El Riesgo

Universidad Nacional Experimental de Guayana

Vice-Rectorado Académico

Departamento de Ciencia y Tecnología.

Proyecto de Carrera: Ingeniería en Informática.

Auditoria y Evaluación de Sistemas

El Riesgo

Profesor: Integrantes:

Carlos Guevara Castillo Heilin C.I: 20.504.909

Espinoza Laura C.I: 20.223.056

Sarmiento Regulo C.I: 19.803.811

Ciudad Guayana, Mayo del 2012

El Riesgo

Índice

Contenido Pág.

Introducción…………………………………………………………………. 2

Objetivos General (Evento / Tema)………………………………………….. 3

Objetivos Específicos (Evento / Tema)………………………………………. 3

Especificaciones del Informe ……………………………………………….. 4,5,6,7

Contenido del Tema………………………………………………………….. 8-18

· Riesgos……………………………………………………………...... 8

· Riesgos en Auditoria………………………………………………….. 9

· Riesgo Informático……………………………………………………. 9

· Tipos de riesgos informáticos………………………………………… 10-12

· Administración de riesgos……………………………………………. 13

· Técnicas y procedimientos para administrar riesgos………………….. 13

· Evaluación de riesgos…………………………………………………… 14,15

· Gestión de riesgos………………………………………………………. 16

· Etapas de la gestión de riesgos………………………………………….. 16,17

· Metodología de la gestión de riesgos……………………………………. 18,19

Referencias bibliográficas………………………………………………………. 20

Anexos………………………………………………………………………….. 21-23

Introducción

2

El Riesgo

El tema del riesgo definido como la contingencia de un daño, ha venido ganando

popularidad en los años recientes, debido al desarrollo de métodos y técnicas para

establecer controles y disminuir los riegos dentro de las organizaciones. De tal manera, que

las actividades que se llevan acabo dentro de la organización pasen por un proceso de

evaluación y medición para garantizar y mejorar la eficiencia de las mismas.

De acuerdo a lo antes mencionado, existe el riesgo informático, el cual abarca un

conjunto de amenazas de daño respecto a los bienes y servicios informáticos, causando un

sin fin de daños, como la perdida e integridad de la información y/o sistemas de

información que se manejan dentro de una organización. Cabe mencionar, que para evitar y

disminuir cualquier tipo de estos riesgos en las organizaciones, se lleva acabo una

administración de riesgos, donde se desarrollan estrategias, técnicas y procedimientos para

manejar de la mejor manera o neutralizar dichos riesgos.

Por otro lado, resulta oportuno destacar que los profundos cambios sociales, el

desarrollo científico, y las nuevas tecnologías que ocurren hoy en la actualidad, su

complejidad y la velocidad con los que se dan los mismos, son el inicio de la incertidumbre

y el riesgo que las organizaciones confrontan día a día. Por esta razón, cada día en las

organizaciones tienen retos más riesgosos y complicados con los cuales lidiar.

Objetivo General del Evento

3

El Riesgo

Desarrollar un portal web que sirva de alojamiento y permita la visualización de los

contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas,

sirviendo de referencia para la búsqueda de información por parte de profesionales o

personas con actividades afines a la cátedra.

Objetivo Específicos del Evento

Definir el nombre, la estructura organizativa y pautas generales del proyecto.

Crear un plan de trabajo para monitorear el trabajo.

Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad

con lo recursos disponibles.

Establecer el formato y la diagramación de los temas para el sitio web.

Diseñar un interfaz sencilla y cómoda para la visualización del contenido

Preparar la ponencia del producto.

Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.

Objetivo General del Tema

Exponer los aspectos que hacen necesario replantear la seguridad de una organización

en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos,

personas, tecnología y conocimientos.

Objetivos Específicos del Tema

Recopilar, estudiar y analizar la diversa información referente al tema de Riesgos.

Establecer la estructura básica del Informe de Investigación.

Diseñar, estructurar y crear la Presentación simbólica del Informe de Investigación.

Elaborar Video representativo del Tema seleccionado.

Realizar las correcciones indicadas.

Entregar el informe final, y el video representativo

4

El Riesgo

Especificaciones del Informe

Estrategias de búsqueda de información aplicada

Existen diversas formas de estrategias de búsqueda de información, una de las que

aplicamos es la investigación documental; ésta se realiza para obtener información

orientada a descubrir un conocimiento nuevo, por medio de bibliografías, elaborar uno

propio como grupo e identificar algún conocimiento que se deriva del uso creativo de la

información que ya existe referente al tema seleccionado. Ésta forma se realiza en

bibliotecas, hemerotecas, archivos, centros de información, reuniones, entre otros.

Otra forma es la búsqueda en Internet, la cual se hace para reconocer la información que ya

existe, determinar la que hace falta o es limitada y actualizar la que se tiene. En este caso se

tiene cuidado al no confundir los términos relativos al tema, ya que puede tener diversos

significados que dependerá de nosotros comprenderlos.

Finalmente se evalúan los resultados de la búsqueda, revisando la información recuperada

para determinar si se adecuan a la necesidad de información.

Proceso de diseño a seguir

El proceso de diseño consiste en los pasos que pueden seguirse para determinar la

dirección para la solución de problemas. Estos pasos o reglas pueden variar durante la

realización de las actividades, sin embargo lo consideramos un medio efectivo para

proporcionar resultados organizados y útiles. Debe recalcarse, que el proceso de diseño no

es lineal sino que depende de las diferentes actividades a realizar como lo son: La

presentación, el video y el Informe de Investigación. Los pasos a seguir son:

Identificación del problema. Es importante, en cualquier actividad, dar una definición clara de los objetivos, para

así tener una meta hacia la cual dirigir todos los esfuerzos. Establecer los límites; es

delimitar el problema y el alcance de la solución que está buscándose. Es indicar lo que se

quiere hacer y a dónde no se quiere llegar. Definir un problema es la parte más complicada

5

El Riesgo

en el proceso de diseño, ya que a partir de esta etapa se debe tener claro todos los aspectos,

pues será la base para todo lo que sigue.

Una vez que se ha definido y establecido el problema, en forma clara, es necesario recopilar

ideas preliminares como grupo, a partir de las cuales se pueden asimilar los conceptos del

diseño. “La creatividad entra en juego”.

Perfeccionamiento

Es la evaluación de las ideas preliminares y se concentra bastante en el análisis de las

limitaciones que establecimos anteriormente. Todos los esquemas, bosquejos y notas se

revisan, combinan y perfeccionan con el fin de obtener varias soluciones razonables al

problema.

Análisis

El análisis es el repaso y evaluación del diseño, en cuanto a factores humanos,

apariencia comercial, resistencia, operación, cantidades físicas y economía, dirigidos a

satisfacer requisitos del diseño.

Decisión y Realización

En esta etapa el diseño debe ser seleccionado para finalmente preparar las

especificaciones con las cuales se va a construir el mismo. Durante esta etapa, se pueden

hacer modificaciones de poca importancia que mejoren el diseño.

Herramientas a utilizar

Para realizar la planeación de un proyecto es necesario seguir una serie de pasos que

permitan realizar una búsqueda de la información acertada. Un plan de trabajo completo y

organizado además de las actividades y el tiempo en que se realizan deben administrar los

recursos apropiadamente, para ello los métodos, instrumentos y herramientas que se

propongan mejorará significativamente la calidad de la investigación y el tiempo que se le

dedique será optimizado, respondiendo así una de las preguntas de la planeación, el cómo?

Y con qué?. Primero Exploraremos el tema con la mente abierta el cual nos ayudara a

lograr una visión general del mismo, sus posibilidades y conexiones. Segundo al buscar la

6

El Riesgo

información hay que tener en cuenta que no toda nos será útil para la investigación. Es

necesario elegir técnicas sencillas de búsqueda en diferentes sitios: referencias, ideas u

opiniones alusivas al tema, catálogos de biblioteca, libro referente al tema, motores de

búsqueda e Internet. En nuestro caso, nos parece conveniente utilizar como herramienta el

internet y las opiniones acerca del tema, una vez que se han descrito las herramientas e

instrumentos que serán utilizados La información que se recolecte durante el proceso de

investigación, estableceremos la técnica de ordenación, es decir, procesar y ordenar de

manera efectiva para así aprovecharla al máximo en el proceso de escritura o redacción de

nuestro informe.

