Cálculo del aseguramiento del riesgo

Al habilitar el aseguramiento usted agrega los resultados de las pruebas y los asuntos para un proyecto activo o marco asociado con múltiples proyectos. Esto le permite realizar reportes sobre el aseguramiento de un solo proyecto o de todos los proyectos asociados con un marco.

Este tema proporciona ejemplos de aseguramiento para que pueda familiarizarse con los cálculos asociados con el aseguramiento.

Demostrar el aseguramiento para un solo proyecto

Demostrar el aseguramiento para un proyecto único para mostrar la confianza en que el riesgo de la organización está siendo mitigado con eficacia.

Ejemplo

Escenario

Está realizando una revisión de controles generales de sistemas y necesita evaluar cuantitativamente el riesgo. Usted tiene un objetivo en su proyecto (seguridad física) y dos riesgos asociados a ese objetivo. Habilita el aseguramiento en el proyecto y comienza a realizar el trabajo del proyecto.

Calificación de los riesgos

Evalúa el riesgo en dos factores de calificación de riesgo, Impacto y Probabilidad, y usa una escala de 5 puntos para calificar los riesgos:

Objetivo Riesgo Descripción Calificación
Seguridad física Riesgo 1 Entrada no autorizada en una sala de servidores segura.
  • Impacto = 5
  • Probabilidad = 3
Riesgo 2 Las instalaciones que almacenan datos confidenciales o información de la empresa no están adecuadamente protegidas.
  • Impacto = 2
  • Probabilidad = 2
Cálculo de la calificación de riesgo inherente

Basándose en su calificación de riesgo, Proyectos calcula automáticamente la calificación de riesgo inherente de cada riesgo, así como la calificación de riesgo total inherente:

  • Riesgo 1 (5 x 3) = 15,0
  • Riesgo 2 (2 x 2) = 4,0

Calificación de riesgo inherente total (15 + 4) = 19,0.

Definición de controles, riesgos asociados y pesos de los controles

Usted define cuatro controles que ayudan a mitigar los dos riesgos identificados, incluyendo sus riesgos asociados y el porcentaje del riesgo que mitiga el control (peso del control):

Control Descripción Riesgo asociado Peso del control
Control 1 Hay una cerradura en la entrada de la instalación. Riesgo 1 100 %
Control 2 Hay una cámara de seguridad instalada para grabar las actividades sospechosas. Riesgo 1 20 %
Control 3 Todas las entradas a la instalación de los servidores están protegidas por un sistema de acceso de tarjeta llave.
  • Riesgo 1
  • Riesgo 2
  • 80 %
  • 50 %
Control 4 Todas las entradas a las instalaciones están monitoreadas por personal administrativo.
  • Riesgo 1
  • Riesgo 2
  • 50 %
  • 50 %
Pruebas de los controles

En su proyecto, usted no tiene rondas de pruebas sino que tiene una revisión de confiabilidad por control. Usted prueba cada control y documenta los resultados:

Control Pruebas de los resultados ¿Funciona o falla?
Control 1 Funcionando de manera efectiva Funciona
Control 2 Excepción(es) observada(s) Falla
Control 3 Funcionando de manera efectiva Funciona
Control 4 Funcionando de manera efectiva Funciona
Calificación de riesgo residual

Con base en las asociaciones de control de riesgo definidas por usted, los pesos de control especificados y los resultados de las pruebas, Proyectos calcula automáticamente la calificación de riesgo residual para cada riesgo, así como la calificación del riesgo residual total.

La calificación de riesgo residual se calcula multiplicando la calificación de riesgo inherente por el peso del control para los controles asociados que han fallado:

  • Riesgo 1 (15,0 x 0,2) = Calificación de riesgo residual (3,0)
  • Riesgo 2 los controles 3 y 4 están funcionando y mitigan, de manera colectiva, el Riesgo 2 en un 100 %. La calificación de riesgo residual para el riesgo 2 es 0,0.

La calificación de riesgo residual total se calcula sumando todas las calificaciones de riesgo residual:

Calificación de riesgo residual del riesgo 1 (3,0) + Calificación de riesgo residual del riesgo 2 (0,0) = Calificación de riesgo residual total (3,0).

Aseguramiento integral

El aseguramiento integral, que se muestra dentro del proyecto, se calcula de la siguiente manera:

(Calificación de riesgo inherente total (19,0) - Calificación de riesgo residual total (3,0)) / Calificación de riesgo inherente total (19,0) = Aseguramiento integral (84 %).

Demostración del aseguramiento en múltiples proyectos

Demostrar el aseguramiento a través de múltiples proyectos asociados con un marco para mostrar la confianza en que el riesgo de la organización está siendo mitigado con eficacia.

Ejemplo

Escenario

Es necesario administrar centralmente cinco proyectos diferentes y evaluar cuantitativamente el riesgo en los cinco proyectos. En su marco hay un objetivo que contiene dos riesgos.

Marco Objetivo Riesgo
Marco 1 Objetivo 1 Riesgo 1
Riesgo 2

Proceso

Usted importa los riesgos a los proyectos relevantes, activa el aseguramiento tanto en el marco como en el proyecto y realiza pruebas a los controles. Usted anota cualquier asunto, cuando corresponda.

Resultado

Los resultados de las pruebas y los asuntos se agregan automáticamente al marco desde cada proyecto. Los cálculos del aseguramiento se agregan al marco como sigue:

Calificaciones de riesgo a nivel de proyecto
Proyecto Calificación de riesgo inherente Calificación de riesgo residual Riesgo marco asociado
Proyecto 1 9.0 2.0 Riesgo 1
Proyecto 2 6.0 2.0
Proyecto 3 3.0 1.0
Proyecto 3 0,0 0,0 Riesgo 2
Proyecto 4 5.0 1.0
Proyecto 5 5.0 1.0
Calificaciones de riesgo a nivel marco
Riesgo marco Calificación de riesgo inherente Calificación de riesgo residual Proyectos asociados
Riesgo 1 18.0 5.0 1, 2, 3
Riesgo 2 10.0 2.0 3, 4, 5

Aseguramiento del objetivo 1 75 %

(Calificación de riesgo inherente total (28.0) - Calificación de riesgo residual total (7.0)) / Calificación de riesgo inherente total (28.0)

Más ejemplos

Vea escenarios adicionales que ilustren cómo se calcula el aseguramiento del riesgo en un solo proyecto.

Un riesgo cubierto por un solo control

  Riesgo A --> Control A Riesgo A --> Control A Riesgo A --> Control A Riesgo A --> Control A Riesgo A --> Control A
Identificador del riesgo A A A A A
Impacto 2 3 2 3 3
Probabilidad 5 3 5 3 3

Factor de calificación de riesgo personalizado 1 (Velocidad)

Peso: 80 %

 -- -- 5 5 --

Factor de calificación de riesgo personalizado 2 (Vulnerabilidad)

Peso: 50 %

 -- -- -- 5 --
Calificación de riesgo inherente 10 9 40 90 9
Peso del control 85 % 100 % 85 % 100 % 55 %
Identificador del control A A A A A
¿Funciona de manera efectiva? No
Cálculo de la calificación de riesgo residual 10 x (1- 0,85) 0 40 x (1- 0,85) 0 (9 x 0,55) + (9 x 1-0,55)
Explicación
  • No falló ningún control
  • El peso del control combinado para todos los controles es < 1
  • No falló ningún control Y el peso del control de todos los controles es > o = 1
  • El control mitiga el riesgo por debajo del nivel de tolerancia del riesgo
  • No falló ningún control
  • El peso del control combinado para todos los controles es < 1
  • No falló ningún control Y el peso del control de todos los controles es > o = 1
  • El control mitiga el riesgo por debajo del nivel de tolerancia del riesgo
  • El control falló
  • El peso del control combinado para todos los controles es < 1

Un riesgo cubierto por dos controles

  Riesgo A --> Control A, B Riesgo A --> Control A, B
Identificador del riesgo A A
Impacto 3 4
Probabilidad 3 3

Factor de calificación de riesgo personalizado 1 (Velocidad)

Peso: 80 %

 -- --

Factor de calificación de riesgo personalizado 2 (Vulnerabilidad)

Peso: 50 %

 -- --
Calificación de riesgo inherente 9 12
Peso del control
  • 100 % - A - Sí
  • 75 % - B - No

 
  • 25 % - A - No
  • 100 % - B - No
Identificador del control
¿Funciona de manera efectiva?
Cálculo de la calificación de riesgo residual 9 x 0,75 12 x 1
Explicación
  • El control falló
  • El peso del control combinado para todos los controles es > o = 1
  • Fallaron los controles
  • El peso del control combinado es > 1

