El Riesgo
Universidad Nacional Experimental de Guayana
Vice-Rectorado Académico
Departamento de Ciencia y Tecnología.
Proyecto de Carrera: Ingeniería en Informática.
Auditoria y Evaluación de Sistemas
El Riesgo
Profesor: Integrantes:
Carlos Guevara Castillo Heilin C.I: 20.504.909
Espinoza Laura C.I: 20.223.056
Sarmiento Regulo C.I: 19.803.811
Ciudad Guayana, Mayo del 2012
El Riesgo
Índice
Contenido Pág.
Introducción…………………………………………………………………. 2
Objetivos General (Evento / Tema)………………………………………….. 3
Objetivos Específicos (Evento / Tema)………………………………………. 3
Especificaciones del Informe ……………………………………………….. 4,5,6,7
Contenido del Tema………………………………………………………….. 8-18
· Riesgos……………………………………………………………...... 8
· Riesgos en Auditoria………………………………………………….. 9
· Riesgo Informático……………………………………………………. 9
· Tipos de riesgos informáticos………………………………………… 10-12
· Administración de riesgos……………………………………………. 13
· Técnicas y procedimientos para administrar riesgos………………….. 13
· Evaluación de riesgos…………………………………………………… 14,15
· Gestión de riesgos………………………………………………………. 16
· Etapas de la gestión de riesgos………………………………………….. 16,17
· Metodología de la gestión de riesgos……………………………………. 18,19
Referencias bibliográficas………………………………………………………. 20
Anexos………………………………………………………………………….. 21-23
Introducción
2
El Riesgo
El tema del riesgo definido como la contingencia de un daño, ha venido ganando
popularidad en los años recientes, debido al desarrollo de métodos y técnicas para
establecer controles y disminuir los riegos dentro de las organizaciones. De tal manera, que
las actividades que se llevan acabo dentro de la organización pasen por un proceso de
evaluación y medición para garantizar y mejorar la eficiencia de las mismas.
De acuerdo a lo antes mencionado, existe el riesgo informático, el cual abarca un
conjunto de amenazas de daño respecto a los bienes y servicios informáticos, causando un
sin fin de daños, como la perdida e integridad de la información y/o sistemas de
información que se manejan dentro de una organización. Cabe mencionar, que para evitar y
disminuir cualquier tipo de estos riesgos en las organizaciones, se lleva acabo una
administración de riesgos, donde se desarrollan estrategias, técnicas y procedimientos para
manejar de la mejor manera o neutralizar dichos riesgos.
Por otro lado, resulta oportuno destacar que los profundos cambios sociales, el
desarrollo científico, y las nuevas tecnologías que ocurren hoy en la actualidad, su
complejidad y la velocidad con los que se dan los mismos, son el inicio de la incertidumbre
y el riesgo que las organizaciones confrontan día a día. Por esta razón, cada día en las
organizaciones tienen retos más riesgosos y complicados con los cuales lidiar.
Objetivo General del Evento
3
El Riesgo
Desarrollar un portal web que sirva de alojamiento y permita la visualización de los
contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas,
sirviendo de referencia para la búsqueda de información por parte de profesionales o
personas con actividades afines a la cátedra.
Objetivo Específicos del Evento
Definir el nombre, la estructura organizativa y pautas generales del proyecto.
Crear un plan de trabajo para monitorear el trabajo.
Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad
con lo recursos disponibles.
Establecer el formato y la diagramación de los temas para el sitio web.
Diseñar un interfaz sencilla y cómoda para la visualización del contenido
Preparar la ponencia del producto.
Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.
Objetivo General del Tema
Exponer los aspectos que hacen necesario replantear la seguridad de una organización
en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos,
personas, tecnología y conocimientos.
Objetivos Específicos del Tema
Recopilar, estudiar y analizar la diversa información referente al tema de Riesgos.
Establecer la estructura básica del Informe de Investigación.
Diseñar, estructurar y crear la Presentación simbólica del Informe de Investigación.
Elaborar Video representativo del Tema seleccionado.
Realizar las correcciones indicadas.
Entregar el informe final, y el video representativo
4
El Riesgo
Especificaciones del Informe
Estrategias de búsqueda de información aplicada
Existen diversas formas de estrategias de búsqueda de información, una de las que
aplicamos es la investigación documental; ésta se realiza para obtener información
orientada a descubrir un conocimiento nuevo, por medio de bibliografías, elaborar uno
propio como grupo e identificar algún conocimiento que se deriva del uso creativo de la
información que ya existe referente al tema seleccionado. Ésta forma se realiza en
bibliotecas, hemerotecas, archivos, centros de información, reuniones, entre otros.
Otra forma es la búsqueda en Internet, la cual se hace para reconocer la información que ya
existe, determinar la que hace falta o es limitada y actualizar la que se tiene. En este caso se
tiene cuidado al no confundir los términos relativos al tema, ya que puede tener diversos
significados que dependerá de nosotros comprenderlos.
Finalmente se evalúan los resultados de la búsqueda, revisando la información recuperada
para determinar si se adecuan a la necesidad de información.
Proceso de diseño a seguir
El proceso de diseño consiste en los pasos que pueden seguirse para determinar la
dirección para la solución de problemas. Estos pasos o reglas pueden variar durante la
realización de las actividades, sin embargo lo consideramos un medio efectivo para
proporcionar resultados organizados y útiles. Debe recalcarse, que el proceso de diseño no
es lineal sino que depende de las diferentes actividades a realizar como lo son: La
presentación, el video y el Informe de Investigación. Los pasos a seguir son:
Identificación del problema. Es importante, en cualquier actividad, dar una definición clara de los objetivos, para
así tener una meta hacia la cual dirigir todos los esfuerzos. Establecer los límites; es
delimitar el problema y el alcance de la solución que está buscándose. Es indicar lo que se
quiere hacer y a dónde no se quiere llegar. Definir un problema es la parte más complicada
5
El Riesgo
en el proceso de diseño, ya que a partir de esta etapa se debe tener claro todos los aspectos,
pues será la base para todo lo que sigue.
Una vez que se ha definido y establecido el problema, en forma clara, es necesario recopilar
ideas preliminares como grupo, a partir de las cuales se pueden asimilar los conceptos del
diseño. “La creatividad entra en juego”.
Perfeccionamiento
Es la evaluación de las ideas preliminares y se concentra bastante en el análisis de las
limitaciones que establecimos anteriormente. Todos los esquemas, bosquejos y notas se
revisan, combinan y perfeccionan con el fin de obtener varias soluciones razonables al
problema.
Análisis
El análisis es el repaso y evaluación del diseño, en cuanto a factores humanos,
apariencia comercial, resistencia, operación, cantidades físicas y economía, dirigidos a
satisfacer requisitos del diseño.
Decisión y Realización
En esta etapa el diseño debe ser seleccionado para finalmente preparar las
especificaciones con las cuales se va a construir el mismo. Durante esta etapa, se pueden
hacer modificaciones de poca importancia que mejoren el diseño.
Herramientas a utilizar
Para realizar la planeación de un proyecto es necesario seguir una serie de pasos que
permitan realizar una búsqueda de la información acertada. Un plan de trabajo completo y
organizado además de las actividades y el tiempo en que se realizan deben administrar los
recursos apropiadamente, para ello los métodos, instrumentos y herramientas que se
propongan mejorará significativamente la calidad de la investigación y el tiempo que se le
dedique será optimizado, respondiendo así una de las preguntas de la planeación, el cómo?
Y con qué?. Primero Exploraremos el tema con la mente abierta el cual nos ayudara a
lograr una visión general del mismo, sus posibilidades y conexiones. Segundo al buscar la
6
El Riesgo
información hay que tener en cuenta que no toda nos será útil para la investigación. Es
necesario elegir técnicas sencillas de búsqueda en diferentes sitios: referencias, ideas u
opiniones alusivas al tema, catálogos de biblioteca, libro referente al tema, motores de
búsqueda e Internet. En nuestro caso, nos parece conveniente utilizar como herramienta el
internet y las opiniones acerca del tema, una vez que se han descrito las herramientas e
instrumentos que serán utilizados La información que se recolecte durante el proceso de
investigación, estableceremos la técnica de ordenación, es decir, procesar y ordenar de
manera efectiva para así aprovecharla al máximo en el proceso de escritura o redacción de
nuestro informe.
