Escolar Documentos
Profissional Documentos
Cultura Documentos
com
Gracias
Eduardo Leyton Guerrero www.eduardoleyton.com
www.e-cronia.com
Fundamentos del
Análisis de Riesgo
(Hacia la evaluación de
Riesgos de TICA)
www.eduardoleyton.com
…algunas reflexiones previas:
www.e-cronia.com
Análisis de Riesgos
Servicios de Aseguramiento
Implementación de Normas
Implementación de Normas
Normas de Atributo
• Objetividad e Independencia
• Eficiencia Profesional
• Cumplimiento con estándares
Normas de Ejecución
• Administración de Procesos Auditoría
Interna
• Evaluación de Riesgo, Control,
Proceso Administrativo
• Construyendo el Compromiso
• Examinando y analizando información
• Evaluando evidencias de los hallazgos
• Comunicación de resultados (Informe
Auditoría)
Costos
Clasificar Riesgos
País Organizacional Del Negocio Tecnológico Operacional de Información de Auditoría
Gestión Empresarial
Identificar Impacto
Análisis de Riesgos
Bajo Alto
MAPA DE RIESGOS
Eg
. Information Technology
Year 2000
Medium Risk 1
High Risk 2
High Risk 3
IMPORTANCIA
Medium Risk 2
Medio
Low Risk 2
Medium Risk 4 Bajo
Low Risk 3
PROBABILIDAD
Cámara de compensación
Cámara de compensación
R
R
II negocio críticos Liquidación del las Operaciones
Determinación de Objetivos
Marca
Desarrollo
Aseguramiento de la Integridad
Seguridad (Perimetral, en profundidad
y de aplicaciones)
Propio (Flujo de Caja)
De Mercado
Intermediación en operativa con valores M Salud y Seguridad de las personas Soporte técnico al Cliente
Intermediación en operativa con valores Relacionados
Relacionadoscon
con prestación
prestación Protección de la intimidad Crédito
A
A Riesgo de Insolvencia
de Propiedad Intelectual
Operativa de extranjero y comercio exterior de servicios
serviciosde
de
intermediación Riesgo País
Operativa de extranjero y comercio exterior parapara clientes
clientes R
R Gestión de Proyectos
Domiciliaciones masivas Estructura de la Organización. •Rendimiento
Domiciliaciones masivas II Diseño de los Procesos •Capacidad de crecimiento
Recaudaciones masivas O
O Conformidad •(Escalabilidad)
Recaudaciones masivas Autenticidad de las transacciones •Disponibilidad
Tarjetas S Alianzas Gestión de Infraestructura RIESGOS DE INTEGRIDAD
Tarjetas Continuidad (FRAUDE)
Gestión de Registros de Actividad
Conocimiento del mercado y la clientela
Conocimiento del mercado y la clientela RIESGOS DE GESTIÓN
Segmentación comercial DE RR.HH.
Segmentación comercial
Desarrollo de lade
Desarrollo visión estratégica
la visión del negocio
estratégica del negocio Generales
Generales
Diseño de nuevos
Diseño productos
de nuevos y servicios
productos y servicios RIESGOS ASOCIADOS A LA INFORMACIÓN DISPONIBLE PARA LA TOMA DE DECISIONES
D
Identificación de los riesgos de INFORMACIÓN OPERATIVA
Elaboración de los contratos
INFORMACIÓN FINANCIERA
Información contable
Presupuestación y Planificación
INFORMACIÓN ESTRATÉGICA
Planificación Indicadores Gestión
Estratégica y de Riesgos de Entorno
D Información de gestión/indicadores
Gestión
riesgo
de
Gestión de
de
riesgo de
Gestión
inversione
de
Gestión de
inversiones
Gestión de
recursos
Gestión de
Gestión de
Gestión de
las
las
Gestión de
recursos
Gestión de
Relaciones Intervención
institucionales
Relaciones
Intervenció
general y
Auditoría
Interna
Gestión del
Gestión del
cambio y
E
A
A
negocio para los procesos de Fijación de Precios
Informes Obligatorios
Toma de decisiones sobre inversiones
Financiera
Análisis Fiscal y Legal
Cumplimentación de Informes
Estrategia Comercial
EstructuraOrganizativa
Gestión Cartera de Negocios
necesidades
necesidade n general y Auditoría cambio y
cambio y s no humanos físicos Financieros
cambio y
de tipo de
de tipo de
interés
no
vinculadas
vinculadas
con
recursos
humanos
s dede
información
informació
recursos
físicos
institucional
es
control de
control de
gestión
gestión
Interna
mejora
mejora
continua
continua
P
O
O cada área de negocio Asignación de Recursos
interés clientes
con clientes Y
Y
n
O
O
Hi gh Ri sk 3
M ed ium Risk 2
M e d io
controles internos y diseño de I. Envio de la solicitud
Lo w Risk 2 I. Recepción factura
mejores prácticas
de suministro,
del proveedor autorizaciones, pedido
M ed ium Risk 4 B a jo 1 y factura a Administración
2
Lo w Risk 3 Sistema Integrado de Control de Riesgos
1 6
GRUPO XYZ
III. Emisión listado
II. Introducción de datos cuentas por pagar III. Preparación IV. Registro pago
4 en Hoja Excel por vencimiento medio de pago en la Hoja Excel
5
P R O B A B IL I D A D 7 9 MENU:
Código de Ética del Gr upo
Políticas y Pr ocedim ientos de Contr ol
II. Envío copia de • Nor m ativa cor por ativa
• Nor m ativa de las unidades oper ativas
la factura a Contabilidad • Responsables por unidad
Usuario •
Modelos de Análisis y definiciones de:
Planes de For m ación
1 10 • Pr ocesos
• Contr oles
Modelos Actualizados de las Unidades
• Riesgos y Mapas de Riesgos
•
III. Autorización •
Pr ocesos
Contr oles
Planes de Acción por Unidades
Infor m ación par a el Consejo (Acceso r estr ingido)
Ayuda
Salida
3 8
“XYZ”
Concesión
Concesión de operaciones
de operaciones de riesgo
de riesgo Relacionados
Relacionadosconcon productos dede
productos
Seguimiento
Seguimiento de operaciones
de operaciones de riesgo
de riesgo activo
activo yy pasivo
pasivo
Gestión
Gestión dede impagados
impagos
Gestión
Gestión de activos
de activos no funcionales
no funcionales
Gestión
Gestión de cuentas
de cuentas personales
personales P
Fondos de inversión
Fondos de inversión y de pensionesy de pensiones R
R
I
Cámara de compensación I
Cámara de compensación M
M
Intermediación en operativa con valores Relacionados
Relacionados con
con prestación
Intermediación en operativa con valores prestación A
A
Operativa de extranjero y comercio exterior para clientes de
de servicios
servicios de
de intermediación R
R
Operativa de extranjero y comercio exterior para clientes I
Domiciliaciones masivas I
Domiciliaciones masivas O
O
Recaudaciones
Recaudaciones masivas
masivas S
Tarjetas
Tarjetas
Conocimiento
Conocimiento deldel mercado