Un riesgo cubierto por tres controles

  Riesgo A -->
Control A, B, C		 Riesgo A --> Control A, B, C
Identificador del riesgo A A
Impacto 5 5
Probabilidad 3 3

Factor de calificación de riesgo personalizado 1 (Velocidad)

Peso: 80 %

 -- --

Factor de calificación de riesgo personalizado 2 (Vulnerabilidad)

Peso: 50 %

 -- --
Calificación de riesgo inherente 15 15
Peso del control
  • 40 % - A - Sí
  • 45 % - B - No
  • 15 % - C - No
  • 25 % - A - Sí
  • 45 % - B - No
  • 15 % - C - No
Identificador del control
¿Funciona de manera efectiva?
Cálculo de la calificación de riesgo residual 15 x (0,45 + 0,15) 15 x (0,45 + 0,15) + 15 x (1- 0,85)
Explicación
  • Fallaron los controles
  • El riesgo residual se calcula a partir de únicamente el riesgo de pruebas/revisiones de confiabilidad de control que fallaron
  • El peso del control combinado para todos los controles y los controles con fallas es < 1

Cálculos

Conozca los cálculos asociados con el aseguramiento.

Término Cálculos Observaciones
Peso del factor de calificación de riesgo

Valores (1 a 1000 %) que son introducidos por el usuario para expresar la importancia del factor de calificación de riesgo.

Cuanto mayor sea el valor del peso, más importante será el factor de calificación de riesgo para su organización, y más contribuirá el factor de calificación de riesgo a la calificación de riesgo inherente total.

El rango de valores permite la personalización completa de su calificación. Por ejemplo, puede ponderar un factor de calificación de riesgo cinco veces más que otro factor de calificación de riesgo (Vulnerabilidad = 100 %, Velocidad = 500 %). La suma de los pesos del Factor de calificación de riesgo puede ascender a cualquier número.

Nota

No puede modificar el peso de los factores de calificación de riesgo predeterminados (Probabilidad e Impacto), que se establece en el 100 %.
Calificación de riesgo inherente (Riesgo) 
(Impacto x Probabilidad) x (Factor de calificación de riesgo personalizado x Peso)
  
Calificación de riesgo inherente (Objetivo) 
SUM (Calificaciones del riesgo inherente para todos los riesgos en el objetivo)
  
Calificación de riesgo inherente total (Proyecto) 
SUM (Calificaciones del riesgo inherente por objetivo)
  
Calificación de riesgo inherente total (Marco) 
SUM (Calificaciones del riesgo inherente en todos los proyectos que contengan el riesgo)
  
Peso del control

Valores (0 a 100 %) que son introducidos por el usuario para expresar el porcentaje de riesgo que mitiga el control.

La suma de los pesos de los controles puede ascender a cualquier número.
Calificación de riesgo residual (Riesgo) 
SUM (Calificación del riesgo inherente x peso del control <para los controles asociados que no están funcionando de manera eficiente>) + (Calificación del riesgo inherente x (1 - Suma de los Pesos del control <si el Peso del control total es inferior a 100 %))

El control se marca como "fallado" y se utiliza en el cálculo del riesgo residual cuando:

  • alguna revisión de confiabilidad no está diseñada apropiadamente
  • alguna ronda de pruebas no está funcionando eficazmente

El aseguramiento disminuye con los escenarios anteriores.

Proyectos calcula una calificación de riesgo residual por riesgo, no una calificación de riesgo residual por ronda de pruebas.
Calificación de riesgo residual (Objetivo) 
SUM (Calificaciones del riesgo residual para todos los riesgos en el objetivo)
  
Calificación de riesgo residual total (Proyecto) 
SUM (Calificaciones del riesgo residual por objetivo)
  
Calificación de riesgo residual total (Marco) 
SUM (Calificaciones de riesgo residual en todos los proyectos que contienen el riesgo)
  
Aseguramiento integral (Proyecto) 
(Calificación de riesgo inherente total - Calificación de riesgo residual total) / Calificación de riesgo inherente total
Aseguramiento integral (Marco) 
(Calificaciones de riesgo inherente total en todos los proyectos que contengan el riesgo - Calificaciones de riesgo residual total en todos los proyectos que contienen el riesgo) / Calificaciones de riesgo inherente totales