Proceso de toma de decisión para seleccionar la herramienta a utilizar

El proceso para la toma de decisión está basado en dos aspectos, uno es que en la

actualidad la mayor fuente de información existente es el internet y el segundo es que con

el análisis y opinión de cada integrante de nuestro grupo con respecto al tema,

fortaleceremos en gran medida los resultados del proyecto, por lo cual consideramos que

ambas partes se complementan por lograr el objetivo deseado.

Contenido del Tema

7

El Riesgo

Riesgo

Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de

un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del

objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas.

Es importante en toda organización contar con una herramienta, que garantice la

correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de

una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la

misma.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y

teniendo en cuenta que, una de las principales causas de los problemas dentro de los

subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los

Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para

prevenir una adecuada realización de los mismos.

Es necesario en este sentido tener en cuenta lo siguiente:

○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría.

○ La evaluación de las amenazas o causas de los riesgos.

○ Los controles utilizados para minimizar las amenazas o riesgos.

○ La evaluación de los elementos del análisis de riesgos.

Para resumir, el riesgo es el potencial de resultados negativos y en un contexto empresarial

se pueden poseer los siguientes riesgos:

○ Contabilidad errónea o inapropiada.

○ Pérdida o destrucción de activos fijos o recursos financieros.

○ Costos excesivos.

○ Sanciones legales.

○ Fraude o robo.

○ Decisiones erróneas de la gerencia.

○ Desprestigio de imagen.

8

El Riesgo

Riesgos en Auditoria

En una auditoría, el riesgo también existe y este se define como la probabilidad de que

los estados contables contengan errores u omisiones significativas en su conjunto, no

detectados o evitados por los sistemas de control de la entidad, ni por el propio proceso de

auditoría y en definitiva, es el riesgo de emitir un informe de auditoría inadecuado.

El riesgo de auditoría se puede descomponer en:

o Riesgo Inherente: Es el riesgo de que ocurran errores significativos en la

información contable, independientemente de la existencia de los sistemas de

control.

o Riesgo de Control: Es el riesgo de que el sistema de control interno de la

organización no prevenga, detecte o corrija los errores.

o Riesgo de no detección: Es el riesgo de que un error u omisión significativa

existente no sea detectado, por último, por el propio proceso de auditoría.

Riesgo Informático

Se refiere a la incertidumbre existente por la realización de un suceso relacionado con la

amenaza de daño a los bienes o servicios informáticos, periféricos, instalaciones, proyectos,

programas de cómputo, archivos, información y datos confidenciales. No obstante, existen

diferentes medios de ataques que incrementa el riesgo de la pérdida de información.

Algunos de los elementos que pueden afectar directamente la información son virus

informáticos, correos tipo spam, Spyware, entre otros.

Tipos de Riesgos Informático

Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la

autorización, completitud y exactitud de la entrada, procesamiento y reportes de

las aplicaciones utilizadas en una organización. Estos riesgos se manifiestan en

los siguientes componentes de un sistema:

9

El Riesgo

Interface del usuario: Los riesgos en esta área generalmente se relacionan con las

restricciones, sobre las individualidades de una organización y su autorización de

ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y

una razonable segregación de obligaciones.

Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado

balance de los controles defectivos y preventivos que aseguran que el procesamiento de

la información ha sido completado. Adicional a eso, abarca los riesgos asociados con

la exactitud e integridad de los reportes usados para resumir resultados y tomar

decisiones de negocio.

Procesamiento de errores: Los riesgos en esta área generalmente se relacionan con los

métodos que aseguren que cualquier entrada/proceso de información de errores sean

capturados adecuadamente, corregidos y reprocesados con exactitud completamente.

Interface: Los riesgos en esta área generalmente se relacionan con controles

preventivos y defectivos que aseguran que la información ha sido procesada y

transmitida adecuadamente por las aplicaciones.

Administración de cambios: Los riesgos en esta área pueden ser generalmente

considerados como parte de la infraestructura de riesgos y el impacto de los cambios en

las aplicaciones. Estos riesgos están asociados con la administración inadecuada de

procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de

los usuarios a los cambios de los procesos, y la forma de comunicarlos e

implementarlos.

Información: Los riesgos en esta área pueden ser generalmente considerados como

parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la

administración inadecuada de controles, incluyendo la integridad de la seguridad de la

información procesada y la administración efectiva de los sistemas de bases de datos y

de estructuras de datos.

10

El Riesgo

Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la

información creada por una aplicación. Estos riesgos se relacionan directamente a la

información de toma de decisiones.

Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e

información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo,

los riesgos asociados con la integridad de la información de sistemas de bases de datos

y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso

pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la

información:

o Procesos de negocio: Las decisiones organizacionales deben separar trabajo

incompatible de la organización y proveer el nivel correcto de ejecución de

funciones.

o Aplicación: La aplicación interna de mecanismos de seguridad que provee a los

usuarios las funciones necesarias para ejecutar su trabajo.

o Administración de la información: El mecanismo provee a los usuarios acceso a la

información específica del entorno.

o Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso

inapropiado al entorno de programas e información.

o Redes: En esta área se refiere al acceso inapropiado al entorno de red y su

procesamiento.

o Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.

Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos

incluyen:

o -Claves y contraseñas para permitir el acceso a los equipos.

o -Uso de cerrojos y llaves.

o -Fichas ó tarjetas inteligentes.

o Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de

manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de

retina, entre otros).

11

El Riesgo

Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo:

o Los riesgos pueden ser enfrentados por el direccionamiento de sistemas

antes de que los problemas ocurran.

o Técnicas de recuperación/restauración usadas para minimizar la ruptura de

los sistemas.

o Backups y planes de contingencia controlan desastres en el procesamiento

de la información.

Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones

no existe una estructura información tecnológica efectiva (hardware, software,

redes, personas y procesos) para soportar adecuadamente las necesidades futuras y

presentes de los negocios con un costo eficiente. Estos riesgos están asociados con

los procesos de la información tecnológica que definen, desarrollan, mantienen y

operan un entorno de procesamiento de información y las aplicaciones asociadas

(servicio al cliente, pago de cuentas, etc.).

Riesgos de seguridad general: Los estándar IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:

o Riesgos de choque de eléctrico: Niveles altos de voltaje.

o Riesgos de incendio: Inflamabilidad de materiales.

o Riesgos de niveles inadecuados de energía eléctrica.

o Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.

o Riesgos mecánicos: Inestabilidad de las piezas eléctricas.

Administración de Riesgos

12

El Riesgo

Es una aproximación científica del comportamiento de los riesgos, anticipando

posibles pérdidas accidentales con el diseño e implementación de procedimientos que minimicen

la ocurrencia de perdidas o el impacto de las perdidas que puedan ocurrir.

El objetivo es asegurarse que las operaciones, principalmente las que realizan las

instituciones financieras en los mercados de capital, dinero y cambios, no las expongan a

pérdidas que puedan amenazar el patrimonio de las mismas; la creciente complejidad que

han alcanzado dichos mercados, y la cada vez mayor diversificación de los instrumentos

que se operan, han hecho que la administración de riesgos sea cada vez más difícil de

evaluar; es por eso que, en la actualidad, es indispensable que las Instituciones Bancarias,

cuenten con una unidad de administración de riesgos.

Técnicas y Procedimientos para Administrar Riesgos

○ Evitar Riesgos: Un riesgo es evitado cuando en la organización no lo acepta. Esta técnica

puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el

negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a

hacer una inversión) y probablemente no alcanzaría sus objetivos.

○ Reducción de Riesgos: Los riegos pueden ser reducidos, por ejemplo con: programas de

seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría

de personas expertas.

○ Conservación de Riesgos: Es quizás el más común de los métodos para enfrentar los

riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada

organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen

de contingencia, una pérdida puede ser un desastre financiero para una organización siendo

fácilmente sostenido por otra organización.

○ Compartir Riesgos: Cuando los riesgos son compartidos, la posibilidad de pérdida es

transferida del individuo al grupo.

Evaluación de Riesgo

13

El Riesgo

Evaluación de riesgos es la ciencia que estudia la comprensión y la medida de los

peligros así como la exposición y, en última instancia, los riesgos asociados. Se trata, por

necesidad, de una ciencia interdisciplinar. Los científicos desarrollan metodologías de

evaluación de riesgos a fin de estandarizar y obtener una amplia aceptación de estos

enfoques a través de las fronteras científicas, institucionales e internacionales.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo

en cuenta que, una de las principales causas de los problemas dentro del entorno

informático, es la inadecuada administración de riesgos informáticos, esta información

sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los

siguientes aspectos:

○ La evaluación de los riesgos esenciales a los diferentes subprocesos de la Auditoría.

○ La evaluación de las amenazas o causas de los riesgos.

○ Los controles utilizados para minimizar las amenazas o riesgos.

○ La evaluación de los elementos del análisis de riesgos.

La evaluación de riesgos también está presente en la vida diaria de cualquier persona y

en todas las profesiones, aunque no siempre se considere así. Los profesionales de la

medicina, por ejemplo, se enfrentan a ciertos riesgos todos los días: cuando tratan a un

paciente con un medicamento deben considerar los efectos secundarios y otros factores de

riesgo; cuando recomiendan una intervención quirúrgica deben estar razonablemente

seguros de que los beneficios compensarán los riesgos asociados a la operación.

Existen dos componentes en evaluación de riesgos:

o Análisis de Riesgos

Esta fase consiste principalmente en Identificar el peligro, entendiendo como tal, la

fuente o situación con capacidad de daño en términos de lesiones, daños a la propiedad,

daños al medio ambiente, o bien una combinación de ambos.

14

El Riesgo

Una vez identificado el Peligro, se ha de Describir, lo que a su vez comporta definir el

daño resultante y los acontecimientos que han de suceder desde la situación inicial hasta

que se materializa el accidente.

Ante un accidente deberá plantearse cuales son las consecuencias previsibles, las

normales y esperadas y las que pueden ocurrir con posibilidad remota. En la valoración de

riesgos convencionales se consideraran las consecuencias normalmente esperadas, pero en

cambio, en instalaciones peligrosas, nucleares, químicas, etc., en las que las consecuencias

pueden ser desastrosas, es imprescindible considerar las consecuencias más críticas, aunque

la posibilidad sea muy baja, lo que determinar el ser mas rigurosos en el análisis

probabilístico.

o Valoración del riesgo

Tras efectuar el Análisis de Riesgos, y con el orden de magnitud que se ha obtenido

para el Riesgo, hay que Valorarlo, es decir emitir un juicio sobre la tolerabilidad o no del

mismo, hablándose en el caso afirmativo de Riesgo Controlado, y finalizando con ello la

Evaluación del Riesgo.

No termina con ello la actuación, sino que se debe mantener al día, lo que implica que

cualquier cambio significativo en un proceso o actividad de trabajo, debe de conducir a una

revisión de la Evaluación, y en tal sentido queda establecido en la mencionada Ley de

Prevención de Riesgos Laborales, al establecer como obligación del empresario, la

actualización de las evaluaciones cuando cambien las condiciones de trabajo.

15

El Riesgo

Gestión de Riesgo

Es un proceso dinámico que lleva a realizar todos los pasos razonables para averiguar y

para abordar los riegos que repercuten sobre los objetivos de una organización. Los

recursos y procesos de la empresa se unen para manejar el riesgo allí donde ha sido

identificado. A continuación se mencionan un conjunto de normas que la organización

debería implementar para obtener los beneficios de una gestión de riesgo exitosa:

○ La planificación más realista de la empresa y sus proyectos.

○ Acciones perfeccionadas a tiempo para ser más efectivas

○ Una mayor certidumbre en la consecución de los objetivos empresariales y de sus

proyectos.

○ Evaluación de todas las oportunidades beneficiosas y buena disposición para

explotarlas

○ Un control perfeccionado de perdidas

○ Un control de costos de los proyectos

○ Una mayor flexibilidad como resultado del conocimiento de todas las opciones y los

riesgos asociados.

○ Una reducción de las sorpresas onerosas, debido a una planificación más efectiva y

más transparente de las eventualidades.

La gestión de riesgos es asignada a un responsable de riesgo para que tome las medidas

necesarias como respuestas a los riegos definidos, distintos tipos de riesgos o los que

pueden afectar proyectos.

Etapa de la Gestión de Riesgos

○ Identificación: El proceso de gestión de riesgos inicia por un método para

identificar todos los riesgos a los que se enfrente una organización. Este deberá

incluir todas las partes que tienen experiencia, responsabilidades e influencia sobre

el área afectada por los riegos en cuestión.

○ Evaluación: La siguiente etapa es la de evaluar la importancia que tienen los

riesgos que se han identificado. Esta etapa deberá girar alrededor de la repercusión

bidimensional, es decir, las consideraciones de probabilidad.

16

El Riesgo

○ Gestión: Una vez se dispone del conocimiento sobre que riesgos son significativos

y que riesgos lo son menos, el proceso requiere el desarrollo de estrategias para

gestionar los riesgos con graves repercusiones.

○ Revisión: El proceso de gestión de riesgos y sus resultados debe ser revisado

continuamente. Esto involucra la actualización de las estrategias de manejo de los

riesgos y revisar la validez de los procesos que están siendo aplicados en la

organización

Metodología de Gestión de Riesgo

La gestión de riesgo es una parte importante en el ciclo del riesgo, debido a que

permite establecer y revisar los controles internos de las organizaciones. En términos de la

administración del riesgo se necesita añadir un conjunto de respuestas que permitan mitigar

el riesgo. Estas respuestas consisten en controles sobre los procesos y la ejecución de

estrategias que permitan reducir las vulnerabilidades.

○ Finalización: Cuando el impacto y la probabilidad de ejecución de un riesgo es

alto, se empieza a considerar si las operaciones deberían continuar. Un ejemplo de

esta situación es cuando una organización enfrenta problemas con la importación u

operación de su compañía en países políticamente volátiles (alta inseguridad,

políticas económicas desfavorables, entre otras.) y entonces se debe evaluar si es

rentable mantener las operaciones de la misma o simplemente cerrar por los grandes

riesgos que se corren.

○ Controles: Una de las armas para disminuir el riesgo es poseer mejores controles.

Haciendo referencia al ejemplo mencionado en el punto anterior, si una compañía y

su equipo de trabajo se encuentran en riesgo por la alta inseguridad en el país de

operación, se puede considerar aplicar controles como: seguridad personal,

procedimientos de viajes, asistencia a seminarios que expliquen las formas de

reducir las posibilidades de ser victima de la inseguridad, entre otras.

○ Transferencia: Cuando los riesgos tienen un gran impacto pero son poco

probables, se puede adoptar la estrategia de propagar el impacto del riesgo.

Siguiendo con el ejemplo que se viene desarrollando, se puede esparcir el impacto

al poseer pólizas de seguro que cubran a la organización y su equipo de trabajo.

17

El Riesgo

○ Contingencias: Una respuesta bastante útil al riesgo de alto impacto, y baja

probabilidad es hacer un arreglo de contingencias en caso de que se materialice el

riesgo. La organización que opera en el país inestable puede cubrirse al poseer un

procedimiento de evacuación si se da el caso de la materialización del riesgo.

○ Tomar más riesgos: La gestión del riesgo se basa en conocer donde invertir el

tiempo y los apreciado recursos. En el caso del establecimiento de la compañía en

un país inestable, se puede asumir el riesgo de operaciones en el mismo, siempre y

cuando se exploten las oportunidades que brinda y disminuyan al máximo las

vulnerabilidades.

○ Comunicación: La comunicación es la estrategia que debe ser aplicada cuando los

controles no disminuyen los riesgos a un nivel aceptable, es por ello que debe

comunicarse a todos los involucrados en la organización sobre los riesgos y que

estos podrían afectar el éxito de la misma. Para el ejemplo que se viene

desarrollando, se debe informar a los empleados sobre las estadísticas de los

problemas que podrían afectar su estadía en el país, esto es particularmente útil

cuando los riesgos se escapan de los controles establecidos.

○ Tolerancia: Los riesgos de bajo impacto y poca probabilidad de materialización no

son vistos como amenazas y pueden ser tolerados.

○ Comisión de investigación: El manejo del riesgo puede necesitar un tiempo de

investigación o análisis del riesgo para tomar decisiones con respecto a este, evaluar

su impacto y si es probable que se materialice. En el caso de estudio, la

organización puede asesorarse por organismos de investigación que le suministren

información sobre los riesgos que se pueden tener en una región.

○ Apoyo externo: Algunos riesgos de alto impacto y mucha probabilidad de ocurrir

pueden crear un bloqueo en los responsables de las decisiones y esto puede ser

resuelto al contratar a terceros para manejar el riesgo.

○ Revisión de los controles: La única arma en el arsenal de respuestas ante los

riesgos es la revisión. Esta se base en enfocarse en las áreas donde los controles son

cruciales para disminuir los riesgos significativos, y asegurarse que están

funcionando correctamente.

18

El Riesgo

Conclusión

Los riesgos representan una amenaza de bajo y alto impacto en las organizaciones, por esa

razón, deben ser tomados en consideración al ser medidos con regularidad a través de la

metodología planteada en el informe. Las organizaciones deben conocer sus fortalezas y

oportunidades para aprovecharlas, y de esa manera, evitar que los riegos se materialicen, y por

supuesto, disminuir las vulnerabilidades que se puedan generar en algunas de las regiones de

cualquier organización.

Entonces según lo citado, resulta necesario desarrollar e implementar estrategias para gestionar los

posibles riesgos que puedan surgir o amenazar la seguridad de una organización, y por ende, está

pueda alcanzar todos los objetivos que se ha planteado, y por consiguiente, lograr las metas

establecidas.

19

El Riesgo

Referencias Bibliográficas

http://www.basc-costarica.com/documentos/riesgosinformatica.pdf

http://biblio.juridicas.unam.mx/libros/2/909/5.pdf

http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf

20

El Riesgo

Anexos

Plan de trabajo

Objetivo General: Exponer los aspectos que hacen necesario replantear la seguridad de una organización en el ámbito de análisis, evaluación y manejo de riesgos, mediante estrategias, procesos, personas, tecnología y conocimientos.

FECHA DE INICIO:

FECHA DE CULMINACION:

OBJETIVOS ESPECÍFICOS ACTIVIDADES A REALIZAR DURACIÓN ESTIMADA (SEMANAS)01 0

203 0

405 0

607 0

809 10 1

112 13

Recopilar, estudiar y

analizar la diversa

información referente al

tema de Riesgos

Fijar estrategias de búsqueda de información.

Seleccionar herramientas.

Búsqueda y revisión de material bibliográfico: El enfoque

central será el estudio de la evaluación y manejo de riesgos.

Indagar sobre investigaciones ya realizadas referentes al tema.

Comparar metodologías de análisis de riesgos en diferentes

organizaciones.

Construir los objetivos específicos que nos proporcionarán el

trayecto para aplicar los métodos y procedimientos necesarios

El Riesgo

Establecer la estructura

básica del Informe de

Investigación

para alcanzar nuestro objetivo general.

Determinar el alcance de nuestra investigación.

Fijar los puntos relevantes en los que nos enfocaremos.

Definir los diferentes conceptos.

Bosquejo del Marco conceptual.

Diseñar, estructurar y crear

la Presentación simbólica del

Informe de Investigación

Seleccionar herramienta.

Diseñar la estructura de la presentación, acorde al tema.

Definir estilos en cuanto a colores, tipos de letras, anexos,

gráficos, entre otros.

Redactar y resumir el tema de Riesgos.

Detallar y especificar de manera clara los conceptos reflejados

en el Informe.

Hacer uso de gráficos necesarios para el entendimiento

productivo del tema seleccionado.

Elaborar Video

representativo del Tema

seleccionado

Seleccionar herramientas.

Establecer estructura.

Fijar tiempo de duración, estilo, entre otros aspectos.

Resumir contenido del proyecto de investigación.

Hacer uso de la

retroalimentación

Entregar el Informe de investigación, la presentación y el video

para su revisión y observaciones.

Realizar las correcciones Ajustar tanto trabajo de investigación, la presentación y el

22

El Riesgo

indicadas video, de acuerdo a las consideraciones recibidas.

ENTREGA DEL TRABAJO

DE INVESTIGACIÓN “EL

RIESGO” : LA

PRESENTACIÓN Y EL

VIDEO

REPRESENTATIVO

23

El Riesgo