CAPITULO II MARCO TEORICO SOBRE DISEÑO DE SISTEMAS INFORMATICOS, GESTIÓN DE RIESGOS, CONTROL Y PLANEACION ESTRATEGICA.

Transcripción

1 24 CAPITULO II MARCO TEORICO SOBRE DISEÑO DE SISTEMAS INFORMATICOS, GESTIÓN DE RIESGOS, CONTROL Y PLANEACION ESTRATEGICA. A. DISEÑO DE SISTEMAS INFORMATICOS. 1. Generalidades. En el diseño de sistemas se define el proceso de aplicar ciertas técnicas y principios con el propósito de definir un dispositivo, un proceso o un Sistema, con suficientes detalles como para permitir su interpretación y realización física. 1.1 Concepto de Sistema. Conjunto de elementos, todo unitario y organizado compuesto por dos o más partes relacionadas de modo dinámico, que desarrollan una actividad para alcanzar determinado objetivo o propósito. Requiere de materia, energía o información obtenidas del ambiente que constituyen los insumos o entradas (inputs) de recursos necesarios para que el sistema pueda operar. Estos recursos son procesados en las diversas partes del sistema (subsistemas) y transformados en salidas o resultados (outputs) que retornan al ambiente Concepto de Software. Programas de computadoras, estructuras de datos y su documentación que sirven para ser efectivo el método lógico, procedimiento o control requerido 2. 1 Cris Edwars & John Word, Sistemas de Información, pág.24 2 Idem

2 Ambiente de Sistema. Es todo lo que rodea a un sistema y sirve para proporcionarle los recursos necesarios para su existencia. Todo sistema existe y funciona en un ambiente al cual entrega sus resultados. En este sentido, el ambiente está constituido por factores económicos, tecnológicos, sociales, políticos, legales, culturales, demográficos y otros. Estos ejercen una serie de efectos que inyectan complejidad al macro ambiente en el cual funcionan las empresas. Por otra parte, también existen factores más cercanos a las organizaciones como son los proveedores, clientes, competidores, organismos reguladores, etc. quienes imponen restricciones, condiciones y limitaciones al quehacer organizacional. 2. ELEMENTOS DE UN SISTEMA. Las partes o elementos en los que se puede dividir un sistema informático son las siguientes: a) Entradas e Insumos. Todo sistema recibe entradas o insumos del ambiente circundante. b) Procesamiento u Operación. Es el núcleo del sistema; transforma las entradas en salidas o resultados. c) Salidas o Resultados. Son el producto de la operación del sistema. d) Retroalimentación. Es la acción que las salidas ejercen sobre las entradas para mantener el equilibrio del sistema.

3 26 3. CLASIFICACIÓN DE LOS SISTEMAS. La clasificación de sistemas puede variar de un autor a otro, pero la que se considera más generalizada es la siguiente: 3.1 Sistema Cerrado o Mecánico. Tiene pocas entradas y salidas en relación con el ambiente externo, las cuales son bien conocidas y guardan entre si una razón de causa y efecto. Se caracterizan porque el énfasis es exclusivamente individual, relación de tipo autoridad obediencia, fuerte tendencia a delegar y a diluir la responsabilidad, división del trabajo y supervisión jerárquica rígidas, toma de decisiones centralizadas y solución de conflictos por medio de represión, arbitramento u hostilidad. 3.2 Sistema Abierto u Orgánico. Posee numerosas entradas y salidas para relacionarse con el ambiente externo, las cuales no están muy bien definidas, y sus relaciones de causa y efecto son indeterminadas. El sistema abierto también se denomina orgánico, son ejemplos de este tipo de Sistema las organizaciones en general y las empresas en particular, todos los sistemas vivos especialmente el hombre. Algunas características de un sistema orgánico abierto son: a) Énfasis en las relaciones inter e intragrupales. b) Confianza en los otros miembros del grupo. c) Interdependencia y responsabilidad compartidas. d) Participación y responsabilidad multigrupales. e) Responsabilidad y control ampliamente compartidos. f) Solución de conflictos mediante la negociación o la solución de problemas. 4. DISEÑO DE SISTEMAS.

4 27 A continuación se presenta, el concepto y las etapas que se involucran en el diseño de sistemas. 4.1 Concepto de Diseño de Sistemas. Se define el proceso de aplicar ciertas técnicas y principios con el propósito de definir un dispositivo, un proceso o un Sistema, con suficientes detalles como para permitir su interpretación y realización física Etapas del Diseño del Sistema: Las etapas para el diseño de un Sistema son las siguientes: a) El diseño de los datos. Trasforma el modelo de dominio de la información, creado durante el análisis, en las estructuras de datos necesarios para implementar el Software. b) El Diseño Arquitectónico Define la relación entre cada uno de los elementos estructurales del programa. c) El Diseño de la Interfaz. Describe como se comunica el Software consigo mismo, con los sistemas que operan junto con el y con los operadores y usuarios que lo emplean. d) El Diseño de procedimientos. Transforma elementos estructurales de la arquitectura del programa. 4.3 Importancia del Diseño. 3 Kendall & Kendall, Análisis de Sistemas, pág. 19

