Definiciones Riesgo

Ing. Mario F. Mayorga G.
PROXIMIDAD DE UN DAÑO O PELIGRO:

Con este despertador no hay riesgo de que me duerma.
CADA UNO DE LOS ACCIDENTES O CONTINGENCIAS QUE PUEDEN SER

OBJETO DE UN CONTRATO DE SEGURO:
Seguro a todo riesgo.
CORRER RIESGO - ESTAR ALGO EXPUESTO A UN PELIGRO:

sobre esa mesa, el jarrón corre riesgo de caerse.
Ing. Mario F. Mayorga G. 2

RIESGO
DEFINICIONES
El estándar Internacional AS NZS 4360:
“LA POSIBILIDAD DE QUE SUCEDA ALGO QUE

TENDRÁ UN IMPACTO SOBRE LOS OBJETIVOS. SE
LO MIDE EN TÉRMINOS DE CONSECUENCIAS Y
PROBABILIDADES.”

RIESGO
DEFINICIONES
El estándar Magerit ver2:
“ ESTIMACIÓN DEL GRADO DE EXPOSICIÓN A QUE

UNA AMENAZA SE MATERIALICE SOBRE UNO O
MÁS ACTIVOS CAUSANDO DAÑOS O PERJUICIOS
A LA ORGANIZACIÓN.”
El riesgo indica lo que le podría pasar a los activos si no se protegieran
adecuadamente. el sistema.

RIESGO
DEFINICIONES
Publicación Especial 800-30 del NIST:
“ES UNA FUNCIÓN DE LA PROBABILIDAD DE UNA
AMENAZA DADA QUE EJERCITA UN POTENCIAL
PARTICULAR DE VULNERABILIDAD Y EL IMPACTO
QUE RESULTA DE ESE ACONTECIMIENTO
ADVERSO EN LA ORGANIZACIÓN.”
El impacto refiere a la magnitud de daño que se podría causar por el
ejercicio de una amenaza dada por una vulnerabilidad.

RIESGO
DEFINICIONES
Framework Risk IT
“IT risk is business risk—specifically, the business risk associated with the use,
ownership, operation, involvement, influence and adoption of IT within an
enterprise. It consists of IT-related events that could potentially impact the
business. It includes both uncertain frequency and magnitude, and it creates
challenges in meeting strategic goals and objectives as well as uncertainty in
the pursuit of opportunities.”
“El riesgo del negocio asociado al uso, propiedad, operación, implicación,
influencia y adopción de él dentro de una empresa. Consiste en los
acontecimientos relacionados con la misma, que podrían potencialmente
afectar el negocio. Incluye frecuencia y magnitud incierta y crea desafíos en
el cumplimiento de metas y objetivos estratégicos de la organización, así
como incertidumbre en la búsqueda de oportunidades”

RIESGO
OTROS CONCEPTOS
El riesgo puede consistir en la mera posibilidad de un
hecho adverso, en la causa de un evento, en la magnitud
de la consecuencia, en alguien o algo considerado como
peligroso y también en la conceptualización de un
procedimiento para la estimación de una cantidad. En un
sentido genérico el riesgo incluye una variedad de
aspectos, todos los cuales constituyen el concepto de
riesgo
Ángela María Díaz Ceballos - SURATEP

RIESGO
OTROS CONCEPTOS
La palabra riesgo proviene del latín “risicare” que significa
“atreverse”. En finanzas, el concepto de riesgo está
relacionado con la posibilidad de que ocurra un evento
que se traduzca en pérdidas para los participantes en los
mercados financieros, como pueden ser inversionistas,
deudores o entidades financieras. El riesgo es producto de
la incertidumbre que existe sobre el valor de los activos
financieros, ante movimientos adversos de los factores
que determinan su precio; a mayor incertidumbre mayor
riesgo.
Banco de México - 2005
RIESGO
“ES LA PROBABILIDAD DE
QUE UN HECHO OCURRA EN
EL FUTURO DEPENDIENDO
DE FACTORES DE AZAR, DE
PERSONAS O SITUACIONES
IMPREVISIBLES”

RIESGO
“ES LA PROBABILIDAD DE OCURRENCIA
DE UN EVENTO NO DESEABLE O QUE
UN HECHO OCURRA EN EL FUTURO
DEPENDIENDO DE FACTORES DE AZAR,
DE PERSONAS O SITUACIONES
IMPREVISIBLES. QUE AFECTE EL
LOGRO DE LOS OBJETIVOS Y METAS DE
UNA ORGANIZACIÓN””

PROBABILIDAD
• EL GRADO DE FIRMEZA
DE UNA OPINIÓN O
CREENCIA
• LA PROPORCIÓN DE
VECES QUE UN SUCESO
OCURRE EN UN
PERIODO DE TIEMPO
LA PROBABILIDAD DE TODO SUCESO ESTA

COMPRENDIDO ENTRE 0 Y 1
ORIGEN DE LAS ORGANIZACIONES Y
EL RIESGO
MERCADO RECURSOS
EMPRESA
FINANCIEROS TECNOLOGICOS
NATURALES TECNICOS
OTROS
4 DATOS
RECURSOS
FISICOS 4 SISTEMAS DE
APLICACIÓN
4 TECNOLOGIA
4 INSTALACIONES
PROCESO ADMINISTRATIVO 4 GENTE
AREAS FUNCIONALES
• PLANEACION
• TALENTO HUMANO
• ORGANIZACIÓN • PRODUCCION
• DIRECCION • MERCADEO
• CONTROL • SERVICIOS
• FINANZAS
ORIGEN DE LAS ORGANIZACIONES Y
EL RIESGO
MERCADO RECURSOS
EMPRESA
FINANCIEROS TECNOLOGICOS
NATURALES TECNICOS
OTROS
FISICOS RECURSOS 4 DATOS
4 SISTEMAS DE
APLICACIÓN
4 TECNOLOGIA
4 INSTALACIONES
AREAS FUNCIONALES 4 GENTE
PROCESO ADMINISTRATIVO
R
I
• PLANEACION
E • TALENTO HUMANO
• ORGANIZACIÓN S • PRODUCCION
• DIRECCION G • MERCADEO
• SERVICIOS
• CONTROL O • FINANZAS
FLUJOGRAMA DE LA PLANEACION
ESTRATEGICA
EL SER
MEDIO AMBIENTE - COMPETENCIA
EL DEBER SER
DETERMINACION DEL RUMBO
FORTALEZAS
IMPLEMENTACION
ANALISIS PEFOD
INTERNO
DEBILIDADES
MATRIZ S
PORTAFOLIO I
DOFA S
OPORTUNIDADES
POLITICAS T
ANALISIS E
EXTERNO POAM D
METAS M E
AMENAZAS
A
ESTRATEGIA OBJETIVOS
CORPORATIVA E C
TACTICAS S O
PRINCIPIOS T N
ESTRATEGIAS R T
FUNCIONALES A R
PLAN T O
CULTURA VISION E
ESTRATEGICO MISION L
CORPORATIVA G
I
C
O
VALORES
PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2

FLUJOGRAMA DE LA PLANEACION
ESTRATEGICA
RIESGO
EL SER
MEDIO AMBIENTE - COMPETENCIA
EL DEBER SER
DETERMINACION DEL RUMBO
FORTALEZAS
IMPLEMENTACION
ANALISIS PEFOD
INTERNO
DEBILIDADES
MATRIZ S
PORTAFOLIO I
DOFA S
OPORTUNIDADES
POLITICAS T
ANALISIS E
EXTERNO POAM D
METAS M E
AMENAZAS A
ESTRATEGIA OBJETIVOS
CORPORATIVA E C
TACTICAS S O
PRINCIPIOS T N
ESTRATEGIAS R T
FUNCIONALES A R
T O
PLAN CULTURA VISION MISION E L
ESTRATEGICO CORPORATIVA G
I
C
O
VALORES
PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2

SISTEMA ESTRATEGICO DE CONTROL
OBJETIVOS METAS
INDICADORES
CORRESPON
DE
CORRESPONDE
A LA
MEDICION LA REALIDAD CONTINUAR
REALIDAD
A LO
A LO
PLANEADO SI
POLITICAS PLANEADO
TECNICAS NO
ADOPTAR
MEDIDAS
ESTRATEGIA TACTICAS
CORRECTIVAS
FUNCIONAL

VARIABLES DEL ENTORNO
AMBIENTAL GEOGRAFICA DEMOGRAFICA
COMPETITIVA TECNOLOGICA
SOCIO -
ECONOMICA POLITICA
CULTURAL

VARIABLES DEL ENTORNO
AMBIENTAL GEOGRAFICA DEMOGRAFICA
R
I
COMPETITIVA TECNOLOGICA
E
S
G
O
SOCIO -
ECONOMICA POLITICA
CULTURAL

INCERTIDUMBRE ORGANIZACIONAL
Se posee información deficiente para tomar la decisión, no se
tiene ningún control sobre la situación, no se conoce como
puede variar o la interacción de la variables del problema, se
pueden plantear diferentes alternativas de solución pero no
se le puede asignar probabilidad a los resultados que arrojen.
Con base en lo anterior hay dos clases de incertidumbre:
Estructurada: No se sabe que puede pasar entre diferentes

alternativas, pero sí se conoce que puede ocurrir entre varias
posibilidades.
No estructurada: No se sabe que puede ocurrir ni las

probabilidades para las posibles soluciones, es decir no se
tienen ni idea de que pueda pasar.

INCERTIDUMBRE ORGANIZACIONAL
I
C
G
E
N
R
O T
R
A
> < E
Z
N A
C
I
A INCERTIDUMBRE
RIESGO RIESGO RIESGO RIESGO RIESGO

PERCEPCION DEL
RIESGO
La percepción del Riesgo de las personas difiere

notablemente en función de su experiencia personal
y directa
La percepción es la función psíquica que permite al organismo, a

través de los sentidos, recibir, elaborar e interpretar la información
proveniente de su entorno

Los Riesgos Varían...
• DE UN LUGAR A OTRO
• DE UN SISTEMA A OTRO
• DE UN MOMENTO A OTRO
RECURSOS DE TECNOLOGÍA
DE INFORMACIÓN
• DATOS:
INCLUYE A LOS OBJETOS DE INFORMACIÓN EN SU SENTIDO
MÁS AMPLIO, INTERNOS Y EXTERNOS, ESTRUCTURADOS Y
NO ESTRUCTURADOS, GRÁFICOS, SONIDOS, IMÁGENES,
ETC.
• SISTEMAS DE APLICACIÓN:
LA SUMA DE PROCEDIMIENTOS MANUALES Y
PROGRAMADOS.
RECURSOS DE TECNOLOGÍA
DE INFORMACIÓN
• TECNOLOGÍA:
INCLUYE HARDWARE, SISTEMAS OPERACIONALES, DBMS’S, REDES,
MULTIMEDIA, ETC.
• INSTALACIONES:
LOS RECURSOS NECESARIOS PARA ALOJAR Y SOPORTAR LOS SISTEMAS
DE INFORMACIÓN
* LAS PERSONAS:
INCLUYE LAS HABILIDADES, CONCIENCIA Y PRODUCTIVIDAD DE LAS
PERSONAS PARA PLANEAR, ORGANIZAR, ADQUIRIR, PRESTAR
SERVICIOS, SOPORTAR Y MONITOREAR LOS SERVICIOS Y SISTEMAS DE
INFORMACIÓN.
FACTORES DE LOS QUE DEPENDEN
LOS RIESGOS
• EL VOLUMEN DE LOS RECURSOS

