Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO
|
|
- Martín Rey Álvarez
- hace 8 años
- Vistas:
Transcripción
1 Versión 2015 SOFTWARE DE ADMINISTRACIÓN INTEGRAL DE RIESGOS Y DISEÑO DE CONTROLES PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados a la Prevención y Reducción de Riesgos, Seguridad y Auditoría de Sistemas. Calle 53 No Oficina 602 Tels.: , PBX: Bogotá, D.C. Colombia audisis@audisis.com web site: AUDISIS: Fundada en 1.988
2 CONTENIDO QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? 4 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. 7 MODULO 2: CONFIGURACION DEL SOFTWARE. 8 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. 10 MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. 19 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). 22 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). 23 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. 25 MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE 26 USUARIOS. MODULO 2: CONFIGURACION DEL SOFTWARE. 27 MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. 28 ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) 29 ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS 29 ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA 31 ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS 32 ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES 34 ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES 35 ETAPA 7: MONITOREO DE RIESGOS Y AUTO-ASEGURAMIENTO DE CONTROLES 36 ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA 38 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
3 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN 39 PERFIL DE RIESGO INHERENTE CONSOLIDADO 40 PERFIL DE RIESGO RESIDUAL CONSOLIDADO. 43 MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) 47 MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) 49 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO 51 QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? 53 SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES 53 REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK 54 PERFIL DEL PROVEEDOR DE CONTROLRISK 54 EMPRESAS QUE UTILIZAN CONTROLRISK. 54 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
4 QUÉ PUEDE HACER CON LA POTENCIA DE CONTROLRISK? CONTROLRISK es una Aplicación WEB (Cloud Computing) para asistir las actividades de implantación, monitoreo, actualización y mejoramiento continuo de diferentes Sistemas de Gestión de Riesgos de las empresas (SARO, SARLAFT, Salud Ocupacional, ISO y otros). La implantación de la Gestión de Riesgos se desarrolla por cada uno de los procesos del modelo de operación (estratégicos, misionales, de soporte y de supervisión y control) y de los servicios de tecnología de información de la Empresa; los productos obtenidos se conservan y administran en un repositorio único denominado Base de Datos de Conocimientos de Gestión de Riesgos y Controles de la Empresa. El software además ofrece funcionalidades para asistir la ejecución de las siguientes actividades de Gestión de Riesgos en las Empresas: a) Construcción del Perfil de riesgo Consolidado de la empresa; b) Administración y Análisis del Registro de Eventos de Riesgo Ocurridos (RERO); c) Monitoreo del Plan de Continuidad del Negocio; y d) La Auditoría al Sistema de Gestión de Riesgos de la Empresa. Módulos componentes de CONTROLRISK El software se puede instalar en ambientes Web, en una red interna o en computadores stand alone. El software CONTROLRISK consta de ocho (8) módulos interrelacionados: 1) Administración de Usuarios, 2) Configuración; 3) Framework de Gestión de Riesgos; 4) Gestión de riesgos y diseño de controles por procesos y sistemas de información; 5) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
5 Consolidación del perfil de Riesgos institucional; 6) Administración y Análisis de Eventos de Riesgo Ocurridos (RERO); 7) Monitoreo del Plan de Continuidad del Negocio (BCP); y 8) Auditoría al Sistema de Gestión de Riesgos. El software CONTROLRISK satisface los requerimientos establecidos para la Gestión de Riesgos en los marcos de referencia ISO 31000:2009, ERM (Enterprise Risk Management Integrated Framework) y AS/NZ También satisface los requisitos fijados por las entidades regulatorias del Estado relativas a los sistemas de administración de riesgo operativo (SARO), administración de riesgos de Lavado de Activos y Financiación del Terrorismo (SARLAFT), del sistema de Gestión de Seguridad de la Información (ISO 27001), riesgos ambientales, riesgos de salud ocupacional, riesgos del sector salud (Resolución 1740 de 2008 MPS) y otros modelos de gestión de riesgos utilizados en la industria. Los procedimientos y guías ofrecidas por CONTROLRISK están alineadas con estándares internacionales y nacionales de Control Interno Organizacional (COSO, COBIT y MECI) y con otras buenas prácticas administrativas tales como los principios de Pareto y del Poder del 3, el enfoque Proactivo y preventivo del Control 1 en lugar del enfoque reactivo 2 o a posteriori de los controles, la implementación de los 3 anillos de seguridad como requisito para asegurar la efectividad de los controles establecidos por cada evento de riesgo potencial (amenaza) y la generación de indicadores de gestión de riesgos. Las características del Enfoque Proactivo y Preventivo de los controles, son: Los controles tienen como objetivo condicionar los actos de la organización para asegurar que se ejecuten correctamente y de una manera previamente establecida. Los controles se establecen (diseñan e implantan) para asegurar que las operaciones de la empresa se ejecuten libres de errores e irregularidades que podrían presentarse. Los controles por cada evento de riesgo negativo potencial (amenaza) se diseñan e implantan A priori, para satisfacer dos objetivos: a) Bloquear o neutralizar a los agentes generadores del riesgo (personas o actos de la 1 Enfoque proactivo del control: Los controles se establecen para asegurar que las operaciones se realicen exitosamente, conforme a lo previsto. Los controles son para reducir el riesgo inherente a niveles de riesgo residual aceptables. Se deben ejecutar a priori respecto a la ocurrencia de los riesgos. 2 Enfoque reactivo del control: Los controles se establecen con el objetivo de detectar los errores e irregularidades que podrían presentarse en las operaciones realizadas; actúan después que ocurren los eventos de riesgo. Se ejecutan a posteriori respecto a la materialización de los riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
6 naturaleza) que pueden explotar las vulnerabilidades existentes y materializar la amenaza; y b) para eliminar las vulnerabilidades que crean ambiente propicio para la ocurrencia de las amenazas. La implantación de la Gestión de Riesgos en los procesos de la Empresa se apoya en una Base de Datos de Conocimientos de Gestión de Riesgos y Controles suministrada por el proveedor del software CONTROLRISK, la cual contiene numerosas mejores y buenas prácticas sobre clases o categorías de riesgos (por ejemplo, las consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK), eventos de riesgo potenciales (amenazas) que pueden originar las clases de riesgo (por ejemplo, eventos de riesgo que podrían generar fraude interno, Sanciones Legales, etc), relaciones entre categorías de riesgo y eventos de riesgo (por ejemplo, eventos que podrían generar la clase de riesgo Fraude Interno ), controles aplicables a los eventos de riesgo negativos, relaciones entre eventos de riesgo y controles contenidos en la base de conocimientos (por ejemplo, los controles aplicables al evento Destrucción de la información por incendio accidental ) y objetivos de control aplicables a procesos de TI (COBIT e ISO 27001) y aplicaciones de computador. Esta base de conocimientos también provee otras tablas para ser pobladas o cargadas con información particular de las empresas, requerida en la Gestión de Riesgos de la Empresa, tales como macroprocesos y procesos del modelo de operación (mapa de procesos), áreas de la estructura de organización de la empresa, proveedores de la empresa, cargos, funcionarios, vulnerabilidades o debilidades de control, agentes generadores de riesgo y activos tangibles e intangibles. Con la implantación de la gestión de riesgos de cada proceso o sistema de información, la Base de Conocimientos de Gestión de Riesgos y controles crece continuamente para convertirse en un repositorio único de toda la información de riesgos y controles de la Empresa. En cada uno de los módulos del software, CONTROLRISK provee numerosos reportes resumidos y detallados con los entregables o productos de la implantación de la gestión de riesgos en los procesos y sistemas de información de la Empresa. Estos reportes son exportables a diferentes formatos de archivo (PDF, Excel, etc) e incluyen gráficas comparativas y un lenguaje cromático para los diferentes niveles de riesgos inherentes y residuales. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
7 MÓDULO 1: ADMINISTRACIÓN DE USUARIOS. Módulo Administración de Usuarios Este módulo de CONTROLRISK ofrece las funcionalidades necesarias administrar las cuentas de los usuarios de la aplicación (crear, activar, inactivar usuarios y cambiar los passwords) y asignar los permisos de acceso a los diferentes módulos del software. Los perfiles de acceso en CONTROLRISK son los siguientes: Gerente de Riesgos. Administrador de Usuarios. Administrador de EGR (Estudios de Gestión de Riesgos). Analista de Riesgos. Auto-evaluador - Monitoreo de riesgos, CSA. Administrador RERO. Auxiliar de RERO. Administrador BCP. Auto-evaluador del BCP. Solo Consulta. Administrador de Auditoría. Auditor. CONTROLRISK ofrece dos opciones de autenticación de usuarios: 1) Autenticación manejada por la aplicación de Gestión de Riesgos, en la que el administrador del software deberá ingresar y administrar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operativos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
8 MODULO 2: CONFIGURACION DEL SOFTWARE. Elementos de Configuración del Sistema CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades del módulo implantación y monitoreo de la gestión de riesgos por procesos y en los otros componentes del software. Por ejemplo: Criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Provee escala de valores numéricos y rangos de valor monetario para evaluar cualitativamente el impacto de los eventos de riesgo. Criterios para estimar cualitativamente la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Provee escala de valores numéricos para la frecuencia y probabilidad de ocurrencia de los eventos de riesgo. Escala de Valores y criterios para estimar cualitativamente el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
