Post on 18-Aug-2021
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno
Software de Administración de
Riesgos Empresariales
Versión 7.5 - Año 2020
1
Agenda
ControlRisk: Qué es y para Qué Sirve?.
Estados Actual y deseado de la Gestión Integral de Riesgos de
Empresariales.
Subsistemas de Gestión de Riesgos que coexisten en CONTROLRISK.
Subsistema SARO.
Características del Software CONTROLRISK que generan valor a las
organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la Compra o Arrendamiento del software?
Descripción Detallada Módulos Componentes del SARO.
Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 2
Estado Actual de la
Gestión de Riesgos
Estado Deseado -
ControlRisk
1) No siempre se soporta enherramientas de softwareEspecializadas en Gestión deRiesgos.
2) Información dispersa , en hojaselectrónicas o enherramientas no especializadas.
3) Aplica Enfoque Reactivo de losControles. Estos tienen comopropósito detectar laocurrencia de los riesgos .
1) Se soporta en una herramienta desoftware Especializada en Gestión deRiesgos Empresariales.
2) Información almacenada en una basede datos única, que consolida todoslos riesgos y controles de laorganización.
3) Utilizar Enfoque Proactivo yPreventivo de los Controles – Todoslos controles deben actuar antes dela ocurrencia de los riesgos.
Soporta la Implantación, Mantenimiento y Mejora Continua de la
Gestión de Riesgos Empresariales a corto, mediano y largo plazos.
El Software ControlRisk
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 3
Estado Deseado - Con
ControRisk
4) Se carece de estándares para“Diseñar los Controles requeridos”,por evento de riesgo.
5) No Ejecutan Monitoreos periódicos alos riesgos y los controles.
6) No mantienen registros actualizadosde eventos de riesgo ocurridos.
7) Bajo Enfasis en riesgos y controles delos servicios de Sistemas de laEmpresa (TICs).
8) Seguimiento manual a acciones detratamiento y de mejora
4) Estandariza Criterios para diseño delos controles por riesgo y asegurareficacia y eficiencia.
5) Realiza monitoreos periódicos y generaindicadores de gestión.
6) Se Mantiene actualizada una base dedatos con la historia de eventos deriesgo ocurridos en la Empresa.
7) Enfatiza en los riesgos y controles en laInfraestructura de TI y aplicaciones deComputador.
8) Realiza seguimiento electrónico dePlanes de tratamiento y mejoramientoy Acciones Correctivas.
Estado Actual de la
Gestión de Riesgos
Soporta la Implantación, Mantenimiento y Mejora Continua de la
Gestión de Riesgos Empresariales a corto, mediano y largo plazos.
El Software ControlRisk
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 4
ControlRisk - Subsistema SARO
Provee funcionalidades para conducir la implantación y
mejoramiento continuo del Sistema de Administración
de Riesgos Operacionales (SARO):
1) Implantar el ciclo PHVA de la Gestión de Riesgos en los procesos
del modelo de operación de la empresa, los procesos de TIC y los
Sistemas de Información automatizados (aplicaciones de computador
ó módulos de ERPs) de la Empresa.
2) Construir y actualizar el Perfil Consolidado de Riesgos de la
Empresa.
3) Crear y mantener actualizada la Base de Datos de Eventos de
Riesgo Ocurridos en la organización.
4) Monitorear el funcionamiento del Plan de Continuidad del
Negocio de la Organización.
5) Auditar la Gestión de Riesgos Operacionales.
Qué es y Para Qué Sirve?.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 5
Módulos del Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 6
El software ControlRisk
Proyección para Versiones futuras.
CONTROLRISK - VersionesFuturas:
Soportará las actividades deImplantación yActualización - mejoracontinua de diferentesSistemas de Gestión deRiesgos (SGR) en laEmpresa:
• SARO: Sistema deAdministración de riesgooperativo.
• SARLAFT: Sistema deAdministración de Riesgos deLavado de Activos yFinanciación del Terrorismo.
• RIESGOS FINANCIEROS (SARM,SARC, SARL)
• Riesgos de Sistemas de Gestión(ISO 9001, ISO 14000, ISO18000, ISO 27001 y otros)
• Riesgos Estratégicos
• Riesgos del MECI (DAFP).
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 7
CONTROLRISKVersiones Futuras.Constará de ocho(8) Subsistemas:
1. Gestión de RiesgosOperacionales - SARO
2. Gestión de Riesgos de LA /FT -SARLAFT.
3. Gestión de Riesgos SectorFinanciero (SARO- SARLAFT,SARM, SARC, SARL).
4. Gestión de Riesgos Sector Salud
5. Gestión de Riesgos SectorSolidario.
6. Gestión de Riesgos SectorPúblico (DAFP, MECI,Corrupción)
7. Gestión de Riesgos en Sistemasde Gestión (ISO 27001).
8. Otros Subsistemas de Gestiónde Riesgos
El software ControlRisk
Proyección para Versiones Futuras
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 8
El software ControlRisk
Proyección para Versiones Futuras
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 9
El software ControlRisk
Proyección para Versiones Futuras
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 10
El software ControlRisk
Versión Actual – Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 11
Consta de siete (7) Módulos.
Los perfiles de acceso en SAROson los siguientes:Administradores de Riesgos
• Gerente de Riesgos.
• Analista de Riesgos.
• Auto-evaluador – Monitoreo de riesgos,CSA.
• Administrador RERO.
• Administrador BCP.
• Auto-evaluador del BCP.
Dueños de Procesos
• Administrador de EGR (Estudio deGestión de Riesgos, Auxiliar RERO,Implantador Tratamientos,Mejoramientos y Acciones Correctivas.
• Auxiliar de RERO.
Auditores.
• Administrador de Auditoría.
• Auditor.
CONTROLRISK Ofrece dos opciones deautenticación de usuarios:
1) Autenticación manejada por laaplicación de Gestión de RiesgosControlRisk y
2) Autenticación a través del directorioactivo usado en los sistemas operativosWindows.
Ofrece tres (3) tipos de Usuarios porSubsistema:
a) Administradores de Riesgos de laEmpresa con derechos de acceso a todaslas funcionalidades de un Subsistema.
b) Dueños de Procesos: monitoreo deriesgos y controles, Auxiliares RERO,Implantadores AC, AT y AM .
c) Auditores
Administración de Usuarios
El Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 12
CONTROLRISK provee funcionalidadespara:
• Poblar la Base de Conocimientos deGestión de Riesgos con informaciónprivada de la Empresa.
• Definir tablas de Frecuencia Anual deOcurrencia de los riesgos, tipos deimpacto, criterios de evaluaciónindividual y colectiva de Controles porriesgo, parámetros de monitoreo.
• Configurar el correo corporativo de laUnidad de Riesgos y la configuración yenvío automático de mensajes derecordatorio por Correo electrónicosobre Acciones de Tratamiento yAcciones de Mejoramiento.
Módulo 1:Configuración delSoftware.
Qué es y para que sirve?
El Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 13
CONTROLRISK provee funcionalidadespara:
• Definir la Política de Administración deRiesgos Operacionales.
• Definir estándares, procedimientos yguías de Administración del RiesgoOperativo de la Empresa (Severidad delos riesgos, efectividad de Controles,indicadores de riesgo).
Módulo 2:Framework delSARO.
Qué es y para que sirve?
El Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 14
Contenido del Framework de la Administración de
Riesgos Operativos de la Empresa.
1) Política de Gestión del Riesgo para la Empresa.
2) Definición Contexto Externo e Interno de la Organización.
3) Universo de Riesgos de la Empresa - Modelo de categorías o clases de eventos de riesgo aplicables a
las operaciones de la organización.
4) Objetivos y Alcance de la Gestión de Riesgos Operativos en la Empresa.
5) Estructura organizacional y Tecnológica para soportar el SARO en la empresa.
6) Definición del Apetito de Riesgos de la Organización.
7) Definición del Nivel de Tolerancia a Riesgos.
8) Roles y responsabilidades en la administración del riesgos en la organización.
9) Procedimientos para identificar, documentar, evaluar, controlar y monitorear los riesgos
inherentes en los procesos y la Infraestructura de TI – Ciclo PHVA de la gestión de riesgos.
10) Criterios de aceptación de riesgo, criterios de efectividad de los controles y procedimiento de
tratamiento de riesgos.
11) Procedimientos que deben implantar los órganos de control frente al SARO.
12) Estrategias de capacitación y Divulgación del SARO.
Módulo 2: Framework del SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 15
El Subsistema SARO
1. Conducir el desarrollo de las fases, etapas y pasos del proceso de implantación
y/o mantenimiento del SARO, en los procesos del modelo de operación y la TIC
de la Empresa, de conformidad con ISO 31000 – Desarrollar el ciclo PHVA de la
Gestión de Riesgos, por cada proceso o sistema:
• P: Planear- Identificar, analizar, evaluar los riesgos inherentes, diseñar
tratamientos.
• H: Hacer- Implementar procedimientos de gestión de riesgos y el plan
de tratamientos).
• V: Verificar - Monitorear periódicamente el funcionamiento de la gestión
de riesgos. Generar indicadores de Gestión de Riesgos
• A: Actuar / Corregir - Implantar Acciones de Mejoramiento producto de
cada monitoreo.
