Datasec - Meycor GRC para la gestión del riesgo operacional y auditoría

Meycor GRC para la gestión del riesgo operacional y auditoría

El riesgo operacional está asociado a errores humanos, fallas en los sistemas y a la probabilidad de existencia de procedimientos y controles inadecuados. Los estándares internacionales tales como Basilea II y Solvencia II requieren su efectiva implantación luego de muchos lamentables ejemplos de mal manejo de este riesgo entre los que se menciona el caso del Banco Barings, un banco ingles con una larguísima tradición que desapareció del mercado luego de sumar pérdidas operativas por US$ 850 millones producto de temerarias operaciones de su principal agente en oriente.

Las amenazas potenciales que asechan son múltiples, y por eso un enfoque colaborativo requiere de la identificación y gestión de todas las áreas del negocio.

Esta gestión requiere contar con una solución de software específica que aporte metodología, alertas, herramientas de análisis y la necesaria seguridad de la crítica información que se maneja.

Meycor GRC ha ido evolucionando a través de experiencias exitosas para apoyar a las organizaciones de cualquier tamaño preocupadas por el tema con una solución modular y adaptable a cada caso. Esto ayuda a reducir costos y demostrar la debida diligencia y el cumplimiento con normas y mejores prácticas.

Contempla los estándares más reconocidos ISO 31000, AS NZ 4360:2004, COSO, ERM, CobiT, ISO/IEC 27001.

La solución reconoce la necesidad de que las áreas del negocio gestionen sus riesgos. A la vez, las áreas de Riesgos, Cumplimiento y Auditoría deben poder monitorear los avances y obtener la información consolidada para sus análisis.

La Alta Dirección obtiene permanente evidencia de que la gestión es adecuada y que protege los intereses de las partes interesadas.

Como se ve en el siguiente cuadro la solución permite:

El análisis de riesgos cualitativo (incluye plantillas de ejemplos de amenazas y gran flexibilidad de adaptarse a la realidad específica).
El registro de eventos de pérdida y cuasi pérdida (permite que los eventos se vinculen a las amenazas gestionadas o alerten ante amenazas sin identificación previa).
Alertas inmediatas (cuando en cantidad o importe los eventos registrados superan el umbral establecido, se generan alertas)
Obtener KRIs o Indicadores Clave del Riesgo (permite identificar métricas, cargarlas manual o automáticamente y obtener una visión integrada de las mediciones en un cuadro de mando).
Análisis cuantitativo (a partir de los eventos registrados se sugieren las distribuciones de probabilidad e impacto que siguen determinándose automáticamente la correspondiente pérdida esperada por línea de negocio).

Mencionaremos a continuación algunas de las funcionalidades de Meycor GRC:

Para evaluación y gestión de riesgos

1.    Define una estructura de unidades-procesos-objetivos y amenazas.

2.    Integra el análisis con el módulo de registro de eventos de pérdida.

Permite definir campos a registrar, estados y quienes deben registrar. Los eventos se asocian a los riesgos identificados.

3.    Sistema de alertas.

Cuenta con diversas alertas. En particular se destaca la posibilidad de ingresar umbrales de alerta a nivel de amenazas o de categorías. Esto es dinámico y se verifica en ocasión de cada nuevo evento registrado. A partir de allí se obtiene una alerta inmediata por e-mail cuando un valor supera los riesgos. Este sistema se complementa con la gestión de los KRI (que también se contemplan en la solución como un módulo adicional).

4.    Integración de @Risk a la solución.

A partir de los eventos de pérdida registrados se corre un proceso automático que permite la evaluación cuantitativa, determinando para cada amenaza la distribución estadística más adecuada (Poisson, Binomial, etc.) para la probabilidad e impacto. Adicionalmente permite correr la simulación basada en Montecarlo para confirmar los valores.
Es posible obtener diversos reportes y gráficos para que el analista pueda evaluar los resultados.

5. Reporte de pérdidas estimadas por línea de negocio.

Se obtienen los valores medios anuales de impacto y probabilidad, en función de la información ingresada. A partir de esa información clasificada por amenaza se agrupa a nivel de líneas de negocio y categorías (que podrían ser por ejemplo los niveles de Basilea II).
Esto permite obtener un valor monetario que justifique inversiones en controles o reserva de fondos.

6. Herramientas para análisis de amenazas.

Cada área según sus propios riesgos y la Unidad de Riesgos cuentan con diversos reportes y graficas para analizar y determinar tendencias de los riesgos que deben ser gestionados. El reporte de exploración de riesgos con sus diversas facilidades de filtros es un ejemplo.

Solución Meycor GRC para Auditoría

Además del tradicional enfoque incluido en Meycor de auditoría de procesos basada en riesgos se incluye ahora la posibilidad de ejecutar otras auditorías (operacionales, de cumplimiento, financieras, etc.) que aprovechan las diversas funcionalidades de gestión sin necesidad de asociarlas con información del Módulo de Evaluación.
Así por ejemplo para: Determinar si la valuación contable de los activos fijos es adecuada o si un proceso cumple con las directivas del sistema de gestión de la seguridad de la información que tiene la organización, se puede usar el Módulo Meycor para Auditoría.

El mismo permite entonces:

Configuración por el usuario
Asignación de roles (gerente, administrador, jefe de equipo, auditores)
Ingreso de guías de auditoría
Creación de proyectos de auditoría y asignación de auditores
Registro de observaciones
Registro de tareas
Administración de papeles de trabajo
Control de los recursos asignados al proyecto
Alertas
Seguimiento de las observaciones
Reporte final automático

Se define el tipo de auditoría a ejecutar:

Informe automático a partir del registro de hallazgos y observaciones:

Control de avance del proyecto: