Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO

Transcripción

1 Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia audisis@audisis.com web site: AUDISIS: Fundada en 1.988

2 CONTENIDO QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? 4 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. 7 MODULO 2: CONFIGURACION DEL SOFTWARE. 8 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. 10 MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. 19 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). 22 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). 23 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. 25 MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE 26 USUARIOS. MODULO 2: CONFIGURACION DEL SOFTWARE. 27 MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. 28 ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) 29 ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS 29 ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA 31 ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS 32 ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES 34 ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES 35 ETAPA 7: MONITOREO DE RIESGOS Y AUTO-ASEGURAMIENTO DE CONTROLES 36 ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA 38 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

3 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN 39 PERFIL DE RIESGO INHERENTE CONSOLIDADO 40 PERFIL DE RIESGO RESIDUAL CONSOLIDADO. 43 MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) 47 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) 49 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO 51 QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? 53 SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES 53 REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK 54 PERFIL DEL PROVEEDOR DE CONTROLRISK 54 EMPRESAS QUE UTILIZAN CONTROLRISK. 54 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

4 QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? CONTROLRISK es una Aplicación WEB (Cloud Computing) para asistir las actividades de implantación, monitoreo, actualización y mejoramiento continuo de diferentes Sistemas de Gestión de Riesgos de las empresas (SARO, SARLAFT, Salud Ocupacional, ISO y otros). La implantación de la Gestión de Riesgos se desarrolla por cada uno de los procesos del modelo de operación (estratégicos, misionales, de soporte y de supervisión y control) y de los servicios de tecnología de información de la Empresa; los productos obtenidos se conservan y administran en un repositorio único denominado Base de Datos de Conocimientos de Gestión de Riesgos y Controles de la Empresa. El software además ofrece funcionalidades para asistir la ejecución de las siguientes actividades de Gestión de Riesgos en las Empresas: a) Construcción del Perfil de riesgo Consolidado de la empresa; b) Administración y Análisis del Registro de Eventos de Riesgo Ocurridos (RERO); c) Monitoreo del Plan de Continuidad del Negocio; y d) La Auditoría al Sistema de Gestión de Riesgos de la Empresa. Módulos componentes de CONTROLRISK El software se puede instalar en ambientes Web, en una red interna o en computadores stand alone. El software CONTROLRISK consta de ocho (8) módulos interrelacionados: 1) Administración de Usuarios, 2) Configuración; 3) Framework de Gestión de Riesgos; 4) Gestión de riesgos y diseño de controles por procesos y sistemas de información; 5) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

5 Consolidación del perfil de Riesgos institucional; 6) Administración y Análisis de Eventos de Riesgo Ocurridos (RERO); 7) Monitoreo del Plan de Continuidad del Negocio (BCP); y 8) Auditoría al Sistema de Gestión de Riesgos. El software CONTROLRISK satisface los requerimientos establecidos para la Gestión de Riesgos en los marcos de referencia ISO 31000:2009, ERM (Enterprise Risk Management Integrated Framework) y AS/NZ También satisface los requisitos fijados por las entidades regulatorias del Estado relativas a los sistemas de administración de riesgo operativo (SARO), administración de riesgos de Lavado de Activos y Financiación del Terrorismo (SARLAFT), del sistema de Gestión de Seguridad de la Información (ISO 27001), riesgos ambientales, riesgos de salud ocupacional, riesgos del sector salud (Resolución 1740 de 2008 MPS) y otros modelos de gestión de riesgos utilizados en la industria. Los procedimientos y guías ofrecidas por CONTROLRISK están alineadas con estándares internacionales y nacionales de Control Interno Organizacional (COSO, COBIT y MECI) y con otras buenas prácticas administrativas tales como los principios de Pareto y del Poder del 3, el enfoque Proactivo y preventivo del Control 1 en lugar del enfoque reactivo 2 o a posteriori de los controles, la implementación de los 3 anillos de seguridad como requisito para asegurar la efectividad de los controles establecidos por cada evento de riesgo potencial (amenaza) y la generación de indicadores de gestión de riesgos. Las características del Enfoque Proactivo y Preventivo de los controles, son: Los controles tienen como objetivo condicionar los actos de la organización para asegurar que se ejecuten correctamente y de una manera previamente establecida. Los controles se establecen (diseñan e implantan) para asegurar que las operaciones de la empresa se ejecuten libres de errores e irregularidades que podrían presentarse. Los controles por cada evento de riesgo negativo potencial (amenaza) se diseñan e implantan A priori, para satisfacer dos objetivos: a) Bloquear o neutralizar a los agentes generadores del riesgo (personas o actos de la 1 Enfoque proactivo del control: Los controles se establecen para asegurar que las operaciones se realicen exitosamente, conforme a lo previsto. Los controles son para reducir el riesgo inherente a niveles de riesgo residual aceptables. Se deben ejecutar a priori respecto a la ocurrencia de los riesgos. 2 Enfoque reactivo del control: Los controles se establecen con el objetivo de detectar los errores e irregularidades que podrían presentarse en las operaciones realizadas; actúan después que ocurren los eventos de riesgo. Se ejecutan a posteriori respecto a la materialización de los riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

6 naturaleza) que pueden explotar las vulnerabilidades existentes y materializar la amenaza; y b) para eliminar las vulnerabilidades que crean ambiente propicio para la ocurrencia de las amenazas. La implantación de la Gestión de Riesgos en los procesos de la Empresa se apoya en una Base de Datos de Conocimientos de Gestión de Riesgos y Controles suministrada por el proveedor del software CONTROLRISK, la cual contiene numerosas mejores y buenas prácticas sobre clases o categorías de riesgos (por ejemplo, las consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK), eventos de riesgo potenciales (amenazas) que pueden originar las clases de riesgo (por ejemplo, eventos de riesgo que podrían generar fraude interno, Sanciones Legales, etc), relaciones entre categorías de riesgo y eventos de riesgo (por ejemplo, eventos que podrían generar la clase de riesgo Fraude Interno ), controles aplicables a los eventos de riesgo negativos, relaciones entre eventos de riesgo y controles contenidos en la base de conocimientos (por ejemplo, los controles aplicables al evento Destrucción de la información por incendio accidental ) y objetivos de control aplicables a procesos de TI (COBIT e ISO 27001) y aplicaciones de computador. Esta base de conocimientos también provee otras tablas para ser pobladas o cargadas con información particular de las empresas, requerida en la Gestión de Riesgos de la Empresa, tales como macroprocesos y procesos del modelo de operación (mapa de procesos), áreas de la estructura de organización de la empresa, proveedores de la empresa, cargos, funcionarios, vulnerabilidades o debilidades de control, agentes generadores de riesgo y activos tangibles e intangibles. Con la implantación de la gestión de riesgos de cada proceso o sistema de información, la Base de Conocimientos de Gestión de Riesgos y controles crece continuamente para convertirse en un repositorio único de toda la información de riesgos y controles de la Empresa. En cada uno de los módulos del software, CONTROLRISK provee numerosos reportes resumidos y detallados con los entregables o productos de la implantación de la gestión de riesgos en los procesos y sistemas de información de la Empresa. Estos reportes son exportables a diferentes formatos de archivo (PDF, Excel, etc) e incluyen gráficas comparativas y un lenguaje cromático para los diferentes niveles de riesgos inherentes y residuales. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

7 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. Módulo Administración de Usuarios Este módulo de CONTROLRISK ofrece las funcionalidades necesarias administrar las cuentas de los usuarios de la aplicación (crear, activar, inactivar usuarios y cambiar los passwords) y asignar los permisos de acceso a los diferentes módulos del software. Los perfiles de acceso en CONTROLRISK son los siguientes: Gerente de Riesgos. Administrador de Usuarios. Administrador de EGR (Estudios de Gestión de Riesgos). Analista de Riesgos. Auto-evaluador - Monitoreo de riesgos, CSA. Administrador RERO. Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoría. Auditor. CONTROLRISK ofrece dos opciones de autenticación de usuarios: 1) Autenticación manejada por la aplicación de Gestión de Riesgos, en la que el administrador del software deberá ingresar y administrar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operativos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

8 MODULO 2: CONFIGURACION DEL SOFTWARE. Elementos de Configuración del Sistema CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades del módulo implantación y monitoreo de la gestión de riesgos por procesos y en los otros componentes del software. Por ejemplo: Criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Provee escala de valores numéricos y rangos de valor monetario para evaluar cualitativamente el impacto de los eventos de riesgo. Criterios para estimar cualitativamente la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Provee escala de valores numéricos para la frecuencia y probabilidad de ocurrencia de los eventos de riesgo. Escala de Valores y criterios para estimar cualitativamente el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

9 Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relaciones entre Categorías de Riesgo y Eventos de Riesgo. Relaciones entre Eventos de Riesgo Negativos y controles. Agentes Generadores de Riesgo / Factores de Riesgo por cada evento de riesgo. Vulnerabilidades que crean ambiente propicio para la ocurrencia de cada evento de riesgo. Activos impactados por los eventos de riesgo. Tipos de Procesos. Macroprocesos. Procesos del Modelo de Operación. Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Registro de ocurrencia de los eventos de riesgo. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

10 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. Módulo de Gestión de Riesgos por Procesos Ciclo PHVA de la Gestión de Riesgos Este módulo de CONTROLRISK ofrece funcionalidades para ASISTIR el desarrollo del ciclo PHVA (Planear, Hacer, Verificar, Actuar) de la Gestión de Riesgos en cada uno de los procesos y sistemas de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

11 Esquema del Ciclo PHVA de la Gestión de Riesgos El desarrollo del ciclo PHVA para un proceso o sistema se denomina Estudio de Gestión de Riesgos (EGR). Por consiguiente un EGR en CONTROLRISK, puede ser: a) Un proceso del modelo de operación de la empresa (estratégico, misional, de soporte y de supervisión y control); b) Un Proceso de Tecnología de Información y comunicaciones (de los modelos COBIT, ITIL y dominios de ISO 27001); c) La infraestructura de TICs y d) Un sistema de información automatizado (aplicación de computador ó Módulo de ERPs). Por cada EGR, las actividades del ciclo PHVA de la Gestión de Riesgos se desarrollan a través de ocho (8) etapas de la metodología de implantación del sistema de Gestión de Riesgos. Estas son: PLANEAR. Etapa 1: Definir el Contexto del Estudio de Gestión de Riesgos - EGR. Etapa 2: Identificar y analizar los eventos de riesgo negativos inherentes (amenazas) de mayor importancia que podrían presentarse en el proceso. Etapa 3: Elaborar Cubo de Riesgos del Proceso y definir los objetivos de control que deberán satisfacerse en las actividades del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

12 HACER. Etapa 4: Evaluación y Tratamiento de los riesgos inherentes. Evaluar la Efectividad (eficacia + eficiencia) de los controles establecidos para cada uno de los eventos de riesgo (amenazas) identificados para el EGR, y diseñar e implantar los tratamientos para los eventos de riesgo que no satisfacen los criterios de efectividad de los controles. El software provee funcionalidades para configurar y enviar correos electrónicos de recordatorio a los responsables de implantar las acciones de tratamiento, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 5: Evaluación Costo / Beneficio y documentación de especificaciones de los Controles. Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles e implantarlos en cada una de las áreas de la organización y terceros que intervienen en el manejo de las operaciones del proceso. VERIFICAR Y ACTUAR. Etapa 7: Monitoreo y Autoevaluación del sistema de Administración de riesgos. Verificar periódicamente el cumplimiento de los controles establecidos por cada evento de riesgo (por ejemplo, cada 6 meses) mediante aplicación de Guías de Auto-aseguramiento de Controles (CSA); con los resultados calcula nuevos valores de efectividad de los controles y del riesgo residual, genera indicadores de riesgo y de control. Para los eventos de riesgo riesgos que en cada monitoreo presenten brechas o incumplimiento de controles, el software asiste el diseño de Acciones de mejoramiento y la asignación de fechas de compromiso y cargos responsables de su implantación. El software provee funcionalidades para configuración y envío automático de correos electrónicos de recordatorio para los responsables de implantar las acciones de mejora, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar los reportes o entregables generados en las siete (7) etapas del ciclo PHVA con la documentación detallada del sistema de gestión de riesgos del proceso o sistema de información objeto del EGR A continuación se describe el alcance de las ocho (8) etapas del ciclo PHVA de la Gestión de Riesgos que con el software CONTROLRISK se desarrollan por cada proceso o sistema de información. Estas son: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

13 PLANEAR (P) la Gestión de Riesgos del Proceso. Etapa 1 - Definición del Contexto del Estudio de Gestión de Riesgos -EGR. El contexto es el conjunto de circunstancias que rodean o condicionan un hecho, en este caso, que describen de manera concreta y resumida, las características y el ambiente de operación del proceso de la organización (o del sistema de información o de la infraestructura de Tecnología de información y comunicaciones) al cual se desarrollará el ciclo PHVA de la gestión de riesgos. El objetivo de esta etapa es determinar el marco de referencia o contexto dentro del cual se implantará la Gestión de Riesgos en el proceso o sistema objeto del EGR. Para este fin el software asiste al Analista de Riesgos para ingresar o seleccionar información que describe el ambiente interno y externo del proceso objeto del EGR, como requisito de conocimiento para poder identificar y analizar los eventos de riesgos inherentes que podrían presentarse en las actividades y operaciones del proceso. Como ayuda para asegurar que se obtiene el conocimiento y la comprensión de los aspectos esenciales de un proceso, el software asiste el ingreso y selección de la información, en un formulario que se denomina caracterización del proceso objeto del EGR. La caracterización es un documento con espacios destinados a describir brevemente las principales características del proceso, necesarias para precisar su entendimiento, identificar y analizar los riesgos que podrían presentarse, los agentes generadores, las vulnerabilidades y otras variables útiles para la gestión de riesgos. Etapa 2- Identificación y Análisis de Riesgos. El objetivo es identificar, priorizar, documentar y analizar los eventos de riesgo negativos (amenazas), inherentes a los objetivos y activos del proceso o sistema objeto del EGR, utilizando lineamientos del estándar ISO y las categorías o clases de riesgo 3 que representan el universo de riesgos de la empresa y pueden presentarse en las operaciones de la empresa, impactar los activos de la organización y obstaculizar la satisfacción de los objetivos del Sistema de Control Interno de la empresa (según ERM estos objetivos son de 4 tipos: Estratégicos, operacionales, de confiabilidad de la información y de cumplimiento). Por cada proceso o sistema se construye un CUBO DE RIESGOS como base para diseñar el 3 Categorías de riesgo: nombres genéricos utilizados para agrupar a los eventos de riesgo o amenazas que podrían causar daños a los activos de la empresa y obstaculizar la consecución de los objetivos de la organización. Por ejemplo, para el SARO se establecen siete (7) categorías de riesgo; para SARLAFT 4 categorías y para MECI cinco (5) categorías. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

14 control de los eventos de riesgo potenciales o amenazas que pueden generar las categorías de riesgo aplicables. Las tres dimensiones del cubo de riesgos de un proceso son: a) Las categorías de Riesgos críticas en el proceso. Esta dimensión está representada por las clases o categorías de riesgos críticas, es decir, las que podrían ocasionar el mayor impacto negativo económico y operacional en el proceso. Estas se seleccionan del universo de clases de riesgo aplicables a la empresa o de las clases de riesgo utilizadas en los sistemas de administración de riesgo SARO y SARLAFT ó del modelo de control interno MECI (para el sector público colombiano); Cubo de Riesgos del Proceso o Sistema de Información b) Las Dependencias (áreas de la estructura de organización y terceros) que intervienen en el manejo de las operaciones del proceso. Los procesos son transversales en la estructura de organización de las empresas, lo cual significa que en un proceso normalmente intervienen varias áreas de la estructura de organización de la empresa o terceros (outsourcing) que desarrollan algunas actividades del proceso. En los procesos que se soportan en sistemas de Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

15 información automatizados, el área de sistemas siempre será una de las dependencias a considerar en la construcción del cubo del proceso, y c) Las actividades que constituyen el ciclo PHVA del proceso, también llamadas Escenarios de Riesgo. Está representada por las actividades o nombres de procedimientos que se constituyen el ciclo PHVA del proceso. Un proceso se define como el conjunto de actividades interrelacionadas que transforman los insumos en un producto que puede ser un bien o un servicio. Por cada categoría de riesgo crítica se identifican y documentan los eventos de riesgo negativos que podrían ocurrir y causar daño a uno o más activos del proceso (máximo 10, mínimo 6). Estos eventos de riesgo se denominan amenazas y se localizan o ubican en las tres dimensiones del cubo. Así se construye el cubo de riesgos del proceso sujeto de EGR. Aquí el objetivo es lograr una aproximación a los cubos de COSO y de ERM, asumiendo que la suma de los cubos de riesgo de los procesos individuales de la empresa se aproxime al CUBO DE RIESGOS DE LA EMPRESA. Por cada una de las amenazas identificadas para las clases de riesgo críticas, el análisis enfatiza en (5) elementos del riesgo: activos impactados, vulnerabilidades, agentes generadores, exposición (probabilidad e impacto) y consecuencias que tendría que afrontar la organización en caso de ocurrir. Con base el análisis de estos elementos, se determina el Nivel de Riesgo con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas según su nivel de riesgo se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan en gráficos y reportes para las tres (3) dimensiones del Cubo de Riesgos del proceso. Como entregables de esta etapa, el software genera el mapa de riesgos inherentes del proceso (una matriz de 5x5 en la que se localizan las amenazas según su evaluación de probabilidad de ocurrencia e impacto), el perfil de riesgos del proceso por diferentes conceptos y la definición de las alternativas de manejo de riesgos (acciones de respuesta a riesgos) a emplear para mitigar las amenazas de riesgo del proceso. Etapa 3 Documentar Mapa de Riegos Inherentes. El objetivo de esta etapa es asistir la documentación detallada del mapa de riesgos inherentes con la forma como podrían ocurrir las categorías de riesgo críticas del proceso, en tres matrices que despliegan el Cubo de Riesgos del proceso: a) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

16 categorías de riesgo Vs Actividades del proceso; b) categorías de riesgos Vs dependencias y c) actividades del proceso Vs dependencias. También asiste la definición de los objetivos de control que se deberán satisfacer en cada una de las actividades (escenarios de riesgo) del proceso objeto del Estudio de Gestión de Riesgos (EGR) y su relacionamiento con las amenazas del proceso. HACER (H) o Implementar la Gestión de Riesgos del Proceso. Etapa 4 Evaluación de Riesgos y Diseño de Tratamiento de Riesgos. En esta etapa el software asiste la elaboración de un cuestionario o checklist 4 para identificar los controles que deberían existir para las amenazas del proceso, como ayuda para establecer los controles utilizados en las operaciones y evaluar su efectividad, es decir, su capacidad para mitigar ó disminuir el riesgo de las amenazas a un nivel de riesgo residual aceptable. También asiste la realización de un diagnóstico de la efectividad (protección) que ofrecen los controles establecidos por cada amenaza y con los resultados se genera, en forma gráfica y descriptiva, el Mapa de Riesgos Residuales del proceso antes de tratamientos. La evaluación de la efectividad (eficacia + eficiencia) de los controles por cada amenaza se realiza utilizando tres criterios: a) Satisfacen al menos una vez los tres anillos de seguridad y estos hacen sinergia; b) Los controles son eficaces según el nivel de automatización y discrecionalidad; y c) la relación costo / beneficio de los controles sea razonable (costo no mayor del 5% del valor de los activos protegidos). La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). A cada uno de estos niveles de efectividad de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (Si efectividad 1- Apropiada; 2- Moderado (Si efectividad 2 - mejorable); 3- Alto (Si efectividad 3- Insuficiente); 4: Extremo (Si efectividad 4- Deficiente ó Si Efectividad 5- Muy deficiente). Los resultados obtenidos de la evaluación de la efectividad y el riesgo residual por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. 4 Este checklist es una forma de Control Self Assessment CSA- para ser diligenciado por los dueños o responsables del proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

17 Para las amenazas que presentan riesgo residual diferente de BAJO, el software asiste el diseño de las acciones de Tratamiento necesarias para ajustar la efectividad de los controles del proceso en concordancia con los criterios de evaluación que no se satisfacen. Como entregables esta etapa, el software provee el diseño de Tratamientos de Riesgos y el plan para su implementación y seguimiento; el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Etapa 5- Análisis Costo/ Beneficio y Especificaciones de los Controles. El objetivo de esta etapa es definir el alcance de los controles diseñados o seleccionados en la etapa 4, establecer o calcular la relación costo / beneficio de los controles por cada amenaza de riesgo y documentar las especificaciones de cada uno de los controles del proceso o sistema sujeto al estudio de gestión de riesgos. Etapa 6 - Asignación de Responsabilidades por la Ejecución y Supervisión de los Controles. En esta etapa, el software asiste la asignación de cargos responsables de ejecutar y supervisar los controles establecidos para las amenazas de riesgo del proceso o sistema sujeto a EGR, en cada una de las áreas organizacionales y terceros que intervienen en las operaciones del proceso. Para los controles manuales, se asignan responsables de ejecutar y supervisar los controles; para los controles automatizados, que son ejecutados por la máquina o el software de las aplicaciones, se asignan responsables únicamente para supervisar el funcionamiento de los controles. Además genera Guías de Autocontrol para el proceso o sistema objeto del EGR, con los controles asignados por cargo, para su ejecución y/ supervisión. VERIFICAR (V) para monitorear la Gestión de Riesgos y ACTUAR (A) para efectuar mejoras a la Gestión de Riesgos. Etapa 7- Monitoreo / Auto aseguramiento de Controles y Continuo. Mejoramiento Esta etapa provee funcionalidades para asistir la planeación, ejecución y evaluación de resultados del monitoreo periódico (por ejemplo semestral) de la operación y Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

18 aplicación continua de los controles establecidos en la organización para los eventos de riesgo (amenazas) a los que se expone el proceso. El monitoreo se realiza para todas las amenazas y controles establecidos, en cada una de las dependencias que intervienen en el proceso. El software produce un checklist de controles o Guía de Autoevaluación de Controles (CSA: Control self assessment) para apoyar la auto-verificación de los controles por amenaza en cada una de las dependencias que intervienen en el proceso y asiste el procesamiento de las respuestas para generar indicadores de Gestión de Riesgos sobre la efectividad (protección existente) de los controles según su cumplimiento y riesgo residual por amenaza y por cada una de las dimensiones del cubo de riesgos del proceso: Áreas Organizacionales, Escenarios de Riesgo y Categorías de Riesgo El cumplimiento y efectividad de los controles por cada amenaza según los resultados del monitoreo se mide con una escala de cinco calificaciones, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). A cada uno de estos niveles de cumplimiento de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (cumplimiento superior al 80%); 2- Moderado (cumplimiento entre el 60% y 80%), 3- Alto (cumplimiento entre 40% y 60%): 4: Extremo (cumplimiento entre 20% y 40%); y 5- Extremo (cumplimiento entre 0% y 20%) Para las amenazas que presenten porcentaje de cumplimiento menor del 80%, el software asiste el diseño de las acciones de mejoramiento necesarias para ajustar y corregir la gestión de riesgos del proceso en concordancia con las debilidades o deficiencias identificadas en el monitoreo y los cambios en las operaciones de negocio y el soporte tecnológico. El software provee funcionalidades para asistir el diseño y seguimiento del Plan de Mejoramiento de la Gestión de Riesgos del EGR de los eventos de riesgo que presentan porcentaje de cumplimiento de los controles inferior al 80%, planear su implementación (fechas de compromiso y responsables de implementarlas y supervisarlas) y ejecutar el seguimiento a su implantación. Como ayuda en el seguimiento de las acciones de mejoramiento el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

19 Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar la documentación detallada del sistema de gestión de riesgos de cada proceso o sistema de información objeto del EGR. MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. Este módulo provee funcionalidades para CONSOLIDAR a nivel Empresa los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya desarrollado el ciclo PHVA de la gestión de riesgos en el módulo 4 de CONTROLRISK, en la forma como se ilustra en la siguiente figura. Funcionalidades del Módulo de Consolidación del Perfil de Riesgo Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

20 El Perfil de Riesgo Inherente Consolidado de la Organización Consolidado del Perfil de Riesgo Inherente Categorías de Riesgo Es la descripción de la distribución general de los riesgos a través de la Empresa, en los procesos en los que se ha implantado el ciclo PHVA de la Gestión de riesgos. El software presenta el perfil de riesgos por tres conceptos: a) Por Categorías de Riesgo del universo de riesgos de la empresa y dentro de estas por procesos; b) por Areas Organizacionales y dentro de estas por categorías de riesgo y c) Para todos los procesos de la organización, por tipos de Procesos (Estratégicos, Misionales y de Soporte). Por cada concepto el software presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) en cada proceso. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

21 El Perfil de Protección Existente y Riesgo Residual Consolidado de la Organización Consolidado del Perfil de Riesgo Residual Procesos Es la descripción de los niveles de protección que ofrecen los controles establecidos que se están aplicando y del riesgo residual, en los procesos a los cuales se ha implantado la gestión de riesgos. Con la información del último monitoreo efectuado, por cada proceso el software presenta el porcentaje promedio de la Protección Existente PE (% de cumplimiento de los controles establecidos) y del Riesgo Residual RR (el complemento a 100% de la PE), calculado con el porcentaje de cumplimiento de los controles de las amenazas de cada proceso, obtenidos del último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Esta información se puede visualizar organizada por tres conceptos: a) Para todos los procesos que tienen implementada la gestión de riesgos; b) Por categorías de Riesgo y dentro de estas por procesos y c) Por áreas organizacionales y dentro de estas por categorías de riesgo. El software genera reportes detallados y de Alto Nivel para los Ejecutivos de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

22 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). Formulario de Ingreso de Registro de Eventos de Pérdida Ocurridos CONTROLRISK provee funcionalidades para asistir el registro (ingreso) de información de los eventos de riesgo ocurridos en cualquier sitio de la empresa, el cargue de estos eventos (masivo o individualmente) en la base de datos de Eventos de Riesgo Ocurridos en la organización y procedimientos para conducir el análisis de cada uno de los eventos ocurridos. Esta base de datos está estructurada de acuerdo con los requerimientos del modelo Basilea II y de los organismos de supervisión del Estado (por ejemplo, la Superintendencia Financiera de Colombia). Produce reportes impresos y en pantalla, con información detallada y resumida para consulta, análisis a alto nivel y soporte de la decisiones de los Ejecutivos de la Empresa, respecto a la validez, robustez y valor preventivo de la información existente en la Base de Conocimientos de Gestión de Riesgos y Controles de la Empresa y de la metodología y los procedimientos definidos en el marco de referencia (framework) de la gestión de riesgos en la empresa. Para el análisis de los eventos de riesgo ocurridos, CONTROLRISK provee funcionalidades que ayudan al analista de eventos ocurridos a contrastar las características de ocurrencia del evento con la información de la Base de conocimientos de la Gestión de Riesgos y Controles de la Empresa cargada durante la implementación de la gestión de riesgos. En esta base de conocimientos está disponible la información del inventario de eventos de riesgo negativos que podrían presentarse (amenazas), junto con las vulnerabilidades que podrían generar el ambiente propicio para la Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

23 ocurrencia del evento, los agentes generadores del riesgo que podrían explotar esas vulnerabilidades, la acción de respuesta a riesgos implementada y los controles establecidos para gestionar el evento de riesgo. Con los resultados del análisis de cada evento ocurrido, la Gerencia y los Administradores de riesgos de la Empresa pueden tomar decisiones respecto a las medidas correctivas necesarias para mejorar el valor preventivo de la información de la base de conocimientos y evitar que el evento de riesgo vuelva a presentarse. Cuando un evento de riesgo ocurrido no estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que durante el proceso de implementación de la gestión de riesgo se omitió la identificación de ese evento. El evento debe adicionarse a la base de conocimientos de Gestión de Riesgos con la información sobre agentes generadores del riesgo, vulnerabilidades que permitieron su ocurrencia, la acción de respuesta que ha de implementarse, los controles requeridos y el cargo asignado como responsable o dueño del riesgo. Cuando un evento de riesgo ocurrido estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que los controles establecidos no fueron efectivos para controlar el evento de riesgo o que los controles fueron omitidos en forma accidental o intencional por las personas asignadas para ejecutarlos y supervisarlos. La Gerencia debería revisar la opción de respuesta a riesgos asignada al evento ocurrido y decidir si deben modificarse los procedimientos de gestión para este evento. MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). Módulo Plan de Continuidad del Negocio Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

24 Configuración de Elementos del Módulo BCP CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Algunas funcionalidades de este módulo son: Poblar / Cargar en la base de datos, los requerimientos que debe satisfacer el BCP. Verificar el estado de preparación de las áreas organizacionales para operar en caso de interrupciones. Generar checklist Guías de Autoaseguramiento (CSA: Control Self Assessment) para medir porcentualmente (%) el cumplimiento de los procedimientos y controles del BCP. Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia. Genera Reportes del Monitoreo. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

25 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. Módulo Auditoría al Sistema de Gestión de Riesgos CONTROLRISK ofrece funcionalidades para que los auditores internos o externos puedan evaluar y verificar el funcionamiento de los siguientes componentes del sistema de Administración de Riesgos (SAR): a) Gestión de Riesgos y Diseño de controles para uno más procesos o sistemas de información. Auditoría al cumplimiento del Framework o marco de referencia de la gestión de riesgos y a la exactitud y calidad de la información de la base de conocimientos de gestión de riesgos y controles de la empresa. b) Registro de Eventos de Riesgo Ocurrido (RERO) Auditoria a la exactitud y calidad de la información de los eventos ocurridos, al seguimiento de los planes de acciones correctivas y al cumplimiento de los procedimientos de reporte, registro y análisis de eventos ocurridos. c) Auditoría al Plan de Continuidad del Negocio (BCP). Pruebas de cumplimiento y sustantivas a los procedimientos y controles establecidos para el BCP. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

26 Pasos para ejecución de la Auditoría a cada componente del SAR La auditoría a cada componente del SAR, consta de cuatro pasos, que deben ser ejecutados secuencialmente: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE USUARIOS. Este módulo de CONTROLRISK ofrece todas las funcionalidades necesarias para crear usuarios de la aplicación y asignar los permisos que cada uno de ellos va a tener dentro del sistema. Figura 44: Listado con Usuarios del Sistema CONTROLRISK ofrece dos opciones de autenticación: 1) Autenticación manejada por el sistema, en ella el administrador del software deberá ingresar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operáticos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

27 MODULO 2: CONFIGURACION DEL SOFTWARE. CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades de implantación y monitoreo de la gestión de riesgos por procesos y en los demás módulos del software. Por ejemplo: Figura 45: Elementos de Configuración del Sistema Escala de valores numéricos, rangos de valor monetario y criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Escala de valores numéricos cualitativos y criterios para estimar la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Escala de Valores y criterios para estimar el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relación entre Categorías de Riesgo y Eventos de Riesgo. Relación entre Eventos de Riesgo Negativos y Controles. Agentes Generadores de Riesgo / Factores de Riesgo. Vulnerabilidades. Activos impactados por los riesgos. Tipos de Procesos Macroprocesos. Procesos del Modelo de Operación. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

28 Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Eventos de riesgo ocurridos. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. La figura 3 resume las actividades del ciclo PHVA que se ejecutan en este módulo para identificar, medir, controlar y monitorear los riesgos de cada proceso o sistema de información sujeto a estudio de gestión de riesgos (EGR). Figura 3: Implementación del Ciclo PHVA para los Estudios de Gestión de Riesgos Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

29 La metodología para la implementación del SGR por cada uno de los procesos del modelo de operación, los procesos de Tecnología de Información (TI) y los sistemas de información automatizados de la organización, consta de ocho (8) etapas que se muestran en el menú principal del módulo, en la figura 4 a continuación. Figura 4: Etapas de implantación del SGR por proceso o sistema ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) CONTROLRISK provee ayudas para definir el contexto o conjunto de circunstancias que caracterizan el proceso o sistema al cual se aplicará la metodología de gestión de riesgos y diseño de controles. Presenta formatos para ingresar datos de caracterización del proceso o sistema (documento que describe las características generales del proceso, esto es, los rasgos dife renciadores del mismo) y elaborar una Ficha Técnica con el resumen del ambiente tecnológico, administrativo y operativo. Figura 5: Opciones de la Etapa 1 de la Metodología ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS CONTROLRISK ofrece funcionalidades para aplicar los principios de Pareto y del Poder del 3 para seleccionar las tres categorías de riesgos críticos sobre las que enfatizarán las demás etapas de la administración de riesgos, como se muestra en la figuras 6. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

30 Figura 6: Resultados de la Priorización de Categorías de Riesgo según el Método Churman Ackoff CONTROLRISK ofrece opciones para identificar y documentar las amenazas de riesgo 5 asociadas con cada una de las categorías de riesgos críticos, apoyándose en una base de conocimientos que contiene más de una centena de amenazas típicas contra la seguridad. La figura 8 muestra el formulario para documentar las amenazas. Figura 8: Formulario para Documentación de Amenazas Por cada amenaza se documentan los siguientes elementos del riesgo: activos impactados; vulnerabilidades; agentes generadores; Severidad del riesgo /exposición (probabilidad, impacto y consecuencias); Fuentes del riesgo; propietario del riesgo /incidentes ocurridos. 5 La Expresión Amenaza de Riesgo tiene el mismo significado que Eventos de riesgo en el modelo COSO ERM, es decir, los eventos accidentales o intencionales que en caso de presentarse ocasionan daños o pérdidas a los activos y objetivos del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

31 El software provee funcionalidades para medir (evaluar) la probabilidad de ocurrencia y el impacto de las amenazas en caso de presentarse, estimar el riesgo inherente, elaborar mapas e riesgo inherente y determinar las alternativa de manejo del riesgo por cada amenaza (aceptar, reducir, evitar, transferir, distribuir). Ofrece dos alternativas para medir el riesgo: a) El estándar AS-NZ 4360 (matrices de 5x5) b) el Estándar MECI (Matrices de 3x3). Los valores de medición cualitativa del riesgo inherente utilizada por CONTROLRISK se muestran a continuación en la figura 9. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) Significado Evaluación de Severidad del riesgo inherente El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para la reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la 4: Extremo (Inaceptable) organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 9: Escala de medición del Riesgo Inherente ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA En esta etapa CONTROLRISK ofrece funcionalidades para elaborar y documentar el Mapa / Cubo de Riesgos Inherentes del proceso o sistema, el cual se desdobla en tres matrices: a) Actividades o escenarios de riesgo del proceso Vs Clases de Riesgos Críticos; b) Dependencias y terceros que intervienen en el proceso Vs Clases de Riesgos Críticos y c) Actividades del proceso Vs Dependencias y terceros que intervienen en el proceso, como se muestra en la pantalla de la figura 10. Figura 10: Menú principal para Generar el Mapa de Riesgos Inherentes Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

32 CONTROLRISK asiste al Analista de Riesgos en la definición o asignación de objetivos de control que deberán ser satisfechos por los controles en cada una de las actividades (escenarios de riesgos) del proceso o sistema de información, apoyándose en la lista que ofrece la base de conocimientos suministrada por el proveedor. También ayuda a relacionar estos objetivos con las amenazas de riesgo identificadas. ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS En esta etapa CONTROLRISK asiste al analista de riesgos / diseñador de controles en la identificación y documentación de los controles (medidas de seguridad, salvaguardas o contramedidas) establecidos o requeridos en la organización para mitigar las amenazas de cada proceso o sistema. Para este fin se apoya en una base de conocimientos que contiene más de 450 best practices de control universalmente reconocidas. El menú de opciones de esta etapa se muestra en la figura 11. Figura 11: Menú de Etapa 4 - Evaluación y Tratamiento de Riesgos Con base en los controles identificados, CONTROLRISK mide la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo. Para este fin aplica tres criterios de evaluación: a) Se satisfacen los tres anillos o niveles de seguridad; b) El nivel de automatización de los controles es aceptable y c) la eficiencia (costo / beneficio) de los controles utilizados es razonable. Las convenciones para evaluar Protección Existente (PE) y el Riesgo Residual (RR) por cada amenaza se muestran en la figura 12. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

33 Figura 12: Evaluación de la Protección ofrecida por los controles establecidos Con los resultados de la evaluación, CONTROLRISK genera reportes, estadísticas y gráficos con de la Situación Actual de Protección Ofrecida, por diferentes conceptos (por amenazas, escenarios de riesgo, áreas organizacionales, categorías de riesgo y objetivos de control, como se muestra en la figura 13 a continuación. Figura 13: Situación Actual de Protección Ofrecida Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

34 Para las amenazas que presenten riesgo residual superior al máximo aceptable, CONTROLRISK asiste la elaboración del Plan de Tratamiento de Riesgos, como se muestra en la figura 14. Además, ofrece opciones y formatos para gestionar la planeación, implantación y seguimiento del plan, a través de recordatorios por correo electrónico y control de las acciones requeridas. Figura 14: Acciones e tratamiento de las Amenazas con riesgo residual superior al aceptable ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES El software CONTROLRISK provee opciones para determinar el alcance de los controles en los componentes del cubo de riesgos (actividades del proceso, áreas organizacionales y categorías de riesgo críticas), realizar el análisis cuantitativo de los riesgos y los controles de cada proceso o sistema y completar la documentación con las especificaciones de los controles. El menú de opciones de esta etapa se muestra en la figura 15. Figura 15: Opciones de Etapa 5 de la Implantación del SGR CONTROLRISK presenta formatos en pantalla para evaluar en forma cuantitativa el costo / beneficio de los controles por cada amenaza de riesgo, como se muestra en la figura 16. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

35 Figura 16: Análisis Cuantitativo del Costo / Beneficio de los Controles ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES CONTROLRISK provee funcionalidades para asignar cargos responsables de ejecutar y supervisar los controles en cada área organizacional (dependencia) que interviene en el manejo de la información de cada proceso o sistema. Como resultado genera un reporte de Guías de Autocontrol por cargos, con los controles que corresponda ejecutar y/o supervisar a cada uno, como se muestra en la figuras 17. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

36 Figura 17: Guía de Autocontrol por Dependencias ETAPA 7: MONITOREO DE RIESGOS CONTROLES Y AUTO-ASEGURAMIENTO DE En esta etapa el software provee funcionalidades para verificar que los controles establecidos se estén aplicando y sean efectivos para reducir los riesgos a los niveles de riesgo residual aceptables en la organización. 21/09/2015 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

37 Figura 18: Menú Etapa 7 Monitoreo de la Protección Existente y el Riesgo Residual El software genera Guías de Auto-aseguramiento (cuestionarios) por cada área organizacional y provee opciones para ingresar las respuestas, procesarlas, generar reportes y gráficos con los resultados del monitoreo. Como resultado del monitoreo, CONTROLRISK genera mediciones cualitativas de la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo en cada área organizacional (dependencia), actividad y categoría de riesgo del proceso o sistema. Luego consolida el perfil de riesgo por categorías de riesgo como se muestra en la figura 19. Figura 19: Perfil de Riesgo Residual, después de cada monitoreo CONTROLRISK asiste en el análisis de resultados de la Auto-evaluación de Controles y el diseño de los Planes de Mejoramiento a que haya lugar. Genera formatos y gráficos como el que se muestra en la figura 20. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

38 Figura 20: Análisis de No conformidades detectadas en cada monitoreo El software CONTROLRISK crea y mantiene actualizado un registro histórico de la evolución de la protección existente y del riesgo residual, con las últimas cinco (5) mediciones efectuadas en cada área organizacional (dependencia), escenario y categoría de riesgo. Genera reportes por pantalla e impresos como el que se muestra en la figura 21. Figura 21: Histórico de Monitoreos por Área Organizacional Cada vez que se realice monitoreo, CONTROLRISK ofrece formatos y opciones para elaborar un Plan de Mejoramiento para las amenazas que presenten un nivel de riesgo residual superior al máximo aceptable. También ofrece ayudas para diseñar y ejecutar seguimiento a las acciones de mejoramiento emprendidas como resultado de cada monitoreo. ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA CONTROLRISK ofrece opciones para generar el Manual de Riesgos y Controles de cada proceso o sistema de información. Este manual está conformado por los resultados de cada una de las etapas de la metodología CONTROLRISK y es exportable a Word (Rich Text Format), Excel, PDF, Web, CSV y Tiff para ser modificado en su forma y contenido por los usuarios. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

39 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN Este módulo provee funcionalidades para generar información consolidada de los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya realizado estudios de gestión de riesgos (EGR) utilizando CONTROLRISK, en la forma como se ilustra en la Figura 22. Figura 22: Funcionalidades del Módulo de Consolidación del Perfil de Riesgo El Perfil de Riesgo Inherente de la Organización, presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) de los procesos de la organización a los cuales se haya efectuado estudios de gestión de riesgos. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. El Perfil de Riesgo Residual de la Organización, por cada proceso al cual se haya efectuado estudio de gestión de riesgos, presenta los porcentajes promedio de Protección Existente (PE) y Riesgo Residual (RR) obtenidos en el último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

40 PERFIL DE RIESGO INHERENTE CONSOLIDADO CONTROLRISK ofrece funcionalidades para consolidar el Perfil de Riesgo Inherente de la organización, por tres conceptos o vistas (ver figura 23): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora). b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Figura 23: Módulo de Consolidación del Perfil de Riesgo Inherente Por cada uno de estos conceptos genera información consolidada y gráficas en dos niveles: 1) cantidad de amenazas, el valor promedio de riesgo inherente y su significado, 2) cantidad total de amenazas, cantidad de amenazas localizadas en cada nivel riesgo inherente (Muy alto, alto y aceptable) y los rangos de pérdida estimada de las amenazas localizadas en estos niveles de riesgo inherente. La escala de medición del riesgo usada por CONTROLRISK se describió en la figura 9. a) Consolidación del perfil de riesgo inherente Presentada por procesos. Nivel 1: Para los procesos que correspondan a los tipos de procesos (estratégico, misional, de soporte) o para todos los procesos a los que se haya realizado estudio de gestión de riesgos, CONTROLRISK muestra: cantidad de amenazas, riesgo inherente consolidado y significado del riesgo inherente consolidado (Figura 24). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

41 Figura 24: Consolidación de Riesgo Inherente por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1 que sea seleccionado, CONTROLRISK muestra las categorías de riesgo críticas del proceso, así como el total de amenazas y su respectivo valor y significado de riesgo inherente. Figura 25: Consolidación de Riesgo Inherente por Procesos y Categorías de Riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta el valor y significado de riesgo inherente (Figura 26). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

42 Figura 26: Consolidación de Riesgo Inherente por Procesos, Categorías de Riesgo y Amenazas Nivel 4: Por cada uno de los procesos a los cuales se les haya realizado estudio de gestión de riesgos, CONTROLRISK muestra la cantidad de amenazas localizadas en cada nivel de riesgo inherente (Muy alto, Alto y Aceptable) (Figura 27) Figura 27: Perfil de Riesgo Inherente Consolidado por proceso Al dar clic sobre los datos de la columna de color asociado a cada nivel de riesgo inherente (muy alto, alto y aceptable), CONTROLRISK muestra en reportes y gráficos los rangos de pérdida estimada de las amenazas localizadas en el nivel de riesgo inherente Figura 28) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

43 Figura 28: Rangos de pérdida asociada al nivel de Riesgo Inherente b) Consolidación del perfil de riesgo inherente presentada por categorías de riesgos La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. c) Consolidación del perfil de riesgo inherente presentada por Áreas Organizacionales La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. PERFIL DE RIESGO RESIDUAL CONSOLIDADO. CONTROLRISK ofrece funcionalidades para consolidar el Perfil de riesgo Residual de la organización, por tres conceptos o vistas (ver figura 29): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora) o para todos los procesos de la entidad, con opciones que muestran en la pantalla de la Figura 29. b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

44 Figura 29: Módulo de Consolidación de Perfil de Riesgo Residual por Tipo de Proceso a) Consolidación del perfil de riesgo residual - Vista por procesos Nivel 1: Por cada proceso de la organización, CONTROLRISK muestra la cantidad de amenazas y los porcentajes de protección existente consolidada y riesgo residual consolidado, como se muestra en la figura 30. Figura 30: Consolidación de Riesgo Residual por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1, CONTROLRISK muestra las categorías de riesgo críticas del proceso sobre las cuales se enfatizó el EGR en el módulo 1. Por cada categoría muestra cantidad de amenazas y porcentajes de protección existente y riesgo residual. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

45 Figura 31: PE y RR por proceso y categorías de riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta los porcentajes de PE y RR (Figura 32). Figura 32: PE y RR por proceso, categorías de riesgo y Amenaza Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

46 Nivel 4: Por cada proceso de la organización del nivel 1, CONTROLRISK muestra la cantidad de amenazas en niveles de riesgo residual Muy Alto, Alto y Aceptable (Figura 33). Figura 33: Perfil de Riesgo Residual consolidado por Procesos Haciendo clic sobre la cantidad de amenazas asociadas a cada nivel de riesgo residual (Muy alto, Alto y Moderado) CONTROLRISK muestra los rangos de pérdidas estimadas de las amenazas asociadas al nivel de riesgo seleccionado, como se muestra en la Figura 34. Figura 34: Rangos de Pérdida por Amenazas Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

47 b) Consolidación del perfil de riesgo residual - Presentado por categorías de riesgo La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. c) Consolidación del perfil de Riesgo Residual - vista por áreas organizacionales (dependencias) La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) Figura 35: Menú principal del Módulo para el Registro de Eventos Ocurridos CONTROLRISK provee funcionalidades para crear y mantener actualizado una base de datos con el registro de eventos de pérdida por riesgo ocurridos, de acuerdo con las especificaciones del modelo Basilea II. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

48 Figura 36: Ingreso de registro de Eventos de pérdida Ocurridos CONTROLRISK provee funcionalidades para analizar los eventos de riesgo ocurridos, de tal forma que la entidad pueda tomar las medidas necesarias para evitar que se vuelva a presentar la ocurrencia del evento figura 37. Figura 37: Análisis evento de Riesgo Operativo Ocurrido Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

49 CONTROLRISK permite obtener una serie de reportes de eventos de pérdida ocurridos, por diferentes conceptos tales como línea de negocio, tipos de evento de pérdida (categorías de riesgo y cuantías, entre otros, como se muestra en las figura 38). Figura 38: Opciones de reportes del Módulo de Evento de Riesgo Operativo MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Figura 39: Menú Principal del Módulo de BCP Estas guías deben aplicarse periódicamente, al menos una vez cada seis meses, según decisión que corresponde tomar a la Gerencia de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

50 Figura 40: Pasos de Monitoreo al Plan de Continuidad del Negocio CONTROLRISK presenta los resultados del monitoreo organizados por tipos de área, áreas organizacionales, actividades claves del BCP y las categorías de riesgo definido por el modelo de riesgos de la entidad, como se ilustra en la figura 41. Figura 41: Cumplimiento de Requerimientos del BCP por Áreas Organizacionales Los resultados del monitoreo se presentan en tres (3) matrices con la medición de la exposición a riesgos según el porcentaje de cumplimiento de los requerimientos establecidos para el BCP. Se producen tres matrices: a) Por Tipos de Áreas (Alta Gerencia, Administración de Tecnología, Áreas de la Dirección General); b) por áreas organizacionales; y c) por actividades clave del BCP. Cada matriz muestra las prioridades (ranking) riesgos, por filas y columnas, así: para el plan de tratamiento de a) Categorías de riesgo y tipos de áreas. b) Categorías de riesgo y áreas organizacionales Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

51 c) Categorías de riesgo y actividades clave del BCP. La matriz de Categorías de riesgo Vs Tipos de áreas se ilustra en la figura 42. Figura 42: Exposición a Riesgos de Continuidad de Negocio por Tipos de Área MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO CONTROLRISK ofrece funcionalidades para realizar la auditoría a los siguientes componentes del sistema de Administración Integral de Riesgos (SAIR): a) Módulo 1- Gestión de Riesgos y Diseño de controles por proceso o sistema de información. b) Módulo 3- Registro de Eventos de Riesgo Ocurrido (RERO). c) Módulo 4 Auditoría al Plan de Continuidad del Negocio (BCP). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

52 Figura 43: Opciones de Auditoría Por cada componente del SAIR, la auditoría consta de cuatro pasos, que deben ser ejecutados secuencialmente, ellos son: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

53 A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE CONTROLRISK? La metodología del software CONTROLRISK está orientada a apoyar el trabajo de: Gerentes y Analistas de Riesgos Administradores de Seguridad en Tecnología de Información Auditores Internos y de Sistemas para auditar la Gestión de Riesgos. Funcionarios con responsabilidades de Diseño / Evaluación del Sistema de Control Interno. Gerentes y Analistas de Proyectos Funcionarios de Gestión de la Calidad o de Organización y Métodos. Equipos de Desarrollo de Sistemas. QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? Por cada licencia monousuario o en red el usuario de CONTROLRISK recibe los siguientes elementos: Un CD-ROM que contiene: El software ejecutable CONTROLRISK Manual del usuario (E-book). Las bases de datos de conocimientos estándar. Dos ejemplos desarrollados con CONTROLRISK para la Empresa MORRAOS DE COLOMBIA (encajada en la estructura del software, para propósitos de prueba y entrenamiento). La licencia de uso del software a perpetuidad, por tiempo indefinido. SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y actualización, el cual incluye soporte telefónico o vía internet al usuario para resolver inquietudes relacionadas con la operación y funcionamiento de la metodología CONTROLRISK. Los desarrolladores de CONTROLRISK para Windows se encuentran en constante interacción con los usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios vía Internet en su página o suministradas en formato CD ROM directamente. El contrato anual de soporte técnico y actualización incluye: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

54 Soporte técnico ofrecido por funcionarios de AUDISIS especializados en CONTROLRISK. Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de la metodología cada vez que se produzcan. Por el primer año, contado desde la fecha de compra, el contrato de soporte técnico no tiene costo para el usuario de CONTROLRISK. REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK Motor de Bases de Datos: SQL Server versión 2005 y posteriores. Herramienta de Desarrollo: Visual Studio. Idioma español en pantallas y manuales. Sistema Operativo: Windows 2000, Windows Server 2003 y 2008, NT, Vista, Windows 7. Excepto las versiones Home. Memoria RAM: 1 GB. Capacidad de Disco: 20 GB. Internet Explorer 6.0 o superiores PERFIL DEL PROVEEDOR DE CONTROLRISK AUDISIS LTDA, Auditoría Integral y Seguridad de Sistemas de Información Ltda., es una firma de Auditores Consultores Gerenciales, especializada en Gestión de Riesgos, Seguridad y Auditoría de Sistemas de Información, constituida legalmente el 23 de Septiembre de 1.988, Mediante escritura pública No de la Notaría 4 del círculo de Bogotá, con registro vigente en la Cámara de Comercio de Bogotá bajo el número de matrícula La misión de AUDISIS es ofrecer servicios profesionales especializados de calidad superior y herramientas de productividad en los campos de Gestión de Riesgos, controles, seguridad y auditoría de sistemas de información, software de auditoría, técnicas y herramientas de auditoría asistidas por computador (CAATTs), control interno organizacional y auditorías financiera, operativa y de gestión. EMPRESAS QUE UTILIZAN CONTROLRISK. Sector Financiero Acciones y Valores S.A Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

55 CREDISERVIR Cooperativa de Ahorro y Crédito Ocaña. PROGRESSA Entidad Cooperativa de Ahorro y Crédito CONFIAR Cooperativa Financiera- Medellín. Banco Popular. Contraloría Cajas de Compensación Familiar. Compensar. Caja de Compensación Familiar. Bogotá. Auditoría General CAJA DE COMPENSACION FAMILIAR DEL TOLIMA COMFENALCO TOLIMA. Caja de Compensación Familiar de la Guajira Comfaguajira. Caja de Compensación Familiar de Arauca COMFIAR. Entidades del Gobierno. Comisión Nacional de Televisión CNTV OCENSA, Oleoducto Central de Colombia. INSTITUTO NACIONAL DE VIAS INVIAS. Coordinación Área de Desarrollo Informático. Año Contraloría General De La República de Colombia. Dirección de Control Interno. ESSA. Empresa Electrificadora de Santander. Oficina de Control Interno. Sector Industrial. AVESCO Grupo KoKorico. Contraloría Interna. LAFAYETTE. Indústria Textilera. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

56 Sector Educativo. Universidad La Gran Colombia Bogotá. Facultad de Contaduría. Universidad Central de Bogotá. Facultad de Contaduría. Universidad Autónoma de Colombia. Facultad de Contaduría. Universidad Militar Nueva Granada. Bogotá. Facultad de Ciencias Económicas. Universidad Panamericana. Bogotá - Facultad de Contaduría. Universidad Santo Tomas Bucaramanga Facultad de Contaduría. Universidad Católica de Colombia Bogotá. Facultad de ingeniería de sistemas. Universidad Pedagógica y Tecnológica de Colombia. UPTC Tunja. CLIENTES EN OTROS PAISES En Ecuador Banco Central del Ecuador. Auditoría. En Costa Rica Cervecería de Costa Rica. Contraloría En Guatemala Superintendencia de Bancos (Guatemala) En República Dominicana Banco Central - Auditoría. En Bolivia Banco Santacruz. Auditoría En Honduras Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK

57 Banco Centroamericano de Integración Económica (BCIE). Contraloría y Auditoría Interna. En Perú Contraloría General de la República del Perú. Universidad Unión Peruana. Lima Perú. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK