Matriz de Riesgos Ejemplo
Short Description
Download Matriz de Riesgos Ejemplo...
Description
Matriz de Riesgos Uso y Aplicación Integrantes :
Díaz Cu b a, Ha r le y Dí az Ch o n ta, J u n io r Gar c í a A ri as , Mar ian o Guerrero Guerre ro Alfaro, Marco Gu tié r r e z N úñ ez, A l ex
ELABORACION MATRIZ DE RIESGOS INVERSION EN LA ADJUDICACION SOBRE LA ADQUISISICON E INSTALACION INSTALACION DE EQUIPOS EQUIPOS DE COMPUTO
APLICACIÓN METODOLOGÍA METODOLOGIA PARA CONSTRUCCION DE MAPA DE RIESGOS EN PROCESOS SELECCIONADOS SELECCIONADOS IDENTIFICACION DE SUBPROCESOS EN CADA PROCESO IDENTIFICACION DE ETAPAS EN CADA SUBPROCESO IDENTIFICACION IDENTIFICA CION DE OBJETIVOS ESPECIFICOS IDENTIFICACION DE RIESGOS OPERATIVOS (SEVERIDAD: PROBABILIDAD E IMPACTO)
IDENTIFICACION Y ANALISIS DE CONTROLES CLAVES (EFICIENCIA DEL CONTROL PeriodicidadPeri odicidad- Oportunidad..-Automatizaciòn.)
DETERMINACION NIVELES DE EXPOSICION AL RIESGO (PROCEDIMIENTO CÁLCULO)
MAPA MAP A O MATRIZ MATRIZ CONSOLIDADA CONSOLI DADA POR PROCESO
DESARROLLO OBJETIVO DESARROLLO (ETAPA I)
Escala para medir el nivel de contribución que afecta el cumplimiento del objetivo estratégico.
Clasificación de Nivel
Descripción de nivel de contribución
Valor
Alto
El Proceso aporta de manera fundamental fundamental en el cumplimiento cumplimiento del objetivo objetivo estratégico
3
Medio
El Proceso aporta de manera importante en el cumplimiento del objetivo estratégico.
2
Bajo
El Proceso aporta de manera menor en el cumplimiento del objetivo estratégico.
1
Nulo
No aporta en el cumplimiento del objetivo estratégico.
0
Ejemplo de escala para Probabilidad Probabilidad de de ocurrencia
Categoría
Valo r
Descripción
Casi certeza
5
Riesgo cuya probabilidad de ocurrencia es muy alta, alta, es decir, se tiene plena seguridad que éste se presente, tiende al 100%
Probable
4
Riesgo cuya probabilidad probabilidad de ocurrencia es alta es alta,, es decir, decir, se tiene entre 75% a 95% de seguridad que éste se presente
Moderado
3
Riesgo cuya probabilidad de ocurrencia es media es media,, es decir, decir, se tiene tiene entre 51% a 74% de seguridad que éste se presente
Improbable
2
Riesgo cuya probabilidad de ocurrencia es baja, baja, es decir, se tiene entre 26% a 50% de seguridad que éste se presente
Muy improbable
1
baja, es decir, Riesgo cuya probabilidad de ocurrencia es muy baja, decir, se tiene entre 1% a 25% de seguridad que éste se presente
Ejemplo de escala para materialidad del Impacto
Categoría
Catastróficas
Mayores
Moderadas
Valo r
5
Descripción
Riesgo cuya materialización influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un período importante de tiempo, los programas o servicios que entrega la institución
4
Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños
3
Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio o un deterioro significativo de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños
Menores
2
Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos
Insignificantes
1
Riesgo que puede tener un pequeño o nulo efecto en la institución
Ejemplo escala para medir el Nivel de Severidad del Riesgo EJEMPLO ESCALA PARA NIVEL DEL RIESGO
DESARROLLO OBJETIVO - EJEMPLO ESQUEMA PARA CONSTRUCCIÓN DEL MAPA DE RIESGO PROCESO
SUBPROCESO
ETAPAS
OBJETIVOS ESPECIFICOS
RIESGOS ESPECIFICOS IDENTIFICADOS DESCRIPCION DEL RIESGO[1]
PROBABILIDA D CLASIF IC.
LICITACIÓN
APERTURA
y ADJUDICAC IÓN ADJUDICACIO N
Inversión
CONTRATO (Garantía)
EJECUCIÓN DE OBRAS EJECUCIÓN EN TERRENO
VA LO R
IMPACTO CLASI FIC.
VA LO R
SEVERI DAD DEL RIESG O
Val or
Evaluar técnica y financieramente las propuestas de los oferentes y priorizar de acuerdo a los antecedentes presentados
Que la comisión realice deficientemente la priorización de la propuesta y una deficiente interpretación de las bases establecidas
Probabl e
4
Catas trofico
5
20
Extre mo
Designar oferente adjudicado
Que se realice una deficiente evaluación de la propuesta del oferente adjudicado
Modera do
3
Mayo r
4
12
Extre mo
establecer los derechos y obligaciones entre las partes
Que no se cumplan las obligaciones contractuales establecidas en el contrato
Modera do
3
Catas trofico
5
15
Extre mo
velar por el cumplimiento de la ejecución de la obra y/o equipamiento
Que exista atraso en la ejecución de obra
Probabl e
4
Mayo r
4
16
Extre mo
al
Clasificación del Control
Periodicidad en la acción del control (PD):
Clasificación Permanente (Pe) Periódico (Pd)
Descripción Controles claves aplicados durante todo el proceso, es decir, en cada operación. Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo
Ocasional (Oc)
Controles claves que se aplican sólo en forma ocasional en un proceso.
Clasificación del Control Oportunidad de la acción del control (O)
Clasificación
Descripción
Preventivo (Pv)
Controles claves que actúan antes o al inicio de un proceso.
Correctivo (Cr)
Controles claves que actúan durante el proceso y que permiten corregir las deficiencias.
Detectivo (Dt)
Controles claves que sólo actúan una vez que el proceso ha terminado.
Clasificación del Control
Automatización en la aplicación del control (A):
Clasificación
Descripción
100% automatizado (At)
Controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados
Semi – automatizado (Sa)
Controles claves incorporados en el proceso, cuya aplicación es parcialmente aplicada mediante sistemas informatizados.
Manual (Ma)
Controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados
DESARROLLO OBJETIVO GUBERNAMENTAL EJEMPLO : MODELO PARA VALORIZACION EFICIENCIA DEL CONTROL SEGÚN CARACTERISTICAS EN EL DISEÑO
DESARROLLO OBJETIVO -EJEMPLO ESQUEMA PARA CONSTRUCCIÓN DEL MAPA DE RIESGO PROCESOS
SUBPROCESO
ETAPAS
RIESGOS ESPECIFICOS
CONTROLES CLAVES EXISTENTES DESCRIPCION DEL CONTROL [1]
LICITACIÓN
APERTURA
y ADJUDICAC IÓN ADJUDICACIO N
Inversión
CONTRATO
EJECUCIÓN DE OBRAS
(Garantía)
EJECUCIÓN EN TERRENO
NIVEL EFICIENCI A [2] P D
O
A
Valor
Clasifica ción
Evaluar técnica y financieramente las propuestas de los oferentes y priorizar de acuerdo a los antecedentes presentados
Emisión de informe de la comisión que es presentado para su ratificación, modificación o rechazo y Análisis por parte de la comisión al momento de la apertura, de los antecedentes de los oferentes de acuerdo a las bases generales y técnicas
P e
P v
M a
5
Mayor
Designar al oferente adjudicado
Verificación de los antecedentes aportados por el oferente, por parte de la comisión evaluadora y el Gobierno Regional
P e
P v
M a
5
Mayor
Establecer derechos obligaciones las partes
los y entre
Constatación de la celebración del contrato respectivo, por parte del gore dentro del plazo
P e
C r
M a
5
Mayor
velar por el cumplimiento de la ejecución de la obra y/o equipamiento
Comprobación a través de un informe del avance de la ejecución de la obra, por parte del I.T.O
P e
C r
M a
5
Mayor
Ejemplo para medir nivel de Exposición al Riesgo
INDICADOR DE EXPOSICION AL RIESGO
NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL
VALOR
NVEL DE EXPOSICION AL RIESGO
8,0 – 25,0 4,0 – 7,99
NO ACEPTABLE (Na) MAYOR (Ma)
3,0 – 3,99
MEDIA (Md)
0,2 - 2,99
MENOR (Me)
MAPA O MATRIZ DE RIESGO CONSOLIDADA POR SERVICIO - EJEMPLO CONTROLES CLAV ES EXISTENTES
RIESGOS IDENTIFICADOS
PROCESO
SUBPROCESO
ETAPA RELEVANTE
OBJETIVO ESPECIFICO
PROBABILIDAD
1.1. LICITACION Y ADJUDICACION
APERTURA DE LICITACION
INVERSION
ADJUDICACION
CONTRATO (GARANTIA) 1.2. EJECUCION EJECUCION EN
LLAMAR A OFERENTES QUE SE AFECTE EL PARA QUE CUMPLIMIENTO DE IMPROBA PARTICIPEN EN LA CARTERA DE BLE LA LICITACION DE INVERSION PROYECTOS
A) QUE LA COMISION REALICE MODERA EVALUAR DEFICIENTEMENTE DO TECNICA Y LA P RIORIZACION DE FINANCIERAMENT LA PROPUESTA E LAS PROPUESTAS DE LOS OFERENTES Y PRIORIZAR DE B) QUE LA COMISION ACUERDO A LOS REALICE UNA ANTECEDENTES DEFICIENTE PROBAB PRESENTADOS INTERPRETACION DE LE LAS BASES ESTABLECIDAS
DESIGNAR AL OFERENTE ADJUDICADO
SEVERIDA D DEL VALOR RIESGO
DESCRIPCION DEL RIESGO
CLASIF.
LLAMADO A LICITACION
IMPACTO
QUE SE REALICE UNA DEFICIENTE EVALUACION DE LA MODERA PROPUESTA DEL DO OFERENTE ADJUDICADO
QUE NO SE ESTABLECER CUMPLAN LAS LOS DERECHOS OBLIGACIONES Y OBLIGACIONES CONTRACTUALES ENTRE LAS ESTABLECIDAS EN PARTES EL CONTRATO
MODERA DO
CUMPLIMIENTO QUE EXISTA ATRASO DE LA PROBAB EN LA EJECUCION
VAL OR
CLASIF.
POR RIESGO ESPECIFICO
NIVEL EFICIENCIA DESCRIPCION DEL CONTROL
VAL OR
VALOR
NIVEL
VAL OR
5
MENOR
1,2
Sa
5
MENOR
2,4
Pv
Ma
5
MAYOR
4
Pe
Pv
Ma
5
MENOR
2,4
Pe
Cr Ma
5
MEDIA
3
P
C
5
MEDIA
3 2
PD
O
A
Pe
Cr
Sa
Pe
Cr
Pe
CONSTATACION, POR PARTE DEL GORE EN
2
MODERA DO
3
BAJO
6
EL PLAZO ESTABLECIDO, DEL LLAMADO A PROPUESTA EN LA PRENSA Y EN CHILE EMISION DE INFORME, POR PARTE DE LA COMISION
3
MAYOR
4
EXTREM O
12
EVALUADORA, QUE ES PRESENTADO AL GORE PARA SU RATIFICACION, MODIFICACION O ANALISIS, POR PARTE DE LA COMISION AL MOMENTO DE LA
4
CATASTR OFICO
5
EXTREM O
20
APERTURA, DE LOS ANTECEDENTES DE LOS OFERENTES DE ACUERDO A LAS BASES GENERALES Y TECNICAS VERIFICACION DE LOS ANTECEDENTES
3
MAYOR
4
EXTREM O
12
APORTADOS POR EL OFERENTE, POR PARTE DE LA COMISION EVALUADORA Y EL GORE CONSTATACION DE LA CELEBRACION DEL
3
CATASTR OFICO