2. Generar / Actualizar el Manual de Gestión de Riesgos del SARO en cada proceso
o sistema.
Objetivos del Módulo.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 16
Módulo 3: Implantar el SARO por Proceso
El Subsistema SARO
El ciclo PHVA de Implantación del SARO (1)
(1) En los procesos y sistemas de la organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 17
El Subsistema SARO
1) Obtener el Compromiso de la Gerencia.
2) Definir el Framework o Marco de Referencia de la Gestión de Riesgos
Operacionales de la Organización (de acuerdo con ISO 31000 ó ERM).
3) Armonizar / alinear la Gestión de Riesgos Operativos con la Estructura del
Sistema de Control Interno de la Organización (COSO + COBIT + ISO 27001).
En el sector publico de Colombia: MECI + COBIT + ISO 27001.
4) Armonizar la Gestión de Riesgos con el Sistema de Gestión de Calidad (ISO
9001) y otros sistemas de gestión: Ambiental, Salud Ocupacional, gestión de
continuidad del negocio – BCP – y el Sistema de Gestión de Seguridad de la
Información (ISO 27001).
Factores Críticos para la Implantación Exitosa.
Módulo 3: Implantación del SARO por Proceso
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 18
El Subsistema SARO
Qué es y para que sirve?
ALCANCE DE LA IMPLANTACION.
• Los Procesos del Modelo de Operación de laEmpresa – Mapa de Procesos (Estratégicos,Misionales, de Apoyo y de Supervisión yControl).
• Los Procesos de la Infraestructura deTecnología Información (Modelos COBIT eITIL).
• Los Sistemas de Información Automatizados(Aplicaciones de Computador ó Módulos deERPs).
Módulo 3:Implantación delSARO en losprocesos de laEmpresa.
Identificar, Medir,Controlar y Monitorearlos Riesgos , en:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 19
El Subsistema SARO
6.3. Establecer Alcance, Contexto, Criterios
ISO 31000: 2018 - Elementos del Proceso de Gestión del Riesgo
6.2
C
OM
UN
ICA
CIÓ
N Y
CO
NS
UL
TA
REGISTRO E INFORME
6.4.2 Identificación del riesgo
6.4.3 Análisis de Riesgos
6.4.4 Evaluación de riesgos
6.5 Tratamiento del Riesgo
6.7
M
ON
ITO
RE
O Y
RE
VIS
IÓN6.4 Valoración de riesgos
El Subsistema SARO
Riesgo Inherente (potencial). Riesgo Antes de Controles. Es el riesgo a cual estánexpuestos los procesos o las actividades, dada su naturaleza. Es intrínseco a los activos delque intervienen en el proceso. Este riesgo no puede ser evitado, pero si puede sermitigado. Su SEVERIDAD se evalúa sin tener en cuenta los controles establecidos en laEntidad.
Riesgo residual. Riesgo después de Controles /Tratamientos de riesgo. Es el riesgo queresta o queda después de aplicar los controles o tratamientos establecidos.
Según ISO 31000: “el riesgo residual es el riesgo que permanece o persiste después deimplementada una opción de tratamiento de riesgos. Este es el riesgo remanentedespués de que haya reducido el riesgo, removido el origen del riesgo, modificado lasconsecuencias, cambiado las probabilidades, transferido el riesgo, o retenido el riesgo”.
Los dos Estados de los Riesgos.
Implantación del SARO en los procesos y sistemas de la Empresa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 21
Ejemplo: Dos Estados de los Riesgos, por Evento Negativo (Amenaza).
Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
Riesgo Inherente (Potencial): Riesgo antes de Controles. (evento) a la que se expone el
Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:
• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.
• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.
• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
Riesgo Residual: Riesgo después de Controles y Tratamientos. Amenaza (Evento) no
protegida o no cubierta por los controles establecidos. Evaluación: B - Bajo (Tolerable).
Implantación del SARO enlos procesos y sistemas de la Empresa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 22
Qué es y para que sirve?
Módulo 3: Implantación del
SARO.
Por cada Proceso ó Aplicación de Computador,
desarrollar el Ciclo PHVA de la gestión de riesgos:
ETAPAS DE LA METODOLOGIA
• Etapa 1: Definir el Contexto de Riesgos delProceso.
• Etapa 2: Identificar, analizar ydocumentar los riesgos que podríanpresentarse.
• Etapa 3: Elaborar Cubo de Riesgos delProceso.
• Etapa 4: Diagnóstico sobre ControlesExistentes y Tratamiento de los riesgos.
• Etapa 5: Evaluación Costo / Beneficio delos Controles.
• Etapa 6: Asignar Responsables de Ejecutary Supervisar los Controles.
• Etapa 7: Monitoreo (Autoevaluación) yMejoramiento de la Gestión de riesgos.
Implantación del SARO enlos procesos y sistemas de la Empresa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 23
Evaluación de Riesgos /
Diagnóstico sobre
Protección Existente
Identificar y Analizar
Riesgos Inherentes
Establecer Contexto
del Proceso
Elaborar Cubo de
Riesgos del proceso.
1
23
4
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Definir Opciones
Manejo de Riesgos
3 Matrices - Cubo
de Riesgos Críticos
Medir Protección
Existente. Elaborar
Plan de Tratamientos
Riesgos/ Amenazas
Críticas
CaracterizaciónLocalización
Amenazas
GESTION DE RIESGOS POR PROCESOS - FASE 1 : ESTRUCTURAL
Metodología para Implantar el SARO en los procesos y Sistemas de la Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 24
Implementar
Tratamientos
5
Documentar Controles
/ Tratamientos
Análisis Eficacia /
Eficiencia
GESTION DE RIESGOS POR PROCESOS- FASE 1: ESTRUCTURAL
Metodología para Implantar el SARO en los procesos y Sistemas de la organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 25
6
Guías de
Monitoreo / CSA
Monitorear Riesgos
y Controles (CSA)
Asignar
Responsables
Generar Manual de
Administración
de Riesgos del proceso
Mapa de
Riesgos y
Controles
Medir Protección
Existente y Riesgo
Residual
78
GESTION DE RIESGOS POR PROCESOS- FASE 2 : OPERATIVA
Implantar , socializar
y concienciar
Entrenamiento
y
concienciación
No
Conformidades /
Debilidades
No
Conformidades /
Debilidades
Metodología para Implantar el SARO en los procesos y Sistemas de la Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 26
Entregables de la Gestión de Riesgos “por cada
proceso o Sistema” – Modelo -
1) Definición del Contexto Interno y Externo del Proceso.
2) Categorías de Riesgo Aplicables al Proceso.
3) Identificación y análisis de eventos de riesgo negativos (amenazas), por
Categoría (clase) de eventos de riesgo y factor de riesgo (el recurso humano, los
procesos, la tecnología, la infraestructura y los acontecimientos externos).
4) Estimación del Nivel de Severidad de los Riesgos Inherentes (eventos de riesgo antes
de controles).
5) Mapas de Riesgos Inherentes.
6) Perfil de riesgo inherente del proceso (por categoría de riesgo, áreas organizacionales
y escenarios de riesgo y factores de riesgo).
7) Cubo de Riesgos del proceso.
8) Objetivos de control que deben satisfacerse para el proceso.
Implantación del SARO En los procesos y sistemas de la Empresa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 27
Entregables de la Gestión de Riesgos “por cada
proceso o sistema” (Cont).
7) Opciones de manejo del riesgo (acciones de respuesta a riesgos), por cada evento de
riesgo potencial (asumir, evitar, mitigar, transferir, distribuir).
8) Controles establecidos, para los eventos de riesgo identificados (amenazas).
9) Evaluación del Diseño y Efectividad de los controles establecidos por Evento de
Riesgo (Medición de la Protección Existente y del riesgo residual, después de
controles.
10) Definición del Plan de Tratamiento de Riesgos, para Eventos de Riesgo no protegidos
apropiadamente.
11) Mapas de Riesgos Residuales – Antes y Después de Tratamientos.
12) Cargos responsables de ejecutar y supervisar los controles.
13) Guías de Monitoreo (autoevaluación o auto-aseguramiento) de los riesgos y de los
controles.
Implantación del SARO enlos procesos y sistemas de la Empresa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 28
Módulo 4:
Consolida los Perfiles de Riesgo Operativo de la
Organización.
Construye el Perfil de riesgos Operativos a nivel
Institucional, con los resultados del último
Monitoreo.
•Perfil de Riesgos Inherentesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionalesy c) Por tipos de procesos.
•Perfil de Riesgos Residualesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionales yc) Por tipos de procesos.
•Perfil de Protección ExistenteConsolidada: a) Por Categorías deRiesgo, b) Por Áreas Organizacionalesy c) Por tipos de procesos.
•Genera reportes de Alto Nivel para losEjecutivos de la Empresa.
El Subsistema SARO
Qué es y para que sirve?
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 29
•Crear y mantener actualizada la base de datos con el registrohistórico de los Eventos de Riesgo Ocurridos en laOrganización.
•Analizar los Eventos de Riesgo Ocurridos y evaluar Eficacia dela Gestión de Riesgos Empresariales.
•Generar reportes de eventos de riesgo ocurridos en laorganización, por diferentes conceptos.
•Proveer información de alto nivel para consulta, análisis ysoporte de la decisiones de los Ejecutivos de la Empresa,sobre los Eventos de Riesgo Ocurridos.
Módulo 5 – RERO
Crear y mantener actualizada la base
de datos de Eventos de Riesgo Operativos Ocurridos (RERO) en
la Organización.
Qué es y para que sirve?
El Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 30
Módulo 6.
Monitoreo del Plan de Continuidad delNegocio (BCP) de la Organización.
• Poblar / Cargar en la base de datos, los requerimientos que debesatisfacer el BCP.
• Verifica el estado de preparación de las áreas organizacionales paraoperar en caso de interrupciones.
• Mide el % de cumplimiento de los procedimientos del BCP.
• Generación Indicadores de Cumplimiento / preparación para trabajaren modo contingencia.
• Genera Reportes del Monitoreo.
Qué es y para que sirve?
El Subsistema SARO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 31
Módulo 7.
Auditoría al Sistema deGestión de Riesgos deOperativos de laOrganización.
•Auditoría a la Gestión de Riesgos porProcesos: planeación y pruebas decumplimiento e informe de la auditoría.Papeles de trabajo.
•Auditoría al Registro de Eventos deRiesgo Ocurridos: planeación, pruebasde cumplimiento, pruebas sustantivas,informe de la auditoria y papeles detrabajo.
•Auditoría al BCP: Planeación, pruebasde cumplimiento, informe de auditoria ypapeles de trabajo.
El Subsistema SARO
Qué es y para que sirve?
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 32
Agenda
ControlRisk: Qué es y para Qué Sirve?.
Características del Software ControlRisk que Generan
Valor para las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la compra del software?
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 33
1) Soporta la implantación y mejoramiento continuo de diferentes Sistemas de Gestión de
Riesgos (SGR) que coexisten en las Empresas, como los siguientes: 1) El sistema de
administración de riesgos operativos (SARO); 2) El sistema de administración de riesgos de
Lavado de Activos y Financiación del Terrorismo (SARLAFT); 3) El Sistema de Gestión de
Seguridad de la Información (ISO 27001); 4) El sistema de gestión de riesgos de salud
ocupacional; 5) Los sistemas de Gestión de riesgos del sector salud (Resolución 1740 de
2008 MPS) y 6) Otros sistemas de gestión de riesgos utilizados en la industria.
2) Soporta la evolución permanente de la Gestión de Riesgos Empresariales a corto,
mediano y largo plazos. Los productos generados por el software se administran,
conservan y actualizan en una Base de Datos de Conocimientos de Gestión de Riesgos
y Controles de la Empresa. Esta Base de Datos “Administra el inventario de riesgos
inherentes que pudieran presentarse en los procesos y sistemas de la organización”.
3) Hace que la Gestión de Riesgos Empresariales se convierta en el motor del “Sistema de
Control Interno de la Empresa”.
El Software ControlRisk:
Valor Percibido que genera
el Software a las Empresas.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 34
4) Es multiempresa, es decir, permite realizar la gestión de riesgos de múltiples empresas,
con la misma cantidad de usuarios en todas las empresas. Además, con las mismas
credenciales y el mismo perfil, un usuario puede realizar la Gestión de Riesgos de
múltiples empresas.
5) Provee funcionalidades de interacción permanente entre los Administradores de
Riesgos y los Dueños de Procesos, a través de correos electrónicos para la implantación
y seguimiento de: a) Planes de tratamiento de riesgos; b) Planes de mejoramiento de la
gestión de riesgos que resultan de cada monitoreo periódico por proceso; y c) De la
implantación de acciones correctivas que resultan del análisis de los eventos de riesgo
ocurridos (RERO).
6) La Gestión de Riesgos es PROACTIVA Y PREVENTIVA, es decir, se anticipa a la
ocurrencia de los eventos de riesgos inherentes, para a prevenirlos y reducirlos a nivel
tolerable de riesgo residual. El objetivo es “Administrar el inventario de riesgos inherentes
de la Empresa, que pudieran presentarse en los diferentes procesos y sistemas, para
reducir la posibilidad de ocurrencia y/o el impacto en caso de materializarse”.
El Software ControlRisk:
Valor Percibido que genera
el Software para las Empresas.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 35
7) Ayuda a Implantar el Enfoque Proactivo y Preventivo de los Controles, en lugar del
enfoque “Reactivo o detrás de los hechos conocidos”. Es decir, establece que los
controles se diseñen, implanten y actúen antes de materializarse los riesgos inherentes -
“A priori” respecto a los riesgos.
8). Genera Guías y cuestionarios de ayuda para identificar los eventos de riesgo
inherentes por categorías de riesgo, que pueden presentarse en la operaciones de cada
proceso o sistema.
9) Estandariza los criterios utilizados en la organización para analizar los riesgos
inherentes, diseñar controles y evaluar su efectividad (efectividad + eficiencia) para
reducir los riesgos inherentes a niveles aceptables de riesgo residual.
10) Genera Guías y cuestionarios para identificar los Controles que “deberían existir” por
cada riesgo inherente, para reducir su SEVERIDAD a un nivel tolerable de riesgo residual.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 36
11) Por cada proceso, construye y mantiene un “Cubo de Gestión de Riesgos”. Las tres
dimensiones del cubo son: a) Categorías de Riesgo Aplicables; b) Actividades que
constituyen el Ciclo PHVA del proceso, y c) Areas de la Estructura de organización y
terceros que intervienen en el proceso.
12) Aplica y promueve la implantación del enfoque de los “tres anillos de seguridad o
Líneas de defensa” y del nivel de automatización y no discrecionalidad de los
controles, como criterios para evaluar la EFICACIA de los controles.
13) Genera o produce Guías de Autoevaluación de Controles (en inglés CSA: Control Self
Assessment) para monitorear (auto-asegurar) periódicamente el cumplimiento de los
controles establecidos y el nivel de riesgo residual aceptable en los eventos de riesgo
inherentes, para ser diligenciadas en cada una de las dependencias que intervienen en el
proceso.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 37
14) “Lo que no se mide no puede administrarse”. Implementa la
cultura de medición en la gestión de riesgos Empresariales:
❑ Por cada evento de riesgo inherente mide: a) La frecuencia anual de ocurrencia; b)
el impacto estimado de cada ocurrencia y c) la perdida anual estimada; y d) La
Severidad Estimada con una escala de cuatro (4) calificaciones .
❑ Mide la Protección Ofrecida por los Controles Internos establecidos por cada
evento de riesgo inherente (amenaza), con una escala de (5) cinco calificaciones.
❑ Mide la efectividad de los controles por evento de riesgo inherente y del riesgo
residual en tres momentos: a) antes de tratamientos; b) después de tratamientos y c)
en cada monitoreo.
❑ Mantiene un registro histórico de las mediciones porcentuales efectuadas a los
eventos de riesgo inherentes en los últimos once (11) monitoreos: a) de la
protección ofrecida y b) del riesgo residual.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 38
15) Consolida los perfiles de riesgo Inherente y Residual de los procesos y la
TIC de la Empresa. La consolidación se realiza por los siguientes conceptos:
a) por tipos de procesos (misionales, estratégicos y de soporte), b) por áreas
organizacionales y c) por categorías de riesgo.
16) Ayuda a construir y mantener actualizada la base de datos de “Eventos de
Riesgo Ocurridos (RERO)” en la organización, con la que se generan
estadísticas e indicadores de riesgo.
17) Monitorea (hace seguimiento) periódico al Plan de Continuidad del
Negocio (BCP).
18) Provee funcionalidades para Auditar el Sistema de Gestión de Riesgos
Empresariales.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 39
Provee una Base de Datos de Conocimientos de Gestión
de Riesgos, con “best practices” universales sobre:
▪ Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD).
▪ Eventos de riesgo Inherentes (amenazas) que podrían presentarse.
▪ Factores y Agentes de Riesgo.
▪ Tipos y clases de Controles.
▪ Controles Aplicables.
▪ Objetivos de control.
▪ Técnicas y procedimientos de priorización y análisis de riesgos.
▪ Criterios de aceptación de controles efectivos.
▪ Cuestionarios de “Best Practices” de Controles aplicables (CSA: Control Self Assessment).
▪ Guías de Monitoreo o Auto-aseguramiento de Controles (CSA: Control Self Assessment).
▪ Modelos de Procesos y Escenarios de Riesgo aplicables a TICs según marcos de referencia
universales vigentes (COBIT, ISO 27001, Aplicaciones de computador).
Valor Percibido que genera
el Software para las Empresas.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 40
Está alineado con estándares internacionales vigentes de
Gestión de Riesgos, Control Interno, Seguridad y Calidad
• ISO / IEC 31000: 2018 Risk Management — Guidelines on principles and
implementation of risk management.
• ISO 31010:2009 Risk Management . Risk Assessment Techniques.
• ISO Guide 73:2009 Risk Management. Vocabulary.• ERM_ 2004 - Enterprice Risk Management.
• Modelos Internacionales y nacionales de Control Interno: COSO 2013, COBIT, MECI.
• ISO 27001: 2013 Sistema de Gestión de Seguridad de la Información (SGSI).
• ISO 20000: “Best Practices” de Gestión de Tecnologia (ITIL).
• SARO: Sistema de Administración de Riesgo Operativo.
• SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación
de l Terrorismo.
• Basilea II.
• ISO 22301: 2012 (BCMS, BCP).
• ISO 9001, ISO 14000, ISO 18000.
Valor Percibido que genera
el Software para las Empresas.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 41
Risk Management Principles
Value
Creation
and
Protection
Structured & Comprehensive
Customised
InclusiveDynamic
Best AvailableInformation
Human &CulturalFactors
ContinualImprovement
Integrated
Leadership &
Commitment
Integration
Design
Implementation
Evaluation
Improvement
Scope, Context, Criteria
Risk Assessment
Risk Treatment
Risk Identification
Risk Analysis
Risk Evaluation
Recording & ReportingC
om
mu
nic
atio
n &
Con
su
lta
tio
n
Mo
nito
rin
g &
Revie
w
Risk Management Framework Risk Management Process
Principles, Framework and risk management
process from ISO 31000: 2018
Mide la Capacidad / Efectividad de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual
1: Apropiada, ALTA.2: Mejorable.3: Insuficiente.4: Deficiente5: Muy Deficiente.
Aplica el enfoque “Proactivo y preventivo de los Controles”, en lugar delenfoque “Reactivo o detrás de los hechos conocidos”. El objetivo de loscontroles es asegurar el éxito de las operaciones, no es “detectar laocurrencia de los riesgos”.
Valor Percibido que genera
el Software para las Empresas.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 43
✓ Aplica y promueve la implantación del enfoque de los “tresanillos de seguridad o Líneas de defensa” y del nivel deautomatización y no discrecionalidad de los controles, comocriterios para evaluar la EFICACIA de los controles.
✓ Para evaluar la Eficiencia de los Controles, aplica y promueve laevaluación del Costo / Beneficio de los Controles.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 44
El enfoque de los 3 Anillos de Control o líneas de Defensa
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 45
Enfoque de los Tres Anillos de Control o de
Seguridad o de Líneas de Defensa
EVENTOS
DE RIESGO
INHERENTE
(Amenazas)
A2
A3
A2
A3
A3BARRERA
PREVENTIVABARRERA
DETECTIVA
BARRERA
CORRECTIVA
A1
FEEDBACK
ORGANIZACIÓN
PERSONAS
DATOS
HW - SW
FINANCIEROS
INSTALACIONES
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 46
Ejemplo – Aplicación del enfoque de los (3) Anillos de
Seguridad o Líneas de Defensa.Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
1. Riesgo Potencial (Inherente): Riesgo antes de Controles. (evento) a la que se expone
el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación Severidad: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:
• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático
• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear
• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
2. Riesgo Residual: Riesgo después de Controles y de Tratamientos. Amenaza
(Evento) no protegida o no cubierta por los controles establecidos. Evaluación
Severidad: B - Bajo (Tolerable).
El Software ControlRisk
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 47
Clases de Controles Calificación
Automáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización /
Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 48
Eficiencia de los controles por Amenaza:
Según el costo / beneficio del conjunto de controles que
actúan sobre cada amenaza.Eficiencia
Ben
efic
ios
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado Alto
Costos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)
Diagnóstico de los Controles
Establecidos y Tratamiento de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 49
Mantiene actualizada la Base de Conocimientos con los elementos
del SGR de todos los procesos y sistemas de la Organización –
Repositorio Unico.
Habilita a los dueños de los procesos, para asumir el papel de
responsables de “diseñar, mantener, monitorear y mejorar
continuamente el SAIR”.
Provee funcionalidades para que la Gerencia de Riesgos de la
Organización, monitoree el funcionamiento del sistema de
Administración de riesgos y ejecute seguimiento a los planes de
tratamiento y las acciones de mejora.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 50
Habilita a los Auditores para evaluar y verificar la Gestión de
Riesgos de la Organización en su ambiente de operación normal.
Genera reportes exportables a varios formatos.
Utiliza métodos cualitativos y cuantitativos de evaluación de
riesgos.
Deja Rastros de las actividades y cambios efectuados a la Base
de Conocimientos de la Empresa.
Produce Manuales de Administración de riesgos en papel y
formato electrónico.
Software Multicompañías.
Valor Percibido que genera
el Software para las Empresas.
El Software ControlRisk:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 51
Perfiles de Acceso establecidos en el SARO
Administradores de Riesgos❑ Gerente de Riesgos .
❑ Administrador EGR.
❑ Analista de Riesgos.
❑ Auto-evaluador.
❑ Administrador EGR.
❑ Administrador RERO.
❑ Administrador BCP.
❑ Auto-evaluador del BCP.
❑ Comité de Riesgos
Dueños de Proceso.❑ Implantador Plan de Tratamiento
❑ Implantador Plan de Acciones
de Mejora
❑ Implantador Acciones
Correctivas (RERO).
❑ Administrador EGRs
❑ Auxiliar de RERO.
Auditores.❑ Gerente de Auditoría.
❑ Auditor.
❑ Comité Auditoría
El software ControlRisk
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 52
Gerentes de Riesgos / Directores de Planeación.
Jefes de Unidades de Riesgo Operativo (SARO), Oficiales de
Cumplimiento del SARLAFT.
Analistas de Riesgos Financieros, SARM, SARC, SARL.
Administradores del Sistema de Gestión de Seguridad de la
Información (SGSI. ISO 27001).
Administradores de Seguridad en los Servicios de Tecnología de
Información.
Auditores Internos / Revisores Fiscales / Auditores de Sistemas.
Departamentos de Control Interno.
Coordinadores de Gestión de Calidad y de otros sistemas de
Gestión.
¿A Quienes sirve el Software
ControlRisk?
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 53
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk que generan valor
para las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 54
Especificaciones del Software
CONTROLRISK
• Herramienta de Desarrollo: .NET, Visual Studio.
• Sistema Operacional: Windows Server 2008 a 2012.
Windows Vista, 7, 8 Y 10. Excepto las versiones
Home.
• Motor de Base de datos: SQL Server.
• Memoria RAM: 4GB en servidor.
• Disco Duro: 16 GB.
• Navegadores: Internet Explorer 8.0 o superiores,
Google Chrome, Firefox y Opera.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 55
Por Compra de Licencias del Software
Licencia de uso a perpetuidad, Multiempresa: Por equipo (servidor) y
cantidad de usuarios concurrentes para tres perfiles: Administradores
de Riesgos, Dueños de Procesos y Auditores.
Modalidades de
Licenciamiento del Software
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 56
Por Arrendamiento del Software
Licencia de uso por suscripción anual, Multiempresa: Por equipo
(servidor) y cantidad de usuarios concurrentes para tres perfiles:
Administradores de Riesgos, Dueños de Procesos y Auditores.
Para cualquiera de los Subsistemas:
Por la compra de Licencias del Software
Licencia de uso a perpetuidad, multiempresa, por servidor y
cantidad de usuarios concurrentes.
Software ejecutable (DVD).
Manual del Usuario del Software (E-book).
Bases de datos de conocimientos estándar.
Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar
pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del software
durante un año.
Productos que recibe el
Usuario de CONTROLRISK
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 57
Por el Arrendamiento de Licencias del
Software
Licencia de uso por suscripción anual, multiempresa, por equipo
servidor y cantidad pactada de usuarios concurrentes.
Manual del Usuario del Software (E-book).
Acceso utilizar el Software ejecutable (DVD) como empresa
licenciataria por arrendamiento.
Acceso a Bases de datos de conocimientos estándar.
Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar
pruebas con fines de capacitación y entrenamiento .
Derecho a recibir soporte técnico y actualizaciones del software
durante el año de suscripcion.
Productos que recibe el
Usuario de CONTROLRISK
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 58
Servicios Complementarios por
Subsistema - Opcionales.
Consultoría - Acompañamiento para Integrar el Software alproceso de Gestión de Riesgos Empresariales. Por cada temaprincipal del software, consta de 3 sesiones:
▪ Sesión 1: Capacitación para el uso de la metodología de GR yel software por parte del Consultor.
▪ Sesión 2: Trabajo de Campo por parte de los Auditores, paraaplicar conceptos impartidos en Sesión 1.
▪ Sesión 3: Retroalimentación por el Consultor sobre trabajo decampo realizado por los auditores.
Servicio Anual de Actualización y Soporte Técnico.
Productos que recibe el
Usuario de CONTROLRISK
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 59
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk.
Especificaciones Técnicas del Software ControlRisk.
Descripción Módulos Componentes de
ControlRisk.Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 60
Subsistema SARO - Módulo 3:
Implantación de la Gestión de Riesgos en
los Procesos y Sistemas de Información
Automatizados
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 61
1) Los procesos del Modelo de Operación de la Empresa (Mapa de Procesos de Gestión
de Calidad).
2) Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL).
3) En la Infraestructura de TI - Escenarios Claves de TI.
4) Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos
de ERPs).
5) SARLAFT.
6) Riesgos del Sector Salud.