Proceso de toma de decisión para seleccionar la herramienta a utilizar
El proceso para la toma de decisión está basado en dos aspectos, uno es que en la
actualidad la mayor fuente de información existente es el internet y el segundo es que con
el análisis y opinión de cada integrante de nuestro grupo con respecto al tema,
fortaleceremos en gran medida los resultados del proyecto, por lo cual consideramos que
ambas partes se complementan por lograr el objetivo deseado.
Contenido del Tema
7
El Riesgo
Riesgo
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de
un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del
objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas.
Es importante en toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de
una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la
misma.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro de los
subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los
Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para
prevenir una adecuada realización de los mismos.
Es necesario en este sentido tener en cuenta lo siguiente:
○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría.
○ La evaluación de las amenazas o causas de los riesgos.
○ Los controles utilizados para minimizar las amenazas o riesgos.
○ La evaluación de los elementos del análisis de riesgos.
Para resumir, el riesgo es el potencial de resultados negativos y en un contexto empresarial
se pueden poseer los siguientes riesgos:
○ Contabilidad errónea o inapropiada.
○ Pérdida o destrucción de activos fijos o recursos financieros.
○ Costos excesivos.
○ Sanciones legales.
○ Fraude o robo.
○ Decisiones erróneas de la gerencia.
○ Desprestigio de imagen.
8
El Riesgo
Riesgos en Auditoria
En una auditoría, el riesgo también existe y este se define como la probabilidad de que
los estados contables contengan errores u omisiones significativas en su conjunto, no
detectados o evitados por los sistemas de control de la entidad, ni por el propio proceso de
auditoría y en definitiva, es el riesgo de emitir un informe de auditoría inadecuado.
El riesgo de auditoría se puede descomponer en:
o Riesgo Inherente: Es el riesgo de que ocurran errores significativos en la
información contable, independientemente de la existencia de los sistemas de
control.
o Riesgo de Control: Es el riesgo de que el sistema de control interno de la
organización no prevenga, detecte o corrija los errores.
o Riesgo de no detección: Es el riesgo de que un error u omisión significativa
existente no sea detectado, por último, por el propio proceso de auditoría.
Riesgo Informático
Se refiere a la incertidumbre existente por la realización de un suceso relacionado con la
amenaza de daño a los bienes o servicios informáticos, periféricos, instalaciones, proyectos,
programas de cómputo, archivos, información y datos confidenciales. No obstante, existen
diferentes medios de ataques que incrementa el riesgo de la pérdida de información.
Algunos de los elementos que pueden afectar directamente la información son virus
informáticos, correos tipo spam, Spyware, entre otros.
Tipos de Riesgos Informático
Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una organización. Estos riesgos se manifiestan en
los siguientes componentes de un sistema:
9
El Riesgo
Interface del usuario: Los riesgos en esta área generalmente se relacionan con las
restricciones, sobre las individualidades de una organización y su autorización de
ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y
una razonable segregación de obligaciones.
Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado
balance de los controles defectivos y preventivos que aseguran que el procesamiento de
la información ha sido completado. Adicional a eso, abarca los riesgos asociados con
la exactitud e integridad de los reportes usados para resumir resultados y tomar
decisiones de negocio.
Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los
métodos que aseguren que cualquier entrada/proceso de información de errores sean
capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
Interface: Los riesgos en esta área generalmente se relacionan con controles
preventivos y defectivos que aseguran que la información ha sido procesada y
transmitida adecuadamente por las aplicaciones.
Administración de cambios: Los riesgos en esta área pueden ser generalmente
considerados como parte de la infraestructura de riesgos y el impacto de los cambios en
las aplicaciones. Estos riesgos están asociados con la administración inadecuada de
procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de
los usuarios a los cambios de los procesos, y la forma de comunicarlos e
implementarlos.
