GLOSARIO DE DEFINICIONES
Con el propósito de establecer un marco
conceptual de referencia común en este documento, se utilizan
las siguientes definiciones para algunos términos empleados:
Acción de Mitigación de Riesgos.
Se refiere a los controles o contramedidas específicas de
tratamiento del riesgo que serán implantadas para las amenazas
calificadas con protección diferente a Apropiada.
Acciones de Mejoramiento.
Acciones de Tratamiento.
Acuerdos de Niveles de Servicio (ANS) Service Level Agreement (SLA).
Agentes Generadores de Riesgo.
Alternativas de Tratamiento de Riesgos.
Una vez que se ha completado el análisis de riesgos, la gerencia
debe direccionar una respuesta para cada amenaza o causa de
riesgo con calificación de protección diferente a
Apropiada (es decir para amenazas calificadas como mejorable,
insuficiente, deficiente o muy deficiente.)..
Amenaza de Riesgo. Es la unidad mínima de información para conducir un proceso de análisis de Riesgos. es una posible fuente de daño para un sistema o
proceso de negocio. Un agente de amenaza (o agente causal de amenazas),
es una persona o fenómeno que puede hacer que ocurra la amenaza. Esos
agentes pueden ser naturales o humanos.
Amenaza de Riesgo. Se refiere a
los medios, circunstancias y agentes que pueden generar una
categoría o clase de riesgo. Una amenaza puede generar
más de una categoría de riesgo.
Ejemplo 1: Algunas amenazas de riesgo para la categoría de riesgo Hurto y Fraude son:
- asignar privilegios de acceso ilimitados a usuarios que no los necesitan;
- suplantación electrónica de usuarios;
- alteración de documentos.
Ejemplo 2: La amenaza de riesgo “Asignar privilegios de acceso
ilimitados a personas que no los necesitan” puede generar
el riesgo “Daño y destrucción de activos
informáticos”.
Análisis de Riesgo. en
su forma más simple, es el postulado de que el riesgo resulta de
relacionar la amenaza y la vulnerabilidad de los elementos expuestos,
con el fin de determinar los posibles efectos y consecuencias sociales,
económicas y ambientales asociadas a uno o varios
fenómenos peligrosos en un territorio y con referencia a grupos
o unidades sociales y económicas particulares. Cambios en uno o
más de estos parámetros modifican el riesgo en sí
mismo, es decir, el total de pérdidas esperadas y las
consecuencias en un área determinada. Análisis de
amenazas y de vulnerabilidades componen facetas del análisis de
riesgo y deben estar articulados con este propósito y no
comprender actividades separadas e independientes. Un análisis
de vulnerabilidad es imposible sin un análisis de amenazas, y
viceversa
Amenazas de Riesgo Críticas. Se refiere a las amenazas de riesgo con puntajes localizados en semáforos amarillo y rojo.
Aplicación de computador.
Según ISACA, "es un grupo integrado de programas de computador
diseñados para realizar una función particular que tiene
actividades de entrada de datos, procesamiento y salida de
información". Para fines de esta propuesta, la Auditoría
de los aplicativos del MBS, cubrirá los procesos manuales
y automatizados del mismo. Esto significa que revisará el
funcionamiento del software aplicativo y de las actividades
manuales y mecanizadas asociados con el manejo de la
información comercial.
Areas Organizacionales.
Auditoría a la Infraestructura de Tecnología de Información (TI).
Comprende la revisión de las actividades administrativas y
técnicas de sistemas de información que soportan el
funcionamiento de las aplicaciones de computador o sistemas ERPs
utilizados por la empresa, en el día a
día, para el desarrollo de sus operaciones de
negocios y servicios automatizados. Esta auditoría
evalúa y comprueba el funcionamiento de factores claves de
éxito para lograr eficiencia, efectividad, seguridad
y confiabilidad en el ciclo administrativo o "ruta de calidad" de la
informática, a través de políticas,
estándares y procedimientos de seguridad en los procesos
de: a) planeación estratégica de sistemas, b)
organización del departamento de sistemas, c)
adquisición y/o desarrollo de recursos de Tecnología de
Información (TI), d) prestación de los servicios
informáticos, e) el soporte técnico, f) la
protección de activos informáticos y g), el
monitoreo continuo de las actividades y procesos de
tecnología de información de la empresa. Este tipo de
auditoría también se conoce como "Auditoría de
Controles Generales de Sistemas de Información".
Auditoría a las Aplicaciones de Computador o Módulos Componentes de Sistemas ERPs
(Enterprise Resourcing Planning) en estado de producción o
funcionamiento. Comprende la evaluación y prueba de
controles y seguridades utilizadas en el ciclo de procesamiento de los
datos de cada aplicación, desde la generación de
los datos en las fuentes de la información hasta que se
reciben y utilizan los resultados del procesamiento por los usuarios
internos y externos de los sistemas. También comprende la
revisión de actividades relacionadas con la segregación
electrónica de funciones (permisos de acceso), la
seguridad de la información (integridad, confidencialidad y
disponibilidad), mantenimiento y documentación de la
aplicación, la calidad de la información y la
satisfacción de los usuarios de los niveles estratégico,
táctico y operativo.
Auditoría a los Proyectos de Desarrollo
y/o Adquisición de Aplicaciones de Computador o Sistemas
ERPs (Enterprise Resourcing Planning). Comprende la
revisión de las etapas del Ciclo de Vida del Desarrollo de los
Sistemas y la participación de los auditores en las actividades
de definición, diseño, documentación,
implementación e implantación de los controles y
seguridades necesarias en los nuevos sistemas.
Auditoría de Sistemas de Información.
Según la Asociación Internacional de Control y
Auditoría de Sistemas de Información, ISACA
(Information Systems Audit and Control Association Inc.), la
Auditoría de Sistemas de Información se define
así: “Toda auditoría que comprenda la
revisión y evaluación de todos los aspectos (ó
cualquier porción) de los sistemas automatizados de
procesamiento de información, incluyendo los procesos no
automatizados relacionados y las interfaces entre ellos.”
Beneficio de los Controles.
Biometria.
BSC.
Cadena de Valor.
Caracterizacion. Conjunto de datos que reflejan las características de un proceso o sistema, que lo diferencian de cualquier otro.
Categoría o Clases de Riesgo.
Se refiere al grupo de amenazas o causas de riesgos que pueden
agruparse bajo una denominación común. Ejemplos de
categorías de riesgo son: Pérdidas por Sanciones Legales,
Pérdidas por Hurto y Fraude; pérdidas por
Daño o destrucción de activos; pérdidas por baja
credibilidad pública. Enunciar Categorias pra cada modelos MECI SARO SARLAFT
Ciclo PHVC (Planear,
Hacer, Verificar y Corregir) o ruta de calidad del proceso. Este define
las bases del aseguramiento de calidad del proceso. Se tiene en
cuenta como referente en la elaboración de matrices o mapas de
riesgo.
Clase de Control: Un
control No discrecional es el que no permite excepciones, es decir, se
aplica para todo el universo sujeto a control. El control
discrecional permite excepciones, es decir, se aplica solo para
una parte del universo sujeto a control. Los controles también
pueden ser Automatizados y No Automatizados. Los automatizados tienen
mayor confiabilidad que los no automatizados.
Confidencialidad de la Informacion.
Control.es
“la acción que se ejerce sobre una amenaza o
causa de riesgo con el fin de prevenir o detectar y corregir su
ocurrencia. También se define como la acción destinada
a reducir la probabilidad de ocurrencia de una causa de riesgo o
el impacto financiero y operacional que esta pueda
originar”. El modelo COBIT (Control Objectives for
Information and Related Technology, ISACA, 1.998), define el
control así: “Las políticas, procedimientos,
prácticas y estructuras organizacionales diseñadas para
proporcionar razonable confianza de que los objetivos de los
negocios serán alcanzados y que los eventos indeseables
serán prevenidos ó detectados y corregidos”
Control Interno. El
estándar COSO REPORT define el Control Interno así:
“Un proceso efectuado por la Junta de Directores, administradores
y otro personal, diseñado para proveer una confianza razonable
de la consecución de los objetivos en las siguientes
categorías:
1. Efectividad y eficiencia de las operaciones.
2. La confiabilidad de los reportes financieros.
3. El cumplimiento con las leyes y regulaciones aplicables.”
Costo de los controles.
Criterios para evaluar la Protección Existente.
Se refiere a las condiciones requisitos utilizados para calificar
el nivel de protección ofrecida por un grupo de controles que
actúan sobre una amenaza o causa de riesgo, sobre un
escenario de riesgo, sobre un objetivos de control, sobre un
escenario de riesgo o sobre un proceso.
Criticidad.
Cubo de Riesgos.
Control Interno en Tecnología de Información.
COBIT adaptó de COSO su definición de control,
así: “Las políticas, procedimientos,
prácticas y estructuras organizacionales que son
diseñadas para proveer razonable confianza en que los objetivos
de negocios serán alcanzados y que los eventos indeseados
serán prevenidos ó detectados y corregidos”.
Delphy.
Disponibilidad de la Informacion.
Efectividad de los Controles.
EFECTOS O IMPACTOS (ECONÓMICOS Y SOCIALES) DIRECTOS: aquellos
que mantienen relación de causalidad directa e inmediata con la
ocurrencia de un fenómeno físico, representados
usualmente por el impacto en las infraestructuras, sistemas
productivos, bienes y acervos, servicios y ambiente, o por el impacto
inmediato en las actividades sociales y económicas (ver IMPACTOS
HUMANOS DIRECTOS E INDIRECTOS).
EFECTOS O IMPACTOS (ECONÓMICOS Y SOCIALES) INDIRECTOS:
aquellos que mantienen relación de causalidad con los efectos
directos, representados usualmente por impactos concatenados sobre las
actividades económicas y sociales o sobre el ambiente.
Normalmente los impactos indirectos cuantificados son los que tienen
efectos adversos en términos sociales y económicos, por
ejemplo, pérdidas de oportunidades productivas, de ingresos
futuros, aumentos en los niveles de pobreza, aumentos en costos de
transporte debido a la pérdida de caminos y puentes, etc. Sin
embargo, también habrá casos de impactos positivos desde
la perspectiva de individuos y empresas privadas quienes pueden
beneficiarse de los impactos negativos de otros.
Eficiencia de los Controles.
Escenario de Riesgo. Se refiere a los subprocesos o partes en los que se divide un todo
(proceso o sistema) para ser analizado con fines de diseño de
controles o evaluación.un
análisis presentado en forma escrita, cartográfica o
diagramada, utilizando técnicas cuantitativas y cualitativas, y
basado en métodos participativos, de las dimensiones del riesgo
que afecta a territorios y grupos sociales determinados. Significa una
consideración pormenorizada de las amenazas y vulnerabilidades,
y como metodología ofrece una base para la toma de decisiones
sobre la intervención en reducción, previsión y
control de riesgo. En su acepción más reciente, implica
también un paralelo entendimiento de los procesos sociales
causales del riesgo y de los actores sociales que contribuyen a las
condiciones de riesgo existentes. Con esto se supera la simple
estimación de diferentes escenarios de consecuencias o efectos
potenciales en un área geográfica que tipifica la
noción más tradicional de escenarios en que los efectos o
impactos económicos se registran sinnoción de causalidades.
Estandar AS///NZ 4360.
Estándares de Seguridad.
Estudio de Gestión de Riesgos (EGR).
Evaluación de Amenazas de Riesgo.
Se refiere al proceso de evaluar la importancia de las causas de riesgo
dentro de una categoría de riesgo específica,
según su probabilidad de ocurrencia y su impacto en caso de
ocurrir. Ejemplo: La evaluación de las amenazas o causas
de la categoría de riesgo Fraude generan los siguientes
resultados.
Evento. Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.
Eventos de pérdida. Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.
Exactitud de la Informacion.
Exposición a Riesgos.
Exposición. El potencial
de pérdida para un área a causa de la ocurrencia de un
evento adverso. La inhabilidad para procesar las aplicaciones
computarizadas durante un periodo de tiempo es una exposición
que podría resultar del incendio del centro de datos. La
exposición puede reducirse mediante la implementación de
controles apropiadamente diseñados. Por ejemplo, una alarma de
incendio no puede prevenir el fuego, pero se establece para reducir los
daños del incendio.
Factor de Exposicion.
