Gestion Del Riesgo 2012

Asociación de Egresados Universidad Tecnológica de Pereira
RIESGOS
Surgen de la INCERTIDUMBR E que rodea la TOMA DE DECISIONES .
Normalmente se asocia con: PÉRDIDA POTENCIA L de:

* Valor
* Control.
* Función.
* Calidad.
O FALTA DE PUNTUALIDAD EN:
* El Plazo de entrega.
RIESGO PURO : La INCERTIDUMBRE se asocia con la potenciales PÉRDIDAS

futuras.
Cualquie evento o condición que pueda influir en forma POSITIVA o NEGATIVA en el

resultado de un proyecto o en el alcance de los OBJETIVOS.
RIESGO ESPECULATIVO : Las decisiones tomadas pueden estar asociadas con la

probabilidad de BENEFICIOS o PÉRDIDAS. Asociación de Egresados Universidad Tecnológica de Pereira
1. Establecer Contexto estratégico
P
2. Definir Objetivos
3. Identificar los riesgos
A 4. Analizar los riesgos
5. Valorar los riesgos H
6. Política de Administración de riesgos
6.1. Definir opciones y planes de manejo.
6.2. Monitorear y Autocontrolar V

1. Establecer Contexto estratégico
CONTEXTO ESTRATÉGICO
Identificación, análisis y valoración de los RIESGOS ESTRATÉGICOS, que puedan

afectar el alcance de la MISIÓN, VISIÓN Y OBJETIVOS INSTITUCIONALES.
CONOCIMIENTO DEL ENTORNO
Riesgos asociados a factores INTERNOS

SesionesO EXTENOS de carácter SOCIAL,
ECONÓMICO, CULTURAL, ORDEN PÚBLICO, POLÍTICO, LEGAL, CAMBIOS
TECNOLÓGICOS, entre otros.
dirigidas; Lluvia
de ideas;
METODOLOGÍA
Interacción de
TODOS;
Entrevista con expertos; reuniones con directivos y miembros de gerencia
media; evaluaciones individuales usando custionarios; lluvias de ideas con el
Periódicamente
personal de la entidad; indagaciones y entrevistas con terceros; análisis de
escenarios; revisión periódica de factores que puedan afectar la entidad;
diagramas de flujo; opiniones de especialistas y expertos; registros
históricos.entre otros.

2. Definir Objetivos
Del Proceso
De Procedimientos
De Actividades
En su forma más simple un objetivo es establecer
una :
M ETA
Que sumada a las metas de los objetivos

estratégico y operacionales, permiten alcanzar la
misión, visión y objetivos de la Empresa.

FORMATO DE IDENTIFICACIÓN DE RIESGOS

PROCESO:
CAUSAS (Factores
Sesiones EFECTO
OBJETIVO internos y externos, RIESGO
dirigidas; Lluvia DESCRIPCIÓN
de ideas; (Consecuencias)
Agente generador) Interacción de
TODOS;
Periódicamente

CLASIFICACIÓN DELRIESGO
Riesgo estratégico.
Riesgos Operativos.
Riesgos Financieros.
Riesgos de cumplimiento.
Riesgos de Tecnología.
Sesiones
dirigidas; Lluvia
RESULTADOS DE de ideas;
LA IDENTIFICACIÓN
DELInteracción
RIESGO de
TODOS;
Periódicamente
Determinar las CAUSAS (Factores internos y
externos de los riesgos.)
Describir los riesgos identificados con sus
CARACTERÍSTICAS .
Precisar los EFECTOS que los riesgos puedan
ocasionar en la Entidad.
Clasificar los riesgos.

4. Analizar los riesgos
CRITERIOS DE PROBABILIDAD:
Alta:
Es casi seguro que el evento se

presenta.
Media:
Es posible que el evento se

presente.
Baja:
Rara vez el evento se presenta

PROBABILIDAD
Es la POSIBILIDAD de que la situación descrita en el apartado CONSECUENCIAS de la
IDENTIFICACIÓN del riesgo, llegue a PRODUCIRSE o MATERIALIZARSE .
CALCULO DE LA PROBABILIDAD
La MEDIDA están en FUNCIÓN de la FRECUENCIA (# de veces que se repite el evento) o por el
MARGEN de ERROR o ANTECEDENTES ESTADÍSTICOS de EVENTOS NO DESEADOS. También
por la estimación de FACTORES INTERNOS O EXTERNOS que favorecen la MATERIALIZACIÓN
del riesgo.
PROBABILIDAD OBJETIVA
Es la POSIBILIDAD que ocurra un RESULTADO ESPECÍFICO , apoyada en HECHOS ESPECIFÍCOS
y BASES NUMÉRICAS .
PROBABILIDAD SUBJETIVA
Es la que tiene un MENOR GRADO de hechos y números que la respalden y se fundamenta en
JUICIOS DE VALOR que varían de una persona a otra. Depende también de la INTUICIÓN Y
EXPERIENCIAS PREVIAS en situaciones similares.

IMPACTO DEL RIESGO

Son las CONSECUENCIAS del RIESGO, cuando se MATERIALIZA , en TÉRMINOS
MONETARIOS , de PÉRDIDA DE IMAGEN o de CONFIANZA.
CRITERIOS DE LA MEDICIÓN DEL IMPACTO

* Términos financieros (Pérdida de inversiones, costos de oportunidad, costos por reprocesos).
* DISMINUCIÓN del NSU o de la CALIFICACIÓN de CLIMA ORGANIZACIONAL .

* Pérdida de CUOTA DE MERCADO .
POLITICAS PARA LA MEDICIÓN DEL IMPACTO

* ESTIMACIONES de VALORES para IMPACTOS específicos.
* Límites o ESCALA DE VALORES subjetivos, que sirven para MEDIR el impacto.

CRITERIOS DE IMPACTO:
Catastrófico:
De presentarse el evento, el
Impacto para la Empresa sería
alto.
Moderado:
impacto sería medio.
Leve:
impacto sería bajo.

PROBABILIDAD VS. IMPACTO
Se utiliza la información
disponible para determinar la
probabilidad (frecuencia) con
la que pueden ocurrir los
eventos identificados y la
magnitud de sus
consecuencias en el
contexto de los controles
existentes.
La combinación de esta
probabilidad, las
consecuencias y el estado
de los controles existentes
determina el NIVEL DEL
RIESGO o GRADO DE
EXPOSICIÓN AL RIESGO. Asociación de Egresados Universidad Tecnológica de Pereira
RIESGO ALTO
PROBABILIDAD
RIESGO MEDIO
CONSECUENCIAS
RIESGO BAJO
EVALUACIÓN DE LA EXPOSICIÓN AL RIESGO.

EXPOSICIÓN AL RIESGO
La EXPOSICIÓN AL RIESGO calcula la AMENAZA general que supone el

RIESGO, combinando el resultado de la PROBABILIDAD con el resultado del
IMPACTO .
CALCULO DE LA EXPOSICIÓN AL RIESGO
En el caso más simple de ANÁLISIS CUANTITATIVO del riesgo, la exposición

al RIESGO se calcula MULTIPLICANDO el resultado de la PROBABILIDAD por
el resultado del IMPACTO .
UTILIDAD DE LA MEDICIÓN DE LA EXPOSICIÓN AL RIESGO
El EQUIPO puede usar la MAGNITUD de la EXPOSICIÓN AL RIESGO , para

clasificar los riesgos.

CUANTIFICACIÓN DE LA EXPOSICIÓN AL RIESGO

IMPACTO DE
LEVE = 5 MODERADO = 10 CATASTRÓFICO = 20
PROBABILIDAD
ALTA = 3 15 30 60
MEDIA = 2 10 20 40
BAJA = 1 5 10 20
Exposición baja = 1ó2

Exposición media = 3ó4
Exposición Alta = 6ó9

5. Valorar los riesgos
VALORACIÓN
Confrontación de los resultados del ANÁLISIS DE RIESGOS VS. LOS
CONTROLES existentes.
OBJETIVO DE LA VALORACIÓN
Establecer prioridades para el MANEJO y la FIJACIÓN DE POLÍTICAS DE
RIESGOS .
REQUISITO PARA ADELANTAR ESTA ETAPA

Conocimiento pleno de los PUNTOS DE CONTROL existentes en cada uno de
los procesos a los cuales se le han identificado los riesgos.

TIPO DE CONTROLES
AGENTE
GENERADOR
CAUSA RIESGO EFECTO RECUPERACIÓN
CONTROLES CONTROLES CONTROLES CONTROLES

PREVENTIVOS DETECTIVOS PROTECCIÓN CORRECTIVOS

PROCEDIMIENTO PARA VALORACION DE

CONTROLES
Los controles son PREVENTIVOS?.

Son de PROTECCIÓN?
Los controles están

DOCUMENTADOS?
Se estan APLICANDO en la actualidad?
Son EFECTIVOS para minimizar el
riesgo?

CRITERIOS VALORACIÓN DEL RIESGO
Se mantiene el resultado de la evaluación

No existen controles
antes de controles
Los controles existentes NO Se mantiene el resultado de la evaluación

SON EFECTIVOS antes de controles
Cambia el resultado A UNA CASILLA

Los controles existentes SON INFERIOR de la MATRIZ de evaluación
EFECTIVOS, pero NO ESTÁN antes de controles (El desplazamiento
DOCUMENTADOS. depende de si el control afecta EL IMPACTO
o la PROBABILIDAD.).
Los controles SON Pasa a ESCALA INFERIOR (El

EFECTIVOS Y ESTÁN desplazamiento depende de si el control
DOCUMENTADOS. afecta EL IMPACTO O LA PROBABILIDAD.)

PROBABILIDAD RIESGO ALTO
CONTROLES
RIESGO MEDIO
CONSECUENCIAS RIESGO BAJO
NIVEL DEL RIESGO TENIENDO EN CUENTA LA

CALIDAD DE LOS CONTROLES
VALORACIÓN DE LOS RIESGOS

PROBABILIDAD Valor
15 30 60
ALTA 3
CONTROLES
10 20 40
MEDIA 2
5 10 20
BAJA 1
IMPACTO Leve Moderado Catatrófico

Valor 5 10 20

Políticas de Administración de Riesgos:

Incluye la identificación de la gama de opciones
para tratar el riesgo, la evaluación de dichas
opciones y la preparación de planes para su
implementación.
Se deben tener en cuenta algunas de las

siguientes opciones que deben evaluarse en
relación con el costo-beneficio de su
implantación:

Plan de manejo de Riesgos
Significa asumirlo porque su frecuencia

es muy baja y no representa ningún
peligro para la entidad
Aceptarlo
Se toman medidas encaminadas a

disminuír tanto la frecuencia (medidas de
prevención) como la gravedad (medidas
de protección).
Reducirlo


C
O
M Plan de manejo de Riesgos
P
A Se reduce su efecto a través de la
R Dispersarlo transferencia de las consecuencias o
T distribuyendo una porción del riesgo a
I otras áreas u organizaciones.
R
L
O
Transferirlo

Plan de manejo de Riesgos
Cuando su frecuencia y gravedad

son altos para la Organización.
Evitarlo o eliminarlo

OPCIONES RECOMENDADAS PARA LA VALORACIÓN DE
LOS RIESGOS
PROBABILIDAD Valor
15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
moderado. Evitar el inaceptable.Evitar
ALTA 3 importante. Reducir el
riesgo. el riesgo, reducir el
riesgo, evitar el riesgo, riesgo, compartir o
compartir o transferir. transferir.

