Servicio Nacional de Aprendizaje

PROGRAMA DE FORMACIÓN COMPLEMENTARIA

CÁTEDRA VIRTUAL DE PENSAMIENTO
EMPRESARIAL – MÓDULO III: EMPRESA Y GESTIÓN

DEFINIR CRITERIOS PARA LA

EVALUACIÓN DE RIESGO TENIENDO
EN CUENTA FACTORES: INTERNOS Y
EXTERNOS DE LA ORGANIZAICÓN

CALI (VALLE DEL CAUCA)

2020
 Servicio Nacional de Aprendizaje SENA

FORMATO PARA ELABORACIÓN DE

EVIDENCIA DE PRODUCTO

CRITERIOS PARA LA EVALUACIÓN DEL RIESGO.

Teniendo en cuenta el material de estudio revisado y los conocimientos planteados

para el logro del resultado de aprendizaje “21030102102. Definir los criterios del
riesgo, acorde a la planeación de la organización.”, en este documento escrito
donde defina los criterios que aplicaría en la evaluación de los riesgos, teniendo en
cuenta los factores externos e internos.

La evaluación de riesgo involucra un proceso dinámico e interactivo para identifica y

analizar riesgo que afectan los objetivos propios de la institución los riesgos de
definen como eventos que afectan negativamente el cumplimiento de los objetivos
institucionales.
Después de establecer un ambiente de control efectivo, la administración debe
evaluar los riesgos que enfrenta la institución para el logro de sus objetivos. Ésta
evaluación proporciona las bases para el desarrollo de respuestas al riesgo
apropiada. Así mismo debe evaluar los riesgos que enfrenta la institución tanto de
fuentes internas como externas.
El proceso de evaluación de riesgo requiere establecer objetivos institucionales y
asignarlos a los responsables de sus cumplimientos, posteriormente requiere
identificar y evaluar los riesgos que pudieran impedir los objetivos institucionales. Es
importante identificar y analizar los cambios que pudieran impactar en el sistema de
control interno, además se debe de evaluar la probidad de malversación o
dispendios de recursos.

Ejemplo

Origen de la amenaza Efecto de la organización Origen de la

Amenaza

Riesgos externos Eficiencia y eficacia de las Riesgo de la

Operaciones. Identidad.

Riesgos internos Integridad de la información Riesgo de

Financiera. Proceso.

Riesgos inherentes Cumplimiento de las leyes y Riesgo de

Reglamentaciones. Actividades.
Es importante destacar la importancia de la evaluación del riesgo pues es un
proceso que sirve para identificar los eventos que pueden afectar negativamente el
cumplimiento de los objetivos.

PRINCIPIO 6
El titular con el apoyo de la administración se debe definir claramente los objetivos
institucionales y formular un plan estratégico que de manera coherente y ordenada
se asocien a estos y a su mandato legal, asegurando además que dicha planeación
estratégica contemple la alineación institucional a los planes nacionales, regionales
sectoriales y todos los demás instrumentos y normativas vinculatoria que
correspondan.
Principio 7
La administración debe identificar, analizar y responder a los riesgos asociados con
cumplimiento de los objetivos institucionales así como de los procesos por donde se
obtiene los ingresos y se ejerce el gasto entre otros.
Principio 8
La administración debe consideran las posibilidad de ocurrencia de actos de
corrupción, fraudes, abuso, desperdicio y otras irregularidades relacionadas con la
adecuada salvaguarda de los recursos públicos al identificar analizar y responder a
la los riesgos en los diversos procesos que realiza la institución.
Principio 9
La administración debe identificar analizar y responder a los cambios significativos
que pueden impactar al control interno.

Medición de riesgo
El método por excelencia para medir el riesgo es una matriz cruzada en donde se
verifica que consecuencia puede tener el evento que se estudia y que probabilidad.