Factores de Riesgo. Las amenazas pueden ser accidentales o
deliberadas. Una amenaza deliberada o intencional es cualquier evento,
acción u omisión dirigida a un sistema específico o elemento del
sistema por un agente de amenaza humano o proceso de computador
actuando en su beneficio. Por ejemplo: daño malicioso, infidelidad de
los empleados, ataques físicos, virus de computador, hacking". Los
agentes de amenaza naturales incluyen, desastres naturales, terremotos, inundaciones, escasez o
insuficiencia de servicios esenciales y malfuncionamiento de equipos o redes.
Los agentes de amenazas humanos incluyen el staff permanente, staff
temporal, contratistas y terceros. Se
entiende por factores de riesgo, las fuentes generadoras de eventos en
las que se originan las pérdidas por riesgo operativo. Son
factores de riesgo el recurso humano, los procesos, la
tecnología, la infraestructura y los acontecimientos externos.
Falsos Negativos.
Falsos positivos.
Frecuencia de Ocurrncia.
GESTIÓN DE RIESGOS
(o, de forma más explícita, la Gestión de la
Reducción, Previsión y Control del Riesgo de Desastre):
un proceso social complejo, cuyo fin último es la
reducción o la previsión y control permanente del riesgo
de desastre en la sociedad, en consonancia con, e integrada al logro de
pautas de desarrollo humano, económico, ambiental y territorial,
sostenibles. En principio, admite distintos niveles de
intervención que van desde lo global, integral, lo sectorial y
lo macro-territorial hasta lo local, lo comunitario y lo familiar.
Además, requiere de la existencia de sistemas o estructuras
organizacionales e institucionales que representan estos niveles y que
reúnen bajo modalidades de coordinación establecidas y
con roles diferenciados acordados, aquellas instancias colectivas de
representación social de los diferentes actores e intereses que
juegan un papel en la construcción de riesgo y en sureducción, previsión y control.
Guias de Auto- aseguramiento.
Guias de Autocontrol.
Guias de Monitoreo.
Guias de Seguridad.
Identificación de las amenazas. es la determinación o levantamiento del inventario de
eventos indeseables que pueden causar daños a una
organización o un sistema en caso de presentarse.
Impacto.
Indicadores de Gestión.
Indicadores de Protección Existente.
Indicadores de Riesgo Residual.
Infraestructura de Tecnologia de Informacion.
Integridad de la Informacion.
ISO 2000 – ITIL.
ISO 27001.
ISO 27002 (Antes ISO 17799).
Manual de Riesgo Operativo.
Es el documento contentivo de todas las políticas, objetivos,
estructura organizacional, estrategias, los procesos y procedimientos
aplicables en el desarrollo, implementación y seguimiento del
SARO
Mapa de Riesgos después de Tratamientos.
Mapa de Riesgos Inherentes / Antes de Controles.
Mapa de riesgos potenciales.
Mapa de riesgos residuales.
Matrices de riesgo (dscomposicion del Cubo de Riesgos).
MECI.
Mejora Continua.
Método Cualitativo de Análisis de Riesgos.
Método Cuantitativo de Análisis de Riesgos.
Metodos de Autenticación.
MITIGACIÓN (REDUCCIÓN) DE RIESGOS: ejecución
de medidas de intervención dirigidas a reducir o disminuir el
riesgo existente. La mitigación asume que en muchas
circunstancias no es posible, ni factible, controlar totalmente el
riesgo existente; es decir, que en muchos casos no es posible impedir o
evitar totalmente los daños y sus consecuencias, sino más
bien reducirlos a niveles aceptables y factibles. La mitigación
de riegos de desastre puede operar en el contexto de la
reducción o eliminación de riesgos existentes, o aceptar
estos riesgos y, a través de los preparativos, los sistemas de
alerta, etc., buscar disminuir las pérdidas y daños que
ocurrirían con la incidencia de un fenómeno peligroso.
Así, las medidas de mitigación o reducción que se
adoptan en forma anticipada a la manifestación de un
fenómeno físico tienen el fin de: a) evitar que se
presente un fenómeno peligroso, reducir su peligrosidad o evitar
la exposición de los elementos ante el mismo; b) disminuir sus
efectos sobre la población, la infraestructura, los bienes y
servicios, reduciendo la vulnerabilidad que exhiben.
Monitoreo de la Protección Existente.
Monitoreo del Riesgo Residual. Es
el proceso periódico que se ejecuta con el propósito de
verificar que el nivel de riesgo residual no exceda el porcentaje
aceptado por la gerencia como máximo riesgo residual aceptable.
Generalmente es del 20%.
Niveles de Servicio. Ver Acuerdos de Niveles de Servicio.
No conformidades.
Norma NTC 5250.
Objetivo de los Controles. En
general, los controles tienen tres objetivos: Condicionar
los actos de la organización para que ocurran de una manera
predeterminada; Identificar y cuantificar (medir) las
desviaciones que se presenten respecto al “debería
ser” o los estándares establecidos y, c)
informar las desviaciones que se presenten a los
centros de decisión a los que corresponda tomar las
acciones correctivas necesarias.
Objetivos de Control: Son
descripciones del propósito a ser alcanzado con los controles.
En el proceso de implantación de sistemas de control interno,
generalmente se definen varios objetivos de control para cada escenario
de riesgo o subproceso. Estos, posteriormente se convierten en
objetivos de auditoría. Por ejemplo, COBIT establece 318
objetivos de control para los 34 procesos de Tecnología de
Información.
Pérdida Anual Estimada.
PÉRDIDA MATERIAL: se
relaciona con la merma o destrucción del patrimonio material
(bienes de capital, medios de producción, medio de trabajo,
infraestructura, etc.) y ambiental de una sociedad. El monto de
pérdidas asociados con un desastre, no necesariamente tiene que
reflejarse en variables agregadas de tipo macroeconómico (p.e.
representar un porcentaje determinado del PIB), ya que su impacto puede
ser en pequeña escala.
Perfil Consolidado de Riesgo Inherente de la Organización.
Perfil Consolidado de Riesgo Residual de la Organización.
Perfil de Protección Existente.
Perfil de Riesgo Inherente.
Perfil de Riesgo Residual.
Plan de Acción de Mitigación de Riesgos. Es el plan que se diseña para indicar los cargos
responsables de implantar las acciones de tratamiento del riesgo
y las fechas que indiquen el tiempo más tarde permisible
para implantar la acción.
Plan de Contingencia / Plan de continuidad de TI. Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
Plan de Continuidad del Negocio. Conjunto
detallado de acciones que describen los procedimientos, los sistemas y
los recursos necesarios para retornar y continuar la
operación, en caso de interrupción.
PLAN DE GESTIÓN DE RIESGOS: conjunto
coherente y ordenado de estrategias, programas y proyectos que se
formula para orientar las actividades de reducción o
mitigación, previsión y control de riesgos, y la
recuperación en caso de desastre. Al garantizar condiciones
apropiadas de seguridad frente a los diversos riesgos existentes y
disminuir las pérdidas materiales y consecuencias sociales que
se derivan de los desastres, se mantiene la calidad de vida de la
población y se aumenta la sostenibilidad.
Política de seguridad.
Politicas.
Principio de Pareto.
Principio del poder del 3.
Priorizar Categorías de Riesgo. Se refiere al proceso de evaluar la importancia de cada
categoría de riesgo potencial según su impacto en caso de
ocurrir. Ejemplo. La utilización del Método
Delphy por 5 expertos para valorar la exposición de
siete categorías de riesgo potencial, produce los siguientes
rangos de valoración de acuerdo con el principio de Pareto:
Procedimientos de seguridad.
Proceso: Conjunto de
actividades que transforman unas entradas (insumos) en un producto
(bién o servicio) con el fin de satisfacer una necesidad.
Procesos de Apoyo: procesos que apoyan el desarrollo de los procesos misionales.
Procesos de la Cadena de Valor.
Procesos Gerenciales: procesos de dirección y control de la organización.
Procesos Misionales. Se
refieren los procesos que se relacionan con la misión o
razón de ser de la organización. También se
denominan procesos primarios.
Protección Existente: Se
refiere al nivel de protección que ofrece la combinación
o grupo de controles existentes que actúa sobre una
amenaza o causa de riesgo.
PUC.
Rango de Pérdida por Ocurrencia.
RERO. Registro de Eventos de Riesgo Operativo
RIESGO ACEPTABLE: posibles
consecuencias sociales y económicas que, implícita o
explícitamente, una sociedad o un segmento de la misma asume o
tolera en forma consciente por considerar innecesaria, inoportuna o
imposible una intervención para su reducción, dado el
contexto económico, social, político, cultural y
técnico existente. La noción es de pertinencia formal y
técnica en condiciones donde la información existe y
cierta racionalización en el proceso de toma de decisiones puede
ejercerse, y sirve para determinar las mínimas exigencias o
requisitos de seguridad, con fines de protección y
planificación, ante posibles fenómenos peligrosos.
Riesgo Inherente. Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Riesgo Operacional. se define como el riesgo
de incurrir en pérdidas directas o indirectas como consecuencia de
procesos internos, personal o sistemas inadecuados o defectuosos, o
como resultados de acontecimientos externos.
Riesgo Operativo (RO). Se
entiende por Riesgo Operativo, la posibilidad de incurrir en
pérdidas por deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnología, la infraestructura
o por la ocurrencia de acontecimientos externos. Esta
definición incluye el riesgo legal y reputacional, asociados a
tales factores.
Riesgo LAFT. Para los efectos de la circular 022 de
2007, se entiende por riesgo de LA/FT la posibilidad de pérdida
o daño que puede sufrir una entidad vigilada por su
propensión a ser utilizada directamente o a través de sus
operaciones como instrumento para el lavado de activos y/o
canalización de recursos hacia la realización de
actividades terroristas, o cuando se pretenda el ocultamiento de
activos provenientes de dichas actividades. El riesgo de LA/FT se
materializa a través de los riesgos asociados, estos son: el
legal, reputacional, operativo y de contagio, a los que se expone la
entidad, con el consecuente efecto económico negativo que ello
puede representar para su estabilidad financiera cuando es utilizada
para tales actividades.
Riesgo legal. Es la posibilidad de pérdida en que incurre
una entidad al ser sancionada u obligada a indemnizar daños como
resultado del incumplimiento de normas o regulaciones y obligaciones
contractuales. El riesgo legal surge también como consecuencia
de fallas en los contratos y transacciones, derivadas de actuaciones
malintencionadas, negligencia o actos involuntarios que afectan la
formalización o ejecución de contratos o transacciones.
Riesgo reputacional. Es la posibilidad de pérdida en que
incurre una entidad por desprestigio, mala imagen, publicidad negativa,
cierta o no, respecto de la institución y sus
prácticas de negocios, que cause pérdida de clientes,
disminución de ingresos o procesos judiciales.
Riesgo Potencial o inherente.
Es el riesgo al que se exponen las operaciones de un negocio o proceso
o sistema de información, asociado con la naturaleza de
las actividades y los recursos que intervienen en funcionamiento. Es el
riesgo asociado con la naturaleza del proceso, intrínseco a sus
actividades y que subyace o está presente en el desarrollo
de cualquier tarea o actividad del proceso. Es
intrínseco o concomitante con las actividades propias del
proceso. En su valoración no intervienen los controles que
pueden mitigarlo. Por ejemplo: Un vehículo está expuesto
a robo, independientemente de si su dueño ha comprado o no una
póliza de seguros para ampararlo. Con o sin controles, el
riesgo continúa existiendo.
Riesgo Residual. Es el riesgo
no cubierto o no protegido por los controles establecidos sobre
una amenaza de riesgo, escenario de riesgo o dependencia. Generalmente
se expresa en porcentaje y su medición es complementaria con la
protección existente. Si la protección existente es del
70%, el riesgo residual será del 30%. El máximo
riesgo residual aceptable es del 20%; por consiguiente, el nivel
mínimo de protección existente es del 80%.
Riesgo: La posibilidad de
ocurrencia de un acto ó evento que podría tener un efecto
adverso sobre la organización y sus sistemas de
información. (Asociación de Control y Auditoría de
Sistemas, ISACA). Declaración No 5 sobre los estándares
de auditoría de sistemas. Uso de la valoración de riesgos
en la planeación de la auditoría. ISACA
SARC: Sistema de Administración de Riesgo Crediticio.
SARLAFT:
Sistema de Administración de Riesgos de Lavado de Activos y
Financiación del Terrorismo. El SARLAFT debe abarcar todas las
actividades que realizan las entidades vigiladas en desarrollo de su
objeto social principal. Son los riesgos a través de los cuales
se materializa el riesgo de LA/FT: estos son: reputacional,
legal, operativo y contagio.
SARO: Sistema de
Administración de Riesgo Operativo. Conjunto de elementos tales
como políticas, procedimientos, documentación, estructura
organizacional, registro de eventos de riesgo operativo, órganos
de control, plataforma tecnológica, divulgación de
información y capacitación, mediante los cuales las
entidades vigiladas identifican, miden, controlan y monitorean el
riesgo operativo.
Scoring (Churman).
Segmentación.
Seguridad de la Informacion.
Seguridad Física.
Seguridad Lógica.
Semáforos de riesgo Inherente.
Semáforos de Riesgo Residual.
Sistema de Gestión de Riesgos. Es
un sistema de información que comprende el conjunto de
actividades que desarrolla una organización para
identificar, valorar, medir, controlar y monitorear los riesgos
potenciales a los que están expuestos los procesos o sistemas de
la organización. Es una estructura abierta, lógica,
dinámica y funcional de instituciones y organizaciones, y su
conjunto de orientaciones, normas, recursos, programas, actividades de
carácter técnico-científico, de
planificación y de participación de la comunidad, cuyo
objetivo es la incorporación de las prácticas y procesos
de la gestión de riesgos en la cultura y en el desarrollo
económico y social de las comunidades.
SISTEMA INTEGRADO DE INFORMACIÓN:
base de conocimiento de las amenazas, vulnerabilidades y riesgos, de
vigilancia y alerta, de capacidad de respuesta y de procesos de
gestión, al servicio de las instituciones y de la
población; fundamental para la toma de decisiones y la
priorización de las actividades y proyectos de gestión de
riesgos.
Situación Actual de Protección Existente.
Es una calificación que resulta de multiplicar
los pesos asignados a la protección existente y el riesgo
residual.
Tecnología. Es el
conjunto de herramientas empleadas para soportar los procesos de la
entidad. Incluye: hardware, software y telecomunicaciones.
Terceras partes.
Test de datos obligatorios.
Test de Limite.
Test de Rango.
Test de Razonabilidad.
Test para numérico.
Tipos de Controles. Una
alternativa para describir o caracterizar un control, es mediante sus
atributos o clasificaciones. Los controles se clasifican en
preventivos, detectivos y correctivos. También se clasifican
obligatorios y no obligatorios, discrecionales y no discrecionales,
manuales y automatizados. Los controles preventivos son la
primera barrera de defensa contra las amenazas o causas de riesgo.
Estos sirven para evitar que se presente la amenaza de riesgo. Los
controles detectivos son alarmas que se disparan frente a la ocurrencia
de una amenaza de riesgo. Los controles correctivos son las
acciones que deben seguirse para atender las alarmas que indican la
ocurrencia de una desviación o no conformidad con el
“debería ser”.
La Unidad de Riesgo Operativo URO.
Se entiende por Unidad de Riesgo Operativo el área o cargo,
designada por el Representante Legal de la entidad, que debe coordinar
la puesta en marcha y seguimiento del SARO.
Valoración del Riesgo. Un proceso utilizado para identificar y evaluar los riesgos y su impacto potencial.
Vigencia de la Matriz de Riesgos.
Según los expertos, la matriz de riesgos tiene un tiempo
de vigencia máximo de un año. Por consiguiente, es
recomendable establecer procedimientos para monitorear
continuamente la protección existente el proceso y el nivel de
riesgo residual, con el propósito de efectuar oportunamente los
cambios que se requieran.
Vulnerabilidad. factor de riesgo interno de un elemento o grupo de elementos expuestos
a una amenaza. Corresponde a la predisposición o susceptibilidad física, económica, política o
social que tiene una comunidad de ser afectada o de sufrir efectos adversos en caso de que se
manifieste un fenómeno peligroso de origen natural, socio natural o antrópico. Representa
también las condiciones que imposibilitan o dificultan la recuperación autónoma posterior. Las
diferencias de vulnerabilidad del contesto social y material expuesto ante un fenómeno
peligroso determinan el carácter selectivo de la severidad de sus efectos.