5
EXTREM O
15
CONTRATO RESPECTIVO, POR PARTE DEL GORE DENTRO DEL PLAZO TARVES DE UN
4
MAYOR
4
EXTREM
16
INFORME DEL AVANCE
M
CASO: DESARROLLO E IMPLEMENTACION UN SISTEMA
Objetivos Estratégicos y Plan de Negocio Desarrollo e Implementación de un Sistema
Análisis
•Elaborar flujo de
datos •Modelar Datos •Definir interfaces •Definir el servicio
Diseño
•Diseñar el SW •Diseñar la BD
Construcción
Implementación
•Construcción
•Configurar el
de Módulos •Elaboración de Módulos
Servidor •Ejecutar el Sistema
Identificamos y Estimamos la Probabilidad de Riesgo Actividad I
Riesgos Sobrecarga de Actividad Ejecutar el Sistema
Pérdida del Servicio Pérdida de Datos
Probabilidad de Ocurrencia y Valorización Impacto vs Probabilidad de Ocurrencia Alto
3
5
5
Medio
2
3
4
Bajo
1
2
3
Bajo
Medio
Alto
Estimamos la Efectividad para el Control Control
Efectividad
Ninguno
1
Bajo
2
Medio
3
Alto
4
Destacado
5
Toma de Decisiones Este tipo de método para identificar los riesgos de un negocio o proyecto es efectivo para la toma de decisiones. Ya que con esto se puede saber si se puede llevar a cabo la actividad o fortalecerla en algunos puntos.
CASO: DESARROLLO E IMPLEMENTACION DE UNA BASE DE DATOS Creación de una matriz de riesgos
1) Objetivo Estratégico del Proceso Diseño e Implementación de una Base de Datos
Análisis
Analizar a fondo el mundo real que deseamos representar en la base de datos.
Diseño
-Modelo E/R. -Diseño Conceptual. -Diseño Lógico. -Diseño Físico.
Construcción
-Construcción en SQL Server u Oracle. - Ingreso de Datos. -Documentación.
Implementación
-Ejecución de la BD -Seguridad de la BD -Procedimientos. -Facilitar reportes.
2) Identificación de los Riesgos Riesgos
Riesgos
Perdida de Datos Ejecución de la Base de Datos
Modificación de los Datos.
Perdida del Servicio Sobrecarga de la Base de Datos
Seguridad de la Base de Datos
Robo de la Base de Datos Ataques por hackers.
Riesgos Incremento de la “dependencia” del servicio informático
Utilización Base de Datos
debido a la concentración de datos Mayores posibilidades de acceso en la figura del DBA Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación. Mayor impacto de acceso no autorizados al diccionario de la BD que a un fichero tradicional Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de BD (administrador, programador, etc.)
ro a a valorización VALORIZACIÓN Insignificante Baja Media Moderada Alta
e ocurrenc a y VALORACIÓN DE RIESGOS INHERENTE
1 2 3
Consecuencia
4 5
5 AA Alto 4 AB 5 AM Medio 3 MB 3 MM 5 MA 4 BA Bajo 1 BB 2 BM Bajo Medio Alto Probabilidad de Ocurrencia
Asignación a los riesgos: Riesgos
Ejecución de la Base de Datos
Perdida de Datos Perdida del Servicio Sobrecarga de la Base de Datos
Valoración de Riesgos inherente 5 AA 3 MM 4 AB
Riesgos
Seguridad de la Base de Datos
Modificación de los Datos. Robo de la Base de Datos
3 MB
Ataques por hackers.