mercado y layclientela
la clientela
Segmentación
Segmentación comercial
comercial
Desarrollo de la
Desarrollo devisión
la visiónestratégica
estratégica del del
negocio
negocio Generales
Generales
Diseño de nuevos
Diseño de nuevos productos
productos y servicios
y servicios
D
D
Gestión de E
Gestión
Gestión dede Gestión
Gestiónde
de Gestión de Gestión de Gestión de Relaciones Intervención Auditoría Gestión del
riesgo las
las institucionales Intervenció Gestión del A
A
riesgo de
de inversiones
inversiones recursosde
Gestión recursosde
Gestión Relaciones general y Interna cambio y
cambio y de no humanos necesidades
necesidades físicos n general y Auditoría cambio y P
cambio y no recursos recursos institucional control de mejora
tipo de vinculadas de
de control de Interna mejora
de tipo de vinculadas humanos físicos es gestión continua O
O
interés con clientes informació
información gestión continua
interés con clientes Y
n
O
O
2
Sistema Integrado de Control de Riesgos
1 6
GRUPO XYZ
MENU:
III. Emisión listado Código de Ética del Grupo
II. Introducción de datos cuentas por pagar III. Preparación IV. Registro pago
por vencimiento Políticas y Procedimientos de Control
4 en Hoja Excel medio de pago en la Hoja Excel
• Normativa corporativa
5 • Normativa de las unidades operativas
• Responsables por unidad
7 9 • Planes de Formación
Usuario Modelos de Análisis y definiciones de:
• Riesgos y Mapas de Riesgo
II. Envío copia de
• Procesos
la factura a Contabilidad
• Controles
Modelos Actualizados de las Unidades
• Riesgos y Mapas de Riesgos
Ayuda • Procesos
10
1 Salida • Controles
Planes de Acción por Unidades
Información para el Consejo (Acceso restringido)
III. Autorización
“XYZ”
8
3
Flujograma de información
I. Envio de la solicitud
I. Recepción factura
de suministro,
del proveedor
autorizaciones, pedido
1 y factura a Administración
1 6
7 9
10
1
III. Autorización
8
3
Peligroso Catastrófico
Insignificante Rutinario
Auditoría Interna
• Es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de una
organización.
• Ayuda a una organización a cumplir sus
objetivos, aportando un enfoque sistémico y
disciplinado para evaluar y mejorar la eficacia
de los procesos de gestión de riesgo, control y
gobierno
Enfoque tradicional
Auditorías Financieras
Controles Internos
Auditoría de los Auditorías Técnicas
Pruebas Controles Internos
Substantivas
Aspectos Proyectos
Pruebas de contables Especiales
Cumplimiento
Auditorías de gestión
Participativa con la
Administración Enfocada
Función de en
Auditoría Procesos
Aislada Apoyo a la
Enfocado en autoevaluación de
transaciones la Dirección
Auditor Interno
Consultor
Mejoramiento y
Detección Eficiencia del
Negocio
Prevención
Fuente: PriceWaterhouse
• La aplicación de Tecnologías de
Información y las Comunicaciones (TIC)
propicia un Proyecto empresarial Abierto y
Compartido
• Las barreras del lugar, el tiempo y las
distancias se diluyen
• El éxito empresarial está relacionado con
la anticipación, la innovación y la
flexibilidad
Eduardo Leyton Guerrero www.eduardoleyton.com
www.eduardoleyton.com
Gestión Estratégica
www.e-cronia.com
• Gestión del
conocimiento
– Trabajo en grupo
– Conocimiento
disperso
• Modelo Industrial – Complejidad
tecnológica
– Gestión de los
recursos:
• Naturales
• Materias primas
• Recursos financieros
• Recursos humanos
(tratados como stock)
•Conocimiento KnowledgeAccess
Datamining
•Información Olap/Rolap/Molap/Holap
ERP
Plataforma
DB
•Datos Estatísdicas
e informes
Sistemas Colaborativos
• Acceso al conocimiento.
• Sistemas de información
de apoyo a la toma de
decisiones.
• Sistemas transaccionales
OLTP.
www.eduardoleyton.com
Inteligencia de Negocios
Escala de Integración y alta conectividad de Sistemas ©
www.e-cronia.com
+ Agentes Inteligentes
SGC
Inteligencia
Artificial RNA
Expertos Robótica
www.eduardoleyton.com
www.e-cronia.com
MAGERIT
MELISA
CRAMM
COBRA
OCTAVE
RTI 1
RTI 2
RTI 3
RTI n
Total Area
y
(Nivel de Exposición Total al Riesgo de los Recursos de T.I.) Ne axbxc n
Rango de valores [0-9]
Eduardo Leyton Guerrero www.eduardoleyton.com
Matriz de riesgo (Interno/externo)
www.e-cronia.com
Plantilla de Identificación de Riesgos del Entorno
Identificación Nivel de Criticidad Probabilidad de Ocurrencia Nivel de Riesgo
De (0-3) P(x)
Riesgos (Importancia)
a b c=axb
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo n
Total Area
Riesgo Total= Ne x Nr
Gestión Empresa
Riesgo Impacto
Controles
Ambiente de Seguridad
Recurso de Información
Auditoría
Eduardo Leyton Guerrero www.eduardoleyton.com
Modelo General De Riesgos De Negocios
www.e-cronia.com
Gracias
Preguntas
Plan Informático
Printers
Hub or Switch
Gateway
THIN Clients
Modem
Modem
Modem Router To
Remote Proxy
Router To Internet
Access Server
Remote Site (Firewall) FAT Clients
Server (Firewall)
INTERNET
Tcp/Ip Mundo Abierto
Un Software alemán de
Gestión de Empresas. Líder
absoluto en el Mundo. En SD FI
evolución permanente. Vtas y
Distribución
Contabilidad
Total integración. MM CO
Gestión de
Materiales Contab.
PP Analítica
AM
Planif.de
R/3
Manejo de
la Producción Activos Fijos
Mantenimiento
•Parametrizable de Planta Workflow
HR IS
•Customizable Recursos Industry
Humanos Solutions
•ERP Horizontales
(Backoffice)
•ERP-Verticales
(Frontoffice)
Sistemas
Horizontales ERP Sistemas
Verticales
Partner
Spares
Marketing
Direct
Marketing Ventas Contracts
Web Direct Sales
TeleSales Partners
Sales Sales Comp.
• Interfaces usuarias
• Controles procesamiento
• Control de errores
• Cambios a aplicaciones
• Acceso a Datos
• Relevancia
– La información capturada, resumida o mantenida, no sea
relevante para los procesos para los que fue recopilada.
Principalmente relacionado con el proceso de toma de
decisiones.
Modelo de Riesgos-1
• Riesgo del Entorno - Medio Ambiente
– “Corresponden a situaciones externas que
pudiesen afectar los objetivos y estrategia del
negocio, en extremo, dejar a la compañía
fuera del mercado”
• Riesgo de Operaciones
– “El riesgo de que las operaciones no sean
eficaces ni eficientes en la satisfacción del
cliente ni en el logro de los objetivos de
calidad, costos y tiempo”.
Eduardo Leyton Guerrero www.eduardoleyton.com
www.e-cronia.com
Modelo de Riesgos-2
• Riesgo de EMPOWERMENT
– “Corresponde al riesgo que el personal, no sepa
qué o cómo actuar cuando es necesario, no sean
adecuadamente dirigidos, excedan el límite de su
autoridad, o no cuenten con los recursos,
entrenamiento y herramientas para tomar
decisiones efectivas”
• Riesgo de Integridad
– “Es el riesgo de fraude de la gerencia, fraude de
los empleados, y actos ilícitos y no autorizados,
cualquiera de los cuales, o todos ellos, lleven a
un deterioro de la reputación en el mercado o
inclusive a pérdidas financieras”.
Modelo de Riesgos-3
• Riesgo de Información para la toma de
decisiones.
– “Es el riesgo de que la información utilizada
para dar soporte a decisiones estratégicas,
operacionales y financieras no sea relevante
o confiable”.
Información:
Asociatividad en un sólo Contexto
Sabiduría:
Asociatividad de varios Contextos.
Creación de principios generalizados
Conocimiento: basándose en el conocimiento
Asociatividad entre contextos procedente de distintas fuentes.
Múltiples.
Datos:
No hay asociatividad
M
s
a A
i
n p R
e o Tareas ejecutadas para agregar …………valor G
r y
g
E
i o N
a
Actividades Secundarias
Adquisiciones
Desarrollo de Tecnología o Conocimiento
Administración de RR.HH.
Infraestructura Empresarial
Amenazas de Prod/Serv.
Sustitutivos ¿Pueden los
SI/TI generar nuevos
Productos y Servicios?
¿Qué productos
sustitutos estarán a
disposición mediante
esta tecnología?