Auditoria Riesgos - Cmmi - Sg1
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Auditoria Riesgos - Cmmi - Sg1 as PDF for free.
More details
- Words: 1,680
- Pages: 9
SISTEMA DE ADMINISTRACION DE PERSONAL Gestión del Riesgo SG 1: Prepararse para la Gestión del Riesgo: SP 1.1 Determinar las fuentes y categorías de riesgo 1 Determinar las fuentes de riesgo Factores de Riesgo
Eventos Naturales
Relaciones comerciales y Legales
Circunstancias políticas
Circunstancias Económicas y financieras
Fuentes de Riesgo Desastres naturales (terremotos, inundaciones, incendios, huracanes, derrumbes, erupciones volcánicas, tsunami, etc.) Incumplimiento de la normativa vigente (Normas y regulaciones) Exposición legal o publicidad adversa (deterioro de imagen) Cambios en el mercado, industria o condiciones económicas Condiciones competitivas inadecuadas Impacto negativo en imagen corporativa (servicio al cliente y proveedores) Cambios en las autoridades gubernamentales Cambios de la política internacional Golpe de Estado. Políticas públicas inconsistentes e ineficientes Bajos Ingresos Falta de Liquidez Gastos excesivos Costos excesivos de los proyectos Transacciones
Riesgo
Incapacidad operativa para brindar el servicio
Exposición a sanciones y demandas contra la institución, aplicación de responsabilidad administrativa y civil para los funcionarios.
No se permita la continuidad con los objetivos, planes y proyectos institucionales
Incapacidad de hacer frente a los compromisos financieros internos y externos
Aspectos Tecnológicos
Comportamiento Humano
costosas Cambios en la tecnología (obsolescencia y renovación de equipo) Deficiencia en la administración del ambiente automatizado Falta confiabilidad del hardware/ software Inadecuada aplicación a la administración del cambio Falta de una planificación de contingencia efectiva Falta de adherencia a la metodología de desarrollo de sistemas Conexión externa ineficiente Seguridad informática deficiente Falta de competencia, aptitud e integridad del personal Estructura inadecuada de la organización Estructura ocupacional deficiente Niveles de personal inapropiados Moral baja y rotación inoperante, cambio en el personal clave Ineptitud, falta de entrenamiento y desarrollo Liderazgo escaso, clima anti-ético y falta de solidez de la gerencia para el logro de los objetivos Falta de políticas y procedimientos para el rendimiento y compensación Segregación ineficiente de las funciones Falta o escaso clima organizacional Mala o ausencia de
Incapacidad operativa para brindar el servicio
Perdidas financieras, de imagen, confiabilidad de usuarios internos y externos
Actividades y controles Gerenciales
coordinación Participación inmotivada por parte de los jerarcas Vandalismo (robo, daños, etc.) Complejidad y volatibilidad de las actividades Dispersión geográfica de las operaciones Juicios gerenciales subjetivos Ausencia de protección y conservación del patrimonio propiciando pérdida, despilfarro, uso indebido, irregularidad o acto ilegal Ausencia de eficiencia y eficacia en las operaciones Infraestructura inadecuada y deficiente Gestión ineficiente al cambio Desempeño ineficiente Criterios inadecuados en las operaciones Presupuesto insuficiente Ausencia de planificación Planificación inadecuada Falta de efectividad y oportunidad en los sistemas de control interno Complejidad/ interdependencia de las operaciones Incidentes, errores y omisiones (dolo y fraude). Planificación estratégica mal planteada, sin compromiso con las metas y objetivos
Inoperancia para brindar el servicio y falta de información confiable para el que hacer institucional
Ausencia de delegación Falta de instrucciones por escrito Ausencia de Archivos de gestión (mantenimiento de documentos y registros inapropiados) Volumen de transacciones inmanejables Accesos inapropiados a registros – inexistencia de formularios y registros Sistemas contables deficientes
2 Determinar las categorías de riesgo Eventos Naturales: Eventos del medio ambiente que afectan negativamente a la organización y que están causados por fuerzas de la naturaleza como fenómenos atmosféricos, hidrológicos, geológicos (especialmente sísmicos y volcánicos) y a los incendios que por su ubicación, severidad y frecuencia, tienen el potencial de afectar adversamente al ser humano, a sus estructuras y a sus actividades. Relaciones Comerciales y Legales: surgen como resultado de la interacción de la organización con sus clientes, proveedores, mercado, actividades propias del negocio y normativa vigente que en un momento dado podría causar influencia negativa a la organización. Circunstancias Políticas: pueden ocurrir por circunstancias de que afecten negativamente a la organización como consecuencia de cambios en la política nacional o internacional. Circunstancias Económicas y Financieras: es una medida de la exposición de la organización a pérdidas financieras o económicas y las dificultades provenientes de ellas. Aspectos Tecnológicos: ocurre cuando las tecnologías de información en lugar de apoyar el logro de los objetivos, no están operando como se intenta o están comprometiendo la disponibilidad, integridad y seguridad de la información y otros activos. Comportamiento Humano: surge cuando la falta de: valores éticos, estructura organizacional apropiada, o administración eficaz y eficiente, personal adecuado e idóneo ponen en peligro los objetivos institucionales o producen perdidas, sustracciones o deterioro a la organización.
