Software de Administración de Riesgos Empresariales

Software de Administración de

Riesgos Empresariales

Agenda

ControlRisk: Qué es y para Qué Sirve?.

Características del Software ControlRisk que generan valor

a las organizaciones.

Especificaciones Técnicas del Software ControlRisk.

Que recibe el usuario por la Compra o Arrendamiento del

software?

Descripción Módulos Componentes de ControlRisk.

Beneficios de Utilizar ControlRisk.

Estado Actual de la

Gestión de Riesgos

Estado Deseado -

ControlRisk

1) No se soporta en herramientas de software Especializadas en Gestión de Riesgos.

2) Información dispersa , en hojas

electrónicas o en

herramientas no especializadas. 3) Utiliza Enfoque Reactivo de

los Controles. Estos actúan

después de la ocurrencia de los riesgos. Generalmente detectan la ocurrencia de los riesgos .

1) Se soporta en una herramienta de software Especializada en Gestión de Riesgos Empresariales.

2) Información almacenada en una base de datos única, que consolida todos los riesgos y controles de la organización.

3) Utilizar Enfoque Proactivo y

Preventivo de los Controles – Todos

los controles actúan antes que los riesgos se presenten.

Soporta la Implantación, Mantenimiento y Mejora Continua de la

Gestión de Riesgos Empresariales a corto, mediano y largo plazos.

Estado Deseado - Con

ControRisk

4) Carecen de estándares para “Diseñar

los Controles requeridos”, por riesgo.

5) No Ejecutan Monitoreos periódicos a

los riesgos y los controles.

6) No mantienen registros actualizados

de eventos de riesgo ocurridos.

7) Bajo Enfasis en riesgos y controles de

los servicios de Sistemas de la Empresa (TICs)

8) Seguimiento manual a acciones de

tratamiento y de mejora

4) Estandariza Criterios para diseño de

los controles por riesgo y asegurar eficacia y eficiencia.

5) Realiza monitoreos periódicos y genera

indicadores de gestión.

6) Se Mantiene actualizada una base de

datos con la historia de eventos de riesgo ocurridos en la Empresa.

7) Enfatiza en los riesgos y controles en

ambientes automatizados.

8) Realiza seguimiento electrónico de

Planes de tratamiento y mejoramiento.

Estado Actual de la

Gestión de Riesgos

Soporta la Implantación, Mantenimiento y Mejora Continua de la

Gestión de Riesgos Empresariales a corto, mediano y largo plazos.

El Software ControlRisk

Provee funcionalidades para conducir las siguientes

actividades de la Gestión de Riesgos Empresariales:

1) Implantar el ciclo PHVA de la Gestión de Riesgos en los procesos

del modelo de operación de la empresa, los procesos de TIC y los

Sistemas de Información automatizados (aplicaciones de computador

ó módulos de ERPs) de la Empresa.

2) Construir y actualizar el Perfil Consolidado de Riesgos de la

Empresa.

3) Crear y mantener actualizada la Base de Datos de Eventos de

Riesgo Ocurridos en la organización.

4) Monitorear el funcionamiento del Plan de Continuidad del

Negocio de la Organización.

5) Auditar la Gestión de Riesgos Empresariales.

Alcance de la Gestión de Riesgos

Empresariales en ControlRisk.

Módulo 3: Implantación de la Gestión de Riesgos en los

Procesos y servicios de Tecnología de Información de la

Empresa.

Módulo 4: Consolidación de Perfiles de Riesgo de la

Organización.

Módulo 5: El Registro de Eventos de Riesgo ocurridos (RERO) –

Creación y administración base de datos.

Módulo 6: Monitoreo / Auto-aseguramiento del Plan de

Continuidad del Negocio (BCP).

6.3. Establecer el Contexto

6.4.2 Identificación del riesgo

6.4.3 Análisis de riesgos

6.4.4 Evaluación de riesgos

6.5 Tratamiento del riesgo

6.4. Valoración de riesgos 6,7 Monitoreo y revisión 6,2 Comunicación y consulta

El software ControlRisk

Qué es y para que sirve?

CONTROLRISK:

Automatiza las actividades

de

implantación,

monitoreo, actualización y

mejoramiento continuo de

diferentes Sistemas de

Gestión de Riesgos (SGR) en

la Empresa:

• SARO: Sistema de Administración de riesgo operativo. • SARLAFT: Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo. • Riesgos de Seguridad y Salud

Ocupacional.

• Riesgos de Seguridad de la Información.

• Riesgos Ambientales.

• Riesgos en el Sector Salud (Res 1740 de 2008 MPS).

CONTROLRISK

Consta de siete (7)

módulos

interrelacionados:

1. Administración de Usuarios; 2. Configuración del Software; 3. Implementar Gestión de

Riesgos por Procesos

(desarrollar Ciclo PHVA de la gestión de riesgos).

4. Consolidar el Perfil de riesgos /

Mapa de Riesgos de la Empresa.

5. Crear y Mantener Actualizada

la base de datos de Eventos de Riesgos Ocurridos (RERO) en la Organización.

6. Monitorear el Plan de Continuidad del Negocio (BCP) de la Organización.

7. Auditar el Sistema de Gestión

de Riesgos de la Organización.

El software ControlRisk

ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 11

Los perfiles de acceso en CONTROLRISK son los siguientes:

Perfiles Con Acceso a todas las Funcionalidades del Software.

• Gerente de Riesgos.

• Analista de Riesgos.

Perfiles Con Derechos de Acceso Limitados.

• Administrador de EGR (Estudios de

Gestión de Riesgos). • Auto-evaluador - Monitoreo de riesgos, CSA. • Administrador RERO. • Auxiliar de RERO. • Administrador BCP. • Auto-evaluador del BCP. • Administrador de Auditoría. • Auditor.

Módulo 1: Administración de

Usuarios

CONTROLRISK Ofrece dos opciones de

autenticación de usuarios:

1) Autenticación manejada por la

aplicación de Gestión de Riesgos ( ControlRisk) y

2) Autenticación a través del directorio

activo usado en los sistemas operativos Windows.