10 20 40
tolerable. Asumir el importante. Reducir
MEDIA 2 moderado. Reducir el
riesgo, reducir el el riesgo, evitar el
riesgo. riesgo, evitar el riesgo, riesgo, compartir o
compartir o transferir. transferir.
5 10 20
aceptable. Asumir tolerable. Reducir el moderado. Reducir
BAJA 1 el riesgo. riesgo, compartir o el riesgo, compartir
transferir. o transferir.
IMPACTO Leve Moderado Catatrófico

Valor 5 10 20

FORMATO MAPA DE RIESGOS

OPCIONES DE
ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
MANEJO

FORMATO MAPA DE RIESGOS
RIEGOS IMPACTO PROBABILIDAD EVALUACIÓN CONTROLES VALORACIÓN
OPCIONES DE
ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
MANEJO

6.2. Monitorear y Autocontrolar
Responsables Efectivo Cumplimiento de los

MAPA DE RIESGO AC, AP,
Equipo de Control de manejo objetivos
AM
Gestión del riesgo Diseñado y validado organizacionales

RESUMEN GENERAL DE LAS ESTAPAS DE ERM
ESQUEMA GENERAL DE LA ADMINISTRACIÓN DE RIESGOS:
Valorar la probabilidad Evaluar el

Identificar
Impacto
Riesgos
frecuencia
VALORACIÓN DE RIESGOS
Medición Priorizar
y Riesgos
Control
ADMINISTRACIÓN
DE RIESGOS
CONTROL DE RIESGOS
Asignar Generar
Responsa-
Responsa- Planeación de Contención Opciones
bilidades Planeación de Contingencia

REGISTRO DE IDENTIFICACIÓN DE RIESGOS
PROCESO: Seguridad de la Red Informática.
CAUSAS (Factores
EFECTO
OBJETIVO internos y externos, RIESGO DESCRIPCIÓN
(Consecuencias)
Agente generador)
La no
La falta de
disponibilidad
medidas de
Mantener la Pérdida de de la
PREVENCIÓN
red información información
contra los virus
protegida * Programas debido a la puede producir
y de
contra virus antivirus entrada de un insatisfacción de
CONTINGENCIA
que puedan desactualizados . virus en la red los clientes ,
para preservar
dañar la de información pérdida de
la información,
información de la entidad. clientes externos
puede facilitar la
y pérdidas
pérdida de ésta.
económicas.

REGISTRO VALORACIÓN DE LOS RIESGOS
Pérdida de
información
debido a la
entrada de un 20 3 60 Buenos 10
virus en la red
de información
de la Entidad.
DESCRIPCIÓN DE CONTROLES EXISTENTES:

Actualización diaria de los antivirus en los PCs. Control preventivo.
Se vacunan todos los programas y equipos, diariamente. Control preventivo.

Filtros perimetrales (Que revisan contenido de correos para detectar virus). Control preventivo.
Filtros URL (Que revisan contenido de archivos que se bajan de Internet). Control preventivo.
Segmentación de la red. Control de protección.
Se hace backup o copias de seguridad semanalmente. Control de protección.
Se guarda información más relevante fuera de la red en un centro de información. Control de protección.
RESPUESTAS A PREGUNTAS SOBRE CONTROLES:
♦Los controles están documentados? SI.
♦Se están aplicando en la actualidad? SI.
♦Es efectivo para minimizar el riesgo? SI

MAPA DE RIESGOS
REGISTRO MAPA DE RIESGOS
Pérdida de
información
debido a la
entrada de un 20 3 60 Buenos 10
virus en la red
de información
de la Entidad.
REGISTRO DE LOS PLANES DE MANEJO DE LOS RIESGOS

OPCIONES DE
ACCIONES RESPONS. CRONOGRAMA INDICADOR
MANEJO
Reducirlo (RD) XXX XXX Mes_Año No. PCs
XXX XXX Mes_Año afectados /
XXX XXX Mes_Año Total PCs
XXX XXX Mes_Año Empresa

Gestion Del Riesgo 2012

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gestion Del Riesgo 2012

Enviado por

Direitos autorais:

Formatos disponíveis

Asociación de Egresados Universidad Tecnológica de Pereira

Surgen de la INCERTIDUMBR E que rodea la TOMA DE DECISIONES .

