El documento define el concepto de riesgo como la posibilidad de que algún hecho ocurra e impacte los objetivos. Explica que el riesgo es una medida de incertidumbre y está vinculado a los procesos de negocio de una organización. Identifica fuentes internas y externas de riesgo y describe una metodología para evaluar el riesgo que incluye identificar amenazas, estimar el riesgo, cuantificar la exposición y seleccionar controles.

1. RIESGO
Concepto:
Entiéndase por riesgo, la posibilidad de
que algún hecho que ocurra impacte
en los objetivos.
Es una medida de la incertidumbre.
Cr. Carlos A. Rumitt - AUDITORIAi

2. Criterio de Interpretación - Principio de
Percepción de Riesgo I
Posicionamiento frente a la posibilidad de ocurrencia
El índice de mortalidad, supongamos que se
verifica en uno cada diez mil casos...
Cr. Carlos A. Rumitt - AUDITORIA
Dígame ahora, por favor... Su opinión acerca
del concepto de “posibilidad de ocurrencia...”
... Ud. es el elegido ...!!!

3. Cr. Carlos A. Rumitt - AUDITORIA - Fuente: Latin American CALCS, Argentina SIGEN año 1996.
Criterio de Interpretación - Principio de
Percepción de Riesgo II
La actitud frente al riesgo,
es el resultado de un proceso de evaluación personal
y por ende,
subjetiva de quien decide (fija la política).
Frente a la misma “medida”,
puede haber dos reacciones totalmente distinta.

4. RIESGO : Vinculado a Procesos de Negocios I
El establecimiento de objetivos es anterior a la evaluación de
riesgos y su identificación, es un proceso iteractivo generalmente
integrado a la estrategia y planificación.
- Un proceso que es crítico para su supervivencia.
- Actividades en las que sean responsables por la prestación
de servicios.
- Areas sujetas a cumplimiento de Leyes, con severas
puniciones por incumplimiento.
- Sector público, areas de vital importancia estratégica para el
Gobierno.
Los dominios claves pueden ser:
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: SIGEN, Normas Generales sw Control Interno Nº 2320 -

5. RIESGO : Vinculado a Procesos de Negocios II
En la actualidad,
los activos mas importantes de las organizaciones,
desde el punto de vista económico como estratégico,
tienden a concentrarse en la información
y la tecnología que la soporta,
además del Know How específico
de sus
“Objetivos de Negocios”
Cr. Carlos A. Rumitt - AUDITORIA -

6. RIESGO : Vinculado a Procesos de Negocios III
- Sistema de Información.
- Personal.
- Reputación.
- Procesos Industriales.
- Crédito.
- Fondos.
- Aspectos legales con consecuencias patrimoniales.
- Operaciones.
Activos generalmente mas afectados por la
ocurrencia del hecho aleatorio
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: ISACA -

7. RIESGO : Vinculado a Procesos de Negocios IV
Fuentes de Riesgo: Origen Externo.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: SIGEN, Normas Generales sw Control Interno Nº 2320 -
- Desarrollos tecnológicos que en caso de no adoptarse
provocarían obsolescencia organizacional. (SIGEN).
“-La creciente dependencia en información y en los sistemas
que proporcionan dicha información.
- La escala y el costo de las inversiones actuales y futuras en
información y en tecnologías de información, y
- El potencial que tienen las tecnologías para cambiar
radicalmente las organizaciones y las prácticas de negocio,
crear nuevas oportunidades y reducir costos.” COBIT.

8. RIESGO : Vinculado a Procesos de Negocios V
Fuentes de Riesgo: Origen Externo.
- Cambios en las necesidades del ciudadano/usuario. (SIGEN).
- Modificación en la legislación y normas regulatorias que conduzcan
a cambios forzosos en la estrategia y procedimientos. (SIGEN)
- Alteraciones en el escenario económico que impacten en el
presupuesto del organismo, sus fuentes de financiamiento y su
posibilidad de expansión. (SIGEN)
- La creciente vulnerabilidad y un amplio espectro de amenazas, tales
como las “ciberamenazas” y la guerra de la información. (COBIT)
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: SIGEN, ISACA.

9. RIESGO : Vinculado a Procesos de Negocios VI
Fuentes de Riesgo: Origen Interno.
- La estructura de la organización adoptada, dado la existencia de
riesgos inherentes típicos. (Modelo centralizado/descentralizado -
Modelo funcional/por procesos). Base SIGEN.
- Calidad de personal incorporado. Motivación, política de
capacitación.
- Riesgo inherente. Surge de la actividad del propio organismo y de
sus objetivos de negocio.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: SIGEN, ISACA.

10. RIESGO : Vinculado a Procesos de Negocios VII
El riesgo normalmente no “despierta el interés” de la
alta gerencia.
- Supone que no va a ocurrir, porque nunca le ocurrió.
- Falta de conocimiento en como puede impactar en sus objetivos de
negocio.
- No se detuvo a evaluar los costos de su ocurrencia.
- Actitud displicente.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: Latin American CALCS, Argentina SIGEN año 1996.

11. RIESGO : Vinculado a Procesos de Negocios VIII-
Metodología para su evaluación
1. Identificar las mayores amenazas a
puntos de control claves
1. Identificar las mayores amenazas a
puntos de control claves
2. Estimar el riesgo2. Estimar el riesgo
3. Cuantificar la exposición3. Cuantificar la exposición
4. Definir los objetivos de control
específicos (requerimientos)
4. Definir los objetivos de control
específicos (requerimientos)
5. Seleccionar las técnicas para
satisfacer los objetivos
5. Seleccionar las técnicas para
satisfacer los objetivos
6. Justificar los controles6. Justificar los controles
¿Es todo
adecuado?
¿Es todo
adecuado?
ETAPAETAPA
¿¿QuQuéé puede suceder y en qupuede suceder y en quéé punto depunto de
control?control?
¿¿CuCuáál es la frecuencia?l es la frecuencia?
¿¿CuCuáánto se pierde?nto se pierde?
¿¿CuCuááles son los objetivos de control ales son los objetivos de control a
satisfacer?satisfacer?
¿¿QuQuéé ttéécnicas satisfacen el objetivo de control?cnicas satisfacen el objetivo de control?
¿¿Son los controles costoSon los controles costo--efectivos?efectivos?
ImplementeImplemente -- DocumenteDocumente
LO QUE DETERMINALO QUE DETERMINA
SINO

12. RIESGO : Vinculado a Procesos de Negocios IX -
Estimación del Riesgo
- Estimación del Riesgo: “Ecuación de la Exposición”
PE = F x V
donde:
PE = Pérdida esperada o exposición, expresada en pesos y en forma
anual.
F = Frecuencia, veces probables en que el riesgo se concrete en el
año.
V = Pérdida estimada por cada caso en que el riesgo se concrete,
expresada en pesos.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: SIGEN, Normas Generales sw Control Interno Nº 2320 -

13. RIESGO : Vinculado a Procesos de Negocios X
Causas de la crisis del software como factor
determinante de riesgos.
Resultados de la “Cultura del Impulso”
- Requerimientos sin fin.
- Cambios continuos y descontrolados.
- Cronogramas arbitrarios.
- Insuficiente tiempo para probar.
- Entrenamiento inadecuado.
- Estándares fuera de control.
- Tecnología inadecuada.
- No se aplica metodología CVDS.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: Latin American CALCS, Argentina SIGEN año 1996.

14. RIESGO : Vinculado a Procesos de Negocios XI
La realidad de los proyectos
- Se adivina en lugar de hacer un plan.
- Se espera una solución mágica.
- Excesivos costos y tiempo insumido, ausencia de planificación.
- Dependencia hacia los programadores por falta de documentación.
- Los usuarios terminan disconformes.
- El software, no se implanta o no se usa.
Cr. Carlos A. Rumitt - AUDITORIA - Fuente: Latin American CALCS, Argentina SIGEN año 1996.