software de administración de riesgos empresariales · 2020. 11. 4. · los riesgos y los...

ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno

Software de Administración de

Riesgos Empresariales

Versión 7.5 - Año 2020

1

Agenda

ControlRisk: Qué es y para Qué Sirve?.

Estados Actual y deseado de la Gestión Integral de Riesgos de

Empresariales.

Subsistemas de Gestión de Riesgos que coexisten en CONTROLRISK.

Subsistema SARO.

Características del Software CONTROLRISK que generan valor a las

organizaciones.

Especificaciones Técnicas del Software ControlRisk.

Que recibe el usuario por la Compra o Arrendamiento del software?

Descripción Detallada Módulos Componentes del SARO.

Beneficios de Utilizar ControlRisk.

Empresas Usuarias del software ControlRisk.

ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno 2

Estado Actual de la

Gestión de Riesgos

Estado Deseado -

ControlRisk

1) No siempre se soporta enherramientas de softwareEspecializadas en Gestión deRiesgos.

2) Información dispersa , en hojaselectrónicas o enherramientas no especializadas.

3) Aplica Enfoque Reactivo de losControles. Estos tienen comopropósito detectar laocurrencia de los riesgos .

1) Se soporta en una herramienta desoftware Especializada en Gestión deRiesgos Empresariales.

2) Información almacenada en una basede datos única, que consolida todoslos riesgos y controles de laorganización.

3) Utilizar Enfoque Proactivo yPreventivo de los Controles – Todoslos controles deben actuar antes dela ocurrencia de los riesgos.

Soporta la Implantación, Mantenimiento y Mejora Continua de la

Gestión de Riesgos Empresariales a corto, mediano y largo plazos.

El Software ControlRisk


Estado Deseado - Con

ControRisk

4) Se carece de estándares para“Diseñar los Controles requeridos”,por evento de riesgo.

5) No Ejecutan Monitoreos periódicos alos riesgos y los controles.

6) No mantienen registros actualizadosde eventos de riesgo ocurridos.

7) Bajo Enfasis en riesgos y controles delos servicios de Sistemas de laEmpresa (TICs).

8) Seguimiento manual a acciones detratamiento y de mejora

4) Estandariza Criterios para diseño delos controles por riesgo y asegurareficacia y eficiencia.

5) Realiza monitoreos periódicos y generaindicadores de gestión.

6) Se Mantiene actualizada una base dedatos con la historia de eventos deriesgo ocurridos en la Empresa.

7) Enfatiza en los riesgos y controles en laInfraestructura de TI y aplicaciones deComputador.

8) Realiza seguimiento electrónico dePlanes de tratamiento y mejoramientoy Acciones Correctivas.

Estado Actual de la

Gestión de Riesgos

Soporta la Implantación, Mantenimiento y Mejora Continua de la

Gestión de Riesgos Empresariales a corto, mediano y largo plazos.



ControlRisk - Subsistema SARO

Provee funcionalidades para conducir la implantación y

mejoramiento continuo del Sistema de Administración

de Riesgos Operacionales (SARO):

1) Implantar el ciclo PHVA de la Gestión de Riesgos en los procesos

del modelo de operación de la empresa, los procesos de TIC y los

Sistemas de Información automatizados (aplicaciones de computador

ó módulos de ERPs) de la Empresa.

2) Construir y actualizar el Perfil Consolidado de Riesgos de la

Empresa.

3) Crear y mantener actualizada la Base de Datos de Eventos de

Riesgo Ocurridos en la organización.

4) Monitorear el funcionamiento del Plan de Continuidad del

Negocio de la Organización.

5) Auditar la Gestión de Riesgos Operacionales.

Qué es y Para Qué Sirve?.


Módulos del Subsistema SARO


El software ControlRisk

Proyección para Versiones futuras.

CONTROLRISK - VersionesFuturas:

Soportará las actividades deImplantación yActualización - mejoracontinua de diferentesSistemas de Gestión deRiesgos (SGR) en laEmpresa:

• SARO: Sistema deAdministración de riesgooperativo.

• SARLAFT: Sistema deAdministración de Riesgos deLavado de Activos yFinanciación del Terrorismo.

• RIESGOS FINANCIEROS (SARM,SARC, SARL)

• Riesgos de Sistemas de Gestión(ISO 9001, ISO 14000, ISO18000, ISO 27001 y otros)

• Riesgos Estratégicos

• Riesgos del MECI (DAFP).


CONTROLRISKVersiones Futuras.Constará de ocho(8) Subsistemas:

1. Gestión de RiesgosOperacionales - SARO

2. Gestión de Riesgos de LA /FT -SARLAFT.

3. Gestión de Riesgos SectorFinanciero (SARO- SARLAFT,SARM, SARC, SARL).

4. Gestión de Riesgos Sector Salud

5. Gestión de Riesgos SectorSolidario.

6. Gestión de Riesgos SectorPúblico (DAFP, MECI,Corrupción)

7. Gestión de Riesgos en Sistemasde Gestión (ISO 27001).

8. Otros Subsistemas de Gestiónde Riesgos


Proyección para Versiones Futuras



Versión Actual – Subsistema SARO


Consta de siete (7) Módulos.

Los perfiles de acceso en SAROson los siguientes:Administradores de Riesgos

• Gerente de Riesgos.

• Analista de Riesgos.

• Auto-evaluador – Monitoreo de riesgos,CSA.

• Administrador RERO.

• Administrador BCP.

• Auto-evaluador del BCP.

Dueños de Procesos

• Administrador de EGR (Estudio deGestión de Riesgos, Auxiliar RERO,Implantador Tratamientos,Mejoramientos y Acciones Correctivas.

• Auxiliar de RERO.

Auditores.

• Administrador de Auditoría.

• Auditor.

CONTROLRISK Ofrece dos opciones deautenticación de usuarios:

1) Autenticación manejada por laaplicación de Gestión de RiesgosControlRisk y

2) Autenticación a través del directorioactivo usado en los sistemas operativosWindows.

Ofrece tres (3) tipos de Usuarios porSubsistema:

a) Administradores de Riesgos de laEmpresa con derechos de acceso a todaslas funcionalidades de un Subsistema.

b) Dueños de Procesos: monitoreo deriesgos y controles, Auxiliares RERO,Implantadores AC, AT y AM .

c) Auditores

Administración de Usuarios

El Subsistema SARO


CONTROLRISK provee funcionalidadespara:

• Poblar la Base de Conocimientos deGestión de Riesgos con informaciónprivada de la Empresa.

• Definir tablas de Frecuencia Anual deOcurrencia de los riesgos, tipos deimpacto, criterios de evaluaciónindividual y colectiva de Controles porriesgo, parámetros de monitoreo.

• Configurar el correo corporativo de laUnidad de Riesgos y la configuración yenvío automático de mensajes derecordatorio por Correo electrónicosobre Acciones de Tratamiento yAcciones de Mejoramiento.

Módulo 1:Configuración delSoftware.

Qué es y para que sirve?

El Subsistema SARO


CONTROLRISK provee funcionalidadespara:

• Definir la Política de Administración deRiesgos Operacionales.

• Definir estándares, procedimientos yguías de Administración del RiesgoOperativo de la Empresa (Severidad delos riesgos, efectividad de Controles,indicadores de riesgo).

Módulo 2:Framework delSARO.


El Subsistema SARO


Contenido del Framework de la Administración de

Riesgos Operativos de la Empresa.

1) Política de Gestión del Riesgo para la Empresa.

2) Definición Contexto Externo e Interno de la Organización.

3) Universo de Riesgos de la Empresa - Modelo de categorías o clases de eventos de riesgo aplicables a

las operaciones de la organización.

4) Objetivos y Alcance de la Gestión de Riesgos Operativos en la Empresa.

5) Estructura organizacional y Tecnológica para soportar el SARO en la empresa.

6) Definición del Apetito de Riesgos de la Organización.

7) Definición del Nivel de Tolerancia a Riesgos.

8) Roles y responsabilidades en la administración del riesgos en la organización.

9) Procedimientos para identificar, documentar, evaluar, controlar y monitorear los riesgos

inherentes en los procesos y la Infraestructura de TI – Ciclo PHVA de la gestión de riesgos.

10) Criterios de aceptación de riesgo, criterios de efectividad de los controles y procedimiento de

tratamiento de riesgos.

11) Procedimientos que deben implantar los órganos de control frente al SARO.

12) Estrategias de capacitación y Divulgación del SARO.

Módulo 2: Framework del SARO


El Subsistema SARO

1. Conducir el desarrollo de las fases, etapas y pasos del proceso de implantación

y/o mantenimiento del SARO, en los procesos del modelo de operación y la TIC

de la Empresa, de conformidad con ISO 31000 – Desarrollar el ciclo PHVA de la

Gestión de Riesgos, por cada proceso o sistema:

• P: Planear- Identificar, analizar, evaluar los riesgos inherentes, diseñar

tratamientos.

• H: Hacer- Implementar procedimientos de gestión de riesgos y el plan

de tratamientos).

• V: Verificar - Monitorear periódicamente el funcionamiento de la gestión

de riesgos. Generar indicadores de Gestión de Riesgos

• A: Actuar / Corregir - Implantar Acciones de Mejoramiento producto de

cada monitoreo.

2. Generar / Actualizar el Manual de Gestión de Riesgos del SARO en cada proceso

o sistema.