Normalmente se asocia con: PÉRDIDA POTENCIA L de:

RIESGO PURO : La INCERTIDUMBRE se asocia con la potenciales PÉRDIDAS

Cualquie evento o condición que pueda influir en forma POSITIVA o NEGATIVA en el

RIESGO ESPECULATIVO : Las decisiones tomadas pueden estar asociadas con la

3. Identificar los riesgos

A 4. Analizar los riesgos

5. Valorar los riesgos H

6. Política de Administración de riesgos

6.1. Definir opciones y planes de manejo.

6.2. Monitorear y Autocontrolar V

Identificación, análisis y valoración de los RIESGOS ESTRATÉGICOS, que puedan

CONOCIMIENTO DEL ENTORNO

Riesgos asociados a factores INTERNOS

Asociación de Egresados Universidad Tecnológica de Pereira

Que sumada a las metas de los objetivos

Asociación de Egresados Universidad Tecnológica de Pereira

FORMATO DE IDENTIFICACIÓN DE RIESGOS

Asociación de Egresados Universidad Tecnológica de Pereira

Asociación de Egresados Universidad Tecnológica de Pereira

Es casi seguro que el evento se

Es posible que el evento se

Rara vez el evento se presenta

Asociación de Egresados Universidad Tecnológica de Pereira

Asociación de Egresados Universidad Tecnológica de Pereira

IMPACTO DEL RIESGO

CRITERIOS DE LA MEDICIÓN DEL IMPACTO

* DISMINUCIÓN del NSU o de la CALIFICACIÓN de CLIMA ORGANIZACIONAL .

POLITICAS PARA LA MEDICIÓN DEL IMPACTO

Asociación de Egresados Universidad Tecnológica de Pereira

Asociación de Egresados Universidad Tecnológica de Pereira

EVALUACIÓN DE LA EXPOSICIÓN AL RIESGO.

Asociación de Egresados Universidad Tecnológica de Pereira

La EXPOSICIÓN AL RIESGO calcula la AMENAZA general que supone el

CALCULO DE LA EXPOSICIÓN AL RIESGO

En el caso más simple de ANÁLISIS CUANTITATIVO del riesgo, la exposición

UTILIDAD DE LA MEDICIÓN DE LA EXPOSICIÓN AL RIESGO

El EQUIPO puede usar la MAGNITUD de la EXPOSICIÓN AL RIESGO , para

Asociación de Egresados Universidad Tecnológica de Pereira

CUANTIFICACIÓN DE LA EXPOSICIÓN AL RIESGO

Exposición baja = 1ó2

Asociación de Egresados Universidad Tecnológica de Pereira

REQUISITO PARA ADELANTAR ESTA ETAPA

Asociación de Egresados Universidad Tecnológica de Pereira

CAUSA RIESGO EFECTO RECUPERACIÓN

CONTROLES CONTROLES CONTROLES CONTROLES

Asociación de Egresados Universidad Tecnológica de Pereira

PROCEDIMIENTO PARA VALORACION DE

Los controles son PREVENTIVOS?.

Los controles están

Asociación de Egresados Universidad Tecnológica de Pereira

Se mantiene el resultado de la evaluación

Los controles existentes NO Se mantiene el resultado de la evaluación

Cambia el resultado A UNA CASILLA

Los controles SON Pasa a ESCALA INFERIOR (El

Asociación de Egresados Universidad Tecnológica de Pereira

PROBABILIDAD RIESGO ALTO

CONSECUENCIAS RIESGO BAJO

NIVEL DEL RIESGO TENIENDO EN CUENTA LA

VALORACIÓN DE LOS RIESGOS

IMPACTO Leve Moderado Catatrófico

Asociación de Egresados Universidad Tecnológica de Pereira