Вы находитесь на странице: 1из 12

GIT Ltda.

OPCIONES PARA EVALUAR INDIVIDUALMENTE LOS


CONTROLES Y ESTIMAR SU MITIGACION EN CONJUNTO
SOBRE EL RIESGO
Consideraciones Generales:
1. No existe un nico mtodo que se pueda considerar un estndar, para evaluar el control y
medir que tanto mitiga el o los riesgos asociados. Se han establecido definiciones y
lineamientos generales dados por organismos y asociaciones internacionales (COSO, AICPA,
IIA; ISACA, etc.), pero cada entidad debe determinar su poltica y criterios bajo los cuales
medir la mitigacin de los controles sobre los riesgos y valorar el riesgo con controles.
2. Las opciones y ejemplos descritos en este documento, solo constituyen una gua, y no
excluyen otras opciones o combinaciones que tambin pueden ser vlidas.
3. Los mtodos de valoracin del riesgo absoluto, con controles o con tratamientos, pueden
ser cualitativos, semicuantitativos o cuantitativos, dependiendo del grado de precisin que se
requiera por la naturaleza de cada riesgo y de su impacto (prioridad) en los objetivos y metas
de la organizacin, o por exigencias de los organismos reguladores. Nota: Para efectos de
este documento, se presume que la valoracin del riesgo absoluto ya se efectu. La opcin
que se seleccione para valorar el Riesgo con Controles depender de con que grado de
precisin y detalle se valor el riesgo absoluto.
4. Las opciones de evaluacin sern seleccionadas por los usuarios dependiendo del grado
de avance y cultura de administracin del riesgo de la entidad, del grado de dificultad o
precisin que se desea, de las herramientas y sistemas de informacin de que se dispongan.
Usualmente al implementar por primera vez el sistema de gestin del riesgo, se inicia
utilizando las opciones menos precisas pero menos complejas (cualitativas o
semicuantitativas). En la medida que la cultura de administracin del riesgo madura, o la
severidad y categora del riesgo lo amerita, se eligen las opciones cada vez ms complejas y
precisas hasta llegar a valoraciones cuantitativas.
5. Para estimar el grado de mitigacin de los controles sobre el riesgo, se pueden evaluar su
efectividad y/o su cobertura.
6. Se debe verificar previamente, que todos y cada uno de los controles asociados al riesgo,
cubre por lo menos una de sus causas. De lo contrario, no se justifica evaluar la
mitigacin individual de dichos controles ni realizarles pruebas de cumplimiento y su mitigacin
sobre el riesgo absoluto es cero (0 %). Si se establece que ningn control mitiga alguna causa
del riesgo, la valoracin del riesgo con controles sera igual a la valoracin del riesgo
absoluto.
7. La seleccin de la opcin ms apropiada para la evaluacin de la mitigacin del conjunto de
controles sobre el riesgo, tambin depende de quien sea el evaluador y el alcance de su
responsabilidad:

GIT Ltda.
a. Responsables directos de la administracin del riesgo: Sus mediciones tienden a
ser ms precisas y complejas, por esto deben en lo posible medir la mitigacin del
riesgo, considerando la mitigacin de los controles sobre la Consecuencia y
Probabilidad respectivamente.
b. Auditores: Su objetivo es evaluar (monitorear) si los controles dispuestos por los
administradores cubren razonablemente los riesgos. En este caso pueden estimar la
mitigacin global del riesgo por el conjunto de controles, utilizando opciones menos
complejas o evaluando la razonabilidad de las valoraciones realizadas por los
responsables de administrar cada riesgo.
8. Las opciones para valorar (estimar) la mitigacin individual o de conjunto de los controles
sobre el riesgo, son igualmente aplicables a los tratamientos.
9. Las pruebas de cumplimiento, cuando se justifiquen, podran ser realizadas mediante autoevaluaciones por los propietarios de cada riesgo, o mediante pruebas independientes
realizadas por los auditores, o mediante combinacin de ambas, que sera lo ideal.
10. Las opciones descritas a continuacin, estn ordenadas de la ms sencilla y menos precisa, a
las ms compleja y ms precisa. Su aplicacin ser a criterio de cada usuario, segn su
propsito y de acuerdo a su rol y responsabilidad.

GIT Ltda.

Opcin-1: Con efectividad proporcional (Sin calificar su


cobertura)
1. Se asume, que los controles actuales establecidos, evaluados en conjunto, mitigan
razonablemente el riesgo.
2. Se asume que la mitigacin de cada control sobre el riesgo es proporcional (mismo %). Siendo
as, la sumatoria de las mitigaciones individuales de los controles es cercana al 100% del
riesgo absoluto (99% porque la mitigacin de los controles sobre el riesgo nunca podr ser del
100 %).