5 AM
Riesgos
Utilización Base de Datos
Valoración de Riesgos inherente
4 AB
Valoración de Riesgos inherentes Incremento de la “dependencia” del servicio informático debido 5 MA a la concentración de datos Mayores posibilidades de acceso en la figura del DBA 2 BM Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación 3 MM Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación. 4 AB Mayor impacto de acceso no autorizados al diccionario de la BD que a un fichero tradicional 4 AB Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de BD (administrador, programador, etc.) 3MM
4) Evaluación de controles internos
CONTROL NINGUNO BAJO MEDIO ALTO DESTACADO
EFECTIVIDAD 1 2 3 4 5
5) Riesgo neto o residual EJECUCIÓN DE LA BD
Nivel de Riesgo
Sobrecarga de Información
4
Pérdida del Servicio
Pérdida de Datos
3
5
Perfil de Riesgo Residual Total
Calidad de Gestión Tipo de Medidas Efectividad de Control Uso de Servidores de confianza Evaluación de las capacidades de Información Evaluación diaria del servicio
3
Implementación de servidores duales Elaboración de Back up Desarrollo de control de seguimiento
5
Promedio
Riesgo Residual
3.5
1.14
4.5
0.66
4
1.25
4
4
5 3
1.01
SEGURIDAD DE LA BD
Nivel de Riesgo
Modificación de los datos
5
Robo de la BD
Ataques por Hackers
4
2
Calidad de Gestión Efectividad
Promedio
Riesgo Residual
4
4
1.25
Monitoreo Restricciones de puertos USB
4 3
3.5
1.14
Elaboración de Back up
4
Cifrado de datos
5
4.5
0.44
Seguridad de la red
4
Tipo de Medidas de Control Restricciones de usuario
Perfil de Riesgo Residual Total
0.94
UTILIZACIÓN BD
Incremento de la
Nivel de Riesgo 5
“dependencia” del servicio
informático debido a la concentración de datos Mayores posibilidades de acceso en la figura del DBA
2
Incompatibilidades entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación
3
Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación.
4
Mayor impacto de acceso no autorizados al diccionario de la BD que a un fichero tradicional
4
Perfil de Riesgo Residual
Calidad de Gestión Tipo de Medidas de Efectividad Control Procedimientos de 4 preparación de datos Evaluación de las 3 capacidades de Información Procedimiento de autorización de datos Edición y validación del procesamiento de datos Utilización de parches
4
Integridad del proceso de acceso a datos
4
Reconciliación y balanceo de salidas Almacenamiento de respaldo
4
Sistema de gestión de biblioteca de medios Verificación de exactitud, compleción y autorización Desarrollo de control de seguimiento
4
Riesgo Residual Promedio 3.5
1.43
4.5
0.44
3.5
0.86
4
1
4
1
5 3
4
5 3
0.946
CASO PRÁCTICO: ANALISIS DE RIESGO DE LA IMPLEMENTACION DE SERVICIO DE CORREO ELECTRONICO EN UNA UNIVERSIDAD.-
SERVICIO DE CORREO ELECTRONICO
Riesgos Obsolescencia de software y hardware Falla del Hardware. Falla del Software.
GESTION DEL DESARROLLO TECNOLOGICO
Integridad de datos y software: Modificación de los datos, aplicaciones de software y configuraciones . Desconocimiento de las tecnologías de información y comunicación
PROBABILIDAD DE OCURRENCIA
VALOR
DESCRIPCION
Ninguno
1
Muy improbable
Bajo
2
Improbable
Medio
3
Moderado
Alto
4
Probable
Destacado
5
Casi certeza
CONSECUENCIA
Efectividad
POCO PELIGROSO
10
PELIGROSO
20
MUY PELIGROSO
30
MATRIZ DE RIESGOS RIESG O
CAUSAS
AGENTE EFECTOS GENERADO R
PRO BABI LIDA D
CON SEC UEN CIA
NIV CONTROLES EL DE RIES GO
CRO INDICAD NOG OR RAM A
Obsolesc encia de software y hardwar e
* Evolución de
* Falta de
*Contínua sustitución
2
20
40
Anual
la tecnología
recursos
de equipos que por
procedimiento de
equipos en
* No actualización de
* Desconocimie
carecer con frecuencia de mercados de
control de obsolescencia que
su vida útil/ Nro de
las tecnologías
nto de la
segunda mano genera
incluya baja de
equipos
utilizadas.
cultura
gran cantidad de
activos tecnológicos
totales.
* Estrategia del fabricante
informática de residuos, con la los directivos problemática
* Legislación
*Política o
y redistribución de equipos,
medioambiental que
perfectamente
ello supone.
operativos, entre las
* Rezago * Lentitud en los
áreas, personas e instituciones.
procesos * Gastos no planeados
*Revisión de
de mantenimiento correctivo
obsolescencia anual
* Problemas de seguridad
Nro. de
Falla del Hard ware
* Obsolescencia
* Falta de
* Daño de equipos de
* Falta de mantenimiento
recursos * Falta de planes
cómputo. * Interrupción de los
Bitacora Centro de stral Computo
de fallas por Hardware
* Condiciones
de acción
servicios
Plan de
Conti
en el
ambientales no
(construcción
informáticos
Mantenimeinto
nuo
semestre
adecuadas * Sabotaje
DATACENTER) *Falta de
* Pérdida de información * Pérdidas económicas
preventivo
* Error de usuario
planeación y
* Mal funcionamiento de la
o de administrador
seguimiento del
red
de tecnología * Catastrofe
conducto regular en los tendidos
* Se paraliza la función administrativa y académica
Natural
de fibra y
dependiente de los sistemas
* Interrupción
cableado
informáticos
eléctrica * Interferencia
estructurado. * Adquisición
eléctrica, ruido
de bienes y servicios sin las especificaciones técnicas adecuadas. * Entorno * Personas
3
20
60
Seme
* Número
Falla del * Obsolescencia * Falta de recursos software * Sabotaje
* Interrupción de los servicios informáticos
3
20
60
*Bitacoras Centro de Computo
Conti nuo
* Nùmero de fallas
* Error de
* Falta de
* Lentitud en los
*Plan de
por
usuario o de
implementaci
procesos
Mantenimeinto
Software
administrador
ón políticas
* Gastos no planeados
preventivo
de tecnología. * Interrupción
de seguridad * Falta de
de mantenimiento * Pérdida de
eléctrica
planes de
información
* Virus
acción
* Pérdidas
informático
(Datacenter) * Personas
económicas
* Falta de políticas institucionale s en la evaluación y adquisición de software
Interrup ción de las telecom unicacio nes (Internet )
* Interrupción
* No pago
* Interrupción de los
eléctrica
*
* Suspensión del servicio * Robo o daño
*Bitacoras Centro
Contí
%
servicios informáticos
de Computo
nuo
Disponibili
Adolescencia
al exterior de la
*Controles de
dad del
de un canal redundante
institución. (Página web, Academusoft,
Interventorìa del contrato
servicio
de los tramos de
Gestasoft, correo
fibra
electrónico, Aulas
* Amenaza Natural:
virtuales, procesos de inscripción y
Terremoto,
convocatorias)
caída de
* Atraso en el
árboles, vendaval
calendario académico * Pérdidas ecónomicas
3
20
60
Integrid ad de datos y software : Modifica ción de los datos, aplicacio nes de software y configur aciones
* Falta de capacitación de
* Virus informático
* Inconsistencia de la información
3
20
60
Diseño y formulación de
usuarios y
* Sabotaje
* Mal funcionamiento
Política de
Usuarios.
administradores
*
de las aplicaciones,
Seguridad
Nùmero de
de tecnologías. * Obsolescencia
Manipulación intencionada
afectando los procesos institucionales
Informática
registros alterados
de software y
por un usuario * Cambio de valores
Socialización
(por
hardware.
del sistema
en un archivo de datos
Política de
Fraude)
* No acatamiento de
* Error de usuario o de
* Alteraciones en el funcionamiento de un
Seguridad Informática
instrucciones de
administrador programa
trabajo
de tecnología
* Modificar el
Implementación
* La modificación
contenido de mensajes que están siendo
Política de Seguridad
accidental o
transferidos por la red.
Informática.
intencionada,
*Amenaza contra la
inserción, o borrado de datos
integridad de los datos y de los servicios
o información
prestados.
almacenada en las bases de datos. * Configuración no adecuada
Seme Nùmero de stral errores de
Desconoc imiento de las tecnologí as de informac ión y comunic ación
* Falta de estrategia Proceso de
* Tecnologías incompatibles
tecnológica de la
Planeación
dentro de la misma empresa
TICS
Plan
conocimiento
Institución * Falta de
Proceso de Gestiòn del
* Arquitecturas monolíticas y no documentadas
Capacitaciones en el tema TICS
TICS
de TICS
estándares
Talento
• Falta de posibilidad de
* Falta de perfil de
Humano
extender los sistemas para
sistema * Falta de
satisfacer las necesidades de negocio
incentivos para la
• Falta de estándares
cooperación en el
• Falta de reuso
desarrollo de sistemas
• Falta de interoperabilidad • Dificultad en la
* Falta de
interoperabilidad, reuso e
comunicación
incremento de costos.
* Falta de conocimiento sobre
Creación de islas automatizadas dentro de la
los estándares
misma empresa.
tecnológicos * Falta de interafaces para la integración de sistemas * Falta de compromiso de la alta dirección con los planes de TICS de la universidad
3
20
60
Creaciòn comitè de Segùn Nivel de
RIESGO
NIVEL DE RIESGO
1 2 3 4 5 6
40 60 60 60 60 60
ESTIMACION DEL RIESGO POR CLASE 26.6% 40% 40% 40% 40% 40%
Estos resultados nos indican que los controles tomados para mitigar los riesgos son medianamente efectivos ya que nos muestran que el perfil global de riesgo es de 37.78%.
CASO PRÁCTICO: ANALISIS DE RIESGO DE UN PROYECTO EN BASE AL SUMINISTRO DE MATERIALES ELECTRICOS Y CABLEADO ESTRUCTURADO EN UNA UNIVERSIDAD.-
SERVICIO DE CORREO ELECTRONICO
RIESGOS
GESTION DEL DESARROLLO TECNOLOGICO
PROBABILIDAD DE OCURRENCIA Bajo Medio Alto NIVEL BAJO MEDIO MODERADO ALTO CONSECUENCIA POCO PELIGROSO PELIGROSO MUY PELIGROSO
ADMINISTATIVOS. JURIDICOS Y/O LEGALES FINANCIEROS. TECNICOS Y/U OPERATIVOS.
VALOR B M A VALORACION 5 10 15 20 Efectividad 10 20 30
MATRIZ DE RIESGO CLAS E DE RIES GOS ADMI NIST RATI VOS
TIPIFICACION DEL RIESGO No. DESCRIPCION 1
No firma del contrato por parte del proponente y/o contratista
2
3
ASIGNACION ESTIMACION DEL RIESGO DEL RIESGO
r I I I T r a p B C O I a C C I O u L t A D r t U N D C I N L T a O g L E O E T C e n i E s m í o S d A N e C N o o B A E E F O N L A S A R R E O A t ñ R s d P A O I U C a C a P a A a D D E O T R E I V E R P O I P D M C O E R M O
x
X
M
M
10
Incumplimiento del contrato por parte del contratista
X
X
A
A
20
Incumplimiento en la estabilidad de la obra por parte del contratista No pago oportuno de los SALARIOS y prestaciones sociales por parte del CONTRATISTA a los trabajadores y personal de la obra.
X
X
A
A
20
X
X
M
M
10
5
Operación reglamento y/o tortuga , paros ocacionados por trabajadores y personal de la obra por la NO cancelación oportuna de los salarios y prestaciones a que tienen derecho.
X
X
M
M
10
6 7
Precios artificialmente bajos Problemas que se puedan presentar por transportadores de carga y/o pasajeros Daños a terceros por responsabilidad civil
X X
X
A B
A B
20 5
X
X
B
B
5
4
8
12,50 62.5%
JURIDICOS 9 y/o LEGALES y/o DOCUMEN TALES y/o REGULATO RIOS 10
11
12
13
Errores involuntarios que hayan X quedado en La invitación a cotizar , alcances, especificaciones, descripción de la necesidad, estudios previos, operaciones aritméticas y/o demás documentos del proceso de selección. Problemas presentados entre socios y/o consorciados , unidos temporales y/o familiares de las empresas que contratan con la "IPS UNIVERSITARIA" Errores cometidos por el CONTRATISTA en la elaboración de las propuestas y/o en los documentos relacionados con la invitación a cotizar o errores cometidos en documentos elaborados por el CONTRATISTA durante la ejecución del contrato. Muerte o accidentalidad de personal del CONTRATISTA durante la ejecución del contrato. Cambios normativos o de X legislación
X
M
M
10
X
B
B
5
X
B
M
10
X
B
B
5
B
B
5
7
35%
FINANCIER 14 Reajustes imprevistos en el costo de materiales OS y/o DE con precios no regulados por el gobierno. MERCADO 15 Fluctuaciones en tasas de cambio.
