Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENFOQUE COSO
Definiendo “Riesgo”
ENFOQUE ANTIGUO:
“Contingencia o proximidad de un daño” /
“Estar una cosa expuesta a perderse”
NUEVO ENFOQUE:
“Es la contingencia de que suceda algo que
tendrá un impacto en los objetivos.”
RIESGO
• Riesgo del árabe clásico podría traducirse como “lo que depara la
providencia”. El término hace referencia a la proximidad o
contingencia de un posible daño.
• La noción de Riesgo suele utilizarse como sinónimo de peligro.
Sin embargo el riesgo está vinculado a la vulnerabilidad,
mientras que el peligro aparece asociado a la factibilidad del
perjuicio o daño.
• Es posible distinguir, por lo tanto, entre:
Riesgo: la posibilidad de daño
Peligro: la probabilidad de accidente o patología
En otras palabras, el peligro es una causa del riesgo.
RIESGO
• El RIESGO se puede definir como cualquier
evento que impida el cumplimiento de un
objetivo y que tiene un impacto negativo
PROCESOS
SUBPROCESOS
Riesgos
Asociados
Probabilidad Eventos que impedirán
De ocurrencia del evento el logro de la Actividad
CONTROLES
Tablas
De
Valoración Impacto
Que provocaría si
riesgo se materializa
Descripción Riesgos
del Riesgo
Imagen Procesos
Interno Externo
Legal Medio-Ambiental
Personas Sociales
Sistemas Tecnológicos
Probabilidad Impacto
Severidad del Riesgo
del Riesgo del Riesgo
Moderados Menores
Moderado Improbable Moderado Bajo
Periodicidad
Descripción
Preventivo
del Control
(como una Acción) Oportunidad
Correctivo
del Control
Detectivo
Automática
(Informatizada)
Automatización
del Control Semi-Automática
Manual
Análisis del Riesgo
Severidad
del Probabilidad Impacto
Riesgo
Escándalos
Aspectos relacionados con el
Corrupción
perfil y la reputación
Imagen social, Percepción de la Incumplimiento de las funciones
comunidad del actuar de Disconformidad de los usuarios
la Empresa.
Mal uso de recursos
Falta de integridad y confiabilidad de
datos
Falta de disponibilidad de datos y
Relacionado con los sistemas
sistemas de información,
Sistemas las tecnologías que Deficiencias en la selección de sistemas
posee y los datos que Deficiencias en el desarrollo y despliegue
maneja. de los sistemas
Deficiencias en el mantenimiento
Falta de interoperabilidad de los sistemas
Enfoque COSO
El 29 se septiembre del 2004 se lanzó el Marco de Control denominado COSO II que según su
propio texto no contradice al COSO I, siendo ambos marcos conceptualmente compatibles. Sin
embargo, este marco se enfoca a la gestión de los riesgos (más allá de la intención de reducir
riesgos que se plantea en COSO I) mediante técnicas como la administración de un portafolio
de riesgos.
A eso llamaremos “Gestión de Riesgo”
¿Qué es la Gestión Integral de Riesgos?
Es una metodología consistente en:
• IDENTIFICAR todos los riesgos estratégicamente
relevantes.
• ANALIZAR cada uno en función de su impacto y
probabilidad de ocurrencia (Ranking de Riesgo).
• EVALUAR la efectividad de controles existentes y
potenciales para mitigar su impacto.
• DECIDIR el tratamiento de los “riesgos residuales”
Proceso Gestión de Riesgo
RIESGOS IDENTIFICADOS
PROBABILIDAD IMPACTO
FUENTE SEVERIDAD
DESCRIPCION TIPO CLASIF
DEL CLASIF. VALOR VALOR DEL VALOR
DEL RIESGO DE RIESGO .
RIESGO RIESGO
NIVEL EFECTIVIDAD
DESCRIPCION CUMPLIMIENTO PERIODICIDAD OPORTUNIDAD AUTOMATIZACION VALOR
DEL CONTROL NORMAS DE
CONTROL
Matriz
POR RIESGO ESPECIFICO POR ETAPA
VALOR VALOR
NIVEL NIVEL
EXPOSICION RANKING EXPOSICION AL RANKING
EXPOSICION VALOR EXPOSICION VALOR
AL RIESGO PRIORIZACION RIESGO PRIORIZACION
AL RIESGO AL RIESGO
PONDERADA PONDERADA
ANÁLISIS
DE LA MATRIZ DE RIESGO
Esquemas y Resumen
ANALISIS DE MATRIZ DE RIESGO
Revisar aplicación
•Ponderar todos los procesos y subprocesos
de concepto de •Sumar 100%
ponderación y su •Justificar sobre variables objetivas
justificación
• Actualizar la descripción de los controles (qué, cómo, quién,
cuándo).
Mejorar análisis de • Revisión, Análisis y Mejora de los controles, considerando los
los controles riesgos relevantes o claves para mitigar el riesgo específico.
• Actualizar análisis de los control (efectividad de su diseño)
ANALISIS DE MATRIZ DE RIESGO
Definir Plan
de Tratamiento
• Proceso
• Riesgo Específico • Resultado de la
Medición de las
• Descripción de la Estrategia Metas
que se aplicará • Evidencia del
• Responsable de la estrategia Cumplimiento
• Plazo • Proyecciones de
Cumplimiento
• Indicador de Logro • Recomendaciones
• Periodo de Medición
• Meta
• Evidencia que se Observará
Ejemplo: Compromiso
Descripción de la Responsable de
Proceso Riesgo específico Plazo
estrategia a aplicar la estrategia
Se implementarán
Gestión de la Imposibilidad de acceder a los
Servidores con datos y Jefe de Informática Mensual
Información Servicios y datos
Servicios replicados.
Dificultades de búsqueda de Revisión de clasificación
Marzo a
Documentos por una clasificación de documentos en base a Jefe Of. de Partes
diciembre
Inadecuada. muestra.
Implementación de control
Omitir total o parcialmente la
quincenal de calidad del Marzo a
Digitalización de un documento o Jefe Of. de Partes
escaneo en base a una Diciembre
que este último resulte ilegible.
Gestión de muestra.
Documentos Evaluación de
No entregar en forma oportuna la Jefe Of. de Partes
Implementación de Diciembre
tramitación de los documentos Jefe de Informática
Workflow
Deterioro o extravío de
documentos Monitoreo del uso del Marzo a
Jefe Of. de Partes
Por falta de control y registro de libro. Diciembre
entrada y/o salida.
Error en la información asociada a
Transparencia Establecer control al azar Jefe de RR.HH Mensual
la persona