Buenas Prácticas de Control de Riesgo...
Transcript of Buenas Prácticas de Control de Riesgo...
La importancia del control del riesgo operacional para la consecución de las metas institucionales.
Buenas Prácticas de Control de Riesgo
Operacional
Agenda
Conceptos de Administración de riesgos
Contexto de Riesgo Operacional
Buenas prácticas en la gestión de Riesgo Operacional
Preguntas y Respuestas
Conceptos de Administración de riesgos
¿Qué es el riesgo…?
Posibilidad que ocurra algo que tenga impacto en los objetivos
Efecto de la incertidumbreen los objetivos*
*ISO 31000-ISO Guide 73Preparado por René Rodríguez-MBA, CISM
Fuentes de origen del Riesgo
Hechos por el hombre
Empleados disgustados
Fraude
Espionaje corporativo
Físicos
Fuego
Inundación
Terremotos
Técnicos
Virus Informáticos
Fallas de equipos
Falla suministro eléctrico
Preparado por René Rodríguez-MBA, CISM
Preparado por René Rodríguez-MBA, CISM
Probabilidad
Preparado por René Rodríguez-MBA, CISM
Impacto
Probabilidad e Impacto
La relación entre probabilidade impacto dará la severidad onivel de riesgo existente.
Probabilidad
Impacto
Nivel de riesgo
Preparado por René Rodríguez-MBA, CISM
Probabilidad e Impacto
Preparado por René Rodríguez-MBA, CISM
Administración de riesgos
Riesgo inherente
ControlesRiesgo
Residual
Toda actividad posee algún grado de riesgo, por lo que es sujeta a poseer controles.
Preparado por René Rodríguez-MBA, CISM
Tipos de control
Control
Correctivos
Detectivos
Preventivos
Todos los controles son importantes, sin embargo, se preferirá siempre tener Controles Preventivos
Preparado por René Rodríguez-MBA, CISM
Distintos tipos de Riesgos
Preparado por René Rodríguez-MBA, CISM
Riesgo
Operacionales
Estratégico
Financiero
De Cumplimiento
Mercado
Reputación
Posibilidad de incurrir en pérdidas por deficiencias y fallas en:• Personas• Procesos• Tecnología• Infraestructura• Acontecimientos ExternosSe incluye Riesgos Legales y Reputacionalesrelacionados con estos factores.
Preparado por René Rodríguez-MBA, CISM
Procesos
• No está establecido como se hacen las tareas
• Los procesos se quedan cortos
Personas• Las personas no
hacen lo que está establecido
Sistemas• Son vulnerados
• No están disponibles
Externos• Fraudes internos y
externos
• RobosPreparado por René Rodríguez-MBA, CISM
¿Como se controla el Riesgo Operacional?
Buenas prácticas en Riesgo Operacional
Identificar Riesgos
Evaluar Riesgos
Diseñar y Desarrollar Controles
Supervisar y Evaluar
Preparado por René Rodríguez-MBA, CISM
Identificación y Evaluación de los Riesgos
Identificar contexto
Evaluación de riesgos
Atender el riesgo y monitorizar
*Tomado de COBIT ISACA
Tratamiento del riesgo
Una vez contextualizado e identificado el riesgo será necesario entender como se tratará
Ignorar Asumir
Trasladar AdministrarPreparado por René Rodríguez-MBA, CISM
Diseñar Controles
Relevante
Implementable
Medible
Escalable
Desarrollar Controles-Matriz de Riesgos y Controles
Roles
Dueño del Riesgo
• Normalmente el “negocio”.
• Capacidad de asumir riesgos
Dueño del Control
• Ejecuta el control
• Tarea de día a día
Monitoreo del Control
• Revisa/supervisa que el control se lleve a cabo
• Necesita independencia
Preparado por René Rodríguez-MBA, CISM
Desarrollar Controles-Matriz de Riesgos y Controles
Proceso, Servicio, Producto
¿En que proceso, servicio o
producto se tiene el riesgo?
¿Cómo se describe el riesgo?
Tipo de Riesgo
Causas y Factores
¿Qué origina el riesgo?
¿Existen factores internos y
externos que lo causen?
Impacto y Probabilidad
¿Cómo afectaría a la institución el
riesgo materializado?
¿Es el riesgo inherente bajo, medio o alto?
Controles
Tipo de control
Frecuencia
Responsable
Riesgo Residual
Planes de mejora
Responsable
Fechas compromiso
Documentación
Preparado por René Rodríguez-MBA, CISM
Supervisar y Evaluar-Líneas de Defensa
Resumen Concepto de Riesgo
Nivel del Riesgo=probabilidad X impacto
Identificar y evaluar riesgos
Diseñar e implementar controles
Supervisar Preparado por René Rodríguez-MBA, CISM
Comentarios… dudas
René Humberto Rodríguez MejíaAsesoría Gestión de RiesgosConsultoría en SGSI-Sistema Gestión Seguridad de Informació[email protected] 7797 9534