Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO"

Transcripción

1 Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia web site: AUDISIS: Fundada en 1.988

2 CONTENIDO QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? 4 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. 7 MODULO 2: CONFIGURACION DEL SOFTWARE. 8 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. 10 MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. 19 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). 22 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). 23 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. 25 MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE 26 USUARIOS. MODULO 2: CONFIGURACION DEL SOFTWARE. 27 MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. 28 ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) 29 ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS 29 ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA 31 ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS 32 ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES 34 ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES 35 ETAPA 7: MONITOREO DE RIESGOS Y AUTO-ASEGURAMIENTO DE CONTROLES 36 ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA 38 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

3 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN 39 PERFIL DE RIESGO INHERENTE CONSOLIDADO 40 PERFIL DE RIESGO RESIDUAL CONSOLIDADO. 43 MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) 47 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) 49 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO 51 QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? 53 SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES 53 REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK 54 PERFIL DEL PROVEEDOR DE CONTROLRISK 54 EMPRESAS QUE UTILIZAN CONTROLRISK. 54 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

4 QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? CONTROLRISK es una Aplicación WEB (Cloud Computing) para asistir las actividades de implantación, monitoreo, actualización y mejoramiento continuo de diferentes Sistemas de Gestión de Riesgos de las empresas (SARO, SARLAFT, Salud Ocupacional, ISO y otros). La implantación de la Gestión de Riesgos se desarrolla por cada uno de los procesos del modelo de operación (estratégicos, misionales, de soporte y de supervisión y control) y de los servicios de tecnología de información de la Empresa; los productos obtenidos se conservan y administran en un repositorio único denominado Base de Datos de Conocimientos de Gestión de Riesgos y Controles de la Empresa. El software además ofrece funcionalidades para asistir la ejecución de las siguientes actividades de Gestión de Riesgos en las Empresas: a) Construcción del Perfil de riesgo Consolidado de la empresa; b) Administración y Análisis del Registro de Eventos de Riesgo Ocurridos (RERO); c) Monitoreo del Plan de Continuidad del Negocio; y d) La Auditoría al Sistema de Gestión de Riesgos de la Empresa. Módulos componentes de CONTROLRISK El software se puede instalar en ambientes Web, en una red interna o en computadores stand alone. El software CONTROLRISK consta de ocho (8) módulos interrelacionados: 1) Administración de Usuarios, 2) Configuración; 3) Framework de Gestión de Riesgos; 4) Gestión de riesgos y diseño de controles por procesos y sistemas de información; 5) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

5 Consolidación del perfil de Riesgos institucional; 6) Administración y Análisis de Eventos de Riesgo Ocurridos (RERO); 7) Monitoreo del Plan de Continuidad del Negocio (BCP); y 8) Auditoría al Sistema de Gestión de Riesgos. El software CONTROLRISK satisface los requerimientos establecidos para la Gestión de Riesgos en los marcos de referencia ISO 31000:2009, ERM (Enterprise Risk Management Integrated Framework) y AS/NZ También satisface los requisitos fijados por las entidades regulatorias del Estado relativas a los sistemas de administración de riesgo operativo (SARO), administración de riesgos de Lavado de Activos y Financiación del Terrorismo (SARLAFT), del sistema de Gestión de Seguridad de la Información (ISO 27001), riesgos ambientales, riesgos de salud ocupacional, riesgos del sector salud (Resolución 1740 de 2008 MPS) y otros modelos de gestión de riesgos utilizados en la industria. Los procedimientos y guías ofrecidas por CONTROLRISK están alineadas con estándares internacionales y nacionales de Control Interno Organizacional (COSO, COBIT y MECI) y con otras buenas prácticas administrativas tales como los principios de Pareto y del Poder del 3, el enfoque Proactivo y preventivo del Control 1 en lugar del enfoque reactivo 2 o a posteriori de los controles, la implementación de los 3 anillos de seguridad como requisito para asegurar la efectividad de los controles establecidos por cada evento de riesgo potencial (amenaza) y la generación de indicadores de gestión de riesgos. Las características del Enfoque Proactivo y Preventivo de los controles, son: Los controles tienen como objetivo condicionar los actos de la organización para asegurar que se ejecuten correctamente y de una manera previamente establecida. Los controles se establecen (diseñan e implantan) para asegurar que las operaciones de la empresa se ejecuten libres de errores e irregularidades que podrían presentarse. Los controles por cada evento de riesgo negativo potencial (amenaza) se diseñan e implantan A priori, para satisfacer dos objetivos: a) Bloquear o neutralizar a los agentes generadores del riesgo (personas o actos de la 1 Enfoque proactivo del control: Los controles se establecen para asegurar que las operaciones se realicen exitosamente, conforme a lo previsto. Los controles son para reducir el riesgo inherente a niveles de riesgo residual aceptables. Se deben ejecutar a priori respecto a la ocurrencia de los riesgos. 2 Enfoque reactivo del control: Los controles se establecen con el objetivo de detectar los errores e irregularidades que podrían presentarse en las operaciones realizadas; actúan después que ocurren los eventos de riesgo. Se ejecutan a posteriori respecto a la materialización de los riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

6 naturaleza) que pueden explotar las vulnerabilidades existentes y materializar la amenaza; y b) para eliminar las vulnerabilidades que crean ambiente propicio para la ocurrencia de las amenazas. La implantación de la Gestión de Riesgos en los procesos de la Empresa se apoya en una Base de Datos de Conocimientos de Gestión de Riesgos y Controles suministrada por el proveedor del software CONTROLRISK, la cual contiene numerosas mejores y buenas prácticas sobre clases o categorías de riesgos (por ejemplo, las consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK), eventos de riesgo potenciales (amenazas) que pueden originar las clases de riesgo (por ejemplo, eventos de riesgo que podrían generar fraude interno, Sanciones Legales, etc), relaciones entre categorías de riesgo y eventos de riesgo (por ejemplo, eventos que podrían generar la clase de riesgo Fraude Interno ), controles aplicables a los eventos de riesgo negativos, relaciones entre eventos de riesgo y controles contenidos en la base de conocimientos (por ejemplo, los controles aplicables al evento Destrucción de la información por incendio accidental ) y objetivos de control aplicables a procesos de TI (COBIT e ISO 27001) y aplicaciones de computador. Esta base de conocimientos también provee otras tablas para ser pobladas o cargadas con información particular de las empresas, requerida en la Gestión de Riesgos de la Empresa, tales como macroprocesos y procesos del modelo de operación (mapa de procesos), áreas de la estructura de organización de la empresa, proveedores de la empresa, cargos, funcionarios, vulnerabilidades o debilidades de control, agentes generadores de riesgo y activos tangibles e intangibles. Con la implantación de la gestión de riesgos de cada proceso o sistema de información, la Base de Conocimientos de Gestión de Riesgos y controles crece continuamente para convertirse en un repositorio único de toda la información de riesgos y controles de la Empresa. En cada uno de los módulos del software, CONTROLRISK provee numerosos reportes resumidos y detallados con los entregables o productos de la implantación de la gestión de riesgos en los procesos y sistemas de información de la Empresa. Estos reportes son exportables a diferentes formatos de archivo (PDF, Excel, etc) e incluyen gráficas comparativas y un lenguaje cromático para los diferentes niveles de riesgos inherentes y residuales. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

7 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. Módulo Administración de Usuarios Este módulo de CONTROLRISK ofrece las funcionalidades necesarias administrar las cuentas de los usuarios de la aplicación (crear, activar, inactivar usuarios y cambiar los passwords) y asignar los permisos de acceso a los diferentes módulos del software. Los perfiles de acceso en CONTROLRISK son los siguientes: Gerente de Riesgos. Administrador de Usuarios. Administrador de EGR (Estudios de Gestión de Riesgos). Analista de Riesgos. Auto-evaluador - Monitoreo de riesgos, CSA. Administrador RERO. Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoría. Auditor. CONTROLRISK ofrece dos opciones de autenticación de usuarios: 1) Autenticación manejada por la aplicación de Gestión de Riesgos, en la que el administrador del software deberá ingresar y administrar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operativos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

8 MODULO 2: CONFIGURACION DEL SOFTWARE. Elementos de Configuración del Sistema CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades del módulo implantación y monitoreo de la gestión de riesgos por procesos y en los otros componentes del software. Por ejemplo: Criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Provee escala de valores numéricos y rangos de valor monetario para evaluar cualitativamente el impacto de los eventos de riesgo. Criterios para estimar cualitativamente la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Provee escala de valores numéricos para la frecuencia y probabilidad de ocurrencia de los eventos de riesgo. Escala de Valores y criterios para estimar cualitativamente el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

9 Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relaciones entre Categorías de Riesgo y Eventos de Riesgo. Relaciones entre Eventos de Riesgo Negativos y controles. Agentes Generadores de Riesgo / Factores de Riesgo por cada evento de riesgo. Vulnerabilidades que crean ambiente propicio para la ocurrencia de cada evento de riesgo. Activos impactados por los eventos de riesgo. Tipos de Procesos. Macroprocesos. Procesos del Modelo de Operación. Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Registro de ocurrencia de los eventos de riesgo. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

10 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. Módulo de Gestión de Riesgos por Procesos Ciclo PHVA de la Gestión de Riesgos Este módulo de CONTROLRISK ofrece funcionalidades para ASISTIR el desarrollo del ciclo PHVA (Planear, Hacer, Verificar, Actuar) de la Gestión de Riesgos en cada uno de los procesos y sistemas de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

11 Esquema del Ciclo PHVA de la Gestión de Riesgos El desarrollo del ciclo PHVA para un proceso o sistema se denomina Estudio de Gestión de Riesgos (EGR). Por consiguiente un EGR en CONTROLRISK, puede ser: a) Un proceso del modelo de operación de la empresa (estratégico, misional, de soporte y de supervisión y control); b) Un Proceso de Tecnología de Información y comunicaciones (de los modelos COBIT, ITIL y dominios de ISO 27001); c) La infraestructura de TICs y d) Un sistema de información automatizado (aplicación de computador ó Módulo de ERPs). Por cada EGR, las actividades del ciclo PHVA de la Gestión de Riesgos se desarrollan a través de ocho (8) etapas de la metodología de implantación del sistema de Gestión de Riesgos. Estas son: PLANEAR. Etapa 1: Definir el Contexto del Estudio de Gestión de Riesgos - EGR. Etapa 2: Identificar y analizar los eventos de riesgo negativos inherentes (amenazas) de mayor importancia que podrían presentarse en el proceso. Etapa 3: Elaborar Cubo de Riesgos del Proceso y definir los objetivos de control que deberán satisfacerse en las actividades del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

12 HACER. Etapa 4: Evaluación y Tratamiento de los riesgos inherentes. Evaluar la Efectividad (eficacia + eficiencia) de los controles establecidos para cada uno de los eventos de riesgo (amenazas) identificados para el EGR, y diseñar e implantar los tratamientos para los eventos de riesgo que no satisfacen los criterios de efectividad de los controles. El software provee funcionalidades para configurar y enviar correos electrónicos de recordatorio a los responsables de implantar las acciones de tratamiento, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 5: Evaluación Costo / Beneficio y documentación de especificaciones de los Controles. Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles e implantarlos en cada una de las áreas de la organización y terceros que intervienen en el manejo de las operaciones del proceso. VERIFICAR Y ACTUAR. Etapa 7: Monitoreo y Autoevaluación del sistema de Administración de riesgos. Verificar periódicamente el cumplimiento de los controles establecidos por cada evento de riesgo (por ejemplo, cada 6 meses) mediante aplicación de Guías de Auto-aseguramiento de Controles (CSA); con los resultados calcula nuevos valores de efectividad de los controles y del riesgo residual, genera indicadores de riesgo y de control. Para los eventos de riesgo riesgos que en cada monitoreo presenten brechas o incumplimiento de controles, el software asiste el diseño de Acciones de mejoramiento y la asignación de fechas de compromiso y cargos responsables de su implantación. El software provee funcionalidades para configuración y envío automático de correos electrónicos de recordatorio para los responsables de implantar las acciones de mejora, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar los reportes o entregables generados en las siete (7) etapas del ciclo PHVA con la documentación detallada del sistema de gestión de riesgos del proceso o sistema de información objeto del EGR A continuación se describe el alcance de las ocho (8) etapas del ciclo PHVA de la Gestión de Riesgos que con el software CONTROLRISK se desarrollan por cada proceso o sistema de información. Estas son: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

13 PLANEAR (P) la Gestión de Riesgos del Proceso. Etapa 1 - Definición del Contexto del Estudio de Gestión de Riesgos -EGR. El contexto es el conjunto de circunstancias que rodean o condicionan un hecho, en este caso, que describen de manera concreta y resumida, las características y el ambiente de operación del proceso de la organización (o del sistema de información o de la infraestructura de Tecnología de información y comunicaciones) al cual se desarrollará el ciclo PHVA de la gestión de riesgos. El objetivo de esta etapa es determinar el marco de referencia o contexto dentro del cual se implantará la Gestión de Riesgos en el proceso o sistema objeto del EGR. Para este fin el software asiste al Analista de Riesgos para ingresar o seleccionar información que describe el ambiente interno y externo del proceso objeto del EGR, como requisito de conocimiento para poder identificar y analizar los eventos de riesgos inherentes que podrían presentarse en las actividades y operaciones del proceso. Como ayuda para asegurar que se obtiene el conocimiento y la comprensión de los aspectos esenciales de un proceso, el software asiste el ingreso y selección de la información, en un formulario que se denomina caracterización del proceso objeto del EGR. La caracterización es un documento con espacios destinados a describir brevemente las principales características del proceso, necesarias para precisar su entendimiento, identificar y analizar los riesgos que podrían presentarse, los agentes generadores, las vulnerabilidades y otras variables útiles para la gestión de riesgos. Etapa 2- Identificación y Análisis de Riesgos. El objetivo es identificar, priorizar, documentar y analizar los eventos de riesgo negativos (amenazas), inherentes a los objetivos y activos del proceso o sistema objeto del EGR, utilizando lineamientos del estándar ISO y las categorías o clases de riesgo 3 que representan el universo de riesgos de la empresa y pueden presentarse en las operaciones de la empresa, impactar los activos de la organización y obstaculizar la satisfacción de los objetivos del Sistema de Control Interno de la empresa (según ERM estos objetivos son de 4 tipos: Estratégicos, operacionales, de confiabilidad de la información y de cumplimiento). Por cada proceso o sistema se construye un CUBO DE RIESGOS como base para diseñar el 3 Categorías de riesgo: nombres genéricos utilizados para agrupar a los eventos de riesgo o amenazas que podrían causar daños a los activos de la empresa y obstaculizar la consecución de los objetivos de la organización. Por ejemplo, para el SARO se establecen siete (7) categorías de riesgo; para SARLAFT 4 categorías y para MECI cinco (5) categorías. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

14 control de los eventos de riesgo potenciales o amenazas que pueden generar las categorías de riesgo aplicables. Las tres dimensiones del cubo de riesgos de un proceso son: a) Las categorías de Riesgos críticas en el proceso. Esta dimensión está representada por las clases o categorías de riesgos críticas, es decir, las que podrían ocasionar el mayor impacto negativo económico y operacional en el proceso. Estas se seleccionan del universo de clases de riesgo aplicables a la empresa o de las clases de riesgo utilizadas en los sistemas de administración de riesgo SARO y SARLAFT ó del modelo de control interno MECI (para el sector público colombiano); Cubo de Riesgos del Proceso o Sistema de Información b) Las Dependencias (áreas de la estructura de organización y terceros) que intervienen en el manejo de las operaciones del proceso. Los procesos son transversales en la estructura de organización de las empresas, lo cual significa que en un proceso normalmente intervienen varias áreas de la estructura de organización de la empresa o terceros (outsourcing) que desarrollan algunas actividades del proceso. En los procesos que se soportan en sistemas de Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

15 información automatizados, el área de sistemas siempre será una de las dependencias a considerar en la construcción del cubo del proceso, y c) Las actividades que constituyen el ciclo PHVA del proceso, también llamadas Escenarios de Riesgo. Está representada por las actividades o nombres de procedimientos que se constituyen el ciclo PHVA del proceso. Un proceso se define como el conjunto de actividades interrelacionadas que transforman los insumos en un producto que puede ser un bien o un servicio. Por cada categoría de riesgo crítica se identifican y documentan los eventos de riesgo negativos que podrían ocurrir y causar daño a uno o más activos del proceso (máximo 10, mínimo 6). Estos eventos de riesgo se denominan amenazas y se localizan o ubican en las tres dimensiones del cubo. Así se construye el cubo de riesgos del proceso sujeto de EGR. Aquí el objetivo es lograr una aproximación a los cubos de COSO y de ERM, asumiendo que la suma de los cubos de riesgo de los procesos individuales de la empresa se aproxime al CUBO DE RIESGOS DE LA EMPRESA. Por cada una de las amenazas identificadas para las clases de riesgo críticas, el análisis enfatiza en (5) elementos del riesgo: activos impactados, vulnerabilidades, agentes generadores, exposición (probabilidad e impacto) y consecuencias que tendría que afrontar la organización en caso de ocurrir. Con base el análisis de estos elementos, se determina el Nivel de Riesgo con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas según su nivel de riesgo se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan en gráficos y reportes para las tres (3) dimensiones del Cubo de Riesgos del proceso. Como entregables de esta etapa, el software genera el mapa de riesgos inherentes del proceso (una matriz de 5x5 en la que se localizan las amenazas según su evaluación de probabilidad de ocurrencia e impacto), el perfil de riesgos del proceso por diferentes conceptos y la definición de las alternativas de manejo de riesgos (acciones de respuesta a riesgos) a emplear para mitigar las amenazas de riesgo del proceso. Etapa 3 Documentar Mapa de Riegos Inherentes. El objetivo de esta etapa es asistir la documentación detallada del mapa de riesgos inherentes con la forma como podrían ocurrir las categorías de riesgo críticas del proceso, en tres matrices que despliegan el Cubo de Riesgos del proceso: a) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

16 categorías de riesgo Vs Actividades del proceso; b) categorías de riesgos Vs dependencias y c) actividades del proceso Vs dependencias. También asiste la definición de los objetivos de control que se deberán satisfacer en cada una de las actividades (escenarios de riesgo) del proceso objeto del Estudio de Gestión de Riesgos (EGR) y su relacionamiento con las amenazas del proceso. HACER (H) o Implementar la Gestión de Riesgos del Proceso. Etapa 4 Evaluación de Riesgos y Diseño de Tratamiento de Riesgos. En esta etapa el software asiste la elaboración de un cuestionario o checklist 4 para identificar los controles que deberían existir para las amenazas del proceso, como ayuda para establecer los controles utilizados en las operaciones y evaluar su efectividad, es decir, su capacidad para mitigar ó disminuir el riesgo de las amenazas a un nivel de riesgo residual aceptable. También asiste la realización de un diagnóstico de la efectividad (protección) que ofrecen los controles establecidos por cada amenaza y con los resultados se genera, en forma gráfica y descriptiva, el Mapa de Riesgos Residuales del proceso antes de tratamientos. La evaluación de la efectividad (eficacia + eficiencia) de los controles por cada amenaza se realiza utilizando tres criterios: a) Satisfacen al menos una vez los tres anillos de seguridad y estos hacen sinergia; b) Los controles son eficaces según el nivel de automatización y discrecionalidad; y c) la relación costo / beneficio de los controles sea razonable (costo no mayor del 5% del valor de los activos protegidos). La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). A cada uno de estos niveles de efectividad de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (Si efectividad 1- Apropiada; 2- Moderado (Si efectividad 2 - mejorable); 3- Alto (Si efectividad 3- Insuficiente); 4: Extremo (Si efectividad 4- Deficiente ó Si Efectividad 5- Muy deficiente). Los resultados obtenidos de la evaluación de la efectividad y el riesgo residual por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. 4 Este checklist es una forma de Control Self Assessment CSA- para ser diligenciado por los dueños o responsables del proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

17 Para las amenazas que presentan riesgo residual diferente de BAJO, el software asiste el diseño de las acciones de Tratamiento necesarias para ajustar la efectividad de los controles del proceso en concordancia con los criterios de evaluación que no se satisfacen. Como entregables esta etapa, el software provee el diseño de Tratamientos de Riesgos y el plan para su implementación y seguimiento; el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Etapa 5- Análisis Costo/ Beneficio y Especificaciones de los Controles. El objetivo de esta etapa es definir el alcance de los controles diseñados o seleccionados en la etapa 4, establecer o calcular la relación costo / beneficio de los controles por cada amenaza de riesgo y documentar las especificaciones de cada uno de los controles del proceso o sistema sujeto al estudio de gestión de riesgos. Etapa 6 - Asignación de Responsabilidades por la Ejecución y Supervisión de los Controles. En esta etapa, el software asiste la asignación de cargos responsables de ejecutar y supervisar los controles establecidos para las amenazas de riesgo del proceso o sistema sujeto a EGR, en cada una de las áreas organizacionales y terceros que intervienen en las operaciones del proceso. Para los controles manuales, se asignan responsables de ejecutar y supervisar los controles; para los controles automatizados, que son ejecutados por la máquina o el software de las aplicaciones, se asignan responsables únicamente para supervisar el funcionamiento de los controles. Además genera Guías de Autocontrol para el proceso o sistema objeto del EGR, con los controles asignados por cargo, para su ejecución y/ supervisión. VERIFICAR (V) para monitorear la Gestión de Riesgos y ACTUAR (A) para efectuar mejoras a la Gestión de Riesgos. Etapa 7- Monitoreo / Auto aseguramiento de Controles y Continuo. Mejoramiento Esta etapa provee funcionalidades para asistir la planeación, ejecución y evaluación de resultados del monitoreo periódico (por ejemplo semestral) de la operación y Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

18 aplicación continua de los controles establecidos en la organización para los eventos de riesgo (amenazas) a los que se expone el proceso. El monitoreo se realiza para todas las amenazas y controles establecidos, en cada una de las dependencias que intervienen en el proceso. El software produce un checklist de controles o Guía de Autoevaluación de Controles (CSA: Control self assessment) para apoyar la auto-verificación de los controles por amenaza en cada una de las dependencias que intervienen en el proceso y asiste el procesamiento de las respuestas para generar indicadores de Gestión de Riesgos sobre la efectividad (protección existente) de los controles según su cumplimiento y riesgo residual por amenaza y por cada una de las dimensiones del cubo de riesgos del proceso: Áreas Organizacionales, Escenarios de Riesgo y Categorías de Riesgo El cumplimiento y efectividad de los controles por cada amenaza según los resultados del monitoreo se mide con una escala de cinco calificaciones, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). A cada uno de estos niveles de cumplimiento de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (cumplimiento superior al 80%); 2- Moderado (cumplimiento entre el 60% y 80%), 3- Alto (cumplimiento entre 40% y 60%): 4: Extremo (cumplimiento entre 20% y 40%); y 5- Extremo (cumplimiento entre 0% y 20%) Para las amenazas que presenten porcentaje de cumplimiento menor del 80%, el software asiste el diseño de las acciones de mejoramiento necesarias para ajustar y corregir la gestión de riesgos del proceso en concordancia con las debilidades o deficiencias identificadas en el monitoreo y los cambios en las operaciones de negocio y el soporte tecnológico. El software provee funcionalidades para asistir el diseño y seguimiento del Plan de Mejoramiento de la Gestión de Riesgos del EGR de los eventos de riesgo que presentan porcentaje de cumplimiento de los controles inferior al 80%, planear su implementación (fechas de compromiso y responsables de implementarlas y supervisarlas) y ejecutar el seguimiento a su implantación. Como ayuda en el seguimiento de las acciones de mejoramiento el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

19 Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar la documentación detallada del sistema de gestión de riesgos de cada proceso o sistema de información objeto del EGR. MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. Este módulo provee funcionalidades para CONSOLIDAR a nivel Empresa los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya desarrollado el ciclo PHVA de la gestión de riesgos en el módulo 4 de CONTROLRISK, en la forma como se ilustra en la siguiente figura. Funcionalidades del Módulo de Consolidación del Perfil de Riesgo Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

