Software de Administración de Riesgos y Diseño de...
Transcript of Software de Administración de Riesgos y Diseño de...
![Page 1: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/1.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
Software de Administración de Riesgos y Diseño de Controles
Versión 2016
Software de Administración de Riesgos y Diseño de Controles
Versión 2016
![Page 2: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/2.jpg)
Agenda
ControlRisk: Qué es y para Qué Sirve?.Características del Software ControlRisk que generan valor
a las organizaciones.
Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la Compra o Arrendamiento del
software?
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles2
![Page 3: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/3.jpg)
El Software ControlRiskEl Software ControlRisk
Es un software en Tecnología Web (Cloud Computing),para soportar a corto, mediano y largo plazo, lasactividades de Implantación, Operación y Auditoríadel proceso de Gestión de Riesgos Empresariales ,de conformidad con la norma ISO 31000:2009 y elmarco de referencia ERM (Enterprice RiskManagement).
Qué es y Para Qué Sirve?.
3ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles3
![Page 4: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/4.jpg)
6.3. Establecer el Contexto
6.4.2 Identificación del riesgo
6.4.3 Análisis de riesgos
6.4.4 Evaluación de riesgos
6.5 Tratamiento del riesgo
6.4. Valoración de riesgos
6,7Monitoreo
yrevisión
6,2Comunicación
yconsulta
ISO 31000 – Elementos del Proceso de Gestión del Riesgo
4ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 4
![Page 5: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/5.jpg)
El Software ControlRiskEl Software ControlRisk
Provee funcionalidades para conducir las siguientes actividadesde la Gestión de Riesgos Empresariales :
1) Implantar el ciclo PHVA de la Gestión de Riesgos en los procesos delmodelo de operación de la empresa, los procesos de TIC y los Sistemas deInformación automatizados (aplicaciones de computador ó módulos de ERPs)de la Empresa.
2) Mantener disponible y Actualizada la Base de Datos de “Conocimientos deGestión de Riesgos y Controles de la Empresa” .
3) Construir y actualizar el Perfil Consolidado de Riesgos d e la Empresa.4) Crear y mantener actualizada la Base de Datos de Eventos de Riesgo
Ocurridos en la organización.5) Monitorear el funcionamiento del Plan de Continuidad del Negocio de la
Organización.6) Auditar la Gestión de Riesgos Empresariales.
Qué es y Para Qué Sirve?.
5ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 5
![Page 6: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/6.jpg)
El software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles6
Qué es y para que sirve?
CONTROLRISK:
Automatiza las actividadesde implantación,monitoreo, actualización ymejoramiento continuo dediferentes Sistemas deGestión de Riesgos (SGR) enla Empresa:
• SARO: Sistema deAdministración de riesgooperativo.
• SARLAFT: Sistema deAdministración de Riesgos deLavado de Activos yFinanciación del Terrorismo.
• Riesgos de Seguridad y SaludOcupacional.
• Riesgos de Seguridad de laInformación.
• Riesgos Ambientales.
• Riesgos en el Sector Salud (Res1740 de 2008 MPS).
• Riesgos del MECI (DAFP).
![Page 7: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/7.jpg)
CONTROLRISKConsta de siete (7)módulosinterrelacionados:
1. Administración de Usuarios;
2. Configuración del Software;
3. Implementar Gestión deRiesgos por Procesos(desarrollar Ciclo PHVA de lagestión de riesgos).
4. Consolidar el Perfil de riesgos /Mapa de Riesgos de laEmpresa.
5. Crear y Mantener Actualizadala base de datos de Eventos deRiesgos Ocurridos (RERO) en laOrganización.
6. Monitorear el Plan deContinuidad del Negocio (BCP)de la Organización.
7. Auditar el Sistema de Gestiónde Riesgos de la Organización.
El software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles7
Qué es y para que sirve?
![Page 8: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/8.jpg)
Módulos de ControlRisK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles8
![Page 9: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/9.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 9
Los perfiles de acceso enCONTROLRISK son los siguientes:
• Gerente de Riesgos.
• Administrador de Usuarios.
• Administrador de EGR (Estudio de Gestión deRiesgos.
• Analista de Riesgos.
• Auto-evaluador – Monitoreo de riesgos, CSA.
• Administrador RERO.
• Auxiliar de RERO.
• Administrador BCP.
• Auto-evaluador del BCP.
• Solo Consulta.
• Administrador de Auditoría.
• Auditor.
Módulo 1: Administraciónde Usuarios
CONTROLRISK Ofrece dos opcionesde autenticación de usuarios:
1) Autenticación manejada por laaplicación de Gestión deRiesgos ( ControlRisk) y
2) Autenticación a través deldirectorio activo usado en lossistemas operativos Windows
Qué es y para que sirve?
El software ControlRisk
![Page 10: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/10.jpg)
Módulo 2: Parametrización del Software
1. Dar Mantenimiento a la Base de Conocimientos de Gestiónde Riesgos Estándar, suministrada por el proveedor, comobase para iniciar el uso del software.• Categorías de Riesgo.• Eventos de Riesgo Inherentes (amenazas) por categoría de riesgo.• Controles por Evento de riesgo inherente.• Objetivos de Control.• Otras.
2. Poblar tablas de la Base de Conocimientos con informaciónprivada específica de la Empresa licenciataria.
3. Definir parámetros para CALIFICAR (medir) la severidad delriesgo antes y después de tratamientos, efectividad de loscontroles, los resultados del monitoreo, estado de las accionesde tratamiento y otros.
Objetivos:
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 10
![Page 11: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/11.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles11
CONTROLRISK provee funcionalidadespara:
• Poblar la Base de Conocimientos deGestión de Riesgos con informaciónprivada de la Empresa.
• Definir estándares de Gestión de Riesgosde la Empresa (Severidad de los riesgos,efectividad de Controles, indicadoresde riesgo).
• Configurar el correo corporativo de laUnidad de Riesgos y la configuración yenvío automático de mensajes derecordatorio por Correo electrónicosobre Acciones de Tratamiento yAcciones de Mejoramiento.
Módulo 2:Configuración delSoftware.
Qué es y para que sirve?
El software ControlRisk
![Page 12: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/12.jpg)
Alcance de la Gestión de Riesgos Empresariales en ControlRisk.
Módulo 3: Implantación de la Gestión de Riesgos en los
Procesos y servicios de Tecnología de Información de la
Empresa.
Módulo 4: Consolidación de Perfiles de Riesgo de la
Organización.
Módulo 5: El Registro de Eventos de Riesgo ocurridos (RERO) –
Creación y administración base de datos.
Módulo 6: Monitoreo / Auto-aseguramiento del Plan de
Continuidad del Negocio (BCP).
Módulo 7: Auditoría al Sistema de Administración de Riesgos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles12
![Page 13: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/13.jpg)
Módulo 3:Implantación de la Gestión de Riesgos
en los Procesos y Servicios de Tecnología de Información de la
Empresa.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles13
![Page 14: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/14.jpg)
Módulo 3: Implantar la Gestión de Riesgos por Proceso o Sistema
1. Conducir el desarrollo de las fases, etapas y pasos del proceso de implantacióny/o mantenimiento del proceso de Gestión de Riesgos Empresariales, en losprocesos del modelo de operación y la TIC de la Empresa, de conformidad conISO 31000 – Desarrollar el ciclo PHVA de la Gestión de Riesgos, por cadaproceso o sistema:
• P: Planear (Identificar, analizar, evaluar los riesgos inherentes, diseñartratamientos).
• H: Hacer (implementar la gestión de riesgos y el plan de tratamientos).• V: Verificar (Monitorear / Revisar periódicamente el funcionamiento de la
gestión de riesgos).• A: Actuar / Corregir (Implantar Acciones de Mejoramiento producto de
cada monitoreo).
2. Generar / Actualizar el Manual de Gestión de Riesgos de cada proceso o sistema.
Objetivos del Módulo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles14
![Page 15: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/15.jpg)
El ciclo PHVA de Implantación del Sistema de Administración Integral de Riesgos (SAIR) (1)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles15
(1) En los procesos y sistemas de la organización
![Page 16: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/16.jpg)
ISO 31000: 2009 - Relación entre los Principios, Marco De Referencia y Proceso.
______________________________________________________________
Valoración de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles16
![Page 17: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/17.jpg)
1) Obtener el Compromiso de la Gerencia.
2) Definir el Framework o Marco de Referencia de la Gestión de Riesgos de laOrganización (de acuerdo con ISO 31000 ó ERM).
3) Armonizar / alinear la Gestión de Riesgos Empresariales con la Estructura delSistema de Control Interno de la Organización (COSO + COBIT + ISO 27001).En el sector publico de Colombia: MECI + COBIT + ISO 27001.
4) Armonizar la Gestión de Riesgos con el Sistema de Gestión de Calidad (ISO9001) y otros sistemas de gestión: Ambiental, Salud Ocupacional, gestión decontinuidad del negocio – BCP – y el Sistema de Gestión de Seguridad de laInformación (ISO 27001).
Factores Críticos para la Implantación Exitosa.
17
Módulo 3: Implantar la Gestión de Riesgos en los Procesos y Sistemas
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 17
![Page 18: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/18.jpg)
“Modelo” del Contenido del Framework de laGestión de Riesgos en la Empresa.
1) Política de Gestión del Riesgo para la Empresa.
2) Definición Contexto Externo e Interno de la Organización.
3) Universo de Riesgos de la Empresa - Modelo de categorías o clases de eventos de riesgo
aplicables a las operaciones de la organización.
4) Objetivos y Alcance de la Gestión de Riesgos en la Empresa.
5) Estructura organizacional y Tecnológica para soportar el SGR en la empresa.
6) Definición del Apetito de Riesgos de la Organización.
7) Definición del Nivel de Tolerancia a Riesgos.
8) Roles y responsabilidades en la administración del riesgos en la organización.
9) Procedimientos para identificar, documentar, evaluar, controlar y monitorear los riesgos
inherentes en los procesos y la TI – Ciclo PHVA de la gestión de riesgos.
10) Criterios de aceptación de riesgo, criterios de efectividad de los controles y procedimiento de
tratamiento de riesgos.
11) Procedimientos que deben implantar los órganos de control frente al SGR.
12) Estrategias de capacitación y Divulgación del SGR.
