2018 Fundamentos Riesgo TICA 02 PDF

www.e-cronia.
com
Gracias
Eduardo Leyton Guerrero www.eduardoleyton.com
www.e-cronia.com
Fundamentos del
Análisis de Riesgo
(Hacia la evaluación de
Riesgos de TICA)
www.eduardoleyton.com
…algunas reflexiones previas:
www.e-cronia.com
Algunas reflexiones previas
“En la sociedad actual el conocimiento

es el principal recurso tanto para cada
individuo como para el conjunto de la
economía”. (Peter Drucker)
….es por ello la necesidad de evaluar periódicamente el Control
Interno asociado a las Tecnologías de la Información para garantizar
razonablemente, mediante la optimización de dicho control interno,
la continuidad operacional de dichas T.I y, en consecuencia, los
procesos de la organización.

www.e-cronia.com
Análisis de Riesgos

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

Conceptos Fundamentales de Riesgos
www.e-cronia.com
Amenaza: Es el evento, situación u acontecimiento considerada como
posible fuente de materialización de riesgo.
Riesgo: Identificación de una contingencia o proximidad de un daño,
posibilidad o probabilidad que ocurra algo no esperado, o que no
ocurra lo esperado.
Exposición: Nivel o grado de disponibilidad o exhibición de un
objeto o recurso a la materialización de riesgos por falta de un
ambiente de control.
Vulnerabilidad: Es el grado de impacto que puede sufrir un
determinado objeto por la exposición de éste a los riesgos.
Ocurrencia:Nivel cuantitativo, de efecto relativo o probabilístico, de
materialización de un riesgo de acuerdo a hechos estadísticos y/o
históricos.
www.e-cronia.com
IMPORTANCIA DE EVALUAR EL RIESGO

• Las organizaciones existen para crear valor o beneficio para sus
propietarios, demás partes interesadas, y clientes. Este concepto les
otorga propósito a su existencia.
• El valor se genera por el desarrollo de productos y servicios, y

mediante el uso de recursos de la organización para promocionarlos.
• En el proceso de recoger información para comprender y evaluar el

riesgo, los auditores internos desarrollan análisis significativos de las
operaciones y oportunidades de mejora que pueden ser
extremadamente beneficiosos para sus organizaciones.
• Esta valiosa información puede darse en forma de consulta,

asesoramiento, comunicaciones escritas, o mediante otros productos,
los cuales deben ser adecuadamente comunicados al personal de
dirección u operativo apropiado.
Fuente: The Institute of Internal Auditors

www.e-cronia.com
Marco para la Práctica Profesional

Código de Ética
Definición de Auditoría Interna

Definición de Auditoría Interna
Servicios de Aseguramiento
Servicios de Aseguramiento
Implementación de Normas
Implementación de Normas
Normas de Atributo
• Objetividad e Independencia
• Eficiencia Profesional
• Cumplimiento con estándares
Normas de Ejecución
• Administración de Procesos Auditoría
Interna
• Evaluación de Riesgo, Control,
Proceso Administrativo
• Construyendo el Compromiso
• Examinando y analizando información
• Evaluando evidencias de los hallazgos
• Comunicación de resultados (Informe
Auditoría)

www.e-cronia.com
Clasificación del Riesgo

Riesgo Riesgo Riesgo Riesgo Riesgo Riesgo Riesgo
Pais Organizacional del Negocio Tecnológico Operacional Información Auditoría
MacroEconómico Gestión Imagen Calidad Norma Privacidad Inherentes
Convertibilidad Estructura Competencia Innovación Errores Disponibilidad Control
Sistémico Filiales Proveedores Creatividad RR.HH. Integridad Detección
Influencia Externa Financiero Clientes Conocimiento Ambiental Oportunidad
Social Reguladores Fraude
Costos

Contexto Metodológico
www.e-cronia.com
Clasificar Riesgos
País Organizacional Del Negocio Tecnológico Operacional de Información de Auditoría
Gestión Empresarial
Mercado Financiero Legal de Información de Auditoría
Identificar Impacto

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

www.e-cronia.com
Alternativa de Análisis de Riesgos

• “El resultado de un análisis de
vulnerabilidad es la identificación de
amenazas relevantes; y el resultado de un
análisis de amenazas es la identificación
de vulnerabilidades relevantes”
• Por ejemplo,
ANÁLISIS DE LOS DATOS AMENAZA RELEVANTE VULNERABILIDAD RELEVANTE
INFORMACIÓN DE CONFIDENCIALIDAD CARENCIA DEL SISTEMA DE

CLÍNICA DE SALUD DE LA INFORMACIÓN CONTROL ACCESO A LA
INFORMACIÓN

www.e-cronia.com
Análisis de Riesgos

www.e-cronia.com
Importancia del S.I. Impacto
Alto Peligroso Catastrófico
Bajo Insignificante Rutinario
Bajo Alto

Matriz de Riesgo www.e-cronia.com
y Controles
MAPA DE RIESGOS
Eg
. Information Technology
Year 2000
Medium Risk 1
High Risk 2
High Risk 3
IMPORTANCIA
Medium Risk 2
Low Risk 1 Medium Risk 3

Alto
Medio
Low Risk 2
Medium Risk 4 Bajo
Low Risk 3
PROBABILIDAD

Fases Metodológicas del
Análisis de Riesgos TICA
www.e-cronia.com
1. Identificar y analizar la industria y el entorno de la empresa seleccionada.
2. Identificar y analizar la empresa bajo análisis de riesgo.
3. Identificar, analizar y describir el modelo de negocio de la empresa.
4. Mapear mediante técnicas de grafos, tablas y descripción narrativa los
procesos, subprocesos, actividades y tareas de la empresa.
5. Identificar los recursos tecnológicos que apoyen a dichos
procesos/subprocesos/actividades o tareas.
6. Identificar y describir los riesgos TECNOLÓGICOS y/o de HUMANWARE
(usuario y/o de procedimientos-usuarios) que pueden afectar a dichos
recursos tecnológicos.
7. Calcule, ponderé, cuantifique el riesgo asociado a cada P-SP-A-T de
acuerdo a su Vulnerabilidad, Ocurrencia y/o probabilidad.
8. Grafique la matriz de riesgo para cada proceso bajo análisis. Recuerde
que debe existir sólo una matriz de riesgo donde se aprecie todos niveles
de riesgos de los procesos bajo análisis.
9. Valorice el impacto a partir de la cuantificación del nivel de
riesgo/recurso/proceso.
10. Genere las Contramedidas y/u Optimización del Control Interno asociado.
11. En base a la MR, Planifique Estratégicamente las auditorias
12. Como Auditor de Sistemas: Analice y justifique sus hallazgos
encontrados y efectúe las recomendaciones y/o comentarios al respecto.
Fases Metodológicas de la
Evaluación de Riesgos
www.e-cronia.com
Proceso de Mejora Mapa de Riesgos

Mapa de Procesos Continua Competencia
RIESGOS DEL ENTORNO
Cumplimiento Normativa Imagen y
Pérdidas Catastróficas Reputación Legales
Político/País Disponibilidad de Capital
Rentabilidad Sector Mercados Financieros
Concesión de operaciones
Concesión de riesgo
de operaciones de riesgo
Relacionados
Relacionadoscon
conproductos dede
productos
Seguimiento de operaciones
Seguimiento de riesgo
activo
activo yy pasivo
pasivo RIESGOS OPERATIVOS RIESGOS DE SISTEMAS RIESGOS
Gestión
Gestión de impagados
de impagados Errores operativos DE INFORMACIÓN/ FINANCIEROS
Eficiencia del canal TECNOLÓGICOS
Gestión
Gestión de activos
de activos no funcionales
no funcionales Capacidad Precio
Gestión
Gestión de cuentas
de cuentas personales
personales
Fondos de inversión y de pensiones
P
Identificación de los procesos de Tiempos de Ejecución
Satisfacción del Cliente
Contabilización
Diseño
Selección & Integración
Externalización de servicios
Tipo de Interés
Tipo de Cambio
Fondos de inversión y de pensiones Desarrollo del Producto Liquidez
Cámara de compensación
Cámara de compensación
R
R
II negocio críticos Liquidación del las Operaciones
Determinación de Objetivos
Marca
Desarrollo
Aseguramiento de la Integridad
Seguridad (Perimetral, en profundidad
y de aplicaciones)
Propio (Flujo de Caja)
De Mercado
Intermediación en operativa con valores M Salud y Seguridad de las personas Soporte técnico al Cliente
Intermediación en operativa con valores Relacionados
Relacionadoscon
con prestación
prestación Protección de la intimidad Crédito
A
A Riesgo de Insolvencia
de Propiedad Intelectual
Operativa de extranjero y comercio exterior de servicios
serviciosde
de
intermediación Riesgo País
Operativa de extranjero y comercio exterior parapara clientes
clientes R
R Gestión de Proyectos
Domiciliaciones masivas Estructura de la Organización. •Rendimiento
Domiciliaciones masivas II Diseño de los Procesos •Capacidad de crecimiento
Recaudaciones masivas O
O Conformidad •(Escalabilidad)
Recaudaciones masivas Autenticidad de las transacciones •Disponibilidad
Tarjetas S Alianzas Gestión de Infraestructura RIESGOS DE INTEGRIDAD
Tarjetas Continuidad (FRAUDE)
Gestión de Registros de Actividad
Conocimiento del mercado y la clientela
Conocimiento del mercado y la clientela RIESGOS DE GESTIÓN
Segmentación comercial DE RR.HH.
Segmentación comercial
Desarrollo de lade
Desarrollo visión estratégica
la visión del negocio
estratégica del negocio Generales
Generales
Diseño de nuevos
Diseño productos
de nuevos y servicios
productos y servicios RIESGOS ASOCIADOS A LA INFORMACIÓN DISPONIBLE PARA LA TOMA DE DECISIONES
D
Identificación de los riesgos de INFORMACIÓN OPERATIVA
Elaboración de los contratos
INFORMACIÓN FINANCIERA
Información contable
Presupuestación y Planificación
INFORMACIÓN ESTRATÉGICA
Planificación Indicadores Gestión
Estratégica y de Riesgos de Entorno
D Información de gestión/indicadores
Gestión
riesgo
de
Gestión de
de
riesgo de
Gestión
inversione
de
Gestión de
inversiones
Gestión de
recursos
Gestión de
Gestión de
Gestión de
las
las
Gestión de
recursos
Gestión de
Relaciones Intervención
institucionales
Relaciones
Intervenció
general y
Auditoría
Interna
Gestión del
Gestión del
cambio y
E
A
A
negocio para los procesos de Fijación de Precios
Informes Obligatorios
Toma de decisiones sobre inversiones
Financiera
Análisis Fiscal y Legal
Cumplimentación de Informes
Estrategia Comercial
EstructuraOrganizativa
Gestión Cartera de Negocios
necesidades
necesidade n general y Auditoría cambio y
cambio y s no humanos físicos Financieros
cambio y
de tipo de
de tipo de
interés
no
vinculadas
vinculadas
con
recursos
humanos
s dede
información
informació
recursos
físicos
institucional
es
control de
control de
gestión
gestión
Interna
mejora
mejora
continua
continua
P
O
O cada área de negocio Asignación de Recursos
interés clientes
con clientes Y
Y
n
O
O
Matriz de Riesgos y Controles

Elaboración del Mapa de Riesgos Análisis de Implantación
M A PA D E R IE S G O S y de Controles Internos procesos/riesgos de las
claves herramientas
M ed ium Risk 1
E g. In fo rma ti on T echn olo gy
Y ea r 2 000
seleccionados de apoyo
Hi gh Ri sk 2
IMPORTA N CIA
Hi gh Ri sk 3
M ed ium Risk 2
Revisión de los procedimientos y

Lo w Risk 1 M ed ium Risk 3
A lt o
M e d io
controles internos y diseño de I. Envio de la solicitud
Lo w Risk 2 I. Recepción factura
mejores prácticas
de suministro,
del proveedor autorizaciones, pedido
M ed ium Risk 4 B a jo 1 y factura a Administración
2
Lo w Risk 3 Sistema Integrado de Control de Riesgos
1 6
GRUPO XYZ
III. Emisión listado
II. Introducción de datos cuentas por pagar III. Preparación IV. Registro pago
4 en Hoja Excel por vencimiento medio de pago en la Hoja Excel
5
P R O B A B IL I D A D 7 9 MENU:
Código de Ética del Gr upo
Políticas y Pr ocedim ientos de Contr ol
II. Envío copia de • Nor m ativa cor por ativa
• Nor m ativa de las unidades oper ativas
la factura a Contabilidad • Responsables por unidad
Usuario •
Modelos de Análisis y definiciones de:
Planes de For m ación
• Riesgos y Mapas de Riesgo
1 10 • Pr ocesos
• Contr oles
Modelos Actualizados de las Unidades
• Riesgos y Mapas de Riesgos
•
III. Autorización •
Pr ocesos
Contr oles
Planes de Acción por Unidades
Infor m ación par a el Consejo (Acceso r estr ingido)
Ayuda
Salida
3 8
II. Registro contable de IV. Registro contable

cuenta por pagar del pago
“XYZ”

Mapa de Procesos
www.e-cronia.com
Ejemplo de procesos de una organización.
Concesión
Concesión de operaciones
de riesgo Relacionados
Relacionadosconcon productos dede
productos
Seguimiento
Seguimiento de operaciones
de riesgo activo
activo yy pasivo
pasivo
Gestión
Gestión dede impagados
impagos
Gestión
Gestión de activos
de activos no funcionales
no funcionales
Gestión
Gestión de cuentas
de cuentas personales
personales P
Fondos de inversión
Fondos de inversión y de pensionesy de pensiones R
R
I
Cámara de compensación I
Cámara de compensación M
M
Intermediación en operativa con valores Relacionados
Relacionados con
con prestación
Intermediación en operativa con valores prestación A
A
Operativa de extranjero y comercio exterior para clientes de
de servicios
servicios de
de intermediación R
R
Operativa de extranjero y comercio exterior para clientes I
Domiciliaciones masivas I
Domiciliaciones masivas O
O
Recaudaciones
Recaudaciones masivas
masivas S
Tarjetas
Tarjetas
Conocimiento
Conocimiento deldel mercado
mercado y layclientela
la clientela
Segmentación
Segmentación comercial
comercial
Desarrollo de la
Desarrollo devisión
la visiónestratégica
estratégica del del
negocio
negocio Generales
Generales
Diseño de nuevos
Diseño de nuevos productos
productos y servicios
y servicios
D
D
Gestión de E
Gestión
Gestión dede Gestión
Gestiónde
de Gestión de Gestión de Gestión de Relaciones Intervención Auditoría Gestión del
riesgo las
las institucionales Intervenció Gestión del A
A
riesgo de
de inversiones
inversiones recursosde
Gestión recursosde
Gestión Relaciones general y Interna cambio y
cambio y de no humanos necesidades
necesidades físicos n general y Auditoría cambio y P
cambio y no recursos recursos institucional control de mejora
tipo de vinculadas de
de control de Interna mejora
de tipo de vinculadas humanos físicos es gestión continua O
O
interés con clientes informació
información gestión continua
interés con clientes Y
n
O
O

