RIESGO “ES LA PROBABILIDAD DE QUE UN HECHO OCURRA EN EL FUTURO DEPENDIENDO DE FACTORES DE AZAR, DE PERSONAS O SITUACIONES IMPREVISIBLES”
RIESGO RAE:
Contingencia o proximidad de un da単o Estar expuesto a perderse o a no verificarse.
PROBABILIDAD • EL GRADO DE FIRMEZA DE UNA OPINIÓN O CREENCIA • LA PROPORCIÓN DE VECES QUE UN SUCESO OCURRE EN UN PERIODO DE TIEMPO
LA PROBABILIDAD DE TODO SUCESO ESTA COMPRENDIDO ENTRE 0 Y 1
ORIGEN DE LAS ORGANIZACIONES RECURSOS
MERCADO
EMPRESA FINANCIEROS NATURALES
TECNOLOGICOS TECNICOS OTROS
FISICOS
PROCESO ADMINISTRATIVO
• PLANEACION • ORGANIZACIÓN • DIRECCION • CONTROL
RECURSOS
AREAS FUNCIONALES
• TALENTO HUMANO • PRODUCCION • MERCADEO • SERVICIOS • FINANZAS
DATOS SISTEMAS DE APLICACIÓN TECNOLOGIA INSTALACIONES GENTE
FLUJOGRAMA DE LA PLANEACION ESTRATEGICA MEDIO AMBIENTE - COMPETENCIA FORTALEZAS ANALISIS INTERNO
EL SER EL DEBER SER DETERMINACION DEL RUMBO IMPLEMENTACION
PEFOD DEBILIDADES
MATRIZ PORTAFOLIO DOFA
S
OPORTUNIDADES POLITICAS
ANALISIS EXTERNO
POAM
METAS
AMENAZAS ESTRATEGIA CORPORATIVA
OBJETIVOS TACTICAS
PRINCIPIOS ESTRATEGIAS FUNCIONALES PLAN ESTRATEGICO
CULTURA CORPORATIVA
VISION
MISION
VALORES
PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2
I S T E M A E S T R A T E G I C O
D E
C O N T R O L
SISTEMA ESTRATEGICO DE CONTROL OBJETIVOS
METAS
CORRA LAONDE
INDICADORES
CORRESPONDE
MEDICION
LA REALIDAD A LO PPLANEADO
POLITICAS
TECNICAS
ESTRATEGIA
TACTICAS FUNCIONAL
NO
ADOPTAR MEDIDAS CORRECTIVAS
CONTINUAR
SI
VARIABLES DEL ENTORNO
AMBIENTAL
GEOGRAFICA DEMOGRAFICA
COMPETITIVA
ECONOMICA
TECNOLOGICA
POLITICA
SOCIO CULTURAL
INCERTIDUMBRE ORGANIZACIONAL
I G N O R A N C I A
RIESGO
C E R T E Z A
<
> INCERTIDUMBRE
RIESGO
RIESGO
RIESGO
RIESGO
PERCEPCION DEL RIESGO
โ ข La percepciรณn del Riesgo de las personas difiere notablemente en funciรณn de su experiencia personal y directa
Los Riesgos Varían...
• DE UN LUGAR A OTRO • DE UN SISTEMA A OTRO • DE UN MOMENTO A OTRO
RECURSOS DE TECNOLOGÍA DE INFORMACIÓN • DATOS:
INCLUYE A LOS OBJETOS DE INFORMACIÓN EN SU SENTIDO MÁS AMPLIO, INTERNOS Y EXTERNOS, ESTRUCTURADOS Y NO ESTRUCTURADOS, GRÁFICOS, SONIDOS, IMÁGENES, ETC. • SISTEMAS DE APLICACIÓN:
LA SUMA DE PROCEDIMIENTOS MANUALES Y PROGRAMADOS.
RECURSOS DE TECNOLOGÍA DE INFORMACIÓN • TECNOLOGÍA:
INCLUYE HARDWARE, SISTEMAS OPERACIONALES, DBMS’S, REDES, MULTIMEDIA, ETC. • INSTALACIONES:
LOS RECURSOS NECESARIOS PARA ALOJAR Y SOPORTAR LOS SISTEMAS DE INFORMACIÓN * LAS PERSONAS: INCLUYE LAS HABILIDADES, CONCIENCIA Y PRODUCTIVIDAD DE LAS PERSONAS PARA PLANEAR, ORGANIZAR, ADQUIRIR, PRESTAR SERVICIOS, SOPORTAR Y MONITOREAR LOS SERVICIOS Y SISTEMAS DE INFORMACIÓN.
FACTORES DE LOS QUE DEPENDEN LOS RIESGOS • EL VOLUMEN DE LOS RECURSOS • LA COMPLEJIDAD DE LAS ACTIVIDADES • ESTRUCTURA ORGANIZATIVA • MAGNITUD DE RECURSOS Y PRODUCTOS • GIRO DE LA EMPRESA • NIVEL DE TECNIFICACION ALCANZADO • LAPSO Y MOMENTO EVOLUTIVO DE LA EMPRESA • MARCO COMPETITIVO NACIONAL E INTERNACIONAL • VELOCIDAD CON QUE SE DESENVUELVE LA EMPRESA
ACTITUD FRENTE AL RIESGO • ELUDIRLO O EVITARLO: actúan para abandonar las actividades que generan riesgos • REDUCIRLO: reducen la probabilidad del riesgo, el impacto del mismo o ambos. • COMPARTIRLO O TRANSFERIRLO: reducen la probabilidad o el impacto del riesgo transfiriendo o compartiendo de otro modo una porción del riesgo • ACEPTARLO: no actúan de forma alguna para modificar la probabilidad o el impacto del riesgo.
EVALUACION DE LOS RIESGOS CONOCIMIENTO
OBSERVADORES ALTAMENTE CALIFICADOS ADVIERTEN LOS RIESGOS TÉCNICOS DESCUBREN CUÁLES PUEDEN EXPLOTAR POR SÍ MISMOS
DE LOS RIESGOS ALTOS
BAJOS
OBSERVADORES NO MUY CALIFICADOS SÓLO ADVIERTEN LOS RIESGOS BÁSICOS
Y
RIESGOS A NIVEL DE EMPRESA
RIESGO INHERENTE
RIESGO ADQUIRIDO
RIESGO RESIDUAL NIVEL DE EXPOSICION
RIESGO CONTROLADO
DECISION CON EL RIESGO RESIDUAL • TERMINAR : abandonar la actividad por excesivamente riesgosa • REDUCIR : fortalecer controles o implantar nuevos controles
• ACEPTAR : tomar el riesgo • PASAR : contratar, por ejemplo, una póliza de seguro
EQUILIBRIO DE RIESGOS Y CONTROLES RIESGOS
CONTROLES
EXCESO Y DEFECTO DE PROTECCION RIESGOS
CONTROLES
C O S T O S T O T A L E S
RIESGOS NO CONTROLADOS
EXCESO DE CONTROL
RIESGOS CONTROLADOS APROPIADAMENTE FASES DE LAS PERDIDAS Y CONTROLES
ANALISIS DE RIESGOS INTRODUCCION • LOS RIESGOS EXISTEN EN TODO TIPO DE NEGOCIO. ALGUNOS SON INHERENTES AL MISMO, OTROS SE ADQUIEREN POR: • RAZONES INTERNAS ( EL MANEJO QUE LE DAN LOS ADMINISTRADORES Y EL PERSONAL EN GENERAL), O • RAZONES EXTERNAS ( INFLUENCIAS EL MEDIO DONDE SE MUEVE EL NEGOCIO) • DESDE QUE SE PIENSA EN UN NUEVO NEGOCIO, DENTRO DE LA PLANEACIÓN ESTRATÉGICA SIEMPRE DEBE ESTAR INMERSO UN ANÁLISIS DE RIESGOS Y EL ESTABLECIMIENTO DE CONTROLES ADECUADOS CON EL OBJETO DE ASEGURAR LA CONTINUIDAD DEL NEGOCIO CON EL BUEN MANEJO DE LOS RECURSOS
ANALISIS DE RIESGOS
• ESTIMACIÓN DE LA MATERIALIDAD (CONSECUENCIA) • ANÁLISIS DE LA PROBABILIDAD (FRECUENCIA) • DETERMINAR LAS POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
ANALISIS DE RIESGOS USUARIOS LA ALTA GERENCIA • PARA EVALUAR LA DECISIÓN DE INVERSIÓN Y REESTRUCTURACIÓN • PARA BALANCEAR RIESGOS E INVERSIÓN EN CONTROLES
LA UNIDAD U OFICINA DE CONTROL INTERNO • PARA DISEÑAR EL SISTEMA DE CONTROL INTERNO • PARA SUPERVISAR Y VERIFICAR EL SISTEMA DE CONTROL INTERNO
LA AUDITORIA • PARA EVALUAR Y VERIFICAR EL SISTEMA DE CONTROL INTERNO • PARA DICTAMINAR SOBRE LO APROPIADOS QUE SON LOS CONTROLES EXISTENTES
ANALISIS DE RIESGOS
RESPONSABILIDAD DE SU EJECUCION EL ANALISIS DE RIESGO ESTA EN CABEZA DE LA ALTA DIRECCION, QUIEN DEBE DELEGAR EN LOS JEFES DE CADA AREA FUNCIONAL SU ELABORACIÓN, SUPERVISION Y MANTENIMIENTO LA OFICINA DE CONTROL INTERNO Y LA AUDITORIA DEBEN ASESORAR SU ELABORACIÓN
NIVEL DE IDENTIFICACIÓN DE RIESGOS
• A nivel Corporativo GERENCIA
SUGGERENCIA FINANCIERA
SUBGERENCIA FINANCIERA
SUBGERNCIA DE SERVICIOS
•A nivel de Area Funcional
•A nivel de Proceso (Actividad-Tarea)
ALCANCE ANALISIS DE RIESGOS NIVEL CORPORATIVO CORRESPONDE AL ANALISIS DE RIESGOS DE TODA LA ORGANIZACIÓN INICIANDO EN LA ALTA GERENCIA Y YENDO HASTA LA MAS BAJA AREA FUNCIONAL
ALCANCE ANALISIS DE RIESGOS POR DEPENDENCIA CORRESPONDE A UNA AREA FUNCIONAL DE LA ORGANIZACIÓN DEPENDIENDO DEL ALCANCE DEL MAPA DE RIESGO, ESTE SE PUEDE REALIZAR SIGUIENDO LA ESTRUCTURA ORGANIZACIONAL A: LA GERENCIA UNA DIVISION UN DEPARTAMENTO UNA SECCION UNA OFICINA GERENCIA
SUBGERENCIA ADMINISTRATIVA
SUBGERENCIA FINANCIERA
SUBGERENCIA DE SERVICIOS
ALCANCE ANALISIS DE RIESGOS POR PROCESO CONJUNTO DE PASOS (TAREAS) QUE SE EJECUTAN EN UNA FORMA LOGICA Y ORDENADA Y CUYO RESULTADO PERMITE LA TOMA DE DECISIONES LOS PROCESOS DESCRITOS, ACTUALIZADOS, DOCUMENTADOS, ESTANDARIZADOS E INSTITUCIONALIZADOS CONSTITUYEN EL PATRIMONIO COGNOSCITIVO DE CUALQUIER ORGANIZACIÓN
FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA
• OBJETIVA • SUBJETIVA
FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA
METODO OBJETIVO • EXAMINAR LOS INCIDENTES ACAECIDOS EN FUNCION DE SU COSTO Y FRECUENCIA. • EFECTUAR UNA PERDIDAS
PREDICCION
DE
LAS
FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA
METODO SUBJETIVO TOMAR, ASÍ MISMO EN CONSIDERACIÓN LOS DATOS DE LA EXPERIENCIA, PERO SE BASAN FUNDAMENTALMENTE EN UNA MEJOR PREVISION SOBRE LO QUE PUEDE FALLAR EN EL FUTURO
FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA •
IDENTIFICACION DE EVENTOS : Se deben identifica eventos que afecten la implementación de las estrategias o el logro de los objetivos, con impacto positivo, negativo o ambos Los eventos con un impacto negativo representan RIESGOS, Los cuales necesitan ser analizados y administrados
Los eventos con un impacto positivo representan OPORTUNIDADES, las cuales deben ser retomadas por la gerencia, estableciendo estrategias y objetivos
•
FACTORES A CONSIDERAR : Los eventos pueden venir de Factores o variables Internas o externas. Se debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos
FORMA DE IDENTIFICACION DE RIESGOS EN LA EMPRESA • TECNICAS DE IDENTIFICACION DE EVENTOS: - Existen técnicas localizadas en el pasado y otras en el futuro - Existen técnicas de diferente grado de sofisticación
Ejemplos: Inventario de Eventos Análisis de Información Histórica ( de la empresa o del sector) Indicadores de Excepción Entrevistas y cesiones grupales dirigidas Análisis de Procesos ( manuales y Técnicos) Análisis de Documentos ( manuales de funciones, estándares, procedimientos, etc.) Revisiones y observación física ( de áreas. de equipos , de instalaciones)
RIESGOS A NIVEL DE EMPRESA LOS RIESGOS INHERENTES Y ADQUIRIDOS DEL NEGOCIO, SON AFECTADOS POR FACTORES:
• INTERNOS
• EXTERNOS
FACTORES INTERNOS DEL RIESGO INHERENTE Y ADQUIRIDOS DE LAS EMPRESAS • MALOS SISTEMAS DE INFORMACIÓN • RUPTURA DE LOS SISTEMAS DE INFORMACIÓN • CALIDAD DEL PERSONAL CONTRATADO • CAMBIOS EN LAS RESPONSABILIDADES DE LA GERENCIA • POLÍTICAS COMERCIALES AGRESIVAS
FACTORES EXTERNOS DEL RIESGO INHERENTE Y ADQUIRIDO DE LAS EMPRESAS • DESARROLLO TECNOLÓGICO • CAMBIOS DE LAS NECESIDADES DE LOS CLIENTES • COMPETENCIA • NUEVA LEGISLACIÓN • CATÁSTROFES • CAMBIOS ECONÓMICOS
FORMA DE ESCRIBIR LOS RIESGOS EL RESULTADO DE NOMBRAR UN RIESGO, SE PUEDE DAR DETERMINANDO UNA CADENA DE CAUSAS Y EFECTOS . SE PUEDE ENTONCES APLICAR LA TECNICA DE DIAGRAMA DE CAUSA - EFECTO ( ESPINA DE PESCADO)
FORMA DE ESCRIBIR LOS RIESGOS
RIESGOS: • CAMISAS CON DEFECTOS, DADOS POR UTILIZAR UN MOLDE CON DEFECTOS, DISEÑADO POR PESONAL NO CALIFICADO • CAMISA CON DEFECTOS, POR ELABORARSE EN UNA MAQUINA DE COSTURA DEFECTUOSA
ADMINISTRACION DE RIESGOS La Administración o Gestión de Riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso interactivo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. La Administración de riesgos es un término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados La administración de Riesgos es una parte integral del proceso de administración. Es un proceso multifacético de aspectos apropiados del cual son a menudo llevados a cabo por un equipo multidisciplinario. Es un proceso iterativo de mejora continua.
ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definici贸n de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos est茅n dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.
ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM es un proceso, un conjunto de acciones, es un medio para lograr un fin y no un fin en s铆 mismo ERM es realizada por la gente. No son meramente pol铆ticas, encuestas y formularios sino que es un proceso que involucra a la gente en todos los niveles de una organizaci贸n La estrategia de ERM es aplicada a lo largo y ancho de la empresa, en todos los niveles y en todas las unidades e incluye tomar una visi贸n conjunta de los riesgos E
ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) ERM está destinada a identificar acontecimientos que afecten eventualmente a la entidad y a administrar el riesgo dentro del nivel de riesgo aceptado ERM provee seguridad razonable a la gerencia y al directorio de una entidad ERM está orientada al logro de objetivos en una o más categorías separadas pero superpuestas de objetivos
ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías: • Estratégicos - relacionados con las metas de alto nivel, alineados con y siendo soporte de la misión/visión de la entidad.
• Referidos a las operaciones - relacionados con la eficacia y eficiencia en las operaciones de la entidad incluyendo metas de desempeño y rentabilidad. Ellos varían en función de las elecciones de la gerencia en relación con la estructura y desempeño.
ADMINISTRACION DE RIESGOS ENTERPRISE RISK MANAGEMENT (ERM) • Referidos a la elaboración de información relacionados con la eficacia del proceso de elaboración de información. Incluyen elaboración de información interna y externa y pueden involucrar información financiera o no financiera. • Referidos al cumplimiento - relacionados con el cumplimiento de la entidad con las leyes y regulaciones que le sean aplicables
ADMINISTRACION DE RIESGOS WIDE RISK ENTERPRISE MANAGEMENT (WERM) Es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definición de la estrategia y que abarca el análisis y administración de un tipo de riesgo específico (Operacional, de lavado de activos, de tecnología, etc.), destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos estén dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.
ADMINISTRACION DE RIESGOS INTEGRATED RISK MANAGEMENT (IRM) La Administración integrada de riesgos es un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados a una actividad, función o proceso de una forma que permita a las organizaciones minimizar pérdidas y maximizar oportunidades. La Administración de riesgos es tanto identificar oportunidades como evitar o mitigar pérdidas. Puede ser aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo
CLASIFICACIONES DE LOS RIESGOS
RIESGO REPUTACIONAL RIESGO LEGAL RIESGO OPERATIVO RIESGOS DE CONTAGIO RIESGOS TECNOLOGICOS RIESGOS FINANCIEROS
CLASIFICACIONES DE LOS RIESGOS
• RIESGO REPUTACIONAL ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE UNA EMPRESA O ENTIDAD POR DESPRESTIGIO, MALA IMAGEN, PUBLICIDAD NEGATIVA, CIERTA O NO, RESPECTO DE LA INSTITUCIÓN Y SUS PRÁCTICAS DE NEGOCIOS, QUE CAUSE PÉRDIDA DE CLIENTES, DISMINUCIÓN DE INGRESOS O PROCESOS JUDICIALES.
CLASIFICACIONES DE LOS RIESGOS
• RIESGO LEGAL ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE UNA EMPRESA O ENTIDAD AL SER SANCIONADA, MULTADA U OBLIGADA A INDEMNIZAR DAÑOS COMO RESULTADO DEL INCUMPLIMIENTO DE NORMAS O REGULACIONES Y OBLIGACIONES CONTRACTUALES. EL RIESGO LEGAL SURGE TAMBIÉN COMO CONSECUENCIA DE FALLAS EN LOS CONTRATOS Y TRANSACCIONES, DERIVADAS DE ACTUACIONES MALINTENCIONADAS, NEGLIGENCIA O ACTOS INVOLUNTARIOS QUE AFECTAN LA FORMALIZACIÓN O EJECUCIÓN DE CONTRATOS O TRANSACCIONES.
CLASIFICACIONES DE LOS RIESGOS • RIESGO OPERATIVO ES LA POSIBILIDAD DE INCURRIR EN PÉRDIDAS POR DEFICIENCIAS, FALLAS O INADECUACIONES, EN EL RECURSO HUMANO, LOS PROCESOS, LA TECNOLOGÍA, LA INFRAESTRUCTURA O POR LA OCURRENCIA DE ACONTECIMIENTOS EXTERNOS. ESTA DEFINICIÓN INCLUYE EL RIESGO LEGAL Y REPUTACIONAL, ASOCIADOS A TALES FACTORES. EL COMITÉ DE BASILEA HA DEFINIDO EL RIESGO OPERATIVO COMO «EL RIESGO DE PÉRDIDA CAUSADA POR FALLA O INSUFICIENCIA DE PROCESOS, PERSONAS Y SISTEMAS INTERNOS, O POR EVENTOS EXTERNOS» (BASSEL COMMITTEE ON BANKING SUPERVISION, 2003) ADICIONALMENTE, EL COMITÉ HA PROPUESTO LAS SIGUIENTES SIETE CATEGORÍAS, LAS CUALES INCLUYEN SUBCATEGORÍAS, PARA CLASIFICAR LOS POSIBLES EVENTOS QUE REPRESENTAN PÉRDIDAS ASOCIADAS AL RIESGO OPERATIVO: FRAUDE INTERNO, FRAUDE EXTERNO, PRÁCTICAS DE EMPLEO Y SEGURIDAD DEL AMBIENTE DE TRABAJO, CLIENTES, PRODUCTOS Y PRÁCTICAS DEL NEGOCIO, DAÑO A LOS ACTIVOS FÍSICOS, INTERRUPCIÓN DEL NEGOCIO Y FALLAS EN LOS SISTEMAS, Y EJECUCIÓN Y MANEJO DE PROCESOS
CLASIFICACIONES DE LOS RIESGOS
• RIESGO DE CONTAGIO ES LA POSIBILIDAD DE PÉRDIDA QUE UNA EMPRESA O ENTIDAD PUEDE SUFRIR, DIRECTA O INDIRECTAMENTE, POR UNA ACCIÓN O EXPERIENCIA DE UN RELACIONADO O ASOCIADO. EL RELACIONADO O ASOCIADO INCLUYE PERSONAS NATURALES O JURÍDICAS QUE TIENEN POSIBILIDAD DE EJERCER INFLUENCIA SOBRE LA EMPRESA O ENTIDAD.
CLASIFICACIONES DE LOS RIESGOS • RIESGOS TECNOLÓGICO :
SE DEFINE COMO LA PÉRDIDA POTENCIAL POR DAÑOS, INTERRUPCIÓN, ALTERACIÓN O FALLAS DERIVADAS DEL USO O DEPENDENCIA EN EL HARDWARE, SOFTWARE, APLICACIONES, REDES, Y CUALQUIER OTRO CANAL DE DISTRIBUCIÓN DE INFORMACIÓN EN LA PRESTACIÓN DE SERVICIOS CON LOS CLIENTES INTERNOS O EXTERNOS DE LA EMPRESA.
CLASIFICACIONES DE LOS RIESGOS • RIESGOS FINANCIEROS SON LOS RIESGOS QUE SURGEN PRODUCTO DE LA ESTRUCTURA DE FINANCIACIÓN DE LAS EMPRESAS - RIESGO DE LIQUIDEZ - RIESGO DE TASA DE INTERÉS - RIESGO DE TASA DE CAMBIO - RIESGO DE INFLACIÓN - RIESGOS DE LA INFORMACIÓN FINANCIERA
Riesgos Financieros
RIESGOS EN LA INFORMACIÓN FINANCIERA a. RIESGOS EN SU PROCESAMIENTO b. RIESGO DE RUPTURAS EN LOS SISTEMAS DE INFORMACIÓN c. RIESGO DE USO INADECUADO DE LA INFORMACIÓN
Riesgos Financieros
a. RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA SON LOS RIESGOS DE QUE LA EMPRESA PROCESE SU INFORMACIÓN INCORRECTAMENTE Y QUE SUS ESTADOS FINANCIEROS NO SEAN PREPARADOS DE ACUERDO CON LOS PRINCIPIOS DE CONTABILIDAD GENERALMENTE ACEPTADOS
Riesgos Financieros
RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA
• TODOS LOS HECHOS ECONÓMICOS QUE SE GENERAN EN LA EMPRESA PUEDEN NO SER ADECUADAMENTE DOCUMENTADOS • LAS TRANSACCIONES PUEDEN NO SER INGRESADAS O PROCESADAS EN LOS SISTEMAS O PROCESADAS MÁS DE UNA VEZ • LAS TRANSACCIONES PUEDEN SER INGRESADAS O PROCESADAS INCORRECTAMENTE EN LOS SISTEMAS
Riesgos Financieros
RIESGOS EN EL PROCESAMIENTO DE LA INFORMACIÓN FINANCIERA
• TRANSACCIONES RECHAZADAS O EN SUSPENSO PUEDEN NO SER AISLADAS, ANALIZADAS Y CORREGIDAS
• LAS TRANSACCIONES INGRESADAS A LOS SISTEMAS PUEDEN SER PROCESADAS CON CRITERIOS DIFERENTES A LOS APROBADOS POR LA GERENCIA • LOS ARCHIVOS PERMANENTES PUEDEN ACTUALIZADOS OPORTUNAMENTE
NO
SER
Riesgos Financieros
FACTORES QUE INCREMENTAN EL RIESGO DE PROCESAMIENTO INCORRECTO DE LA INFORMACIÓN FINANCIERA
• • • • • • • •
ALTO VOLUMEN DE TRANSACCIONES COMPLEJIDAD EN LAS OPERACIONES SUSCEPTIBILIDAD DE OPERACIONES NO REGISTRADAS GRAN NÚMERO DE SUCURSALES Y AGENCIAS NUEVOS PRODUCTOS OPERACIONES FUERA DE BALANCE GRADO DE AUTOMATIZACIÓN INDIVISIBILIDAD DE LAS OPERACIONES PROCESADAS POR COMPUTADOR • FALTA DE SEPARACIÓN DE TAREAS • FALTA DE INTERACTIVIDAD DE LOS SISTEMAS DE INFORMACIÓN
Riesgos Financieros
b. RIESGOS DE RUPTURA DE LOS SISTEMAS DE INFORMACIÓN Es el riesgo de que la empresa no pueda procesar su información financiera oportunamente por daños en los sistemas de información - Se requieren Planes de Contingencia
Riesgos Financieros
c. RIESGO DE USO INADECUADO DE LA INFORMACIÓN
1. RIESGO DE FRAUDE 2. RIESGO DE DAÑOS
c.1. RIESGO DE FRAUDE • PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A ACTIVOS HABILITÁNDOSE PARA ROBARLOS O USARLOS EN BENEFICIO PROPIO • PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A LOS REGISTROS Y A LOS PROGRAMAS DE APLICACIONES HABILITÁNDOLOS PARA LEERLOS, ALTERARLOS, MODIFICARLOS Y BORRARLOS O INGRESAR TRANSACCIONES NO AUTORIZADAS • TODOS LOS INGRESOS QUE SE GENERAN A FAVOR DE LA EMPRESA PUEDEN NO SER INGRESADOS A SUS ACTIVOS Y REGISTROS • LAS TRANSACCIONES DE LA EMPRESA PUEDEN NO SER VALIDAS NI ESTAR ADECUADAMENTE AUTORIZADAS
TÉCNICAS PARA EVITAR EL FRAUDE • • • • • • • • • •
ESCUCHANDO SE OYEN MUCHAS COSAS MIRANDO SE VEN MUCHAS COSAS AUDITORÍA DE PUNTOS CRÍTICOS CREACIÓN DE UN MARCO PREVENTIVO CONTRA EL FRAUDE LA PREVENCIÓN DEBE SER UNA ACTIVIDAD RUTINARIA ASIGNACIÓN DE RECURSOS ESPECÍFICOS VIGILANCIA PREVENTIVA INVESTIGAR TODOS LOS FRAUDES QUE SE PRODUCEN INVENTARIOS PERIÓDICOS CONFIRMACIÓN INDEPENDIENTE CON TERCEROS
FACTORES QUE INCREMENTAN LOS RIESGOS DE FRAUDE Y ATRACO • GRADO DE LIQUIDEZ DE LOS ACTIVOS • SUSCEPTIBILIDAD DE INGRESOS Y OPERACIONES NO REGISTRADAS • ALTO VOLUMEN DE OPERACIONES • ALTO VOLUMEN INDIVIDUAL DE ACTIVOS LÍQUIDOS • SUSCEPTIBILIDAD DE OPERACIONES FICTICIAS • UBICACIÓN DE LOS ESTABLECIMIENTOS COMERCIALES • ACTITUD DE LA GERENCIA FRENTE AL FRAUDE • POBRES SISTEMAS DE INFORMACIÓN E INFORMACIÓN INOPORTUNA • CUENTAS EN SUSPENSO SIGNIFICATIVAS NO ANALIZADAS OPORTUNAMENTE • CALIDAD DEL PERSONAL CONTRATADO • FALTA DE SEGREGACIÓN DE FUNCIONES
c. 2. RIESGOS DE DAÑOS • ACCIDENTES A LOS EMPLEADOS O TERCEROS • INCENDIO • HUELGA, MOTÍN, ASONADA • INUNDACIONES • CORRIENTE DÉBIL • TERREMOTO • RESPONSABILIDAD CIVIL
INFIDELIDAD DEL PERSONAL
25% TAN HONRADOS COMO LO PERMITEN LOS CONTROLES Y LA MOTIVACIÓN DEL PERSONAL
COMPORTAMIENTO PLENAMENTE FRAUDULENTO EN CUANTO LAS CIRCUNSTANCIAS LO PERMITEN
50%
25%
COMPLETAMENTE HONRADOS EN CUALQUIER MOMENTO
RIESGOS GENERALES DEL DEPARTAMENTO PED a. ACCESO A FUNCIONES PROCESAMIENTO b. INGRESO DE DATOS c. ITEMS RECHAZADOS O EN SUSPENSO d. PROCESAMIENTO e. ESTRUCTURA ORGANIZATIVA f. CAMBIOS A LOS PROGRAMAS g. ACCESO GENERAL h. CONTINUIDAD EN LAS OPERACIONES
DE
Riesgos Generales del Departamento PED
a. ACCESO A FUNCIONES DE PROCESAMIENTO PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A LAS FUNCIONES DE PROCESAMIENTO DE TRANSACCIONES DE LOS PROGRAMAS DE APLICACIÓN, PERMITIÉNDOLES LEER, MODIFICAR, AGREGAR O ELIMINAR DATOS INGRESAR TRANSACCIONES NO AUTORIZADAS PARA SU PROCESAMIENTO
Riesgos Generales del Departamento PED
a. ACCESO A FUNCIONES DE PROCESAMIENTO (Cont.) RIESGOS ASOCIADOS • EL USUARIO QUE MODIFICA ARCHIVOS MAESTROS INGRESA TRANSACCIONES • UN MISMO EMPLEADO INGRESA FACTURAS, INFORMES DE RECEPCIÓN Y COMPRAS • PERSONAL NO AUTORIZADO CONSULTA, MODIFICA Y/O ADICIONA INFORMACIÓN CONFIDENCIAL • PERSONAL DE PED PUEDE MODIFICAR DATOS
Riesgos Generales del Departamento PED
b. INGRESO DE DATOS
LOS DATOS PERMANENTES Y DE TRANSACCIONES INGRESADOS PARA EL PROCESAMIENTO PUEDEN SER IMPRECISOS, INCOMPLETOS O INGRESADOS MÁS DE UNA VEZ
Riesgos Generales del Departamento PED
b. INGRESO DE DATOS RIESGOS ASOCIADOS • IDENTIFICACIÓN INADECUADA DE DATOS • TRANSACCIONES FRAUDULENTAS, DUPLICADAS O INCORRECTAS • ERRORES DE CAMPOS GRAVES • TRANSACCIONES NO CONTABILIZADAS O ERRÓNEAS
Riesgos Generales del Departamento PED
c. ITEMS RECHAZADOS O EN SUSPENSO
LOS DATOS RECHAZADOS Y LAS PARTIDAS EN SUSPENSO PUEDEN NOS SER IDENTIFICADAS, ANALIZADAS Y CORREGIDAS
Riesgos Generales del Departamento PED
c. ITEMS RECHAZADOS O EN SUSPENSO RIESGOS ASOCIADOS • LAS TRANSACCIONES PUEDEN SER OMITIDAS • LOS ITEMS EN SUSPENSO PUEDEN SER RESUELTOS SIN DEBIDA AUTORIZACIÓN • LOS ITEMS EN SUSPENSO PUEDEN NO SER REINGRESADOS AL SISTEMA
Riesgos Generales del Departamento PED
d. PROCESAMIENTO LAS TRANSACCIONES REALES INGRESADAS PARA SU PROCESAMIENTO O GENERADAS POR EL SISTEMA PUEDEN PERDERSE O SER PROCESADAS O REGISTRADAS EN FORMA INCOMPLETA, INEXACTA Ó EN EL PERÍODO CONTABLE INCORRECTO
Riesgos Generales del Departamento PED
d. PROCESAMIENTO RIESGOS ASOCIADOS • ACTUALIZACIÓN DE LA INFORMACIÓN INCORRECTA, INCOMPLETA Ó NO ACTUALIZADA • TRANSACCIONES INGRESADAS PROCESADAS EN FORMA INCOMPLETA, INEXACTA O NO PROCESADAS • PÉRDIDA DE LA INFORMACIÓN EN LA TRANSMISIÓN DE LOS DATOS • PÉRDIDA DE LAS TRANSACCIONES OCASIONADAS POR INTERRUPCIONES • ERRORES DE PROCESAMIENTO RESULTANTES DE DETERIORO DE LOS MEDIOS MAGNÉTICOS • GENERACIÓN DE REPORTES INCOMPLETOS
Riesgos Generales del Departamento PED
e. ESTRUCTURA ORGANIZATIVA Y PROCEDIMIENTOS
LA ESTRUCTURA ORGANIZACIONAL DEL DEPARTAMENTO PED Y LOS PROCEDIMIENTOS OPERATIVOS NO GARANTIZAN UN AMBIENTE DE PROCESAMIENTO DE DATOS APROPIADO PARA PREPARAR INFORMACIÓN CONFIABLE
Riesgos Generales del Departamento PED
e. ESTRUCTURA ORGANIZATIVA Y PROCEDIMIENTOS RIESGOS ASOCIADOS • CONCENTRACIONES DE FUNCIONES INCOMPATIBLES A NIVEL DE USUARIOS Y PERSONAL DEPARTAMENTO PED • DESCONOCIMIENTO DE LAS APLICACIONES • ALTA DEPENDENCIA DEL PERSONAL DE SISTEMAS • INADECUADA ADQUISICIÓN DE SOFTWARE / HARDWARE
Riesgos Generales del Departamento PED
f. CAMBIOS EN PROGRAMAS
LOS PROGRAMADORES PUEDEN REALIZAR CAMBIOS INCORRECTOS NO AUTORIZADOS EN EL SOFTWARE DE APLICACIÓN
Riesgos Generales del Departamento PED
f. CAMBIOS EN PROGRAMAS RIESGOS ASOCIADOS • LOS PROGRAMADORES PUEDEN PERPETRAR FRAUDES A TRAVÉS DE CAMBIOS A LOS PROGRAMAS • PUEDEN SURGIR ERRORES QUE PASEN INADVERTIDOS A PARTIR DE CAMBIOS NO AUTORIZADOS • DESCONOCIMIENTO DE LOS CAMBIOS EFECTUADOS
Riesgos Generales del Departamento PED
g. ACCESO GENERAL
LAS PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO DIRECTO A LOS ARCHIVOS DE DATOS O PROGRAMAS PERMITIÉNDOLES REALIZAR CAMBIOS NO AUTORIZADOS A LOS MISMOS
Riesgos Generales del Departamento PED
g. ACCESO GENERAL RIESGOS ASOCIADOS • • • • • •
ACCESO NO AUTORIZADOS A DATOS CONFIDENCIALES FRAUDES O ERRORES POR CAMBIOS NO AUTORIZADOS UTILIZACIÓN DE RECURSOS SIN AUTORIZACIÓN SABOTAJE O DESTRUCCIÓN DE RECURSOS PED COPIA Y/O ROBO DE PROGRAMAS DE INFORMACIÓN INGRESO DE VIRUS POR UTILIZACIÓN DE SOFTWARE O AUTORIZADO
Riesgos Generales del Departamento PED
h. CONTINUIDAD EN LAS OPERACIONES
IMPOSIBILIDAD DE RECUPERAR LA CAPACIDAD DE PROCESAMIENTO DE INFORMACIÓN ANTE UNA INTERRUPCIÓN TEMPORAL O DEFINITIVA
Riesgos Generales del Departamento PED
h. CONTINUIDAD EN LAS OPERACIONES
RIESGOS ASOCIADOS • PÉRDIDA DE VENTAJAS COMPETITIVAS • PÉRDIDAS PARCIAL O TOTAL DE INFORMACIÓN • PÉRDIDA DE CLIENTES • MULTAS Y/O SANCIONES
ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA CONSISTE EN ASEGURAR QUE LOS RECURSOS DE TECNOLOGA DE INFORMACION, DE UNA ORGANIZACIÓN SEAN UTILIZADOS DE LA MANERA QUE SE DECIDIÓ Y QUE EL ACCESO A LA INFORMACIÓN ALLÍ CONTENIDA ASÍ COMO SU MODIFICACIÓN SÓLO SEA POSIBLE A LAS PERSONAS QUE SE ENCUENTREN ACREDITADAS Y DENTRO DE LOS LÍMITES DE SU AUTORIZACIÓN
ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA 窶「 VULNERABILIDAD
DEBILIDAD ASOCIADA A LOS TECNOLOGIA DE INFORMACION .
RECURSOS
DE
EN SI MISMAS NO CAUSAN DAテ前S 窶「 AMENAZA
LA EXISTENCIA DE UNA RUTURA DE SEGURIDAD QUE TENGA COMO CONSECUENCIA DAテ前 O PERDIDA DE LOS RECURSOS DE TECNOLOGIA
ADMINISTRACION DE RIESGOS SEGURIDAD INFORMATICA 窶「 IMPACTO
EL GRADO DE DAテ前 CAUSADO A UN SISTEMA O A LA INFORMACION POR LA MATERIALIZACION DE UNA AMANAZA
窶「 CONTRAMEDIDAS
ACCIONES O PRECAUCIONES TOMADAS PARA MINIMIZAR LAS VULNERABILIDADES Y LAS AMENAZAS