REGISTRO
DE RIESGOS Y CONTROLES
PAWS incluye un comprehensivo y flexible Registro
de Riesgos y Controles que ayuda a los usuarios a
cumplir con una amplia variedad marcos regulatorios
como la ley Sarbanes-Oxley, COSO y Turnbull. Las características
clave son:
 |
Metodología
flexible de puntuación de riesgos y controles. |
|
Ilimitada cantidad de
riesgos por objetivo y controles por riesgo. |
|
Librería de Riesgos y
Controles personalizable. |
|
Enfoque integrado - evaluación
de riesgos, controles, pruebas y acciones
dentro de una única e intuitiva interfaz. |
|
Historia de evaluaciones
para hacer seguimiento en el tiempo. |
|
Autoevaluaciones, incluyendo
comparaciones con evaluaciones centralizadas
(p.e. Auditoria Interna). |
|
Opcionalmente evaluaciones
de impacto separadas a nivel de 'entidades
locales' y 'grupos'. |
|
Evaluaciones continuas
a nivel de entidad. |
|
Fácil monitoreo de cambios
desde la última revisión/aprobación. |
|
Amplias facilidades de
análisis gráfico y características de interrogación. |
Ejemplo de pantalla del modulo de Registro de Riesgos
y Controles
La relación entre registros en la base de datos subyacente
puede representarse con la siguiente figura:
Los Objetivos de Riesgo (también llamados a veces
'objetivos de negocio' o simplemente 'objectivos')
proveen una agrupación lógica de los riesgos en el
Registro de Riesgos y Controles. Los objetivos de
riesgo pueden categorizarse de varias formas tales
como 'Categorías COSO' u otra personalizada. Cada
objetivo de riesgo puede estar asociado a muchos riesgos.
Los riesgos son evaluados en términos de probabilidad
de que ocurran y de impacto en caso de que esto suceda.
Una evaluación se hace tanto antes como después de
tomar en cuenta el efecto mitigante de algún control.
Los riesgos pueden ser categorizados de variadas formas
y cada riesgo puede estar asociado a muchos controles.
Los controles son evaluados en términos de su efectividad
para reducir la probabilidad y/o el impacto del riesgo
con el cual está relacionado. Los controles pueden
ser categorizados de varias formas tales como 'Categoría
COSO', 'Clave / Secundario', 'Preventivo/Posterior',
etc.
Las pruebas pueden ser registradas tanto en relación
a riesgos como a controles y usadas para documentar
el trabajo realizado en la evaluación de riesgos y/o
confirmación de la adecuada operación de controles
de mitigación. Las pruebas también pueden planificarse
y desarrollarse mediante el modulo de Pruebas de Auditoria
(en este caso solo aplicarán a nivel de auditoria).
Nota: Las pruebas pueden opcionalmente adjuntarse
a un riesgo o control pero deben adjuntarse a un área.
Las acciones pueden registrarse a cualquier nivel
del Registro de Riesgos y Controles, p.e. en relación
a Objetivos de Riesgo, Riesgos, Controles y Pruebas.
Las acciones pueden ser subsecuentemente monitoreadas
hasta su termino mediante el modulo Seguimiento de
Acciones (esto aplica solo a nivel de auditoria).
Mantenga un Registro de Riesgos y Controles y, opcionalmente,
extraiga parte o todo el registro para cada auditoria
para una evaluación prueba detallada. Al final de
la auditoria, opcionalmente puede actualizar su evaluación
en el registro de la entidad asociada.
El Registro de Riesgos y Controles considera tres
modos distintos:
Modo Ingreso - La vista principal
para ingreso de datos, con una lista jerárquica mostrando
una línea por objetivo de riesgo, riesgo, control
prueba y acción.
Modo Hoja de trabajo - Una vista
alternativa que despliega en forma de una cuadricula
personalizable con los registros asociados visibles
a un lado.
Modo Comparación - Un número de vistas
para ayudar cuando se compare la evaluación de riesgo
centralizada ('AI') vs. Autoevaluación ('AE').
Con esos modos, el despliegue actual el despliegue
actual puede alternarse entre evaluaciones de impacto
según 'AI' o Autoevaluación, y 'Agrupada', 'Local'
o 'Ambas'. Opcionalmente marque el Registro de Riesgos
y Controles como 'Revisado' y 'Aprobado' y haga seguimiento
de los cambios desde la última revisión/aprobación.
Metodología de puntuación
PAWS provee mucha flexibilidad en la metodología de
puntuación que puede aplicar para dirigir su Registro
de Riesgos y Controles. Las opciones incluyen:
|
Matriz de puntuación de más de
10 x 10 dimensiones. |
|
Puede restringir en ingreso en cada eje (p.e.
definir una matriz rectangular de 4 x 6). |
|
Seleccionar una multiplicación, suma, ponderación
u otro método personalizado. |
|
Más de 5 colores de categorización para construir
un "mapa de calor". |
|
Total flexibilidad en los colores de las celdas. |
|
Puede asociarse 'alias' a todos los colores
(p.e. 10 = 'Muy alto', etc.). |
|
Reglas separadas para riesgos y controles. |
|
Activación de Autoevaluación on/off. |
|
Activación de Evaluación de Impacto Local
on/off. |
|
Umbrales de sobre y subcontrol personalizables. |
Defina su metodología de puntuación mediante el modulo
"Configuración de Riesgos y Controles" (Columna
Administración del Sistema).
Librería de Riesgos y Controles
PAWS provee un modulo de Librería de Riesgos y Controles
como un archive en el que puede mantener estándares
de objetivos de riesgo, riesgos y controles. Esta
librería trabaja a diferentes niveles tales como:
Registros de tipo 'Obligatorio' que son auto-poblados
en las entidades basado en criterios de coincidencia
de tipo de entidad. Estos no pueden ser editados en
cada entidad - solo puede hacerse mediante evaluación
- y cualquier cambio subsecuente a un registro obligatorio
en la librería puede opcionalmente forzarse en cada
entidad en que sea aplicable.
Registros de tipo 'Por Defecto' que son auto-poblados
en cada entidad basado en criterios de coincidencia
de tipo de entidad solo en el momento en que la entidad
es creada. Después, el usuario puede editar los registros
en cada entidad y cualquier cambio posterior en la
versión guardada en la librería será ignorado en las
entidades existentes.
Los Riesgos y Controles que no sean auto-poblados
pueden ser agregados a las entidades o auditorias
en cualquier momento mediante la función 'Aplicar
Riesgos y Controles'.
Las Pruebas en la Librería de Pruebas pueden asociarse
a los Riesgos y Controles en la Librería de Riesgos
y Controles. En el caso de que la relación exista,
el usuario puede seleccionar 'Incluir pruebas asociadas'
en la función 'Aplicar Riesgos y Controles' para incluir
las pruebas relacionadas en la Auditoria.
Análisis de Riesgos y Controles
Use el modulo de Análisis de Riesgos y Controles (Columna
Universo) para examinar riesgos y controles a través
de todo el Universo de Entidades. Hay cuatro miradas
preliminares en este módulo:
Análisis
de Matriz de Riesgo
Riesgos
por evaluación de color
Puntuaciones
totales por fecha
Controles
por evaluación
En cada vista, dos flexibles navegadores y un amplio
rango de opciones de selección le ayudarán a interrogar
los datos virtualmente de cualquier forma profundizando
en las áreas de mayor interés.
La vista 'Matriz de Análisis de Riesgos' grafica el
numero de riesgos con puntuación en cada celda de
la matriz de riesgo. Por ejemplo:
La vista 'Riesgos por puntuación de colores' despliega
un análisis de riesgos y controles por entidad basado
en el numero total de riesgos incluidos en cada banda
de color. Por ejemplo:
La vista 'Puntuación total por fecha' grafíca la puntuación
para un período de tiempo seleccionado, por ejemplo,
tomando en cuenta la historia de evaluación de riesgos.
La vista 'Controles por puntuación' despliega un análisis
de entidades basado en la cantidad de controles que
se incluyen en cada banda de color.
