Facultad de Ciencias Econmicas

Especializacin en Control Interno

Curso - Taller :
Sistemas de Informacin y Comunicaciones
Riesgos y Controles en TICs
Profesor: Ing. Euclides Cubillos M.
MBA, Especialista en Auditoria de Sistemas
Certificaciones CISA, COBIT, Auditor ISO 27001, Auditor
Interno GP1000

Bogot, D. C., Marzo de 2.014

Conceptos sobre Riesgos

Para Recordar

Eventos negativos que podran causar dao a uno o ms

activos de la organizacin.
El diccionario Webster define el riesgo como la posibilidad de dao o
prdida.
En el contexto de los negocios, el riesgo se define como los factores,
eventos, o exposiciones tanto internos como externos, que amenazan el
logro de los objetivos de la organizacin.
El riesgo tambin puede definirse como el valor de las prdidas que
experimenta una organizacin como consecuencia de la ocurrencia de una
ms amenazas contra la seguridad.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda
entorpecer el normal desarrollo de las funciones de la entidad y afectar el
logro de sus objetivos (Gua de Administracin de riesgos del Sector Pblico
Colombiano, DAFP, 2006).

Estndares / Marcos de Referencia

Internacionales de Administracin de Riesgos

Risk Management Guidelines on principles and

implementation of risk management

Basilea.
SOX - Ley Sarbanes Oxley.
AS/NZ 4360 (NTC 5254): Gestin de Riesgos
Pra BCP: ISO 22301 :2012, BS 25999-1: 2006
ISO 27001: Sistema de Gestin de Seguridad de la
Informacin (SGSI).
Modelos de Control Interno COSO, COSO ERM y COBIT

ISO 31000: 2009

ISO 31000
Administracin de Riesgos
Guas sobre Principios e implementacin de
la Administracin de riesgos

Principios para la Administracin de

Riesgos - ISO 31000
1.
2.
3.
4.
5.

Deber crear y proteger valor

Deber ser parte integral de todos los procesos de la organizacin
Deber ser parte de la toma de decisiones
Deber direccionar explcitamente la incertidumbre
La administracin de riesgos deber ser sistemtica, estructurada y
oportuna.
6. Deber basarse en la mejor informacin disponible
7. Deber ser adaptada a la organizacin
8. Deber tener en cuenta los factores humanos y culturales.
9. Deber ser transparente e inclusiva
10. Deber dinamizar el mejoramiento continuo de la organizacin, ser
iterativa y responder al cambio
11. Deber facilitar el mejoramiento continuo de la organizacin.

ISO 31000: Proceso de Administracin del Riesgo

6.3. Establecer el Contexto

6.4. Evaluacin de riesgos

6,2
Comunicacin
y
consulta

6.4.2 Identificacin del riesgo

6.4.3 Anlisis de riesgos

6.4.4 Evaluacin de riesgos
6.5 Tratamiento del riesgo

6,7
Monitoreo
y
revisin

ISO 30001: Relacin entre los principios, marco de

referencia y proceso de la Administracin de Riesgos .
5.2
Mandato y
Compromiso

5.3
Diseo del Marco para
la Administracin del
riesgo

5.6
Mejoramiento
continuo del marco
de referencia

Principios
(Clusula 4)

5.5
Monitoreo y revisin del
marco de referencia

5.4
Implementacin de
la Administracin
de riesgos

Proceso
(Clusula 6)

Diseo de Controles
por Anlisis de Riesgos
Dos Estados de los Riesgos.

Riesgo Potencial (Inherente): Riesgo antes de Controles. Amenazas

(Eventos Negativos) a los que se exponen los procesos y sistemas de la
empresa, de acuerdo con su naturaleza y modo de operacin. En su
evaluacin no se tienen en cuenta los controles establecidos.
Base para establecer los controles requeridos: El objetivo es asegurar
que la empresa est protegida contra los riesgos potenciales crticos que
podran presentarse.

Riesgo Residual: Riesgo despus de Controles. Amenazas (Eventos

Negativos) no protegidos o no cubierto por los controles establecidos.

