curso: auditoria y control de tecnologia de …...identificación de riesgos a nivel de entidad y...
TRANSCRIPT
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA
CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA
(SESION 14)
Profesor: Mg. Mario Huapaya Chumpitaz
INDICE
UNIDAD III: Tipos de Auditoria
1. Conceptos de Administración de Riesgos2. Metodología para Implementar la Gestión de Riesgos3. Tipo de Riesgos4. Evaluación de Riesgos5. Plan de Tratamientos de Riesgos6. Caso practico
1. Concepto de Administración de Riesgos
“…La palabra riesgo proviene del Latín Riscara que
significa atreverse o transitar por un sendero
peligroso. En realidad tiene un significado negativo,
relacionado con peligro, daño siniestro o pérdida. Sin
embargo, el Riesgo es parte inevitable de los procesos
de toma de decisiones en general …”
Definición y Objetivos de la Gestión de Riesgos CorporativosLa gestión de riesgos corporativos es un proceso efectuadopor la Alta Dirección de una entidad, su dirección y restantepersonal, aplicable a la definición de estrategias en toda laempresa y diseñado para identificar eventos potenciales quepueden afectar a la organización, gestionar sus riesgos dentrodel riesgo aceptado y proporcionar una seguridad razonablesobre el logro de los objetivos.
1. Concepto de Administración de Riesgos
Definiciones Evento: Un suceso o serie de sucesos que pueden ser
internos o externos a la empresa, originados por la mismacausa, que ocurren durante el mismo periodo de tiempo.
Riesgo: La condición en que existe la posibilidad de que unevento ocurra e impacte negativamente sobre los objetivosde la empresa.
Probabilidad: La posibilidad de la ocurrencia de un eventoque usualmente es aproximada mediante una distribuciónestadística. En ausencia de información suficiente, o dondeno resulta posible obtenerla, se puede aproximar mediantemétodos cualitativos.
1. Concepto de Administración de Riesgos
Definiciones Impacto: La consecuencia (s) de un evento, expresado ya sea en
términos cualitativos o cuantitativos. Usualmente se expresaráen términos monetarios, como perdidas financieras, también esllamado severidad.
Apetito por el Riesgo: Nivel de riesgo que la empresa o entidadestá dispuesto a asumir en su búsqueda de rentabilidad y valor,logro de sus objetivos.
Tolerancia al riesgo: Son los niveles de desviación de losobjetivos trazados que la institución está dispuesto a asumir. Sudefinición busca asegurar que la entidad permanezca dentro delriesgo aceptado.
1. Concepto de Administración de Riesgos
Relación de la Gestión Integral de Riesgos y el ControlInternoLa Gestión Integral de Riesgos incluye al control interno delque es parte integral. La Gestión Integral de Riesgos,expande y desarrolla los conceptos de control interno en unaforma más amplia y sólida, con un mayor énfasis en laadministración de los riesgos.
1. Concepto de Administración de Riesgos
Resolución de Contraloría Nº 004-2017 CGComponente: Evaluación de Riesgos Para implementar el presente componente se diseña y aplica
una metodología para la administración de riesgos,identificando, analizando, valorando y dando respuesta a losriesgos que ésta expuesta la institución optimizando losrecursos disponibles a través de la minimización de laspérdidas que pudieran presentarse como por la noconsecución de sus objetivos.
Es preciso señalar que el presente componente permitirá laidentificación de riesgos a nivel de entidad y nivel deprocesos, para el primer caso estarán en función a losobjetivos institucionales de carácter general y en el segundoen función de los objetivos de cada proceso.
1. Concepto de Administración de Riesgos
2. Metodología para Implementar la gestión de Riesgos
2. Metodología para Implementar la gestión de Riesgos
Identificación de
los Riesgos
• ¿Qué puede suceder?
• ¿Dónde?
• ¿Cuándo?
• ¿Cómo?
• ¿Cuál será su
impacto?
•Externos:
–Cambio de las necesidades y
expectativas del
cliente- Competencia
–Nuevas legislaciones y regulaciones.
–Catástrofes naturales
-Desarrollo tecnológico
-Nuevaslegislaciones yregulaciones
- Una interrupción en el
procesamiento de sistemas de información
• Internos:
– La calidad del personal
contratado y los métodos de
entrenamiento y motivación
– Un cambio en las responsabilidades de
la administración
– La naturaleza de las actividades de
la entidad y el acceso de los
empleados a los activos
– Un comité directivo o de
auditoría ineficaz
RIESGO
Posibilidad de que un evento desfavorable pueda afectarnegativamente la habilidad de la organización para el logro de susobjetivos
ADMINISTRACIÓN DE RIESGOS
Es el proceso para incrementar la confianza en la habilidad de unaorganización para anticipar, priorizar y superar obstáculos paraalcanzar sus metas
CONTROL INTERNO
Es un proceso diseñado para proveer una seguridad razonable conrespecto al logro de los objetivos de la entidad
2. Metodología para Implementar la gestión de Riesgos
3. Tipos de Riesgos
RIESGO ESTRATÉGICORIESGO OPERATIVORIESGO FINANCIERORIESGO DE CUMPLIMIENTORIESGO DE CORRUPCIONRIESGO DE TECNOLOGIARIESGO REPUTACIONAL
3. Tipos de Riesgos
¿QUÉ ES UN RIESGO OPERATIVO?El acuerdo de Basilea define al Riesgo de Operativo como “laposibilidad de ocurrencia de pérdidas financieras por deficienciaso fallas en:
PersonalProcesos internosTecnología de InformaciónEventos Externos
Incluye el Riesgo Legal y excluye el Riesgo Estratégico yReputacional
3. Tipos de Riesgos
La Resolución de Contraloría Nº 004-2017-CG define al Riesgo Operativo “comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes en:
Deficiencias en los sistemas de información
Definición de los procesos
La estructura organizacional
La desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupciòn e incumplimiento de los compromisos institucionales.