Objetivos del Módulo.


Módulo 3: Implantar el SARO por Proceso

El Subsistema SARO

El ciclo PHVA de Implantación del SARO (1)

(1) En los procesos y sistemas de la organización


El Subsistema SARO

1) Obtener el Compromiso de la Gerencia.

2) Definir el Framework o Marco de Referencia de la Gestión de Riesgos

Operacionales de la Organización (de acuerdo con ISO 31000 ó ERM).

3) Armonizar / alinear la Gestión de Riesgos Operativos con la Estructura del

Sistema de Control Interno de la Organización (COSO + COBIT + ISO 27001).

En el sector publico de Colombia: MECI + COBIT + ISO 27001.

4) Armonizar la Gestión de Riesgos con el Sistema de Gestión de Calidad (ISO

9001) y otros sistemas de gestión: Ambiental, Salud Ocupacional, gestión de

continuidad del negocio – BCP – y el Sistema de Gestión de Seguridad de la

Información (ISO 27001).

Factores Críticos para la Implantación Exitosa.

Módulo 3: Implantación del SARO por Proceso


El Subsistema SARO


ALCANCE DE LA IMPLANTACION.

• Los Procesos del Modelo de Operación de laEmpresa – Mapa de Procesos (Estratégicos,Misionales, de Apoyo y de Supervisión yControl).

• Los Procesos de la Infraestructura deTecnología Información (Modelos COBIT eITIL).

• Los Sistemas de Información Automatizados(Aplicaciones de Computador ó Módulos deERPs).

Módulo 3:Implantación delSARO en losprocesos de laEmpresa.

Identificar, Medir,Controlar y Monitorearlos Riesgos , en:


El Subsistema SARO

6.3. Establecer Alcance, Contexto, Criterios

ISO 31000: 2018 - Elementos del Proceso de Gestión del Riesgo

6.2

C

OM

UN

ICA

CIÓ

N Y

CO

NS

UL

TA

REGISTRO E INFORME

6.4.2 Identificación del riesgo

6.4.3 Análisis de Riesgos

6.4.4 Evaluación de riesgos

6.5 Tratamiento del Riesgo

6.7

M

ON

ITO

RE

O Y

RE

VIS

IÓN6.4 Valoración de riesgos

El Subsistema SARO

Riesgo Inherente (potencial). Riesgo Antes de Controles. Es el riesgo a cual estánexpuestos los procesos o las actividades, dada su naturaleza. Es intrínseco a los activos delque intervienen en el proceso. Este riesgo no puede ser evitado, pero si puede sermitigado. Su SEVERIDAD se evalúa sin tener en cuenta los controles establecidos en laEntidad.

Riesgo residual. Riesgo después de Controles /Tratamientos de riesgo. Es el riesgo queresta o queda después de aplicar los controles o tratamientos establecidos.

Según ISO 31000: “el riesgo residual es el riesgo que permanece o persiste después deimplementada una opción de tratamiento de riesgos. Este es el riesgo remanentedespués de que haya reducido el riesgo, removido el origen del riesgo, modificado lasconsecuencias, cambiado las probabilidades, transferido el riesgo, o retenido el riesgo”.

Los dos Estados de los Riesgos.

Implantación del SARO en los procesos y sistemas de la Empresa


Ejemplo: Dos Estados de los Riesgos, por Evento Negativo (Amenaza).

Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del

propietario de la tarjeta.

Riesgo Inherente (Potencial): Riesgo antes de Controles. (evento) a la que se expone el

Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su

evaluación no se tienen en cuenta los controles establecidos.

Evaluación: E - Extremo.

Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:

• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.

• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.

• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

Riesgo Residual: Riesgo después de Controles y Tratamientos. Amenaza (Evento) no

protegida o no cubierta por los controles establecidos. Evaluación: B - Bajo (Tolerable).

Implantación del SARO enlos procesos y sistemas de la Empresa



Módulo 3: Implantación del

SARO.

Por cada Proceso ó Aplicación de Computador,

desarrollar el Ciclo PHVA de la gestión de riesgos:

ETAPAS DE LA METODOLOGIA

• Etapa 1: Definir el Contexto de Riesgos delProceso.

• Etapa 2: Identificar, analizar ydocumentar los riesgos que podríanpresentarse.

• Etapa 3: Elaborar Cubo de Riesgos delProceso.

• Etapa 4: Diagnóstico sobre ControlesExistentes y Tratamiento de los riesgos.

• Etapa 5: Evaluación Costo / Beneficio delos Controles.

• Etapa 6: Asignar Responsables de Ejecutary Supervisar los Controles.

• Etapa 7: Monitoreo (Autoevaluación) yMejoramiento de la Gestión de riesgos.



Evaluación de Riesgos /

Diagnóstico sobre

Protección Existente

Identificar y Analizar

Riesgos Inherentes

Establecer Contexto

del Proceso

Elaborar Cubo de

Riesgos del proceso.

1

23

4

Actividades,

Proveedores, Entradas,

Salidas, Clientes,

Responsables

Definir Opciones

Manejo de Riesgos

3 Matrices - Cubo

de Riesgos Críticos

Medir Protección

Existente. Elaborar

Plan de Tratamientos

Riesgos/ Amenazas

Críticas

CaracterizaciónLocalización

Amenazas

GESTION DE RIESGOS POR PROCESOS - FASE 1 : ESTRUCTURAL

Metodología para Implantar el SARO en los procesos y Sistemas de la Organización


Implementar

Tratamientos

5

Documentar Controles

/ Tratamientos

Análisis Eficacia /

Eficiencia

GESTION DE RIESGOS POR PROCESOS- FASE 1: ESTRUCTURAL

Metodología para Implantar el SARO en los procesos y Sistemas de la organización


6

Guías de

Monitoreo / CSA

Monitorear Riesgos

y Controles (CSA)

Asignar

Responsables

Generar Manual de

Administración

de Riesgos del proceso

Mapa de

Riesgos y

Controles

Medir Protección

Existente y Riesgo

Residual

78

GESTION DE RIESGOS POR PROCESOS- FASE 2 : OPERATIVA

Implantar , socializar

y concienciar

Entrenamiento

y

concienciación

No

Conformidades /

Debilidades

No

Conformidades /

Debilidades

Metodología para Implantar el SARO en los procesos y Sistemas de la Organización


Entregables de la Gestión de Riesgos “por cada

proceso o Sistema” – Modelo -

1) Definición del Contexto Interno y Externo del Proceso.

2) Categorías de Riesgo Aplicables al Proceso.

3) Identificación y análisis de eventos de riesgo negativos (amenazas), por

Categoría (clase) de eventos de riesgo y factor de riesgo (el recurso humano, los

procesos, la tecnología, la infraestructura y los acontecimientos externos).

4) Estimación del Nivel de Severidad de los Riesgos Inherentes (eventos de riesgo antes

de controles).

5) Mapas de Riesgos Inherentes.

6) Perfil de riesgo inherente del proceso (por categoría de riesgo, áreas organizacionales

y escenarios de riesgo y factores de riesgo).

7) Cubo de Riesgos del proceso.

8) Objetivos de control que deben satisfacerse para el proceso.

Implantación del SARO En los procesos y sistemas de la Empresa


Entregables de la Gestión de Riesgos “por cada

proceso o sistema” (Cont).

7) Opciones de manejo del riesgo (acciones de respuesta a riesgos), por cada evento de

riesgo potencial (asumir, evitar, mitigar, transferir, distribuir).

8) Controles establecidos, para los eventos de riesgo identificados (amenazas).

9) Evaluación del Diseño y Efectividad de los controles establecidos por Evento de

Riesgo (Medición de la Protección Existente y del riesgo residual, después de

controles.

10) Definición del Plan de Tratamiento de Riesgos, para Eventos de Riesgo no protegidos

apropiadamente.

11) Mapas de Riesgos Residuales – Antes y Después de Tratamientos.

12) Cargos responsables de ejecutar y supervisar los controles.

13) Guías de Monitoreo (autoevaluación o auto-aseguramiento) de los riesgos y de los

controles.



Módulo 4:

Consolida los Perfiles de Riesgo Operativo de la

Organización.

Construye el Perfil de riesgos Operativos a nivel

Institucional, con los resultados del último

Monitoreo.

•Perfil de Riesgos Inherentesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionalesy c) Por tipos de procesos.

•Perfil de Riesgos Residualesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionales yc) Por tipos de procesos.

•Perfil de Protección ExistenteConsolidada: a) Por Categorías deRiesgo, b) Por Áreas Organizacionalesy c) Por tipos de procesos.

•Genera reportes de Alto Nivel para losEjecutivos de la Empresa.

El Subsistema SARO



•Crear y mantener actualizada la base de datos con el registrohistórico de los Eventos de Riesgo Ocurridos en laOrganización.

•Analizar los Eventos de Riesgo Ocurridos y evaluar Eficacia dela Gestión de Riesgos Empresariales.

•Generar reportes de eventos de riesgo ocurridos en laorganización, por diferentes conceptos.

•Proveer información de alto nivel para consulta, análisis ysoporte de la decisiones de los Ejecutivos de la Empresa,sobre los Eventos de Riesgo Ocurridos.

Módulo 5 – RERO

Crear y mantener actualizada la base

de datos de Eventos de Riesgo Operativos Ocurridos (RERO) en

la Organización.


El Subsistema SARO


Módulo 6.

Monitoreo del Plan de Continuidad delNegocio (BCP) de la Organización.

• Poblar / Cargar en la base de datos, los requerimientos que debesatisfacer el BCP.

• Verifica el estado de preparación de las áreas organizacionales paraoperar en caso de interrupciones.

• Mide el % de cumplimiento de los procedimientos del BCP.

• Generación Indicadores de Cumplimiento / preparación para trabajaren modo contingencia.

• Genera Reportes del Monitoreo.


El Subsistema SARO


Módulo 7.

Auditoría al Sistema deGestión de Riesgos deOperativos de laOrganización.

•Auditoría a la Gestión de Riesgos porProcesos: planeación y pruebas decumplimiento e informe de la auditoría.Papeles de trabajo.

•Auditoría al Registro de Eventos deRiesgo Ocurridos: planeación, pruebasde cumplimiento, pruebas sustantivas,informe de la auditoria y papeles detrabajo.

•Auditoría al BCP: Planeación, pruebasde cumplimiento, informe de auditoria ypapeles de trabajo.

El Subsistema SARO



Agenda

ControlRisk: Qué es y para Qué Sirve?.

Características del Software ControlRisk que Generan

Valor para las organizaciones.


Que recibe el usuario por la compra del software?

Descripción Módulos Componentes de ControlRisk.


Usuarios del software ControlRisk.


1) Soporta la implantación y mejoramiento continuo de diferentes Sistemas de Gestión de

Riesgos (SGR) que coexisten en las Empresas, como los siguientes: 1) El sistema de

administración de riesgos operativos (SARO); 2) El sistema de administración de riesgos de

Lavado de Activos y Financiación del Terrorismo (SARLAFT); 3) El Sistema de Gestión de

Seguridad de la Información (ISO 27001); 4) El sistema de gestión de riesgos de salud

ocupacional; 5) Los sistemas de Gestión de riesgos del sector salud (Resolución 1740 de

2008 MPS) y 6) Otros sistemas de gestión de riesgos utilizados en la industria.

2) Soporta la evolución permanente de la Gestión de Riesgos Empresariales a corto,

mediano y largo plazos. Los productos generados por el software se administran,

conservan y actualizan en una Base de Datos de Conocimientos de Gestión de Riesgos

y Controles de la Empresa. Esta Base de Datos “Administra el inventario de riesgos

inherentes que pudieran presentarse en los procesos y sistemas de la organización”.

3) Hace que la Gestión de Riesgos Empresariales se convierta en el motor del “Sistema de

Control Interno de la Empresa”.

El Software ControlRisk:

Valor Percibido que genera

el Software a las Empresas.


4) Es multiempresa, es decir, permite realizar la gestión de riesgos de múltiples empresas,

con la misma cantidad de usuarios en todas las empresas. Además, con las mismas

credenciales y el mismo perfil, un usuario puede realizar la Gestión de Riesgos de

múltiples empresas.

5) Provee funcionalidades de interacción permanente entre los Administradores de

Riesgos y los Dueños de Procesos, a través de correos electrónicos para la implantación

y seguimiento de: a) Planes de tratamiento de riesgos; b) Planes de mejoramiento de la

gestión de riesgos que resultan de cada monitoreo periódico por proceso; y c) De la

implantación de acciones correctivas que resultan del análisis de los eventos de riesgo

ocurridos (RERO).

6) La Gestión de Riesgos es PROACTIVA Y PREVENTIVA, es decir, se anticipa a la

ocurrencia de los eventos de riesgos inherentes, para a prevenirlos y reducirlos a nivel

tolerable de riesgo residual. El objetivo es “Administrar el inventario de riesgos inherentes

de la Empresa, que pudieran presentarse en los diferentes procesos y sistemas, para

reducir la posibilidad de ocurrencia y/o el impacto en caso de materializarse”.



el Software para las Empresas.


7) Ayuda a Implantar el Enfoque Proactivo y Preventivo de los Controles, en lugar del

enfoque “Reactivo o detrás de los hechos conocidos”. Es decir, establece que los

controles se diseñen, implanten y actúen antes de materializarse los riesgos inherentes -

“A priori” respecto a los riesgos.

8). Genera Guías y cuestionarios de ayuda para identificar los eventos de riesgo

inherentes por categorías de riesgo, que pueden presentarse en la operaciones de cada

proceso o sistema.

9) Estandariza los criterios utilizados en la organización para analizar los riesgos

inherentes, diseñar controles y evaluar su efectividad (efectividad + eficiencia) para

reducir los riesgos inherentes a niveles aceptables de riesgo residual.

10) Genera Guías y cuestionarios para identificar los Controles que “deberían existir” por

cada riesgo inherente, para reducir su SEVERIDAD a un nivel tolerable de riesgo residual.





11) Por cada proceso, construye y mantiene un “Cubo de Gestión de Riesgos”. Las tres

dimensiones del cubo son: a) Categorías de Riesgo Aplicables; b) Actividades que

constituyen el Ciclo PHVA del proceso, y c) Areas de la Estructura de organización y

terceros que intervienen en el proceso.

12) Aplica y promueve la implantación del enfoque de los “tres anillos de seguridad o

Líneas de defensa” y del nivel de automatización y no discrecionalidad de los

controles, como criterios para evaluar la EFICACIA de los controles.

13) Genera o produce Guías de Autoevaluación de Controles (en inglés CSA: Control Self

Assessment) para monitorear (auto-asegurar) periódicamente el cumplimiento de los

controles establecidos y el nivel de riesgo residual aceptable en los eventos de riesgo

inherentes, para ser diligenciadas en cada una de las dependencias que intervienen en el

proceso.





14) “Lo que no se mide no puede administrarse”. Implementa la

cultura de medición en la gestión de riesgos Empresariales:

❑ Por cada evento de riesgo inherente mide: a) La frecuencia anual de ocurrencia; b)

el impacto estimado de cada ocurrencia y c) la perdida anual estimada; y d) La

Severidad Estimada con una escala de cuatro (4) calificaciones .

❑ Mide la Protección Ofrecida por los Controles Internos establecidos por cada

evento de riesgo inherente (amenaza), con una escala de (5) cinco calificaciones.

❑ Mide la efectividad de los controles por evento de riesgo inherente y del riesgo

residual en tres momentos: a) antes de tratamientos; b) después de tratamientos y c)

en cada monitoreo.

❑ Mantiene un registro histórico de las mediciones porcentuales efectuadas a los

eventos de riesgo inherentes en los últimos once (11) monitoreos: a) de la

protección ofrecida y b) del riesgo residual.





15) Consolida los perfiles de riesgo Inherente y Residual de los procesos y la

TIC de la Empresa. La consolidación se realiza por los siguientes conceptos:

a) por tipos de procesos (misionales, estratégicos y de soporte), b) por áreas

organizacionales y c) por categorías de riesgo.

16) Ayuda a construir y mantener actualizada la base de datos de “Eventos de

Riesgo Ocurridos (RERO)” en la organización, con la que se generan

estadísticas e indicadores de riesgo.

17) Monitorea (hace seguimiento) periódico al Plan de Continuidad del

Negocio (BCP).

18) Provee funcionalidades para Auditar el Sistema de Gestión de Riesgos

Empresariales.





Provee una Base de Datos de Conocimientos de Gestión

de Riesgos, con “best practices” universales sobre:

▪ Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD).

▪ Eventos de riesgo Inherentes (amenazas) que podrían presentarse.

▪ Factores y Agentes de Riesgo.

▪ Tipos y clases de Controles.

▪ Controles Aplicables.

▪ Objetivos de control.

▪ Técnicas y procedimientos de priorización y análisis de riesgos.

▪ Criterios de aceptación de controles efectivos.

▪ Cuestionarios de “Best Practices” de Controles aplicables (CSA: Control Self Assessment).

▪ Guías de Monitoreo o Auto-aseguramiento de Controles (CSA: Control Self Assessment).

▪ Modelos de Procesos y Escenarios de Riesgo aplicables a TICs según marcos de referencia

universales vigentes (COBIT, ISO 27001, Aplicaciones de computador).




Está alineado con estándares internacionales vigentes de

Gestión de Riesgos, Control Interno, Seguridad y Calidad

• ISO / IEC 31000: 2018 Risk Management — Guidelines on principles and

implementation of risk management.

• ISO 31010:2009 Risk Management . Risk Assessment Techniques.

• ISO Guide 73:2009 Risk Management. Vocabulary.• ERM_ 2004 - Enterprice Risk Management.

• Modelos Internacionales y nacionales de Control Interno: COSO 2013, COBIT, MECI.

• ISO 27001: 2013 Sistema de Gestión de Seguridad de la Información (SGSI).

• ISO 20000: “Best Practices” de Gestión de Tecnologia (ITIL).

• SARO: Sistema de Administración de Riesgo Operativo.

• SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación

de l Terrorismo.

• Basilea II.

• ISO 22301: 2012 (BCMS, BCP).

• ISO 9001, ISO 14000, ISO 18000.




