Software de Administración Integral de Riesgos y Diseño de Controles

Transcripción

1 Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015

2 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del Software ControlRisk. Módulos Componentes del Software ControlRisk. Beneficios de Utilizar ControlRisk. Usuarios del software ControlRisk. 2

3 Qué es y para que sirve? El software ControlRisk Es una aplicación WEB (Cloud Computing) para asistir las actividades de implantación, monitoreo, actualización y mejoramiento continuo de diferentes Sistemas de Gestión de Riesgos (SGR). SARO: Sistema de Administración de riesgo operativo. SARLAFT: Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo. SIPLAFT Riesgos de Seguridad y Salud Ocupacional. Riesgos de Seguridad de la Información. Riesgos Ambientales. Riesgos en el Sector Salud (Res 1740de2008MPS) Riesgos financieros Riesgosdel MECI 3

4 Qué es y para que sirve? El software ControlRisk Es una aplicación WEB (Cloud Computing) para asistir las actividades de implantación, monitoreo, actualización y mejoramiento continuo de diferentes Sistemas de Gestión de Riesgos (SGR). Consta de ocho (8) módulos interrelacionados: Módulo 1: Administración de Usuarios; Módulo 2: Configuración del Software; Módulo 3: Framework de Gestión de Riesgos; Módulo 4: Implementar Gestión de Riesgos por Procesos (desarrollar Ciclo PHVA de la gestión de riesgos); Módulo 5: Consolidar el Perfil de riesgos / Mapa de Riesgos Institucional; Módulo 6: Crear y Mantener Actualizada la base de datos de Eventos de Riesgos Ocurridos (RERO) en la Organización. Módulo 7: Monitorear el Plan de Continuidad del Negocio (BCP) de la Organización. Modulo 8: Auditar el Sistema de Gestión de Riesgos de la Organización. 4

5 Módulos de ControlRisK 5

6 Qué es y para que sirve? El software ControlRisk Módulo 1: Administración de Usuarios (Ofrece funcionalidades necesarias para crear e inactivar usuarios de la aplicación y asignar los permisos de acceso a los diferentes módulos del software). CONTROLRISK Ofrece dos opciones de autenticación de usuarios: 1) Autenticación manejada por la aplicación de Gestión de Riesgos y 2) Autenticación a través del directorio activo usado en los sistemas operativos Windows. Los perfiles de acceso en CONTROLRISK son los siguientes: Gerente de Riesgos. Administrador de Usuarios. Administrador de EGR (Estudio de Gestión de Riesgos. Analista de Riesgos. Auto-evaluador Monitoreo de riesgos, CSA. Administrador RERO. Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoría. Auditor. 6

7 Qué es y para que sirve? El software ControlRisk Módulo 2: Configuración del Software. ControlRisk provee funcionalidades para configurar los estándares que serán utilizados en las actividades de implantación y monitoreo de la Gestión de Riesgos por procesos y en los demás módulos del software. Por ejemplo: Escala de valores numéricos, rangos de valor monetario y criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Escala de valores numéricos cualitativos y criterios para estimar la frecuencia anual de ocurrencia de los eventos de riesgos. Escala de valores y criterios para estimar el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. 7

8 Qué es y para que sirve? El software ControlRisk Módulo 2: Configuración del Software. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. EL software CONTROLRISK provee ayudas para poblar con información de la empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: 8

9 Qué es y para que sirve? El software ControlRisk Módulo 2: Configuración del Software. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. EL software CONTROLRISK provee ayudas para poblar con información de la empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: 9

10 Qué es y para que sirve? El software ControlRisk Módulo 2: Configuración del Software. Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Controles Aplicables a los Eventos de Riesgos Negativos Mejores y Buenas Prácticas de Control. Relación entre Categorías de Riesgo y Eventos de Riesgo. Relación entre Eventos de Riesgo Negativos y Controles. Agentes Generadores de Riesgo / Factores de Riesgo. Vulnerabilidades. 10

11 El software ControlRisk Qué es y para que sirve? Módulo 2: Configuración del Software., Activos impactados por los riesgos. Tipos de Procesos. Macroprocesos. Procesos del Modelo de Operación. Sistemas de Información Aplicaciones de Computador. Areas Organizacionales Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Eventos de riesgo ocurridos. PUC. Líneas de Negocio. 11

12 Qué es y para que sirve? El software ControlRisk Módulo 2: Configuración del Software. CONTROLRISK Ofrece funcionalidades para configurar el correo corporativo de la Unidad de Riesgos y la configuración y envío automático de mensajes de recordatorio por Correo electrónico dirigidos a: Los Responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. 12

13 Qué es y para que sirve? El software ControlRisk Módulo 4: Implementar, monitorear y actualizar /mejorar continuamente la Gestión de Riesgos en cada uno de los Procesos y Sistemas de la Empresa de la organización (Ciclo PHVA de la gestión de riesgos), en: Procesos del Modelode Operación de laempresa Mapa de Procesos (Estratégicos, Misionales, de Apoyo y de Supervisión y Control). Procesos de Tecnología de Información (Modelos COBIT e ITIL). Procesos de la Infraestructura de TICs Procesos Claves de TICs. Sistemas de Información Automatizados (Aplicaciones de Computador ó Módulos de ERPs). SARLAFT RiesgosdeSeguridaddelaInformación(ISO27001) Riesgos enelsector Salud(Res1740de2008MPS). Riesgos Financieros. 13

14 Qué es y para que sirve? El software ControlRisk Módulo 4:Implementar, monitorear y actualizar / mejorar continuamentela Gestión de Riesgos, por cada Proceso ó Sistema de Información de la organización. Desarrolla Ciclo PHVA de la gestión de riesgos por proceso. Etapa 1: Definir el Contexto de Riesgos del Proceso. Caracterizar el proceso. Etapa 2: Identificar y analizar riesgos que podrían presentarse. Etapa 3: Elaborar Cubo de Riesgos del Proceso Etapa 4: Evaluar Riesgos /Diagnóstico sobre Controles Existentes y Tratamiento de los riesgos. Etapa 5: Evaluación Costo / Beneficio de los Controles. Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles. Etapa 7: Monitoreo / Autoevaluación / Mejoramiento del sistema de Administración de riesgos 14