20 El Perfil de Riesgo Inherente Consolidado de la Organización Consolidado del Perfil de Riesgo Inherente Categorías de Riesgo Es la descripción de la distribución general de los riesgos a través de la Empresa, en los procesos en los que se ha implantado el ciclo PHVA de la Gestión de riesgos. El software presenta el perfil de riesgos por tres conceptos: a) Por Categorías de Riesgo del universo de riesgos de la empresa y dentro de estas por procesos; b) por Areas Organizacionales y dentro de estas por categorías de riesgo y c) Para todos los procesos de la organización, por tipos de Procesos (Estratégicos, Misionales y de Soporte). Por cada concepto el software presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) en cada proceso. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

21 El Perfil de Protección Existente y Riesgo Residual Consolidado de la Organización Consolidado del Perfil de Riesgo Residual Procesos Es la descripción de los niveles de protección que ofrecen los controles establecidos que se están aplicando y del riesgo residual, en los procesos a los cuales se ha implantado la gestión de riesgos. Con la información del último monitoreo efectuado, por cada proceso el software presenta el porcentaje promedio de la Protección Existente PE (% de cumplimiento de los controles establecidos) y del Riesgo Residual RR (el complemento a 100% de la PE), calculado con el porcentaje de cumplimiento de los controles de las amenazas de cada proceso, obtenidos del último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Esta información se puede visualizar organizada por tres conceptos: a) Para todos los procesos que tienen implementada la gestión de riesgos; b) Por categorías de Riesgo y dentro de estas por procesos y c) Por áreas organizacionales y dentro de estas por categorías de riesgo. El software genera reportes detallados y de Alto Nivel para los Ejecutivos de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

22 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). Formulario de Ingreso de Registro de Eventos de Pérdida Ocurridos CONTROLRISK provee funcionalidades para asistir el registro (ingreso) de información de los eventos de riesgo ocurridos en cualquier sitio de la empresa, el cargue de estos eventos (masivo o individualmente) en la base de datos de Eventos de Riesgo Ocurridos en la organización y procedimientos para conducir el análisis de cada uno de los eventos ocurridos. Esta base de datos está estructurada de acuerdo con los requerimientos del modelo Basilea II y de los organismos de supervisión del Estado (por ejemplo, la Superintendencia Financiera de Colombia). Produce reportes impresos y en pantalla, con información detallada y resumida para consulta, análisis a alto nivel y soporte de la decisiones de los Ejecutivos de la Empresa, respecto a la validez, robustez y valor preventivo de la información existente en la Base de Conocimientos de Gestión de Riesgos y Controles de la Empresa y de la metodología y los procedimientos definidos en el marco de referencia (framework) de la gestión de riesgos en la empresa. Para el análisis de los eventos de riesgo ocurridos, CONTROLRISK provee funcionalidades que ayudan al analista de eventos ocurridos a contrastar las características de ocurrencia del evento con la información de la Base de conocimientos de la Gestión de Riesgos y Controles de la Empresa cargada durante la implementación de la gestión de riesgos. En esta base de conocimientos está disponible la información del inventario de eventos de riesgo negativos que podrían presentarse (amenazas), junto con las vulnerabilidades que podrían generar el ambiente propicio para la Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

23 ocurrencia del evento, los agentes generadores del riesgo que podrían explotar esas vulnerabilidades, la acción de respuesta a riesgos implementada y los controles establecidos para gestionar el evento de riesgo. Con los resultados del análisis de cada evento ocurrido, la Gerencia y los Administradores de riesgos de la Empresa pueden tomar decisiones respecto a las medidas correctivas necesarias para mejorar el valor preventivo de la información de la base de conocimientos y evitar que el evento de riesgo vuelva a presentarse. Cuando un evento de riesgo ocurrido no estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que durante el proceso de implementación de la gestión de riesgo se omitió la identificación de ese evento. El evento debe adicionarse a la base de conocimientos de Gestión de Riesgos con la información sobre agentes generadores del riesgo, vulnerabilidades que permitieron su ocurrencia, la acción de respuesta que ha de implementarse, los controles requeridos y el cargo asignado como responsable o dueño del riesgo. Cuando un evento de riesgo ocurrido estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que los controles establecidos no fueron efectivos para controlar el evento de riesgo o que los controles fueron omitidos en forma accidental o intencional por las personas asignadas para ejecutarlos y supervisarlos. La Gerencia debería revisar la opción de respuesta a riesgos asignada al evento ocurrido y decidir si deben modificarse los procedimientos de gestión para este evento. MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). Módulo Plan de Continuidad del Negocio Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

24 Configuración de Elementos del Módulo BCP CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Algunas funcionalidades de este módulo son: Poblar / Cargar en la base de datos, los requerimientos que debe satisfacer el BCP. Verificar el estado de preparación de las áreas organizacionales para operar en caso de interrupciones. Generar checklist Guías de Autoaseguramiento (CSA: Control Self Assessment) para medir porcentualmente (%) el cumplimiento de los procedimientos y controles del BCP. Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia. Genera Reportes del Monitoreo. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

25 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. Módulo Auditoría al Sistema de Gestión de Riesgos CONTROLRISK ofrece funcionalidades para que los auditores internos o externos puedan evaluar y verificar el funcionamiento de los siguientes componentes del sistema de Administración de Riesgos (SAR): a) Gestión de Riesgos y Diseño de controles para uno más procesos o sistemas de información. Auditoría al cumplimiento del Framework o marco de referencia de la gestión de riesgos y a la exactitud y calidad de la información de la base de conocimientos de gestión de riesgos y controles de la empresa. b) Registro de Eventos de Riesgo Ocurrido (RERO) Auditoria a la exactitud y calidad de la información de los eventos ocurridos, al seguimiento de los planes de acciones correctivas y al cumplimiento de los procedimientos de reporte, registro y análisis de eventos ocurridos. c) Auditoría al Plan de Continuidad del Negocio (BCP). Pruebas de cumplimiento y sustantivas a los procedimientos y controles establecidos para el BCP. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

26 Pasos para ejecución de la Auditoría a cada componente del SAR La auditoría a cada componente del SAR, consta de cuatro pasos, que deben ser ejecutados secuencialmente: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE USUARIOS. Este módulo de CONTROLRISK ofrece todas las funcionalidades necesarias para crear usuarios de la aplicación y asignar los permisos que cada uno de ellos va a tener dentro del sistema. Figura 44: Listado con Usuarios del Sistema CONTROLRISK ofrece dos opciones de autenticación: 1) Autenticación manejada por el sistema, en ella el administrador del software deberá ingresar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operáticos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

27 MODULO 2: CONFIGURACION DEL SOFTWARE. CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades de implantación y monitoreo de la gestión de riesgos por procesos y en los demás módulos del software. Por ejemplo: Figura 45: Elementos de Configuración del Sistema Escala de valores numéricos, rangos de valor monetario y criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Escala de valores numéricos cualitativos y criterios para estimar la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Escala de Valores y criterios para estimar el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relación entre Categorías de Riesgo y Eventos de Riesgo. Relación entre Eventos de Riesgo Negativos y Controles. Agentes Generadores de Riesgo / Factores de Riesgo. Vulnerabilidades. Activos impactados por los riesgos. Tipos de Procesos Macroprocesos. Procesos del Modelo de Operación. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

28 Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Eventos de riesgo ocurridos. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. La figura 3 resume las actividades del ciclo PHVA que se ejecutan en este módulo para identificar, medir, controlar y monitorear los riesgos de cada proceso o sistema de información sujeto a estudio de gestión de riesgos (EGR). Figura 3: Implementación del Ciclo PHVA para los Estudios de Gestión de Riesgos Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