Mapa de Riesgos
www.e-cronia.com
Riesgos asociados a los procesos de la organización:

RIESGOS DEL ENTORNO
Competencia Cumplimiento Normativa Imagen y Reputación Disponibilidad de Capital
Pérdidas Catastróficas Político/País Legales Rentabilidad Sector Mercados Financieros
RIESGOS OPERATIVOS RIESGOS DE SISTEMAS RIESGOS

Errores operativos DE INFORMACIÓN/ FINANCIEROS
Eficiencia del canal TECNOLÓGICOS
Capacidad Precio
Diseño Tipo de Interés
Tiempos de Ejecución Selección & Integración Tipo de Cambio
Satisfacción del Cliente Externalización de servicios
Contabilización Desarrollo
Liquidez
Propio (Flujo de Caja)
Desarrollo del Producto Aseguramiento de la Integridad De Mercado
Liquidación del las Operaciones Seguridad (Perimetral, en
Determinación de Objetivos profundidad y de aplicaciones) Crédito
Soporte técnico al Cliente Riesgo de Insolvencia
Marca Riesgo País
Salud y Seguridad de las personas •Rendimiento
Protección de la intimidad •Capacidad de
Propiedad Intelectual crecimiento
Gestión de Proyectos •(Escalabilidad) RIESGOS DE INTEGRIDAD
Estructura de la Organización. •Disponibilidad (FRAUDE)
Diseño de los Procesos
Conformidad Gestión de Infraestructura
Continuidad RIESGOS DE GESTIÓN
Autenticidad de las transacciones DE RR.HH.
Alianzas Gestión de Registros de Actividad
RIESGOS ASOCIADOS A LA INFORMACIÓN DISPONIBLE PARA LA TOMA DE DECISIONES

INFORMACIÓN OPERATIVA INFORMACIÓN FINANCIERA INFORMACIÓN ESTRATÉGICA
Elaboración de los contratos Información contable Planificación Indicadores Gestión
Presupuestación y Planificación Financiera Estratégica y de Riesgos de Entorno
Información de gestión/indicadores
Fijación de Precios Toma de decisiones sobre inversiones Estrategia Comercial
Informes Obligatorios Análisis Fiscal y Legal EstructuraOrganizativa
Cumplimentaciónde Informes Gestión Cartera de Negocios
Financieros Asignación de Recursos

www.e-cronia.com
Diseño de mejores prácticas

Análisis de
procesos/riesgos . Implantación de
claves las herramientas
seleccionados de apoyo
I. Recepción factura I. Envio de la solicitud

del proveedor de suministro,
autorizaciones, pedido
y factura a Administración
1
2
Sistema Integrado de Control de Riesgos
1 6
GRUPO XYZ
MENU:
III. Emisión listado Código de Ética del Grupo
por vencimiento Políticas y Procedimientos de Control
4 en Hoja Excel medio de pago en la Hoja Excel
• Normativa corporativa
5 • Normativa de las unidades operativas
• Responsables por unidad
7 9 • Planes de Formación
Usuario Modelos de Análisis y definiciones de:
• Riesgos y Mapas de Riesgo
II. Envío copia de
• Procesos
la factura a Contabilidad
• Controles
Modelos Actualizados de las Unidades
• Riesgos y Mapas de Riesgos
Ayuda • Procesos
10
1 Salida • Controles
Planes de Acción por Unidades
Información para el Consejo (Acceso restringido)
III. Autorización
“XYZ”
8
3


www.e-cronia.com
Flujograma de información
I. Envio de la solicitud
I. Recepción factura
de suministro,
del proveedor
autorizaciones, pedido
1 y factura a Administración
1 6
III. Emisión listado

4 en Hoja Excel por vencimiento medio de pago en la Hoja Excel
7 9
II. Envío copia de

la factura a Contabilidad
10
1
III. Autorización
8
3


www.e-cronia.com
Definir Nivel Aceptable de Riesgo

• Impacto en el entorno próximo
– Proveedores
– Clientes
– Distribuidores
Catastrófico
– I.Financieras
– Competidores Nivel de
– O.Reguladores Riesgo
Aceptable
– Continuidad de las Operaciones
• Impacto en el entorno Remoto
– Economía
– Tecnología
– Continuidad del Servicio Tecnológico
• Costo para la Empresa

www.e-cronia.com
Nivel Aceptable de Riesgo

Los niveles de
Riesgo Cambian
Peligroso Catastrófico
Insignificante Rutinario

www.e-cronia.com
Nuevas funciones de los auditores
• Determinación y evaluación de los riesgos

• Evaluación periódica de los
procedimientos
• Evaluación del cumplimiento del
autocontrol
• Evaluación periódica del funcionamiento
de los controles
• Seguimiento de las observaciones
www.e-cronia.com
Auditoría Interna
• Es una actividad independiente y objetiva de
aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de una
organización.
• Ayuda a una organización a cumplir sus
objetivos, aportando un enfoque sistémico y
disciplinado para evaluar y mejorar la eficacia
de los procesos de gestión de riesgo, control y
gobierno
Fuente. The Institute Internal Auditors

www.e-cronia.com
Auditoría del negocio
Enfoque tradicional
Auditorías Financieras
Auditoría de los procesos de

negocio
Pruebas
Legales
Controles Internos
Auditoría de los Auditorías Técnicas
Pruebas Controles Internos
Substantivas
Aspectos Proyectos
Pruebas de contables Especiales
Cumplimiento
Auditorías de gestión
El papel del auditor interno deben transformarse desde

la “tradicional auditoría” hacia la “auditoría del negocio”
Nueva Auditoría
www.e-cronia.com
Reactivo Proactivo Estratégico
Participativa con la
Administración Enfocada
Función de en
Auditoría Procesos
Aislada Apoyo a la
Enfocado en autoevaluación de
transaciones la Dirección
Admt. del Admt . de

