Toda organización debe contar con una

herramienta, que garantice la correcta evaluación

de los riesgos, a los cuales están sometidos los
procesos y actividades que participan en el área
informática
Por medio de procedimientos de control que pueda
evaluar el desempeño del entorno informático
Debe existir un comité de administración de
riesgos
 Evaluación de los riesgos inherentes a los
procesos informáticos
Evaluación de las amenazas o causas de
riesgos
Controles utilizados para minimizar las
amenazas a riesgos
Evaluación de los elementos del análisis de
riesgos
 Administración de riesgos
1. Clasificación de los riesgos

Riegos financieros: perdidas en ingresos

Riesgos Dinámicos: el entorno económico
Riesgos Estáticos: deshonestidad o fallas
humanas
Riesgo especulativo: se especula en cuánto al
futuro
Riesgo puro: Personal, posesiones, físico, químico
Biológicos, ergonómicos
 Administración de riesgos
2. Riesgos relacionados a G.T.I
Riesgos de integridad: es la completitud y
exactitud de entrada, procesamiento y salida
de datos
Interfase del usuario: son restricciones y
autorización en las ejecución de las
funciones
Procesamiento: adecuado balance de los
controles Detectivos y preventivos. Estos
se dividen
 Administración de riesgos
Riesgos relacionados a G.T.I
Procesamiento de errores: métodos que
aseguren la entrada y proceso de la
información
Interfase: Que la información procesada se
transmita adecuadamente
Administración de cambios: cambios en las
aplicaciones, pruebas y entrenamiento
Información: referidos al mantenimiento de
la información procesada
 Administración de riesgos
Riesgos relacionados a G.T.I

Riesgos de relación: se refiere al uso oportuno de

la información creada para la toma de decisiones
Riesgos de acceso: relacionados con los riesgos
de seguridad a aplicaciones, base de datos, etc.
Procesos del negocio: separación adecuada de las
funciones en los sistemas
Riesgos de utilidad: técnicas de recuperación y
restauración, backup y planes de contingencia
 Administración de riesgos
Riesgos relacionados a G.T.I

Riesgos en la estructura: planeación

organizacional como definición de las
aplicaciones, administración de la
seguridad, operaciones de redes,
administración de los sistemas de base de
datos y acceso a la información para la toma
de decisiones
3. Técnicas de procedimientos para
la Administración de Riesgos

Evitar riesgos: esta técnica tiene el

problema de que corta la oportunidad
Reducción del riesgo: pueden ser reducidos
con programas de seguridad, guardas,
alarmas, etc.
Conservación de riesgos: se absorbe el
riesgo por otras áreas de la organización
Compartir riesgos: se transfiere al grupo
 4. Herramientas de la
Administración de Riesgos

Control de riesgos: técnica diseñada para

minimizar los posibles costos causados por
el riesgo

Financiación de riesgos: es contar con una

reserva financiera o presupuestar un alcance
posible en un riesgo calculado de un
proyecto
 5. Proceso de la
Administración de Riesgos
Determinar los objetivos: se crea un plan
cuyo objetivo es garantizar la continuidad
de la organización minimizando los costos
asociados, debe existir una política
corporativa
Identificación de los riesgos: mediante
herramientas como registros internos, listas
de chequeo, cuestionarios de análisis, flujos
de proceso, análisis financiero, inspección
de operaciones, diagrama de causa y efecto
 Proceso de la
Administración de Riesgos

Evaluación de los riesgos: una vez

identificados los riesgos se evalúan en
potencial de las pérdidas y la probabilidad,
se debe priorizar en riesgos críticos, en
importantes y no importantes
Consideración de las alternativas y
tratamiento: se consideran las técnicas a
usar como evitar, retención, transferencia y
reducción
 Proceso de la
Administración de Riesgos

Implementación de la decisión, evaluación

y revisiones: el entorno de los riesgos no es
estático por tanto para una buena
administración de riesgos no solo debe
implementarse sino reevaluar y realizar
revisiones continuas mediante un programa
para ajustarse al nuevo entorno
 6. Responsabilidades de la
Administración de Riesgos