Ofrece dos tipos de Usuarios:

a) Administradores de Riesgos de la

Empresa con derechos de acceso a todas las funcionalidades del software.

b) Con derechos de acceso limitados a

algunas funcionalidades del software (responsables o dueños de procesos,

auditores, autoevaluadores en el

monitoreo de riesgos y controles).

Qué es y para que sirve?

Módulo 2: Parametrización del

Software

1.

Dar Mantenimiento a la Base de Conocimientos de Gestión

de Riesgos Estándar, suministrada por el proveedor, como

base para iniciar el uso del software.

• Categorías de Riesgo.

• Eventos de Riesgo Inherentes (amenazas) por categoría de riesgo.

• Controles por Evento de riesgo inherente.

• Objetivos de Control.

• Otras.

2.

Poblar tablas de la Base de Conocimientos con información

privada específica de la Empresa licenciataria.

3.

Definir parámetros para CALIFICAR (medir) la severidad del

riesgo antes y después de tratamientos, efectividad de los

controles, los resultados del monitoreo, estado de las acciones

de tratamiento y otros.

ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles

13 CONTROLRISK provee funcionalidades para:

• Poblar la Base de Conocimientos de Gestión de Riesgos con información privada de la Empresa.

• Definir estándares de Gestión de Riesgos de la Empresa (Severidad de los riesgos, efectividad de Controles, indicadores de riesgo).

• Configurar el correo corporativo de la Unidad de Riesgos y la configuración y envío automático de mensajes de recordatorio por Correo electrónico sobre Acciones de Tratamiento y Acciones de Mejoramiento.

Módulo

2:

Configuración

del

Software.

Qué es y para que sirve?

Módulo 3:

Implantación de la Gestión de Riesgos

en los Procesos y Servicios de

Tecnología de Información de la

Empresa.

Módulo 3: Implantar la Gestión de

Riesgos por Proceso o Sistema

1. Conducir el desarrollo de las fases, etapas y pasos del proceso de implantación y/o mantenimiento del proceso de Gestión de Riesgos Empresariales, en los procesos del modelo de operación y la TIC de la Empresa, de conformidad con ISO 31000 – Desarrollar el ciclo PHVA de la Gestión de Riesgos, por cada proceso o sistema:

• P: Planear (Identificar, analizar, evaluar los riesgos inherentes, diseñar

tratamientos).

• H: Hacer (implementar procedimientos de gestión de riesgos y el plan

de tratamientos).

• V: Verificar (Monitorear / Revisar periódicamente el funcionamiento de la

gestión de riesgos).

• A: Actuar / Corregir (Implantar Acciones de Mejoramiento producto de

cada monitoreo).

2. Generar / Actualizar el Manual de Gestión de Riesgos de cada proceso o sistema.

Objetivos del Módulo.

El ciclo PHVA de Implantación del Sistema de

Administración Integral de Riesgos (SAIR) (1)

ISO 31000: 2009 - Relación entre los

Principios, Marco De Referencia y Proceso.

Valoración de Riesgos

1) Obtener el Compromiso de la Gerencia.

2) Definir el Framework o Marco de Referencia de la Gestión de Riesgos de la Organización (de acuerdo con ISO 31000 ó ERM).

3) Armonizar / alinear la Gestión de Riesgos Empresariales con la Estructura del Sistema de Control Interno de la Organización (COSO + COBIT + ISO 27001). En el sector publico de Colombia: MECI + COBIT + ISO 27001.

4) Armonizar la Gestión de Riesgos con el Sistema de Gestión de Calidad (ISO 9001) y otros sistemas de gestión: Ambiental, Salud Ocupacional, gestión de continuidad del negocio – BCP – y el Sistema de Gestión de Seguridad de la Información (ISO 27001).

Factores Críticos para la Implantación Exitosa.

Módulo 3: Implantar la Gestión de

Riesgos en los Procesos y Sistemas

“Modelo” del Contenido del Framework de la

Gestión de Riesgos en la Empresa.

1) Política de Gestión del Riesgo para la Empresa.

2) Definición Contexto Externo e Interno de la Organización.

3) Universo de Riesgos de la Empresa - Modelo de categorías o clases de eventos de riesgo aplicables a las operaciones de la organización.

4) Objetivos y Alcance de la Gestión de Riesgos en la Empresa.

5) Estructura organizacional y Tecnológica para soportar el SGR en la empresa. 6) Definición del Apetito de Riesgos de la Organización.

7) Definición del Nivel de Tolerancia a Riesgos.

8) Roles y responsabilidades en la administración del riesgos en la organización.

9) Procedimientos para identificar, documentar, evaluar, controlar y monitorear los riesgos inherentes en los procesos y la TI – Ciclo PHVA de la gestión de riesgos.

10) Criterios de aceptación de riesgo, criterios de efectividad de los controles y procedimiento de tratamiento de riesgos.

11) Procedimientos que deben implantar los órganos de control frente al SGR. 12) Estrategias de capacitación y Divulgación del SGR.

Módulo 3: Implantar la Gestión de

Riesgos por Proceso o Sistema

El software ControlRisk

Qué es y para que sirve?

ALCANCE DE LA IMPLANTACION.

•

Los Procesos del Modelo de Operación de la

Empresa – Mapa de Procesos (Estratégicos,

Misionales, de Apoyo y de Supervisión y

Control).

•

Los Procesos de la Infraestructura de

Tecnología Información (Modelos COBIT e

ITIL).

•

Los Sistemas de Información Automatizados

(Aplicaciones de Computador ó Módulos de

ERPs).

Módulo 3: Gestión

de

Riesgos

por

Proceso o Sistema.

Implantar, monitorear y

mantener actualizada la

6.3. Establecer el Contexto

6.4.2 Identificación del riesgo

6.4.3 Análisis de riesgos

6.4.4 Evaluación de riesgos

6.5 Tratamiento del riesgo

6.4. Valoración de riesgos 6,7 Monitoreo y revisión 6,2 Comunicación y consulta

Riesgo Inherente (potencial). Riesgo Antes de Controles. Es el riesgo a cual están expuestos los procesos o las actividades, dada su naturaleza. Es intrínseco. Este riesgo no puede ser evitado, pero si puede ser mitigado. Su SEVERIDAD se evalúa sin tener en cuenta los controles establecidos en la Entidad.

