Sistema de administración de riesgos en tecnología informática

Autor: Alberto Cancelado González 

Mejores prácticas

11-2003

Descargar Original

INTRODUCCIÓN

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.
 
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, este trabajo sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:
 
· La evaluación de los riesgos inherentes a los procesos informáticos.
· La evaluación de las amenazas ó causas de los riesgos.
· Los controles utilizados para minimizar las amenazas a riesgos.
· La asignación de responsables a los procesos informáticos.
· La evaluación de los elementos del análisis de riesgos.

PARTE I - ADMINISTRACIÓN DE RIESGOS
 
1. EL PROBLEMA - ADMINISTRACIÓN DE RIESGOS
 
El riesgo es una condición del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.
 
1.1. CLASIFICACIÓN DE LOS RIESGOS
 
Los negocios pueden fallar o sufrir perdidas como un resultado de un variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar así:
 
· RIESGOS FINANCIEROS: El riesgo financiero envuelve la relación entre una organización y una ventaja que puede ser perdida o perjudicada. De este modo el riesgo financiero envuelve 3 elementos:
 1.  La organización que esta expuesta a perdidas
 2.  Los elementos que conforman las causas de perdidas financieras
 3.  Un peligro que puede causar la perdida (amenaza a riesgo).
· RIESGOS DINAMICOS: Son el resultado de cambios en la economía que surgen de dos conjuntos de factores :
 4.  Factores del entorno exterior ; la economía, la industria, competidores y clientes.
 5.  Otros factores que pueden producir las perdidas que constituyen las base del riesgo especulativo son las decisiones de la administración de la organización.
 
· RIESGOS ESTATICOS: Estos riesgos surgen de otras causas distintas a los cambios de la economía tales como: deshonestidad o fallas humanas.  
· RIESGO ESPECULATIVO: Describe una situación que espera una posibilidad de pérdida o ganancia. Un buen ejemplo es una situación aventurada o del azar.  
· RIESGO PURO: Designa aquellas situaciones que solamente generan o bien pérdida o ganancia, un ejemplo es la posibilidad de pérdida en la compra de un bien (automóviles, casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma : n Riesgo Personal :  Consiste en la posibilidad de perdida sujeta a los siguientes peligros : muerte prematura, enfermedad e incapacidades  
n Riesgos de las posesiones : Abarcan 2 distintos tipos de pérdida que son: pérdidas directas por destrucción de bienes, y pérdidas indirectas causados por las consecuencias de las pérdidas directas o gastos adicionales.
n Riesgos de Responsabilidades : Su peligro básico consiste en el perjuicio de otras personas o daño de una propiedad por negligencia o descuido.
n Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas.
n Riesgos químicos: Se tienen en esta clase por ejemplo: Exposición a vapores de los solventes, humo de combustión y gases.
n Riesgos biológicos: Hongos y bacterias.
n Riesgos psicosociales: Ingresos económicos injustos, monotonía, falta de incentivos y motivación.
n Riesgos ergonómicos: Puesto de trabajo incomodo, Posición corporal forzada, movimiento repetitivo al operar máquinas, hacinamiento.
 
· RIESGO FUNDAMENTAL: Envuelve las pérdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenómenos económicos, sociales. Ellos afectan parte de una organización.
 
· RIESGO PARTICULAR: Son perdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos fundamentales ; el incendio de una casa y el robo de un banco son riesgos particulares.
 
1.2. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMÁTICA
 
Los principales riesgos informáticos de los negocios son los siguientes:
 
· Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:
· Interface del usuario:  Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregación de obligaciones. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.
· Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado balance de los controles detectivos y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.
· Procesamiento de errores:  Los riesgos en esta área generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
· Interface: Los riesgos en esta área generalmente se relacionan con controles preventivos y detectivos que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones.
· Administración de cambios: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuadas de procesos de cambios organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.
· Información: Los riesgos en esta área pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones. Estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: Errores de programación (buena información es procesada por programas mal construídos), procesamiento de errores (transacciones incorrectamente procesadas) ó administración y procesamiento de errores (Administración pobre del mantenimiento de sistemas).
 
· Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).
· Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la información:

· Procesos de negocio:  Las decisiones organizacionales deben separar trabajo incompatible de la organización y proveer el nivel correcto de ejecución de funciones.
· Aplicación: La aplicación interna de mecanismos de seguridad que provee a los usuarios las funciones necesarias para ejecutar su trabajo.
· Administración de la información: El mecanismo provee a los usuarios acceso a la información específica del entorno.
· Entorno de procesamiento: Estos riesgos en esta área están manejados por el acceso inapropiado al entorno de programas e información.
· Redes: En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.
· Nivel físico: Protección física de dispositivos y un apropiado acceso a ellos.
 
· Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo:
· Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
· Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
· Backups y planes de contingencia controlan desastres en el procesamiento de la información.
 
· Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).  Estos riesgos son generalmente se consideran en el contexto de los siguientes procesos informáticos:
· Planeación organizacional: Los proceso en esta área aseguran la definición del impacto, definición y verificación de la tecnología informática en el negocio. Además, verifica si existe una adecuada organización (gente y procesos) asegura que los esfuerzos de la tecnología informática será exitosa.
· Definición de las aplicaciones: Los procesos en esta área aseguran que las aplicaciones satisfagan las necesidades del usuario y soporten el contexto de los procesos de negocio. Estos procesos abarcan: la determinación de comprar una aplicación ya existente ó desarrollar soluciones a cliente. Estos procesos también aseguran que cualquier cambio a las aplicaciones (compradas o desarrolladas) sigue un proceso definido que confirma que los puntos críticos de proceso/control son consistentes (Todos los cambios son examinados por usuarios antes de la implementación).
· Administración de seguridad: Los procesos en esta área aseguran que la organización está adecuadamente direccionada a establecer, mantener y monitorizar un sistema interno de seguridad, que tenga políticas de administración con respecto a la integridad y confidencialidad de la información de la organización, y a la reducción de fraudes a niveles aceptables.
· Operaciones de red y computacionales: Los procesos en esta área aseguran que los sistemas de información y entornos de red están operados en un esquema seguro y protegido, y que las responsabilidades de procesamiento de información son ejecutados por personal operativo definido, medido y monitoreado. También aseguran que los sistemas son consistentes y están disponibles a los usuarios a un nivel de ejecución satisfactorio.
· Administración de sistemas de bases de datos: Los procesos en esta área están diseñados para asegurar que las bases de datos usadas para soportar aplicaciones críticas y reportes tengan consistencia de definición, correspondan con los requerimientos y reduzcan el potencial de redundancia.
· Información / Negocio: Los proceso en esta área están diseñados para asegurar que existe un plan adecuado para asegurar que la tecnología informática estará disponible a los usuarios cuando ellos la necesitan.
 
· Riesgos de seguridad general: Los estándar [1]IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo:
· Riesgos de choque de eléctrico: Niveles altos de voltaje.
· Riesgos de incendio: Inflamabilidad de materiales.
· Riesgos de niveles inadecuados de energía eléctrica.
· Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
· Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
 
1.3. TECNICAS DE PROCEDIMIENTOS PARA ADMINISTRAR RIESGOS
 
· EVITAR RIESGOS: Un riesgo es evitado cuando en la organización no se acepta. Esta técnica puede ser más negativa que positiva. Si el evitar riesgos fuera usado excesivamente el negocio sería privado de muchas oportunidades de ganancia (por ejemplo: arriesgarse a hacer una inversión) y probablemente no alcanzaría sus objetivos.
 
· REDUCCION DE RIESGOS: Los riegos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad, alarmas y estimación de futuras pérdidas con la asesoría de personas expertas.
 
· CONSERVACION DE RIESGOS: Es quizás el más común de los métodos para enfrentar los riesgos, pues muchas veces una acción positiva no es transferirlo o reducir su acción. Cada organización debe decidir cuales riegos se retienen, o se transfieren basándose en su margen de contingencia, una pérdida puede ser un desastre financiero para organización siendo fácilmente sostenido por otra organización.
 
· COMPARTIR RIESGOS: Cuando los riesgos son compartidos, la posibilidad de perdida es transferida del individuo al grupo.
 
2. SOLUCIONES EN LA ADMINISTRACIÓN DE RIESGOS
 
2.1. DEFINICIÓN DE ADMINISTRACIÓN DE RIESGOS
 
La administración de riesgos es una aproximación científica del comportamiento de los riesgos, anticipando posibles perdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.
 