15 El ciclo PHVA de Implantación del Sistema de Administración Integral de Riesgos (SAIR) (1) (1) En los procesos o sistemas de la Empresa 15

16 Qué es y para que sirve? El software ControlRisk Módulo 4: El ciclo PHVA de la Gestión de Riesgos en los procesos o sistemas de la Empresa. Planear Definir contexto del proceso o sistema objeto del EGR Caracterizar el proceso. Identificar, analizar, priorizar y clasificar los riesgos Inherentes. Elaborar Mapas de Riesgo Inherente, perfiles de riesgos inherentes y Cubo de Riesgos. Evaluar Riesgos / Efectividad de Controles establecidos para mitigar riesgos inherentes. Hacer. Diseñar Tratamientos de Riesgo requeridos, controlar y hacer seguimiento a su implantación (Generación recordatorios por correo electrónico). Elaborar Mapas de Riesgo Residual después de tratamientos. Asignar Responsabilidades por Ejecución y Supervisión de los Controles. 16

17 Cubo de Riesgos del Proceso o Sistema de Información Amenazas de Riesgo Ingreso de Datos Recursos Humanos Sistemas Actualización Base de Datos Contabilidad Reportes de Actualización Fraude Sanciones Legales Costos Excesivos Escenarios de Riesgo (Actividades) 17

18 Qué es y para que sirve? El software ControlRisk Módulo 4: El ciclo PHVA de la Gestión de Riesgos en los procesos y sistemas de información de las Organizaciones. Verificar Monitorear periódicamente el estado de los riesgos y controles establecidos. Generar indicadores de Gestión de Riesgos, según cumplimiento de controles. Elaborar Mapas de Riesgo Residual y perfiles de riesgo residual Según Ultimo Monitoreo. Identificar y diseñar Acciones de Mejora Requeridas. Actuar Planear implementación de las Acciones de Mejora. Control y seguimiento a implantación de Acciones de Mejora. (Generación recordatorios por correo electrónico). 18

19 Qué es y para que sirve? El software ControlRisk Módulo 5:Consolidación del Perfil de Riesgo Institucional La Aplicación Consolida los Mapas de Riesgo de los procesos y sistemas de la Organización, con los resultados del último Monitoreo : Perfil / Mapa de Riesgos Inherentes consolidado: a) Por Categorías de Riesgo; b) Por Áreas Organizacionales yc)portiposdeprocesos. Perfil / Mapa de Riesgo Residual consolidado: a) Por Categorías de Riesgo; b) Por Areas Organizacionales y c) Por tipos de procesos. Perfiles de Protección Existente Consolidada: a) Por Categorías de Riesgo, b) Por Áreas Organizacionales y c) Por tipos de procesos. Genera reportes de Alto Nivel para los Ejecutivos de la Empresa. 19

20 El software ControlRisk Qué es y para que sirve? Módulo 6: Administración y Análisis del registro de Eventos de Riesgo Ocurridos (RERO) en la organización. Crear y mantener actualizada una base de datos con información de los Eventos de Riesgo Ocurridos en la organización y procedimientos para asistir el análisis de cada uno de los eventos ocurridos. Esta base de datos está estructurada de acuerdo con los requerimientos del modelo Basilea II y los organismos de Supervisión del Estado (por Ejemplo, la Superintendencia Financiera de Colombia). Generar reportes de eventos de riesgo operativo ocurridos en la organización, por diferentes conceptos. Presentar información de alto nivel para consulta, análisis y soporte de las decisiones de los Ejecutivos de la Empresa, respecto a la validez, robustez y valor preventivo de la información existente en la Base de conocimientos de Gestión de Riesgos de la Empresa y a la metodología y los procedimientos definidos en el marco de referencia(framework) de la gestión de riesgos en la empresa. 20

21 Qué es y para que sirve? El software ControlRisk Módulo 7: Monitoreo del Plan de Continuidad del Negocio (Provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el Plan de retorno a la normalidad. Verifica el estado de preparación de las áreas organizacionales para operar en caso Mideel %decumplimientodelosprocedimientosdelbcp. Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia. Genera Reportes del Monitoreo. 21

22 El software ControlRisk Qué es y para que sirve? Módulo 7: El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio(BCP), para ser diligenciadas por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la empresa. Poblar / Cargar en la base de datos, los requerimientos que debe satisfacer el BCP. Verificar el estado de preparación de las áreas organizacionales para operar en caso de interrupciones. Generar Checklist Guías de Autoaseguramiento (CSA: Control Self Assessment) para medir porcentualmente (%) el cumplimiento de los procedimientos y controles del BCP. Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia. Genera Reportes del Monitoreo. 22

23 Qué es y para que sirve? El software ControlRisk Módulo 8: La aplicación soporta las actividades de Auditoría al Sistema de Gestión de Riesgos de la Organización. Auditoría al Sistema de Gestión de Riesgos ydiseñodecontrolesparacadaunoomás procesos o sistemas de información. Auditoría al cumplimiento del Framework o marco de referencia de la gestión de riesgos yalaexactituddelainformacióndelabase de conocimientos de gestión de riesgos y controles de la empresa. Auditoria al Registro de Eventos de Riesgo Ocurridos (RERO) Auditoría a la exactitud y calidad de la información de los eventos ocurridos, al seguimiento de los planes de acciones correctivas y al cumplimiento de los procedimientos de reporte, registro y análisis de eventos ocurridos. Auditoria al BCP: Pruebas de cumplimiento y sustantivas a los procedimientos y controles establecidos para el BCP. 23

24 Contenido ControlRisk: Qué es y para qué sirve?. Características del Software ControlRisk. Alineamiento con Estándares Internacionales y Nacionales de Control Interno y Gestión de Riesgos. Genera Mapas de Riesgo Inherentes y Residuales. Provee y Mantiene Bases de Conocimientos de Gestión de Riesgos. Otras Características del software que Generan Valor. Especificaciones Técnicas del Software ControlRisk. Descripción Módulos Componentes del Software ControlRisk. Beneficios de Utilizar ControlRisk. Usuarios del software ControlRisk. 24

