Administración del riesgo estratégico y operativo

Obtenga más información sobre cómo administrar el riesgo estratégico y operativo utilizando diferentes aplicaciones de Diligent One, qué relaciones existen entre las aplicaciones y cómo las aplicaciones admiten las tres líneas de defensa.

Aplicación Estrategia

Estrategia está dirigida a la gestión de los riesgos empresariales (GRE), que proporciona a las organizaciones la visión necesaria para equilibrar los riesgos y las oportunidades con el fin de mejorar el rendimiento del negocio y lograr sus objetivos estratégicos en forma más económica.

Ejemplo de riesgos estratégicos

  • Acceso no autorizado a los datos de información sensible
  • Pérdida de los mejores talentos
  • Ocurrencia de eventos catastróficos

Proyectos

Proyectos (que incluye las aplicaciones Proyectos y Marcos, entre otras) está destinado a la gestión de riesgos operacionales (ORM, por sus siglas en inglés), que proporciona a las organizaciones el aseguramiento necesario de que los controles implementados están diseñados y operan de manera efectiva y de que el riesgo está siendo adecuadamente mitigado.

Ejemplo de riesgos operacionales

  • No hay tecnología disponible para detectar y proteger a la red del uso de herramientas no autorizadas de evaluación de la vulnerabilidad.
  • Las responsabilidades de los empleados en la respuesta a los problemas no están claras ni documentadas.
  • Las instalaciones que almacenan datos confidenciales o información de la empresa no están adecuadamente protegidas.

Conexiones

Los objetivos, también conocidos como objetivos del control, secciones o ciclos en la aplicación Proyectos, están enlazados a riesgos estratégicos en la aplicación Estrategia.

Los siguientes diagramas ilustran esta conexión y muestran la información que se agrega de nuevo al riesgo estratégico:

  • Si enlaza un objetivo del proyecto a un riesgo estratégico, está agregando información de un proyecto individual.
  • Si enlaza un objetivo del marco a un riesgo estratégico, usualmente está agregando información de varios proyectos.

Riesgo estratégico enlazado al objetivo del proyecto

Riesgo estratégico enlazado al objetivo del marco

Flujo de trabajo

El siguiente diagrama ilustra el flujo de trabajo que puede tener lugar entre los equipos de gestión de riesgos que trabajan en Estrategia y los equipos de aseguramiento que trabajan en Proyectos y Marcos.

Los equipos de gestión de riesgos pueden evaluar el riesgo inherente utilizando un conjunto común de criterios de evaluación y trabajar junto con los equipos de aseguramiento para definir e implementar tratamientos para reducir el riesgo y evaluar el riesgo residual. Los resultados de las pruebas se pueden transferir de Proyectos y Marcos a la evaluación estratégica de riesgos en Estrategia para fines de reportes y brindan la posibilidad de ver un tablero de mando de los riesgos y los resultados del proyecto a nivel estratégico.

Ejemplo básico

Definición de tratamientos de riesgo

Escenario

Usted ha identificado el siguiente riesgo estratégico en su organización:

Fracaso de los proveedores externos claves Los terceros proporcionan componentes claves de nuestra infraestructura comercial financiera que incluyen tecnología, productos y servicios. Cualquier cambio en estos terceros o cualquier falla en el manejo de los niveles actuales o más altos de actividad podría afectar negativamente nuestra capacidad de entregar productos y servicios a los clientes e interrumpir nuestro negocio.

También tiene una serie de objetivos de control que se utilizarán para mitigar este riesgo:

  • Selección y adquisición
  • Administración del riesgo, cumplimiento y viabilidad
  • Monitoreo del rendimiento
  • Administración de relaciones
  • Transición y renovación
  • Incorporación exitosa de nuevos clientes
  • Identificar

Proceso

El riesgo estratégico se agrega en Estrategia y se crean los objetivos de control en Proyectos. Luego, usando Estrategia, enlaza los objetivos de control con el riesgo estratégico.

Resultado

Se define una relación entre el riesgo estratégico y los objetivos de control asociados, lo que le permite realizar un seguimiento del aseguramiento y de los resultados de las pruebas, y evaluar el riesgo residual.

Otros componentes y relaciones

El siguiente diagrama ilustra las relaciones entre los diferentes componentes de Estrategia, Resultados, Proyectos, Marcos y Mapas de cumplimiento. Cada conjunto de componentes se alinea con las funciones de un equipo particular o línea de defensa.

Identificación del riesgo estratégico y definición del apetito por el riesgo (Junta de directorio / Auditoría)

Con el uso de Estrategia, la Junta de directorio primero establece un perfil de riesgo e identifica los riesgos estratégicos. La Junta de directorio puede utilizar Estrategia para definir el apetito de riesgo organizacional y alinearlo con la estrategia de su programa de GRE.

Consejo

Si la organización utiliza Resultados, las medidas (KPI o KRI) pueden enlazarse con los riesgos estratégicos para ayudar a informar las evaluaciones del riesgo inherente.

Definición de tratamientos de riesgo y pruebas de controles (Auditoría Interna)

Una vez que se han determinado los riesgos y objetivos estratégicos de la organización, la Auditoría Interna puede utilizar Proyectos y Marcos para desarrollar programas e implementar medidas para mitigar el riesgo.

La Auditoría Interna define los tratamientos, prueba el diseño (a través de revisiones de confiabilidad) y la eficacia operativa (a través de pruebas) de los controles implementados y toma nota de cualquier asunto, cuando corresponda. Cuando los controles aprueban, las calificaciones de aseguramiento en Proyectos, Marcos y Estrategia aumentan. Si se produce un error en una revisión de confiabilidad o en una ronda de pruebas, el control se marca como "falló" y se resta de la calificación del aseguramiento integral.

Se puede configurar un marco para que sirva de repositorio central para administrar controles comunes en varios proyectos y estos controles se pueden importar a los proyectos relevantes para probarlos individualmente. También puede realizar cambios en uno de estos proyectos y sincronizar los cambios con el marco.

Asegurar que se cumplan los requisitos (Equipo de cumplimiento)

Para mostrar la adherencia de la organización a las especificaciones relevantes para el negocio, el equipo de cumplimiento puede crear un mapa de cumplimiento para asignar los controles del marco a los requisitos.

Una vez que los controles del marco se asignan a los requisitos, los resultados de las pruebas y los asuntos de varios proyectos asociados con el marco se agregan al mapa de cumplimiento para que el equipo de cumplimiento pueda:

  • identificar los faltantes
  • priorizar asuntos
  • hacer un seguimiento del avance del cumplimiento

A medida que los controles aprueban las pruebas, aumenta el aseguramiento del cumplimiento. Si se produce un error en una revisión de confiabilidad o en una ronda de pruebas, el control se marca como "falló" y se resta de la calificación del aseguramiento.

Ejemplo avanzado

Administración del riesgo de seguridad

El siguiente diagrama ilustra:

  • un riesgo estratégico definido en Estrategia (Acceso no autorizado a los datos de información sensible)
  • el enlace de la medida con el riesgo estratégico (% de servidores sin parchar por trimestre)
  • el enlace del riesgo estratégico con el objetivo de control en Proyectos (Seguridad)
  • el marco (Marco de controles de seguridad) que se utiliza como un repositorio central para administrar controles comunes entre tres proyectos (Auditoría de infraestructura, Auditoría de acceso de usuario, Auditoría de administración de bases de datos).
  • la asignación entre el control del marco (Utilizar medidas de seguridad y procedimientos de administración relacionados para proteger la información en todos los métodos de conectividad) y un requisito específico en el mapa de cumplimiento (Administrar la seguridad).

Cómo funciona

La Auditoría Interna prueba los controles y anota los asuntos, cuando corresponda.

  • Cuando la Junta de directorio/Auditoría considere el riesgo estratégico en Estrategia, se verá un tablero de mando de los riesgos y resultados del proyecto, incluidos los resultados de las pruebas agregadas y los asuntos derivados de los objetivos de control asociados.
  • Los resultados de las pruebas y los asuntos se han agregado al mapa de cumplimiento, lo que permite a los Gerentes de Cumplimiento certificar a los clientes y a otros terceros interesados que existe un ambiente de control sólido.