Información: Los riesgos en esta área pueden ser generalmente considerados como
parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la
administración inadecuada de controles, incluyendo la integridad de la seguridad de la
información procesada y la administración efectiva de los sistemas de bases de datos y
de estructuras de datos.
10
El Riesgo
Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la
información creada por una aplicación. Estos riesgos se relacionan directamente a la
información de toma de decisiones.
Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e
información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo,
los riesgos asociados con la integridad de la información de sistemas de bases de datos
y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso
pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la
información:
o Procesos de negocio: Las decisiones organizacionales deben separar trabajo
incompatible de la organización y proveer el nivel correcto de ejecución de
funciones.
o Aplicación: La aplicación interna de mecanismos de seguridad que provee a los
usuarios las funciones necesarias para ejecutar su trabajo.
o Administración de la información: El mecanismo provee a los usuarios acceso a la
información específica del entorno.
o Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso
inapropiado al entorno de programas e información.
o Redes: En esta área se refiere al acceso inapropiado al entorno de red y su
procesamiento.
o Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos
incluyen:
o -Claves y contraseñas para permitir el acceso a los equipos.
o -Uso de cerrojos y llaves.
o -Fichas ó tarjetas inteligentes.
o Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de
manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de
retina, entre otros).
11
El Riesgo
Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo:
o Los riesgos pueden ser enfrentados por el direccionamiento de sistemas
antes de que los problemas ocurran.
o Técnicas de recuperación/restauración usadas para minimizar la ruptura de
los sistemas.
o Backups y planes de contingencia controlan desastres en el procesamiento
de la información.
Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones
no existe una estructura información tecnológica efectiva (hardware, software,
redes, personas y procesos) para soportar adecuadamente las necesidades futuras y
presentes de los negocios con un costo eficiente. Estos riesgos están asociados con
los procesos de la información tecnológica que definen, desarrollan, mantienen y
operan un entorno de procesamiento de información y las aplicaciones asociadas
(servicio al cliente, pago de cuentas, etc.).
Riesgos de seguridad general: Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:
o Riesgos de choque de eléctrico: Niveles altos de voltaje.
o Riesgos de incendio: Inflamabilidad de materiales.
o Riesgos de niveles inadecuados de energía eléctrica.
o Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
o Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
Administración de Riesgos
12
El Riesgo
Es una aproximación científica del comportamiento de los riesgos, anticipando
posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen
la ocurrencia de perdidas o el impacto de las perdidas que puedan ocurrir.
El objetivo es asegurarse que las operaciones, principalmente las que realizan las
instituciones financieras en los mercados de capital, dinero y cambios, no las expongan a
pérdidas que puedan amenazar el patrimonio de las mismas; la creciente complejidad que
han alcanzado dichos mercados, y la cada vez mayor diversificación de los instrumentos
que se operan, han hecho que la administración de riesgos sea cada vez más difícil de
evaluar; es por eso que, en la actualidad, es indispensable que las Instituciones Bancarias,
cuenten con una unidad de administración de riesgos.
Técnicas y Procedimientos para Administrar Riesgos
○ Evitar Riesgos: Un riesgo es evitado cuando en la organización no lo acepta. Esta técnica
puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el
negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a
hacer una inversión) y probablemente no alcanzaría sus objetivos.
○ Reducción de Riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas de
seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría
de personas expertas.
○ Conservación de Riesgos: Es quizás el más común de los métodos para enfrentar los
riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada
organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen
de contingencia, una pérdida puede ser un desastre financiero para una organización siendo
fácilmente sostenido por otra organización.
○ Compartir Riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es
transferida del individuo al grupo.
Evaluación de Riesgo
13
El Riesgo
Evaluación de riesgos es la ciencia que estudia la comprensión y la medida de los
peligros así como la exposición y, en última instancia, los riesgos asociados. Se trata, por
necesidad, de una ciencia interdisciplinar. Los científicos desarrollan metodologías de
evaluación de riesgos a fin de estandarizar y obtener una amplia aceptación de estos
enfoques a través de las fronteras científicas, institucionales e internacionales.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo
en cuenta que, una de las principales causas de los problemas dentro del entorno
informático, es la inadecuada administración de riesgos informáticos, esta información
sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los
siguientes aspectos:
○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría.
