Beruflich Dokumente
Kultur Dokumente
GIT Ltda.
a. Responsables directos de la administracin del riesgo: Sus mediciones tienden a
ser ms precisas y complejas, por esto deben en lo posible medir la mitigacin del
riesgo, considerando la mitigacin de los controles sobre la Consecuencia y
Probabilidad respectivamente.
b. Auditores: Su objetivo es evaluar (monitorear) si los controles dispuestos por los
administradores cubren razonablemente los riesgos. En este caso pueden estimar la
mitigacin global del riesgo por el conjunto de controles, utilizando opciones menos
complejas o evaluando la razonabilidad de las valoraciones realizadas por los
responsables de administrar cada riesgo.
8. Las opciones para valorar (estimar) la mitigacin individual o de conjunto de los controles
sobre el riesgo, son igualmente aplicables a los tratamientos.
9. Las pruebas de cumplimiento, cuando se justifiquen, podran ser realizadas mediante autoevaluaciones por los propietarios de cada riesgo, o mediante pruebas independientes
realizadas por los auditores, o mediante combinacin de ambas, que sera lo ideal.
10. Las opciones descritas a continuacin, estn ordenadas de la ms sencilla y menos precisa, a
las ms compleja y ms precisa. Su aplicacin ser a criterio de cada usuario, segn su
propsito y de acuerdo a su rol y responsabilidad.
GIT Ltda.
Controles Actuales
Control-1
Control-2
Control-3
Control-4
Mitigacin total del riesgo
Exposicin
25 %
25 %
25 %
24 %
99%
1%
3. Si se presume que todos los controles han sido y sern efectivos, se podra concluir que el
riesgo ha sido y ser razonablemente controlado por los controles actuales.
4. Las pruebas de cumplimiento, corroboraran si los controles han sido realmente Efectivos o No
Efectivos.
5. La mitigacin real actual (%) sobre el riesgo absoluto, ser la sumatoria de los porcentajes de
las coberturas individuales de los controles con pruebas satisfactorias.
Ejemplo:
1. Riesgo Absoluto = (Consecuencia: Alta (4) x Probabilidad. Casi Cierta (5) = Severidad:
20 (Puntos),
Controles
Actuales
Control-1
Control-2
Control-3
Control-4
Mitigacin total
del riesgo
Exposicin
Mitigacin del
riesgo
25 %
25 %
25 %
24 %
99 %
Pruebas
Satisfactoria
Insatisfactoria
Insatisfactoria
Satisfactoria
Mitigacin
real
25 %
0%
0%
24 %
49 %
51%
2. Mitigacin total de los controles 49 % = 10 (Puntos), Riesgo con Controles = (20 10)
= 10 (Puntos), Exposicin = 10 Puntos.
GIT Ltda.
Efectividad Individual
Pobre
Insatisfactoria
Moderada
Buena
Excelente
Controles
Control-1
Control-2
Control-3
Control-4
Efectividad Individual
Pobre
Buena
Moderada
Buena
Mitigacin total
50 % (Moderada)
Exposicin
50%
6. Las pruebas se realizaran sobre los controles de mayor efectividad y que cubran un porcentaje
significativo del riesgo y se determinar en que proporcin los controles mitigan el riesgo, y si
el resultado otorga una seguridad razonable del efecto reductor de los controles sobre el
riesgo .
7. La mitigacin real y actual (%) sobre el riesgo absoluto, ser el promedio de la sumatoria de
los porcentajes de Efectividad de los controles de acuerdo al resultado de las pruebas.
(Probado)
Controles
Control-1
Control-2
Control-3
Control-4
Mitigacin total
30 % (Insatisfactoria)
Exposicin
70%
GIT Ltda.
Efectividad
Individual
Pobre
Buena
Moderada
Buena
Mitigacin
Consecuencia
Mitigacin
Probabilidad
10 %
70 %
50 %
70%
10 % (Moderada)
64%
90%
36%
Nota: Los controles Preventivos solo mitigan la probabilidad y los controles Detectivos y
Correctivos, usualmente solo mitigan la consecuencia.
GIT Ltda.
Cobertura Estimada
Nota: La cobertura de cada control podra variar en cada riesgo que cubre.