2.2. HERRAMIENTAS DE LA ADMINISTRACIÓN DE RIESGOS
 
Las principales técnicas o herramientas usadas en la administración de riesgos son :
 
n Control de Riesgos : Técnica diseñada para minimizar los posibles costos causados por los riesgos a que esté expuesta la organización, esta técnica abarca el rechazo de cualquier exposición a pérdida de una actividad particular y la reducción del potencial de las posibles perdidas.
 
n Financiación de Riesgos : Se enfoca en garantizar la habilidad de conocer recursos financieros y las perdidas que pueden ocurrir en ellos. Frecuentemente los riegos se transfieren o se retienen. Cuando se retienen se acompañan de una colocación específica del presupuesto y puede abarcar la acumulación de un recurso financiero para conocer sus desviaciones. Cuando se transfiere abarcan los arreglos contractuales y la subcontratación de ciertas actividades.
 
2.3 PROCESO DE LA ADMINISTRACIÓN DE RIESGOS
 
El proceso consta de los siguientes pasos :
 
n Determinar los Objetivos : El primer paso en la administración de riesgos es decidir precisamente el programa de administración de riesgos. Para obtener el máximo beneficio de los gastos asociados con la administración de riesgos un plan es necesario. De otro modo, es ver el proceso de administración de riesgos como una serie de problemas aislados mas bien que un problema sencillo, y no hay guías para proveer una consistencia lógica en los procesos de la organización.
 
El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, garantizar la supervivencia de la organización, minimizando los costos asociados con los riesgos. Muchos de los defectos en la administración de riesgos radica en la ausencia de objetivos claros.
 
Los objetivos de la administración de riesgos están formalizados en una “política corporativa de administración de riesgos”, la cual describe las políticas y medidas tomadas para su consecución.
 
Idealmente los objetivos y las políticas de administración de riesgos deben ser producto de las decisiones de la Junta Directiva de la compañía.
 
n Identificación de los Riesgos : Es difícil generalizar acerca de los riesgos de una organización porque las condiciones y operaciones son distintas, pero existen formas de identificarlos entre las cuales están:
 
· Herramientas de identificación de riesgos : Las más importantes herramientas usadas en la identificación de riesgos incluyen: registros internos de la organización, listas de chequeo para políticas de seguros, cuestionarios de análisis de riesgos, flujos de procesos, análisis financiero, inspección de operaciones y entrevistas.
 
· Aproximación de combinación : La aproximación preferida en la identificación de riesgos consiste de una aproximación de combinación, en el cual todas las herramientas de identificación de riesgos están hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Los riesgos pueden surgir de muchas fuentes, por lo cual el administrador de riesgos necesita un sistema de información de búsqueda rápida, diseñado para proveer el flujo de información acerca de cambios en operaciones y cambios en las relaciones con las entidades externas.
 
n Evaluación de Riesgos : Una vez que los riesgos han sido identificados el administrador de riesgos debe evaluarlos. Esto envuelve la medición del potencial de las pérdidas y la probabilidad de la pérdida categorizando el orden de las prioridades. Un conjunto de criterios puede ser usado para establecer una prioridad, enfocada en el impacto financiero potencial de las pérdidas, por ejemplo :
 
· Riesgos críticos : Todos las exposiciones a pérdida en las cuales la magnitud alcanza la bancarrota.
· Riesgos importantes : Son exposiciones a pérdidas que no alcanzan la bancarrota, pero requieren una acción de la organización para continuar las operaciones.
· Riesgos no importantes : Exposiciones a pérdidas que no causan un gran impacto financiero.
 
n Consideración de alternativas y selección de mecanismos de tratamiento de riesgos : El próximo paso es considerar las técnicas que puedan ser usadas para tratar con riesgos. Estas técnicas incluyen : evitar los riesgos, retención, transparencia y reducción. Algunas políticas de la administración de riesgos de la organización establece el criterio a ser aplicada en la elección de técnicas, haciendo un bosquejo de las reglas con las cuales el administrador de riesgos, puede operar.
 
n Implementación de la Decisión, Evaluación y Revisiones : Este paso debe ser incluido por 2 razones. Primero, el proceso de administración de riesgos no es la panacea definitiva, las cosas pueden cambiar nuevos riesgos surgen y riesgos viejos desaparecen, el programa de administración de riesgos permite al administrador de riesgos revisar decisiones y descubrir errores.  
 
2.4 RESPONSABILIDADES DEL ADMINISTRADOR DE RIESGOS
 
1.  Desarrollar políticas de administración de riesgos : El administrador de riesgos ayuda a la organización en la identificación de objetivos y preparación de políticas junto a la alta gerencia.  
2.  Identificar los riesgos : Es considerablemente la función más difícil de la administración de riesgos. Este proceso requiere un gran sistema de información que alertará al administrador de riesgos sobre nuevas exposiciones a pérdida.  
3.  Seleccionar alternativas financieras : Basado en la estructura financiera de la organización, el administrador de riesgos recomienda el camino a tomar.  
4.  Negociar el alcance de la seguridad : El administrador de riesgos debe determinar que aseguramiento es necesario y debe obtener la mejor combinación entre alcance y costo.  
5.  Supervisar la administración interna : Esta función incluye estadísticas de pérdida, manuales de administración de riegos, monitorización de renovaciones y administración de horarios.  
6.  Administrar funciones de riesgo : Esta función incluye : monitorización de seguros y supervisión de contratos de seguros.  
7.  Supervisar la prevención a pérdidas : Sin ser expertos deben tener un conocimiento global del área expuesta a perdida.
 
3. DECISIONES EN LA ADMINISTRACION DE RIESGOS
 
Las principales decisiones a tomar en la administración de riesgos son :
 
n Reacciones instintivas al riesgo : El instinto natural de auto-preservación, la reacción instintiva al peligro, son medidas de control que pueden ser clasificadas como un comportamiento aprendido. Estas se convierten en estándares innatas al comportamiento y representan las reglas personales para la prevención a pérdidas.
 
n Buenas y malas decisiones en la administración de riesgos : Uno de los asuntos mas complejos en las decisiones de la administración de riegos es distinguir las buenas decisiones de las malas, porque la administración de riesgos abarca decisiones tomadas bajo condiciones de incertidumbre, siendo algunas veces juzgadas inadecuadamente. La evaluación debe ser hecha con base en información disponible y actualizada.
 
n Análisis Costo - Beneficio: El análisis costo - beneficio procura medir la contribución que hace la administración de riesgos, verificando si sus beneficios exceden su costo ; actualmente el análisis de costo-beneficio puede ser utilizado para juzgar cualquier decisión donde los beneficios son realizados sobre el tiempo estimado. Aunque el análisis costo-beneficio es una buena técnica para tomar decisiones en la administración de riesgos, la naturaleza de los riesgos crea impedimentos para su uso, donde los costos son generalmente medidos, los beneficios no pueden serlos.

n Teoría de la Utilidad : La teoría de la utilidad fue originalmente introducida para explicar la naturaleza de la función de la demanda, es decir la utilidad o satisfacción derivada del beneficio económico no se incrementa proporcionalmente con los incrementos en el bien, usando esta técnica como base en la toma de decisiones surgen decisiones consistentes, aunque algunas veces inadecuadas.
 
n La Teoría de Decisión : También llamada análisis de decisión puede ser usada para determinar estrategias opcionales cuando una decisión tomada es afrontada con algunas decisiones alternativas y un modelo incierto de futuros eventos.
 
El primer paso del analista en la teoría de la decisión dado un problema es listar todas las alternativas disponibles de decisión ; el segundo paso es listar todos los futuros eventos que podrían ocurrir, estos futuros eventos son llamados los “Estados de la Naturaleza” del problema. Las situaciones de decisión se dividen en 3 tipos :
 
a.  Toma de decisiones bajo certidumbre : uno y solamente un “estado de naturaleza” existe, y la decisión es tomada con certeza.
b.  Toma de decisiones bajo riesgo : existe mas de un “estado de naturaleza”, y todos los estados disponibles son probables.
c.  Toma de decisiones bajo incertidumbre : existe mas de un “estado de naturaleza”, pero nada es conocido sobre la probabilidad o elección de ocurrencia de varios estados.
 
3.1 REGLAS DE LA ADMINISTRACIÓN DE RIESGOS
 
La administración de riesgos se ha considerado como un área funcional especial de la organización, por lo cual se han ido formalizando sus principios y técnicas. Dentro del campo de la administración de riesgos se crearon las siguientes reglas:
 
n No arriesgarse más de lo posible: el factor mas importante para determinar cuales riesgos requieren alguna acción especifica es el máximo potencial de pérdida, algunas pérdidas pueden ser potencialmente devastadoras literalmente fuera del alcance de la organización mientras tanto otras envuelven menores consecuencias financieras si el máximo potencial de pérdida de una amenaza es grande, la perdida es inmanejable o el riesgo debe ser transferido.
 
n Considerar las diferencias : Esta regla sugiere que la probabilidad de pérdida puede ser un importante factor para decidir que hacer sobre un riesgo particular .
 
n No arriesgar mucho por poco : Esta regla dicta que puede haber una razonable relación entre el costo de transferencia de riesgos y el valor que acumula el entre que los transfiere. Esta regla provee dos direcciones primero los riesgos no pueden ser retenidos cuando la pérdida posible es relativamente grande a los beneficios obtenidos a través de la retención, el segundo aspecto es que en algunas instancias el beneficio que es requerido para asegurar un riesgo no es proporcional al riesgo transferido.  
 
4. EVALUACION Y REVISION DE PROBLEMAS EN LA ADMINISTRACION DE RIESGOS
 
La evaluación y la revisión son importantes para el proceso de administración de riesgos por dos razones :
 
a.  La primera razón es que las cosas cambian, las soluciones que eran apropiadas en el pasado emergen y viejos riesgos desaparecen.
b.  Los errores están surgiendo constantemente y una revisión persistente provee una oportunidad de descubrir errores pasados.
 
4.1. EVALUACION Y REVISION GENERAL
 
Esta fase corresponde a la parte administrativa de control de la administración de riesgos, el propósito del control es verificar que las operaciones están de acuerdo con lo planeado y requiere de:
 
· Estándares y objetivos para ser llevados a cabo.
· Medir la ejecución de operaciones con estos estándares y objetivos.
· Tomas acciones correctivas cuando los resultados difieran de lo deseado.  
 
4.2 AUDITORIA EN LA ADMINISTRACION DE RIESGOS
 
El proceso de auditoria incluye los siguiente pasos :
 
· Evaluar los objetivos y las políticas de la administración de riesgos : la evaluación de un programa de administración de riesgos envuelve la medición de programas con estándares y los objetivos del programa representan los primeros estándares lógicos. Esta evaluación generalmente incluye una revisión de las finanzas de la organización y su habilidad de soportar pérdidas.
· Identificar y evaluar los riesgos después de que los objetivos han sido definidos y evaluados, el próximo paso es identificar las exposiciones a riesgos existentes en la organización, este paso consiste de un análisis de operaciones para determinar las distintas exposiciones a pérdida
· Evaluar las decisiones relacionadas a pérdida, este paso incluye una revisión de la extensión de los riesgos.
· Evaluar las medidas de la administración de riesgos que han sido implementadas. Este paso evalúa las decisiones pasadas, verificando que la decisión fue propiamente implementada. Este paso incluye una revisión de medidas de control y pérdidas financieras.
· Recomendar cambios para el beneficio del programa de auditoria .
 
4.2.1. ALCANCE DE LA AUDITORIA DE LA ADMINISTRACION DE RIESGOS
 
Las tres principales área que se pueden auditar son :
 
n Políticas de administración de riesgos : este aspecto esta enfocado en los objetivos del programa, la responsabilidad y autoridad del administrador de riesgos y la consistencia de las políticas con los objetivos.
n Control de riesgos : la naturaleza especializada de la prevención de pérdidas y control para diversos tipos de riesgos hacen necesario realizar auditorías especializadas que pueden incluir :

· Auditoria de protección
· Auditoria de seguridad
· Auditoria Ambiental
· Auditoria de seguridad informática
· Auditoria de control de pérdida de propiedades

n Función de seguridad : Esta función puede ser conducida en 2 niveles : el primero es la evaluación de su rol en el todo del programa de la administración de riesgos, el segundo es una revisión mas detallada del programa de seguridad, el cual examina su alcance, con un detallado análisis.

5. OBJETIVOS DE LA ADMINISTRACION DE RIESGOS
 
Los siguientes son los objetivos mas comunes:
 
· Garantizar el mejor manejo de los recursos
· Minimizar el costo del negocio causado por los riesgos
· Proteger a los empleados de perjuicios
· Conocer las obligaciones contractuales y legales
· Eliminar preocupaciones posteriores
 
5.1. CLASIFICACION DE LOS OBJETIVOS
 
· ECONOMICOS:

El objetivo es reducir el costo del negocio causado por los riesgos al mas bajo nivel posible.
 
· REDUCIR LA ANSIEDAD:

Se refiere a la tranquilidad obtenida de tener medidas utilizadas para manejar la adversidad. Cuando catástrofes potenciales no son manejadas, la incertidumbre puede distraer a los gerentes para tomar correctamente sus decisiones corporativas.
 
· OBTENER ESTABILIDAD:

El objetivo de la estabilidad se apoya del efecto causado por grandes variaciones que pueden surgir de terceros y como contribuir para reducir estas variaciones.
 
· CONTINUAR EL DESARROLLO:

 Maximizar los beneficios no siempre es el objetivo dominante en una organización. Otro objetivo corporativo es la habilidad de continuar creciendo.
 
· RESPONSABILIDAD SOCIAL

Se refiere a la variedad de obligaciones sociales que tiene la organización con sus empleados y con la sociedad en general; algunas veces surgen conflictos con el objetivo de la economía.  
 
5.2 POLITICAS EN LA ADMINISTRACION DE RIESGOS
 
Una política es una guía general de acción, este es un plan estándar de la organización que traduce los objetivos en guías mas específicas. Para determinar las políticas en la administración de riesgos para una organización en particular se tienen en cuenta decisiones que pueden ser hechas solamente por la gerencia de la organización. En el diseño de políticas de administración de riesgos, algunos factores son necesarios para tomar decisiones, que son:
 
· Los objetivos basicos del programa de administracion de riesgos: El principal objetivo es preservar la eficiencia operativa de la organización. Este objetivo implica evitar las perdidas financieras causadas por desastres que impidan las funciones básicas de la organización.
 
· Consolidacion del programa de retención: Cuando la política de administración de riesgos específica un máximo nivel de retención (delineamiento de exposiciones o pérdidas que no serán retenidas), se tiene un razonable direccionamiento de consolidación de perdidas retenidas, permitiendo gran flexibilidad en las decisiones de control.

6. IDENTIFICACION DE RIESGOS
 
Antes de enfrentar los riesgos, alguien debe identificarlos. Esta tarea es de nunca acabar, pues nuevas amenazas están surgiendo constantemente.
 
La identificación de riesgos es continua y depende de la red de comunicación dentro de la organización, generando un flujo constante de información acerca de las actividades de la organización.
 
6.1. METODOLOGIAS DE IDENTIFICACION DE RIESGOS
 
Las técnicas de identificación de riesgos han sido desarrolladas simultáneamente por profesionales de diferentes disciplinas, cada uno enfocado en su propia especialidad. Estos profesionales incluyen profesionales en seguros, especialistas en seguridad, ingenieros industriales, contadores e ingenieros en general.
 
Generalmente las técnicas de identificación de riesgos se desarrollaron como parte de la prevención de pérdidas y los esfuerzos de control:

· Identificacion basada en pérdidas pasadas: Hasta hace poco tiempo, la metodología primaria de identificación de riesgos fue la observación de las pérdidas que han ocurrido, como regla la identificación de los riesgos no se realiza hasta que una pérdida tome lugar. Cada vez que un riesgo ocurre, se toman medidas que posiblemente previenen la ocurrencia de pérdidas de la misma fuente. Las compañías de seguro jugaron el mayor rol en el desarrollo de las técnicas de identificación de riesgos y la mayoría de los métodos que ellas desarrollaron se basaron en el análisis de pérdidas pasadas; los aseguradores también desarrollaron listas de chequeo, que proveen una base en la cual la identificación de riesgos puede ser construida.
 
Existe un proceso llamado “Suscripción” que consiste en decidir el seguro a una exposición particular y la rata a la cual será asegurada.  En este proceso se hacen inspecciones para acumular información acerca de los riesgos; basado en estas inspecciones se puede tomar medidas correctivas , con la base en esta experiencia se ha conformado la ciencia de la identificación de riesgos.