3. Tipos de Riesgos
Riesgo Absoluto (NRA) El resultado del análisis de la causas/vulnerabilidad y de la combinación de los criterios de probabilidad e impacto determinará el Nivel de Riesgo Absoluto – NRA (no se considera los controles internos implementados o en ausencia de estos).
TABLA Nº 03: MATRIZ DE EVALUACIÓN DE NIVEL DE RIESGO* Riesgo Residual (NRR) El nivel de riesgo residual es el que se enfrenta luego de aplicar el efecto mitigante del control sobre el riesgo absoluto.
4. Evaluación de Riesgos
RIESGO
Posibilidad de que un evento desfavorable pueda afectarnegativamente la habilidad de la organización para el logro desus objetivos
4. Evaluación de Riesgos
(5) Catastrofico Moderado Alto Alto Extremo Extremo
(4) Mayor Moderado Moderado Alto Extremo Extremo
(1) (2) (3) (4) (5)
Rara vez OcasionalPoco
frecuenteFrecuente
Muy
frecuente
Nivel Concepto
1 Rara vez
2 Ocasional
3 Poco frecuente
4 Frecuente
5 Muy frecuente
Nivel Concepto
1 Insignificante
2 Menor
3 Moderada
4 Mayor
5 Catastrofico
Nivel Criterio
1 BajoRequiere monitoreo periódico a fin de mantener los riesgos en este nivel.
[0,3]
3 Alto Requiere atención urgente de las Gerencias responsables.<8,15]
2 Moderado Requiere atención de la Gerencia. <3,8]
El negocio, proceso, subproceso y actividad es gravemente
dañado - Enorme perdida financiera
Descripción
4 Extremo Requiere atención urgente de la Alta Dirección.<15,25]
El riesgo tiene un efecto nulo o pequeño, en el desarrollo del
negocio, proceso, subproceso y actividades - baja perdida
financiera
El desarrollo del negocio, proceso, sub proceso y actividad
sufre un daño menor - Con perdida financiera menor
El desarrollo del negocio, proceso, subproceso y actividad
sufre un deterioro, dificultando o retrazando su cumplimiento -
Con afectación financiera
El desarrollo del negocio, proceso, subproceso y actividad es
afectado significativamente - Pérdida financiera mayor
Puede ocurrir en la mayoría de circunstancias
Ocurre en la mayoria de circunstacias
NIVEL DE IMPACTO
Descripción
Puede ocurrir en algún momento
Moderado Moderado
Frecuencia
NIVEL DE FRECUENCIA
(1) Insignificante Bajo
Ocurre en circunstancias excepcionales
Moderado
Descripción
Improbable
Bajo
Moderado Moderado
Bajo
Alto
MATRIZ EVALUACION DE RIESGOS
I m
p a
c t
o
(3)
ModeradaBajo Moderado Alto Alto Alto
(2) Menor Bajo
NIVEL DE PROBABILIDAD
4. Evaluación de Riesgos
MAPA DE RIESGOS
AGENCIA PROBABILIDAD IMPACTONIVEL DE
RIESGO
RA1 5.0 5.0 25.0
RR1 2.0 5.0 10.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
0.0
MAPA DE SITUACION DE RIESGO RESIDUAL
RA1
RR1
4. Evaluación de Riesgos
Respuesta al
Riesgo
OpcionesReducir o mitigar el riesgo
Transferir o compartir el riesgo
Evitar el riesgo
Aceptar el riesgo
Reducir el riesgo
y
manejar contingencia
Acciones de mitigación para reducir el IMPACTO
Acciones de mitigación para reducir la PROBABILIDAD
Acciones y planes de contingencia
4. Evaluación de Riesgos
Respuestas a los Riesgos
unidades operativasunidades operativas
Aceptar el Riesgo
• Auto -asegurarse contra perdidas
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra p érdidas
inesperadas significativas• Contrataci ón de outsourcing para
procesos del negocio• Compartir el riesgo con acuerdos
sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control interno
en los procesos del negocio• Diversificaci• Establecimiento de l
operaciones y monitoreo• Reasignaci
Evitar el Riesgo• Reducir la expansi ón de una l ínea
de productos a nuevos mercados• Vender una divisi ón, unidad de
negocio o segmento geogr áfico altamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
Aceptar el Riesgo
• Auto -asegurarse
• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Compartir el Riesgo• Compra de seguros contra perdidas
inesperadas significativas• Contratación Outsoursing
• Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio
Mitigar el Riesgo• Fortalecimiento del control interno
en los procesos del negocio• Diversificación de servicios• Establecimiento de limites a las
operaciones y monitoreo• Reasignación de capital entre
Evitar el Riesgo• Reducir la expansión de una línea
de productos a nuevos mercados• Vender una división, unidad de
negocio o segmento geográficoaltamente riesgoso
• Dejar de producir un producto o servicio altamente riesgoso
5. Plan de Tratamiento de Riesgos
6. Caso Practico
Muchas [email protected]