Buenas Prácticas de Control de Riesgo...

La importancia del control del riesgo operacional para la consecución de las metas institucionales.

Buenas Prácticas de Control de Riesgo

Operacional

Agenda

Conceptos de Administración de riesgos

Contexto de Riesgo Operacional

Buenas prácticas en la gestión de Riesgo Operacional

Preguntas y Respuestas

Conceptos de Administración de riesgos

¿Qué es el riesgo…?

Posibilidad que ocurra algo que tenga impacto en los objetivos

Efecto de la incertidumbreen los objetivos*

*ISO 31000-ISO Guide 73Preparado por René Rodríguez-MBA, CISM

Fuentes de origen del Riesgo

Hechos por el hombre

Empleados disgustados

Fraude

Espionaje corporativo

Físicos

Fuego

Inundación

Terremotos

Técnicos

Virus Informáticos

Fallas de equipos

Falla suministro eléctrico

Preparado por René Rodríguez-MBA, CISM


Probabilidad


Impacto

Probabilidad e Impacto

La relación entre probabilidade impacto dará la severidad onivel de riesgo existente.

Probabilidad

Impacto

Nivel de riesgo


Probabilidad e Impacto


Administración de riesgos

Riesgo inherente

ControlesRiesgo

Residual

Toda actividad posee algún grado de riesgo, por lo que es sujeta a poseer controles.


Tipos de control

Control

Correctivos

Detectivos

Preventivos

Todos los controles son importantes, sin embargo, se preferirá siempre tener Controles Preventivos


Distintos tipos de Riesgos


Riesgo

Operacionales

Estratégico

Financiero

De Cumplimiento

Mercado

Reputación

Posibilidad de incurrir en pérdidas por deficiencias y fallas en:• Personas• Procesos• Tecnología• Infraestructura• Acontecimientos ExternosSe incluye Riesgos Legales y Reputacionalesrelacionados con estos factores.


Procesos

• No está establecido como se hacen las tareas

• Los procesos se quedan cortos

Personas• Las personas no

hacen lo que está establecido

Sistemas• Son vulnerados

• No están disponibles

Externos• Fraudes internos y

externos

• RobosPreparado por René Rodríguez-MBA, CISM

¿Como se controla el Riesgo Operacional?

Buenas prácticas en Riesgo Operacional

Identificar Riesgos

Evaluar Riesgos

Diseñar y Desarrollar Controles

Supervisar y Evaluar


Identificación y Evaluación de los Riesgos

Identificar contexto

Evaluación de riesgos

Atender el riesgo y monitorizar

*Tomado de COBIT ISACA

Tratamiento del riesgo

Una vez contextualizado e identificado el riesgo será necesario entender como se tratará

Ignorar Asumir

Trasladar AdministrarPreparado por René Rodríguez-MBA, CISM

Diseñar Controles

Relevante

Implementable

Medible

Escalable

Desarrollar Controles-Matriz de Riesgos y Controles

Roles

Dueño del Riesgo

• Normalmente el “negocio”.

• Capacidad de asumir riesgos

Dueño del Control

• Ejecuta el control

• Tarea de día a día

Monitoreo del Control

• Revisa/supervisa que el control se lleve a cabo

• Necesita independencia


Desarrollar Controles-Matriz de Riesgos y Controles

Proceso, Servicio, Producto

¿En que proceso, servicio o

producto se tiene el riesgo?

¿Cómo se describe el riesgo?

Tipo de Riesgo

Causas y Factores

¿Qué origina el riesgo?

¿Existen factores internos y

externos que lo causen?

Impacto y Probabilidad

¿Cómo afectaría a la institución el

riesgo materializado?

¿Es el riesgo inherente bajo, medio o alto?

Controles

Tipo de control

Frecuencia

Responsable

Riesgo Residual

Planes de mejora

Responsable

Fechas compromiso

Documentación


Supervisar y Evaluar-Líneas de Defensa

Resumen Concepto de Riesgo

Nivel del Riesgo=probabilidad X impacto

Identificar y evaluar riesgos

Diseñar e implementar controles

Supervisar Preparado por René Rodríguez-MBA, CISM

Comentarios… dudas

René Humberto Rodríguez MejíaAsesoría Gestión de RiesgosConsultoría en SGSI-Sistema Gestión Seguridad de Informació[email protected] 7797 9534

mailto:[email protected]

Buenas Prácticas de Control de Riesgo...

Documents

Transcript of Buenas Prácticas de Control de Riesgo...