Controles Eficientes para Mitigar Riesgos

PDFImprimirE-mail
Descripción

Gestion - Contr Riesgos

Los Profesionales de Riesgos, Auditoria, Seguridad de la Información y Control Interno sustentan sus evaluaciones sobre diseño y efectividad de los controles claves de las organizaciones en la percepción y el conocimiento de expertos, que son muchas veces desfavorables en la relación costo beneficio de los proyectos o procesos de estas áreas.


Actualmente muchas organizaciones que mantienen áreas especializadas para gestionar los riesgos de negocio, tropiezan con la carencia de metodologías que les permita determinar con objetividad la eficiencia de sus controles lo cual los priva de un criterio equilibrado de cómo el sistema de control interno contribuye a incrementar las probabilidades de que las metas estratégicas, tácticas y operacionales se van a cumplir en los periodos o plazos establecidos por la alta administración.


Cuántas veces vemos que un riesgo dentro de un proceso de negocio se mitiga o gestiona mediante un conjunto de controles, pero no hay un método que permita medir la eficiencia de dichos controles que interactúan entre sí para mitigarlo.

Estándares como COSO III manifiestan la necesidad de identificar y valorar la eficacia del sistema de control interno de las organizaciones, a fin de dar una razonabilidad al gobierno corporativo que la consecución de los objetivos trazados por la alta administración no van ser impactados adversamente por los riesgos que son inherentes el giro de negocio en el que se desarrolla.

- Reducir subjetividad en el concepto que emiten los auditores de las áreas de riesgos, seguridad de información y control interno sobre la efectividad del control.
- Desarrollar una metodología estructurada para valorar el diseño y la efectividad de los controles claves de los riesgos, durante la ejecución de planes de trabajo de Auditorías y entes contralores.
- Optimizar los costos de Auditoría en los procesos de planificación basada en riesgos así como en los procesos de cuantificación de riesgos residuales en los departamentos de riesgos, seguridad de la información y Control interno.

Ante la falta de metodologías, modelos y herramientas estructuradas que permitan evaluar de forma objetiva el diseño y efectividad de los controles ejecutados en los procesos de negocio se pretende:


Establecer un modelo estructurado que permita evaluar de forma integral el diseño y efectividad de los controles claves que mitigan los principales riesgos de negocio.


Para ello, el contenido del curso propone el diseño, estructura e implementación de una metodología que permita: “Identificar los controles claves de los riesgos, valorar la efectividad de su diseño y operación, a partir del relacionamiento de variables cualitativas y cuantitativas previamente definidas.”

- Exposición de los temas, complementándolos con ejemplos y experiencias personales y documentales.
- Desarrollo de ejercicios y simulaciones.
- Participación activa de los asistentes en las sesiones mediante preguntas e intervenciones que enriquezcan la discusión.
- Análisis de casos y dinámicas.

1. Introducción.


- Presentación y justificación del curso.
- Estándares y principios que fundamentan la metodología propuesta: COSO III, COBIT 5.0, ISO 27000, MAGERIT.


2. Identificación de controles.


- Diferenciación entre actividades de control y controles.
- Matrices de atributos de controles.


3. Clasificación de los Controles.


- Tipos de controlontrol y cómo estos influyen en la probabilidad y/o impacto de los riesgos.


4. Conformación de matrices de madurez de los controles.


- Evaluación cualitativa de los controles.


5. Conformación de estrategias de respuesta a los riesgos.


- Metodología para agrupar controles que mitigan a un único riesgo.
- Determinación cuantitativa de la eficiencia de la estrategia de respuesta al riesgo u controles.


6. Proceso de Seguimiento de Planes de respuesta al riesgo.


- Flujo de proceso para un seguimiento efectivo de implementación de controles
- Segregación de funciones en un proceso de seguimiento de implementación de controles.


7. Matrices de Riesgo/Control en la planificación de Auditorias.


- Análisis de procesos mediante matrices térmicas de riesgo.
- Definición de estrategias de pruebas para evaluación de procesos de negocio.

Este curso está diseñado para Auditores y profesionales de las áreas de Seguridad de la Información, Gestión de Riesgos, y/o Control Interno.

Hernán Fernández Morales:


Máster en Auditorías de T.I. con mas de 13 años de experiencia como Auditor Senior de T.I. y Líder de Seguridad y Control de Tecnologías de Información en la Cooperativa Productora de Leche Dos Pinos R.L. desempeñando funciones como:


- Auditor senior de TI, aplicativos, planes de continuidad de operaciones de TI, Administración de cambios, Metodología de proyectos de TI, adquisición de hardware, seguridad lógica de bases de datos Oracle, respaldo y recuperación, gestión de la seguridad de información y seguridad física.

- Líder de seguridad y control de Tecnologías de Información. gestor del proceso de seguridad de información, clasificación de información corporativa, continuidad del negocio, control de accesos, políticas de seguridad de información, administración de proyectos afines

- Gestor de Seguridad (Roles y Perfiles) en proyecto de implementación de sistemas SAP.


También es Asesor de negocios para la implementación de procesos de gobernabilidad de Tecnologías de Información.


Títulos Académicos y Certificaciones:


- Máster en Auditoría de Tecnologías de Información
- Licenciado en Contaduría Pública
- Contador Público Autorizado
- Certified Information Security Manager (CISM).
- Certified Information System Auditor (CISA).


trabaje nosotros suscribase