Riesgo
Exposición / Identificación
del Riesgo Riesgo Inter-
Financiero empresa
Auditor Interno
Consultor
Mejoramiento y
Detección Eficiencia del
Negocio
Prevención
Fuente: PriceWaterhouse

Gestión Estratégica
www.e-cronia.com
• Las relaciones al interior de la empresa

son cada vez mas complejas
• Requieren de mayor proximidad,
transparencia y confianza
• Los vínculos sobrepasan a los
contractuales
• Empresa como un Proyecto-Abierto

www.e-cronia.com
• La aplicación de Tecnologías de
Información y las Comunicaciones (TIC)
propicia un Proyecto empresarial Abierto y
Compartido
• Las barreras del lugar, el tiempo y las
distancias se diluyen
• El éxito empresarial está relacionado con
la anticipación, la innovación y la
flexibilidad
www.e-cronia.com
• Gestión del
conocimiento
– Trabajo en grupo
– Conocimiento
disperso
• Modelo Industrial – Complejidad
tecnológica
– Gestión de los
recursos:
• Naturales
• Materias primas
• Recursos financieros
• Recursos humanos
(tratados como stock)

www.e-cronia.com
Evolución de los sistemas de información
•Conocimiento KnowledgeAccess
Datamining
•Información Olap/Rolap/Molap/Holap
Query & Datawarehouse
ERP
Plataforma
DB
•Datos Estatísdicas
e informes
Sistemas Colaborativos

Business Intelligence
www.e-cronia.com
• Acceso al conocimiento.
• Sistemas Analíticos OLAP.
• Sistemas de información
de apoyo a la toma de
decisiones.
• Sistemas transaccionales
OLTP.

www.e-cronia.com
Tipificación de Riesgos Tecnológicos

para la elaboración de una
Matriz de Riesgos

Tipificación de Riesgos de
T.I.C.A. asociadoswww.e-cronia.com
al negocio
1. Riesgos de Planificación Informática (Plan Informático y Comité
de Informática)
2. Riesgos de Incorporación de TI corporativas.
3. Riesgos de T.E.S.
4. Riesgos en la Organización y Dependencia Funcional del Área de
Informática.
5. Riesgos de Idoneidad del RR.HH de las Áreas de Informática
6. Riesgos en el Desarrollo-Mantención y Explotación de Sistemas
de Información.
7. Riesgos de Sub y/o Sobre Explotación de Recursos de TICA.
8. Riesgos en la Gestión de SGBR.
9. Riesgos en la Tercerización (externalización) de Servicios de
TICA.
10. Riesgos en la Gestión de Proyectos de TICA. (Planificación.
Ejecución y Termino de Py.TI).
11. Riesgos en la Continuidad Operacional de la Plataformas
computacional y del Servicios de Procesamiento de Datos.
(Plan de Continuidad, Plan de Contingencia, Plan de Emergencia.)
Tipos de Riesgos de T.I.C.A. del
negociowww.e-cronia.com
12. Riesgos de Obsolescencia Tecnológica y Funcional de Sistemas
Informáticos.
13. Riesgos en la Definición de la Arquitectura de la Información de la
Organización.
14. Riesgos Inherentes al TICA
15. Riesgos en el Modelos de Datos Corporativo de la Organización.
16. Riesgos en el Modelos de Datos (DER) de sistemas informáticos.
17. Riesgos en el Resguardo y Custodia de la Información Magnética.
18. Riesgos de Control de Activos Tecnológicos.
Inteligencia de Negocios
Escala de Integración y alta conectividad de Sistemas ©
www.e-cronia.com
+ Agentes Inteligentes
SGC
Inteligencia
Artificial RNA
Sistemas Sistemas de SBRD

Conectividad e Integración Sistémica
Expertos Robótica
Sistemas de Minería de Datos, DataMart OLAP (Rolap, Molap, Holap)

Datawarehouse (EIS/DSS)
Sistemas Sistemas Sistemas Sistemas Sistemas Sistemas

Legacy ERP ERM Workflow CRM/SCM Middlware
Ofimática – Internet –Intranet -Extranet

Externalización
Tercerización
Sistemas Gestores de Bases de Datos

Oracle, DB2, Informix, SqlS, Sybase, otros OLTP
Plataforma de Software Básico
Sistema Operativo, Software de Comunicación, etc
Plataforma de Hardware y Conectividad

- Procesadores, almacenamiento, comunicación, multimedia, robótica, etc.