Risk Management Principles

Value

Creation

and

Protection

Structured & Comprehensive

Customised

InclusiveDynamic

Best AvailableInformation

Human &CulturalFactors

ContinualImprovement

Integrated

Leadership &

Commitment

Integration

Design

Implementation

Evaluation

Improvement

Scope, Context, Criteria

Risk Assessment

Risk Treatment

Risk Identification

Risk Analysis

Risk Evaluation

Recording & ReportingC

om

mu

nic

atio

n &

Con

su

lta

tio

n

Mo

nito

rin

g &

Revie

w

Risk Management Framework Risk Management Process

Principles, Framework and risk management

process from ISO 31000: 2018

Mide la Capacidad / Efectividad de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual

1: Apropiada, ALTA.2: Mejorable.3: Insuficiente.4: Deficiente5: Muy Deficiente.

Aplica el enfoque “Proactivo y preventivo de los Controles”, en lugar delenfoque “Reactivo o detrás de los hechos conocidos”. El objetivo de loscontroles es asegurar el éxito de las operaciones, no es “detectar laocurrencia de los riesgos”.




✓ Aplica y promueve la implantación del enfoque de los “tresanillos de seguridad o Líneas de defensa” y del nivel deautomatización y no discrecionalidad de los controles, comocriterios para evaluar la EFICACIA de los controles.

✓ Para evaluar la Eficiencia de los Controles, aplica y promueve laevaluación del Costo / Beneficio de los Controles.





El enfoque de los 3 Anillos de Control o líneas de Defensa


Enfoque de los Tres Anillos de Control o de

Seguridad o de Líneas de Defensa

EVENTOS

DE RIESGO

INHERENTE

(Amenazas)

A2

A3

A2

A3

A3BARRERA

PREVENTIVABARRERA

DETECTIVA

BARRERA

CORRECTIVA

A1

FEEDBACK

ORGANIZACIÓN

PERSONAS

DATOS

HW - SW

FINANCIEROS

INSTALACIONES


Ejemplo – Aplicación del enfoque de los (3) Anillos de

Seguridad o Líneas de Defensa.Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del

propietario de la tarjeta.

1. Riesgo Potencial (Inherente): Riesgo antes de Controles. (evento) a la que se expone

el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su

evaluación no se tienen en cuenta los controles establecidos.

Evaluación Severidad: E - Extremo.

Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:

• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático

• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear

• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

2. Riesgo Residual: Riesgo después de Controles y de Tratamientos. Amenaza

(Evento) no protegida o no cubierta por los controles establecidos. Evaluación

Severidad: B - Bajo (Tolerable).



Clases de Controles Calificación

Automáticos no discrecionales (Clase A). Los

controles son automatizados y se aplican sin excepciones a

todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles

son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles

son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son

manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización /

Discrecionalidad de los Controles

Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5


Eficiencia de los controles por Amenaza:

Según el costo / beneficio del conjunto de controles que

actúan sobre cada amenaza.Eficiencia

Ben

efic

ios

Alto 5: Muy Alta 4: Alta3:

Moderada

Moderado 4: Alta3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado Alto

Costos

RAZONABLE (R )NO RAZONABLE (NR)

Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)

Diagnóstico de los Controles

Establecidos y Tratamiento de Riesgos


Mantiene actualizada la Base de Conocimientos con los elementos

del SGR de todos los procesos y sistemas de la Organización –

Repositorio Unico.

Habilita a los dueños de los procesos, para asumir el papel de

responsables de “diseñar, mantener, monitorear y mejorar

continuamente el SAIR”.

Provee funcionalidades para que la Gerencia de Riesgos de la

Organización, monitoree el funcionamiento del sistema de

Administración de riesgos y ejecute seguimiento a los planes de

tratamiento y las acciones de mejora.





Habilita a los Auditores para evaluar y verificar la Gestión de

Riesgos de la Organización en su ambiente de operación normal.

Genera reportes exportables a varios formatos.

Utiliza métodos cualitativos y cuantitativos de evaluación de

riesgos.

Deja Rastros de las actividades y cambios efectuados a la Base

de Conocimientos de la Empresa.

Produce Manuales de Administración de riesgos en papel y

formato electrónico.

Software Multicompañías.





Perfiles de Acceso establecidos en el SARO

Administradores de Riesgos❑ Gerente de Riesgos .

❑ Administrador EGR.

❑ Analista de Riesgos.

❑ Auto-evaluador.

❑ Administrador EGR.

❑ Administrador RERO.

❑ Administrador BCP.

❑ Auto-evaluador del BCP.

❑ Comité de Riesgos

Dueños de Proceso.❑ Implantador Plan de Tratamiento

❑ Implantador Plan de Acciones

de Mejora

❑ Implantador Acciones

Correctivas (RERO).

❑ Administrador EGRs

❑ Auxiliar de RERO.

Auditores.❑ Gerente de Auditoría.

❑ Auditor.

❑ Comité Auditoría



Gerentes de Riesgos / Directores de Planeación.

Jefes de Unidades de Riesgo Operativo (SARO), Oficiales de

Cumplimiento del SARLAFT.

Analistas de Riesgos Financieros, SARM, SARC, SARL.

Administradores del Sistema de Gestión de Seguridad de la

Información (SGSI. ISO 27001).

Administradores de Seguridad en los Servicios de Tecnología de

Información.

Auditores Internos / Revisores Fiscales / Auditores de Sistemas.

Departamentos de Control Interno.

Coordinadores de Gestión de Calidad y de otros sistemas de

Gestión.

¿A Quienes sirve el Software

ControlRisk?


Agenda

ControlRisk: Qué es y para qué sirve?.

Características del Software ControlRisk que generan valor

para las organizaciones.


Descripción Módulos Componentes de ControlRisk.


Usuarios del software ControlRisk.


Especificaciones del Software

CONTROLRISK

• Herramienta de Desarrollo: .NET, Visual Studio.

• Sistema Operacional: Windows Server 2008 a 2012.

Windows Vista, 7, 8 Y 10. Excepto las versiones

Home.

• Motor de Base de datos: SQL Server.

• Memoria RAM: 4GB en servidor.

• Disco Duro: 16 GB.

• Navegadores: Internet Explorer 8.0 o superiores,

Google Chrome, Firefox y Opera.


Por Compra de Licencias del Software

Licencia de uso a perpetuidad, Multiempresa: Por equipo (servidor) y

cantidad de usuarios concurrentes para tres perfiles: Administradores

de Riesgos, Dueños de Procesos y Auditores.

Modalidades de

Licenciamiento del Software


Por Arrendamiento del Software

Licencia de uso por suscripción anual, Multiempresa: Por equipo

(servidor) y cantidad de usuarios concurrentes para tres perfiles:

Administradores de Riesgos, Dueños de Procesos y Auditores.

Para cualquiera de los Subsistemas:

Por la compra de Licencias del Software

Licencia de uso a perpetuidad, multiempresa, por servidor y

cantidad de usuarios concurrentes.

Software ejecutable (DVD).

Manual del Usuario del Software (E-book).

Bases de datos de conocimientos estándar.

Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar

pruebas con fines de capacitación y entrenamiento .

Derecho a recibir soporte técnico y actualizaciones del software

durante un año.

Productos que recibe el

Usuario de CONTROLRISK


Por el Arrendamiento de Licencias del

Software

Licencia de uso por suscripción anual, multiempresa, por equipo

servidor y cantidad pactada de usuarios concurrentes.

Manual del Usuario del Software (E-book).

Acceso utilizar el Software ejecutable (DVD) como empresa

licenciataria por arrendamiento.

Acceso a Bases de datos de conocimientos estándar.

Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Gestión de Riesgos por proceso y realizar

pruebas con fines de capacitación y entrenamiento .

Derecho a recibir soporte técnico y actualizaciones del software

durante el año de suscripcion.




Servicios Complementarios por

Subsistema - Opcionales.

Consultoría - Acompañamiento para Integrar el Software alproceso de Gestión de Riesgos Empresariales. Por cada temaprincipal del software, consta de 3 sesiones:

▪ Sesión 1: Capacitación para el uso de la metodología de GR yel software por parte del Consultor.

▪ Sesión 2: Trabajo de Campo por parte de los Auditores, paraaplicar conceptos impartidos en Sesión 1.

▪ Sesión 3: Retroalimentación por el Consultor sobre trabajo decampo realizado por los auditores.

Servicio Anual de Actualización y Soporte Técnico.




Agenda

ControlRisk: Qué es y para qué sirve?.

Características del Software ControlRisk.


Descripción Módulos Componentes de

ControlRisk.Beneficios de Utilizar ControlRisk.

Empresas Usuarias del software ControlRisk.


Subsistema SARO - Módulo 3:

Implantación de la Gestión de Riesgos en

los Procesos y Sistemas de Información

Automatizados


1) Los procesos del Modelo de Operación de la Empresa (Mapa de Procesos de Gestión

de Calidad).

2) Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL).

3) En la Infraestructura de TI - Escenarios Claves de TI.

4) Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos

de ERPs).

5) SARLAFT.

6) Riesgos del Sector Salud.

7) Riesgos de Seguridad de la Información (ISO 27001)

SARO Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información

Que hace?Identificar, analizar, controlar y monitorear los eventos de riesgo Inherentes en:


El ciclo PHVA de la Implantación del Sistema de

Administración de Riesgos (SAR)


• Contexto del Estudio de Gestión de Riesgos

• Identificar y documentar Riesgos Inherentes

• Medir Riesgos Inherentes

• Elaborar Mapa de Riesgos

• Identificar Controles Establecidos

• Diagnóstico sobre Protección Existente

• Medición del Riesgo después de Controles

• Diseño Plan de Tratamiento

1. Plan de Tratamiento de Riesgos

• Implementar Acciones de Tratamiento.• Hacer seguimiento• Emitir recordatorio a Email

2. Análisis Costo/Beneficio de los Controles

3. Definir especificaciones de los controles4. Asignar responsabilidades por

ejecución y supervisión de controles.

