Ministerio del Poder Popular Para la Educacin Universitaria
Instituto Universitario de Tecnologa del Oeste Mariscal Sucre
Tutora Acadmica: T.S.U: Lic. Juan Chacn Anchundia Richard C.I.: 13.612.382
Gmez Lismar C.I.: 15.892.218
Vega Sorelis C.I.: 16.675.387
Caracas, Marzo 2013.
NDICE Introduccin...1 Administracin de Riesgos....2 La Administracin de Riesgos y sus tipos.....2 Pros y Contras de la Administracin de Riesgos...3 Identificacin de los Riesgos.3 Mtodos para la Identificacin de Riesgos....5 Anlisis de Riesgos6 Anlisis Cuantitativo.7 Anlisis Cualitativo...7 Orgenes y Consecuencias de Riesgos en una Empresa9 Riesgos Enfocados en un Proyecto..10 Riesgos de Negocio Relacionados con la Informtica....11 Plan de Riesgos13 Seguimiento.14 Normas sobre el Anlisis de Riesgos...15 Glosario de Trminos......16 Referencias Bibliogrficas...17
INTRODUCCIN
En toda organizacin existe la posibilidad que se presente algn dao o prdida, en pocas palabras, se le presentaran diversos Riesgos. Por tal motivo es importante contar con una herramienta, que garantice la correcta evaluacin de esos riesgos a los cuales estn sometidos los procesos y actividades de alguna entidad y por medio de procedimientos de control se pueda evaluar el desempeo de la misma. Para mitigar los Riesgos se debe primero, Identificar el Riesgo, luego evaluarlo, realizarle anlisis cualitativo y cuantitativo, para posteriormente atacar ese riesgo con un Plan. En este tema surgen preguntas como: Un Riesgo se elimina o mitiga? Es constante o variable un Riesgo? A mayor Riesgo mayor prdida para la empresa? Cules son los riesgos a los que est expuesta una organizacin? Luego de identificado un Riesgo y atacado, se debe olvidar? Todas estas interrogantes sern respondidas en el siguiente trabajo escrito a travs del desarrollo de los siguientes puntos:
Administracin de Riesgos. Identificacin de Riesgos. Evaluacin de Riesgos. Anlisis Cualitativo. Anlisis Cuantitativo. Plan de Riesgos. Seguimiento.
1 RIESGO: Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el rabe clsico rizq (lo que depara la providencia). Evento o circunstancia cuya probabilidad de ocurrencia es incierta, pero que, en caso de aparecer, tiene un efecto (positivo o negativo) sobre los objetivos de un proyecto. Probabilidad de que una circunstancia adversa ocurra. Es la probabilidad de que suceda la amenaza o evento no deseado
Administracin de Riesgos La Administracin de Riesgos es la disciplina que combina los recursos financieros, humanos, materiales y tcnicos de la empresa, para identificar y evaluar los riesgos potenciales y decidir cmo manejarlos con una combinacin ptima de costo efectividad. El concepto maneja fundamentalmente los elementos referidos a garantizar la seguridad y estabilidad integral de una organizacin, de sus bienes, de las personas, etc., de amenazas actuales y futuras que pueden daar la supervivencia de stas. Todo proyecto implica riesgos. Adems, la aceptacin del riesgo es esencial para el progreso y a menudo los fracasos son una parte fundamental del aprendizaje. Aunque algunos riesgos no se pueden evitar, el intentar reconocerlos y controlarlos no debe limitar las oportunidades de emplear la creatividad. El objetivo fundamental, es el de minimizar los efectos adversos de los riesgos, con un costo mnimo mediante la identificacin, evaluacin y control de los mismos.
La Administracin de Riesgos y sus tipos
Se llama anlisis de riesgos al estudio de los eventos que tienen efectos sobre la actividad de la empresa. Se llama administracin de riesgos a la aplicacin de estrategias para evitar o reducir los costos generados por los riesgos. La administracin de riesgos es una aproximacin cientfica del comportamiento de los riesgos, anticipando posibles prdidas accidentales con el diseo e 2 implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir.
Los pasos de la administracin de riesgos son: La identificacin de riesgos, evaluacin de riesgos, cuantificacin de riesgos, plan de riesgos y seguimiento.
Pros y Contras de la Administracin de Riesgos PROS CONTRAS Crea la cultura del riesgo y su manejo en una organizacin.
Existe resistencia a su aplicacin, ya sea por ignorancia, arrogancia o miedo. Expresa en mejores trminos las prdidas al ocurrir un evento desfavorable.
Es un proceso que requiere gran cantidad de tiempo y de informacin disponible.
Identificacin de los Riesgos La identificacin de riesgos es continua y depende de la red de comunicacin dentro de la organizacin, generando un flujo constante de informacin acerca de las actividades de la organizacin. Los pasos para la identificacin de los riesgos son: 1. Historial de siniestro propios y ajenos: El mantenimiento de registros e informacin de los siniestros, e incluso de acontecimientos o incidentes de escasa gravedad que han implicado daos econmicos, es la primera fuente que permite detectar y evaluar riesgos. A menudo, estas informaciones son antiguas o incompletas, por lo que ser necesario proyectarlas en el momento actual y a situaciones futuras. En la mayora de las ocasiones el historial de siniestros de una sola entidad suele ser escaso y se dispondr 3 de una experiencia propia insuficiente, para identificar y evaluar la totalidad de los posibles riesgos. Por ello, se debe completar este historial propio con las experiencias de entidades ajenas del mismo sector, o cercano del que pertenece la entidad en cuestin. 2. Encuestas estndar y cuestionarios: Permite diagnosticar la opinin de los miembros de las entidades del estado actual de los riesgos existentes. Esta clase de documentacin suele consistir en una serie de pginas con cuestiones generales que pueden ser relevantes para las empresas. 3. Anlisis de informaciones internas: A la vista de informes de la entidad, se pueden detectar mtodos, departamentos, sistemas, personas o mercancas, que pueden originar o participar en sus acontecimientos con resultados negativos. Las informaciones que con ms frecuencias proporcionan indicios o avances de actuaciones peligrosas son: Balance y estado de resultados, apuntes contables, informes del personal, documentos legales, memorias y proyectos de obras e instalaciones, contratos de suministros, servicios, representaciones y otros; cartera de clientes, productos y volumen de venta, cartera de proveedores, procedimientos de produccin (investigacin, desarrollo, produccin y otros), informes jurdicos, inventario de edificio, instalaciones, maquinaria y mercancas, patentes y tecnologa propios y adquiridas, grficos de flujos. Estas informaciones habrn de ser contactadas manteniendo conversaciones con los responsables de las reas donde se han preparado.
4 4. I nspecciones personales: Mediante los documentos, informaciones escritas que proporcionan los dems mtodos, el gerente de riesgos puede visualizar la mayora de los riesgos pero no todos. Para completar la informacin, es necesario la comprobacin fsica y de actividades directamente, equipos, edificios, servicios, las condiciones correspondientes, etc. Todo esto se lleva a cabo mediante inspecciones de campo. Si la persona que va a realizar la inspeccin personal ha realizado el suficiente trabajo de despacho, revisando toda la documentacin que se ha podido conseguir, podr comprobar la importancia de riesgos que se ha encontrado en esta documentacin y ampliarlos hasta alcanzar a conocer la casi totalidad de los riesgos que afectan a la empresa. As pues, no es suficiente la informacin documental para identificar todos los riesgos de una empresa y tampoco es suficiente la sola inspeccin de campo, sino que ambas se complementan. 5. Consultas con expertos externos o internos: La mayora de las empresas no tienen los suficientes recursos como para tener amplia informacin de los riesgos que las pueden afectar. En ocasiones, los encargados de los departamentos no pueden imaginar todos los riesgos que las afectan, por lo que se hace necesario acudir a expertos externos que pueden ayudar a completar la identificacin. El gerente de riesgos puede acudir a diferentes fuentes externas como pueden ser los profesionales individuales (abogados, tcnicos de riesgos o contables), mercados u organizaciones (publicaciones peridicas o anuales), agencias gubernamentales y otros. Mtodos para la Identificacin de Riesgos Para realizar una Identificacin de Riesgos se debe realizar 6 preguntas importantes que constituyen las llaves que conducen a una adecuada proyeccin en la prevencin de las conductas delictivas y corruptivas: 5 Dnde? Quin? Qu? Cundo? Cmo? Por qu?
Anlisis de Riesgos Es un proceso que comprende la identificacin de activos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Evaluacin de riesgo (o PHA por sus siglas en ingls Process Hazards Analysis), es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daos y consecuencias que stas puedan producir. El anlisis de los riesgos determinar cules son los factores de riesgo que potencialmente tendran un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atencin. El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin. Existen dos tipologas de mtodos utilizados para determinar el nivel de riesgos de un negocio. Los mtodos pueden ser: 1. Anlisis Cualitativos 2. Anlisis Cuantitativos
6 Anlisis Cuantitativo El anlisis cuantitativo es una tcnica de anlisis que busca entender el comportamiento de las cosas por medio de modelos estadsticos y tcnicas matemticas para ello se encarga de asignar un valor numrico a las variables, e intenta replicar la realidad matemticamente. Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materializacin de amenazas se asocian a un determinado nivel de impacto en funcin de la estimacin del costo econmico que suponen para la organizacin En resumen, el anlisis de riesgo cuantitativo se ocupa especficamente de la revisin cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias, determinando numricamente la frecuencia de ocurrencia de una amenaza, el valor monetario del activo, el impacto econmico y el dao producido. Es el mtodo de anlisis de riesgos ms utilizado en la toma de decisiones en proyectos empresariales, los emprendedores se apoyan en su juicio, experiencia e intuicin para la toma de decisiones. Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un anlisis completo. O bien porque los datos numricos son inadecuados para un anlisis ms cuantitativo que sirva de base para un anlisis posterior y ms detallado del riesgo global.
Los mtodos cuantitativos incluyen: 1. Anlisis de probabilidad. 2. Anlisis de consecuencias. 3. Simulacin computacional.
Anlisis Cualitativo Las mtricas asociadas con el impacto causado por la materializacin de las amenazas se valoran en trminos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo). Las consecuencias de la materializacin de amenazas se asocian a un 7 determinado nivel de impacto en funcin de multitud de factores (Prdidas econmicas efectivas, prdida de conocimiento, prdida de competitividad, interrupcin de negocio, prdida de imagen, etc.) Se consideran mtodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de riesgo del proyecto.
Los mtodos cualitativos incluyen: 1. Brainstorming. 2. Cuestionario y entrevistas estructuradas. 3. Evaluacin para grupos multidisciplinarios. 4. Juicio de especialistas y expertos (Tcnica Delphi).
Mtodos PROS CONTRAS Anlisis de Riesgos
Metodologa cuantitativa -Las valoraciones son objetivas. -El valor de la informacin es expresado en trminos monetarios. -El presupuesto destinado a la seguridad del sistema est basado en anlisis confiables y bien sustentados.
Metodologa cualitativa
-No es necesario determinar el valor monetario de la informacin, ni la frecuencia de las amenazas, ni el costo de las medidas a tomar y del anlisis costo/beneficio.
Metodologa cuantitativa -No es prctico realizar valoraciones cuantitativas sin ayuda de herramientas y bases de conocimiento bien slidas. -Requieren una cantidad sustancial de informacin. -No existe un estndar sobre amenazas y sus frecuencias.
Metodologa cualitativa -Toda valoracin es esencialmente subjetiva, en procesos y mtricas.
-La percepcin de valores puede no reflejar realmente el actual valor del riesgo.
8 Orgenes y Consecuencias de Riesgos en una Empresa
Riesgos Causas de Riesgos Consecuencias de Riesgo Medidas Preventivas Mecnicos Roturas de vidrios. Equipos que puedan caerse. Mala utilizacin de equipos. Golpes. Cadas. Lesiones en las manos. Mantenimiento predictivo y preventivo programado. Mantenimiento correctivo inmediato. Capacitacin. Elctricos Apagado de equipos. Arranque de equipos. Instalaciones de equipos. Corto circuitos. Choques elctricos. Mantenimiento predictivo y preventivo programado. Mantenimiento correctivo inmediato. Primeros Auxilios. Qumicos Derrames. Afeccin a los ojos. Inspecciones de seguridad. Utilizacin de implementos de proteccin personal. Fsicos Luminarias defectuosas. Falta de mantenimiento. Dolor de espalda. Alteracin nerviosa. Mantenimiento predictivo y preventivo programado. Mantenimiento correctivo inmediato. Filtros pticos de vidrios. Biolgicos Desaseo. Aguas. Sanitarios. Contaminacin Ambiental. Epidemias. Infecciones. Enfermedades. Heridas. Orden y limpieza permanente. Desinfeccin. Vacunaciones. Vasos desechables. Sistema de purificacin de agua potable. Ergonmicos Lmparas quemadas. Mala ventilacin. Mala posicin en los escritorios. Dolores de espalda. Cansancio a la vista. Dolor de cabeza. Golpes. Mantenimiento correctivo inmediato. Ilustraciones en carteleras. Ventilacin adecuada. Psicosociales Clases de trabajo. Relaciones interpersonales. Adaptacin al puesto. Bajo rendimiento. Disgustos. Inconformidad Evitar tiempo extra. Motivacin a mantener buenas relaciones. Descanso de acuerdo a las necesidades. 9 Riesgos Enfocados en un Proyecto
Riesgos Tcnicos Amenazan la calidad y la planificacin temporal del Proyecto a realizar. Si un riesgo se convierte en realidad, la implementacin puede llegar a ser difcil o imposible. Los riesgos tcnicos identifican problemas potenciales de: Diseo Implementacin Verificacin Mantenimiento Las ambigedades de especificaciones Tecnologas
Riesgos de Proyectos Afectan a la Planificacin temporal, al Costo y Calidad del Proyecto. Identifican Problemas potenciales de Presupuesto, calendario, personal, Recursos, Cliente ...
Riesgos Organizacionales Amenazan la viabilidad del producto o servicio o el cumplimiento de metas y resultado. Estimacin. Planificacin. Control. Comunicacin.
Riesgos Externos Devaluaciones Escasez de materia prima 10 Robo o Hurto Riesgos Polticos
Riesgos de Negocio Relacionados con la Informtica Los riesgos informticos se refieren a la incertidumbre existente por la posible realizacin de un suceso relacionado con la amenaza de dao respecto a los bienes o servicios informticos. El concepto de riesgo informtico se desarrolla al parejo de la tecnologa.
Los principales riesgos informticos de los negocios son los siguientes:
Riesgos de I ntegridad: Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones. I nterface del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable separacin de obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento. Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos. 11 Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.). Administracin de seguridad: Los procesos en esta rea aseguran que la organizacin est adecuadamente direccionada a establecer, mantener y monitorizar un sistema interno de seguridad, que tenga polticas de administracin con respecto a la integridad y confidencialidad de la informacin de la organizacin, y a la reduccin de fraudes a niveles aceptables. Administracin de sistemas de bases de datos: Los procesos en esta rea estn diseados para asegurar que las bases de datos usados para soportar aplicaciones crticas y reportes tengan consistencia de definicin, correspondan con los requerimientos y reduzcan el potencial de redundancia.
12 Plan de Riesgos Prevenir los riesgos es conocer las vulnerabilidades de la empresa y el impacto de las incidencias. Tiene como finalidad la proteccin de las personas, equipos y trabajos vinculados con las actividades.
Plan de Riesgos Tcnicos Antivirus. Encriptacin. Control de Acceso. Copias de Resguardo. Reguladores. Plan de Riesgos de Proyectos Analizar apropiadamente los requerimientos del Proyecto. Evaluar el anlisis cuantitativo y cualitativo del Proyecto. Seleccionar el personal capacitad para cada Proyecto.
Plan de Riesgos Organizacionales Restringir el Acceso. Capacitacin del Personal. Actividades recreativas. Incentivos. Oportunidad de crecimiento profesional.
Plan de Riesgos Fsicos Medios de Extincin Automticos. Alarmas. Plantas Elctricas. 13 Sealizacin. Salidas de emergencias.
Tcnicas de Respuesta al Riesgo 1. Evitar el riesgo (ej. personal reemplazable). 2. Transferir el riesgo (ej. contratar seguro devaluacin moneda). 3. Atenuar el riesgo (ej. comprar un mejor servidor web). 4. Aceptacin pasiva, no se hace nada. 5. Aceptacin activa, se hace reserva de contingencia (ej. Cancelacin vuelos).
Seguimiento El seguimiento es el cuarto paso en el proceso de administracin de riesgos. Durante esta fase, el equipo vigila el estado de los riesgos y las acciones que ha aplicado para atenuarlos. El seguimiento de los riesgos es esencial para la implementacin de un plan de acciones eficaz. Esto implica establecer las unidades de medicin del riesgo y los eventos de activacin necesarios para asegurar que funcionan las acciones planificadas. Una de las herramientas para realizar el Seguimiento son Inspeccin y Auditora. Objetivos del Seguimiento 1. Actualizar el registro de riesgos conforme avanza el proyecto, identificando, analizando nuevos riesgos que pudiesen emerger, elaborando nuevas respuestas para tales riesgos. 2. Comprobar si han materializado alguno de los riesgos identificados; y si fuese as, ejecutar los correspondientes planes de respuesta. 3. Realizar el seguimiento de los planes de respuesta en ejecucin. 4. Administrar el fondo de reserva para contingencias. 14 Normas sobre el Anlisis de Riesgos ISO/31000 (ACTUAL): propone unas pautas genricas sobre cmo gestionar los riesgos de forma sistemtica y transparente. ISO/IEC 27001: Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI). ISO/IEC 27005: Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin. Basilea II: Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX): Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems, es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.
15 GLOSARIO DE TRMINOS
Aceptacin del riesgo: Es la decisin de recibir, reconocer, tolerar o admitir un riesgo. Esta decisin se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra. Amenaza: Una accin o situacin potencial que tiene la posibilidad de causar dao. Anlisis del riesgo: Uso sistemtico de la informacin disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. Ataque: Evento exitoso o no, que atenta sobre el buen funcionamiento del sistema. Controles: Protocolos y mecanismos de proteccin que permiten el cumplimiento de las polticas de seguridad de la organizacin. Un mismo control puede ser implementado para una o varias polticas de seguridad, lo que indica que la relacin no es forzosamente de uno a uno Evaluacin del riesgo: Comparacin de los resultados de un anlisis del riesgo con los criterios estndares del riesgo u otros criterios de decisin. Impacto: Son las prdidas resultantes de la actividad de una amenaza, las prdidas son normalmente expresadas en una o ms reas de impacto destruccin, denegacin de servicio, revelacin o modificacin. Riesgo: Un riesgo es la posibilidad de que se presente algn dao o prdida, esto es, la posibilidad de que se materialice una amenaza. Vulnerabilidad: Una vulnerabilidad informtica es un elemento de un sistema informtico que puede ser aprovechado por un atacante para violar la seguridad, as mismo pueden causar daos por s mismos sin tratarse de un ataque intencionado.
16 REFERENCIAS BIBLIOGRFICAS
Es.scribd.com (2012). Riesgos Informticos. [Documento en Lnea]. Disponible en: http://es.scribd.com/doc/29676926/RIESGOS-INFORMATICOS [Consulta: 2013, Febrero 20].
Espanol.pfizer.com (2012). Plan de Riesgo. [Documento en Lnea]. Disponible en: http://espanol.pfizer.com/_onelink_/pfizer/en2es/pdf/PDF%202- 2%20What%20is%20a%20Risk%20Management%20Plan.pdf [Consulta: 2013, Febrero 20].
Pacheco, J. (2012). Identificacin de Riesgos Laborables. [Documento en Lnea]. Disponible en: http://www.monografias.com/trabajos94/identificacion-riesgos- laborales/identificacion-riesgos-laborales.shtml [Consulta: 2013, Febrero 20].
Regla, R. (2012). Riesgos Informticos. [Documento en Lnea]. Disponible en: http://www.monografias.com/trabajos29/auditoria-seguridad/auditoria- seguridad.shtml [Consulta: 2013, Febrero 20].
Slideshare.net (2012). Seguimiento de Riesgo. [Documento en Lnea]. Disponible en: http://www.slideshare.net/GrupoAIS/seguimiento-del-modelo-interno-de-riesgo [Consulta: 2013, Febrero 20].
Wikipedia.org (2012). Riesgo. [Documento en Lnea]. Disponible en: http://es.wikipedia.org/wiki/Riesgo_%28inform%C3%A1tica%29 [Consulta: 2013, Febrero 20].