÁLES PUEDEN EXPLOTAR POR SÍ MISMOS

DE LOS RIESGOS ALTOS

BAJOS

OBSERVADORES NO MUY CALIFICADOS SÓLO ADVIERTEN LOS RIESGOS BÁSICOS

Y


RIESGOS A NIVEL DE EMPRESA

RIESGO INHERENTE

RIESGO ADQUIRIDO

RIESGO RESIDUAL NIVEL DE EXPOSICION

RIESGO CONTROLADO


DECISION CON EL RIESGO RESIDUAL • TERMINAR : abandonar la actividad por excesivamente riesgosa • REDUCIR : fortalecer controles o implantar nuevos controles

• ACEPTAR : tomar el riesgo • PASAR : contratar, por ejemplo, una póliza de seguro


EQUILIBRIO DE RIESGOS Y CONTROLES RIESGOS

CONTROLES


EXCESO Y DEFECTO DE PROTECCION RIESGOS

CONTROLES

C O S T O S T O T A L E S

RIESGOS NO CONTROLADOS

EXCESO DE CONTROL

RIESGOS CONTROLADOS APROPIADAMENTE FASES DE LAS PERDIDAS Y CONTROLES


ANALISIS DE RIESGOS INTRODUCCION • LOS RIESGOS EXISTEN EN TODO TIPO DE NEGOCIO. ALGUNOS SON INHERENTES AL MISMO, OTROS SE ADQUIEREN POR: • RAZONES INTERNAS ( EL MANEJO QUE LE DAN LOS ADMINISTRADORES Y EL PERSONAL EN GENERAL), O • RAZONES EXTERNAS ( INFLUENCIAS EL MEDIO DONDE SE MUEVE EL NEGOCIO) • DESDE QUE SE PIENSA EN UN NUEVO NEGOCIO, DENTRO DE LA PLANEACIÓN ESTRATÉGICA SIEMPRE DEBE ESTAR INMERSO UN ANÁLISIS DE RIESGOS Y EL ESTABLECIMIENTO DE CONTROLES ADECUADOS CON EL OBJETO DE ASEGURAR LA CONTINUIDAD DEL NEGOCIO CON EL BUEN MANEJO DE LOS RECURSOS


ANALISIS DE RIESGOS

• ESTIMACIÓN DE LA MATERIALIDAD (CONSECUENCIA) • ANÁLISIS DE LA PROBABILIDAD (FRECUENCIA) • DETERMINAR LAS POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO


ANALISIS DE RIESGOS USUARIOS LA ALTA GERENCIA • PARA EVALUAR LA DECISIÓN DE INVERSIÓN Y REESTRUCTURACIÓN • PARA BALANCEAR RIESGOS E INVERSIÓN EN CONTROLES

LA UNIDAD U OFICINA DE CONTROL INTERNO • PARA DISEÑAR EL SISTEMA DE CONTROL INTERNO • PARA SUPERVISAR Y VERIFICAR EL SISTEMA DE CONTROL INTERNO

LA AUDITORIA • PARA EVALUAR Y VERIFICAR EL SISTEMA DE CONTROL INTERNO • PARA DICTAMINAR SOBRE LO APROPIADOS QUE SON LOS CONTROLES EXISTENTES


ANALISIS DE RIESGOS

RESPONSABILIDAD DE SU EJECUCION EL ANALISIS DE RIESGO ESTA EN CABEZA DE LA ALTA DIRECCION, QUIEN DEBE DELEGAR EN LOS JEFES DE CADA AREA FUNCIONAL SU ELABORACIÓN, SUPERVISION Y MANTENIMIENTO LA OFICINA DE CONTROL INTERNO Y LA AUDITORIA DEBEN ASESORAR SU ELABORACIÓN


NIVEL DE IDENTIFICACIÓN DE RIESGOS

• A nivel Corporativo GERENCIA

SUGGERENCIA FINANCIERA

SUBGERENCIA FINANCIERA

SUBGERNCIA DE SERVICIOS

•A nivel de Area Funcional

•A nivel de Proceso (Actividad-Tarea)


ALCANCE ANALISIS DE RIESGOS NIVEL CORPORATIVO CORRESPONDE AL ANALISIS DE RIESGOS DE TODA LA ORGANIZACIÓN INICIANDO EN LA ALTA GERENCIA Y YENDO HASTA LA MAS BAJA AREA FUNCIONAL


ALCANCE ANALISIS DE RIESGOS POR DEPENDENCIA CORRESPONDE A UNA AREA FUNCIONAL DE LA ORGANIZACIÓN DEPENDIENDO DEL ALCANCE DEL MAPA DE RIESGO, ESTE SE PUEDE REALIZAR SIGUIENDO LA ESTRUCTURA ORGANIZACIONAL A: LA GERENCIA UNA DIVISION UN DEPARTAMENTO UNA SECCION UNA OFICINA GERENCIA

SUBGERENCIA ADMINISTRATIVA

SUBGERENCIA FINANCIERA

SUBGERENCIA DE SERVICIOS


ALCANCE ANALISIS DE RIESGOS POR PROCESO CONJUNTO DE PASOS (TAREAS) QUE SE EJECUTAN EN UNA FORMA LOGICA Y ORDENADA Y CUYO RESULTADO PERMITE LA TOMA DE DECISIONES LOS PROCESOS DESCRITOS, ACTUALIZADOS, DOCUMENTADOS, ESTANDARIZADOS E INSTITUCIONALIZADOS CONSTITUYEN EL PATRIMONIO COGNOSCITIVO DE CUALQUIER ORGANIZACIÓN


FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA

• OBJETIVA • SUBJETIVA


FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA

METODO OBJETIVO • EXAMINAR LOS INCIDENTES ACAECIDOS EN FUNCION DE SU COSTO Y FRECUENCIA. • EFECTUAR UNA PERDIDAS

PREDICCION

DE

LAS


FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA

METODO SUBJETIVO TOMAR, ASÍ MISMO EN CONSIDERACIÓN LOS DATOS DE LA EXPERIENCIA, PERO SE BASAN FUNDAMENTALMENTE EN UNA MEJOR PREVISION SOBRE LO QUE PUEDE FALLAR EN EL FUTURO


FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA •

IDENTIFICACION DE EVENTOS : Se deben identifica eventos que afecten la implementación de las estrategias o el logro de los objetivos, con impacto positivo, negativo o ambos Los eventos con un impacto negativo representan RIESGOS, Los cuales necesitan ser analizados y administrados

Los eventos con un impacto positivo representan OPORTUNIDADES, las cuales deben ser retomadas por la gerencia, estableciendo estrategias y objetivos

FACTORES A CONSIDERAR : Los eventos pueden venir de Factores o variables Internas o externas. Se debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos


FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA • TECNICAS DE IDENTIFICACION DE EVENTOS: - Existen técnicas localizadas en el pasado y otras en el futuro - Existen técnicas de diferente grado de sofisticación

Ejemplos: Inventario de Eventos Análisis de Información Histórica ( de la empresa o del sector) Indicadores de Excepción Entrevistas y cesiones grupales dirigidas Análisis de Procesos ( manuales y Técnicos) Análisis de Documentos ( manuales de funciones, estándares, procedimientos, etc.) Revisiones y observación física ( de áreas. de equipos , de instalaciones)


RIESGOS A NIVEL DE EMPRESA LOS RIESGOS INHERENTES Y ADQUIRIDOS DEL NEGOCIO, SON AFECTADOS POR FACTORES:

• INTERNOS

• EXTERNOS


FACTORES INTERNOS DEL RIESGO INHERENTE Y ADQUIRIDOS DE LAS EMPRESAS • MALOS SISTEMAS DE INFORMACIÓN • RUPTURA DE LOS SISTEMAS DE INFORMACIÓN • CALIDAD DEL PERSONAL CONTRATADO • CAMBIOS EN LAS RESPONSABILIDADES DE LA GERENCIA • POLÍTICAS COMERCIALES AGRESIVAS


