Etapa 1.

Establecimiento del Contexto

El establecimiento del contexto permite identificar condiciones tanto internas de TI que le corresponde a
Indra y como externas que corresponden a las empresas, que pueden generar riesgos que afecten el
cumplimiento del objeto del contrato.

 Las situaciones externas o del entorno de las empresas pueden ser de carácter social, cultural,
económico, tecnológico, político o legal, bien sean internacionales, nacionales, regionales o locales,
según sea el caso de análisis.
 Las situaciones internas de TI están relacionadas con el gobierno, funciones y responsabilidades,
niveles de autoridad, políticas, objetivos, cultura organizacional, el cumplimiento de los planes y
programas, los sistemas de información, los procesos, normas, estándares y procedimientos,
recursos humanos y/o económicos con los que disponen las empresas o Indra.

Para llevar a cabo el establecimiento del contexto tanto interno como externo, el gestor de riesgos se reúne
con los líderes de servicio, para revisión y posterior análisis de los siguientes aspectos:

Etapa 2. Identificación de Riesgos

1. Se debe realizar la identificación de los eventos que consiste en encontrar o identificar aquellas fuentes
de riesgo que podrían afectar el cumplimiento del objeto del contrato, con base en el análisis de
contexto interno y externo realizado en la etapa previa. Se debe hacer un listado de eventos que nos
puedan afectar. Ejemplo: Puede ser tomado de los incidentes mayores.
2. Redacción del Riesgos: Debe estar escrito en un lenguaje común y comprensible, debe responder a la
pregunta de ¿Qué pérdida se generaría si ocurre el riesgo?
3. Identificación de causas, para la redacción de las causas ¿Por qué podría suceder?
4. En la redacción de las consecuencias, debemos responder a la pregunta de ¿Cuáles podrían ser los
efectos si sucede?
5. Debemos identificar la torre y el servicio al que se encuentra relacionado el riesgo (Infraestructura,
seguridad, aplicaciones, transversal) – de antivirus, de almacenamiento.

Etapa 3. Análisis y Valoración de Riesgos

Una vez concluida la etapa de identificación, se procede con análisis y evaluación de los riesgos
identificados, mediante la estimación de la probabilidad de ocurrencia y el impacto de sus consecuencias. Es
importante en esta etapa cuantificar económicamente la posible materialización de cada riesgo del nuevo
contrato, con el propósito de obtener información de entrada para la toma de decisiones, para el
establecimiento asertivo del nivel de riesgo y las acciones a implementar para su control.

Valoración de Riesgos por probabilidad: Representa la posibilidad de ocurrencia, oportunidad que algo
suceda, que ocurra un evento o resultado específico, los niveles de valoración de Riesgos de riesgo se
definen en una tabla:
Tabla 2. Niveles y Criterios de Probabilidad
N NIVELES FRECUENCIA Probabilidad
5 Muy Alto Puede presentarse más de una vez al año Mayor que el 90 %
4 Alto Puede presentarse al menos una vez al año entre 61 % y el 90 %
3 Medio Puede presentarse de una a cuatro veces en un lustro entre 41 % y el 60 %
2 Bajo Puede presentarse al menos una vez en un lustro entre 11 % y el 40 %
1 Muy Bajo Puede presentarse al menos una vez en una década Menor a 10 %

Valoración de Riesgos por impacto: Representa la magnitud de las consecuencias potenciales o los efectos
que se pueden presentar, de acuerdo con los criterios definidos en el slide de tipos de impacto.