25 El Software ControlRisk Está alineado con estándares internacionales vigentes de Gestión de Riesgos, Control Interno, Seguridad y Calidad ISO 31000: 2009 Risk Management - Principles and Guidelines. ERM, AS/NZ 4360 (NTC 5254): Gestión de Riesgos. Modelos Internacionales de Sistemas de Control Interno: COSO, COBIT. SARO: Sistema de Administración de Riesgo Operativo. SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo. SIPLAFT: Sistema de Prevención y Control de Lavado de Activos y Financiación del Terrorismo Riesgos del Sector Salud - Res 1740 de 2008 MPS ISO 27001: Sistema de Gestión de Seguridad de la Información (SGSI). ISO 20000: Best Practices de Gestión de Tecnología (ITIL). ISO 22301: 2012 (BCMS, BCP). ISO 9001, ISO 14000, ISO Para el Sector Público en Colombia. Ley 87 de y disposiciones reglamentarias. MECI: Modelo Estándar de Control Interno en entidades del sector público. 25

26 ISO Relación entre los Principios, Marco De Referencia y Proceso. 26

27 I ISO Relación entre los Principios, Marco de Referencia y Proceso. Principios de Gestión de Riesgo ( Clausula 3) 1. Crear valor. 2. Está integrada en los procesos de la organización. 3. Forma parte de la toma de decisiones. 4. Trata explícitamente la incertidumbre. 5. Es sistemática, estructurada y adecuada. 6. Esta basada en la mejor información disponible. 7. Está hecha a medida. 8. Tiene en cuenta factores humanos y culturales. 9. Es transparente e inclusiva. 10. Es dinámica, iterativa, y sensible al cambio. 11. Facilita la mejora continua de la organización. 27

28 ISO Relación entre los Principios, Marco De Referencia y Proceso. 28

29 I ISO Relación entre los Principios, Marco de Referencia y Proceso. Marco de Referencia para la Gestión de Riesgo ( Clausula 4) Es el conjunto de componentes que apoyan y sustentan la gestión de riesgos a través de toda una organización. Hay dos tipos de componentes: Fundamentos (cimientos) y las disposiciones organizacionales. Los Fundamentos (cimientos) incluyen su política de gestión de riesgos, los objetivos, el mandato y el compromiso. Las disposiciones organizacionales incluyen los planes, relaciones, rendición de cuentas, los recursos, los procesos y actividades que se utilizan para gestionar el riesgo de su organización. 29

30 I ISO Relación entre los Principios, Marco de Referencia y Proceso. Marco de Referencia para la Gestión de Riesgo ( Clausula 4) Mandato y Compromiso para la Gestión de Riesgo Hacer la gestión de los riesgos parte del sistema de gestión de la Organización. Definir la política de gestión de riesgos de la organización. Establecer indicadores de desempeño de gestión de riesgos. Formular los objetivos de gestión de riesgo. Asignar responsabilidades por la gestión de riesgos. Asignar los recursos para gestión de riesgo. Comunicar los beneficios de gestión de riesgos. Apoyar el marco de gestión del riesgo. 30

31 I ISO Relación entre los Principios, Marco de Referencia y Proceso. Marco de Referencia para la Gestión de Riesgo ( Clausula 4) Entender el contexto de su organización Evaluar y entender el contexto externo de la organización y después utilizar este conocimiento para diseñar su marco de gestión del riesgo. Evaluar y comprender el entorno externo. Evaluar y entender sus grupos de interés externos. Evaluar y entender sus influencias externas. Evaluar y entender el contexto interno de la organización y después utilizar este conocimiento para diseñar su marco de gestión del riesgo. Comprender los interesados internos de su organización. Comprender la gobernanza de la organización. Comprender las capacidades de su organización. Comprender la cultura de su organización. Comprender las normas de su organización. Comprender los contratos de su organización. 31

32 ISO Relación entre los Principios, Marco De Referencia y Proceso. 32

33 ISO 31000: Proceso de Administración del Riesgo 6.3. Establecer el Contexto 6.4. Evaluación de riesgos 6,2 Comunicación y consulta Identificación del riesgo Análisis de riesgos 6,7 Monitoreo y revisión Evaluación de riesgos 6.5 Tratamiento del riesgo 33

34 Alineamiento de ControlRisk con ERM Applying COSO s ERM: Enterprise Risk Management Integrated Framework 34

35 Definición de ERM (Administración de Riesgo Corporativo) Un proceso, efectuado por la Junta de Directores de la Entidad, la administración y otro personal, aplicado en la configuración de la estrategia y a través de la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y manejar los riesgos para estar dentro de su apetito de riesgos, para proveer confianza razonable respecto a la consecución de los objetivos de la entidad. Source: COSO Enterprise Risk Management Integrated Framework COSO. 35

36 El Cubo de ERM OBJETIVOS C O M P O N E N T E S Ambiente Interno Configuración de Objetivos Identificación de Eventos Evaluación de Riesgos Respuesta a Riesgos Actividades de Control Información & Comunicación Monitoreo Nivel de Entidad D ivision Unidades de Negocio S ubsidiarias O R G A N I Z A C I O N 36

37 Componentes de Administración de Riesgos, considerados por ERM Identificación de Eventos. Evaluación de Riesgos - Risk Assessment. Respuesta a Riesgos. Actividades de Control. Monitoreo. Source: COSO Enterprise Risk Management Integrated Framework COSO. 37

38 Alineamiento de ControlRisk con los Sistemas de Gestión de Riesgos requeridos por las Empresas 38

39 El Software ControlRisk Provee funcionalidades para implantar / Administrar Información de varios modelos de Sistemas de Gestión de Riesgos. SARO: Sistema de Administración de Riesgo Operativo. SARLAFT: Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo -. MECI (Modelo Estándar de Control Interno para las Entidades del Estado Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS Otros Modelos 39

40 Modelos de Clases o Categorías de Riesgo en CONTROLRISK SARO: Clases de Eventos de Riesgo Operativo 1. Fraude Interno. 2. Fraude Externo. 3. Fallas en la Atención a los Clientes. 4. Daños a Activos Físicos. 5. Fallas en Relaciones Laborales. 6. Fallas Tecnológicas. 7. Errores en Administración y Ejecución de Procesos. SARLAFT: Clases de Eventos De Riesgos de LA / FT 1. Riesgo Reputacional. 2. Riesgo Legal. 3. Riesgo Operativo. 4. Riesgo de Contagio 40

41 MECI: Clases de Eventos de Riesgo 1. Estratégico 2. Operativo 3. Financiero. Modelos de Clases o Categorías de Riesgo AUDIRISK :Clases de Eventos de Riesgo 4. De cumplimiento. 5. De Tecnología. 1. Hurto / Fraude. 2. Sanciones Legales 3. Pérdida de Credibilidad Pública 4. Desventaja Competitiva. 5. Costos Excesivos 6. Pérdida de Ingresos. 7. Daño / Destrucción de Activos 8. Decisiones Erróneas 41

42 Modelos de Clases o Categorías de Riesgo Riesgos en el Sector Salud - Res 1740 de 2008 MPS Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos. 2 De incrementos inesperados en los índices de Morbilidad y de costos de atención. 3. De cambios permanentes en las condiciones de salud o cambios tecnológicos. 4. De Insuficiencia de reservas técnicas. 5. De comportamiento. Administración de Riesgo Operativo Riesgo Operativo Riesgo Legal y Regulatorio. Riesgo Reputacional 42

43 Modelos de Clases o Categorías de Riesgo Clases de Eventos de Riesgos Financieros Riesgo de Mercado. Riesgo de Crédito. Riesgo de Liquidez. Riesgo Legal. Riesgo Operativo. Riesgo de Reputación. 43

44 Relación entre Clases de Eventos de Riesgo y Amenazas RIESGO CLASES DE RIESGOS SARO SARLAFT MECI AUDIRISK Costo ó Valor de las Pérdidas Originadas por Eventos no deseables denominados Riesgos / Amenazas Sanciones Legales Pérdida de Ingresos Costos Excesivos Pérdida de Credibilidad Pública Desventaja ante la Competencia Daño - Destrucción de Activos Decisiones Erróneas Fraude - Robo Agentes Generadores de Amenazas. AMENAZAS DE RIESGO (Eventos asociados a las Clases de Riesgo) Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados Vulnerabilidades Debilidades de seguridad * Frecuencia (Probabilidad) de Ocurrencia UNIDAD MINIMA DE ANALISIS * Impacto ( Estimación de las Pérdidas por cada ocurrencia) 44

45 El Software ControlRisk Considera dos (2) Estados de los Riesgos. Riesgo Potencial (Inherente): Riesgo antes de Controles. Asociado con los Eventos Negativos (Amenazas) a los que se exponen los objetivos /activos de los procesos y sistemas de la empresa, de acuerdo con su naturaleza y modo de operación. En su estimación no se tienen en cuenta los controles establecidos. Base para establecer los controles requeridos: Punto de partida para diseñar e implantar los controles / Tratamientos requeridos para reducir los riesgos inherentes a niveles aceptables. Riesgo Residual: Riesgo después de Controles / Tratamientos. Riesgo inherente asociado con los eventos negativos (Amenazas), no protegido por efecto de los controles / Tratamientos establecidos. Objeto de Tratamiento y Monitoreo Continuo: Punto de partida para monitorear periódicamente que el riesgo está dentro de niveles aceptables y el cumplimiento de los controles establecidos. 45

46 Los 7 Elementos del Riesgo Considerados por ControlRisk Que son dañados por? 2. Amenazas Explotan 4. Agentes Generadores 1. Activos Que protegen? 7. Salvaguardas (Controles) 3. Vulnerabilidades Que resultan en? 5. Exposiciones Que es mitigado por? Que es? 6. Consecuencias (Riesgo) 46

47 Que son dañados por? 2. Amenazas Explotan 4. Agentes Generadores 1. Activos Que protegen? 7. Salvaguardas (Controles) 3. Vulnerabilidades Que resultan en? 5. Exposición a Riesgos Que es mitigado por? Que es? 6. Consecuencias (Riesgo ocurrido) 47

48 Mapa de Riesgos Inherentes- Estándares ISO y AS/ NZ 4360 (NTC 5254) 48

49 Mapa de Riesgos Inherentes- Estándares ISO y AS/ NZ 4360 (NTC 5254) Medición del Nivel de Exposición / Severidad de los Riesgos Niveles de Riesgo (Inherente o Residual ) 1: Bajo 2: Moderado 3: Alto 4: Extremo Consecuencias en caso de Presentarse La ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por la organización. Se puede gestionar mediante procedimiento de rutina. En caso de presentarse no desestabiliza a la organización. En caso de presentarse ocasionaría consecuencias que superan el nivel de tolerancia de la organización. Requiere atención de la Gerencia. Debe ser gestionado con controles para disminuir su impacto o la frecuencia de ocurrencia. En caso de presentarse ocasionaría consecuencias financieras y operacionales de impacto severo o significativo para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. Su ocurrencia ocasionaría consecuencias financieras y operacionales de impacto catastrófico para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. 49

50 Matriz de Acciones de Respuesta a Riesgos Basada en Estándares ISO AS/NZ : Casi Cierto Zona de Riesgo Alta. Mitigar, transferir, distribuir Zona de Riesgo Alta. Mitigar, transferir, distribuir Zona de Riesgo Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo Extremo.. Evitar, transferir, Evitar, Mitigar, tranferir mitigar PROBABILIDAD 4: Probable 3: Posible Zona de Riesgo Moderada.Mitigar Zona de Riesgo Baja. Aceptar, mitigar el Riesgo Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Moderada. Mitigar Zona de riesgo Alta. Prevenir, transferir Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo. Evitar, Mitigar, tranferir Zona de Riesgo Extremo. Evitar, Mitigar, tranferir 2: Poco Probable Zona de Riesgo Baja. Aceptar el Riesgo Zona de Riesgo Baja. Aceptar, mitigar el Riesgo Zona de Riesgo Moderada. Mitigar Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Extremo. Evitar, Mitigar, tranferir 1: Raro Zona de Riesgo Baja.. Aceptar el Riesgo Zona de Riesgo Baja. Zona de Riesgo Moderada.. Aceptar Mitigar el Riesgo Zona de riesgo Alta. Prevenir, transferir Zona de riesgo Alta. Prevenir, transferir 1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico IMPACTO 50