EL Control Interno y el Riesgo
www.e-cronia.com

Estructura de Administración de Riesgos
www.e-cronia.com

Enfoques de Determinaciones Riesgos
www.e-cronia.com

www.e-cronia.com

www.e-cronia.com

Tipos de Riesgos de T.I.C.A. del
negociowww.e-cronia.com
www.e-cronia.com
Metodología básica para la elaboración de una

Matriz de Riesgos
MAGERIT
MELISA
CRAMM
COBRA
OCTAVE

Matriz de riesgo (interno)
www.e-cronia.com
Plantilla de Exposición al Riesgo de los Recursos a Proteger
Recursos de T.I. a Nivel de Exposición al Probabilidad de Nivel de Exposición
proteger Criticidad (0-3) Riesgo (0-3) Ocurrencia al Riesgo del
(Importancia) (Vulnerabilidad) P(x) Recurso de T.I.
a b c Ne=axbxc
RTI 1
RTI 2
RTI 3
RTI n
Total Area
y
(Nivel de Exposición Total al Riesgo de los Recursos de T.I.) Ne  axbxc n
Rango de valores [0-9]
Matriz de riesgo (Interno/externo)
www.e-cronia.com
Plantilla de Identificación de Riesgos del Entorno
Identificación Nivel de Criticidad Probabilidad de Ocurrencia Nivel de Riesgo
De (0-3) P(x)
Riesgos (Importancia)
a b c=axb
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo n
Total Area
(Nivel Total de Riesgo) Nr  axbn Rango de valores [0-3]

Matriz de riesgo (Interno/externo)
www.e-cronia.com
Riesgo Total= Ne x Nr
Rango de valores [0-27]

Riesgo de T.I. del negocio
www.e-cronia.com
Los procesos críticos de

La administración de la SITUACION negocios cada vez se tornan
tecnología se ha ACTUAL más dependientes de la
vuelto crítica debido a: tecnología. Por este motivo,
es esencial que la
infraestructura tecnológica
Aumento de la Aumento de la
necesidad de complejidad de
brinde:
soportar aplicaciones
procesos críticos como los ERP,
de negocios e-Commerce Alta Disponibilidad
PC1-PC2 e-Business Confidencialidad
Oportunidad de Necesidad de
reducir costos rápida
respuesta a las
Seguridad
mediante la
automatización y necesidades Integridad
estandarización de cambiantes de
procesos de la CV los negocios
De M. Porter
La Alta Gerencia incrementa su preocupación respecto de la dependencia
tecnológica y exige mayor performance y una adecuada gobernabilidad de
los recursos de T.I y el estructurar un ambiente de control que permita
minimizar los riesgos inherentes.
Cuadro general
www.e-cronia.com
Gestión Empresa
Riesgo Impacto
Controles
Ambiente de Seguridad
Recurso de Información
Auditoría
Modelo General De Riesgos De Negocios
www.e-cronia.com

La Cadena de Valor y los Riesgos Inherentes
www.e-cronia.com

www.e-cronia.com
Gracias
Preguntas

Riesgos Asociados a la Gestión
Estratégica-Tactica-Operativa de las TICA
www.e-cronia.com
Requerimientos
Estratégicos de
Tecnologías de la Información
Plan Estratégico Plan de Continuidad

Plan de Emergencia
de Plan de Contingencia
Negocios
Comité
Políticas Informáticas
Informática Organización Funcional
Plan Informático
Requerimientos Gestión Global Cadena de Continuidad Recursos Requerimientos

Tecnologías HW De Datos (BD) Suministros Contingencia Humanos Tecnologías SW
EF:TEO Tecnología Def.Req.Sw

Selección
Selección de Captura. Adquisición
Negociación Idoneidad
Adquisición Modelo Desarrollo del Erp
Inventarios Selección
Instalación Corporativo. Proyecto a Outsourcing
Costos Capacitación
Implementación Seguridad Nivel Metodologías
Calidad Políticas de
Explotación Lógica. Operativo DL/DF
Resguardo Recompensas
Mantención Resguardo. Prototipado
Stocks
Resguardo Procesos. Construcción
Calidad
Seguros Custodia. Pruebas...
Plataforma Tecnológica
www.e-cronia.com
INFRASTRUCTURE DIAGRAM
Printers
M ail File Application Database Intranet Web CD-ROM Printer

Server Server Server Server Server Server Server Server
Legacy Systems
Hub or Switch
Gateway
THIN Clients
Modem
Modem
Modem Router To
Remote Proxy
Router To Internet
Access Server
Remote Site (Firewall) FAT Clients
Server (Firewall)
INTERNET
Tcp/Ip Mundo Abierto

Enterprise Resource Planning
www.e-cronia.com
Un Software alemán de
Gestión de Empresas. Líder
absoluto en el Mundo. En SD FI
evolución permanente. Vtas y
Distribución
Contabilidad
Total integración. MM CO
Gestión de
Materiales Contab.
PP Analítica
AM
Planif.de
R/3
Manejo de
la Producción Activos Fijos
•Integrado QM Client / Server PS

Sistema de
Control de
•Modular Calidad PM ABAP/4 WF
Proyectos
Mantenimiento
•Parametrizable de Planta Workflow
HR IS
•Customizable Recursos Industry
Humanos Solutions
•ERP Horizontales
(Backoffice)
•ERP-Verticales
(Frontoffice)