1. Personas o humano
2. Financiero
3. Comercial
4. Imagen
5. Operacional

Tabla 1. Niveles de impacto

Muy Bajo Bajo Medio Alto Muy alto
Criterios
1 2 3 4 5
Afecta a un grupo mayor de 10
No afecta a las personas Afecta a un grupo de 1 a 3 Afecta a un grupo de 1 a 3 Afecta a un grupo de 3 a 10
Personas personas y pueden producirse
en su integridad personal personas y pueden producirse personas y pueden producirse personas y pueden producirse
Riesgos relacionados con lesiones con incapacidad
pero si en el ejercicio de lesiones con incapacidad lesiones con incapacidad lesiones con incapacidad
lesiones y accidentalidad superiores a 1 mes o perdidas
su trabajo en un día menores a 3 días menores a 1 semana menores a 1 mes
fatales

Estimar el nivel de Riesgo Absoluto: De acuerdo con la estimación de la probabilidad e impacto para cada
riesgo, según los criterios definidos, se ubica en la tabla de valoración de riesgos al combinar impacto y
probabilidad, según el resultado se ubican en los diferentes niveles. Los riesgos se evalúan en dos fases,
desde la perspectiva de nivel de riesgo absoluto y nivel de riesgo controlado. El primero por la naturaleza del
riesgo y el segundo considera la intervención o efecto de los controles sobre el riesgo.

La segunda evaluación la realizamos en la fase de tratamiento del riesgo:

Además de los criterios definidos de probabilidad e impacto para la tabla de valoración, el análisis o
evaluación de los riesgos, también está determinado en niveles de Apetito de Riesgo, Tolerancia y Capacidad.
Apetito de Riesgo: La cantidad y tipo de riesgo que una organización considera aceptable en la búsqueda de
sus objetivos.
La tolerancia al riesgo: es como un límite que se establece sobre cuánto riesgo está dispuesta a aceptar una
organización. Es como decir cuánto están dispuestos a arriesgar sin poner en peligro el logro de los objetivos.
Es como establecer un margen seguro dentro del cual la organización se siente cómoda operando, pero sin
exponerse demasiado al riesgo.
Capacidad: Se refiere a la capacidad de una organización para tolerar o manejar el riesgo en función de sus
recursos, objetivos y tolerancia al riesgo. En otras palabras, es la habilidad de una organización para
enfrentar y gestionar los riesgos.
Conforme sea el nivel del Riesgo, el gestor de riesgos junto con los responsables de los riesgos, definen las
estrategias de tratamiento:
Niveles de riesgo versus estrategias de tratamiento
Nivel Extremo - (Evitar, mitigar): Se ubica fuera de la capacidad de riesgo de la empresa, por lo que debe
estar encaminado a evitar el riesgo, dado que corresponde a un apetito de tolerancia CERO donde la
estrategia de respuesta debe consistir en cambiar la forma de actuar o no proceder a la actividad que origina
el riesgo. Sin embargo, la mitigación también se considera dentro de las respuestas al riesgo.
Nivel Alto - (Evitar, mitigar, aceptar, transferir): El nivel alto se ubica dentro de la capacidad de riesgo de la
empresa, por lo tanto, su tratamiento debe estar dirigido a evitar, mitigar, aceptar o transferir.

Nivel Moderado - (Aceptar, mitigar, transferir): si se ubica dentro de la tolerancia al riesgo de la empresa, por
lo tanto, su tratamiento debe estar encaminado a aceptar, mitigar y transferir el riesgo,

Nivel Bajo: (Asumir), si se ubica dentro del apetito de riesgo de la empresa, por lo tanto, su tratamiento
puede estar encaminado a asumir el riesgo

Evitar el Riesgo: Consiste en eliminar la amenaza eliminando la causa o renunciando a realizar una actividad.
Mitigar el Riesgo: Implica tomar medidas encaminadas a reducir la probabilidad, el impacto o ambos.
Transferir el Riesgo: Reduce su efecto a través de la transferencia de pérdidas a otras organizaciones, como
en el caso de los contratos de seguros o a través de otros medios, que permiten distribuir una parte del
riesgo con otra entidad.
Aceptar el riesgo: esta respuesta se aplica a aquellos eventos en los que: - Las acciones no pueden ser
definidas, ya que no están bajo el control de la organización, y su acción debe estar dirigida a la definición de
planes de contingencia en caso de que se materialicen.
–Se identifica inicialmente como bajo, y dado que no tienen mayor impacto en el proyecto, se decide no
definir e implementar acciones de respuesta.