LAS PROBABILIDADES se grafican en un eje vertical desde la menor consecuencia

hasta la mayor consecuencia.
CONSECUENCIAS. Se grafican en un eje horizontal desde la la menor
consecuencia hasta la mayor consecuencia.

Al construir la matriz se tiene presente que un evento es catastrófico de llegar a

presentarse determina un estado en el que no puede recuperarse no hay lugar a
una segunda oportunidad.
De allí se calcula cual riesgo es alto medio y bajo.

No obstante para la evaluación de riesgo teniendo en cuenta los factores

externos e internos. Se consideran ciertos criterios para identificar evaluar y
mitigar dicho riesgo que amenaza de manera directa o indirecta la
organización.
Según Mendoza (2014) se llevan a cabo dichos pasos.

Se debe Establecer criterios de medición del riesgo para involucrar a la

organización en la concreción de los riesgos que le afectan o pueden afectar; los
criterios a creados para esta evaluación son de tipo cualitativo, en donde se evalúan
los riesgos contra la misión y objetivos de la empresa en las siguientes categorías:
✓ Reputación/confianza del cliente
✓ Financiera
✓ Productividad
✓ Seguridad/salud
✓ Multas/penas legales

De allí identificar áreas de preocupación según Mendoza (2014) dice que este paso
corresponde al desarrollo de perfiles de riesgo para los activos de información (paso
2): posibilidad de materialización de una amenaza (probabilidad) y sus
consecuencias (impacto). El área de preocupación describe el nivel real de
afectación de un activo de información, este aspecto debe generar tantas áreas
como sean necesarias para cada uno de los activos perfilados.

Identificar escenarios de amenaza:

Según Mendoza (2014) nos dice en este punto las áreas de preocupación son
extendidas a escenarios de amenaza, lo que significa la identificación de otras
preocupaciones para la organización que están relacionadas con sus activos de
información críticos y que no son visibles a primera vista, como en el paso anterior.

Identificar riesgos: Ecuación de riesgo

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se determina el impacto a la organización si se realiza un escenario de amenaza

descrito en los pasos 4 y 5, a través de los enunciados de impacto, la descripción
detallada de la manera en que se ve afectada la organización. Para ello se debe
tomar como referencia cada uno de los criterios definidos en el paso 1, es decir, las
áreas de impacto que preocupan a la empresa.

Analizar riesgos
Según Mendoza (2014) nos dice, se mide de forma cualitativa el grado en el que la
organización es afectada por una amenaza y se calcula puntuación para cada
riesgo por activo de información. Para ello, se comparan las áreas de impacto de
cada categoría de los criterios del paso 1, con el escenario de amenaza. Se debe
calcular un puntaje para cada escenario de amenaza generado, en este caso, se
considera un incidente de seguridad que se conoce públicamente, por lo que el
valor de impacto es alto (correspondiente a un 3). Para cada criterio puede existir
más de un área de impacto, por lo que en el cálculo se considera el impacto de
mayor valor. Luego se multiplica el valor de impacto del área con la prioridad
definida en el paso 1:

El resultado final o puntaje total, es la suma de los productos de la puntuación. El

resultado es un valor cuantitativo que puede ir de 0 a 45, a un valor más grande, el
impacto será mayor sobre los activos de la empresa.
Seleccionar un enfoque de mitigación
En el último paso, se deben determinar las opciones de tratamiento de riesgos con
base en los resultados del análisis, es decir, utilizando los valores de impacto y
probabilidad calculados en los pasos anteriores. Este criterio puede variar de una
organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten
con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.
 Biografía

Mendoza, M.A. (30 de septiembre de 2014) ocho pasos para hacer una evaluación
de riesgo (parte I). Recuperado el 26 de septiembre del 2016, de welivesecurity.com

Mendoza, M.A. (30 de septiembre de 2014) ocho pasos para hacer una evaluación
de riesgo (parte II). Recuperado el 26 de septiembre del 2016, de
welivesecurity.com