Riesgo residual. Riesgo después de Controles /Tratamientos de riesgo. Es el riesgo que resta o queda después de aplicar los controles o tratamientos establecidos.

Según ISO 31000: “el riesgo residual es el riesgo que permanece o persiste después de implementada una opción de tratamiento de riesgos. Este es el riesgo remanente después de que haya reducido el riesgo, removido el origen del riesgo, modificado las consecuencias, cambiado las probabilidades, transferido el riesgo, o retenido el riesgo”.

Los dos Estados de los Riesgos.

Implantación de la Gestión de Riesgos en

los procesos y sistemas de la Empresa

Ejemplo:

Dos Estados de los Riesgos, por Evento Negativo (Amenaza).

Evento (Amenaza):

Robo de dinero en cajero automático (ATM), por suplantación del

propietario de la tarjeta.

Riesgo Inherente (Potencial):

Riesgo antes de Controles.

(evento) a la que se expone el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su evaluación no se tienen en cuenta los controles establecidos.

Evaluación:

E - Extremo.

Acciones de Respuesta:

Reducir (mitigar) el riesgo.

Controles

:

• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático. • Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear. • Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

Riesgo Residual:

Riesgo después de Controles y Tratamientos

. Amenaza (Evento) no

protegida o no cubierta por los controles establecidos.

Evaluación:

B - Bajo

(Tolerable).

Implantación de la Gestión de Riesgos en

los procesos y sistemas de la Empresa

Qué es y para que sirve?

Módulo 3: Gestión de

Riesgos por Proceso o

sistema.

Por cada Proceso ó

Aplicación de Computador,

desarrollar el Ciclo PHVA de

la gestión de riesgos:

ETAPAS DE LA METODOLOGIA

• Etapa 1: Definir el Contexto de Riesgos del Proceso.

• Etapa 2: Identificar, analizar y documentar los riesgos que podrían presentarse.

• Etapa 3: Elaborar Cubo de Riesgos del Proceso.

• Etapa 4: Diagnóstico sobre Controles Existentes y Tratamiento de los riesgos. • Etapa 5: Evaluación Costo / Beneficio de

los Controles.

• Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles.

• Etapa 7: Monitoreo (Autoevaluación) y Mejoramiento de la Gestión de riesgos.

Implantación de la Gestión de Riesgos en

los procesos y sistemas de la Empresa

Evaluación de Riesgos / Diagnóstico sobre Protección Existente Identificar y Analizar Riesgos Inherentes Establecer Contexto del Proceso Elaborar Mapa de Riesgos Inherentes.

1

2

3

4

Actividades, Proveedores, Entradas, Salidas, Clientes, Responsables Definir Opciones Manejo de Riesgos 3 Matrices - Cubo de Riesgos Críticos Medir Protección Existente. Elaborar Plan de Tratamientos Riesgos/ Amenazas Críticas

Caracterización

Localización

Amenazas

GESTION DE RIESGOS POR PROCESOS - FASE 1 : ESTRUCTURAL

Metodología para Implantar la GR en los

procesos y Sistemas de la organización

Implementar

Tratamientos

5

Documentar Controles / Tratamientos

Análisis Eficacia /

Eficiencia

GESTION DE RIESGOS POR PROCESOS- FASE 1: ESTRUCTURAL

Metodología para Implantar la GR en los

procesos y Sistemas de la organización

6

Guías de

Monitoreo / CSA

Monitorear Riesgos y Controles (CSA) Asignar Responsables Generar Manual de Administración de Riesgos del proceso

Mapa de Riesgos y Controles

Medir Protección

Existente y Riesgo

Residual

7

8

GESTION DE RIESGOS POR PROCESOS- FASE 2 : OPERATIVA

Implantar , socializar y concienciar Entrenamiento y concienciación No Conformidades / Debilidades No Conformidades / Debilidades

Metodología para Implantar la GR en los

procesos y Sistemas de la organización

Entregables de la Gestión de Riesgos

“por cada

proceso o Sistema” – Modelo

1) Definición del Contexto Interno y Externo del Proceso.

2) Categorías de Riesgo Aplicables al Proceso.

3) Identificación y análisis de eventos de riesgo negativos (amenazas), por

Categoría (clase) de eventos de riesgo y factor de riesgo (el recurso humano, los

procesos, la tecnología, la infraestructura y los acontecimientos externos).

4) Estimación del Nivel de Severidad de los Riesgos Inherentes (eventos de riesgo antes

de controles).

5) Mapas de Riesgos Inherentes.

6) Perfil de riesgo inherente del proceso (por categoría de riesgo, áreas organizacionales

y escenarios de riesgo y factores de riesgo).

7) Cubo de Riesgos del proceso.

8) Objetivos de control que deben satisfacerse para el proceso.

Implantación de la Gestión de Riesgos en

los procesos y sistemas de la Empresa

Entregables de la Gestión de Riesgos

“por cada

proceso o sistema” (Cont).

7) Opciones de manejo del riesgo (acciones de respuesta a riesgos), por cada evento de

riesgo potencial (asumir, evitar, mitigar, transferir, distribuir).

8) Controles establecidos, para los eventos de riesgo identificados (amenazas).

9) Evaluación del Diseño y Efectividad de los controles establecidos por Evento de

Riesgo (Medición de la Protección Existente y del riesgo residual, después de

controles.

10) Definición del Plan de Tratamiento de Riesgos, para Eventos de Riesgo no protegidos

apropiadamente.

11) Mapas de Riesgos Residuales – Antes y Después de Tratamientos.

12) Cargos responsables de ejecutar y supervisar los controles.

13) Guías de Monitoreo (autoevaluación o auto-aseguramiento) de los riesgos y de los

controles.

Implantación de la Gestión de Riesgos en

los procesos y sistemas de la Empresa

Módulo 4:

Consolida los Perfiles de

Riesgo de la Organización.

Construye el Perfil de

riesgos a nivel Institucional,

con los resultados del último

Monitoreo.

• Perfil de Riesgos Inherentes

consolidado: a) Por Categorías de

Riesgo; b) Por Áreas Organizacionales y c) Por tipos de procesos.

• Perfil de Riesgos Residuales

consolidado: a) Por Categorías de

Riesgo; b) Por Áreas Organizacionales y c) Por tipos de procesos.

• Perfil de Protección Existente

Consolidada: a) Por Categorías de

Riesgo, b) Por Áreas Organizacionales y c) Por tipos de procesos.

• Genera reportes de Alto Nivel para los Ejecutivos de la Empresa.

El software ControlRisk

• Crear y mantener actualizada la base de datos con el registro histórico de los Eventos de Riesgo Ocurridos en la Organización.

• Analizar los Eventos de Riesgo Ocurridos y evaluar Eficacia de la Gestión de Riesgos Empresariales.

• Generar reportes de eventos de riesgo ocurridos en la organización, por diferentes conceptos.

• Proveer información de alto nivel para consulta, análisis y soporte de la decisiones de los Ejecutivos de la Empresa, sobre los Eventos de Riesgo Ocurridos.

Módulo 5 – RERO

Crear y mantener

actualizada la base

de datos de Eventos

de Riesgo Ocurridos

(RERO) en la

Organización.

Qué es y para que sirve?

Módulo 6.

Monitoreo del Plan de Continuidad del

Negocio (BCP) de la Organización.

• Poblar / Cargar en la base de datos, los requerimientos que debe satisfacer el BCP.

• Verifica el estado de preparación de las áreas organizacionales para operar en caso de interrupciones.

• Mide el % de cumplimiento de los procedimientos del BCP.

• Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia.

• Genera Reportes del Monitoreo.

Qué es y para que sirve?

Módulo 7.

Auditoría al Sistema de

Gestión de Riesgos de

la Organización.

• Auditoría a la Gestión de Riesgos por

Procesos: planeación y pruebas de

cumplimiento e informe de la auditoría. Papeles de trabajo.

• Auditoría al Registro de Eventos de

Riesgo Ocurridos: planeación, pruebas

de cumplimiento, pruebas sustantivas, informe de la auditoria y papeles de trabajo.

• Auditoría al BCP: Planeación, pruebas de cumplimiento, informe de auditoria y papeles de trabajo.

El software ControlRisk

Agenda

ControlRisk: Qué es y para Qué Sirve?.

Características del Software ControlRisk que Generan

Valor para las organizaciones.

Especificaciones Técnicas del Software ControlRisk.

Que recibe el usuario por la compra del software?

Descripción Módulos Componentes de ControlRisk.

Beneficios de Utilizar ControlRisk.

1) Estandariza los procedimientos para identificar, analizar, evaluar, controlar y monitorear

los riesgos en la organización (implementa el Framework o marco de referencia de la Gestión de Riesgos Empresariales).

2) Define y estandariza el Universo de Categorías de Riesgos aplicables a la Empresa

que pueden presentarse en las operaciones misionales (de negocio) y administrativas de la Empresa (por ejemplo: las 7 de SARO, 4 de SARLAFT, 6 de MECI).

3) Crea, construye y mantiene actualizada la Base de Datos de “Conocimientos de

Gestión de Riesgos de la Organización”. Esta contiene: Categorías de riesgos, los

eventos de riesgo (amenazas) que pueden originar cada categoría de riesgo y los controles que sirven para reducir los eventos de riesgo a niveles aceptables.

4) Hace que la Gestión de Riesgos Empresariales se convierta en el motor del “Sistema de Control Interno de la Empresa”.

El Software ControlRisk:

Valor Percibido que genera

el Software para las Empresas.

5) Implementa el Enfoque proactivo Preventivo de los Controles, en lugar del enfoque

“Reactivo o detrás de los hechos conocidos”. Es decir, establece que los controles se diseñen, implanten y actúen antes de presentarse los riesgos inherentes - “A priori”

respecto a los riesgos.

6) Genera o produce Guías y cuestionarios para identificar los eventos de riesgo

inherentes por categorías de riesgo, que pueden presentarse en la operaciones de cada proceso o sistema.

7) Estandariza criterios utilizados en la organización para analizar los riesgos inherentes, diseñar controles y evaluar su efectividad (efectividad + eficiencia) para

reducir los riesgos inherentes a niveles aceptables de riesgo residual.

8) Genera o produce Guías y cuestionarios para identificar los Controles que deberían

existir para reducir la SEVERIDAD de los riesgos inherentes a niveles tolerables de riesgo residual.

Valor Percibido que genera

el Software para las Empresas.

ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles

El Software ControlRisk:

9) Por cada proceso, crea y construye un “Cubo de Gestión de Riesgos”. Las tres dimensiones del cubo son: a) Categorías de Riesgo Aplicables; b) Actividades que constituyen el Ciclo PHVA del proceso, y c) Areas de la Estructura de organización y terceros que intervienen en el proceso.

10) Aplica y promueve la implantación del enfoque de los “tres anillos de seguridad o Líneas de defensa” y del nivel de automatización y no discrecionalidad de los controles, como criterios para evaluar la EFICACIA de los controles.

11) Genera o produce Guías de Autoevaluación de Controles (en inglés CSA: Control Self

Assessment) para monitorear (auto-asegurar) periódicamente el cumplimiento de los

controles establecidos y el nivel de riesgo residual aceptable en los eventos de riesgo inherentes, para ser diligenciadas en cada una de las dependencias que intervienen en el proceso.

Valor Percibido que genera

el Software para las Empresas.

12)

“Lo que no se mide no puede administrarse”. Implementa la

cultura de medición en la gestión de riesgos Empresariales:

 De La Severidad o Nivel Exposición de los Riesgos Inherentes y Residuales.

 De la Protección Ofrecida por los Controles Internos establecidos por cada evento de riesgo inherente (amenaza), para las tres dimensiones del cubo de riesgos y por objetivos de control.

 De La efectividad de los controles por evento de riesgo inherente y del riesgo residual en tres momentos: a) antes de tratamientos; b) después de tratamientos y c) en cada monitoreo.

 Mantiene un registro histórico de las mediciones efectuadas a los eventos de riesgo inherentes en los últimos once (11) monitoreos: a) de la protección ofrecida y b) del riesgo residual.

Valor Percibido que genera

el Software para las Empresas.

13) Consolida los perfiles de riesgo Inherente y Residual de los procesos y la

TIC de la Empresa. La consolidación se realiza por los siguientes conceptos:

a) por tipos de procesos (misionales, estratégicos y de soporte), b) por áreas organizacionales y c) por categorías de riesgo.

14) Crea, construye y mantiene actualizada la base de datos de “Eventos de

Riesgo Ocurridos (RERO)” en la organización, con la que se generan

estadísticas e indicadores de riesgo.

15) Monitorea (hace seguimiento) el Plan de Continuidad del Negocio (BCP).

16) Provee funcionalidades para Auditar el Sistema de Gestión de Riesgos

Empresariales.

Valor Percibido que genera

el Software para las Empresas.

Provee una Base de Datos de Conocimientos de Gestión

de Riesgos, con

“best practices” universales sobre:



Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD).



Eventos de riesgo Inherentes (amenazas) que podrían presentarse.



Factores y Agentes de Riesgo.



Tipos y clases de Controles.



Controles Aplicables.



Objetivos de control.



Técnicas y procedimientos de priorización y análisis de riesgos.



Criterios de aceptación de controles efectivos.



Cuestionarios de “Best Practices” de Controles aplicables (CSA: Control Self Assessment).



Guías de Monitoreo o Auto-aseguramiento de Controles (CSA: Control Self Assessment).



Modelos de Procesos y Escenarios de Riesgo aplicables a TICs según marcos de referencia

universales vigentes (COBIT, ISO 27001, Aplicaciones de computador).

Valor Percibido que genera

el Software para las Empresas.

Está alineado con estándares internacionales vigentes de

Gestión de Riesgos, Control Interno, Seguridad y Calidad

• I

SO / IEC 31000: 2009

Risk Management — Guidelines on principles and

implementation of risk management.

• I

SO 31010:2009 Risk Management . Risk Assessment Techniques.

• ISO Guide 73:2009 Risk Management. Vocabulary.

• ERM_ 2004 - Enterprice Risk Management.

• Modelos Internacionales y nacionales de Control Interno: COSO 2013, COBIT, MECI.

• ISO 27001: 2013 Sistema de Gestión de Seguridad de la Información (SGSI).

• ISO 20000: “Best Practices” de Gestión de Tecnologia (ITIL).

• SARO: Sistema de Administración de Riesgo Operativo.

• SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación

de l Terrorismo.

• Basilea II.

• ISO 22301: 2012 (BCMS, BCP).

• ISO 9001, ISO 14000, ISO 18000.

Valor Percibido que genera

el Software para las Empresas.

Mide la Capacidad / Efectividad de los Controles Establecidos

(protección que ofrecen) para reducir los riesgos inherentes a niveles

aceptables de riesgo residual



1: Apropiada, ALTA

.



2: Mejorable.



3: Insuficiente.



4: Deficiente



5: Muy Deficiente.

Aplica el enfoque “Proactivo y preventivo de los Controles”, en lugar del

enfoque “Reactivo o detrás de los hechos conocidos”. El objetivo de los

controles es asegurar el éxito de las operaciones, no es “detectar la

ocurrencia de los riesgos”.

Valor Percibido que genera

el Software para las Empresas.

 Aplica y promueve la implantación del enfoque de los “tres

anillos de seguridad o Líneas de defensa” y del nivel de

automatización y no discrecionalidad de los controles, como

criterios para evaluar la EFICACIA de los controles.

 Para evaluar la Eficiencia de los Controles, aplica y promueve la

evaluación del Costo / Beneficio de los Controles.

Valor Percibido que genera

el Software para las Empresas.

El enfoque de los 3 Anillos de

Control o líneas de Defensa

Enfoque de los Tres Anillos de Control o de

Seguridad o de Líneas de Defensa

EVENTOS

DE RIESGO

INHERENTE

(Amenazas

)

A2 A3 A2 A3 A3 BARRERA

PREVENTIVA _DETECTIVA BARRERA _CORRECTIVA BARRERA

A1 FEEDBACK ORGANIZACIÓN PERSONAS DATOS HW - SW FINANCIEROS INSTALACIONES

Ejemplo – Aplicación del enfoque de los (3) Anillos de

Seguridad o Líneas de Defensa.

Evento (Amenaza):

Robo de dinero en cajero automático (ATM), por suplantación del

propietario de la tarjeta.

1. Riesgo Potencial (Inherente):

Riesgo antes de Controles.

(evento) a la que se expone el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su evaluación no se tienen en cuenta los controles establecidos.

Evaluación Severidad:

E - Extremo.

Acciones de Respuesta:

Reducir (mitigar) el riesgo.

Controles

:

• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático • Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear • Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

2. Riesgo Residual:

Riesgo después de Controles y de Tratamientos

. Amenaza

(Evento) no protegida o no cubierta por los controles establecidos.

Evaluación

Severidad:

B - Bajo

(Tolerable).

Clases de Controles

Calificación

Automáticos no discrecionales (Clase A). Los controles son automatizados y se aplican sin excepciones a todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización /

Discrecionalidad de los Controles

Criterio de Aceptación:

La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5

Eficiencia de los controles por Amenaza:

Según el costo / beneficio del conjunto de controles que

actúan sobre cada amenaza.

Eficiencia Be n ef ici os

Alto 5: Muy Alta 4: Alta

3: Moderada

Moderado 4: Alta

3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado Alto Costos

RAZONABLE (R ) NO RAZONABLE (NR)

Criterio de Aceptación:

La calificación promedio de la eficiencia de los controles, por cada amenaza, deberá ser mayor o igual a 4.0 (Razonable)

Diagnóstico de los Controles



Mantiene actualizada la Base de Conocimientos con los elementos

del SGR de todos los procesos y sistemas de la Organización –

Repositorio Unico.



Habilita a los

dueños de los procesos,

para asumir el papel de

responsables de

“diseñar, mantener, monitorear y mejorar

continuamente el SAIR”.



Provee funcionalidades para que la

Gerencia de Riesgos de la

Organización,

monitoree el funcionamiento del sistema de

Administración de riesgos y ejecute seguimiento a los planes de

tratamiento y las acciones de mejora.

Valor Percibido que genera

el Software para las Empresas.

 Habilita a los

Auditores

para evaluar y verificar la Gestión de

Riesgos de la Organización en su ambiente de operación normal.

 Genera reportes exportables a varios formatos.