Etapa 4. Definición de Controles

Las actividades de control son las acciones, políticas, indicadores y procedimientos que apoyan el
aseguramiento de las estrategias de tratamiento a los riesgos. Son acciones que modifican el riesgo. Se
incluyen una serie de actividades tan diversas tales como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos, entre otros.
✓ El control debe estar alienado al riesgo.
✓ Teniendo en cuenta que el control es una actividad, ésta debe estar dentro del alcance del proceso
✓ Se debe asegurar que exista una adecuada segregación de funciones en su ejecución.
✓ Debe estar soportado con evidencia.
Se debe definir: la periodicidad de implementación, la actividad concreta a efectuar.
Se define la fecha de inicio y fin de implementación. De igual forma, el responsable del control.
Se define el estado de la implementación: Activo: Este estado aplica cuando se han presentado las
condiciones para la implementación del control.
Inactivo: aplica cuando no se han presentado las condiciones para la implementación del control, dado por
condiciones ajenas a las empresas.
Tipo de control: Preventivos: aquellos controles que actúan para eliminar las causas del riesgo, con el fin de
prevenir su ocurrencia o materialización.
Correctivos: aquellos controles que permiten el restablecimiento de la actividad después de ser descubierto
un evento no deseable.
Detectivos: aquellos controles que permiten detectar el evento en el momento que se presenta. Para un
mismo riesgo, se pueden definir controles tanto preventivos como correctivos y/o detectivos.
Automatización. De acuerdo con el nivel de automatización, los controles se clasifican en:
Manual: Son aquellos controles en el cual existe presencia y/o intervención total de una persona.
Semi-automatizado: Son aquellos controles en el cual existe intervención parcial de una persona e
intervención parcial de un sistema tecnológico.
Automatizado: Son aquellos controles en el cual existe intervención total de un sistema tecnológico.
Tenemos la Periodicidad que hace referencia a la regularidad de ejecución o implementación del control
(mensual, trimestral, semestral).
Y la fase de implementación: Se determina la fase en que se encuentra el control, de acuerdo con su nivel de
implementación:
Fase 1 – no iniciado
Fase 2 – implementación <50%
Fase 3 – implementación >50%
Fase 4 – implementado

Etapa 5. Evaluación de Controles:

Terminada la etapa de definición de controles, se lleva a cabo la evaluación de los controles teniendo en
cuenta su grado de efectividad e implementación, lo que se denomina Solidez del Control.

La efectividad: evalúa la medida de reducción o mitigación de riesgo que ejerce el control establecido:

La Implementación: mide el grado de funcionamiento y aplicación que tiene el control propuesto.

Como resultado de la evaluación de la efectividad y la implementación se revisa la posición del control en las
diferentes zonas de la Matriz de Evaluación de Controles.

De acuerdo con el resultado de la evaluación del control, de acuerdo a su efectividad e implementación.

 En caso de materialización de un riesgo, se deben realizar las siguientes actividades:

 Identificar la causa que dio origen a la materialización y sus consecuencias reales (económicas,
imagen, entre otras).
 Definir e implementar controles o acciones correctivas para minimizar el impacto.
 Definir e implementar controles o acciones preventivas para evitar que el riesgo se vuelva a
presentar.
  Hacer seguimiento a la efectividad de los controles tanto correctivos como preventivos.
 Reportar a las empresas las novedades presentadas.

Etapa 6. Monitoreo y Revisión

Para llevar a cabo el seguimiento a los riesgos, me reúno con los responsables, se presenta la información de
cada riesgo para su respectiva revisión y notificación del avance de implementación de los controles.
✓ Una vez unificada la información, se presenta el estatus de los riesgos por medio del comité.