Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ADMINISTRACION DE RIESGOS
INSTITUCIONALES
SUPER INTENDENCIA DE SOCIEDADES Código: GC-G-002
1. INFORMACION GENERAL.
1CONDICIONES GENERALES
SUPER INTENDENCIA DE SOCIEDADES Código: GC-G-002
Es necesario que las personas y partes involucradas tanto internas como externas, se
mantengan informadas en cada fase del proceso de la gestión de riesgos y que se
establezcan los mecanismos de consulta y comunicación con el fin de mantener
informados y al día este proceso.
Comunicación y Consulta
Monitoreo y Revisión
1.2 Establecer el Contexto
Dependiendo del contexto definido, el responsable deberá conocer los aspectos más
relevantes de la Entidad, el proceso / área / proyecto / servicio de TI / o del negocio a
Establecimiento
la cual se le desarrollará el proceso de Gestión de Riesgos. Entre otros podrían
del Contexto
contener lo siguiente:
Es posible obtener perfiles de riesgo o mapas de calor que podrán ser visualizados,
dependiendo de la información que sea contenida, facilitando a la Entidad actuar de
manera proactiva frente a esta información, entre otros:
E Extremo
A Alto
M Medio
B Bajo
Casi Cierta
A A E E E
(5)
Muy
Probable M A A E E
(4)
Probabilidad
Posible
B M A E E
(3)
Improbable
B B M A E
(2)
Rara
B B M A A
(1)
Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Consecuencia
SUPER INTENDENCIA DE SOCIEDADES Código: GC-G-002
La mayor severidad que se puede dar de un riesgo de acuerdo a los rangos y tablas
definidos en esta guía es de 25 (5 x 5) y la menor es de 1 (1 x 1).
TABLA DE LA CONSECUENCIA
Impacto en
Comunidad /
Objetivos Comunidad /
Impacto Salud y Reputación /
Valor Descriptor Corporativos PRODUCTIVIDAD Reputación / Legales
Financiero Seguridad Medios a nivel
(Estratégicos Medios
interno
y de Calidad).
Sobrecarga de De
Pérdida de
trabajo > 80% (Sí conocimiento
vidas Acusaciones y
inicia de cero y Sí del Comité
humanas, Efecto multas
Impacto sobre es indispensable Gerencial
discapacidad publicitario significativas
la misión yMayor ala participación de
5 Catastrófico permanente sostenido a organismo
visión de la275,000,000 otros). Tiempo
(mayor al 50%)nivel país e regulador.
Entidad tolerable de
o incapacidadinternacional. Litigios muy
interrupción
mayor o igual serios.
menor o igual a 24
a 91 días.
horas.
Sobrecarga deDiscapacidad De
trabajo >= 50% y <superior o conocimiento
80 % (Sí inicia deigual al 26% y Grupo
Requerimiento
cero ymenor al 50% Primario
Impacto crítico Efecto formal o
Mayor aposiblemente Síde la
sobre por lo publicitario y investigación
100,000,000 es indispensablecapacidad
4 Mayor menos un sostenido a organismo
y menor ala participación delaboral o
objetivo nivel regulador.
275,000,000 otros). Tiempoincapacidad
corporativo departamental. Litigios
tolerable demayor o igual
mayores.
Interrupción entrea 31 días y
24 horas y 48menor o igual
horas. a 90 días.
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
Sobrecarga de De
trabajo >= 30% y < conocimiento
50 % (Sí inicia deDiscapacidad Áreas y
cero ymenor al 25% Jefaturas Requerimiento
Afecta por loMayor a Efecto
posiblemente, Noo incapacidad del organismo
menos un42,000,000 y publicitario en
3 Moderado es indispensablemayor o igual regulador.
objetivo delmenor a la ciudad y en
la participación dea 15 y menor Litigios
proceso. 100,000,000 las empresas
otros. Tiempoo igual 30 menores.
tolerable dedías.
Interrupción entre
2 y 4 días.
Sobrecarga de De
trabajo >= 10% y < conocimiento
30 % Equipos de
(posiblemente, NoIncapacidad Trabajo Requerimiento
Afecta elMayor a Efecto
inicia de cero y Nomayor o igual del organismo
cumplimiento 20,000,000 y publicitario en
2 Menor es indispensablea 3 días y regulador.
de objetivosmenor a las empresas
la participación demenor a 15 Conciliaciones
individuales. 42,000,000 vinculadas.
otros). Tiempodías. menores.
tolerable de
Interrupción entre
5 y 10 días.
Sobrecarga de De
Afecta el
trabajo < 10% ( No Sin efectoconocimiento
cumplimiento
inicia de cero y NoIncapacidad publicitario, de algunos los
de las metasHasta $ Asuntos legales
1 Insignificante es indispensablemenor a 3incremento enFuncionarios
en una20,000,000 menores.
la participación dedías. quejas ydel proceso.
actividad
otros) . Tiempo reclamos
específica.
tolerable de
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
Interrupción más
de 10 días.