Actividades y Controles Gerenciales: es el riesgo que surge cuando la información para apoyar las decisiones es incompleta, infraestructura inadecuada, presupuesto insuficiente. Actividades y Controles Gerenciales: SP 1.2 Definir los parámetros usados para analizar y categorizar riesgos, y los parámetros usados para controlar el esfuerzo de gestión del riesgo. 1 Criterio de Evaluación y Cuantificación de probabilidad y niveles de severidad de riesgo. El criterio de evaluación y cuantificación de probabilidad de riesgos esta fundamentada en la Teoría Estadística Bayesiana, la cual se basa en la enumeración de diferentes eventos posibles y la asociación de cada uno con una probabilidad de ocurrencia, así mismo el cálculo de la severidad del riesgo o niveles de riesgo, esto se calcula: Nivel de Riesgo = Probabilidad del Riesgo x Impacto del Riesgo
2 Definir los niveles limite para cada categoría de riesgo.
3 Definir el grado o alcance al cual los niveles limite son aplicables versus o dentro de una categoría.
SP 1.3 Establecer y mantener la estrategia a ser usada para gestión del riesgo. Las estrategias usadas para el manejo de los riesgos presentados son los siguientes: Evitar el riesgo: Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Reducir el riesgo: Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede copiar y almacenar en otro lugar seguro, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo; se traslada el riesgo a otra parte o físicamente se traslada a otro lugar.
Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia, o retro cediendo su cobertura. Asumir el riesgo: Luego que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso, simplemente se acepta la pérdida residual probable y se elaboran planes de contingencia para su manejo. SG 2: Identificar y Analizar los Riesgo: SP 2.1 Identificar y documentar los riesgos Los riesgos que hemos encontrado en nuestro proyecto son los siguientes: IDENTIFICACION DE FACTORES Y ORIGINADORES DEL RIESGO Nº
Factores del Riesgo
Originadores del Riesgo
Descripción del Riesgo
Posibles consecuencias El sistema entregado con los requerimientos quizás no cumplan las expectativas del cliente (administrador)
1
Comportamiento Mala o ausencia Humano de coordinación
El administrador no dispone de tiempo para reuniones y evaluaciones periódicas
2
Cambios en la tecnología (obsolescencia y renovación de equipo)
El ambiente computacional trabaja con algunas plataformas en Linux.
El sistema está en .net, por lo cual solo trabaja en familia Windows.
Ineptitud, falta de entrenamiento y desarrollo
El personal estaba orientado a trabajar en php, con base de datos MySQL.
La operación del sistema no será i no se conoce la plataforma de desarrollo y trabajar en ella normalmente.