Objeto de Monitoreo Continuo: El objetivo es verificar peridicamente

que el riesgo residual asumido por las empresas est dentro de niveles
aceptables.

Mapa de Riesgos Inherentes- Estndares

AS/ NZ 4360 (NTC 5254) e ISO 31000

PROBABILIDAD

Casi Cierto

Probable

Posible

Poco probable

Raro

AM

E
E

EE

IMPACTO EN LA ORGANIZACION

Extremo

Alto

Moderado

Bajo

Mapa de Riesgos Inherentes y

Acciones de Respuesta a Riesgos

PROBABILIDAD

Basada en Estndares AS/NZ 4360 e ISO 31000

5: Casi
Cierto

Zona de Riesgo
Alta.
Mitigar,
transferir,
distribuir

Zona de Riesgo
Zona de Riesgo Extremo
Alta.
. Evitar, transferir,
Mitigar, transferir,
mitigar
distribuir

4:
Probable

Zona de Riesgo
Moderada.
Mitigar

Zona de riesgo
Alta.
Prevenir, transferir

Zona de riesgo
Alta.
Prevenir, transferir

3:
Posible

Zona de Riesgo
Baja.
Aceptar, mitigar
el Riesgo

Zona de Riesgo
Moderada.
Mitigar

Zona de riesgo
Alta.
Prevenir, transferir

2: Poco
Probable

Zona de Riesgo Zona de Riesgo Baja.

Baja.
Aceptar, mitigar el
Aceptar el Riesgo
Riesgo

Zona de Riesgo
Moderada.
Mitigar

1: Raro

Zona de Riesgo
Baja. .
Aceptar el Riesgo

Zona de Riesgo
Baja.
.
Aceptar el Riesgo

Zona de Riesgo
Moderada.
Mitigar

1: Insignificante

2: Menor

3: Moderado
IMPACTO

Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar

Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir

Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Zona de riesgo
Extremo.
Alta.
Evitar, Mitigar,
Prevenir, transferir
tranferir
Zona de riesgo
Zona de riesgo
Alta.
Alta.
Prevenir, transferir Prevenir, transferir
4: Severo

5: Catastrfico

Mapa de Riesgos Residuales

Riesgo Inherente

Matriz de Riesgos Residuales, despus de evaluar los

Controles Establecidos - MODELO "AUDISIS"
4: Extremo

Bajo

Moderado.

Alto.

Extremo

Extremo

3: Alto

Bajo

Moderado.

Alto.

Alto.

Alto.

2: Moderado

Bajo

Moderado.

Moderado.

Moderado.

Moderado.

1: Bajo

Bajo

Bajo

Bajo

Bajo

Bajo

1: Apropiada

2: Mejorable

3: Insuficiente

4: Deficiente

5: Muy
Deficiente

Efectividad de los Controles (Proteccin

Existente)

Alternativas de Manejo de los

Riesgos

Diseo / Evaluacin de Control Interno

por Anlisis de Riesgos
Gestin de riesgos:
Es un proceso detallado de identificacin de factores o
eventos que podran daar los activos, evaluar esos eventos
a la luz del valor de los activos y el costo de las
contramedidas, e implementar soluciones apropiadas (costo
efectividad) para mitigar o reducir los riesgos[1].
El objetivo primario de la gestin de riesgos es reducir el
riesgo a un nivel aceptable.
[1] Libro Security Guide. Preparacin para el examen CISSP, capitulo 6.

Diseo / Evaluacin de Control Interno

por Anlisis de Riesgos

Gestin de riesgos:
[1]Actividades coordinadas

para dirigir y controlar

una organizacin con respecto a riesgos. Tpicamente
incluye: identificacin y medicin del riesgo (Risk
Assessment), tratamiento del riesgo, aceptacin del
riesgo y comunicacin del riesgo.
[1] PD3002:2002, Guide to BS7799 Risk Assessment.

Los 7 Elementos del Riesgo

2. Amenazas

4. Agentes
Generadores

Explotan

Que son daados por ?

1. Activos

3. Vulnerabilidades

Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)

5. Exposiciones

Que es mitigado por ?

Que es ?
6. Riesgo

Diseo / Evaluacin de Control Interno

por Anlisis de Riesgos
Modelos de Clases o Categoras de Riesgos
 Para el Sistema de Administracin de Riesgos
Operativos- SARO .
 Para el Sistema de Administracin de Riesgos de
Lavado de Activos y Financiacin del Terrorismo SARLAFT.
 Para MECI (Modelo Estndar de Control Interno para
las Entidades del Estado Colombiano).
 Otros Modelos

Modelos de Clases o Categoras

de Riesgos
Clases de Eventos
de Riesgo Operativo
SARO (CE 041, 2007
SFC)

Clases de Riesgos de
LA / FT - SARLAFT(CE 022 de 2007, SFC)

1. Fraude Interno.
2. Fraude Externo.
3. Fallas en la Atencin a los Clientes.
4. Daos a Activos Fsicos.
5. Fallas en Relaciones Laborales.
6. Fallas Tecnolgicas.
7. Errores en Administracin y
Ejecucin de Procesos.
1. Riesgo Reputacional.
2. Riesgo Legal.
3. Riesgo Operativo.
4. Riesgo de Contagio

Modelos de Clases o Categoras

de Riesgos
Clases de Riesgo Modelo MECI:
1. Estratgico
2. Operativo
3. Financiero.

4. De cumplimiento.
5. De Tecnologa.

Clases de Riesgo Modelo AUDIRISK

1. Hurto / Fraude.
2. Sanciones Legales
3. Prdida de Credibilidad
Pblica
4. Desventaja Competitiva.
5. Costos Excesivos

6. Prdida de Ingresos.
7. Dao / Destruccin de
Activos
8. Decisiones Errneas

Modelos de Clases o Categoras

de Riesgos
Riesgos en el Sector Salud - Res 1740 de
2008 MPS
Administracin de Riesgos de Salud:
1. De concentracin de riesgos y hechos catastrficos.
2 De incrementos inesperados en los ndices de Morbilidad y
de costos de atencin.
3. De cambios permanentes en las condiciones de salud o
cambios tecnolgicos.
4. De Insuficiencia de reservas tcnicas.
5. De comportamiento.

Administracin de Riesgo Operativo

Riesgo Operativo
Riesgo Legal y Regulatorio.
Riesgo Reputacional

Modelos de Clases o Categoras

de Riesgos
Riesgos en el Sector Salud - Res 1740 de 2008
MPS
Administracin de Riesgos Generales del Negocio
1.
2.
3.
4.

Riesgo Estratgico.
Riesgo de Crdito.
Riesgo de Mercado.
Riesgo de Liquidez.

Otros Requerimientos
Planes de continuidad del negocio.
Registro de Eventos de Riesgo Ocurridos

Diseo / Evaluacin de Controles

por Anlisis de Riesgos
Metodologa para Identificar Riesgos Inherentes de un
Proceso o Sistema.
1. Elegir un modelo de Categoras de Riesgo (por ejemplo las cinco
(5) categoras de riesgo MECI, 7 del SARO, 4 del SARLAFT u 8
de AUDIRISK).
2. En sesin de trabajo con representantes o expertos de las reas
organizacionales que intervienen en el proceso.
a) Identificar clases / categoras de riesgo aplicables.
b) Priorizar clases de riesgo aplicables y seleccionar las tres
(3) de mayor impacto potencial para los objetivos de la
Entidad Tcnicas Delphy o Scoring. Aplicar principios de
Pareto y Poder del 3.

Identificar Clases de Riesgos Aplicables

Categorias de Riesgo - MECI

Se pueden presentar
en el Proceso?
SI

1. Riesgo Estratgico: Posibilidad de prdidas asociadas

con la forma en que se administra la Entidad. El manejo del
riesgo estratgico se enfoca en asuntos globales relacionados
con la misin y el cumplimiento de los objetivos estratgicos, la
clara definicin de polticas, el diseo y la conceptualizacin de
la entidad por parte de la alta gerencia.

2.Riesgo Operativo: La posibilidad de prdidas directas o

indirectas como consecuencia de deficiencias en los sistemas
de informacin, en la definicin de procesos, en el recurso
humano, la estructura de organizacin de la entidad o la
desarticulacin entre las dependencias, o de acontecimientos
externos, lo cual conduce a ineficiencias, oportunidades de
corrupcin e incumplimiento de los compromisos
institucionales.
3. Riesgo Financiero. La posibilidad de prdidas asociadas
con el manejo de los recursos y activos de la entidad. Incluye
la ejecucin presupuestal, la elaboracin de estados
financieros, los pagos, el manejo de excedentes de tesorera y
el manejo de los bienes de la entidad. De la eficiencia y
transparencia en el manejo de los recursos, as como su
interaccin con las dems reas depender en gran parte el
xito
o
fracaso
de
toda
entidad.

NO

CALIFICACIN
IMPACTO

Relacin entre Clases de Riesgos y Amenazas

Costo Valor de las Prdidas
Originadas por Eventos
Accidentales o Intencionales
denominados Amenazas

RIESGOS

CLASES DE RIESGOS
Sanciones Legales

CLASES DE
RIESGOS

AMENAZAS
(Eventos que
materializan las
Clases de Riesgos)

Prdida de Ingresos
Costos Excesivos
Prdida de Credibilidad Pblica
Desventaja ante la
Competencia
Dao - Destruccin de
Activos
Decisiones Errneas
Fraude - Robo

Agentes Generadores de Riesgos

Intencionales: Actos malintencionados,

dolosos de las personas-

Accidentales - Errores de las Personas

Accidentales : Desastres Naturales / Actos de

la Naturaleza

Vulnerabilidades.

Unidad Mnima de
Anlisis

A
M
B

* Frecuencia (Probabilidad) de Ocurrencia

*

Impacto ( Estimacin de las Prdidas por

cada ocurrencia)

Los 7 Elementos del Riesgo

2. Amenazas

4. Agentes
Generadores

Explotan

Que son daados por ?

1. Activos

3. Vulnerabilidades

Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)

5. Exposiciones

Que es mitigado por ?

Que es ?
6. Riesgo

Diseo / Evaluacin de Controles

por Anlisis de Riesgos
Metodologa para Identificar los Riesgos Inherentes (Amenazas) de un Proceso o Sistema.
3. Por cada categora de riesgo crtica, identificar las amenazas de
riesgo que podran materializarse.
Por Escenarios o Actividades del Proceso.
Por Dependencias

4. Documentar las amenazas de riesgo identificadas (seis

elementos del riesgo).
AMENAZA: cualquier evento que puede causar dao a uno o mas
activos

Relacin entre Clases de Riesgos y Amenazas

Costo Valor de las Prdidas
Originadas por Eventos
Accidentales o Intencionales
denominados Amenazas

RIESGOS

CLASES DE RIESGOS
Sanciones Legales

CLASES DE
RIESGOS

AMENAZAS
(Eventos que
materializan las
Clases de Riesgos)

Prdida de Ingresos
Costos Excesivos
Prdida de Credibilidad Pblica
Desventaja ante la
Competencia
Dao - Destruccin de
Activos
Decisiones Errneas
Fraude - Robo

Agentes Generadores de Riesgos

Intencionales: Actos malintencionados,

dolosos de las personas-

Accidentales - Errores de las Personas

Accidentales : Desastres Naturales / Actos de

la Naturaleza

Vulnerabilidades.

Unidad Mnima de
Anlisis

A
M
B

* Frecuencia (Probabilidad) de Ocurrencia

*

Impacto ( Estimacin de las Prdidas por

cada ocurrencia)

Los 7 Elementos del Riesgo

2. Amenazas

4. Agentes
Generadores

Explotan

Que son daados por ?

1. Activos

3. Vulnerabilidades

Que protegen ?
Que resultan en ?
7. Salvaguardas
(Controles)

5. Exposiciones

Que es mitigado por ?

Que es ?
6. Riesgo

Identificacin de Amenazas
Pregunta Clave para identificar
Amenazas.
Cules Eventos negativos podran causar dao
al ACTIVO X en el proceso Y?
Ejemplo.
En el proceso de inventarios, cules eventos negativos
podra ocasionar dao a las existencias disponibles en el
almacn o bodega?
1. Robo de Elementos.
2. Prdida de propiedades
obsolescencia

de

los

elementos

por

Identificacin de Amenazas
Pregunta Clave para identificar
Amenazas.
Cules Eventos negativos podran causar dao
al ACTIVO X en el proceso Y?
Ejemplo.
En el proceso de inventarios, cules eventos negativos
podra ocasionar dao a las existencias disponibles en el
almacn o bodega?

3. Alteracin de ordenes de entrada / salida

4. Alteracin de informacin registrada en la base de
datos.
5. Caballos de Troya en el software de la aplicacin de
inventarios.

Identificacin de Amenazas
Amenaza: Evento negativo que pueden causar dao a uno o mas activos
Activo: Todo lo que tiene valor para la EmpresaActivos de TI: Hardware, Aplicaciones, informacin, Capital humano, redes, sistemas
operacionales, Motores de bases de datos, documentacin
Evento

Activos de TI Impactados

Agentes Generadores

Destruccin Intencional

La Base de Datos de personal

Incendio provocado por terceros

Destruccin Accidental

El archivo maestro de cuentas

Incendio provocado por un corto circuito

Divulgacin no autorizada de

El archivo maestro de inventarios

El programador

Modificacin no autorizada de..

El servidor Web

El DBA

Divulgacin no autorizada de

El aplicativo de nmina

El operador

Divulgacin accidental de

El CD que contiene los pagos de nmina

El ing de software
El Jefe de Procesamiento

Identificacin de Amenazas
Amenaza: Eventos que pueden causar dao a uno o mas activos
Agentes Generadores: Cargos de las personas o de los actos de la Naturaleza
Que explotan las vulnerabilidades
Amenazas (evento + activos impactados)

Agentes Generadores

Vulnerabilidades

Destruccin intencional de la Base de

Datos de personal

DBA, el operador de computador

El operador tiene acceso a comandos para

eliminar / borrar la base de datos

Modificacin no autorizada de los sueldos

en la Base de Datos de personal

El analista de sistemas, el operador de

computador, el DBA

El operador tiene acceso a comandos para

modificar /hacer cambios la base de datos

Divulgacin no autorizada de los sueldos

registrados en Base de Datos de personal

El analista de Nmina, el jefe de personal , el

DBA

Faltan polticas sobre confidencialidad de la

informacin

Vulnerabilidades: Carencia o Deficiencias en los controles establecidos, que crean

ambiente propicio para que las amenazas ocurran

Documentacin de Amenazas
Identificar y Documentar Amenazas.












Activo Impactado.
Nombre de la Amenaza.
Descripcin Amenaza
Agentes Generadores de Amenaza (AGAi).
Vulnerabilidades (Debilidades que propician la materializacin
de las Amenazas)
Efectos / Consecuencias.
Escenarios de riesgo donde podra presentarse
Dependencias o terceros donde podra presentarse
Frecuencia Anual de Ocurrencia.
Valor de las Prdidas por Ocurrencia
Prdida Anual Estimada - PAE

Medicin de Riesgos Inherentes

(Potenciales) del proceso o sistema

Diseo /Evaluacin de Controles

por Anlisis de Riesgos
Metodologa para Medir los Riesgos Inherentes de un Proceso
o Sistema.
1.

2.
3.
4.

Estimar (medir) la Probabilidad de Ocurrencia de los eventos, de

acuerdo con la frecuencia anual de ocurrencia estimada o la tendencia
histrica.
Estimar (medir) el Impacto Financiero y operacional de cada
ocurrencia.
Determinar la Zona de Riesgo Inherente asociada con la exposicin a
riesgos de cada amenaza (Semforos de Riesgo Inherente).
Determinar las alternativas de Respuesta a Riesgos (Opciones /
alternativas de manejo de riesgo) por cada amenaza.

Mapa de Riesgo Inherente- Estndares

AS/ NZ 4360 (NTC 5254) e ISO 31000

PROBABILIDAD

Casi Cierto

Probable

Posible

Poco probable

Raro

AM

E
E

EE

IMPACTO EN LA ORGANIZACION

Extremo

Alto

Moderado

Bajo

Mapa de Riesgos Inherentes

y Acciones de Respuesta a Riesgos

PROBABILIDAD

Basada en Estndares AS/NZ 4360 e ISO 31000

5: Casi
Cierto

Zona de Riesgo
Alta.
Mitigar,
transferir,
distribuir

Zona de Riesgo
Zona de Riesgo Extremo
Alta.
. Evitar, transferir,
Mitigar, transferir,
mitigar
distribuir

4:
Probable

Zona de Riesgo
Moderada.
Mitigar

Zona de riesgo
Alta.
Prevenir, transferir

Zona de riesgo
Alta.
Prevenir, transferir

3:
Posible

Zona de Riesgo
Baja.
Aceptar, mitigar
el Riesgo

Zona de Riesgo
Moderada.
Mitigar

Zona de riesgo
Alta.
Prevenir, transferir

2: Poco
Probable

Zona de Riesgo Zona de Riesgo Baja.

Baja.
Aceptar, mitigar el
Aceptar el Riesgo
Riesgo

Zona de Riesgo
Moderada.
Mitigar

1: Raro

Zona de Riesgo
Baja. .
Aceptar el Riesgo

Zona de Riesgo
Baja.
.
Aceptar el Riesgo

Zona de Riesgo
Moderada.
Mitigar

1: Insignificante

2: Menor

3: Moderado
IMPACTO

Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar
Zona de Riesgo
Extremo
.
Evitar, transferir,
mitigar

Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir

Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Extremo.
Evitar, Mitigar,
tranferir
Zona de Riesgo
Zona de riesgo
Extremo.
Alta.
Evitar, Mitigar,
Prevenir, transferir
tranferir
Zona de riesgo
Zona de riesgo
Alta.
Alta.
Prevenir, transferir Prevenir, transferir
4: Severo

5: Catastrfico

Control de Riesgos Inherentes

(Potenciales) del proceso o sistema

Metodologa para Identificar los

Controles Requeridos por Amenaza de
Riesgo
Pasos.
1. Identificar controles que deberan existir por cada amenaza con
Riesgo inherente en semforos rojo, naranja y amarillo .
 Quin?: El facilitador / asesor de Gestin de Riesgos
 Cmo?: Consultar Best Practices de Seguridad y control
interno.
 Elaborar cuestionario de Controles Aplicables, por Amenaza.
Respuestas SI, NO, NA y comentarios.
2. Identificar / Seleccionar Controles Requeridos. Contestar cuestionario
por el Dueo del Proceso.
3. Aplicar los tres (3) criterios, para Medir Proteccin Existente (PE) y
Riesgo Residual (RR) por Amenaza.
4. Disear e Implantar Tratamientos de Riesgo Requeridos
38

Control de los Riesgos

Vulnerabilidades y
Agentes
Generadores
Controles Insuficientes,
Inefectivos, No se cumplen

Control 1

Prevenir

Control 2

Detectar
Corregir

Control 3
Control 4

Amenazas de
Riesgo
Dao / destruccin de activos
Prdida de Credibilidad

Clases de
Riesgos

Prdida de Activos
Fraude
Sanciones Legales

Enfoque de las Tres Barreras o Anillos de Seguridad

para las Amenazas de Riesgo

ORGANIZACIN

INSTALACIONES

A1
A2

AMENAZAS
DE

A2

RIESGO
A3

BARRERA

BARRERA

PREVENTIVA

DETECTIVA

A3

BARRERA
CORRECTIVA

PERSONAS

A3
DATOS

HW - SW

FEEDBACK

FINANCIEROS

El enfoque de los 3 Anillos de

Seguridad

Control de los Riesgos

Los tres (3) Anillos de Seguridad.
Los controles actan sobre las amenazas de riesgo de
tres maneras, interdependientes, que hacen sinergia:


Como control Preventivo. Condicionan los actos de la organizacin

para asegurar que ocurran de manera preestablecida Son
estndares de actuacin.
Como control Detectivo. Para detectar, registrar e informar la
ocurrencia de la amenaza (son alarmas que se disparan cuando se
detecta que est presentndose la amenaza). Refuerzan y validan
el control preventivo. Hacen pareja con el control preventivo
Como control Correctivo. Obligan a tomar accin correctiva para
resolver el problema detectado por los controles detectivos. Hacen
pareja con los controles detectivos.

Diseo / identificacin de los Controles

Requeridos / Que deberan existir
Ejemplo 1.
Amenaza: Retiro de dinero en Cajero Automtico, por una
persona que suplanta al dueo de la cuenta
Preventivo
 Uso de clave y la tarjeta de cajero, como requisito para utilizar el Cajero
Detectivo.
 Autenticar / validar la clave y datos de la tarjeta contra los datos que el sistema
tiene registrados.
 Informar desviaciones detectadas, cuando no coinciden Clave No vlida
Dispara una alarma cuando se detecta una desviacin respecto al debera ser.
 Bloquea la tarjeta / la cuenta
Correctivo.
 Obliga a reemplazar la tarjeta debe cambiarla.
 Se Asigna nuevo password debe obtener un nuevo password.
 En el primer acceso, obliga a cambiar password password de una sola vez.

Diseo / identificacin de los Controles

Requeridos / Que deberan existir
Ejemplo 2.
Amenaza: Ingresar fecha que no corresponde a la lgica de las
operaciones
Preventivos
 La fecha debe tener el formato dd/mm/aaaa
 El da debe se menor o igual que 31; mes menor o igual que 12; ao debe ser el
actual.
Detectivo.
 Validar que la fecha satisfaga los estndares Los controles preventivos
 Informar cuando no coinciden Error Fecha , Fecha No vlida Disparar Alarma
cuando se detecta una desviacin respecto al debera ser.
 Bloquea no deja continuar hasta que la fecha sea vlidal.
Correctivo.
 Debe volver a ingresar la fecha (Obliga); vuelve a validar los estndares y si no
coinciden se emite mensaje, bloquea y exige que se ingrese nuevamente la fecha

Documentacin de los Controles

Seleccionados / Requeridos
Por cada control que acte sobre una amenaza de Riesgo (Formato No
6), se deben documentar los siguientes datos:












Cdigo de Id.
Nombre.
Descripcin.
Tipo (Preventivo, Detectivo o Correctivo).
Clase (A: Automtico No Discrecional; B: Automtico Discrecional;
C: Manual No Discrecional; D: Manual Discrecional).
Agentes de Riesgo que Neutraliza.
Vulnerabilidades que elimina.
Frecuencia de Ejecucin.
Localizacin en el proceso (actividades y reas organizacionales).
Evidencias de su funcionamiento (activacin).
Responsables de ejecutarlo y supervisarlo.

Mapa de Riesgos Residuales

Riesgo Inherente

Matriz de Riesgos Residuales, despus de evaluar los

Controles Establecidos - MODELO "AUDISIS"
4: Extremo

Bajo

Moderado.

Alto.

Extremo

Extremo

3: Alto

Bajo

Moderado.

Alto.

Alto.

Alto.

2: Moderado

Bajo

Moderado.

Moderado.

Moderado.

Moderado.

1: Bajo

Bajo

Bajo

Bajo

Bajo

Bajo

1: Apropiada

2: Mejorable

3: Insuficiente

4: Deficiente

5: Muy
Deficiente

Efectividad de los Controles (Proteccin

Existente)

Evaluacin de la Efectividad / Proteccin

que ofrecen los Controles, por Amenaza
Proteccin existente
(PE) - Mtodo AUDISIS

1: APROPIADA

2: MEJORABLE

4: INSUFICIENTE

4: DEFICIENTE

5: MUY DEFICIENTE

Satisfaccin de los Criterios de

Evaluacin Efectividad

RI - Antes de Controles
RR - Despues
Estandar AS/NZ e ISO 31000 de Controles

Se satisfacen los 3 anillos de control y por lo menos 4:

uno de los otros dos criterios (C/B = Razonable y/o 3:
Calificacin promedio de los controles superior a
2:
3.5 puntos)
1:

Extremo

1: Tolerable

Alto

1: Tolerable

Moderado

1: Tolerable

Bajo (Tolerable)

1: Tolerable

4: Extremo

2: Moderado

3: Alto

2: Moderado

2: Moderado

2: Moderado

1: Bajo (Tolerable)

1: Bajo

nicamente se satisfacen los dos criterios

diferentes de los 3 anillos (C/B = Razonable y/o
Calificacin promedio de los controles superior a
3.5 puntos)

4: Extremo

3: Alto

3: Alto

3: Alto

2: Moderado

2: Moderado

1: Bajo (Tolerable)

1: Tolerable

Se satisface nicamente uno de los dos criterios

diferentes de los 3 anillos (C/B = Razonable y/o
Calificacin promedio de los controles superior a
3.5 puntos)

4: Extremo

4: Extremo

3: Alto

3: Alto

2: Moderado

2: Moderado

1: Bajo (Tolerable)

1: Bajo (Tolerable)

4: Extremo

4: Extremo

3: Alto

3: Alto

2: Moderado

2: Moderado

1: Bajo (Tolerable)

1: Bajo (Tolerable)

Se satisfacen los 3 anillos de control, nicamente

No existen controles

Evaluacin Efectividad de los

Controles Seleccionados
El conjunto de controles que actan sobre cada Amenaza, debern
satisfacer dos de los tres criterios siguientes:
Eficacia: Los controles sirven para reducir el riesgo ?
 Se dispone al menos una vez los tres anillos de control: Preventivo,
Detectivo y Correctivo?.
 Calificacin Promedio nivel de automatizacin (por clase) es
superior a 3.5?
Eficiencia
Relacin C / B. Beneficios mayores que los costos?. : Calificacin:
Razonable (R) o No Razonable (NR)
El costo de los controles por amenaza es mximo el 10% del valor del
riesgo
Efectividad: Eficacia + Eficiencia
48

Grado de Automatizacin /
Discrecionalidad de los Controles
Clases de Controles

Calificacin

Automticos no discrecionales (Clase A). Los 5.0 puntos

controles son automatizados y se aplican sin excepciones a
todo el universo.

Automticos discrecionales (Clase B). Los controles 4.5 puntos

son automticos y aplican solo a una parte del Universo.

Manuales no discrecionales(Clase C). Los controles 4.0 puntos

son manuales y se aplican sin excepciones a todo el universo.

Manuales discrecionales(Clase D). Los controles son 3.5 puntos

manuales y aplican solo a una parte del Universo.

Criterio de Aceptacin:
La calificacin promedio de los controles por clase, por cada amenaza,
deber ser mayor que 3.5

Evaluacin Costo / Beneficio de

los Controles
Eficiencia de los controles por Amenaza:
Segn el costo / beneficio del conjunto de controles que actan
sobre cada amenaza.

Beneficios

Eficiencia

Alto

5: Muy Alta

4: Alta

3:
Moderada

Moderado

4: Alta

3:
Moderada

2: Baja

Bajo

3: Moderada

2: Baja

1: Muy Baja

Bajo

Moderado
Costos

RAZONABLE (R )
NO RAZONABLE (NR)

Alto

Criterio de Aceptacin:
La calificacin promedio de la eficiencia de los controles, por
amenaza, deber ser mayor o igual a 4.0 (Razonable)

cada