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
TABLA DE LA PROBABILIDAD
Valor Descriptor Posibilidad, Frecuencia, para Frecuencia Frecuencia, para Frecuencia, Probabilidad
nunca se ha actividades Operaciones, procesos Eventos naturales Matemática
materializado el diarias eventos esporádicos.
evento, no hay operativos donde
historia en el hay estadística.
sector
Error mayor al
Ocurre en la El evento ocurre Más de 5 veces al Una vez al año o
5 Casi Cierta 10% de las Mayor al 0.5
mayoría de veces diariamente año hasta tres años
operaciones
Error mayor al 5%
Posiblemente
El evento ocurre y menor o igual al Una vez cada tres Entre el 0.3 y el
4 Muy Probable ocurra en todas 4 veces al año
mensualmente 10% de las años 0.5
las veces
operaciones
Alguna Error mayor al
El evento ocurre
posibilidad en 3% y menor o Una vez cada diez Entre el 0.1 y el
3 Posible una vez cada 3 veces al año
que el evento igual al 5% de las años 0.3
seis meses
ocurra operaciones
Insignificante
Error mayor al 1%
posibilidad de El evento ocurre Una vez cada Entre el 0.01 y
2 Improbable y menor al 3% de 2 veces al año
que el evento una vez al año treinta años el 0.1
las operaciones
ocurra
Puede ocurrir en El evento ocurre Error menor o
Una vez cada cien
1 Rara circunstancias una vez cada 5 igual al 1% de las 1 vez al año Menor del 0.01
años
excepcionales años o más operaciones
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
Que puede ocurrir: Este elemento descriptivo, se asocia a las áreas de impacto
identificadas.
Porque puede ocurrir: Esta parte del riesgo se asocia a las fuentes de riesgo
identificadas y específicamente, tratando de identificar la causa raíz o evento que
pudiera generar la consecuencia o impacto del riesgo.
Como puede ocurrir: Se asocia igualmente a las fuentes de riesgo identificadas pero
en este caso se identifica la causa mediata que posiblemente pueden en una mayor o
menor medida, incidir en la consecuencia o impacto del riesgo.
Cuando y Donde puede ocurrir: Específicamente cuando (en qué momento) puede
ocurrir el riesgo y Donde (en qué lugar/área) puede este ocurrir.
Los controles son las políticas, procesos, dispositivos, prácticas u otras acciones que
actúan para eliminar, mitigar, tratar o minimizar los riesgos adversos o mejorar
oportunidades positivas. Proveen una seguridad razonable relativa al logro del
propósito del proceso, los objetivos de la Entidad, y por ende su misión y visión.
Dentro del análisis de los riesgos identificados el responsable identifica los controles
asociados al riesgo. Esta lista contendrá el nombre corto del control, la descripción, el
responsable y la periodicidad.
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
Como apoyo a esta fase, se podrá contar con la caracterización de los procesos donde
se debería encontrar detallados todos los controles asociados. Igualmente, el
responsable del riesgo debe tener en cuenta que existen controles que no
necesariamente están bajo su responsabilidad.
A medida que se identifican los riesgos y los mismos son validados y depurados, se
inicia la valoración del riesgo absoluto.
FACTOR DE Máximo
CARACTERÍSTICA CALIFICACIÓN
EVALUACIÓN Puntaje
Modo de Automático 30
Implementación del 30 Combinado 20
Control Manual 10
Está documentado 20
Documentado 20 Está Parcialmente Documentado 12
No está documentado 8
El porcentaje de 20 Entre el 81 y 100% de las veces 20
veces que se ejecuta Entre el 61 y 80% de las veces 15
SUPER INTENDENCIA DE SOCIEDADES Código: GE-G-004
FACTOR DE Máximo
CARACTERÍSTICA CALIFICACIÓN
EVALUACIÓN Puntaje
Entre el 31 y 60% de las veces 10
el control Entre el 01 y 30% de las veces 5
Grado de Simple 20
Complejidad del 20 Medianamente Complejo 12
Control Complejo 8
De todas las actividades del
10
proceso (Sustancial)
Deja evidencia de
10 Deja Evidencia en algunas
ejecución 6
actividades del Proceso (Material)
No deja evidencia (Informal) 4
TOTAL
100
CALIFICACIÓN
VARIABLE PESO
Efectividad 70%
Cobertura 30%
3 Evaluar Riesgos
4 Tratar el Riesgo
Puede ocurrir que ignorar el riesgo se efectúe de una manera inapropiada porque
exista una actitud de aversión al riesgo. Evitar de manera inadecuada un riesgo
puede incrementar la significancia de otros riesgos.
5 Monitorear y Revisar
Los Riesgos bajos o aceptables, aunque no requieren acción, deben ser monitoreados
y periódicamente revisados, para asegurar que ellos se mantienen en niveles
aceptables.
Como mínimo una vez al año se revisa y actualiza el mapa de riesgos de la entidad; a
menos que por el estado del proceso o por su nivel de importancia sea necesario
hacerlo con mayor frecuencia.
Esta actualización es responsabilidad del líder de proceso quien con el apoyo de los
líderes del Sistema de Gestión de Calidad y del Sistema de Gestión de Seguridad de
la información o quien haga sus veces, revisara y actualizara el mapa de riesgos de su
proceso facilitando esta labor. Cuando corresponda se deberá incorporar las
Intendencias Regionales.
Para esta revisión el líder de proceso puede reunirse con los involucrados o a través
de mecanismos virtuales solicitarles una revisión al mapa actual para determinar que
riesgos deben incluirse, excluirse o mantenerse en la herramienta.
8 CONTROL DE CAMBIOS
Versión Vigencia Vigencia Identificación de los cambios Responsable
Desde Hasta
001 16 de mayo de 10 de Creación del documento Coordinador Grupo de
2014 noviembre de Arquitectura
2014 Empresarial y SGI.
002 10 de 27 de agosto Ajuste de acuerdo al aplicativo de Coordinador Grupo de
noviembre de de 2015 riesgos ERA KAIROS y eliminación Arquitectura del
2014 de documentos obsoletos. Negocio y SGI.
003 27 de agosto Inclusión del capítulo 8. Evaluación Coordinador Grupo de
de 2015 de los controles implementados y Arquitectura del
ajuste con la estructura del SGI. Negocio y SGI.