5 28 La importancia del diseño del software se puede definir en una sola palabra Calidad, dentro del diseño es donde se fomenta la calidad del proyecto. El Diseño es la única manera de materializar con precisión los requerimientos del cliente. El diseño del software es un proceso y un modelado a la vez. El proceso de diseño es un conjunto de pasos repetitivos que permiten al diseñador describir todos los aspectos del Sistema a construir. A lo largo del diseño se evalúa la calidad del desarrollo del proyecto con un conjunto de revisiones técnicas: a) El diseño debe implementar todos los requisitos explícitos contenidos en el modelo de análisis y debe acumular todos los requisitos implícitos que desea el cliente. b) Debe ser una guía que puedan leer y entender los que construyan el código y los que prueban y mantienen el Software. c) El diseño debe proporcionar una completa idea de lo que es el software, enfocando los dominios de datos, funcional y comportamiento desde el punto de vista de la implementación. 4.4 Evaluación del Diseño. Para evaluar la calidad de una presentación del diseño, se deben establecer criterios técnicos para un buen diseño como son 4 : a. Un diseño debe presentar una organización jerárquica que haga un uso inteligente del control entre los componentes del software. 4 Análisis y Diseño de Sistemas,

6 29 b. El diseño debe ser modular, es decir, se debe hacer una partición lógica del Software en elementos que realicen funciones y subfunciones especificas. c) Un diseño debe contener abstracciones de datos y procedimientos. d) Debe producir módulos que presenten características de funcionamiento independiente. e) Debe conducir a interfaces que reduzcan la complejidad de las conexiones entre los módulos y el entorno exterior. f) Debe producir un diseño usando un método que pudiera repetirse según la información obtenida durante el análisis de requisitos de Software. Estos criterios no se consiguen por casualidad, el proceso de diseño del software exige buena calidad a través de la aplicación de principios fundamentales de diseño, metodología sistemática y una revisión exhaustiva. Cuando se va a diseñar un sistema informático se debe tener presente que el proceso de un diseño incluye, concebir y planear algo en la mente, así como hacer un dibujo o modelo o croquis. 4.5 Diseño de la Salida. En este caso salida se refiere a los resultados e informaciones generadas por el Sistema, para la mayoría de los usuarios la salida es la única razón para el desarrollo de un sistema y la base de evaluación de su utilidad. Sin

7 30 embargo cuando se realiza un sistema, como analistas se debe realizar lo siguiente: a) Determinar que información presentar. b) Decidir si la información será presentada en forma visual, verbal o impresa y seleccionar el medio de salida. c) Disponer la presentación de la información en un formato aceptable. d) Decidir como distribuir la salida entre los posibles destinatarios. 4.6 Diseño de Archivos. Incluye decisiones con respecto a la naturaleza y contenido del propio archivo, como si se fuera a emplear para guardar detalles de las transacciones, datos históricos, o información de referencia. Entre las decisiones que se toman durante el diseño de archivos, se encuentran las siguientes: a) Los datos que deben incluirse en el formato de registros contenidos en el archivo. b) La longitud de cada registro, con base en las características de los datos que contenga. c) La secuencia a disposición de los registros dentro del archivo (la estructura de almacenamiento que puede ser secuencial, indexada o relativa). d) No todos los sistemas requieren del diseño de todos los archivos, ya que la mayoría de ellos pueden utilizar los del viejo Sistema y solo tenga que enlazarse el nuevo Sistema al Archivo maestro donde se encuentran los registros. 4.7 Diseño de Interacciones con la Base de Datos. La mayoría de los sistemas de información ya sean implantados en Sistemas de cómputos grandes o pequeños, utilizan una base de datos que pueden abarcar varias aplicaciones, por esta razón estos sistemas utilizan un administrador de base de datos, en este caso el diseñador no construye

8 31 la base de datos sino que consulta a su administrador para ponerse de acuerdo en el uso de esta en el sistema. 4.8 Herramientas para el Diseño de Sistemas. Apoyan el proceso de formular las características que el Sistema debe tener para satisfacer los requerimientos detectados durante las actividades del análisis 5 : Herramientas de Especificación. Apoyan el proceso de formular las características que debe tener una aplicación, tales como entradas, salidas, procesamiento y especificaciones de control. Muchas incluyen herramientas para crear especificaciones de datos Herramientas para presentación. Se utilizan para describir la posición de datos, mensajes y encabezados sobre las pantallas de las terminales, reportes y otros medios de entrada y salida Herramientas para el Desarrollo de Sistemas. Estas herramientas ayudan al analista a trasladar diseños en aplicaciones funcionales Herramientas para Ingeniería de Software. Apoyan el proceso de formular diseños de Software, incluyendo procedimientos y controles, así como la documentación correspondiente Generadores de Códigos. 5 Roger S. Pressman, Ingeniería del Software, 4ª. Ed. Editora Mc Graw Hill

9 32 Producen el código fuente y las aplicaciones a partir de especificaciones funcionales bien articuladas Herramientas para Pruebas. Apoyan la fase de la evaluación de un sistema o de partes del mismo contra las especificaciones. Incluyen facilidades para examinar la correcta operación del sistema así como el grado de perfección alcanzado en comparación con las expectativas.

10 33 B. GESTIÓN DE RIESGOS. 1. Conceptos y Definiciones Generales. A continuación se definen algunos conceptos básicos para poder entender lo referente a la gestión de riesgo. 1.1 Concepto de Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en términos de consecuencias y probabilidades. Así como Cualquier evento que pueda impedir el cumplimiento de los objetivos establecidos por la empresa Administración de Riesgo: Son todos aquellos procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos. 1.3 Aceptación de riesgo: una decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular. 1.4 Administración de riesgos: la cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos. 1.5 Análisis de riesgo: un uso sistemático de la información disponible para determinar cuan frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. 1.6 Azar de riesgo: una fuente de daño potencial o una situación con potencial para causar pérdidas. 6 Administración del Riesgo,

11 Control de riesgos: la parte de administración de riesgos que involucra la implementación de políticas, estándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos. 1.8 Evaluación de riesgo: el proceso global de análisis de riesgo y evaluación de riesgo. Se considera también como proceso utilizado para determinar las prioridades de administración de riesgos comparando el nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u otro criterio. 1.9 Identificación de riesgos: el proceso de determinar qué puede suceder, por qué y cómo Proceso de administración de riesgos: la aplicación sistemática de políticas, procedimientos y prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos Reducción de riesgos: una aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de una ocurrencia, o sus consecuencias, o ambas. 2. Enfoques para la Gestión de Riesgos. Un equipo de proyecto que funciona con eficacia mide los riesgos incesantemente y emplea la información para la toma de decisiones en todas las etapas del proyecto. En muchos proyectos, los riesgos se valoran sólo una vez durante la planificación inicial del proyecto. Los riesgos principales se identifican y atenúan, pero después no se revisan explícitamente.

12 35 Existen dos enfoques inherentemente distintos para la administración de riesgos. Uno es reactivo y el otro es proactivo. La administración reactiva de riesgos significa que el equipo del proyecto reacciona a las consecuencias de los riesgos (los problemas reales) conforme ocurren. La administración proactiva de riesgos significa que el equipo del proyecto cuenta con un proceso visible para administrarlos. Este proceso se puede medir y repetir. La prevención del riesgo es el punto de transición entre los enfoques reactivo y proactivo. La prevención ocurre en las etapas de planeación de un proyecto, cuando el equipo puede aplicar acciones para impedir que ocurran los riesgos. Es importante señalar que, esencialmente, la prevención es todavía una estrategia reactiva para administrar los riesgos; no es un remedio para la causa del riesgo, sólo una forma de evitar sus síntomas. Para alcanzar los niveles más altos de la administración proactiva de riesgos, el equipo debe estar dispuesto a tomar riesgos. Esto significa no temer el riesgo, sino considerarlo como un medio para crear oportunidades adecuadas. Para conseguirlo, el equipo debe ser capaz de evaluar imparcialmente los riesgos (y las oportunidades) y, a continuación, aplicar acciones que aborden las causas de estos riesgos, no sólo sus síntomas. Es importante enfatizar que el factor determinante para tener éxito no es la calidad de la valoración del riesgo, sino la capacidad del equipo para administrar el riesgo y la oportunidad. 3. Elementos de la Administración del Riesgo. Los elementos principales del proceso de administración de riesgos se muestran en la figura No 1: Vista General de la Administración del Riesgo.

13 36 Vista General de la Administración del Riesgo Establecer el contexto Comunicar y consultar Identificar riesgos Analizar riesgos Evaluar riesgos Monitorear y Revisar Tratar riesgos Figura No.1: Vista General de la Administración del Riesgo. Fuente: http//\www,strtatplan.com.au/ Administración del Riesgo A continuación se hace una breve descripción de cada uno de los elementos de la Administración del Riesgo: 3.1 Establecer el contexto. Consiste en establecer el contexto estratégico, organizacional y de administración de riesgos en el cual tendrá lugar el resto del proceso. Se deberán establecer criterios contra los cuales se evaluarán los riesgos y definir la estructura del análisis.

14 Identificar riesgos. Identificar qué, por qué y cómo pueden surgir las cosas como base para análisis posterior. 3.3 Analizar riesgos. Se deben determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo. 3.4 Evaluar riesgos. Se deben comparar niveles estimados de riesgos contra los criterios preestablecidos. Esto posibilita que los riesgos sean ordenados como para identificar las prioridades de administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento. 3.5 Tratar riesgos. Consiste en aceptar y monitorear los riesgos de baja prioridad. Para otros riesgos, desarrollar e implementar un plan de administración específico. 3.6 Monitorear y revisar. Implica monitorear y revisar el desempeño del sistema de administración de riesgos y los cambios que podrían afectarlo. 3.7 Comunicar y consultar. Se debe comunicar y consultar con interesados internos y externos según corresponda en cada etapa del proceso de administración de riesgos y concerniendo al proceso como un todo.

15 38 4. Proceso de la Administración del Riesgo. La administración de riesgos se puede aplicar en una organización a muchos niveles. Se puede aplicar a nivel estratégico y a niveles operativos. Se puede aplicar a proyectos específicos, para asistir con decisiones específicas o para administrar áreas específicas reconocidas de riesgo. La administración de riesgos es un proceso iterativo que puede contribuir a la mejora organizacional. Con cada ciclo, los criterios de riesgos se pueden fortalecer para alcanzar progresivamente mejores niveles de administración de riesgos. Para cada etapa del proceso deberán llevar registros adecuados, suficientes como para satisfacer a una auditoria independiente. En la figura No 2: Proceso de Administración de Riesgo, se muestra el proceso que implica la Administración del Riesgo: Proceso de Administración de Riesgo Establecer el contexto: El contexto estrategico El contexto organizacional El contexto administración de riesgos Desarrollar criterios Decidir la estructura

16 39 Figura No.2 : Proceso de Administración de Riesgo Fuente: http//\www,strtatplan.com.au/administración del riesgo A continuación se describe cada una de las fases involucradas en el proceso de administración de riesgo: 4.1 Establecer el Contexto. Dentro de este paso se debe establecer el contexto estratégico, organizacional, administración de riesgos, así como también implica desarrollar criterios de evaluación de riesgos y decidir la estructura de los

17 40 riesgos. El proceso ocurre dentro de la estructura del contexto estratégico, organizacional y de administración de riesgos de una organización. Esto necesita ser establecido para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos Establecer el Contexto Estratégico. Definir la relación entre la organización y su entorno, identificando las fortalezas, debilidades, oportunidades y amenazas de la organización. El contexto incluye los aspectos financieros, operativos, competitivos, políticos (percepciones públicas / imagen), sociales, de clientes, culturales y legales de las funciones de la organización. Identificar los interesados internos y externos, y considerar sus objetivos, tomar en cuenta sus percepciones, y establecer políticas de comunicación con estas partes. Este paso está focalizado en el entorno en el cual opera la organización. La organización debería buscar determinar los elementos cruciales que podrían sustentar o dificultar su habilidad para administrar los riesgos que enfrenta. Puede llevarse a cabo un análisis estratégico. El mismo debería ser endosado al nivel ejecutivo, para que establezca los parámetros básicos y provea una guía en los procesos más detallados de administración de riesgos. Debería existir una estrecha relación entre la misión u objetivos estratégicos de una organización y la administración de todos los riesgos a los cuales está expuesta Establecer el Contexto Organizacional. Antes de comenzar un estudio de administración de riesgos, es necesario comprender la organización y sus capacidades, así como sus metas y objetivos y las estrategias que están vigentes para lograrlos.

18 41 Esto es importante por las siguientes razones: a) La administración de riesgos tiene lugar en el contexto de las amplias metas, objetivos y estrategias de la organización. b) La falla en lograr los objetivos de la organización, o de una actividad específica, o proyecto en consideración, es un conjunto de riesgos que debería ser administrado. c) La política y metas de la organización ayudan a definir los criterios mediante los cuales se decide si un riesgo es aceptable o no, y constituye la base para las opciones de tratamientos Establecer el Contexto de Administración de Riesgos. Deberían establecerse las metas, objetivos, estrategias, alcance y parámetros de la actividad, o parte de la organización a la cual se está aplicando el proceso de administración de riesgos. El proceso debería ser llevado a cabo con plena consideración de la necesidad de balancear costos, beneficios y oportunidades. También deberían especificarse los recursos requeridos y los registros que se van a llevar. Establecer el alcance y los límites de una aplicación del proceso de administración de riesgos involucra: a) Definir el proyecto o actividad y establecer sus metas y objetivos; b) Definir la extensión del proyecto en tiempo y ubicación; c) Identificar cualquier estudio necesario y su alcance, objetivos y recursos requeridos. Pueden proveer una guía para esto las fuentes genéricas de riesgo y las áreas de impacto. d) Definir el alcance y amplitud de las actividades de administración de riesgos a llevar a cabo. Los aspectos específicos que también podrían ser discutidos incluyen lo siguiente:

19 42 i. Los roles y responsabilidades de las distintas partes de la organización que participan en la administración de riesgos. ii. Las relaciones entre el proyecto y otros proyectos o partes de la organización Desarrollar Criterios de Evaluación de Riesgos. Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos pueden basarse en criterios operativos, técnicos, financieros, legales, sociales, humanitarios u otros. Esto a menudo depende de las políticas, metas y objetivos internos de la organización y de los intereses de las demás partes interesadas. Los criterios pueden estar afectados por percepciones internas y externas y por requerimientos legales. Es importante que los criterios apropiados sean determinados al comienzo. Aunque los criterios de riesgo son inicialmente desarrollados como parte del establecimiento del contexto de administración de riesgos, los mismos pueden ser posteriormente desarrollados y refinados a medida que se identifican riesgos particulares y se seleccionan técnicas de análisis de riesgos, ej: los criterios de riesgo deben corresponder al tipo de riesgos y a la forma en que se expresan los niveles de riesgo Definir la Estructura. Esto involucra separar la actividad o proyecto en un conjunto de elementos. Estos elementos proveen una estructura lógica para identificación y análisis lo cual ayuda a asegurar que no se pasen por alto riesgos

20 43 significativos. La estructura seleccionada depende de la naturaleza de los riesgos y del alcance del proyecto o actividad. 4.2 Identificación de Riesgos. La identificación del riesgo es el segundo paso del proceso de administración de riesgos. Proporciona las oportunidades, pistas e información que permiten al equipo plantear los riesgos mayores antes de que afecten adversamente a las operaciones y, por tanto, a la empresa. En este paso, el equipo identifica los componentes del planteamiento del riesgo, es decir: Condición, consecuencias para las operaciones, consecuencias para la empresa, origen del riesgo. Este paso busca identificar los riesgos a administrar, es por ello que se deben contestar las siguientes interrogantes: Que puede suceder?, Cómo y porqué pueden suceder?. Es crítica una identificación amplia utilizando un proceso sistemático bien estructurado, porque los riesgos potenciales que no se identifican en esta etapa son excluidos de un análisis posterior. La identificación debería incluir todos los riesgos, estén o no bajo control de la organización Lo que Puede Suceder. Generación de una lista amplia de eventos que podrían afectar a cada elemento de la estructura Causas y Escenarios Posibles. Luego de haber identificado una lista de eventos, es necesario considerar causas y escenarios posibles. Hay muchas formas en que se puede iniciar un evento. Es importante que no se omitan las causas significativas.

21 Herramientas y Técnicas. Las herramientas y las técnicas utilizados para identificar riesgos incluyen checklists, juicios basados en la experiencia y en los registros, diagramas de flujo, brainstorming, análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas. El enfoque utilizado dependerá de la naturaleza de las actividades bajo revisión y los tipos de riesgos. 4.3 Análisis de Riesgos. El análisis del riesgo se basa en la información generada en la fase de identificación, que se convierte ahora en información para la toma de decisiones. En la fase del análisis, el equipo agrega tres elementos más a las entradas de riesgo de la lista de riesgos principales: la probabilidad, impacto y exposición del riesgo. Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite dedicar más energía a la administración de los riesgos más importantes. Los objetivos de análisis son separar los riesgos menores aceptables de los riesgos mayores, y proveer datos para asistir en la evaluación y tratamiento de los riesgos. El análisis de riesgos involucra prestar consideración a las fuentes de riesgos, sus consecuencias y las probabilidades de que puedan ocurrir esas consecuencias. Pueden identificarse los factores que afectan a las consecuencias y probabilidades. Se analiza el riesgo combinando estimaciones de consecuencias y probabilidades en el contexto de las medidas de control existentes. Se puede llevar a cabo un análisis preliminar para excluir del estudio detallado los riesgos similares o de bajo impacto. De ser posible los riesgos

22 45 excluidos deberían listarse para demostrar que se realizó un análisis de riesgos completo Determinar los Controles Existentes. Identificar la administración, sistemas técnicos y procedimientos existentes para controlar los riesgos y evaluar sus fortalezas y debilidades. Pueden ser apropiadas las herramientas utilizadas en el numeral como así mismo los enfoques tales como inspecciones y técnicas de auto-evaluación de controles ( CSA ) Consecuencias y Probabilidades. La magnitud de las consecuencias de un evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias asociadas, se evalúan en el contexto de los controles existentes. Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Se pueden determinar las consecuencias y probabilidades utilizando análisis y cálculos estadísticos. Alternativamente cuando no se dispone de datos anteriores, se pueden realizar estimaciones subjetivas que reflejan el grado de convicción de un individuo o grupo de que podrá ocurrir un evento o resultado particular. Para evitar prejuicios subjetivos cuando se analizan consecuencias y probabilidades, deberían utilizarse las mejores técnicas y fuentes de información disponibles. Se pueden incluir las siguientes fuentes de información: a) Registros anteriores, b) Experiencia relevante, c) Prácticas y experiencia de la industria, d) Literatura relevante publicada,

23 46 e) Comprobaciones de marketing e investigaciones de mercado, f) Experimentos y prototipos, g) Modelos económicos, de ingeniería u otros, h) Opiniones y juicios de especialistas y expertos. Las técnicas incluyen: i) entrevistas estructuradas con expertos en el área de interés, ii) utilización de grupos multidisciplinarios de expertos, iii) evaluaciones individuales utilizando cuestionarios, iv) uso de modelos de computador u otros, v) uso de árboles de fallas y árboles de eventos. Siempre que sea posible, debería incluirse el nivel de confianza asignado a las estimaciones de los niveles de riesgo Tipos de Análisis. El análisis de riesgos pueden ser llevado con distintos grados de refinamiento dependiendo de la información de riesgos y datos disponibles. Dependiendo de las circunstancias, el análisis puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinación de estos. El orden de complejidad y costos de estos análisis en orden ascendente, es cualitativo, semi-cuantitativo y cuantitativo. En la práctica, a menudo se utiliza primero el análisis cualitativo para obtener una indicación general del nivel de riesgo. Luego puede ser necesario llevar a cabo un análisis cuantitativo más específico. El detalle de los tipos de análisis es el siguiente: a) Análisis Cualitativo El análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Estas escalas se

24 47 pueden modificar o ajustar para adaptarlas a las circunstancias, y se pueden utilizar distintas descripciones para riesgos diferentes. El análisis cualitativo se utiliza: i. Como una actividad inicial de tamiz, para identificar los riesgos que requieren un análisis más detallado; ii. Cuando el nivel de riesgo no justifica el tiempo y esfuerzo requerido para un análisis más completo; o iii. Cuando los datos numéricos son inadecuados para un análisis cuantitativo. b) Análisis Semi-Cuantitativo En el análisis semi-cuantitativo, a las escalas cualitativas, tales como las descriptas arriba, se les asignan valores. El número asignado a cada descripción no tiene que guardar una relación precisa con la magnitud real de las consecuencias o probabilidades. Los números pueden ser combinados en cualquier rango de fórmula dado que el sistema utilizado para priorizar confronta el sistema seleccionado para asignar números y combinarlos. El objetivo es producir un ordenamiento de prioridades más detallado que el que se logra normalmente en el análisis cualitativo, y no sugerir valores realistas para los riesgos tales como los que se procuran en el análisis cuantitativo. Se debe tener cuidado con el uso del análisis semi-cuantitativo porque los números seleccionados podrían no reflejar apropiadamente las relatividades, lo que podría conducir a resultados inconsistentes. El análisis semi-cuantitativo puede no diferenciar apropiadamente entre distintos riesgos, particularmente cuando las consecuencias o las probabilidades son extremas.

