6. APLICACIÓN METODOLOGÍA METODOLOGIA PARA CONSTRUCCION DE MAPA DE RIESGOS EN PROCESOS SELECCIONADOS IDENTIFICACION DE SUBPROCESOS EN CADA PROCESO IDENTIFICACION DE ETAPAS EN CADA SUBPROCESO IDENTIFICACION DE OBJETIVOS ESPECIFICOS IDENTIFICACION DE RIESGOS OPERATIVOS (SEVERIDAD: PROBABILIDAD E IMPACTO) IDENTIFICACION Y ANALISIS DE CONTROLES CLAVES (EFICIENCIA DEL CONTROL Periodicidad- Oportunidad..-Automatizaciòn.) DETERMINACION NIVELES DE EXPOSICION AL RIESGO (PROCEDIMIENTO CÁLCULO) MAPA O MATRIZ CONSOLIDADA POR PROCESO
7. DESARROLLO OBJETIVO(ETAPA I) Escala para medir el nivel de contribución que afecta el cumplimiento del objetivo estratégico.
8. Categoría Valor Descripción Casi certeza 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene plena seguridad que éste se presente, tiende al 100% Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 75% a 95% de seguridad que éste se presente Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 51% a 74% de seguridad que éste se presente Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 26% a 50% de seguridad que éste se presente Muy improbable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 25% de seguridad que éste se presente Ejemplo de escala para Probabilidad de ocurrencia
9. Categoría Valor Descripción 5 Riesgocuya materialización influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un período importante de tiempo, los programas o servicios que entrega la institución Mayores 4 Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños Catastróficas Moderadas 3 Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio o un deterioro significativo de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños Menores 2 Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos Insignificantes 1 Riesgo que puede tener un pequeño o nulo efecto en la institución Ejemplo de escala para materialidad del Impacto
10. Ejemplo escala para medir el Nivel de Severidad del Riesgo EJEMPLO ESCALA PARA NIVEL DEL RIESGO
12. Clasificación Descripción Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir, en cada operación. Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un proceso. Clasificación del Control Periodicidad en la acción del control (PD):
13. Clasificación Descripción Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso. Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las deficiencias. Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha terminado. Clasificación del Control Oportunidad de la acción del control (O)
14. Clasificación Descripción 100% automatizado (At) Controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados Semi – automatizado (Sa) Controles claves incorporados en el proceso, cuya aplicación es parcialmente aplicada mediante sistemas informatizados. Manual (Ma) Controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados Clasificación del Control Automatización en la aplicación del control (A):
17. INDICADOR DE EXPOSICION AL RIESGO VALOR NVEL DE EXPOSICION AL RIESGO NIVEL SEVERIDAD DEL RIESGO NIVEL EFICIENCIA DEL CONTROL 8,0 – 25,0 NO ACEPTABLE (Na) 4,0 – 7,99 MAYOR (Ma) 3,0 – 3,99 MEDIA (Md) 0,2 - 2,99 MENOR (Me) Ejemplo para medir nivel de Exposición al Riesgo
18. MAPA O MATRIZ DE RIESGO CONSOLIDADA POR SERVICIO - EJEMPLO
33. Toma de Decisiones Este tipo de método para identificar los riesgos de un negocio o proyecto es efectivo para la toma de decisiones. Ya que con esto se puede saber si se puede llevar a cabo la actividad o fortalecerla en algunos puntos.
34. Creación de una matriz de riesgos CASO: DESARROLLO E IMPLEMENTACION DE UNA BASE DE DATOS
35. Diseño e Implementación de una Base de Datos Implementación Construcción Diseño Análisis -Modelo E/R. -Diseño Conceptual. -Diseño Lógico. -Diseño Físico. Analizar a fondo el mundo real que deseamos representar en la base de datos. -Construcción en SQL Server u Oracle. - Ingreso de Datos. -Documentación. -Ejecución de la BD -Seguridad de la BD -Procedimientos. -Facilitar reportes. 1) Objetivo Estratégico del Proceso
51. Estos resultados nos indican que los controles tomados para mitigar los riesgos son medianamente efectivos ya que nos muestran que el perfil global de riesgo es de 37.78%.
52. CASO PRÁCTICO: ANALISIS DE RIESGO DE UN PROYECTO EN BASE AL SUMINISTRO DE MATERIALES ELECTRICOS Y CABLEADO ESTRUCTURADO EN UNA UNIVERSIDAD.-
58. Este resultado nos muestra un perfil global de riesgo de: RIESGO TOTAL= 44.73%
59. Estos resultados nos indican que la valorización tomada para mitigar los riesgos son medianamente efectivos ya que nos muestran que el perfil global de riesgo es de 44.73%. RIESGO TOTAL= 44.73%
60. Recomendaciones Para poder aplicar esta matriz de riesgo es necesario que quienes la construyan tenga conocimiento y experiencia profunda del negocio y su entorno además de un buen juicio de valor, pero sobre todo es requisito indispensable contar con la participación activa de todas las áreas. Existe un sin número de formas de realizar una matriz de riesgo lo importante es adecuar cual fuese el método elegido por tu negocio e implementarlo a tus necesidades ya que esta garantizara un factor critico de éxito de tu negocio y salida ante cualquier evento que detenga tus actividades.
61. Conclusiones Este tipo de método para identificar los riesgos de un negocio o proyecto es efectivo para la toma de decisiones. Ya que con esto se puede saber si se puede llevar a cabo la actividad o fortalecerla en algunos puntos. Para el Auditor, es una fuente de información que le permitirá ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor análisis y, obviamente mayor exigencia. Al mismo tiempo la revisión especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestión de riesgos de la organización Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados. La capacidad de identificar estas probables eventualidades, su origen y posible impacto constituye ciertamente una tarea difícil pero necesaria para el logro de los objetivos. En el casoespecífico de lasentidades de intermediaciónfinanciera