29 La metodología para la implementación del SGR por cada uno de los procesos del modelo de operación, los procesos de Tecnología de Información (TI) y los sistemas de información automatizados de la organización, consta de ocho (8) etapas que se muestran en el menú principal del módulo, en la figura 4 a continuación. Figura 4: Etapas de implantación del SGR por proceso o sistema ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) CONTROLRISK provee ayudas para definir el contexto o conjunto de circunstancias que caracterizan el proceso o sistema al cual se aplicará la metodología de gestión de riesgos y diseño de controles. Presenta formatos para ingresar datos de caracterización del proceso o sistema (documento que describe las características generales del proceso, esto es, los rasgos dife renciadores del mismo) y elaborar una Ficha Técnica con el resumen del ambiente tecnológico, administrativo y operativo. Figura 5: Opciones de la Etapa 1 de la Metodología ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS CONTROLRISK ofrece funcionalidades para aplicar los principios de Pareto y del Poder del 3 para seleccionar las tres categorías de riesgos críticos sobre las que enfatizarán las demás etapas de la administración de riesgos, como se muestra en la figuras 6. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

30 Figura 6: Resultados de la Priorización de Categorías de Riesgo según el Método Churman Ackoff CONTROLRISK ofrece opciones para identificar y documentar las amenazas de riesgo 5 asociadas con cada una de las categorías de riesgos críticos, apoyándose en una base de conocimientos que contiene más de una centena de amenazas típicas contra la seguridad. La figura 8 muestra el formulario para documentar las amenazas. Figura 8: Formulario para Documentación de Amenazas Por cada amenaza se documentan los siguientes elementos del riesgo: activos impactados; vulnerabilidades; agentes generadores; Severidad del riesgo /exposición (probabilidad, impacto y consecuencias); Fuentes del riesgo; propietario del riesgo /incidentes ocurridos. 5 La Expresión Amenaza de Riesgo tiene el mismo significado que Eventos de riesgo en el modelo COSO ERM, es decir, los eventos accidentales o intencionales que en caso de presentarse ocasionan daños o pérdidas a los activos y objetivos del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

31 El software provee funcionalidades para medir (evaluar) la probabilidad de ocurrencia y el impacto de las amenazas en caso de presentarse, estimar el riesgo inherente, elaborar mapas e riesgo inherente y determinar las alternativa de manejo del riesgo por cada amenaza (aceptar, reducir, evitar, transferir, distribuir). Ofrece dos alternativas para medir el riesgo: a) El estándar AS-NZ 4360 (matrices de 5x5) b) el Estándar MECI (Matrices de 3x3). Los valores de medición cualitativa del riesgo inherente utilizada por CONTROLRISK se muestran a continuación en la figura 9. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) Significado Evaluación de Severidad del riesgo inherente El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para la reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la 4: Extremo (Inaceptable) organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 9: Escala de medición del Riesgo Inherente ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA En esta etapa CONTROLRISK ofrece funcionalidades para elaborar y documentar el Mapa / Cubo de Riesgos Inherentes del proceso o sistema, el cual se desdobla en tres matrices: a) Actividades o escenarios de riesgo del proceso Vs Clases de Riesgos Críticos; b) Dependencias y terceros que intervienen en el proceso Vs Clases de Riesgos Críticos y c) Actividades del proceso Vs Dependencias y terceros que intervienen en el proceso, como se muestra en la pantalla de la figura 10. Figura 10: Menú principal para Generar el Mapa de Riesgos Inherentes Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

32 CONTROLRISK asiste al Analista de Riesgos en la definición o asignación de objetivos de control que deberán ser satisfechos por los controles en cada una de las actividades (escenarios de riesgos) del proceso o sistema de información, apoyándose en la lista que ofrece la base de conocimientos suministrada por el proveedor. También ayuda a relacionar estos objetivos con las amenazas de riesgo identificadas. ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS En esta etapa CONTROLRISK asiste al analista de riesgos / diseñador de controles en la identificación y documentación de los controles (medidas de seguridad, salvaguardas o contramedidas) establecidos o requeridos en la organización para mitigar las amenazas de cada proceso o sistema. Para este fin se apoya en una base de conocimientos que contiene más de 450 best practices de control universalmente reconocidas. El menú de opciones de esta etapa se muestra en la figura 11. Figura 11: Menú de Etapa 4 - Evaluación y Tratamiento de Riesgos Con base en los controles identificados, CONTROLRISK mide la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo. Para este fin aplica tres criterios de evaluación: a) Se satisfacen los tres anillos o niveles de seguridad; b) El nivel de automatización de los controles es aceptable y c) la eficiencia (costo / beneficio) de los controles utilizados es razonable. Las convenciones para evaluar Protección Existente (PE) y el Riesgo Residual (RR) por cada amenaza se muestran en la figura 12. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

33 Figura 12: Evaluación de la Protección ofrecida por los controles establecidos Con los resultados de la evaluación, CONTROLRISK genera reportes, estadísticas y gráficos con de la Situación Actual de Protección Ofrecida, por diferentes conceptos (por amenazas, escenarios de riesgo, áreas organizacionales, categorías de riesgo y objetivos de control, como se muestra en la figura 13 a continuación. Figura 13: Situación Actual de Protección Ofrecida Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

34 Para las amenazas que presenten riesgo residual superior al máximo aceptable, CONTROLRISK asiste la elaboración del Plan de Tratamiento de Riesgos, como se muestra en la figura 14. Además, ofrece opciones y formatos para gestionar la planeación, implantación y seguimiento del plan, a través de recordatorios por correo electrónico y control de las acciones requeridas. Figura 14: Acciones e tratamiento de las Amenazas con riesgo residual superior al aceptable ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES El software CONTROLRISK provee opciones para determinar el alcance de los controles en los componentes del cubo de riesgos (actividades del proceso, áreas organizacionales y categorías de riesgo críticas), realizar el análisis cuantitativo de los riesgos y los controles de cada proceso o sistema y completar la documentación con las especificaciones de los controles. El menú de opciones de esta etapa se muestra en la figura 15. Figura 15: Opciones de Etapa 5 de la Implantación del SGR CONTROLRISK presenta formatos en pantalla para evaluar en forma cuantitativa el costo / beneficio de los controles por cada amenaza de riesgo, como se muestra en la figura 16. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

35 Figura 16: Análisis Cuantitativo del Costo / Beneficio de los Controles ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES CONTROLRISK provee funcionalidades para asignar cargos responsables de ejecutar y supervisar los controles en cada área organizacional (dependencia) que interviene en el manejo de la información de cada proceso o sistema. Como resultado genera un reporte de Guías de Autocontrol por cargos, con los controles que corresponda ejecutar y/o supervisar a cada uno, como se muestra en la figuras 17. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

36 Figura 17: Guía de Autocontrol por Dependencias ETAPA 7: MONITOREO DE RIESGOS CONTROLES Y AUTO-ASEGURAMIENTO DE En esta etapa el software provee funcionalidades para verificar que los controles establecidos se estén aplicando y sean efectivos para reducir los riesgos a los niveles de riesgo residual aceptables en la organización. 21/09/2015 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

37 Figura 18: Menú Etapa 7 Monitoreo de la Protección Existente y el Riesgo Residual El software genera Guías de Auto-aseguramiento (cuestionarios) por cada área organizacional y provee opciones para ingresar las respuestas, procesarlas, generar reportes y gráficos con los resultados del monitoreo. Como resultado del monitoreo, CONTROLRISK genera mediciones cualitativas de la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo en cada área organizacional (dependencia), actividad y categoría de riesgo del proceso o sistema. Luego consolida el perfil de riesgo por categorías de riesgo como se muestra en la figura 19. Figura 19: Perfil de Riesgo Residual, después de cada monitoreo CONTROLRISK asiste en el análisis de resultados de la Auto-evaluación de Controles y el diseño de los Planes de Mejoramiento a que haya lugar. Genera formatos y gráficos como el que se muestra en la figura 20. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