Acciones de Mejoramiento

✓ Diseñar

✓ Implementar

✓ Hacer Seguimiento

✓ Emitir Recordatorios correo

electrónico

• Elaborar y aplicar Guías de Monitoreo / Auto-aseguramiento de Controles –Periodicidad Trimestral

• Procesar Respuestas• Medir Cumplimiento de Controles y Riesgo

Residual• Indicadores de Protección Existente y Riesgo

Residual• Análisis de Incumplimientos• Informar resultados de monitoreo

Base de

Conocimientos de Empresa:

•Categorías de Riesgo,

•Amenazas,•Controles,•Objetivos de Control.•Vulnerabilidades•Activos•Factores de Riesgo

SAROSARLAFT

MECISGSI,

COBIT, ITIL, SOX

SARO Módulo 3: Implantación del SGR

por Procesos y Sistemas


Fase 1:

Estática o Estructural del SARO: Diseño e

Implementación. Bloques P y H del ciclo PHVA.

Fase 2:

Dinámica u Operativa del SARO: Implantación,

monitoreo y Mejoramiento Post-implantación.

Bloques V y A del ciclo PHVA

Por cada Proceso o Sistema

Fases y Etapas para Implantarel SARO por Proceso o Sistema


Evaluar Protección y

Tratamiento de Riesgos

Identificar y Analizar

Riesgos Inherentes

Comprender Contexto

Del Proceso

/ Sistema

Documentar Cubo de

Riesgos Inherentes.

12

34

Actividades,

Proveedores, Entradas,

Salidas, Clientes,

Responsables

Clasificar y

Priorizar Riesgos

Identificar y evaluar

Efectividad Controles

Evaluar Severidad

Exposición a

Riesgos

Caracterización

GESTIÓN DE RIESGOS POR PROCESOS – FASE 1: ESTRUCTURAL

Etapas para Implantar el SARO

Diseñar Plan

de tratamientos

3 Matrices - Cubo

de Riesgos Críticos

Asociar Amenazas-

Objetivos de Control

ControlRisk: Software de Administración de Riesgos Empresariales y Control Interno66

Implementar

Tratamientos yAnálisis C/B

5

Planeación y

seguimiento

Mapa de Riesgos

Residuales

GESTIÓN DE RIESGOS POR PROCESOS – FASE 2: OPERATIVA

6

VERIFICAR

Monitorear Protección

y Riesgo Residual

Responsables

de Ejecutar y

SupervisarMonitoreo / Auto-

evaluación

7

Implantar y Asignar

responsables de los

controles

Indicadores de

Riesgo


Entrenamiento y

concienciación


Acciones

Mejora

ACTUAR- Elaborar Plan

Mejoramiento

Análisis No

Conformidades /

Debilidades

7

Actualizar ManualFramework

del SGR

ACTUAR – Implantar Plan de Mejoramiento

7 8

Ajustes a

ControlesSEGÚN Cambios en

el Negocio

Evaluar Efectividad

Acciones MejoramientoSEGÚN Cambios

Leyes/ Entorno


GESTIÓN DE RIESGOS POR PROCESOS – FASE 2: OPERATIVA


El software provee listas sugeridas de actividades (escenarios deriesgo) para los procesos de TI y sistemas de información:

1) Para los 34 Procesos de Tecnología de Información (TI) del ModeloCOBIT: Actividades según el RACI.

2) Para la Infraestructura de TI: Actividades consideradas por el RACI deCOBIT o los modelos que se utilicen en la organización (ITIL, ISO27001).

3) Para las Aplicaciones de computador: 14 Actividades del ciclo decontrol de los datos en los sistemas de información.

Para procesos del modelo de operación de la empresa (estratégico,misional o de apoyo): Deben ingresarse a la medida de cada proceso.

SARO Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información

Actividades de los Procesos / Escenarios de Riesgo.


Está en capacidad de utilizar varios modelos de

clases o categorías de riesgo Vigentes.



Definición de Universo de Riesgos de la

Organización

Clases de Eventos

de Riesgo Operativo

Modelo SARO(CE 041 de 2007, SFC)

1. Fraude Interno.

2. Fraude Externo.

3. Fallas en la Atención a los Clientes.

4. Daños a Activos Físicos.

5. Fallas en Relaciones Laborales.

6. Fallas Tecnológicas.

7. Errores en Administración y

Ejecución de Procesos.

Clases de Riesgos

De LA / FT - Modelo

SARLAFT (CE 013 de 2013, SFC)

1. Riesgo Reputacional.

2. Riesgo Legal.

3. Riesgo Operativo.

4. Riesgo de Contagio


Definición de Universo de Riesgos de la

Organización

Clases de Riesgo Modelo MECI: 1. Estratégico

2. Operativo

3. Financiero.

4. De cumplimiento.

5. De Tecnología.

6. De Corrupción

1. Hurto / Fraude.

2. Sanciones Legales

3. Pérdida de Credibilidad

Pública

4. Desventaja Competitiva.

5. Costos Excesivos

6. Pérdida de Ingresos.

7. Daño / Destrucción de

Activos

8. Decisiones Erróneas

Clases de Riesgo Modelo AUDIRISK


Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos.2 De incrementos inesperados en los índices de Morbilidad y

de costos de atención.3. De cambios permanentes en las condiciones de salud o

cambios tecnológicos.4. De Insuficiencia de reservas técnicas.5. De comportamiento.

Administración de Riesgo Operativo• Riesgo Operativo.• Riesgo Legal y Regulatorio.• Riesgo Reputacional.

Riesgos en el Sector Salud - Res 1740 de 2008 MPS

Modelos de Clases o Categorías

de Riesgo


Riesgos Financieros

❑ Riesgo de Mercado.

❑ Riesgo de Crédito.

❑ Riesgo de Liquidez.

❑ Riesgo Legal.

❑ Riesgo Operativo.

❑ Riesgo de Reputación.

Modelos de Clases o Categorías

de Riesgo


PRIORIZAR LOS RIESGOS DE LA ORGANIZACION


Costo ó Valor de las Pérdidas

Originadas por Eventos no deseables

denominados Riesgos / Amenazas

• Sanciones Legales.

• Pérdida de Ingresos.

• Costos Excesivos .

• Pérdida de Credibilidad Pública.

• Desventaja ante la

Competencia.

• Daño - Destrucción de

Activos.

• Decisiones Erróneas.

• Fraude – Robo.

Agentes Generadores de Amenazas.

• Personas, Fallas de los Equipos (

Energía, Aire Acondicionado), Actos

mal intencionados, Desastres Naturales

o provocados.

RIESGO

CLASES DE RIESGOS

UNIDAD MINIMA DE

ANALISIS

* Frecuencia (Probabilidad) de Ocurrencia.

* Impacto ( Estimación de las Pérdidas por

cada ocurrencia).

AMENAZAS DE RIESGO(Eventos asociados a las

Clases de Riesgo) Vulnerabilidades – Debilidades de seguridad

SARO

SARLAFT

MECI

AUDIRISK

Relación entre Clases de Riesgo y Amenazas


Identificación y Análisis de Riesgos Inherentes.❑ Prioriza las categorías de riesgo aplicables y de éstas selecciona las 3 ó 4

críticas para el proceso o sistema.

❑ Por cada categoría de riesgos crítica, identifica los eventos de riesgos

inherentes (amenazas) que podrían presentarse . Mínimo 10 por categoría de

riesgo crítica.

❑ Para las categorías no críticas, identificar al menos 5 eventos de riesgo.

❑ Por cada evento de riesgo (amenaza) se documentan siete (7) elementos del

riesgo.

• Amenaza.

• Activos impactados.

• Agentes Generadores.

• Vulnerabilidades.

• Exposición al riesgo.

• Consecuencias – Riesgo ocurrido

• Controles existentes.

Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información


Priorización de Categorías de

Riesgos


Medición y priorización de Riesgos Inherentes.

Para medir y priorizar la SEVERIDAD de los eventos de riesgo

inherente utiliza una escala de cuatro (4) calificaciones:

E: Extremo – Color Rojo.

A: Alto, color Naranja.

M: Moderado. Color Amarillo.

B: Bajo, color verde.



Mapa de Riesgos Inherentes- Estándares

ISO 31000 y AS/ NZ 4360 (NTC 5254)


Matriz de Acciones de Respuesta a

Riesgos

Basada en Estándares AS/NZ 4360 e ISO 31000

PR

OB

AB

ILID

AD

5: Casi Cierto

Zona de Riesgo Alta.

Mitigar, transferir, distribuir

Zona de Riesgo Alta.

Mitigar, transferir, distribuir

Zona de Riesgo Extremo . Evitar, transferir, mitigar Zona de Riesgo Extremo

. Evitar, transferir, mitigar

Zona de Riesgo Extremo.