○ La evaluación de las amenazas o causas de los riesgos.
○ Los controles utilizados para minimizar las amenazas o riesgos.
○ La evaluación de los elementos del análisis de riesgos.
La evaluación de riesgos también está presente en la vida diaria de cualquier persona y
en todas las profesiones, aunque no siempre se considere así. Los profesionales de la
medicina, por ejemplo, se enfrentan a ciertos riesgos todos los días: cuando tratan a un
paciente con un medicamento deben considerar los efectos secundarios y otros factores de
riesgo; cuando recomiendan una intervención quirúrgica deben estar razonablemente
seguros de que los beneficios compensarán los riesgos asociados a la operación.
Existen dos componentes en evaluación de riesgos:
o Análisis de Riesgos
Esta fase consiste principalmente en Identificar el peligro, entendiendo como tal, la
fuente o situación con capacidad de daño en términos de lesiones, daños a la propiedad,
daños al medio ambiente, o bien una combinación de ambos.
14
El Riesgo
Una vez identificado el Peligro, se ha de Describir, lo que a su vez comporta definir el
daño resultante y los acontecimientos que han de suceder desde la situación inicial hasta
que se materializa el accidente.
Ante un accidente deberá plantearse cuales son las consecuencias previsibles, las
normales y esperadas y las que pueden ocurrir con posibilidad remota. En la valoración de
riesgos convencionales se consideraran las consecuencias normalmente esperadas, pero en
cambio, en instalaciones peligrosas, nucleares, químicas, etc., en las que las consecuencias
pueden ser desastrosas, es imprescindible considerar las consecuencias más críticas, aunque
la posibilidad sea muy baja, lo que determinar el ser mas rigurosos en el análisis
probabilístico.
o Valoración del riesgo
Tras efectuar el Análisis de Riesgos, y con el orden de magnitud que se ha obtenido
para el Riesgo, hay que Valorarlo, es decir emitir un juicio sobre la tolerabilidad o no del
mismo, hablándose en el caso afirmativo de Riesgo Controlado, y finalizando con ello la
Evaluación del Riesgo.
No termina con ello la actuación, sino que se debe mantener al día, lo que implica que
cualquier cambio significativo en un proceso o actividad de trabajo, debe de conducir a una
revisión de la Evaluación, y en tal sentido queda establecido en la mencionada Ley de
Prevención de Riesgos Laborales, al establecer como obligación del empresario, la
actualización de las evaluaciones cuando cambien las condiciones de trabajo.
15
El Riesgo
Gestión de Riesgo
Es un proceso dinámico que lleva a realizar todos los pasos razonables para averiguar y
para abordar los riegos que repercuten sobre los objetivos de una organización. Los
recursos y procesos de la empresa se unen para manejar el riesgo allí donde ha sido
identificado. A continuación se mencionan un conjunto de normas que la organización
debería implementar para obtener los beneficios de una gestión de riesgo exitosa:
○ La planificación más realista de la empresa y sus proyectos.
○ Acciones perfeccionadas a tiempo para ser más efectivas
○ Una mayor certidumbre en la consecución de los objetivos empresariales y de sus
proyectos.
○ Evaluación de todas las oportunidades beneficiosas y buena disposición para
explotarlas
○ Un control perfeccionado de perdidas
○ Un control de costos de los proyectos
○ Una mayor flexibilidad como resultado del conocimiento de todas las opciones y los
riesgos asociados.
○ Una reducción de las sorpresas onerosas, debido a una planificación más efectiva y
más transparente de las eventualidades.
La gestión de riesgos es asignada a un responsable de riesgo para que tome las medidas
necesarias como respuestas a los riegos definidos, distintos tipos de riesgos o los que
pueden afectar proyectos.
