Identificación y evaluación de

riesgos

1
 Conceptos fundamentales de riesgo
• Amenaza: Evento considerado como una posible
fuente de materialización del riesgo.

• Exposición: Nivel o grado de disponibilidad o

exhibición de un objeto o recurso, a la
materialización del riesgo, por falta de un ambiente
de control adecuado.

• Vulnerabilidad: Es el grado de impacto que puede

sufrir un determinado objeto por la exposición de
éste a los riesgos.
2
• Riesgo: Identificación de una contingencia o proximidad de
daño. La probabilidad de que una amenaza llegue a ocurrir
por una vulnerabilidad.

• Ocurrencia: Nivel cuantitativo de efecto relativo o

probabilistico de materialización del riesgo, de acuerdo a
hechos estadísticos o históricos.

3
 Tipos de riesgos

Riesgos de la
Riesgos información
Riesgos del entorno
operacionales emanada

-Cambios en la economía -Riesgos de integridad

- Disminución en la -Gestión estratégica
-Riesgos de fraude
participación de mercado - Gestión operativa
-Riesgos tecnológicos
-Ingreso de nuevos - Gestión financiera
-Riesgos financieros, etc.
competidores
4
 CLASIFICACION DEL RIESGO

Riesgo Riesgo del Riesgo Riesgo Riesgo Riesgo

Riesgo País
organizacional Negocio Tecnológico Operacional Información Auditoria

Macroeconómico Gestión Imagen Calidad Norma Privacidad Inherente

Convertibilida
Estructura Competencia Innovación Errores Disponibilidad Control
d

Sistémico Filiales Proveedores Creatividad RRHH Integridad Detección

Influencia
Financiero Clientes Conocimiento Ambiental Oportunidad
externa

Social Reguladores Fraude

Costos

5
Los riesgos podemos…

Evitarlos Transferirlos

Riesgo

Reducirlos Asumirlos

6
 Evaluación de Riesgos

• El producto de una evaluación de riesgos es una

lista de riesgos con prioridades para una acción
posterior.
• Deberían considerarse los objetivos de la
organización y el grado de oportunidad que podrían
resultar de tomar el riesgo.
• Las decisiones deben tener en cuenta el amplio
contexto del riesgo e incluir consideración de la
tolerancia de los riesgos sostenidos por las partes
fuera de la organización que se benefician de ellos.

7
 Evaluación de Riesgos

• Si los riesgos resultantes caen dentro de las

categorías de riesgos bajos o aceptables, pueden
ser aceptados con un tratamiento futuro mínimo.
• Los riesgos bajos y aceptados deberían ser
monitoreados y revisados periódicamente para
asegurar que se mantiene aceptables.
• Si los riesgos no caen dentro de la categoria de
riesgos bajos o aceptables, deberían ser tratados
utilizando una o más de las opciones mencionadas a
continuación.

8
 Tratamiento de los Riesgos

• El tratamiento de los riesgos involucra identificar el

rango de opciones para tratar los riesgos, evaluar
esas opciones, preparar planes para tratamientos
de los riesgos e implementarlos.
• Las opciones, que no son necesariamente exclusivas
y apropiadas en todas en todas las circunstancias
incluyen:

9
Identificar opciones para el tratamiento de los riesgos

1.- Evitar el riesgo (aversión al riesgo)

Decidiendo no proceder con la actividad que
probablemente generaría el riesgo (cuando esto es
practicable). Evitar riesgos que pueden ocurrir
inadecuadamente por una actitud de aversión al riesgo,
que es una tendencia en mucha gente (a menudo
influenciada por el sistema interno de una
organización).
• Evitar inadecuadamente algunos riesgos puede
aumentar la significancia de otros.
10
 La aversión al riesgo tiene como resultado:

A. Decisiones de evitar o ignorar riesgos

independientemente de la información disponible y de
los costos incurridos en el tratamiento de esos riesgos.
B. Fallas en tratar los riesgos.
C. Dejar las opciones críticas y/o decisiones en otras partes.
D. Diferir las decisiones que la organización no puede evitar.
E. Seleccionar una opción porque representa un riesgo
potencial más bajo, independiente de los beneficios.

11
2. Reducir la probabilidad de la ocurrencia. Estas
pueden incluir:
A. Programas de auditoria y cumplimiento.
B. Condiciones contractuales.
C. Revisiones formales de requerimientos, especificaciones,
diseño, ingeniería y operaciones.
D. Inspecciones y controles de procesos.
E. Administración de inversiones y de cartera.
F. Mantenimiento preventivo.
G. Aseguramiento de calidad, administración y estándares.

12
3. Reducir las consecuencias (Impacto). Estas pueden
incluir:

A. Planeamiento de auditoria.
B. Arreglos contractuales.
C. Condiciones contractuales.
D. Características de diseño.
E. Planes de recupero de desastres.
F. Barreras de ingeniería y estructurales.
G. Planeamiento de control de fraudes.
H. Minimizar la exposición a fuentes de riesgo.
I. Planeamiento de la cartera.
J. Política y controles de precio.
K. Separación o reubicación de una actividad y recursos.
L. Relaciones públicas.
13
4. Transferir los riesgos.
Esto involucra que otra parte soporte o comparta parte
del riesgo. Los mecanismos incluyen el uso de contratos,
arreglos de seguros y estructuras organizacionales, tales
como sociedades y “joint ventures”

La transferencia de un riesgo a otras partes, o la

transferencia física a otros lugares, reducirá el riesgo para
la organización original, pero puede no disminuir el nivel
general del riesgo para la Sociedad.

Cuando los riesgos son total o parcialmente transferidos,

la organización que los transfiere ha adquirido un nuevo
riesgo, que la organización a la cual ha transferido el
riesgo no pueda administrarlo efectivamente.
14
5. Retener los Riesgos.
Luego de que los riesgos hayan sido reducidos o transferidos,
podría haber riesgos residuales que sean retenidos. Deberían ponerse
en practica planes para administrar las consecuencias de esos riesgos si
los mismos ocurrieran, incluyendo identificar medios de financiar
dichos riesgos.
Los riesgos también pueden ser retenidos en forma predeterminada.

15
 Documentación
• Debe documentarse cada etapa del proceso de administración de riesgos.
• La documentación debería incluir los supuestos, los métodos, las fuentes de
datos y los resultados.
• Demostrar que el proceso es conducido apropiadamente.
• Proveer evidencia de un enfoque sistemático de identificación y análisis de
riesgos.
• Proveer un registro de los riesgos y desarrollar la base de datos de
conocimientos de la organización.
• Proveer a los tomadores de decisión relevantes de un plan de administración
de riesgos para aprobación y subsiguiente implementación.
• Proveer un mecanismo y herramienta de responsabilidad.
• Facilitar el continuo monitoreo y revisión
• Proveer una pista de auditoria
• Compartir y comunicar información
• Las decisiones concernientes al alcance de la documentación pueden
involucrar costos y beneficios y deberían tomar en consideración los factores
mencionados con anterioridad.

16