 Utiliza métodos cualitativos y cuantitativos de evaluación de

riesgos.

 Deja Rastros de las actividades y cambios efectuados a la Base

de Conocimientos de la Empresa.

 Produce Manuales de Administración de riesgos en papel y

formato electrónico.

 Software Multicompañías.

Valor Percibido que genera

el Software para las Empresas.

Perfiles de Acceso establecidos en el software.



Gerente de Riesgos .



Administrador de Usuarios.



Administrador EGR.



Analista de Riesgos.



Auto-evaluador.



Administrador RERO.



Auxiliar de RERO.



Administrador BCP.



Auto-evaluador del BCP.



Solo Consulta.



Administrador de Auditoría.



Auditor.

El software ControlRisk



Gerentes de Riesgos / Directores de Planeación.



Jefes de Unidades de Riesgo Operativo (SARO), Oficiales de

Cumplimiento del SARLAFT.



Analistas de Riesgos Financieros.



Administradores del Sistema de Gestión de Seguridad de la

Información (SGSI. ISO 27001).



Administradores de Seguridad en los Servicios de Tecnología de

Información.



Auditores Internos / Revisores Fiscales / Auditores de Sistemas.



Departamentos de Control Interno.



Coordinadores de Gestión de Calidad y de otros sistemas de

Gestión.

¿A Quienes sirve el Software

ControlRisk?

Agenda

ControlRisk: Qué es y para qué sirve?.

Características del Software ControlRisk que generan valor

para las organizaciones.

Especificaciones Técnicas del Software ControlRisk.

Descripción Módulos Componentes de ControlRisk.

Beneficios de Utilizar ControlRisk.

Especificaciones del Software

CONTROLRISK

•

Herramienta de Desarrollo: .NET, Visual Studio.

•

Sistema Operacional: Windows Server 2008 a 2012.

Windows Vista, 7, 8 Y 10. Excepto las versiones

Home.

•

Motor de Base de datos: SQL Server.

•

Memoria RAM: 4GB en servidor.

•

Disco Duro: 16 GB.

•

Navegadores: Internet Explorer 8.0 o superiores,

Por Compra de Licencias del Software

 Licenciamiento a perpetuidad, por equipo (servidor) y cantidad de usuarios concurrentes con perfiles Gerente de Riesgos, Supervisor, Analista de Riesgos, Administrador del RERO, Administrador del BCP y Auditor.

 La licencia hasta de 10 usuarios concurrentes, incluye el derecho de acceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil “Administrador” y otro con perfil “Solo Lectura”.

 Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes de Administrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “solo consulta”, sin costo.

 Soporte técnico y actualización del software, sin costo durante el primer año.

Modalidades de

Por

Arrendamiento

de

Licencias

del

Software.

 El software se instalará en un Hosting de la Empresa ó Comercial contratado

por la empresa que adquiere el servicio de arrendamiento del software.

 El arrendamiento se pacta por cantidad de usuarios concurrentes con perfiles

Gerente de Riesgos, Supervisor, Analista de Riesgos, Administrador del RERO, Administrador del BCP y Auditor. l.

 El Arrendamiento hasta de 10 usuarios concurrentes, incluye el derecho de

acceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil “Administrador” y otro con perfil “Solo Lectura”.

 Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes de

Administrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “solo

consulta”, sin costo.

Modalidades de

Por la compra de Licencias del Software

 Manual del Usuario del Software (E-book).

 Software ejecutable (DVD).

 Bases de datos de conocimientos estándar.

 Licencia de uso a perpetuidad, por servidor y cantidad de

usuarios concurrentes.

 Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar

pruebas con fines de capacitación y entrenamiento .

 Derecho a recibir soporte técnico y actualizaciones del software

y la metodología durante un año.

Productos que recibe el

Usuario de CONTROLRISK

Por el Arrendamiento de Licencias del

Software

 Manual del Usuario del Software (E-book).

 Acceso utilizar el Software ejecutable (DVD) como empresa

licenciataria por arrendamiento.

 Acceso a Bases de datos de conocimientos estándar.

 Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar

pruebas con fines de capacitación y entrenamiento .

 Derecho a recibir soporte técnico y actualizaciones del software

y la metodología durante un año.

Productos que recibe el

Usuario de CONTROLRISK

Servicios Complementarios - Opcionales.



Consultoría - Acompañamiento para Integrar el Software al

proceso de Gestión de Riesgos Empresariales. Por cada tema

principal del software, consta de 3 sesiones:



Sesión 1: Capacitación para el uso de la metodología de GR y

el software por parte del Consultor.



Sesión 2: Trabajo de Campo por parte de los Auditores, para

aplicar conceptos impartidos en Sesión 1.



Sesión 3: Retroalimentación por el Consultor sobre trabajo de

campo realizado por los auditores.



Servicio Anual de Actualización y Soporte Técnico.

Productos que recibe el

Usuario de CONTROLRISK

Agenda

ControlRisk: Qué es y para qué sirve?.

Características del Software ControlRisk.

Especificaciones Técnicas del Software ControlRisk.

Descripción

Módulos

Componentes

de

ControlRisk.

Beneficios de Utilizar ControlRisk.

Alcance de la Gestión de Riesgos

en ControlRisk.

Módulo 3: Implantación de la Gestión de Riesgos en los

Procesos y Sistemas de Información Automatizados.

Módulo 4: Consolidación de Perfiles de Riesgo de la

Organización.

Módulo 5: El Registro de Eventos de Riesgo ocurridos

(RERO).

Módulo 6: Monitoreo / Auto-aseguramiento del Plan de

Continuidad del Negocio (BCP).

Módulo 7: Auditoría al Sistema de Administración de

Riesgos..

Módulo 3:

Implantación de la Gestión de Riesgos en

los Procesos y Sistemas de Información

1)

Los procesos del Modelo de Operación de la Empresa (Mapa de Procesos de Gestión

de Calidad).

2)

Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL).

3)

En la Infraestructura de TI - Escenarios Claves de TI.

4)

Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos

de ERPs).

5)

SARLAFT.

6)

Riesgos del Sector Salud.

7)

Riesgos de Seguridad de la Información (ISO 27001)

Módulo 3: Gestión de Riesgos por

Procesos y Sistemas de Información

Que hace?

Identificar, analizar, controlar y monitorear los eventos de riesgo

Inherentes en:

El ciclo PHVA de la Implantación del Sistema de

Administración Integral de Riesgos (SAIR)

• Contexto del Estudio de Gestión de Riesgos • Identificar y documentar Riesgos Inherentes • Medir Riesgos Inherentes

• Elaborar Mapa de Riesgos • Identificar Controles Establecidos • Diagnóstico sobre Protección Existente

• Medición del Riesgo después de Controles

• Diseño Plan de Tratamiento

1. Plan de Tratamiento de Riesgos

• Implementar Acciones de Tratamiento. • Hacer seguimiento

• Emitir recordatorio a Email

2. Análisis Costo/Beneficio de los Controles

3. Definir especificaciones de los controles

4. Asignar responsabilidades por ejecución y supervisión de controles. Acciones de Mejoramiento  Diseñar  Implementar  Hacer Seguimiento

 Emitir Recordatorios correo

electrónico

• Elaborar y aplicar Guías de Monitoreo / Auto-

aseguramiento de Controles – Periodicidad Trimestral

• Procesar Respuestas

• Medir Cumplimiento de Controles y Riesgo Residual

• Indicadores de Protección Existente y Riesgo Residual

• Análisis de Incumplimientos • Informar resultados de monitoreo Base de Conocimientos de Empresa: •Categorías de Riesgo, •Amenazas, •Controles, •Objetivos de Control. •Vulnerabilidades •Activos •Factores de Riesgo SARO SARLAFT MECI SGSI, COBIT, ITIL, SOX

Módulo 3: Implantación del SGR

por Procesos y Sistemas

Fase 1:

Estática o Estructural del SGR:

Diseño e

Implementación.

Bloques P y H del ciclo PHVA.

Fase 2:

Dinámica u Operativa del SGR:

Implantación,

monitoreo y Mejoramiento Post-implantación.

Bloques V y A del ciclo PHVA

Por cada Proceso o Sistema

Fases y Etapas para Implantar el SGR

por Proceso o Sistema

Evaluar Protección y Tratamiento de Riesgos Identificar y Analizar Riesgos Inherentes Comprender Contexto Del Proceso / Sistema Documentar Cubo de Riesgos Inherentes.

1

2

3

4

Actividades, Proveedores, Entradas, Salidas, Clientes, Responsables Clasificar y Priorizar Riesgos Identificar y evaluar Efectividad Controles Evaluar Severidad Exposición a Riesgos

Caracterización

GESTIÓN DE RIESGOS POR PROCESOS – FASE 1: ESTRUCTURAL

Etapas para Implantar el SGR

Diseñar Plan de tratamientos 3 Matrices - Cubo de Riesgos Críticos Asociar Amenazas- Objetivos de Control

Implementar Tratamientos y Análisis C/B

5

Planeación y

seguimiento

Mapa de Riesgos

Residuales

GESTIÓN DE RIESGOS POR PROCESOS – FASE 1: ESTRUCTURAL

6

VERIFICAR Monitorear Protección y Riesgo Residual Responsables de Ejecutar y

Supervisar

Monitoreo / Auto-

_evaluación

7

Implantar y Asignar responsables de los controles

Indicadores de

Riesgo

Etapas para Implantar el SGR

Entrenamiento y concienciación

Acciones

Mejora

ACTUAR- Elaborar Plan Mejoramiento Análisis No Conformidades / Debilidades

7

Actualizar Manual

Del SGR

ACTUAR – Implantar Plan de Mejoramiento

7

8

Ajustes a

Controles

SEGÚN Cambios en

el Negocio

Evaluar Efectividad Acciones Mejoramiento

SEGÚN Cambios Leyes/ Entorno

Etapas para Implantar el SGR

El software provee listas sugeridas de actividades (escenarios de

riesgo) para los procesos de TI y sistemas de información:

1)

Para los 34 Procesos de Tecnología de Información (TI) del Modelo

COBIT:

Actividades según el RACI.

2)

Para la Infraestructura de TI:

Actividades consideradas por el RACI de

COBIT

o los modelos que se utilicen en la organización (ITIL, ISO

27001).

3)

Para las Aplicaciones de computador:

14 Actividades del ciclo de

control de los datos

en los sistemas de información.

Para procesos del modelo de operación de la empresa (estratégico,

misional o de apoyo): Deben ingresarse

a la medida de cada proceso.

Módulo 3: Gestión de Riesgos por

Procesos y Sistemas de Información

Está en capacidad de utilizar varios modelos de

clases o categorías de riesgo Vigentes.



Sistema de Administración de Riesgo Operativo- SARO.



Sistema de Administración de Riesgos de Lavado de Activos y

Financiación del Terrorismo - SARLAFT.



MECI (Modelo Estándar de Control Interno para las Entidades

del Estado Colombiano).



Riesgos en el Sector Salud - Res 1740 de 2008 MPS.



AUDIRISK.



Otros Modelos.

Definición de Universo de Riesgos de la

Organización

Clases de Eventos

de Riesgo Operativo

Modelo SARO

(CE 041 de 2007, SFC)

1. Fraude Interno.

2. Fraude Externo.

3. Fallas en la Atención a los Clientes.

4. Daños a Activos Físicos.

5. Fallas en Relaciones Laborales.

6. Fallas Tecnológicas.

7. Errores en Administración y

Ejecución de Procesos.

Clases de Riesgos

De LA / FT - Modelo

SARLAFT

(CE 013 de 2013, SFC)

1. Riesgo Reputacional.

2. Riesgo Legal.

3. Riesgo Operativo.

4. Riesgo de Contagio

Definición de Universo de Riesgos de la

Organización

Clases de Riesgo Modelo MECI:

1. Estratégico

2. Operativo

3. Financiero.

4. De cumplimiento.

5. De Tecnología.

6. De Corrupción

1. Hurto / Fraude.

2. Sanciones Legales

3. Pérdida de Credibilidad

Pública

4. Desventaja Competitiva.

5. Costos Excesivos

6.

Pérdida de Ingresos.

7. Daño / Destrucción de

Activos

8. Decisiones Erróneas

Administración de Riesgos en Salud:

1. De concentración de riesgos y hechos catastróficos.

2 De incrementos inesperados en los índices de Morbilidad y

de costos de atención.