51 Mapa de Riesgos Residuales Matriz de Riesgo Residual, después del Diagnóstico de los Controles Establecidos - MODELO "AUDISIS" Riesgo Inherente 4: Extremo Bajo Moderado. Alto. Extremo Extremo 3: Alto Bajo Moderado. Alto. Alto. Alto. 2: Moderado Bajo Moderado. Moderado. Moderado. Moderado. 1: Bajo Bajo Bajo Bajo Bajo Bajo 1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy Deficiente Efectividad de los Controles (Protección Existente) 51

52 Control de Riesgos Criterios de Evaluación Efectividad de los Controles Efectividad de los Controles 1: Apropiada 2: Mejorable Criterios de Evaluación / Significado de la Efectividad de los Controles Establecidos por cada Amenaza (riesgo potencial) Los controles establecidos son efectivos (eficaces y eficientes) para reducir los riesgos potenciales a nivel aceptable o tolerable de riesgo residual. Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptable o el costo beneficio es razonable. Los controles satisfacen los 3 anillos de seguridad (preventivo, detectivo y correctivo), pero no son eficientes o tienen bajo nivel de automatización 3: Insuficiente 4: Deficiente 5: Muy Deficiente Los controles utilizados no satisfacen los tres anillos de seguridad. Se necesitan controles adicionales. Los controles utilizados no satisfacen los tres anillos de seguridad y no son eficientes o tienen bajo nivel de automatización. Se necesitan controles adicionales No existen controles o los que se utilizan no sirven para controlar los riesgos potenciales. 52

53 Características El Software ControlRisk El software Provee y Mantiene actualizada una Base de Datos de Conocimientos de Gestión de Riesgos de la Empresa. El software provee una base de conocimientos que contiene best practices universales sobre métodos de priorización, análisis de riesgos y evaluación de controles, clases de riesgos, amenazas, factores de riesgo, vulnerabilidades, controles, objetivos de control, cuestionarios y guías de monitoreo. Por cada Estudio de Gestión de Riesgo realizado con ControlRisk: Se Actualiza la Base de Empresa con elementos particulares del estudio de gestión de riesgos realizado. Se Generan y articulan a la base de conocimientos, los elementos correspondientes al proceso objeto del Estudio de Gestión de Riesgos 53

54 Provee una Base de Conocimientos. El software provee una base de conocimientos que contiene best practices universales sobre métodos de priorización, análisis de riesgos y evaluación de controles, riesgos, amenazas, factores de riesgo, controles, objetivos de control, cuestionarios y guías de monitoreo. Por cada Estudio de Gestión de Riesgos realizado con ControlRisk INPUT OUTPUT. El Software ControlRisk Base de Empresa con elementos de la Base Estándar, actualizada con elementos de estudios anteriores realizados con ControlRisk. SGR por proceso: Con los resultados de cada Estudio de Gestión de Riesgos realizado con ControlRisk. Base de Empresa Actualizada - incrementada con elementos específicos del estudio de gestión de riesgos del proceso o sistema. 54

55 Bases de Conocimientos Estándar Suministradas por AUDISIS para cargar Base de Empresa CONTROLRISK Bases de Conocimiento Estándar Best Practices sobre Clases de riesgos (SARO, SARLAFT, MECI, AUDIRISK). Amenazas de TI Controles de TI * Escenarios de Riesgo de Tecnología de Información (COBIT, ISO 27001, ITIL, Aplicaciones) Objetivos de Control de TI Articulaciones entre * Categorías de Riesgo Amenazas de Riesgo Amenazas de Riesgo Controles Escenarios Objetivos de control 55

56 Construida e Incrementada Best Practices sobre con elementos del SGR de los procesos de la Empresa Clases de Riesgos Aplicables a la Empresa. CONTROLRISK Bases de Conocimientos de Empresa Base de Conocimientos Empresa Amenazas de Riesgo de la Empresa * Controles Establecidos en la Empresa * Objetivos de Control Aplicables * Articulaciones entre Compila todos los Riesgos y controles de la Empresa * Categorías de Riesgo Amenazas de Riesgo Amenazas de Riesgo Controles Escenarios Objetivos 56

57 El SAIR de cada proceso o sistema de la Empresa Entregables de la Gestión de Riesgos por cada proceso o sistema BC por EGR Con Elementos : Seleccionados. Proceso de Negocio o SIC BC con elementos del Sistema de Gestión de riesgos Adicionados. Modificados. Otros Productos Mapa / Cubo de Riesgos Diagnóstico sobre Controles existentes. Plan de Tratamiento de Riesgos Guías de Autocontrol/ Monitoreo. Resultados de Monitoreos Planes de Mejoramiento 57

58 El software ControlRisk Otras Características que generan valor. Diseñado para aplicar el enfoque Proactivo y preventivo de los Controles, en lugar del enfoque Reactivo o detrás de los hechos conocidos. Enfoque Proactivo. Los controles se establecen A priori, antes de, para reducir la posibilidad ocurrencia o impacto de los eventos indeseables (amenazas). Los controles tienen como objetivo condicionar los actos de la organización para asegurar que se ejecuten correctamente y de una manera previamente establecida. Asegurar que las operaciones se ejecuten libres de errores e irregularidades que podrían presentarse (amenazas). 58

59 El software ControlRisk Otras Características que generan valor. Diseñado para aplicar el enfoque Proactivo y preventivo de los Controles, en lugar del enfoque Reactivo o detrás de los hechos conocidos. Enfoque Reactivo (Obsoleto). Detrás de lo conocido, después de los hechos, a posteriori. Los controles tienen como objetivo detectar e informar los errores e irregularidades que se presentan en la organización. Efectividad muy baja, nula. 59

60 El software ControlRisk Otras Características que generan valor. Crea y mantiene actualizada una Base de Conocimientos de la Empresa, con elementos de los SGR de todos los procesos de la Organización. Provee criterios para asegurar el diseño / implantación de controles efectivos por cada Amenaza. Provee funcionalidades para que los dueños de los procesos, asuman responsabilidades para diseñar, mantener, monitorear y mejorar continuamente el SGR. Provee funcionalidades para que la Gerencia de Riesgos de la Organización, monitoree el funcionamiento del sistema de Administración de riesgos y ejecute seguimiento a los planes de tratamiento y las acciones de mejora. 60

61 El software ControlRisk Otras Características que generan valor. Por cada proceso, genera Indicadores de Riesgos para facilitar administración y control de riesgos. Mide la Exposición a Riesgos Inherentes y el Riesgo Residual Mide la Efectividad de los Controles Internos establecidos, por cada amenaza, actividad, categoría de riesgo, área organización y objetivo de control). Mide la efectividad del diseño y operación de los controles y el riesgo residual en tres momentos: antes de tratamientos, después de tratamientos y en cada monitoreo. Mantiene un registro histórico de las mediciones efectuadas en cada monitoreo, por cada proceso de la organización. 61

62 El software ControlRisk Otras Características que generan valor. Provee funcionalidades para que los Auditores evalúen y verifiquen la Gestión de Riesgos de la Organización en su ambiente de operación. Genera reportes exportables a varios formatos. Utiliza métodos cualitativos y cuantitativos de riesgos. de evaluación Deja Rastros de las actividades y cambios efectuados a la Base de Conocimientos de la Empresa. Por cada proceso, genera Manuales con informacion de Gestión de Riesgos, en papel y formato electrónico Software Multicompañías. 62

63 El software ControlRisk Otras Características que generan valor Perfiles de Acceso establecidos en el software. Gerente de Riesgos. Administrador de Usuarios Administrador EGR. Analista de Riesgos Auto-evaluador Administrador RERO Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoria Auditor 63

64 Contenido ControlRisk: Qué es y para qué sirve?. Características del Software ControlRisk. Especificaciones Técnicas del Software ControlRisk. Módulos Componentes del Software ControlRisk. Beneficios de Utilizar ControlRisk. Usuarios del software ControlRisk. 64

65 Especificaciones Técnicas del Software ControlRisk Motores de Bases de Datos: SQL Server. Sistema Operacional: Windows Server 2003 y 2008, Windows NT, Vista, 7, 8. Excepto las versiones Home. Memoria RAM: 2GB en servidor. Disco Duro: 8 GB Internet Explorer 6.0 o superiores Licenciamiento por cantidad de usuarios. 65

66 Productos que recibe el Usuario de ControlRisk Por la Compra de Licencias del Software Software ejecutable (CD). Manual del usuario del software (E- book). Bases de datos de conocimientos estándar. Dos ejemplos de aplicación de la metodología. Licencia de uso por tiempo indefinido. Soporte técnico y actualización de la metodología por el primer año. Llave de Software para controlar cantidad de usuarios concurrentes. 66

67 Productos que recibe el Usuario de ControlRisk Servicios Complementarios. Capacitación para el uso de la metodología y el software de administración del Riesgo y diseño de controles. Asesoría - Acompañamiento para implantar el SGR en la empresa. Servicio Anual de Actualización y Soporte Técnico del software. 67

68 A Quienes sirve el Software ControlRisk? Gerentes de Riesgos / Directores de Planeación. Jefes de Unidades de Riesgo Operativo (SARO) y Oficiales de Cumplimiento del SARLAFT. Analistas de Riesgos Operacionales. Administradores del Sistema de Gestión de Seguridad de la Información (SGSI). Administradores de Seguridad en los Servicios de Tecnología de Información. Auditores Internos / Revisores Fiscales / Auditores de Sistemas. Departamentos de Control Interno. Coordinadores de Gestión de Calidad. 68

69 Contenido ControlRisk: Qué es y para qué sirve?. Características del Software ControlRisk. Especificaciones Técnicas del Software ControlRisk. Módulos Componentes del Software ControlRisk. 1. Implantación de la Gestión de Riesgos en los Procesos y Sistemas de Información Automatizados. 2. Consolidación de Perfiles de Riesgo de la Organización. 3. El Registro de Eventos de Riesgo ocurridos (RERO). 4. Monitoreo / Auto-aseguramiento del Plan de Continuidad del Negocio (BCP). 5: Auditoría al Sistema de Administración de Riesgos. Beneficios de Utilizar ControlRisk. Usuarios del software ControlRisk. 69

70 Módulo 1: Administración de Usuarios 70

71 Que hace? Módulo 1: Administración de Usuarios Este módulo ofrece las funcionalidades necesarias para crear, modificar e inactivar cuentas de usuarios de CONTROLRISK. Habilita al usuario para cambiar su password frecuentemente. Permite asignar los permisos de acceso a los diferentes módulos del software. Permite realizar copias de seguridad de la Base de Datos de Gestión de Riesgos y Controles de la Empresa. 71

72 Módulo 1: Administración de Usuarios Los Perfiles de Acceso en CONTROLRISK son: Gerente de Riesgos. Administrador de Usuarios. Administrador de EGR (Estudios de Gestión de Riesgos). Analista de Riesgos. Auto-evaluador Monitoreo de riesgos, CSA. Administrador RERO. Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoría. Auditor. 72

73 Módulo 1: Administración de Usuarios Autenticación de Usuarios en CONTROLRISK CONTROLRISK ofrece dos opciones de autenticación de usuarios: 1) Autenticación manejada por la aplicación de Gestión de Riesgos, en la que el administrador del software deberá ingresar y administrar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operativos Windows. 73

74 Módulo 2: Configuración del Software 74

75 Que hace? Módulo 2: Configuración del Software Este módulo provee funcionalidades para configurar los estándares que será utilizados en las actividades de implantación y monitoreo de la gestión de riesgos por procesos y en los demás módulos del software. 75

76 Módulo 2: Configuración del Software Categorías de Riesgo que pueden presentarse en la Empresa (Universo de Categorías de Riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Controles Aplicables a los Eventos de Riesgo Negativos Mejores y Buenas Prácticas de Control. Relación entre Categorías de Riesgo y eventos de Riesgo. Relación entre Eventos de Riesgo Negativos y Controles. Agentes Generadores de Riesgo / Factores de Riesgo. 76

77 Módulo 2: Configuración del Software Vulnerabilidades. Activos impactados por los riesgos. Tipos de Procesos. Macroprocesos. Procesos del Modelo de Operación. Sistemas de Información Aplicaciones de Computador, entre otras. CONTROLRISK ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes recordatorio por correo electrónico. 77