Controles Actuales

Mitigacin del riesgo

Control-1
Control-2
Control-3
Control-4
Mitigacin total del riesgo
Exposicin

25 %
25 %
25 %
24 %
99%
1%

3. Si se presume que todos los controles han sido y sern efectivos, se podra concluir que el
riesgo ha sido y ser razonablemente controlado por los controles actuales.
4. Las pruebas de cumplimiento, corroboraran si los controles han sido realmente Efectivos o No
Efectivos.
5. La mitigacin real actual (%) sobre el riesgo absoluto, ser la sumatoria de los porcentajes de
las coberturas individuales de los controles con pruebas satisfactorias.
Ejemplo:
1. Riesgo Absoluto = (Consecuencia: Alta (4) x Probabilidad. Casi Cierta (5) = Severidad:
20 (Puntos),

Controles
Actuales
Control-1
Control-2
Control-3
Control-4
Mitigacin total
del riesgo
Exposicin

Mitigacin del
riesgo
25 %
25 %
25 %
24 %
99 %

Pruebas
Satisfactoria
Insatisfactoria
Insatisfactoria
Satisfactoria

Mitigacin
real
25 %
0%
0%
24 %
49 %
51%

2. Mitigacin total de los controles 49 % = 10 (Puntos), Riesgo con Controles = (20 10)
= 10 (Puntos), Exposicin = 10 Puntos.

GIT Ltda.

Opcin-2: Con efectividad promedio (Sin calificar cobertura)


1. Calificar la efectividad individual de cada control, evaluando sus caractersticas individuales
(Ver ejemplo Tabla-1 abajo), y aplicando los porcentajes de acuerdo a los rangos, segn el
estndar seleccionado para calificar la Efectividad:

Efectividad Individual
Pobre
Insatisfactoria
Moderada
Buena
Excelente

Mitigacin del riesgo


Menos del 20%
Entre el 21 40 %
Entre el 41 60%
Entre el 61 80%
Ms del 80% - 99%

2. Se determina la efectividad promedio de los controles, dividiendo la sumatoria de los

porcentajes de efectividad estimada para cada control, sobre el nmero de


controles.
3. La mitigacin en conjunto de los controles sobre el riesgo, ser proporcional a la efectividad
promedio de los controles (Sin Probar).

Controles
Control-1
Control-2
Control-3
Control-4

Efectividad Individual
Pobre
Buena
Moderada
Buena

Mitigacin del riesgo


10 %
70 %
50 %
70%

Mitigacin total

50 % (Moderada)

Exposicin

50%

6. Las pruebas se realizaran sobre los controles de mayor efectividad y que cubran un porcentaje
significativo del riesgo y se determinar en que proporcin los controles mitigan el riesgo, y si
el resultado otorga una seguridad razonable del efecto reductor de los controles sobre el
riesgo .
7. La mitigacin real y actual (%) sobre el riesgo absoluto, ser el promedio de la sumatoria de
los porcentajes de Efectividad de los controles de acuerdo al resultado de las pruebas.
(Probado)

Controles
Control-1
Control-2
Control-3
Control-4

Efectividad con pruebas


No efectivo
Efectivo
Efectivo
No efectivo

Mitigacin del riesgo


0%
70 %
50 %
0%

Mitigacin total

30 % (Insatisfactoria)

Exposicin

70%

GIT Ltda.

Al aplicar las opciones 1 y 2 anteriores, se pueden asumir dos escenarios:


1. Asumir que el conjunto de controles mitigan por igual la Consecuencia y la
Probabilidad, y el grado de mitigacin sera proporcional sobre el riesgo absoluto
resultante (Severidad), tal cual se ha mostrado en los ejemplos anteriores.
2. Realizar la evaluacin de la efectividad de forma independiente, para aquellos que
mitigan solo la Consecuencia y aquellos que mitigan solo la Probabilidad.
Controles
Control-1
Control-2
Control-3
Control-4
Mitigacin total
Exposicin

Efectividad
Individual
Pobre
Buena
Moderada
Buena

Mitigacin
Consecuencia

Mitigacin
Probabilidad

10 %
70 %
50 %
70%
10 % (Moderada)

64%

90%

36%

Nota: Los controles Preventivos solo mitigan la probabilidad y los controles Detectivos y
Correctivos, usualmente solo mitigan la consecuencia.

GIT Ltda.

Opcin-3: Con cobertura estimada promedio y efectividad


promedio del conjunto de controles
1. Calificar la cobertura individual de cada control de acuerdo a las causas del riesgo que
cubre.

Cobertura Estimada

Sobre que causas del riesgo

Alta (Ms del 70%)


Media (40 70 %)
Baja (Menos del 40%)

Cubre varias causas primarias (Si hay ms de una)


Cubre por lo menos una causa primaria
Cubre solo causas secundarias

Nota: La cobertura de cada control podra variar en cada riesgo que cubre.
2. Estimar la cobertura total (Promedio) del conjunto de controles sobre el riesgo.