18
Módulo 3: Implantar la Gestión de Riesgos por Proceso o Sistema
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 18
![Page 19: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/19.jpg)
El software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 19
Qué es y para que sirve?
ALCANCE DE LA IMPLANTACION.
• Los Procesos del Modelo de Operación de laEmpresa – Mapa de Procesos (Estratégicos,Misionales, de Apoyo y de Supervisión yControl).
• Los Procesos de la Infraestructura deTecnología Información (Modelos COBIT eITIL).
• Los Sistemas de Información Automatizados(Aplicaciones de Computador ó Módulos deERPs).
Módulo 3: Gestiónde Riesgos porProceso o Sistema.
Implantar, monitorear ymantener actualizada laGestión de Riesgos , en:
![Page 20: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/20.jpg)
6.3. Establecer el Contexto
6.4.2 Identificación del riesgo
6.4.3 Análisis de riesgos
6.4.4 Evaluación de riesgos
6.5 Tratamiento del riesgo
6.4. Valoración de riesgos
6,7Monitoreo
yrevisión
6,2Comunicación
yconsulta
ISO 31000 – Elementos del Proceso de Gestión del Riesgo
20ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 21: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/21.jpg)
Riesgo Inherente (potencial). Riesgo Antes de Controles. Es el riesgo a cual estánexpuestos los procesos o las actividades, dada su naturaleza. Es intrínseco. Este riesgo nopuede ser evitado, pero si puede ser mitigado. Su SEVERIDAD se evalúa sin tener encuenta los controles establecidos en la Entidad.
Riesgo residual. Riesgo después de Controles /Tratamientos de riesgo. Es el riesgo queresta o queda después de aplicar los controles o tratamientos establecidos.
Según ISO 31000: “el riesgo residual es el riesgo que permanece o persiste después deimplementada una opción de tratamiento de riesgos. Este es el riesgo remanentedespués de que haya reducido el riesgo, removido el origen del riesgo, modificado lasconsecuencias, cambiado las probabilidades, transferido el riesgo, o retenido el riesgo”.
Los dos Estados de los Riesgos.
21
Implantación de la Gestión de Riesgos en los procesos y sistemas de la Empresa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 22: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/22.jpg)
Ejemplo: Dos Estados de los Riesgos, por Evento Negativo (Amenaza).Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
Riesgo Inherente (Potencial): Riesgo antes de Controles. (evento) a la que se expone el
Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.
• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.
• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
Riesgo Residual: Riesgo después de Controles y Tratamientos. Amenaza (Evento) no
protegida o no cubierta por los controles establecidos. Evaluación: B - Bajo (Tolerable).
Implantación de la Gestión de Riesgos enlos procesos y sistemas de la Empresa
22ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 23: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/23.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles23
Qué es y para que sirve?
Módulo 3: Gestión de Riesgos por Proceso o
sistema.
Por cada Proceso ó Aplicación de Computador,
desarrollar el Ciclo PHVA de la gestión de riesgos:
ETAPAS DE LA METODOLOGIA
• Etapa 1: Definir el Contexto de Riesgos delProceso.
• Etapa 2: Identificar, analizar ydocumentar los riesgos que podríanpresentarse.
• Etapa 3: Elaborar Cubo de Riesgos delProceso.
• Etapa 4: Diagnóstico sobre ControlesExistentes y Tratamiento de los riesgos.
• Etapa 5: Evaluación Costo / Beneficio delos Controles.
• Etapa 6: Asignar Responsables de Ejecutary Supervisar los Controles.
• Etapa 7: Monitoreo (Autoevaluación) yMejoramiento de la Gestión de riesgos.
Implantación de la Gestión de Riesgos enlos procesos y sistemas de la Empresa
![Page 24: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/24.jpg)
Evaluación de Riesgos /Diagnóstico sobre
Protección Existente
Identificar y Analizar Riesgos Inherentes
Establecer Contexto del Proceso
Elaborar Mapa de Riesgos Inherentes.
1122
334
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Definir Opciones Manejo de Riesgos
3 Matrices - Cubo de Riesgos Críticos
Medir Protección Existente. Elaborar
Plan de Tratamientos
Riesgos/ Amenazas Críticas
CaracterizaciónLocalización Amenazas
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 1
24
Metodología para Implantar la GR en los procesos y Sistemas de la organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 25: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/25.jpg)
Implementar Tratamientos
55
Documentar Controles / Tratamientos
Análisis Eficacia / Eficiencia
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 1
25
Metodología para Implantar la GR en los procesos y Sistemas de la organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 26: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/26.jpg)
66
Guías de Monitoreo / CSA
Monitorear Riesgos y Controles (CSA)
Asignar Responsables
Generar Manual deAdministración
de Riesgos del proceso
Mapa de Riesgos y Controles
Medir Protección Existente y Riesgo
Residual
7788
GESTION DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS- FASE 2
Implantar , socializar y concienciar
Entrenamiento y
concienciación
No Conformidades /
Debilidades
No Conformidades /
Debilidades
Metodología para Implantar la GR en los procesos y Sistemas de la organización
26ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 27: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/27.jpg)
Entregables de la Gestión de Riesgos “por cadaproceso o Sistema” – Modelo -
1) Definición del Contexto Interno y Externo del Proceso.
2) Categorías de Riesgo Aplicables al Proceso.
3) Identificación y análisis de eventos de riesgo negativos (amenazas), por
Categoría (clase) de eventos de riesgo y factor de riesgo (el recurso humano, los
procesos, la tecnología, la infraestructura y los acontecimientos externos).
4) Estimación del Nivel de Severidad de los Riesgos Inherentes (eventos de riesgo antes
de controles).
5) Mapas de Riesgos Inherentes.
6) Perfil de riesgo inherente del proceso (por categoría de riesgo, áreas organizacionales
y escenarios de riesgo y factores de riesgo).
7) Cubo de Riesgos del proceso.
8) Objetivos de control que deben satisfacerse para el proceso.
27
Implantación de la Gestión de Riesgos enlos procesos y sistemas de la Empresa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 28: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/28.jpg)
Entregables de la Gestión de Riesgos “por cadaproceso o sistema” (Cont).
7) Opciones de manejo del riesgo (acciones de respuesta a riesgos), por cada evento de
riesgo potencial (asumir, evitar, mitigar, transferir, distribuir).
8) Controles establecidos, para los eventos de riesgo identificados (amenazas).
9) Evaluación del Diseño y Efectividad de los controles establecidos por Evento de
Riesgo (Medición de la Protección Existente y del riesgo residual, después de
controles.
10) Definición del Plan de Tratamiento de Riesgos, para Eventos de Riesgo no protegidos
apropiadamente.
11) Mapas de Riesgos Residuales – Antes y Después de Tratamientos.
12) Cargos responsables de ejecutar y supervisar los controles.
13) Guías de Monitoreo (autoevaluación o auto-aseguramiento) de los riesgos y de los
controles.
28
Implantación de la Gestión de Riesgos enlos procesos y sistemas de la Empresa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 29: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/29.jpg)
Módulo 4:
Consolida los Perfiles de Riesgo de los procesos y
sistemas de la Organización.
Construye el Perfil de riesgos a nivel Institucional,
con los resultados del último Monitoreo.
• Perfil de Riesgos Inherentesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionalesy c) Por tipos de procesos.
• Perfil de Riesgos Residualesconsolidado: a) Por Categorías deRiesgo; b) Por Áreas Organizacionales yc) Por tipos de procesos.
• Perfil de Protección ExistenteConsolidada: a) Por Categorías deRiesgo, b) Por Áreas Organizacionalesy c) Por tipos de procesos.
• Genera reportes de Alto Nivel para losEjecutivos de la Empresa.
El software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles29
Qué es y para que sirve?
![Page 30: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/30.jpg)
• Crear y mantener actualizada la base de datos con el registrohistórico de los Eventos de Riesgo Ocurridos en laOrganización.
• Analizar los Eventos de Riesgo Ocurridos y evaluar Eficacia dela Gestión de Riesgos Empresariales.
• Generar reportes de eventos de riesgo ocurridos en laorganización, por diferentes conceptos.
• Proveer información de alto nivel para consulta, análisis ysoporte de la decisiones de los Ejecutivos de la Empresa,sobre los Eventos de Riesgo Ocurridos.
Módulo 5 – RERO
Crear y mantener actualizada la base
de datos de Eventos de Riesgo Ocurridos
(RERO) en la Organización.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles30
Qué es y para que sirve?
El software ControlRisk
![Page 31: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/31.jpg)
Módulo 6.
Monitoreo del Plan de Continuidad delNegocio (BCP) de la Organización.
• Poblar / Cargar en la base de datos, los requerimientos que debesatisfacer el BCP.
• Verifica el estado de preparación de las áreas organizacionales paraoperar en caso de interrupciones.
• Mide el % de cumplimiento de los procedimientos del BCP.
• Generación Indicadores de Cumplimiento / preparación para trabajaren modo contingencia.
• Genera Reportes del Monitoreo.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles31
Qué es y para que sirve?
El software ControlRisk
![Page 32: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/32.jpg)
Módulo 7.
Auditoría al Sistema deGestión de Riesgos dela Organización.
• Auditoría a la Gestión de Riesgos porProcesos: planeación y pruebas decumplimiento e informe de la auditoría.Papeles de trabajo.
• Auditoría al Registro de Eventos deRiesgo Ocurridos: planeación, pruebasde cumplimiento, pruebas sustantivas,informe de la auditoria y papeles detrabajo.
• Auditoría al BCP: Planeación, pruebasde cumplimiento, informe de auditoria ypapeles de trabajo.
El software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles32
Qué es y para que sirve?
![Page 33: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/33.jpg)
Agenda
ControlRisk: Qué es y para Qué Sirve?.
Características del Software ControlRisk que GeneranValor para las organizaciones.Especificaciones Técnicas del Software ControlRisk.
Que recibe el usuario por la compra del software?
Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles33
![Page 34: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/34.jpg)
1) Estandariza los procedimientos para identificar, analizar, evaluar, controlar y monitorearlos riesgos en la organización (implementa el Framework o marco de referencia de laGestión de Riesgos Empresariales).
