Definición de los riesgos y controles
Documente y asegúrese fr que los riesgos operacionales sean mitigados por los controles. Puede definir los riesgos primero y después los controles, o viceversa.
Puede definir riesgos y controles en un flujo de trabajo de Control interno, que se utiliza para tipos más complejos de proyectos donde se definen narraciones, se realizan revisiones de confiabilidad para verificar el diseño del control y se realizan pruebas para verificar la efectividad operativa de los controles.
Si necesita realizar un proyecto de procedimiento simple, puede definir riesgos y procedimientos en un flujo de trabajo del Plan de trabajo.
¿Qué son los riesgos y los controles?
Un riesgo es un efecto de incertidumbre de un objetivo, con el efecto de generar una desviación positiva o negativa de lo que se espera.
Un control es un conjunto de medidas o acciones tomadas para gestionar el riesgo y aumentar la probabilidad de que se logren los objetivos establecidos.
Los términos para "riesgo" o "control" pueden variar, dependiendo de las configuraciones de su organización. Por ejemplo, un riesgo puede llamarse requisito y un control puede llamarse procedimiento.
Antes de comenzar
Antes de poder definir riesgos y controles, debe:
- Crear un proyecto o un marco.
- Definir objetivos.
Dependiendo de la configuración del proyecto o marco de su organización, los objetivos también pueden denominarse secciones, procesos, ciclos, áreas funcionales, sistemas de aplicaciones u otro término personalizado.
Cómo funciona
Cuando se asocia un riesgo con un control, se especifican las medidas o cursos de acción para la forma en que se mitigará el riesgo. La combinación de riesgos identificados y controles correspondientes se denomina Matriz de control de riesgos.
Un riesgo puede estar asociado a muchos controles y un control puede estar asociado a muchos riesgos.
Cada control que defina tiene una revisión de confiabilidad correspondiente que se utiliza para verificar que el control esté correctamente diseñado. Cuando crea o propaga un proyecto, puede optar por tener una, dos o cuatro rondas de pruebas para verificar que el control esté funcionando de manera eficaz.
Definición de relaciones complejas entre controles y pruebas
La Matriz de control de riesgos crea una relación de uno a uno entre cada control y la prueba asociada. Si necesita definir relaciones más complejas entre los controles y las pruebas, tiene dos opciones:
| Relación | Descripción | ¿Cómo puedo lograr esto? |
|---|---|---|
| Uno a muchos |
Una relación entre una prueba y muchos resultados de pruebas |
Aplique la prueba a varios elementos (por ejemplo, sistemas de aplicaciones empresariales) y registre los resultados de las pruebas de todos los elementos en la misma prueba. |
| Muchos a uno |
Una relación entre el resultado de una sola prueba y varias pruebas |
Ejecute y registre el resultado de la prueba en la primera prueba y enlace con el resultado de las pruebas de otras pruebas. Nota
Puede copiar la URL de la barra de dirección del navegador y pegarla en el campo Resultados de las pruebas para el resto de las pruebas a las que se aplican los resultados. |
Limitaciones
Cada objetivo puede contener un máximo de 1000 riesgos y 1000 controles.
Ejemplo
Definición de los riesgos y controles
Escenario
Usted es un gerente financiero que posee un proyecto completo de revisión de controles generales de sistemas. Uno de los faltantes del control identificados está relacionado con la seguridad de la red y es propiedad de sistemas. La Junta de directorio desea saber quién es el propietario de las acciones correctivas.
Proceso
La siguiente tabla ilustra los riesgos y controles que definió como parte de la matriz de control de riesgos de su organización. Para dar seguimiento al faltante de control (Seguridad de la red, NS-002, por sus siglas en inglés), se asigna al miembro del equipo de sistemas apropiado como propietario del control.
| Riesgo | Control(es) asociado(s) |
|---|---|
| NS-A: No hay tecnología disponible para detectar y proteger la red de herramientas no autorizadas de evaluación de la vulnerabilidad. |
|
| NS-B: Se realizan cambios inadecuados o riesgosos en la configuración de los dispositivos de seguridad de la red. |
|
| NS-C: Las vulnerabilidades de la seguridad de la red o del sistema no se detectan porque no hay un proceso de auditoría. |
|
| NS-D: Los sistemas y dispositivos de red utilizan software del sistema desactualizado, potencialmente vulnerable. |
|
| NS-E: Los datos transmitidos desde y hacia la red son interceptados por personas no autorizadas. |
|
Resultado
- El miembro del personal de sistemas recibe una notificación por correo electrónico y puede ayudar con la actualización de la definición del control.
- Usted puede entonces reportar a la junta quién es el dueño de las acciones correctivas de NS-002.
Permisos
Los gerentes profesionales y los usuarios profesionales pueden definir y asociar riesgos y controles.
Definir los riesgos y controles
Notas
- Los términos de la interfaz son personalizables y los campos y fichas son configurables. En su instancia de Diligent One, algunos términos, campos y fichas pueden ser diferentes.
- Si un campo obligatorio queda en blanco, se mostrará una advertencia: Este campo es obligatorio. Algunos campos personalizados pueden tener valores predeterminados.
- Realice una de las siguientes acciones:
- Para definir riesgos y procedimientos en un proyecto:
- Abra un proyecto y haga clic en la ficha Trabajo de campo.
- Para definir riesgos y procedimientos en un marco:
- Abra Marcos.
- Abra un marco y haga clic en la ficha Secciones.
- Para definir riesgos y procedimientos en un proyecto:
- Localice el objetivo adecuado, haga clic en Ir a y seleccione Matriz de control de riesgos.
- Realice una de las siguientes acciones:
- Para definir un riesgo, haga clic en Agregar riesgo, introduzca la información necesaria y haga clic en Guardar.
- Para definir un control, haga clic en Control junto a la etiqueta Ver por, haga clic en Agregar control, ingrese la información necesaria y haga clic en Guardar.
- Para asociar riesgos y controles, haga lo siguiente:
- Asegúrese de haber creado al menos un riesgo y un control.
- Junto al riesgo o control, haga clic en Riesgo asociado o Control asociado, defina las asociaciones apropiadas y haga clic en Guardar.
Campos de riesgo
Los campos de texto enriquecido no pueden superar los 524.288 caracteres.
Consejo
Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:
- Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
- Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
| Campo | Descripción |
|---|---|
|
Título opcional |
un título significativo para el riesgo La longitud máxima es de 255 caracteres. |
| Descripción |
una aseveración acerca del riesgo |
|
Identificador del riesgo opcional |
el número de identificación del riesgo La longitud máxima es de 255 caracteres. |
|
Impacto opcional |
una calificación de las consecuencias de la ocurrencia del riesgo |
|
Probabilidad opcional |
una calificación de la probabilidad de que ocurra el riesgo |
|
Factores de calificación de riesgo personalizados opcional |
especifica los factores de calificación de riesgo personalizados asociados con el riesgo. Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos. Consejo
Puede automatizar las evaluaciones de riesgos para el impacto, la probabilidad y los factores de calificación de riesgo personalizados. Si desea obtener más información, consulte Automatización de las evaluaciones del riesgo operativo. |
|
Atributos del riesgo personalizados opcional |
especifica los atributos asociados con el riesgo. Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos. |
|
Evidencia de apoyo opcional |
le permite enlazar los datos de Resultados a su documentación en Proyectos para consolidar la información, aprobar cuando las acciones correctivas se hayan completado e informar las evaluaciones. Nota
Esta opción solo está disponible si su organización utiliza Resultados. |
|
Control asociado a este riesgo opcional |
le permite asociar un control al riesgo |
|
Cobertura de la entidad opcional |
le permite etiquetar el riesgo a una o más entidades para los fines de reportes Nota
Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un control con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el control. Los cambios se guardan automáticamente. |
| Historial |
Vea un historial completo de los cambios a nivel de campo que se han hecho al riesgo |
Campos de control
Los campos de texto enriquecido no pueden superar los 524.288 caracteres.
Consejo
Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:
- Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
- Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
| Campo | Descripción |
|---|---|
|
Título opcional |
un título significativo para el control La longitud máxima es de 255 caracteres. |
| Descripción |
una aseveración acerca del control |
| Identificador del control |
el número de identificación del control La longitud máxima es de 255 caracteres. Nota
Este número se anexa al final del prefijo del objetivo. |
|
Propietario opcional |
le permite asignar un usuario con licencia o sin licencia como propietario del control para fines de seguimiento y reportes A los usuarios a quienes se les asignó el rol de Probador colaborador o Usuario colaborador se les suele asignar como propietarios de un control. Los Propietarios se pueden asignar según la región, la unidad de negocios o un marco relacionado con el proyecto. Una vez que una persona es asignada como propietario de un control, recibe una notificación por correo electrónico con un enlace al control, que le otorga acceso de escritura al control asignado y acceso de lectura a los objetivos y riesgos. Nota
Si carga controles de forma masiva y especifica una persona en el campo Propietario, su nombre se muestra en Proyectos, pero no se le asignará automáticamente el control ni se le notificará por correo electrónico. |
| Frecuencia |
determina el método de prueba predeterminado y el tamaño de la muestra en la ficha Plan de pruebas. Por ejemplo, el plan de pruebas para un proyecto se puede configurar con una frecuencia especificada (continuo, semanal, mensual, etc.) o según sea necesario. Si desea obtener más información, consulte Ejecución de procedimientos y pruebas de controles. |
| Tipo |
determina el método de prueba predeterminado y el tamaño de la muestra en la ficha Plan de pruebas. Por ejemplo, el plan de pruebas puede incluir Controles manuales, Controles de aplicación/sistema, Controles generales informáticos o Controles manuales dependientes de informática. Si desea obtener más información, consulte Ejecución de procedimientos y pruebas de controles. |
| ¿Prevenir o detectar? | especifica si el control está diseñado para prevenir o detectar el riesgo, o si esto no es aplicable |
|
Método opcional |
especifica cómo se probará o implementará el control |
|
Estado opcional |
especifica el estado actual del control |
|
Atributos del control personalizados opcional |
especifica los atributos asociados con el control Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los controles en Administrar tipos de proyectos. |
|
Afirmaciones relevantes opcional |
le permite etiquetar el control a una o más afirmaciones relevantes |
|
Principios de COSO opcional |
le permite etiquetar el control con uno o más principios de COSO Nota
La aplicación Proyectos admite el marco COSO 2013, que incluye 17 principios de COSO. |
|
Riesgo asociado a este control opcional |
le permite asociar un riesgo al control |
|
Peso del control opcional |
expresa el porcentaje del riesgo que el control mitiga La configuración predeterminada para el peso del control es 100 %. Puede introducir un peso del control entre 0 % y 100 %. La suma de los pesos de los controles puede ascender a cualquier número. Si desea obtener más información, consulte Componentes del aseguramiento. |
|
Cobertura de la entidad opcional |
le permite etiquetar el control a una o más entidades para los fines de reportes Nota
Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un control con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el control. Los cambios se guardan automáticamente. |
| Historial |
Vea un historial completo de los cambios a nivel de campo que se han hecho al control. |
Agregar varios riesgos y controles
Si desea obtener información sobre cómo agregar varios riesgos y controles a la vez, consulte Importación de riesgos de forma masiva y Importación de controles de forma masiva respectivamente.