Evitar, Mitigar, tranferir

4: Probable

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta.Prevenir, transferir


Zona de Riesgo Extremo . Evitar, transferir,

mitigar

Zona de Riesgo Extremo. Evitar,

Mitigar, tranferir

3: Posible Zona de Riesgo Baja. Aceptar, mitigar el

Riesgo

Zona de Riesgo Moderada. Mitigar


Zona de Riesgo Extremo . Evitar, transferir,

mitigar


Mitigar, tranferir

2: Poco Probable

Zona de Riesgo Baja. Aceptar el Riesgo

Zona de Riesgo Baja. Aceptar, mitigar el

Riesgo

Zona de Riesgo Moderada.Mitigar

Zona de riesgo Alta. Prevenir, transferir


Mitigar, tranferir

1: Raro Zona de Riesgo Baja.

. Aceptar el Riesgo

Zona de Riesgo Baja. . Aceptar

el Riesgo

Zona de Riesgo Moderada.Mitigar

Zona de riesgo Alta. Prevenir, transferir


1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico

IMPACTO


Mapa de Riesgos Inherentes –

Estándar MECI

PO

RB

AB

ILID

AD

(Fr

ecu

en

cia)

3: Alta M: Moderado A: Alto E: Extremo

(Inaceptable)

2: ModeradaBajo (Tolerable)

M: ModeradoAlto

B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado

5: Leve 10: Moderado 20: Catastrófico

Homologado a Estándares AS/NZ 4360e ISO 31000


Las evaluaciones (mediciones) del riesgo inherente,

protección existente y riesgo residual, se realizan para los 3

componentes del Cubo de Riesgos de cada proceso o

sistema:

❑ Las Categorías de Riesgo Críticas identificadas para el

proceso o sistema sujeto a auditoría.

❑ Las actividades ó subprocesos que constituyen o componen

el proceso o sistema sujeto a auditoría.

❑ Las Áreas Organizacionales (dependencias ) y terceros que

intervienen en el manejo del proceso o sistema sujeto a

auditoría.

El Cubo de Riesgos.



Recursos Humanos

Sistemas

Contabilidad

Escenarios de Riesgo(Actividades)

Ing

reso

de

Da

tos

Act

ua

liza

ció

nB

ase

de

Da

tos

Rep

ort

es d

eA

ctu

aliz

aci

ón

Amenazas de Riesgo

Co

sto

s Ex

cesi

vos

Fra

ud

e

San

cio

nes

Le

ga

les

Cubo de Riesgos del Proceso

o Sistema de Información


Valoración de Riesgos según Efectividad de

los Controles y Tratamientos Establecidos

Opción 4 del Ciclo PHVA


Aplica el enfoque “Proactivo y preventivo de los

Controles”, en lugar del enfoque “Reactivo o detrás de

los hechos conocidos”.

Enfoque Reactivo – A posteriori - Obsoleto Paradigma por Actualizar: Los Controles se establecen para

detectar la ocurrencia de Errores e Irregularidades. Los controles se diseñan e implantan después que los EVENTOS DE

RIESGO INHERENTES, problemas o desviaciones se han presentado,para evitar su recurrencia.

Tiene una connotación sancionatoria y correctiva. Efectividad: MUY BAJA, NULA.




▪ Identificación y Documentación de los Controles Existentes por amenaza.

▪ Evaluación de la Efectividad de los Controles Establecidos y del Riesgo Residual,

antes de tratamientos.Por Amenazas de Riesgo. Unidad Mínima de Análisis.

Por Escenario de Riesgo / Subproceso.

Por Dependencia.

Por Objetivo de Control.

Por Categoría de Riesgo Potencial Crítico.

▪ Diseño del Plan de Tratamientos Requeridos.

▪ Diseñar Plan de Seguimiento al Plan de Tratamientos.

▪ Reportes de Evaluación de la Efectividad y Mapas de Riesgos Residuales, Antes

y Después de Tratamientos.

▪ Emisión de Correos Electrónicos / Recordatorios .

Entregables / Productos de la Valoración.




1. Identificar los controles existentes por evento de riesgo

Inherentes.• El Software Genera Cuestionario de Controles Aplicables – Best Practices

- CSA.

• Sobre el Cuestionario, el Usuario identifica los Controles Existentes.

2. Evaluar Efectividad de los Controles existentes (eficacia

+ eficiencia).• Por Evento, Categorías de Riesgo, Áreas Organizacionales y Objetivos

de Control.

• Elaborar Mapas de Riesgo Residual, después de controles - antes de

tratamientos



Pasos de la Valoración de Riesgos.


Mide la Efectividad (eficacia + eficiencia) de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual

1: Apropiada, ALTA.2: Mejorable.3: Insuficiente.4: Deficiente5: Muy Deficiente.

CONTROLRISK aplica el enfoque “Proactivo y preventivo de los

Controles”, en lugar del enfoque “Reactivo o detrás de los hechos

conocidos”.

Enfoque Proactivo - Recomendado.




3. Identificar Eventos de riesgo que requieren Tratamientos.Con Efectividad 2: Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy

Deficiente

4. Diseñar e implantar tratamientos: Controles para modificar el

riesgo de los eventos de riesgo inherentes y elaborar plan de

implantación.

5. Seguimiento a implantación de tratamientos. Elaboración y

envío correos electrónicos de recordatorio y verificar implantación.

6. Elaborar Mapas de Riesgo Residual. Después de

tratamientos.

Pasos de la Valoración de Riesgos.




Para ser “Efectivos” (ofrecer protección apropiada), por

cada evento de riesgo inherente los controles deberán

satisfacer tres (3) criterios:

❑ Para ser Eficaces✓ Aplicar Enfoque de los 3 niveles o anillos de Controles /

Seguridad – Al menos 3 controles por evento que hagan

SINERGIA. Obligatorio.

✓ Alto Grado de Automatización y Discrecionalidad de los

Controles. Promedio >= 3.5

❑ Para ser Eficientes. Costo / Beneficio RAZONABLE (Costo

Máximo: 10% del valor de los activos protegidos por los controles).




Enfoque de los Tres Anillos Seguridad o Líneas

de Defensa

EVENTOS

DE RIESGO

INHERENTE

(Amenazas)

A2

A3

A2

A3

A3BARRERA

PREVENTIVABARRERA

DETECTIVA

BARRERA

CORRECTIVA

A1

FEEDBACK

ORGANIZACIÓN

PERSONAS

DATOS

HW - SW

FINANCIEROS

INSTALACIONES


Los tres (3) Anillos de Controles (De

Seguridad o Líneas de Defensa).Los controles actúan sobre los eventos de riesgo inherentes de tres

maneras, interdependientes, que hacen SINERGIA:

Como control Preventivo. Condicionan los actos de la organización

para asegurar que ocurran de manera preestablecida – Son

estándares de actuación.

Como control Detectivo. Para detectar, registrar e informar la

ocurrencia de la amenaza (son alarmas que se disparan cuando se

detecta que está presentándose la amenaza). Refuerzan y validan

el control preventivo. Hacen pareja con el control preventivo.

Como control Correctivo. Obligan a tomar acción correctiva para

resolver el problema detectado por los controles detectivos. Hacen

pareja con los controles detectivos.

Control de los Riesgos


El enfoque de los 3 Anillos de Seguridad


Clases de Controles Calificación

Automáticos no discrecionales (Clase A). Los

controles son automatizados y se aplican sin excepciones a

todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles

son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles

son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son

manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización /

Discrecionalidad de los Controles

Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5


Eficiencia de los controles por Amenaza:

Según el costo / beneficio del conjunto de controles que

actúan sobre cada amenaza.Eficiencia

Ben

efic

ios

Alto 5: Muy Alta 4: Alta3:

Moderada

Moderado 4: Alta3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado Alto

Costos

RAZONABLE (R )NO RAZONABLE (NR)

Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)

Diagnóstico de los Controles

Establecidos y Tratamiento de Riesgos


Mapa de Riesgos Residuales

Rie

sgo

Inh

ere

nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy

Deficiente

Efectividad de los Controles (Protección Existente)

Matriz de Riesgo Residual, después del Diagnóstico

de los Controles Establecidos - MODELO "AUDISIS"


Evaluación de Efectividad / Protección que ofrecen los Controles, por Amenaza

Protección existente

(PE) - Método AUDISIS

Satisfacción de los Criterios de

Evaluación EfectividadRI - Antes de Controles

Estandar AS/NZ e ISO 31000

RR - Despues

de Controles

1: APROPIADA

Se satisfacen los 3 anillos de control y por lo menos

uno de los otros dos criterios (C/B = Razonable y/o

Calificación promedio de los controles superior a

3.5 puntos)

4: Extremo 1: Tolerable

3: Alto 1: Tolerable

2: Moderado 1: Tolerable

1: Bajo (Tolerable) 1: Tolerable

2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente

4: Extremo 2: Moderado

3: Alto 2: Moderado

2: Moderado 2: Moderado

1: Bajo (Tolerable) 1: Bajo

4: INSUFICIENTE

Únicamente se satisfacen los dos criterios

diferentes de los 3 anillos (C/B = Razonable y/o


3.5 puntos)

4: Extremo 3: Alto

3: Alto 3: Alto


1: Bajo (Tolerable) 1: Tolerable

4: DEFICIENTE

Se satisface únicamente uno de los dos criterios

diferentes de los 3 anillos (C/B = Razonable y/o


3.5 puntos)

4: Extremo 4: Extremo

3: Alto 3: Alto


1: Bajo (Tolerable) 1: Bajo (Tolerable)

5: MUY DEFICIENTE No existen controles

4: Extremo 4: Extremo

3: Alto 3: Alto


1: Bajo (Tolerable) 1: Bajo (Tolerable)


El Tratamiento de los Riesgos se diseña con base en

los resultados del Diagnóstico sobre la Protección que

ofrecen los controles establecidos, por cada amenaza

de riesgo crítica.

Se requieren tratamientos para amenazas que tienen

Protección Existente (PE) diferente de APROPIADA.

2: Mejorable.

3: Insuficiente.

4 : Deficiente.

5 : Muy deficiente.

Diseño e Implantación del Plan de Tratamiento de Riesgos


Para Qué las Acciones de Tratamiento?

• Para satisfacer los 3 anillos de Seguridad.• Para mejorar niveles de automatización y discrecionalidad de los

controles.• Para ajustar Eficiencia de los Controles (Costo / Beneficio).

Planeación de la Implantación.• Asignar responsables de Implantar tratamientos.• Asignar Responsables de Supervisar Implantación .• Asignar Fechas de Compromiso.• Programar Mensajes de Alerta / Recordatorios por Correo Electrónico.



Seguimiento del Plan de Tratamiento.

• Recordatorios / Alertas por Correo Electrónico.

• Reportes periódicos de Seguimiento a Tratamientos✓ Implementados.

✓ Por Iniciar.

✓ En proceso.

✓ Anulados / Aplazados.

• Adicionar tratamientos implantados a la base de

datos de controles establecidos.

• Evaluación de Amenazas después de Tratamientos.



Produce Guías de Autocontrol por cada Área

Organizacional que interviene en el proceso o sistema.

Para Controles Manuales.• Asigna cargos responsables de Ejecutar los controles.

• Asigna cargos responsables de Supervisar los controles.

Para Controles Automatizados.• Ejecución: No se asigna cargo responsable - lo hace el

sistema.

• Asigna cargo responsables de Supervisar el controles.

Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles


El software produce “Guías de Auto-aseguramiento” para

ser respondidas por los responsables de las Áreas

Organizaciones y terceros que intervienen en el proceso.

Con el procesamiento de las respuestas, el software genera

Indicadores de Riesgo, según grado de Cumplimiento de los

Controles establecidos.a) Por Amenaza.

b) Por Área organizacional o Tercero que intervenga en el

proceso.

c) Por Categoría de Riesgo y

d) Por Actividad del Proceso (escenarios de riesgo).

Etapa 7: Monitoreo y Autoaseguramiento de Controles



Compara Protección Existente y Riesgo Residual

después de tratamientos, con resultados del Monitoreo

actual.

Amenazas Protección Existente después de

tratamientos (Etapa 4)

% Puntaje Obtenido en Monitoreo

(Etapa 7)

Protección Existente (PE) Según

Monitoreo (Etapa 7)

Riesgo Residual –RR- Según

Monitoreo Actual (Etapa 7)

Amenaza 1 1: Apropiada Mayor del 80 % 1: Apropiado 1: Aceptable

Amenaza 2 2: Mejorable Entre 60 y 80% 3: Insuficiente 3: Alto

Amenaza 3 1: Apropiada Entre 40 y 60% 3: Insuficiente 3: Alto

Amenaza 4 1: Apropiada Entre 20 y 40% 4: Deficiente 4: Extremo

Amenaza 5 1: Apropiada Menos del 20% 5: Muy Deficiente 5: Extremo


Monitoreo Periódico de los Riesgos y los Controles

Productos que Genera.

• Guías de Monitoreo / Auto-aseguramiento, por dependencias o áreas

organizacionales que intervienen en el proceso o sistema objeto del monitoreo.

• Perfiles de Protección Existente (PE) y Riesgo Residual (RR), después del

monitoreo .

• Amenazas con Riesgo Residual por encima del nivel mínimo aceptable.

• Estadísticas y reportes de Motivos de Incumplimiento de los Controles

Establecidos.

• Historia de PE y RR en los últimos “n” Monitoreos.

• Plan de Mejoramiento para superar las “No conformidades” identificadas en el

monitoreo.

• Seguimiento al Plan de Mejoramiento monitoreo anterior.



Histórico de Monitoreos por Proceso



Plan de Mejoramiento del sistema de Gestión de

Riesgos del proceso o sistema.

• Diseño del Plan de Mejoramiento por Área Organizacional.✓ Responsables de implantar y supervisar acciones de mejora.

✓ Configurar y programar envío de Correos Electrónicos de Alerta /

Recordatorios a responsables de implantar acciones de Mejora.

• Seguimiento al Plan de Mejoramiento.✓ Envío de recordatorios por correo electrónico.

✓ Informe con Resultados del Seguimiento.

✓ Acciones de Mejora Pendientes de Implantar.

• Archivos Históricos de Planes de Mejora.



SARO Módulo 4:

Consolidación de Perfiles de

Riesgo de la Organización


SARO Módulo 4:

Consolida Perfiles de Riesgo Institucional

Implementar SGR Por:

•Procesos•Sistemas

Medición

Riesgo

Inherente

Medición

Protección

Existente

(PE) y

Riesgo

Residual

(RR)

1

Perfil Consolidado de Riesgo Inherente

• General = Todos los Procesos

✓ Por Procesos✓ Por Área Organizacional✓ Por Categoría de Riesgo

• Por Tipos de Proceso


Perfil Consolidado de Protección Existente y Riesgo Residual

• General = Todos los Procesos


• Por Tipos de Proceso



▪ Consolidar a nivel de la Empresa:✓ Los perfiles de riesgo inherente de los diferentes tipos

procesos de la organización (estratégicos, misionales y de

soporte).

✓ Los perfiles de riesgo residual y la protección

existente de los diferentes procesos de la organización

(estratégicos, misionales y de soporte).

▪ Presentar información de alto nivel para consulta

de los Ejecutivos de la Empresa, sobre la Gestión

de Riesgos Operativos en la Organización.

SARO Módulo 4: Consolida

Perfiles de Riesgo por

Organización

Que hace?.


Que Produce?.

1. Perfil Consolidado de Riesgo Inherente por Tipos de

Procesos.a) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo

y de Supervisión). Reportes y Gráficos con el Perfil

Consolidado en la organización.

b) Por Tipos de Proceso y Clases de Riesgo (Categorías de

Riesgo). Reportes y Gráficos con el Perfil Consolidado en la

organización.

c) Por Tipos de Proceso y Áreas Organizacionales. Reportes y

Gráficos con el Perfil Consolidado en la organización.

SARO Módulo 4: Perfiles de Riesgo

Inherente Consolidados de la

Organización


2. Perfil Consolidado de Protección Existente y Riesgo

Residual.

a) Por Tipos de Procesos. Reportes y Gráficos con el Perfil Consolidado

en todos los procesos de la organización.

b) Por Tipos de Proceso y Clases de Riesgo (Categorías de Riesgo).

Reportes y Gráficos con el Perfil Consolidado en la organización.

c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y


Que Produce?.

SARO Módulo 4: Perfiles de Riesgo

Consolidados por Organización


a) Por Tipos de Procesos (Estratégicos, Misionales, de

Apoyo y de Supervisión) y Proceso.

1) Por cada tipo de proceso y proceso, muestra el Riesgo Inherente

Consolidado: Por cada proceso muestra cantidad de amenazas, el

valor promedio del riesgo inherente y el significado del riesgo

inherente.

2) Perfil de Riesgo Inherente por cada tipo de proceso y proceso:

Por cada proceso muestra cantidad de amenazas en niveles de riesgo

Inherente Muy Alto, Alto y Aceptable.

3) Indicadores del rango de perdidas estimadas para las amenazas por

niveles de riesgo inherente.

SARO Módulo 4: Consolidación del

Perfil de Riesgo Inherente


SARO Módulo 4: Consolida Perfil de Riesgo

Inherente – Presentada por procesos


b) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo

y de Evaluación y Medición) y Clases de Riesgo.

1) Por cada Tipo de Proceso y Categoría de Riesgo. Por cada

categoría de riesgo muestra cantidad de amenazas, el valor

promedio del riesgo inherente y el significado del riesgo

inherente

2) Perfil de Riesgo Inherente por tipos de proceso y categorías

de Riesgo Por cada categoría de Riesgo muestra cantidad de

amenazas en niveles de riesgo Inherente Muy Alto, Alto y

Aceptable.

3) Indicadores del rango de perdidas estimadas para las

amenazas por niveles de riesgo inherente.

SARO Módulo 4: Consolida Perfil de

Riesgo Inherente


c) Por Tipos de procesos y Áreas Organizacionales

(Dependencias).

1) Consolidado por tipo de procesos y Dependencias. Por

cada dependencia muestra cantidad de amenazas, el valor

promedio del riesgo inherente y el significado del riesgo

inherente.

2) Perfil de Riesgo Inherente Consolidado por tipo de

procesos y dependencias: Por cada dependencia muestra

cantidad de amenazas en niveles de riesgo Inherente Muy Alto,

Alto y Aceptable.

3) Indicadores del rango de pérdidas estimadas para las

amenazas por niveles de riesgo inherente.

Consolidación del Perfil de Riesgo

Inherente


2. Perfil Consolidado de Protección Existente y Riesgo

Residual por Tipos de Procesos.

a) Por Tipos de procesos y Procesos. Reportes y Gráficos con el

Perfil Consolidado en la organización.

b) Por Tipos de Proceso y Clases de Riesgo (Categorías de

Riesgo). Reportes y Gráficos con el Perfil Consolidado en la

organización.

c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y


Que Produce?.

Módulo 4: Consolidación de Perfiles de Riesgo

de la Organización – Perfil de Riesgo Residual


SARO Módulo 4: Consolida Perfil

de Riesgo Residual


a) Perfil Consolidado de Protección Existente y Riesgo

Residual por Tipos de Proceso y Procesos.

1) Por tipos de proceso y procesos. Por cada proceso muestra:

Cantidad de Amenazas, protección existente consolidada y

riesgo residual consolidado.

2) Perfiles Por tipos de proceso y procesos: Por cada proceso

muestra cantidad de amenazas en niveles de riesgo residual

Muy Alto, Alto y Aceptable y su correspondiente Protección

Existente.

3) Indicadores del rango de pérdidas estimadas para las

amenazas por niveles de riesgo residual.

SARO Módulo 4: Consolida Perfiles de Riesgo

de la Organización – Perfil de Riesgo Residual



Riesgo Residual – Presentada por

Procesos


b) Perfil Consolidado de Protección Existente y Riesgo

Residual por Tipos de Proceso y Clases de Riesgo

1) Por Tipos de Proceso y Categorías de Riesgo: Por cada categoría de

riesgo muestra cantidad de amenazas, el valor promedio de protección

existente y promedio de riesgo residual.

2) Perfil de Riesgo Residual Consolidado por tipos de proceso y

categorías de Riesgo Por cada categoría de Riesgo muestra cantidad de

amenazas en niveles de riesgo Residual Muy Alto, Alto y Aceptable.

3) Indicadores del rango de perdidas estimadas para las amenazas por

niveles de riesgo residual.

4) Consolidado de Protección Existente y Riesgo Residual, por Clase

de Riesgo y Procesos. Por cada clase de riesgo muestra la PE y el RR

de los procesos en los cuales se presenta la clase de riesgo.


Riesgo Residual –Por Tipos de Proceso y

Categorías de Riesgo


c) Perfil Consolidado de Protección Existente y Riesgo

Residual por Tipos de Proceso y Clases de Riesgo

1) Consolidado de PE y RR por Dependencias. Por cada dependencia muestra:

Cantidad de Amenazas, protección existente consolidada y riesgo residual

consolidado.

2) Perfil de Riesgo Residual Consolidado por dependencias: Por cada

dependencia muestra cantidad de amenazas en niveles de riesgo residual Muy

Alto, Alto y Aceptable.

3) Indicadores del rango de perdidas estimadas para las amenazas por niveles de

riesgo residual.

4) Consolidado de PE y RR por dependencias y procesos. El software muestra la

cantidad de amenazas, PE y RR por cada proceso en el que interviene la

dependencia.

5) Consolidado de PE y RR por dependencias y clases de riesgo. El software

muestra la cantidad de amenazas, PE y RR por cada clase de riesgo que se

presenta en la dependencia.

SARO Módulo 4: Consolida Perfil de Riesgo

Residual – por Tipos de Proceso y Áreas


SARO - Módulo 5:Implantación y Mantenimiento

del Registro de Eventos de

Riesgo Ocurridos - RERO


Qué hace?.

• Crear y mantener una base de datos con el registro histórico y

actualizado de los Eventos de Riesgo Ocurridos en la Organización.

• Generar reportes de eventos de riesgo operativo ocurridos en la

organización, por diferentes conceptos.

• Presentar información de alto nivel para consulta y soporte de la

decisiones de los Ejecutivos de la Empresa, sobre los Eventos de

Riesgo Ocurridos.

SARO Modulo 5: Registro de Eventos

de Riesgo Ocurridos (RERO)


SARO Módulo 5:

Registro de Eventos de Riesgo

Ocurridos (RERO)


Qué Produce?.

Base de Datos Poblada con eventos de pérdida

Ocurridos en la Organización.

Generación de Reportes: detallados y

gerenciales.

SARO Modulo 5:


Ocurridos (RERO)


SARO Módulo 5:


Ocurridos (RERO)


SARO Módulo 6:Monitoreo del Plan de Continuidad

del Negocio (BCP)


Qué es el Plan de Continuidad del Negocio(BCP)?.

Conjunto detallado de acciones que describen losprocedimientos, los sistemas y los recursos necesariospara retornar y continuar la operación, en caso deinterrupción (Circular 049 de 2006, SFC).

Numeral 2.8 Circular externa 049 de 2006,Superintendencia Financiera de Colombia.

SARO Módulo 6. Monitoreo

/ Auto-aseguramiento del BCP


Qué hace?.

Verifica el estado de preparación de las áreas

organizacionales para operar en caso de

interrupciones.

Mide el % de cumplimiento de los procedimientos

del BCP.

Generación Indicadores de Cumplimiento /

preparación.

Genera Reportes del Monitoreo.

SARO Módulo 6:

Monitoreo / Auto-aseguramiento del BCP


Proceso de Gestión de Continuidad del

Negocio (BCP)




Negocio (BCP)


SARO Módulo 7:Auditoría al Sistema de Gestión

de Riesgos de la Organización


Que hace ?.

Habilitar a los auditores para verificar el cumplimiento

y eficacia de los controles establecidos en la

administración integral de Riesgos de cada proceso,

utilizando procedimientos similares a los que se

emplean en la etapa de monitoreo de la protección

existente y el riesgo residual (Etapa 7, módulo 1).

SARO Módulo 7: Auditoría al Sistema

de Administración de Riesgos



de Administración de Riesgos


Qué Produce?.

Por cada proceso auditado:Guías para verificar: a) cumplimiento de los controles y b)

normas y procedimientos por áreas organizacionales.

Gráficos y Reportes con los resultados de la evaluación de la

Auditoria en cada una de las áreas organizacionales que

intervienen en el proceso.

Recomendaciones de la Auditoría.

Planeación y ejecución del seguimiento a las

recomendaciones de la auditoría.

Papeles de trabajo electrónicos.

Informe de la Auditoría.


de Administración Integral de Riesgos


Beneficios de Utilizar

CONTROLRISK


ControlRisk establece un “Marco de trabajo” (Framework) para la

Administración Integral de Riesgos Empresariales y el diseño de los

controles internos de la organización, alineado con estándares y “Best

Practices” universales de seguridad y control interno:

Beneficios Corporativos

COSO ERM.

ISO 31000.

ISO 27002, ISO 27001.

ISO 20000.

ISO 9001.

COBIT.

ITIL.

MECI.


Mejora y facilita el ejercicio del Gobierno Corporativo.

Ayuda a implantar la cultura de Medición de la

Exposición a riesgos potenciales, de la protección

existente y del riesgo residual.

Automatiza y estandariza el diseño, implementación y

documentación de controles y procedimientos de

administración de riesgos.

ControlRisk:

Beneficios Corporativos


▪ Es una fuente permanente de aprendizaje organizacional sobre prevención de riesgos, controles y seguridad, en todas las áreas de la empresa que intervienen en el manejo de los procesos de negocio y de tecnología de información.

▪ Incrementa las características de seguridad, calidad yconfiabilidad de los procesos de negocio y de sistemas deinformación.

ControlRisk:

Beneficios para Propietarios de los

Procesos (las áreas que manejan las

Operaciones)


ControlRisk:

▪ Facilita y hace más eficiente el trabajo de la auditoría: Seapoya en los resultados de la implantación de Sistemas deGestión de Riesgos.

▪ Incrementa la productividad, eficiencia y valor agregado deltrabajo de la auditoría.

▪ Reduce los costos de la auditoría a procesos y sistemasestudiados con ControlRisk.

Beneficios para el

Departamento de Auditoría


Sector Industrial.

• Lafayette.

• Oleoducto Central de Colombia - OCENSA.

• AVESCO (Grupo Kokorico).

Cajas de Compensación Familiar.

• Comfenalco Tolima.

• COMFIAR: Caja de Compensación Familiar de Arauca.

• COMFAGUAJIRA: Caja de Compensación Familiar de la Guajira.

• Compensar.

En Colombia.

Usuarios de ControlRisk en

Colombia y el Exterior


Sector Financiero.• Cooperativa de Ahorro y Crédito – Progresa.• Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.• Banco Popular.

Entidades de Sector Público.• Contraloría General de la Republica de Colombia.• Empresa Electrificadora de Santander – ESSA.• Centrales Eléctricas de Nariño.• Comisión Nacional de TV.• Oleoducto Central de Colombia.

En Colombia.

Usuarios de CONTROLRISK en



Sector Educativo.

• Universidad Central de Bogotá.

• Universidad Militar Nueva Granada.

• Universidad la Gran Colombia.

• Universidad Autónoma de Colombia.

• Universidad Pedagógica y Tecnológica de Colombia.

• Universidad Santo Tomás - Bucaramanga.

• Universidad Católica de Colombia.

• Universidad Santo Tomás – Bucaramanga.

En Colombia.




• Universidad UPEU Perú.

• Contraloría General del Perú.

• Banco Central del Ecuador.

En el Exterior.




Gracias por su atención.

Hasta Pronto !

Para conocer el software ingrese a www.softwareaudisis.com


software de administración de riesgos empresariales · 2020. 11. 4. · los riesgos y los...

Documents