78 Módulo 4: Gestión de Riesgos en los Procesos y Sistemas de Información Automatizados de la Empresa 78

79 Que hace? Módulo 4: Gestión de Riesgos por Procesos El software CONTROLRISK asiste las actividades de Identificar, analizar, evaluar, controlar y monitorear los riesgos en: 1) Los procesos del Modelo de Operación de la Empresa (Estratégicos, Misionales y de Soporte). 2) Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL). 3) En la Infraestructura de TICs - procesos Claves de TICs 4) Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos de ERPs). 5) SARLAFT 6) Riesgos del Sector Salud 7) Riesgos en la Gestión de Seguridad de la Información Dominios de ISO ) Otros sistemas de Gestión de Riesgos. 79

80 El ciclo PHVA de la Implantación del Sistema de Administración Integral de Riesgos (SGR) 80

81 Módulo 4: Gestión de Riesgos por Procesos Contexto del Estudio de Gestión de Riesgos Identificar y documentar Riesgos Inherentes Medir Riesgos Inherentes Elaborar Mapa de Riesgos Identificar Controles Establecidos Diagnóstico sobre Protección Existente Medición del Riesgo después de Controles Diseño Plan de Tratamiento Acciones de Mejoramiento Diseñar Implementar Hacer Seguimiento Emitir Recordatorios correo electrónico SARO SARLAFT MECI SGSI, COBIT, ITIL, SOX 1. Plan de Tratamiento de Riesgos Implementar Acciones de Tratamiento. Hacer seguimiento Emitir recordatorio a 2. Análisis Costo/Beneficio de los Controles 3. Definir especificaciones de los controles Base de Conocimientos de Empresa: Categorías de Riesgo, Amenazas, Controles, Objetivos de Control. Vulnerabilidades Activos Factores de Riesgo 4. Asignar responsabilidades por ejecución y supervisión de controles. Elaborar y aplicar Guías de Monitoreo / Autoaseguramiento de Controles Periodicidad Trimestral Procesar Respuestas Medir Cumplimiento de Controles y Riesgo Residual Indicadores de Protección Existente y Riesgo Residual Análisis de Incumplimientos Informar resultados de monitoreo 81

82 Fases y Etapas de la Gestión de Riesgos por Proceso o Sistema Por cada Proceso o Sistema Fase 1: Estática o Estructural del Control: Diseño e Implementación. Bloques P y H del ciclo PHVA. Fase 2: Dinámica u Operativa del Control: Implantación, monitoreo y Mejoramiento Post-implantación. Bloques V y A del ciclo PHVA 82

83 Etapas para Implantar la Gestión de Riesgos GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 1 1 Comprender Contexto Del Proceso / Sistema Actividades, Proveedores, Entradas, Salidas, Clientes, Responsables Caracterización 2 Identificar / Analizar Riesgos Inherentes Evaluar Exposición a Riesgos Clasificar y Priorizar Riesgos 3 Elaborar Mapa de Riesgos Inherentes. 3 Matrices - Cubo de Riesgos Asociar Amenazas- Objetivos de Control 4 Evaluación de Riesgos / Efectividad de los Controles Evaluar Efectividad Controles / diseñar tratamientos Seguimiento /Envío s de recordatorio 83

84 Etapas para Implantar la Gestión de Riesgos GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE Costo/ Beneficio de Controles Implantar y Autoasegurar controles Monitorear / Implantar Mejoramientos Documentar Controles Evaluar Costo/ Beneficio Responsables de Ejecutar y Supervisar Monitoreo / Autoevaluación Diseñar / Implantar Mejoras 84

85 Etapas para Implantar la Gestión de Riesgos GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE Elaborar Plan Mejoramiento Análisis No Conformidades / Debilidades Diseño Acciones de Mejora Implantar Plan de Mejoramiento Implantar Ajustes Envío E mails Alertas / Recordatorios Actualizar Manual del SGR del proceso Cambios en el Negocio Cambios Leyes/ Entorno 85

86 Módulo 4: Gestión de Riesgos por Procesos Actividades de los Procesos / Escenarios de Riesgo. ControlRisk provee listas Sugeridos de actividades (escenarios de riesgo) para los procesos de TI y sistemas de información: 1) Para los Procesos de Tecnología de Información (TI) Modelo COBIT: Actividades según el RACI. 2) Para la Infraestructura de TI: Actividades consideradas por el RACI de COBIT olosmodelosqueseutilicenenlaorganización(itil, ISO27001) 3) Para las Aplicaciones de computador: 14 Actividades del ciclo de control de los datos en los sistemas de información. Para procesos del modelo de operación de la empresa (estratégico, misionalodeapoyo): Sedebeningresaralamedidadecadaproceso. 86

87 Módulo 4: Gestión de Riesgos por Procesos Etapa 2: Identificación y Análisis de Riesgos Inherentes. Prioriza las categorías de riesgo aplicables y de estas selecciona las 3 ó 4 críticas para el proceso o sistema. Por cada categoría de riesgos crítica, identifica las amenazas que podrían presentarse. Máximo 30, Mínimo 18. Por cada amenaza se documentan: Activos impactados. Vulnerabilidades Agentes Generadores. Exposición al riesgo: Probabilidad e Impacto. Consecuencias probables Fuentes de Riesgo. Incidentes ocurridos. Propietario del Riesgo. Controles Existentes. /Requeridos 87

88 Priorización de Categorías de Riesgos 88

89 Módulo 4: Gestión de Riesgos por Procesos Medición de Riesgos Inherentes. Para medir el riesgo inherente utiliza una escala de cuatro (4) calificaciones: E: Extremo Color Rojo. A: Alto, color Naranja. M: Moderado. Color Amarillo. B: Bajo, color verde. 89

90 Mapa de Riesgos Inherentes- Estándares ISO y AS/ NZ 4360 (NTC 5254) 90

91 Matriz de Acciones de Respuesta a Riesgos Basada en Estándares AS/NZ 4360 e ISO : Casi Cierto Zona de Riesgo Alta. Mitigar, transferir, distribuir Zona de Riesgo Alta. Mitigar, transferir, distribuir Zona de Riesgo Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo Extremo.. Evitar, transferir, Evitar, Mitigar, tranferir mitigar PROBABILIDAD 4: Probable 3: Posible Zona de Riesgo Moderada.Mitigar Zona de Riesgo Baja. Aceptar, mitigar el Riesgo Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Moderada. Mitigar Zona de riesgo Alta. Prevenir, transferir Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo. Evitar, transferir, mitigar Zona de Riesgo Extremo. Evitar, Mitigar, tranferir Zona de Riesgo Extremo. Evitar, Mitigar, tranferir 2: Poco Probable Zona de Riesgo Baja. Aceptar el Riesgo Zona de Riesgo Baja. Aceptar, mitigar el Riesgo Zona de Riesgo Moderada. Mitigar Zona de riesgo Alta. Prevenir, transferir Zona de Riesgo Extremo. Evitar, Mitigar, tranferir 1: Raro Zona de Riesgo Baja.. Aceptar el Riesgo Zona de Riesgo Baja. Zona de Riesgo Moderada.. Aceptar Mitigar el Riesgo Zona de riesgo Alta. Prevenir, transferir Zona de riesgo Alta. Prevenir, transferir 1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico IMPACTO 91

92 Mapa de Riesgos Inherentes Estándar MECI Homologado a Estándares ISO AS/NZ 4360 PORBABILIDAD (Frecuencia) 3: Alta M: Moderado A: Alto 2: Moderada Bajo (Tolerable) M: Moderado E: Extremo (Inaceptable) Alto B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado 5: Leve 10: Moderado 20: Catastrófico 92

93 Módulo 4: Gestión de Riesgos por Procesos El Cubo de Riesgos del Proceso. Para el análisis y evaluación de riesgos inherentes (protección existente y riesgo residual), se construye un Cubo de Riesgos por cada proceso o sistema. Las 3 dimensiones son: Las Categorías de Riesgo Críticas identificadas para el proceso o sistema sujeto a auditoría. Las actividades ó subprocesos que constituyen o componen el proceso o sistema sujeto a auditoría. Las Áreas Organizacionales (dependencias ) y terceros que intervienen en el manejo del proceso o sistema sujeto a auditoría. 93

94 Cubo de Riesgos del Proceso o Sistema de Información Amenazas de Riesgo Ingreso de Datos Recursos Humanos Sistemas Actualización Base de Datos Contabilidad Reportes de Actualización Fraude Sanciones Legales Costos Excesivos Escenarios de Riesgo (Actividades) 94

95 Módulo 4: Gestión de Riesgos por Procesos Etapa 4: Evaluación y Tratamiento de Riesgos 95

96 Evaluación y Tratamiento de Riesgos Actividades y Objetivos de la Evaluación de Riesgos. Identificar los controles existentes por amenaza. El Software Genera Cuestionario de Controles Aplicables Best Practices. Sobre el Cuestionario, el Usuario identifica los Controles Existentes. Evaluar Efectividad de los Controles para Mitigar los Riesgos: Por Amenaza, Categorías de Riesgo, Áreas Organizacionales y Objetivos de Control. Identificar Amenazas que requieren Tratamientos. Diseñar, planear y controlar implantación de tratamientos. Seguimiento a implantación de tratamientos Genera recordatorios por correo electrónico. Elaborar Mapas de Riesgo Residual, antes y después de tratamientos. 96

97 Evaluación y Tratamiento de Riesgos Criterios para determinar y evaluar la Efectividad (protección ofrecida) de los Controles Establecidos en el proceso o sistema. Eficacia de los Controles Aplicar Enfoque de los 3 niveles / Barreras o anillos de Controles / Seguridad. Grado de Automatización y Discrecionalidad de los Controles. Eficiencia de los Controles: Costo / Beneficio. 97

98 Enfoque de las Tres Barreras (Anillos o Niveles de Seguridad) para Amenazas de Riesgo ORGANIZACIÓN INSTALACIONES A1 AMENAZAS DE RIESGO A2 BARRERA PREVENTIVA A2 BARRERA DETECTIVA A3 BARRERA CORRECTIVA PERSONAS A3 A3 DATOS HW - SW FEEDBACK FINANCIEROS 98

99 Efectividad de los Controles Los tres (3) Anillos de Seguridad. Los controles actúan sobre las amenazas de riesgo de tres maneras, interdependientes (hacen sinergia): Control Preventivo. Condicionan los actos de la organización para asegurar que ocurran de manera preestablecida Son estándares de actuación. Control Detectivo. Para detectar e informar desviaciones respecto a los controles preventivos (son alarmas que se disparan cuando se detecta que está presentándose la amenaza) y bloquear la los agentes generadores del riesgbo. Refuerzan y validan el control preventivo. Hacen pareja con el control preventivo Control Correctivo. Obliga a tomar acción correctiva para resolver el problema detectado por el control detectivo. Hacen pareja con los controles detectivos. 99

100 El enfoque de los 3 Anillos de Seguridad 100

101 Grado de Automatización / Discrecionalidad de los Controles Clases de Controles Automáticos no discrecionales (Clase A). Los controles son automatizados y se aplican sin excepciones a todo el universo. Automáticos discrecionales (Clase B). Los controles son automáticos y aplican solo a una parte del Universo. Manuales no discrecionales(clase C). Los controles Calificación 5.0 puntos 4.5 puntos 4.0 puntos son manuales y se aplican sin excepciones a todo el universo. Manuales discrecionales(clase D). Los controles son 3.5 puntos manuales y aplican solo a una parte del Universo. Criterio de Aceptación: La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que

102 Evaluación y Tratamiento de Riesgos Eficiencia de los controles por Amenaza: Según el costo / beneficio del conjunto de controles que actúan sobre cada amenaza. Eficiencia Alto 5: Muy Alta 4: Alta 3: Moderada Beneficios Moderado 4: Alta 3: Moderada 2: Baja RAZONABLE (R ) NO RAZONABLE (NR) Bajo 3: Moderada 2: Baja 1: Muy Baja Bajo Moderado Alto Costos Criterio de Aceptación: La calificación promedio de la eficiencia de los controles, por cada amenaza, deberásermayoroiguala 4.0(Razonable) 102