Basado en el análisis de experiencias pasadas, se puede predecir pérdidas futuras, porque las pérdidas varían por las causas que las envuelven. Adicionalmente el registro histórico de pérdidas también es usado en la identificación de las causas de las pérdidas pasadas, lo cual sirve como base para prevenir pérdidas y medidas de control.
 
· Técnicas de sistemas de seguridad: En los años sesenta los ingenieros científicos militares de los Estados Unidos desarrollaron una aproximación de la identificación de los riesgos; históricamente los riesgos han sido identificados por la experiencia ocurrida después de que una pérdida paso.

Las actividades envueltas en el programa espacial y militar representaron nuevas fronteras, por lo cual una nueva aproximación fué necesaria. La mayor contribución del programa espacial y militar fue el cuerpo de conocimiento de prevención de pérdidas y control, fue la introducción de sistemas orientados a la seguridad. El término de “Sistemas de seguridad” es generalmente usado para describir una colección de técnicas matemáticas y lógicas que son continuamente aplicadas a la detección y corrección de amenazas a riesgos del estado conceptual del producto, a través de su detallado diseño y operaciones.

Este proceso incluye un estudio de procedimientos operacionales, procedimientos examinadores y revisiones de la alta gerencia. Los sistemas con los cuales los ingenieros estaban ocupados eran complejos que fue necesario tener una nueva visión de identificación de riesgos. Para enfrentar esta situación, los científicos desarrollaron una variedad de técnicas que son conocidas como “Sistemas de Seguridad” y que son parte del arsenal del administrador de riesgos. Algunos rasgos distinguen la aproximación de sistemas de seguridad de la metodología tradicional de prevención de pérdidas. El principal rasgo es el énfasis en la identificación de posibles causas de accidentes antes de que ocurran.
 
6.2. HERRAMIENTAS DE IDENTIFICACION DE RIESGOS
 
El término “Herramientas de identificación de riesgos” abarca algunas formas estándares y listas de chequeo que son diseñadas para facilitar el proceso de identificación de riesgos como tal, esas herramientas se distinguen como documentos que proveen una imagen de riesgos. Las herramientas proveen una guía para organizar e interpretar la información acumulada con las técnicas de identificación de riesgos.
 
· Cuestionarios de analisis de riesgos: La herramienta clave en la identificación de riesgos son los cuestionarios esos cuestionarios estan diseñados para guiar al administrador de riesgos para descubirr amenazas a través de una serie de preguntas y en algunas instancias, este instrumento esta diseñado para inculir riesgos asegurables e inasegurables. El cuestionario de análisis de riesgos esta diseñado para servir como un repositorio de la información acumulada de documentos, entrevistas e inspecciones. Su propósito es guiar a la persona que intenta identificar exposiciones a riesgo a través del proceso de la identificación en un modelo lógico y consistente.
 
· Listas de chequeo de exposiciones a riesgo: Una segunda ayuda importante en la identificación de riesgos y una de las mas comunes herramientas en el análisis de riesgos son las listas de chequeo, las cuales son simplemente una listas de exposiciones a riesgo.
 
· Listas de chequeo de politicas de seguridad: Esta herramienta incluye un catálogo de varias políticas de seguridad que un negocio dado puede necesitar. El administrador de riesgos consulta las políticas recolectadas y aplicadas a la firma.
 
· Sistemas expertos: Un sistema experto usado en la administración de riesgos incorpora los aspectos de las herramientas descritas en una sola herramienta. La naturaleza integrada del programa permite al usuario generar propósitos escritos y prospectos.  

Página Siguiente

Nota: Es probable que en esta página web no aparezcan todos los elementos del presente documento.  Para tenerlo completo y en su formato original recomendamos descargarlo desde el menú en la parte superior

Alberto Cancelado González

http://pwp.etb.net.co/acancelado2/alberto.htm

acanceladoarrobahotmail.com 

Comentarios
comments powered by Disqus

Nuevas publicaciones

⇐ Hazte Fan en Facebook
⇐ Síguenos en Twitter
⇐ Agréganos en Google +
⇐ Suscríbete vía Email
"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas"
George Bernard Shaw
Comparte conocimiento
Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.