X
M
M
10
X
X
B
B
5
16 Fluctuaciones de precios en los materiales cuyos X precios estan regulados por el gobierno. 17 Insolvencia económica del CONTRATISTA 18 Cambios en las fuentes de materiales autorizadas 19 Saturación de los materiales de construcción por deficiencia en su acopio. 20 Daños ambientales por inadecuadas prácticas del proceso constructivo. 21 Daños en el funcionamiento de la maquinaria y/o equipos del responsabilidad del contratista 22 Demoras ocasionadas por el óptimo funcionamiento y puesta a punto de la maquinaria y/o equipos en la obra. 23 Modificación de las obras a ejecutar
X
B
B
5
B B
B B
5 5
X
B
B
5
X
B
B
5
X
M
M
10
X
M
M
10
X
M
M
10
X
B B
B B
5 5
24 Cambios en la ubicación de las obras 25 Variaciones económicas
X X
X
X X
6,67
33.5
TECNICOS 26 y/o OPERATIV OS y/o DE EJECUCIO 27 N
28
Reconstrucción y reparación de obras cuando no le hubiese permitido adelantar a la interventoria los correspondientes controles y mediciones Demolere todos los productos y elementos defectuosos construidos o materiales producidos que no cumplan con las especificaciones y normas. Falta de idoneidad del contratista
X
B
B
5
X
B
B
5
M
M
10
29
Modificación de especificaciones técnicas
B
B
5
30
Mala calidad de la prestación del servicio durante la ejecución del contrato
X
X
M
M
10
31
Ocurrencia de Siniestro
X
X
B
M
10
X
X
X
7,50
37.5%
Causas o 32 eventos de la naturalez a o fuerza mayor 33
Terremoto , inundación , tormenta,viento s , incendio, fuerzas de la naturaleza Terrorismo , conflicto armado
Riesgo que asume la "IPS UNIVERSITA RIA" y asegurador
X
X
B
B
5
Riesgo que asume la "IPS UNIVERSITA RIA" y asegurador
X
X
B
B
5
Causas o 34 eventos de Realizado s por el contratist 35 a
Daño o Hurto de bienes de la IPS UNIVERSITA RIA Daño o hurto de bienes del contratista
Riesgo que asume el contratista
x
A
A
20
Riesgo que asume el contratista
x
M
M
10
7,142 8571 4
Este resultado nos muestra un perfil global de riesgo de: RIESGO TOTAL= 44.73%
5,00
25%
15,00
75%
RIESGO
PROMEDIO
ESTIMACION DEL RIESGO POR CLASE
1 2 3 4 5 6
12.5 7 6,67 7.5 5 15
62.5% 35% 33.35% 37.5% 25% 75%
Estos resultados nos indican que la valorización tomada para mitigar los riesgos son medianamente efectivos ya que nos muestran que el perfil global de riesgo es de 44.73%. RIESGO TOTAL= 44.73%
Recomendaciones
Para poder aplicar esta matriz de riesgo es necesario que quienes la construyan tenga conocimiento y experiencia profunda del negocio y su entorno además de un buen juicio de valor, pero sobre todo es requisito indispensable contar con la participación activa de todas las áreas. Existe un sin número de formas de realizar una matriz de riesgo lo importante es adecuar cual fuese el método elegido por tu negocio e implementarlo a tus necesidades ya que esta garantizara un factor critico de éxito de tu negocio y salida ante cualquier evento que detenga tus actividades.
Conclusiones
Este tipo de método para identificar los riesgos de un negocio o proyecto es efectivo para la toma de decisiones. Ya que con esto se puede saber si se puede llevar a cabo la actividad o fortalecerla en algunos puntos. Para el Auditor, es una fuente de información que le permitirá ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor análisis y, obviamente mayor exigencia. Al mismo tiempo la revisión especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestión de riesgos de la organización Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados. La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos. En el caso
View more...
Comments
