TIPOS Y PLANEACIÓN DE AUDITORÍA

TIPOS Y PLANEACIÓN DE AUDITORÍA

Planeación

• La función de auditoría en informática debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parámetros lo más tangibles y mensurables posibles.

• Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Dirección, Auditoria e Informática.

• Es muy importante la comunicación entre la función de auditoría en informática y la alta dirección, así como las direcciones o gerencias de auditoría o informática.

• Para elaborar un plan maestro de auditoría que asegure un apoyo permanente y eficiente, se debe tener en cuenta:

Crear un comité de control y seguimiento

Analizar los proyectos de negocio en forma conjunta.

Establecer fechas de reuniones formales e informales

Planeación de la Auditoria:

La primera norma Relativa a la Ejecución del Trabajo es: "El trabajo debe ser técnicamente planeado y debe ejercerse una supervisión apropiada sobre los asistentes, si los hubiere".

La planificación de la auditoría comprende el desarrollo de una estrategia global con base en el objetivo, alcance del trabajo y la forma en que se espera que responda la organización de la entidad que se proponga examinar.

El alcance con que se lleve a cabo la planificación varía según el tamaño y la complejidad de la entidad, de la experiencia que el auditor tenga de la misma, del conocimiento del tipo de actividad en que el ente se desenvuelve, de la calidad de la organización y del control interno de la entidad

Al planear su trabajo, debe considerar, entre otros asuntos los siguientes:

Planes y Objetivos.

Examinar y discutir con la dirección el estado actual de los planes y objetivos.

Organización.

a) Estudiar la estructura de la organización en el área que se valora.

b) Comparar la estructura presente con la que aparece en la gráfica de organización de la empresa, (si es que la hay).

c) Asegurarse de si se concede o no una plena estimación a los principios de una buena organización, funcionamiento y departamentalización.

Hacer un estudio para ver qué acción (en el caso de requerirse) debe ser emprendida para mejorar la eficacia de políticas y prácticas.

Reglamentos.

Determinar si la compañía se preocupa de cumplir con los reglamentos locales, estatales y federales.

Sistemas y Procedimientos.

Estudiar los sistemas y procedimientos para ver si presentan deficiencias o irregularidades en sus elementos sujetos a examen e idear métodos para lograr mejorías.

Controles.

Determinar si los métodos de control son adecuados y eficaces.

Operaciones.

Evaluar las operaciones con objeto de precisar qué aspectos necesitan de un mejor control, comunicación, coordinación, a efecto de lograr mejores resultados.

Personal.

Estudiar las necesidades generales de personal y su aplicación al trabajo en el área sujeta a evaluación.

Equipo Físico y su Disposición.

Determinar si podrían llevarse a cabo mejorías en la disposición del equipo para una mejor o más amplia utilidad del mismo.

Informe.

Preparar un informe de las deficiencias encontradas y consignar en él los remedios convenientes.

Proceso de la Planeación de la Auditoria

• Definir un conjunto proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc. del negocio, con objeto de asegurar el buen manejo y administración de los recursos de la organización.

• En el negocio, los diferentes planes emanados del plan de auditoria son implantados y llevados a cabo en diferentes periodos, de acuerdo con los requerimientos y características del negocio.

• Los negocios deben tener un conjunto de políticas emanadas por la alta dirección que manifiesten la necesidad de contar con una función externa o interna del negocio que asegure la congruencia de todos lo estados financieros y contables con las operaciones y transacciones que se realicen en la empresa.

• Esta función ha de ser un área de control y aseguramiento, entidad independiente y capacitada.

Actividad Responsable de Ejecución Responsable del Seguimiento

Determinación de las áreas por auditar en el negocio Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Elaboración del Plan en Auditoria Informática Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Ejecución del Plan en Auditoría en Informática Director o Gerente de auditoría en Informática Alta Dirección del Negocio

Presentación del Plan a la alta dirección Supervisor o auditores de Informática (externos o internos) Gerente o supervisores de la función de auditoría en informática

• La función de auditoría se ocupa de la planeación, ejecución y seguimiento de las

Políticas, controles y procedimientos establecidos por la alta dirección.

Tareas Básicas del proceso de planeación de auditoría en informática y responsabilidades

Proceso detallado de la planeación de Auditoria Informática

Depende del diagnóstico previo que haga el auditor en informática de la situación que prevalece en cada una de las áreas o servicios de la función de informática.

El diagnóstico de la situación informática previo, deberá ser breve y objetivo.

El objetivo principal es determinar las áreas de mayor riesgo de la función de informática con base a diferentes criterios.

Actividades sugeridas para el proceso

Elaboración, Documentación, Autorización y Difusión Formal del Plan de Auditoría en Informática.

Identificar el nivel de Riesgo de cada uno de los elementos que integran la función de informática (diagnóstico de la situación actual).

Las áreas a ser diagnosticadas pueden variar de acuerdo al tamaño y estructura del negocio.

Algunos Servicios:

Sistemas de Información en operación.

Administración de Hardware y software.

Desarrollo de Sistemas de Información.

Soporte a Usuarios (capacitación, asesoría, etc.)

Administración de Telecomunicaciones.

Investigación y desarrollo tecnológico.

Otros.

Consideraciones a tener en cuenta para efectuar el diagnóstico de la situación actual:

El auditor en informática ha de conocer de manera aceptable los aspectos relativos a auditoría e informática que deben tener cada una de las áreas de Informática.

Se apoyará en la visión de los principales Usuarios del negocio y del responsable de Informática.

Diagnostico de la Situación actual de los SI en Operación.

Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sus usuarios principales.

Obtener comentarios positivos y negativos de los usuarios de cada SI.

Registrar fallas más comunes del Sistema de computo.

Anotar fecha de liberación de Sistemas y su última auditoría.

Revisar la configuración del equipo donde fue instalado.

Se estudia su integración a otros SI.

Evaluar otros aspectos de interés del auditor.


Debilidades que pueden motivar la Auditoria de un SI

Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento.

Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.

Clasificación del Nivel de Riesgo que Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambiente tecnológico confiable, seguro y eficiente.

Equipos o Paquetes de Sw.

Mantenimiento de la tecnología del Equipo y Sw.

Diversos factores motivan la intensidad de la auditoria de Hw.

Evaluación del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios

Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos.

Información de apoyo: Organigramas, descripción de puestos y políticas relacionadas a productos y servicios de informática.

Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.

Otros Aspectos: Telecomunicaciones, redes, automatización de procesos.

Estos se evalúan en base a estándares internacionales.

Considerar la proyección de uso que piensa darle el negocio a corto, mediano y largo plazo.

Tener en cuenta comentarios de personal especializado en el área.

Clasificación de Riesgos según criterios de la Función de Auditoría en Informática

Cumplimiento de Estándares.

Cumplimiento formal de políticas y procedimientos.

Grado de Satisfacción: Alta Dirección y personal usuario.

Prioridades de la alta dirección.

Prioridades de la función de auditoría en informática.

Otros de interés del auditor.

Elaboración de una matriz de Riesgos

Muestra las áreas de la función de informática susceptibles de auditoría.

Resultados en forma descendente.

Entidades o áreas con mayor y menor riesgo.

Elaboración de un Plan consolidado de Proyectos.

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes, …)

Requerimientos (recursos, apoyo, capacitación, ...)

Revisión de la Matriz de Riesgos

Pronosticar proyectos de auditoría en informática con la gerencia.

Visto bueno antes de presentarlo a la alta dirección.

Se cubren los siguientes Aspectos:

Área por auditar, prioridad, Fechas de inicio y final, involucrados, responsables, fechas de revisión y otros.

Presentación del plan de proyectos a la alta dirección.

Tiene como finalidad:

Conocer los proyectos de auditoría informática.

Verificar contemplación de áreas fundamentales.

Compromiso de la alta dirección con los auditores.

Obtener la aprobación del plan de auditoría en informática por parte de la alta dirección.

Realización de cada proyecto de acuerdo con el plan de Auditoría en Informática.

Ejecución de actividades de seguimiento.

Revisión formal de cada proyecto.

Integración y formalización de Equipos de Trabajo.

Equipos Integrados por:

Gerente (s)  de las áreas usuarias que se evaluarán.

Gerente de la Función de Informática.

Líder del proyecto de la función de AI. Planeación

Proceso de Planeación, pilar de todas las actividades que se ejecutan en la organización

Pérdidas Irreparables - Decepciones

“Planear es una pérdida de tiempo y un recipiente de buenos deseos”.

Si no se planea el trabajo, es lógico pensar que tampoco se planean las anomalías y decepciones que dicho trabajo acarreará.

