Uso y Aplicacin

Matriz de Riesgos
Integrantes :
Daz Cuba, Harley
Daz Chonta, J unior
Garca Arias, Mariano
Guerrero Alfaro, Marco
Gutirrez Nez, Alex
INVERSION EN LA ADJUDICACION SOBRE LA
ADQUISISICON E INSTALACION DE EQUIPOS DE
COMPUTO
ELABORACION MATRIZ DE RIESGOS

APLICACIN METODOLOGA
METODOLOGIA PARA CONSTRUCCION DE MAPA DE
RIESGOS EN PROCESOS SELECCIONADOS
IDENTIFICACION DE SUBPROCESOS EN CADA PROCESO
IDENTIFICACION DE ETAPAS EN CADA SUBPROCESO
IDENTIFICACION DE OBJETIVOS ESPECIFICOS
IDENTIFICACION DE RIESGOS OPERATIVOS
(SEVERIDAD: PROBABILIDAD E IMPACTO)
IDENTIFICACION Y ANALISIS DE CONTROLES CLAVES
(EFICIENCIA DEL CONTROL Periodicidad- Oportunidad..-Automatizacin.)
DETERMINACION NIVELES DE EXPOSICION AL RIESGO
(PROCEDIMIENTO CLCULO)
MAPA O MATRIZ CONSOLIDADA POR PROCESO
Escala para medir el nivel de contribucin que afecta el cumplimiento del objetivo estratgico.
Clasificacin
de Nivel
Descripcin de nivel de contribucin Valor
Alto El Proceso aporta de manera fundamental en el cumplimiento del objetivo estratgico 3
Medio El Proceso aporta de manera importante en el cumplimiento del objetivo estratgico. 2
Bajo El Proceso aporta de manera menor en el cumplimiento del objetivo estratgico. 1
Nulo No aporta en el cumplimiento del objetivo estratgico. 0
DESARROLLO OBJETIVO
(ETAPA I)
Ejemplo de escala para Probabilidad de
ocurrencia

Categora


Valo
r


Descripcin


Casi certeza

5


Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene plena
seguridad que ste se presente, tiende al 100%

Probable

4


Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 75% a 95%
de seguridad que ste se presente

Moderado

3


Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 51% a
74% de seguridad que ste se presente

Improbable

2

Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 26% a 50%
de seguridad que ste se presente

Muy improbable


1

Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a
25% de seguridad que ste se presente

Ejemplo de escala para materialidad del Impacto

Categora


Valo
r


Descripcin



Catastrficas

5

Riesgo cuya materializacin influye directamente en el cumplimiento de la misin,
prdida patrimonial o deterioro de la imagen, dejando adems sin funcionar
totalmente o por un perodo importante de tiempo, los programas o servicios que
entrega la institucin

Mayores



4

Riesgo cuya materializacin daara significativamente el patrimonio, imagen o logro
de los objetivos sociales. Adems, se requerira una cantidad importante de tiempo
de la alta direccin en investigar y corregir los daos


Moderadas



3

Riesgo cuya materializacin causara ya sea una prdida importante en el patrimonio
o un deterioro significativo de la imagen. Adems, se requerira una cantidad de
tiempo importante de la alta direccin en investigar y corregir los daos


Menores


2

Riesgo que causa un dao en el patrimonio o imagen, que se puede corregir en el
corto tiempo y que no afecta el cumplimiento de los objetivos estratgicos


Insignificantes


1


Riesgo que puede tener un pequeo o nulo efecto en la institucin
Ejemplo escala para medir el Nivel de Severidad
del Riesgo
EJEMPLO ESCALA PARA NIVEL DEL RIESGO
DESARROLLO OBJETIVO - EJEMPLO
PROCESO SUBPROCESO ETAPAS OBJETIVOS
ESPECIFICOS
RIESGOS ESPECIFICOS IDENTIFICADOS
DESCRIPCION DEL
RIESGO
[1]

PROBABILIDA
D
IMPACTO SEVERI
DAD
DEL
RIESG
O
Val
or
CLASIF
IC.
VA
LO
R
CLASI
FIC.
VA
LO
R
Inversin
LICITACIN
y
ADJUDICAC
IN
APERTURA
Evaluar tcnica y
financieramente
las propuestas de
los oferentes y
priorizar de
acuerdo a los
antecedentes
presentados
Que la comisin
realice
deficientemente la
priorizacin de la
propuesta y una
deficiente
interpretacin de las
bases establecidas
Probabl
e
4
Catas
trofico
5 20
Extre
mo
ADJUDICACIO
N
Designar al
oferente
adjudicado
Que se realice una
deficiente evaluacin
de la propuesta del
oferente adjudicado
Modera
do
3
Mayo
r
4 12
Extre
mo
EJECUCIN
DE OBRAS
CONTRATO

(Garanta)
establecer los
derechos y
obligaciones entre
las partes
Que no se cumplan
las obligaciones
contractuales
establecidas en el
contrato
Modera
do
3
Catas
trofico
5 15
Extre
mo
EJECUCIN
EN TERRENO
velar por el
cumplimiento de
la ejecucin de la
obra y/o
equipamiento

Que exista atraso en
la ejecucin de obra
Probabl
e
4
Mayo
r
4 16
Extre
mo


ESQUEMA PARA CONSTRUCCIN DEL MAPA DE RIESGO
Clasificacin del Control

Periodicidad en la accin del control (PD):


Clasificacin


Descripcin


Permanente (Pe)

Controles claves aplicados durante todo el proceso, es decir, en cada operacin.

Peridico (Pd)

Controles claves aplicados en forma constante slo cuando ha transcurrido un peridico
especfico de tiempo
Ocasional (Oc)

Controles claves que se aplican slo en forma ocasional en un proceso.

Clasificacin del Control
Oportunidad de la accin del control (O)


Clasificacin


Descripcin


Preventivo (Pv)

Controles claves que actan antes o al inicio de un proceso.

Correctivo (Cr)

Controles claves que actan durante el proceso y que permiten corregir las deficiencias.

Detectivo (Dt)

Controles claves que slo actan una vez que el proceso ha terminado.

Clasificacin del Control
Automatizacin en la aplicacin del control (A):


Clasificacin


Descripcin


100% automatizado (At)

Controles claves incorporados en el proceso, cuya aplicacin es completamente
informatizada. Estn incorporados en los sistemas informatizados

Semi automatizado
(Sa)

Controles claves incorporados en el proceso, cuya aplicacin es parcialmente aplicada
mediante sistemas informatizados.

Manual (Ma)

Controles claves incorporados en el proceso, cuya aplicacin no considera uso de sistemas
informatizados

DESARROLLO OBJETIVO GUBERNAMENTAL
EJEMPLO : MODELO PARA VALORIZACION EFICIENCIA DEL CONTROL
SEGN CARACTERISTICAS EN EL DISEO
DESARROLLO OBJETIVO -EJEMPLO
PROCESOS SUBPROCESO ETAPAS RIESGOS
ESPECIFICOS
CONTROLES CLAVES EXISTENTES
DESCRIPCION DEL CONTROL
[1]
NIVEL
EFICIENCI
A
[2]

Valor Clasifica
cin
P
D
O A
Inversin
LICITACIN
y
ADJUDICAC
IN
APERTURA
Evaluar tcnica y
financieramente las
propuestas de los
oferentes y priorizar
de acuerdo a los
antecedentes
presentados
Emisin de informe de la comisin
que es presentado para su
ratificacin, modificacin o rechazo
y Anlisis por parte de la comisin
al momento de la apertura, de los
antecedentes de los oferentes de
acuerdo a las bases generales y
tcnicas
P
e
P
v
M
a
5 Mayor
ADJUDICACIO
N
Designar al oferente
adjudicado
Verificacin de los antecedentes
aportados por el oferente, por parte
de la comisin evaluadora y el
Gobierno Regional
P
e
P
v
M
a
5 Mayor
EJECUCIN
DE OBRAS
CONTRATO

(Garanta)
Establecer los
derechos y
obligaciones entre
las partes
Constatacin de la celebracin del
contrato respectivo, por parte del
gore dentro del plazo
P
e
C
r
M
a
5 Mayor
EJECUCIN
EN TERRENO
velar por el
cumplimiento de la
ejecucin de la obra
y/o equipamiento
Comprobacin a travs de un
informe del avance de la ejecucin
de la obra, por parte del I.T.O
P
e
C
r
M
a
5 Mayor


ESQUEMA PARA CONSTRUCCIN DEL MAPA DE RIESGO
Ejemplo para medir nivel de Exposicin al Riesgo

INDICADOR DE
EXPOSICION AL
RIESGO


VALOR


NVEL DE
EXPOSICION
AL RIESGO






NIVEL SEVERIDAD DEL
RIESGO
NIVEL EFICIENCIA DEL
CONTROL


8,0 25,0


NO
ACEPTABLE
(Na)



4,0 7,99


MAYOR (Ma)


3,0 3,99


MEDIA (Md)


0,2 - 2,99


MENOR (Me)


LLAMADO A
LICITACION
LLAMAR A
OFERENTES
PARA QUE
PARTICIPEN EN
LA LICITACION DE
PROYECTOS
QUE SE AFECTE EL
CUMPLIMIENTO DE
LA CARTERA DE
INVERSION
IMPROBA
BLE
2
MODERA
DO
3 BAJO 6
A) QUE LA COMISION
REALICE
DEFICIENTEMENTE
LA PRIORIZACION DE
LA PROPUESTA
MODERA
DO
3 MAYOR 4
EXTREM
O
12
B) QUE LA COMISION
REALICE UNA
DEFICIENTE
INTERPRETACION DE
LAS BASES
ESTABLECIDAS
PROBAB
LE
4
CATASTR
OFICO
5
EXTREM
O
20
ADJUDICACION
DESIGNAR AL
OFERENTE
ADJUDICADO
QUE SE REALICE
UNA DEFICIENTE
EVALUACION DE LA
PROPUESTA DEL
OFERENTE
ADJUDICADO
MODERA
DO
3 MAYOR 4
EXTREM
O
12
VELAR POR EL
CUMPLIMIENTO
DE LA
EJECUCION DE
LA OBRA Y/O
EQUIPAMIENTO
QUE EXISTA ATRASO
EN LA EJECUCION
DE OBRA
PROBAB
LE
4 MAYOR 4
EXTREM
O
16
ESTABLECER
LOS DERECHOS
Y OBLIGACIONES
ENTRE LAS
PARTES
CATASTR
OFICO
5
EXTREM
O
15
QUE NO SE
CUMPLAN LAS
OBLIGACIONES
CONTRACTUALES
ESTABLECIDAS EN
EL CONTRATO
MODERA
DO
3
EVALUAR
TECNICA Y
FINANCIERAMENT
E LAS
PROPUESTAS DE
LOS OFERENTES
Y PRIORIZAR DE
ACUERDO A LOS
ANTECEDENTES
PRESENTADOS
APERTURA DE
LICITACION
ETAPA RELEVANTE
OBJETIVO
ESPECIFICO DESCRIPCIONDEL
RIESGO
RIESGOS IDENTIFICADOS
PROBABILIDAD
CLASIF. CLASIF.
VAL
OR
IMPACTO
INVERSION
CONTRATO
(GARANTIA)
PROCESO SUBPROCESO
VALOR
SEVERIDA
DDEL
RIESGO
1.2. EJECUCION
1.1. LICITACION Y
ADJUDICACION
EJECUCION EN
TERRENO
VAL
OR
CONSTATACION, POR
PARTE DEL GORE EN
EL PLAZO
ESTABLECIDO, DEL
LLAMADO A
PROPUESTA EN LA
PRENSA Y EN CHILE
Pe Cr Sa 5 MENOR 1,2 MENOR 1,2
EMISION DE INFORME,
POR PARTE DE LA
COMISION
EVALUADORA, QUE ES
PRESENTADO AL GORE
PARA SU
RATIFICACION,
MODIFICACION O
Pe Cr Sa 5 MENOR 2,4
ANALISIS, POR PARTE
DE LA COMISION AL
MOMENTO DE LA
APERTURA, DE LOS
ANTECEDENTES DE
LOS OFERENTES DE
ACUERDO A LAS
BASES GENERALES Y
TECNICAS
Pe Pv Ma 5 MAYOR 4
VERIFICACION DE LOS
ANTECEDENTES
APORTADOS POR EL
OFERENTE, POR PARTE
DE LA COMISION
EVALUADORA Y EL
GORE
Pe Pv Ma 5 MENOR 2,4 MENOR 2,4
5 MEDIA 3,2
COMPROBACION A
TARVES DE UN
INFORME DEL AVANCE
DE LA EJECUCION DE
LA OBRA, POR PARTE
DEL I.T.O.
Pe Cr Ma
Ma 5 MEDIA 3
CONSTATACION DE LA
CELEBRACION DEL
CONTRATO
RESPECTIVO, POR
PARTE DEL GORE
DENTRO DEL PLAZO
Pe Cr
MEDIA 3,2
MENOR 2,7
MENOR 2,3
MEDIA 3,1
MEDIA 3
MEDIA 3,2
CONTROLES CLAVES EXISTENTES
NIVEL
EFICIENCIA
DESCRIPCION DEL CONTROL
EXPOSICIN AL RIESGO
POR RIESGO
ESPECIFICO
NIVEL
VAL
OR
NIVEL
VALOR
PD O A
VAL
OR
POR ETAPA
NIVEL
VAL
OR
POR PROCESO
NIVEL
VALO
R
POR
SUBPROCESO
MAPA O MATRIZ DE RIESGO CONSOLIDADA POR
SERVICIO - EJEMPLO
CASO: DESARROLLO E
IMPLEMENTACION UN SISTEMA
Objetivos Estratgicos y Plan de Negocio
Desarrollo e Implementacin de un
Sistema
Anlisis Diseo Construccin Implementacin
Elaborar flujo de
datos
Modelar Datos
Definir interfaces
Definir el servicio
Disear el SW
Disear la BD
Construccin
de Mdulos
Elaboracin de
Mdulos
Configurar el
Servidor
Ejecutar el
Sistema
Actividad I Riesgos
Ejecutar el Sistema
Sobrecarga de Actividad
Prdida del Servicio
Prdida de Datos
Identificamos y
Estimamos la
Probabilidad de Riesgo
Probabilidad de Ocurrencia y Valorizacin
Impacto vs Probabilidad de Ocurrencia
Alto 3 5 5
Medio 2 3 4
Bajo 1 2 3
Bajo Medio Alto
Estimamos la Efectividad para el
Control
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5
Toma de Decisiones
Este tipo de mtodo para identificar los riesgos de un negocio o
proyecto es efectivo para la toma de decisiones. Ya que con
esto se puede saber si se puede llevar a cabo la actividad o
fortalecerla en algunos puntos.

Creacin de una matriz de riesgos
CASO: DESARROLLO E
IMPLEMENTACION DE UNA BASE DE
DATOS
1) Objetivo Estratgico del Proceso

Diseo e Implementacin de una Base de
Datos
Implementacin
Construccin Diseo
Anlisis
-Modelo E/R.
-Diseo
Conceptual.
-Diseo Lgico.
-Diseo Fsico.

-Construccin en
SQL Server u Oracle.
- Ingreso de Datos.
-Documentacin.
Analizar a fondo el mundo
real que deseamos
representar en la base de
datos.



-Ejecucin de la BD
-Seguridad de la BD
-Procedimientos.
-Facilitar reportes.


2) Identificacin de los Riesgos
Riesgos

Ejecucin
de la
Base de
Datos
Perdida de Datos
Perdida del Servicio
Sobrecarga de la Base de Datos
Riesgos

Seguridad
de la Base
de Datos
Modificacin de los Datos.
Robo de la Base de Datos
Ataques por hackers.
Riesgos





Utilizacin Base
de Datos
Incremento de la dependencia del servicio informtico
debido a la concentracin de datos
Mayores posibilidades de acceso en la figura del DBA
Incompatibilidades entre sistemas de seguridad de acceso
propios del SGBD y el general de la instalacin
Ruptura de enlaces o cadenas por fallos del software o de
los programas de aplicacin.
Mayor impacto de acceso no autorizados al diccionario de la
BD que a un fichero tradicional
Mayor dependencia del nivel de conocimientos tcnicos del
personal que realice tareas relacionadas con el software de
BD (administrador, programador, etc.)
3) Probabilidad de ocurrencia y
valorizacin

VALORIZACIN
Insignificante 1
Baja 2
Media 3
Moderada 4
Alta 5

VALORACIN DE RIESGOS
INHERENTE
Consecuencia
Alto 4 AB 5 AM 5 AA
Medio 3 MB 3 MM 5 MA
Bajo 1 BB 2 BM 4 BA
Bajo Medio Alto
Probabilidad de
Ocurrencia
Riesgos Valoracin de
Riesgos
inherente

Ejecucin de la Base de
Datos
Perdida de Datos 5 AA
Perdida del Servicio 3 MM
Sobrecarga de la Base de
Datos
4 AB
Asignacin a los riesgos:
Riesgos Valoracin de
Riesgos
inherente


Seguridad de la Base de
Datos
Modificacin de los
Datos.
3 MB
Robo de la Base de Datos 4 AB
Ataques por hackers. 5 AM
Riesgos Valoracin de
Riesgos inherentes





Utilizacin
Base de
Datos
Incremento de la dependencia del servicio informtico debido
a la concentracin de datos
5 MA
Mayores posibilidades de acceso en la figura del DBA 2 BM
Incompatibilidades entre sistemas de seguridad de acceso
propios del SGBD y el general de la instalacin
Ruptura de enlaces o cadenas por fallos del software o de los
programas de aplicacin.
Mayor impacto de acceso no autorizados al diccionario de la BD
que a un fichero tradicional
Mayor dependencia del nivel de conocimientos tcnicos del
personal que realice tareas relacionadas con el software de BD
(administrador, programador, etc.)

3 MM

4 AB

4 AB


3MM
4) Evaluacin de controles
internos
CONTROL EFECTIVIDAD
NINGUNO 1
BAJO 2
MEDIO 3
ALTO 4
DESTACADO 5
5) Riesgo neto o residual
EJECUCIN DE LA
BD
Nivel de
Riesgo
Calidad de Gestin Riesgo
Residual Tipo de Medidas
de Control
Efectividad Promedio
Sobrecarga de
Informacin
4 Uso de
Servidores de
confianza
3 3.5 1.14
Evaluacin de las
capacidades de
Informacin
4
Prdida del
Servicio
3 Evaluacin diaria
del servicio
4 4.5 0.66
Implementacin
de servidores
duales
5
Prdida de Datos 5 Elaboracin de
Back up
5 4 1.25
Desarrollo de
control de
seguimiento
3
Perfil de Riesgo Residual Total 1.01
SEGURIDAD DE
LA BD
Nivel de
Riesgo
Calidad de Gestin Riesgo
Residual
Tipo de
Medidas de
Control
Efectividad Promedio
Modificacin de
los datos
5 Restricciones
de usuario
4 4 1.25
Monitoreo 4
Robo de la BD 4 Restricciones
de puertos USB
3 3.5 1.14
Elaboracin de
Back up
4
Ataques por
Hackers
2 Cifrado de
datos
5 4.5 0.44
Seguridad de la
red
4
Perfil de Riesgo Residual Total 0.94
UTILIZACIN BD Nivel de
Riesgo
Calidad de Gestin Riesgo Residual
Tipo de Medidas de
Control
Efectividad Promedio
Incremento de la
dependencia del servicio
informtico debido a la
concentracin de datos
5 Procedimientos de
preparacin de datos
4 3.5 1.43
Evaluacin de las
capacidades de
Informacin
3
Mayores posibilidades de
acceso en la figura del DBA
2 Procedimiento de
autorizacin de datos
4 4.5 0.44
Edicin y validacin del
procesamiento de datos
5
Incompatibilidades entre
sistemas de seguridad de
acceso propios del SGBD y
el general de la instalacin
3 Utilizacin de parches 3 3.5 0.86
Integridad del proceso de
acceso a datos
4
Ruptura de enlaces o
cadenas por fallos del
software o de los programas
de aplicacin.
4 Reconciliacin y balanceo
de salidas
4 4 1
Almacenamiento de
respaldo
4
Mayor impacto de acceso no
autorizados al diccionario de
la BD que a un fichero
tradicional
4 Sistema de gestin de
biblioteca de medios
4 4 1
Verificacin de exactitud,
complecin y autorizacin
5
Desarrollo de control de
seguimiento
3
Perfil de Riesgo Residual 0.946
CASO PRCTICO: ANALISIS DE RIESGO DE
LA IMPLEMENTACION DE SERVICIO DE
CORREO ELECTRONICO EN UNA
UNIVERSIDAD.-
SERVICIO DE CORREO ELECTRONICO Riesgos
GESTION DEL DESARROLLO TECNOLOGICO
Obsolescencia de software y hardware
Falla del Hardware.
Falla del Software.
Integridad de datos y software: Modificacin de los
datos, aplicaciones de software y configuraciones .
Desconocimiento de las tecnologas de informacin y
comunicacin
PROBABILIDAD DE
OCURRENCIA
VALOR DESCRIPCION
Ninguno 1 Muy improbable
Bajo 2 Improbable
Medio 3 Moderado
Alto 4 Probable
Destacado 5 Casi certeza
CONSECUENCIA Efectividad
POCO PELIGROSO 10
PELIGROSO 20
MUY PELIGROSO 30
MATRIZ DE RIESGOS
RIESG
O
CAUSAS AGENTE
GENERADO
R
EFECTOS PRO
BABI
LIDA
D
CON
SEC
UEN
CIA
NIV
EL
DE
RIES
GO
CONTROLES CRO
NOG
RAM
A
INDICAD
OR
Obsolesc
encia de
software
y
hardwar
e

* Evolucin de
la tecnologa
* No
actualizacin de
las tecnologas
utilizadas.
* Estrategia del
fabricante
* Legislacin
* Falta de
recursos
*
Desconocimie
nto de la
cultura
informtica de
los directivos
*Contnua sustitucin
de equipos que por
carecer con frecuencia
de mercados de
segunda mano genera
gran cantidad de
residuos, con la
problemtica
medioambiental que
ello supone.
* Rezago
* Lentitud en los
procesos
* Gastos no planeados
de mantenimiento
correctivo
* Problemas de
seguridad
2 20 40 *Poltica o
procedimiento de
control de
obsolescencia que
incluya baja de
activos tecnolgicos
y redistribucin de
equipos,
perfectamente
operativos, entre las
reas, personas e
instituciones.

*Revisin de
obsolescencia anual
Anual Nro. de
equipos en
su vida til/
Nro de
equipos
totales.
Falla
del
Hard
ware
* Obsolescencia
* Falta de
mantenimiento
* Condiciones
ambientales no
adecuadas
* Sabotaje
* Error de usuario
o de administrador
de tecnologa
* Catastrofe
Natural
* Interrupcin
elctrica
* Interferencia
elctrica, ruido
* Falta de
recursos
* Falta de planes
de accin
(construccin
DATACENTER)
*Falta de
planeacin y
seguimiento del
conducto regular
en los tendidos
de fibra y
cableado
estructurado.
* Adquisicin
de bienes y
servicios sin las
especificaciones
tcnicas
adecuadas.
* Entorno
* Personas
* Dao de equipos de
cmputo.
* Interrupcin de los
servicios
informticos
* Prdida de informacin
* Prdidas econmicas
* Mal funcionamiento de la
red
* Se paraliza la funcin
administrativa y acadmica
dependiente de los sistemas
informticos
3 20 60
Bitacora Centro de
Computo
Plan de
Mantenimeinto
preventivo
Seme
stral

Conti
nuo
* Nmero
de fallas por
Hardware
en el
semestre
Falla del
software
* Obsolescencia
* Sabotaje
* Error de
usuario o de
administrador
de tecnologa.
* Interrupcin
elctrica
* Virus
informtico

* Falta de
recursos
* Falta de
implementaci
n polticas
de seguridad
* Falta de
planes de
accin
(Datacenter)
* Personas
* Falta de
polticas
institucionale
s en la
evaluacin y
adquisicin
de software
* Interrupcin de los
servicios informticos
* Lentitud en los
procesos
* Gastos no planeados
de mantenimiento
* Prdida de
informacin
* Prdidas
econmicas
3 20 60 *Bitacoras Centro
de Computo
*Plan de
Mantenimeinto
preventivo
Conti
nuo
* Nmero
de fallas
por
Software
Interrup
cin de
las
telecom
unicacio
nes
(Internet
)
* Interrupcin
elctrica
* Suspensin
del servicio
* Robo o dao
de los tramos de
fibra
* Amenaza
Natural:
Terremoto,
cada de
rboles,
vendaval
* No pago
*
Adolescencia
de un canal
redundante
* Interrupcin de los
servicios informticos
al exterior de la
institucin. (Pgina
web, Academusoft,
Gestasoft, correo
electrnico, Aulas
virtuales, procesos de
inscripcin y
convocatorias)
* Atraso en el
calendario acadmico
* Prdidas
ecnomicas
3 20 60 *Bitacoras Centro
de Computo
*Controles de
Interventora del
contrato
Cont
nuo
%
Disponibili
dad del
servicio
Integrid
ad de
datos y
software
:
Modifica
cin de
los
datos,
aplicacio
nes de
software
y
configur
aciones
* Falta de
capacitacin de
usuarios y
administradores
de tecnologas.
* Obsolescencia
de software y
hardware.
* No
acatamiento de
instrucciones de
trabajo
* La
modificacin
accidental o
intencionada,
insercin, o
borrado de datos
o informacin
almacenada en
las bases de
datos.
* Configuracin
no adecuada
* Virus
informtico
* Sabotaje
*
Manipulacin
intencionada
por un usuario
del sistema
* Error de
usuario o de
administrador
de tecnologa
* Inconsistencia de la
informacin
* Mal funcionamiento
de las aplicaciones,
afectando los procesos
institucionales
* Cambio de valores
en un archivo de datos
* Alteraciones en el
funcionamiento de un
programa
* Modificar el
contenido de mensajes
que estn siendo
transferidos por la red.
*Amenaza contra la
integridad de los datos
y de los servicios
prestados.

3 20 60 Diseo y
formulacin de
Poltica de
Seguridad
Informtica

Socializacin
Poltica de
Seguridad
Informtica

Implementacin
Poltica de
Seguridad
Informtica.



Seme
stral
Nmero de
errores de
Usuarios.
Nmero de
registros
alterados
(por
Fraude)
Desconoc
imiento
de las
tecnolog
as de
informac
in y
comunic
acin
* Falta de estrategia
tecnolgica de la
Institucin
* Falta de
estndares
* Falta de perfil de
sistema
* Falta de
incentivos para la
cooperacin en el
desarrollo de
sistemas
* Falta de
comunicacin
* Falta de
conocimiento sobre
los estndares
tecnolgicos
* Falta de
interafaces para la
integracin de
sistemas
* Falta de
compromiso de la
alta direccin con
los planes de TICS
de la universidad
Proceso de
Planeacin
Proceso de
Gestin del
Talento
Humano
* Tecnologas incompatibles
dentro de la misma empresa
* Arquitecturas monolticas y
no documentadas
Falta de posibilidad de
extender los sistemas para
satisfacer las necesidades de
negocio
Falta de estndares
Falta de reuso
Falta de interoperabilidad
Dificultad en la
interoperabilidad, reuso e
incremento de costos.
Creacin de islas
automatizadas dentro de la
misma empresa.
3 20 60 Creacin comit de
TICS
Capacitaciones en
el tema TICS
Segn
Plan
TICS
Nivel de
conocimiento
de TICS
Estos resultados nos indican que los controles
tomados para mitigar los riesgos son medianamente
efectivos ya que nos muestran que el perfil global de
riesgo es de 37.78%.

RIESGO NIVEL DE
RIESGO
ESTIMACION
DEL RIESGO
POR CLASE
1 40 26.6%
2 60 40%
3 60 40%
4 60 40%
5 60 40%
6 60 40%
CASO PRCTICO: ANALISIS DE RIESGO DE UN
PROYECTO EN BASE AL SUMINISTRO DE
MATERIALES ELECTRICOS Y CABLEADO
ESTRUCTURADO EN UNA UNIVERSIDAD.-
SERVICIO DE CORREO
ELECTRONICO
RIESGOS
GESTION DEL DESARROLLO
TECNOLOGICO
ADMINISTATIVOS.
JURIDICOS Y/O LEGALES
FINANCIEROS.
TECNICOS Y/U OPERATIVOS.
PROBABILIDAD DE
OCURRENCIA
VALOR
Bajo B
Medio M
Alto A
CONSECUENCIA Efectividad
POCO PELIGROSO 10
PELIGROSO 20
MUY PELIGROSO 30
NIVEL VALORACION
BAJO 5
MEDIO 10
MODERADO 15
ALTO 20
MATRIZ DE RIESGO
CLAS
E DE
RIES
GOS
TIPIFICACION DEL RIESGO ASIGNACION
DEL RIESGO
ESTIMACION DEL RIESGO
No. DESCRIPCION
I
P
S

U
d
e
A

C
o
n
t
r
a
t
i
s
t
a

C
o
m
p
a

a

a
s
e
g
u
r
a
d
o
r
a

P
R
O
B
A
B
I
L
I
D
A
D

D
E

O
C
U
R
E
N
C
I
A

E
F
E
C
T
O

E
N

E
L

P
R
E
C
I
O

D
E
L

C
O
N
T
R
A
T
O

V
A
L
O
R
A
C
I
O
N


P
R
O
M
E
D
I
O


E
S
T
I
M
A
C
I
O
N

D
E
L

R
I
E
S
G
O

P
O
R

C
L
A
S
E

ADMI
NIST
RATI
VOS
1 No firma del contrato por parte del proponente y/o contratista x X M M 10 12,50 62.5%
2 Incumplimiento del contrato por parte del contratista X X A A 20
3 Incumplimiento en la estabilidad de la obra por parte del
contratista
X X A A 20
4 No pago oportuno de los SALARIOS y prestaciones sociales por
parte del CONTRATISTA a los trabajadores y personal de la
obra.
X X M M 10
5 Operacin reglamento y/o tortuga , paros ocacionados por
trabajadores y personal de la obra por la NO cancelacin
oportuna de los salarios y prestaciones a que tienen derecho.
X X M M 10
6 Precios artificialmente bajos X A A 20
7 Problemas que se puedan presentar por transportadores de
carga y/o pasajeros
X X B B 5
8 Daos a terceros por responsabilidad civil X X B B 5
JURIDICOS
y/o
LEGALES
y/o
DOCUMEN
TALES y/o
REGULATO
RIOS
9 Errores involuntarios que hayan
quedado en La invitacin a cotizar ,
alcances, especificaciones,
descripcin de la necesidad,
estudios previos, operaciones
aritmticas y/o dems documentos
del proceso de seleccin.
X X M M 10 7 35%
10 Problemas presentados entre socios
y/o consorciados , unidos
temporales y/o familiares de las
empresas que contratan con la "IPS
UNIVERSITARIA"
X B B 5
11 Errores cometidos por el
CONTRATISTA en la elaboracin
de las propuestas y/o en los
documentos relacionados con la
invitacin a cotizar o errores
cometidos en documentos
elaborados por el CONTRATISTA
durante la ejecucin del contrato.
X B M 10
12 Muerte o accidentalidad de
personal del CONTRATISTA
durante la ejecucin del contrato.
X B B 5
13 Cambios normativos o de
legislacin
X B B 5
FINANCIER
OS y/o DE
MERCADO
14 Reajustes imprevistos en el costo de materiales
con precios no regulados por el gobierno.
X M M 10 6,67 33.5
15 Fluctuaciones en tasas de cambio. X X B B 5
16 Fluctuaciones de precios en los materiales cuyos
precios estan regulados por el gobierno.
X X B B 5
17 Insolvencia econmica del CONTRATISTA X X B B 5
18 Cambios en las fuentes de materiales
autorizadas
X B B 5
19 Saturacin de los materiales de construccin por
deficiencia en su acopio.
X B B 5
20 Daos ambientales por inadecuadas prcticas
del proceso constructivo.
X B B 5
21 Daos en el funcionamiento de la maquinaria
y/o equipos del responsabilidad del contratista
X M M 10
22 Demoras ocasionadas por el ptimo
funcionamiento y puesta a punto de la
maquinaria y/o equipos en la obra.
X M M 10
23 Modificacin de las obras a ejecutar X M M 10
24 Cambios en la ubicacin de las obras X B B 5
25 Variaciones econmicas X X B B 5
TECNICOS
y/o
OPERATIV
OS y/o DE
EJECUCIO
N
26 Reconstruccin y reparacin de obras cuando
no le hubiese permitido adelantar a la
interventoria los correspondientes controles y
mediciones
X B B 5 7,50 37.5%
27 Demolere todos los productos y elementos
defectuosos construidos o materiales
producidos que no cumplan con las
especificaciones y normas.
X B B 5
28 Falta de idoneidad del contratista X X M M 10
29 Modificacin de especificaciones tcnicas X B B 5
30 Mala calidad de la prestacin del servicio
durante la ejecucin del contrato
X X M M 10
31 Ocurrencia de Siniestro X X B M 10
Causas o
eventos
de la
naturalez
a o fuerza
mayor
32 Terremoto ,
inundacin ,
tormenta,viento
s , incendio,
fuerzas de la
naturaleza
Riesgo que
asume la "IPS
UNIVERSITA
RIA" y
asegurador
X X B B 5 5,00 25%
33 Terrorismo ,
conflicto
armado
Riesgo que
asume la "IPS
UNIVERSITA
RIA" y
asegurador
X X B B 5

Causas o
eventos
de
Realizado
s por el
contratist
a
34 Dao o Hurto
de bienes de la
IPS
UNIVERSITA
RIA
Riesgo que
asume el
contratista
x A A 20 15,00 75%
35 Dao o hurto
de bienes del
contratista
Riesgo que
asume el
contratista
x M M 10
7,142
8571
4

Este resultado nos muestra un perfil global de riesgo de:
RIESGO TOTAL= 44.73%

Estos resultados nos indican que la valorizacin tomada para mitigar los
riesgos son medianamente efectivos ya que nos muestran que el perfil global
de riesgo es de 44.73%.
RIESGO TOTAL= 44.73%

RIESGO PROMEDIO ESTIMACION DEL
RIESGO POR CLASE
1 12.5 62.5%
2 7 35%
3 6,67 33.35%
4 7.5 37.5%
5 5 25%
6 15 75%
Recomendaciones
Para poder aplicar esta matriz de riesgo es
necesario que quienes la construyan tenga
conocimiento y experiencia profunda del negocio
y su entorno adems de un buen juicio de valor,
pero sobre todo es requisito indispensable contar
con la participacin activa de todas las reas.

Existe un sin nmero de formas de realizar una
matriz de riesgo lo importante es adecuar cual
fuese el mtodo elegido por tu negocio e
implementarlo a tus necesidades ya que esta
garantizara un factor critico de xito de tu
negocio y salida ante cualquier evento que
detenga tus actividades.

Conclusiones
Este tipo de mtodo para identificar los riesgos de un negocio o
proyecto es efectivo para la toma de decisiones. Ya que con esto
se puede saber si se puede llevar a cabo la actividad o
fortalecerla en algunos puntos.

Para el Auditor, es una fuente de informacin que le permitir
ahorrar muchas horas de trabajo, reconvirtiendo parte de sus
tareas hacia funciones de mayor anlisis y, obviamente mayor
exigencia. Al mismo tiempo la revisin especializada del Auditor
brinda el necesario monitoreo y posibilidad de mejoras de esta
parte importante de la gestin de riesgos de la organizacin

Cualquier actividad que el ser humano realice est expuesta a
riesgos de diversa ndole los cuales influyen de distinta forma en
los resultados esperados.

La capacidad de identificar estas probables eventualidades, su
origen y posible impacto constituye ciertamente una tarea difcil
pero necesaria para el logro de los objetivos. En el caso
especfico de las entidades de intermediacin financiera

Gracias