9 Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relaciones entre Categorías de Riesgo y Eventos de Riesgo. Relaciones entre Eventos de Riesgo Negativos y controles. Agentes Generadores de Riesgo / Factores de Riesgo por cada evento de riesgo. Vulnerabilidades que crean ambiente propicio para la ocurrencia de cada evento de riesgo. Activos impactados por los eventos de riesgo. Tipos de Procesos. Macroprocesos. Procesos del Modelo de Operación. Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Registro de ocurrencia de los eventos de riesgo. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
10 MÓDULO 4: GESTIÓN DE RIESGOS Y CONTROLES POR PROCESOS Y SISTEMAS DE INFORMACIÓN. Módulo de Gestión de Riesgos por Procesos Ciclo PHVA de la Gestión de Riesgos Este módulo de CONTROLRISK ofrece funcionalidades para ASISTIR el desarrollo del ciclo PHVA (Planear, Hacer, Verificar, Actuar) de la Gestión de Riesgos en cada uno de los procesos y sistemas de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
11 Esquema del Ciclo PHVA de la Gestión de Riesgos El desarrollo del ciclo PHVA para un proceso o sistema se denomina Estudio de Gestión de Riesgos (EGR). Por consiguiente un EGR en CONTROLRISK, puede ser: a) Un proceso del modelo de operación de la empresa (estratégico, misional, de soporte y de supervisión y control); b) Un Proceso de Tecnología de Información y comunicaciones (de los modelos COBIT, ITIL y dominios de ISO 27001); c) La infraestructura de TICs y d) Un sistema de información automatizado (aplicación de computador ó Módulo de ERPs). Por cada EGR, las actividades del ciclo PHVA de la Gestión de Riesgos se desarrollan a través de ocho (8) etapas de la metodología de implantación del sistema de Gestión de Riesgos. Estas son: PLANEAR. Etapa 1: Definir el Contexto del Estudio de Gestión de Riesgos - EGR. Etapa 2: Identificar y analizar los eventos de riesgo negativos inherentes (amenazas) de mayor importancia que podrían presentarse en el proceso. Etapa 3: Elaborar Cubo de Riesgos del Proceso y definir los objetivos de control que deberán satisfacerse en las actividades del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
12 HACER. Etapa 4: Evaluación y Tratamiento de los riesgos inherentes. Evaluar la Efectividad (eficacia + eficiencia) de los controles establecidos para cada uno de los eventos de riesgo (amenazas) identificados para el EGR, y diseñar e implantar los tratamientos para los eventos de riesgo que no satisfacen los criterios de efectividad de los controles. El software provee funcionalidades para configurar y enviar correos electrónicos de recordatorio a los responsables de implantar las acciones de tratamiento, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 5: Evaluación Costo / Beneficio y documentación de especificaciones de los Controles. Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles e implantarlos en cada una de las áreas de la organización y terceros que intervienen en el manejo de las operaciones del proceso. VERIFICAR Y ACTUAR. Etapa 7: Monitoreo y Autoevaluación del sistema de Administración de riesgos. Verificar periódicamente el cumplimiento de los controles establecidos por cada evento de riesgo (por ejemplo, cada 6 meses) mediante aplicación de Guías de Auto-aseguramiento de Controles (CSA); con los resultados calcula nuevos valores de efectividad de los controles y del riesgo residual, genera indicadores de riesgo y de control. Para los eventos de riesgo riesgos que en cada monitoreo presenten brechas o incumplimiento de controles, el software asiste el diseño de Acciones de mejoramiento y la asignación de fechas de compromiso y cargos responsables de su implantación. El software provee funcionalidades para configuración y envío automático de correos electrónicos de recordatorio para los responsables de implantar las acciones de mejora, supervisar la implantación y ejecutar seguimiento a su implantación. Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar los reportes o entregables generados en las siete (7) etapas del ciclo PHVA con la documentación detallada del sistema de gestión de riesgos del proceso o sistema de información objeto del EGR A continuación se describe el alcance de las ocho (8) etapas del ciclo PHVA de la Gestión de Riesgos que con el software CONTROLRISK se desarrollan por cada proceso o sistema de información. Estas son: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
13 PLANEAR (P) la Gestión de Riesgos del Proceso. Etapa 1 - Definición del Contexto del Estudio de Gestión de Riesgos -EGR. El contexto es el conjunto de circunstancias que rodean o condicionan un hecho, en este caso, que describen de manera concreta y resumida, las características y el ambiente de operación del proceso de la organización (o del sistema de información o de la infraestructura de Tecnología de información y comunicaciones) al cual se desarrollará el ciclo PHVA de la gestión de riesgos. El objetivo de esta etapa es determinar el marco de referencia o contexto dentro del cual se implantará la Gestión de Riesgos en el proceso o sistema objeto del EGR. Para este fin el software asiste al Analista de Riesgos para ingresar o seleccionar información que describe el ambiente interno y externo del proceso objeto del EGR, como requisito de conocimiento para poder identificar y analizar los eventos de riesgos inherentes que podrían presentarse en las actividades y operaciones del proceso. Como ayuda para asegurar que se obtiene el conocimiento y la comprensión de los aspectos esenciales de un proceso, el software asiste el ingreso y selección de la información, en un formulario que se denomina caracterización del proceso objeto del EGR. La caracterización es un documento con espacios destinados a describir brevemente las principales características del proceso, necesarias para precisar su entendimiento, identificar y analizar los riesgos que podrían presentarse, los agentes generadores, las vulnerabilidades y otras variables útiles para la gestión de riesgos. Etapa 2- Identificación y Análisis de Riesgos. El objetivo es identificar, priorizar, documentar y analizar los eventos de riesgo negativos (amenazas), inherentes a los objetivos y activos del proceso o sistema objeto del EGR, utilizando lineamientos del estándar ISO y las categorías o clases de riesgo 3 que representan el universo de riesgos de la empresa y pueden presentarse en las operaciones de la empresa, impactar los activos de la organización y obstaculizar la satisfacción de los objetivos del Sistema de Control Interno de la empresa (según ERM estos objetivos son de 4 tipos: Estratégicos, operacionales, de confiabilidad de la información y de cumplimiento). Por cada proceso o sistema se construye un CUBO DE RIESGOS como base para diseñar el 3 Categorías de riesgo: nombres genéricos utilizados para agrupar a los eventos de riesgo o amenazas que podrían causar daños a los activos de la empresa y obstaculizar la consecución de los objetivos de la organización. Por ejemplo, para el SARO se establecen siete (7) categorías de riesgo; para SARLAFT 4 categorías y para MECI cinco (5) categorías. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
14 control de los eventos de riesgo potenciales o amenazas que pueden generar las categorías de riesgo aplicables. Las tres dimensiones del cubo de riesgos de un proceso son: a) Las categorías de Riesgos críticas en el proceso. Esta dimensión está representada por las clases o categorías de riesgos críticas, es decir, las que podrían ocasionar el mayor impacto negativo económico y operacional en el proceso. Estas se seleccionan del universo de clases de riesgo aplicables a la empresa o de las clases de riesgo utilizadas en los sistemas de administración de riesgo SARO y SARLAFT ó del modelo de control interno MECI (para el sector público colombiano); Cubo de Riesgos del Proceso o Sistema de Información b) Las Dependencias (áreas de la estructura de organización y terceros) que intervienen en el manejo de las operaciones del proceso. Los procesos son transversales en la estructura de organización de las empresas, lo cual significa que en un proceso normalmente intervienen varias áreas de la estructura de organización de la empresa o terceros (outsourcing) que desarrollan algunas actividades del proceso. En los procesos que se soportan en sistemas de Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
15 información automatizados, el área de sistemas siempre será una de las dependencias a considerar en la construcción del cubo del proceso, y c) Las actividades que constituyen el ciclo PHVA del proceso, también llamadas Escenarios de Riesgo. Está representada por las actividades o nombres de procedimientos que se constituyen el ciclo PHVA del proceso. Un proceso se define como el conjunto de actividades interrelacionadas que transforman los insumos en un producto que puede ser un bien o un servicio. Por cada categoría de riesgo crítica se identifican y documentan los eventos de riesgo negativos que podrían ocurrir y causar daño a uno o más activos del proceso (máximo 10, mínimo 6). Estos eventos de riesgo se denominan amenazas y se localizan o ubican en las tres dimensiones del cubo. Así se construye el cubo de riesgos del proceso sujeto de EGR. Aquí el objetivo es lograr una aproximación a los cubos de COSO y de ERM, asumiendo que la suma de los cubos de riesgo de los procesos individuales de la empresa se aproxime al CUBO DE RIESGOS DE LA EMPRESA. Por cada una de las amenazas identificadas para las clases de riesgo críticas, el análisis enfatiza en (5) elementos del riesgo: activos impactados, vulnerabilidades, agentes generadores, exposición (probabilidad e impacto) y consecuencias que tendría que afrontar la organización en caso de ocurrir. Con base el análisis de estos elementos, se determina el Nivel de Riesgo con una de las siguientes cuatro (4) calificaciones: E: Extremo (Color rojo); A: Alto (color naranja); M: Moderado (color amarillo) y B: Bajo o dentro del apetito de riesgos de la Gerencia (color verde). Las amenazas según su nivel de riesgo se ubican en el Mapa de Riesgos Inherentes (una matriz de 5x5) y se despliegan en gráficos y reportes para las tres (3) dimensiones del Cubo de Riesgos del proceso. Como entregables de esta etapa, el software genera el mapa de riesgos inherentes del proceso (una matriz de 5x5 en la que se localizan las amenazas según su evaluación de probabilidad de ocurrencia e impacto), el perfil de riesgos del proceso por diferentes conceptos y la definición de las alternativas de manejo de riesgos (acciones de respuesta a riesgos) a emplear para mitigar las amenazas de riesgo del proceso. Etapa 3 Documentar Mapa de Riegos Inherentes. El objetivo de esta etapa es asistir la documentación detallada del mapa de riesgos inherentes con la forma como podrían ocurrir las categorías de riesgo críticas del proceso, en tres matrices que despliegan el Cubo de Riesgos del proceso: a) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
16 categorías de riesgo Vs Actividades del proceso; b) categorías de riesgos Vs dependencias y c) actividades del proceso Vs dependencias. También asiste la definición de los objetivos de control que se deberán satisfacer en cada una de las actividades (escenarios de riesgo) del proceso objeto del Estudio de Gestión de Riesgos (EGR) y su relacionamiento con las amenazas del proceso. HACER (H) o Implementar la Gestión de Riesgos del Proceso. Etapa 4 Evaluación de Riesgos y Diseño de Tratamiento de Riesgos. En esta etapa el software asiste la elaboración de un cuestionario o checklist 4 para identificar los controles que deberían existir para las amenazas del proceso, como ayuda para establecer los controles utilizados en las operaciones y evaluar su efectividad, es decir, su capacidad para mitigar ó disminuir el riesgo de las amenazas a un nivel de riesgo residual aceptable. También asiste la realización de un diagnóstico de la efectividad (protección) que ofrecen los controles establecidos por cada amenaza y con los resultados se genera, en forma gráfica y descriptiva, el Mapa de Riesgos Residuales del proceso antes de tratamientos. La evaluación de la efectividad (eficacia + eficiencia) de los controles por cada amenaza se realiza utilizando tres criterios: a) Satisfacen al menos una vez los tres anillos de seguridad y estos hacen sinergia; b) Los controles son eficaces según el nivel de automatización y discrecionalidad; y c) la relación costo / beneficio de los controles sea razonable (costo no mayor del 5% del valor de los activos protegidos). La efectividad de los controles se mide con una escala de 5 calificaciones: 1- apropiada (color verde); 2- mejorable (color amarillo); 3- Insuficiente (color naranja); 4: Deficiente (color rojo) y 5- Muy Deficiente (color rojo). A cada uno de estos niveles de efectividad de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (Si efectividad 1- Apropiada; 2- Moderado (Si efectividad 2 - mejorable); 3- Alto (Si efectividad 3- Insuficiente); 4: Extremo (Si efectividad 4- Deficiente ó Si Efectividad 5- Muy deficiente). Los resultados obtenidos de la evaluación de la efectividad y el riesgo residual por amenaza, se articulan y presentan en las tres dimensiones del cubo de riesgos en las cuales podría materializarse: en las clases de riesgo críticas, en las actividades del proceso y en las dependencias (áreas de la organización y terceros) que intervienen en el proceso. 4 Este checklist es una forma de Control Self Assessment CSA- para ser diligenciado por los dueños o responsables del proceso. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
17 Para las amenazas que presentan riesgo residual diferente de BAJO, el software asiste el diseño de las acciones de Tratamiento necesarias para ajustar la efectividad de los controles del proceso en concordancia con los criterios de evaluación que no se satisfacen. Como entregables esta etapa, el software provee el diseño de Tratamientos de Riesgos y el plan para su implementación y seguimiento; el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Etapa 5- Análisis Costo/ Beneficio y Especificaciones de los Controles. El objetivo de esta etapa es definir el alcance de los controles diseñados o seleccionados en la etapa 4, establecer o calcular la relación costo / beneficio de los controles por cada amenaza de riesgo y documentar las especificaciones de cada uno de los controles del proceso o sistema sujeto al estudio de gestión de riesgos. Etapa 6 - Asignación de Responsabilidades por la Ejecución y Supervisión de los Controles. En esta etapa, el software asiste la asignación de cargos responsables de ejecutar y supervisar los controles establecidos para las amenazas de riesgo del proceso o sistema sujeto a EGR, en cada una de las áreas organizacionales y terceros que intervienen en las operaciones del proceso. Para los controles manuales, se asignan responsables de ejecutar y supervisar los controles; para los controles automatizados, que son ejecutados por la máquina o el software de las aplicaciones, se asignan responsables únicamente para supervisar el funcionamiento de los controles. Además genera Guías de Autocontrol para el proceso o sistema objeto del EGR, con los controles asignados por cargo, para su ejecución y/ supervisión. VERIFICAR (V) para monitorear la Gestión de Riesgos y ACTUAR (A) para efectuar mejoras a la Gestión de Riesgos. Etapa 7- Monitoreo / Auto aseguramiento de Controles y Continuo. Mejoramiento Esta etapa provee funcionalidades para asistir la planeación, ejecución y evaluación de resultados del monitoreo periódico (por ejemplo semestral) de la operación y Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
18 aplicación continua de los controles establecidos en la organización para los eventos de riesgo (amenazas) a los que se expone el proceso. El monitoreo se realiza para todas las amenazas y controles establecidos, en cada una de las dependencias que intervienen en el proceso. El software produce un checklist de controles o Guía de Autoevaluación de Controles (CSA: Control self assessment) para apoyar la auto-verificación de los controles por amenaza en cada una de las dependencias que intervienen en el proceso y asiste el procesamiento de las respuestas para generar indicadores de Gestión de Riesgos sobre la efectividad (protección existente) de los controles según su cumplimiento y riesgo residual por amenaza y por cada una de las dimensiones del cubo de riesgos del proceso: Áreas Organizacionales, Escenarios de Riesgo y Categorías de Riesgo El cumplimiento y efectividad de los controles por cada amenaza según los resultados del monitoreo se mide con una escala de cinco calificaciones, así: 1- Apropiada (cumplimiento superior al 80%); 2- Mejorable (cumplimiento entre el 60% y 80%), 3- Insuficiente (cumplimiento entre 40% y 60%): 4: Deficiente (cumplimiento entre 20% y 40%); y 5- Muy deficiente (cumplimiento entre 0% y 20%). A cada uno de estos niveles de cumplimiento de los controles corresponde un nivel de riesgo residual, así: 1- Bajo (cumplimiento superior al 80%); 2- Moderado (cumplimiento entre el 60% y 80%), 3- Alto (cumplimiento entre 40% y 60%): 4: Extremo (cumplimiento entre 20% y 40%); y 5- Extremo (cumplimiento entre 0% y 20%) Para las amenazas que presenten porcentaje de cumplimiento menor del 80%, el software asiste el diseño de las acciones de mejoramiento necesarias para ajustar y corregir la gestión de riesgos del proceso en concordancia con las debilidades o deficiencias identificadas en el monitoreo y los cambios en las operaciones de negocio y el soporte tecnológico. El software provee funcionalidades para asistir el diseño y seguimiento del Plan de Mejoramiento de la Gestión de Riesgos del EGR de los eventos de riesgo que presentan porcentaje de cumplimiento de los controles inferior al 80%, planear su implementación (fechas de compromiso y responsables de implementarlas y supervisarlas) y ejecutar el seguimiento a su implantación. Como ayuda en el seguimiento de las acciones de mejoramiento el software ofrece funcionalidades para configuración y envío automático de correos electrónicos de recordatorio a los cargos asignados para implantar, supervisar la implantación y efectuar seguimiento a las acciones de tratamiento, Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
19 Etapa 8 - Generar Manual de Gestión de Riesgos. Esta etapa el software permite generar y visualizar la documentación detallada del sistema de gestión de riesgos de cada proceso o sistema de información objeto del EGR. MÓDULO 5: CONSOLIDACIÓN DEL PERFIL DE RIESGOS INSTITUCIONAL. Este módulo provee funcionalidades para CONSOLIDAR a nivel Empresa los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya desarrollado el ciclo PHVA de la gestión de riesgos en el módulo 4 de CONTROLRISK, en la forma como se ilustra en la siguiente figura. Funcionalidades del Módulo de Consolidación del Perfil de Riesgo Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
20 El Perfil de Riesgo Inherente Consolidado de la Organización Consolidado del Perfil de Riesgo Inherente Categorías de Riesgo Es la descripción de la distribución general de los riesgos a través de la Empresa, en los procesos en los que se ha implantado el ciclo PHVA de la Gestión de riesgos. El software presenta el perfil de riesgos por tres conceptos: a) Por Categorías de Riesgo del universo de riesgos de la empresa y dentro de estas por procesos; b) por Areas Organizacionales y dentro de estas por categorías de riesgo y c) Para todos los procesos de la organización, por tipos de Procesos (Estratégicos, Misionales y de Soporte). Por cada concepto el software presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) en cada proceso. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
21 El Perfil de Protección Existente y Riesgo Residual Consolidado de la Organización Consolidado del Perfil de Riesgo Residual Procesos Es la descripción de los niveles de protección que ofrecen los controles establecidos que se están aplicando y del riesgo residual, en los procesos a los cuales se ha implantado la gestión de riesgos. Con la información del último monitoreo efectuado, por cada proceso el software presenta el porcentaje promedio de la Protección Existente PE (% de cumplimiento de los controles establecidos) y del Riesgo Residual RR (el complemento a 100% de la PE), calculado con el porcentaje de cumplimiento de los controles de las amenazas de cada proceso, obtenidos del último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Esta información se puede visualizar organizada por tres conceptos: a) Para todos los procesos que tienen implementada la gestión de riesgos; b) Por categorías de Riesgo y dentro de estas por procesos y c) Por áreas organizacionales y dentro de estas por categorías de riesgo. El software genera reportes detallados y de Alto Nivel para los Ejecutivos de la Empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
22 MÓDULO 6: ADMINISTRACION Y ANALISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO). Formulario de Ingreso de Registro de Eventos de Pérdida Ocurridos CONTROLRISK provee funcionalidades para asistir el registro (ingreso) de información de los eventos de riesgo ocurridos en cualquier sitio de la empresa, el cargue de estos eventos (masivo o individualmente) en la base de datos de Eventos de Riesgo Ocurridos en la organización y procedimientos para conducir el análisis de cada uno de los eventos ocurridos. Esta base de datos está estructurada de acuerdo con los requerimientos del modelo Basilea II y de los organismos de supervisión del Estado (por ejemplo, la Superintendencia Financiera de Colombia). Produce reportes impresos y en pantalla, con información detallada y resumida para consulta, análisis a alto nivel y soporte de la decisiones de los Ejecutivos de la Empresa, respecto a la validez, robustez y valor preventivo de la información existente en la Base de Conocimientos de Gestión de Riesgos y Controles de la Empresa y de la metodología y los procedimientos definidos en el marco de referencia (framework) de la gestión de riesgos en la empresa. Para el análisis de los eventos de riesgo ocurridos, CONTROLRISK provee funcionalidades que ayudan al analista de eventos ocurridos a contrastar las características de ocurrencia del evento con la información de la Base de conocimientos de la Gestión de Riesgos y Controles de la Empresa cargada durante la implementación de la gestión de riesgos. En esta base de conocimientos está disponible la información del inventario de eventos de riesgo negativos que podrían presentarse (amenazas), junto con las vulnerabilidades que podrían generar el ambiente propicio para la Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
23 ocurrencia del evento, los agentes generadores del riesgo que podrían explotar esas vulnerabilidades, la acción de respuesta a riesgos implementada y los controles establecidos para gestionar el evento de riesgo. Con los resultados del análisis de cada evento ocurrido, la Gerencia y los Administradores de riesgos de la Empresa pueden tomar decisiones respecto a las medidas correctivas necesarias para mejorar el valor preventivo de la información de la base de conocimientos y evitar que el evento de riesgo vuelva a presentarse. Cuando un evento de riesgo ocurrido no estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que durante el proceso de implementación de la gestión de riesgo se omitió la identificación de ese evento. El evento debe adicionarse a la base de conocimientos de Gestión de Riesgos con la información sobre agentes generadores del riesgo, vulnerabilidades que permitieron su ocurrencia, la acción de respuesta que ha de implementarse, los controles requeridos y el cargo asignado como responsable o dueño del riesgo. Cuando un evento de riesgo ocurrido estaba registrado en la base de conocimientos de gestión de riesgos de la empresa, significa que los controles establecidos no fueron efectivos para controlar el evento de riesgo o que los controles fueron omitidos en forma accidental o intencional por las personas asignadas para ejecutarlos y supervisarlos. La Gerencia debería revisar la opción de respuesta a riesgos asignada al evento ocurrido y decidir si deben modificarse los procedimientos de gestión para este evento. MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP). Módulo Plan de Continuidad del Negocio Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
24 Configuración de Elementos del Módulo BCP CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Algunas funcionalidades de este módulo son: Poblar / Cargar en la base de datos, los requerimientos que debe satisfacer el BCP. Verificar el estado de preparación de las áreas organizacionales para operar en caso de interrupciones. Generar checklist Guías de Autoaseguramiento (CSA: Control Self Assessment) para medir porcentualmente (%) el cumplimiento de los procedimientos y controles del BCP. Generación Indicadores de Cumplimiento / preparación para trabajar en modo contingencia. Genera Reportes del Monitoreo. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
25 MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTIÓN DE RIESGOS. Módulo Auditoría al Sistema de Gestión de Riesgos CONTROLRISK ofrece funcionalidades para que los auditores internos o externos puedan evaluar y verificar el funcionamiento de los siguientes componentes del sistema de Administración de Riesgos (SAR): a) Gestión de Riesgos y Diseño de controles para uno más procesos o sistemas de información. Auditoría al cumplimiento del Framework o marco de referencia de la gestión de riesgos y a la exactitud y calidad de la información de la base de conocimientos de gestión de riesgos y controles de la empresa. b) Registro de Eventos de Riesgo Ocurrido (RERO) Auditoria a la exactitud y calidad de la información de los eventos ocurridos, al seguimiento de los planes de acciones correctivas y al cumplimiento de los procedimientos de reporte, registro y análisis de eventos ocurridos. c) Auditoría al Plan de Continuidad del Negocio (BCP). Pruebas de cumplimiento y sustantivas a los procedimientos y controles establecidos para el BCP. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
26 Pasos para ejecución de la Auditoría a cada componente del SAR La auditoría a cada componente del SAR, consta de cuatro pasos, que deben ser ejecutados secuencialmente: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. MÓDULO 1: SEGURIDAD Y ADMINISTRACIÓN DE USUARIOS. Este módulo de CONTROLRISK ofrece todas las funcionalidades necesarias para crear usuarios de la aplicación y asignar los permisos que cada uno de ellos va a tener dentro del sistema. Figura 44: Listado con Usuarios del Sistema CONTROLRISK ofrece dos opciones de autenticación: 1) Autenticación manejada por el sistema, en ella el administrador del software deberá ingresar los usuarios y 2) Autenticación a través del directorio activo usado en los sistemas operáticos Windows. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
27 MODULO 2: CONFIGURACION DEL SOFTWARE. CONTROLRISK provee funcionalidades para configurar los estándares que serán utilizados en las actividades de implantación y monitoreo de la gestión de riesgos por procesos y en los demás módulos del software. Por ejemplo: Figura 45: Elementos de Configuración del Sistema Escala de valores numéricos, rangos de valor monetario y criterios para estimar el impacto financiero y operacional de los eventos de riesgos. Escala de valores numéricos cualitativos y criterios para estimar la frecuencia anual de ocurrencia y la probabilidad de ocurrencia de los eventos de riesgos. Escala de Valores y criterios para estimar el Nivel de Exposición a Riesgos de los eventos de riesgo potenciales. Escala de Puntajes para las respuestas de las Guías de Monitoreo de Riesgos y Auto-aseguramiento (CSA) de Controles de cada proceso. Escala para evaluar la protección existente y el riesgo residual con los resultados del Monitoreo de Riesgos y de Controles. El software provee ayudas para poblar con información de la Empresa, algunas tablas de la Base de Datos de Conocimientos de Gestión de Riesgos y Controles, suministrada por CONTROLRISK. Por ejemplo: Categorías de Riesgo que pueden presentarse en la Empresa (Universo de categorías de riesgo de la Empresa). Amenazas / Eventos de Riesgo Negativos potenciales que pueden generar las Categorías de Riesgos. Controles Aplicables a los Eventos de Riesgo Negativos - Mejores y Buenas Prácticas de Control. Relación entre Categorías de Riesgo y Eventos de Riesgo. Relación entre Eventos de Riesgo Negativos y Controles. Agentes Generadores de Riesgo / Factores de Riesgo. Vulnerabilidades. Activos impactados por los riesgos. Tipos de Procesos Macroprocesos. Procesos del Modelo de Operación. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
28 Sistemas de Información Aplicaciones de Computador. Areas Organizacionales - Estructura de organización de la empresa. Zonas Geográficas. Cargos. Nombres de los Funcionarios de la Empresa. Eventos de riesgo ocurridos. PUC. Líneas de Negocio. El software también ofrece funcionalidades para configurar el correo corporativo de la Unidad de Gestión de Riesgos y la configuración y envío automático de mensajes de recordatorio por correo electrónico dirigidos a: Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de tratamiento de los riesgos por cada proceso o sistema. Los responsables de implantar, supervisar la implantación y hacer seguimiento a las acciones de mejora que resultan de los monitoreos de riesgos y controles de cada proceso. MODULO 4: GESTION INTEGRAL DE RIESGOS POR PROCESOS Y SISTEMAS DE INFORMACION. La figura 3 resume las actividades del ciclo PHVA que se ejecutan en este módulo para identificar, medir, controlar y monitorear los riesgos de cada proceso o sistema de información sujeto a estudio de gestión de riesgos (EGR). Figura 3: Implementación del Ciclo PHVA para los Estudios de Gestión de Riesgos Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
29 La metodología para la implementación del SGR por cada uno de los procesos del modelo de operación, los procesos de Tecnología de Información (TI) y los sistemas de información automatizados de la organización, consta de ocho (8) etapas que se muestran en el menú principal del módulo, en la figura 4 a continuación. Figura 4: Etapas de implantación del SGR por proceso o sistema ETAPA 1: CONTEXTO DEL ESTUDIO GESTIÓN DE RIESGOS (EGR) CONTROLRISK provee ayudas para definir el contexto o conjunto de circunstancias que caracterizan el proceso o sistema al cual se aplicará la metodología de gestión de riesgos y diseño de controles. Presenta formatos para ingresar datos de caracterización del proceso o sistema (documento que describe las características generales del proceso, esto es, los rasgos dife renciadores del mismo) y elaborar una Ficha Técnica con el resumen del ambiente tecnológico, administrativo y operativo. Figura 5: Opciones de la Etapa 1 de la Metodología ETAPA 2: IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS CONTROLRISK ofrece funcionalidades para aplicar los principios de Pareto y del Poder del 3 para seleccionar las tres categorías de riesgos críticos sobre las que enfatizarán las demás etapas de la administración de riesgos, como se muestra en la figuras 6. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
30 Figura 6: Resultados de la Priorización de Categorías de Riesgo según el Método Churman Ackoff CONTROLRISK ofrece opciones para identificar y documentar las amenazas de riesgo 5 asociadas con cada una de las categorías de riesgos críticos, apoyándose en una base de conocimientos que contiene más de una centena de amenazas típicas contra la seguridad. La figura 8 muestra el formulario para documentar las amenazas. Figura 8: Formulario para Documentación de Amenazas Por cada amenaza se documentan los siguientes elementos del riesgo: activos impactados; vulnerabilidades; agentes generadores; Severidad del riesgo /exposición (probabilidad, impacto y consecuencias); Fuentes del riesgo; propietario del riesgo /incidentes ocurridos. 5 La Expresión Amenaza de Riesgo tiene el mismo significado que Eventos de riesgo en el modelo COSO ERM, es decir, los eventos accidentales o intencionales que en caso de presentarse ocasionan daños o pérdidas a los activos y objetivos del proceso o sistema. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
31 El software provee funcionalidades para medir (evaluar) la probabilidad de ocurrencia y el impacto de las amenazas en caso de presentarse, estimar el riesgo inherente, elaborar mapas e riesgo inherente y determinar las alternativa de manejo del riesgo por cada amenaza (aceptar, reducir, evitar, transferir, distribuir). Ofrece dos alternativas para medir el riesgo: a) El estándar AS-NZ 4360 (matrices de 5x5) b) el Estándar MECI (Matrices de 3x3). Los valores de medición cualitativa del riesgo inherente utilizada por CONTROLRISK se muestran a continuación en la figura 9. Riesgo Inherente 1: Bajo (Tolerable) 2: Moderado 3: Alto (Importante) Significado Evaluación de Severidad del riesgo inherente El riesgo es TOLERABLE para la organización, es decir, su ocurrencia puede causar pérdidas no significativas. Estos riesgos pueden aceptarse (asumirse) o tratarse con acciones de control para reducirlo (disminuir probabilidad de ocurrencia o su impacto). El riesgo es MODERADO para la organización. Su ocurrencia podría causar pérdidas de alguna consideración. Requiere acciones de respuesta para reducirlo. El riesgo es SIGNIFICATIVO para la organización, requiere de acciones de respuesta para la reducirlo y transferirlo. Su ocurrencia podría causar pérdidas severas a la organización. El riesgo es INACEPTABLE o CATASTROFICO para la 4: Extremo (Inaceptable) organización, es decir, en caso de ocurrir sus consecuencias desestabilizarían a la entidad. Requiere de acciones de respuesta para evitarlo o reducirlo y transferirlo. Figura 9: Escala de medición del Riesgo Inherente ETAPA 3: MAPA DE RIESGOS INHERENTES / CUBO DE RIESGOS DEL PROCESO O SISTEMA En esta etapa CONTROLRISK ofrece funcionalidades para elaborar y documentar el Mapa / Cubo de Riesgos Inherentes del proceso o sistema, el cual se desdobla en tres matrices: a) Actividades o escenarios de riesgo del proceso Vs Clases de Riesgos Críticos; b) Dependencias y terceros que intervienen en el proceso Vs Clases de Riesgos Críticos y c) Actividades del proceso Vs Dependencias y terceros que intervienen en el proceso, como se muestra en la pantalla de la figura 10. Figura 10: Menú principal para Generar el Mapa de Riesgos Inherentes Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
32 CONTROLRISK asiste al Analista de Riesgos en la definición o asignación de objetivos de control que deberán ser satisfechos por los controles en cada una de las actividades (escenarios de riesgos) del proceso o sistema de información, apoyándose en la lista que ofrece la base de conocimientos suministrada por el proveedor. También ayuda a relacionar estos objetivos con las amenazas de riesgo identificadas. ETAPA 4: EVALUACIÓN Y TRATAMIENTO DE RIESGOS En esta etapa CONTROLRISK asiste al analista de riesgos / diseñador de controles en la identificación y documentación de los controles (medidas de seguridad, salvaguardas o contramedidas) establecidos o requeridos en la organización para mitigar las amenazas de cada proceso o sistema. Para este fin se apoya en una base de conocimientos que contiene más de 450 best practices de control universalmente reconocidas. El menú de opciones de esta etapa se muestra en la figura 11. Figura 11: Menú de Etapa 4 - Evaluación y Tratamiento de Riesgos Con base en los controles identificados, CONTROLRISK mide la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo. Para este fin aplica tres criterios de evaluación: a) Se satisfacen los tres anillos o niveles de seguridad; b) El nivel de automatización de los controles es aceptable y c) la eficiencia (costo / beneficio) de los controles utilizados es razonable. Las convenciones para evaluar Protección Existente (PE) y el Riesgo Residual (RR) por cada amenaza se muestran en la figura 12. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
33 Figura 12: Evaluación de la Protección ofrecida por los controles establecidos Con los resultados de la evaluación, CONTROLRISK genera reportes, estadísticas y gráficos con de la Situación Actual de Protección Ofrecida, por diferentes conceptos (por amenazas, escenarios de riesgo, áreas organizacionales, categorías de riesgo y objetivos de control, como se muestra en la figura 13 a continuación. Figura 13: Situación Actual de Protección Ofrecida Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
34 Para las amenazas que presenten riesgo residual superior al máximo aceptable, CONTROLRISK asiste la elaboración del Plan de Tratamiento de Riesgos, como se muestra en la figura 14. Además, ofrece opciones y formatos para gestionar la planeación, implantación y seguimiento del plan, a través de recordatorios por correo electrónico y control de las acciones requeridas. Figura 14: Acciones e tratamiento de las Amenazas con riesgo residual superior al aceptable ETAPA 5: ANÁLISIS COSTO / BENEFICIO Y ESPECIFICACIÓN DE CONTROLES El software CONTROLRISK provee opciones para determinar el alcance de los controles en los componentes del cubo de riesgos (actividades del proceso, áreas organizacionales y categorías de riesgo críticas), realizar el análisis cuantitativo de los riesgos y los controles de cada proceso o sistema y completar la documentación con las especificaciones de los controles. El menú de opciones de esta etapa se muestra en la figura 15. Figura 15: Opciones de Etapa 5 de la Implantación del SGR CONTROLRISK presenta formatos en pantalla para evaluar en forma cuantitativa el costo / beneficio de los controles por cada amenaza de riesgo, como se muestra en la figura 16. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
35 Figura 16: Análisis Cuantitativo del Costo / Beneficio de los Controles ETAPA 6: ASIGNACIÓN DE RESPONSABILIDADES POR LOS CONTROLES CONTROLRISK provee funcionalidades para asignar cargos responsables de ejecutar y supervisar los controles en cada área organizacional (dependencia) que interviene en el manejo de la información de cada proceso o sistema. Como resultado genera un reporte de Guías de Autocontrol por cargos, con los controles que corresponda ejecutar y/o supervisar a cada uno, como se muestra en la figuras 17. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
36 Figura 17: Guía de Autocontrol por Dependencias ETAPA 7: MONITOREO DE RIESGOS CONTROLES Y AUTO-ASEGURAMIENTO DE En esta etapa el software provee funcionalidades para verificar que los controles establecidos se estén aplicando y sean efectivos para reducir los riesgos a los niveles de riesgo residual aceptables en la organización. 21/09/2015 Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
37 Figura 18: Menú Etapa 7 Monitoreo de la Protección Existente y el Riesgo Residual El software genera Guías de Auto-aseguramiento (cuestionarios) por cada área organizacional y provee opciones para ingresar las respuestas, procesarlas, generar reportes y gráficos con los resultados del monitoreo. Como resultado del monitoreo, CONTROLRISK genera mediciones cualitativas de la protección existente (PE) y el riesgo residual (RR) por cada amenaza de riesgo en cada área organizacional (dependencia), actividad y categoría de riesgo del proceso o sistema. Luego consolida el perfil de riesgo por categorías de riesgo como se muestra en la figura 19. Figura 19: Perfil de Riesgo Residual, después de cada monitoreo CONTROLRISK asiste en el análisis de resultados de la Auto-evaluación de Controles y el diseño de los Planes de Mejoramiento a que haya lugar. Genera formatos y gráficos como el que se muestra en la figura 20. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
38 Figura 20: Análisis de No conformidades detectadas en cada monitoreo El software CONTROLRISK crea y mantiene actualizado un registro histórico de la evolución de la protección existente y del riesgo residual, con las últimas cinco (5) mediciones efectuadas en cada área organizacional (dependencia), escenario y categoría de riesgo. Genera reportes por pantalla e impresos como el que se muestra en la figura 21. Figura 21: Histórico de Monitoreos por Área Organizacional Cada vez que se realice monitoreo, CONTROLRISK ofrece formatos y opciones para elaborar un Plan de Mejoramiento para las amenazas que presenten un nivel de riesgo residual superior al máximo aceptable. También ofrece ayudas para diseñar y ejecutar seguimiento a las acciones de mejoramiento emprendidas como resultado de cada monitoreo. ETAPA 8: GENERAR EL MANUAL DE GESTIÓN DE RIESGOS DEL PROCESO O SISTEMA CONTROLRISK ofrece opciones para generar el Manual de Riesgos y Controles de cada proceso o sistema de información. Este manual está conformado por los resultados de cada una de las etapas de la metodología CONTROLRISK y es exportable a Word (Rich Text Format), Excel, PDF, Web, CSV y Tiff para ser modificado en su forma y contenido por los usuarios. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
39 MÓDULO 5: CONSOLIDACION DEL PERFIL DE RIESGO DE LA ORGANIZACIÓN Este módulo provee funcionalidades para generar información consolidada de los perfiles de riesgo Inherente y Residual de todos los procesos de la organización (estratégicos, misionales, de apoyo y de Evaluación y Mejora) para los cuales se haya realizado estudios de gestión de riesgos (EGR) utilizando CONTROLRISK, en la forma como se ilustra en la Figura 22. Figura 22: Funcionalidades del Módulo de Consolidación del Perfil de Riesgo El Perfil de Riesgo Inherente de la Organización, presenta la cantidad de amenazas y el valor promedio del Riesgo Inherente (RI) de los procesos de la organización a los cuales se haya efectuado estudios de gestión de riesgos. Estos valores se obtienen con el promedio de riesgo inherente de las amenazas identificadas en cada proceso, en la etapa 2 del módulo 1. El Perfil de Riesgo Residual de la Organización, por cada proceso al cual se haya efectuado estudio de gestión de riesgos, presenta los porcentajes promedio de Protección Existente (PE) y Riesgo Residual (RR) obtenidos en el último monitoreo efectuado al proceso en la etapa 7 del módulo 1. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
40 PERFIL DE RIESGO INHERENTE CONSOLIDADO CONTROLRISK ofrece funcionalidades para consolidar el Perfil de Riesgo Inherente de la organización, por tres conceptos o vistas (ver figura 23): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora). b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Figura 23: Módulo de Consolidación del Perfil de Riesgo Inherente Por cada uno de estos conceptos genera información consolidada y gráficas en dos niveles: 1) cantidad de amenazas, el valor promedio de riesgo inherente y su significado, 2) cantidad total de amenazas, cantidad de amenazas localizadas en cada nivel riesgo inherente (Muy alto, alto y aceptable) y los rangos de pérdida estimada de las amenazas localizadas en estos niveles de riesgo inherente. La escala de medición del riesgo usada por CONTROLRISK se describió en la figura 9. a) Consolidación del perfil de riesgo inherente Presentada por procesos. Nivel 1: Para los procesos que correspondan a los tipos de procesos (estratégico, misional, de soporte) o para todos los procesos a los que se haya realizado estudio de gestión de riesgos, CONTROLRISK muestra: cantidad de amenazas, riesgo inherente consolidado y significado del riesgo inherente consolidado (Figura 24). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
41 Figura 24: Consolidación de Riesgo Inherente por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1 que sea seleccionado, CONTROLRISK muestra las categorías de riesgo críticas del proceso, así como el total de amenazas y su respectivo valor y significado de riesgo inherente. Figura 25: Consolidación de Riesgo Inherente por Procesos y Categorías de Riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta el valor y significado de riesgo inherente (Figura 26). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
42 Figura 26: Consolidación de Riesgo Inherente por Procesos, Categorías de Riesgo y Amenazas Nivel 4: Por cada uno de los procesos a los cuales se les haya realizado estudio de gestión de riesgos, CONTROLRISK muestra la cantidad de amenazas localizadas en cada nivel de riesgo inherente (Muy alto, Alto y Aceptable) (Figura 27) Figura 27: Perfil de Riesgo Inherente Consolidado por proceso Al dar clic sobre los datos de la columna de color asociado a cada nivel de riesgo inherente (muy alto, alto y aceptable), CONTROLRISK muestra en reportes y gráficos los rangos de pérdida estimada de las amenazas localizadas en el nivel de riesgo inherente Figura 28) Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
43 Figura 28: Rangos de pérdida asociada al nivel de Riesgo Inherente b) Consolidación del perfil de riesgo inherente presentada por categorías de riesgos La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. c) Consolidación del perfil de riesgo inherente presentada por Áreas Organizacionales La información se presenta en cuatro niveles, en forma similar a la descrita en a) para el riesgo inherente consolidado por procesos. PERFIL DE RIESGO RESIDUAL CONSOLIDADO. CONTROLRISK ofrece funcionalidades para consolidar el Perfil de riesgo Residual de la organización, por tres conceptos o vistas (ver figura 29): a) Por tipos de procesos (estratégicos, misionales, de apoyo y de Evaluación y Mejora) o para todos los procesos de la entidad, con opciones que muestran en la pantalla de la Figura 29. b) Por Categorías de Riesgo. c) Por Áreas Organizacionales (Dependencias) y terceros que intervengan en el manejo de los procesos y sistemas de la empresa. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
44 Figura 29: Módulo de Consolidación de Perfil de Riesgo Residual por Tipo de Proceso a) Consolidación del perfil de riesgo residual - Vista por procesos Nivel 1: Por cada proceso de la organización, CONTROLRISK muestra la cantidad de amenazas y los porcentajes de protección existente consolidada y riesgo residual consolidado, como se muestra en la figura 30. Figura 30: Consolidación de Riesgo Residual por Procesos Nivel 2: Por cada uno de los procesos indicados en el nivel 1, CONTROLRISK muestra las categorías de riesgo críticas del proceso sobre las cuales se enfatizó el EGR en el módulo 1. Por cada categoría muestra cantidad de amenazas y porcentajes de protección existente y riesgo residual. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
45 Figura 31: PE y RR por proceso y categorías de riesgo Nivel 3: Por cada proceso del nivel 1 y categoría de riesgo crítica del nivel 2, CONTROLRISK muestra las amenazas asociadas a la categoría; por cada amenaza presenta los porcentajes de PE y RR (Figura 32). Figura 32: PE y RR por proceso, categorías de riesgo y Amenaza Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
46 Nivel 4: Por cada proceso de la organización del nivel 1, CONTROLRISK muestra la cantidad de amenazas en niveles de riesgo residual Muy Alto, Alto y Aceptable (Figura 33). Figura 33: Perfil de Riesgo Residual consolidado por Procesos Haciendo clic sobre la cantidad de amenazas asociadas a cada nivel de riesgo residual (Muy alto, Alto y Moderado) CONTROLRISK muestra los rangos de pérdidas estimadas de las amenazas asociadas al nivel de riesgo seleccionado, como se muestra en la Figura 34. Figura 34: Rangos de Pérdida por Amenazas Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
47 b) Consolidación del perfil de riesgo residual - Presentado por categorías de riesgo La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. c) Consolidación del perfil de Riesgo Residual - vista por áreas organizacionales (dependencias) La información se presenta en cuatro (4) niveles, en forma similar a la descrita en a) para el riesgo residual consolidado por procesos. MÓDULO 6: ADMINISTRACIÓN Y ANÁLISIS DEL REGISTRO DE EVENTOS DE RIESGO OCURRIDOS (RERO) Figura 35: Menú principal del Módulo para el Registro de Eventos Ocurridos CONTROLRISK provee funcionalidades para crear y mantener actualizado una base de datos con el registro de eventos de pérdida por riesgo ocurridos, de acuerdo con las especificaciones del modelo Basilea II. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
48 Figura 36: Ingreso de registro de Eventos de pérdida Ocurridos CONTROLRISK provee funcionalidades para analizar los eventos de riesgo ocurridos, de tal forma que la entidad pueda tomar las medidas necesarias para evitar que se vuelva a presentar la ocurrencia del evento figura 37. Figura 37: Análisis evento de Riesgo Operativo Ocurrido Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
49 CONTROLRISK permite obtener una serie de reportes de eventos de pérdida ocurridos, por diferentes conceptos tales como línea de negocio, tipos de evento de pérdida (categorías de riesgo y cuantías, entre otros, como se muestra en las figura 38). Figura 38: Opciones de reportes del Módulo de Evento de Riesgo Operativo MÓDULO 7: MONITOREO DEL PLAN DE CONTINUIDAD DEL NEGOCIO (BCP) CONTROLRISK provee funcionalidades para verificar la disponibilidad de recursos requeridos por el Plan de Continuidad del Negocio (BCP), las estrategias de continuidad implementadas en la organización y el estado de preparación para ejecutar los procedimientos de administración de crisis, el plan de respuesta a emergencias y el plan de retorno a la normalidad. El software tiene opciones para crear y mantener actualizada una lista de comprobación de los elementos claves del Plan de Continuidad del Negocio (BCP), para ser diligenciada por los jefes o funcionarios de mayor jerarquía dentro de las áreas organizacionales de la Empresa. Figura 39: Menú Principal del Módulo de BCP Estas guías deben aplicarse periódicamente, al menos una vez cada seis meses, según decisión que corresponde tomar a la Gerencia de Riesgos. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
50 Figura 40: Pasos de Monitoreo al Plan de Continuidad del Negocio CONTROLRISK presenta los resultados del monitoreo organizados por tipos de área, áreas organizacionales, actividades claves del BCP y las categorías de riesgo definido por el modelo de riesgos de la entidad, como se ilustra en la figura 41. Figura 41: Cumplimiento de Requerimientos del BCP por Áreas Organizacionales Los resultados del monitoreo se presentan en tres (3) matrices con la medición de la exposición a riesgos según el porcentaje de cumplimiento de los requerimientos establecidos para el BCP. Se producen tres matrices: a) Por Tipos de Áreas (Alta Gerencia, Administración de Tecnología, Áreas de la Dirección General); b) por áreas organizacionales; y c) por actividades clave del BCP. Cada matriz muestra las prioridades (ranking) riesgos, por filas y columnas, así: para el plan de tratamiento de a) Categorías de riesgo y tipos de áreas. b) Categorías de riesgo y áreas organizacionales Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
51 c) Categorías de riesgo y actividades clave del BCP. La matriz de Categorías de riesgo Vs Tipos de áreas se ilustra en la figura 42. Figura 42: Exposición a Riesgos de Continuidad de Negocio por Tipos de Área MÓDULO 8: AUDITORÍA AL SISTEMA DE GESTION DE RIESGOS, BCP Y RERO CONTROLRISK ofrece funcionalidades para realizar la auditoría a los siguientes componentes del sistema de Administración Integral de Riesgos (SAIR): a) Módulo 1- Gestión de Riesgos y Diseño de controles por proceso o sistema de información. b) Módulo 3- Registro de Eventos de Riesgo Ocurrido (RERO). c) Módulo 4 Auditoría al Plan de Continuidad del Negocio (BCP). Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
52 Figura 43: Opciones de Auditoría Por cada componente del SAIR, la auditoría consta de cuatro pasos, que deben ser ejecutados secuencialmente, ellos son: 1. Planeación de la Auditoría. 2. Ejecución de la Auditoría. 3. Comunicación de los resultados. 4. Seguimiento a recomendaciones de la Auditoría. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
53 A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE CONTROLRISK? La metodología del software CONTROLRISK está orientada a apoyar el trabajo de: Gerentes y Analistas de Riesgos Administradores de Seguridad en Tecnología de Información Auditores Internos y de Sistemas para auditar la Gestión de Riesgos. Funcionarios con responsabilidades de Diseño / Evaluación del Sistema de Control Interno. Gerentes y Analistas de Proyectos Funcionarios de Gestión de la Calidad o de Organización y Métodos. Equipos de Desarrollo de Sistemas. QUE RECIBE EL USUARIO DEL SOFTWARE CONTROLRISK? Por cada licencia monousuario o en red el usuario de CONTROLRISK recibe los siguientes elementos: Un CD-ROM que contiene: El software ejecutable CONTROLRISK Manual del usuario (E-book). Las bases de datos de conocimientos estándar. Dos ejemplos desarrollados con CONTROLRISK para la Empresa MORRAOS DE COLOMBIA (encajada en la estructura del software, para propósitos de prueba y entrenamiento). La licencia de uso del software a perpetuidad, por tiempo indefinido. SERVICIO DE SOPORTE TÉCNICO Y ACTUALIZACIONES AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y actualización, el cual incluye soporte telefónico o vía internet al usuario para resolver inquietudes relacionadas con la operación y funcionamiento de la metodología CONTROLRISK. Los desarrolladores de CONTROLRISK para Windows se encuentran en constante interacción con los usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios vía Internet en su página o suministradas en formato CD ROM directamente. El contrato anual de soporte técnico y actualización incluye: Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
54 Soporte técnico ofrecido por funcionarios de AUDISIS especializados en CONTROLRISK. Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de la metodología cada vez que se produzcan. Por el primer año, contado desde la fecha de compra, el contrato de soporte técnico no tiene costo para el usuario de CONTROLRISK. REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA IMPLEMENTAR CONTROLRISK Motor de Bases de Datos: SQL Server versión 2005 y posteriores. Herramienta de Desarrollo: Visual Studio. Idioma español en pantallas y manuales. Sistema Operativo: Windows 2000, Windows Server 2003 y 2008, NT, Vista, Windows 7. Excepto las versiones Home. Memoria RAM: 1 GB. Capacidad de Disco: 20 GB. Internet Explorer 6.0 o superiores PERFIL DEL PROVEEDOR DE CONTROLRISK AUDISIS LTDA, Auditoría Integral y Seguridad de Sistemas de Información Ltda., es una firma de Auditores Consultores Gerenciales, especializada en Gestión de Riesgos, Seguridad y Auditoría de Sistemas de Información, constituida legalmente el 23 de Septiembre de 1.988, Mediante escritura pública No de la Notaría 4 del círculo de Bogotá, con registro vigente en la Cámara de Comercio de Bogotá bajo el número de matrícula La misión de AUDISIS es ofrecer servicios profesionales especializados de calidad superior y herramientas de productividad en los campos de Gestión de Riesgos, controles, seguridad y auditoría de sistemas de información, software de auditoría, técnicas y herramientas de auditoría asistidas por computador (CAATTs), control interno organizacional y auditorías financiera, operativa y de gestión. EMPRESAS QUE UTILIZAN CONTROLRISK. Sector Financiero Acciones y Valores S.A Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
55 CREDISERVIR Cooperativa de Ahorro y Crédito Ocaña. PROGRESSA Entidad Cooperativa de Ahorro y Crédito CONFIAR Cooperativa Financiera- Medellín. Banco Popular. Contraloría Cajas de Compensación Familiar. Compensar. Caja de Compensación Familiar. Bogotá. Auditoría General CAJA DE COMPENSACION FAMILIAR DEL TOLIMA COMFENALCO TOLIMA. Caja de Compensación Familiar de la Guajira Comfaguajira. Caja de Compensación Familiar de Arauca COMFIAR. Entidades del Gobierno. Comisión Nacional de Televisión CNTV OCENSA, Oleoducto Central de Colombia. INSTITUTO NACIONAL DE VIAS INVIAS. Coordinación Área de Desarrollo Informático. Año Contraloría General De La República de Colombia. Dirección de Control Interno. ESSA. Empresa Electrificadora de Santander. Oficina de Control Interno. Sector Industrial. AVESCO Grupo KoKorico. Contraloría Interna. LAFAYETTE. Indústria Textilera. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
56 Sector Educativo. Universidad La Gran Colombia Bogotá. Facultad de Contaduría. Universidad Central de Bogotá. Facultad de Contaduría. Universidad Autónoma de Colombia. Facultad de Contaduría. Universidad Militar Nueva Granada. Bogotá. Facultad de Ciencias Económicas. Universidad Panamericana. Bogotá - Facultad de Contaduría. Universidad Santo Tomas Bucaramanga Facultad de Contaduría. Universidad Católica de Colombia Bogotá. Facultad de ingeniería de sistemas. Universidad Pedagógica y Tecnológica de Colombia. UPTC Tunja. CLIENTES EN OTROS PAISES En Ecuador Banco Central del Ecuador. Auditoría. En Costa Rica Cervecería de Costa Rica. Contraloría En Guatemala Superintendencia de Bancos (Guatemala) En República Dominicana Banco Central - Auditoría. En Bolivia Banco Santacruz. Auditoría En Honduras Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
57 Banco Centroamericano de Integración Económica (BCIE). Contraloría y Auditoría Interna. En Perú Contraloría General de la República del Perú. Universidad Unión Peruana. Lima Perú. Software de Administración Integral de Riesgos y Diseño de Controles CONTROLRISK
SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS
Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios
Más detallesSoftware de Administración Integral de Riesgos y Diseño de Controles
Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del
Más detallesSoftware de Administración Integral de Riesgos y Diseño de Controles
Software de Administración Integral de Riesgos y Diseño de Controles Versión 2015 Contenido ControlRisk: Qué es y para Qué Sirve?. Características del Software ControlRisk. Especificaciones Técnicas del
Más detallesLINEAMIENTOS ADMINISTRACIÓN DEL RIESGO
LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5
Más detallesMACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO
PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesCONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA
CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesSOFTWARE DE AUDITORÍA BASADA EN RIESGOS
Versión 2012 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Calle 53 No. 27-33 Oficina 602 Tels.: 2556717 2556757 2556816,
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesPRESENTACION DEL PRODUCTO
Versión 2014 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS PARA PROCESOS Y SISTEMAS DE INFORMACION PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios Orientados
Más detalles2. DEFINICIÓN DEL SISTEMA INTEGRADO DE GESTIÓN - SIG
2. DEFINICIÓN DEL SISTEMA INTEGRADO DE GESTIÓN - SIG Para poder entender cuál es el propósito del SISTEMA INTEGRADO DE GESTIÓN - SIG, lo primero que debemos tener claro son los conceptos de SISTEMA, GESTIÓN
Más detallesAuditoria de Sistemas Basada en Riesgos
Las Auditorías de Sistemas, internas ó externas, realizan un examen sistemático, objetivo e independiente de la eficiencia, eficacia y seguridad en los procesos y operaciones de tecnología de información,
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesADMINISTRACIÓN DEL RIESGO
PÁGINA: 1 DE 8 REVISÓ JEFE DE OFICINA DE CONTROL INTERNO APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 8 1. OBJETIVO Definir las actividades para la identificación, análisis, valoración y calificación
Más detallesMANUAL DE POLITICAS DE RIESGO ESTRATEGICO
MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata
Más detallesRELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA
RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesInformación del Proyecto en http://colombia.casals.com
ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN
Más detallesCOSO II: Enterprise Risk Management Primera Parte
COSO II: Enterprise Risk Management Primera Parte www.nasaudit.com 31/07/2009 COSO II: ENTERPRISE RISK MANAGEMENT PRIMERA PARTE Como lo comentamos en uno de nuestros anteriores boletines, existen en la
Más detallesGestión de Riesgos en Proyectos
GRUPO VISIÓN PROSPECTIVA MÉXICO 2030 Gestión de Riesgos en Proyectos Mauricio Jessurun Solomou mjess@unisolmexico.com Luis Miguel Arroyo lmarroyoi@emsi.com.mx Julio, 2015 Gestión de Riesgos en Proyectos
Más detallesSISTEMA DE GESTIÓN DE RIESGOS
SISTEMA DE GESTIÓN DE RIESGOS Como parte del compromiso del Directorio con las buenas prácticas de Gobierno Corporativo, COPEINCA ha implementado un Sistema de Gestión de Riesgos, bajo la metodología COSO
Más detallesTIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7
PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,
Más detallesPLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015
1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que
Más detallesAudire V.3 FECHA DEL BOLETÍN BOLETIN 15
Audire V.3 FECHA DEL BOLETÍN BOLETIN 15 INTRODUCCION En los últimos años los sistemas de información han venido aportando a los procesos de las empresas una gran ayuda en la recopilación y administración
Más detalleswww.datasec-soft.com metodología de evaluación y control de riesgos
El Gobierno de la TI es una parte importante de la Gobernabilidad Empresarial que apunta a desarrollar procesos, estructuras organizacionales y liderazgo para asegurar que la Tecnología de la Información
Más detallesESTRUCTURA DEL MODELO ESTÁNDAR DE CONTROL INTERNO
ESTRUCTURA DEL MODELO ESTÁNDAR DE CONTROL INTERNO Estructura del Modelo Estándar de Control Interno. Con fundamento en los artículos 1, 3 y 4 de la Ley 87 de 1993, el Modelo Estándar de Control Interno
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detallesMANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD
Más detallesDOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «
ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile ) FRAUDE DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «DOCUMENTOS DE APOYO PARA EL ANALISIS Y REVISIÓN
Más detallesGESTIÓN DE RIESGOS. Oficina de Planeación 2013
GESTIÓN DE RIESGOS Oficina de Planeación 2013 AGENDA 1. QUÉ ES LA GESTIÓN DE RIESGOS? 2. ETAPAS DE LA GESTIÓN DEL RIESGO 3. CLASES DE RIESGOS 4. CATEGORIAS DE RIESGOS 5. CAUSAS Y EFECTOS ASOCIADAS A LOS
Más detallesRIESGO DE LAVADO DE ACTIVOS
RIESGO DE LAVADO DE ACTIVOS CONOZCA A SU AFILIADO/CLIENTE Una gestión eficaz de los riesgos financieros exige en la actualidad procedimientos de Conozca a su Afiliado/Cliente más sólidos, amplios y seguros.
Más detallesPOLITICA DE ADMINISTRACION DEL RIESGO
POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política
Más detallesINFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN
INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 En cumplimiento de lo dispuesto en al artículo 9 de la Ley 1474 de 2011, a continuación se presenta el informe del
Más detallesMatriz de Riesgo, Evaluación y Gestión de Riesgos
Matriz de Riesgo, Evaluación y Gestión de Riesgos Cualquier actividad que el ser humano realice está expuesta a riesgos de diversa índole los cuales influyen de distinta forma en los resultados esperados.
Más detallesLA IMPORTANCIA DE LOS TABLEROS DE CONTROL. Conocido también como Cuadro de Mando Integral (CMI) o tablero de comando o balanced scorecard.
LA IMPORTANCIA DE LOS TABLEROS DE CONTROL Jack Fleitman Conocido también como Cuadro de Mando Integral (CMI) o tablero de comando o balanced scorecard. La mayoría de las empresas grandes lo utilizan para
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesTecnología de la Información. Administración de Recursos Informáticos
Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detallesEstándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.
GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesGUÍA 14 Diseño de Planes y Programas. Descripción
GUÍA 14 Diseño de Planes y Programas Descripción El Diseño de Planes y Programas tiene como objetivo elaborar la proyección de la institución a corto, mediano y largo plazo, e impulsar y guiar las actividades
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesMETODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP
METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesPROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO
PROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO UNIDAD: TÉCNICOS DE LABORATORIOS DE DEPARTAMENTOS, CENTROS E INSTITUTOS DE INVESTIGACIÓN (UTLA). Fecha de realización: DICIEMBRE
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesPROCEDIMIENTO GESTIÓN DE CAMBIO
Pagina 1 1. OBJETO Asegurar la integridad del sistema de gestión en la cuando se hace necesario efectuar cambios debido al desarrollo o modificación de uno o varios procesos, productos y/o servicios, analizando
Más detallesUN RECORRIDO POR LA FAMILIA ISO
UN RECORRIDO POR LA FAMILIA ISO 2 de Mayo de 2006 BOLETIN 26 Introducción a la Familia ISO La serie ISO 9000 consta de cuatro normas básicas respaldadas por otros documentos. ISO 9000:2000, Quality management
Más detallesACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos
Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesPOLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.
POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y
Más detallesLINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD
Departamento Nacional de Planeación Bogotá, 2015 PAGINA: 2 de 15 TABLA DE CONTENIDO 1 INTRODUCCIÓN... 3 2 OBJETIVO... 3 3 ALCANCE... 3 4 REFERENCIAS NORMATIVAS... 3 5 DEFINICIONES... 4 6 DOCUMENTOS ASOCIADOS...
Más detallesSIG ANALISIS DE SEGURIDAD EN EL TRABAJO
PAGINA: 1 de 6 1. OBJETIVO Definir una metodología para realizar el análisis de los peligros en las tareas de alto riesgo llevadas a cabo en la organización y definir los controles para realizar los trabajos
Más detallesMAPA DE RIESGO INSTITUCIONAL
MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesPROPUESTA DE CERTIFICACION
PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesPara cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:
Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesPROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS
Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio
Más detallesProcedimiento de gestión de auditorias internas de calidad
Procedimiento de gestión de auditorias internas de calidad Procedimiento de gestión de auditorias internas de calidad Procedimiento de gestión de auditorias internas de calidad PROCEDIMIENTO DE GESTIÓN
Más detallesCOSO II ERM y el Papel del Auditor Interno
COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves
Más detallesPREPARADO POR: FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05
3. MONITORÍA Y EVALUACIÓN DE LA GESTIÓN SS-UPEG-3 PREPARADO POR: EQUIPO CONSULTOR FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05 VERSIÓN Nº: 1 Secretaría de Salud de Honduras - 2005 PÁGINA 2
Más detallesAuditorías Reglamentaria o Legal de Prevención de Riesgos Laborales
Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales El art. 30.6 de la Ley de Prevención de Riesgos Laborales, establece que "la empresa que no hubiera concertado el servicio de prevención
Más detallesIT Project Portfolio Management y su vinculación con la Estrategia Corporativa
IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesAprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE PROGRAMACIÓN DE OPERACIONES
Aprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE REGLAMENTO ESPECÍFICO TITULO I GENERALIDADES CAPITULO I DISPOSICIONES GENERALES Artículo 1. Objetivo y ámbito de aplicación
Más detallesSOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS
SOFTWARE PARA AUDITORÍA Y GESTIÓN DE RIESGOS Por qué utilizar Software de Auditoría? Contenido: AUDIRISK IDEA 2 3 SMART ANALYZER FINANCIAL 4 EXAMINER 4 SMART EXPORTER 4 WORKING PAPERS 4 El uso de software
Más detallesPROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010
Código: PSI03 Versión: 1 PROCEDIMIENT PLAN ANUAL DE AUDITORÍAS Fecha Aprobación: Septiembre 16 de 2010 Nro. de páginas: 5 PROCEDIMIENTO PLAN ANUAL DE AUDITORÍAS Fecha de aprobación: septiembre 16 de 2010
Más detallesCOMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL
COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesGestión de la Prevención de Riesgos Laborales. 1
UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD
Más detallesPROCEDIMIENTO DE AUDITORÍA INTERNA DE CALIDAD
Página 1 de 9 1. OBJETIVO Establecer el proceso para realizar las auditorias internas de calidad a fin de que permitan verificar que el Sistema de Gestión de la Calidad cumple con lo establecido en la
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesDeloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director
Más detallesTratamiento del Riesgo
Tratamiento del Riesgo 1 En que consiste el tratamiento de los riesgos? 2. Cuando debemos enfrentarnos a los riesgos? 3. Estrategias de tratamiento de riesgos 4. Modelo de Análisis de Riesgos 5. Qué pasos
Más detallesGUÍA 33 Diseño de Controles y Análisis de Efectividad. Descripción. Requerimientos. Responsables
GUÍA 33 Diseño de Controles y Análisis de Efectividad Descripción El diseño de los controles se realiza a base de las políticas de operación de la institución, el análisis y la evaluación de los riesgos
Más detalles14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesRIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.
RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión
Más detallesComo incrementar su productividad con controles contínuos. Cr. Emilio Nicola, PMP
Como incrementar su productividad con controles contínuos Cr. Emilio Nicola, PMP Auditoría continua Auditoría está cansada de llegar y contar muertos Es tiempo de comenzar a salvarlos. Carlos Fernando
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesOrientación sobre el concepto y uso del Enfoque basado en procesos para los sistemas de gestión
Orientación sobre el concepto y uso del Enfoque basado en procesos para los sistemas de gestión Documento: ISO/TC 176/SC 2/N 544R2 Diciembre 2003 ISO 2003 Traducción aprobada el 2004-04-27 Prólogo de la
Más detalles