FACTORES EXTERNOS DEL RIESGO INHERENTE Y ADQUIRIDO DE LAS EMPRESAS • DESARROLLO TECNOLÓGICO • CAMBIOS DE LAS NECESIDADES DE LOS CLIENTES • COMPETENCIA • NUEVA LEGISLACIÓN • CATÁSTROFES • CAMBIOS ECONÓMICOS


FORMA DE ESCRIBIR LOS RIESGOS EL RESULTADO DE NOMBRAR UN RIESGO, SE PUEDE DAR DETERMINANDO UNA CADENA DE CAUSAS Y EFECTOS . SE PUEDE ENTONCES APLICAR LA TECNICA DE DIAGRAMA DE CAUSA - EFECTO ( ESPINA DE PESCADO)


FORMA DE ESCRIBIR LOS RIESGOS

RIESGOS: • CAMISAS CON DEFECTOS, DADOS POR UTILIZAR UN MOLDE CON DEFECTOS, DISEÑADO POR PESONAL NO CALIFICADO • CAMISA CON DEFECTOS, POR ELABORARSE EN UNA MAQUINA DE COSTURA DEFECTUOSA


ADMINISTRACION DE RIESGOS La Administración o Gestión de Riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso interactivo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. La Administración de riesgos es un término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados La administración de Riesgos es una parte integral del proceso de administración. Es un proceso multifacético de aspectos apropiados del cual son a menudo llevados a cabo por un equipo multidisciplinario. Es un proceso iterativo de mejora continua.


ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definici贸n de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos est茅n dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.


ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM es un proceso, un conjunto de acciones, es un medio para lograr un fin y no un fin en s铆 mismo ERM es realizada por la gente. No son meramente pol铆ticas, encuestas y formularios sino que es un proceso que involucra a la gente en todos los niveles de una organizaci贸n La estrategia de ERM es aplicada a lo largo y ancho de la empresa, en todos los niveles y en todas las unidades e incluye tomar una visi贸n conjunta de los riesgos E


ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM está destinada a identificar acontecimientos que afecten eventualmente a la entidad y a administrar el riesgo dentro del nivel de riesgo aceptado ERM provee seguridad razonable a la gerencia y al directorio de una entidad ERM está orientada al logro de objetivos en una o más categorías separadas pero superpuestas de objetivos


ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías: • Estratégicos - relacionados con las metas de alto nivel, alineados con y siendo soporte de la misión/visión de la entidad.

• Referidos a las operaciones - relacionados con la eficacia y eficiencia en las operaciones de la entidad incluyendo metas de desempeño y rentabilidad. Ellos varían en función de las elecciones de la gerencia en relación con la estructura y desempeño.


ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) • Referidos a la elaboración de información relacionados con la eficacia del proceso de elaboración de información. Incluyen elaboración de información interna y externa y pueden involucrar información financiera o no financiera. • Referidos al cumplimiento - relacionados con el cumplimiento de la entidad con las leyes y regulaciones que le sean aplicables


ADMINISTRACION DE RIESGOS WIDE RISK ENTERPRISE MANAGEMENT (WERM) Es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definición de la estrategia y que abarca el análisis y administración de un tipo de riesgo específico (Operacional, de lavado de activos, de tecnología, etc.), destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos estén dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.


ADMINISTRACION DE RIESGOS INTEGRATED RISK MANAGEMENT (IRM) La Administración integrada de riesgos es un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados a una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. La Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas. Puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo


CLASIFICACIONES DE LOS RIESGOS

RIESGO REPUTACIONAL RIESGO LEGAL RIESGO OPERATIVO RIESGOS DE CONTAGIO RIESGOS TECNOLOGICOS RIESGOS FINANCIEROS


CLASIFICACIONES DE LOS RIESGOS

• RIESGO REPUTACIONAL ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE UNA EMPRESA O ENTIDAD POR DESPRESTIGIO, MALA IMAGEN, PUBLICIDAD NEGATIVA, CIERTA O NO, RESPECTO DE LA INSTITUCIÓN Y SUS PRÁCTICAS DE NEGOCIOS, QUE CAUSE PÉRDIDA DE CLIENTES, DISMINUCIÓN DE INGRESOS O PROCESOS JUDICIALES.


CLASIFICACIONES DE LOS RIESGOS

• RIESGO LEGAL ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE UNA EMPRESA O ENTIDAD AL SER SANCIONADA, MULTADA U OBLIGADA A INDEMNIZAR DAÑOS COMO RESULTADO DEL INCUMPLIMIENTO DE NORMAS O REGULACIONES Y OBLIGACIONES CONTRACTUALES. EL RIESGO LEGAL SURGE TAMBIÉN COMO CONSECUENCIA DE FALLAS EN LOS CONTRATOS Y TRANSACCIONES, DERIVADAS DE ACTUACIONES MALINTENCIONADAS, NEGLIGENCIA O ACTOS INVOLUNTARIOS QUE AFECTAN LA FORMALIZACIÓN O EJECUCIÓN DE CONTRATOS O TRANSACCIONES.


CLASIFICACIONES DE LOS RIESGOS • RIESGO OPERATIVO ES LA POSIBILIDAD DE INCURRIR EN PÉRDIDAS POR DEFICIENCIAS, FALLAS O INADECUACIONES, EN EL RECURSO HUMANO, LOS PROCESOS, LA TECNOLOGÍA, LA INFRAESTRUCTURA O POR LA OCURRENCIA DE ACONTECIMIENTOS EXTERNOS. ESTA DEFINICIÓN INCLUYE EL RIESGO LEGAL Y REPUTACIONAL, ASOCIADOS A TALES FACTORES. EL COMITÉ DE BASILEA HA DEFINIDO EL RIESGO OPERATIVO COMO «EL RIESGO DE PÉRDIDA CAUSADA POR FALLA O INSUFICIENCIA DE PROCESOS, PERSONAS Y SISTEMAS INTERNOS, O POR EVENTOS EXTERNOS» (BASSEL COMMITTEE ON BANKING SUPERVISION, 2003) ADICIONALMENTE, EL COMITÉ HA PROPUESTO LAS SIGUIENTES SIETE CATEGORÍAS, LAS CUALES INCLUYEN SUBCATEGORÍAS, PARA CLASIFICAR LOS POSIBLES EVENTOS QUE REPRESENTAN PÉRDIDAS ASOCIADAS AL RIESGO OPERATIVO: FRAUDE INTERNO, FRAUDE EXTERNO, PRÁCTICAS DE EMPLEO Y SEGURIDAD DEL AMBIENTE DE TRABAJO, CLIENTES, PRODUCTOS Y PRÁCTICAS DEL NEGOCIO, DAÑO A LOS ACTIVOS FÍSICOS, INTERRUPCIÓN DEL NEGOCIO Y FALLAS EN LOS SISTEMAS, Y EJECUCIÓN Y MANEJO DE PROCESOS


CLASIFICACIONES DE LOS RIESGOS

• RIESGO DE CONTAGIO ES LA POSIBILIDAD DE PÉRDIDA QUE UNA EMPRESA O ENTIDAD PUEDE SUFRIR, DIRECTA O INDIRECTAMENTE, POR UNA ACCIÓN O EXPERIENCIA DE UN RELACIONADO O ASOCIADO. EL RELACIONADO O ASOCIADO INCLUYE PERSONAS NATURALES O JURÍDICAS QUE TIENEN POSIBILIDAD DE EJERCER INFLUENCIA SOBRE LA EMPRESA O ENTIDAD.


CLASIFICACIONES DE LOS RIESGOS • RIESGOS TECNOLÓGICO :

SE DEFINE COMO LA PÉRDIDA POTENCIAL POR DAÑOS, INTERRUPCIÓN, ALTERACIÓN O FALLAS DERIVADAS DEL USO O DEPENDENCIA EN EL HARDWARE, SOFTWARE, APLICACIONES, REDES, Y CUALQUIER OTRO CANAL DE DISTRIBUCIÓN DE INFORMACIÓN EN LA PRESTACIÓN DE SERVICIOS CON LOS CLIENTES INTERNOS O EXTERNOS DE LA EMPRESA.


CLASIFICACIONES DE LOS RIESGOS • RIESGOS FINANCIEROS SON LOS RIESGOS QUE SURGEN PRODUCTO DE LA ESTRUCTURA DE FINANCIACIÓN DE LAS EMPRESAS - RIESGO DE LIQUIDEZ - RIESGO DE TASA DE INTERÉS - RIESGO DE TASA DE CAMBIO - RIESGO DE INFLACIÓN - RIESGOS DE LA INFORMACIÓN FINANCIERA


Riesgos Financieros

RIESGOS EN LA INFORMACIÓN FINANCIERA a. RIESGOS EN SU PROCESAMIENTO b. RIESGO DE RUPTURAS EN LOS SISTEMAS DE INFORMACIÓN c. RIESGO DE USO INADECUADO DE LA INFORMACIÓN


Riesgos Financieros

a. RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA SON LOS RIESGOS DE QUE LA EMPRESA PROCESE SU INFORMACIÓN INCORRECTAMENTE Y QUE SUS ESTADOS FINANCIEROS NO SEAN PREPARADOS DE ACUERDO CON LOS PRINCIPIOS DE CONTABILIDAD GENERALMENTE ACEPTADOS


Riesgos Financieros

RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA

• TODOS LOS HECHOS ECONÓMICOS QUE SE GENERAN EN LA EMPRESA PUEDEN NO SER ADECUADAMENTE DOCUMENTADOS • LAS TRANSACCIONES PUEDEN NO SER INGRESADAS O PROCESADAS EN LOS SISTEMAS O PROCESADAS MÁS DE UNA VEZ • LAS TRANSACCIONES PUEDEN SER INGRESADAS O PROCESADAS INCORRECTAMENTE EN LOS SISTEMAS


Riesgos Financieros

RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA

• TRANSACCIONES RECHAZADAS O EN SUSPENSO PUEDEN NO SER AISLADAS, ANALIZADAS Y CORREGIDAS

• LAS TRANSACCIONES INGRESADAS A LOS SISTEMAS PUEDEN SER PROCESADAS CON CRITERIOS DIFERENTES A LOS APROBADOS POR LA GERENCIA • LOS ARCHIVOS PERMANENTES PUEDEN ACTUALIZADOS OPORTUNAMENTE

NO

SER


Riesgos Financieros

FACTORES QUE INCREMENTAN EL RIESGO DE PROCESAMIENTO INCORRECTO DE LA INFORMACIÓN FINANCIERA

• • • • • • • •

ALTO VOLUMEN DE TRANSACCIONES COMPLEJIDAD EN LAS OPERACIONES SUSCEPTIBILIDAD DE OPERACIONES NO REGISTRADAS GRAN NÚMERO DE SUCURSALES Y AGENCIAS NUEVOS PRODUCTOS OPERACIONES FUERA DE BALANCE GRADO DE AUTOMATIZACIÓN INDIVISIBILIDAD DE LAS OPERACIONES PROCESADAS POR COMPUTADOR • FALTA DE SEPARACIÓN DE TAREAS • FALTA DE INTERACTIVIDAD DE LOS SISTEMAS DE INFORMACIÓN


Riesgos Financieros

b. RIESGOS DE RUPTURA DE LOS SISTEMAS DE INFORMACIÓN Es el riesgo de que la empresa no pueda procesar su información financiera oportunamente por daños en los sistemas de información - Se requieren Planes de Contingencia