2) Define y estandariza el Universo de Categorías de Riesgos aplicables a la Empresa(por ejemplo: las 7 de SARO, 4 de SARLAFT, 6 de MECI) que pueden presentarse en lasoperaciones misionales (de negocio) y administrativas de la Empresa.
3) Crea, construye y mantiene actualizada la Base de Datos de “Conocimientos deGestión de Riesgos de la Organización”. Esta contiene: Categorías de riesgos, loseventos de riesgo (amenazas) que pueden originar cada categoría de riesgo y loscontroles que sirven para reducir los eventos de riesgo a niveles aceptables.
4) Hace que la Gestión de Riesgos Empresariales se convierta en el motor del “Sistema deControl Interno de la Empresa”.
El Software ControlRisk:
Valor Percibido que genera el Software para las Empresas.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles34
![Page 35: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/35.jpg)
5) Implementa el Enfoque proactivo Preventivo de los Contro les, en lugar del enfoque“Reactivo o detrás de los hechos conocidos”. Es decir, establece que los controles sediseñen, implanten y actúen antes de presentarse los riesgos inherentes - “A priori”respecto a los riesgos .
6) Genera o produce Guías y cuestionarios para identificar los eventos de riesgoinherentes por categorías de riesgo , que pueden presentarse en la operaciones decada proceso o sistema.
7) Estandariza criterios utilizados en la organización par a analizar los riesgosinherentes, diseñar controles y evaluar su efectividad (efectividad + eficiencia) parareducir los riesgos inherentes a niveles aceptables de riesgo residual.
8) Genera o produce Guías y cuestionarios para identificar los Controles que deberíanexistir para reducir la SEVERIDAD de los riesgos inherentes a niveles tolerables deriesgo residual.
Valor Percibido que genera el Software para las Empresas.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
El Software ControlRisk:
35
![Page 36: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/36.jpg)
9) Por cada proceso, crea y construye un “Cubo de Gestión de Ri esgos”. Las tresdimensiones del cubo son: a) Categorías de Riesgo Aplicables; b) Actividades queconstituyen el Ciclo PHVA del proceso, y c) Areas de la Estructura de organización yterceros que intervienen en el proceso.
10) Aplica y promueve la implantación del enfoque de los “tres anillos de seguridad oLíneas de defensa” y del nivel de automatización y no discrec ionalidad de loscontroles, como criterios para evaluar la EFICACIA de los controles.
11) Genera o produce Guías de Autoevaluación de Controles (en inglés CSA: Control SelfAssessment) para monitorear (auto-asegurar) periódicamente el cumplimiento de loscontroles establecidos y el nivel de riesgo residual aceptable en los eventos de riesgoinherentes, para ser diligenciadas en cada una de las dependencias que intervienen en elproceso.
Valor Percibido que genera el Software para las Empresas.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
El Software ControlRisk:
36
![Page 37: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/37.jpg)
12) “Lo que no se mide no puede administrarse”. Implementa lacultura de medición en la gestión de riesgos Empresariales:
� De La Severidad o Nivel Exposición de los Riesgos Inherentes yResiduales.
� De la Protección Ofrecida por los Controles Internos establecid ospor cada evento de riesgo inherente (amenaza), para las tresdimensiones del cubo de riesgos y por objetivos de control.
� De La efectividad de los controles por evento de riesgo inherente y delriesgo residual en tres momentos: a) antes de tratamientos; b) despuésde tratamientos y c) en cada monitoreo.
� Mantiene un registro histórico de las mediciones efectuadas a loseventos de riesgo inherentes en los últimos once (11) monitoreos: a) dela protección ofrecida y b) del riesgo residual.
Valor Percibido que genera el Software para las Empresas.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
El Software ControlRisk:
37
![Page 38: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/38.jpg)
13) Consolida los perfiles de riesgo Inherente y Residual de los procesos y laTIC de la Empresa . La consolidación se realiza por los siguientes conceptos:a) por tipos de procesos (misionales, estratégicos y de soporte), b) por áreasorganizacionales y c) por categorías de riesgo.
14) Crea, construye y mantiene actualizada la base de datos de “Eventos deRiesgo Ocurridos (RERO)” en la organización , con la que se generanestadísticas e indicadores de riesgo.
15) Monitorea (hace seguimiento) el Plan de Continuidad del Negocio (BCP).
16) Provee funcionalidades para Auditar el Sistema de Gestión de RiesgosEmpresariales .
Valor Percibido que genera el Software para las Empresas.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
El Software ControlRisk:
38
![Page 39: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/39.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles39
Provee una Base de Datos de Conocimientos de Gestiónde Riesgos, con “best practices” universales sobre:
� Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD).
� Eventos de riesgo Inherentes (amenazas) que podrían presentarse.
� Factores y Agentes de Riesgo.
� Tipos y clases de Controles.
� Controles Aplicables.
� Objetivos de control.
� Técnicas y procedimientos de priorización y análisis de riesgos.
� Criterios de aceptación de controles efectivos.
� Cuestionarios de “Best Practices” de Controles aplicables (CSA: Control Self Assessment).
� Guías de Monitoreo o Auto-aseguramiento de Controles (CSA: Control Self Assessment).
� Modelos de Procesos y Escenarios de Riesgo aplicables a TICs según marcos de referencia
universales vigentes (COBIT, ISO 27001, Aplicaciones de computador).
Valor Percibido que genera el Software para las Empresas.
![Page 40: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/40.jpg)
Está alineado con estándares internacionales vigentes deGestión de Riesgos, Control Interno, Seguridad y Calidad
• ISO / IEC 31000: 2009 Risk Management — Guidelines on principles andimplementation of risk management.
• ISO 31010:2009 Risk Management . Risk Assessment Techniques.
• ISO Guide 73:2009 Risk Management. Vocabulary.• ERM_ 2004 - Enterprice Risk Management.
• Modelos Internacionales y nacionales de Control Interno: COSO 2013, COBIT, MECI.
• ISO 27001: 2013 Sistema de Gestión de Seguridad de la Información (SGSI).
• ISO 20000: “Best Practices” de Gestión de Tecnologia (ITIL).
• SARO: Sistema de Administración de Riesgo Operativo.
• SARLAFT.: Sistema de Administración de Riesgos de Lavado de Activos y Financiación
de l Terrorismo.
• Basilea II.
• ISO 22301: 2012 (BCMS, BCP).
• ISO 9001, ISO 14000, ISO 18000.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles40
Valor Percibido que genera el Software para las Empresas.
![Page 41: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/41.jpg)
Mide la Capacidad / Efectividad de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual
� 1: Apropiada, ALTA.� 2: Mejorable.� 3: Insuficiente.� 4: Deficiente� 5: Muy Deficiente.
Aplica el enfoque “Proactivo y preventivo de los Controles”, en lugar delenfoque “Reactivo o detrás de los hechos conocidos”. El objetivo de los
controles es asegurar el éxito de las operaciones, no es “detectar la
ocurrencia de los riesgos”.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles41
Valor Percibido que genera el Software para las Empresas.
![Page 42: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/42.jpg)
� Aplica y promueve la implantación del enfoque de los “tres
anillos de seguridad o Líneas de defensa” y del nivel de
automatización y no discrecionalidad de los controles, comocriterios para evaluar la EFICACIA de los controles.
� Para evaluar la Eficiencia de los Controles, aplica y promueve la
evaluación del Costo / Beneficio de los Controles.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles42
Valor Percibido que genera el Software para las Empresas.
El Software ControlRisk:
![Page 43: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/43.jpg)
El enfoque de los 3 Anillos de Control o líneas de Defensa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles43
![Page 44: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/44.jpg)
Enfoque de los Tres Anillos de Control o de Seguridad o de Líneas de Defensa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles44
EVENTOS DE RIESGO INHERENTE (Amenazas )
A2
A3
A2
A3
A3BARRERA
PREVENTIVABARRERA
DETECTIVABARRERA
CORRECTIVA
A1
FEEDBACK
ORGANIZACIÓN
PERSONAS
DATOS
HW - SW
FINANCIEROS
INSTALACIONES
![Page 45: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/45.jpg)
Ejemplo – Aplicación del enfoque de los (3) Anillos deSeguridad o Líneas de Defensa.Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación del
propietario de la tarjeta.
1. Riesgo Potencial (Inherente): Riesgo antes de Controles. (evento) a la que se expone
el Banco (usuario), de acuerdo con la naturaleza y modo de operación del cajero automático . En su
evaluación no se tienen en cuenta los controles establecidos.
Evaluación Severidad: E - Extremo.
Acciones de Respuesta: Reducir (mitigar) el riesgo.
Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático
• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear
• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.
2. Riesgo Residual: Riesgo después de Controles y de Tratamientos. Amenaza(Evento) no protegida o no cubierta por los controles establecidos. EvaluaciónSeveridad: B - Bajo (Tolerable).
El Software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 45
![Page 46: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/46.jpg)
Clases de Controles Calificación
Automáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización / Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles46
![Page 47: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/47.jpg)
Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles queactúan sobre cada amenaza.
Eficiencia
Ben
efic
ios
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado Alto
Costos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)
Diagnóstico de los Controles Establecidos y Tratamiento de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles47
![Page 48: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/48.jpg)
� Mantiene actualizada la Base de Conocimientos con los elementosdel SGR de todos los procesos y sistemas de la Organización –Repositorio Unico.
� Habilita a los dueños de los procesos, para asumir el papel deresponsables de “diseñar, mantener, monitorear y mejorarcontinuamente el SAIR”.
� Provee funcionalidades para que la Gerencia de Riesgos de laOrganización, monitoree el funcionamiento del sistema deAdministración de riesgos y ejecute seguimiento a los planes detratamiento y las acciones de mejora.
� Mantiene actualizada la Base de Conocimientos con los elementosdel SGR de todos los procesos y sistemas de la Organización –Repositorio Unico.
� Habilita a los dueños de los procesos, para asumir el papel deresponsables de “diseñar, mantener, monitorear y mejorarcontinuamente el SAIR”.
� Provee funcionalidades para que la Gerencia de Riesgos de laOrganización, monitoree el funcionamiento del sistema deAdministración de riesgos y ejecute seguimiento a los planes detratamiento y las acciones de mejora.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles48
Valor Percibido que genera el Software para las Empresas.