• LA COMPLEJIDAD DE LAS ACTIVIDADES
• ESTRUCTURA ORGANIZATIVA
• MAGNITUD DE RECURSOS Y PRODUCTOS
• GIRO DE LA EMPRESA
• NIVEL DE TECNIFICACION ALCANZADO
• LAPSO Y MOMENTO EVOLUTIVO DE LA EMPRESA
• MARCO COMPETITIVO NACIONAL E INTERNACIONAL
• VELOCIDAD CON QUE SE DESENVUELVE LA EMPRESA
ACTITUD FRENTE AL RIESGO
• ELUDIRLO O EVITARLO: actúan para
abandonar las actividades que generan
riesgos
• REDUCIRLO: reducen la probabilidad

del riesgo, el impacto del mismo o
ambos.
• COMPARTIRLO O TRANSFERIRLO:
reducen la probabilidad o el impacto
del riesgo transfiriendo o compartiendo
de otro modo una porción del riesgo
• ACEPTARLO: no actúan de forma alguna

para modificar la probabilidad o el
impacto del riesgo.
EVALUACION DE LOS RIESGOS
CONOCIMIENTO OBSERVADORES ALTAMENTE

CALIFICADOS ADVIERTEN LOS
DE LOS RIESGOS TÉCNICOS Y
DESCUBREN CUÁLES PUEDEN
RIESGOS
EXPLOTAR POR SÍ MISMOS
ALTOS
OBSERVADORES NO MUY
CALIFICADOS SÓLO
BAJOS
ADVIERTEN LOS RIESGOS
BÁSICOS
RIESGOS A NIVEL DE EMPRESA
RIESGO RESIDUAL
RIESGO INHERENTE NIVEL DE EXPOSICION
RIESGO CONTROLADO
RIESGO ADQUIRIDO

DECISION CON EL RIESGO
RESIDUAL
• TERMINAR : abandonar la actividad por excesivamente
riesgosa
• REDUCIR : fortalecer controles o implantar nuevos controles
• ACEPTAR : tomar el riesgo
• PASAR : contratar, por ejemplo, una póliza de seguro

EQUILIBRIO DE RIESGOS Y CONTROLES
RIESGOS CONTROLES
EXCESO Y DEFECTO DE PROTECCION
RIESGOS CONTROLES
C
O
S
T
O
S
RIESGOS NO EXCESO DE CONTROL
T
O
CONTROLADOS
T
A
L RIESGOS CONTROLADOS
E
S APROPIADAMENTE
FASES DE LAS PERDIDAS Y CONTROLES

ANALISIS DE RIESGOS
INTRODUCCION
• LOS RIESGOS EXISTEN EN TODO TIPO DE NEGOCIO.
ALGUNOS SON INHERENTES AL MISMO, OTROS SE
ADQUIEREN POR:
• RAZONES INTERNAS ( EL MANEJO QUE LE DAN LOS
ADMINISTRADORES Y EL PERSONAL EN GENERAL), O
• RAZONES EXTERNAS ( INFLUENCIAS EL MEDIO DONDE
SE MUEVE EL NEGOCIO)
• DESDE QUE SE PIENSA EN UN NUEVO NEGOCIO, DENTRO DE
LA PLANEACIÓN ESTRATÉGICA SIEMPRE DEBE ESTAR
INMERSO UN ANÁLISIS DE RIESGOS Y EL
ESTABLECIMIENTO DE CONTROLES ADECUADOS CON EL
OBJETO DE ASEGURAR LA CONTINUIDAD DEL NEGOCIO
CON EL BUEN MANEJO DE LOS RECURSOS
ANALISIS DE RIESGOS
• ESTIMACIÓN DE LA
MATERIALIDAD
(CONSECUENCIA)
• ANÁLISIS DE LA PROBABILIDAD
(FRECUENCIA)
• DETERMINAR LAS POLÍTICAS
DE ADMINISTRACIÓN DEL
RIESGO
ANALISIS DE RIESGOS
USUARIOS
LA ALTA GERENCIA
• PARA EVALUAR LA DECISIÓN DE INVERSIÓN Y
REESTRUCTURACIÓN
• PARA BALANCEAR RIESGOS E INVERSIÓN EN CONTROLES
LA UNIDAD U OFICINA DE CONTROL INTERNO

• PARA DISEÑAR EL SISTEMA DE CONTROL INTERNO
• PARA SUPERVISAR Y VERIFICAR EL SISTEMA DE CONTROL
INTERNO
LA AUDITORIA
• PARA EVALUAR Y VERIFICAR EL SISTEMA DE CONTROL INTERNO
• PARA DICTAMINAR SOBRE LO APROPIADOS QUE SON LOS
CONTROLES EXISTENTES
ANALISIS DE RIESGOS
RESPONSABILIDAD DE SU EJECUCION
EL ANALISIS DE RIESGO ESTA EN CABEZA DE LA ALTA
DIRECCION, QUIEN DEBE DELEGAR EN LOS JEFES DE
CADA AREA FUNCIONAL SU ELABORACIÓN,
SUPERVISION Y MANTENIMIENTO
LA OFICINA DE CONTROL INTERNO Y LA AUDITORIA

DEBEN ASESORAR SU ELABORACIÓN
NIVEL DE IDENTIFICACIÓN DE RIESGOS
• A nivel Corporativo
GERENCIA
SUGGERENCIA FINANCIERA SUBGERENCIA FINANCIERA SUBGERNCIADE SERVICIOS
•A nivel de Proceso
•A nivel de Área (Actividad-Tarea)
Funcional
ALCANCE
ANALISIS DE RIESGOS
NIVEL CORPORATIVO
CORRESPONDE AL ANALISIS DE RIESGOS DE TODA LA ORGANIZACIÓN INICIANDO
EN LA ALTA GERENCIA Y YENDO HASTA LA MAS BAJA AREA FUNCIONAL
ALCANCE
ANALISIS DE RIESGOS
POR DEPENDENCIA
CORRESPONDE A UNA AREA FUNCIONAL DE LA ORGANIZACIÓN DEPENDIENDO DEL
ALCANCE DEL MAPA DE RIESGO, ESTE SE PUEDE REALIZAR SIGUIENDO LA
ESTRUCTURA ORGANIZACIONAL A:
LA GERENCIA
UNA DIVISION
UN DEPARTAMENTO
UNA SECCION
UNA OFICINA
GERENCIA
SUBGERENCIA SUBGERENCIA SUBGERENCIA

ADMINISTRATIVA FINANCIERA DE SERVICIOS
ALCANCE
ANALISIS DE RIESGOS
POR PROCESO
CONJUNTO DE PASOS (TAREAS)

QUE SE EJECUTAN EN UNA FORMA
LOGICA Y ORDENADA Y CUYO
RESULTADO PERMITE LA TOMA DE
DECISIONES
LOS PROCESOS DESCRITOS,

ACTUALIZADOS, DOCUMENTADOS,
ESTANDARIZADOS E
INSTITUCIONALIZADOS
CONSTITUYEN EL PATRIMONIO
COGNOSCITIVO DE CUALQUIER
ORGANIZACIÓN
FORMA DE IDENTIFICACION DE
RIESGOS EN LA EMPRESA
• OBJETIVA
• SUBJETIVA
FORMA DE IDENTIFICACION DE RIESGOS EN
LA EMPRESA
METODO OBJETIVO
• EXAMINAR LOS INCIDENTES ACAECIDOS EN

FUNCION DE SU COSTO Y FRECUENCIA.
• EFECTUAR UNA PREDICCION DE LAS PERDIDAS

FORMA DE IDENTIFICACION DE RIESGOS EN
LA EMPRESA
METODO SUBJETIVO
TOMAR, ASÍ MISMO EN CONSIDERACIÓN

LOS DATOS DE LA EXPERIENCIA, PERO SE
BASAN FUNDAMENTALMENTE EN UNA
MEJOR PREVISION SOBRE LO QUE PUEDE
FALLAR EN EL FUTURO
• IDENTIFICACION DE EVENTOS: Se deben identifica eventos que afecten la
implementación de las estrategias o el logro de los objetivos, con impacto positivo,
negativo o ambos
Los eventos con un impacto negativo representan RIESGOS, Los cuales necesitan ser
analizados y administrados
Los eventos con un impacto positivo representan OPORTUNIDADES, las cuales

deben ser retomadas por la gerencia, estableciendo estrategias y objetivos
• FACTORES A CONSIDERAR : Los eventos pueden venir de Factores o variables Internas o

externas. Se debe reconocer la importancia de comprender dichos factores y el tipo de
eventos que pueden estar asociados a los mismos
• TECNICAS DE IDENTIFICACION DE EVENTOS:
• Existen técnicas localizadas en el pasado y otras en el futuro

• Existen técnicas de diferente grado de sofisticación
Ejemplos:
Inventario de Eventos
Análisis de Información Histórica ( de la empresa o del sector)
Indicadores de Excepción
Entrevistas y cesiones grupales dirigidas
Análisis de Procesos ( manuales y Técnicos)
Análisis de Documentos ( manuales de funciones, estándares, procedimientos, etc.)
Revisiones y observación física ( de áreas. de equipos , de instalaciones)
RIESGOS A NIVEL DE EMPRESA
LOS RIESGOS INHERENTES Y ADQUIRIDOS

DEL NEGOCIO, SON AFECTADOS POR
FACTORES:
• INTERNOS
• EXTERNOS
FACTORES INTERNOS DEL RIESGO INHERENTE Y
ADQUIRIDOS DE LAS EMPRESAS
• MALOS SISTEMAS DE INFORMACIÓN
• RUPTURA DE LOS SISTEMAS DE
INFORMACIÓN
• CALIDAD DEL PERSONAL CONTRATADO
• CAMBIOS EN LAS RESPONSABILIDADES
DE LA GERENCIA
• POLÍTICAS COMERCIALES AGRESIVAS
FACTORES EXTERNOS DEL RIESGO INHERENTE Y
ADQUIRIDO DE LAS EMPRESAS
• DESARROLLO TECNOLÓGICO
• CAMBIOS DE LAS NECESIDADES DE LOS
CLIENTES
• COMPETENCIA
• NUEVA LEGISLACIÓN
• CATÁSTROFES
• CAMBIOS ECONÓMICOS
FORMA DE ESCRIBIR LOS RIESGOS
EL RESULTADO DE NOMBRAR UN RIESGO, SE PUEDE DAR
DETERMINANDO UNA CADENA DE CAUSAS Y EFECTOS .
SE PUEDE ENTONCES APLICAR LA TECNICA DE DIAGRAMA DE

CAUSA – EFECTO ( ESPINA DE PESCADO)
FORMA DE ESCRIBIR LOS RIESGOS
RIESGOS:
• CAMISAS CON DEFECTOS, DADOS POR UTILIZAR UN MOLDE CON DEFECTOS, DISEÑADO POR
PESONAL NO CALIFICADO
• CAMISA CON DEFECTOS, POR ELABORARSE EN UNA MAQUINA DE COSTURA DEFECTUOSA
CLASIFICACIONES DE LOS RIESGOS
RIESGO REPUTACIONAL
RIESGO LEGAL
RIESGO OPERATIVO
RIESGOS DE CONTAGIO
RIESGOS TECNOLOGICOS
RIESGOS FINANCIEROS
• RIESGO REPUTACIONAL
ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE

UNA EMPRESA O ENTIDAD POR DESPRESTIGIO, MALA
IMAGEN, PUBLICIDAD NEGATIVA, CIERTA O NO,
RESPECTO DE LA INSTITUCIÓN Y SUS PRÁCTICAS DE
NEGOCIOS, QUE CAUSE PÉRDIDA DE CLIENTES,
DISMINUCIÓN DE INGRESOS O PROCESOS
JUDICIALES.
• RIESGO LEGAL
ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE UNA EMPRESA O
ENTIDAD AL SER SANCIONADA, MULTADA U OBLIGADA A
INDEMNIZAR DAÑOS COMO RESULTADO DEL INCUMPLIMIENTO DE
NORMAS O REGULACIONES Y OBLIGACIONES CONTRACTUALES.
EL RIESGO LEGAL SURGE TAMBIÉN COMO CONSECUENCIA DE FALLAS

EN LOS CONTRATOS Y TRANSACCIONES, DERIVADAS DE ACTUACIONES
MALINTENCIONADAS, NEGLIGENCIA O ACTOS INVOLUNTARIOS QUE
AFECTAN LA FORMALIZACIÓN O EJECUCIÓN DE CONTRATOS O
TRANSACCIONES.
• RIESGO OPERATIVO
ES LA POSIBILIDAD DE INCURRIR EN PÉRDIDAS POR DEFICIENCIAS, FALLAS O INADECUACIONES, EN

EL RECURSO HUMANO, LOS PROCESOS, LA TECNOLOGÍA, LA INFRAESTRUCTURA O POR LA
OCURRENCIA DE ACONTECIMIENTOS EXTERNOS. ESTA DEFINICIÓN INCLUYE EL RIESGO LEGAL Y
REPUTACIONAL, ASOCIADOS A TALES FACTORES.
EL COMITÉ DE BASILEA HA DEFINIDO EL RIESGO OPERATIVO COMO «EL RIESGO DE PÉRDIDA

CAUSADA POR FALLA O INSUFICIENCIA DE PROCESOS, PERSONAS Y SISTEMAS INTERNOS, O POR
EVENTOS EXTERNOS» (BASSEL COMMITTEE ON BANKING SUPERVISION, 2003)
ADICIONALMENTE, EL COMITÉ HA PROPUESTO LAS SIGUIENTES SIETE CATEGORÍAS, LAS CUALES

INCLUYEN SUBCATEGORÍAS, PARA CLASIFICAR LOS POSIBLES EVENTOS QUE REPRESENTAN
PÉRDIDAS ASOCIADAS AL RIESGO OPERATIVO: FRAUDE INTERNO, FRAUDE EXTERNO, PRÁCTICAS DE
EMPLEO Y SEGURIDAD DEL AMBIENTE DE TRABAJO, CLIENTES, PRODUCTOS Y PRÁCTICAS DEL
NEGOCIO, DAÑO A LOS ACTIVOS FÍSICOS, INTERRUPCIÓN DEL NEGOCIO Y FALLAS EN LOS SISTEMAS,
Y EJECUCIÓN Y MANEJO DE PROCESOS
• RIESGO DE CONTAGIO
ES LA POSIBILIDAD DE PÉRDIDA QUE UNA EMPRESA O

ENTIDAD PUEDE SUFRIR, DIRECTA O INDIRECTAMENTE,
POR UNA ACCIÓN O EXPERIENCIA DE UN RELACIONADO O
ASOCIADO.
EL RELACIONADO O ASOCIADO INCLUYE PERSONAS

NATURALES O JURÍDICAS QUE TIENEN POSIBILIDAD DE
EJERCER INFLUENCIA SOBRE LA EMPRESA O ENTIDAD.
• RIESGOS TECNOLÓGICO :
SE DEFINE COMO LA PÉRDIDA POTENCIAL POR DAÑOS,

INTERRUPCIÓN, ALTERACIÓN O FALLAS DERIVADAS DEL
USO O DEPENDENCIA EN EL HARDWARE, SOFTWARE,
APLICACIONES, REDES, Y CUALQUIER OTRO CANAL DE
DISTRIBUCIÓN DE INFORMACIÓN EN LA PRESTACIÓN DE
SERVICIOS CON LOS CLIENTES INTERNOS O EXTERNOS
DE LA EMPRESA.
• RIESGOS FINANCIEROS
SON LOS RIESGOS QUE SURGEN PRODUCTO DE LA ESTRUCTURA DE
FINANCIACIÓN DE LAS EMPRESAS
• RIESGO DE LIQUIDEZ
• RIESGO DE TASA DE INTERÉS
• RIESGO DE TASA DE CAMBIO
• RIESGO DE INFLACIÓN
• RIESGOS DE LA INFORMACIÓN FINANCIERA
Riesgos Financieros
RIESGOS EN LA INFORMACIÓN
FINANCIERA
a. RIESGOS EN SU PROCESAMIENTO
b. RIESGO DE RUPTURAS EN LOS
SISTEMAS DE INFORMACIÓN
c. RIESGO DE USO INADECUADO DE LA
INFORMACIÓN
Riesgos Financieros
a. RIESGOS EN EL PROCESAMIENTO DE
LA INFORMACIÓN FINANCIERA
SON LOS RIESGOS DE QUE LA EMPRESA PROCESE SU

INFORMACIÓN INCORRECTAMENTE Y QUE SUS ESTADOS
FINANCIEROS NO SEAN PREPARADOS DE ACUERDO CON
LOS PRINCIPIOS DE CONTABILIDAD GENERALMENTE
ACEPTADOS
Riesgos Financieros
RIESGOS EN EL PROCESAMIENTO DE LA
INFORMACIÓN FINANCIERA
• TODOS LOS HECHOS ECONÓMICOS QUE SE GENERAN EN LA

EMPRESA PUEDEN NO SER ADECUADAMENTE
DOCUMENTADOS
• LAS TRANSACCIONES PUEDEN NO SER INGRESADAS O

PROCESADAS EN LOS SISTEMAS O PROCESADAS MÁS DE UNA
VEZ
• LAS TRANSACCIONES PUEDEN SER INGRESADAS O

PROCESADAS INCORRECTAMENTE EN LOS SISTEMAS
Riesgos Financieros
RIESGOS EN EL PROCESAMIENTO DE LA
INFORMACIÓN FINANCIERA
• TRANSACCIONES RECHAZADAS O EN SUSPENSO PUEDEN NO

SER AISLADAS, ANALIZADAS Y CORREGIDAS
• LAS TRANSACCIONES INGRESADAS A LOS SISTEMAS PUEDEN

SER PROCESADAS CON CRITERIOS DIFERENTES A LOS
APROBADOS POR LA GERENCIA
• LOS ARCHIVOS PERMANENTES PUEDEN NO SER

ACTUALIZADOS OPORTUNAMENTE
Riesgos Financieros
FACTORES QUE INCREMENTAN EL RIESGO DE

PROCESAMIENTO INCORRECTO DE LA INFORMACIÓN
FINANCIERA
• ALTO VOLUMEN DE TRANSACCIONES

• COMPLEJIDAD EN LAS OPERACIONES
• SUSCEPTIBILIDAD DE OPERACIONES NO REGISTRADAS
• GRAN NÚMERO DE SUCURSALES Y AGENCIAS
• NUEVOS PRODUCTOS
• OPERACIONES FUERA DE BALANCE
• GRADO DE AUTOMATIZACIÓN
• INDIVISIBILIDAD DE LAS OPERACIONES PROCESADAS POR
COMPUTADOR
• FALTA DE SEPARACIÓN DE TAREAS
• FALTA DE INTERACTIVIDAD DE LOS SISTEMAS DE INFORMACIÓN
Riesgos Financieros
b. RIESGOS DE RUPTURA DE LOS SISTEMAS

DE INFORMACIÓN
Es el riesgo de que la empresa no pueda procesar su

información financiera oportunamente por daños en los
sistemas de información
• Se requieren Planes de Contingencia

Riesgos Financieros
c. RIESGO DE USO INADECUADO

DE LA INFORMACIÓN
1. RIESGO DE FRAUDE
2. RIESGO DE DAÑOS
c.1. RIESGO DE FRAUDE
• PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A

ACTIVOS HABILITÁNDOSE PARA ROBARLOS O USARLOS
EN BENEFICIO PROPIO
• PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A
LOS REGISTROS Y A LOS PROGRAMAS DE APLICACIONES
HABILITÁNDOLOS PARA LEERLOS, ALTERARLOS,
MODIFICARLOS Y BORRARLOS O INGRESAR
TRANSACCIONES NO AUTORIZADAS
• TODOS LOS INGRESOS QUE SE GENERAN A FAVOR DE LA
EMPRESA PUEDEN NO SER INGRESADOS A SUS ACTIVOS
Y REGISTROS
• LAS TRANSACCIONES DE LA EMPRESA PUEDEN NO SER
VALIDAS NI ESTAR ADECUADAMENTE AUTORIZADAS
TÉCNICAS PARA EVITAR EL FRAUDE
• ESCUCHANDO SE OYEN MUCHAS COSAS

• MIRANDO SE VEN MUCHAS COSAS
• AUDITORÍA DE PUNTOS CRÍTICOS
• CREACIÓN DE UN MARCO PREVENTIVO CONTRA EL FRAUDE
• LA PREVENCIÓN DEBE SER UNA ACTIVIDAD RUTINARIA
• ASIGNACIÓN DE RECURSOS ESPECÍFICOS
• VIGILANCIA PREVENTIVA
• INVESTIGAR TODOS LOS FRAUDES QUE SE PRODUCEN
• INVENTARIOS PERIÓDICOS
• CONFIRMACIÓN INDEPENDIENTE CON TERCEROS
FACTORES QUE INCREMENTAN LOS RIESGOS DE FRAUDE
Y ATRACO
• GRADO DE LIQUIDEZ DE LOS ACTIVOS

• SUSCEPTIBILIDAD DE INGRESOS Y OPERACIONES NO
REGISTRADAS
• ALTO VOLUMEN DE OPERACIONES
• ALTO VOLUMEN INDIVIDUAL DE ACTIVOS LÍQUIDOS
• SUSCEPTIBILIDAD DE OPERACIONES FICTICIAS
• UBICACIÓN DE LOS ESTABLECIMIENTOS COMERCIALES
• ACTITUD DE LA GERENCIA FRENTE AL FRAUDE
• POBRES SISTEMAS DE INFORMACIÓN E INFORMACIÓN
INOPORTUNA
• CUENTAS EN SUSPENSO SIGNIFICATIVAS NO ANALIZADAS
OPORTUNAMENTE
• CALIDAD DEL PERSONAL CONTRATADO
• FALTA DE SEGREGACIÓN DE FUNCIONES
c. 2. RIESGOS DE DAÑOS
• ACCIDENTES A LOS EMPLEADOS O

TERCEROS
• INCENDIO
• HUELGA, MOTÍN, ASONADA
• INUNDACIONES
• CORRIENTE DÉBIL
• TERREMOTO
• RESPONSABILIDAD CIVIL
INFIDELIDAD DEL PERSONAL
COMPORTAMIENTO
PLENAMENTE
FRAUDULENTO EN
CUANTO LAS
25% CIRCUNSTANCIAS LO
PERMITEN
TAN HONRADOS
50%
COMO LO PERMITEN
LOS CONTROLES Y
LA MOTIVACIÓN
DEL PERSONAL
COMPLETAMENTE
25%
HONRADOS EN
CUALQUIER
MOMENTO
RIESGOS GENERALES DEL DEPARTAMENTO PED
a. ACCESO A FUNCIONES DE PROCESAMIENTO

b. INGRESO DE DATOS
c. ITEMS RECHAZADOS O EN SUSPENSO
d. PROCESAMIENTO
e. ESTRUCTURA ORGANIZATIVA
f. CAMBIOS A LOS PROGRAMAS
g. ACCESO GENERAL
h. CONTINUIDAD EN LAS OPERACIONES
Riesgos Generales del Departamento PED
PERSONAS NO AUTORIZADAS PUEDEN TENER ACCESO A

LAS FUNCIONES DE PROCESAMIENTO DE
TRANSACCIONES DE LOS PROGRAMAS DE APLICACIÓN,
PERMITIÉNDOLES LEER, MODIFICAR, AGREGAR O
ELIMINAR DATOS INGRESAR TRANSACCIONES NO
AUTORIZADAS PARA SU PROCESAMIENTO

(Cont.)
RIESGOS ASOCIADOS
• EL USUARIO QUE MODIFICA ARCHIVOS

MAESTROS INGRESA TRANSACCIONES
• UN MISMO EMPLEADO INGRESA FACTURAS,
INFORMES DE RECEPCIÓN Y COMPRAS
• PERSONAL NO AUTORIZADO CONSULTA,
MODIFICA Y/O ADICIONA INFORMACIÓN
CONFIDENCIAL
• PERSONAL DE PED PUEDE MODIFICAR DATOS
b. INGRESO DE DATOS
LOS DATOS PERMANENTES Y DE

TRANSACCIONES INGRESADOS PARA EL
PROCESAMIENTO PUEDEN SER
IMPRECISOS, INCOMPLETOS O
INGRESADOS MÁS DE UNA VEZ
b. INGRESO DE DATOS
RIESGOS ASOCIADOS
• IDENTIFICACIÓN INADECUADA DE DATOS

• TRANSACCIONES FRAUDULENTAS, DUPLICADAS O INCORRECTAS
• ERRORES DE CAMPOS GRAVES
• TRANSACCIONES NO CONTABILIZADAS O ERRÓNEAS
LOS DATOS RECHAZADOS Y LAS

PARTIDAS EN SUSPENSO PUEDEN NOS
SER IDENTIFICADAS, ANALIZADAS Y
CORREGIDAS
RIESGOS ASOCIADOS
• LAS TRANSACCIONES PUEDEN SER OMITIDAS

• LOS ITEMS EN SUSPENSO PUEDEN SER RESUELTOS SIN DEBIDA
AUTORIZACIÓN
• LOS ITEMS EN SUSPENSO PUEDEN NO SER REINGRESADOS AL
SISTEMA
d. PROCESAMIENTO
LAS TRANSACCIONES REALES INGRESADAS PARA SU

PROCESAMIENTO O GENERADAS POR EL SISTEMA
PUEDEN PERDERSE O SER PROCESADAS O
REGISTRADAS EN FORMA INCOMPLETA, INEXACTA Ó EN
EL PERÍODO CONTABLE INCORRECTO
d. PROCESAMIENTO
RIESGOS ASOCIADOS
• ACTUALIZACIÓN DE LA INFORMACIÓN INCORRECTA,

INCOMPLETA Ó NO ACTUALIZADA
• TRANSACCIONES INGRESADAS PROCESADAS EN FORMA
INCOMPLETA, INEXACTA O NO PROCESADAS
• PÉRDIDA DE LA INFORMACIÓN EN LA TRANSMISIÓN DE LOS
DATOS
• PÉRDIDA DE LAS TRANSACCIONES OCASIONADAS POR
INTERRUPCIONES
• ERRORES DE PROCESAMIENTO RESULTANTES DE
DETERIORO DE LOS MEDIOS MAGNÉTICOS
• GENERACIÓN DE REPORTES INCOMPLETOS
e. ESTRUCTURA ORGANIZATIVA Y
PROCEDIMIENTOS
LA ESTRUCTURA ORGANIZACIONAL DEL

DEPARTAMENTO PED Y LOS
PROCEDIMIENTOS OPERATIVOS NO
GARANTIZAN UN AMBIENTE DE
PROCESAMIENTO DE DATOS APROPIADO
PARA PREPARAR INFORMACIÓN
CONFIABLE
e. ESTRUCTURA ORGANIZATIVA Y
PROCEDIMIENTOS
RIESGOS ASOCIADOS
• CONCENTRACIONES DE FUNCIONES INCOMPATIBLES A NIVEL DE

USUARIOS Y PERSONAL DEPARTAMENTO PED
• DESCONOCIMIENTO DE LAS APLICACIONES
• ALTA DEPENDENCIA DEL PERSONAL DE SISTEMAS
• INADECUADA ADQUISICIÓN DE SOFTWARE / HARDWARE
f. CAMBIOS EN PROGRAMAS
LOS PROGRAMADORES PUEDEN

REALIZAR CAMBIOS INCORRECTOS NO
AUTORIZADOS EN EL SOFTWARE DE
APLICACIÓN
f. CAMBIOS EN PROGRAMAS
RIESGOS ASOCIADOS
• LOS PROGRAMADORES PUEDEN PERPETRAR FRAUDES A

TRAVÉS DE CAMBIOS A LOS PROGRAMAS
• PUEDEN SURGIR ERRORES QUE PASEN INADVERTIDOS A PARTIR
DE CAMBIOS NO AUTORIZADOS
• DESCONOCIMIENTO DE LOS CAMBIOS EFECTUADOS
g. ACCESO GENERAL
LAS PERSONAS NO AUTORIZADAS

PUEDEN TENER ACCESO DIRECTO A LOS
ARCHIVOS DE DATOS O PROGRAMAS
PERMITIÉNDOLES REALIZAR CAMBIOS NO
AUTORIZADOS A LOS MISMOS
g. ACCESO GENERAL
RIESGOS ASOCIADOS
• ACCESO NO AUTORIZADOS A DATOS CONFIDENCIALES

• FRAUDES O ERRORES POR CAMBIOS NO AUTORIZADOS
• UTILIZACIÓN DE RECURSOS SIN AUTORIZACIÓN
• SABOTAJE O DESTRUCCIÓN DE RECURSOS PED
• COPIA Y/O ROBO DE PROGRAMAS DE INFORMACIÓN
• INGRESO DE VIRUS POR UTILIZACIÓN DE SOFTWARE O AUTORIZADO
IMPOSIBILIDAD DE RECUPERAR LA
CAPACIDAD DE PROCESAMIENTO DE
INFORMACIÓN ANTE UNA INTERRUPCIÓN
TEMPORAL O DEFINITIVA
RIESGOS ASOCIADOS
• PÉRDIDA DE VENTAJAS COMPETITIVAS