Modelo de un Datawarehouse
www.e-cronia.com

Modelo de un Datawarehouse
www.e-cronia.com

Workflow -Process Manager
www.e-cronia.com

Aplicaciones Bases de Datos
www.e-cronia.com
Diseño Manufac Warehouse RRHH
Finanzas Pedidos Compras Exchange Planning Proyectos
Productos tura Mgmt.
Sistemas
Horizontales ERP Sistemas
Verticales
Marketing Business Intelligence Servicios

eMail Phone
Marketing Support
Una
Web Base de Datos Field
Marketing Service
Arquitectura de Datos
Integración de Datos
Tele- Transactional
CRM –DWH-WflowData Web Self
Marketing Intelligence
Modelos Data
de Conocimiento Service
Partner
Spares
Marketing
Direct
Marketing Ventas Contracts
Web Direct Sales
TeleSales Partners
Sales Sales Comp.
Todos los componentes diseñados para trabajar juntos

www.e-cronia.com
Alcances - Riesgo Tecnológico-1

• Acceso a Redes de Comunicación
– El acceso a la Información o programas sea
inadecuado
• Redes
• Ambiente de Procesamiento
• Sistemas de Aplicación
• Acceso Funcional (Nivel Aplicación)
• Acceso a Nivel de Campo (Nivel Función) .

www.e-cronia.com

• Disponibilidad
– La información no esté disponible cuando sea
necesaria. (Pérdida comunicaciones,
problemas eléctricos, pérdida capacidad de
procesamiento, sabotaje, desastres, etc)
• Monitoreo de performance
• Técnicas de recuperación (períodos pequeños:
Plan de Contingencia)
• Técnicas de recuperación (períodos largos: Plan
de Continuidad)

www.e-cronia.com

• Infraestructura
– La infraestructura no sea adecuada y efectiva
(Hardware,redes,software, personal y
procesos) para soportar las actuales y futuras
necesidades del negocio.
• Planificación Organizacional
• Definición y puesta en operación de aplicaciones
• Administración de la Seguridad
• Administración de las redes y los equipos
• Administración de las BD
• Recuperación ante desastres
www.e-cronia.com

• Integridad
– Relacionado con la autorización, totalidad y exactitud de las
transacciones ingresadas y procesadas por lo Sistemas
• Interfaces usuarias
• Controles procesamiento
• Control de errores
• Cambios a aplicaciones
• Acceso a Datos
• Relevancia
– La información capturada, resumida o mantenida, no sea
relevante para los procesos para los que fue recopilada.
Principalmente relacionado con el proceso de toma de
decisiones.

www.e-cronia.com
Modelo de Riesgos-1
• Riesgo del Entorno - Medio Ambiente
– “Corresponden a situaciones externas que
pudiesen afectar los objetivos y estrategia del
negocio, en extremo, dejar a la compañía
fuera del mercado”
• Riesgo de Operaciones
– “El riesgo de que las operaciones no sean
eficaces ni eficientes en la satisfacción del
cliente ni en el logro de los objetivos de
calidad, costos y tiempo”.
www.e-cronia.com
Modelo de Riesgos-2
• Riesgo de EMPOWERMENT
– “Corresponde al riesgo que el personal, no sepa
qué o cómo actuar cuando es necesario, no sean
adecuadamente dirigidos, excedan el límite de su
autoridad, o no cuenten con los recursos,
entrenamiento y herramientas para tomar
decisiones efectivas”
• Riesgo de Integridad
– “Es el riesgo de fraude de la gerencia, fraude de
los empleados, y actos ilícitos y no autorizados,
cualquiera de los cuales, o todos ellos, lleven a
un deterioro de la reputación en el mercado o
inclusive a pérdidas financieras”.

www.e-cronia.com
Modelo de Riesgos-3
• Riesgo de Información para la toma de
decisiones.
– “Es el riesgo de que la información utilizada
para dar soporte a decisiones estratégicas,
operacionales y financieras no sea relevante
o confiable”.

www.e-cronia.com
Modelo de Riesgos – Riesgo Tecnológico

Riesgo Tecnológico /de Procesamiento de Datos
“Es el riesgo de que la tecnología de información utilizada en
el negocio”:
No apoye eficaz y eficientemente las necesidades actuales y futuras

del negocio.
No esté funcionando como se esperaba.
Esté comprometiendo la integridad y confiabilidad de los datos e
información.
Esté exponiendo a activos importantes, a potenciales pérdidas o a
una mala utilización,
Amenace la Continuidad de las operaciones de negocio o la
habilidad de la compañía para mantener la operación de los procesos
críticos del negocio.