Problema, proyectos mediano-largo plazo:

 Falta de definición de función, responsabilidad, tiempos ni resultados.

“Dejemos de depender de la buena suerte”

No se vive de buenos deseos sino de metas claras, medibles y factibles.

Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cuánto invertir y cuánto se obtendrá de beneficio; plazos claros y establecidos.

Un proceso formal contiene los siguientes elementos:

Etapas

Tareas

Actividades

Costos/Beneficios

Resultados esperados por actividad, tarea y etapa

Responsables de cada actividad ó tarea

Involucrados ó participantes

Revisiones Formales e informales

Técnicas para ejecutar actividades

Herramientas para realizar las actividades del proyecto

Requisitos mínimos para que la planeación en auditoría informática sea formal, permanente y exitosa:
 Involucramiento directo del auditor en informática en el proceso de planeación estratégica
 Requerimientos
 Tiempos
 Prioridades de cada proyecto
 Compromiso del responsable de auditoría para implementar un esquema de control y seguridad preventivo
y completo.
 Participación en el proceso de planeación de auditoría tradicional, para hacer control y medidas
correctivas. 
 Supresión de la participación:
 Riesgos de no planear la auditoría
 Responsables de tareas inadecuados
 Falta de compromiso de los involucrados en el proyecto
 Aparición de costos imprevistos
 Retrasos en la obtención de beneficios
 Mala calidad en los resultados
 Rotación del personal clave
 Inadecuada segregación de tareas y actividades, Etc. 
 Aprobación formal de la Alta Dirección del informe final de la Auditoría en Informática realizada
Se dará seguimiento oportuno y formal cada una de las recomendaciones contenpladas en el informe
Aplicación de políticas y controles estandarizados internacionalmente.
 Implantación del proceso de planeación de auditoría en informática, permanente. 

 Tipo de proyectos con responsables e involucrados sugeridos

Tipo de Proyectos	Responsables	Involucrados
Auditoría
Financiera	Auditores internos o externos	Áreas de la empresa
Fiscal	Auditores internos o externos	Áreas de la empresa
Operativa	Auditores internos o externos	Áreas de la empresa
Auditoría en informática
Auditoría a sistemas de información	Auditores en informática internos o auditores externos	Informática, usuarios de los sistemas de información
Auditoría en seguridad	Auditores en informática internos o auditores externos	Informática, áreas usuarios de los recursos de informática
Auditoría en el mantenimiento de Hw y Sw	Auditores en informática internos o auditores externos	Áreas de operación informática y áreas usuarias

Metodología

Planificación 

Concentración de objetivos

Áreas que cubrirá

Personas de la organización que se involucrarán en el proceso de auditoría

Plan de trabajo:

Tareas 

Calendario 

Resultados parciales

Presupuesto

Equipo auditor necesario

Desarrollo de la auditoría

Entrevistas

Cuestionarios

Observación de las situaciones deficientes

Observación de los procedimientos

Fase de diagnóstico

Meditación sin contacto con la empresa auditada

Factor decisivo será la experiencia del equipo auditor

Se deben definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución

y mejora

Presentación de conclusiones:

Se han de argumentar y documentar lo suficiente para que no  puedan ser  refutadas durante la

discusión

Es especialmente delicada por el rechazo que puede provocar en la organización auditada. Se

debe esmerar el tacto

En ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor

informar a la dirección de la forma más objetiva posible.

Formación del plan de mejoras

Resumen de las deficiencias encontradas

Recogerá las recomendaciones encaminadas a atenuar las deficiencias detectadas

Medidas a corto plazo: mejoras en plazo, calidad, planificación o formación

Medidas a medio plazo: mayor necesidad de recursos, optimización de programas o

documentación y aspectos de diseño

Medidas a largo plazo: cambios en políticas, medios y estructuras del servicio

Toda organización se ordena mediante:

Plan estratégico

Plan táctico

Planes operacionales

Objetivos de la auditoría informática:

Qué planes del CPD están coordinados con los planes generales

Revisar los planes de informática

Contrastar su nivel de realización

Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación

PLAN DE CONTINGENCIAS

PLAN DE CONTINGENCIAS

¿…Por qué se necesita un Plan de Contingencia?

A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos.

Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total.

"¿Por qué se necesita un plan de contingencia para desastres si existe una póliza de seguro para esta eventualidad?“

La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organización en caso de una calamidad, no servirá para recuperar el negocio. No ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.

Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan Estratégico de Seguridad para una organización.

Imagínese una situación que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la pérdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destrucción de equipos vitales del sistema,

¿Cómo se manejaría semejante catástrofe?

Si Ud. se ve en esta situación y lo único que puede hacer es preguntarse

"¿Y ahora qué?"

¡Ya es demasiado tarde!

La única manera efectiva de afrontar un desastre es tener una solución completa y totalmente probada para recuperarse de los efectos del mismo.

Plan de Contingencia:

Hoy por hoy, la información es uno de los principales activos que la empresa debe cautelar mediante el desarrollo de un plan de contingencia, que permita el adecuado funcionamiento del negocio frente a un cese prolongado del servicio informático.

El objetivo del plan no es evitar los riesgos, sino minimizar el impacto que las incidencias podrían producir en la organización.

La alta dirección debe tomar conciencia que el desarrollo y la implantación de planes de contingencia comprende toda la organización, pues se trata de una situación de negocios y no puramente informática.

¿Qué es un desastre?

Se puede considerar como un desastre la interrupción prolongada de los recursos informáticos y de comunicación de una organización, que no puede remediarse dentro de un periodo predeterminado aceptable y que necesita el uso de un sitio o equipo alterno para su recuperación.

Ejemplos obvios son los grandes incendios, las inundaciones, los terremotos, las explosiones, los actos de sabotaje, etcétera.

Estadísticas recientes sobre los tipos más comunes de desastres que ocurren muestran que el terrorismo, los incendios y los huracanes son las causas más comunes en muchos países.

La alta gerencia tiene que decidir el periodo predeterminado que lleva una interrupción de servicio de la situación de "problema" a la de "desastre". La mayoría de las organizaciones logran esto llevando a cabo un análisis de impacto en el negocio para determinar el máximo tiempo de interrupción permisible en funciones vitales de sus actividades.

Plan de Contingencia:

La reanudación de las actividades ante una calamidad puede ser una de las situaciones más difíciles con las que una organización deba enfrentarse. Tras un desastre, es probable que no haya posibilidades de regresar al lugar de trabajo o que no se disponga de ninguna de los recursos acostumbrados. Incluso, es posible que no se pueda contar con todo el personal. La preparación es la clave del éxito para enfrentar los problemas.

No existe ninguna manera costeable para protegerse completamente contra todo tipo de Riesgos, particularmente amenazas naturales a gran escala que pueden arrasar zonas extensas. Como consecuencia, siempre se tiene que tolerar algún riesgo residual. La decisión sobre el alcance del desastre para el que habrá de prepararse debe tomarse en los más altos niveles de la empresa.

“Un plan de contingencia es el proceso de determinar qué hacer si una catástrofe se abate sobre la empresa y es necesario recuperar la red y los sistemas.”

Desdichadamente, un plan de contingencia es como el ejercicio y la dieta: más fácil pensar en ello que hacerlo. Con la cantidad de trabajo que la mayoría de los gerentes tienen, el plan de contingencia tiende a dejarse para una ocasión posterior. Uno de los problemas asociados al plan de contingencia es saber por dónde empezar.

METODOLOGÍA PARA EL PLAN DE CONTINGENCIA

El diseñar e implementar un plan de contingencia para recuperación de desastres no es una tarea fácil; puede implicar esfuerzos y gastos considerables, sobre todo si se está partiendo de cero. Una solución comprende las siguientes actividades:

Debe ser diseñada y elaborada de acuerdo con las necesidades de la empresa.

2. Puede requerir la construcción o adaptación de un sitio para los equipos computacionales.

3. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y éstos deben ser compatibles con las operaciones existentes. Se hará participar a personal de muchos departamentos diferentes, el cual debe trabajar en conjunto cuando se desarrolle e implemente la solución.

4. Implicará un compromiso entre costo, velocidad de recuperación, medida de la recuperación y alcance de los desastres cubiertos.

Principales actividades requeridas para la planificación e implementación de una capacidad de recuperación de desastres.

