1
00:00:00,330 --> 00:00:07,560
Tenemos una tabla donde vamos a colocar los riesgos y a completar la probabilidad, impacto y el nivel

2
00:00:07,560 --> 00:00:08,100
de riesgo.

3
00:00:08,160 --> 00:00:10,290
Esta será nuestra tabla de riesgos.

4
00:00:11,580 --> 00:00:16,950
En ella, nuestro primer campo es el riesgo que identifiquemos por los activos ya mencionados.

5
00:00:18,030 --> 00:00:23,730
Tomando en cuenta que los equipos informáticos son tan esencial para las operaciones del minimarket

6
00:00:24,930 --> 00:00:30,990
interrupcion en las operaciones por avería de los equipos informáticos, es un riesgo que debemos de

7
00:00:30,990 --> 00:00:35,910
tomar en cuenta si se fijan en la composición del riesgo.

8
00:00:36,870 --> 00:00:40,710
El riesgo está compuesto por una causa y una consecuencia.

9
00:00:41,340 --> 00:00:42,260
En este caso.

10
00:00:42,810 --> 00:00:49,020
Interrupción de las operaciones es la consecuencia por averías en los equipos informáticos.

11
00:00:49,380 --> 00:00:50,940
Vendría siendo la causa.

12
00:00:51,900 --> 00:00:58,650
Por eso hay otra forma de documentar los riesgos que a mí personalmente me agrada más que donde separamos

13
00:00:58,680 --> 00:01:00,180
esta causa y consecuencia.

14
00:01:01,080 --> 00:01:01,950
De esta manera.

15
00:01:04,270 --> 00:01:08,040
Ahora tenemos dos campos, causa y consecuencia que componen.

16
00:01:09,500 --> 00:01:10,220
El riesgo.

17
00:01:13,190 --> 00:01:13,960
Entonces.

18
00:01:15,750 --> 00:01:21,180
Tenemos la interrupción en las operaciones por averías de los equipos informáticos.

19
00:01:21,510 --> 00:01:28,560
Me gusta de esta manera, ya que una consecuencia puede tener diferentes causas, al igual que una casa

20
00:01:28,560 --> 00:01:34,590
puede tener varias consecuencias y de esta manera cada casa causa consecuencia.

21
00:01:35,160 --> 00:01:41,100
Se puede trabajar con controles diferentes de acuerdo a lo que amerite la combinación de ellas.

22
00:01:41,160 --> 00:01:51,000
Por ejemplo, tenemos que la consecuencia interrupción en las operaciones también puede ser por fallas

23
00:01:51,000 --> 00:01:59,430
en el suministro de energía, no solamente por avería los equipos, sino por una falla en el suministro

24
00:01:59,430 --> 00:02:00,030
de energía.

25
00:02:00,090 --> 00:02:02,760
Podemos tener la misma consecuencia.

26
00:02:04,410 --> 00:02:12,240
Entonces, tomando en cuenta que el minimarket es una empresa a una tienda que aunque tiene poco personal,

27
00:02:12,270 --> 00:02:19,620
vende mucho y el hecho de que tenga poco personal quiere decir que hay muchas personas que tienen múltiples

28
00:02:19,620 --> 00:02:22,110
funciones y múltiples accesos.

29
00:02:22,380 --> 00:02:26,580
Es un riesgo considerable para este tipo de negocios.

30
00:02:27,120 --> 00:02:29,310
El fraude interno de los empleados.

31
00:02:29,730 --> 00:02:35,520
Entonces podemos tener pérdidas económicas significativas por un fraude interno.

32
00:02:37,940 --> 00:02:39,210
Sólo vamos a poner por aquí.

33
00:02:39,620 --> 00:02:47,060
Entonces destrucción de datos es otro riesgo que cae muy bien en este escenario por infección de software

34
00:02:47,060 --> 00:02:50,780
malicioso, un virus puede ocasionar la pérdida de datos.

35
00:02:50,870 --> 00:02:58,340
Entonces, para este ejemplo solamente vamos a considerar estos riesgos, sabiendo que existen muchísimos

36
00:02:58,430 --> 00:03:00,950
otros riesgos relacionados.

37
00:03:01,010 --> 00:03:03,790
Pero para este ejemplo vamos a considerar estos de acá.

38
00:03:03,800 --> 00:03:11,000
Luego le voy a mostrar una tabla donde hay algunos otros riesgos que también identifiqué para este ejemplo.

39
00:03:12,170 --> 00:03:19,220
Entonces, luego del completado los riesgos potenciales que identificamos que pueden afectar a nuestros

40
00:03:19,220 --> 00:03:20,060
activos.

41
00:03:21,230 --> 00:03:24,950
Entonces debemos de llenar estos campos de acá.

42
00:03:25,880 --> 00:03:31,760
Vamos a identificar la probabilidad y el impacto de cada uno de estos riesgos.

43
00:03:32,570 --> 00:03:39,740
Para esto lo primero es que debemos de definir cuáles son los criterios de valoración de la probabilidad

44
00:03:39,860 --> 00:03:40,770
y del impacto.

45
00:03:42,250 --> 00:03:48,520
Ya que vamos a utilizar el método cualitativo, que es el método más utilizado y el más simple, en

46
00:03:48,520 --> 00:03:54,140
este caso, para la probabilidad tenemos probabilidad baja, media y alta.

47
00:03:54,310 --> 00:04:00,460
Entonces tenemos aquí definido la probabilidad y de los riesgos que determinemos que son de probabilidad

48
00:04:00,460 --> 00:04:00,940
baja.

49
00:04:01,660 --> 00:04:09,130
Es porque son poco probable que ocurran y pudieran ocurrir una vez al año media.

50
00:04:09,160 --> 00:04:10,570
Es probable que ocurra.

51
00:04:10,600 --> 00:04:14,050
Pudiera ocurrir mensualmente en el caso de la alta.

52
00:04:14,110 --> 00:04:17,290
Es muy probable que ocurra para el impacto.

53
00:04:18,460 --> 00:04:27,700
Definimos que bajo sería los eventos que no afectan las operaciones de la empresa, es decir, eventos

54
00:04:28,780 --> 00:04:35,260
que no representan pérdidas económicas en cuanto medios son eventos que pudieran afectar las operaciones

55
00:04:35,290 --> 00:04:44,650
y o provocar pérdidas económicas significativas y alto serían los eventos que pudieran afectar las operaciones,

56
00:04:44,680 --> 00:04:50,290
dañar la reputación de la empresa y o provocar pérdidas económicas significativas.

57
00:04:51,250 --> 00:04:57,160
Los superiores del área de auditoría en conjunto con los auditores definen estos criterios.

58
00:04:58,830 --> 00:05:04,890
Y de acuerdo a la realidad de la empresa que estén auditando, se han definido los criterios.

59
00:05:05,520 --> 00:05:08,430
Entonces ya tenemos nuestros criterios definidos.

60
00:05:08,910 --> 00:05:18,180
Podemos continuar en el caso de interrupciones de las operaciones por averías en los equipos informáticos?

61
00:05:18,360 --> 00:05:19,800
Qué tan frecuente?

62
00:05:20,430 --> 00:05:22,440
Cuál sería la probabilidad de que esto ocurra?

63
00:05:22,710 --> 00:05:28,830
Si consideramos que los equipos que tenemos instalados en nuestro minimarket son de alta calidad, son

64
00:05:28,830 --> 00:05:32,040
muy estables y pocas veces sufren averías.

65
00:05:32,070 --> 00:05:35,970
Entonces pudiéramos poner que es poco probable que ocurra.

66
00:05:37,470 --> 00:05:38,500
Pero si ocurre.

67
00:05:38,550 --> 00:05:39,870
Cuál sería el impacto?

68
00:05:41,640 --> 00:05:48,120
Sería un evento que no afecta a las operaciones o sería un evento que pudiera afectar las operaciones

69
00:05:48,120 --> 00:05:49,870
y o provocar pérdidas económicas?

70
00:05:52,120 --> 00:05:57,940
O más bien un evento que pudiera afectar las operaciones, dañar la reputación de la empresa y o provocar

71
00:05:57,940 --> 00:06:00,280
pérdidas económicas significativas.

72
00:06:00,910 --> 00:06:10,900
Entendemos para este caso que sería un impacto medio donde el evento pudiera afectar las operaciones.

73
00:06:12,340 --> 00:06:15,100
Imagínense que se dañe un punto de venta.

74
00:06:16,030 --> 00:06:23,560
Eso pudiera afectar a las operaciones, ya que las ventas de ese punto de venta no se efectuaría o se

75
00:06:23,560 --> 00:06:24,350
retrasaría.

76
00:06:25,150 --> 00:06:28,930
Y así podemos continuar con fallas en el suministro de energía.

77
00:06:30,680 --> 00:06:32,630
Qué tan frecuente puede pasar?

78
00:06:34,490 --> 00:06:43,820
En el caso de mi país medio es probable que ocurra y pudiera ocurrir una vez al mes y por igual, eso

79
00:06:43,820 --> 00:06:48,050
depende de cada realidad, de cada empresa y cada país.

80
00:06:48,770 --> 00:06:54,740
Entonces, cuál sería el impacto de una falla de energía, impacto medio que pudiera afectar las operaciones

81
00:06:54,740 --> 00:06:56,420
o provocar pérdidas económicas?

82
00:06:57,320 --> 00:07:02,390
En algunos casos, la línea que separa entre medio y alto es muy delgada.

83
00:07:03,110 --> 00:07:04,040
Ya está.

84
00:07:04,430 --> 00:07:11,660
En base al juicio de los auditores, definir cuál de las tres calificaciones les le correspondía al

85
00:07:11,660 --> 00:07:12,170
riesgo.

86
00:07:13,940 --> 00:07:19,970
Y así continuamos con pérdidas económicas significativas por fraude interno.

87
00:07:22,490 --> 00:07:30,410
Le coloco alta porque es muy probable que ocurra, es muy probable que ocurran temas de fraudes a lo

88
00:07:30,410 --> 00:07:39,140
interno de la empresa y más cuando existe una pobre segregación de funciones entre los empleados de

89
00:07:39,140 --> 00:07:39,890
una empresa.

90
00:07:41,540 --> 00:07:42,320
Entonces.

91
00:07:44,850 --> 00:07:52,260
Cuál sería el impacto, ese impacto pudiera ser alto, ya que dependiendo del fraude que sea, pudiera

92
00:07:52,260 --> 00:07:57,780
afectar desde las operaciones, dañar la reputación y provocar pérdidas económicas.

93
00:07:58,230 --> 00:08:04,320
Todo eso pudiera pasar como un fraude, infección de software malicioso.

94
00:08:05,400 --> 00:08:09,840
Esto es probabilidad alta porque pudiera ocurrir en cualquier momento.

95
00:08:11,280 --> 00:08:12,960
Varias veces en el día.

96
00:08:13,140 --> 00:08:19,920
Y en este caso, el impacto puede hacer desde tanto alto como medio.

97
00:08:20,400 --> 00:08:25,410
Pero vamos a colocar medio considerando la realidad de nuestro minimarket.