25 48 A veces es apropiado considerar la probabilidad compuesta de dos elementos, a los que se refiere generalmente como frecuencia de la exposición y probabilidad. Frecuencia de la exposición es la extensión a la cual una fuente de riesgo existe, y probabilidad es la chance de que, cuando existe esa fuente de riesgo, le seguirán las consecuencias. Deberá ejercerse precaución en las situaciones en que las relaciones entre los dos elementos no es completamente independiente, ej. Cuando hay una fuerte relación entre frecuencia de la exposición y la probabilidad. Este enfoque se puede aplicar en el análisis semi-cuantitativo y cuantitativo. c) Análisis Cuantitativo El análisis cuantitativo utiliza valores numéricos para las consecuencias y probabilidades (en lugar de las escalas descriptivas utilizadas en los análisis cualitativos y semicuantitativos) utilizando datos de distintas fuentes. La calidad del análisis depende de la precisión e integridad de los valores numéricos utilizados. Las consecuencias pueden ser estimadas modelando los resultados de un evento o conjunto de eventos, o extrapolando a partir de estudios experimentales o datos del pasado. Las consecuencias pueden ser expresadas en términos de criterios monetarios, técnicos o humanos, o cualquier otro criterio. En algunos casos se requiere más de un valor numérico para especificar las consecuencias para distintos momentos, lugares, grupos o situaciones. La probabilidad es expresada generalmente como una probabilidad, una frecuencia, o una combinación de exposición y probabilidad.

26 49 La forma en que se expresan las probabilidades y las consecuencias y las formas en que las mismas son combinadas para proveer un nivel de riesgo variarán de acuerdo con el tipo de riesgo y el contexto en el cual se va a utilizar el nivel de riesgo Análisis de Sensibilidad. Dado que algunas de las estimaciones realizadas en el análisis cuantitativo son imprecisas, deberá llevarse a cabo un análisis de sensibilidad para comprobar el efecto de los cambios en los supuestos y en los datos Impacto de un Riesgo. El impacto de un riesgo mide la severidad de los efectos adversos, o la magnitud de una pérdida, si el riesgo llega a suceder. La decisión de cómo medir las pérdidas sostenidas no es un asunto trivial. Si el riesgo tiene un impacto financiero, el valor monetario es la forma preferible para cuantificar la magnitud de una pérdida. El impacto financiero podrían ser costos a largo plazo en la operación y el apoyo, una pérdida en la participación en el mercado, costos a corto plazo por el trabajo adicional, o pérdida en el costo de oportunidad. Otros riesgos pueden tener un nivel de impacto en donde es más conveniente una escala subjetiva del 1 al 5. Básicamente se califica la viabilidad del éxito del proyecto. Los valores altos indican una pérdida seria para el proyecto. Los valores medianos señalan una pérdida en partes del proyecto o una disminución de la eficiencia Exposición al Riesgo. Para evaluar una lista de riesgos, debe entenderse con claridad la amenaza completa de cada una de las necesidades de riesgos. En

27 50 ocasiones un riesgo con una probabilidad alta tiene un impacto bajo y puede ignorarse sin complicaciones; otras veces un riesgo con un impacto alto tiene una probabilidad baja y también puede ignorarse. Los que en verdad se requiere administrar son aquellos con una exposición alta (probabilidad e impacto altos). Esto se consigue reduciendo la probabilidad o el impacto del riesgo. Cuando estime la probabilidad y el impacto, tome en cuenta lo que sabe y lo que desconoce. Si cree que un riesgo puede producir una pérdida de un millón de dólares, pero su nivel de confianza es del 50 por ciento, las personas que efectúan el análisis de riesgos necesitan entender estos factores El Formulario de Declaración de Riesgos. La siguiente es una lista de la información que el equipo debe considerar cuando desarrolle un formulario de declaración de riesgos: Identificador del riesgo: El nombre que emplea el equipo para identificar inequívocamente una declaración de riesgo, con el propósito de elaborar informes y darle seguimiento. Fuente del riesgo: El área de atención (esto es, el desarrollo personalizado de software, la diseminación del software terminado, el despliegue de la infraestructura, la administración del programa de la empresa o la planificación de la arquitectura de la empresa), la categoría del factor de riesgo (esto es, el propósito y las metas, la necesidad de tomar decisiones, la administración de la organización, el programa de actividades, o el presupuesto/costo), y el factor de riesgo (esto es, la conveniencia del proyecto, la influencias políticas, la estabilidad de la organización, el tamaño del proyecto) que se emplearon para identificar el riesgo.

28 51 Condición del riesgo: Una declaración en lenguaje normal que describa una condición existente que pudiera conducir a una pérdida para el proyecto. Consecuencia del riesgo: Una declaración en lenguaje normal que describa la pérdida que ocurriría en el proyecto si se materializara el riesgo. Probabilidad del riesgo: Una expresión del porcentaje mayor que cero y menor que el 100 por ciento que representa la probabilidad de que la condición ocurra en realidad, provocando una pérdida. Clasificación del impacto del riesgo: Si el impacto del riesgo es, por ejemplo, financiero, estratégico, técnico o legal. Impacto del riesgo: La magnitud del impacto en caso de que el riesgo ocurra en realidad. Este número debe ser el valor monetario de la pérdida o simplemente un número entre 1 y 10 que represente una magnitud relativa. Para valorarlo, a menudo se emplea el resultado de multiplicar el impacto por la probabilidad del riesgo. Exposición al riesgo: La amenaza completa que significa el riesgo para el proyecto, compensando la probabilidad de una pérdida real con la magnitud de la pérdida posible. El equipo emplea la exposición al riesgo para valorar y clasificar los riesgos. Contexto del riesgo: Un párrafo con antecedentes adicionales que sirvan para aclarar la situación del riesgo.

29 52 Riesgos relacionados:una lista de identificaciones que emplea el equipo para dar seguimiento a los riesgos que dependen entre sí. 4.4 Evaluación de Riesgos. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. El análisis de riesgo y los criterios contra los cuales se comparan los riesgos en la evaluación de riesgos deberían considerarse sobre la misma base. En consecuencia, la evaluación cualitativa involucra la comparación de un nivel cualitativo de riesgo contra criterios cualitativos, y la evaluación cuantitativa involucra la comparación de un nivel numérico de riesgo contra criterios que pueden ser expresados como un número específico, tal como, un valor de fatalidad, frecuencia o monetario. El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior. Deberían considerarse los objetivos de la organización y el grado de oportunidad que podrían resultar de tomar el riesgo. Las decisiones deben tener en cuenta el amplio contexto del riesgo e incluir consideración de la tolerabilidad de los riesgos sostenidos por las partes fuera de la organización que se benefician de ellos. Si los riesgos resultantes caen dentro de las categorías de riesgos bajos o aceptables, pueden ser aceptados con un tratamiento futuro mínimo. Los

30 53 riesgos bajos y aceptados deberían ser monitoreados y revisados periódicamente para asegurar que se mantienen aceptables. Si los riesgos no caen dentro de la categoría de riesgos bajos o aceptables, deberían ser tratados utilizando una o más de las opciones consideradas en el numeral 4.5 que se describe a continuación. 4.5 Tratamiento de los Riesgos. El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos. En la figura No 3: Proceso de Tratamiento de Riesgos, se muestra los procesos que involucra el tratamiento de riesgos: Proceso de Tratamiento de Riesgos Riesgo evaluado Riesgo aceptable? Si Se acepta No Comunicar y consultar Identif icar opciones de tratamiento Evaluar opciones de tratamiento Reducir probabilidad Reducir consecuencias Transferir completo o parte Considerar factibilidad costos y beneficios Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Evitar Monitorear y Revisar Preparar planes de tratamiento Preparar planes de tratamiento Implemen-tar planes tratamiento Reducir probabilidad Reducir consecuencias Transferir completo o parte Evitar Parte retenida Parte transferida Riesgo aceptable? Si Retener

31 54 Figura No.3: Proceso de Tratamiento de Riesgos Fuente: http//\www,strtatplan.com.au/ Administración del Riesgo En el gráfico anterior se muestra el proceso para el tratamiento de los riesgos, el cual inicia con una evaluación de los riesgos, es decir, luego que el riesgo es evaluado debe verificarse si éste se considera como aceptable o como no aceptable. Si el riesgo es considerado como Aceptable, se debe monitorear y evaluar, así como también comunicar y consultar. Si el riesgo no es aceptable, se debe proceder a identificar opciones para el tratamiento de riesgos, tal como se describe en el siguiente apartado Identificar Opciones para Tratamiento de los Riesgos. Las opciones, que no son necesariamente mutuamente exclusivas y apropiadas en todas las circunstancias, incluyen lo siguiente: a) Evitar el riesgo: Decidiendo no proceder con la actividad que probablemente generaría el riesgo (cuando esto es practicable). Evitar riesgos puede ocurrir inadecuadamente por una actitud de aversión al riesgo, que es una tendencia en mucha gente (a menudo influenciada por el sistema interno de una organización).

32 55 Evitar inadecuadamente algunos riesgos puede aumentar la significación de otros. La aversión a riesgos tiene como resultado: i) Decisiones de evitar o ignorar riesgos independientemente de la información disponible y de los costos incurridos en el tratamiento de esos riesgos. ii) Fallas en tratar los riesgos, iii) Dejar las opciones críticas y/o decisiones en otras partes, iv) Diferir las decisiones que la organización no puede evitar, o v) Seleccionar una opción porque representa un riesgo potencial más bajo independientemente de los beneficios. b) Reducir la probabilidad de la ocurrencia. c) Reducir las consecuencias. d) Transferir los riesgos completo o en partes. Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos, arreglos de seguros y estructuras organizacionales. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reducirá el riesgo para la organización original, pero puede no disminuir el nivel general del riesgo para la sociedad. Cuando los riesgos son total o parcialmente transferidos, la organización que transfiere los riesgos ha adquirido un nuevo riesgo, que la organización a la cual ha transferido el riesgo no pueda administrarlo efectivamente Evaluar Opciones para Tratamiento de los Riesgos. Las opciones que se deben evaluar para el tratamiento que se les debe dar a los riesgos son los siguientes:

33 56 Considerar factibilidad de costos y beneficios Recomendar estrategias de tratamiento Seleccionar estrategias de tratamiento Preparar Planes de Tratamiento de los Riesgos. Implica preparar los planes de tratamiento de riesgos Implementar Planes de Tratamiento de los Riesgos. Implica reducir la probabilidad del riesgo, reducir las consecuencias, y transferir el riego completo o en parte. Luego de que los riesgos hayan sido reducidos o transferidos, podría haber riesgos residuales que sean retenidos. Deberían ponerse en práctica planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos riesgos. Los riesgos también pueden ser retenidos en forma predeterminada.

34 57 3. EL CONTROL. 1. Generalidades. El control como pieza fundamental dentro de la administración, porque en este se establece si se está cumpliendo con los objetivos trazados. 1.1 Definición de Control. El Control es una función del proceso administrativo, que tiene por objetivo asegurar que las cosas se hacen de acuerdo a lo planeado. 2. Establecimiento de Normas o Estándares. Las normas son criterios establecidos con los cuales se pueden medir los resultados reales, estos criterios o estándares pueden ser relativas a las áreas jurídicas o administrativas, así tenemos normas legales, reglamentarias, estándares físicos o monetarios, planes, metas, etc. 3. Aplicación del Control. Consiste en la valoración de los hechos o actividades de acuerdo con los estándares establecidos. Puede suceder que existan actividades difíciles de medir para los cuales sea complicado desarrollar estándares, en tal caso será de utilidad efectuar una evaluación de la ejecución o una evaluación general subjetiva. 3.1 Comparación entre lo Real y lo Programado. Las mismas herramientas y otras técnicas de Administración, permiten revelar las desviaciones, con respecto a las normas o estándares, esta comparación se efectúa tanto internamente con la propia Administración, como externamente a través de las revisiones por parte de los organismos externos de control. Lo fundamental de esta etapa es determinar las causas de los desajustes, a fin de rectificarlos e impedir que se produzca las mismas deficiencias.

35 58 Estas desviaciones y sus posibles causas, deben exponerse en un Informe, el cuál será la base para la etapa siguiente. 3.2 Supervisión del Control. Tomar Decisiones para corregir las desviaciones. Esta no es una fase sólo de control, por cuanto al ejecutarlas intervienen además aquellas funciones en las cuales recaen las medidas correctivas, se puede reorientar los planes o modificar metas, o mediante el ejercicio de la función organización, asignado o aclarando funciones, o bien a través de una mejor dirección, impartiendo órdenes o haciendo cumplir las disposiciones legales o reglamentaria, de modo que se asegure en la mejor forma el logro de los objetivos de la Institución. Las medidas correctivas que se formulen deben fundamentarse en los principios básicos de control interno y las normas legales que rigen la acción de la Entidad. 3.3 Punto de Control. Se refiere a la ubicación exacta de la función de control. Todas las etapas anteriores pueden ser correctas, pero si el control está mal ubicado, no será efectivo. 4. Concepto de Control Interno. Se entenderá por Control Interno a la herramienta que utiliza la organización para evaluar que las metas establecidas por la empresa se desarrollen satisfactoriamente. Considerándose también como conjunto de procesos, funciones, actividades, subsistemas y gente, que se encuentra agrupadas o segregadas

36 59 conscientemente, para asegurar el logro efectivo de metas y objetivos. (SACC: Instituto Norteamericano de Auditores Internos). 4.1 Desempeño del Control Interno. El Control cumple un rol retroalimentador al interior de la empresa, debido a que cada función de la organización esta sujeta a la aplicación de diversas formas de control. La existencia del control se fundamenta en la planificación, sino existe planificación no hay un motivo para controlar, por esto la función primordial del control en la organización es evaluar las metas planteadas por ésta. De lo anterior, se desprende que el control consiste en un proceso de evaluación constante de las actividades desarrolladas por la empresa, comparando su resultado con la planificación estratégica, por ello dicha evaluación entregará las herramientas necesarias, para que la dirección realice las correcciones correspondientes con el objeto de reorientar las metas definidas en la planificación, por esta razón el control no se limita a una nueva revisión, sino que entrega la información necesaria para la reformulación de un plan. Otra función que cumple el control en la organización es favorecer las relaciones del recurso humano, siempre que este proceso de control esté bien enfocado y no se transforme en un proceso coercitivo que limite la acción, creando con ello desmotivación al interior de la organización. En resumen, el control es primordial para asegurar que las funciones al interior de la empresa se realicen de la mejor manera, con el objeto de cumplir con los objetivos organizacionales. De acuerdo a esta perspectiva decimos entonces que el control que sirve de regulador de la vida interna de una empresa se denomina control interno.

37 El COSO El coso, forma parte fundamental en lo que se refiere a control interno dentro de las organizaciones Concepto Proceso, efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías - Eficacia y eficiencia de las operaciones, - Fiabilidad de la información financiera, - Cumplimiento de leyes y normas que sean aplicables Componentes del COSO Entorno de Control a) Integridad y Valores Éticos. La dirección ha de transmitir el mensaje de que la integridad y los valores éticos no pueden, bajo ninguna circunstancia, ser contravenidos. Los empleados deben captar y entender ese mensaje. La dirección ha de demostrar continuamente, mediante sus mensajes y su comportamiento, un compromiso con los valores éticos. b) Compromiso de Competencia Profesional. La dirección ha de especificar el nivel de competencia profesional requerido para trabajos concretos y traducir los niveles requeridos de competencia en conocimientos y habilidades imprescindibles.

38 61 c) Consejo de Administración y Comité de Auditoria Un consejo de administración activo y efectivo, o comités del mismo, es un elemento de control importante. Dado que la dirección tiene la posibilidad de eludir los sistemas de control, el consejo tiene un papel importante para asegurar un control interno efectivo. d) La Filosofía de Dirección y el Estilo de Gestión. La filosofía de dirección y el estilo de gestión suelen tener un efecto omnipresente en una entidad. Estos son, naturalmente, intangibles, pero no se pueden buscar indicadores positivos o negativos. e) Estructura Organizativa. La estructura organizativa no deberá ser tan sencilla que no pueda controlar adecuadamente las actividades de la empresa ni tan complicada que inhiba el flujo necesario de información. Los ejecutivos deben comprender cuáles son sus responsabilidades de control y poseer la experiencia y los niveles de conocimientos requeridos en función de sus cargos. f) Asignación de Autoridad y Responsabilidad. La asignación de responsabilidad, la delegación de autoridad y el establecimiento de políticas conexas ofrecen una base para el seguimiento de las actividades y el sistema de control y establecen los papeles respectivos de las personas dentro del sistema. Políticas y prácticas en materia de los recursos humanos