1. Identificación de riesgos

2. Evaluación de riesgos

3. Asignación de prioridades a las aplicaciones

4. Establecimiento de los requerimientos de recuperación

5. Elaboración de la documentación

6. Verificación e implementación del plan

7. Distribución y mantenimiento del plan

1. Identificación de Riesgos

La primera fase del plan de contingencia, el análisis de riesgos, nos sitúa en el lugar de un asesor de una compañía de seguros. En esta fase, la preocupación está relacionada con tres simples preguntas:

- ¿qué está bajo riesgo?,

- ¿qué puede ir mal? Y

- ¿cuál es la probabilidad de que suceda?

2. Evaluación de Riesgos:

Es el proceso de determinar el costo para la organización de sufrir un desastre que afecte su actividad. Si una inundación impidiera la actividad comercial durante cinco días, la compañía perdería cinco días de ventas, además del deterioro físico de los edificios e inventario. En el caso de los sistemas informáticos, la preocupación principal es comprender la cantidad de pérdida financiera que puede provocar la interrupción de los servicios, incluyendo los que se basan en las redes.

Los costos de un desastre pueden clasificarse en las siguientes categorías:

- Costos reales de reemplazar el sistema informático

- Costos por falta de producción.

- Costos por negocio perdido

- Costos de reputación.

3. Asignación de prioridades a las aplicaciones

Después de que acontezca un desastre y se inicie la recuperación de los sistemas, debe conocerse qué aplicaciones recuperar en primer lugar. No hay que perder el tiempo restaurando los datos y sistemas equivocados cuando la actividad empresarial necesita primero sus aplicaciones esenciales.

Esto implica la necesidad de determinar por anticipado cuáles son las aplicaciones fundamentales del negocio. Si la empresa es como la mayoría, se tendrán aplicaciones "muy importantes" dependiendo de a quién se le pregunte. El departamento de recursos humanos afirmará que el sistema de nóminas es el más importante, el departamento de ventas dirá que es su sistema de entrada de pedidos, el departamento de producción insistirá en su control de inventario y el departamento de compras asignará el papel de más importante a su sistema de facturación. Desgraciadamente, no todos estos sistemas pueden ser el más importante; por lo tanto, es fundamental que la dirección ayude a determinar el orden en que los sistemas serán recuperados.

Una vez conocido lo que se va a restaurar, debería disponerse de todo lo necesario para la disponibilidad de tales aplicaciones. Un sistema de aplicación en una red está compuesto por los sistemas servidores, donde las aplicaciones almacenan sus datos, los sistemas de estaciones de trabajo que los procesan, las impresoras o fax empleados para entrada/salida, la red que interconecta todo, y el software de las aplicaciones. Las aplicaciones cliente/servidor o distribuidas añaden un nivel extra de complejidad al requerir que distintas partes de la aplicación residan en máquinas separadas.

4. Establecimiento de los requerimientos de recuperación

La clave de esta fase del proceso de elaboración del plan de migración es definir un periodo de tiempo aceptable y viable para lograr que la red esté de nuevo activa. Tal y como se ha planteado en la sección anterior, la preocupación básica debería ser disponer de las aplicaciones más importantes en primer lugar. El personal directivo de la organización deseará saber cuándo estarán sus aplicaciones funcionadas para planificar las actividades de la compañía.

5. Elaboración de la documentación:

Crear un documento que mucha gente pueda tener como referencia es quizás lo más difícil del plan de contingencia. No hay que engañarse: implicará un esfuerzo significativo para algunas personas, pero ayudará a aprender cosas sobre el sistema y puede que algún día salve la empresa.

Los recursos necesarios para escribir y mantener un plan de contingencia representan más de lo que puede realizarse en ratos libres y después de horas de oficina

Contenido del Plan de Contingencia:

El plan de contingencia debe intentar definir las cinco áreas siguientes:

1. Listas de notificación, números de teléfono, mapas y direcciones

2. Prioridades, responsabilidades, relaciones y procedimientos

3. Información sobre adquisiciones y compras

4. Diagramas de las instalaciones

5. Sistemas, configuraciones y copias de seguridad

6. Verificación e implementación del plan:

Una vez redactado el plan, hay que probarlo. Hay que estar seguro de que el plan va a funcionar. Para ello, se debe ser escéptico sobre el propio trabajo, de manera que pueda uno probarse a sí mismo que funciona. Psicológicamente, esto no es fácil porque con toda probabilidad se ha invertido una gran cantidad de tiempo y energía personal en este proceso, aunque lo mejor sería, si es posible, situarse de manera imparcial ante la confiabilidad del plan. Por consiguiente, han de realizarse las pruebas para encontrar problemas, no para verificar que el plan funciona. Si existen errores en la información, tómese nota de ellos y corríjase el plan.

Revísese cada día la parte del plan relacionada con las operaciones de copias de seguridad verificando la finalización correcta de las mismas. Además, supervise esto asegurándose de que algunas personas de la organización saben realizar copias de seguridad adecuadamente, y comprobar su finalización.

7. Distribución y mantenimiento del plan

Por último, cuando se disponga de un plan definitivo ya verificado, es necesario distribuirlo a las personas que necesitan tenerlo. Inténtese controlar las versiones del plan, de manera que no exista confusión con múltiples versiones. Manténgase una lista de todas las personas y ubicaciones que tienen una copia del plan. Cuando se actualice el plan, sustituya todas las copias y recoja las versiones previas.

El mantenimiento del plan es un proceso sencillo. Se comienza con una revisión del plan existente y se examina en su totalidad, realizando cambios a cualquier información que pueda haber variado. En ese instante, se debe volver a evaluar los sistemas de aplicación y determinar cuáles son los más importantes para la organización. Las modificaciones a esta parte del plan causarán modificaciones consecutivas a los procedimientos de recuperación.

RIESGOS DE OPERACIÓN

Riesgos de Operación: Es la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos (Según SBS)

evento externo: Un terremoto

Una definición aceptada universalmente

Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos

El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.

El riesgo de pérdidas originadas por un procesamiento transaccional.

Adminstración de Riesgos de Operación: Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en la planeación estratégica y en todos los niveles de la organización, diseñado para identificar los eventos potenciales que puedan afectarla y administrar los riesgos de acuerdo a las políticas establecidas de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización

PERMANECER EN EL NEGOCIO

La Administración de Riesgos de Operación debe asegurar, que:

No se pierdan oportunidades

Mejore las ventajas competitivas. ventaja competitiva es una ventaja que una compañía tiene respecto a otras compañías competidoras

inca coca cola por la formula y no va poder igualar

Se realicen menos acciones correctivas.

¿Qué tópicos abarca el Riesgo de Operación?

PÉRDIDAS PORCENTUALES POR TIPO DE RIESGO

LOS ANÁLISIS SUGIEREN QUE LOS R.O. SON MAYORES QUE LO ESTIMADO EN EL PASADO

PIRÁMIDE DEL FRAUDE: VALIDO PARA LA GESTIÓN DE R.O.P

COSTOS DE NO GESTIONAR RIESGOS DE OPERACIÓN (IMPACTOS POSIBLES)

Responsabilidades legales

Interrupción del negocio

Pérdidas financieras

Costos financieros

Perdida de la reputación

Daño a las personas, y al entorno

Sanciones regulatorias

Suspensión del servicio al cliente

Salir del negocio

SE DEBEN ASUMIR RIESGOS

• Por la naturaleza de su actividad las empresas financieras asumen riesgos que pueden conllevar perdidas económicas

• Sin riesgos no hay actividad

• Por lo tanto, deben establecer mecanismos que permitan:

EXISTE EL RIESGO 0 ?

Elementos que Originan los Riesgos de Operación:

PERSONAL

Fraude interno y/o errores

Fraude a través del computador

Mal uso de información confidencial del cliente

SISTEMAS

Fallas de sistemas

Hardware

Software

Fallas no intencionales de operación

EVENTOS EXTERNOS

Satisfacción del cliente

Riesgo regulatorio

Servicios provistos por terceros

Fraude externo

Daño a los recursos físicos

PROCESOS

Prácticas de empleo y seguridad del lugar de trabajo.

Fallas de comunicación

Inadecuados reportes

Errores de entrada de datos.

Caso de Riesgo de Operación

Procesos:

Riesgos Típicos:

Definición inapropiada de requerimientos

Inadecuados formatos para ingreso de datos

Demora en la implementación del nuevo producto en el sistema.

Insuficiente capacidad de personas para hacer frente a volumen de nuevas operaciones.

Falta de reportes apropiados

Términos y cláusulas inadecuadas del contrato.

Impacto :

Servicios al cliente

Publicidad

Reputación

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

ADMINISTRACIÓN DE RIESGOS DE NEGOCIO

En la actualidad, las organizaciones están enfocando los esfuerzos corporativos en la búsqueda de nuevas opciones para incrementar el valor para sus accionistas.

El riesgo genera oportunidades; las oportunidades generan valor y el valor se convierte en mejoras para el negocio y los accionistas.

Se puede resaltar que en la mayoría de las industrias y organizaciones, está reconociendo que los riesgos no son solamente peligros a ser evadidos sino que, en muchos casos, son oportunidades a ser asumidas. “El riesgo como tal no es malo, lo malo es el riesgo mal manejado, mal entendido, mal valorizado, no planeado” asegura Suzanne Labarage, CRO en el Royal Bank of Canadá.

Un enfoque orientado a lo integral, incorporado y con visión de futuro, ayuda a la organización a administrar sus riesgos claves de negocio y aprovechar sus oportunidades para maximizar el valor para los accionistas y del negocio como un todo.

Algunos modelos actuales sostienen que la administración de los riesgos debe estar intrínsecamente ligada a la estrategia del negocio, la cual incluye la visión, misión y objetivos ya establecidos; así como los procesos para definir sus operaciones de mayor importancia y sus filosofías, políticas, planes e iniciativas de crecimiento y desarrollo.

ENTORNO ACTUAL:

En la medida en la que los riesgos cambian y se incrementen, las administraciones de varias industrias buscan asegurar que se esté considerando adecuadamente tanto los riesgos como el monto de riesgos – comparado con el apetito de riesgos de sus unidades o divisiones en la organización y comparado con otras organizaciones dentro de sus mismos mercados e industria ó con la competencia. La tolerancia al riesgo de cada organización es única y varia de acuerdo a la cultura organizacional, así como a los factores externos. Un aspecto crítico de la responsabilidad de la administración es determinar qué riesgos serán prioridad y después reevaluar periódicamente esa elección conforme a las circunstancias.

ADMINISTRACIÓN DE LOS RIESGOS:

Es el término aplicado a un método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o proceso de una forma que a las organizaciones minimizar pérdidas y maximizar oportunidades, es decir, es tanto identificar las oportunidades como también evitar o mitigar las pérdidas.

ESTABLECER EL CONTEXTO:

Establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Deberían establecerse criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.

IDENTIFICAR RIESGOS:

Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.

ANALIZAR RIESGOS:

Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias.

Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de Riesgo.

EVALUAR RIESGOS:

Comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración.

Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento.

TRATAR RIESGOS:

Aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración especifico que incluya consideraciones de fondo.

MONITOREAR Y REVISAR:

Monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo.

COMUNICAR Y CONSULTAR:

Comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.

ADMINISTRACIÓN DE LOS RIESGOS:

Una vez que se ha hecho un análisis de los riesgos existente en la organización, para algunos de ellos no se requerirá tomar acciones inmediatas, sin embargo cuando exista un riesgo con una probabilidad alta de ocurrencia y con un alto impacto, la administración deberá tomar acciones inmediatas para mover ese riesgo a un rango aceptable e incluso eliminarlo, basándose en un análisis de riesgo / beneficio para la organización.

Habiendo evaluado y clasificado sistemáticamente los riesgos y tal vez habiendo tratado de entender su impacto, muchas organizaciones pueden determinar qué riesgos deben ser administrados a nivel corporativo y cuáles riesgos deben ser administrados en los niveles medios dentro de la organización.

La administración de riesgo centralizada tiende a enfocarse a los riesgos que afectan el logro de los objetivos y estrategias claves de la organización y que afectan significativamente casi todas las funciones y casi todos los procesos (ejemplo; prestigio, imagen, etc.). La responsabilidad de estos riesgos debe recaer en la dirección general y/o consejo superior, los otros riesgos que podrían ser administrados de manera centralizada son aquéllos que requieren habilidades especializadas y que no pueden ser trabajados al nivel de división, o aquellos que requieran de contratación de servicios externos.

Los riesgos que deben administrarse de manera descentralizada podrían hacerse al nivel de división o proceso, aquéllos que son importantes únicamente en un proceso particular, pero que no afectan a la organización en la implementación exitosa de sus estrategias generales.

Acciones a seguir derivadas de la Evaluación de Riesgo:

La evaluación de riesgo ha probado ser un proceso altamente útil para identificar, categorizar y evaluar riesgos críticos, con base en su probabilidad de ocurrencia y magnitud de impacto. El punto clave que ha surgido, sin embargo, es ¿qué hacer con la información, cuando la evaluación de riesgo ha sido terminada?