Espectro de la Información
www.e-cronia.com
Información:
Asociatividad en un sólo Contexto
Sabiduría:
Asociatividad de varios Contextos.
Creación de principios generalizados
Conocimiento: basándose en el conocimiento
Asociatividad entre contextos procedente de distintas fuentes.
Múltiples.
Datos:
No hay asociatividad

www.e-cronia.com

…recordando la cadena de valor de Michael Porter
www.e-cronia.com
¿Que es la cadena de valor de Michael Porter?: Un marco
conceptual (1985) para investigar internamente, a nivel de negocio,
las fortalezas del mismo. M.Porter clasifica las tareas de negocios en
9 categorías.
Cinco de ellas son las llamadas PRIMARIAS que están relacionadas

con el movimiento físico de materias primas y productos
terminados, en la producción de bienes y servicios, en el marketing
ventas y generación de valor en las subsiguientes unidades de
negocios.
Las SECUNDARIAS o actividades de apoyo a las primarias están

vinculadas también entre sí. Están compuestas por la
infraestructura de la empresa, es decir procesos y sistemas para
generar sinergia, mediante las tareas de Adm. de RR.HH., desarrollo
de tecnología y adquisiciones.
Cadena de Valor :Actividades desarrolladas por cada Unidad de Negocios
www.e-cronia.com
Actividades Primarias
Logística de Operaciones Logística de Marketing y Servicios
Entrada Salida Ventas
M
s
a A
i
n p R
e o Tareas ejecutadas para agregar …………valor G
r y
g
E
i o N
a
Actividades Secundarias
Adquisiciones
Desarrollo de Tecnología o Conocimiento
Administración de RR.HH.
Infraestructura Empresarial

Visión Clásica
www.e-cronia.com

Amenaza de los
www.e-cronia.com
nuevos entrantes:
¿Pueden los SI/TI
construir barreras
de entrada?
Poder Negociación De Rivalidad entre los Poder Negociación De

los Proveedores ¿Pueden Competidores Existentes los Clientes ¿Pueden los
los SI/TI alterar el poder ¿Pueden los SI/TI SI/TI reducir el poder de
de negociación de los modificar las bases de la negociación de los
Proveedores? competencia? Clientes?
Amenazas de Prod/Serv.
Sustitutivos ¿Pueden los
SI/TI generar nuevos
Productos y Servicios?
Análisis de las Fuerzas Competitivas de un Sector Según Porter

¿Cómo explotan los www.e-cronia.com
competidores esta
Tecnología
¿Cómo influye esta ¿Qué esperan de

tecnología en nuestra ¿Qué podemos lograr nosotros nuestros
cadena de mediante la tecnología clientes mediante esta
abastecimiento? de Internet? tecnología?
¿Qué productos
sustitutos estarán a
disposición mediante
esta tecnología?
Ámbito de Decisiones con Tecnología Internet


2018 Fundamentos Riesgo TICA 02 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2018 Fundamentos Riesgo TICA 02 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

www.e-cronia.

Algunas reflexiones previas

“En la sociedad actual el conocimiento

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

IMPORTANCIA DE EVALUAR EL RIESGO

• El valor se genera por el desarrollo de productos y servicios, y

• En el proceso de recoger información para comprender y evaluar el

• Esta valiosa información puede darse en forma de consulta,

Fuente: The Institute of Internal Auditors

Eduardo Leyton Guerrero www.eduardoleyton.com

Marco para la Práctica Profesional

Definición de Auditoría Interna

Eduardo Leyton Guerrero www.eduardoleyton.com

Clasificación del Riesgo

MacroEconómico Gestión Imagen Calidad Norma Privacidad Inherentes

Convertibilidad Estructura Competencia Innovación Errores Disponibilidad Control

Sistémico Filiales Proveedores Creatividad RR.HH. Integridad Detección

Influencia Externa Financiero Clientes Conocimiento Ambiental Oportunidad

Social Reguladores Fraude

Eduardo Leyton Guerrero www.eduardoleyton.com

Mercado Financiero Legal de Información de Auditoría

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Alternativa de Análisis de Riesgos

INFORMACIÓN DE CONFIDENCIALIDAD CARENCIA DEL SISTEMA DE

Eduardo Leyton Guerrero www.eduardoleyton.com

Eduardo Leyton Guerrero www.eduardoleyton.com

Importancia del S.I. Impacto

Alto Peligroso Catastrófico

Bajo Insignificante Rutinario

Eduardo Leyton Guerrero www.eduardoleyton.com

Low Risk 1 Medium Risk 3

Eduardo Leyton Guerrero www.eduardoleyton.com

Proceso de Mejora Mapa de Riesgos

Matriz de Riesgos y Controles

Revisión de los procedimientos y

• Riesgos y Mapas de Riesgo

II. Registro contable de IV. Registro contable

Eduardo Leyton Guerrero www.eduardoleyton.com

Ejemplo de procesos de una organización.

Eduardo Leyton Guerrero www.eduardoleyton.com

Riesgos asociados a los procesos de la organización:

RIESGOS OPERATIVOS RIESGOS DE SISTEMAS RIESGOS

RIESGOS ASOCIADOS A LA INFORMACIÓN DISPONIBLE PARA LA TOMA DE DECISIONES

Eduardo Leyton Guerrero www.eduardoleyton.com

Diseño de mejores prácticas

I. Recepción factura I. Envio de la solicitud

II. Registro contable de IV. Registro contable

Eduardo Leyton Guerrero www.eduardoleyton.com

III. Emisión listado

II. Envío copia de

II. Registro contable de IV. Registro contable

Eduardo Leyton Guerrero www.eduardoleyton.com

Definir Nivel Aceptable de Riesgo