Controles
Control-1
Control-2
Control-3
Control-4

Cobertura Individual
Alta
Media
Alta
Media

Cobertura promedio

Mitigacin del riesgo


90 %
60 %
90 %
60%
75 % (Alta)

3. Calificar la efectividad individual de cada control (Ver Tabla-1 abajo).


4. Se determina la efectividad promedio de los controles.

Controles
Control-1
Control-2
Control-3
Control-4

Efectividad Individual
Pobre
Excelente
Moderada
Excelente

Efectividad promedio

Mitigacin del riesgo


10 %
90 %
60 %
90%
63 % (Buena)

Cobertura promedio = 75% x Efectividad promedio 63% = Mitigacin total del conjunto
de controles = 47%
Exposicin del riesgo = 53%

5. Las pruebas se realizaran sobre los controles de mayor efectividad y cobertura, que cubran
un porcentaje significativo del riesgo.
6. Calificar nuevamente, de acuerdo al efecto mitigante actual del conjunto de controles ya
probados.

GIT Ltda.

Opcin-4: Con efectividad del conjunto de controles y cobertura


cuantitativa.
1. Al valorar el riesgo absoluto, se estima el porcentaje en que cada causa podra contribuir a la
materializacin del riesgo. Nota: Esta presuncin solo es vlida, si se han identificado todas
las causas probables y relevantes del riesgo.

Causa

Contribucin a la materializacin del riesgo

Causa-1
Causa-2
Causa-3

Contribuye en un 50%
Contribuye en un 35%
Contribuye en un 15%

2. Calificar la cobertura individual de cada control, de acuerdo a las causas del riesgo que cubre y
el porcentaje estimado de mitigacin. Siguiendo con el ejemplo anterior la calificacin podra
ser:

Controles
Control-1
Control-2
Control-3
Control-4
Total

Sobre que
causas del riesgo

% de
Cobertura

Cobertura

Causa-1
Causa-2
Causa-3
Causa-2

50%
35 %
15%
35%
100% (1)

Alta
Media
Baja
Media

(1) Como los controles 1 y 4 actan sobre la misma causa se promedia su efecto, por esto el resultado
final es 100%. Este resultado solo se obtiene en caso de que todas las causas estn cubiertas por los
controles.

3. Calificar la efectividad individual de cada control (Ver Tabla-1 abajo).

Controles
Control-1
Control-2
Control-3
Control-4
Efectividad promedio

Efectividad Individual
Pobre
Excelente
Moderada
Excelente

Porcentaje efectividad
10 %
90 %
60 %
90%
63 % (Buena)

Nota: En este ejemplo la Efectividad de los controles 2 y 4 es igual por coincidencia, pero
podra ser diferente.

GIT Ltda.
4. Calificar el efecto mitigante del conjunto de controles considerando su cobertura y efectividad:

Controles
Control-1
Control-2 y 4 (Promedios)
Control-3
Mitigacin Total

Sobre que
causas del riesgo
Causa-1
Causa-2
Causa-3

% de
Cobertura

Porcentaje
Efectividad

Mitigacin
final

50%
35 %
15%

10%
90%
60%

5%
32%
9%
46%

Exposicin al riesgo

54%

5. Si se desea calificar el efecto mitigante sobre la Consecuencia y sobre la Probabilidad, se


califica de igual forma, pero de manera independiente los controles que mitigan la
Consecuencia y los controles que mitigan la Probabilidad, estimando en que proporcin
reducen una y/ o la otra.
Ejemplo:
Consecuencia Absoluta Catastrfica = 5
20 Severidad = Extrema

Probabilidad Absoluta = 4

Valoracin Absoluta =

Cobertura controles sobre Probabilidad Excelente (90 %) y Efectividad Excelente (90 %) =


(90 % X 90 %) = 81% Mitigacin Total sobre la Probabilidad
Valoracin Probabilidad con controles = 4 X 81 % = 3,24 (Que equivale al 81% de la
Probabilidad Absoluta). En este caso si ningn control redujera la Consecuencia Absoluta la
Severidad del Riesgo sera = 3 X 5 = 15 = Severidad = Alta

Otras Consideraciones a tener en cuenta cuando se evala la mitigacin del


conjunto de controles sobre el riesgo y que segn su resultado determinaran la
necesidad de introducir algn tratamiento:
o Adicionalmente a los criterios de evaluacin de la Efectividad y Cobertura (Beneficio) de cada
control individualmente y en conjunto, se debe considerar el de Eficiencia del Control o sea su
balance de Beneficio / Costo.
o La mitigacin de los controles detectivos y correctivos sobre la consecuencia del riesgo usualmente
se mide cuantitativamente, pero puede ser afectado por su cobertura y efectividad promedio.
Ejemplo:
Pliza de seguros que cubre un 90% de la Consecuencia (Asumiendo que cubre todas las causas y
escenarios del riesgo): Cobertura = Alta
Efectividad: Excelente = 90%
(Asumiendo que la probabilidad que la compaa de seguros
responder por el siniestro es casi cierta)
Cobertura total: 81 %

GIT Ltda.

o Se presenta exceso en el nmero de controles (Cubren las mismas causas, pero pueden no ser
igualmente efectivos y/o su costo acumulado no se justifica).
o La mezcla de los controles no considera los tipos de control segn su oportunidad (Preventivo o
Detectivo o Correctivo). Nota: Cuando se califican de forma separada la Consecuencia y la
Probabilidad, esta consideracin esta implcita en la valoracin.
o Ocurrencias previas del riesgo no detectadas en algn tiempo.

GIT Ltda.
TABLA-1 CALIFICACIN EFECTIVIDAD INDIVIDUAL CONTROLES (Ejemplo)
Pobre
(SIN PROBAR)
(PROBADO)

Insatisfactoria
(SIN PROBAR)
(PROBADO)

Moderada
(SIN PROBAR)
(PROBADO)

Buena
(SIN PROBAR)
(PROBADO)

Control no adecuado para prevenir, detectar o corregir el riesgo


o Control totalmente manual
o Procedimiento del control muy complejo
o Procedimiento del control no documentado
o El Control es discreto (Muestreo) y espordico
o Ambiente del control inestable debido a personal no idneo, carencia de valores, muy alta rotacin de
personal, grandes cambios recientes en el proceso o procedimientos, u otros factores del entorno o
internos que reducen la efectividad del control.
o Histricamente se presentan continuas desviaciones del control
o Nunca ha sido autoevaluado.
o La responsabilidad del control no esta asignada
o Control totalmente manual
o Procedimiento del control bastante complejo
o Procedimiento del control no documentado o no actualizado
o El Control es discreto y peridico
o Ambiente del control inestable debido a personal no idneo, inexistencia de valores, alta rotacin de
personal y moderados cambios recientes en el procedimiento
o Histricamente se presentan frecuentes desviaciones del control
o Nunca ha sido autoevaluado.
o La responsabilidad del control esta asignada pero no individualmente
o Control combinado (manual-Automatizado)
o Procedimiento del control no muy complejo
o Procedimiento del control esta documentado
o El Control es discreto y peridico
o Ambiente del control es generalmente estable debido a moderada rotacin de personal y los
procedimientos son solo actualizados ocasionalmente
o Histricamente se presentan algunas desviaciones del control
o Nunca ha sido autoevaluado.
o La responsabilidad del control esta asignada individualmente pero no formalizada
o Control automatizado y los controles sobre la integridad del software es bastante confiable.
o Procedimiento del control no es complejo
o Procedimiento del control esta documentado y actualizado
o El Control es de aplicacin continua y peridico
o Ambiente del control es estable debido a personal idneo, mnima rotacin de personal y los

GIT Ltda.

Excelente
(SIN PROBAR)
(PROBADO)

procedimientos son solo actualizados ocasionalmente


o Histricamente se presentan muy pocas desviaciones del control
o Ha sido auto-evaluado con alguna frecuencia
o La responsabilidad del control esta asignada individualmente y formalizada
El control muy fuerte y efectivo para mitigar el riesgo
o El control es totalmente automatizado y el ambiente de control sobre la integridad del software y sus
cambios es muy fuerte.
o El control esta documentado y actualizado.
o El Control es de aplicacin continua y de frecuencia continua.
o Poca complejidad del procedimiento de control
o El ambiente de control es considerado muy fuerte, personal idneo, mnima rotacin de personal, no se
han presentado cambios recientes en el procedimiento
o Histricamente no se han detectado desviaciones del control
o La responsabilidad del control esta oficialmente asignada
o El control es autoevaluado regularmente
o La responsabilidad del control esta asignada individualmente y formalizada, y se ha asumido
claramente dicha responsabilidad (Accountability).

GIT Ltda.

Notas:
a. Las caractersticas descritas para evaluar la efectividad del control son un ejemplo.
Pueden ser complementadas, simplificadas o ajustadas de acuerdo a los criterios que
decida aplicar la gerencia en cada organizacin.
b. Estas caractersticas aplican usualmente para los controles internos de la entidad. Cuando
el control se transfiere, se deben tener en cuenta otras consideraciones, por cuanto un
tercero asume la responsabilidad de administrar nuestros riesgos pero la consecuencia
seguir afectando nuestra entidad.

GIT

Soluciones Integrales .

www.gitltda.com

Derechos de reproduccin reservados