UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA

(SESION 14)

Profesor: Mg. Mario Huapaya Chumpitaz

INDICE

UNIDAD III: Tipos de Auditoria

1. Conceptos de Administración de Riesgos2. Metodología para Implementar la Gestión de Riesgos3. Tipo de Riesgos4. Evaluación de Riesgos5. Plan de Tratamientos de Riesgos6. Caso practico

1. Concepto de Administración de Riesgos

“…La palabra riesgo proviene del Latín Riscara que

significa atreverse o transitar por un sendero

peligroso. En realidad tiene un significado negativo,

relacionado con peligro, daño siniestro o pérdida. Sin

embargo, el Riesgo es parte inevitable de los procesos

de toma de decisiones en general …”

Definición y Objetivos de la Gestión de Riesgos CorporativosLa gestión de riesgos corporativos es un proceso efectuadopor la Alta Dirección de una entidad, su dirección y restantepersonal, aplicable a la definición de estrategias en toda laempresa y diseñado para identificar eventos potenciales quepueden afectar a la organización, gestionar sus riesgos dentrodel riesgo aceptado y proporcionar una seguridad razonablesobre el logro de los objetivos.

1. Concepto de Administración de Riesgos

Definiciones Evento: Un suceso o serie de sucesos que pueden ser

internos o externos a la empresa, originados por la mismacausa, que ocurren durante el mismo periodo de tiempo.

Riesgo: La condición en que existe la posibilidad de que unevento ocurra e impacte negativamente sobre los objetivosde la empresa.

Probabilidad: La posibilidad de la ocurrencia de un eventoque usualmente es aproximada mediante una distribuciónestadística. En ausencia de información suficiente, o dondeno resulta posible obtenerla, se puede aproximar mediantemétodos cualitativos.

1. Concepto de Administración de Riesgos

Definiciones Impacto: La consecuencia (s) de un evento, expresado ya sea en

términos cualitativos o cuantitativos. Usualmente se expresaráen términos monetarios, como perdidas financieras, también esllamado severidad.

Apetito por el Riesgo: Nivel de riesgo que la empresa o entidadestá dispuesto a asumir en su búsqueda de rentabilidad y valor,logro de sus objetivos.

Tolerancia al riesgo: Son los niveles de desviación de losobjetivos trazados que la institución está dispuesto a asumir. Sudefinición busca asegurar que la entidad permanezca dentro delriesgo aceptado.

1. Concepto de Administración de Riesgos

Relación de la Gestión Integral de Riesgos y el ControlInternoLa Gestión Integral de Riesgos incluye al control interno delque es parte integral. La Gestión Integral de Riesgos,expande y desarrolla los conceptos de control interno en unaforma más amplia y sólida, con un mayor énfasis en laadministración de los riesgos.

1. Concepto de Administración de Riesgos

Resolución de Contraloría Nº 004-2017 CGComponente: Evaluación de Riesgos Para implementar el presente componente se diseña y aplica

una metodología para la administración de riesgos,identificando, analizando, valorando y dando respuesta a losriesgos que ésta expuesta la institución optimizando losrecursos disponibles a través de la minimización de laspérdidas que pudieran presentarse como por la noconsecución de sus objetivos.

Es preciso señalar que el presente componente permitirá laidentificación de riesgos a nivel de entidad y nivel deprocesos, para el primer caso estarán en función a losobjetivos institucionales de carácter general y en el segundoen función de los objetivos de cada proceso.

1. Concepto de Administración de Riesgos

2. Metodología para Implementar la gestión de Riesgos

2. Metodología para Implementar la gestión de Riesgos

Identificación de

los Riesgos

• ¿Qué puede suceder?

• ¿Dónde?

• ¿Cuándo?

• ¿Cómo?

• ¿Cuál será su

impacto?

•Externos:

–Cambio de las necesidades y

expectativas del

cliente- Competencia

–Nuevas legislaciones y regulaciones.

–Catástrofes naturales

-Desarrollo tecnológico

-Nuevaslegislaciones yregulaciones

- Una interrupción en el

procesamiento de sistemas de información

• Internos:

– La calidad del personal

contratado y los métodos de

entrenamiento y motivación

– Un cambio en las responsabilidades de

la administración

– La naturaleza de las actividades de

la entidad y el acceso de los

empleados a los activos

– Un comité directivo o de

auditoría ineficaz

RIESGO

Posibilidad de que un evento desfavorable pueda afectarnegativamente la habilidad de la organización para el logro de susobjetivos

ADMINISTRACIÓN DE RIESGOS

Es el proceso para incrementar la confianza en la habilidad de unaorganización para anticipar, priorizar y superar obstáculos paraalcanzar sus metas

CONTROL INTERNO

Es un proceso diseñado para proveer una seguridad razonable conrespecto al logro de los objetivos de la entidad

2. Metodología para Implementar la gestión de Riesgos

3. Tipos de Riesgos

RIESGO ESTRATÉGICORIESGO OPERATIVORIESGO FINANCIERORIESGO DE CUMPLIMIENTORIESGO DE CORRUPCIONRIESGO DE TECNOLOGIARIESGO REPUTACIONAL

3. Tipos de Riesgos

¿QUÉ ES UN RIESGO OPERATIVO?El acuerdo de Basilea define al Riesgo de Operativo como “laposibilidad de ocurrencia de pérdidas financieras por deficienciaso fallas en:

PersonalProcesos internosTecnología de InformaciónEventos Externos

Incluye el Riesgo Legal y excluye el Riesgo Estratégico yReputacional

3. Tipos de Riesgos

La Resolución de Contraloría Nº 004-2017-CG define al Riesgo Operativo “comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes en:

Deficiencias en los sistemas de información

Definición de los procesos

La estructura organizacional

La desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupciòn e incumplimiento de los compromisos institucionales.