3
Aspectos Tecnológicos
Comportamiento Humano
Elementos del Entorno: El Estado; entorno al sistema propuesto podría afectar si es que se cambiara las leyes salariales, de contrato, entre otros o cambios en las gestiones. La Tecnología; entorno al sistema propuesto, el gran avance tecnológico podría afectar en la parte operativa de la empresa, la cual necesitara de un mayor soporte para el manejo de control. Para la completa identificación de los riesgos se revisara cada punto del edt, la cual está compuesta por los siguientes puntos: 1. Definición de requerimientos
2. Análisis a. Análisis de Requerimientos Funcionales b. Análisis de Requerimientos no Funcionales c. Modelo Conceptual 3. Diseño a. Diseño de Arquitectura b. Diseño de Base de Datos c. Diseño de Interfaces d. Diseño de Seguridad 4. Programación a. Codificación b. Pruebas Unitarias c. Integración de componentes d. Documentación de manuales 5. Pruebas y Aceptación a. Migración del Aplicativo b. Elaboración de casos de prueba y escenarios c. Pruebas de aceptación Migración del Aplicativo 6. Implementación a. Migración del aplicativo a producción. b. Verificación de Instalación adecuada c. Capacitación 7. Gestión del Proyecto a. Iniciación b. Planificación c. Ejecución d. Control e. Cierre Los riesgos encontrados serán registrados y emitidos hacia el cliente para su conformidad o para su conocimiento en el desarrollo del proyecto, evitando así posibles consecuencias, que el cliente podría aceptar o no dependiendo de la magnitud del riesgo para con el proyecto. Los documentos a presentar tendrán el siguiente formato: o o o o o o
Fecha de Emisión del Documento. Lista de factores de riesgos encontrados. Lista de las Fuentes de Riesgos. La descripción de los riesgos encontrados. Lista de posibles consecuencias por riesgos encontrado. Firma del Líder del Proyecto y del Gerente.
SP 2.2 Evaluar y categorizar cada riesgo identificado usando las categorías de riesgo y parámetros definido, y determinar su prioridad relativa.
Nº DE RIESGO
PROBABILIDAD
IMPACTO ($)
1
0.5
1000000
2
0.3
20000
3
0.2
40000
Factor de Riesgo (R1) = 0.5*1000000 = 500000 Factor de Riesgo (R2) = 0.3*20000 = 6000 Factor de Riesgo (R3) = 0.2*40000 = 24000 Nº DE RIESGO
PRIORIDAD
1
1
2
3
3
2
Eventos Naturales
Relaciones comerciales y Legales
Circunstancias políticas
Circunstancias Económicas y financieras
Fuentes de Riesgo Desastres naturales (terremotos, inundaciones, incendios, huracanes, derrumbes, erupciones volcánicas, tsunami, etc.) Incumplimiento de la normativa vigente (Normas y regulaciones) Exposición legal o publicidad adversa (deterioro de imagen) Cambios en el mercado, industria o condiciones económicas Condiciones competitivas inadecuadas Impacto negativo en imagen corporativa (servicio al cliente y proveedores) Cambios en las autoridades gubernamentales Cambios de la política internacional Golpe de Estado. Políticas públicas inconsistentes e ineficientes Bajos Ingresos Falta de Liquidez Gastos excesivos Costos excesivos de los proyectos Transacciones
Riesgo
Incapacidad operativa para brindar el servicio
Exposición a sanciones y demandas contra la institución, aplicación de responsabilidad administrativa y civil para los funcionarios.
No se permita la continuidad con los objetivos, planes y proyectos institucionales
Incapacidad de hacer frente a los compromisos financieros internos y externos
Aspectos Tecnológicos
Comportamiento Humano
costosas Cambios en la tecnología (obsolescencia y renovación de equipo) Deficiencia en la administración del ambiente automatizado Falta confiabilidad del hardware/ software Inadecuada aplicación a la administración del cambio Falta de una planificación de contingencia efectiva Falta de adherencia a la metodología de desarrollo de sistemas Conexión externa ineficiente Seguridad informática deficiente Falta de competencia, aptitud e integridad del personal Estructura inadecuada de la organización Estructura ocupacional deficiente Niveles de personal inapropiados Moral baja y rotación inoperante, cambio en el personal clave Ineptitud, falta de entrenamiento y desarrollo Liderazgo escaso, clima anti-ético y falta de solidez de la gerencia para el logro de los objetivos Falta de políticas y procedimientos para el rendimiento y compensación Segregación ineficiente de las funciones Falta o escaso clima organizacional Mala o ausencia de
Incapacidad operativa para brindar el servicio
Perdidas financieras, de imagen, confiabilidad de usuarios internos y externos
Actividades y controles Gerenciales
coordinación Participación inmotivada por parte de los jerarcas Vandalismo (robo, daños, etc.) Complejidad y volatibilidad de las actividades Dispersión geográfica de las operaciones Juicios gerenciales subjetivos Ausencia de protección y conservación del patrimonio propiciando pérdida, despilfarro, uso indebido, irregularidad o acto ilegal Ausencia de eficiencia y eficacia en las operaciones Infraestructura inadecuada y deficiente Gestión ineficiente al cambio Desempeño ineficiente Criterios inadecuados en las operaciones Presupuesto insuficiente Ausencia de planificación Planificación inadecuada Falta de efectividad y oportunidad en los sistemas de control interno Complejidad/ interdependencia de las operaciones Incidentes, errores y omisiones (dolo y fraude). Planificación estratégica mal planteada, sin compromiso con las metas y objetivos
Inoperancia para brindar el servicio y falta de información confiable para el que hacer institucional
Ausencia de delegación Falta de instrucciones por escrito Ausencia de Archivos de gestión (mantenimiento de documentos y registros inapropiados) Volumen de transacciones inmanejables Accesos inapropiados a registros – inexistencia de formularios y registros Sistemas contables deficientes
2 Determinar las categorías de riesgo Eventos Naturales: Eventos del medio ambiente que afectan negativamente a la organización y que están causados por fuerzas de la naturaleza como fenómenos atmosféricos, hidrológicos, geológicos (especialmente sísmicos y volcánicos) y a los incendios que por su ubicación, severidad y frecuencia, tienen el potencial de afectar adversamente al ser humano, a sus estructuras y a sus actividades. Relaciones Comerciales y Legales: surgen como resultado de la interacción de la organización con sus clientes, proveedores, mercado, actividades propias del negocio y normativa vigente que en un momento dado podría causar influencia negativa a la organización. Circunstancias Políticas: pueden ocurrir por circunstancias de que afecten negativamente a la organización como consecuencia de cambios en la política nacional o internacional. Circunstancias Económicas y Financieras: es una medida de la exposición de la organización a pérdidas financieras o económicas y las dificultades provenientes de ellas. Aspectos Tecnológicos: ocurre cuando las tecnologías de información en lugar de apoyar el logro de los objetivos, no están operando como se intenta o están comprometiendo la disponibilidad, integridad y seguridad de la información y otros activos. Comportamiento Humano: surge cuando la falta de: valores éticos, estructura organizacional apropiada, o administración eficaz y eficiente, personal adecuado e idóneo ponen en peligro los objetivos institucionales o producen perdidas, sustracciones o deterioro a la organización.
Actividades y Controles Gerenciales: es el riesgo que surge cuando la información para apoyar las decisiones es incompleta, infraestructura inadecuada, presupuesto insuficiente. Actividades y Controles Gerenciales: SP 1.2 Definir los parámetros usados para analizar y categorizar riesgos, y los parámetros usados para controlar el esfuerzo de gestión del riesgo. 1 Criterio de Evaluación y Cuantificación de probabilidad y niveles de severidad de riesgo. El criterio de evaluación y cuantificación de probabilidad de riesgos esta fundamentada en la Teoría Estadística Bayesiana, la cual se basa en la enumeración de diferentes eventos posibles y la asociación de cada uno con una probabilidad de ocurrencia, así mismo el cálculo de la severidad del riesgo o niveles de riesgo, esto se calcula: Nivel de Riesgo = Probabilidad del Riesgo x Impacto del Riesgo
2 Definir los niveles limite para cada categoría de riesgo.
3 Definir el grado o alcance al cual los niveles limite son aplicables versus o dentro de una categoría.
SP 1.3 Establecer y mantener la estrategia a ser usada para gestión del riesgo. Las estrategias usadas para el manejo de los riesgos presentados son los siguientes: Evitar el riesgo: Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Reducir el riesgo: Si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Dispersar y atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede copiar y almacenar en otro lugar seguro, en vez de dejarla concentrada en un solo lugar. Transferir el riesgo: Hace referencia a buscar respaldo y compartir con otro parte del riesgo; se traslada el riesgo a otra parte o físicamente se traslada a otro lugar.