• PÉRDIDAS PARCIAL O TOTAL DE INFORMACIÓN
• PÉRDIDA DE CLIENTES
• MULTAS Y/O SANCIONES
ADMINISTRACION DE RIESGOS
SEGURIDAD INFORMATICA
CONSISTE EN ASEGURAR QUE LOS

RECURSOS DE TECNOLOGA DE
INFORMACION, DE UNA ORGANIZACIÓN
SEAN UTILIZADOS DE LA MANERA QUE SE
DECIDIÓ Y QUE EL ACCESO A LA
INFORMACIÓN ALLÍ CONTENIDA ASÍ COMO
SU MODIFICACIÓN SÓLO SEA POSIBLE A
LAS PERSONAS QUE SE ENCUENTREN
ACREDITADAS Y DENTRO DE LOS LÍMITES
DE SU AUTORIZACIÓN
• VULNERABILIDAD
DEBILIDAD ASOCIADA A LOS RECURSOS DE TECNOLOGIA DE

INFORMACION .
EN SI MISMAS NO CAUSAN DAÑOS
• AMENAZA
LA EXISTENCIA DE UNA RUTURA DE SEGURIDAD QUE TENGA

COMO CONSECUENCIA DAÑO O PERDIDA DE LOS
RECURSOS DE TECNOLOGIA
• IMPACTO
EL GRADO DE DAÑO CAUSADO A UN SISTEMA O A LA

INFORMACION POR LA MATERIALIZACION DE UNA
AMANAZA
• CONTRAMEDIDAS
ACCIONES O PRECAUCIONES TOMADAS PARA MINIMIZAR

LAS VULNERABILIDADES Y LAS AMENAZAS

Definiciones Riesgo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Definiciones Riesgo

Cargado por

Copyright:

Formatos disponibles

Ing. Mario F. Mayorga G.

PROXIMIDAD DE UN DAÑO O PELIGRO:

CADA UNO DE LOS ACCIDENTES O CONTINGENCIAS QUE PUEDEN SER

CORRER RIESGO - ESTAR ALGO EXPUESTO A UN PELIGRO:

Ing. Mario F. Mayorga G. 2

El estándar Internacional AS NZS 4360:

“LA POSIBILIDAD DE QUE SUCEDA ALGO QUE

Ing. Mario F. Mayorga G. 4

El estándar Magerit ver2:

“ ESTIMACIÓN DEL GRADO DE EXPOSICIÓN A QUE

Ing. Mario F. Mayorga G. 5

Ing. Mario F. Mayorga G. 6

Ing. Mario F. Mayorga G. 7

Ángela María Díaz Ceballos - SURATEP

Ing. Mario F. Mayorga G. 8

Ing. Mario F. Mayorga G. 10

Ing. Mario F. Mayorga G. 11

LA PROBABILIDAD DE TODO SUCESO ESTA

PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2

Ing. Mario F. Mayorga G. 15

PEFOD = PERFIL DE FORTALEZAS Y DEBILIDADES POAM = PERFIL DE OPORTUNIDADES Y AMENAZAS 1/2

Ing. Mario F. Mayorga G. 16

Ing. Mario F. Mayorga G. 17

AMBIENTAL GEOGRAFICA DEMOGRAFICA

Ing. Mario F. Mayorga G. 18

AMBIENTAL GEOGRAFICA DEMOGRAFICA

Ing. Mario F. Mayorga G. 19

Con base en lo anterior hay dos clases de incertidumbre:

Estructurada: No se sabe que puede pasar entre diferentes

No estructurada: No se sabe que puede ocurrir ni las

Ing. Mario F. Mayorga G. 20

RIESGO RIESGO RIESGO RIESGO RIESGO

La percepción del Riesgo de las personas difiere

La percepción es la función psíquica que permite al organismo, a

Ing. Mario F. Mayorga G. 22

• EL VOLUMEN DE LOS RECURSOS

• REDUCIRLO: reducen la probabilidad

• ACEPTARLO: no actúan de forma alguna

CONOCIMIENTO OBSERVADORES ALTAMENTE

Ing. Mario F. Mayorga G. 29

• REDUCIR : fortalecer controles o implantar nuevos controles

• ACEPTAR : tomar el riesgo

• PASAR : contratar, por ejemplo, una póliza de seguro

FASES DE LAS PERDIDAS Y CONTROLES

LA UNIDAD U OFICINA DE CONTROL INTERNO

LA OFICINA DE CONTROL INTERNO Y LA AUDITORIA

SUGGERENCIA FINANCIERA SUBGERENCIA FINANCIERA SUBGERNCIADE SERVICIOS

SUBGERENCIA SUBGERENCIA SUBGERENCIA

CONJUNTO DE PASOS (TAREAS)

LOS PROCESOS DESCRITOS,

• EXAMINAR LOS INCIDENTES ACAECIDOS EN

• EFECTUAR UNA PREDICCION DE LAS PERDIDAS

TOMAR, ASÍ MISMO EN CONSIDERACIÓN

Los eventos con un impacto positivo representan OPORTUNIDADES, las cuales

• FACTORES A CONSIDERAR : Los eventos pueden venir de Factores o variables Internas o

• Existen técnicas localizadas en el pasado y otras en el futuro

LOS RIESGOS INHERENTES Y ADQUIRIDOS

SE PUEDE ENTONCES APLICAR LA TECNICA DE DIAGRAMA DE

ES LA POSIBILIDAD DE PÉRDIDA EN QUE INCURRE

EL RIESGO LEGAL SURGE TAMBIÉN COMO CONSECUENCIA DE FALLAS

ES LA POSIBILIDAD DE INCURRIR EN PÉRDIDAS POR DEFICIENCIAS, FALLAS O INADECUACIONES, EN

EL COMITÉ DE BASILEA HA DEFINIDO EL RIESGO OPERATIVO COMO «EL RIESGO DE PÉRDIDA

ADICIONALMENTE, EL COMITÉ HA PROPUESTO LAS SIGUIENTES SIETE CATEGORÍAS, LAS CUALES