3. Tipos de Riesgos

Riesgo Absoluto (NRA) El resultado del análisis de la causas/vulnerabilidad y de la combinación de los criterios de probabilidad e impacto determinará el Nivel de Riesgo Absoluto – NRA (no se considera los controles internos implementados o en ausencia de estos).

TABLA Nº 03: MATRIZ DE EVALUACIÓN DE NIVEL DE RIESGO* Riesgo Residual (NRR) El nivel de riesgo residual es el que se enfrenta luego de aplicar el efecto mitigante del control sobre el riesgo absoluto.

4. Evaluación de Riesgos

RIESGO

Posibilidad de que un evento desfavorable pueda afectarnegativamente la habilidad de la organización para el logro desus objetivos

4. Evaluación de Riesgos

(5) Catastrofico Moderado Alto Alto Extremo Extremo

(4) Mayor Moderado Moderado Alto Extremo Extremo

(1) (2) (3) (4) (5)

Rara vez OcasionalPoco

frecuenteFrecuente

Muy

frecuente

Nivel Concepto

1 Rara vez

2 Ocasional

3 Poco frecuente

4 Frecuente

5 Muy frecuente

Nivel Concepto

1 Insignificante

2 Menor

3 Moderada

4 Mayor

5 Catastrofico

Nivel Criterio

1 BajoRequiere monitoreo periódico a fin de mantener los riesgos en este nivel.

[0,3]

3 Alto Requiere atención urgente de las Gerencias responsables.<8,15]

2 Moderado Requiere atención de la Gerencia. <3,8]

El negocio, proceso, subproceso y actividad es gravemente

dañado - Enorme perdida financiera

Descripción

4 Extremo Requiere atención urgente de la Alta Dirección.<15,25]

El riesgo tiene un efecto nulo o pequeño, en el desarrollo del

negocio, proceso, subproceso y actividades - baja perdida

financiera

El desarrollo del negocio, proceso, sub proceso y actividad

sufre un daño menor - Con perdida financiera menor

El desarrollo del negocio, proceso, subproceso y actividad

sufre un deterioro, dificultando o retrazando su cumplimiento -

Con afectación financiera

El desarrollo del negocio, proceso, subproceso y actividad es

afectado significativamente - Pérdida financiera mayor

Puede ocurrir en la mayoría de circunstancias

Ocurre en la mayoria de circunstacias

NIVEL DE IMPACTO

Descripción

Puede ocurrir en algún momento

Moderado Moderado

Frecuencia

NIVEL DE FRECUENCIA

(1) Insignificante Bajo

Ocurre en circunstancias excepcionales

Moderado

Descripción

Improbable

Bajo

Moderado Moderado

Bajo

Alto

MATRIZ EVALUACION DE RIESGOS

I m

p a

c t

o

(3)

ModeradaBajo Moderado Alto Alto Alto

(2) Menor Bajo

NIVEL DE PROBABILIDAD

4. Evaluación de Riesgos

MAPA DE RIESGOS

AGENCIA PROBABILIDAD IMPACTONIVEL DE

RIESGO

RA1 5.0 5.0 25.0

RR1 2.0 5.0 10.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

0.0

MAPA DE SITUACION DE RIESGO RESIDUAL

RA1

RR1

4. Evaluación de Riesgos

Respuesta al

Riesgo

OpcionesReducir o mitigar el riesgo

Transferir o compartir el riesgo

Evitar el riesgo

Aceptar el riesgo

Reducir el riesgo

y

manejar contingencia

Acciones de mitigación para reducir el IMPACTO

Acciones de mitigación para reducir la PROBABILIDAD

Acciones y planes de contingencia

4. Evaluación de Riesgos

Respuestas a los Riesgos

unidades operativasunidades operativas

Aceptar el Riesgo

• Auto -asegurarse contra perdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra p érdidas

inesperadas significativas• Contrataci ón de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificaci• Establecimiento de l

operaciones y monitoreo• Reasignaci

Evitar el Riesgo• Reducir la expansi ón de una l ínea

de productos a nuevos mercados• Vender una divisi ón, unidad de

negocio o segmento geogr áfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Aceptar el Riesgo

• Auto -asegurarse

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra perdidas

inesperadas significativas• Contratación Outsoursing

• Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de servicios• Establecimiento de limites a las

operaciones y monitoreo• Reasignación de capital entre

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográficoaltamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

5. Plan de Tratamiento de Riesgos

6. Caso Practico

Muchas Gracias!!!mhuapaya.chu@gmail.com