Así mismo, el riesgo puede ser minimizado compartiéndolo con otro grupo o dependencia, o retro cediendo su cobertura. Asumir el riesgo: Luego que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso, simplemente se acepta la pérdida residual probable y se elaboran planes de contingencia para su manejo. SG 2: Identificar y Analizar los Riesgo: SP 2.1 Identificar y documentar los riesgos Los riesgos que hemos encontrado en nuestro proyecto son los siguientes: IDENTIFICACION DE FACTORES Y ORIGINADORES DEL RIESGO Nº
Factores del Riesgo
Originadores del Riesgo
Descripción del Riesgo
Posibles consecuencias El sistema entregado con los requerimientos quizás no cumplan las expectativas del cliente (administrador)
1
Comportamiento Mala o ausencia Humano de coordinación
El administrador no dispone de tiempo para reuniones y evaluaciones periódicas
2
Cambios en la tecnología (obsolescencia y renovación de equipo)
El ambiente computacional trabaja con algunas plataformas en Linux.
El sistema está en .net, por lo cual solo trabaja en familia Windows.
Ineptitud, falta de entrenamiento y desarrollo
El personal estaba orientado a trabajar en php, con base de datos MySQL.
La operación del sistema no será i no se conoce la plataforma de desarrollo y trabajar en ella normalmente.
3
Aspectos Tecnológicos
Comportamiento Humano
Elementos del Entorno: El Estado; entorno al sistema propuesto podría afectar si es que se cambiara las leyes salariales, de contrato, entre otros o cambios en las gestiones. La Tecnología; entorno al sistema propuesto, el gran avance tecnológico podría afectar en la parte operativa de la empresa, la cual necesitara de un mayor soporte para el manejo de control. Para la completa identificación de los riesgos se revisara cada punto del edt, la cual está compuesta por los siguientes puntos: 1. Definición de requerimientos
2. Análisis a. Análisis de Requerimientos Funcionales b. Análisis de Requerimientos no Funcionales c. Modelo Conceptual 3. Diseño a. Diseño de Arquitectura b. Diseño de Base de Datos c. Diseño de Interfaces d. Diseño de Seguridad 4. Programación a. Codificación b. Pruebas Unitarias c. Integración de componentes d. Documentación de manuales 5. Pruebas y Aceptación a. Migración del Aplicativo b. Elaboración de casos de prueba y escenarios c. Pruebas de aceptación Migración del Aplicativo 6. Implementación a. Migración del aplicativo a producción. b. Verificación de Instalación adecuada c. Capacitación 7. Gestión del Proyecto a. Iniciación b. Planificación c. Ejecución d. Control e. Cierre Los riesgos encontrados serán registrados y emitidos hacia el cliente para su conformidad o para su conocimiento en el desarrollo del proyecto, evitando así posibles consecuencias, que el cliente podría aceptar o no dependiendo de la magnitud del riesgo para con el proyecto. Los documentos a presentar tendrán el siguiente formato: o o o o o o
Fecha de Emisión del Documento. Lista de factores de riesgos encontrados. Lista de las Fuentes de Riesgos. La descripción de los riesgos encontrados. Lista de posibles consecuencias por riesgos encontrado. Firma del Líder del Proyecto y del Gerente.
SP 2.2 Evaluar y categorizar cada riesgo identificado usando las categorías de riesgo y parámetros definido, y determinar su prioridad relativa.
Nº DE RIESGO
PROBABILIDAD
IMPACTO ($)
1
0.5
1000000
2
0.3
20000
3
0.2
40000
Factor de Riesgo (R1) = 0.5*1000000 = 500000 Factor de Riesgo (R2) = 0.3*20000 = 6000 Factor de Riesgo (R3) = 0.2*40000 = 24000 Nº DE RIESGO
PRIORIDAD
1
1
2
3
3
2