38 Figura 20: Análisis de No conformidades detectadas en cada monitoreo El software CONTROLRISK crea y mantiene actualizado un registro histórico de la evolución de la protección existente y del riesgo residual, con las últimas cinco (5) mediciones efectuadas en cada área organizacional (dependencia), escenario y categoría de riesgo. Genera reportes por pantalla e impresos como el que se muestra en la figura 21. Figura 21: Histórico de Monitoreos por Área Organizacional Cada vez que se realice monitoreo, CONTROLRISK ofrece formatos y opciones para elaborar un Plan de Mejoramiento para las amenazas que presenten un nivel de riesgo residual superior al máximo aceptable. También ofrece ayudas para diseñar y ejecutar seguimiento a las acciones de mejoramiento emprendidas como resultado de cada monitoreo. ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA CONTROLRISK ofrece opciones para generar el Manual de Riesgos y Controles de cada proceso o sistema de información. Este manual está conformado por los resultados de cada una de las etapas de la metodología CONTROLRISK y es exportable a Word (Rich Text Format), Excel, PDF, Web, CSV y Tiff para ser modificado en su forma y contenido por los usuarios. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

39 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN Este módulo provee funcionalidades para generar información consolidada de los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya realizado estudios de gestión de riesgos (EGR) utilizando CONTROLRISK, en la forma como se ilustra en la Figura 22. Figura 22: Funcionalidades del Módulo de Consolidación del Perfil de Riesgo El Perfil de Riesgo Inherente de la Organización, presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) de los procesos de la organización a los cuales se haya efectuado estudios de gestión de riesgos. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. El Perfil de Riesgo Residual de la Organización, por cada proceso al cual se haya efectuado estudio de gestión de riesgos, presenta los porcentajes promedio de Protección Existente (PE) y Riesgo Residual (RR) obtenidos en el último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

40 PERFIL DE RIESGO INHERENTE CONSOLIDADO CONTROLRISK ofrece funcionalidades para consolidar el Perfil de Riesgo Inherente de la organización, por tres conceptos o vistas (ver figura 23): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora). b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Figura 23: Módulo de Consolidación del Perfil de Riesgo Inherente Por cada uno de estos conceptos genera información consolidada y gráficas en dos niveles: 1) cantidad de amenazas, el valor promedio de riesgo inherente y su significado, 2) cantidad total de amenazas, cantidad de amenazas localizadas en cada nivel riesgo inherente (Muy alto, alto y aceptable) y los rangos de pérdida estimada de las amenazas localizadas en estos niveles de riesgo inherente. La escala de medición del riesgo usada por CONTROLRISK se describió en la figura 9. a) Consolidación del perfil de riesgo inherente Presentada por procesos. Nivel 1: Para los procesos que correspondan a los tipos de procesos (estratégico, misional, de soporte) o para todos los procesos a los que se haya realizado estudio de gestión de riesgos, CONTROLRISK muestra: cantidad de amenazas, riesgo inherente consolidado y significado del riesgo inherente consolidado (Figura 24). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

41 Figura 24: Consolidación de Riesgo Inherente por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1 que sea seleccionado, CONTROLRISK muestra las categorías de riesgo críticas del proceso, así como el total de amenazas y su respectivo valor y significado de riesgo inherente. Figura 25: Consolidación de Riesgo Inherente por Procesos y Categorías de Riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta el valor y significado de riesgo inherente (Figura 26). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

42 Figura 26: Consolidación de Riesgo Inherente por Procesos, Categorías de Riesgo y Amenazas Nivel 4: Por cada uno de los procesos a los cuales se les haya realizado estudio de gestión de riesgos, CONTROLRISK muestra la cantidad de amenazas localizadas en cada nivel de riesgo inherente (Muy alto, Alto y Aceptable) (Figura 27) Figura 27: Perfil de Riesgo Inherente Consolidado por proceso Al dar clic sobre los datos de la columna de color asociado a cada nivel de riesgo inherente (muy alto, alto y aceptable), CONTROLRISK muestra en reportes y gráficos los rangos de pérdida estimada de las amenazas localizadas en el nivel de riesgo inherente Figura 28) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

43 Figura 28: Rangos de pérdida asociada al nivel de Riesgo Inherente b) Consolidación del perfil de riesgo inherente presentada por categorías de riesgos La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. c) Consolidación del perfil de riesgo inherente presentada por Áreas Organizacionales La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. PERFIL DE RIESGO RESIDUAL CONSOLIDADO. CONTROLRISK ofrece funcionalidades para consolidar el Perfil de riesgo Residual de la organización, por tres conceptos o vistas (ver figura 29): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora) o para todos los procesos de la entidad, con opciones que muestran en la pantalla de la Figura 29. b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

44 Figura 29: Módulo de Consolidación de Perfil de Riesgo Residual por Tipo de Proceso a) Consolidación del perfil de riesgo residual - Vista por procesos Nivel 1: Por cada proceso de la organización, CONTROLRISK muestra la cantidad de amenazas y los porcentajes de protección existente consolidada y riesgo residual consolidado, como se muestra en la figura 30. Figura 30: Consolidación de Riesgo Residual por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1, CONTROLRISK muestra las categorías de riesgo críticas del proceso sobre las cuales se enfatizó el EGR en el módulo 1. Por cada categoría muestra cantidad de amenazas y porcentajes de protección existente y riesgo residual. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

45 Figura 31: PE y RR por proceso y categorías de riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta los porcentajes de PE y RR (Figura 32). Figura 32: PE y RR por proceso, categorías de riesgo y Amenaza Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

46 Nivel 4: Por cada proceso de la organización del nivel 1, CONTROLRISK muestra la cantidad de amenazas en niveles de riesgo residual Muy Alto, Alto y Aceptable (Figura 33). Figura 33: Perfil de Riesgo Residual consolidado por Procesos Haciendo clic sobre la cantidad de amenazas asociadas a cada nivel de riesgo residual (Muy alto, Alto y Moderado) CONTROLRISK muestra los rangos de pérdidas estimadas de las amenazas asociadas al nivel de riesgo seleccionado, como se muestra en la Figura 34. Figura 34: Rangos de Pérdida por Amenazas Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

47 b) Consolidación del perfil de riesgo residual - Presentado por categorías de riesgo La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. c) Consolidación del perfil de Riesgo Residual - vista por áreas organizacionales (dependencias) La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) Figura 35: Menú principal del Módulo para el Registro de Eventos Ocurridos CONTROLRISK provee funcionalidades para crear y mantener actualizado una base de datos con el registro de eventos de pérdida por riesgo ocurridos, de acuerdo con las especificaciones del modelo Basilea II. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

48 Figura 36: Ingreso de registro de Eventos de pérdida Ocurridos CONTROLRISK provee funcionalidades para analizar los eventos de riesgo ocurridos, de tal forma que la entidad pueda tomar las medidas necesarias para evitar que se vuelva a presentar la ocurrencia del evento figura 37. Figura 37: Análisis evento de Riesgo Operativo Ocurrido Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

49 CONTROLRISK permite obtener una serie de reportes de eventos de pérdida ocurridos, por diferentes conceptos tales como línea de negocio, tipos de evento de pérdida (categorías de riesgo y cuantías, entre otros, como se muestra en las figura 38). Figura 38: Opciones de reportes del Módulo de Evento de Riesgo Operativo MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Figura 39: Menú Principal del Módulo de BCP Estas guías deben aplicarse periódicamente, al menos una vez cada seis meses, según decisión que corresponde tomar a la Gerencia de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

50 Figura 40: Pasos de Monitoreo al Plan de Continuidad del Negocio CONTROLRISK presenta los resultados del monitoreo organizados por tipos de área, áreas organizacionales, actividades claves del BCP y las categorías de riesgo definido por el modelo de riesgos de la entidad, como se ilustra en la figura 41. Figura 41: Cumplimiento de Requerimientos del BCP por Áreas Organizacionales Los resultados del monitoreo se presentan en tres (3) matrices con la medición de la exposición a riesgos según el porcentaje de cumplimiento de los requerimientos establecidos para el BCP. Se producen tres matrices: a) Por Tipos de Áreas (Alta Gerencia, Administración de Tecnología, Áreas de la Dirección General); b) por áreas organizacionales; y c) por actividades clave del BCP. Cada matriz muestra las prioridades (ranking) riesgos, por filas y columnas, así: para el plan de tratamiento de a) Categorías de riesgo y tipos de áreas. b) Categorías de riesgo y áreas organizacionales Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

51 c) Categorías de riesgo y actividades clave del BCP. La matriz de Categorías de riesgo Vs Tipos de áreas se ilustra en la figura 42. Figura 42: Exposición a Riesgos de Continuidad de Negocio por Tipos de Área MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO CONTROLRISK ofrece funcionalidades para realizar la auditoría a los siguientes componentes del sistema de Administración Integral de Riesgos (SAIR): a) Módulo 1- Gestión de Riesgos y Diseño de controles por proceso o sistema de información. b) Módulo 3- Registro de Eventos de Riesgo Ocurrido (RERO). c) Módulo 4 Auditoría al Plan de Continuidad del Negocio (BCP). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

52 Figura 43: Opciones de Auditoría Por cada componente del SAIR, la auditoría consta de cuatro pasos, que deben ser ejecutados secuencialmente, ellos son: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

53 A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE CONTROLRISK? La metodología del software CONTROLRISK está orientada a apoyar el trabajo de: Gerentes y Analistas de Riesgos Administradores de Seguridad en Tecnología de Información Auditores Internos y de Sistemas para auditar la Gestión de Riesgos. Funcionarios con responsabilidades de Diseño / Evaluación del Sistema de Control Interno. Gerentes y Analistas de Proyectos Funcionarios de Gestión de la Calidad o de Organización y Métodos. Equipos de Desarrollo de Sistemas. QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? Por cada licencia monousuario o en red el usuario de CONTROLRISK recibe los siguientes elementos: Un CD-ROM que contiene: El software ejecutable CONTROLRISK Manual del usuario (E-book). Las bases de datos de conocimientos estándar. Dos ejemplos desarrollados con CONTROLRISK para la Empresa MORRAOS DE COLOMBIA (encajada en la estructura del software, para propósitos de prueba y entrenamiento). La licencia de uso del software a perpetuidad, por tiempo indefinido. SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y actualización, el cual incluye soporte telefónico o vía internet al usuario para resolver inquietudes relacionadas con la operación y funcionamiento de la metodología CONTROLRISK. Los desarrolladores de CONTROLRISK para Windows se encuentran en constante interacción con los usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios vía Internet en su página o suministradas en formato CD ROM directamente. El contrato anual de soporte técnico y actualización incluye: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

54 Soporte técnico ofrecido por funcionarios de AUDISIS especializados en CONTROLRISK. Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de la metodología cada vez que se produzcan. Por el primer año, contado desde la fecha de compra, el contrato de soporte técnico no tiene costo para el usuario de CONTROLRISK. REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK Motor de Bases de Datos: SQL Server versión 2005 y posteriores. Herramienta de Desarrollo: Visual Studio. Idioma español en pantallas y manuales. Sistema Operativo: Windows 2000, Windows Server 2003 y 2008, NT, Vista, Windows 7. Excepto las versiones Home. Memoria RAM: 1 GB. Capacidad de Disco: 20 GB. Internet Explorer 6.0 o superiores PERFIL DEL PROVEEDOR DE CONTROLRISK AUDISIS LTDA, Auditoría Integral y Seguridad de Sistemas de Información Ltda., es una firma de Auditores Consultores Gerenciales, especializada en Gestión de Riesgos, Seguridad y Auditoría de Sistemas de Información, constituida legalmente el 23 de Septiembre de 1.988, Mediante escritura pública No de la Notaría 4 del círculo de Bogotá, con registro vigente en la Cámara de Comercio de Bogotá bajo el número de matrícula La misión de AUDISIS es ofrecer servicios profesionales especializados de calidad superior y herramientas de productividad en los campos de Gestión de Riesgos, controles, seguridad y auditoría de sistemas de información, software de auditoría, técnicas y herramientas de auditoría asistidas por computador (CAATTs), control interno organizacional y auditorías financiera, operativa y de gestión. EMPRESAS QUE UTILIZAN CONTROLRISK. Sector Financiero Acciones y Valores S.A Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

55 CREDISERVIR Cooperativa de Ahorro y Crédito Ocaña. PROGRESSA Entidad Cooperativa de Ahorro y Crédito CONFIAR Cooperativa Financiera- Medellín. Banco Popular. Contraloría Cajas de Compensación Familiar. Compensar. Caja de Compensación Familiar. Bogotá. Auditoría General CAJA DE COMPENSACION FAMILIAR DEL TOLIMA COMFENALCO TOLIMA. Caja de Compensación Familiar de la Guajira Comfaguajira. Caja de Compensación Familiar de Arauca COMFIAR. Entidades del Gobierno. Comisión Nacional de Televisión CNTV OCENSA, Oleoducto Central de Colombia. INSTITUTO NACIONAL DE VIAS INVIAS. Coordinación Área de Desarrollo Informático. Año Contraloría General De La República de Colombia. Dirección de Control Interno. ESSA. Empresa Electrificadora de Santander. Oficina de Control Interno. Sector Industrial. AVESCO Grupo KoKorico. Contraloría Interna. LAFAYETTE. Indústria Textilera. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

56 Sector Educativo. Universidad La Gran Colombia Bogotá. Facultad de Contaduría. Universidad Central de Bogotá. Facultad de Contaduría. Universidad Autónoma de Colombia. Facultad de Contaduría. Universidad Militar Nueva Granada. Bogotá. Facultad de Ciencias Económicas. Universidad Panamericana. Bogotá - Facultad de Contaduría. Universidad Santo Tomas Bucaramanga Facultad de Contaduría. Universidad Católica de Colombia Bogotá. Facultad de ingeniería de sistemas. Universidad Pedagógica y Tecnológica de Colombia. UPTC Tunja. CLIENTES EN OTROS PAISES En Ecuador Banco Central del Ecuador. Auditoría. En Costa Rica Cervecería de Costa Rica. Contraloría En Guatemala Superintendencia de Bancos (Guatemala) En República Dominicana Banco Central - Auditoría. En Bolivia Banco Santacruz. Auditoría En Honduras Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

57 Banco Centroamericano de Integración Económica (BCIE). Contraloría y Auditoría Interna. En Perú Contraloría General de la República del Perú. Universidad Unión Peruana. Lima Perú. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

Software de Administración Integral de Riesgos y Diseño de Controles

Software de Administración Integral de Riesgos y Diseño de Controles Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,

Más detalles

PRESENTACION DEL PRODUCTO

PRESENTACION DEL PRODUCTO Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS

SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

Auditoria de Sistemas Basada en Riesgos

Auditoria de Sistemas Basada en Riesgos Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices,

Norma ISO 31000:2009, ges ón de riesgos - principios y direc- trices, Este seminario presentará un marco de referencia y metodológico seguro y eficiente para implantar la ges- ón de riesgos empresariales, específicamente para idenficar, documentar, evaluar, controlar, monitorear,

Más detalles

INSTRUCTIVO ELABORACION MAPA DE RIESGOS

INSTRUCTIVO ELABORACION MAPA DE RIESGOS Código :EV-EV- IN01 Página: 1 de 18 ADMINISTRACIÓN DEL RIESGO La Administración del Riesgo se construye para identificar, evaluar y controlar los eventos que pueden impedir el logro de los objetivos institucionales.

