Definición de los riesgos y controles

Documente y asegúrese fr que los riesgos operacionales sean mitigados por los controles. Puede definir los riesgos primero y después los controles, o viceversa.

Nota

Puede definir riesgos y controles en un flujo de trabajo de Control interno, que se utiliza para tipos más complejos de proyectos donde se definen narraciones, se realizan revisiones de confiabilidad para verificar el diseño del control y se realizan pruebas para verificar la efectividad operativa de los controles.

Si necesita realizar un proyecto de procedimiento simple, puede definir riesgos y procedimientos en un flujo de trabajo del Plan de trabajo.

¿Qué son los riesgos y los controles?

Un riesgo es un efecto de incertidumbre de un objetivo, con el efecto de generar una desviación positiva o negativa de lo que se espera.

Un control es un conjunto de medidas o acciones tomadas para gestionar el riesgo y aumentar la probabilidad de que se logren los objetivos establecidos.

Los términos para "riesgo" o "control" pueden variar, dependiendo de las configuraciones de su organización. Por ejemplo, un riesgo puede llamarse requisito y un control puede llamarse procedimiento.

Antes de comenzar

Antes de poder definir riesgos y controles, debe:

  1. Crear un proyecto o un marco
  2. Definir objetivos.
Nota

Dependiendo de la configuración del proyecto o marco de su organización, los objetivos también pueden denominarse secciones, procesos, ciclos, áreas funcionales, sistemas de aplicaciones u otro término personalizado.

Cómo funciona

Cuando se asocia un riesgo con un control, se especifican las medidas o cursos de acción para la forma en que se mitigará el riesgo. La combinación de riesgos identificados y controles correspondientes se denomina Matriz de control de riesgos.

Un riesgo puede estar asociado a muchos controles y un control puede estar asociado a muchos riesgos.

Cada control que defina tiene una revisión de confiabilidad correspondiente que se utiliza para verificar que el control esté correctamente diseñado. Cuando crea o propaga un proyecto, puede optar por tener una, dos o cuatro rondas de pruebas para verificar que el control esté funcionando de manera eficaz.

Definición de relaciones complejas entre controles y pruebas

La Matriz de control de riesgos crea una relación de uno a uno entre cada control y la prueba asociada. Si necesita definir relaciones más complejas entre los controles y las pruebas, tiene dos opciones:

Relación Descripción ¿Cómo puedo lograr esto?
Uno a muchos

Una relación entre una prueba y muchos resultados de pruebas

Aplique la prueba a varios elementos (por ejemplo, sistemas de aplicaciones empresariales) y registre los resultados de las pruebas de todos los elementos en la misma prueba.

Muchos a uno

Una relación entre el resultado de una sola prueba y varias pruebas

Ejecute y registre el resultado de la prueba en la primera prueba y enlace con el resultado de las pruebas de otras pruebas.

Nota

Puede copiar la URL de la barra de dirección del navegador y pegarla en el campo Resultados de las pruebas para el resto de las pruebas a las que se aplican los resultados.

Limitaciones

Cada objetivo puede contener un máximo de 1000 riesgos y 1000 controles.

Ejemplo

Definición de los riesgos y controles

Escenario

Usted es un gerente financiero que posee un proyecto completo de revisión de controles generales de sistemas. Uno de los faltantes del control identificados está relacionado con la seguridad de la red y es propiedad de sistemas. La Junta de directorio desea saber quién es el propietario de las acciones correctivas.

Proceso

La siguiente tabla ilustra los riesgos y controles que definió como parte de la matriz de control de riesgos de su organización. Para dar seguimiento al faltante de control (Seguridad de la red, NS-002, por sus siglas en inglés), se asigna al miembro del equipo de sistemas apropiado como propietario del control.

Riesgo Control(es) asociado(s)
NS-A: No hay tecnología disponible para detectar y proteger la red de herramientas no autorizadas de evaluación de la vulnerabilidad.
  • NS-001: La red de producción está diseñada para evitar el tráfico no autenticado o no autorizado desde y hacia sistemas sensibles.
  • NS-002: Hay cortafuegos instalados que están configurados para evitar el tráfico de Internet que no es específicamente requerido o autorizado.
NS-B: Se realizan cambios inadecuados o riesgosos en la configuración de los dispositivos de seguridad de la red.
  • NS-003: Solo el personal de administración de la red adecuado tiene acceso a realizar cambios en la configuración de los dispositivos de firewall de la red.
NS-C: Las vulnerabilidades de la seguridad de la red o del sistema no se detectan porque no hay un proceso de auditoría.
  • NS-004: Se realizan análisis mensuales de vulnerabilidades a las direcciones IP y aplicaciones externas para detectar posibles vulnerabilidades. Cualquier vulnerabilidad identificada es seguida y resuelta oportunamente.
NS-D: Los sistemas y dispositivos de red utilizan software del sistema desactualizado, potencialmente vulnerable.
  • NS-005: Hay un procedimiento documentado que es seguido para comprobar y aplicar parches del software del sistema y actualizaciones a los sistemas del servidor y dispositivos de la red sobre una base mensual.
NS-E: Los datos transmitidos desde y hacia la red son interceptados por personas no autorizadas.
  • NS-006: Las transmisiones de información sensible desde y hacia la red o las aplicaciones que están orientadas al público se ven obligadas a realizarse a través de una conexión debidamente cifrada.

Resultado

  • El miembro del personal de sistemas recibe una notificación por correo electrónico y puede ayudar con la actualización de la definición del control.
  • Usted puede entonces reportar a la junta quién es el dueño de las acciones correctivas de NS-002.

Permisos

Los gerentes profesionales y los usuarios profesionales pueden definir y asociar riesgos y controles.

Definir los riesgos y controles

Notas

  • Los términos de la interfaz son personalizables y los campos y fichas son configurables. En su instancia de Diligent One, algunos términos, campos y fichas pueden ser diferentes.
  • Si un campo obligatorio queda en blanco, se mostrará una advertencia: Este campo es obligatorio. Algunos campos personalizados pueden tener valores predeterminados.
  1. Realice una de las siguientes acciones:
    • Para definir riesgos y procedimientos en un proyecto:
      1. Desde la página de inicio de Launchpad (www.highbond.com), seleccione la aplicación Proyectos para abrirla.

        Si ya se encuentra en Diligent One, puede utilizar el menú de navegación de la izquierda para pasar a la aplicación Proyectos.

      2. Abra un proyecto y haga clic en la ficha Trabajo de campo.
    • Para definir riesgos y procedimientos en un marco:
      1. Abra Marcos.
      2. Abra un marco y haga clic en la ficha Secciones.
  2. Localice el objetivo adecuado, haga clic en Ir a y seleccione Matriz de control de riesgos.
  3. Realice una de las siguientes acciones:
    • Para definir un riesgo, haga clic en Agregar riesgo, introduzca la información necesaria y haga clic en Guardar.
    • Para definir un control, haga clic en Control junto a la etiqueta Ver por, haga clic en Agregar control, ingrese la información necesaria y haga clic en Guardar.
  4. Para asociar riesgos y controles, haga lo siguiente:
    1. Asegúrese de haber creado al menos un riesgo y un control.
    2. Junto al riesgo o control, haga clic en Riesgo asociado o Control asociado, defina las asociaciones apropiadas y haga clic en Guardar.

Campos de riesgo

Nota

Los campos de texto enriquecido no pueden superar los 524.288 caracteres.

Consejo

Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:

  • Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
  • Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
Campo Descripción

Título

opcional

un título significativo para el riesgo

La longitud máxima es de 255 caracteres.

Descripción

una aseveración acerca del riesgo

Identificador del riesgo

opcional

el número de identificación del riesgo

La longitud máxima es de 255 caracteres.

Impacto

opcional

una calificación de las consecuencias de la ocurrencia del riesgo

Probabilidad

opcional

una calificación de la probabilidad de que ocurra el riesgo

Factores de calificación de riesgo personalizados

opcional

especifica los factores de calificación de riesgo personalizados asociados con el riesgo.

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos.

Consejo

Puede automatizar las evaluaciones de riesgos para el impacto, la probabilidad y los factores de calificación de riesgo personalizados. Si desea obtener más información, consulte Automatización de las evaluaciones del riesgo operativo.

Atributos del riesgo personalizados

opcional

especifica los atributos asociados con el riesgo.

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos.

Evidencia de apoyo

opcional

le permite enlazar los datos de Resultados a su documentación en Proyectos para consolidar la información, aprobar cuando las acciones correctivas se hayan completado e informar las evaluaciones.

Nota

Esta opción solo está disponible si su organización utiliza Resultados.

Control asociado a este riesgo

opcional

le permite asociar un control al riesgo

Cobertura de la entidad

opcional

le permite etiquetar el riesgo a una o más entidades para los fines de reportes

Nota

Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un control con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el control. Los cambios se guardan automáticamente.

Historial

Vea un historial completo de los cambios a nivel de campo que se han hecho al riesgo

Campos de control

Nota

Los campos de texto enriquecido no pueden superar los 524.288 caracteres.

Consejo

Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:

  • Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
  • Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
Campo Descripción

Título

opcional

un título significativo para el control

La longitud máxima es de 255 caracteres.

Descripción

una aseveración acerca del control

Identificador del control

el número de identificación del control

La longitud máxima es de 255 caracteres.

Nota

Este número se anexa al final del prefijo del objetivo.

Propietario

opcional

le permite asignar un usuario con licencia o sin licencia como propietario del control para fines de seguimiento y reportes

A los usuarios a quienes se les asignó el rol de Probador colaborador o Usuario colaborador se les suele asignar como propietarios de un control.

Los Propietarios se pueden asignar según la región, la unidad de negocios o un marco relacionado con el proyecto. Una vez que una persona es asignada como propietario de un control, recibe una notificación por correo electrónico con un enlace al control, que le otorga acceso de escritura al control asignado y acceso de lectura a los objetivos y riesgos.

Nota

Si carga controles de forma masiva y especifica una persona en el campo Propietario, su nombre se muestra en Proyectos, pero no se le asignará automáticamente el control ni se le notificará por correo electrónico.

Frecuencia

determina el método de prueba predeterminado y el tamaño de la muestra en la ficha Plan de pruebas.

Por ejemplo, el plan de pruebas para un proyecto se puede configurar con una frecuencia especificada (continuo, semanal, mensual, etc.) o según sea necesario.

Si desea obtener más información, consulte Ejecución de procedimientos y pruebas de controles.

Tipo

determina el método de prueba predeterminado y el tamaño de la muestra en la ficha Plan de pruebas.

Por ejemplo, el plan de pruebas puede incluir Controles manuales, Controles de aplicación/sistema, Controles generales informáticos o Controles manuales dependientes de informática.

Si desea obtener más información, consulte Ejecución de procedimientos y pruebas de controles.

¿Prevenir o detectar? especifica si el control está diseñado para prevenir o detectar el riesgo, o si esto no es aplicable

Método

opcional

especifica cómo se probará o implementará el control

Estado

opcional

especifica el estado actual del control

Atributos del control personalizados

opcional

especifica los atributos asociados con el control

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los controles en Administrar tipos de proyectos.

Afirmaciones relevantes

opcional

le permite etiquetar el control a una o más afirmaciones relevantes

Principios de COSO

opcional

le permite etiquetar el control con uno o más principios de COSO

Nota

La aplicación Proyectos admite el marco COSO 2013, que incluye 17 principios de COSO.

Riesgo asociado a este control

opcional

le permite asociar un riesgo al control

Peso del control

opcional

expresa el porcentaje del riesgo que el control mitiga

La configuración predeterminada para el peso del control es 100 %. Puede introducir un peso del control entre 0 % y 100 %. La suma de los pesos de los controles puede ascender a cualquier número.

Si desea obtener más información, consulte Componentes del aseguramiento.

Cobertura de la entidad

opcional

le permite etiquetar el control a una o más entidades para los fines de reportes

Nota

Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un control con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el control. Los cambios se guardan automáticamente.

Historial

Vea un historial completo de los cambios a nivel de campo que se han hecho al control.

Agregar varios riesgos y controles

Si desea obtener información sobre cómo agregar varios riesgos y controles a la vez, consulte Importación de riesgos de forma masiva y Importación de controles de forma masiva respectivamente.