click below
click below
Normal Size Small Size show me how
Gestión de Riesgo
Capítulo 6 del libro
Question | Answer |
---|---|
La gestión de riesgo hace que las organizaciones se enfoquen en áreas que tengan más bajo impacto. (V o F) | Falso. Se enfoca en las de más ALTO impacto. |
¿Cuál es el enfoque del ERM - Marco de Trabajo integrado? | Tiene un enfoque Basado en Riesgo al evaluar controles internos. |
¿Cómo surge el enfoque basado en Riesgo del ERM? | De la adición de 4 elementos del marco de trabajo previo: Preparación Objetiva, Identificación de Riesgo, Evaluación de riesgo, y Respuesta al riesgo. |
¿Qué procedimientos implementa e identifica el ERM para controlar el riesgo? | Aceptar, Evadir, Diversificar, Compartir o Transferir riesgos. |
¿Qué asegura la gestión de riesgo? | Que las pérdidas no impidan que la Gerencia de una organización busque sus metas de conservar bienes y darse cuenta del valor esperado de las inversiones. |
¿En qué se enfoca la Gestión de Riesgo de TI? | Se enfoca en riesgos resultantes de sistemas de TI con amenazas tales como fraude, decisiones erróneas, pérdida de tiempo productivo, imprecisión de datos, divulgación de datos no autorizada, y pérdida de confianza del publico. |
¿Cómo se ha manejado la Gestión de riesgos en la historia? | Ha tendido a estar en "Silos", siempre manejada de forma independiente en compartimientos separados. |
¿Cómo define COSO la gestión de riesgo empresarial (ERM)? | Como un proceso efectuado por una junta directiva, gerentes y demás, diseñado para identificar eventos potenciales que puedan afectar a la entidad, y manejar riesgos según el apetito de riesgo. |
La gestión de riesgo debe identificar, medir, mitigar y monitorear el riesgo. (V o F) | Verdadero. |
¿Qué debe hacer un gerente Senior ante la ERM? | Debe fomentar el desarrollo de sistemas integrados que agreguen crédito, mercado, liquidez operacional, y otros riesgos generados por unidades de negocio en un marco de trabajo consistente. |
Un ambiente donde cada unidad de negocio calcule su riesgo de forma separada con reglas diferentes proveera una visión significativa de los amplios riesgos de la empresa. (V o F) | Falso. Si se definen reglas separadas, no se dará una visión significativa. |
¿Qué impulsa a las organizaciones a integrar y estandarizar la gestión de riesgos? | La creciente complejidad de productos, enlaces entre mercados, y beneficios potenciales ofrecidos por un portafolio general. |
¿Donde reside la mayor defensa contra el riesgo operacional? | En el nivel más alto de la organización: La junta directiva y la Gerencia Senior. |
¿De qué es responsable la Junta directiva? | Como representantes de accionistas, son responsables de asuntos de polìticas relacionados a gobernanza, incluyendo sin limitar, el preparar el terreno para el marco de trabajo y fundación de ERM. |
¿De que son conscientes los accionistas? | De los riesgos operacionales, tanto de las pequeñas pérdidas como de las infrecuentes pero catastróficas- |
¿Qué es el Marco de Trabajo integrado de Gestión de Riesgo Empresarial (ERM)? | Es una herramienta efectiva para gerentes y junta directiva para fijar metas y estrategias; identificar, evaluar y gestionar areas de riesgo, seleccionar e implementar controles. |
¿Cuáles son los objetivos del modelo ERM para lograr las metas de una compañía? | Los objetivos de gestión: Estrategia, Operaciones, Reportes, Cumplimiento. |
¿Cuales son las unidades de una empresa en el modelo ERM? | Nivel de Entidad, División, Unidad de Negocios, subsidiaria. |
¿Cuáles son los componentes del Modelo ERM de COSO? | Ambiente interno, Fijación de objetivos, Identificación de riesgos, evaluación de riesgo, respuesta al riesgo, control de actividades, información y comunicación, monitoreo. |
¿Qué compone al ambiente interno? | Todo lo de una compañía: La cultura, el comportamiento, las acciones, las políticas, los procedimientos, el tono, el corazón. |
¿Por qué es crucial el ambiente interno? | Para fijar las metas de la compañia, estrategias y objetivos; establecer procedimientos o evaluar o mitigar el riesgo en áreas de negocios. |
Un ambiente interno fuerte previene a una compañia de una crisis en control y gestión de riesgo. (V o F) | Verdadero. |
El ambiente interno es la base de los otros 7 componentes del ERM, ¿cuales son? | Las creencias, compromiso, la vigilancia, asignación de autoridad y responsabilidad, politicas de recursos humanos, procedimientos de cumplimiento. |
¿Qué es la fijación de objetivos? | Las metas que la compañia quiere cumplir? |
¿Qué tipos de objetivos hay? | A nivel de gerencia, a niveles bajos, objetivos de reporte, objetivos de cumplimiento. |
Ejemplos de Objetivos de Gerencia | Convertirse en mejores vendedores del mercado, adquirir un negocio separado, fusionarse con un competidor. |
Ejemplos de Objetivos de bajo nivel | Contratar personal de calidad, mejorar los procesos actuales, implementar controles para abordar riesgos, mantener los niveles de producción. |
¿Por que se fijan objetivos de reporte? | Para asegurar la fiabilidad, la completad, y la precisión de reportes. |
¿Qué aseguran los objetivos de cumplimiento? | Que se cumplan todas las leyes de industria, locales, estatales y federales. |
¿Cómo puede ser el impacto a una compañia? | Puede ser externo o interno. |
¿Qué preguntas se plantean para identificar los eventos o riesgos? | Que puede salir mal? Como puede salir mal? Cual es el daño potencial? Que se puede hacer al respecto? |
¿Cómo se clasifican los riesgos? | Inherentes (existen antes que se hagan planes para controlarlos) y residuales (riesgos restantes luego de ser controlados) |
¿Cómo se pueden identificar los riesgos? | Auditando, diagramas de operaciones de compañia, cuestionarios de analisis de riesgo, analisis de declaraciones financieras. |
¿Qué recursos ayudan en la identificación y evaluación de los riesgos relacionados al TI? | NIST.gov, GAO.gov, Enfoque de pérdida esperada, enfoque de puntuación. |
¿Cómo califica los eventos el Enfoque de pérdida esperada? | Accidental o deliberado. |
¿Desde qué perspectivas son evaluados los riesgos? | Probabilidad e Impacto. |
¿Cómo se categorizan los riesgos? | Criticos, Importantes, no importantes. |
¿Cómo comienza la respuesta al riesgo? | Es un proceso que empieza cuando las compañias evalúan los riesgos inherentes, seleccionan las técnicas de respuesta adecuadas, y evalúan el riesgo residual. |
¿De qué formas se puede responder al riesgo? | Evadir, Prevenir, Transferir, Reducir. |
¿Cuál es la última forma de responder a un riesgo? | Asumir o retener el riesgo. |
Solamente una técnica puede ser aplicada para un riesgo dado. (V o F) | Falso. Se puede aplicar más de una (Un riesgo puede ser reducido, y luego transferido). |
¿Cómo define COBIT el control de actividades? | Políticas, procesos, prácticas y estructuras diseñadas para brindar la garantía de que los objetivos del negocio se cumplan. |
¿Por qué es efectivo implementar actividades de control? | Ayuda a: Reducir riesgos, cumplir con las políticas y leyes de la compañia, mejorar la eficiencia. |
¿Cuáles son los tipos de controles? | Preventivos, de detección, correctivos. |
¿Cómo funcionan los controles Preventivos? | Evitan que ocurran los problemas, son superiores a los de detección. |
¿Cómo funcionan los Controles de Detección? | Están hechos para descubrir problemas que no pueden ser prevenidos. |
¿Cómo funcionan los Controles Correctivos? | Diseñados para identificar, corregir y recuperar de los problemas identificados. |
Un sistema de control interno efectivo debe implementar los 3 tipos de controles. (V o F) | Verdadero. |
¿En qué áreas pueden ser implementadas las actividades de control? | Segregación de deberes, aprobación de transacciones, bienes, registros, protección de datos. |
¿Qué es la información? | Datos organizados y procesados para dar sentido y, así, mejorar la toma de decisiones. |
¿Cuando es útil la información? | Cuando es relevante, confiable, completa, a tiempo, entendible, verificable, accesible. |
¿Qué es la comunicación? | Se refiere al proceso de brindar, compartir y obtener información en una base continua y frecuente. |
¿Cómo puede ser la comunicación de información? | Externa o Interna. |
AIS | Sistema de Información Contable. |
¿Qué debe hacer un sistema de información contable? | Reunir, registrar, procesar, almacenar, resumir y comunicar información a cerca de una organización. |
¿Por qué son importantes las actividades de Monitoreo? | Para asegurar que la información y los sistemas de comunicación sean implementados de forma efectiva, y que operen como han sido diseñados. |
Ejemplos de actividades de monitoreo: | Auditorias internas, Evaluación interna de controles, rastreo de software adquirido y dispositivos móviles, integrar en la junta un director de Seguridad Informática y un especialista forense. |
La evaluación de riesgo no es el primer paso en la metodología de gestión de riesgo. (V o F) | Falso. Si es. |
¿Cómo se usan las evaluaciones de riesgo basadas en NIST? | Son usadas por las organizaciones para determinar el grado de amenazas potenciales y evaluar riesgos asociados con sistemas de TI. |
¿Qué hace un Director de Riesgos (CRO)? | En colaboración con la junta directiva, determina los limites de los riesgos que la organización puede tolerar. |
¿Qué información sobre el riesgo debe dar el Coordinador de la gestión de riesgo de TI? | Conocimiento e información a la línea de negocios con respecto a los riesgos especificos a afrontar por una aplicación o el sistema. |
¿Qué debe hacer el departamento de TI junto al Director de Tecnología (CTO)? | Evaluar, gestionar, y aceptar los riesgos asociados con el tipo de tecnología a nivel de la empresa. |
¿Qué determinan el Director de Riesgos (CRO) y el Director de Tecnología (CTO) en el proceso de evaluación de riesgos de TI? | Si la evaluación es adecuada o si carece de información. |
¿Qué soluciones se ofrecen si los riesgos evaluados caen fuera de los límites de la regulación y la junta directiva? | Implementar más controles, comprar un seguro para transferir riesgos, no ofrecer un servicio particular. |
Las evaluaciones de riesgo deben ser revisadas y reconsideradas cada mes. (V o F) | Falso. Cada año. |
¿Qué es el COBIT? | Es un conocido marco de trabajo de Gobernanza de TI, ayuda en las areas de cumplimiento regulatorio y alineamiento de estrategias de TI; asi como metas organizacionales. |
COBIT es crucial en el area de gestión de riesgos. (V o F) | Verdadero. |
¿A quienes y a qué ayuda COBIT? | Ayuda a empleados, gerentes, ejecutivos y auditores a: entender sistemas de TI, gestionar y evaluar riesgos de TI, decidir nvieles de seguridad y control adecuados. |
COBIT Mantiene equilibrio entre realización de beneficios y optimización de niveles de riesgo y uso de recursos (V o F) | Verdadero. |
¿Cuando es apropiado escoger COBIT? | Cuando las metas de la empresa no se limiten a entender TI y los objetivos de negocios, sino tambien a abordar las áreas de cumplimiento regulatorio y gestión de riesgo. |
La Familia ISO/IEC 27000 de estándares ayuda a las empresas a comunicar sus bienes de información. (V o F) | Falso. Ayuda a asegurar los bienes de información. |
El ISO/IEC 27005:2011 Tecnología de Información - Técnicas de Seguridad - Gestión de riesgo de seguridad informática, ayuda a: | Brindar lineamientos para la gestión satisfactoria de la gestión de riesgos de la información. |
¿A qué ayudan las familias de estándar ISO? | Gestionar la seguridad de bienes, información financiera, propiedad intelectual, detalles de empleados, información confiada por terceros. |
El ISO/IEC 27005:2011 sugiere actividades continuas para la gestión de riesgo: | Establecer contexto de gestión de riesgo, evaluar cuantitativa y cualitativamente la información de riesgos, determinar como responder a los riesgos, mantener a los interesados informados, monitorear y revisar riesgos. |
¿Cuál es el enfoque mayor de NIST en las actividades de TI? | Brindar criterios de medición para apoyar el desarrollo de tecnología de avance. |
¿Cómo se emiten los estándares y lineamientos de NIST? | FIPS: Federal Information Processing Standards |
¿Cuando NIST desarrolla los FIPS? | Cuando hay requisitos de gobierno federal obligatorios para estandares de TI relacionados a la seguridad e interoperabilidad. |
Estándar que brindó la guía inicial a las organizaciones federales en desarrollar seguridad física y programas de gestión de riesgos para instalaciones de sistemas de seguridad. | FIPS 31, NIST en 1974. |
Estándar en el que las agencias federales eran responsables de incluir con su información "polizas y procedimientos que aseguraran cumplimiento con requisitos de configuración de sistema aceptables". | Emisión de FIPS 200: Requisitos de seguridad mínimos para Información Federal y Sistemas de información, en Marzo de 2006. |
Estandar que definió los controles de seguridad y privacidad en el requisito mínimo de gestionar configuraciones del sistema. | NIST SP 800-53: Controles de Seguridad y Privacidad para Sistemas de información Federales. |
RMF | Risk Management Framework | Marco de trabajo de Gestión de Riesgo |
¿Qué brinda el NIST SP 800-30? | Brinda una base comun para el personal con o sin experiencia, ya sea que usen o apoyen el proceso de gestión de riesgos para sus sistemas. |
El NIST SP 800-30 puede ser implementado solamente en un único sistema, en organizaciones grandes. (V o F) | Falso. Puede ser implementado en multiples sistemas interrelacionados, desde pequeñas hasta grandes organizaciones. |
¿Cómo han ayudado las directrices de NIST a las agencias federales y organizaciones a mejorar la calidad de seguridad de TI? | Marcos de trabajo estándar, determinaciones basadas en riesgo, enfoques mas flexibles y dinámicos, enfoque de abajo hacia arriba con respecto a la seguridad de info, enfoque de arriba a abajo relacionado a la seguridad de Info. (Ver pág 167 de libro) |
Organizaciones del sector privado (pequeñas, medianas, grandes) usan las directrices NIST para promover Funciones de Negocios Críticas aseguradas. (V o F) | Verdadero. |
¿Qué permite la flexibilidad y facilidad en el uso del estándar NIST SP 800-30? | Identificar los potenciales riesgos asociados con Sistemas de Información, determinar la probabilidad de ocurrencia, impacto y salvamientos adicionales para mitigación. |
¿De qué se encarga el GAO? | Realiza auditorias, encuestas, investigaciones, y evaluaciones de programas federales. Puede incluir auditorias de agencias federales y estatales, de condado, y gobiernos. Hasta extenderse a la industria privada. |
¿Cómo publica GAO sus hallazgos y recomendaciones? | Como reportes a miembros de congreso o entregados como testimonio a comites de congreso. |
¿Para qué se usa el GAS (Normas de Cuentas Gubernamentales)? | Para ayudar a los auditores a reconocer factores de riesgo que involucren el procesado de computadoras. |
¿Para qué se usa el IMTEC 8.1.4? | Planear y realizar evaluaciones de riesgo de hardware y software, telecomunicaciones, y adquisiciones de desarrollo de sistemas. |
¿Quién emite las declaraciones de normas de auditoría (SAS)? | La Junta de estándares de Auditoría de AICPA (Instituto Americano de Contadores públicos Certificados) |
¿Cuál ha sido el mayor rol de AICPA? | Emisión de directrices para la profesión de cuentas y control. |
¿Cómo define el riesgo en el SAS (Declaraciones de Normas de Auditoría) 47? | Posibilidad de una declaración errónea en un balance de cuentas que: puede ser material al ser agregado con declaraciones en otros balances o no será prevenido o detectado en una base de tiempo por el sistema interno de control. |
¿Qué requiere el SAS 65? | Que el auditor desarrolle entendimiento de la función de auditoria interna, y determinar que la función sea relevante para la evaluación de control de riesgo. |
¿Qué brindó el SAS 94? | Dirección a los auditores a cerca del efecto del TI en controles internos y en el entendimiento de los auditores de los controles internos y la evaluación de control de riesgo. |
¿Qué es ISACA? | Asociación de Auditoria y Control de Sistemas de Información, es una asociación sin fines de lucro comprometida a extender el conocimiento base de profesión a través de investigación. |
La gestión basa sus decisiones en cuanto control es el adecuado en una evaluación de control del nivel de exposición de riesgo que están preparados a aceptar. (V o F) | Verdadero |
¿Cómo se pueden reducir las aberturas o exposiciones? | Con la implementación de controles apropiadamente diseñados, basados en la estimación de ocurrencias y hechos para reducir esa probabilidad.. |
IIA | Institute of Internal Auditors | Instituto de Auditores internos |
¿A qué debe ayudar la auditoría interna? | A identificar y evaluar aberturas de riesgo y contribuir a la mejora de la gestión de riesgo y sistemas de control. |
¿Qué dicta el Estándar 2110.A1 del IIA? | Que la auditoria interna debe monitorear y evaluar la efectividad del sistema de Gestión de riesgo de una organizacion. |
¿Qué estipula el Estándar de Implementación 2110.A1? | La auditoria interna debe evaluar aberturas a riesgos con respecto a: confiabilidad e integridad de informacion financiera, efectividad de operaciones, salvaguardar los bienes, cumplimiento de leyes, regulaciones y contratos. |
¿Qué es el GAIT? | Evaluación de Deficiencia de Controles Generales de TI: es un enfoque de evaluación de arriba hacia abajo basado en riesgos para evaluar controles generales de TI. Identifica deficiencias durante una evaluación de control Sarbanes-Oxley. |
¿Qué es el GAIT para negocios y riesgos de TI? | Metodología de auditoría basada en riesgo para alinear auditorías de TI a los riesgos de negocio. |
¿Qué es COSO? | Comité de Organizaciones Patrocinadoras de la Comisión Treadway: organización dedicada a mejorar la calidad de reportes financieros a través de éticas de negocio, controles internos effectivos, y gobernanza corporativa. |
¿Quienes conforman a COSO? | Representantes de la industria, agencias de contaduría pública, firmas de inversores, y la Bolsa de Valores de NY. |
¿Quién desarrolló y cuando se publicó el ERM de COSO? | Se desarrolló por la firma de contaduría global, PriceWaterhouseCoopers, y se emitió en Septiembre de 2004. |
¿Para qué funciona el ERM? | Es una herramienta efectiva para gerentes Senior y la junta directiva para fijar metas y estrategias, evaluar y gestionar áreas de riesgo, asegurar que la compañía cumpla con sus objetivos. |
¿Qué es el riesgo? | Posibilidad de una desviación adversa en un resultado deseado. |
Riesgos de Ti normalmente manejados por un seguro: | Daños a equipo computacional, costo de almacenamiento, costo de adquirir los datos almacenados, daño a externos, efectos en negocio por pérdidas de funciones computacionales. |
Riesgos cubiertos en Pólizas de TI: | Propiedad, responsabilidad, interrupcion de negocios, seguros de fidelidad. |
En 2016, un estudio hecho por Symantec indicó que el 43% de ataques ciberneticos se dirigieron a pequeños negocios (V o F) | Verdadero |
¿Qué es una póliza de ciberseguro? | Producto de seguro designado a proteger organizaciones e individuos de riesgos relacionados a infraestructura de TI y actividades. |
¿Qué cubren las pólizas de ciberseguro? | Pérdidas por destrucción de datos, extorsión, robo, hackeos, y ataques de DOS; perdidas causadas por errores u omisión, fallas al guardar datos, o difamación. |
¿Cómo pueden ser manejados los riesgos no asegurables? | Reducidos o retenidos. |
¿Cómo se logra la reducción de riesgos? | Prevención de pérdidas y control. |
Preguntas que determinan si los riesgos son reducibles: | Son un chingo, ver página 172 |
El método de retención de riesgos debe ser voluntario y debe seguir un criterio, ¿Cuál? | El riesgo debe propagarse fisicamente, debe hacerse un estudio para determinar la maxima exposicion a perdidas, considerar la posibilidad de experiencia infavorable, se debe hacer un cargo de prima contra las operaciones que se adecúen a cubrir perdidas. |