El Software ControlRisk:
![Page 49: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/49.jpg)
� Habilita a los Auditores para evaluar y verificar la Gestión deRiesgos de la Organización en su ambiente de operación normal.
� Genera reportes exportables a varios formatos.� Utiliza métodos cualitativos y cuantitativos de evaluación de
riesgos.� Deja Rastros de las actividades y cambios efectuados a la Base
de Conocimientos de la Empresa.� Produce Manuales de Administración de riesgos en papel y
formato electrónico.� Software Multicompañías.
� Habilita a los Auditores para evaluar y verificar la Gestión deRiesgos de la Organización en su ambiente de operación normal.
� Genera reportes exportables a varios formatos.� Utiliza métodos cualitativos y cuantitativos de evaluación de
riesgos.� Deja Rastros de las actividades y cambios efectuados a la Base
de Conocimientos de la Empresa.� Produce Manuales de Administración de riesgos en papel y
formato electrónico.� Software Multicompañías.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles49
Valor Percibido que genera el Software para las Empresas.
El Software ControlRisk:
![Page 50: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/50.jpg)
Perfiles de Acceso establecidos en el software.
� Gerente de Riesgos .� Administrador de Usuarios.� Administrador EGR.� Analista de Riesgos.� Auto-evaluador.� Administrador RERO.� Auxiliar de RERO.
� Administrador BCP.� Auto-evaluador del BCP.� Solo Consulta.� Administrador de Auditoría.� Auditor.
El software ControlRiskEl software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles50
![Page 51: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/51.jpg)
� Gerentes de Riesgos / Directores de Planeación.
� Jefes de Unidades de Riesgo Operativo (SARO), Oficiales de
Cumplimiento del SARLAFT.
� Analistas de Riesgos Financieros.
� Administradores del Sistema de Gestión de Seguridad de la
Información (SGSI. ISO 27001).
� Administradores de Seguridad en los Servicios de Tecnología de
Información.
� Auditores Internos / Revisores Fiscales / Auditores de Sistemas.
� Departamentos de Control Interno.
� Coordinadores de Gestión de Calidad y de otros sistemas de
Gestión.
¿A Quienes sirve el Software ControlRisk?
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles51
![Page 52: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/52.jpg)
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk que generan valor
para las organizaciones.
Especificaciones Técnicas del Software ControlRisk.Descripción Módulos Componentes de ControlRisk.
Beneficios de Utilizar ControlRisk.
Usuarios del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles52
![Page 53: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/53.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles53
Especificaciones del Software CONTROLRISK
Especificaciones del Software CONTROLRISK
• Herramienta de Desarrollo: .NET, Visual Studio.• Sistema Operacional: Windows Server 2008 a 2012.
Windows Vista, 7, 8 Y 10. Excepto las versionesHome.
• Motor de Base de datos: SQL Server.• Memoria RAM: 4GB en servidor.• Disco Duro: 16 GB.• Navegadores: Internet Explorer 8.0 o superiores,
Google Chrome, Firefox y Opera.
![Page 54: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/54.jpg)
Por Compra de Licencias del Software
� Licenciamiento a perpetuidad, por equipo (servidor) y cantidad deusuarios concurrentes con perfiles Gerente de Riesgos, Supervisor,Analista de Riesgos, Administrador del RERO, Administrador del BCP yAuditor.
� La licencia hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.
� Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil“solo consulta”, sin costo.
� Soporte técnico y actualización del software, sin costo durante el primeraño.
Modalidades de Licenciamiento del Software
Modalidades de Licenciamiento del Software
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 54
![Page 55: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/55.jpg)
55
Por Arrendamiento de Licencias delSoftware.
� El software se instalará en un Hosting de la Empresa ó Comercial contratadopor la empresa que adquiere el servicio de arrendamiento del software.
� El arrendamiento se pacta por cantidad de usuarios concurrentes con perfilesGerente de Riesgos, Supervisor, Analista de Riesgos, Administrador delRERO, Administrador del BCP y Auditor. l.
� El Arrendamiento hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.
� Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “soloconsulta”, sin costo.
Modalidades de Licenciamiento del Software
Modalidades de Licenciamiento del Software
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles55
![Page 56: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/56.jpg)
Por la compra de Licencias del Software
� Manual del Usuario del Software (E-book).� Software ejecutable (DVD).� Bases de datos de conocimientos estándar.� Licencia de uso a perpetuidad, por servidor y cantidad de
usuarios concurrentes.� Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizarpruebas con fines de capacitación y entrenamiento .
� Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.
Productos que recibe el Usuario de CONTROLRISK
Productos que recibe el Usuario de CONTROLRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles56
![Page 57: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/57.jpg)
Por el Arrendamiento de Licencias delSoftware
� Manual del Usuario del Software (E-book).� Acceso utilizar el Software ejecutable (DVD) como empresa
licenciataria por arrendamiento.� Acceso a Bases de datos de conocimientos estándar.� Acceso a la Empresa ITF “Morraos de Colombia”, para consultar
dos (2) Ejemplos de Gestión de Riesgos por proceso y realizarpruebas con fines de capacitación y entrenamiento .
� Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.
Productos que recibe el Usuario de CONTROLRISK
Productos que recibe el Usuario de CONTROLRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles57
![Page 58: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/58.jpg)
Servicios Complementarios - Opcionales.
� Consultoría - Acompañamiento para Integrar el Software alproceso de Gestión de Riesgos Empresariales. Por cada temaprincipal del software, consta de 3 sesiones:
� Sesión 1: Capacitación para el uso de la metodología de GR yel software por parte del Consultor.
� Sesión 2: Trabajo de Campo para implantación de la Gestiónde Riesgos en los procesos y sistemas de la Empresa.
� Sesión 3: Retroalimentación por el Consultor.
� Servicio Anual de Actualización y Soporte Técnico.
Productos que recibe el Usuario de CONTROLRISK
Productos que recibe el Usuario de CONTROLRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles58
![Page 59: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/59.jpg)
Agenda
ControlRisk: Qué es y para qué sirve?.
Características del Software ControlRisk.
Especificaciones Técnicas del Software ControlRisk.
Descripción Módulos Componentes deControlRisk.Beneficios de Utilizar ControlRisk.
Empresas Usuarias del software ControlRisk.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles59
![Page 60: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/60.jpg)
Alcance de la Gestión de Riesgosen ControlRisk.
Módulo 3: Implantación de la Gestión de Riesgos en los
Procesos y Sistemas de Información Automatizados.
Módulo 4: Consolidación de Perfiles de Riesgo de la
Organización.
Módulo 5: El Registro de Eventos de Riesgo ocurridos
(RERO).
Módulo 6: Monitoreo / Auto-aseguramiento del Plan de
Continuidad del Negocio (BCP).
Módulo 7: Auditoría al Sistema de Administración de
Riesgos..
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles60
![Page 61: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/61.jpg)
Módulo 3:Implantación de la Gestión de Riesgos en
los Procesos y Sistemas de Información
Automatizados
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles61
![Page 62: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/62.jpg)
1) Los procesos del Modelo de Operación de la Empresa (Mapa de Procesos de Gestión
de Calidad).
2) Los procesos de Tecnología de Información de la Empresa ( procesos COBIT, ITIL).
3) En la Infraestructura de TI - Escenarios Claves de TI.
4) Los Sistemas de Información Automatizados (Aplicaciones de Computador ó módulos
de ERPs).
5) SARLAFT.
6) Riesgos del Sector Salud.
7) Riesgos de Seguridad de la Información (ISO 27001)
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
Que hace?Identificar, analizar, controlar y monitorear los eventos de riesgo Inherentes en:
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles62
![Page 63: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/63.jpg)
El ciclo PHVA de la Implantación del Sistema de Administración Integral de Riesgos (SAIR)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles63
![Page 64: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/64.jpg)
• Contexto del Estudio de Gestión de Riesgos
• Identificar y documentar Riesgos Inherentes
• Medir Riesgos Inherentes
• Elaborar Mapa de Riesgos
• Identificar Controles Establecidos
• Diagnóstico sobre Protección Existente
• Medición del Riesgo después de Controles
• Diseño Plan de Tratamiento
1. Plan de Tratamiento de Riesgos
• Implementar Acciones de Tratamiento.• Hacer seguimiento• Emitir recordatorio a Email
2. Análisis Costo/Beneficio de los Controles
3. Definir especificaciones de los controles4. Asignar responsabilidades por
ejecución y supervisión de controles.
Acciones de Mejoramiento
� Diseñar
� Implementar
� Hacer Seguimiento
� Emitir Recordatorios correo
electrónico
• Elaborar y aplicar Guías de Monitoreo / Auto-aseguramiento de Controles –Periodicidad Trimestral
• Procesar Respuestas• Medir Cumplimiento de Controles y Riesgo
Residual• Indicadores de Protección Existente y Riesgo
Residual• Análisis de Incumplimientos• Informar resultados de monitoreo
Base de Conocimientos de Empresa:
•Categorías de Riesgo,
•Amenazas,•Controles,•Objetivos de Control.•Vulnerabilidades•Activos•Factores de Riesgo
SAROSARLAFT
MECISGSI,
COBIT, ITIL, SOX
Módulo 3: Implantación del SGR por Procesos y Sistemas
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles64
![Page 65: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/65.jpg)
Fase 1:Estática o Estructural del SGR : Diseño eImplementación. Bloques P y H del ciclo PHVA .
Fase 2:Dinámica u Operativa del SGR : Implantación,monitoreo y Mejoramiento Post-implantación.Bloques V y A del ciclo PHVA
Por cada Proceso o SistemaPor cada Proceso o Sistema
Fases y Etapas para Implantar el SGR por Proceso o Sistema
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles65
![Page 66: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/66.jpg)
Evaluar Protección yTratamiento de Riesgos
Identificar y Analizar Riesgos Inherentes
Comprender Contexto Del Proceso
/ Sistema
Documentar Cubo de Riesgos Inherentes.
