Servicio Nacional de Aprendizaje

PROGRAMA DE FORMACIÓN COMPLEMENTARIA

CÁTEDRA VIRTUAL DE PENSAMIENTO
EMPRESARIAL – MÓDULO III: EMPRESA Y GESTIÓN

FORMATO PARA DEFINIR CRITERIOS

PARA LA EVALUACIÓN DE RIESGO
TENIENDO EN CUENTA FACTORES:
INTERNOS Y EXTERNOS DE LA
ORGANIZAICÓN

Yuly Tatiana Urrea Zuñiga

1060868942

2016
 Servicio Nacional de Aprendizaje SENA

FORMATO PARA ELABORACIÓN DE

EVIDENCIA DE PRODUCTO

CRITERIOS PARA LA EVALUACIÓN DEL RIESGO.

Teniendo en cuenta el material de estudio revisado y los conocimientos planteados
para el logro del resultado de aprendizaje “21030102102. Definir los criterios del
riesgo, acorde a la planeación de la organización.”, en este documento escrito
donde defina los criterios que aplicaría en la evaluación de los riesgos, teniendo en
cuenta los factores externos e internos.

CRITERIOS PARA LA EVALUACION DE RIESGOS

La evaluación de riesgos. permite que la organización identifique sus amenazas y el

grado de riesgo asociado con las mismas, igualmente, permite establecer maneras
de evitar altos riesgos Involucra un proceso dinámico. E interactivo. Para identificar
y realizar riesgo. Que afectan los objetivos propios. De la institución. Los riesgos se
definen como eventos. Que afectan negativamente. El cumplimiento. De los
objetivos institucionales.
Después de establecer. Un ambiente de control de efectivo, la administración debe
evaluar los riesgos que enfrenta la institución. Para el logro de sus objetivos. Esta
evaluación proporciona las bases para el desarrollo de propuestas al riesgo
apropiada, Asimismo, debe valorar los riesgos que enfrenta la institución, tanto en
fuentes internas como externas.
El proceso de evaluación de riesgos requiere establecer objetivos institucionales y
asignarlos a los responsables de sus cumplimientos, posteriormente requiere
identificar y evaluar los riesgos que pudieran impedir. Los objetivos institucionales.
Los cambios que pudieran impactar. En el sistema de control interno, además se
debe o al bar con la proa, probabilidad de malversación o dispendio de recursos.
Por ejemplo:

Origen de la amenaza Efecto de la organizacion Origen de la amenaza

Riesgos externos Eficiencia y eficasia de Riesgos de la entidad
las operaciones
Riesgos internos Integridad de la Riesgo de proceso
informacion financiera
Riesgos inherentes Cumplimiento de las Riesgo de actividades
leyes y reglamentos

La evaluacion de riesgo es un proceso que nos sirve para identificar los eventos que
pueden afectar negativamente el cumplimiento de los objetivos

El titular con el apoyo de la administración se debe definir claramente los objetivos

institucionales y formular un plan estratégico que de manera coherente y ordenada
se asocien a estos y a su mandato legal, asegurando además que dicha planeación
estratégica contemple la alineación institucional a los planes nacionales, regionales
sectoriales y todos los demás instrumentos y normativas vinculatoria que
correspondan.

La administración debe identificar, analizar y responder a los riesgos asociados con

cumplimiento de los objetivos institucionales así como de los procesos por donde se
obtiene los ingresos y se ejerce el gasto entre otros.
La administración debe consideran las posibilidad de ocurrencia de actos de
corrupción, fraudes, abuso, desperdicio y otras irregularidades relacionadas con la
adecuada salvaguarda de los recursos públicos al identificar analizar y responder a la
los riesgos en los diversos procesos que realiza la institución; debe identificar,
analizar y responder frente a los cambios significativos que puedan impactar al
control interno.

MEDICION DE RIESGO
la organización en la concrecion de los riesgos que la afectan o la pueden afectar se
evaluan los riesgos contra la mison y objetivos de la empresa en las siguientes
categorias
Reputación/confianza del cliente • Financiera • Productividad • Seguridad/salud •
Multas/penas legales
Cada criterio debe precisar el nivel de afectación hacia la organización por cada
incidente de seguridad area de impacto; este incidente puede ser de impacto Alto,
Medio o Bajo, especificación que debe definir el personal encargado de generar el
criterio de medición del riesgo.
Es necesario priorizar cada área de impacto de acuerdo con el particular interés de
la organización, y, según importancia establecida por categoría, siendo la valoración
más importante equivalente a 5 y la menos importante con1.

DESARROLLAR UN PERFIL DE ACTIVOS DE INFORMACION

es necesario para cada activo de información crear un perfil en el que se establezca
su aspecto crítico, ya que, éste permite la fácil identificación de amenaza y riesgo
que conlleva, y la precisión de los elementos de seguridad y protección a aplicar.

CONTENEDORES DE ACTIVOS DE INFORMACION

Este paso precisa los repositorios para almacenamiento de la información,
asegurando su aplicabilidad y control.

AREAS DE PREOCUPACION
. El área de preocupación describe el nivel real de afectación de un activo de
información, este aspecto debe generar tantas áreas como sean necesarias para
cada uno de los activos perfilados. Se documenta las condiciones que preocupan a
la organización identificando riesgos evidentes, y registrando información sobre
quién podría llevar a cabo esta amenaza

ESCENARIOS DE AMENAZA
significa la identificación de otras preocupaciones para la organización que están
relacionadas con sus activos de información críticos y que no son visibles a primera
vista
(no todas las combinaciones representan una amenaza real en la organización, por
lo que algunas pueden ser descartadas)
IDENTIFICAR RIESGOS: ECUACION DE RIESGO
Riesgo = Amenaza (condición) + Impacto (consecuencia)

De manera opcional se puede definir la probabilidad realista de la ocurrencia de la

amenaza, actividad que permite priorizar los riesgos a tratar y requiere de un
conocimiento amplio sobre los problemas de seguridad que ha padecido la
organización

ANALIZAR RIESGOS
Se mide de forma cualitativa el grado en el que la organización es afectada por una
amenaza y se calcula puntuación para cada riesgo por activo de información. Para
ello, se comparan las áreas de impacto de cada categoría de los criterios del paso
1, con el escenario de amenaza
Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo
se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del
área con la prioridad definida en el paso 1
El resultado final o puntaje total, es la suma de los productos de la puntuación. El
resultado es un valor cuantitativo que puede ir de 0 a 45, a un valor más grande, el
impacto será mayor sobre los activos de la empresa

SELECIONAR UN ENFOQUE DE MITIGACION

e deben determinar las opciones de tratamiento de riesgos con base en los
resultados del análisis, es decir, utilizando los valores de impacto y probabilidad
calculados en los pasos anteriores. Este criterio puede variar de una organización a
otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor
alto (cercano a 45) y con una probabilidad de ocurrencia alta
Los enfoques de tratamiento para este método son mitigar, postergar, transferir o
aceptar. Estas opciones pueden variar de una metodología a otra, aunque
generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para
identificar aquellos que deban tratarse primero.