matriz de riesgo

7/18/2019 Matriz de riesgo

http://slidepdf.com/reader/full/matriz-de-riesgo-5691be5303269 1/13

Matriz de Riesgo, Evaluación y Gestión de Riesgos

Cualquier actividad que el ser humano realice está expuesta a riesgos de diversaíndole los cuales influyen de distinta forma en los resultados esperados. Lacapacidad de identificar estas probables eventualidades, su origen y posible

impacto constituye ciertamente una tarea difícil pero necesaria para el logro de losobjetivos. En el caso específico de las entidades de intermediación financiera, eldesempeño de estas instituciones depende de la gestión de los riesgos inherentesa su actividad, tales como riesgos de crédito, mercado, liquidez, operativo, entreotros, algunos de ellos de compleja identificación y de difícil medición. En losúltimos años las tendencias internacionales han registrado un importante cambiode visión en cuando a la gestión de riesgos: de un enfoque de gestión tradicionalhacia una gestión basada en la identificación, monitoreo, control, medición ydivulgación de los riesgos. El siguiente cuadro muestra la diferencia entre elmodelo tradicional y el nuevo enfoque de evaluación de la gestión de riesgos,

según las últimas tendencias:

En este sentido gestionar eficazmente los riesgos para garantizar resultadosconcordantes con los objetivos estratégicos de la organización, quizás sea uno delos mayores retos de los administradores y gestores bancarios. Desde este puntode vista, la gestión integral de los riesgos se vuelve parte fundamental de laestrategia y factor clave de éxito en la creación de valor económico agregado paralos accionistas, empleados, depositantes, inversionistas, entre otros. En estesentido, es imprescindible que las entidades financieras cuenten con herramientasque permitan:

i) Definir criterios a partir de los cuales se admitirán riesgos; dichos criteriosdependerán de sus estrategias, plan de negocios y resultados esperados.



ii) Definir a través de un mapa de riesgo, áreas de exposición a los riesgosinherentes a sus actividades, en consecuencia establecer el riesgo máximoaceptable así como el área no aceptable.

iii) Monitoreo y medición de todas las categorías de riesgo que pueden impactar el

valor de la entidad en forma global, por unidad de negocios, por productos y porprocesos.

iv) Definir el nivel de pérdida esperada aceptable y la metodología de medición.

v) Diseñar mecanismos de cobertura a los riesgos financieros, operativosestratégicos con una visión integral y comprensiva del negocio.

vi) Relacionar el área de máxima de exposición al riesgo con el capital que sedesea arriesgar en forma global y por unidad estratégica de negocio.

vii) Definir y estimar medidas de desempeño ajustada por riesgos.Con relación a los incisos i), ii) y iii), relacionados con la identificación y evaluaciónde riesgos, la “matriz de riesgos” constituye una herramienta útil en el proceso de

evaluación continua de las estrategias y manejo de riesgos.

¿Qué es una Matriz de Riesgo?

Una matriz de riesgo constituye una herramienta de control y de gestiónnormalmente utilizada para identificar las actividades (procesos y productos) másimportantes de una empresa, el tipo y nivel de riesgos inherentes a estas

actividades y los factores exógenos y endógenos relacionados con estos riesgos.

(Factores de riesgo). Igualmente, una matriz de riesgo permite evaluar laefectividad de una adecuada gestión y administración de los riesgos financierosque pudieran impactar los resultados y por ende al logro de los objetivos de unaorganización. La matriz debe ser una herramienta flexible que documente losprocesos y evalúe de manera integral el riesgo de una institución, a partir de loscuales se realiza un diagnóstico objetivo de la situación global de riesgo de unaentidad. Exige la participación activa de las unidades de negocios, operativas yfuncionales en la definición de la estrategia institucional de riesgo de la empresa.

Una efectiva matriz de riesgo permite hacer comparaciones objetivas entreproyectos, áreas, productos, procesos o actividades. Todo ello constituye unsoporte conceptual y funcional de un efectivo Sistema Integral de Gestión deRiesgo.



¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?

A partir de los objetivos estratégicos y plan de negocios, la administración deriesgos debe desarrollar un proceso para la “identificación” de las actividades

principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo

la eventualidad de que una determinada entidad no pueda cumplir con uno o másde los objetivos.

Consecuentemente, una vez establecidas todas las actividades, se debenidentificar las fuentes o factores que intervienen en su manifestación y severidad,es decir los llamados “factores de riesgo o riesgos inherentes”. El riesgo inherente

es intrínseco a toda actividad, surge de la exposición y la incertidumbre de

probables eventos o cambios en las condiciones del negocio o de la economía quepuedan impactar una actividad. Los factores o riesgos inherentes pueden no tenerel mismo impacto sobre el riesgo agregado, siendo algunos más relevantes queotros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios.Los riesgos inherentes al negocio de las entidades financieras pueden serclasificados en riesgos crediticios, de mercado y liquidez, operacionales, legales ynormativos estratégicos.

El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra

y un cálculo de los efectos potenciales sobre el capital o las utilidades de la

entidad. La valorización del riesgo implica un análisis conjunto de la probabilidadde ocurrencia y el efecto en los resultados; puede efectuarse en términoscualitativos o cuantitativos, dependiendo de la importancia o disponibilidad deinformación; en términos de costo y complejidad la evaluación cualitativa es la mássencilla y económica.



La valorización cualitativa no involucra la cuantificación de parámetros, utilizaescalas descriptivas para evaluar la probabilidad de ocurrencia de cada evento. Engeneral este tipo de evaluación se utiliza cuando el riesgo percibido no justifica eltiempo y esfuerzo que requiera un análisis más profundo o cuando no existeinformación suficiente para la cuantificación de los parámetros. En el caso de

riesgos que podrían afectar significativamente los resultados, la valorizacióncualitativa se utiliza como una evaluación inicial para identificar situaciones queameriten un estudio más profundo.

La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez deescalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento,procedimiento que definitivamente podría brindar una base más sólida para latoma de decisiones, ésto dependiendo de la calidad de información que se utilice.

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el

proceso del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarseque si bien la valoración de riesgo contenida en una matriz de riesgo esmayormente de tipo cualitativo, también se utiliza un soporte cuantitativo basadoen una estimación de eventos ocurridos en el pasado, con lo cual se obtiene unamejor aproximación a la probabilidad de ocurrencia del evento.

La valorización consiste en asignar a los riesgos calificaciones dentro de un rango,que podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3),moderada (4) o alta(5))3, dependiendo de la combinación entre impacto yprobabilidad. En la siguiente gráfica se puede observar un ejemplo de esquema de

valorización de riesgo en función de la probabilidad e impacto de tipo numéricocon escala:

Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de

la gestión”, a f in de determinar cuán eficaces son los controles establecidos por laempresa para mitigar los riesgos identificados. En la medida que los controlessean más eficientes y la gestión de riesgos pro-activa, el indicador de riesgo



inherente neto tiende a disminuir. Por ejemplo una escala de valoración deefectividad de los controles podría ajustarse a un rango similar al siguiente:

Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre

el grado de manifestación de los riesgos inherentes y la gestión de mitigación deriesgos establecida por la administración. A partir del análisis y determinación delriesgo residual los administradores pueden tomar decisiones como la de continuar

o abandonar la actividad dependiendo del nivel de riesgos; fortalecer controles oimplantar nuevos controles; o finalmente, podrían tomar posiciones de cobertura,contratando por ejemplo pólizas de seguro. Esta decisión está delimitada a unanálisis de costo beneficio y riesgo.

En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto oresidual utilizando escalas numéricas de posición de riesgo:

El cuadro anterior muestra en forma consolidada, los riesgos inherentes a unaactividad o línea de negocio, el nivel o grado de riesgo ordenado de mayor amenor nivel de riesgo (priorización); las medidas de control ejecutadas con su



categorización promedio y finalmente, se expone el valor del riesgo residual paracada riesgo y un promedio total que muestra el perfil global de riesgo de la líneade negocio.

Como se habrá podido observar la matriz de riesgo tiene un enfoque

principalmente cualitativo, para lo cual es preciso que quienes la construyantengan experiencia, conocimiento profundo del negocio y su entorno y un buen

juicio de valor, pero además es requisito indispensable la participación activa detodas las áreas de la entidad.

Matriz de riesgo y el nuevo enfoque de Supervisión

En las últimas dos décadas los documentos publicados por el Comité de Basileahan tenido un gran impacto en el mundo de la supervisión bancaria, tanto en laregulación como en la práctica supervisora. Los principios establecidos en el Pilar2 del documento consultivo del Comité de Basilea II, representan la base parareenfocar la supervisión, asignándole una doble finalidad: por un lado, asegurarque las entidades tienen el capital adecuado a sus riesgos y, por otro, alentar eldesarrollo y uso técnicas de gestión y control de riesgos.

En este contexto, Organismos Supervisores en diferentes países están en procesode implementación de metodologías de supervisión basadas en la gestión deriesgos. Entre las experiencias desarrolladas podemos citar a la Office of theSuperintendent of Financial Institutions (OSFÍ) de Canadá y al Banco de España.

En ambos casos la matriz de riesgos constituye una herramienta clave en el

proceso de supervisión basada en riesgos, debido a que la misma les permiteefectuar una evaluación cualitativa y cuantitativa de los riesgos inherentes de cadaunidad de negocios o actividad significativa y la determinación del perfil de riesgode la institución.

Los beneficios de esta metodología de supervisión, entre otros, son los siguientes:

• Identificación de instituciones que requieren mayor atención y áreas críticas de

riesgo.

• Uso eficiente de recur sos aplicados a la supervisión, basado en perfiles deriesgos de las entidades.

• Permite la intervención inmediata y la acción oportuna.

• Evaluación metódica de los riesgos.

• Promueve una sólida gestión de riesgos en las instituciones financieras.



• Monitoreo continuo.

De esta manera la matriz de riesgo permite establecer de un modo uniforme yconsistente el perfil de riesgo de cada una de las entidades y permite profundizaren el proceso de establecimiento de planes de supervisión a fin de que se ajusten

a las características específicas de cada entidad.



Lista de chequeo o checklist para áreas de cómputo

Definición: Actualmente es difícil definir lo que es un centro de cómputo, puestoque en una organización pequeña dos equipos PC son todo su centro de cómputo,en una escuela, su centro de cómputo lo conforman sus aulas y las oficinasadministrativas, y en un corporativo, su centro de cómputo lo forman variosedificios o un sitio central y oficinas regionales.

Para poder englobar todos estos extremos, se definirá al centro de cómputo no enfunción del número de equipos con que cuente, ni en función del espacio queocupa, sino en cuanto al servicio que proporciona. En este entorno un centro decómputo es la infraestructura necesaria para satisfacer todas las necesidades deprocesamiento de información y brindar los servicios que la organización requiere,contando para ello con recursos humanos, técnicos y materiales.

CUESTIONARIO DE CONTROL C1

Aulas de informática Institución Educativa R/PT

Cuestionario de Control C1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Evaluación de Nuevo Hardware

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con un inventario de todos los equipos que integran elcentro de cómputo?

¿Con cuanta frecuencia se revisa el inventario?

¿Se posee de bitácoras de fallas detectadas en los equipos?

Características de la bitácora (señale las opciones).

¿La bitácora es llenada por personal especializado?

¿Señala fecha de detección de la falla?

¿Señala fecha de corrección de la falla y revisión de que el equipofuncione correctamente?

¿Se poseen registros individuales de los equipos?

¿La bitácora hace referencia a hojas de servicio, en donde sedetalla la falla, y las causas que la originaron, así como las

refacciones utilizadas?

¿Se lleva un control de los equipos en garantía, para que a lafinalización de ésta, se integren a algún programa demantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los equipos?



¿Se cuenta con procedimientos definidos para la adquisición denuevos equipos?

¿Se tienen criterios de evaluación para determinar el rendimiento delos equipos a adquirir y así elegir el mejor?

Documentos probatorios presentados:




Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Mantenimiento Preventivo para Hardware

Cuestionario

Pregunta SI NO N/A

¿Se lleva un control de los equipos en garantía, para que a lafinalización de ésta, se integren a algún programa de

mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los equipos?

¿Se cuenta con procedimientos definidos para la adquisición de

nuevos equipos?

¿Se tienen criterios de evaluación para determinar el rendimiento delos equipos a adquirir y así elegir el mejor?




Cuestionario de Control

C3

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones.

Objetivo de Control Escolta de Visitantes

Cuestionario

Pregunta SI NO N/A

¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o



adaptadas específicamente para funcionar como un centro decómputo?

¿Se tiene una distribución del espacio adecuada, de forma tal quefacilite el trabajo y no existan distracciones?

¿Existe suficiente espacio dentro de las instalaciones de forma que

permita una circulación fluida?

¿Existen lugares de acceso restringido?

¿Se cuenta con sistemas de seguridad para impedir el paso alugares de acceso restringido?

¿Se cuenta con sistemas de emergencia como son detectores dehumo, alarmas, u otro tipo de censores?

¿Existen señalizaciones adecuadas en las salidas de emergencia y

se tienen establecidas rutas de evacuación?

¿Se tienen medios adecuados para extinción de fuego en el centrode cómputo?

¿Se cuenta con iluminación adecuada y con iluminación deemergencia en casos de contingencia?

¿Se tienen sistemas de seguridad para evitar que se sustraiga

equipo de las instalaciones?

¿Se tiene un lugar asignado para papelería y utensilios de trabajo?

¿Son funcionales los muebles instalados dentro del centro de

cómputo: cintoteca, Discoteca, archiveros, mesas de trabajo, etc?

¿Existen prohibiciones para fumar, consumir alimentos y bebidas?

¿Se cuenta con suficientes carteles en lugares visibles querecuerdan estas prohibiciones?

¿Con cuanta frecuencia se limpian las instalaciones?

¿Con cuanta frecuencia se limpian los ductos de aire y la cámara deaire que existe debajo del piso falso (si existe)?





Dominio

Entrega de Servicios y Soportes

Proceso Protección contra Factores Ambientales

Objetivo de Control Controles Ambientales

Cuestionario

Pregunta SI NO N/A



¿El centro de cómputo tiene alguna sección con sistema derefrigeración?

¿Con cuanta frecuencia se revisan y calibran los controlesambientales?

¿Se tiene contrato de mantenimiento para los equipos queproporcionan el control ambiental?

¿Se tienen instalados y se limpian regularmente los filtros de aire?

¿Con cuanta frecuencia se limpian los filtros de aire?

¿Se tiene plan de contingencia en caso de que fallen los controlesambientales?






Proceso DS12 Administración de Instalaciones.

Objetivo de Control Suministro Ininterrumpido de Energía

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con instalación con tierra física para todos los equipos?

¿La instalación eléctrica se realizó específicamente para el centrode cómputo?

¿Se cuenta con otra Instalación dentro el centro de cómputo,diferente de la que alimenta a los equipos de cómputo?

¿La acometida llega a un tablero de distribución?

¿El tablero de distribución esta en la sala, visible y accesible?

¿El tablero considera espacio para futuras ampliaciones de hasta deun 30 % (Considerando que se dispone de espacio físico para la

instalación de más equipos)?

¿La Instalación es independiente para el centro de cómputo?

¿La misma instalación con tierra física se ocupa en otras partes deledificio?

¿La iluminación está alimentada de la misma acometida que losequipos?

¿Las reactancias (balastros de las lámparas) están ubicadas dentrode la sala?

¿Los ventiladores y aire acondicionado están conectados en lamisma instalación de los equipos a la planta de emergencia?



¿Los ventiladores y aire acondicionado están conectados en lamisma instalación de los equipos a los no-brake?

¿Se cuenta con interruptores generales?

¿Se cuenta con interruptores de emergencia en serie al interruptorgeneral?

¿Se cuenta con interruptores por secciones ó aulas?

¿Se tienen los interruptores rotulados adecuadamente?

¿Se tienen protecciones contra corto circuito?

¿Se tiene implementado algún tipo de equipo de energía auxiliar?

¿Se cuenta con Planta de emergencia?

¿Se tienen conectadas algunas lámparas del centro de cómputo a la

planta de emergencia?

¿Qué porcentaje de lámparas: % están conectadas a la planta deemergencia (recomendable el 25 %)?






Proceso Protección contra Factores Ambientales

Objetivo de Control Seguridad Física

Cuestionario

Pregunta SI NO N/A

¿Se tienen lugares de acceso restringido?

¿Se poseen mecanismos de seguridad para el acceso a estos

lugares?

¿A este mecanismo de seguridad se le han detectado debilidades?

¿Tiene medidas implementadas ante la falla del sistema deseguridad?

¿Con cuanta frecuencia se actualizan las claves o credenciales deacceso?

¿Se tiene un registro de las personas que ingresan a lasinstalaciones?




Bibliografía:

- Office of the Superintendent of Financial Institutions (OSFÍ) de Canadá

- Federal Reserve Banks of Dallas USA. Keneth V.Mckee. Metodología deRiesgos.

- IFPC International Group, Inc. Forensic audit. & Research

Cibergrafía

http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-para.html

matriz de riesgo

Documents