GLOSARIO DE DEFINICIONES

Con el propósito de establecer un marco conceptual de referencia común en este documento, se utilizan las siguientes definiciones para algunos términos empleados:


Acción de Mitigación de Riesgos. Se refiere a los controles o contramedidas  específicas de tratamiento del riesgo que serán implantadas para las amenazas calificadas con protección diferente a Apropiada.

Acciones de Mejoramiento.

Acciones de Tratamiento.

Acuerdos de Niveles de Servicio (ANS) Service Level Agreement (SLA).

Agentes Generadores de Riesgo. 

Alternativas de Tratamiento de Riesgos.  Una vez que se ha completado el análisis de riesgos, la gerencia debe direccionar una respuesta para cada  amenaza o causa de riesgo con calificación de protección diferente a Apropiada (es decir para amenazas calificadas como  mejorable, insuficiente, deficiente  o muy deficiente.)..


Amenaza de Riesgo.
Es la unidad mínima de información para conducir  un proceso de análisis de Riesgos.
es una posible fuente de daño para un sistema o proceso de negocio. Un agente de amenaza (o agente causal de amenazas), es una persona o fenómeno que puede hacer que ocurra la amenaza. Esos agentes pueden ser naturales o humanos.

Amenaza de Riesgo. Se refiere a los medios, circunstancias y agentes que pueden generar una categoría o clase de riesgo. Una  amenaza puede generar más de una categoría de riesgo.

Ejemplo 1: Algunas amenazas de riesgo para la categoría de riesgo Hurto y Fraude son:  

Ejemplo 2: La amenaza de riesgo “Asignar privilegios de acceso ilimitados a personas que no los necesitan” puede  generar el riesgo “Daño y destrucción de activos informáticos”. 


Análisis de Riesgo. en su forma más simple, es el postulado de que el riesgo resulta de relacionar la amenaza y la vulnerabilidad de los elementos expuestos, con el fin de determinar los posibles efectos y consecuencias sociales, económicas y ambientales asociadas a uno o varios fenómenos peligrosos en un territorio y con referencia a grupos o unidades sociales y económicas particulares. Cambios en uno o más de estos parámetros modifican el riesgo en sí mismo, es decir, el total de pérdidas esperadas y las consecuencias en un área determinada. Análisis de amenazas y de vulnerabilidades componen facetas del análisis de riesgo y deben estar articulados con este propósito y no comprender actividades separadas e independientes. Un análisis de vulnerabilidad es imposible sin un análisis de amenazas, y viceversa

Amenazas de Riesgo Críticas. Se refiere a las  amenazas de riesgo con puntajes localizados en semáforos  amarillo y rojo.


Aplicación de computador. Según ISACA, "es un grupo integrado de programas de computador diseñados para realizar una función particular que tiene actividades de entrada de datos, procesamiento y salida de información". Para fines de esta propuesta, la Auditoría de los aplicativos del MBS, cubrirá  los procesos manuales y automatizados del mismo. Esto significa que revisará el funcionamiento del software aplicativo y de las actividades manuales  y mecanizadas asociados con el manejo de la información comercial.

Areas Organizacionales.

Auditoría a la Infraestructura de Tecnología de Información (TI). Comprende la revisión de las actividades administrativas y técnicas de sistemas de información  que soportan el funcionamiento de las aplicaciones de computador o sistemas  ERPs utilizados  por la empresa,  en el día a día,  para el desarrollo de sus  operaciones de negocios y servicios automatizados.  Esta auditoría evalúa y  comprueba el funcionamiento de factores claves de éxito para  lograr eficiencia, efectividad, seguridad  y confiabilidad en el ciclo administrativo o "ruta de calidad" de la informática, a través de políticas, estándares y procedimientos de seguridad  en los procesos de:  a)  planeación estratégica de sistemas, b) organización del departamento de sistemas, c)   adquisición y/o desarrollo de recursos de Tecnología de Información (TI),  d) prestación de los servicios informáticos, e) el soporte técnico,  f) la protección de activos  informáticos y  g), el monitoreo continuo de  las actividades  y procesos de tecnología de información de la empresa. Este tipo de auditoría también se conoce como "Auditoría de Controles Generales de Sistemas de Información".

Auditoría a las Aplicaciones de Computador o  Módulos Componentes de Sistemas ERPs (Enterprise Resourcing Planning) en estado de producción o funcionamiento. Comprende la evaluación  y prueba de controles y seguridades utilizadas en el ciclo de procesamiento de los datos de cada aplicación, desde la  generación de los datos en las fuentes  de la información hasta que se reciben y utilizan los resultados del procesamiento por los usuarios internos y externos de los sistemas. También comprende la revisión de actividades relacionadas con la segregación electrónica de funciones (permisos de acceso),  la seguridad de la información (integridad, confidencialidad y disponibilidad),  mantenimiento y documentación de la aplicación,  la calidad de la información y la satisfacción de los usuarios de los niveles estratégico, táctico y operativo.
Auditoría a los Proyectos de Desarrollo y/o Adquisición de  Aplicaciones de Computador o Sistemas ERPs (Enterprise Resourcing Planning). Comprende  la revisión de las etapas del Ciclo de Vida del Desarrollo de los Sistemas y la participación de los auditores en las actividades de definición,  diseño, documentación,  implementación  e implantación de los controles y seguridades necesarias en los nuevos sistemas.

Auditoría de Sistemas de Información. Según la Asociación Internacional de Control y Auditoría de Sistemas de Información,  ISACA (Information Systems Audit and Control Association Inc.), la  Auditoría de  Sistemas de Información se define así: “Toda auditoría que comprenda la revisión y evaluación de todos los aspectos (ó cualquier porción) de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.”


Beneficio de los Controles.


Biometria.


BSC.


Cadena de Valor.

Caracterizacion.  Conjunto de datos  que reflejan las características de un proceso o sistema, que lo diferencian de cualquier otro.

Categoría  o Clases de Riesgo. Se refiere al grupo de amenazas o causas de riesgos que pueden agruparse bajo una denominación común. Ejemplos de categorías de riesgo son: Pérdidas por Sanciones Legales, Pérdidas por Hurto y Fraude;  pérdidas por Daño o destrucción de activos; pérdidas por baja credibilidad pública. Enunciar Categorias pra cada modelos MECI SARO SARLAFT

Ciclo PHVC (Planear, Hacer, Verificar y Corregir) o ruta de calidad del proceso. Este define las bases del aseguramiento de calidad del proceso. Se  tiene en cuenta como referente en la elaboración de matrices o mapas de riesgo.

Clase de Control: Un control No discrecional es el que no permite excepciones, es decir, se aplica para todo el universo sujeto a control. El  control  discrecional  permite excepciones, es decir, se aplica solo para una parte del universo sujeto a control. Los controles también pueden ser Automatizados y No Automatizados. Los automatizados tienen mayor confiabilidad que los no automatizados.

Confidencialidad  de la Informacion.

Control.es  “la acción que se ejerce sobre una amenaza o causa de riesgo con el fin de prevenir o detectar y corregir su ocurrencia. También se define como la acción destinada a  reducir la probabilidad de ocurrencia de una causa de riesgo o el impacto financiero y operacional  que esta pueda originar”. El  modelo COBIT (Control Objectives for Information and Related Technology, ISACA,  1.998), define el control así:  “Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza de que  los objetivos de los negocios serán alcanzados y que los eventos indeseables serán prevenidos ó detectados y corregidos”

Control Interno. El estándar COSO  REPORT define el Control Interno así: “Un proceso efectuado por la Junta de Directores, administradores y otro personal, diseñado para proveer una confianza razonable de la consecución de los objetivos en las siguientes categorías:
1. Efectividad y eficiencia de las operaciones.
2. La confiabilidad de los reportes financieros.
3. El cumplimiento con las leyes y regulaciones aplicables.”


Costo de los controles.


Criterios para evaluar la Protección Existente. Se refiere a las  condiciones requisitos utilizados para calificar el nivel de protección ofrecida por un grupo de controles que actúan sobre una amenaza o causa  de riesgo, sobre un escenario de riesgo, sobre un objetivos de control,  sobre un escenario de riesgo o sobre un proceso.


Criticidad.

Cubo de Riesgos.

Control Interno en Tecnología de Información. COBIT adaptó de COSO su definición de control, así: “Las políticas, procedimientos, prácticas y estructuras organizacionales que son diseñadas para proveer razonable confianza en que los objetivos de negocios serán alcanzados y que los eventos indeseados serán  prevenidos ó detectados y corregidos”.

Delphy.

Disponibilidad de la Informacion.


Efectividad de los  Controles.

EFECTOS O IMPACTOS (ECONÓMICOS Y SOCIALES) DIRECTOS:
aquellos que mantienen relación de causalidad directa e inmediata con la ocurrencia de un fenómeno físico, representados usualmente por el impacto en las infraestructuras, sistemas productivos, bienes y acervos, servicios y ambiente, o por el impacto inmediato en las actividades sociales y económicas (ver IMPACTOS HUMANOS DIRECTOS E INDIRECTOS).

EFECTOS O IMPACTOS (ECONÓMICOS Y SOCIALES) INDIRECTOS: aquellos que mantienen relación de causalidad con los efectos directos, representados usualmente por impactos concatenados sobre las actividades económicas y sociales o sobre el ambiente. Normalmente los impactos indirectos cuantificados son los que tienen efectos adversos en términos sociales y económicos, por ejemplo, pérdidas de oportunidades productivas, de ingresos futuros, aumentos en los niveles de pobreza, aumentos en costos de transporte debido a la pérdida de caminos y puentes, etc. Sin embargo, también habrá casos de impactos positivos desde la perspectiva de individuos y empresas privadas quienes pueden beneficiarse de los impactos negativos de otros.

Eficiencia de los Controles.


Escenario de Riesgo. Se refiere a los subprocesos o partes en los que se divide un todo (proceso o sistema) para ser analizado con fines de diseño de controles o evaluación.un análisis presentado en forma escrita, cartográfica o diagramada, utilizando técnicas cuantitativas y cualitativas, y basado en métodos participativos, de las dimensiones del riesgo que afecta a territorios y grupos sociales determinados. Significa una consideración pormenorizada de las amenazas y vulnerabilidades, y como metodología ofrece una base para la toma de decisiones sobre la intervención en reducción, previsión y control de riesgo. En su acepción más reciente, implica también un paralelo entendimiento de los procesos sociales causales del riesgo y de los actores sociales que contribuyen a las condiciones de riesgo existentes. Con esto se supera la simple estimación de diferentes escenarios de consecuencias o efectos potenciales en un área geográfica que tipifica la noción más tradicional de escenarios en que los efectos o impactos económicos se registran sinnoción de causalidades.

Estandar AS///NZ 4360.


Estándares de Seguridad.


Estudio de Gestión de Riesgos (EGR).


Evaluación de Amenazas de Riesgo. Se refiere al proceso de evaluar la importancia de las causas de riesgo dentro de una categoría de riesgo específica, según su probabilidad de ocurrencia y su impacto en caso de ocurrir. Ejemplo: La evaluación de las amenazas  o causas de la categoría de riesgo Fraude  generan los siguientes resultados.



Evento.
Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

Eventos de pérdida. Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.

Exactitud de la Informacion.

Exposición a Riesgos.


Exposición. El potencial de pérdida para un área a causa de la ocurrencia de un evento adverso.  La inhabilidad para procesar las aplicaciones computarizadas durante un periodo de tiempo es una exposición que podría resultar del incendio del centro de datos. La exposición puede reducirse mediante la implementación de controles apropiadamente diseñados. Por ejemplo, una alarma de incendio no puede prevenir el fuego, pero se establece para reducir los daños del incendio.


Factor de Exposicion.


Factores de Riesgo.
Las amenazas pueden ser accidentales o deliberadas. Una amenaza deliberada o intencional  es cualquier evento, acción u omisión dirigida a un sistema específico o elemento del sistema por un agente de amenaza humano o proceso de computador actuando en su beneficio. Por ejemplo: daño malicioso, infidelidad de los empleados, ataques físicos, virus de computador, hacking". Los agentes de amenaza naturales incluyen, desastres naturales, terremotos, inundaciones, escasez  o insuficiencia de servicios esenciales y malfuncionamiento de equipos o redes. Los agentes de amenazas humanos incluyen el staff permanente, staff temporal, contratistas y terceros. Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos.

Falsos Negativos.

Falsos positivos.

Frecuencia de Ocurrncia.

GESTIÓN DE RIESGOS
(o, de forma más explícita, la Gestión de la Reducción, Previsión y Control del Riesgo de Desastre): un proceso social complejo, cuyo fin último es la reducción o la previsión y control permanente del riesgo de desastre en la sociedad, en consonancia con, e integrada al logro de pautas de desarrollo humano, económico, ambiental y territorial, sostenibles. En principio, admite distintos niveles de intervención que van desde lo global, integral, lo sectorial y lo macro-territorial hasta lo local, lo comunitario y lo familiar. Además, requiere de la existencia de sistemas o estructuras organizacionales e institucionales que representan estos niveles y que reúnen bajo modalidades de coordinación establecidas y con roles diferenciados acordados, aquellas instancias colectivas de representación social de los diferentes actores e intereses que juegan un papel en la construcción de riesgo y en sureducción, previsión y control.

Guias de Auto- aseguramiento.

Guias de Autocontrol.

Guias de Monitoreo.

Guias de Seguridad.

Identificación de las amenazas.  es la determinación  o levantamiento del inventario de eventos indeseables que pueden causar daños a una organización o un sistema en caso de presentarse.

Impacto.

Indicadores de Gestión.

Indicadores de Protección Existente.

Indicadores de Riesgo Residual.

Infraestructura de Tecnologia de Informacion.

Integridad de la Informacion.

ISO 2000 – ITIL.

ISO 27001.

ISO 27002 (Antes ISO 17799).

Manual de Riesgo Operativo. Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO

Mapa de Riesgos después de Tratamientos.

Mapa de Riesgos Inherentes / Antes de  Controles.

Mapa de riesgos potenciales.

Mapa de riesgos residuales.

Matrices de riesgo (dscomposicion del Cubo de Riesgos).

MECI.

Mejora Continua.

Método Cualitativo de Análisis de Riesgos.

Método Cuantitativo de Análisis de Riesgos.

Metodos de Autenticación.

MITIGACIÓN (REDUCCIÓN) DE RIESGOS: ejecución de medidas de intervención dirigidas a reducir o disminuir el riesgo existente. La mitigación asume que en muchas circunstancias no es posible, ni factible, controlar totalmente el riesgo existente; es decir, que en muchos casos no es posible impedir o evitar totalmente los daños y sus consecuencias, sino más bien reducirlos a niveles aceptables y factibles. La mitigación de riegos de desastre puede operar en el contexto de la reducción o eliminación de riesgos existentes, o aceptar estos riesgos y, a través de los preparativos, los sistemas de alerta, etc., buscar disminuir las pérdidas y daños que ocurrirían con la incidencia de un fenómeno peligroso. Así, las medidas de mitigación o reducción que se adoptan en forma anticipada a la manifestación de un fenómeno físico tienen el fin de: a) evitar que se presente un fenómeno peligroso, reducir su peligrosidad o evitar la exposición de los elementos ante el mismo; b) disminuir sus efectos sobre la población, la infraestructura, los bienes y servicios, reduciendo la vulnerabilidad que exhiben.

Monitoreo de la Protección Existente.

Monitoreo del Riesgo Residual. Es el proceso periódico que se ejecuta con el propósito de verificar que el nivel de riesgo residual no exceda el porcentaje aceptado por la gerencia como máximo riesgo residual aceptable. Generalmente es del 20%.

Niveles de Servicio. Ver Acuerdos de Niveles de Servicio.  


No conformidades.


Norma NTC 5250.

Objetivo de los Controles. En general, los controles tienen tres objetivos:   Condicionar los actos de la organización para que ocurran de una manera predeterminada;  Identificar y cuantificar (medir) las desviaciones que se presenten respecto al “debería ser”  o los estándares establecidos y,  c)     informar las desviaciones que se presenten a los centros de decisión a los  que corresponda tomar las acciones correctivas necesarias.

Objetivos de Control:  Son descripciones del propósito a ser alcanzado con los controles. En el proceso de implantación de sistemas de control interno, generalmente se definen varios objetivos de control para cada escenario de riesgo o subproceso.  Estos, posteriormente se convierten en objetivos de auditoría. Por ejemplo, COBIT establece 318 objetivos de control para los 34 procesos de Tecnología de Información.


Pérdida Anual Estimada.

PÉRDIDA MATERIAL: se relaciona con la merma o destrucción del patrimonio material (bienes de capital, medios de producción, medio de trabajo, infraestructura, etc.) y ambiental de una sociedad. El monto de pérdidas asociados con un desastre, no necesariamente tiene que reflejarse en variables agregadas de tipo macroeconómico (p.e. representar un porcentaje determinado del PIB), ya que su impacto puede ser en pequeña escala.

Perfil Consolidado de Riesgo Inherente de la Organización.

Perfil Consolidado de Riesgo Residual de la Organización.

Perfil de Protección Existente.

Perfil de Riesgo Inherente.

Perfil de Riesgo Residual.

Plan de Acción de Mitigación de Riesgos. Es el plan que se diseña para indicar los cargos responsables  de implantar las acciones de tratamiento del riesgo y las fechas que indiquen el tiempo más tarde permisible  para implantar la acción.

Plan de Contingencia / Plan de continuidad de TI.
Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Plan de Continuidad del Negocio. 
Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar  la operación, en caso de interrupción.

PLAN DE GESTIÓN DE RIESGOS: conjunto coherente y ordenado de estrategias, programas y proyectos que se formula para orientar las actividades de reducción o mitigación, previsión y control de riesgos, y la recuperación en caso de desastre. Al garantizar condiciones apropiadas de seguridad frente a los diversos riesgos existentes y disminuir las pérdidas materiales y consecuencias sociales que se derivan de los desastres, se mantiene la calidad de vida de la población y se aumenta la sostenibilidad.

Política de seguridad.


Politicas.


Principio de Pareto.


Principio del poder del 3.


Priorizar Categorías de Riesgo. Se refiere al proceso de evaluar la importancia de cada categoría de riesgo potencial según su impacto en caso de ocurrir. Ejemplo.  La utilización del Método Delphy  por 5 expertos  para valorar la exposición de siete categorías de riesgo potencial, produce los siguientes rangos de valoración de acuerdo  con el principio de Pareto:



Procedimientos de seguridad.


Proceso:  Conjunto de actividades que transforman unas entradas (insumos) en un producto (bién o servicio) con el fin de satisfacer una necesidad.


Procesos de Apoyo: procesos que  apoyan el desarrollo de los procesos misionales.


Procesos de la Cadena de Valor.


Procesos Gerenciales: procesos de dirección y control de la organización.


Procesos Misionales. Se refieren  los procesos que se relacionan con la misión o razón de ser de la organización. También se denominan procesos primarios.


Protección Existente: Se refiere al nivel de protección que ofrece la combinación o  grupo de controles existentes que actúa sobre una amenaza o causa de riesgo.


PUC.


Rango de Pérdida por Ocurrencia.

RERO. Registro de Eventos de Riesgo Operativo

RIESGO ACEPTABLE: posibles consecuencias sociales y económicas que, implícita o explícitamente, una sociedad o un segmento de la misma asume o tolera en forma consciente por considerar innecesaria, inoportuna o imposible una intervención para su reducción, dado el contexto económico, social, político, cultural y técnico existente. La noción es de pertinencia formal y técnica en condiciones donde la información existe y cierta racionalización en el proceso de toma de decisiones puede ejercerse, y sirve para determinar las mínimas exigencias o requisitos de seguridad, con fines de protección y planificación, ante posibles fenómenos peligrosos.

Riesgo Inherente.
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo Operacional.
  se define como el riesgo de incurrir en pérdidas directas o indirectas como consecuencia de procesos internos, personal o sistemas inadecuados o defectuosos, o como resultados de acontecimientos externos.

Riesgo Operativo (RO). Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.  Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

Riesgo LAFT.
Para los efectos de la  circular 022  de 2007, se entiende por riesgo de LA/FT la posibilidad de pérdida o daño que puede sufrir una entidad vigilada por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de LA/FT se materializa a través de los riesgos asociados, estos son: el legal, reputacional, operativo y de contagio, a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

Riesgo legal.
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo reputacional.
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no,  respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo Potencial o inherente.
Es el riesgo al que se exponen las operaciones de un negocio o proceso o  sistema de información, asociado con la naturaleza de las actividades y los recursos que intervienen en funcionamiento. Es el riesgo asociado con la naturaleza del proceso, intrínseco a sus actividades  y que subyace o está presente en el desarrollo de  cualquier tarea o actividad del  proceso.  Es intrínseco o concomitante con las actividades  propias del proceso. En su valoración no intervienen los controles que pueden mitigarlo. Por ejemplo: Un vehículo está expuesto a robo, independientemente de si su dueño ha comprado o no una póliza de seguros para ampararlo. Con  o sin controles, el riesgo continúa existiendo.


Riesgo Residual. Es el riesgo no cubierto  o no protegido por los controles establecidos sobre una amenaza de riesgo, escenario de riesgo o dependencia. Generalmente se expresa en porcentaje y su medición es complementaria con la protección existente. Si la protección existente es del 70%,  el riesgo residual será del 30%. El máximo riesgo residual aceptable es del 20%; por consiguiente, el nivel mínimo de protección existente es del 80%.


Riesgo: La posibilidad de ocurrencia de un acto ó evento que podría tener un efecto adverso sobre la organización y sus sistemas de información. (Asociación de Control y Auditoría de Sistemas, ISACA). Declaración No 5 sobre los estándares de auditoría de sistemas. Uso de la valoración de riesgos en la planeación de la auditoría. ISACA


SARC: Sistema de Administración de Riesgo Crediticio.

SARLAFT: Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo. El SARLAFT debe abarcar todas las actividades que realizan las entidades vigiladas en desarrollo de su objeto social principal. Son los riesgos a través de los cuales se materializa el riesgo de LA/FT: estos son: reputacional, legal,  operativo y contagio.

SARO: Sistema de Administración de Riesgo Operativo. Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas  identifican, miden, controlan y monitorean el riesgo operativo.


Scoring (Churman).


Segmentación.


Seguridad de la Informacion.


Seguridad Física.


Seguridad Lógica.


Semáforos de riesgo Inherente.


Semáforos de Riesgo Residual.


Sistema de Gestión de Riesgos. Es un sistema de información que comprende  el conjunto de actividades que  desarrolla una organización para identificar, valorar, medir, controlar y monitorear los riesgos potenciales a los que están expuestos los procesos o sistemas de la organización. Es una estructura abierta, lógica, dinámica y funcional de instituciones y organizaciones, y su conjunto de orientaciones, normas, recursos, programas, actividades de carácter técnico-científico, de planificación y de participación de la comunidad, cuyo objetivo es la incorporación de las prácticas y procesos de la gestión de riesgos en la cultura y en el desarrollo económico y social de las comunidades.

SISTEMA INTEGRADO DE INFORMACIÓN: base de conocimiento de las amenazas, vulnerabilidades y riesgos, de vigilancia y alerta, de capacidad de respuesta y de procesos de gestión, al servicio de las instituciones y de la población; fundamental para la toma de decisiones y la priorización de las actividades y proyectos de gestión de riesgos.

Situación Actual de Protección Existente. Es una  calificación  que resulta de  multiplicar los pesos asignados a la  protección existente y el riesgo residual.


Tecnología. Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

Terceras partes.


Test de datos obligatorios.


Test de Limite.


Test de Rango.


Test de Razonabilidad.


Test para numérico.



Tipos de Controles. Una alternativa para describir o caracterizar un control, es mediante sus atributos o clasificaciones. Los controles se clasifican en preventivos, detectivos y correctivos. También se clasifican obligatorios y no obligatorios, discrecionales y no discrecionales, manuales y automatizados. Los  controles preventivos son  la primera barrera de defensa contra las amenazas o causas de riesgo. Estos sirven para evitar que se presente la amenaza de riesgo. Los controles detectivos son alarmas que se disparan frente a la ocurrencia de una amenaza de riesgo.  Los controles correctivos son las acciones que deben seguirse para atender las alarmas que indican la ocurrencia de una desviación o no conformidad con el “debería ser”.

La Unidad de Riesgo Operativo URO. Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.

Valoración del Riesgo.  Un proceso utilizado para identificar y evaluar los riesgos y  su impacto potencial.

Vigencia de la Matriz de Riesgos. Según los expertos,  la matriz de riesgos tiene un tiempo de vigencia  máximo de un año. Por consiguiente, es recomendable establecer procedimientos  para monitorear continuamente la protección existente el proceso y el nivel de riesgo residual, con el propósito de efectuar oportunamente los cambios que se requieran.


Vulnerabilidad. factor de riesgo interno de un elemento o grupo de elementos expuestos
a una amenaza. Corresponde a la predisposición o susceptibilidad física, económica, política o
social que tiene una comunidad de ser afectada o de sufrir efectos adversos en caso de que se
manifieste un fenómeno peligroso de origen natural, socio natural o antrópico. Representa
también las condiciones que imposibilitan o dificultan la recuperación autónoma posterior. Las
diferencias de vulnerabilidad del contesto social y material expuesto ante un fenómeno
peligroso determinan el carácter selectivo de la severidad de sus efectos.