Академический Документы
Профессиональный Документы
Культура Документы
Basilea.
SOX - Ley Sarbanes Oxley.
AS/NZ 4360 (NTC 5254): Gestin de Riesgos
Pra BCP: ISO 22301 :2012, BS 25999-1: 2006
ISO 27001: Sistema de Gestin de Seguridad de la
Informacin (SGSI).
Modelos de Control Interno COSO, COSO ERM y COBIT
ISO 31000
Administracin de Riesgos
Guas sobre Principios e implementacin de
la Administracin de riesgos
6,2
Comunicacin
y
consulta
6,7
Monitoreo
y
revisin
5.3
Diseo del Marco para
la Administracin del
riesgo
5.6
Mejoramiento
continuo del marco
de referencia
Principios
(Clusula 4)
5.5
Monitoreo y revisin del
marco de referencia
5.4
Implementacin de
la Administracin
de riesgos
Proceso
(Clusula 6)
Diseo de Controles
por Anlisis de Riesgos
Dos Estados de los Riesgos.
PROBABILIDAD
Casi Cierto
Probable
Posible
Poco probable
Raro
AM
E
E
EE
IMPACTO EN LA ORGANIZACION
Extremo
Alto
Moderado
Bajo
PROBABILIDAD
5: Casi
Cierto
Zona de Riesgo
Alta.
Mitigar,
transferir,
distribuir
Zona de Riesgo
Zona de Riesgo Extremo
Alta.
. Evitar, transferir,
Mitigar, transferir,
mitigar
distribuir
4:
Probable
Zona de Riesgo
Moderada.
Mitigar
Zona de riesgo
Alta.
Prevenir, transferir
Zona de riesgo
Alta.
Prevenir, transferir
3:
Posible
Zona de Riesgo
Baja.
Aceptar, mitigar
el Riesgo
Zona de Riesgo
Moderada.
Mitigar
Zona de riesgo
Alta.
Prevenir, transferir
2: Poco
Probable
Zona de Riesgo
Moderada.
Mitigar
1: Raro
Zona de Riesgo
Baja. .
Aceptar el Riesgo
Zona de Riesgo
Baja.
.
Aceptar el Riesgo
Zona de Riesgo
Moderada.
Mitigar
1: Insignificante
2: Menor
3: Moderado
IMPACTO
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Zona de riesgo
Extremo.
Alta.
Evitar, Mitigar,
Prevenir, transferir
tranferir
Zona de riesgo
Zona de riesgo
Alta.
Alta.
Prevenir, transferir Prevenir, transferir
4: Severo
5: Catastrfico
Riesgo Inherente
Bajo
Moderado.
Alto.
Extremo
Extremo
3: Alto
Bajo
Moderado.
Alto.
Alto.
Alto.
2: Moderado
Bajo
Moderado.
Moderado.
Moderado.
Moderado.
1: Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
1: Apropiada
2: Mejorable
3: Insuficiente
4: Deficiente
5: Muy
Deficiente
Gestin de riesgos:
[1]Actividades coordinadas
4. Agentes
Generadores
Explotan
1. Activos
3. Vulnerabilidades
Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)
5. Exposiciones
Que es ?
6. Riesgo
Clases de Riesgos de
LA / FT - SARLAFT(CE 022 de 2007, SFC)
1. Fraude Interno.
2. Fraude Externo.
3. Fallas en la Atencin a los Clientes.
4. Daos a Activos Fsicos.
5. Fallas en Relaciones Laborales.
6. Fallas Tecnolgicas.
7. Errores en Administracin y
Ejecucin de Procesos.
1. Riesgo Reputacional.
2. Riesgo Legal.
3. Riesgo Operativo.
4. Riesgo de Contagio
4. De cumplimiento.
5. De Tecnologa.
6. Prdida de Ingresos.
7. Dao / Destruccin de
Activos
8. Decisiones Errneas
Riesgo Estratgico.
Riesgo de Crdito.
Riesgo de Mercado.
Riesgo de Liquidez.
Otros Requerimientos
Planes de continuidad del negocio.
Registro de Eventos de Riesgo Ocurridos
Se pueden presentar
en el Proceso?
SI
NO
CALIFICACIN
IMPACTO
RIESGOS
CLASES DE RIESGOS
Sanciones Legales
CLASES DE
RIESGOS
AMENAZAS
(Eventos que
materializan las
Clases de Riesgos)
Prdida de Ingresos
Costos Excesivos
Prdida de Credibilidad Pblica
Desventaja ante la
Competencia
Dao - Destruccin de
Activos
Decisiones Errneas
Fraude - Robo
Vulnerabilidades.
Unidad Mnima de
Anlisis
A
M
B
4. Agentes
Generadores
Explotan
1. Activos
3. Vulnerabilidades
Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)
5. Exposiciones
Que es ?
6. Riesgo
RIESGOS
CLASES DE RIESGOS
Sanciones Legales
CLASES DE
RIESGOS
AMENAZAS
(Eventos que
materializan las
Clases de Riesgos)
Prdida de Ingresos
Costos Excesivos
Prdida de Credibilidad Pblica
Desventaja ante la
Competencia
Dao - Destruccin de
Activos
Decisiones Errneas
Fraude - Robo
Vulnerabilidades.
Unidad Mnima de
Anlisis
A
M
B
4. Agentes
Generadores
Explotan
1. Activos
3. Vulnerabilidades
Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)
5. Exposiciones
Que es ?
6. Riesgo
Identificacin de Amenazas
Pregunta Clave para identificar
Amenazas.
Cules Eventos negativos podran causar dao
al ACTIVO X en el proceso Y?
Ejemplo.
En el proceso de inventarios, cules eventos negativos
podra ocasionar dao a las existencias disponibles en el
almacn o bodega?
1. Robo de Elementos.
2. Prdida de propiedades
obsolescencia
de
los
elementos
por
Identificacin de Amenazas
Pregunta Clave para identificar
Amenazas.
Cules Eventos negativos podran causar dao
al ACTIVO X en el proceso Y?
Ejemplo.
En el proceso de inventarios, cules eventos negativos
podra ocasionar dao a las existencias disponibles en el
almacn o bodega?
Identificacin de Amenazas
Amenaza: Evento negativo que pueden causar dao a uno o mas activos
Activo: Todo lo que tiene valor para la EmpresaActivos de TI: Hardware, Aplicaciones, informacin, Capital humano, redes, sistemas
operacionales, Motores de bases de datos, documentacin
Evento
Activos de TI Impactados
Agentes Generadores
Destruccin Intencional
Destruccin Accidental
Divulgacin no autorizada de
El programador
El servidor Web
El DBA
Divulgacin no autorizada de
El aplicativo de nmina
El operador
Divulgacin accidental de
El ing de software
El Jefe de Procesamiento
Identificacin de Amenazas
Amenaza: Eventos que pueden causar dao a uno o mas activos
Agentes Generadores: Cargos de las personas o de los actos de la Naturaleza
Que explotan las vulnerabilidades
Amenazas (evento + activos impactados)
Agentes Generadores
Vulnerabilidades
Documentacin de Amenazas
Identificar y Documentar Amenazas.
Activo Impactado.
Nombre de la Amenaza.
Descripcin Amenaza
Agentes Generadores de Amenaza (AGAi).
Vulnerabilidades (Debilidades que propician la materializacin
de las Amenazas)
Efectos / Consecuencias.
Escenarios de riesgo donde podra presentarse
Dependencias o terceros donde podra presentarse
Frecuencia Anual de Ocurrencia.
Valor de las Prdidas por Ocurrencia
Prdida Anual Estimada - PAE
2.
3.
4.
PROBABILIDAD
Casi Cierto
Probable
Posible
Poco probable
Raro
AM
E
E
EE
IMPACTO EN LA ORGANIZACION
Extremo
Alto
Moderado
Bajo
PROBABILIDAD
5: Casi
Cierto
Zona de Riesgo
Alta.
Mitigar,
transferir,
distribuir
Zona de Riesgo
Zona de Riesgo Extremo
Alta.
. Evitar, transferir,
Mitigar, transferir,
mitigar
distribuir
4:
Probable
Zona de Riesgo
Moderada.
Mitigar
Zona de riesgo
Alta.
Prevenir, transferir
Zona de riesgo
Alta.
Prevenir, transferir
3:
Posible
Zona de Riesgo
Baja.
Aceptar, mitigar
el Riesgo
Zona de Riesgo
Moderada.
Mitigar
Zona de riesgo
Alta.
Prevenir, transferir
2: Poco
Probable
Zona de Riesgo
Moderada.
Mitigar
1: Raro
Zona de Riesgo
Baja. .
Aceptar el Riesgo
Zona de Riesgo
Baja.
.
Aceptar el Riesgo
Zona de Riesgo
Moderada.
Mitigar
1: Insignificante
2: Menor
3: Moderado
IMPACTO
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Zona de riesgo
Extremo.
Alta.
Evitar, Mitigar,
Prevenir, transferir
tranferir
Zona de riesgo
Zona de riesgo
Alta.
Alta.
Prevenir, transferir Prevenir, transferir
4: Severo
5: Catastrfico
Control 1
Prevenir
Control 2
Detectar
Corregir
Control 3
Control 4
Amenazas de
Riesgo
Dao / destruccin de activos
Prdida de Credibilidad
Clases de
Riesgos
Prdida de Activos
Fraude
Sanciones Legales
ORGANIZACIN
INSTALACIONES
A1
A2
AMENAZAS
DE
A2
RIESGO
A3
BARRERA
BARRERA
PREVENTIVA
DETECTIVA
A3
BARRERA
CORRECTIVA
PERSONAS
A3
DATOS
HW - SW
FEEDBACK
FINANCIEROS
Cdigo de Id.
Nombre.
Descripcin.
Tipo (Preventivo, Detectivo o Correctivo).
Clase (A: Automtico No Discrecional; B: Automtico Discrecional;
C: Manual No Discrecional; D: Manual Discrecional).
Agentes de Riesgo que Neutraliza.
Vulnerabilidades que elimina.
Frecuencia de Ejecucin.
Localizacin en el proceso (actividades y reas organizacionales).
Evidencias de su funcionamiento (activacin).
Responsables de ejecutarlo y supervisarlo.
Riesgo Inherente
Bajo
Moderado.
Alto.
Extremo
Extremo
3: Alto
Bajo
Moderado.
Alto.
Alto.
Alto.
2: Moderado
Bajo
Moderado.
Moderado.
Moderado.
Moderado.
1: Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
1: Apropiada
2: Mejorable
3: Insuficiente
4: Deficiente
5: Muy
Deficiente
1: APROPIADA
2: MEJORABLE
4: INSUFICIENTE
4: DEFICIENTE
5: MUY DEFICIENTE
RI - Antes de Controles
RR - Despues
Estandar AS/NZ e ISO 31000 de Controles
Extremo
1: Tolerable
Alto
1: Tolerable
Moderado
1: Tolerable
Bajo (Tolerable)
1: Tolerable
4: Extremo
2: Moderado
3: Alto
2: Moderado
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo
4: Extremo
3: Alto
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Tolerable
4: Extremo
4: Extremo
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo (Tolerable)
4: Extremo
4: Extremo
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo (Tolerable)
No existen controles
Grado de Automatizacin /
Discrecionalidad de los Controles
Clases de Controles
Calificacin
Criterio de Aceptacin:
La calificacin promedio de los controles por clase, por cada amenaza,
deber ser mayor que 3.5
Beneficios
Eficiencia
Alto
5: Muy Alta
4: Alta
3:
Moderada
Moderado
4: Alta
3:
Moderada
2: Baja
Bajo
3: Moderada
2: Baja
1: Muy Baja
Bajo
Moderado
Costos
RAZONABLE (R )
NO RAZONABLE (NR)
Alto
Criterio de Aceptacin:
La calificacin promedio de la eficiencia de los controles, por
amenaza, deber ser mayor o igual a 4.0 (Razonable)
cada