2. Estimar la cobertura total (Promedio) del conjunto de controles sobre el riesgo.
Controles
Control-1
Control-2
Control-3
Control-4
Cobertura Individual
Alta
Media
Alta
Media
Cobertura promedio
Controles
Control-1
Control-2
Control-3
Control-4
Efectividad Individual
Pobre
Excelente
Moderada
Excelente
Efectividad promedio
Cobertura promedio = 75% x Efectividad promedio 63% = Mitigacin total del conjunto
de controles = 47%
Exposicin del riesgo = 53%
5. Las pruebas se realizaran sobre los controles de mayor efectividad y cobertura, que cubran
un porcentaje significativo del riesgo.
6. Calificar nuevamente, de acuerdo al efecto mitigante actual del conjunto de controles ya
probados.
GIT Ltda.
Causa
Causa-1
Causa-2
Causa-3
Contribuye en un 50%
Contribuye en un 35%
Contribuye en un 15%
2. Calificar la cobertura individual de cada control, de acuerdo a las causas del riesgo que cubre y
el porcentaje estimado de mitigacin. Siguiendo con el ejemplo anterior la calificacin podra
ser:
Controles
Control-1
Control-2
Control-3
Control-4
Total
Sobre que
causas del riesgo
% de
Cobertura
Cobertura
Causa-1
Causa-2
Causa-3
Causa-2
50%
35 %
15%
35%
100% (1)
Alta
Media
Baja
Media
(1) Como los controles 1 y 4 actan sobre la misma causa se promedia su efecto, por esto el resultado
final es 100%. Este resultado solo se obtiene en caso de que todas las causas estn cubiertas por los
controles.
Controles
Control-1
Control-2
Control-3
Control-4
Efectividad promedio
Efectividad Individual
Pobre
Excelente
Moderada
Excelente
Porcentaje efectividad
10 %
90 %
60 %
90%
63 % (Buena)
Nota: En este ejemplo la Efectividad de los controles 2 y 4 es igual por coincidencia, pero
podra ser diferente.
GIT Ltda.
4. Calificar el efecto mitigante del conjunto de controles considerando su cobertura y efectividad:
Controles
Control-1
Control-2 y 4 (Promedios)
Control-3
Mitigacin Total
Sobre que
causas del riesgo
Causa-1
Causa-2
Causa-3
% de
Cobertura
Porcentaje
Efectividad
Mitigacin
final
50%
35 %
15%
10%
90%
60%
5%
32%
9%
46%
Exposicin al riesgo
54%
Probabilidad Absoluta = 4
Valoracin Absoluta =
GIT Ltda.
o Se presenta exceso en el nmero de controles (Cubren las mismas causas, pero pueden no ser
igualmente efectivos y/o su costo acumulado no se justifica).
o La mezcla de los controles no considera los tipos de control segn su oportunidad (Preventivo o
Detectivo o Correctivo). Nota: Cuando se califican de forma separada la Consecuencia y la
Probabilidad, esta consideracin esta implcita en la valoracin.
o Ocurrencias previas del riesgo no detectadas en algn tiempo.
GIT Ltda.
TABLA-1 CALIFICACIN EFECTIVIDAD INDIVIDUAL CONTROLES (Ejemplo)
Pobre
(SIN PROBAR)
(PROBADO)
Insatisfactoria
(SIN PROBAR)
(PROBADO)
Moderada
(SIN PROBAR)
(PROBADO)
Buena
(SIN PROBAR)
(PROBADO)
GIT Ltda.
Excelente
(SIN PROBAR)
(PROBADO)
GIT Ltda.
Notas:
a. Las caractersticas descritas para evaluar la efectividad del control son un ejemplo.
Pueden ser complementadas, simplificadas o ajustadas de acuerdo a los criterios que
decida aplicar la gerencia en cada organizacin.
b. Estas caractersticas aplican usualmente para los controles internos de la entidad. Cuando
el control se transfiere, se deben tener en cuenta otras consideraciones, por cuanto un
tercero asume la responsabilidad de administrar nuestros riesgos pero la consecuencia
seguir afectando nuestra entidad.
GIT
Soluciones Integrales .
www.gitltda.com