Riesgos Financieros

c. RIESGO DE USO INADECUADO DE LA INFORMACIÓN

1. RIESGO DE FRAUDE 2. RIESGO DE DAÑOS


c.1. RIESGO DE FRAUDE • PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A ACTIVOS HABILITÁNDOSE PARA ROBARLOS O USARLOS EN BENEFICIO PROPIO • PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A LOS REGISTROS Y A LOS PROGRAMAS DE APLICACIONES HABILITÁNDOLOS PARA LEERLOS, ALTERARLOS, MODIFICARLOS Y BORRARLOS O INGRESAR TRANSACCIONES NO AUTORIZADAS • TODOS LOS INGRESOS QUE SE GENERAN A FAVOR DE LA EMPRESA PUEDEN NO SER INGRESADOS A SUS ACTIVOS Y REGISTROS • LAS TRANSACCIONES DE LA EMPRESA PUEDEN NO SER VALIDAS NI ESTAR ADECUADAMENTE AUTORIZADAS


TÉCNICAS PARA EVITAR EL FRAUDE • • • • • • • • • •

ESCUCHANDO SE OYEN MUCHAS COSAS MIRANDO SE VEN MUCHAS COSAS AUDITORÍA DE PUNTOS CRÍTICOS CREACIÓN DE UN MARCO PREVENTIVO CONTRA EL FRAUDE LA PREVENCIÓN DEBE SER UNA ACTIVIDAD RUTINARIA ASIGNACIÓN DE RECURSOS ESPECÍFICOS VIGILANCIA PREVENTIVA INVESTIGAR TODOS LOS FRAUDES QUE SE PRODUCEN INVENTARIOS PERIÓDICOS CONFIRMACIÓN INDEPENDIENTE CON TERCEROS


FACTORES QUE INCREMENTAN LOS RIESGOS DE FRAUDE Y ATRACO • GRADO DE LIQUIDEZ DE LOS ACTIVOS • SUSCEPTIBILIDAD DE INGRESOS Y OPERACIONES NO REGISTRADAS • ALTO VOLUMEN DE OPERACIONES • ALTO VOLUMEN INDIVIDUAL DE ACTIVOS LÍQUIDOS • SUSCEPTIBILIDAD DE OPERACIONES FICTICIAS • UBICACIÓN DE LOS ESTABLECIMIENTOS COMERCIALES • ACTITUD DE LA GERENCIA FRENTE AL FRAUDE • POBRES SISTEMAS DE INFORMACIÓN E INFORMACIÓN INOPORTUNA • CUENTAS EN SUSPENSO SIGNIFICATIVAS NO ANALIZADAS OPORTUNAMENTE • CALIDAD DEL PERSONAL CONTRATADO • FALTA DE SEGREGACIÓN DE FUNCIONES


c. 2. RIESGOS DE DAÑOS • ACCIDENTES A LOS EMPLEADOS O TERCEROS • INCENDIO • HUELGA, MOTÍN, ASONADA • INUNDACIONES • CORRIENTE DÉBIL • TERREMOTO • RESPONSABILIDAD CIVIL


INFIDELIDAD DEL PERSONAL

25% TAN HONRADOS COMO LO PERMITEN LOS CONTROLES Y LA MOTIVACIÓN DEL PERSONAL

COMPORTAMIENTO PLENAMENTE FRAUDULENTO EN CUANTO LAS CIRCUNSTANCIAS LO PERMITEN

50%

25%

COMPLETAMENTE HONRADOS EN CUALQUIER MOMENTO


RIESGOS GENERALES DEL DEPARTAMENTO PED a. ACCESO A FUNCIONES PROCESAMIENTO b. INGRESO DE DATOS c. ITEMS RECHAZADOS O EN SUSPENSO d. PROCESAMIENTO e. ESTRUCTURA ORGANIZATIVA f. CAMBIOS A LOS PROGRAMAS g. ACCESO GENERAL h. CONTINUIDAD EN LAS OPERACIONES

DE


Riesgos Generales del Departamento PED

a. ACCESO A FUNCIONES DE PROCESAMIENTO PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A LAS FUNCIONES DE PROCESAMIENTO DE TRANSACCIONES DE LOS PROGRAMAS DE APLICACIÓN, PERMITIÉNDOLES LEER, MODIFICAR, AGREGAR O ELIMINAR DATOS INGRESAR TRANSACCIONES NO AUTORIZADAS PARA SU PROCESAMIENTO


Riesgos Generales del Departamento PED

a. ACCESO A FUNCIONES DE PROCESAMIENTO (Cont.) RIESGOS ASOCIADOS • EL USUARIO QUE MODIFICA ARCHIVOS MAESTROS INGRESA TRANSACCIONES • UN MISMO EMPLEADO INGRESA FACTURAS, INFORMES DE RECEPCIÓN Y COMPRAS • PERSONAL NO AUTORIZADO CONSULTA, MODIFICA Y/O ADICIONA INFORMACIÓN CONFIDENCIAL • PERSONAL DE PED PUEDE MODIFICAR DATOS


Riesgos Generales del Departamento PED

b. INGRESO DE DATOS

LOS DATOS PERMANENTES Y DE TRANSACCIONES INGRESADOS PARA EL PROCESAMIENTO PUEDEN SER IMPRECISOS, INCOMPLETOS O INGRESADOS MÁS DE UNA VEZ


Riesgos Generales del Departamento PED

b. INGRESO DE DATOS RIESGOS ASOCIADOS • IDENTIFICACIÓN INADECUADA DE DATOS • TRANSACCIONES FRAUDULENTAS, DUPLICADAS O INCORRECTAS • ERRORES DE CAMPOS GRAVES • TRANSACCIONES NO CONTABILIZADAS O ERRÓNEAS


Riesgos Generales del Departamento PED

c. ITEMS RECHAZADOS O EN SUSPENSO

LOS DATOS RECHAZADOS Y LAS PARTIDAS EN SUSPENSO PUEDEN NOS SER IDENTIFICADAS, ANALIZADAS Y CORREGIDAS


Riesgos Generales del Departamento PED

c. ITEMS RECHAZADOS O EN SUSPENSO RIESGOS ASOCIADOS • LAS TRANSACCIONES PUEDEN SER OMITIDAS • LOS ITEMS EN SUSPENSO PUEDEN SER RESUELTOS SIN DEBIDA AUTORIZACIÓN • LOS ITEMS EN SUSPENSO PUEDEN NO SER REINGRESADOS AL SISTEMA


Riesgos Generales del Departamento PED

d. PROCESAMIENTO LAS TRANSACCIONES REALES INGRESADAS PARA SU PROCESAMIENTO O GENERADAS POR EL SISTEMA PUEDEN PERDERSE O SER PROCESADAS O REGISTRADAS EN FORMA INCOMPLETA, INEXACTA Ó EN EL PERÍODO CONTABLE INCORRECTO


Riesgos Generales del Departamento PED

d. PROCESAMIENTO RIESGOS ASOCIADOS • ACTUALIZACIÓN DE LA INFORMACIÓN INCORRECTA, INCOMPLETA Ó NO ACTUALIZADA • TRANSACCIONES INGRESADAS PROCESADAS EN FORMA INCOMPLETA, INEXACTA O NO PROCESADAS • PÉRDIDA DE LA INFORMACIÓN EN LA TRANSMISIÓN DE LOS DATOS • PÉRDIDA DE LAS TRANSACCIONES OCASIONADAS POR INTERRUPCIONES • ERRORES DE PROCESAMIENTO RESULTANTES DE DETERIORO DE LOS MEDIOS MAGNÉTICOS • GENERACIÓN DE REPORTES INCOMPLETOS


Riesgos Generales del Departamento PED

e. ESTRUCTURA ORGANIZATIVA Y PROCEDIMIENTOS

LA ESTRUCTURA ORGANIZACIONAL DEL DEPARTAMENTO PED Y LOS PROCEDIMIENTOS OPERATIVOS NO GARANTIZAN UN AMBIENTE DE PROCESAMIENTO DE DATOS APROPIADO PARA PREPARAR INFORMACIÓN CONFIABLE


Riesgos Generales del Departamento PED

e. ESTRUCTURA ORGANIZATIVA Y PROCEDIMIENTOS RIESGOS ASOCIADOS • CONCENTRACIONES DE FUNCIONES INCOMPATIBLES A NIVEL DE USUARIOS Y PERSONAL DEPARTAMENTO PED • DESCONOCIMIENTO DE LAS APLICACIONES • ALTA DEPENDENCIA DEL PERSONAL DE SISTEMAS • INADECUADA ADQUISICIÓN DE SOFTWARE / HARDWARE


Riesgos Generales del Departamento PED

f. CAMBIOS EN PROGRAMAS

LOS PROGRAMADORES PUEDEN REALIZAR CAMBIOS INCORRECTOS NO AUTORIZADOS EN EL SOFTWARE DE APLICACIÓN


Riesgos Generales del Departamento PED

f. CAMBIOS EN PROGRAMAS RIESGOS ASOCIADOS • LOS PROGRAMADORES PUEDEN PERPETRAR FRAUDES A TRAVÉS DE CAMBIOS A LOS PROGRAMAS • PUEDEN SURGIR ERRORES QUE PASEN INADVERTIDOS A PARTIR DE CAMBIOS NO AUTORIZADOS • DESCONOCIMIENTO DE LOS CAMBIOS EFECTUADOS


Riesgos Generales del Departamento PED

g. ACCESO GENERAL

LAS PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO DIRECTO A LOS ARCHIVOS DE DATOS O PROGRAMAS PERMITIÉNDOLES REALIZAR CAMBIOS NO AUTORIZADOS A LOS MISMOS


Riesgos Generales del Departamento PED

g. ACCESO GENERAL RIESGOS ASOCIADOS • • • • • •

ACCESO NO AUTORIZADOS A DATOS CONFIDENCIALES FRAUDES O ERRORES POR CAMBIOS NO AUTORIZADOS UTILIZACIÓN DE RECURSOS SIN AUTORIZACIÓN SABOTAJE O DESTRUCCIÓN DE RECURSOS PED COPIA Y/O ROBO DE PROGRAMAS DE INFORMACIÓN INGRESO DE VIRUS POR UTILIZACIÓN DE SOFTWARE O AUTORIZADO


Riesgos Generales del Departamento PED

h. CONTINUIDAD EN LAS OPERACIONES

IMPOSIBILIDAD DE RECUPERAR LA CAPACIDAD DE PROCESAMIENTO DE INFORMACIÓN ANTE UNA INTERRUPCIÓN TEMPORAL O DEFINITIVA


Riesgos Generales del Departamento PED

h. CONTINUIDAD EN LAS OPERACIONES

RIESGOS ASOCIADOS • PÉRDIDA DE VENTAJAS COMPETITIVAS • PÉRDIDAS PARCIAL O TOTAL DE INFORMACIÓN • PÉRDIDA DE CLIENTES • MULTAS Y/O SANCIONES


ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA CONSISTE EN ASEGURAR QUE LOS RECURSOS DE TECNOLOGA DE INFORMACION, DE UNA ORGANIZACIÓN SEAN UTILIZADOS DE LA MANERA QUE SE DECIDIÓ Y QUE EL ACCESO A LA INFORMACIÓN ALLÍ CONTENIDA ASÍ COMO SU MODIFICACIÓN SÓLO SEA POSIBLE A LAS PERSONAS QUE SE ENCUENTREN ACREDITADAS Y DENTRO DE LOS LÍMITES DE SU AUTORIZACIÓN


ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA 窶「 VULNERABILIDAD

DEBILIDAD ASOCIADA A LOS TECNOLOGIA DE INFORMACION .

RECURSOS

DE

EN SI MISMAS NO CAUSAN DAテ前S 窶「 AMENAZA

LA EXISTENCIA DE UNA RUTURA DE SEGURIDAD QUE TENGA COMO CONSECUENCIA DAテ前 O PERDIDA DE LOS RECURSOS DE TECNOLOGIA


ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA 窶「 IMPACTO

EL GRADO DE DAテ前 CAUSADO A UN SISTEMA O A LA INFORMACION POR LA MATERIALIZACION DE UNA AMANAZA

窶「 CONTRAMEDIDAS

ACCIONES O PRECAUCIONES TOMADAS PARA MINIMIZAR LAS VULNERABILIDADES Y LAS AMENAZAS



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.