CONTROLRISK es un software en Tecnología Web (Cloud Computing), para conducir y soportar la implantación, evolución y mejoramiento continuo del Sistema de Administracion de Riesgos Operacionales (SARO) y el sistema de Gestión de riesgos en entidades públicas y el modelo con el MECI. Provee buenas y mejores prácticas recomendadas por ISO 31000, el marco de referencia ERM (Enterprise Risk Management), COSO, COBIT, ISO 27001 y otros estándares. Provee funcionalidades para desarrollar a través del tiempo las siguientes actividades:
1) Implantar los sistemas de gestión de riesgos SARO, SARLAFT y el sistema de gestión de riesgos en Entidades Públicas.
2) Implantar la Gestión de Riesgos en el ciclo PHVA de los Procesos del Modelo de Operación, los procesos de TIC y los Sistemas de Información automatizados de la Empresa.
3) Monitorear periódicamente la gestión de riesgos, para generar indicadores de riesgos prospectivos y descriptivos sobre el cumplimiento de los controles y los niveles de severidad del riesgo residual.
4) Actualizar y Mejorar Continuamente el Sistema de Gestión de Riesgos en los procesos del modelo de operación de la Empresa.
5) Crear y Mantener Actualizada la Base de Datos de “Eventos de Riesgo Ocurridos” (RERO) en la Empresa, analizar los eventos materializados y ejecutar seguimiento a las acciones correctivas de remediación.
6) Monitorear periódicamente el Plan de Continuidad del Negocio. Comprobar periódicamente la disponibilidad de las estrategias de continuidad previstas en el BCP
7) Auditar el Sistema de Gestión de Riesgos SARO y SARLFT: planeación de la auditoría, Verificar el cumplimiento y validez del framework, verificar la calidad de los productos, pruebas de cumplimiento y pruebas sustantivas.
ControlRisk provee funcionalidades para gestionar los Sistemas de Gestión de Riesgos SARO y SARLAFT. Como apoyo para implantar la gestión de riesgos empresariales, provee una Base de Datos de Conocimientos de Gestión de Riesgos, que contiene numerosas “mejores y buenas prácticas” sobre clases o categorías de riesgos (por ejemplo, las consideradas por los modelos SARO, SARLAFT, MECI y AUDIRISK), eventos de riesgo potenciales (amenazas) que pueden originar las clases de riesgo (por ejemplo, eventos de riesgo que podrían generar fraude interno, Sanciones Legales, etc), relaciones entre categorías de riesgo y eventos de riesgo (por ejemplo, eventos que podrían generar la clase de riesgo “Fraude Interno”), controles, relaciones entre eventos de riesgo y controles (por ejemplo, los controles aplicables al evento “Destrucción de la información por incendio accidental”) y objetivos de control aplicables a procesos de TI (COBIT e ISO 27001) y aplicaciones de computador.
Requerimientos: