Help
Options
Didn't know it?
click below
click below
Knew it?
click below
click below
Don't Know
Remaining cards (0)
Know
retry
shuffle
restart
0:00
Embed Code - If you would like this activity on your web page, copy the script below and paste it into your web page.
Normal Size Small Size show me how
Normal Size Small Size show me how
Gestión de Riesgo
Capítulo 6 del libro
| Question | Answer |
|---|---|
| La gestión de riesgo hace que las organizaciones se enfoquen en áreas que tengan más bajo impacto. (V o F) | Falso. Se enfoca en las de más ALTO impacto. |
| ¿Cuál es el enfoque del ERM - Marco de Trabajo integrado? | Tiene un enfoque Basado en Riesgo al evaluar controles internos. |
| ¿Cómo surge el enfoque basado en Riesgo del ERM? | De la adición de 4 elementos del marco de trabajo previo: Preparación Objetiva, Identificación de Riesgo, Evaluación de riesgo, y Respuesta al riesgo. |
| ¿Qué procedimientos implementa e identifica el ERM para controlar el riesgo? | Aceptar, Evadir, Diversificar, Compartir o Transferir riesgos. |
| ¿Qué asegura la gestión de riesgo? | Que las pérdidas no impidan que la Gerencia de una organización busque sus metas de conservar bienes y darse cuenta del valor esperado de las inversiones. |
| ¿En qué se enfoca la Gestión de Riesgo de TI? | Se enfoca en riesgos resultantes de sistemas de TI con amenazas tales como fraude, decisiones erróneas, pérdida de tiempo productivo, imprecisión de datos, divulgación de datos no autorizada, y pérdida de confianza del publico. |
| ¿Cómo se ha manejado la Gestión de riesgos en la historia? | Ha tendido a estar en "Silos", siempre manejada de forma independiente en compartimientos separados. |
| ¿Cómo define COSO la gestión de riesgo empresarial (ERM)? | Como un proceso efectuado por una junta directiva, gerentes y demás, diseñado para identificar eventos potenciales que puedan afectar a la entidad, y manejar riesgos según el apetito de riesgo. |
| La gestión de riesgo debe identificar, medir, mitigar y monitorear el riesgo. (V o F) | Verdadero. |
| ¿Qué debe hacer un gerente Senior ante la ERM? | Debe fomentar el desarrollo de sistemas integrados que agreguen crédito, mercado, liquidez operacional, y otros riesgos generados por unidades de negocio en un marco de trabajo consistente. |
| Un ambiente donde cada unidad de negocio calcule su riesgo de forma separada con reglas diferentes proveera una visión significativa de los amplios riesgos de la empresa. (V o F) | Falso. Si se definen reglas separadas, no se dará una visión significativa. |
| ¿Qué impulsa a las organizaciones a integrar y estandarizar la gestión de riesgos? | La creciente complejidad de productos, enlaces entre mercados, y beneficios potenciales ofrecidos por un portafolio general. |
| ¿Donde reside la mayor defensa contra el riesgo operacional? | En el nivel más alto de la organización: La junta directiva y la Gerencia Senior. |
| ¿De qué es responsable la Junta directiva? | Como representantes de accionistas, son responsables de asuntos de polìticas relacionados a gobernanza, incluyendo sin limitar, el preparar el terreno para el marco de trabajo y fundación de ERM. |
| ¿De que son conscientes los accionistas? | De los riesgos operacionales, tanto de las pequeñas pérdidas como de las infrecuentes pero catastróficas- |
| ¿Qué es el Marco de Trabajo integrado de Gestión de Riesgo Empresarial (ERM)? | Es una herramienta efectiva para gerentes y junta directiva para fijar metas y estrategias; identificar, evaluar y gestionar areas de riesgo, seleccionar e implementar controles. |
| ¿Cuáles son los objetivos del modelo ERM para lograr las metas de una compañía? | Los objetivos de gestión: Estrategia, Operaciones, Reportes, Cumplimiento. |
| ¿Cuales son las unidades de una empresa en el modelo ERM? | Nivel de Entidad, División, Unidad de Negocios, subsidiaria. |
| ¿Cuáles son los componentes del Modelo ERM de COSO? | Ambiente interno, Fijación de objetivos, Identificación de riesgos, evaluación de riesgo, respuesta al riesgo, control de actividades, información y comunicación, monitoreo. |
| ¿Qué compone al ambiente interno? | Todo lo de una compañía: La cultura, el comportamiento, las acciones, las políticas, los procedimientos, el tono, el corazón. |
| ¿Por qué es crucial el ambiente interno? | Para fijar las metas de la compañia, estrategias y objetivos; establecer procedimientos o evaluar o mitigar el riesgo en áreas de negocios. |
| Un ambiente interno fuerte previene a una compañia de una crisis en control y gestión de riesgo. (V o F) | Verdadero. |
| El ambiente interno es la base de los otros 7 componentes del ERM, ¿cuales son? | Las creencias, compromiso, la vigilancia, asignación de autoridad y responsabilidad, politicas de recursos humanos, procedimientos de cumplimiento. |
| ¿Qué es la fijación de objetivos? | Las metas que la compañia quiere cumplir? |
| ¿Qué tipos de objetivos hay? | A nivel de gerencia, a niveles bajos, objetivos de reporte, objetivos de cumplimiento. |
| Ejemplos de Objetivos de Gerencia | Convertirse en mejores vendedores del mercado, adquirir un negocio separado, fusionarse con un competidor. |
| Ejemplos de Objetivos de bajo nivel | Contratar personal de calidad, mejorar los procesos actuales, implementar controles para abordar riesgos, mantener los niveles de producción. |
| ¿Por que se fijan objetivos de reporte? | Para asegurar la fiabilidad, la completad, y la precisión de reportes. |
| ¿Qué aseguran los objetivos de cumplimiento? | Que se cumplan todas las leyes de industria, locales, estatales y federales. |
| ¿Cómo puede ser el impacto a una compañia? | Puede ser externo o interno. |
| ¿Qué preguntas se plantean para identificar los eventos o riesgos? | Que puede salir mal? Como puede salir mal? Cual es el daño potencial? Que se puede hacer al respecto? |
| ¿Cómo se clasifican los riesgos? | Inherentes (existen antes que se hagan planes para controlarlos) y residuales (riesgos restantes luego de ser controlados) |
| ¿Cómo se pueden identificar los riesgos? | Auditando, diagramas de operaciones de compañia, cuestionarios de analisis de riesgo, analisis de declaraciones financieras. |
| ¿Qué recursos ayudan en la identificación y evaluación de los riesgos relacionados al TI? | NIST.gov, GAO.gov, Enfoque de pérdida esperada, enfoque de puntuación. |
| ¿Cómo califica los eventos el Enfoque de pérdida esperada? | Accidental o deliberado. |
| ¿Desde qué perspectivas son evaluados los riesgos? | Probabilidad e Impacto. |
| ¿Cómo se categorizan los riesgos? | Criticos, Importantes, no importantes. |
| ¿Cómo comienza la respuesta al riesgo? | Es un proceso que empieza cuando las compañias evalúan los riesgos inherentes, seleccionan las técnicas de respuesta adecuadas, y evalúan el riesgo residual. |
| ¿De qué formas se puede responder al riesgo? | Evadir, Prevenir, Transferir, Reducir. |
| ¿Cuál es la última forma de responder a un riesgo? | Asumir o retener el riesgo. |
| Solamente una técnica puede ser aplicada para un riesgo dado. (V o F) | Falso. Se puede aplicar más de una (Un riesgo puede ser reducido, y luego transferido). |
| ¿Cómo define COBIT el control de actividades? | Políticas, procesos, prácticas y estructuras diseñadas para brindar la garantía de que los objetivos del negocio se cumplan. |
| ¿Por qué es efectivo implementar actividades de control? | Ayuda a: Reducir riesgos, cumplir con las políticas y leyes de la compañia, mejorar la eficiencia. |
| ¿Cuáles son los tipos de controles? | Preventivos, de detección, correctivos. |
| ¿Cómo funcionan los controles Preventivos? | Evitan que ocurran los problemas, son superiores a los de detección. |
| ¿Cómo funcionan los Controles de Detección? | Están hechos para descubrir problemas que no pueden ser prevenidos. |
| ¿Cómo funcionan los Controles Correctivos? | Diseñados para identificar, corregir y recuperar de los problemas identificados. |
| Un sistema de control interno efectivo debe implementar los 3 tipos de controles. (V o F) | Verdadero. |
| ¿En qué áreas pueden ser implementadas las actividades de control? | Segregación de deberes, aprobación de transacciones, bienes, registros, protección de datos. |
| ¿Qué es la información? | Datos organizados y procesados para dar sentido y, así, mejorar la toma de decisiones. |
| ¿Cuando es útil la información? | Cuando es relevante, confiable, completa, a tiempo, entendible, verificable, accesible. |
| ¿Qué es la comunicación? | Se refiere al proceso de brindar, compartir y obtener información en una base continua y frecuente. |
| ¿Cómo puede ser la comunicación de información? | Externa o Interna. |
| AIS | Sistema de Información Contable. |
| ¿Qué debe hacer un sistema de información contable? | Reunir, registrar, procesar, almacenar, resumir y comunicar información a cerca de una organización. |
| ¿Por qué son importantes las actividades de Monitoreo? | Para asegurar que la información y los sistemas de comunicación sean implementados de forma efectiva, y que operen como han sido diseñados. |
| Ejemplos de actividades de monitoreo: | Auditorias internas, Evaluación interna de controles, rastreo de software adquirido y dispositivos móviles, integrar en la junta un director de Seguridad Informática y un especialista forense. |
| La evaluación de riesgo no es el primer paso en la metodología de gestión de riesgo. (V o F) | Falso. Si es. |
| ¿Cómo se usan las evaluaciones de riesgo basadas en NIST? | Son usadas por las organizaciones para determinar el grado de amenazas potenciales y evaluar riesgos asociados con sistemas de TI. |
| ¿Qué hace un Director de Riesgos (CRO)? | En colaboración con la junta directiva, determina los limites de los riesgos que la organización puede tolerar. |
| ¿Qué información sobre el riesgo debe dar el Coordinador de la gestión de riesgo de TI? | Conocimiento e información a la línea de negocios con respecto a los riesgos especificos a afrontar por una aplicación o el sistema. |
| ¿Qué debe hacer el departamento de TI junto al Director de Tecnología (CTO)? | Evaluar, gestionar, y aceptar los riesgos asociados con el tipo de tecnología a nivel de la empresa. |
| ¿Qué determinan el Director de Riesgos (CRO) y el Director de Tecnología (CTO) en el proceso de evaluación de riesgos de TI? | Si la evaluación es adecuada o si carece de información. |
| ¿Qué soluciones se ofrecen si los riesgos evaluados caen fuera de los límites de la regulación y la junta directiva? | Implementar más controles, comprar un seguro para transferir riesgos, no ofrecer un servicio particular. |
| Las evaluaciones de riesgo deben ser revisadas y reconsideradas cada mes. (V o F) | Falso. Cada año. |
| ¿Qué es el COBIT? | Es un conocido marco de trabajo de Gobernanza de TI, ayuda en las areas de cumplimiento regulatorio y alineamiento de estrategias de TI; asi como metas organizacionales. |
| COBIT es crucial en el area de gestión de riesgos. (V o F) | Verdadero. |
| ¿A quienes y a qué ayuda COBIT? | Ayuda a empleados, gerentes, ejecutivos y auditores a: entender sistemas de TI, gestionar y evaluar riesgos de TI, decidir nvieles de seguridad y control adecuados. |
| COBIT Mantiene equilibrio entre realización de beneficios y optimización de niveles de riesgo y uso de recursos (V o F) | Verdadero. |
| ¿Cuando es apropiado escoger COBIT? | Cuando las metas de la empresa no se limiten a entender TI y los objetivos de negocios, sino tambien a abordar las áreas de cumplimiento regulatorio y gestión de riesgo. |
| La Familia ISO/IEC 27000 de estándares ayuda a las empresas a comunicar sus bienes de información. (V o F) | Falso. Ayuda a asegurar los bienes de información. |
| El ISO/IEC 27005:2011 Tecnología de Información - Técnicas de Seguridad - Gestión de riesgo de seguridad informática, ayuda a: | Brindar lineamientos para la gestión satisfactoria de la gestión de riesgos de la información. |
| ¿A qué ayudan las familias de estándar ISO? | Gestionar la seguridad de bienes, información financiera, propiedad intelectual, detalles de empleados, información confiada por terceros. |
| El ISO/IEC 27005:2011 sugiere actividades continuas para la gestión de riesgo: | Establecer contexto de gestión de riesgo, evaluar cuantitativa y cualitativamente la información de riesgos, determinar como responder a los riesgos, mantener a los interesados informados, monitorear y revisar riesgos. |
| ¿Cuál es el enfoque mayor de NIST en las actividades de TI? | Brindar criterios de medición para apoyar el desarrollo de tecnología de avance. |
| ¿Cómo se emiten los estándares y lineamientos de NIST? | FIPS: Federal Information Processing Standards |
| ¿Cuando NIST desarrolla los FIPS? | Cuando hay requisitos de gobierno federal obligatorios para estandares de TI relacionados a la seguridad e interoperabilidad. |
| Estándar que brindó la guía inicial a las organizaciones federales en desarrollar seguridad física y programas de gestión de riesgos para instalaciones de sistemas de seguridad. | FIPS 31, NIST en 1974. |
| Estándar en el que las agencias federales eran responsables de incluir con su información "polizas y procedimientos que aseguraran cumplimiento con requisitos de configuración de sistema aceptables". | Emisión de FIPS 200: Requisitos de seguridad mínimos para Información Federal y Sistemas de información, en Marzo de 2006. |
| Estandar que definió los controles de seguridad y privacidad en el requisito mínimo de gestionar configuraciones del sistema. | NIST SP 800-53: Controles de Seguridad y Privacidad para Sistemas de información Federales. |
| RMF | Risk Management Framework | Marco de trabajo de Gestión de Riesgo |
| ¿Qué brinda el NIST SP 800-30? | Brinda una base comun para el personal con o sin experiencia, ya sea que usen o apoyen el proceso de gestión de riesgos para sus sistemas. |
| El NIST SP 800-30 puede ser implementado solamente en un único sistema, en organizaciones grandes. (V o F) | Falso. Puede ser implementado en multiples sistemas interrelacionados, desde pequeñas hasta grandes organizaciones. |
| ¿Cómo han ayudado las directrices de NIST a las agencias federales y organizaciones a mejorar la calidad de seguridad de TI? | Marcos de trabajo estándar, determinaciones basadas en riesgo, enfoques mas flexibles y dinámicos, enfoque de abajo hacia arriba con respecto a la seguridad de info, enfoque de arriba a abajo relacionado a la seguridad de Info. (Ver pág 167 de libro) |
| Organizaciones del sector privado (pequeñas, medianas, grandes) usan las directrices NIST para promover Funciones de Negocios Críticas aseguradas. (V o F) | Verdadero. |
| ¿Qué permite la flexibilidad y facilidad en el uso del estándar NIST SP 800-30? | Identificar los potenciales riesgos asociados con Sistemas de Información, determinar la probabilidad de ocurrencia, impacto y salvamientos adicionales para mitigación. |
| ¿De qué se encarga el GAO? | Realiza auditorias, encuestas, investigaciones, y evaluaciones de programas federales. Puede incluir auditorias de agencias federales y estatales, de condado, y gobiernos. Hasta extenderse a la industria privada. |
| ¿Cómo publica GAO sus hallazgos y recomendaciones? | Como reportes a miembros de congreso o entregados como testimonio a comites de congreso. |
| ¿Para qué se usa el GAS (Normas de Cuentas Gubernamentales)? | Para ayudar a los auditores a reconocer factores de riesgo que involucren el procesado de computadoras. |
| ¿Para qué se usa el IMTEC 8.1.4? | Planear y realizar evaluaciones de riesgo de hardware y software, telecomunicaciones, y adquisiciones de desarrollo de sistemas. |
| ¿Quién emite las declaraciones de normas de auditoría (SAS)? | La Junta de estándares de Auditoría de AICPA (Instituto Americano de Contadores públicos Certificados) |
| ¿Cuál ha sido el mayor rol de AICPA? | Emisión de directrices para la profesión de cuentas y control. |
| ¿Cómo define el riesgo en el SAS (Declaraciones de Normas de Auditoría) 47? | Posibilidad de una declaración errónea en un balance de cuentas que: puede ser material al ser agregado con declaraciones en otros balances o no será prevenido o detectado en una base de tiempo por el sistema interno de control. |
| ¿Qué requiere el SAS 65? | Que el auditor desarrolle entendimiento de la función de auditoria interna, y determinar que la función sea relevante para la evaluación de control de riesgo. |
| ¿Qué brindó el SAS 94? | Dirección a los auditores a cerca del efecto del TI en controles internos y en el entendimiento de los auditores de los controles internos y la evaluación de control de riesgo. |
| ¿Qué es ISACA? | Asociación de Auditoria y Control de Sistemas de Información, es una asociación sin fines de lucro comprometida a extender el conocimiento base de profesión a través de investigación. |
| La gestión basa sus decisiones en cuanto control es el adecuado en una evaluación de control del nivel de exposición de riesgo que están preparados a aceptar. (V o F) | Verdadero |
| ¿Cómo se pueden reducir las aberturas o exposiciones? | Con la implementación de controles apropiadamente diseñados, basados en la estimación de ocurrencias y hechos para reducir esa probabilidad.. |
| IIA | Institute of Internal Auditors | Instituto de Auditores internos |
| ¿A qué debe ayudar la auditoría interna? | A identificar y evaluar aberturas de riesgo y contribuir a la mejora de la gestión de riesgo y sistemas de control. |
| ¿Qué dicta el Estándar 2110.A1 del IIA? | Que la auditoria interna debe monitorear y evaluar la efectividad del sistema de Gestión de riesgo de una organizacion. |
| ¿Qué estipula el Estándar de Implementación 2110.A1? | La auditoria interna debe evaluar aberturas a riesgos con respecto a: confiabilidad e integridad de informacion financiera, efectividad de operaciones, salvaguardar los bienes, cumplimiento de leyes, regulaciones y contratos. |
| ¿Qué es el GAIT? | Evaluación de Deficiencia de Controles Generales de TI: es un enfoque de evaluación de arriba hacia abajo basado en riesgos para evaluar controles generales de TI. Identifica deficiencias durante una evaluación de control Sarbanes-Oxley. |
| ¿Qué es el GAIT para negocios y riesgos de TI? | Metodología de auditoría basada en riesgo para alinear auditorías de TI a los riesgos de negocio. |
| ¿Qué es COSO? | Comité de Organizaciones Patrocinadoras de la Comisión Treadway: organización dedicada a mejorar la calidad de reportes financieros a través de éticas de negocio, controles internos effectivos, y gobernanza corporativa. |
| ¿Quienes conforman a COSO? | Representantes de la industria, agencias de contaduría pública, firmas de inversores, y la Bolsa de Valores de NY. |
| ¿Quién desarrolló y cuando se publicó el ERM de COSO? | Se desarrolló por la firma de contaduría global, PriceWaterhouseCoopers, y se emitió en Septiembre de 2004. |
| ¿Para qué funciona el ERM? | Es una herramienta efectiva para gerentes Senior y la junta directiva para fijar metas y estrategias, evaluar y gestionar áreas de riesgo, asegurar que la compañía cumpla con sus objetivos. |
| ¿Qué es el riesgo? | Posibilidad de una desviación adversa en un resultado deseado. |
| Riesgos de Ti normalmente manejados por un seguro: | Daños a equipo computacional, costo de almacenamiento, costo de adquirir los datos almacenados, daño a externos, efectos en negocio por pérdidas de funciones computacionales. |
| Riesgos cubiertos en Pólizas de TI: | Propiedad, responsabilidad, interrupcion de negocios, seguros de fidelidad. |
| En 2016, un estudio hecho por Symantec indicó que el 43% de ataques ciberneticos se dirigieron a pequeños negocios (V o F) | Verdadero |
| ¿Qué es una póliza de ciberseguro? | Producto de seguro designado a proteger organizaciones e individuos de riesgos relacionados a infraestructura de TI y actividades. |
| ¿Qué cubren las pólizas de ciberseguro? | Pérdidas por destrucción de datos, extorsión, robo, hackeos, y ataques de DOS; perdidas causadas por errores u omisión, fallas al guardar datos, o difamación. |
| ¿Cómo pueden ser manejados los riesgos no asegurables? | Reducidos o retenidos. |
| ¿Cómo se logra la reducción de riesgos? | Prevención de pérdidas y control. |
| Preguntas que determinan si los riesgos son reducibles: | Son un chingo, ver página 172 |
| El método de retención de riesgos debe ser voluntario y debe seguir un criterio, ¿Cuál? | El riesgo debe propagarse fisicamente, debe hacerse un estudio para determinar la maxima exposicion a perdidas, considerar la posibilidad de experiencia infavorable, se debe hacer un cargo de prima contra las operaciones que se adecúen a cubrir perdidas. |
Created by:
Sebastián Sosa
Popular Engineering sets