Etapa de la Gestión de Riesgos
○ Identificación: El proceso de gestión de riesgos inicia por un método para
identificar todos los riesgos a los que se enfrente una organización. Este deberá
incluir todas las partes que tienen experiencia, responsabilidades e influencia sobre
el área afectada por los riegos en cuestión.
○ Evaluación: La siguiente etapa es la de evaluar la importancia que tienen los
riesgos que se han identificado. Esta etapa deberá girar alrededor de la repercusión
bidimensional, es decir, las consideraciones de probabilidad.
16
El Riesgo
○ Gestión: Una vez se dispone del conocimiento sobre que riesgos son significativos
y que riesgos lo son menos, el proceso requiere el desarrollo de estrategias para
gestionar los riesgos con graves repercusiones.
○ Revisión: El proceso de gestión de riesgos y sus resultados debe ser revisado
continuamente. Esto involucra la actualización de las estrategias de manejo de los
riesgos y revisar la validez de los procesos que están siendo aplicados en la
organización
Metodología de Gestión de Riesgo
La gestión de riesgo es una parte importante en el ciclo del riesgo, debido a que
permite establecer y revisar los controles internos de las organizaciones. En términos de la
administración del riesgo se necesita añadir un conjunto de respuestas que permitan mitigar
el riesgo. Estas respuestas consisten en controles sobre los procesos y la ejecución de
estrategias que permitan reducir las vulnerabilidades.
○ Finalización: Cuando el impacto y la probabilidad de ejecución de un riesgo es
alto, se empieza a considerar si las operaciones deberían continuar. Un ejemplo de
esta situación es cuando una organización enfrenta problemas con la importación u
operación de su compañía en países políticamente volátiles (alta inseguridad,
políticas económicas desfavorables, entre otras.) y entonces se debe evaluar si es
rentable mantener las operaciones de la misma o simplemente cerrar por los grandes
riesgos que se corren.
○ Controles: Una de las armas para disminuir el riesgo es poseer mejores controles.
Haciendo referencia al ejemplo mencionado en el punto anterior, si una compañía y
su equipo de trabajo se encuentran en riesgo por la alta inseguridad en el país de
operación, se puede considerar aplicar controles como: seguridad personal,
procedimientos de viajes, asistencia a seminarios que expliquen las formas de
reducir las posibilidades de ser victima de la inseguridad, entre otras.
○ Transferencia: Cuando los riesgos tienen un gran impacto pero son poco
probables, se puede adoptar la estrategia de propagar el impacto del riesgo.
Siguiendo con el ejemplo que se viene desarrollando, se puede esparcir el impacto
al poseer pólizas de seguro que cubran a la organización y su equipo de trabajo.
17
El Riesgo
○ Contingencias: Una respuesta bastante útil al riesgo de alto impacto, y baja
probabilidad es hacer un arreglo de contingencias en caso de que se materialice el
riesgo. La organización que opera en el país inestable puede cubrirse al poseer un
procedimiento de evacuación si se da el caso de la materialización del riesgo.
○ Tomar más riesgos: La gestión del riesgo se basa en conocer donde invertir el
tiempo y los apreciado recursos. En el caso del establecimiento de la compañía en
un país inestable, se puede asumir el riesgo de operaciones en el mismo, siempre y
cuando se exploten las oportunidades que brinda y disminuyan al máximo las
vulnerabilidades.
○ Comunicación: La comunicación es la estrategia que debe ser aplicada cuando los
controles no disminuyen los riesgos a un nivel aceptable, es por ello que debe
comunicarse a todos los involucrados en la organización sobre los riesgos y que
estos podrían afectar el éxito de la misma. Para el ejemplo que se viene
desarrollando, se debe informar a los empleados sobre las estadísticas de los
problemas que podrían afectar su estadía en el país, esto es particularmente útil
cuando los riesgos se escapan de los controles establecidos.
○ Tolerancia: Los riesgos de bajo impacto y poca probabilidad de materialización no
son vistos como amenazas y pueden ser tolerados.
○ Comisión de investigación: El manejo del riesgo puede necesitar un tiempo de
investigación o análisis del riesgo para tomar decisiones con respecto a este, evaluar
su impacto y si es probable que se materialice. En el caso de estudio, la
organización puede asesorarse por organismos de investigación que le suministren
información sobre los riesgos que se pueden tener en una región.
○ Apoyo externo: Algunos riesgos de alto impacto y mucha probabilidad de ocurrir
pueden crear un bloqueo en los responsables de las decisiones y esto puede ser
resuelto al contratar a terceros para manejar el riesgo.
○ Revisión de los controles: La única arma en el arsenal de respuestas ante los
riesgos es la revisión. Esta se base en enfocarse en las áreas donde los controles son
cruciales para disminuir los riesgos significativos, y asegurarse que están
funcionando correctamente.
18
El Riesgo
Conclusión
Los riesgos representan una amenaza de bajo y alto impacto en las organizaciones, por esa
razón, deben ser tomados en consideración al ser medidos con regularidad a través de la
metodología planteada en el informe. Las organizaciones deben conocer sus fortalezas y
oportunidades para aprovecharlas, y de esa manera, evitar que los riegos se materialicen, y por
supuesto, disminuir las vulnerabilidades que se puedan generar en algunas de las regiones de
cualquier organización.
Entonces según lo citado, resulta necesario desarrollar e implementar estrategias para gestionar los
posibles riesgos que puedan surgir o amenazar la seguridad de una organización, y por ende, está
pueda alcanzar todos los objetivos que se ha planteado, y por consiguiente, lograr las metas
establecidas.
19
El Riesgo
Referencias Bibliográficas
http://www.basc-costarica.com/documentos/riesgosinformatica.pdf
http://biblio.juridicas.unam.mx/libros/2/909/5.pdf
http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf
20
El Riesgo
Anexos
Plan de trabajo
Objetivo General: Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos.
FECHA DE INICIO:
FECHA DE CULMINACION:
OBJETIVOS ESPECÍFICOS ACTIVIDADES A REALIZAR DURACIÓN ESTIMADA (SEMANAS)01 0
203 0
405 0
607 0
809 10 1
112 13
Recopilar, estudiar y
analizar la diversa
información referente al
tema de Riesgos
Fijar estrategias de búsqueda de información.
Seleccionar herramientas.
Búsqueda y revisión de material bibliográfico: El enfoque
central será el estudio de la evaluación y manejo de riesgos.
Indagar sobre investigaciones ya realizadas referentes al tema.
Comparar metodologías de análisis de riesgos en diferentes
organizaciones.
Construir los objetivos específicos que nos proporcionarán el
trayecto para aplicar los métodos y procedimientos necesarios
El Riesgo
Establecer la estructura
básica del Informe de
Investigación
para alcanzar nuestro objetivo general.
Determinar el alcance de nuestra investigación.
Fijar los puntos relevantes en los que nos enfocaremos.
Definir los diferentes conceptos.
Bosquejo del Marco conceptual.
Diseñar, estructurar y crear
la Presentación simbólica del
Informe de Investigación
Seleccionar herramienta.
Diseñar la estructura de la presentación, acorde al tema.
Definir estilos en cuanto a colores, tipos de letras, anexos,
gráficos, entre otros.
Redactar y resumir el tema de Riesgos.
Detallar y especificar de manera clara los conceptos reflejados
en el Informe.
Hacer uso de gráficos necesarios para el entendimiento
productivo del tema seleccionado.
Elaborar Video
representativo del Tema
seleccionado
Seleccionar herramientas.
Establecer estructura.
Fijar tiempo de duración, estilo, entre otros aspectos.
Resumir contenido del proyecto de investigación.
Hacer uso de la
retroalimentación
Entregar el Informe de investigación, la presentación y el video
para su revisión y observaciones.
Realizar las correcciones Ajustar tanto trabajo de investigación, la presentación y el
22
El Riesgo
indicadas video, de acuerdo a las consideraciones recibidas.
ENTREGA DEL TRABAJO
DE INVESTIGACIÓN “EL
RIESGO” : LA
PRESENTACIÓN Y EL
VIDEO
REPRESENTATIVO
23
El Riesgo
Top Related