7) Riesgos de Seguridad de la Información (ISO 27001)
SARO Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
Que hace?Identificar, analizar, controlar y monitorear los eventos de riesgo Inherentes en:
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 62
El ciclo PHVA de la Implantación del Sistema de
Administración de Riesgos (SAR)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 63
• Contexto del Estudio de Gestión de Riesgos
• Identificar y documentar Riesgos Inherentes
• Medir Riesgos Inherentes
• Elaborar Mapa de Riesgos
• Identificar Controles Establecidos
• Diagnóstico sobre Protección Existente
• Medición del Riesgo después de Controles
• Diseño Plan de Tratamiento
1. Plan de Tratamiento de Riesgos
• Implementar Acciones de Tratamiento.• Hacer seguimiento• Emitir recordatorio a Email
2. Análisis Costo/Beneficio de los Controles
3. Definir especificaciones de los controles4. Asignar responsabilidades por
ejecución y supervisión de controles.
Acciones de Mejoramiento
✓ Diseñar
✓ Implementar
✓ Hacer Seguimiento
✓ Emitir Recordatorios correo
electrónico
• Elaborar y aplicar Guías de Monitoreo / Auto-aseguramiento de Controles –Periodicidad Trimestral
• Procesar Respuestas• Medir Cumplimiento de Controles y Riesgo
Residual• Indicadores de Protección Existente y Riesgo
Residual• Análisis de Incumplimientos• Informar resultados de monitoreo
Base de
Conocimientos de Empresa:
•Categorías de Riesgo,
•Amenazas,•Controles,•Objetivos de Control.•Vulnerabilidades•Activos•Factores de Riesgo
SAROSARLAFT
MECISGSI,
COBIT, ITIL, SOX
SARO Módulo 3: Implantación del SGR
por Procesos y Sistemas
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 64
Fase 1:
Estática o Estructural del SARO: Diseño e
Implementación. Bloques P y H del ciclo PHVA.
Fase 2:
Dinámica u Operativa del SARO: Implantación,
monitoreo y Mejoramiento Post-implantación.
Bloques V y A del ciclo PHVA
Por cada Proceso o Sistema
Fases y Etapas para Implantarel SARO por Proceso o Sistema
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 65
Evaluar Protección y
Tratamiento de Riesgos
Identificar y Analizar
Riesgos Inherentes
Comprender Contexto
Del Proceso
/ Sistema
Documentar Cubo de
Riesgos Inherentes.
12
34
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Clasificar y
Priorizar Riesgos
Identificar y evaluar
Efectividad Controles
Evaluar Severidad
Exposición a
Riesgos
Caracterización
GESTIÓN DE RIESGOS POR PROCESOS – FASE 1: ESTRUCTURAL
Etapas para Implantar el SARO
Diseñar Plan
de tratamientos
3 Matrices - Cubo
de Riesgos Críticos
Asociar Amenazas-
Objetivos de Control
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno66
Implementar
Tratamientos yAnálisis C/B
5
Planeación y
seguimiento
Mapa de Riesgos
Residuales
GESTIÓN DE RIESGOS POR PROCESOS – FASE 2: OPERATIVA
6
VERIFICAR
Monitorear Protección
y Riesgo Residual
Responsables
de Ejecutar y
SupervisarMonitoreo / Auto-
evaluación
7
Implantar y Asignar
responsables de los
controles
Indicadores de
Riesgo
Etapas para Implantar el SARO
Entrenamiento y
concienciación
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 67
Acciones
Mejora
ACTUAR- Elaborar Plan
Mejoramiento
Análisis No
Conformidades /
Debilidades
7
Actualizar ManualFramework
del SGR
ACTUAR – Implantar Plan de Mejoramiento
7 8
Ajustes a
ControlesSEGÚN Cambios en
el Negocio
Evaluar Efectividad
Acciones MejoramientoSEGÚN Cambios
Leyes/ Entorno
Etapas para Implantar el SARO
GESTIÓN DE RIESGOS POR PROCESOS – FASE 2: OPERATIVA
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 68
El software provee listas sugeridas de actividades (escenarios deriesgo) para los procesos de TI y sistemas de información:
1) Para los 34 Procesos de Tecnología de Información (TI) del ModeloCOBIT: Actividades según el RACI.
2) Para la Infraestructura de TI: Actividades consideradas por el RACI deCOBIT o los modelos que se utilicen en la organización (ITIL, ISO27001).
3) Para las Aplicaciones de computador: 14 Actividades del ciclo decontrol de los datos en los sistemas de información.
Para procesos del modelo de operación de la empresa (estratégico,misional o de apoyo): Deben ingresarse a la medida de cada proceso.
SARO Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
Actividades de los Procesos / Escenarios de Riesgo.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 69
Está en capacidad de utilizar varios modelos de
clases o categorías de riesgo Vigentes.
El Software ControlRisk
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 70
Definición de Universo de Riesgos de la
Organización
Clases de Eventos
de Riesgo Operativo
Modelo SARO(CE 041 de 2007, SFC)
1. Fraude Interno.
2. Fraude Externo.
3. Fallas en la Atención a los Clientes.
4. Daños a Activos Físicos.
5. Fallas en Relaciones Laborales.
6. Fallas Tecnológicas.
7. Errores en Administración y
Ejecución de Procesos.
Clases de Riesgos
De LA / FT - Modelo
SARLAFT (CE 013 de 2013, SFC)
1. Riesgo Reputacional.
2. Riesgo Legal.
3. Riesgo Operativo.
4. Riesgo de Contagio
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 71
Definición de Universo de Riesgos de la
Organización
Clases de Riesgo Modelo MECI: 1. Estratégico
2. Operativo
3. Financiero.
4. De cumplimiento.
5. De Tecnología.
6. De Corrupción
1. Hurto / Fraude.
2. Sanciones Legales
3. Pérdida de Credibilidad
Pública
4. Desventaja Competitiva.
5. Costos Excesivos
6. Pérdida de Ingresos.
7. Daño / Destrucción de
Activos
8. Decisiones Erróneas
Clases de Riesgo Modelo AUDIRISK
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 72
Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos.2 De incrementos inesperados en los índices de Morbilidad y
de costos de atención.3. De cambios permanentes en las condiciones de salud o
cambios tecnológicos.4. De Insuficiencia de reservas técnicas.5. De comportamiento.
Administración de Riesgo Operativo• Riesgo Operativo.• Riesgo Legal y Regulatorio.• Riesgo Reputacional.
Riesgos en el Sector Salud - Res 1740 de 2008 MPS
Modelos de Clases o Categorías
de Riesgo
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 73
Riesgos Financieros
❑ Riesgo de Mercado.
❑ Riesgo de Crédito.
❑ Riesgo de Liquidez.
❑ Riesgo Legal.
❑ Riesgo Operativo.
❑ Riesgo de Reputación.
Modelos de Clases o Categorías
de Riesgo
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 74
PRIORIZAR LOS RIESGOS DE LA ORGANIZACION
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 75
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 76
Costo ó Valor de las Pérdidas
Originadas por Eventos no deseables
denominados Riesgos / Amenazas
• Sanciones Legales.
• Pérdida de Ingresos.
• Costos Excesivos .
• Pérdida de Credibilidad Pública.
• Desventaja ante la
Competencia.
• Daño - Destrucción de
Activos.
• Decisiones Erróneas.
• Fraude – Robo.
Agentes Generadores de Amenazas.
• Personas, Fallas de los Equipos (
Energía, Aire Acondicionado), Actos
mal intencionados, Desastres Naturales
o provocados.
RIESGO
CLASES DE RIESGOS
UNIDAD MINIMA DE
ANALISIS
* Frecuencia (Probabilidad) de Ocurrencia.
* Impacto ( Estimación de las Pérdidas por
cada ocurrencia).
AMENAZAS DE RIESGO(Eventos asociados a las
Clases de Riesgo) Vulnerabilidades – Debilidades de seguridad
SARO
SARLAFT
MECI
AUDIRISK
Relación entre Clases de Riesgo y Amenazas
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 77
Identificación y Análisis de Riesgos Inherentes.❑ Prioriza las categorías de riesgo aplicables y de éstas selecciona las 3 ó 4
críticas para el proceso o sistema.
❑ Por cada categoría de riesgos crítica, identifica los eventos de riesgos
inherentes (amenazas) que podrían presentarse . Mínimo 10 por categoría de
riesgo crítica.
❑ Para las categorías no críticas, identificar al menos 5 eventos de riesgo.
❑ Por cada evento de riesgo (amenaza) se documentan siete (7) elementos del
riesgo.
• Amenaza.
• Activos impactados.
• Agentes Generadores.
• Vulnerabilidades.
• Exposición al riesgo.
• Consecuencias – Riesgo ocurrido
• Controles existentes.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 78
Priorización de Categorías de
Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 79
Medición y priorización de Riesgos Inherentes.
Para medir y priorizar la SEVERIDAD de los eventos de riesgo
inherente utiliza una escala de cuatro (4) calificaciones:
E: Extremo – Color Rojo.
A: Alto, color Naranja.
M: Moderado. Color Amarillo.
B: Bajo, color verde.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 80
Mapa de Riesgos Inherentes- Estándares
ISO 31000 y AS/ NZ 4360 (NTC 5254)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 81
Matriz de Acciones de Respuesta a
Riesgos
Basada en Estándares AS/NZ 4360 e ISO 31000
PR
OB
AB
ILID
AD
5: Casi Cierto
Zona de Riesgo Alta.
Mitigar, transferir, distribuir
Zona de Riesgo Alta.
Mitigar, transferir, distribuir
Zona de Riesgo Extremo . Evitar, transferir, mitigar Zona de Riesgo Extremo
. Evitar, transferir, mitigar
Zona de Riesgo Extremo.
Evitar, Mitigar, tranferir
4: Probable
Zona de Riesgo Moderada. Mitigar
Zona de riesgo Alta.Prevenir, transferir
Zona de riesgo Alta.Prevenir, transferir
Zona de Riesgo Extremo . Evitar, transferir,
mitigar
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
3: Posible Zona de Riesgo Baja. Aceptar, mitigar el
Riesgo
Zona de Riesgo Moderada. Mitigar
Zona de riesgo Alta.Prevenir, transferir
Zona de Riesgo Extremo . Evitar, transferir,
mitigar
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
2: Poco Probable
Zona de Riesgo Baja. Aceptar el Riesgo
Zona de Riesgo Baja. Aceptar, mitigar el
Riesgo
Zona de Riesgo Moderada.Mitigar
Zona de riesgo Alta. Prevenir, transferir
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
1: Raro Zona de Riesgo Baja.
. Aceptar el Riesgo
Zona de Riesgo Baja. . Aceptar
el Riesgo
Zona de Riesgo Moderada.Mitigar
Zona de riesgo Alta. Prevenir, transferir
Zona de riesgo Alta.Prevenir, transferir
1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico
IMPACTO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 82
Mapa de Riesgos Inherentes –
Estándar MECI
PO
RB
AB
ILID
AD
(Fr
ecu
en
cia)
3: Alta M: Moderado A: Alto E: Extremo
(Inaceptable)
2: ModeradaBajo (Tolerable)
M: ModeradoAlto
B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado
5: Leve 10: Moderado 20: Catastrófico
Homologado a Estándares AS/NZ 4360e ISO 31000
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 83
Las evaluaciones (mediciones) del riesgo inherente,
protección existente y riesgo residual, se realizan para los 3
componentes del Cubo de Riesgos de cada proceso o
sistema:
❑ Las Categorías de Riesgo Críticas identificadas para el
proceso o sistema sujeto a auditoría.
❑ Las actividades ó subprocesos que constituyen o componen
el proceso o sistema sujeto a auditoría.
❑ Las Áreas Organizacionales (dependencias ) y terceros que
intervienen en el manejo del proceso o sistema sujeto a
auditoría.
El Cubo de Riesgos.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 84
Recursos Humanos
Sistemas
Contabilidad
Escenarios de Riesgo(Actividades)
Ing
reso
de
Da
tos
Act
ua
liza
ció
nB
ase
de
Da
tos
Rep
ort
es d
eA
ctu
aliz
aci
ón
Amenazas de Riesgo
Co
sto
s Ex
cesi
vos
Fra
ud
e
San
cio
nes
Le
ga
les
Cubo de Riesgos del Proceso
o Sistema de Información
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 85
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Opción 4 del Ciclo PHVA
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 86
Aplica el enfoque “Proactivo y preventivo de los
Controles”, en lugar del enfoque “Reactivo o detrás de
los hechos conocidos”.
Enfoque Reactivo – A posteriori - Obsoleto Paradigma por Actualizar: Los Controles se establecen para
detectar la ocurrencia de Errores e Irregularidades. Los controles se diseñan e implantan después que los EVENTOS DE
RIESGO INHERENTES, problemas o desviaciones se han presentado,para evitar su recurrencia.
Tiene una connotación sancionatoria y correctiva. Efectividad: MUY BAJA, NULA.
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 87
▪ Identificación y Documentación de los Controles Existentes por amenaza.
▪ Evaluación de la Efectividad de los Controles Establecidos y del Riesgo Residual,
antes de tratamientos.Por Amenazas de Riesgo. Unidad Mínima de Análisis.
Por Escenario de Riesgo / Subproceso.
Por Dependencia.
Por Objetivo de Control.
Por Categoría de Riesgo Potencial Crítico.
▪ Diseño del Plan de Tratamientos Requeridos.
▪ Diseñar Plan de Seguimiento al Plan de Tratamientos.
▪ Reportes de Evaluación de la Efectividad y Mapas de Riesgos Residuales, Antes
y Después de Tratamientos.
▪ Emisión de Correos Electrónicos / Recordatorios .
Entregables / Productos de la Valoración.
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 88
1. Identificar los controles existentes por evento de riesgo
Inherentes.• El Software Genera Cuestionario de Controles Aplicables – Best Practices
- CSA.
• Sobre el Cuestionario, el Usuario identifica los Controles Existentes.
2. Evaluar Efectividad de los Controles existentes (eficacia
+ eficiencia).• Por Evento, Categorías de Riesgo, Áreas Organizacionales y Objetivos
de Control.
• Elaborar Mapas de Riesgo Residual, después de controles - antes de
tratamientos
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
Pasos de la Valoración de Riesgos.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 89
Mide la Efectividad (eficacia + eficiencia) de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual
1: Apropiada, ALTA.2: Mejorable.3: Insuficiente.4: Deficiente5: Muy Deficiente.
CONTROLRISK aplica el enfoque “Proactivo y preventivo de los
Controles”, en lugar del enfoque “Reactivo o detrás de los hechos
conocidos”.
Enfoque Proactivo - Recomendado.
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 90
3. Identificar Eventos de riesgo que requieren Tratamientos.Con Efectividad 2: Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy
Deficiente
4. Diseñar e implantar tratamientos: Controles para modificar el
riesgo de los eventos de riesgo inherentes y elaborar plan de
implantación.
5. Seguimiento a implantación de tratamientos. Elaboración y
envío correos electrónicos de recordatorio y verificar implantación.
6. Elaborar Mapas de Riesgo Residual. Después de
tratamientos.
Pasos de la Valoración de Riesgos.
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 91
Para ser “Efectivos” (ofrecer protección apropiada), por
cada evento de riesgo inherente los controles deberán
satisfacer tres (3) criterios:
❑ Para ser Eficaces✓ Aplicar Enfoque de los 3 niveles o anillos de Controles /
Seguridad – Al menos 3 controles por evento que hagan
SINERGIA. Obligatorio.
✓ Alto Grado de Automatización y Discrecionalidad de los
Controles. Promedio >= 3.5
❑ Para ser Eficientes. Costo / Beneficio RAZONABLE (Costo
Máximo: 10% del valor de los activos protegidos por los controles).
Valoración de Riesgos según Efectividad de
los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 92
Enfoque de los Tres Anillos Seguridad o Líneas
de Defensa
EVENTOS
DE RIESGO
INHERENTE
(Amenazas)
A2
A3
A2
A3
A3BARRERA
PREVENTIVABARRERA
DETECTIVA
BARRERA
CORRECTIVA
A1
FEEDBACK
ORGANIZACIÓN
PERSONAS
DATOS
HW - SW
FINANCIEROS
INSTALACIONES
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 93
Los tres (3) Anillos de Controles (De
Seguridad o Líneas de Defensa).Los controles actúan sobre los eventos de riesgo inherentes de tres
maneras, interdependientes, que hacen SINERGIA:
Como control Preventivo. Condicionan los actos de la organización
para asegurar que ocurran de manera preestablecida – Son
estándares de actuación.
Como control Detectivo. Para detectar, registrar e informar la
ocurrencia de la amenaza (son alarmas que se disparan cuando se
detecta que está presentándose la amenaza). Refuerzan y validan
el control preventivo. Hacen pareja con el control preventivo.
Como control Correctivo. Obligan a tomar acción correctiva para
resolver el problema detectado por los controles detectivos. Hacen
pareja con los controles detectivos.
Control de los Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 94
El enfoque de los 3 Anillos de Seguridad
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 95
Clases de Controles Calificación
Automáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización /
Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 96
Eficiencia de los controles por Amenaza:
Según el costo / beneficio del conjunto de controles que
actúan sobre cada amenaza.Eficiencia
Ben
efic
ios
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado Alto
Costos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)
Diagnóstico de los Controles
Establecidos y Tratamiento de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 97
Mapa de Riesgos Residuales
Rie
sgo
Inh
ere
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy
Deficiente
Efectividad de los Controles (Protección Existente)
Matriz de Riesgo Residual, después del Diagnóstico
de los Controles Establecidos - MODELO "AUDISIS"
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 98
Evaluación de Efectividad / Protección que ofrecen los Controles, por Amenaza
Protección existente
(PE) - Método AUDISIS
Satisfacción de los Criterios de
Evaluación EfectividadRI - Antes de Controles
Estandar AS/NZ e ISO 31000
RR - Despues
de Controles
1: APROPIADA
Se satisfacen los 3 anillos de control y por lo menos
uno de los otros dos criterios (C/B = Razonable y/o
Calificación promedio de los controles superior a
3.5 puntos)
4: Extremo 1: Tolerable
3: Alto 1: Tolerable
2: Moderado 1: Tolerable
1: Bajo (Tolerable) 1: Tolerable
2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente
4: Extremo 2: Moderado
3: Alto 2: Moderado
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo
4: INSUFICIENTE
Únicamente se satisfacen los dos criterios
diferentes de los 3 anillos (C/B = Razonable y/o
Calificación promedio de los controles superior a
3.5 puntos)
4: Extremo 3: Alto
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Tolerable
4: DEFICIENTE
Se satisface únicamente uno de los dos criterios
diferentes de los 3 anillos (C/B = Razonable y/o
Calificación promedio de los controles superior a
3.5 puntos)
4: Extremo 4: Extremo
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo (Tolerable)
5: MUY DEFICIENTE No existen controles
4: Extremo 4: Extremo
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo (Tolerable)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 99
El Tratamiento de los Riesgos se diseña con base en
los resultados del Diagnóstico sobre la Protección que
ofrecen los controles establecidos, por cada amenaza
de riesgo crítica.
Se requieren tratamientos para amenazas que tienen
Protección Existente (PE) diferente de APROPIADA.
2: Mejorable.
3: Insuficiente.
4 : Deficiente.
5 : Muy deficiente.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 100
Para Qué las Acciones de Tratamiento?
• Para satisfacer los 3 anillos de Seguridad.• Para mejorar niveles de automatización y discrecionalidad de los
controles.• Para ajustar Eficiencia de los Controles (Costo / Beneficio).
Planeación de la Implantación.• Asignar responsables de Implantar tratamientos.• Asignar Responsables de Supervisar Implantación .• Asignar Fechas de Compromiso.• Programar Mensajes de Alerta / Recordatorios por Correo Electrónico.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 101
Seguimiento del Plan de Tratamiento.
• Recordatorios / Alertas por Correo Electrónico.
• Reportes periódicos de Seguimiento a Tratamientos✓ Implementados.
✓ Por Iniciar.
✓ En proceso.
✓ Anulados / Aplazados.
• Adicionar tratamientos implantados a la base de
datos de controles establecidos.
• Evaluación de Amenazas después de Tratamientos.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 102
Produce Guías de Autocontrol por cada Área
Organizacional que interviene en el proceso o sistema.
Para Controles Manuales.• Asigna cargos responsables de Ejecutar los controles.
• Asigna cargos responsables de Supervisar los controles.
Para Controles Automatizados.• Ejecución: No se asigna cargo responsable - lo hace el
sistema.
• Asigna cargo responsables de Supervisar el controles.
Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 103
El software produce “Guías de Auto-aseguramiento” para
ser respondidas por los responsables de las Áreas
Organizaciones y terceros que intervienen en el proceso.
Con el procesamiento de las respuestas, el software genera
Indicadores de Riesgo, según grado de Cumplimiento de los
Controles establecidos.a) Por Amenaza.
b) Por Área organizacional o Tercero que intervenga en el
proceso.
c) Por Categoría de Riesgo y
d) Por Actividad del Proceso (escenarios de riesgo).
Etapa 7: Monitoreo y Autoaseguramiento de Controles
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 104
Etapa 7: Monitoreo y Autoaseguramiento de Controles
Compara Protección Existente y Riesgo Residual
después de tratamientos, con resultados del Monitoreo
actual.
Amenazas Protección Existente después de
tratamientos (Etapa 4)
% Puntaje Obtenido en Monitoreo
(Etapa 7)
Protección Existente (PE) Según
Monitoreo (Etapa 7)
Riesgo Residual –RR- Según
Monitoreo Actual (Etapa 7)
Amenaza 1 1: Apropiada Mayor del 80 % 1: Apropiado 1: Aceptable
Amenaza 2 2: Mejorable Entre 60 y 80% 3: Insuficiente 3: Alto
Amenaza 3 1: Apropiada Entre 40 y 60% 3: Insuficiente 3: Alto
Amenaza 4 1: Apropiada Entre 20 y 40% 4: Deficiente 4: Extremo
Amenaza 5 1: Apropiada Menos del 20% 5: Muy Deficiente 5: Extremo
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 105
Monitoreo Periódico de los Riesgos y los Controles
Productos que Genera.
• Guías de Monitoreo / Auto-aseguramiento, por dependencias o áreas
organizacionales que intervienen en el proceso o sistema objeto del monitoreo.
• Perfiles de Protección Existente (PE) y Riesgo Residual (RR), después del
monitoreo .
• Amenazas con Riesgo Residual por encima del nivel mínimo aceptable.
• Estadísticas y reportes de Motivos de Incumplimiento de los Controles
Establecidos.
• Historia de PE y RR en los últimos “n” Monitoreos.
• Plan de Mejoramiento para superar las “No conformidades” identificadas en el
monitoreo.
• Seguimiento al Plan de Mejoramiento monitoreo anterior.
Etapa 7: Monitoreo y Autoaseguramiento de Controles
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 106
Histórico de Monitoreos por Proceso
Etapa 7: Monitoreo y Autoaseguramiento de Controles
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 107
Plan de Mejoramiento del sistema de Gestión de
Riesgos del proceso o sistema.
• Diseño del Plan de Mejoramiento por Área Organizacional.✓ Responsables de implantar y supervisar acciones de mejora.
✓ Configurar y programar envío de Correos Electrónicos de Alerta /
Recordatorios a responsables de implantar acciones de Mejora.
• Seguimiento al Plan de Mejoramiento.✓ Envío de recordatorios por correo electrónico.
✓ Informe con Resultados del Seguimiento.
✓ Acciones de Mejora Pendientes de Implantar.
• Archivos Históricos de Planes de Mejora.
Etapa 7: Monitoreo y Autoaseguramiento de Controles
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 108
SARO Módulo 4:
Consolidación de Perfiles de
Riesgo de la Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 109
SARO Módulo 4:
Consolida Perfiles de Riesgo Institucional
Implementar SGR Por:
•Procesos•Sistemas
Medición
Riesgo
Inherente
Medición
Protección
Existente
(PE) y
Riesgo
Residual
(RR)
1
Perfil Consolidado de Riesgo Inherente
• General = Todos los Procesos
✓ Por Procesos✓ Por Área Organizacional✓ Por Categoría de Riesgo
• Por Tipos de Proceso
✓ Por Procesos✓ Por Área Organizacional✓ Por Categoría de Riesgo
Perfil Consolidado de Protección Existente y Riesgo Residual
• General = Todos los Procesos
✓ Por Procesos✓ Por Área Organizacional✓ Por Categoría de Riesgo
• Por Tipos de Proceso
✓ Por Procesos✓ Por Área Organizacional✓ Por Categoría de Riesgo
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 110
▪ Consolidar a nivel de la Empresa:✓ Los perfiles de riesgo inherente de los diferentes tipos
procesos de la organización (estratégicos, misionales y de
soporte).
✓ Los perfiles de riesgo residual y la protección
existente de los diferentes procesos de la organización
(estratégicos, misionales y de soporte).
▪ Presentar información de alto nivel para consulta
de los Ejecutivos de la Empresa, sobre la Gestión
de Riesgos Operativos en la Organización.
SARO Módulo 4: Consolida
Perfiles de Riesgo por
Organización
Que hace?.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 111
Que Produce?.
1. Perfil Consolidado de Riesgo Inherente por Tipos de
Procesos.a) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo
y de Supervisión). Reportes y Gráficos con el Perfil
Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de
Riesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Proceso y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
SARO Módulo 4: Perfiles de Riesgo
Inherente Consolidados de la
Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 112
2. Perfil Consolidado de Protección Existente y Riesgo
Residual.
a) Por Tipos de Procesos. Reportes y Gráficos con el Perfil Consolidado
en todos los procesos de la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de Riesgo).
Reportes y Gráficos con el Perfil Consolidado en la organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
Que Produce?.
SARO Módulo 4: Perfiles de Riesgo
Consolidados por Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 113
a) Por Tipos de Procesos (Estratégicos, Misionales, de
Apoyo y de Supervisión) y Proceso.
1) Por cada tipo de proceso y proceso, muestra el Riesgo Inherente
Consolidado: Por cada proceso muestra cantidad de amenazas, el
valor promedio del riesgo inherente y el significado del riesgo
inherente.
2) Perfil de Riesgo Inherente por cada tipo de proceso y proceso:
Por cada proceso muestra cantidad de amenazas en niveles de riesgo
Inherente Muy Alto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo inherente.
SARO Módulo 4: Consolidación del
Perfil de Riesgo Inherente
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 114
SARO Módulo 4: Consolida Perfil de Riesgo
Inherente – Presentada por procesos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 115
b) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo
y de Evaluación y Medición) y Clases de Riesgo.
1) Por cada Tipo de Proceso y Categoría de Riesgo. Por cada
categoría de riesgo muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente
2) Perfil de Riesgo Inherente por tipos de proceso y categorías
de Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Inherente Muy Alto, Alto y
Aceptable.
3) Indicadores del rango de perdidas estimadas para las
amenazas por niveles de riesgo inherente.
SARO Módulo 4: Consolida Perfil de
Riesgo Inherente
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 116
c) Por Tipos de procesos y Áreas Organizacionales
(Dependencias).
1) Consolidado por tipo de procesos y Dependencias. Por
cada dependencia muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente.
2) Perfil de Riesgo Inherente Consolidado por tipo de
procesos y dependencias: Por cada dependencia muestra
cantidad de amenazas en niveles de riesgo Inherente Muy Alto,
Alto y Aceptable.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo inherente.
Consolidación del Perfil de Riesgo
Inherente
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 117
2. Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Procesos.
a) Por Tipos de procesos y Procesos. Reportes y Gráficos con el
Perfil Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de
Riesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
Que Produce?.
Módulo 4: Consolidación de Perfiles de Riesgo
de la Organización – Perfil de Riesgo Residual
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 118
SARO Módulo 4: Consolida Perfil
de Riesgo Residual
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 119
a) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Procesos.
1) Por tipos de proceso y procesos. Por cada proceso muestra:
Cantidad de Amenazas, protección existente consolidada y
riesgo residual consolidado.
2) Perfiles Por tipos de proceso y procesos: Por cada proceso
muestra cantidad de amenazas en niveles de riesgo residual
Muy Alto, Alto y Aceptable y su correspondiente Protección
Existente.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo residual.
SARO Módulo 4: Consolida Perfiles de Riesgo
de la Organización – Perfil de Riesgo Residual
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 120
SARO Módulo 4: Consolida Perfil de
Riesgo Residual – Presentada por
Procesos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 121
b) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Clases de Riesgo
1) Por Tipos de Proceso y Categorías de Riesgo: Por cada categoría de
riesgo muestra cantidad de amenazas, el valor promedio de protección
existente y promedio de riesgo residual.
2) Perfil de Riesgo Residual Consolidado por tipos de proceso y
categorías de Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Residual Muy Alto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo residual.
4) Consolidado de Protección Existente y Riesgo Residual, por Clase
de Riesgo y Procesos. Por cada clase de riesgo muestra la PE y el RR
de los procesos en los cuales se presenta la clase de riesgo.
SARO Módulo 4: Consolida Perfil de
Riesgo Residual –Por Tipos de Proceso y
Categorías de Riesgo
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 122
c) Perfil Consolidado de Protección Existente y Riesgo
Residual por Tipos de Proceso y Clases de Riesgo
1) Consolidado de PE y RR por Dependencias. Por cada dependencia muestra:
Cantidad de Amenazas, protección existente consolidada y riesgo residual
consolidado.
2) Perfil de Riesgo Residual Consolidado por dependencias: Por cada
dependencia muestra cantidad de amenazas en niveles de riesgo residual Muy
Alto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por niveles de
riesgo residual.
4) Consolidado de PE y RR por dependencias y procesos. El software muestra la
cantidad de amenazas, PE y RR por cada proceso en el que interviene la
dependencia.
5) Consolidado de PE y RR por dependencias y clases de riesgo. El software
muestra la cantidad de amenazas, PE y RR por cada clase de riesgo que se
presenta en la dependencia.
SARO Módulo 4: Consolida Perfil de Riesgo
Residual – por Tipos de Proceso y Áreas
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 123
SARO - Módulo 5:Implantación y Mantenimiento
del Registro de Eventos de
Riesgo Ocurridos - RERO
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 124
Qué hace?.
• Crear y mantener una base de datos con el registro histórico y
actualizado de los Eventos de Riesgo Ocurridos en la Organización.
• Generar reportes de eventos de riesgo operativo ocurridos en la
organización, por diferentes conceptos.
• Presentar información de alto nivel para consulta y soporte de la
decisiones de los Ejecutivos de la Empresa, sobre los Eventos de
Riesgo Ocurridos.
SARO Modulo 5: Registro de Eventos
de Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 125
SARO Módulo 5:
Registro de Eventos de Riesgo
Ocurridos (RERO)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 126
Qué Produce?.
Base de Datos Poblada con eventos de pérdida
Ocurridos en la Organización.
Generación de Reportes: detallados y
gerenciales.
SARO Modulo 5:
Registro de Eventos de Riesgo
Ocurridos (RERO)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 127
SARO Módulo 5:
Registro de Eventos de Riesgo
Ocurridos (RERO)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 128
SARO Módulo 6:Monitoreo del Plan de Continuidad
del Negocio (BCP)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 129
Qué es el Plan de Continuidad del Negocio(BCP)?.
Conjunto detallado de acciones que describen losprocedimientos, los sistemas y los recursos necesariospara retornar y continuar la operación, en caso deinterrupción (Circular 049 de 2006, SFC).
Numeral 2.8 Circular externa 049 de 2006,Superintendencia Financiera de Colombia.
SARO Módulo 6. Monitoreo
/ Auto-aseguramiento del BCP
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 130
Qué hace?.
Verifica el estado de preparación de las áreas
organizacionales para operar en caso de
interrupciones.
Mide el % de cumplimiento de los procedimientos
del BCP.
Generación Indicadores de Cumplimiento /
preparación.
Genera Reportes del Monitoreo.
SARO Módulo 6:
Monitoreo / Auto-aseguramiento del BCP
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 131
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 132
Monitoreo / Auto-aseguramiento del BCP
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 133
Monitoreo / Auto-aseguramiento del BCP
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 134
Proceso de Gestión de Continuidad del
Negocio (BCP)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 135
SARO Módulo 7:Auditoría al Sistema de Gestión
de Riesgos de la Organización
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 136
Que hace ?.
Habilitar a los auditores para verificar el cumplimiento
y eficacia de los controles establecidos en la
administración integral de Riesgos de cada proceso,
utilizando procedimientos similares a los que se
emplean en la etapa de monitoreo de la protección
existente y el riesgo residual (Etapa 7, módulo 1).
SARO Módulo 7: Auditoría al Sistema
de Administración de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 137
SARO Módulo 7: Auditoría al Sistema
de Administración de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 138
Qué Produce?.
Por cada proceso auditado:Guías para verificar: a) cumplimiento de los controles y b)
normas y procedimientos por áreas organizacionales.
Gráficos y Reportes con los resultados de la evaluación de la
Auditoria en cada una de las áreas organizacionales que
intervienen en el proceso.
Recomendaciones de la Auditoría.
Planeación y ejecución del seguimiento a las
recomendaciones de la auditoría.
Papeles de trabajo electrónicos.
Informe de la Auditoría.
SARO Módulo 7: Auditoría al Sistema
de Administración Integral de Riesgos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 139
Beneficios de Utilizar
CONTROLRISK
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 140
ControlRisk establece un “Marco de trabajo” (Framework) para la
Administración Integral de Riesgos Empresariales y el diseño de los
controles internos de la organización, alineado con estándares y “Best
Practices” universales de seguridad y control interno:
Beneficios Corporativos
COSO ERM.
ISO 31000.
ISO 27002, ISO 27001.
ISO 20000.
ISO 9001.
COBIT.
ITIL.
MECI.
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 141
Mejora y facilita el ejercicio del Gobierno Corporativo.
Ayuda a implantar la cultura de Medición de la
Exposición a riesgos potenciales, de la protección
existente y del riesgo residual.
Automatiza y estandariza el diseño, implementación y
documentación de controles y procedimientos de
administración de riesgos.
ControlRisk:
Beneficios Corporativos
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 142
▪ Es una fuente permanente de aprendizaje organizacional sobre prevención de riesgos, controles y seguridad, en todas las áreas de la empresa que intervienen en el manejo de los procesos de negocio y de tecnología de información.
▪ Incrementa las características de seguridad, calidad yconfiabilidad de los procesos de negocio y de sistemas deinformación.
ControlRisk:
Beneficios para Propietarios de los
Procesos (las áreas que manejan las
Operaciones)
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 143
ControlRisk:
▪ Facilita y hace más eficiente el trabajo de la auditoría: Seapoya en los resultados de la implantación de Sistemas deGestión de Riesgos.
▪ Incrementa la productividad, eficiencia y valor agregado deltrabajo de la auditoría.
▪ Reduce los costos de la auditoría a procesos y sistemasestudiados con ControlRisk.
Beneficios para el
Departamento de Auditoría
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 144
Sector Industrial.
• Lafayette.
• Oleoducto Central de Colombia - OCENSA.
• AVESCO (Grupo Kokorico).
Cajas de Compensación Familiar.
• Comfenalco Tolima.
• COMFIAR: Caja de Compensación Familiar de Arauca.
• COMFAGUAJIRA: Caja de Compensación Familiar de la Guajira.
• Compensar.
En Colombia.
Usuarios de ControlRisk en
Colombia y el Exterior
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 145
Sector Financiero.• Cooperativa de Ahorro y Crédito – Progresa.• Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.• Banco Popular.
Entidades de Sector Público.• Contraloría General de la Republica de Colombia.• Empresa Electrificadora de Santander – ESSA.• Centrales Eléctricas de Nariño.• Comisión Nacional de TV.• Oleoducto Central de Colombia.
En Colombia.
Usuarios de CONTROLRISK en
Colombia y el Exterior
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 146
Sector Educativo.
• Universidad Central de Bogotá.
• Universidad Militar Nueva Granada.
• Universidad la Gran Colombia.
• Universidad Autónoma de Colombia.
• Universidad Pedagógica y Tecnológica de Colombia.
• Universidad Santo Tomás - Bucaramanga.
• Universidad Católica de Colombia.
• Universidad Santo Tomás – Bucaramanga.
En Colombia.
Usuarios de CONTROLRISK en
Colombia y el Exterior
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 147
• Universidad UPEU Perú.
• Contraloría General del Perú.
• Banco Central del Ecuador.
En el Exterior.
Usuarios de CONTROLRISK en
Colombia y el Exterior
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 148
Gracias por su atención.
Hasta Pronto !
Para conocer el software ingrese a www.softwareaudisis.com
ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 149