Desarrollar políticas de administración de

riesgos: el administrador de riesgos ayuda a
la organización planteando los objetivos y
las políticas junto con la alta gerencia
Identificar riesgos: requiere de un gran
sistema de información y técnicas
Seleccionar alternativas financieras: basado
en la estructura financiera el administrador
de riesgo recomienda el camino a tomar
 Responsabilidades de la
Administración de Riesgos

Negociar el alcance la seguridad: debe determinar

que es necesario asegurar combinando alcance y
costo
Supervisar la administración interna: incluye
estadísticas de pérdida, manuales de
administración de riesgos, monitorear
Administrar funciones de riesgo: monitorear que
los seguros y contratos sean adecuados
Supervisar la prevención de pérdidas: debe tener
un conocimiento global del área expuesta a una
posible pérdida
 7. Decisiones en la
Administración de Riesgos

Reacciones instintivas al riesgo: es el instinto

natural de auto preservación, son medidas de
control de comportamiento aprendido y se
convierten en reglas personales de prevención
Buenas y malas decisiones en la administración de
riesgos: es complejo determinar cuales son
buenas o malas decisiones, la evaluación debe ser
hecha con base a la información disponible y
actualizada
 Decisiones en la
Administración de Riesgos
Análisis del costo – beneficio: mide la
contribución que hace la administración de riesgos
Teoría de la utilidad: es decir utilidad o
satisfacción derivada del beneficio económico no
se incrementa proporcionalmente con los
incrementos en el bien
Teoría de la decisión: es la construcción de un
modelo de alternativas que se divide en tres tipos:
bajo certidumbre, bajo riesgo y bajo incertidumbre
 8. Auditoría en la
Administración de Riesgos
Evaluar los objetivos y las políticas: aparte de la
evaluación de la documentación se debe evaluar las
finanzas y la habilidad para soportar las pérdidas
Evaluar los riesgos: consiste en el análisis de las
operaciones para determinar las distintas exposiciones
a pérdida
Evaluar las decisiones relacionadas a la pérdida
Evaluar las medidas de administración de riesgo que
han sido implementadas Es verificar si se cumple
Recomendar cambios para el beneficio del programa
de auditoría
 9. Alcance de la Auditoría de
Administración de Riesgos
Políticas de administración de riegos:
objetivos del programa, responsabilidad y
consistencia con los objetivos
Control de riesgos: auditoría de la protección,
auditoría de la seguridad, auditoría ambiental y
auditoría del control de pérdida de propiedades
Función de seguridad: se evalúa el rol global y
una revisión detallada del alcance
10. Metodologías de identificación de
riesgos
Identificación basada en pérdidas pasadas:
historial de los riesgos. El proceso llamado
“Suscripción” consiste en el análisis de
experiencias pasadas.
Técnicas de sistemas de seguridad: es la
identificación de posibles causas antes que
ocurran, surge de la experiencia del programa
espacial en U.S.A.
Importante contar con una base de datos de
riesgos, un historial
 11. Matrices

Antes del En el Después del evento

evento momento
del evento
Individuo

Maquinaria

Equipo
 11. Matrices Análisis de efecto y
modo de amenaza
Software ocurrencia
Razones humanas ocurrencia
Resultado inmediato del Riesg
Impacto
Primera indicación
Estimación
Posibles medidas
Acción implementada
Costo de la solución
Mecanismo del riesgo
Causa del riesgo
Efecto del riesgo
Severidad del riesgo
Detención del riesgo
Probabilidad del riesgo
Medidas tomadas
Acción preventiva
Recursos
Procesos Dependencias

Finanzas Sistemas Cartera Contab

Gestión de centros X X X
transaccionales
Ad. De sistemas X

Atención al cliente X X

Conciliaciones X X
 Financiera Sistemas Cartera Contab.

Datos x x
erróneos
Fraude x x x x

Hurto x x x
 C o n tr o l e s
p re v e n tiv o s

D o c u m e n ta c ió n e x is te n te

E n tr a d a

E s irre le v a n te

C o n tr o l e s
d e te c t iv o s

D e c i s ió n

H a y q u e to m a r m e d i d a s

M e d id a D o c u m e n ta c ió n
P ro c e d im ie n to s
c o rre c tiv a