Oficina de Control Interno, Poder Judicial RESUMEN METODOLOGÍA PARA LA GESTIÓN DE RIESGOS. Recopilado por: Lic. Luis E. Guzmán Gutiérrez, CPA

Transcripción

1 Oficina de Control Interno, Poder Judicial RESUMEN METODOLOGÍA PARA LA GESTIÓN DE RIESGOS Recopilado por: Lic. Luis E. Guzmán Gutiérrez, CPA

2 DEFINICIÓN DE RIESGO Probabilidad de que ocurra un evento, cuyas consecuencias dificulten o impidan el logro de los objetivos de un despacho u oficina en particular o de la institución en general.

3 SISTEMA ESPECÍFICO DE VALORACIÓN DEL RIESGO DEL PODER JUDICIAL IDENTIFICACIÓN R ANÁLISIS I P SEVRI-PJ P ADMINISTRACIÓN K EVALUACIÓN S

4 IDENTIFICACIÓN El objetivo de esta fase es determinar los riesgos que podrían afectar el logro eficiente y oportuno de los objetivos institucionales y de los despachos y oficinas judiciales.

5 Fuentes de riesgos Son las causas de que un riesgo se haga realidad, es decir, que se convierta en un problema. El enfoque principal del SEVRI-PJ va dirigido a prevenir que las fuentes de los riesgos se activen.

6 EFECTOS DE LOS RIESGOS Consecuencias o daños si el riesgo se hace realidad, para lo cual lo apropiado es actuar para minimizar los perjuicios que puedan ocurrir.

7 ALARMAS DE ACTIVACIÓN DE RIESGOS El estado anterior a la ocurrencia de un evento (riesgo) que se evidencia, ante lo cual los responsables deben activar procedimientos de acción preestablecidos y tomar precauciones específicas debido a la inminente ocurrencia del evento.

8 MATRIZ DE IDENTIFICACIÓN DE RIESGOS Objetivo del PAO: Riesgo Fuentes Efectos Alarmas de activación de riesgos

9 Fuga de información MATRIZ DE IDENTIFICACIÓN Objetivo: Ofrecer alta calidad de servicio RIESGO FUENTES Cambios en el entorno: políticas económicas que disminuyen el poder adquisitivo Infraestructura Instalaciones que permiten el ingreso de personas a sitios restringidos Organización del trabajo - Ausencia de procedimientos para el acceso a expedientes y otra documentación confidencial Ética Acceso no autorizado a información para darle un mal uso (venta, favorecimiento, destrucción de datos, etc.) Tecnología de Información: Sistemas vulnerables Mal uso de claves de acceso EFECTOS Para el despacho: -Pérdida de credibilidad - Errores e irregularidades en la tramitación - Manipulación o destrucción de evidencias -Manipulación o destrucción de datos -Desconfianza Procesos disciplinarios Para personas usuarias: -Impunidad - Revictimización -Pérdidas económicas -Divulgación de asuntos privados -Para el Poder Judicial: -Demandas y procesos disciplinarios - Pérdida de imagen ALARMAS -Bajos aumentos de salarios -Personas que gastan más de lo que ganan Acción: seguimiento Quejas por interferencia de prensa (filtración de I) Acceso no autorizado a expedientes confidenc. Acción: supervisión Deterioro de los valores éticos establecidos Acción: programa para fortalecer valores Intentos de acceso no autorizado a BD Bases de datos manipuladas Acción: revisión de recursos de TI Documentos ubicados en sitios inadecuados Acción: directrices de archivo Regresar

10 ANÁLISIS En esta etapa el objetivo es calificar los riesgos identificados en la primera fase.

11 El análisis implica la valoración de: probabilidad de ocurrencia e impacto

12 Análisis de riesgos Probabilidad de ocurrencia Muy probable 90% Bastante Probable 70% Probable 50% Poco probable 30% Improbable 10% Análisis de riesgos Impacto Muy alto 5 Alto 4 Moderado 3 Bajo 2 Muy bajo 1

13 Matriz de análisis del riesgo Riesgo Probababilidad de ocurrencia Impacto Exposición al riesgo inherente Justificación Fuga de Información PO: Se maneja un alto volumen de expedientes, tanto físicos como electrónicos que están archivados en un sitio común en la oficina I: El impacto es alto porque se puede caer un caso, generar impunidad y pérdida de imagen.

14 EVALUACIÓN El objetivo de esta fase es contar con una matriz de riesgos priorizados, de acuerdo con los intereses y posibilidades institucionales

15 CRITERIOS PARA ESTABLECER PRIORIDADES Los riesgos se priorizan de acuerdo con una serie de criterios institucionales, por ejemplo: Nivel de riesgo residual. Posibilidades que tiene la institución para afectar el riesgo. Importancia de la política, proyecto, función objetivo o actividad. La eficacia o eficiencia de las medidas actuales existentes para la administración del riesgo. El nivel de tolerancia al riesgo de la institución (nivel de aceptabilidad del riesgo).

16 Nivel de riesgo aceptable Nivel de riesgo que la institución está dispuesta y en capacidad de aceptar para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos y sin que esto sea incompatible con las expectativas de los sujetos interesados.

17 Condiciones en que un riesgo es aceptable: La probabilidad y/o consecuencia del riesgo es tan baja que no es necesaria una medida de administración. El riesgo es tal que no existe una medida para administrarlo. Los costos de administración son tan altos en comparación con los beneficios, que su aceptación es la única opción.

18 RIESGO INHERENTE FUNCIONALIDAD DE MEDIDAS DE CONTROL EXISTENTES RIESGO RESIDUAL

19 Sistema específico de valoración del riesgo del Poder Judicial Matriz de funcionalidad de los controles Riesgo Controles Funcionalidad Fuga de información Bitácora de acceso (libro manual) Cambio periódico de contraseñas Registro electrónico de acceso a los expedientes PROMEDIO: 2

20 Matriz de evaluación de riesgos priorizados Riesgo Probab. X Impacto Prioridad Funcionalidad de los controles actuales Nivel de Riesgo Residual Justificac. Resultado de la Evaluación (Aceptar/Administrar) (prioridad)

21 Sistema específico de valoración del riesgo del Poder Judicial Matriz de riesgos priorizados Resultado de la Evaluación (Aceptar/Administrar) Prioridad [1] Riesgo Probabilidad x impacto Funcionalidad de los controles actuales [2] Nivel de riesgo residual Justificación 1 Fuga de información Medio/precauciones) Los controles existentes hasta el momento han dado resultado, sin embargo, requieren ser mejorados Administrar Intervalo 10 a a a 1350 Nivel del riesgo residual Bajo (aceptable) Medio (precauciones) Alto (inaceptable)

22 ADMINISTRACIÓN Esta fase tiene como objetivo definir las estrategias para administrar los riesgos más importantes identificados durante la fase de evaluación e integrarlas a los procesos operativos regulares de la oficina o despacho.

23 ACEPTAR EL RIESGO No ejecutar acción alguna y asumir las consecuencias del riesgo cuando: Los perjuicios son de bajo impacto. El esfuerzo para controlarlo excede los beneficios. Existe un robusto sistema de control.

24 Pólizas. Contratos. TRANSFERIR EL RIESGO Traslado parcial de la responsabilidad por la respuesta al riesgo y su impacto, a un tercero. Convenios con otras instituciones. Solicitudes de mejora de infraestructura. Se recomienda: seguimiento constante.

25 MITIGAR EL RIESGO Acciones que se activan en caso de que un riesgo se haga realidad, tendientes a minimizar sus consecuencias. Van dirigidas a controlar los efectos: Equipos y medios de respaldo de datos. Procedimiento para reposición de documentos

26 PREVENIR EL RIESGO El riesgo se puede prevenir atacando la causa (fuente) que lo produce para reducir su probabilidad de ocurrencia. Es más fácil y económico tomar acciones preventivas que reparar los daños (enfoque proactivo): Mejorar esquema de seguridad. Establecer manuales de procedimientos Establecer niveles claros de responsabilidad y autoridad

27 Plan de respuesta al riesgo Prioridad Riesgo Fuentes, controles, efectos Respuesta: aceptar, prevenir, transferir, mitigar Responsable

28 Sistema específico de valoración del riesgo del Poder Judicial Plan de respuesta al riesgo Priorida d Riesgo Fuentes, controles, efectos Respuesta: aceptar, prevenir, transferir, mitigar Responsable 1 Fuga de información Infraestructura: Instalaciones inadecuadas Org. Trabajo: falta de procedimientos para cuidar doctos. Ética Acceso no autorizado a información para de darle un mal uso Seguridad: Acceso de personas no autorizadas Transferir: gestionar ante la administración la adecuación de la oficina Prevenir Diseñar y poner en práctica un manual para la custodia de los documentos, evidencias, etc. de uso confidencial -Realizar y poner en práctica un plan de divulgación permanente de los principios éticos de la organización Mitigar: Acciones a ejecutar si se detecta una persona extraña en la oficina Jefatura/ administración Jefatura Jefatura/ Secretaría técnica de valores Personal del despacho

29 Sistema específico de valoración del riesgo del Poder Judicial Plan de respuesta al riesgo Priorida d Riesgo Fuentes, controles, efectos Respuesta: aceptar, prevenir, transferir, mitigar Responsable 1 Fuga de información Controles: Bitácoras de acceso manual y electrónica Uso de contraseñas personales Impacto: Prevenir Diseñar y ejecutar un plan de mejora del esquema de seguridad de los recursos de tecnología de información Jefatura/ personal del despacho -Despacho: Errores e irregularidades en la tramitación -Personas usuarias: - Revictimización Poder Judicial: Demandas Mitigar: Procedimientos para corregir errores o irregularidades Protocolo para atender a personas para reconstruir un caso Reservas presupuestarias Jefatura/ personal del despacho Administración superior

30 Documentación Esta fase tiene como objetivo registrar las actividades del SEVRI- PJ para generar información sobre la gestión de riesgos y la rendición de cuentas.

31 Revisión o seguimiento Esta fase tiene como objetivo examinar el comportamiento de las estrategias que se definieron para administrar los riesgos.

32