12
34
Actividades,
Proveedores, Entradas,
Salidas, Clientes,
Responsables
Clasificar y Priorizar Riesgos
Identificar y evaluar Efectividad Controles
Evaluar Severidad Exposición a
Riesgos
Caracterización
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 1
Etapas para Implantar el SGR
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles66
Diseñar Plande tratamientosDiseñar Plande tratamientos
3 Matrices - Cubo de Riesgos Críticos
Asociar Amenazas-Objetivos de Control
![Page 67: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/67.jpg)
Implementar Tratamientos y
Análisis C/B
5
Planeación y seguimiento
Mapa de Riesgos Residuales
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 2
6
VERIFICARMonitorear Protección
y Riesgo Residual
Responsables de Ejecutar y Supervisar
Monitoreo / Auto-evaluación
7
Implantar y Asignarresponsables de los
controles
Indicadores de Riesgo
Etapas para Implantar el SGR
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 67
Entrenamiento y concienciación
![Page 68: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/68.jpg)
Acciones Mejora
ACTUAR- Elaborar PlanMejoramiento
Análisis No Conformidades /
Debilidades
7
Actualizar Manual Del SGR
ACTUAR – Implantar Plan de Mejoramiento
7 8
Ajustes a Controles SEGÚN Cambios en
el Negocio
Evaluar Efectividad Acciones Mejoramiento
SEGÚN Cambios
Leyes/ Entorno
Etapas para Implantar el SGR
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles68
GESTIÓN DE RIESGOS / DISEÑO DE CONTROLES POR PROCESOS – FASE 2
![Page 69: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/69.jpg)
El software provee listas sugeridas de actividades (escenarios deriesgo) para los procesos de TI y sistemas de información:
1) Para los 34 Procesos de Tecnología de Información (TI) del ModeloCOBIT: Actividades según el RACI.
2) Para la Infraestructura de TI: Actividades consideradas por el RACI deCOBIT o los modelos que se utilicen en la organización (ITIL, ISO27001).
3) Para las Aplicaciones de computador: 14 Actividades del ciclo decontrol de los datos en los sistemas de información.
Para procesos del modelo de operación de la empresa (estratégico,misional o de apoyo): Deben ingresarse a la medida de cada proceso.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles69
Actividades de los Procesos / Escenarios de Riesgo.
![Page 70: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/70.jpg)
Está en capacidad de utilizar varios modelos declases o categorías de riesgo Vigentes.
� Sistema de Administración de Riesgo Operativo- SARO.
� Sistema de Administración de Riesgos de Lavado de Activos yFinanciación del Terrorismo - SARLAFT.
� MECI (Modelo Estándar de Control Interno para las Entidadesdel Estado Colombiano).
� Riesgos en el Sector Salud - Res 1740 de 2008 MPS.
� AUDIRISK.
� Otros Modelos.
El Software ControlRisk
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles70
![Page 71: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/71.jpg)
Definición de Universo de Riesgos de la Organización
Clases de Eventos de Riesgo OperativoModelo SARO(CE 041 de 2007, SFC)
1. Fraude Interno.2. Fraude Externo.3. Fallas en la Atención a los Clientes.4. Daños a Activos Físicos.5. Fallas en Relaciones Laborales.6. Fallas Tecnológicas.7. Errores en Administración y
Ejecución de Procesos.
Clases de RiesgosDe LA / FT - Modelo SARLAFT (CE 013 de 2013, SFC)
1. Riesgo Reputacional.2. Riesgo Legal.3. Riesgo Operativo.4. Riesgo de Contagio
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles71
![Page 72: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/72.jpg)
Definición de Universo de Riesgos de la Organización
Clases de Riesgo Modelo MECI: 1. Estratégico2. Operativo3. Financiero.
4. De cumplimiento.5. De Tecnología.6. De Corrupción
1. Hurto / Fraude.2. Sanciones Legales3. Pérdida de Credibilidad
Pública4. Desventaja Competitiva.5. Costos Excesivos
6. Pérdida de Ingresos.7. Daño / Destrucción de
Activos8. Decisiones Erróneas
Clases de Riesgo Modelo AUDIRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles72
![Page 73: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/73.jpg)
Administración de Riesgos en Salud: 1. De concentración de riesgos y hechos catastróficos.2 De incrementos inesperados en los índices de Morbilidad y
de costos de atención.3. De cambios permanentes en las condiciones de salud o
cambios tecnológicos.4. De Insuficiencia de reservas técnicas.5. De comportamiento.
Administración de Riesgo Operativo• Riesgo Operativo.• Riesgo Legal y Regulatorio.• Riesgo Reputacional.
Riesgos en el Sector Salud - Res 1740 de 2008 MPS
Modelos de Clases o Categorías de Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles73
![Page 74: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/74.jpg)
Riesgos Financieros
� Riesgo de Mercado.
� Riesgo de Crédito.
� Riesgo de Liquidez.
� Riesgo Legal.
� Riesgo Operativo.
� Riesgo de Reputación.
Modelos de Clases o Categorías de Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles74
![Page 75: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/75.jpg)
PRIORIZAR LOS RIESGOS DE LA ORGANIZACION
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles75
![Page 76: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/76.jpg)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles76
![Page 77: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/77.jpg)
Costo ó Valor de las Pérdidas Originadas por Eventos no deseables
denominados Riesgos / Amenazas• Sanciones Legales.• Pérdida de Ingresos.• Costos Excesivos .• Pérdida de Credibilidad Pública.• Desventaja ante la
Competencia.• Daño - Destrucción de
Activos.• Decisiones Erróneas.• Fraude – Robo.
Agentes Generadores de Amenazas.
• Personas, Fallas de los Equipos ( Energía, Aire Acondicionado), Actos mal intencionados, Desastres Naturales o provocados.
RIESGO
CLASES DE RIESGOS
UNIDAD MINIMA DE ANALISIS
* Frecuencia (Probabilidad) de Ocurrencia.
* Impacto ( Estimación de las Pérdidas por cada ocurrencia).
AMENAZAS DE RIESGO(Eventos asociados a lasClases de Riesgo)
Vulnerabilidades – Debilidades de seguridad
SAROSARLAFTMECIAUDIRISK
Relación entre Clases de Riesgo y Amenazas
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles77
![Page 78: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/78.jpg)
Identificación y Análisis de Riesgos Inherentes.� Prioriza las categorías de riesgo aplicables y de éstas selecciona las 3 ó 4
críticas para el proceso o sistema.
� Por cada categoría de riesgos crítica, identifica los eventos de riesgos
inherentes (amenazas) que podrían presentarse . Mínimo 10 por categoría de
riesgo crítica.
� Para las categorías no críticas, identificar al menos 5 eventos de riesgo.
� Por cada evento de riesgo (amenaza) se documentan siete (7) elementos del
riesgo.
• Amenaza.• Activos impactados.• Agentes Generadores.
• Vulnerabilidades.• Exposición al riesgo.• Consecuencias – Riesgo ocurrido• Controles existentes.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles78
![Page 79: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/79.jpg)
Priorización de Categorías de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles79
![Page 80: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/80.jpg)
Medición y priorización de Riesgos Inherentes.
Para medir y priorizar la SEVERIDAD de los eventos de riesgo
inherente utiliza una escala de cuatro (4) calificaciones:
E: Extremo – Color Rojo.
A: Alto, color Naranja.
M: Moderado. Color Amarillo.
B: Bajo, color verde.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles80
![Page 81: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/81.jpg)
Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)
Mapa de Riesgos Inherentes- Estándares ISO 31000 y AS/ NZ 4360 (NTC 5254)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles81
![Page 82: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/82.jpg)
Matriz de Acciones de Respuesta a Riesgos
Basada en Estándares AS/NZ 4360 e ISO 31000P
RO
BA
BIL
IDA
D
5: Casi Cierto
Zona de Riesgo Alta.
Mitigar, transferir, distribuir
Zona de Riesgo Alta.
Mitigar, transferir, distribuir
Zona de Riesgo Extremo . Evitar, transferir, mitigar Zona de Riesgo Extremo
. Evitar, transferir, mitigar
Zona de Riesgo Extremo.
Evitar, Mitigar, tranferir
4: Probable
Zona de Riesgo Moderada. Mitigar
Zona de riesgo Alta.Prevenir, transferir
Zona de riesgo Alta.Prevenir, transferir
Zona de Riesgo Extremo . Evitar, transferir,
mitigar
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
3: Posible Zona de Riesgo Baja. Aceptar, mitigar el
Riesgo
Zona de Riesgo Moderada. Mitigar
Zona de riesgo Alta.Prevenir, transferir
Zona de Riesgo Extremo . Evitar, transferir,
mitigar
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
2: Poco Probable
Zona de Riesgo Baja. Aceptar el Riesgo
Zona de Riesgo Baja. Aceptar, mitigar el
Riesgo
Zona de Riesgo Moderada.Mitigar
Zona de riesgo Alta. Prevenir, transferir
Zona de Riesgo Extremo. Evitar,
Mitigar, tranferir
1: Raro Zona de Riesgo Baja.
. Aceptar el Riesgo
Zona de Riesgo Baja. . Aceptar
el Riesgo
Zona de Riesgo Moderada.Mitigar
Zona de riesgo Alta. Prevenir, transferir
Zona de riesgo Alta.Prevenir, transferir
1: Insignificante 2: Menor 3: Moderado 4: Severo 5: Catastrófico
IMPACTO
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles82
![Page 83: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/83.jpg)
Mapa de Riesgos Inherentes –Estándar MECI
PO
RB
AB
ILID
AD
(Fr
ecu
enci
a)
3: Alta M: Moderado A: Alto E: Extremo
(Inaceptable)
2: ModeradaBajo (Tolerable)
M: ModeradoAlto
B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado
5: Leve 10: Moderado 20: Catastrófico
Homologado a Estándares AS/NZ 4360e ISO 31000
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles83
![Page 84: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/84.jpg)
Las evaluaciones (mediciones) del riesgo inherente,protección existente y riesgo residual, se realizan para los 3componentes del Cubo de Riesgos de cada proceso osistema:
� Las Categorías de Riesgo Críticas identificadas para elproceso o sistema sujeto a auditoría.
� Las actividades ó subprocesos que constituyen o componenel proceso o sistema sujeto a auditoría.
� Las Áreas Organizacionales (dependencias ) y terceros queintervienen en el manejo del proceso o sistema sujeto aauditoría.
El Cubo de Riesgos.
Módulo 3: Gestión de Riesgos por Procesos y Sistemas de Información
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles84
![Page 85: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/85.jpg)
Recursos Humanos
Sistemas
Contabilidad
Escenarios de Riesgo
(Actividades)
Ing
reso
de
Da
tos
Act
ua
liza
ció
n
Ba
se d
e D
ato
s
Re
po
rte
s d
e
Act
ua
liza
ció
n
Amenazas de Riesgo
Co
sto
s E
xce
siv
os
Fra
ud
e
Sa
nci
on
es
Leg
ale
s
Cubo de Riesgos del Proceso o Sistema de Información
Cubo de Riesgos del Proceso o Sistema de Información
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles85
![Page 86: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/86.jpg)
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles86
Opción 4 del Ciclo PHVA
![Page 87: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/87.jpg)
Aplica el enfoque “Proactivo y preventivo de losControles” , en lugar del enfoque “Reactivo o detrás delos hechos conocidos”.
Enfoque Reactivo – A posteriori - Obsoleto � Paradigma por Actualizar: Los Controles se establecen para
detectar la ocurrencia de Errores e Irregularidades.� Los controles se diseñan e implantan después que los EVENTOS DE
RIESGO INHERENTES, problemas o desviaciones se han presentado,para evitar su recurrencia.
� Tiene una connotación sancionatoria y correctiva.� Efectividad: MUY BAJA, NULA.
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles87
![Page 88: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/88.jpg)
� Identificación y Documentación de los Controles Existentes por amenaza.
� Evaluación de la Efectividad de los Controles Establecidos y del Riesgo Residual,
antes de tratamientos.� Por Amenazas de Riesgo. Unidad Mínima de Análisis.� Por Escenario de Riesgo / Subproceso.
� Por Dependencia.
� Por Objetivo de Control.
� Por Categoría de Riesgo Potencial Crítico.
� Diseño del Plan de Tratamientos Requeridos.
� Diseñar Plan de Seguimiento al Plan de Tratamientos.
� Reportes de Evaluación de la Efectividad y Mapas de Riesgos Residuales, Antes
y Después de Tratamientos.
� Emisión de Correos Electrónicos / Recordatorios .
Entregables / Productos de la Valoración.
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles88
![Page 89: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/89.jpg)
1. Identificar los controles existentes por evento de riesgoInherentes.• El Software Genera Cuestionario de Controles Aplicables – Best Practices
- CSA.• Sobre el Cuestionario, el Usuario identifica los Controles Existentes.
2. Evaluar Efectividad de los Controles existentes (eficacia+ eficiencia).• Por Evento, Categorías de Riesgo, Áreas Organizacionales y Objetivos
de Control.• Elaborar Mapas de Riesgo Residual, después de controles - antes de
tratamientos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles89
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
Pasos de la Valoración de Riesgos.
![Page 90: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/90.jpg)
Mide la Efectividad (eficacia + eficiencia) de los Controles Establecidos(protección que ofrecen) para reducir los riesgos inherentes a nivelesaceptables de riesgo residual
� 1: Apropiada, ALTA.� 2: Mejorable.� 3: Insuficiente.� 4: Deficiente� 5: Muy Deficiente.
CONTROLRISK aplica el enfoque “Proactivo y preventivo de losControles” , en lugar del enfoque “Reactivo o detrás de los hechosconocidos”.
Enfoque Proactivo - Recomendado.
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles90
![Page 91: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/91.jpg)
3. Identificar Eventos de riesgo que requieren Tratamientos.Con Efectividad 2: Mejorable; 3: Insuficiente; 4: Deficiente y 5: MuyDeficiente
4. Diseñar e implantar tratamientos: Controles para modificar elriesgo de los eventos de riesgo inherentes y elaborar plan deimplantación.
5. Seguimiento a implantación de tratamientos. Elaboración yenvío correos electrónicos de recordatorio y verificar implantación.
6. Elaborar Mapas de Riesgo Residual. Después detratamientos.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles91
Pasos de la Valoración de Riesgos.
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
![Page 92: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/92.jpg)
Para ser “ Efectivos” (ofrecer protección apropiada), porcada evento de riesgo inherente los controles deberánsatisfacer tres (3) criterios:
� Para ser Eficaces� Aplicar Enfoque de los 3 niveles o anillos de Controles /
Seguridad – Al menos 3 controles por evento que haganSINERGIA. Obligatorio .
� Alto Grado de Automatización y Discrecionalidad de losControles. Promedio >= 3.5
� Para ser Eficientes . Costo / Beneficio RAZONABLE (CostoMáximo: 10% del valor de los activos protegidos por los controles).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles92
Valoración de Riesgos según Efectividad de los Controles y Tratamientos Establecidos
![Page 93: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/93.jpg)
Enfoque de los Tres Anillos Seguridad o Líneas de Defensa
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles93
EVENTOS DE RIESGO INHERENTE (Amenazas )
A2
A3
A2
A3
A3BARRERA
PREVENTIVABARRERA
DETECTIVABARRERA
CORRECTIVA
A1
FEEDBACK
ORGANIZACIÓN
PERSONAS
DATOS
HW - SW
FINANCIEROS
INSTALACIONES
![Page 94: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/94.jpg)
Los tres (3) Anillos de Controles (DeSeguridad o Líneas de Defensa).Los controles actúan sobre los eventos de riesgo inherentes de tresmaneras, interdependientes, que hacen SINERGIA:
� Como control Preventivo. C ondicionan los actos de la organizaciónpara asegurar que ocurran de manera preestablecida – Sonestándares de actuación.
� Como control Detectivo. Para detectar, registrar e informar laocurrencia de la amenaza (son alarmas que se disparan cuando sedetecta que está presentándose la amenaza). Refuerzan y validanel control preventivo. Hacen pareja con el control preventi vo.
� Como control Correctivo . Obligan a tomar acción correctiva pararesolver el problema detectado por los controles detectivos. Hacenpareja con los controles detectivos.
Control de los Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles94
![Page 95: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/95.jpg)
El enfoque de los 3 Anillos de Seguridad
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles95
![Page 96: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/96.jpg)
Clases de Controles Calificación
Automáticos no discrecionales (Clase A). Los
controles son automatizados y se aplican sin excepciones a
todo el universo.
5.0 puntos
Automáticos discrecionales (Clase B). Los controles
son automáticos y aplican solo a una parte del Universo.
4.5 puntos
Manuales no discrecionales(Clase C). Los controles
son manuales y se aplican sin excepciones a todo el universo.
4.0 puntos
Manuales discrecionales(Clase D). Los controles son
manuales y aplican solo a una parte del Universo.
3.5 puntos
Grado de Automatización / Discrecionalidad de los Controles
Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza, deberá ser mayor que 3.5
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles96
![Page 97: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/97.jpg)
Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles queactúan sobre cada amenaza.
Eficiencia
Ben
efic
ios
Alto 5: Muy Alta 4: Alta3:
Moderada
Moderado 4: Alta3:
Moderada 2: Baja
Bajo 3: Moderada 2: Baja 1: Muy Baja
Bajo Moderado Alto
Costos
RAZONABLE (R )NO RAZONABLE (NR)
Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cada amenaza,deberá ser mayor o igual a 4.0 (Razonable)
Diagnóstico de los Controles Establecidos y Tratamiento de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles97
![Page 98: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/98.jpg)
Mapa de Riesgos Residuales
Rie
sgo
Inh
ere
nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo
3: Alto Bajo Moderado. Alto. Alto. Alto.
2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.
1: Bajo Bajo Bajo Bajo Bajo Bajo
1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy
Deficiente
Efectividad de los Controles (Protección Existente)
Matriz de Riesgo Residual, después del Diagnóstico de los Controles Establecidos - MODELO "AUDISIS"
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles98
![Page 99: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/99.jpg)
Evaluación de Efectividad / Protección que ofrecen los Controles, por Amenaza
Protección existente (PE) - Método AUDISIS
Satisfacción de los Criterios de Evaluación Efectividad
RI - Antes de Controles Estandar AS/NZ e ISO 31000
RR - Despues de Controles
1: APROPIADA
Se satisfacen los 3 anillos de control y por lo men os uno de los otros dos criterios (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 1: Tolerable
3: Alto 1: Tolerable
2: Moderado 1: Tolerable
1: Bajo (Tolerable) 1: Tolerable
2: MEJORABLE Se satisfacen los 3 anillos de control , únicamente
4: Extremo 2: Moderado
3: Alto 2: Moderado
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo
4: INSUFICIENTE
Únicamente se satisfacen los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 3: Alto
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Tolerable
4: DEFICIENTE
Se satisface únicamente uno de los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)
4: Extremo 4: Extremo
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo (Tolerable)
5: MUY DEFICIENTE No existen controles
4: Extremo 4: Extremo
3: Alto 3: Alto
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo (Tolerable)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles99
![Page 100: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/100.jpg)
El Tratamiento de los Riesgos se diseña con base enlos resultados del Diagnóstico sobre la Protección queofrecen los controles establecidos, por cada amenazade riesgo crítica.
Se requieren tratamientos para amenazas que tienenProtección Existente (PE) diferente de APROPIADA.
2: Mejorable.3: Insuficiente.
4 : Deficiente. 5 : Muy deficiente.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles100
![Page 101: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/101.jpg)
Para Qué las Acciones de Tratamiento?
• Para satisfacer los 3 anillos de Seguridad.• Para mejorar niveles de automatización y discrecionalidad de los
controles.• Para ajustar Eficiencia de los Controles (Costo / Beneficio).
Planeación de la Implantación.• Asignar responsables de Implantar tratamientos.• Asignar Responsables de Supervisar Implantación .• Asignar Fechas de Compromiso.• Programar Mensajes de Alerta / Recordatorios por Correo Electrónico.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles101
![Page 102: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/102.jpg)
Seguimiento del Plan de Tratamiento .• Recordatorios / Alertas por Correo Electrónico.• Reportes periódicos de Seguimiento a Tratamientos
� Implementados.� Por Iniciar.� En proceso.� Anulados / Aplazados.
• Adicionar tratamientos implantados a la base dedatos de controles establecidos.
• Evaluación de Amenazas después de Tratamientos.
Diseño e Implantación del Plan de Tratamiento de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles102
![Page 103: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/103.jpg)
Produce Guías de Autocontrol por cada ÁreaOrganizacional que interviene en el proceso o sistema.
Para Controles Manuales.• Asigna cargos responsables de Ejecutar los controles.• Asigna cargos responsables de Supervisar los controles.
Para Controles Automatizados.• Ejecución: No se asigna cargo responsable - lo hace el
sistema.• Asigna cargo responsables de Supervisar el controles.
Etapa 6: Asignar Responsables de Ejecutar y Supervisar los Controles
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles103
![Page 104: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/104.jpg)
El software produce “Guías de Auto-aseguramiento” paraser respondidas por los responsables de las ÁreasOrganizaciones y terceros que intervienen en el proceso.
Con el procesamiento de las respuestas, el software generaIndicadores de Riesgo , según grado de Cumplimiento de losControles establecidos.
a) Por Amenaza.b) Por Área organizacional o Tercero que intervenga en el
proceso.c) Por Categoría de Riesgo yd) Por Actividad del Proceso (escenarios de riesgo).
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles104
Etapa 7: Monitoreo y Autoaseguramiento de Controles
![Page 105: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/105.jpg)
Etapa 7: Monitoreo y Autoaseguramiento de Controles
Compara Protección Existente y Riesgo Residualdespués de tratamientos, con resultados del Monitoreoactual.
Amenazas Protección Existente después de
tratamientos (Etapa 4)
% Puntaje Obtenido en Monitoreo
(Etapa 7)
Protección Existente (PE) Según
Monitoreo (Etapa 7)
Riesgo Residual –RR- Según
Monitoreo Actual (Etapa 7)
Amenaza 1 1: Apropiada Mayor del 80 % 1: Apropiado 1: Aceptable
Amenaza 2 2: Mejorable Entre 60 y 80% 3: Insuficiente 3: Alto
Amenaza 3 1: Apropiada Entre 40 y 60% 3: Insuficiente 3: Alto
Amenaza 4 1: Apropiada Entre 20 y 40% 4: Deficiente 4: Extremo
Amenaza 5 1: Apropiada Menos del 20% 5: Muy Deficiente 5: Extremo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles105
![Page 106: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/106.jpg)
Monitoreo Periódico de los Riesgos y los Controles
Productos que Genera.
• Guías de Monitoreo / Auto-aseguramiento, por dependencias o áreasorganizacionales que intervienen en el proceso o sistema objeto del monitoreo.
• Perfiles de Protección Existente (PE) y Riesgo Residual (RR), después delmonitoreo .
• Amenazas con Riesgo Residual por encima del nivel mínimo aceptable.• Estadísticas y reportes de Motivos de Incumplimiento de los Controles
Establecidos.• Historia de PE y RR en los últimos “n” Monitoreos.• Plan de Mejoramiento para superar las “No conformidades” identificadas en el
monitoreo.• Seguimiento al Plan de Mejoramiento monitoreo anterior.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles106
Etapa 7: Monitoreo y Autoaseguramiento de Controles
![Page 107: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/107.jpg)
Histórico de Monitoreos por Proceso
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles107
Etapa 7: Monitoreo y Autoaseguramiento de Controles
![Page 108: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/108.jpg)
Plan de Mejoramiento del sistema de Gestión deRiesgos del proceso o sistema.
• Diseño del Plan de Mejoramiento por Área Organizacional.� Responsables de implantar y supervisar acciones de mejora.� Configurar y programar envío de Correos Electrónicos de Alerta /
Recordatorios a responsables de implantar acciones de Mejora.
• Seguimiento al Plan de Mejoramiento.� Envío de recordatorios por correo electrónico.� Informe con Resultados del Seguimiento.� Acciones de Mejora Pendientes de Implantar.
• Archivos Históricos de Planes de Mejora.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles108
Etapa 7: Monitoreo y Autoaseguramiento de Controles
![Page 109: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/109.jpg)
Módulo 4:Consolidación de Perfiles de
Riesgo de la Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles109
![Page 110: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/110.jpg)
Módulo 4: Consolidación de Perfiles de Riesgo Institucional
Implementar SGR Por:
•Procesos•Sistemas
Medición
Riesgo
Inherente
Medición
Protección
Existente
(PE) y
Riesgo
Residual
(RR)
11
Perfil Consolidado de Riesgo Inherente
• General = Todos los Procesos
� Por Procesos� Por Área Organizacional� Por Categoría de Riesgo
• Por Tipos de Proceso
� Por Procesos� Por Área Organizacional� Por Categoría de Riesgo
Perfil Consolidado de Protección Existente y Riesgo Residual
• General = Todos los Procesos
� Por Procesos� Por Área Organizacional� Por Categoría de Riesgo
• Por Tipos de Proceso
� Por Procesos� Por Área Organizacional� Por Categoría de Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles110
![Page 111: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/111.jpg)
� Consolidar a nivel de la Empresa:� Los perfiles de riesgo inherente de los diferentes tipos
procesos de la organización (estratégicos, misionales y desoporte).
� Los perfiles de riesgo residual y la protecciónexistente de los diferentes procesos de la organización(estratégicos, misionales y de soporte).
� Presentar información de alto nivel para consultade los Ejecutivos de la Empresa, sobre la Gestiónde Riesgos Operativos en la Organización.
Módulo 4: Perfiles de Riesgo Consolidados por Organización
Que hace?.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles111
![Page 112: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/112.jpg)
Que Produce? .
1. Perfil Consolidado de Riesgo Inherente por Tipos deProcesos.a) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyo
y de Supervisión). Reportes y Gráficos con el Perfil
Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías deRiesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Proceso y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
Módulo 4: Perfiles de Riesgo Inherente Consolidados de la Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles112
![Page 113: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/113.jpg)
2. Perfil Consolidado de Protección Existente y RiesgoResidual.
a) Por Tipos de Procesos. Reportes y Gráficos con el Perfil Consolidado
en todos los procesos de la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías de Riesgo).Reportes y Gráficos con el Perfil Consolidado en la organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
Que Produce?.
Módulo 4: Perfiles de Riesgo Consolidados por Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles113
![Page 114: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/114.jpg)
a) Por Tipos de Procesos (Estratégicos, Misionales, deApoyo y de Supervisión) y Proceso.
1) Por cada tipo de proceso y proceso, muestra el Riesgo InherenteConsolidado: Por cada proceso muestra cantidad de amenazas, el
valor promedio del riesgo inherente y el significado del riesgo
inherente.
2) Perfil de Riesgo Inherente por cada tipo de proceso y proceso:Por cada proceso muestra cantidad de amenazas en niveles de riesgo
Inherente Muy Alto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo inherente.
Consolidación del Perfil de Riesgo Inherente
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles114
![Page 115: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/115.jpg)
Consolidación del Perfil de Riesgo Inherente –Presentada por procesos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles115
![Page 116: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/116.jpg)
b) Por Tipos de Procesos (Estratégicos, Misionales, de Apoyoy de Evaluación y Medición) y Clases de Riesgo.
1) Por cada Tipo de Proceso y Categoría de Riesgo. Por cada
categoría de riesgo muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente
2) Perfil de Riesgo Inherente por tipos de proceso y categoríasde Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Inherente Muy Alto, Alto yAceptable.
3) Indicadores del rango de perdidas estimadas para las
amenazas por niveles de riesgo inherente.
Consolidación del Perfil de Riesgo Inherente
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles116
![Page 117: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/117.jpg)
c) Por Tipos de procesos y Áreas Organizacionales(Dependencias).
1) Consolidado por tipo de procesos y Dependencias. Por
cada dependencia muestra cantidad de amenazas, el valor
promedio del riesgo inherente y el significado del riesgo
inherente.
2) Perfil de Riesgo Inherente Consolidado por tipo deprocesos y dependencias: Por cada dependencia muestra
cantidad de amenazas en niveles de riesgo Inherente Muy Alto,Alto y Aceptable.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo inherente.
Consolidación del Perfil de Riesgo Inherente
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles117
![Page 118: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/118.jpg)
2. Perfil Consolidado de Protección Existente y RiesgoResidual por Tipos de Procesos.
a) Por Tipos de procesos y Procesos. Reportes y Gráficos con el
Perfil Consolidado en la organización.
b) Por Tipos de Proceso y Clases de Riesgo (Categorías deRiesgo). Reportes y Gráficos con el Perfil Consolidado en la
organización.
c) Por Tipos de Procesos y Áreas Organizacionales. Reportes y
Gráficos con el Perfil Consolidado en la organización.
Que Produce?.
Módulo 4: Consolidación de Perfiles de Riesgo de la Organización – Perfil de Riesgo Residual
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles118
![Page 119: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/119.jpg)
Consolidación del Perfil de Riesgo Residual
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles119
![Page 120: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/120.jpg)
a) Perfil Consolidado de Protección Existente y RiesgoResidual por Tipos de Proceso y Procesos.
1) Por tipos de proceso y procesos. Por cada proceso muestra:
Cantidad de Amenazas, protección existente consolidada y
riesgo residual consolidado.
2) Perfiles Por tipos de proceso y procesos: Por cada proceso
muestra cantidad de amenazas en niveles de riesgo residual
Muy Alto, Alto y Aceptable y su correspondiente ProtecciónExistente.
3) Indicadores del rango de pérdidas estimadas para las
amenazas por niveles de riesgo residual.
Módulo 4: Consolidación de Perfiles de Riesgo de la Organización – Perfil de Riesgo Residual
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles120
![Page 121: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/121.jpg)
Consolidación del Perfil de Riesgo Residual – Presentada por Procesos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles121
![Page 122: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/122.jpg)
b) Perfil Consolidado de Protección Existente y RiesgoResidual por Tipos de Proceso y Clases de Riesgo
1) Por Tipos de Proceso y Categorías de Riesgo: Por cada categoría de
riesgo muestra cantidad de amenazas, el valor promedio de protección
existente y promedio de riesgo residual.
2) Perfil de Riesgo Residual Consolidado por tipos de proceso ycategorías de Riesgo Por cada categoría de Riesgo muestra cantidad de
amenazas en niveles de riesgo Residual Muy Alto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por
niveles de riesgo residual.
4) Consolidado de Protección Existente y Riesgo Residual, por Clasede Riesgo y Procesos. Por cada clase de riesgo muestra la PE y el RR
de los procesos en los cuales se presenta la clase de riesgo.
Consolidación del Perfil de Riesgo Residual –Por Tipos de Proceso y
Categorías de Riesgo
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles122
![Page 123: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/123.jpg)
c) Perfil Consolidado de Protección Existente y RiesgoResidual por Tipos de Proceso y Clases de Riesgo
1) Consolidado de PE y RR por Dependencias. Por cada dependencia muestra:
Cantidad de Amenazas, protección existente consolidada y riesgo residual
consolidado.
2) Perfil de Riesgo Residual Consolidado por dependencias: Por cada
dependencia muestra cantidad de amenazas en niveles de riesgo residual MuyAlto, Alto y Aceptable.
3) Indicadores del rango de perdidas estimadas para las amenazas por niveles de
riesgo residual.
4) Consolidado de PE y RR por dependencias y procesos. El software muestra la
cantidad de amenazas, PE y RR por cada proceso en el que interviene la
dependencia.
5) Consolidado de PE y RR por dependencias y clases de riesgo. El software
muestra la cantidad de amenazas, PE y RR por cada clase de riesgo que se
presenta en la dependencia.
Consolidación del Perfil de Riesgo Residual – por Tipos de Proceso y Áreas
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles123
![Page 124: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/124.jpg)
Módulo 5:Implantación y Mantenimiento
del Registro de Eventos de Riesgo Ocurridos - RERO
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles124
![Page 125: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/125.jpg)
Qué hace? .
• Crear y mantener una base de datos con el registro histórico y
actualizado de los Eventos de Riesgo Ocurridos en la Organización.
• Generar reportes de eventos de riesgo operativo ocurridos en la
organización, por diferentes conceptos.
• Presentar información de alto nivel para consulta y soporte de la
decisiones de los Ejecutivos de la Empresa, sobre los Eventos de
Riesgo Ocurridos.
Modulo 5: Registro de Eventos de Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles125
![Page 126: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/126.jpg)
Módulo 5: Registro de Eventos de Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles126
![Page 127: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/127.jpg)
Qué Produce? .
� Base de Datos Poblada con eventos de pérdidaOcurridos en la Organización.
� Generación de Reportes: detallados ygerenciales.
Modulo 5: Registro de Eventos de Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles127
![Page 128: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/128.jpg)
Módulo 5: Registro de Eventos de Riesgo Ocurridos (RERO)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles128
![Page 129: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/129.jpg)
Módulo 6:Monitoreo del Plan de Continuidad
del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles129
![Page 130: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/130.jpg)
Qué es el Plan de Continuidad del Negocio(BCP)?.
Conjunto detallado de acciones que describen losprocedimientos, los sistemas y los recursos necesariospara retornar y continuar la operación, en caso deinterrupción (Circular 049 de 2006, SFC).
Numeral 2.8 Circular externa 049 de 2006,Superintendencia Financiera de Colombia.
Módulo 6. Monitoreo / Auto -aseguramiento del BCP
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles130
![Page 131: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/131.jpg)
Qué hace? .
� Verifica el estado de preparación de las áreasorganizacionales para operar en caso deinterrupciones.
� Mide el % de cumplimiento de los procedimientosdel BCP.
� Generación Indicadores de Cumplimiento /preparación.
� Genera Reportes del Monitoreo.
Módulo 6 Monitoreo / Auto -aseguramiento del BCP
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles131
![Page 132: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/132.jpg)
Proceso de Gestión de Continuidad del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles132
![Page 133: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/133.jpg)
Monitoreo / Auto-aseguramiento del BCP
Proceso de Gestión de Continuidad del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles133
![Page 134: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/134.jpg)
Monitoreo / Auto-aseguramiento del BCP
Proceso de Gestión de Continuidad del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles134
![Page 135: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/135.jpg)
Proceso de Gestión de Continuidad del Negocio (BCP)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles135
![Page 136: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/136.jpg)
Módulo 7:Auditoría al Sistema de Gestión
de Riesgos de la Organización
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles136
![Page 137: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/137.jpg)
Que hace ?.
Habilitar a los auditores para verificar el cumplimientoy eficacia de los controles establecidos en laadministración integral de Riesgos de cada proceso,utilizando procedimientos similares a los que seemplean en la etapa de monitoreo de la protecciónexistente y el riesgo residual (Etapa 7, módulo 1).
Módulo 7: Auditoría al Sistema de Administración de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles137
![Page 138: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/138.jpg)
Módulo 7: Auditoría al Sistema de Administración de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles138
![Page 139: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/139.jpg)
Qué Produce? .
Por cada proceso auditado:� Guías para verificar: a) cumplimiento de los controles y b)
normas y procedimientos por áreas organizacionales.� Gráficos y Reportes con los resultados de la evaluación de la
Auditoria en cada una de las áreas organizacionales queintervienen en el proceso.
� Recomendaciones de la Auditoría.� Planeación y ejecución del seguimiento a las
recomendaciones de la auditoría.� Papeles de trabajo electrónicos.� Informe de la Auditoría.
Módulo 7: Auditoría al Sistema de Administración Integral de Riesgos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles139
![Page 140: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/140.jpg)
Beneficios de Utilizar CONTROLRISK
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles140
![Page 141: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/141.jpg)
ControlRisk establece un “Marco de trabajo” (Framework) para la
Administración Integral de Riesgos Empresariales y el diseño de los
controles internos de la organización, alineado con estándares y “Best
Practices” universales de seguridad y control interno:
ControlRisk establece un “Marco de trabajo” (Framework) para la
Administración Integral de Riesgos Empresariales y el diseño de los
controles internos de la organización, alineado con estándares y “Best
Practices” universales de seguridad y control interno:
Beneficios Corporativos
� COSO ERM.
� ISO 31000.
� ISO 27002, ISO 27001.
� ISO 20000.
� ISO 9001.
� COBIT.
� ITIL.
� MECI.
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles141
![Page 142: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/142.jpg)
� Mejora y facilita el ejercicio del Gobierno Corporativo.
� Ayuda a implantar la cultura de Medición de laExposición a riesgos potenciales, de la protecciónexistente y del riesgo residual.
� Automatiza y estandariza el diseño, implementación ydocumentación de controles y procedimientos deadministración de riesgos.
ControlRisk:
Beneficios Corporativos
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles142
![Page 143: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/143.jpg)
� Es una fuente permanente de aprendizaje organizacional sobre prevención de riesgos, controles y seguridad, en todas las áreas de la empresa que intervienen en el manejo de los procesos de negocio y de tecnología de información.
� Incrementa las características de seguridad, calidad yconfiabilidad de los procesos de negocio y de sistemas deinformación.
� Es una fuente permanente de aprendizaje organizacional sobre prevención de riesgos, controles y seguridad, en todas las áreas de la empresa que intervienen en el manejo de los procesos de negocio y de tecnología de información.
� Incrementa las características de seguridad, calidad yconfiabilidad de los procesos de negocio y de sistemas deinformación.
ControlRisk:
Beneficios para Propietarios de los Procesos (las áreas que manejan las
Operaciones)
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles143
![Page 144: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/144.jpg)
ControlRisk:
� Facilita y hace más eficiente el trabajo de la auditoría: Seapoya en los resultados de la implantación de Sistemas deGestión de Riesgos.
� Incrementa la productividad, eficiencia y valor agregado deltrabajo de la auditoría.
� Reduce los costos de la auditoría a procesos y sistemasestudiados con ControlRisk.
ControlRisk:
� Facilita y hace más eficiente el trabajo de la auditoría: Seapoya en los resultados de la implantación de Sistemas deGestión de Riesgos.
� Incrementa la productividad, eficiencia y valor agregado deltrabajo de la auditoría.
� Reduce los costos de la auditoría a procesos y sistemasestudiados con ControlRisk.
Beneficios para el Departamento de Auditoría
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles144
![Page 145: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/145.jpg)
Sector Industrial.• Lafayette.
• Oleoducto Central de Colombia - OCENSA.
• AVESCO (Grupo Kokorico).
Cajas de Compensación Familiar.• Comfenalco Tolima.
• COMFIAR: Caja de Compensación Familiar de Arauca.
• COMFAGUAJIRA: Caja de Compensación Familiar de la Guajira.
• Compensar.
En Colombia.
Usuarios de ControlRisk en Colombia y el Exterior
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 145
![Page 146: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/146.jpg)
Sector Financiero.• Cooperativa de Ahorro y Crédito – Progresa.• Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.• Acciones y Valores – Comisionista de Bolsa.• Cooperativa Financiera CONFIAR.• Banco Popular.• Computec S.A.
Entidades de Sector Público.• Contraloría General de la Republica de Colombia.• Empresa Electrificadora de Santander – ESSA.• Centrales Eléctricas de Nariño.• Comisión Nacional de TV.• Oleoducto Central de Colombia.
En Colombia.
Usuarios de CONTROLRISK en Colombia y el Exterior
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 146
![Page 147: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/147.jpg)
Entidades de Sector Público.• Instituto Colombiano de Bienestar Familiar.• Oleoducto Central de Colombia.
Sector Educativo.• Universidad Central de Bogotá.• Universidad Militar Nueva Granada.• Universidad la Gran Colombia.• Universidad Autónoma de Colombia.• Universidad Pedagógica y Tecnológica de Colombia. • Universidad Santo Tomás - Bucaramanga.• Universidad Católica de Colombia.• Universidad Santo Tomás – Bucaramanga.
En Colombia.
Usuarios de CONTROLRISK en Colombia y el Exterior
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles 147
![Page 148: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/148.jpg)
• Universidad UPEU Perú.• Contraloría General del Perú.• Banco Centroamericano de Integración
Económica - BCIE- Honduras.• Banco Central de la República Dominicana.• Cervecería Costa Rica.• Banco Central del Ecuador.
En el Exterior.
Usuarios de CONTROLRISK en Colombia y el Exterior
148ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
![Page 149: Software de Administración de Riesgos y Diseño de Controles00003vs.dev.radiant.net/Presentacion_CONTROLRISK.pdf · Configuración del Software. Qué es y para que sirve? ... Conducir](https://reader033.fdocument.pub/reader033/viewer/2022042708/5a79de557f8b9afa378d9b96/html5/thumbnails/149.jpg)
Gracias por su atención.
Hasta Pronto !
ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
Para conocer el software ingrese a www.softwareaudisis.com
149