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

AUDITORIA BASADA EN RIESGOS

AUDITORIA BASADA EN RIESGOS SEMINARIO TALLER Marzo 24, 25 y 26 DE 2.010 CONTENIDO Beneficios 2 Objetivos 3 A quién esta Dirigido? Temas del Seminario 3-4 Instructores 5 Metodología 5 Valor Inversión y forma de pago Nuestros Servicios

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,

Más detalles

www.datasec-soft.com metodología de evaluación y control de riesgos

www.datasec-soft.com metodología de evaluación y control de riesgos El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

MAPA DE RIESGO INSTITUCIONAL

MAPA DE RIESGO INSTITUCIONAL MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:

Para cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes: Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

Subsistema de Control Estratégico Avances

Subsistema de Control Estratégico Avances BANCO DE COMERCIO EXTERIOR DE COLOMBIA BANCOLDEX INFORME CUATRIMESTRAL DEL ESTADO DE CONTROL INTERNO (Estatuto anticorrupción Ley 1474 de 2011) PERÍODO: NOV-2012 A FEB-2013 Subsistema de Control Estratégico

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Inventario de Ne gocio

Inventario de Ne gocio Gobierno Corporativo, Gestión del Riesgo y Gestión del Cumplimiento, son las tres visiones que integralmente conforman el marco conceptual ORCA Software GRC Suite. La plataforma provee mecanismos para

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

COSO II: Enterprise Risk Management Primera Parte

COSO II: Enterprise Risk Management Primera Parte COSO II: Enterprise Risk Management Primera Parte www.nasaudit.com 31/07/2009 COSO II: ENTERPRISE RISK MANAGEMENT PRIMERA PARTE Como lo comentamos en uno de nuestros anteriores boletines, existen en la

Más detalles

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 )

GESTIÓN DE RIESGOS CORPORATIVOS ERM ( COSO 2 ) GESTIÓN DE RIESGOS CORPORATIVOS MARCO INTEGRADO ERM ( COSO 2 ) Cayetano Mora 1 GESTIÓN DE RIESGOS CORPORATIVOS RELACIÓN ENTRE COSO y ERM Cayetano Mora 2 Derivación del Informe COSO COSO I: Control Interno

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

DOCUMENTO DE REFERENCIA MECI Y CALIDAD SISTEMA INTEGRADO DE GESTIÓN CONTENIDO INTRODUCCIÓN... 2

DOCUMENTO DE REFERENCIA MECI Y CALIDAD SISTEMA INTEGRADO DE GESTIÓN CONTENIDO INTRODUCCIÓN... 2 CONTENIDO INTRODUCCIÓN... 2 COMPATIBILIDAD ENTRE EL SISTEMA DE GESTIÒN DE LA CALIDAD DEL CENTRO DE GESTIÓN ADMINISTRATIVA, NORMA TÈCNICA DE CALIDAD EN LA GESTIÓN PÚBLICA (NTCGP 1000:2009)... 3 2. Objeto

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT EDMUNDO TREVIÑO GELOVER CGEIT, CISM, CISA AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT 4. TIPOS DE CONTROLES DE APLICACIÓN

Más detalles

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO PÁGINA: 1 DE 8 REVISÓ JEFE DE OFICINA DE CONTROL INTERNO APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 8 1. OBJETIVO Definir las actividades para la identificación, análisis, valoración y calificación

Más detalles

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO CAMARA DE COMERCIO SEVILLA Sistema Integrado de Gestión de la Calidad MANUAL DEL SISTEMA DE GESTION DE RIESGO Fecha Junio del 2015 Página 1 de 24 OBJETIVO Establecer la metodología para la gestión de los

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

2. DEFINICIÓN DEL SISTEMA INTEGRADO DE GESTIÓN - SIG

2. DEFINICIÓN DEL SISTEMA INTEGRADO DE GESTIÓN - SIG 2. DEFINICIÓN DEL SISTEMA INTEGRADO DE GESTIÓN - SIG Para poder entender cuál es el propósito del SISTEMA INTEGRADO DE GESTIÓN - SIG, lo primero que debemos tener claro son los conceptos de SISTEMA, GESTIÓN

Más detalles

Matriz de Riesgo, Evaluación y Gestión de Riesgos

Matriz de Riesgo, Evaluación y Gestión de Riesgos Matriz de Riesgo, Evaluación y Gestión de Riesgos Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO

HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO Contenido HERRAMIENTAS DE EVALUACION DEL CONTROL INTERNO C.P. Sonia M. Montoya O. (Contadora pública U. de A. Especialista en Control Organizacional Eafit Especialista en GestiónTributaria U. de A.) Contenido

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

SEGUIMIENTO INSTITUCIONAL Bucaramanga

SEGUIMIENTO INSTITUCIONAL Bucaramanga SEGUIMIENTO INSTITUCIONAL Bucaramanga Enero de 2015 Revisó Director Control Interno y Evaluación de Gestión Aprobó: Rector Página: 2 de 20 Fecha de Aprobación: Marzo 11 de 2009 Resolución Nº 370 CONTENIDO

Más detalles

GESTIÓN DE RIESGOS. Oficina de Planeación 2013

GESTIÓN DE RIESGOS. Oficina de Planeación 2013 GESTIÓN DE RIESGOS Oficina de Planeación 2013 AGENDA 1. QUÉ ES LA GESTIÓN DE RIESGOS? 2. ETAPAS DE LA GESTIÓN DEL RIESGO 3. CLASES DE RIESGOS 4. CATEGORIAS DE RIESGOS 5. CAUSAS Y EFECTOS ASOCIADAS A LOS

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

SISTEMA DE GESTIÓN DE RIESGOS

SISTEMA DE GESTIÓN DE RIESGOS SISTEMA DE GESTIÓN DE RIESGOS Como parte del compromiso del Directorio con las buenas prácticas de Gobierno Corporativo, COPEINCA ha implementado un Sistema de Gestión de Riesgos, bajo la metodología COSO

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II TRABAJO: COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA PRESENTADO POR:

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ

COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ GESTION DE RIESGOS EN EL SISTEMA COOPERATIVO PARAGUAYO MARCOS RODRIGUEZ 2 Participación en el Mercado Financiero, según ACTIVOS. Cooperativas, 21% Financieras, 3,50% Bancos, 75,50% Los activos que poseen

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX

MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Página: 1 de 123 CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013 Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1

Más detalles

S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay

S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS El área de riesgos sirve como soporte en la gestión de los diferentes riesgos al Comité de Riesgos y a la junta directiva, y tiene como objeto identificar,

Más detalles

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito

Administrador Riesgo Opera1vo. Administrador Riesgo de Crédito VERDADERO ROL DEL ADMINISTRADOR DE RIESGO Administrador Riesgo Opera1vo Administrador Riesgo de Crédito DUEÑOS DE PROCESOS realizan la Ges4ón del Riesgo (Ejecutan procesos y controles) Administrador Riesgo

Más detalles

MANUAL DE ADMINISTRACION DEL RIESGOS

MANUAL DE ADMINISTRACION DEL RIESGOS MANUAL DE ADMINISTRACION DEL RIESGOS Página 1 de 15 MANUAL DE ADMINISTRACION DEL RIESGOS Versión 1 del 23 de Junio de 20 TABLA DE CONTENIDO MANUAL DE ADMINISTRACION DEL RIESGOS Página 2 de 15 TABLA DE

Más detalles

Enterprise Risk Management Integrated Framework

Enterprise Risk Management Integrated Framework Enterprise Risk Management Integrated Framework Marco Integrado de Administración de Riesgos Corporativos* * * * * * Cra. Patricia Kirschenbaum Cra. Jennifer Manguian *connectedthinking Agenda Importancia

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN

INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 En cumplimiento de lo dispuesto en al artículo 9 de la Ley 1474 de 2011, a continuación se presenta el informe del

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la

establecimiento, implementación, operación, evaluación y mejora de un BCM de acuerdo a la Contenido: Objetivos 3 A quién esta Dirigido? Temas del Seminario 4 Instructores 5 Metodología 6 Valor Inversión 6 Nuestros Productos y Servicios Profesionales 7 La Gestión de Continuidad del Negocio (BCM

Más detalles

I. INTRODUCCIÓN DEFINICIONES

I. INTRODUCCIÓN DEFINICIONES REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr

Más detalles

PROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO

PROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO PROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO UNIDAD: TÉCNICOS DE LABORATORIOS DE DEPARTAMENTOS, CENTROS E INSTITUTOS DE INVESTIGACIÓN (UTLA). Fecha de realización: DICIEMBRE

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

MATRICES DE RIESGO EN AREAS DE NEGOCIOS Y CONTROL ANÁLISIS DEL SARLAFT

MATRICES DE RIESGO EN AREAS DE NEGOCIOS Y CONTROL ANÁLISIS DEL SARLAFT MATRICES DE RIESGO EN AREAS DE NEGOCIOS Y CONTROL ANÁLISIS DEL SARLAFT La Gestión del Riesgo es un enfoque distinto al de la Gerencia que corrige el rumbo de su institución a partir de hallazgos descubiertos

Más detalles