En algunos casos, las organizaciones se encuentran con que el proceso ha identificado tantos riesgos que no es posible darle seguimiento a todos, y en otros casos, se encuentra con que no se ha podido trasladar la evaluación de riesgo a pasos de acción específicos - en el contexto de administración de apetito de riesgo – que aporten valor a la organización.

OPTIMIZACIÓN DE RIESGOS:

Comprende el concepto de alternativas; es decir, es un proceso repetitivo, mientras una táctica es implementada, los riesgos deben ser re - evaluados. Siendo que la re - evaluación no se puede hacer por cada acción, las organizaciones han empezado a dar surgimiento a las acciones relacionadas con los riesgos más importantes y materiales de la organización.

MEDICIÓN Y MONITOREO PARA INCREMENTAR VALOR:

La medición y el monitoreo se vuelven acciones necesarias, como un medio continuo de entendimiento y entrega de reportes para analizar el verdadero impacto de los riesgos. Las organizaciones deben definir los sistemas de monitoreo y medición que mejor les sirvan a sus estilos de trabajo y características de administración.

LA ESTRATEGIA Y LA ESTRUCTURA DE RIESGOS

La estrategia de riesgo proporciona los lineamientos para las actividades dentro de la organización; es la columna vertebral para dar a la organización la cultura del negocio central. La estrategia de riesgo debe llevarse a cabo con base en la estructura de riesgo, que engloba los roles y responsabilidades para la administración de riesgos.

Estas estructuras definen responsabilidades y líneas que reporten información, las cuales facultan a los administradores a actuar bajo límites relacionados con el apetito de riesgo.

La comunicación de la estrategia de riesgo es esencial y debe estar diseñada para asegurar que todos los empleados e inversionistas entiendan la misión, visión y objetivos de la organización.

Los líderes deben demostrar claramente la relevancia de la estrategia de la administración de riesgos, proporcionando historias de éxito, para maximizar valor en el proceso de la comunicación.

Habiendo establecido la responsabilidad y confianza, los lideres deben también ser cuidadosos al asegurarse que todo el personal de la organización tenga las habilidades necesarias para la ejecución y monitoreo de la administración de riesgo.

Comparación del tratamiento del riesgo, si existe una adecuada administración del mismo.

EN EL PASADO

Riesgos considerados individualmente

Identificación y evaluación del riesgo

Enfoque en todos los riesgos

Mitigación de riesgos

Limite de riesgo

Riesgos que no tienen responsables

Cuantificación de riesgos inconsistentes

Riesgo no es mi responsabilidad

HOY EN DÍA

Riesgos en el contexto de la estrategia

Desarrollo del portafolio del proyecto

Enfoque en los riesgos críticos

Optimización de riesgo

Estrategia del riesgo

Responsabilidad sobre riesgo definida

Monitoreo y medición

Riesgo es responsabilidad de todos

CONCLUSIONES

La administración de riesgo ayuda a la organización a tener más clara su situación tanto interna como externamente, ya que se convierte en un medio de ayuda para que la organización cambie su enfoque de respuesta, y pueda reaccionar de una manera proactiva y no reactiva hacia los eventos que puedan surgir. La evaluación de riesgos en algunos casos puede salvar a las organizaciones de irse a la quiebra, ya que protege contra sorpresas.

Al hacer una evaluación constante de riesgos se constituye en valor organizacional que permite el éxito futuro de la organización en un entorno cambiante y competitivo, obteniendo una mejora en el desarrollo y desempeño de la organización.

Identificar, optimizar y administrar el portafolio de riesgos permite a la organización tener un enfoque claro para mejorar la asignación de recursos; estabiliza los resultados y encuentra nuevas oportunidades para mejorar los aspectos críticos del negocio, obteniendo beneficios económicos medibles

La administración de riesgos permite adoptar uno de los elementos más importantes que apoyan la transparencia, certidumbre a terceros y confianza en los inversionistas. Da respuesta a las necesidades del consejo superior y al comité de auditoria, se reenfoca de este modo el concepto de auditoria interna, el plan y la ejecución de las auditorias.

“Si logramos los objetivos del negocio, seremos muy exitoso; si no los logramos, una de la razones será una deficiente Administración de Riesgos”.