Descargar Presentación

Software de Administración de
Riesgos y Diseño de Controles
Versión 2016
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
Agenda
ControlRisk: Qué es y para Qué Sirve?.
Características del Software ControlRisk que generan valor
a las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la Compra o Arrendamiento del
software?
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
2
El Software ControlRisk
Qué es y Para Qué Sirve?.
Es un software en Tecnología Web (Cloud Computing),
para soportar a corto, mediano y largo plazo, las
actividades de Implantación, Operación y Auditoría
del proceso de Gestión de Riesgos Empresariales,
de conformidad con la norma ISO 31000:2009 y el
marco de referencia ERM (Enterprice Risk
Management).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
3
3
ISO 31000 – Elementos del Proceso de Gestión del Riesgo
6.3. Establecer el Contexto
6.4. Valoración de riesgos
6,2
Comunicación
y
consulta
6.4.2 Identificación del riesgo
6.4.3 Análisis de riesgos
6,7
Monitoreo
y
revisión
6.4.4 Evaluación de riesgos
6.5 Tratamiento del riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
4
4
El Software ControlRisk
Qué es y Para Qué Sirve?.
Provee funcionalidades para conducir las siguientes actividades
de la Gestión de Riesgos Empresariales:
1) Implantar el ciclo PHVA de la Gestión de Riesgos en los procesos del
modelo de operación de la empresa, los procesos de TIC y los Sistemas de
Información automatizados (aplicaciones de computador ó módulos de ERPs)
de la Empresa.
2) Mantener disponible y Actualizada la Base de Datos de “Conocimientos de
Gestión de Riesgos y Controles de la Empresa”.
3) Construir y actualizar el Perfil Consolidado de Riesgos de la Empresa.
4) Crear y mantener actualizada la Base de Datos de Eventos de Riesgo
Ocurridos en la organización.
5) Monitorear el funcionamiento del Plan de Continuidad del Negocio de la
Organización.
6) Auditar la Gestión de Riesgos Empresariales.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
5
5
El software ControlRisk
Qué es y para que sirve?
•
CONTROLRISK:
Automatiza las actividades
de
implantación,
monitoreo, actualización y
mejoramiento continuo de
diferentes
Sistemas
de
Gestión de Riesgos (SGR) en
la Empresa:
•
•
•
•
•
•
SARO:
Sistema
de
Administración
de
riesgo
operativo.
SARLAFT:
Sistema
de
Administración de Riesgos de
Lavado
de
Activos
y
Financiación del Terrorismo.
Riesgos de Seguridad y Salud
Ocupacional.
Riesgos de Seguridad de la
Información.
Riesgos Ambientales.
Riesgos en el Sector Salud (Res
1740 de 2008 MPS).
Riesgos del MECI (DAFP).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
6
El software ControlRisk
Qué es y para que sirve?
CONTROLRISK
Consta de siete (7)
módulos
interrelacionados:
1. Administración de Usuarios;
2. Configuración del Software;
3. Implementar
Gestión
de
Riesgos
por
Procesos
(desarrollar Ciclo PHVA de la
gestión de riesgos).
4. Consolidar el Perfil de riesgos /
Mapa
de Riesgos de la
Empresa.
5. Crear y Mantener Actualizada
la base de datos de Eventos de
Riesgos Ocurridos (RERO) en la
Organización.
6. Monitorear
el
Plan
de
Continuidad del Negocio (BCP)
de la Organización.
7. Auditar el Sistema de Gestión
de Riesgos de la Organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
7
Módulos de ControlRisK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
8
El software ControlRisk
Qué es y para que sirve?
Los
perfiles
de
acceso
CONTROLRISK son los siguientes:
Módulo 1: Administración
de Usuarios
CONTROLRISK Ofrece dos opciones
de autenticación de usuarios:
1) Autenticación manejada por la
aplicación de Gestión de
Riesgos ( ControlRisk) y
2) Autenticación a través del
directorio activo usado en los
sistemas operativos Windows
en
• Gerente de Riesgos.
• Administrador de Usuarios.
• Administrador de EGR (Estudio de Gestión de
Riesgos.
• Analista de Riesgos.
• Auto-evaluador – Monitoreo de riesgos, CSA.
• Administrador RERO.
• Auxiliar de RERO.
• Administrador BCP.
• Auto-evaluador del BCP.
• Solo Consulta.
• Administrador de Auditoría.
• Auditor.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
9
Módulo 2: Parametrización del
Software
Objetivos:
1. Dar Mantenimiento a la Base de Conocimientos de Gestión
de Riesgos Estándar, suministrada por el proveedor, como
base para iniciar el uso del software.
•
•
•
•
•
Categorías de Riesgo.
Eventos de Riesgo Inherentes (amenazas) por categoría de riesgo.
Controles por Evento de riesgo inherente.
Objetivos de Control.
Otras.
2. Poblar tablas de la Base de Conocimientos con información
privada específica de la Empresa licenciataria.
3. Definir parámetros para CALIFICAR (medir) la severidad del
riesgo antes y después de tratamientos, efectividad de los
controles, los resultados del monitoreo, estado de las acciones
de tratamiento y otros.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
10
El software ControlRisk
Qué es y para que sirve?
CONTROLRISK
para:
Módulo
Configuración
Software.
2:
del
provee funcionalidades
•
Poblar la Base de Conocimientos de
Gestión de Riesgos con información
privada de la Empresa.
•
Definir estándares de Gestión de Riesgos
de la Empresa (Severidad de los riesgos,
efectividad de Controles, indicadores
de riesgo).
• Configurar el correo corporativo de la
Unidad de Riesgos y la configuración y
envío automático de mensajes de
recordatorio por Correo electrónico
sobre Acciones de Tratamiento y
Acciones de Mejoramiento.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
11
Alcance de la Gestión de Riesgos
Empresariales en ControlRisk.
Módulo 3: Implantación de la Gestión de Riesgos en los
Procesos y servicios de Tecnología de Información de la
Empresa.
Módulo 4: Consolidación de Perfiles de Riesgo de la
Organización.
Módulo 5: El Registro de Eventos de Riesgo ocurridos (RERO) –
Creación y administración base de datos.
Módulo 6: Monitoreo / Auto-aseguramiento del Plan de
Continuidad del Negocio (BCP).
Módulo 7: Auditoría al Sistema de Administración de Riesgos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
12
Módulo 3:
Implantación de la Gestión de Riesgos
en los Procesos y Servicios de
Tecnología de Información de la
Empresa.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
13
Módulo 3: Implantar la Gestión de
Riesgos por Proceso o Sistema
Objetivos del Módulo.
1. Conducir el desarrollo de las fases, etapas y pasos del proceso de implantación
y/o mantenimiento del proceso de Gestión de Riesgos Empresariales, en los
procesos del modelo de operación y la TIC de la Empresa, de conformidad con
ISO 31000 – Desarrollar el ciclo PHVA de la Gestión de Riesgos, por cada
proceso o sistema:
•
•
•
•
P: Planear (Identificar, analizar, evaluar los riesgos inherentes, diseñar
tratamientos).
H: Hacer (implementar la gestión de riesgos y el plan de tratamientos).
V: Verificar (Monitorear / Revisar periódicamente el funcionamiento de la
gestión de riesgos).
A: Actuar / Corregir (Implantar Acciones de Mejoramiento producto de
cada monitoreo).
2. Generar / Actualizar el Manual de Gestión de Riesgos de cada proceso o sistema.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
14
El ciclo PHVA de Implantación del Sistema de
Administración Integral de Riesgos (SAIR) (1)
(1) En los procesos y sistemas de la organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
15
ISO 31000: 2009 - Relación entre los
Principios, Marco De Referencia y Proceso.
Valoración de
Riesgos
______________________________________________________________
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
16
Módulo 3: Implantar la Gestión de
Riesgos en los Procesos y Sistemas
Factores Críticos para la Implantación Exitosa.
1) Obtener el Compromiso de la Gerencia.
2) Definir el Framework o Marco de Referencia de la Gestión de Riesgos de la
Organización (de acuerdo con ISO 31000 ó ERM).
3) Armonizar / alinear la Gestión de Riesgos Empresariales con la Estructura del
Sistema de Control Interno de la Organización (COSO + COBIT + ISO 27001).
En el sector publico de Colombia: MECI + COBIT + ISO 27001.
4) Armonizar la Gestión de Riesgos con el Sistema de Gestión de Calidad (ISO
9001) y otros sistemas de gestión: Ambiental, Salud Ocupacional, gestión de
continuidad del negocio – BCP – y el Sistema de Gestión de Seguridad de la
Información (ISO 27001).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
17
17
Módulo 3: Implantar la Gestión de
Riesgos por Proceso o Sistema
“Modelo” del Contenido del Framework de la
Gestión de Riesgos en la Empresa.
1) Política de Gestión del Riesgo para la Empresa.
2) Definición Contexto Externo e Interno de la Organización.
3) Universo de Riesgos de la Empresa - Modelo de categorías o clases de eventos de riesgo
aplicables a las operaciones de la organización.
4) Objetivos y Alcance de la Gestión de Riesgos en la Empresa.
5) Estructura organizacional y Tecnológica para soportar el SGR en la empresa.
6) Definición del Apetito de Riesgos de la Organización.
7) Definición del Nivel de Tolerancia a Riesgos.
8) Roles y responsabilidades en la administración del riesgos en la organización.
9) Procedimientos para identificar, documentar, evaluar, controlar y monitorear los riesgos
inherentes en los procesos y la TI – Ciclo PHVA de la gestión de riesgos.
10) Criterios de aceptación de riesgo, criterios de efectividad de los controles y procedimiento de
tratamiento de riesgos.
11) Procedimientos que deben implantar los órganos de control frente al SGR.
12) Estrategias de capacitación y Divulgación del SGR.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
18
18
El software ControlRisk
Qué es y para que sirve?
Módulo 3: Gestión
de Riesgos por
Proceso o Sistema.
Implantar, monitorear y
mantener actualizada la
Gestión de Riesgos , en:
ALCANCE DE LA IMPLANTACION.
• Los Procesos del Modelo de Operación de la
Empresa – Mapa de Procesos (Estratégicos,
Misionales, de Apoyo y de Supervisión y
Control).
• Los Procesos de la Infraestructura de
Tecnología Información (Modelos COBIT e
ITIL).
• Los Sistemas de Información Automatizados
(Aplicaciones de Computador ó Módulos de
ERPs).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
19
ISO 31000 – Elementos del Proceso de Gestión del Riesgo
6.3. Establecer el Contexto
6.4. Valoración de riesgos
6,2
Comunicación
y
consulta
6.4.2 Identificación del riesgo
6.4.3 Análisis de riesgos
6,7
Monitoreo
y
revisión
6.4.4 Evaluación de riesgos
6.5 Tratamiento del riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
20
Implantación de la Gestión de Riesgos en
los procesos y sistemas de la Empresa
Los dos Estados de los Riesgos.
Riesgo Inherente (potencial). Riesgo Antes de Controles. Es el riesgo a cual están
expuestos los procesos o las actividades, dada su naturaleza. Es intrínseco. Este riesgo no
puede ser evitado, pero si puede ser mitigado. Su SEVERIDAD se evalúa sin tener en
cuenta los controles establecidos en la Entidad.
Riesgo residual. Riesgo después de Controles /Tratamientos de riesgo. Es el riesgo que
resta o queda después de aplicar los controles o tratamientos establecidos.
Según ISO 31000: “el riesgo residual es el riesgo que permanece o persiste después de
implementada una opción de tratamiento de riesgos. Este es el riesgo remanente
después de que haya reducido el riesgo, removido el origen del riesgo, modificado las
consecuencias, cambiado las probabilidades, transferido el riesgo, o retenido el riesgo”.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
21
Implantación de la Gestión de Riesgos en
los procesos y sistemas de la Empresa
Ejemplo: Dos Estados de los Riesgos, por Evento Negativo (Amenaza).
Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
Riesgo Inherente (Potencial): Riesgo antes de Controles. (evento) a la que se expone el
Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:
•
•
•
Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.
Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.
Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
Riesgo Residual: Riesgo después de Controles y Tratamientos. Amenaza (Evento) no
protegida o no cubierta por los controles establecidos. Evaluación: B - Bajo (Tolerable).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
22
Implantación de la Gestión de Riesgos en
los procesos y sistemas de la Empresa
Qué es y para que sirve?
ETAPAS DE LA METODOLOGIA
Módulo 3: Gestión de
Riesgos por Proceso o
sistema.
Por cada Proceso ó
Aplicación de Computador,
desarrollar el Ciclo PHVA de
la gestión de riesgos:
• Etapa 1: Definir el Contexto de Riesgos del
Proceso.
• Etapa 2: Identificar,
analizar
y
documentar los riesgos que podrían
presentarse.
• Etapa 3: Elaborar Cubo de Riesgos del
Proceso.
• Etapa 4: Diagnóstico sobre Controles
Existentes y Tratamiento de los riesgos.
• Etapa 5: Evaluación Costo / Beneficio de
los Controles.
• Etapa 6: Asignar Responsables de Ejecutar
y Supervisar los Controles.
• Etapa 7: Monitoreo (Autoevaluación) y
Mejoramiento de la Gestión de riesgos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
23
Metodología para Implantar la GR en los
procesos y Sistemas de la organización
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 1
1
2
Establecer Contexto
del Proceso
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Caracterización
3
Identificar y Analizar
Riesgos Inherentes
Riesgos/ Amenazas
Críticas
Definir Opciones
Manejo de Riesgos
4
Elaborar Mapa de
Riesgos Inherentes.
Evaluación de Riesgos /
Diagnóstico sobre
Protección Existente
3 Matrices - Cubo
de Riesgos Críticos
Localización
Amenazas
Medir Protección
Existente. Elaborar
Plan de Tratamientos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
24
Metodología para Implantar la GR en los
procesos y Sistemas de la organización
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 1
5
Implementar
Tratamientos
Documentar Controles
/ Tratamientos
Análisis Eficacia /
Eficiencia
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
25
Metodología para Implantar la GR en los
procesos y Sistemas de la organización
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 2
6
7
8
Implantar , socializar
y concienciar
Asignar
Responsables
Entrenamiento
y
concienciación
Monitorear Riesgos
y Controles (CSA)
Generar Manual de
Administración
de Riesgos del proceso
Medir Protección
Existente y Riesgo
Residual
Mapa de
Riesgos y
Controles
No No
Conformidades
/ /
Conformidades
Debilidades
Debilidades
Guías de
Monitoreo / CSA
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
26
Implantación de la Gestión de Riesgos en
los procesos y sistemas de la Empresa
Entregables de la Gestión de Riesgos “por cada
proceso o Sistema” – Modelo 1) Definición del Contexto Interno y Externo del Proceso.
2) Categorías de Riesgo Aplicables al Proceso.
3) Identificación y análisis de eventos de riesgo negativos (amenazas), por
Categoría (clase) de eventos de riesgo y factor de riesgo (el recurso humano, los
procesos, la tecnología, la infraestructura y los acontecimientos externos).
4) Estimación del Nivel de Severidad de los Riesgos Inherentes (eventos de riesgo antes
de controles).
5) Mapas de Riesgos Inherentes.
6) Perfil de riesgo inherente del proceso (por categoría de riesgo, áreas organizacionales
y escenarios de riesgo y factores de riesgo).
7) Cubo de Riesgos del proceso.
8) Objetivos de control que deben satisfacerse para el proceso.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
27
Implantación de la Gestión de Riesgos en
los procesos y sistemas de la Empresa
Entregables de la Gestión de Riesgos “por cada
proceso o sistema” (Cont).
7) Opciones de manejo del riesgo (acciones de respuesta a riesgos), por cada evento de
riesgo potencial (asumir, evitar, mitigar, transferir, distribuir).
8) Controles establecidos, para los eventos de riesgo identificados (amenazas).
9) Evaluación del Diseño y Efectividad de los controles establecidos por Evento de
Riesgo (Medición de la Protección Existente y del riesgo residual, después de
controles.
10) Definición del Plan de Tratamiento de Riesgos, para Eventos de Riesgo no protegidos
apropiadamente.
11) Mapas de Riesgos Residuales – Antes y Después de Tratamientos.
12) Cargos responsables de ejecutar y supervisar los controles.
13) Guías de Monitoreo (autoevaluación o auto-aseguramiento) de los riesgos y de los
controles.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
28
El software ControlRisk
Qué es y para que sirve?
Módulo 4:
Consolida los Perfiles de
Riesgo de los procesos y
sistemas de la
Organización.
Construye el Perfil de
riesgos a nivel Institucional,
con los resultados del último
Monitoreo.
• Perfil
de
Riesgos
Inherentes
consolidado: a) Por Categorías de
Riesgo; b) Por Áreas Organizacionales
y c) Por tipos de procesos.
• Perfil
de Riesgos Residuales
consolidado: a) Por Categorías de
Riesgo; b) Por Áreas Organizacionales y
c) Por tipos de procesos.
• Perfil
de
Protección
Existente
Consolidada: a) Por Categorías de
Riesgo, b) Por Áreas Organizacionales
y c) Por tipos de procesos.
• Genera reportes de Alto Nivel para los
Ejecutivos de la Empresa.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
29
El software ControlRisk
Qué es y para que sirve?
Módulo 5 – RERO
Crear y mantener
actualizada la base
de datos de Eventos
de Riesgo Ocurridos
(RERO) en la
Organización.
• Crear y mantener actualizada la base de datos con el registro
histórico de los Eventos de Riesgo Ocurridos en la
Organización.
• Analizar los Eventos de Riesgo Ocurridos y evaluar Eficacia de
la Gestión de Riesgos Empresariales.
• Generar reportes de eventos de riesgo ocurridos en la
organización, por diferentes conceptos.
• Proveer información de alto nivel para consulta, análisis y
soporte de la decisiones de los Ejecutivos de la Empresa,
sobre los Eventos de Riesgo Ocurridos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
30
El software ControlRisk
Qué es y para que sirve?
Módulo 6.
Monitoreo
del Plan de Continuidad del
Negocio (BCP) de la Organización.
• Poblar / Cargar en la base de datos, los requerimientos que debe
satisfacer el BCP.
• Verifica el estado de preparación de las áreas organizacionales para
operar en caso de interrupciones.
• Mide el % de cumplimiento de los procedimientos del BCP.
• Generación Indicadores de Cumplimiento / preparación para trabajar
en modo contingencia.
• Genera Reportes del Monitoreo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
31
El software ControlRisk
Qué es y para que sirve?
Módulo 7.
Auditoría al Sistema de
Gestión de Riesgos de
la Organización.
• Auditoría a la Gestión de Riesgos por
Procesos: planeación y pruebas de
cumplimiento e informe de la auditoría.
Papeles de trabajo.
• Auditoría al Registro de Eventos de
Riesgo Ocurridos: planeación, pruebas
de cumplimiento, pruebas sustantivas,
informe de la auditoria y papeles de
trabajo.
• Auditoría al BCP: Planeación, pruebas
de cumplimiento, informe de auditoria y
papeles de trabajo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
32
Agenda
ControlRisk: Qué es y para Qué Sirve?.
Características del Software ControlRisk que Generan
Valor para las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la compra del software?
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
33
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
1)
Estandariza los procedimientos para identificar, analizar, evaluar, controlar y monitorear
los riesgos en la organización (implementa el Framework o marco de referencia de la
Gestión de Riesgos Empresariales).
2)
Define y estandariza el Universo de Categorías de Riesgos aplicables a la Empresa
(por ejemplo: las 7 de SARO, 4 de SARLAFT, 6 de MECI) que pueden presentarse en las
operaciones misionales (de negocio) y administrativas de la Empresa.
3)
Crea, construye y mantiene actualizada la Base de Datos de “Conocimientos de
Gestión de Riesgos de la Organización”. Esta contiene: Categorías de riesgos, los
eventos de riesgo (amenazas) que pueden originar cada categoría de riesgo y los
controles que sirven para reducir los eventos de riesgo a niveles aceptables.
4)
Hace que la Gestión de Riesgos Empresariales se convierta en el motor del “Sistema de
Control Interno de la Empresa”.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
34
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
5)
Implementa el Enfoque proactivo Preventivo de los Controles, en lugar del enfoque
“Reactivo o detrás de los hechos conocidos”. Es decir, establece que los controles se
diseñen, implanten y actúen antes de presentarse los riesgos inherentes - “A priori”
respecto a los riesgos.
6)
Genera o produce Guías y cuestionarios para identificar los eventos de riesgo
inherentes por categorías de riesgo, que pueden presentarse en la operaciones de
cada proceso o sistema.
7)
Estandariza criterios utilizados en la organización para analizar los riesgos
inherentes, diseñar controles y evaluar su efectividad (efectividad + eficiencia) para
reducir los riesgos inherentes a niveles aceptables de riesgo residual.
8)
Genera o produce Guías y cuestionarios para identificar los Controles que deberían
existir para reducir la SEVERIDAD de los riesgos inherentes a niveles tolerables de
riesgo residual.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
35
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
9)
Por cada proceso, crea y construye un “Cubo de Gestión de Riesgos”. Las tres
dimensiones del cubo son: a) Categorías de Riesgo Aplicables; b) Actividades que
constituyen el Ciclo PHVA del proceso, y c) Areas de la Estructura de organización y
terceros que intervienen en el proceso.
10)
Aplica y promueve la implantación del enfoque de los “tres anillos de seguridad o
Líneas de defensa” y del nivel de automatización y no discrecionalidad de los
controles, como criterios para evaluar la EFICACIA de los controles.
11)
Genera o produce Guías de Autoevaluación de Controles (en inglés CSA: Control Self
Assessment) para monitorear (auto-asegurar) periódicamente el cumplimiento de los
controles establecidos y el nivel de riesgo residual aceptable en los eventos de riesgo
inherentes, para ser diligenciadas en cada una de las dependencias que intervienen en el
proceso.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
36
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
12) “Lo que no se mide no puede administrarse”. Implementa la
cultura de medición en la gestión de riesgos Empresariales:
De La Severidad o Nivel Exposición de los Riesgos Inherentes y
Residuales.
De la Protección Ofrecida por los Controles Internos establecidos
por cada evento de riesgo inherente (amenaza),
para las tres
dimensiones del cubo de riesgos y por objetivos de control.
De La efectividad de los controles por evento de riesgo inherente y del
riesgo residual en tres momentos: a) antes de tratamientos; b) después
de tratamientos y c) en cada monitoreo.
Mantiene un registro histórico de las mediciones efectuadas a los
eventos de riesgo inherentes en los últimos once (11) monitoreos: a) de
la protección ofrecida y b) del riesgo residual.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
37
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
13) Consolida los perfiles de riesgo Inherente y Residual de los procesos y la
TIC de la Empresa. La consolidación se realiza por los siguientes conceptos:
a) por tipos de procesos (misionales, estratégicos y de soporte), b) por áreas
organizacionales y c) por categorías de riesgo.
14) Crea, construye y mantiene actualizada la base de datos de “Eventos de
Riesgo Ocurridos (RERO)” en la organización, con la que se generan
estadísticas e indicadores de riesgo.
15) Monitorea (hace seguimiento) el Plan de Continuidad del Negocio (BCP).
16) Provee funcionalidades para Auditar el Sistema de Gestión de Riesgos
Empresariales.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
38
Valor Percibido que genera
el Software para las Empresas.
Provee una Base de Datos de Conocimientos de Gestión
de Riesgos, con “best practices” universales sobre:
Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD).
Eventos de riesgo Inherentes (amenazas) que podrían presentarse.
Factores y Agentes de Riesgo.
Tipos y clases de Controles.
Controles Aplicables.
Objetivos de control.
Técnicas y procedimientos de priorización y análisis de riesgos.
Criterios de aceptación de controles efectivos.
Cuestionarios de “Best Practices” de Controles aplicables (CSA: Control Self Assessment).
Guías de Monitoreo o Auto-aseguramiento de Controles (CSA: Control Self Assessment).
Modelos de Procesos y Escenarios de Riesgo aplicables a TICs según marcos de referencia
universales vigentes (COBIT, ISO 27001, Aplicaciones de computador).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
39
Valor Percibido que genera
el Software para las Empresas.
Está alineado con estándares internacionales vigentes de
Gestión de Riesgos, Control Interno, Seguridad y Calidad
• ISO / IEC 31000: 2009 Risk Management — Guidelines on principles and
implementation of risk management.
• ISO 31010:2009 Risk Management . Risk Assessment Techniques.
• ISO Guide 73:2009 Risk Management. Vocabulary.
ERM_ 2004 - Enterprice Risk Management.
Modelos Internacionales y nacionales de Control Interno: COSO 2013, COBIT, MECI.
ISO 27001: 2013 Sistema de Gestión de Seguridad de la Información (SGSI).
ISO 20000: “Best Practices” de Gestión de Tecnologia (ITIL).
SARO: Sistema de Administración de Riesgo Operativo.
SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación
de l Terrorismo.
• Basilea II.
• ISO 22301: 2012 (BCMS, BCP).
• ISO 9001, ISO 14000, ISO 18000.
•
•
•
•
•
•
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
40
Valor Percibido que genera
el Software para las Empresas.
Aplica el enfoque “Proactivo y preventivo de los Controles”, en lugar del
enfoque “Reactivo o detrás de los hechos conocidos”. El objetivo de los
controles es asegurar el éxito de las operaciones, no es “detectar la
ocurrencia de los riesgos”.
Mide la Capacidad / Efectividad de los Controles Establecidos
(protección que ofrecen) para reducir los riesgos inherentes a niveles
aceptables de riesgo residual
1: Apropiada, ALTA.
2: Mejorable.
3: Insuficiente.
4: Deficiente
5: Muy Deficiente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
41
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
Aplica y promueve la implantación del enfoque de los “tres
anillos de seguridad o Líneas de defensa” y del nivel de
automatización y no discrecionalidad de los controles, como
criterios para evaluar la EFICACIA de los controles.
Para evaluar la Eficiencia de los Controles, aplica y promueve la
evaluación del Costo / Beneficio de los Controles.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
42
El enfoque de los 3 Anillos de
Control o líneas de Defensa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
43
Enfoque de los Tres Anillos de Control o de
Seguridad o de Líneas de Defensa
ORGANIZACIÓN
INSTALACIONES
PERSONAS
A1
EVENTOS
DE RIESGO
INHERENTE
(Amenazas)
A2
A2
BARRERA
PREVENTIVA
BARRERA
DETECTIVA
A3
BARRERA
CORRECTIVA
DATOS
A3
A3
HW - SW
FINANCIEROS
FEEDBACK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
44
El Software ControlRisk
Ejemplo – Aplicación del enfoque de los (3) Anillos de
Seguridad o Líneas de Defensa.
Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
1. Riesgo Potencial (Inherente): Riesgo antes de Controles. (evento) a la que se expone
el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación Severidad: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:
•
•
•
Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático
Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear
Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
2. Riesgo Residual: Riesgo después de Controles y de Tratamientos. Amenaza
(Evento) no protegida o no cubierta por los controles establecidos. Evaluación
Severidad: B - Bajo (Tolerable).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
45
Grado de Automatización /
Discrecionalidad de los Controles
Clases de Controles
Calificación
Automáticos no discrecionales (Clase A). Los 5.0 puntos
controles son automatizados y se aplican sin excepciones a
todo el universo.
Automáticos discrecionales (Clase B). Los controles 4.5 puntos
son automáticos y aplican solo a una parte del Universo.
Manuales no discrecionales(Clase C). Los controles 4.0 puntos
son manuales y se aplican sin excepciones a todo el universo.
Manuales discrecionales(Clase D). Los controles son 3.5 puntos
manuales y aplican solo a una parte del Universo.
Criterio de Aceptación:
La calificación promedio de los controles por clase, por cada amenaza, deberá
ser mayor que 3.5
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
46
Diagnóstico de los Controles
Establecidos y Tratamiento de Riesgos
Eficiencia de los controles por Amenaza:
Según el costo / beneficio del conjunto de controles que
actúan sobre cada amenaza.
Eficiencia
Beneficios
Alto
3:
Moderada
5: Muy Alta
4: Alta
Moderado
4: Alta
3:
Moderada
2: Baja
Bajo
3: Moderada
2: Baja
1: Muy Baja
Bajo
Moderado
Costos
RAZONABLE (R )
NO RAZONABLE (NR)
Alto
Criterio de Aceptación:
La calificación promedio de la eficiencia de los controles, por cada amenaza,
deberá ser mayor o igual a 4.0 (Razonable)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
47
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
Mantiene actualizada la Base de Conocimientos con los elementos
del SGR de todos los procesos y sistemas de la Organización –
Repositorio Unico.
Habilita a los dueños de los procesos, para asumir el papel de
responsables de “diseñar, mantener, monitorear y mejorar
continuamente el SAIR”.
Provee funcionalidades para que la Gerencia de Riesgos de la
Organización, monitoree el funcionamiento del sistema de
Administración de riesgos y ejecute seguimiento a los planes de
tratamiento y las acciones de mejora.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
48
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
Habilita a los Auditores para evaluar y verificar la Gestión de
Riesgos de la Organización en su ambiente de operación normal.
Genera reportes exportables a varios formatos.
Utiliza métodos cualitativos y cuantitativos de evaluación de
riesgos.
Deja Rastros de las actividades y cambios efectuados a la Base
de Conocimientos de la Empresa.
Produce Manuales de Administración de riesgos en papel y
formato electrónico.
Software Multicompañías.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
49
El software ControlRisk
Perfiles de Acceso establecidos en el software.
Gerente de Riesgos .
Administrador de Usuarios.
Administrador EGR.
Analista de Riesgos.
Auto-evaluador.
Administrador RERO.
Auxiliar de RERO.
Administrador BCP.
Auto-evaluador del BCP.
Solo Consulta.
Administrador de Auditoría.
Auditor.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
50
¿A Quienes sirve el Software
ControlRisk?
Gerentes de Riesgos / Directores de Planeación.
Jefes de Unidades de Riesgo Operativo (SARO), Oficiales
Cumplimiento del SARLAFT.
Analistas de Riesgos Financieros.
Administradores del Sistema de Gestión de Seguridad de
Información (SGSI. ISO 27001).
Administradores de Seguridad en los Servicios de Tecnología
Información.
Auditores Internos / Revisores Fiscales / Auditores de Sistemas.
Departamentos de Control Interno.
Coordinadores de Gestión de Calidad y de otros sistemas
Gestión.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
de
la
de
de
51
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk que generan valor
para las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
52
Especificaciones del Software
CONTROLRISK
• Herramienta de Desarrollo: .NET, Visual Studio.
• Sistema Operacional: Windows Server 2008 a 2012.
Windows Vista, 7, 8 Y 10. Excepto las versiones
Home.
• Motor de Base de datos: SQL Server.
• Memoria RAM: 4GB en servidor.
• Disco Duro: 16 GB.
• Navegadores: Internet Explorer 8.0 o superiores,
Google Chrome, Firefox y Opera.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
53
Modalidades de
Licenciamiento del Software
Por Compra de Licencias del Software
Licenciamiento a perpetuidad, por equipo (servidor) y cantidad de
usuarios concurrentes con perfiles Gerente de Riesgos, Supervisor,
Analista de Riesgos, Administrador del RERO, Administrador del BCP y
Auditor.
La licencia hasta de 10 usuarios concurrentes, incluye el derecho de
acceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil
“Administrador” y otro con perfil “Solo Lectura”.
Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes de
Administrador y Solo Consulta, se adicionan dos (2) usuarios de perfil
“solo consulta”, sin costo.
Soporte técnico y actualización del software, sin costo durante el primer
año.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
54
Modalidades de
Licenciamiento del Software
Por Arrendamiento
Software.
de
Licencias
del
El software se instalará en un Hosting de la Empresa ó Comercial contratado
por la empresa que adquiere el servicio de arrendamiento del software.
El arrendamiento se pacta por cantidad de usuarios concurrentes con perfiles
Gerente de Riesgos, Supervisor, Analista de Riesgos, Administrador del
RERO, Administrador del BCP y Auditor. l.
El Arrendamiento hasta de 10 usuarios concurrentes, incluye el derecho de
acceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil
“Administrador” y otro con perfil “Solo Lectura”.
Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes de
Administrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “solo
consulta”, sin costo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
55
55
Productos que recibe el
Usuario de CONTROLRISK
Por la compra de Licencias del Software
Manual del Usuario del Software (E-book).
Software ejecutable (DVD).
Bases de datos de conocimientos estándar.
Licencia de uso a perpetuidad, por servidor y cantidad de
usuarios concurrentes.
Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar
pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del software
y la metodología durante un año.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
56
Productos que recibe el
Usuario de CONTROLRISK
Por el Arrendamiento de Licencias del
Software
Manual del Usuario del Software (E-book).
Acceso utilizar el Software ejecutable (DVD) como empresa
licenciataria por arrendamiento.
Acceso a Bases de datos de conocimientos estándar.
Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar
pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del software
y la metodología durante un año.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
57
Productos que recibe el
Usuario de CONTROLRISK
Servicios Complementarios - Opcionales.
Consultoría - Acompañamiento para Integrar el Software al
proceso de Gestión de Riesgos Empresariales. Por cada tema
principal del software, consta de 3 sesiones:
Sesión 1: Capacitación para el uso de la metodología de GR y
el software por parte del Consultor.
Sesión 2: Trabajo de Campo para implantación de la Gestión
de Riesgos en los procesos y sistemas de la Empresa.
Sesión 3: Retroalimentación por el Consultor.
Servicio Anual de Actualización y Soporte Técnico.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
58
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk.
Especificaciones Técnicas del Software ControlRisk.
Descripción
ControlRisk.
Módulos
Componentes
de
Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
59
Alcance de la Gestión de Riesgos
en ControlRisk.
Módulo 3: Implantación de la Gestión de Riesgos en los
Procesos y Sistemas de Información Automatizados.
Módulo 4: Consolidación de Perfiles de Riesgo de la
Organización.
Módulo 5: El Registro de Eventos de Riesgo ocurridos
(RERO).
Módulo 6: Monitoreo / Auto-aseguramiento del Plan de
Continuidad del Negocio (BCP).
Módulo 7: Auditoría al Sistema de Administración de
Riesgos..
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
60
Módulo 3:
Implantación de la Gestión de Riesgos en
los Procesos y Sistemas de Información
Automatizados
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
61
Módulo 3: Gestión de Riesgos por
Procesos y Sistemas de Información
Que hace?
Identificar, analizar, controlar y monitorear los eventos de riesgo
Inherentes en:
1)
2)
3)
4)
5)
6)
7)
Los procesos del Modelo de Operación de la Empresa (Mapa de Procesos de Gestión
de Calidad).
Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL).
En la Infraestructura de TI - Escenarios Claves de TI.
Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos
de ERPs).
SARLAFT.
Riesgos del Sector Salud.
Riesgos de Seguridad de la Información (ISO 27001)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
62
El ciclo PHVA de la Implantación del Sistema de
Administración Integral de Riesgos (SAIR)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
63
Módulo 3: Implantación del SGR
por Procesos y Sistemas
1. Plan de Tratamiento de Riesgos
• Implementar Acciones de Tratamiento.
• Identificar y documentar Riesgos Inherentes
• Hacer seguimiento
• Medir Riesgos Inherentes
• Emitir recordatorio a Email
2. Análisis Costo/Beneficio de los
• Elaborar Mapa de Riesgos
Controles
• Identificar Controles Establecidos
3. Definir especificaciones de los
Base de
controles
• Diagnóstico sobre Protección Existente
Conocimientos de Empresa:
SARO
4. Asignar responsabilidades por
• Medición del Riesgo después
de SARLAFT •Categorías de Riesgo,
ejecución y supervisión de
Controles
MECI •Amenazas,
controles.
SGSI, •Controles,
• Diseño Plan de Tratamiento
COBIT, •Objetivos de Control.
• Contexto del Estudio de Gestión de Riesgos
Acciones de Mejoramiento
Diseñar
Implementar
Hacer Seguimiento
Emitir Recordatorios correo
electrónico
ITIL, SOX •Vulnerabilidades
•Activos
•Factores de Riesgo
• Elaborar y aplicar Guías de
Monitoreo / Autoaseguramiento de Controles –
Periodicidad Trimestral
• Procesar Respuestas
• Medir Cumplimiento de Controles y Riesgo
Residual
• Indicadores de Protección Existente y Riesgo
Residual
• Análisis de Incumplimientos
• Informar resultados de monitoreo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
64
Fases y Etapas para Implantar el SGR
por Proceso o Sistema
Por cada Proceso o Sistema
Fase 1:
Estática o Estructural del SGR:
Diseño e
Implementación. Bloques P y H del ciclo PHVA.
Fase 2:
Dinámica u Operativa del SGR: Implantación,
monitoreo y Mejoramiento Post-implantación.
Bloques V y A del ciclo PHVA
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
65
Etapas para Implantar el SGR
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 1
1
2
Comprender Contexto
Del Proceso
/ Sistema
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Caracterización
3
Identificar y Analizar
Riesgos Inherentes
Evaluar Severidad
Exposición a
Riesgos
Clasificar y
Priorizar Riesgos
Documentar Cubo de
Riesgos Inherentes.
3 Matrices - Cubo
de Riesgos Críticos
Asociar AmenazasObjetivos de Control
4
Evaluar Protección y
Tratamiento de Riesgos
Identificar y evaluar
Efectividad Controles
Diseñar Plan
de tratamientos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
66
Etapas para Implantar el SGR
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 2
5
Implementar
Tratamientos y
Análisis C/B
Planeación y
seguimiento
6
7
Implantar y Asignar
responsables de los
controles
VERIFICAR
Monitorear Protección
y Riesgo Residual
Responsables
de Ejecutar y
Supervisar
Monitoreo / Autoevaluación
Mapa de Riesgos
Residuales
Entrenamiento y
concienciación
Indicadores de
Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
67
Etapas para Implantar el SGR
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 2
7
7
8
ACTUAR- Elaborar Plan
Mejoramiento
ACTUAR – Implantar
Plan de Mejoramiento
Actualizar Manual
Del SGR
Análisis No
Conformidades /
Debilidades
Ajustes a
Controles
SEGÚN Cambios en
el Negocio
Acciones
Mejora
Evaluar Efectividad
Acciones Mejoramiento
SEGÚN Cambios
Leyes/ Entorno
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
68
Módulo 3: Gestión de Riesgos por
Procesos y Sistemas de Información
Actividades de los Procesos / Escenarios de Riesgo.
El software provee listas sugeridas de actividades (escenarios de
riesgo) para los procesos de TI y sistemas de información:
1)
Para los 34 Procesos de Tecnología de Información (TI) del Modelo
COBIT: Actividades según el RACI.
2) Para la Infraestructura de TI: Actividades consideradas por el RACI de
COBIT o los modelos que se utilicen en la organización (ITIL, ISO
27001).
3) Para las Aplicaciones de computador: 14 Actividades del ciclo de
control de los datos en los sistemas de información.
Para procesos del modelo de operación de la empresa (estratégico,
misional o de apoyo): Deben ingresarse a la medida de cada proceso.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
69
El Software ControlRisk
Está en capacidad de utilizar varios modelos de
clases o categorías de riesgo Vigentes.
Sistema de Administración de Riesgo Operativo- SARO.
Sistema de Administración de Riesgos de Lavado de Activos y
Financiación del Terrorismo - SARLAFT.
MECI (Modelo Estándar de Control Interno para las Entidades
del Estado Colombiano).
Riesgos en el Sector Salud - Res 1740 de 2008 MPS.
AUDIRISK.
Otros Modelos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
70
Definición de Universo de Riesgos de la
Organización
Clases de Eventos
de Riesgo Operativo
Modelo SARO
(CE 041 de 2007, SFC)
Clases de Riesgos
De LA / FT - Modelo
SARLAFT
(CE 013 de 2013, SFC)
1. Fraude Interno.
2. Fraude Externo.
3. Fallas en la Atención a los Clientes.
4. Daños a Activos Físicos.
5. Fallas en Relaciones Laborales.
6. Fallas Tecnológicas.
7. Errores en Administración y
Ejecución de Procesos.
1. Riesgo Reputacional.
2. Riesgo Legal.
3. Riesgo Operativo.
4. Riesgo de Contagio
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
71
Definición de Universo de Riesgos de la
Organización
Clases de Riesgo Modelo MECI:
1. Estratégico
2. Operativo
3. Financiero.
4. De cumplimiento.
5. De Tecnología.
6. De Corrupción
Clases de Riesgo Modelo AUDIRISK
1. Hurto / Fraude.
2. Sanciones Legales
3. Pérdida de Credibilidad
Pública
4. Desventaja Competitiva.
5. Costos Excesivos
Pérdida de Ingresos.
7. Daño / Destrucción de
Activos
8. Decisiones Erróneas
6.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
72
Modelos de Clases o Categorías
de Riesgo
Riesgos en el Sector Salud - Res 1740 de 2008 MPS
Administración de Riesgos en Salud:
1. De concentración de riesgos y hechos catastróficos.
2 De incrementos inesperados en los índices de Morbilidad y
de costos de atención.
3. De cambios permanentes en las condiciones de salud o
cambios tecnológicos.
4. De Insuficiencia de reservas técnicas.
5. De comportamiento.
Administración de Riesgo Operativo
• Riesgo Operativo.
• Riesgo Legal y Regulatorio.
• Riesgo Reputacional.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
73
Modelos de Clases o Categorías
de Riesgo
Riesgos Financieros
Riesgo de Mercado.
Riesgo de Crédito.
Riesgo de Liquidez.
Riesgo Legal.
Riesgo Operativo.
Riesgo de Reputación.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
74
PRIORIZAR LOS RIESGOS DE LA
ORGANIZACION
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
75
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
76
Relación entre Clases de Riesgo y Amenazas
RIESGO
Costo ó Valor de las Pérdidas
Originadas por Eventos no deseables
denominados Riesgos / Amenazas
• Sanciones Legales.
• Pérdida de Ingresos.
• Costos Excesivos .
• Pérdida de Credibilidad Pública.
• Desventaja ante la
Competencia.
• Daño - Destrucción de
Activos.
• Decisiones Erróneas.
• Fraude – Robo.
CLASES DE RIESGOS
SARO
SARLAFT
MECI
AUDIRISK
Agentes Generadores de Amenazas.
•
Personas, Fallas de los Equipos (
Energía, Aire Acondicionado), Actos
mal intencionados, Desastres Naturales
o provocados.
AMENAZAS DE RIESGO
(Eventos asociados a las
Clases de Riesgo)
Vulnerabilidades – Debilidades de seguridad
* Frecuencia (Probabilidad) de Ocurrencia.
UNIDAD MINIMA DE
ANALISIS
*
Impacto ( Estimación de las Pérdidas por
cada ocurrencia).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
77
Módulo 3: Gestión de Riesgos por
Procesos y Sistemas de Información
Identificación y Análisis de Riesgos Inherentes.
Prioriza las categorías de riesgo aplicables y de éstas selecciona las 3 ó 4
críticas para el proceso o sistema.
Por cada categoría de riesgos crítica, identifica los eventos de riesgos
inherentes (amenazas) que podrían presentarse . Mínimo 10 por categoría de
riesgo crítica.
Para las categorías no críticas, identificar al menos 5 eventos de riesgo.
Por cada evento de riesgo (amenaza) se documentan siete (7) elementos del
riesgo.
• Amenaza.
• Activos impactados.
• Agentes Generadores.
•
•
•
•
Vulnerabilidades.
Exposición al riesgo.
Consecuencias – Riesgo ocurrido
Controles existentes.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
78
Priorización de Categorías de
Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
79
Módulo 3: Gestión de Riesgos por
Procesos y Sistemas de Información
Medición y priorización de Riesgos Inherentes.
Para medir y priorizar la SEVERIDAD de los eventos de riesgo
inherente utiliza una escala de cuatro (4) calificaciones:
E:
A:
M:
B:
Extremo – Color Rojo.
Alto, color Naranja.
Moderado. Color Amarillo.
Bajo, color verde.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
80
Mapa de Riesgos Inherentes- Estándares
ISO 31000 y AS/ NZ 4360 (NTC 5254)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
81
Matriz de Acciones de Respuesta a
Riesgos
Basada en Estándares AS/NZ 4360 e ISO 31000
PROBABILIDAD
5: Casi
Cierto
Zona de Riesgo
Alta.
Mitigar, transferir,
distribuir
Zona de Riesgo
Alta.
Mitigar, transferir,
distribuir
Zona de Riesgo
Zona de Riesgo Extremo
Extremo.
Zona
de
Riesgo
Extremo
. Evitar, transferir, mitigar
Evitar,
Mitigar,
tranferir
. Evitar, transferir,
mitigar
4:
Probable
Zona de Riesgo
Zona de Riesgo
Zona de riesgo
Alta. Zona de riesgo
Alta. Zona de Riesgo Extremo
Evitar,
Extremo.
Moderada. Mitigar
Prevenir, transferir
Prevenir, transferir
. Evitar, transferir,
Mitigar, tranferir
mitigar
3: Posible
Zona de Riesgo Baja.
Zona de Riesgo
Zona de Riesgo
Zona de riesgo
Alta. Zona de Riesgo Extremo
Aceptar, mitigar el
Extremo.
Evitar,
Moderada.
Mitigar
Prevenir, transferir
. Evitar, transferir,
Riesgo
Mitigar, tranferir
mitigar
2: Poco Zona de Riesgo Baja.
Aceptar el Riesgo
Probable
1: Raro
Zona de Riesgo Baja.
Aceptar, mitigar el
Riesgo
Zona de Riesgo
Zona de Riesgo Moderada. Zona de riesgo Alta.
Extremo.
Evitar,
Mitigar
Prevenir, transferir
Mitigar, tranferir
Baja.
Zona de Riesgo Baja. Zona de Riesgo
Zona de Riesgo Moderada. Zona de riesgo
Alta. Zona de riesgo
Alta.
.
.
Aceptar
Mitigar
Prevenir, transferir
Prevenir, transferir
Aceptar el Riesgo
el Riesgo
1: Insignificante
2: Menor
3: Moderado
4: Severo
5: Catastrófico
IMPACTO
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
82
Mapa de Riesgos Inherentes –
Estándar MECI
PORBABILIDAD (Frecuencia)
Homologado a Estándares AS/NZ 4360
e ISO 31000
3: Alta
2: Moderada
B: baja
M: Moderado
Bajo (Tolerable)
A: Alto
M: Moderado
E: Extremo
(Inaceptable)
Alto
Bajo (Tolerable)
Bajo (Tolerable)
M: Moderado
5: Leve
10: Moderado
20: Catastrófico
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
83
Módulo 3: Gestión de Riesgos por
Procesos y Sistemas de Información
El Cubo de Riesgos.
Las evaluaciones (mediciones) del riesgo inherente,
protección existente y riesgo residual, se realizan para los 3
componentes del Cubo de Riesgos de cada proceso o
sistema:
Las Categorías de Riesgo Críticas identificadas para el
proceso o sistema sujeto a auditoría.
Las actividades ó subprocesos que constituyen o componen
el proceso o sistema sujeto a auditoría.
Las Áreas Organizacionales (dependencias ) y terceros que
intervienen en el manejo del proceso o sistema sujeto a
auditoría.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
84
Cubo de Riesgos del Proceso
o Sistema de Información
Amenazas de Riesgo
Fraude
Reportes de
Actualización
Actualización
Base de Datos
Ingreso de
Datos
Sistemas
Sanciones
Legales
Recursos Humanos
Costos Excesivos
Contabilidad
Escenarios de Riesgo
(Actividades)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
85
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Opción 4 del Ciclo PHVA
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
86
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Aplica el enfoque “Proactivo y preventivo de los
Controles”, en lugar del enfoque “Reactivo o detrás de
los hechos conocidos”.
Enfoque Reactivo – A posteriori - Obsoleto
Paradigma por Actualizar: Los Controles se establecen para
detectar la ocurrencia de Errores e Irregularidades.
Los controles se diseñan e implantan después que los EVENTOS DE
RIESGO INHERENTES, problemas o desviaciones se han presentado,
para evitar su recurrencia.
Tiene una connotación sancionatoria y correctiva.
Efectividad: MUY BAJA, NULA.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
87
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Entregables / Productos de la Valoración.
Identificación y Documentación de los Controles Existentes por amenaza.
Evaluación de la Efectividad de los Controles Establecidos y del Riesgo Residual,
antes de tratamientos.
Por Amenazas de Riesgo. Unidad Mínima de Análisis.
Por Escenario de Riesgo / Subproceso.
Por Dependencia.
Por Objetivo de Control.
Por Categoría de Riesgo Potencial Crítico.
Diseño del Plan de Tratamientos Requeridos.
Diseñar Plan de Seguimiento al Plan de Tratamientos.
Reportes de Evaluación de la Efectividad y Mapas de Riesgos Residuales, Antes
y Después de Tratamientos.
Emisión de Correos Electrónicos / Recordatorios .
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
88
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Pasos de la Valoración de Riesgos.
1. Identificar los controles existentes por evento de riesgo
Inherentes.
•
•
El Software Genera Cuestionario de Controles Aplicables – Best Practices
- CSA.
Sobre el Cuestionario, el Usuario identifica los Controles Existentes.
2. Evaluar Efectividad de los Controles existentes (eficacia
+ eficiencia).
•
•
Por Evento, Categorías de Riesgo, Áreas Organizacionales y Objetivos
de Control.
Elaborar Mapas de Riesgo Residual, después de controles - antes de
tratamientos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
89
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
CONTROLRISK aplica el enfoque “Proactivo y preventivo de los
Controles”, en lugar del enfoque “Reactivo o detrás de los hechos
conocidos”.
Enfoque Proactivo - Recomendado.
Mide la Efectividad (eficacia + eficiencia) de los Controles Establecidos
(protección que ofrecen) para reducir los riesgos inherentes a niveles
aceptables de riesgo residual
1: Apropiada, ALTA.
2: Mejorable.
3: Insuficiente.
4: Deficiente
5: Muy Deficiente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
90
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Pasos de la Valoración de Riesgos.
3. Identificar Eventos de riesgo que requieren Tratamientos.
Con Efectividad 2: Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy
Deficiente
4. Diseñar e implantar tratamientos: Controles para modificar el
5.
6.
riesgo de los eventos de riesgo inherentes y elaborar plan de
implantación.
Seguimiento a implantación de tratamientos. Elaboración y
envío correos electrónicos de recordatorio y verificar implantación.
Elaborar Mapas de Riesgo Residual. Después de
tratamientos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
91
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Para ser “Efectivos” (ofrecer protección apropiada), por
cada evento de riesgo inherente los controles deberán
satisfacer tres (3) criterios:
Para ser Eficaces
Aplicar Enfoque de los 3 niveles o anillos de Controles /
Seguridad – Al menos 3 controles por evento que hagan
SINERGIA. Obligatorio.
Alto Grado de Automatización y Discrecionalidad
de los
Controles. Promedio >= 3.5
Para ser Eficientes. Costo / Beneficio RAZONABLE (Costo
Máximo: 10% del valor de los activos protegidos por los controles).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
92
Enfoque de los Tres Anillos Seguridad o Líneas
de Defensa
ORGANIZACIÓN
INSTALACIONES
PERSONAS
A1
EVENTOS
DE RIESGO
INHERENTE
(Amenazas)
A2
A2
BARRERA
PREVENTIVA
BARRERA
DETECTIVA
A3
BARRERA
CORRECTIVA
DATOS
A3
A3
HW - SW
FINANCIEROS
FEEDBACK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
93
Control de los Riesgos
Los tres (3) Anillos de Controles
Seguridad o Líneas de Defensa).
(De
Los controles actúan sobre los eventos de riesgo inherentes de tres
maneras, interdependientes, que hacen SINERGIA:
Como control Preventivo. Condicionan los actos de la organización
para asegurar que ocurran de manera preestablecida – Son
estándares de actuación.
Como control Detectivo. Para detectar, registrar e informar la
ocurrencia de la amenaza (son alarmas que se disparan cuando se
detecta que está presentándose la amenaza). Refuerzan y validan
el control preventivo. Hacen pareja con el control preventivo.
Como control Correctivo. Obligan a tomar acción correctiva para
resolver el problema detectado por los controles detectivos. Hacen
pareja con los controles detectivos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
94
El enfoque de los 3 Anillos de
Seguridad
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
95
Grado de Automatización /
Discrecionalidad de los Controles
Clases de Controles
Calificación
Automáticos no discrecionales (Clase A). Los 5.0 puntos
controles son automatizados y se aplican sin excepciones a
todo el universo.
Automáticos discrecionales (Clase B). Los controles 4.5 puntos
son automáticos y aplican solo a una parte del Universo.
Manuales no discrecionales(Clase C). Los controles 4.0 puntos
son manuales y se aplican sin excepciones a todo el universo.
Manuales discrecionales(Clase D). Los controles son 3.5 puntos
manuales y aplican solo a una parte del Universo.
Criterio de Aceptación:
La calificación promedio de los controles por clase, por cada amenaza, deberá
ser mayor que 3.5
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
96
Diagnóstico de los Controles
Establecidos y Tratamiento de Riesgos
Eficiencia de los controles por Amenaza:
Según el costo / beneficio del conjunto de controles que
actúan sobre cada amenaza.
Eficiencia
Beneficios
Alto
3:
Moderada
5: Muy Alta
4: Alta
Moderado
4: Alta
3:
Moderada
2: Baja
Bajo
3: Moderada
2: Baja
1: Muy Baja
Bajo
Moderado
Costos
RAZONABLE (R )
NO RAZONABLE (NR)
Alto
Criterio de Aceptación:
La calificación promedio de la eficiencia de los controles, por cada amenaza,
deberá ser mayor o igual a 4.0 (Razonable)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
97
Mapa de Riesgos Residuales
Riesgo Inherente
Matriz de Riesgo Residual, después del Diagnóstico
de los Controles Establecidos - MODELO "AUDISIS"
4: Extremo
Bajo
Moderado.
Alto.
Extremo
Extremo
3: Alto
Bajo
Moderado.
Alto.
Alto.
Alto.
2: Moderado
Bajo
Moderado.
Moderado.
Moderado.
Moderado.
1: Bajo
Bajo
Bajo
Bajo
Bajo
Bajo
1: Apropiada
2: Mejorable
3: Insuficiente
4: Deficiente
5: Muy
Deficiente
Efectividad de los Controles (Protección
Existente)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
98
Evaluación de Efectividad / Protección
que ofrecen los Controles, por Amenaza
Protección existente
(PE) - Método AUDISIS
1: APROPIADA
2: MEJORABLE
4: INSUFICIENTE
4: DEFICIENTE
5: MUY DEFICIENTE
Satisfacción de los Criterios de
Evaluación Efectividad
RI - Antes de Controles
RR - Despues
Estandar AS/NZ e ISO 31000 de Controles
Se satisfacen los 3 anillos de control y por lo menos 4:
uno de los otros dos criterios (C/B = Razonable y/o 3:
Calificación promedio de los controles superior a
2:
3.5 puntos)
1:
Extremo
1: Tolerable
Alto
1: Tolerable
Moderado
1: Tolerable
Bajo (Tolerable)
1: Tolerable
4: Extremo
2: Moderado
3: Alto
2: Moderado
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo
Únicamente se satisfacen los dos criterios
diferentes de los 3 anillos (C/B = Razonable y/o
Calificación promedio de los controles superior a
3.5 puntos)
4: Extremo
3: Alto
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Tolerable
Se satisface únicamente uno de los dos criterios
diferentes de los 3 anillos (C/B = Razonable y/o
Calificación promedio de los controles superior a
3.5 puntos)
4: Extremo
4: Extremo
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo (Tolerable)
4: Extremo
4: Extremo
3: Alto
3: Alto
2: Moderado
2: Moderado
1: Bajo (Tolerable)
1: Bajo (Tolerable)
Se satisfacen los 3 anillos de control, únicamente
No existen controles
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
99
Diseño e Implantación del Plan de
Tratamiento de Riesgos
El Tratamiento de los Riesgos se diseña con base en
los resultados del Diagnóstico sobre la Protección que
ofrecen los controles establecidos, por cada amenaza
de riesgo crítica.
Se requieren tratamientos para amenazas que tienen
Protección Existente (PE) diferente de APROPIADA.
2: Mejorable.
3: Insuficiente.
4 : Deficiente.
5 : Muy deficiente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
100
Diseño e Implantación del Plan de
Tratamiento de Riesgos
Para Qué las Acciones de Tratamiento?
•
•
•
Para satisfacer los 3 anillos de Seguridad.
Para mejorar niveles de automatización y discrecionalidad de los
controles.
Para ajustar Eficiencia de los Controles (Costo / Beneficio).
Planeación de la Implantación.
•
•
•
•
Asignar responsables de Implantar tratamientos.
Asignar Responsables de Supervisar Implantación .
Asignar Fechas de Compromiso.
Programar Mensajes de Alerta / Recordatorios por Correo Electrónico.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
101
Diseño e Implantación del Plan de
Tratamiento de Riesgos
Seguimiento del Plan de Tratamiento.
• Recordatorios / Alertas por Correo Electrónico.
• Reportes periódicos de Seguimiento a Tratamientos
Implementados.
Por Iniciar.
En proceso.
Anulados / Aplazados.
• Adicionar tratamientos implantados a la base de
datos de controles establecidos.
• Evaluación de Amenazas después de Tratamientos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
102
Etapa 6: Asignar Responsables de
Ejecutar y Supervisar los Controles
Produce Guías de Autocontrol por cada Área
Organizacional que interviene en el proceso o sistema.
Para Controles Manuales.
•
•
Asigna cargos responsables de Ejecutar los controles.
Asigna cargos responsables de Supervisar los controles.
Para Controles Automatizados.
•
•
Ejecución: No se asigna cargo responsable - lo hace el
sistema.
Asigna cargo responsables de Supervisar el controles.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
103
Etapa 7: Monitoreo y
Autoaseguramiento de Controles
El software produce “Guías de Auto-aseguramiento” para
ser respondidas por los responsables de las Áreas
Organizaciones y terceros que intervienen en el proceso.
Con el procesamiento de las respuestas, el software genera
Indicadores de Riesgo, según grado de Cumplimiento de los
Controles establecidos.
a) Por Amenaza.
b) Por Área organizacional o Tercero que intervenga en el
proceso.
c) Por Categoría de Riesgo y
d) Por Actividad del Proceso (escenarios de riesgo).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
104
Etapa 7: Monitoreo y
Autoaseguramiento de Controles
Compara Protección Existente y Riesgo Residual
después de tratamientos, con resultados del Monitoreo
actual.
Amenazas
Protección Existente % Puntaje Obtenido Protección Existente Riesgo Residual –
después de
en Monitoreo
(PE) Según
RR- Según
tratamientos (Etapa 4)
(Etapa 7)
Monitoreo (Etapa 7) Monitoreo Actual
(Etapa 7)
Amenaza 1
1: Apropiada
Mayor del 80 %
1: Apropiado
1: Aceptable
Amenaza 2
2: Mejorable
Entre 60 y 80%
3: Insuficiente
3: Alto
Amenaza 3
1: Apropiada
Entre 40 y 60%
3: Insuficiente
3: Alto
Amenaza 4
1: Apropiada
Entre 20 y 40%
4: Deficiente
4: Extremo
Amenaza 5
1: Apropiada
Menos del 20%
5: Muy Deficiente
5: Extremo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
105
Etapa 7: Monitoreo y
Autoaseguramiento de Controles
Monitoreo Periódico de los Riesgos y los Controles
Productos que Genera.
•
•
•
•
•
•
•
Guías de Monitoreo / Auto-aseguramiento, por dependencias o áreas
organizacionales que intervienen en el proceso o sistema objeto del monitoreo.
Perfiles de Protección Existente (PE) y Riesgo Residual (RR), después del
monitoreo .
Amenazas con Riesgo Residual por encima del nivel mínimo aceptable.
Estadísticas y reportes de Motivos de Incumplimiento de los Controles
Establecidos.
Historia de PE y RR en los últimos “n” Monitoreos.
Plan de Mejoramiento para superar las “No conformidades” identificadas en el
monitoreo.
Seguimiento al Plan de Mejoramiento monitoreo anterior.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
106
Etapa 7: Monitoreo y
Autoaseguramiento de Controles
Histórico de Monitoreos por Proceso
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
107
Etapa 7: Monitoreo y
Autoaseguramiento de Controles
Plan de Mejoramiento del sistema de Gestión de
Riesgos del proceso o sistema.
•
Diseño del Plan de Mejoramiento por Área Organizacional.
Responsables de implantar y supervisar acciones de mejora.
Configurar y programar envío de Correos Electrónicos de Alerta /
Recordatorios a responsables de implantar acciones de Mejora.
•
Seguimiento al Plan de Mejoramiento.
Envío de recordatorios por correo electrónico.
Informe con Resultados del Seguimiento.
Acciones de Mejora Pendientes de Implantar.
•
Archivos Históricos de Planes de Mejora.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
108
Módulo 4:
Consolidación de Perfiles de
Riesgo de la Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
109
Módulo 4: Consolidación de Perfiles de
Riesgo Institucional
Medición
Riesgo
Inherente
Implementar
SGR
Por:
•Procesos
•Sistemas
1
Perfil Consolidado de Riesgo Inherente
• General = Todos los Procesos
Por Procesos
Por Área Organizacional
Por Categoría de Riesgo
• Por Tipos de Proceso
Por Procesos
Por Área Organizacional
Por Categoría de Riesgo
Medición
Protección
Existente
(PE) y
Riesgo
Residual
(RR)
Perfil Consolidado de Protección Existente y
Riesgo Residual
• General = Todos los Procesos
Por Procesos
Por Área Organizacional
Por Categoría de Riesgo
• Por Tipos de Proceso
Por Procesos
Por Área Organizacional
Por Categoría de Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
110
Módulo 4: Perfiles de Riesgo
Consolidados por Organización
Que hace?.
Consolidar a nivel de la Empresa:
Los perfiles de riesgo inherente de los diferentes tipos
procesos de la organización (estratégicos, misionales y de
soporte).
Los perfiles de riesgo residual y la protección
existente de los diferentes procesos de la organización
(estratégicos, misionales y de soporte).
Presentar información de alto nivel para consulta
de los Ejecutivos de la Empresa, sobre la Gestión
de Riesgos Operativos en la Organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
111
Módulo 4: Perfiles de Riesgo Inherente
Consolidados de la Organización
Que Produce?.
1. Perfil Consolidado de Riesgo Inherente por Tipos de
Procesos.
a) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo
y de Supervisión). Reportes y Gráficos con el Perfil
Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de
Riesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Proceso y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
112
Módulo 4: Perfiles de Riesgo
Consolidados por Organización
Que Produce?.
2. Perfil Consolidado de
Residual.
Protección Existente y Riesgo
a) Por Tipos de Procesos. Reportes y Gráficos con el Perfil Consolidado
en todos los procesos de la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de Riesgo).
Reportes y Gráficos con el Perfil Consolidado en la organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
113
Consolidación del Perfil de Riesgo
Inherente
a) Por Tipos de Procesos (Estratégicos, Misionales, de
Apoyo y de Supervisión) y Proceso.
1)
2)
3)
Por cada tipo de proceso y proceso, muestra el Riesgo Inherente
Consolidado: Por cada proceso muestra cantidad de amenazas, el
valor promedio del riesgo inherente y el significado del riesgo
inherente.
Perfil de Riesgo Inherente por cada tipo de proceso y proceso:
Por cada proceso muestra cantidad de amenazas en niveles de riesgo
Inherente Muy Alto, Alto y Aceptable.
Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo inherente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
114
Consolidación del Perfil de Riesgo Inherente –
Presentada por procesos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
115
Consolidación del Perfil de Riesgo
Inherente
b) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo
y de Evaluación y Medición) y Clases de Riesgo.
1) Por cada Tipo de Proceso y Categoría de Riesgo. Por cada
categoría de riesgo muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente
2) Perfil de Riesgo Inherente por tipos de proceso y categorías
de Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Inherente Muy Alto, Alto y
Aceptable.
3) Indicadores del rango de perdidas estimadas para las
amenazas por niveles de riesgo inherente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
116
Consolidación del Perfil de Riesgo
Inherente
c) Por Tipos de procesos y Áreas Organizacionales
(Dependencias).
1) Consolidado por tipo de procesos y Dependencias. Por
cada dependencia muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente.
2) Perfil de Riesgo Inherente Consolidado por tipo de
procesos y dependencias: Por cada dependencia muestra
cantidad de amenazas en niveles de riesgo Inherente Muy Alto,
Alto y Aceptable.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo inherente.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
117
Módulo 4: Consolidación de Perfiles de Riesgo
de la Organización – Perfil de Riesgo Residual
Que Produce?.
2. Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Procesos.
a) Por Tipos de procesos y Procesos. Reportes y Gráficos con el
Perfil Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de
Riesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
118
Consolidación del Perfil de Riesgo
Residual
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
119
Módulo 4: Consolidación de Perfiles de Riesgo
de la Organización – Perfil de Riesgo Residual
a) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Procesos.
1) Por tipos de proceso y procesos. Por cada proceso muestra:
Cantidad de Amenazas, protección existente consolidada y
riesgo residual consolidado.
2) Perfiles Por tipos de proceso y procesos: Por cada proceso
muestra cantidad de amenazas en niveles de riesgo residual
Muy Alto, Alto y Aceptable y su correspondiente Protección
Existente.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo residual.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
120
Consolidación del Perfil de Riesgo
Residual – Presentada por Procesos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
121
Consolidación del Perfil de Riesgo
Residual –Por Tipos de Proceso y
Categorías de Riesgo
b) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Clases de Riesgo
1)
2)
3)
4)
Por Tipos de Proceso y Categorías de Riesgo: Por cada categoría de
riesgo muestra cantidad de amenazas, el valor promedio de protección
existente y promedio de riesgo residual.
Perfil de Riesgo Residual Consolidado por tipos de proceso y
categorías de Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Residual Muy Alto, Alto y Aceptable.
Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo residual.
Consolidado de Protección Existente y Riesgo Residual, por Clase
de Riesgo y Procesos. Por cada clase de riesgo muestra la PE y el RR
de los procesos en los cuales se presenta la clase de riesgo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
122
Consolidación del Perfil de Riesgo
Residual – por Tipos de Proceso y Áreas
c) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Clases de Riesgo
1)
2)
3)
4)
5)
Consolidado de PE y RR por Dependencias. Por cada dependencia muestra:
Cantidad de Amenazas, protección existente consolidada y riesgo residual
consolidado.
Perfil de Riesgo Residual Consolidado por dependencias: Por cada
dependencia muestra cantidad de amenazas en niveles de riesgo residual Muy
Alto, Alto y Aceptable.
Indicadores del rango de perdidas estimadas para las amenazas por niveles de
riesgo residual.
Consolidado de PE y RR por dependencias y procesos. El software muestra la
cantidad de amenazas, PE y RR por cada proceso en el que interviene la
dependencia.
Consolidado de PE y RR por dependencias y clases de riesgo. El software
muestra la cantidad de amenazas, PE y RR por cada clase de riesgo que se
presenta en la dependencia.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
123
Módulo 5:
Implantación y Mantenimiento
del Registro de Eventos de
Riesgo Ocurridos - RERO
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
124
Modulo 5: Registro de Eventos de
Riesgo Ocurridos (RERO)
Qué hace?.
•
Crear y mantener una base de datos con el registro histórico y
actualizado de los Eventos de Riesgo Ocurridos en la Organización.
•
Generar reportes de eventos de riesgo operativo ocurridos en la
organización, por diferentes conceptos.
•
Presentar información de alto nivel para consulta y soporte de la
decisiones de los Ejecutivos de la Empresa, sobre los Eventos de
Riesgo Ocurridos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
125
Módulo 5: Registro de Eventos de
Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
126
Modulo 5: Registro de Eventos de
Riesgo Ocurridos (RERO)
Qué Produce?.
Base de Datos Poblada con eventos de pérdida
Ocurridos en la Organización.
Generación
gerenciales.
de
Reportes:
detallados
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
y
127
Módulo 5: Registro de Eventos de
Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
128
Módulo 6:
Monitoreo del Plan de Continuidad
del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
129
Módulo 6. Monitoreo
/ Auto-aseguramiento del BCP
Qué es el Plan de Continuidad del Negocio
(BCP)?.
Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios
para retornar y continuar la operación, en caso de
interrupción (Circular 049 de 2006, SFC).
Numeral 2.8 Circular externa 049 de
Superintendencia Financiera de Colombia.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
2006,
130
Módulo 6 Monitoreo /
Auto-aseguramiento del BCP
Qué hace?.
Verifica el estado de preparación de las áreas
organizacionales
para operar en caso de
interrupciones.
Mide el % de cumplimiento de los procedimientos
del BCP.
Generación Indicadores de Cumplimiento /
preparación.
Genera Reportes del Monitoreo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
131
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
132
Proceso de Gestión de Continuidad del
Negocio (BCP)
Monitoreo / Auto-aseguramiento del BCP
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
133
Proceso de Gestión de Continuidad del
Negocio (BCP)
Monitoreo / Auto-aseguramiento del BCP
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
134
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
135
Módulo 7:
Auditoría al Sistema de Gestión
de Riesgos de la Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
136
Módulo 7: Auditoría al Sistema de
Administración de Riesgos
Que hace ?.
Habilitar a los auditores para verificar el cumplimiento
y eficacia de los controles establecidos en la
administración integral de Riesgos de cada proceso,
utilizando procedimientos similares a los que se
emplean en la etapa de monitoreo de la protección
existente y el riesgo residual (Etapa 7, módulo 1).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
137
Módulo 7: Auditoría al Sistema de
Administración de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
138
Módulo 7: Auditoría al Sistema de
Administración Integral de Riesgos
Qué Produce?.
Por cada proceso auditado:
Guías para verificar: a) cumplimiento de los controles y b)
normas y procedimientos por áreas organizacionales.
Gráficos y Reportes con los resultados de la evaluación de la
Auditoria en cada una de las áreas organizacionales que
intervienen en el proceso.
Recomendaciones de la Auditoría.
Planeación
y
ejecución
del
seguimiento
a
las
recomendaciones de la auditoría.
Papeles de trabajo electrónicos.
Informe de la Auditoría.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
139
Beneficios de Utilizar
CONTROLRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
140
Beneficios Corporativos
ControlRisk establece un “Marco de trabajo” (Framework) para la
Administración Integral de Riesgos Empresariales y el diseño de los
controles internos de la organización, alineado con estándares y “Best
Practices” universales de seguridad y control interno:
COSO ERM.
ISO 31000.
ISO 27002, ISO 27001.
ISO 20000.
COBIT.
ITIL.
MECI.
ISO 9001.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
141
Beneficios Corporativos
ControlRisk:
Mejora y facilita el ejercicio del Gobierno Corporativo.
Ayuda a implantar la cultura de Medición de la
Exposición a riesgos potenciales, de la protección
existente y del riesgo residual.
Automatiza y estandariza el diseño, implementación y
documentación de controles y procedimientos de
administración de riesgos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
142
Beneficios para Propietarios de los
Procesos (las áreas que manejan las
Operaciones)
ControlRisk:
Es una fuente permanente de aprendizaje organizacional sobre
prevención de riesgos, controles y seguridad, en todas las áreas
de la empresa que intervienen en el manejo de los procesos de
negocio y de tecnología de información.
Incrementa
las características de seguridad, calidad y
confiabilidad de los procesos de negocio y de sistemas de
información.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
143
Beneficios para el
Departamento de Auditoría
ControlRisk:
Facilita y hace más eficiente el trabajo de la auditoría: Se
apoya en los resultados de la implantación de Sistemas de
Gestión de Riesgos.
Incrementa la productividad, eficiencia y valor agregado del
trabajo de la auditoría.
Reduce los costos de la auditoría a procesos y sistemas
estudiados con ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
144
Usuarios de ControlRisk en
Colombia y el Exterior
En Colombia.
Sector Industrial.
•
Lafayette.
•
Oleoducto Central de Colombia - OCENSA.
•
AVESCO (Grupo Kokorico).
Cajas de Compensación Familiar.
•
Comfenalco Tolima.
•
COMFIAR: Caja de Compensación Familiar de Arauca.
•
COMFAGUAJIRA: Caja de Compensación Familiar de la Guajira.
•
Compensar.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
145
Usuarios de CONTROLRISK en
Colombia y el Exterior
En Colombia.
Sector Financiero.
•
•
•
•
•
•
Cooperativa de Ahorro y Crédito – Progresa.
Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.
Acciones y Valores – Comisionista de Bolsa.
Cooperativa Financiera CONFIAR.
Banco Popular.
Computec S.A.
Entidades de Sector Público.
•
•
•
•
•
Contraloría General de la Republica de Colombia.
Empresa Electrificadora de Santander – ESSA.
Centrales Eléctricas de Nariño.
Comisión Nacional de TV.
Oleoducto Central de Colombia.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
146
Usuarios de CONTROLRISK en
Colombia y el Exterior
En Colombia.
Entidades de Sector Público.
• Instituto Colombiano de Bienestar Familiar.
• Oleoducto Central de Colombia.
Sector Educativo.
• Universidad Central de Bogotá.
• Universidad Militar Nueva Granada.
• Universidad la Gran Colombia.
• Universidad Autónoma de Colombia.
• Universidad Pedagógica y Tecnológica de Colombia.
• Universidad Santo Tomás - Bucaramanga.
• Universidad Católica de Colombia.
• Universidad Santo Tomás – Bucaramanga.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
147
Usuarios de CONTROLRISK en
Colombia y el Exterior
En el Exterior.
•
•
•
•
•
•
Universidad UPEU Perú.
Contraloría General del Perú.
Banco
Centroamericano
de
Integración
Económica - BCIE- Honduras.
Banco Central de la República Dominicana.
Cervecería Costa Rica.
Banco Central del Ecuador.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
148
Gracias por su atención.
Hasta Pronto !
Para conocer el software ingrese a www.softwareaudisis.com
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
149