3. De cambios permanentes en las condiciones de salud o

cambios tecnológicos.

4. De Insuficiencia de reservas técnicas.

5. De comportamiento.

Administración de Riesgo Operativo

• Riesgo Operativo.

• Riesgo Legal y Regulatorio.

• Riesgo Reputacional.

Riesgos en el Sector Salud - Res 1740 de 2008 MPS

Modelos de Clases o Categorías

de Riesgo

Riesgos Financieros



Riesgo de Mercado.



Riesgo de Crédito.



Riesgo de Liquidez.



Riesgo Legal.



Riesgo Operativo.



Riesgo de Reputación.

Modelos de Clases o Categorías

de Riesgo

PRIORIZAR LOS RIESGOS DE LA

ORGANIZACION

Costo ó Valor de las Pérdidas Originadas por Eventos no deseables

denominados Riesgos / Amenazas

• Sanciones Legales. • Pérdida de Ingresos. • Costos Excesivos .

• Pérdida de Credibilidad Pública. • Desventaja ante la Competencia. • Daño - Destrucción de Activos. • Decisiones Erróneas. • Fraude – Robo.

Agentes Generadores de Amenazas.

• Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados.

RIESGO

CLASES DE RIESGOS

UNIDAD MINIMA DE ANALISIS

* Frecuencia (Probabilidad) de Ocurrencia. * Impacto ( Estimación de las Pérdidas por

cada ocurrencia).

AMENAZAS DE RIESGO

(Eventos asociados a las Clases de Riesgo)

Vulnerabilidades – Debilidades de seguridad

SARO SARLAFT MECI AUDIRISK

Identificación y Análisis de Riesgos Inherentes.



Prioriza las categorías de riesgo aplicables y de éstas selecciona las 3 ó 4

críticas para el proceso o sistema.



Por cada categoría de riesgos crítica, identifica los eventos de riesgos

inherentes (amenazas) que podrían presentarse . Mínimo 10 por categoría de

riesgo crítica.



Para las categorías no críticas, identificar al menos 5 eventos de riesgo.



Por cada evento de riesgo (amenaza) se documentan siete (7) elementos del

riesgo.

• Amenaza. • Activos impactados. • Agentes Generadores. • Vulnerabilidades. • Exposición al riesgo.

• Consecuencias – Riesgo ocurrido • Controles existentes.

Módulo 3: Gestión de Riesgos por

Procesos y Sistemas de Información

Priorización de Categorías de

Riesgos

Medición y priorización de Riesgos Inherentes.

Para medir y priorizar la SEVERIDAD de los eventos de riesgo

inherente utiliza una escala de cuatro (4) calificaciones:

E: Extremo – Color

Rojo

.

A: Alto, color

Naranja.

M: Moderado. Color

Amarillo.

B: Bajo, color verde.

Módulo 3: Gestión de Riesgos por

Procesos y Sistemas de Información

Mapa de Riesgos Inherentes- Estándares

ISO 31000 y AS/ NZ 4360 (NTC 5254)

Matriz de Acciones de Respuesta a

Riesgos

Basada en Estándares AS/NZ 4360 e ISO 31000

PROBA BILIDA D 5: Casi Cierto Zona de Riesgo Alta. Mitigar, transferir, distribuir Zona de Riesgo Alta. Mitigar, transferir, distribuir

Zona de Riesgo Extremo

. Evitar, transferir, mitigar Zona de Riesgo Extremo . Evitar, transferir,

mitigar

Zona de Riesgo Extremo. Evitar, Mitigar, tranferir

4: Probable

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta. Prevenir, transferir

Zona de riesgo Alta.

Prevenir, transferir Zona de Riesgo Extremo _{. Evitar, transferir,} mitigar

Zona de Riesgo Extremo. Evitar,

Mitigar, tranferir

3: Posible

Zona de Riesgo Baja. Aceptar, mitigar el

Riesgo

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta.

Prevenir, transferir Zona de Riesgo Extremo _{. Evitar, transferir,} mitigar Zona de Riesgo Extremo. Evitar, Mitigar, tranferir 2: Poco Probable

Zona de Riesgo Baja. Aceptar el Riesgo

Zona de Riesgo Baja. Aceptar, mitigar el

Riesgo

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta. Prevenir, transferir

Zona de Riesgo Extremo. Evitar,

Mitigar, tranferir

1: Raro

Zona de Riesgo Baja. . Aceptar el Riesgo

Zona de Riesgo Baja. . Aceptar

el Riesgo

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta. Prevenir, transferir

Zona de riesgo Alta. Prevenir, transferir

1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico

Mapa de Riesgos Inherentes –

Estándar MECI

PORB AB IL IDA D ( Frec u e n ci a)

3: Alta M: Moderado A: Alto E: Extremo (Inaceptable)

2: Moderada Bajo (Tolerable) M: Moderado Alto

B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado

5: Leve 10: Moderado 20: Catastrófico

Homologado a Estándares AS/NZ 4360

e ISO 31000

Las

evaluaciones

(mediciones)

del

riesgo

inherente,

protección existente y riesgo residual, se realizan para los 3

componentes del

Cubo de Riesgos

de cada proceso o

sistema:



Las Categorías de Riesgo Críticas identificadas para el

proceso o sistema sujeto a auditoría.



Las actividades ó subprocesos que constituyen o componen

el proceso o sistema sujeto a auditoría.



Las Áreas Organizacionales (dependencias ) y terceros que

intervienen en el manejo del proceso o sistema sujeto a

auditoría.

El Cubo de Riesgos.

Módulo 3: Gestión de Riesgos por

Procesos y Sistemas de Información

Recursos Humanos

Sistemas

Contabilidad

Escenarios de Riesgo

(Actividades)

Ingres

o

de

Dat

os

Actualiz

ación

Base d

e

Dat

os

R

eport

es

de

Actua

liz

ación

Amenazas de Riesgo

Cos

tos

Ex

cesiv

os

Fraude

San

ci

one

s

Legale

s

Cubo de Riesgos del Proceso

o Sistema de Información

Valoración de Riesgos según Efectividad de

los Controles y Tratamientos Establecidos