información de productopublic.dhe.ibm.com/software/data/cognos/... · información de producto...

IBM OpenPages GRC PlatformVersión 7.2.0

Guía de soluciones

IBM

NotaAntes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página109.

Información de producto

Este documento se aplica a IBM OpenPages GRC Platform Versión 7.2.0 y también a releases posteriores.

Material bajo licencia - Propiedad de IBM Corporation.

© Copyright IBM Corporation, 2003, 2015.

Derechos restringidos para los usuarios del Gobierno de EE.UU. - Uso, duplicación o divulgación restringida por elcontrato de planificación de GSA ADP con IBM Corp.

Contenido

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. vLicencias de tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. vOpenPages Financial Controls Management . . . . . . . . . . . . . . . . . . . . . . . .. vOpenPages Operational Risk Management . . . . . . . . . . . . . . . . . . . . . . . .. vi

Algo Risk Content on Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . .. viiOpenPages Policy and Compliance Management . . . . . . . . . . . . . . . . . . . . .. viiiOpenPages IT Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. viiiOpenPages Internal Audit Management . . . . . . . . . . . . . . . . . . . . . . . . .. ixGestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . . . . . . . .. xIndicadores clave de riesgo e Indicadores clave de rendimiento (KRI y KPI) . . . . . . . . . . . . .. xii

Capítulo 1. Novedades . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 1Características nuevas de la versión 7.2.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 1Nuevas características de la versión 7.1.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 3Nuevas características de la versión 7.0.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 3

Capítulo 2. Tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . .. 5Correlación de nombres de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . .. 8Descripciones de tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . .. 11Subcomponentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 30

Capítulo 3. Campos calculados . . . . . . . . . . . . . . . . . . . . . . . .. 35

Capítulo 4. Ayudantes . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 39Asistente de finalización de escenario. . . . . . . . . . . . . . . . . . . . . . . . . .. 40Programa de utilidad Creación de valor de KRI . . . . . . . . . . . . . . . . . . . . . .. 40Programa de utilidad Creación de valor de KPI . . . . . . . . . . . . . . . . . . . . . .. 41Asistente de finalización de RCSA . . . . . . . . . . . . . . . . . . . . . . . . . . .. 41Asistente de alineación de procesos RCSA . . . . . . . . . . . . . . . . . . . . . . . .. 42Asistente del programa de utilidad de inicio de RCSA . . . . . . . . . . . . . . . . . . . .. 42Asistente de sincronización de sitios de RCSA . . . . . . . . . . . . . . . . . . . . . . .. 43Visores de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 43Asistente Vista de comparación de políticas . . . . . . . . . . . . . . . . . . . . . . .. 43Asistente Desbloquear política . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 44Asistente Publicar notificación por lotes . . . . . . . . . . . . . . . . . . . . . . . . .. 44Asistente Vista de conocimiento de política . . . . . . . . . . . . . . . . . . . . . . . .. 45Asistente Informe de creación de testificación . . . . . . . . . . . . . . . . . . . . . . .. 45Asistente Obtener líneas base . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente Crear enlaces de recursos . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente Cerrar auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente para añadir o modificar planificaciones . . . . . . . . . . . . . . . . . . . . . .. 46Asistente para el informe de entrada de hoja de registro horario. . . . . . . . . . . . . . . . .. 47Asistente para el informe de entrada de hoja de registro horario del administrador . . . . . . . . . .. 47

Capítulo 5. Notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . .. 49Notificación a través del boletín de problemas y acciones . . . . . . . . . . . . . . . . . . .. 50Notificación de recordatorio de KPI . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de infracción de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de recordatorio de KRI . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de infracción de KRI . . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 51Notificación de evaluación de cuestionario . . . . . . . . . . . . . . . . . . . . . . . .. 51

iii

Capítulo 6. Informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 53Informes de evaluación de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . .. 56Informes de riesgos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 57Informes de control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 58Informes de prueba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 58Informes de visualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de indicador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de eventos de pérdida . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de gestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . . .. 60Informes de análisis de escenarios . . . . . . . . . . . . . . . . . . . . . . . . . . .. 60Informes de modelado de capital . . . . . . . . . . . . . . . . . . . . . . . . . . .. 61Informes de cumplimiento normativo. . . . . . . . . . . . . . . . . . . . . . . . . .. 61Informes de activos de TI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 62Informes de conformidad de TI. . . . . . . . . . . . . . . . . . . . . . . . . . . .. 62Informes de gestión de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . .. 63

Capítulo 7. Activadores. . . . . . . . . . . . . . . . . . . . . . . . . . . .. 67Tipos de objeto que contienen activadores . . . . . . . . . . . . . . . . . . . . . . . .. 68Activadores de gestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . .. 68

Activador de ciclo de vida del problema. . . . . . . . . . . . . . . . . . . . . . . .. 69Activadores de evaluaciones de riesgos y autocontrol . . . . . . . . . . . . . . . . . . . .. 70Activadores de visualización . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 70Activadores del ciclo de vida de KRI y KPI. . . . . . . . . . . . . . . . . . . . . . . .. 70Activadores del ciclo de vida de eventos de pérdida. . . . . . . . . . . . . . . . . . . . .. 71

Activador de cálculo de eventos de pérdida . . . . . . . . . . . . . . . . . . . . . .. 71Activador de envío para aprobación del evento de pérdida . . . . . . . . . . . . . . . . .. 72Activador de aprobación de eventos de pérdida . . . . . . . . . . . . . . . . . . . . .. 72

Activadores de ciclo de vida de evaluación de cuestionario . . . . . . . . . . . . . . . . . .. 72Activador de importación de políticas . . . . . . . . . . . . . . . . . . . . . . . . .. 73Activador de bloqueo de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . .. 75Activador de cálculos de clasificación de riesgos de la auditoría . . . . . . . . . . . . . . . . .. 75Activador de automatización de cierre de auditoría . . . . . . . . . . . . . . . . . . . . .. 75Activadores de ciclo de vida de incidente . . . . . . . . . . . . . . . . . . . . . . . .. 76

Capítulo 8. Perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages RCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages MRG Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages FCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de OpenPages ORM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de ORM Operational Risk Team . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de ORM Business User . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 81Perfil de ORM Simplified User . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 81Perfil OpenPages FIRST Loss . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 82Perfil de OpenPages PCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 82Perfil de OpenPages ITG Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Perfil de OpenPages IAM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Listas filtradas de la página de inicio . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Vistas de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 90Vistas de cuadrícula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 99

Capítulo 9. Plantillas de rol . . . . . . . . . . . . . . . . . . . . . . . . .. 101Permisos de plantillas de rol . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 101Permisos de tipo de objeto asignados por plantilla de rol . . . . . . . . . . . . . . . . . . .. 101

Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 109

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 113

iv IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

Introducción

IBM® OpenPages GRC Platform contiene soluciones, tales como IBM OpenPagesFinancial Controls Management y IBM OpenPages Operational Risk Management.

Público

La publicación Guía de soluciones de IBM® OpenPages® GRC Platform está dirigida alos usuarios que necesitan utilizar las soluciones que se proporcionan conOpenPages GRC Platform. El contenido describe los tipos de objeto para cadasolución. Identifica también los subcomponentes, campos calculados, asistentes,notificaciones, informes, activadores, perfiles y plantillas de rol compatibles concada solución.

Dónde encontrar información

Para buscar documentación de productos en la web, incluida toda ladocumentación traducida, acceda al Knowledge Center de IBM(http://www.ibm.com/support/knowledgecenter).

Funciones de accesibilidad

Las funciones de accesibilidad ayudan a los usuarios que tienen algunadiscapacidad física, por ejemplo movilidad restringida o visión limitada, a utilizarproductos de tecnología de la información. La documentación de OpenPages GRCPlatform tiene características de accesibilidad. Los documentos PDF soncomplementarios y no incluyen características de accesibilidad.

Proyecciones futuras

En esta documentación se describen las funcionalidad actuales del producto. Puedeque se incluyan referencias a elementos que actualmente no están disponibles. Perono debe entenderse que estos vayan a estar disponibles en un futuro. Estasreferencias no constituyen un compromiso, promesa ni obligación legal queimplique la entrega de ningún tipo de material, código o funcionalidad.Eldesarrollo, entrega y comercialización de las características son aspectos quequedan a la entera discreción de IBM.

Licencias de tipos de objetoDispone de licencia para utilizar los tipos de objeto de cada solución de IBMOpenPages GRC Platform que haya adquirido.

Para obtener una lista completa de los tipos de objeto proporcionados con cadasolución, consulte el apartado Capítulo 2, “Tipos de objeto”, en la página 5. Quedaprohibido el uso de cualquier otro tipo de objeto sin la autorización previa porescrito de IBM.

OpenPages Financial Controls ManagementIBM OpenPages Financial Controls Management reduce el tiempo y el coste de losrecursos asociados con el cumplimiento de las regulaciones sobre informesfinancieros actuales

v

http://www.ibm.com/support/knowledgecenter

IBM OpenPages Financial Controls Management combina una potente gestión delos documentos y los procesos con funciones de elaboración de informesinteractivas en un entorno flexible, adaptable y fácil de utilizar. Esta característicaproporciona a los CEO, CFO, gestores, auditores independientes y comités deauditoría la capacidad de realizar todas las actividades necesarias para cumplir lasregulaciones sobre informes financieros de una forma sencilla y eficaz.

Permite a los usuarios ver fácilmente el estado de sus proyectos de documentaciónsobre controles financieros y proporciona un repositorio seguro para elalmacenamiento de la documentación de sus controles internos.

Sus principales características son:v Un repositorio de gestión de controles financieros, que presenta los procesos,los

riesgos y controles de modo lógico en relaciones de varios a varios ycompartidas en diferentes niveles y permite adjuntar archivos y planes de accióna los procesos, riesgos, controles y pruebas a todos los niveles.

v Automatización flexible que proporciona notificación y finalización de lasactividades de gestión de los controles financieros, como revisión de diseño,revisión de funcionamiento y certificación.

v Informes, supervisión y análisis.

Para obtener más información, consulte el documento OpenPages GRC PlatformFCM Solution Details.

OpenPages Operational Risk ManagementIBM OpenPages Operational Risk Management combina la gestión de proceso ydocumentos con un sistema de supervisión y soporte de las decisiones. IBMOpenPages Operational Risk Management permite a las organizaciones analizar,gestionar y mitigar riesgos de una forma simple y eficiente.

IBM OpenPages Operational Risk Management ayuda a automatizar el proceso demedir y supervisar el riesgo operativo. Combina todos los datos de riesgo,incluidas las evaluaciones de riesgos y autocontrol, los eventos de pérdida, losanálisis de escenarios, las pérdidas externas y los indicadores claves de riesgo(KRI) en un única solución integrada.

IBM OpenPages Financial Controls Management incluye las siguientescaracterísticas clave:v Eventos de pérdida para supervisar, evaluar y gestionar eventos internos y

externos que podrían originar pérdidas operativas.v Evaluaciones de autocontrol y riesgos (RCSA) para identificar, medir y reducir el

riesgo.v Indicadores claves de riesgo (KRI) e indicadores clave de rendimiento (KPI), que

pueden realizar un seguimiento de las mediciones de rendimiento para mostrarpotencialmente la presencia o el estado de una condición de riesgo o unatendencia.

v Análisis de escenarios, que es una técnica de evaluación que se utiliza paraidentificar y medir determinadas clases de riesgos, en particular, los eventosmuy graves y de baja frecuencia.

v Eventos de pérdidas externas para importar datos de pérdidas de las bases dedatos de pérdidas de IBM Algo Risk Content on Cloud, ORX y ORIC.

v Gestión de problemas y corrección (IMR)

vi IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

v Modelado de capital, que proporciona la capacidad de almacenar informacióndel modelado de capital en OpenPages. La característica de modelado de capitalde IBM OpenPages GRC Platform proporciona una integración completa con laaplicación IBM OpenPages Capital Modeling.

v Informes, supervisión y análisis

Para obtener más información, consulte el documento OpenPages GRC PlatformORM Solution Details.

Algo Risk Content on CloudLa base de datos IBM Algo Risk Content on Cloud es una colección de eventos depérdida por riesgos operativos externos en forma de estudios de caso de riesgo.

Los eventos Algo Risk Content on Cloud están dirigidos al sector financiero ycontienen más de 20 años de eventos, que se han indexado en 13 jerarquías depalabras clave, incluidas la categoría Base y la línea de negocio. Otras jerarquíasincluyen el factor de control, el activador de eventos, el tipo de unidad de negocioy el tipo de entidad. Los casos de Algo Risk Content on Cloud incluyendescripciones detalladas que desglosan el evento para analizar la causa raíz,identificar desgloses de control, las lecciones aprendidas, la respuesta del equipode dirección y las consecuencias del evento. Los eventos también pueden incluirsecciones con detalles de respaldo que proporcionan una línea temporal al evento,información relevante sobre la institución en la que sucedió y otros detalles sobreel impacto de las pérdidas.

La mayoría de los eventos de Algo Risk Content on Cloud capturan informacióncuantitativa, así como análisis cualitativos detallados. Esta información cuantitativatoma la forma de importes de pérdida que se capturan en el momento del evento.

Algo Risk Content on Cloud ofrece una suscripción a un complemento de datosactualizado a diario con la base de datos de Algo Risk Content on Cloud en unformato compatible con la función FastMap. Los clientes de IBM OpenPages GRCPlatform pueden utilizar el complemento de datos FastMap de Algo Risk Contenton Cloud para proporcionar acceso a los usuarios finales a estudios de caso deAlgo Risk Content on Cloud dentro de la aplicación OpenPages GRC Platform.Una vez cargados los datos en OpenPages GRC Platform, los usuarios finalespueden explorar y asociar estudios de caso de Algo Risk Content on Cloud aobjetos como análisis de escenario, riesgos y eventos de pérdida. Consulte a surepresentante de IBM para obtener más información sobre cómo obtener elcomplemento de datos Algo Risk Content on Cloud para OpenPages GRCPlatform.

Si se suscribe al servicio de base de datos de Algo Risk Content on Cloud, AlgoRisk Content on Cloud proporciona un archivo FastMap compatible para una cargacontinua de datos de Algo Risk Content on Cloud en IBM OpenPages OperationalRisk Management.

De forma predeterminada, IBM OpenPages Operational Risk Management incluyeel perfil OpenPages FIRST Loss. Los usuarios con este perfil pueden cargar datosde FIRST Loss a través de la función IBM OpenPages FastMap. Para obtener másinformación sobre este perfil, consulte el apartado “Perfil OpenPages FIRST Loss”en la página 82.

Introducción vii

OpenPages Policy and Compliance ManagementIBM OpenPages Policy and Compliance Management es una solución de softwarede gestión de cumplimiento empresarial que reduce los gastos, la complejidad y elcarácter engorroso del cumplimiento de las diferentes normas y políticascorporativas.

IBM OpenPages Policy and Compliance Management permite a las empresasgestionar y supervisar las actividades de cumplimiento a través de un conjuntocompleto de funciones integradas, como:v Bibliotecas regulatorias y Gestión de cambiosv Evaluaciones de riesgo y controlv Gestión de políticas, incluidas la creación, revisión y aprobación de políticas y el

reconocimiento de políticasv Pruebas de control y solución de problemasv Gestión de interacciones con el reguladorv Seguimiento de incidenciasv Indicadores clave de rendimientov Informes, supervisión y análisis

En IBM OpenPages Policy and Compliance Management, IBM OpenPages GRCPlatform se admiten tres métodos:

Centrado en datosLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y procedimientos se crea, almacena,modifica y revisa en los visores de las políticas. No se admite el control decambios marcados con una raya roja dentro de las iteraciones del borrador.

Centrado en documentoLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y los procedimientos se crea fuera deOpenPages GRC Platform y el documento entero se adjunta al objetoPolítica. El contenido de la política o el procedimiento nunca se importa nise almacena en OpenPages GRC Platform.

HíbridoLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y los procedimientos se crea y editaen documentos de Microsoft Word y después se importa y se almacena enOpenPages GRC Platform. La función de control de cambios disponible enMicrosoft Word se utiliza para realizar un seguimiento de los cambiosmarcados con una raya roja dentro de las iteraciones del borrador.

Para obtener más información, consulte el documento OpenPages GRC PlatformPCM Solution Details.

OpenPages IT GovernanceIBM OpenPages IT Governance alinea servicios de TI, riesgos y políticas coniniciativas, estrategias y estándares operativos corporativos.

IBM OpenPages IT Governance permite gestionar controles de TI internos y riesgosen función de los procesos empresariales que admitan. Asimismo, unifica varios

viii IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

silos de riesgos y conformidad de los departamentos de TI para proporcionar unamejor visibilidad, servir de base a la toma de decisiones y, en última instancia,mejorar el rendimiento de la empresa.

Sus principales características son:v Cumplimiento regulatorio y de las políticas por parte de los departamentos de

TIv Evaluaciones de riesgo y controlv Pruebas de control y solución de problemasv Gestión de recursos de TIv Seguimiento de incidenciasv Indicadores clave de rendimiento y de riesgov Informes, supervisión y análisis

Para obtener más información, consulte el documento OpenPages GRC Platform ITGSolution Details.

OpenPages Internal Audit ManagementIBM OpenPages Internal Audit Management proporciona a los auditores internosuna vista configurada de forma única del gobierno, los riesgos y el cumplimientonormativo de la organización, lo cual proporciona a la auditoría la oportunidad decomplementar y coexistir con actividades de gestión del cumplimiento normativo yde los riesgos más amplias.

Al igual que el resto de los módulos, IBM OpenPages Internal Audit Managementestá totalmente integrado con la gestión de los controles financieros, el gobiernodel departamento de TI, los esfuerzos en relación con las políticas y elcumplimiento normativo y los programas de gestión de riesgos operativos. Elequipo de auditoría interna tiene la capacidad de trabajar como un sociocompletamente integrado con los actores clave, de forma totalmente independienteo en una posición intermedia, en función de las necesidades concretas deldepartamento de auditorías o de lo que determine la auditoría en particular que seestá realizando.

Sus principales características son:v La capacidad de clasificar los riesgos del universo de auditoría, configurado en

función de su metodología de auditoría– Amplia compatibilidad con su metodología de evaluación de riesgos– Informes completos en la totalidad del universo de la auditoría

v Capacidad para definir, planificar, ejecutar e informar sobre las auditorías entoda la empresa– Seguimiento y gestión de auditorías, secciones de auditoría, informes y

requisitos y asignaciones de recursos de auditoría– Automatización de las operaciones a través de informes y un flujo de trabajo

totalmente configurablesv Capacidad de proporcionar una garantía independiente a la empresa o funcionar

como una parte integral de los esfuerzos de GRC– Opinión independiente sobre los esfuerzos de GRC del equipo de gestión– Control del acceso a auditorías, campos y vistas de solo auditoría

confidenciales

Introducción ix

Para obtener más información, consulte el documento OpenPages GRC Platform IAMSolution Details.

Gestión de problemas y correcciónEl proceso de Gestión de problemas y corrección (IMR) es un componente esencialde cualquier programa de gestión de riesgos. Una infraestructura IMR sólida ofrecereconocimiento, validación y transparencia al programa de gestión de riesgos alque da soporte.

Cuando se implementa de forma correcta, proporciona un alto valor con unasobrecarga mínima y sirve como estímulo subyacente para la continua mejora deun programa de gestión de riesgos. Una infraestructura IMR efectiva documenta,supervisa, corrige y audita los problemas identificados.

Los problemas son eventos que afectan de forma negativa a la gestión ynotificación de los riesgos de forma precisa. Estos eventos se identifican en relacióncon la infraestructura IMR documentada. Los problemas se pueden asociar conobjetos dentro de la infraestructura y tienen, por lo general, atributos como lapropiedad, la programación y el estado de corrección que identifican el área deconcentración. Un problema puede estar asociado con varios elementos principales.Por ejemplo, si se descubre un problema a través de un evento de pérdida, elproblema se puede asociar con el evento de pérdida, el riesgo que se ha producidoy cualquier control con error que se haya documentado.

El proceso IMR funciona en las siguientes actividades clave:1. Creación y asignación de problemas2. Creación y asignación de acciones3. Rendimiento de las correcciones4. Cierre del problema5. Elaboración de informes

Creación y asignación de problemas

Los problemas surgen como resultado de diferentes actividades de gestión deriesgos, como un evento de pérdida, una ruptura del umbral o la identificación deuna debilidad del control. A través de estas actividades, los usuarios pueden crearun problema dentro de IBM OpenPages GRC Platform.

Los problemas se añaden a través de la interfaz de usuario emisión; no se crean deforma automática como resultado de un factor causal.

Durante la creación, el estado del problema se define como pendiente. El creadordebe especificar un valor en el campo de fecha de vencimiento actual. La primeravez que se guarda un problema, la fecha de vencimiento actual se copia en uncampo de solo lectura que contiene la fecha de vencimiento original. Cuando secrea un problema, el propietario del problema (que no puede ser el creador) recibeuna notificación por correo electrónico.

Creación y asignación de acciones

Es responsabilidad del propietario del problema establecer y registrar las accionesadecuadas para resolver el problema identificado. Las acciones se creanmanualmente a través de la interfaz de usuario. Se capturan los siguientes datos

x IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

sobre un elemento de acción: descripción, responsable, fecha de inicio, fecha devencimiento, fecha de cierre real, estado (solo lectura) y comentarios.

Los responsables de la acción reciben una notificación de que deben realizar unaacción a través de Mis elementos de acción pendientes o por correo electrónico.

Rendimiento de las correcciones

Después de recibir la notificación, el asignado realiza la acción asignada. Algunasacciones pueden tardar algún tiempo en completarse, por lo que la personaasignada debe utilizar el campo Comentario para realizar un seguimiento delprogreso.

Cuando la acción ha finalizado, la persona asignada define el campo Enviar paracierre como Sí, lo cual copiará el campo del propietario del problema desde elproblema principal en la acción y definirá el estado de la acción como En esperade aprobación.

El cambio de estado traslada la acción a la página inicial del propietario delproblema para su revisión y aprobación.

Cierre del problema

El propietario del problema accede a una lista de acciones para aprobar el cierredesde la página de inicio o desde un correo electrónico.

Si la acción se rechaza y se guarda, el estado cambia a pendiente y la acción vuelvea la persona que tiene asignada la acción. Si la acción se acepta para su cierre y seguarda, el estado de la acción cambiará a cerrado y el campo Fecha de cierre serellenará con la fecha actual.

Una vez finalizadas las acciones, el propietario de la acción revisará el problema yactualizará el estado a Cerrado.

Elaboración de informes

Existen varios informes de problemas y de acciones a disposición de todos losusuarios. Asimismo, todas las notificaciones por correo electrónico se incluyen enun único boletín de problemas y acciones para los usuarios, incluida la siguienteinformación:v Problemas asignados al destinatario en los X últimos días.v Acciones asignadas al destinatario en los X últimos días.v Problemas previstos para cerrar en los próximos X días.v Acciones previstas para cerrar en los próximos X días.v Problemas vencidos.v Acciones vencidas.v Acciones a la espera de aprobación de cierre.

Para obtener más información, consulte el documento OpenPages GRC PlatformSolutions Issue Management and Remediation Details.

Introducción xi

Indicadores clave de riesgo e Indicadores clave de rendimiento (KRI yKPI)

Hay disponibles indicadores claves de riesgo (KRI) e indicadores clave derendimiento (KPI) para ls soluciones siguientes: IBM OpenPages Operational RiskManagement, IBM OpenPages Operational Risk Management y también IBMOpenPages IT Governance.

Las principales fases dentro del ciclo de vida de los indicadores clave son ladefinición, la creación de valor, la captura de valor y la elaboración de informes. Seproporciona la automatización siguiente en estas etapas para KRI y KPI paraofrecer soporte a un programa de gestión de métricas:

Definición de indicadorLos indicadores se pueden crear desde cero o basándose en indicadoresestándares de una biblioteca de indicadores.

Creación de valorLos objetos de valor de KRI y KPI se crean automáticamente mediante elprograma de utilidad de creación de valor, que normalmente se ejecuta deforma planificada. Un administrador puede ejecutar el programa deutilidad de creación de valor si no es posible ejecutar el trabajoprogramado de forma automática.

Captura de valorLas notificaciones sobre que es necesario especificar un valor se envían deforma automática al recopilador de indicadores activos del valor que seancercanos a su fecha de recopilación, a través de correos electrónicos y listasfiltradas de la página de inicio. Cuando se ha especificado y se haguardado el valor, los desencadenantes de KRI o KPI calculan elincumplimiento y otros valores de estado, los mantienen en el valor y en elindicador, y envían notificaciones al propietario del riesgo si el estado deincumplimiento pasa de verde o ámbar a rojo.

Informes de indicadorLos informes de panel de control de KRI y KPI muestran información deindicador de resumen de la entidad empresarial seleccionada y susdescendientes, con la posibilidad de examinar con mayor profundidad lainformación detallada y de tendencia de los valores del indicador.

Para obtener más información sobre los activadores de KRI y KPI, consulte eldocumento OpenPages GRC Platform Solutions Metrics Details. Para obtener másinformación sobre los informes de panel de control de KRI y KPI, consulte eldocumento OpenPages GRC Platform Solutions Report Details.

xii IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

Capítulo 1. Novedades

Hay disponibles nuevas características para esta publicación de las soluciones IBMOpenPages GRC Platform.

Para obtener información sobre las nuevas características de esta versión, consultela publicación IBM OpenPages GRC Platform New Features Guide.

Características nuevas de la versión 7.2.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de las soluciones de IBM OpenPages GRC Platform.

Los módulos se denominan ahora soluciones

El concepto conocido anteriormente como módulo se denomina ahora solución. Eltítulo de esta guía es ahora Guía de soluciones de IBM OpenPages GRC Platform.

IBM OpenPages Regulatory Compliance Management

La solución IBM OpenPages Regulatory Compliance Management (RCM) soportaque las organizaciones desglosen la normativa en un catálogo de requisitos,evaluando el impacto en el negocio y creando tareas de acciones. Como solución,permite a las empresas realizar las tareas siguientes:v Crear un catálogo de requisitos que satisfagan las obligaciones normativasv Comparar el entorno de control interno con las obligaciones normativasv Evaluar el nivel de conformidad de los controles internos respecto a los

requisitos normativosv Iniciar las actividades correctivas a partir de los resultados de evaluaciones de

conformidad

Las tablas para los elementos siguientes se actualizan para incluir nuevas columnasy filas relacionadas con RCM:v Tipos de objetov Subcomponentesv Tipos de objeto que contienen activadoresv Perfilesv Listas filtradas de la página de iniciov Vistas de actividadv Vistas de actividades para guiar el asistente Añadir nuevo

IBM OpenPages Model Risk Governance

La solución IBM OpenPages Model Risk Governance (MRG) soporta a lasempresas en la organización y centralización del inventario de modelo. Comosolución, proporciona una plataforma configurable y personalizable, permitiendo alas empresas realizar las tareas siguientes:v Organizar y mantener la lista de modelos de toda la empresa

1

v Documentar y realizar el seguimiento de los problemas asociados con losmodelos en una ubicación central

v Registrar las actividades de gobierno de gestión de cambios de modelov Planificar, seguir y gestionar las revisiones y validaciones de modelov Asignar roles y responsabilidades apropiadas para la gestión de riesgos de

modelo y propiedad de modelov Informar sobre problemas de inventario de modelo y de modelo

Las tablas para los elementos siguientes se actualizan para incluir columnas y filasnuevas relacionadas con MRG:v Tipos de objetov Subcomponentesv Notificacionesv Informesv Tipos de objeto que contienen activadoresv Perfilesv Listas filtradas de la página de iniciov Vistas de actividadv Vistas de actividades para guiar el asistente Añadir nuevo

Evaluaciones de cuestionarios

La introducción de evaluaciones de cuestionarios da soporte a las empresas con larecopilación, organización y centralización de la información que se recopila paralos usuarios de negocio. Los activadores de ciclo de vida soportan la revisión deevaluación de cuestionario. Se han añadido los objetos siguientes:v Evaluaciones de cuestionariosv Plantillas de cuestionariov Plantillas de secciónv Plantillas de subsecciónv Plantillas de preguntav Programas

Ciclos de vida en los incidentes

La introducción de los ciclos de vida en los objetos de incidente soporta a lasempresas en la modernización y estandarización de la manera en que se revisan einvestigan los incidentes.

Asistente para el informe de entrada de hoja de registro horariodel administrador

Se ha actualizado la sección sobre el ayudante de informe de entrada de hoja deregistro horario de administrador.

Para obtener más información, consulte “Asistente para el informe de entrada dehoja de registro horario” en la página 47 y “Asistente para el informe de entradade hoja de registro horario del administrador” en la página 47.

2 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones

Nuevas características de la versión 7.1.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de los módulos de IBM OpenPages GRC Platform.

Integración con OpenPages Capital Modeling

IBM OpenPages Operational Risk Management se integra con OpenPages CapitalModeling. La integración proporciona a los usuarios prestaciones e informes demodelado de capital. Los usuarios pueden recopilar, modelar y elaborar informesde forma simultánea sobre datos de riesgos operativos y capital. Los usuarioscargan datos (datos de pérdida internos y externos) de OpenPages GRC Platformen la aplicación Capital Modeling. Una vez que el proceso de modelado se hacompletado, los modelos se guardan en la aplicación OpenPages para elaborarinformes y analizarlos más a fondo.

Se incluyen los siguientes tipos de objeto:v Modelo de capitalv Resultado del modelo

Se incluyen los informes siguientes:v Contribución de capital por entidad empresarialv Contribución de capital por categoría de riesgo

Se han añadido Vistas de actividades al asistente Añadir nuevo

Se incluyen vistas de actividades de Añadir nuevo para los tipos de objetossiguientes:v Riesgov Controlv Informe de trabajo

Nuevas características de la versión 7.0.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de IBM OpenPages GRC Platform.

Función de gestión de riesgos operativos mejorada

Se han añadido flujos de trabajo, automatización e informes nuevos a IBMOpenPages Operational Risk Management para proporcionar enfoque estándar alas siguientes prácticas:v Eventos de pérdidav Evaluación de riesgos y autocontrolv Indicadores claves de riesgov Indicadores clave de rendimientov Análisis de escenariov Análisis de datos de pérdidas externasv Gestión de problemas y corrección

Capítulo 1. Novedades 3

Visualizaciones

Como analista de riesgos o gestor de conformidad, puede representar gráficamenteel proceso empresarial y comunicarlo a otros usuarios del análisis de riesgo. Puedecrear visualizaciones interactivas para comunicar información sobre los flujos deproceso y la estructura jerárquica de Entidad empresarial.

Se incluyen los siguientes tipos de objeto:v Diagrama de procesov Entrada de datosv Salida de datos


Capítulo 2. Tipos de objeto

Las soluciones de IBM OpenPages GRC Platform constan de diferentes tipos deobjetos.

El documento OpenPages GRC Object Model Details proporciona información acercade las relaciones entre tipos de objeto para cada solución.

En la tabla siguiente se muestran los tipos de objeto disponibles para cada solucióny si se han habilitado o inhabilitado de forma predeterminada. En los casos en quese muestra una celda vacía, indica que el tipo de objeto no está disponible para esasolución.

Se utilizan los siguientes acrónimos en la tabla:v RCM = IBM OpenPages Regulatory Compliance Managementv MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform

Tipo de objeto RCM MRG FCM ORM PCM ITG IAM

Firma Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Hito Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Elemento de la acción delhito

Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Problema Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Elemento de acción Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Archivo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Vínculo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Entidad empresarial Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Proceso Habilitado Habilitado Habilitado Habilitado Habilitado

Subproceso Habilitado Habilitado Habilitado Habilitado Habilitado

Riesgo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Control Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Plan de prueba Habilitado Habilitado Habilitado Habilitado Habilitado

Resultado de la prueba Habilitado Habilitado Habilitado Habilitado Habilitado

Evaluación de riesgos Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Diagrama de proceso Habilitado Habilitado Habilitado Habilitado Habilitado

Entrada de datos Habilitado Habilitado Habilitado Habilitado Habilitado

Salida de datos Habilitado Habilitado Habilitado Habilitado Habilitado

Objetivo de control Inhabilitado Inhabilitado Inhabilitado Inhabilitado Inhabilitado

5

Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform (continuación)


Cuenta Habilitado

Subcuenta Habilitado

Declaración Inhabilitado

Evaluación del proceso Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado

Evaluación de riesgos Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado

Evaluación de control Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado

Análisis de evaluación deriesgos

Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado

Cuestionario Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado

Sección Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado

Pregunta Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado

Evaluación decuestionario

Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Plantilla de cuestionario Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Plantilla de sección Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Plantilla de subsección Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Plantilla de preguntas Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Programa Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Grupo de preferencia Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Preferencia Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado

Pérdida de FIRST Habilitado

Evento de pérdida Habilitado

Impacto de pérdida Habilitado

Recuperación depérdidas

Habilitado

Pérdida de ORIC Habilitado

Pérdida de ORX Habilitado

Análisis de escenario Habilitado

Resultado de escenario Habilitado

Modelo de capital Habilitado

Resultado del modelo decapital

Habilitado

Centro de costes Inhabilitado

KRI Inhabilitado Habilitado Habilitado

Valor de KRI Inhabilitado Habilitado Habilitado

KPI Inhabilitado Habilitado Habilitado

Valor de KPI Inhabilitado Habilitado Habilitado

Incidente Habilitado Habilitado

Renuncia Habilitado Habilitado

Mandato Habilitado Habilitado Habilitado Habilitado

Submandato Habilitado Habilitado Habilitado Habilitado




Requisito Habilitado Habilitado Habilitado Habilitado

Evaluación de requisito Habilitado

Valor de evaluación derequisito

Habilitado

Tema de conformidad Habilitado

Plan de conformidad Habilitado

Proyecto Habilitado

Directiva Habilitado Habilitado Habilitado Habilitado

Procedimiento Habilitado Habilitado Habilitado Habilitado

Evaluación de control Habilitado

Testificación Habilitado

Campaña Habilitado

Empleado Habilitado Habilitado

Comentario de revisiónde política

Habilitado

Autoridad reguladora Habilitado Habilitado

Interacción con laautoridad reguladora

Habilitado

Categoría de RI Habilitado

Solicitud de RI Habilitado

Aplicabilidad delreglamento

Habilitado Habilitado

Cambio regulador Habilitado Habilitado

Tarea reguladora Habilitado Habilitado

Iniciativa reguladora Habilitado

Plan de control Habilitado

Línea base Habilitado

Recurso Habilitado

Enlace a recursos Habilitado

Entidad auditable Habilitado

Auditoría Habilitado

Sección de auditoría Habilitado

Informe de trabajo Habilitado

Conclusión Habilitado

Planificación Habilitado

Hoja de registro horario Habilitado

Auditor Habilitado

Comentario de revisiónde auditoría

Habilitado

Desafío

Solicitud de cambio

Capítulo 2. Tipos de objeto 7



Comité

Documentación

Métrica

Valor de métrica

Modelo

Entrada de modelo

Enlace de modelo

Informe de modelo

Sección de informe

Revisar

Uso

Salida de modelo

Correlación de nombres de objetoEn este tema se enumeran las etiquetas de tipo de objeto predeterminadascorrelacionadas con nombres de objeto.

Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto

Icono Nombre del objeto Etiqueta de tipo de objeto

assertion Declaración

Attestation Testificación

AuditableEntity Entidad auditable

Auditor Auditor

AuditPhase Sección de auditoría

AuditProgram Auditoría

Campaign Campaña

CapitalModel Modelo de capital

CapitalModelResult Resultado del modelo de capital

Desafío Desafío

ChangeRequest Solicitud de cambio

Comité Comité

CompliancePlan Plan de conformidad

ComplianceTheme Tema de conformidad

CostCenter Centro de costes

CtlEval Evaluación de control


Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto (continuación)


DataInput Entrada de datos

DataOutput Salida de datos

Documentation Documentación

Employee Empleado

Finding Conclusión

FIRSTLoss Pérdida de FIRST

Incident Incidente

KeyPerfIndicator KPI

KeyPerfIndicatorValue Valor de KPI

KeyRiskIndicator KRI

KeyRiskIndicatorValue Valor de KRI

LossEvent Evento de pérdida

LossImpact Impacto de pérdida

LossRecovery Recuperación de pérdidas

Mandato Mandato

Metric Métrica

MetricValue Valor de métrica

Model Modelo

ModelInput Entrada de modelo

ModelLink Enlace de modelo

ModelOutput Salida de modelo

ModelReport Informe

ORICLoss ORIC Loss

ORXLoss ORX Loss

Planificación Planificación

Política Política

PolicyReviewComment Comentario de revisión de política

Preferencia Preferencia

PrefGrp Grupo de preferencias

Procedimiento Procedimiento

ProcessDiagram Diagrama del proceso




ProcessEval Evaluación del proceso

Program Programa

Project Proyecto

ProjectActionItem Elemento de la acción del hito

Qsection Sección

Búsqueda Pregunta

Cuestionario Cuestionario

QuestionnaireAssessment Evaluación de cuestionario

QuestionnaireTemplate Plantilla de cuestionario

QuestionTemplate Plantilla de preguntas

RAEval Análisis de evaluación de riesgos

RegApp Aplicabilidad del reglamento

RegChange Cambio regulador

RegInt Interacción con la autoridadreguladora

Register Registro

RegTask Tarea reguladora

Autoridad reguladora Autoridad reguladora

RegulatoryInitiative Iniciativa reguladora

ReportSection Sección de informe

Requirement Requisito

RequirementEvaluation Evaluación de requisito

RequirementEvaluationValue Valor de evaluación de requisito

Recurso Recurso

ResourceLink Enlace a recursos

Review Revisión

ReviewComment Comentario de revisión de auditoría

RICat Categoría de RI

RIReq Solicitud de RI

RiskAssessment Evaluación de riesgos

RiskEntity Plan de control




RiskEval Evaluación de riesgos

RiskSubEntity Línea base

ScenarioAnalysis Análisis de escenario

ScenarioResult Resultado de escenario

SectionTemplate Plantilla de sección

SOXAccount Cuenta

SOXBusEntity Entidad empresarial

SOXControl Control

SOXControlObjective Objetivo de control

SOXDocument Archivo

SOXExternalDocument Vínculo

SOXIssue Problema

SOXMilestone Hito

SOXProcess Proceso

SOXRisk Riesgo

SOXSignature Firma

SOXSubaccount Subcuenta

SOXSubprocess Subproceso

SOXTask Elemento de acción

SOXTest Plan de prueba

SOXTestResult Resultado de la prueba

Submandato Submandato

SubSectionTemplate Plantilla de subsección

Hoja de registro horario Hoja de registro horario

Usage Uso

Waiver Renuncia

Informe de trabajo Informe de trabajo

Descripciones de tipos de objetoLas soluciones de IBM OpenPages GRC Platform constan de diferentes tipos deobjetos.


CuentaLas cuentas corresponden a uno o varios elementos de línea de un informefinanciero. Cada cuenta se ve afectada por procesos repetidos. Estosprocesos pueden introducir riesgos que deben documentarse durante elproyecto de documentación de controles financieros. Una cuenta seidentifica como significativa en función de factores como el tamaño, lacomplejidad de los procesos que funcionan en ala cuenta o si la cuenta estáasociada con nuevas líneas de producto dentro del negocio. Los riesgosque podrían materializarse y que producen un efecto material sobre lacuenta se identifican mediante la consideración de los procesos que operanen la cuenta.

DeclaraciónEl objeto de declaración se utiliza para vincular objetos de control a objetosde cuenta (o subcuenta). Una práctica común es almacenar el tipo dedeclaración que abarca el control como un campo de datos del objeto dedeclaración.

TestificaciónEl objeto de testificación, que forma parte de la función de reconocimientode la directiva, se utiliza para capturar la afirmación de un empleado deque ha leído y comprendido una directiva. Un elemento principal primariode la declaración es el registro del empleado y un elemento principalsecundario es la campaña asociada.

AuditoríaUna auditoría representa cada ejecución de una auditoría a una entidadauditable. Por ejemplo, si una entidad auditable se audita cada dos años,es necesario crear una instancia de auditoría secundaria independientepara cada período de dos años, por ejemplo 2006 y 2008. Una organizaciónpuede auditar varios procesos. Por ejemplo, puede auditar una entidad, unrequisito regulador determinado o la seguridad física de un centro dedatos.

El objeto de auditoría se configura como un tipo de objeto autocontenido yse crea de forma automática una carpeta para cada instancia de auditoría.Esta configuración permite copiar auditorías de plantillas y componentesde auditoría desde una biblioteca a la jerarquía de auditoría sin que seproduzcan conflictos con los nombres de los objetos.

La planificación y programación de los recursos de auditoría se realiza enel nivel de auditoría.

Se puede realizar un seguimiento del progreso de las auditorías de nivelgeneral supervisando los valores de estado y de fecha en la auditoría. Loshitos clave de la auditoría se pueden supervisar añadiendo campos querepresenten las fechas de finalización de cada uno de esos hitos claveobjeto de control.

Utilice el objeto de auditoría para gestionar el proceso de auditoría en todala empresa. La auditoría identifica un punto de retención para capturarinformación, por ejemplo, el ámbito, los objetivos, la información detemporización y los roles de revisión, ejecución y aprobación. Puederealizar un seguimiento de un subconjunto de las auditorías que estárealizando en un determinado horizonte de planificación o todas lasauditorías en el universo de auditoría.

Comentario de revisión de auditoríaEl tipo de objeto de comentario de revisión de auditoría se utiliza paraproporcionar comentarios durante el proceso de revisión de una auditoría


y de sus componentes. Se asocia como un elemento secundario a lainstancia de la auditoría, sección, informe o conclusión para la que seproporcionan comentarios.

Sección de auditoríaLas secciones de auditoría se pueden utilizar para representar las fases dela auditoría, los programas de trabajo dentro de la auditoría u otroscomponentes de la auditoría como, por ejemplo, el nivel deseado degranularidad.

Las organizaciones pueden tener varios componentes estándar para cadaauditoría. Se pueden crear en una biblioteca auditorías de plantilla queincluyan secciones para cada componente estándar. Las fechas de inicio yfinalización planificadas y reales de estas secciones se utilizan paranotificar el progreso en relación a una serie de hitos clave en las auditorías.

Se puede realizar un seguimiento detallado del progreso de una auditoríaincluyendo una sección de auditoría para cada hito. También, algunasorganizaciones pueden añadir campos a la auditoría que representen fechasde finalización de cada uno de los hitos clave de los que desean realizar unseguimiento.

Aunque las secciones de la auditoría se pueden utilizar para planificar yprogramar recursos de auditoría, la mayoría de las organizacionesencontrarán que este método es demasiado detallado.

Entidad auditableUn objeto de entidad auditable es un elemento secundario de una entidadde negocios. Se establece una jerarquía de entidades de negocios deauditoría internas y se crean todas las entidades auditables como unelemento secundario del objeto de la entidad de negocios de auditoríainterna. Las entidades auditables que se alinean con los elementos de lajerarquía organizativa de las entidades de negocios también se asocian conesas entidades de negocios.

Una entidad auditable representa un elemento único del universo deauditoría; la colección de elementos del negocio que se pueden auditar. Lamayoría de las entidades auditables representan entidades de negocios olegales, pero también pueden representar procesos, proyectos a largo plazoo iniciativas, programas de cumplimiento o servicios de TI compartidos.

Todos los años se establece una clasificación de los riesgos para lasentidades a fin de determinar la prioridad de la realización de unaauditoría ese año. Se calcula una puntuación de riesgo ponderada, pero lapuntuación se puede sustituir.

AuditorLa planificación y asignación de recursos necesita información clave sobrecada individuo que puede realizar el trabajo de auditoría. El objeto delauditor se utiliza para crear una agrupación de auditores que puedenasignarse a las auditorías.

Cada usuario que tiene asignado un trabajo de auditoría está representadocomo una instancia de auditor. Los auditores están en este momentodisponibles para la asignación de recursos. El objeto de auditor incluyeatributos que sirven para evaluar y seleccionar auditores para encargarlesauditorías, por ejemplo, especialidades, idiomas y certificaciones. Losobjetos de auditor se asocian con el componente pertinente de la jerarquíaorganizativa de auditorías internas. Se recomienda hacer coincidir elnombre del objeto del auditor con el nombre de usuario.


Línea baseUn tipo de objeto de línea base representa una plantilla de requisitos debiblioteca. Es autónomo, lo que significa que las carpetas se crean paracada línea base. Las líneas base de la biblioteca representan elementos delentorno operativo de TI. Están vinculadas a los requisitos de ese tipo deelemento. El objeto de línea base se copia desde la biblioteca a la jerarquíaempresarial, se realiza una asociación con un requisito de la biblioteca y lostipos de objeto de riesgo, control y prueba se crean como objetossecundarios. Los objetos de riesgo, control y prueba se rellenan con datosprocedentes del requisito.

Por ejemplo, un objeto de línea base representa una colección de objetos derequisito de un centro de datos con información identificablepersonalmente (PII) y una clasificación de datos confidenciales. Para cadaobjeto de requisito, recomendamos definir qué debe controlarse (objeto deriesgo) y cómo debe controlarse (objeto de control). También puedeestablecer una práctica para verificar la eficacia del control (objeto deprueba).

Entidad de negociosLas entidades de negocios son representaciones abstractas de su estructurade negocios. Una entidad de negocios puede incluir subentidades (comodepartamentos, unidades de negocio o ubicaciones geográficas). Laestructura de la entidad que cree dependerá de sus necesidadesempresariales. Por ejemplo, puede crear una entidad principal para lasoficinas centrales de su negocio y una subentidad para cada ubicación odepartamento. También es posible que desee representar una estructura deentidades legales y otra de entidades de negocios.

Las entidades de negocios también se utilizan para organizar datos debiblioteca, como las bibliotecas de control y de riesgos o el contenidoregulador (por ejemplo, leyes, reglamentos y estándares).

Al configurar su jerarquía de entidades de negocios, trabaje con su asesorde IBM OpenPages GRC. La estructura de las entidades de negocios afectaal tipo y calidad de la información que se pueden extraer de la aplicación.

En IBM OpenPages Internal Audit Management, las entidades de negociostambién modelan la estructura organizativa de la auditoría interna, quefacilita la elaboración de informes y la seguridad al equipo de auditoríasinternas. La estructura organizativa de la auditoría interna es una entidadde nivel superior para minimizar la probabilidad de otorgar de formaaccidental acceso a un usuario empresarial a información de auditoríainterna. Los elementos del universo de auditoría que son propiedad de unequipo de auditoría interna se asocian con la entidad de negocios delequipo. Se puede crear otra estructura de entidad de negocios de nivelsuperior para organizar auditorías confidenciales, lo que otorga unaseguridad especial a estas auditorías. También se puede utilizar unaentidad de negocios para organizar un biblioteca de plantillas decontenidos de auditorías.

CampañaEl objeto Campaña forma parte de la función de reconocimiento depolíticas y se utiliza para gestionar los aspectos de gestión de proyectosrelacionado con una campaña de reconocimiento. También se utiliza paradefinir los requisitos y los criterios que identifican qué empleadosnecesitan leer y testimoniar una política. Las campañas se crean por logeneral en la jerarquía de políticas publicadas.


Modelo de capitalEl modelo de capital es el modelo creado en la aplicación IBM OpenPagesCapital Modeling que calcula el capital de riesgo operativo para unaunidad de medida concreta, ya sea entidad de negocios o Categoría deriesgo. El Modelo de capital se puede construir utilizando datos depérdidas internas, datos de escenario o datos de pérdidas externas que serecopilan en IBM OpenPages Operational Risk Management. El Modelo decapital consta de una distribución de frecuencia con sus parámetrosasociados, la distribución de gravedad que mejor se ajuste y susparámetros asociados y las estimaciones de capital de riesgo operativoresultantes a diferentes percentiles. Hay tres tipos de modelos de capital,dependiendo de los datos que se hayan utilizado para construir el modeloy el número de modelos utilizados. Los modelos únicos se construyen a unnivel más granular (normalmente entidad de negocios y Categoría deriesgo) utilizando datos de escenarios (Modelo de escenario), datos depérdidas internas (Modelo de pérdidas internas) o datos de pérdidasexternas FIRST (Modelo de pérdida FIRST). Los modelos combinados seconstruyen utilizando los modelos únicos guardados anteriormente y seutilizan para crear estimaciones de capital a niveles superiores, porejemplo, entre entidades de negocios o Categorías de riesgo. IncluyenModelos independientes, que supone que no hay dependencia entre losmodelos individuales seleccionados y los Modelos correlacionados, quesupone una estructura de dependencia entre los modelos individualesseleccionados. El tipo de objeto del modelo de capital guardado muestraparámetros de distribución de frecuencia, los parámetros de distribución degravedad que mejor se ajustan, así como los resultados de la distribuciónde pérdidas agregadas y otra información descriptiva sobre el modelo.También se guarda un archivo adjunto zip junto con el tipo de objetoModelo de capital. La aplicación OpenPages Capital Modeling lee esteadjunto a archivo para visualizar los modelos guardados. Contiene toda lainformación sobre el modelo, incluidos los parámetros integrados,resultados, así como todos los puntos de datos integrados generados apartir de la simulación Monte Carlo.

Resultado del modelo de capitalEl objeto de resultado del modelo de capital es la estimación de capital deriesgo operativo resultante o la distribución de pérdida agregada resultantede la simulación de la frecuencia seleccionada que mejor se ajusta y lasdistribuciones de gravedad. Cada Resultado del modelo de capital seasocia a un objeto Modelo de capital. Para Modelos únicos (Modelos deescenario, Modelo de pérdidas internas, Modelo de pérdidas FIRST), sevisualiza un Valor en riesgo individual (VaR) a diferentes percentiles (elnúmero y valor de los percentiles se puede configurar). Para los Modelosindependientes y correlacionados, el capital se muestra para VaRindividual, ESF aditivo (Déficit esperado) y VaR aditivo a diferentespercentiles (el número y valor de los percentiles se puede configurar).

Desafío

El objeto de desafío se puede utilizar para almacenar y demostrar lapresencia de un desafío en cualquier parte del inventario de modelo. Segenera un desafío y se registra la respuesta. El objeto de desafío es un hijode los objetos de modelo y uso.

Solicitud de cambio

El objeto de solicitud de cambio es hijo de los objetos de modelo y uso ypermite la creación y el seguimiento de las actividades de gobierno


relacionadas con los cambios en los modelos y los despliegues. El objeto desolicitud de cambio captura datos tales como tipo de cambio, descripciónde cambio y estado. También permite registrar los pasos clave deaprobación y gobierno en el ciclo de vida de solicitud de cambio.

Comité

El objeto de comité es hijo de la entidad de negocios y permite a unaorganización representar grupos de gobierno y comités. Estos se puedenalinear con los usos y también pueden ser padre del objeto Empleado. Elobjeto Comité puede almacenar información como Términos de referenciapara un comité, frecuencia de reuniones y detalles sobre el presidente.

Plan de conformidadLos objetos de plan de conformidad permiten crear un plan general paraencargarse de los requisitos normativos en una configuración estructurada.Se pueden agrupar uno o varios temas de conformidad en un plan deconformidad general para la organización.

Tema de conformidadLos objetos de tema de conformidad permiten a los usuarios organizarrequisitos normativos en temas para realizar evaluaciones. Este objetopermite evaluar los requisitos de conformidad más allá del enfoque deentidad de negocios típico, agrupando requisitos normativos en temas querepercuten en toda la organización. Los temas pueden incluir, por ejemplo,privacidad de datos, gobierno y responsabilidad.

ControlLos controles son políticas y procedimientos que garantizan la ejecución derespuestas para mitigar el riesgo.

Una vez identificados los riesgos que llevan consigo sus prácticas,establezca controles, como aprobaciones, autorizaciones y verificaciones.Estos controles eliminan, limitan o transfieren estos riesgos.

Los controles proporcionan prevención o detección de riesgos. Loscontroles están asociados con pruebas que garantizan que un control eseficaz. Por ejemplo, el departamento de recursos humanos identifica unriesgo en el nuevo proceso de contratación. El proceso no cumple con lanormativa ni las directrices relativas a la diversidad y a la discriminación.Defina controles para mitigar este riesgo, por ejemplo, establezca políticasy procedimientos de contratación y lleve a cabo unos cursos de formaciónobligatorios para los encargados de la contratación.

En IBM OpenPages Internal Audit Management, utilice Controles paracrear un modelo detallado de controles que existen o que desea aplicar alas actividades objeto de la auditoría. Si se comparten con la empresa, loscontroles se pueden puntuar de manera independiente por la auditoríainterna y la empresa.

Evaluación de controlLos objetos de evaluación de control son similares a los objetos deevaluación de riesgos excepto en que se crean como hijos de los controles.Almacenan datos de evaluación de control. Cuando los períodos de losinformes y los ciclos de análisis de evaluaciones de control, utilice losobjetos de evaluación de control para capturar varios ciclos de evaluaciónen un único período de elaboración de informes.

Objetivo de controlUn objetivo de control es un objeto de evaluación que define las categoríasde riesgo de un proceso o un subproceso.


Los objetivos de control definen las categorías de cumplimiento de COSOpara mitigar los cuales están pensados los controles. Los objetivos decontrol se pueden clasificar en categorías como Cumplimiento, Informesfinancieros, Estrategias, Operaciones o Desconocido.

Una vez identificado un objetivo de control, se pueden definir los riesgosque pertenecen a ese objetivo de control. En la mayoría de casos, cadaobjetivo de control tiene un riesgo asociado con él. Sin embargo, es posibleque haya más de un riesgo asociado con él. Por ejemplo, una empresa deservicios financieros emplea a vendedores que son conscientes de que esobligatorio tener unas ciertas normas éticas. El departamento de RRHHconfigura un objetivo de control denominado el Personal'. Un riesgoasociado con el objetivo de control es: “Los empleados hacen operacionescomerciales que entran en conflicto con los objetivos de la empresa encuanto a la ética comercial y el comercio justo”.

De forma predeterminada, se inhabilita un objetivo de control de gestiónde auditoría interna de OpenPages. Este objeto no se utiliza con frecuencia,salvo para alinearlo con otras soluciones que pueden utilizarlo.

Plan de controlUn plan de control es un tipo de objeto autónomo; esto significa que secrean carpetas para cada plan de control. Agrupa varias líneas base pararepresentar elementos en el entorno operativo cuyo riesgo se puedeevaluar. Actúa como contenedor de una colección de objetos de línea baseque realizan juntos una función o forman parte de un servicio de TI. Porejemplo, un objeto de plan de control podría representar los servidores, lossistemas operativos, las aplicaciones, las bases de datos, el personal deservicio técnico y las instalaciones que proporciona el correo electrónicocorporativo.

Centro de costesLos objetos de centro de costes se utilizan para agrupar eventos de pérdidaen una entidad de negocios. En muchos casos, las firmas desean realizarun seguimiento de dónde se producen los eventos de pérdida con un altogrado de detalles, por ejemplo, a nivel de centro de costes, pero no deseanrepresentar todas las capas organizativas como entidades de negocios.

Entrada de datos, salida de datosLos objetos Entrada de datos y Salida de datos son elementos secundariosdel proceso y solo pueden tener asociaciones con riesgos existentes.Representan elementos de un flujo para representar una entrada en el flujoempresarial o una salida procedente de las diferentes actividades dentro deun proceso, como la ejecución de un informe, la actualización de unsistema CRM o la obtención de un origen de datos externo.

Documentación

Los objetos de documentación permiten a un usuario capturar contexto detexto enriquecido de gran volumen que normalmente se asocia con eldesarrollo, el despliegue y la revisión de modelos. Mediante el uso de unobjeto independiente del modelo, los objetos de documentación se puedenasociar fácilmente con varios modelos o revisiones. También se puedenasociar con objetos de sección de informe en el proceso de informe demodelo. Los tipos de documentación incluyen (pero no están limitados a)suposiciones, teoría y metodología, contenido de desarrollo y datos. Elobjeto de documentación se alinea con el enfoque centrado en los datospara modelar la documentación.


EmpleadoEl objeto de empleado forma parte de la función de reconocimiento depolítica. Se utiliza para capturar información sobre empleados individuales,como el nombre, el cargo, el correo electrónico, la región, el departamento,el estado, etc. La información del perfil del empleado se coteja después conlos requisitos de testificación definidos en una campaña para determinarqué empleados necesitan testificar sobre cada política. Los datos deempleado normalmente se derivan de la exportación de un sistema deRRHH, que se carga en línea a través de FastMap, y residen en la entidadde negocios del empleado de referencia. Se recomienda que el campo delnombre del empleado coincida con el nombre del usuario.

ArchivoEl tipo de objeto de archivo se utiliza para incorporar una referencia a unarchivo (como un documento, un diagrama de flujo o una hoja de cálculo)en el sistema IBM OpenPages y asociarla con uno o varios objetospertinentes.

ConclusiónLas conclusiones se pueden utilizar para representar observacionesnotificables a la empresa, al comité de auditoría o a ambos. Asimismo, lasconclusiones se pueden utilizar para representar observaciones basadas enlos hechos individuales, en tanto que los problemas se utilizan pararepresentar temas consolidados y problemas sistemáticos, que se notifican acontinuación a la empresa, al comité de auditoría o a ambos.

Una conclusión representa algo que se ha descubierto en el curso de unaauditoría que necesita una explicación y una investigación por parte delequipo directivo. Puede utilizar una conclusión para realizar unseguimiento de los progresos del equipo directivo respecto a lainvestigación del problema subyacente identificado. El objeto Problema sepuede utilizar en lugar de, o en combinación con, el objeto Conclusión.

FIRST LossLos objetos FIRST Loss se pueden importar desde la base de datos depérdidas externas FIRST para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital. Los objetos FIRST Loss se organizan con frecuencia por categoríasde pérdida, como líneas de producto o tipos de evento. Por ejemplo, utiliceuna entidad de negocios para crear una jerarquía de datos de pérdidasFIRST. Denomine al objeto raíz 'FIRST-data,' y cree carpetas de categoríabajo la raíz. Vincule pérdidas externas al objeto.

IncidenteUn incidente es un caso que tiene un efecto adverso potencial en suempresa. Cree un objeto de incidente para registrar información, como lapersona responsable de investigar el incidente y otros datos relacionados.El objeto Incidente se utiliza con los ciclos de vida para facilitar el análisisde incidentes. Las categorías que se refieren a los incidentes sonConformidad con la normativa, Conformidad legal, Información deseguridad y TI. Los incidentes se almacenan en la entidad de negocios o enel recurso de TI donde se ha producido el evento y se asocian de formasecundaria con un mandato o política afectados.

Problema, Elemento de acciónAunque los problemas se generen en áreas en las que no se implementencontroles internos, utilice el objeto Problema para documentar un problemaasociado con cualquier tipo de objeto. Por ejemplo, una prueba se ha


asociado con un control, pero la prueba ha fallado la última vez que se hacompletado. Este problema potencial se puede resaltar capturándolo en unobjeto de problema.

Un problema se resuelve a través de elementos de acción. Puede utilizarun elemento de acción o una serie de elementos de acción para formar unplan de acción. Cada elemento de acción se asigna a un usuario para suresolución y seguimiento del progreso. Después de que todos los elementosde acción de un problema hayan finalizado (cuando el responsable leshaya asignado el valor 100 %), cierre el problema.

En OpenPages Internal Audit Management, se pueden utilizar problemas yelementos de acción en lugar de conclusiones.

KPI, Valor de KPILos KPI (Indicadores clave de rendimiento) son componentes del procesode supervisión de riesgos y se utilizan para proporcionar indicadorespasados y futuros de las condiciones de riesgo potencial. Cada instancia deun KPI dentro de la organización puede tener límites exclusivos de destinoy de umbral. El tipo de objeto Valor de KPI registra el valor de un objetoKPI en un determinado punto. Cree un objeto KPI y después cree de formaperiódica (a diario, semanalmente, mensualmente) un objeto Valor de KPIpara poder detectar las tendencias.

KRI, Valor de KRILos KRI (Indicadores clave de riesgo) son componentes del proceso desupervisión de riesgos y se utilizan para proporcionar indicadores pasadosy futuros de las condiciones de riesgo potencial. Cada instancia de un KRIdentro de la organización puede tener límites exclusivos de destino y deumbral. Los valores de KRI se utilizan para registrar el valor real de unindicador en un determinado punto en el tiempo.

VínculoEl tipo de objeto de vínculo se utiliza para incorporar una referencia a unURL en el sistema OpenPages y asociarla con uno o varios objetospertinentes.

Evento de pérdidaLos eventos de pérdida se utilizan para realizar un seguimiento de laspérdidas operativas que se producen en cualquier parte de unaorganización. Los eventos de pérdida se almacenan por lo general en laentidad de negocios en la que se ha producido la pérdida. Los objetos deevento de pérdida se utilizan para realizar un seguimiento, evaluar ygestionar los datos de pérdidas internas relacionadas. Puede añadir variosimpactos y recuperaciones a cada evento de pérdida utilizando los objetosImpacto de pérdida y Recuperación de pérdida.

Impacto de pérdidaUn impacto de pérdida es un consecuencia financiera y de otro tipoderivada de un evento de pérdida. Los impactos de pérdidas realizan unseguimiento de los impactos iniciados por un evento de pérdida, como laresponsabilidad legal, pérdida o daños en los activos o una interrupción dela actividad del negocio. Puede haber varios impactos de pérdida asociadoscon cada evento de pérdida.

Recuperación de pérdidasLos objetos de recuperación de pérdidas se utilizan para realizar unseguimiento de los procesos asociados con la recuperación de los dañosque son consecuencia de eventos de pérdida.


MandatoLos mandatos representan elementos externos que las organizacionesdeben cumplir, por ejemplo, leyes, normas y estándares. La configuraciónpredefinida admite directamente los contenidos proporcionados porDeloitte y UCF y se puede adaptar para admitir los contenidos de otrosproveedores. Los mandatos se representan en una estructura de entidadesde negocios por biblioteca y no se replican para todo el sistema. Porejemplo, una empresa de seguros tiene un objeto de mandato para HIPAAy otro para GLBA. El mismo mandato se puede asociar con gruposdiferentes dentro de la organización. Los mandatos de privacidad, porejemplo, se pueden aplicar a los departamentos de nóminas, servicios deseguros, legales y de TI. El mandato también soporta el contenido para laconformidad con la normativa. La normativa se puede extraer de IBMRegulatory Compliance Analytics y llenarse como mandatos para IBMOpenPages Regulatory Compliance Management.

Métrica, Valor de métrica

El objeto de métrica registra la definición de una medición de rendimientoque la organización elige seguir. Un usuario establece el tipo de métrica,los umbrales amarillo y rojo y otra información de colección. Una métricaes un hijo de los objetos de entidad de negocios, uso y modelo.

El objeto de valor de métrica registrar el resultado de la medición derendimiento de métrica. Se ha diseñado para permitir a la organizaciónalmacenar resultados de series temporales de medición.

Hito, Elemento de acción de hitoUn hito representa un punto significativo en el desarrollo de su proyecto.Puede asociar hitos a fechas específicas o utilizarlos para señalar lafinalización de una parte del proyecto completo. Los hitos pueden contenerotros hitos o elementos de acción de hito. No puede asociar un hito conotros objetos en la jerarquía de objetos.

Un elemento de acción de hito es un objetivo específico que debefinalizarse para alcanzar un hito. En general, todos los elementos de acciónde hito asociados con un hito deben finalizarse para poder alcanzar unhito. Cuando se le asigne un objeto de elemento de acción de hito, semostrará (si se ha configurado) en la sección Mis elementos de acción dehito de su ficha Mi trabajo.

Modelo

El objeto de modelo proporciona la representación de los modelos en unaorganización. A un nivel teórico, un modelo como método cuantitativo, unsistema o un enfoque que aplica teorías estadísticas, económicas,financieras o matemáticas, técnicas y suposiciones para procesar datos deentrada en estimaciones cuantitativas. En el objeto de modelo enOpenPages, se puede representar la información de modelo de clave,incluida la descripción de modelo. Datos de propiedad de modelo, estadode modelo, fechas de ciclo de vida de desarrollo, tipo y categoría demodelo y evaluación de riesgo de modelo.

Entrada de modelo

Si una organización quiere adoptar un enfoque más granular para modelarla documentación, el objeto de entrada de modelo proporciona laposibilidad de registrar las entradas. Los campos incluyen Propietario deentrada, Tipo, Estado y Descripción. Un objeto de Entrada de modelotambién puede ser el hijo de un objeto de Salida de modelo, lo que permite


crear cadenas de modelos a un nivel de detalle si el enfoque de enlace demodelo no es suficientemente granular.

Enlace de modelo

Los modelos pueden formar cadenas complejas y es importante que lasempresas puedan representar estas asociaciones dentro del inventario demodelo. El objeto de Enlace de modelo permite crear cadenas de modeloscomo un hijo de dos modelos padre. El objeto de Enlace de modelocontiene información que está relacionada con los modelos padre e hijo dela relación.

Salida de modelo

Si una organización quiere adoptar un enfoque más granular para modelarla documentación, el objeto de salida de modelo proporciona la posibilidadde registrar las salidas del modelo. La finalidad prevista es registrar ladescripción y la visión general de la salida desde un punto de vista degobierno y no registrar el resultado de modelo.

Pérdida ORICLos objetos de Pérdida ORIC se pueden importar desde la base de datosde pérdidas externas ORIC para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital.

Pérdida de ORXLos objetos de Pérdida de ORX se pueden importar desde la base de datosde pérdidas externas ORX para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital. Puede importar datos de pérdidas ORX en OpenPages OperationalRisk Management para utilizarlos en análisis de escenarios y modelaciónde capital.

Planificación, Hoja de registro horarioUn tipo de objeto de planificación facilita la planificación de recursos deauditoría y la asignación en cualquier nivel. Por ejemplo, puede crear unúnico objeto de planificación para una auditoría completa o puede crear unobjeto de planificación por tarea para cada auditor implicado en laauditoría. Los objetos de planificación se utilizan para determinar ladisponibilidad, los conocimientos y experiencia que necesita tener elrecurso deseado. Las vistas de actividades de auditoría de OpenPages, losinformes, etc. están alineados con la planificación en el nivel de auditoría.Los planes pueden asociarse en cambio con secciones de auditoría, en cuyocaso estos componentes tendrían que modificarse.

Los objetos de planificación determinan también el seguimiento del tiempo:todo el tiempo se controla en función de las planificaciones. Se utiliza untipo de objeto de hoja de registro horario para registrar las horas y gastossemanales reales empleados en relación con el objeto de planificación deuna auditoría. Dado que los objetos de hoja de registro horario estánasociados con planificaciones, resulta sencillo rastrear las desviacionesentre el tiempo y los gastos previstos y reales. El informe interactivoEntrada de hoja de registro horario debe utilizarse siempre para introduciro modificar los datos de tiempo y gastos. Por este motivo, no hay ningúnelemento de menú superior relativo a la hoja de registro horario en laconfiguración predeterminada de OpenPages Internal Audit Management.


Por lo general, cree o modifique un objeto de planificación utilizando elasistente para añadir o modificar planificaciones al que puede accederdesde un enlace de la página de detalles de la auditoría.

PolíticaLas políticas representan pautas internas que adopta, por lo general, elConsejo de administración o el órgano de gobierno dentro de unaorganización. El texto de una política se puede guardar en camposestándar del objeto o como un archivo adjunto del objeto. Las políticastienen normalmente un ciclo de vida distinto desde Borrador a Publicada oCaducada, además de un proceso de revisión y aprobación. Las políticas enborrador residen, por lo general en la jerarquía empresarial organizativa,en tanto que las políticas publicadas y caducadas residen en las entidadesde biblioteca de referencia. Las políticas con frecuencia se correlacionan conmandatos aplicables de la biblioteca con los que están relacionadas.

Comentario de revisión de políticaLos comentarios de revisión de política proporcionan soporte y facilitan elproceso de revisión y aprobación de las políticas y procedimientos porparte de expertos en la materia y personal encargado del cumplimientonormativo.

Preferencia, Grupo de preferenciasEl objeto de preferencia es un elemento secundario de la entidad denegocios e incluye valores de variable que pueden controlar informes,flujos de trabajo y campos calculados. Tiene valores de variable específicosde entidad que permiten un comportamiento diferente para los mismosflujos de trabajo. Por ejemplo, defina valores de variable para determinar elcomportamiento de flujos de trabajo de revisión y aprobación por ejemplo,los usuarios adecuados para cada nivel de revisión y aprobación y losumbrales para determinar el número de niveles de revisión y aprobaciónnecesarios.

El grupo de preferencias se utiliza para agrupar objetos de preferencia. Sineste objeto de agrupación, cada objeto de preferencia tendría que asociarsepor separado con cada entidad de negocios pertinente. El grupo depreferencias ayuda a minimizar las tareas de mantenimiento asociadas.

En la configuración predeterminada de IBM OpenPages Internal AuditManagement, estos objetos se utilizan para almacenar las ponderaciones delos factores de riesgo utilizados en la puntuación de riesgos de evaluaciónanual. Dado que las ponderaciones y los factores pueden ser distintos paracada tipo de auditoría, por ejemplo, financieros, operativos o estratégicos,cree una instancia de preferencia independiente para cada tipo deauditoría. Dado que es un elemento secundario de una entidad denegocios, este enfoque ofrece la capacidad de contar con valores devariables específicas de entidad.

ProcedimientoLos procedimientos representan el "qué", el "dónde", el "cuándo" y el"cómo" de la forma en que se implementan las políticas dentro de unaorganización. El texto de los procedimientos se almacena normalmente enlos campos del objeto. Por lo general, los procedimientos se representancomo elementos secundarios de una política y residen en la mismaestructura de entidad que su política principal.

ProcesoLos procesos representan las principales actividades empresariales deextremo a extremo dentro de una entidad que están sujetas a riesgo. Los


procesos residen en áreas como los informes financieros, el cumplimientonormativo y la seguridad de la información. Por ejemplo, los procesos deldepartamento de Cuentas por cobrar, como los de pedido-a-metálico sepueden mejorar con controles de protección frente a riesgos de elaboraciónde informes financieros, como los comportamientos fraudulentos o lasinexactitudes en los informes financieros.

En OpenPages Internal Audit Management, los procesos también seutilizan para determinar el ámbito de las auditorías. Las auditorías puedencopiar procesos creados por la entidad de negocios o crear sus propiosprocesos.

Diagrama de proceso Un diagrama de proceso es un objeto secundario del proceso y puede tenermuchos diagramas por proceso. Se utiliza para almacenar la secuencia desubprocesos o actividades dentro de un proceso con riesgos y controlesasociados junto con cualquier anotación, como los nodos de decisión.Todos los atributos de la visualización de procesos empresariales estánalmacenados en el objeto Diagrama de proceso.

Evaluación del procesoLos objetos de evaluación del proceso son elementos secundarios de losobjetos de proceso que se utilizan para capturar valores de medida deproceso a efectos de determinación de tendencias.

Cuando los períodos de elaboración de informes no se alinean con losciclos de evaluación, puede utilizar objetos de evaluación de objetos paracapturar varios ciclos de evaluación dentro de un único período deelaboración de informes.

ProgramaLos objetos de programa se utilizan juntos con plantillas de cuestionariopara implementar evaluaciones de cuestionario. Cuando un administradorempresarial inicia un programa, se crean evaluaciones de cuestionarios. Unprograma se asocia con los activos subyacentes, las evaluaciones decuestionario que ha credo y la plantilla de cuestionario en la que se basa.El programa define el ciclo de vida que siguen las evaluaciones decuestionario.

ProyectoUn objeto de proyecto está diseñado para organizar tareas normativas enun proyecto de conformidad general. Por ejemplo, pueden haber cambiosnormativos de los que es necesario encargarse en la infraestructura deconformidad. Los usuarios pueden crear un proyecto para identificar yasignar tareas.

Cuestionario, Sección, PreguntaLos objetos de cuestionario, sección y pregunta se utilizan conjuntamentepara implementar cuestionarios. Los cuestionarios se crean como plantillasde una biblioteca y recopilan información de los encuestados. Los objetosde sección son elementos secundarios de los objetos de cuestionarioprincipales y organizan conjuntos de preguntas relacionadas. Los objetosde pregunta son elementos secundarios de los objetos de sección ycapturan datos de los encuestados. Los administradores de la empresautilizan la vista de la actividad de configuración del cuestionario paraconfigurar plantillas de cuestionario. Las plantillas de cuestionario secopian entonces en los tipos de objeto principal entidad de negocios,Proceso, Subproceso o Empleado.


Los cuestionarios no están relacionados con las evaluaciones decuestionario. La información que describe los cuestionarios no se aplica alas evaluaciones de cuestionario.

Evaluación de cuestionarioLos objetos de evaluación de cuestionario son un medio de recopilarinformación de los usuarios de negocio en la organización. Lasevaluaciones de cuestionario se crean cuando se inicia un programa. Lasevaluaciones de cuestionario se asocian con los activos subyacentes, elprograma que las ha iniciado y la plantilla de cuestionario en la que sebasan. Las evaluaciones de cuestionario se utilizan con ciclos de vida parafacilitar un proceso de revisión.

Las evaluaciones de cuestionario no están relacionadas con loscuestionarios. La información que describe las evaluaciones decuestionario, las plantillas de cuestionario y los programas no se aplica alos cuestionarios.

Plantilla de cuestionario, Plantilla de sección, Plantilla de subsección y Plantillade preguntas

Los objetos de Plantilla de cuestionario, Plantilla de sección, Plantilla desubsección y Plantilla de preguntas se utilizan junto con Programas paraimplementar evaluaciones de cuestionario. Los objetos Plantilla decuestionario son objetos padre y organizan los objetos Plantilla de sección.Los objetos Plantilla de sección son hijos de los objetos Plantilla decuestionario y organizan los objetos Plantilla de subsección. Los objetosPlantilla de subsección son hijos de los objetos Plantilla de sección padre yorganizan los objetos Plantilla de preguntas. Los objetos Plantilla depreguntas contienen preguntas y opciones de respuesta.

Registro

El objeto de registro es hijo del objeto Entidad y es padre de los objetosUso y Modelo. El uso del objeto de registro es opcional. Su principalfinalidad es actuar como biblioteca de modelos durante el desarrollo.También se puede utilizar para almacenar copias de sólo lectura del objetoUso después de que éstas se hayan aprobado como parte del ciclo dedespliegue.

Aplicabilidad del reglamentoEl objeto de aplicabilidad del reglamento reside en la jerarquía empresarialorganizativa. Evalúa y realiza un seguimiento del impacto regulador de unmandato en la biblioteca en una entidad de negocios.

Autoridad reguladoraEl objeto de autoridad reguladora es parte de la función de gestión deinteracciones con la entidad reguladora y proporciona la capacidad decrear un único inventario de todas las autoridades reguladoras con las queinteractúan. Las entidades reguladoras se crean, por lo general, en unaentidad de negocios de biblioteca de referencia. El objeto es un elementosecundario de la entidad de negocios y se puede asociar con mandatos einteracciones con la autoridad reguladora.

Interacción con la autoridad reguladoraEl objeto de interacción con la autoridad reguladora forma parte de lafunción de gestión de las interacciones con la autoridad reguladora ypermite gestionar las interacciones, las comunicaciones, los trabajosinternos, las revisiones y aprobaciones asociadas con las autoridadesreguladoras externas, como las consultas, los envíos, los archivados, losexámenes y las auditorías. En el caso de interacciones complejas, como


exámenes y auditorías, los clientes pueden utilizar una estructura deobjetos de tres capas (Interacción con la entidad reguladora, Categoría deRI y Solicitud de RI) para gestionar y realizar un seguimiento de lainteracción general, cada sección de la interacción y las solicitudesindividuales. Para las solicitudes y consultas más simples, los clientespueden utilizar el objeto Interacción con la entidad reguladora paragestionar ellos mismos los detalles de la solicitud y de la respuesta.

Cambio reguladorEl objeto de cambio regulador forma parte de la función de gestión decambios reguladores. Ofrece la capacidad de realizar un seguimiento de loscambios reguladores (modificaciones u orientaciones de una regulaciónexistentes o un nuevo requisito regulador), evalúa el impacto de unamodificación en la organización, comunica el cambio a nivel interno a laspersonas que correspondan y gestiona los procesos internos de respuesta alcambio. Los cambios reguladores normalmente residen en la entidad denegocios de la biblioteca y están asociados directamente con el mandatoque han modificado. El objeto tiene varias tareas reguladoras asociadas aél, una por cada entidad de negocios afectada por el mandato respectivo.

Iniciativa reguladoraEl objeto de iniciativa reguladora es hijo del objeto Entidad de negocios.Captura información descriptiva sobre la normativa que repercute en unorganización. Las iniciativas reguladoras representan una agrupación másamplia de normativas. Por ejemplo, Antiblanqueo de dinero puede ser unainiciativa reguladoras que incluya varias normativas de blanqueo de dinerodiferentes con las que las organizaciones deben cumplir. Estas iniciativasreguladoras se pueden obtener de IBM Regulatory Compliance Analytics eintegrar en IBM OpenPages Regulatory Compliance Management.

Tarea reguladoraEl objeto de tarea reguladora forma parte de la función de gestión decambios reguladores. Facilita el proceso de gestión de cambios asociadoscon un cambio regulador. Se crea una tarea reguladora en la jerarquíaempresarial organizativa y se asigna a un individuo en cada una de lasentidades de negocios afectadas por el mandato que se ha modificado. Elobjeto se utiliza a continuación para realizar un seguimiento y supervisarsi se necesita una acción como resultado del cambio (por ejemplo, unarevisión de política, una evaluación de control, un curso de formación) y elprogreso de la acción.

Informe

El objeto de informe es el registro de cabecera para la ordenación de uninforme de modelo maestro o un informe de documentación de modelo.Los campos incluyen descripción, autor, estado y resumen.

Sección de informe

El objeto de sección de informe se utiliza en la ordenación de informe demodelo. Es hijo del objeto de informe de modelo y padre del objeto dedocumentación. Un organizador o autor de informe genera secciones deinforme para subdividir la documentación de modelo. Entonces cadasección de informe se puede asociar con varios fragmentos dedocumentación para representarse en un informe maestro. Los camposincluyen descripción, resumen y orden de visualización.

RequisitoLos requisitos representan las tareas normalizadas para realizar a fin depoder cumplir con todos sus submandatos asociados. Los requisitos logran


dos objetivos fundamentales: traducen la redacción a menudo difícil yfarragosa de los mandatos y submandatos en un lenguaje más sencillo yuniformizan los diferentes submandatos. Por ejemplo, puede haber muchossubmandatos en varios mandatos que indican todos ellos que es necesarioque utilice contraseñas seguras. Un solo requisito puede documentar losdetalles de las necesidades de las contraseñas seguras. Cumpliendo esteúnico requisito, el departamento de TI puede satisfacer muchos mandatosy submandatos.

La configuración predefinida admite directamente los contenidosproporcionados por Deloitte y UCF y se puede adaptar para admitir loscontenidos de otros proveedores. Por lo general, los mandatos serepresentan en una estructura de entidades de negocios por biblioteca y nose replican para todo el sistema.

Los requisitos también soportan contenido para conformidad con lanormativa. Se pueden utilizar requisitos para representar las obligacionesreguladoras derivadas de los informes reguladores. Los requisitos sepueden obtener de IBM Regulatory Compliance Analytics y llenar comorequisitos para la gestión de conformidad con la normativa.

Evaluación de requisitoDespués de que los usuarios correlacionen controles internos con requisitosderivados de normativas, puede realizar una evaluación del grado desatisfacción del funcionamiento respecto al requisito identificado. Losusuarios pueden evaluar la efectividad operativa y la efectividad de diseñode los controles dentro del ámbito de un tema de conformidad.

Valor de evaluación de requisitoLos objetos de valor de evaluación de requisito se utilizan para registrar elvalor real de un requisito en un momento específico determinado.

RecursoCOBIT sugiere que existen cuatro tipos de activos de TI, en tanto que losprofesionales incluyen también cuatro tipos adicionales. El objeto Recursose define como un subtipo mediante campos dependientes para representarcualquiera de estos tipos de activos de TI. Los recursos normalmente secrean como una agrupación asociada con la entidad de negocios de TIresponsable o propietaria y se asocian después con los elementosoperativos pertinentes (líneas base, procesos, etc.) en el entorno operativode TI y, potencialmente, se asocian con entidades de negocios relevantespara la empresa también. Aunque los recursos pueden representar activosde TI individuales, (por ejemplo, un servidor Microsoft Windows 2003concreto), con frecuencia representan un grupo de activos (por ejemplo,una agrupación de servidores de aplicaciones Windows 2003 que seutilizan con una determinada aplicación.

Enlace a recursosCOBIT sugiere que los activos de TI tienen relaciones complejas. Indicanque los activos de tipo Personas, Proceso, Infraestructura e Informaciónpueden ser principales y cada uno puede ser un elemento secundario delotro. Además, con frecuencia es necesario relacionar los recursos del mismotipo entre sí. Se puede utilizar un Enlace a recursos como una relaciónmuchos-a muchos, pero la práctica (a la que da soporte el asistente deinterfaz de usuario) es vincular de forma exacta dos recursos. Tenga encuenta que si los nombres o atributos de cada uno de los recursosprincipales se modifica, el nombre y los atributos del Enlace a recursos noestarán sincronizados con sus recursos principales.


Revisión

El objeto de revisión se utiliza para registrar la planificación y losresultados de cualquier actividad de revisión de modelo. Es hijo de losobjetos de uso y modelo. Los campos incluyen (pero no están limitados a)descripción, ámbito, fecha planificada y de ejecución, ejecutor, revisor yresultado. El objeto Revisión está destinado a capturar los resultados de losrevisores tanto si son preimplementación, postimplementación o realizadospor segundo o tercera línea de defensa.

Categoría de RIEl objeto de categoría de RI forma parte de la función de gestión deinteracciones con la autoridad reguladora y se utiliza como nivelintermedio del modelo de objeto de tres niveles (Interacción con laautoridad reguladora, Categoría de RI y Solicitud de RI). El objeto seutiliza para organizar y realizar un seguimiento del progreso de seccioneso categorías individuales de una interacción compleja, como un examen ouna auditoría.

Solicitud de RIEl objeto de solicitud de RI forma parte de la función de gestión deinteracciones con la autoridad reguladora y se utiliza como nivel final delmodelo de objeto de tres niveles (Interacción con la autoridad reguladora,Categoría de RI y Solicitud de RI). El objeto se utiliza para organizar yrealizar un seguimiento de las solicitudes individuales, revisiones oaprobaciones del trabajo previo y tareas in situ como parte de unainteracción compleja, como un examen o una auditoría.

RiesgoLos riesgos son responsabilidades potenciales. Los riesgos se puedenasociar con procesos de negocio, entidades de negocios o el cumplimientode un mandato. Cada riesgo tiene controles que proporcionan proteccionesfrente al riesgo. Los controles ayudan a reducir las consecuencias queresultan del riesgo. Utilice el objeto Riesgo para categorizar riesgos;capturar la frecuencia, realizar clasificaciones y evaluar la gravedad de losdatos de riesgo observados y calculados, y para consultar informes eidentificar los elementos de riesgo más importantes. Por ejemplo, la cuentaEn metálico tiene un proceso denominado Nómina. Se podría producir unriesgo potencial en la nómina; por ejemplo, que la nómina sea undesembolso de nómina duplicado o la creación de desembolsos de nóminaficticios. La identificación de los riesgos en los procesos es un componentefundamental del desarrollo de un proyecto de documentación de controlesfinancieros.

En OpenPages Internal Audit Management, un riesgo que se comparteentre una auditoría interna y la empresa se puede clasificar por separado.

Evaluación de riesgosLas evaluaciones de riesgos le permiten evaluar y elaborar informes de laspotenciales responsabilidades para un conjunto de entidades de negocios oprocesos. Un objeto de evaluación de riesgos contiene los nombres delevaluador y el revisor, los intervalos de tiempo de la evaluación y el estadode la evaluación. Utilice una evaluación de riesgos para gestionar el riesgode un proceso de autoevaluación. Asocie objetos de riesgo con unaevaluación de riesgos para crear un enlace entre la entidad de negocios ylos riesgos. Por ejemplo, cree una evaluación de riesgos para evaluar losriesgos operativos, como robos y fraudes externos y fraudes, fraudeinterno, daños a la propiedad o interrupciones del negocio.


Análisis de evaluación de riesgosLos objetos de análisis de evaluación de riesgos son similares a los objetosde evaluación de riesgos salvo que se crean como instancias de elementossecundarios de las evaluaciones de riesgos. Almacenan datos deevaluaciones de riesgos.

Evaluación de riesgosLos objetos de evaluación de riesgos son elementos secundarios de losobjetos de riesgo que se utilizan para capturar valores de medida de riesgoa efectos de determinación de tendencias. Con frecuencia, los períodos deelaboración de informes no coinciden con los ciclos de evaluación deriesgos y, por tanto, los objetos de evaluación de riesgos se pueden utilizarpara capturar varios ciclos de evaluación dentro de un único período deelaboración de informes.

Análisis de escenarioLos análisis de escenarios son una técnica de evaluación que se utiliza paraidentificar y medir determinadas clases de riesgos, en particular, loseventos de alto impacto y baja frecuencia, como terremotos, recesiones ofallos de la red eléctrica.

Resultado de escenarioLos objetos de resultado de escenario son elementos secundarios de losobjetos de análisis de escenario y se utilizan para capturar los resultadosde los talleres de análisis de escenarios para realizar comparaciones o aefectos de determinación de tendencias.

Firma Una firma indica, por lo general, la confirmación de que el objeto merecesu aprobación. No implica obligatoriedad y no evita que el elemento puedamodificarse una vez otorgada la aprobación. Un objeto con una firma tieneun icono de firma junto al nombre del firmante en la ficha Firmas.

En función de la configuración del sistema, las firmas (con o sin bloqueosasociados) se pueden aplicar a un objeto del siguiente modo:v De forma manual, desde la página de detalles de un objeto.v De forma automática, a través de una tarea de flujo de trabajo.v Una combinación de las dos formas, manual y automática.

Si se configuran bloqueos derivados de la firma en su sistema, cuandofirme un objeto y todos sus objetos secundarios asociados se bloquearán yno se podrán modificar hasta que usted revoque la firma o unadministrador desbloquee el objeto.

SubcuentaUna subcuenta representa un elemento de línea más pequeño y específicoque forma parte de una cuenta principal más grande (o de otra subcuenta).Cada objeto de subcuenta puede asociarse con objetos principales decuenta o de subcuenta.

SubmandatoLos submandatos representan subelementos externos (o internos) que laempresa necesita cumplir. La configuración predefinida admitedirectamente los contenidos proporcionados por Deloitte y UCF y se puedeadaptar para admitir los contenidos de otros proveedores. Por lo general,los mandatos se representan en una estructura de entidades de negociospor biblioteca y no se replican para todo el sistema. El submandato esrecursivo, pero el contenido de Deloitte y de UCF utiliza exactamente unnivel de submandato. Los submandatos también soportan el contenidopara la conformidad con la normativa. Los submandatos se pueden utilizar


para representar párrafos derivados de informes reguladores. Los párrafosse pueden extraer de IBM Regulatory Compliance Analytics y llenar comosubmandatos para la gestión de conformidad con la normativa.

SubprocesoUn subproceso es un componente de un proceso. Se utiliza para dividirprocesos en unidades más pequeñas a efectos de evaluación. Por ejemplo,un proceso financiero de pedido-a-metálico podría estar compuesto devarios subprocesos, como cuentas por pagar, compras y contabilidadgeneral. Cualquiera de estos subprocesos podrían exponer a la empresa aun riesgo y se pueden mejorar utilizando controles.

En OpenPages Internal Audit Management, este objeto no se utiliza paradeterminar el ámbito de la auditoría, pero se puede utilizar paradocumentar los detalles del proceso.

Plan de pruebaUn plan de prueba es un contenedor de pruebas y se puede asociar conobjetos de control principales y objetos secundarios, como resultados depruebas y problemas. Determine la eficacia operativa de un controlrealizando pruebas pormenorizadas y documentando después losresultados. Los planes de prueba describen los mecanismos quedeterminan si un control es efectivo. Por ejemplo, un control de pruebasería: “Recursos Humanos autoriza cambios en el estado del empleado”.Una prueba de este control sería: “Verificar el sello de autorización deRRHH en los registros de empleados nuevos”. La prueba verifica que elnuevo control se implemente y esté en uso.

La configuración predeterminada de OpenPages Internal AuditManagement utiliza el objeto Informe de trabajo en lugar de los objetosPlan de prueba y Resultados de la prueba. El objeto de auditoría necesitaacceder a estos objetos porque con frecuencia se utilizan para documentarlas pruebas de la empresa.

Resultado de la pruebaUn resultado de la prueba es la información que se obtiene tras laejecución de un plan de prueba.

La configuración predeterminada de OpenPages Internal AuditManagement utiliza el objeto Informe de trabajo en lugar de los objetosPlan de prueba y Resultados de la prueba. El objeto de auditoría necesitaacceder a estos objetos porque con frecuencia se utilizan para documentarlas pruebas de la empresa.

Uso

El objeto Uso es hijo de los objetos de entidad de negocios y comité. Elobjeto Uso se utiliza como elemento clave de registro del despliegue deuno o más modelos. El objeto Uso contiene información como descripción,estado, propietario y campos para permitir la evaluación de riesgo de unconjunto de modelos determinado. El objeto Uso es el padre de los objetosde modelo, informe de modelo, solicitud de cambio y métrica.

RenunciaLas renuncias permiten documentar, procesar y gestionar el ciclo de vidade las excepciones de políticas corporativas, políticas de seguridad de lainformación, políticas de TI o requisitos de conformidad con la normativa.Las renuncias se pueden asociar con entidades de negocios, políticas,procedimientos, requisitos, riesgos, controles, líneas base y recursos.


Informe de trabajoUn informe de trabajo es cualquier artefacto o entregable del que se desearealizar un seguimiento en el ámbito de una auditoría. Puede representaruna carta de compromiso, una matriz de prueba, las notas de unaentrevista o cualquier otro cosa que resulte apropiada para la auditoría encuestión. El propio informe de trabajo puede tener atributos almacenadosen el objeto Informe de trabajo o puede ser un archivo Microsoft Word,Microsoft Excel o de otro tipo anexado a un objeto Informe de trabajo.Cuando el informe de trabajo se utiliza como evidencia de la prueba,documenta tanto la planificación de la prueba como los resultados de lamisma.

Cree un objeto de informe de trabajo desde la página de detalles de unasección de auditoría. Los objetos de informe de trabajo también se puedencopiar desde una biblioteca, donde representan plantillas de diferentestipos de informes de trabajo generadas por un departamento de auditoríasinternas.

SubcomponentesLas soluciones IBM OpenPages GRC Platform constan de diferentessubcomponentes.

Un subcomponente es un grupo de tipos de objeto que admite una función lógicaen la solución.

En la tabla siguiente se listan los subcomponentes que se incluyen de formapredeterminada.


Tabla 3. Subcomponentes de OpenPages GRC Platform

SubcomponenteEtiqueta de tipode objeto RCM MRG FCM ORM PCM ITG IAM

Organización Entidadempresarial

X X X X X X X

Preferencia Grupo depreferencias,Preferencia

X X X X X X X

Evaluación deriesgos

Evaluación deriesgos, Análisisde evaluación deriesgos

X X X X X X X


Tabla 3. Subcomponentes de OpenPages GRC Platform (continuación)


Proceso Proceso,Evaluación deproceso,Subproceso,Objetivo decontrol

X X X X X X X

Riesgo Riesgo, Evaluaciónde riesgos

X X X X X X X

Control Control,Evaluación decontrol

X X X X X X X

Pruebas Plan de pruebas,Resultado de laspruebas

X X X X X X X

Problema Problema,Elemento deacción

X X X X X X X

Cuestionario Cuestionario,Sección, Pregunta

X X X X X X X

Evaluación decuestionario

Evaluación decuestionario,Plantilla decuestionario,Plantilla desección, Plantillade subsección,Plantilla depreguntas

X X X X X X X

Hito Hito, Elemento deacción de hito

X X X X X X X

Visualización Diagrama deproceso, Entradade datos, Salida dedatos

X X X X X X X

Programa deevaluación

Programa X X X X X X X

Cuenta Cuenta,Subcuenta,Declaración

X

Análisis deescenario

Análisis deescenario,Resultado delescenario

X

Pérdida externa ORX Loss, ORICLoss, FIRST Loss

X

Evento de pérdida Evento de pérdida,Impacto depérdida,Recuperación depérdidas, Centrode costes

X




Modelado decapital

Modelo de capital,Resultado demodelo de capital

X

KRI KRI, Valor de KRI X X X

KPI KPI, Valor de KPI X X X

Bibliotecaregulatoria

Mandato,Submandato,Requisito

X X X X

Incidente Incidente X X

Renuncia Renuncia X X

Política Política,Procedimiento,Comentario derevisión de política

X X X

Testificación depolítica

Política,Procedimiento,Testificación

X

Campaña Campaña,Empleado,Testificación

X

Interacción con laautoridadreguladora

Interacción con laautoridadreguladora,Autoridadreguladora,Categoría de RI,RI

X

Cambio regulador Cambio regulador,Aplicabilidad delreglamento, Tareareguladora

X X

Política de ITG Política,Procedimiento

X

Plan de control Plan de control,Línea base

X

Recurso Recurso, Enlace arecursos

X

Plan anual Entidad auditable,Auditoría

X

Planificación decompromiso

Planificación, Hojade registrohorario, Auditor

X

Conclusiones Conclusión X

Trabajo de campo Sección deauditoría, Informe,Comentario derevisión deauditoría

X




Proyecto deconformidad

Proyecto, Plan deconformidad,Tema deconformidad

X

Evaluación derequisito

Evaluación derequisito, Valor deevaluación derequisito

X

Autoridadreguladora

Autoridadreguladora,Iniciativareguladora

X

Supervisión demodelo

Métrica, Valor demétrica

X

Estructura decomité

Comité, Empleado X

Elaboración deinformes demodelo y revisión

Informe, Sección,Documentación

X

Inventario demodelo y ciclo devida

Registro, Uso,Modelo, Solicitudde cambio,Entrada demodelo, Salida demodelo, Enlace demodelo

X

Revisión y Desafío Revisión, Desafío X

Además de los subcomponentes incluidos en la tabla, se incluyen los siguientestipos de objeto en cada solución y cualquier usuario autorizado puede tener accesoa ellos:v Firmav Archivov Vínculo


Capítulo 3. Campos calculados

Las soluciones IBM OpenPages GRC Platform constan de diferentes camposcalculados. Un campo calculado es un campo de solo lectura cuyo valor se obtienede los valores de otros campos. Los campos calculados pueden incluir tipos dedatos, como booleano, fecha, decimal, entero y cadenas simples.

En la tabla siguiente se muestran los campos calculados incluidos para cadasolución de forma predeterminada.

Se utilizan los siguientes acrónimos en la tabla:v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 4. Campos calculados en soluciones OpenPages GRC Platform

Etiqueta de tipo deobjeto

Grupo de campos

Nombre del campo Descripción FCM ORM PCM ITG IAM


Asistente de rellenode RCSA

Crea un enlace que inicia elAsistente de relleno de RCSA.Este asistente permite alcoordinador de RCSA finalizarla evaluación de riesgos ycrear un árbol de evaluaciónpara las referencias históricas.

X


Asistente dealineación deprocesos RCSA

Crea un enlace que inicia elAsistente de relleno de RCSA.Este asistente permite alcoordinador de RCSA revisarlos procesos, riesgos ycontroles asociados y crearmás asociaciones. El asistentetambién configura losprocesos, riesgos y controlescon el estado de En espera deevaluación.

X

35

Tabla 4. Campos calculados en soluciones OpenPages GRC Platform (continuación)


Grupo de campos


Análisis deescenario

Asistente definalización deescenario

Crea un enlace que inicia elAsistente de finalización deescenario. Este ayudante seutiliza para crear resultadosde escenario tras lafinalización de un taller.

El propietario del escenario oel equipo de riesgos puedeniniciar el asistente de formamanual al completarse elanálisis del escenario.

X

Testificación

OPSS-Attest

Testificación depolítica

Crea un enlace que inicia elasistente Vista delreconocimiento de política.

X

Política

OPSS-Pol

Modificar política

Crea un enlace que inicia elasistente del editor depolíticas.

X

Política

OPSS-Pol

Ver política

Crea un enlace que inicia elasistente del visor de políticas.

X

Política

OPSS-Pol

Abrir política paranuevo ciclo derevisión o Volver aabrir política parallevar a cabocambios adicionales

Crea un enlace que inicia elasistente del editor depolíticas.

X

Comentario derevisión de política

OPSS-PolRevComm

Revisar política

Crea un enlace que inicia elasistente de la vista derevisión de política.

X

Plan de control

OPSS-RiskEnt

Líneas de base

Crea un enlace para iniciar elasistente de obtención delíneas base.

X


Tabla 4. Campos calculados en soluciones OpenPages GRC Platform (continuación)


Grupo de campos


Recurso

OPSS-Res

Enlaces de recursos

Crea un enlace para iniciar elasistente para añadir unenlace de recurso.

X

Entidad auditable

OPSS-AudEnt

Puntuación deriesgo ponderada

Calcula la suma de losproductos de cada valor defactor de riesgo pertinente ysu ponderación del factor deriesgo. Los valores de factorde riesgo se introducen en laentidad auditable. Lasponderaciones de factor deriesgo proceden del objeto deauditoría de preferencia defactor de riesgo "más cercano",que coinciden con el tipo deauditoría especificado en laentidad auditable.

X

Auditoría

OPSS-Aud

Cerrar auditoría

Crea un enlace para iniciar elasistente de cierre deauditoría.

X

Auditoría

OPSS-Aud

Planes

Crea un enlace para iniciar elasistente de inicio deauditoría.

X

Auditoría

T y G reales

Calcula la suma de lasentradas de T y G de todas lashojas de horas para todas lasplanificaciones de estaauditoría.

X

Auditoría

Horas reales

Calcula la suma de lasentradas de horas de todas lashojas de horas para todas lasplanificaciones de estaauditoría.

X

Planificación

OPSS-Plan

Horas reales

Calcula la suma de lasentradas de T y G de todas lashojas de horas para todas lasplanificaciones de estaauditoría.

X

Planificación

OPSS-Plan

T y G reales

Calcula la suma de todas lasentradas de horas de todas lashojas de horas para estaplanificación.

X

Capítulo 3. Campos calculados 37

Nota: OpenPages Policy and Compliance Management inicia aplicaciones deayuda desde los campos de URL. Los campos calculados se implementan comocampos de URL.


Capítulo 4. Ayudantes

Las soluciones de IBM OpenPages GRC Platform incluyen varios ayudantes.

En la tabla siguiente se muestran los asistentes incluidos para cada solución deforma predeterminada.v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 5. Asistentes en soluciones de IBM OpenPages GRC Platform

Ayudante FCM ORM PCM ITG IAM

“Asistente de finalización de escenario” en lapágina 40

X

“Programa de utilidad Creación de valor de KRI”en la página 40

X X X

“Programa de utilidad Creación de valor de KPI”en la página 41

X X X

“Asistente de finalización de RCSA” en la página41

X

“Asistente de alineación de procesos RCSA” en lapágina 42

X

“Asistente del programa de utilidad de inicio deRCSA” en la página 42

X

“Asistente de sincronización de sitios de RCSA” enla página 43

X

Ver políticaNota: Este ayudante y el de Revisar política son lomismo. Cada uno tiene una función diferente ydependen de en qué punto del ciclo de vida seencuentre la política.

X

Revisar políticaNota: Este ayudante y el de Ver política son lomismo. Cada uno tiene una función diferente ydependen de en qué punto del ciclo de vida seencuentre la política.

X

“Asistente Vista de comparación de políticas” en lapágina 43

X

“Asistente Desbloquear política” en la página 44 X

Publicación de notificaciones en lotes X

Vista de conocimiento de política X

Informe de creación de testificación X

“Asistente Obtener líneas base” en la página 46 X

“Asistente Crear enlaces de recursos” en la página46

X

39

Tabla 5. Asistentes en soluciones de IBM OpenPages GRC Platform (continuación)

Ayudante FCM ORM PCM ITG IAM

“Asistente Cerrar auditoría” en la página 46 X

“Asistente para añadir o modificar planificaciones”en la página 46

X

“Asistente para el informe de entrada de hoja deregistro horario” en la página 47

X

“Asistente para el informe de entrada de hoja deregistro horario del administrador” en la página 47

X

Asistente de finalización de escenarioCuando finaliza el taller del escenario, el equipo de riesgos operativos o elpropietario del escenario actualiza los resultados del escenario en el objetoEscenario. Para finalizar el escenario, el propietario ejecuta el Asistente definalización de escenario.

Como facilitadores del proceso de análisis de escenarios, el equipo de riesgosoperativos realiza la mayoría de las actividades en IBM OpenPages GRC Platform.El asistente realiza los siguientes pasos:1. Valida los datos.2. Crea un objeto de resultados del escenario.3. Rellena los campos de resultados del escenarios con el análisis del escenario.4. Ejecuta el informe de detalles de resultados del escenario y lo adjunta a los

resultados del escenario.

Programa de utilidad Creación de valor de KRIUna vez definido el indicador clave de riesgo (KRI)el programa de utilidadCreación de valor de KRI determina si es necesario generar un objeto de valor deKRI como elemento secundario del KRI.

El programa de utilidad Creación de valor de KRI genera objetos de valor de KRIen blanco que deben capturarse en la semana siguiente. El programa de utilidad seinicia como una tarea semanal que se programa para ejecutarse durante la noche.Sin embargo, un administrador puede iniciarla manualmente si la tarea planificadano se inicia automáticamente.

El programa de utilidad revisa los KRI e identifica los que están pendientes derecopilación en los próximos siete días. Los KRI se identifican en función de losdatos de valor de KRI Frecuencia y Desfase de frecuencia. Si el KRI se marcacomo Activo, el programa de utilidad Creación de valor de KRI genera un valor deKRI secundario y rellena el valor con los siguientes datos:v IDv Descripción, que se basa en el KRI principal.v Propietario del KRI, que se basa en el KRI principal.

El propietario es el usuario que registra el valor de KRI en OpenPages GRCPlatform.

v Fecha de captura prevista.Esta fecha es un campo de solo lectura y se basa en los valores Frecuencia yDesfase de frecuencia.


v El estado del valor de KRI, que se establece como En espera de recopilación.Si el KRI se marca como Inactivo, el programa de utilidad no genera un valor enblanco. El objeto de valor se configura inicialmente como un marcador deposición con el estado En espera de recopilación.

Programa de utilidad Creación de valor de KPIUna vez definido el KPI, la función del asistente OpenPages GRC Platformdetermina si es necesario generar un objeto de valor de KPI como elementosecundario del KPI.

El programa de utilidad Creación de valor de KPI genera objetos de valor de KPIen blanco que deben capturarse en la semana siguiente. El programa de utilidad seinicia como una tarea semanal que se programa para ejecutarse durante la noche.Sin embargo, un administrador puede iniciarla manualmente si la tarea planificadano se inicia automáticamente.

El programa de utilidad revisa los KPI e identifica los que están pendientes derecopilación en los próximos siete días. Los KPI se identifican en función de losdatos de valor de KPI Frecuencia y Desfase de frecuencia. Si el KPI se marcacomo Activo, el programa de utilidad Creación de valor de KPI genera un valor deKPI secundario y rellena el valor con los siguientes datos:v ID.v Descripción, que se basa en el KPI principal.v Propietario del KPI, que se basa en el KPI principal.

El propietario es el usuario que registra el valor de KPI en OpenPages GRCPlatform.

v Fecha de captura prevista.Esta fecha es un campo de solo lectura, que se basa en los valores Frecuencia yDesfase de frecuencia.

v El estado del valor de KPI, que se establece como En espera de recopilación.Si el KPI se marca como Inactivo, el programa de utilidad no genera un valor enblanco. El objeto de valor se configura inicialmente como un marcador deposición con el estado En espera de recopilación.

Asistente de finalización de RCSAEl Asistente de finalización de RCSA permite al coordinador de RCSA finalizar laevaluación de riesgos y crear un árbol de evaluación para las referencias históricas.

El coordinador de RCSA recibe un mensaje que pregunta si se debe continuar.Cuando el coordinador de RCSA confirma el mensaje, el asistente realiza lassiguientes acciones:1. Establece el campo de estado Evaluación de riesgos como Aprobado.2. Crea la siguiente estructura vinculada para el registro de evaluación

secundario:v Análisis de evaluación de riesgosv Evaluación de procesosv Evaluación de riesgosv Evaluación de control

3. Copia los datos clave a los nuevos registros de evaluación y realiza asociacionessecundarias.

Capítulo 4. Ayudantes 41

Debe especificar qué campos deben copiarse (menú Configuración).

Asistente de alineación de procesos RCSAEl Asistente de alineación de procesos RCSA permite al coordinador de RCSArevisar los procesos, riesgos y controles asociados y crear más asociaciones. Elasistente también configura los procesos, riesgos y controles con el estado de Enespera de evaluación.

Cuando el coordinador de RCSA desee iniciar el ciclo de RCSA, podrá iniciar elasistente desde un enlace URL en la página Detalle de evaluación de riesgos.

El asistente basado en tareas realiza las siguientes acciones cuando se inicia:1. Añade o elimina procesos, riesgos y controles2. Revisa la propiedad del proceso, del riesgo y del control3. Pregunta al coordinador de RCSA si desea iniciar la evaluaciónv Si el coordinador responde Sí, el asistente continúa con los siguientes

procesos:– Establece todos los riesgos y controles como En espera de evaluación.– Establece el campo Enviar para aprobación del objeto Riesgo como No.– Establece el campo Aprobar/Rechazar del objeto Riesgo como un valor en

blanco.– Establece el campo Comentarios de rechazo del objeto Riesgo como un

valor en blanco.v Si el coordinador no desea comenzar el ciclo de RCSA, guarde y cierre la

evaluación.

Asistente del programa de utilidad de inicio de RCSAEl Asistente del programa de utilidad de inicio de RCSA genera objetos deevaluación de riesgos para las entidades dentro del ámbito.

El Asistente del programa de utilidad de inicio de RCSA ayuda al administrador ainiciar el proceso de RCSA del siguiente modo:1. Crea una evaluación de riesgos bajo la entidad empresarial y asocia todos los

procesos que están bajo esa entidad empresarial con la evaluación de riesgos.2. Solicita los detalles de la evaluación de riesgos.

El administrador proporciona valores para los campos en todas las evaluacionesde riesgos generadas, como Fecha de inicio, Fecha de finalización eInstrucciones / Orientación.

3. Identifica todas las entidades Dentro del ámbito.4. Genera un objeto de evaluación de riesgos para todas las entidades

empresariales Dentro del ámbito.5. Rellena el objeto de evaluación de riesgos con los valores proporcionados en el

paso 1.6. Establece el estado de la evaluación de riesgos como No iniciado y el campo

Administrador de RCSA se rellena con el nombre de usuario correspondiente.7. Envía un correo electrónico al coordinador de RCSA informándole de que el

ciclo de RCSA puede comenzar.


El administrador puede especificar el contenido del correo electrónico a travésde la página Configuración. El correo electrónico del coordinador de riesgosutiliza la información del registro de preferencia más próximo que tenga elcoordinador de RCSA especificado.

Asistente de sincronización de sitios de RCSAEl Asistente de sincronización de sitios de RCSA sincroniza instancias de datos deobjetos con valores de una estructura de datos de biblioteca.

Cuando se inicia el asistente, identifica todos los cambios en el objetomaestro/biblioteca. El asistente utiliza un campo Referencia de biblioteca comouna clave común y sincroniza todas las instancias locales del objeto con el maestro.

Visores de políticasUna serie de visores de políticas facilitan el proceso de creación, modificación,revisión y aprobación de políticas y procedimientos. Agrega varias secciones deuna política y los procedimientos asociados a una única vista narrativa para editar,revisar y aprobar, en tanto que permite a los clientes mantener la estandarizaciónde una plantilla Política.

Este asistente ofrece las siguientes vistas:v Modificar política - Abierta desde un objeto Política, la vista Modificar política

es una vista editable que permite al autor y al propietario de la política crear yeditar un objeto Política y sus Procedimientos asociados. El visor Modificarpolítica solo se utiliza como parte del enfoque Centrado en datos para Gestiónde políticas.

v Ver política - Abierta desde un objeto Política, la vista Ver política es una vistade solo lectura que permite a los usuarios ver una política y sus procedimientosen una vista narrativa con formato (enfoque Centrado en datos e Híbrido) odesde un enlace Archivo adjunto de política (enfoque Centrado en documento).

v Revisar política - Abierta desde un objeto Comentarios de revisión de política,la vista Revisar política es una vista basada en rol que hace más sencillos losprocesos de revisión y aprobación. Además de mostrar los objetos Política yProcedimiento, o el enlace Archivo adjunto de política, incluye el objetoComentarios de revisión de política que permite a los revisores y aprobadoresenviar comentarios editando directamente el objeto Política o utilizando elformulario Comentarios. Se presenta a los revisores una vista editable o de sololectura de la política y sus procedimientos, en función del parámetro establecidoen IBM OpenPages GRC Platform en la página Ajustes. A los aprobadores se lespresenta una vista de solo lectura de la política.

Utilice los ajustes y los ajustes de texto de la aplicación para configurar estecomponente de forma que se comporte según la metodología del cliente.

Asistente Vista de comparación de políticasEl asistente Vista de comparación de políticas permite a los usuarios verdiferencias marcadas en color rojo de una versión de política a otra. Por ejemplo,un usuario puede observar a simple vista las diferencias entre un borrador actualde una política y la política publicada, o de las versiones anteriores ya caducadas.

El componente Vista de comparación de políticas se utiliza con los enfoquesCentrado en datos e Híbrido.


Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología de los clientes.

Asistente Desbloquear políticaEl asistente Desbloquear política se abre desde el objeto Política después de que lapolítica pasa a la fase de revisión y aprobación. El asistente Desbloquear políticadesbloquea el objeto Política y sus componentes (Procedimientos, Adjuntos,Comentarios de revisiones de políticas) para su revisión.

El asistente Desbloquear política admite tres enfoques de política: centrada endatos, centrada en documentos e híbrida.

El asistente Desbloquear política admite dos casos de uso:1. La reapertura de un objeto Política para los cambios producidos dentro de un

ciclo de revisión:v Establece el Estado de aprobación como En revisión.v Desbloquea los objetos o adjuntos bloqueados que se necesitan durante el

proceso de revisión.v Actualiza el número de versión.

2. Apertura de una política para un nuevo ciclo de revisión:v Establece Estado de aprobación como En revisión.v Desbloquea el objeto Política y sus componentes (por ejemplo,

Procedimientos, Adjuntos).v Restablece y borra campos, como Fecha de publicación, Estado de

publicación, Siguiente fecha de revisión.v Actualiza el número de versión.v Elimina o borra objetos de comentarios de revisión de políticas.v Establece un distintivo en la política publicada correspondiente para indicar

que el borrador está En revisión.

IBM OpenPages GRC Platform o el cliente pueden configurar este componentepara que cumpla la metodología del cliente utilizando los ajustes y los ajustes detexto de aplicación.

Asistente Publicar notificación por lotesEl asistente Publicar notificación por lotes hace más sencillo el proceso depromocionar una política de borrador aprobada a la biblioteca de publicados y demover la versión publicada actual a la biblioteca de caducados. También retira unapolítica moviendo la política publicada a la biblioteca de publicados y eliminandoel borrador. Puede utilizar el asistente Publicar notificación por lotes con losenfoques de política Centrado en datos, Centrado en documentos, e Híbrido.

El asistente Publicar notificación por lotes se ejecuta de forma programada yrealiza las siguientes tareas:v Actualiza la política en borrador:

– Configura los campos de la política en borrador como Estado de aprobación,Fecha de publicación y Estado de publicación.

– Actualiza un número de versión en función de la relevancia de un cambio enla política.

v Promociona un objeto Política publicado a la biblioteca de caducados:


– Cambia el nombre del objeto Política (anexa Expired – V#).– Establece Ubicación de política como Caducada y especifica la fecha de

caducidad.– Mantiene las aprobaciones y las asociaciones con objetos como Entidades y

Mandatos.– Elimina los archivos adjuntos de políticas híbridas.

v Promociona un objeto Política en borrador a la biblioteca de publicados:– Establece Ubicación de política como Publicada.– Mantiene las aprobaciones y las asociaciones con objetos como Entidades y

Mandatos.– Mantiene asociaciones de objeto existentes (Evaluación de riesgos) en un

objeto Política publicado.v Envía correos electrónicos tras la correcta de la publicación.

Utilice los ajustes y los ajustes de texto de la aplicación para configurar estecomponente de forma que se comporte según la metodología del cliente.

Asistente Vista de conocimiento de políticaEl asistente Vista de conocimiento de política es una vista intuitiva que permite alos empleados leer de forma fácil una política y sus procedimientos y susprocedimientos en un formato narrativo. El empleado testifica que ha leído ycomprendido la política.

El asistente Vista de conocimiento de política realiza las siguientes tareas:v Muestra los objetos Política y su Procedimiento en un formato narrativo simple

y de solo lectura con la apariencia de una política corporativa.v Permite a los empleados testificar respecto a la política con un simple clic y sin

ningún tipo de navegación.v Permite a los empleados solicitar una excepción al requisito de testificación de

política.

Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente para que se comporte según la metodología del cliente.

Asistente Informe de creación de testificaciónEl asistente Informe de creación de testificación es una notificación planificada.También se puede ejecutar desde el menú Informes (en el menú Informes detestificación).

Este informe proporciona soporte a la función de reconocimiento de políticas. Estápensado para ejecutarse de forma planificada y realiza las siguientes tareas:v Encuentra todos los objetos Campaña con el estado Listo para empezar asociado

a las políticas publicadas.v Encuentra todos los empleados activos que cumplen los mismos criterios de los

requisitos de testificación definidos en el objeto Campaña.v Crea un registro Testificación para cada empleado coincidente con esa campaña

de política.v Conduce el registro Testificación a la página de inicio del empleado utilizando

la lista filtrada de la página de inicio configurada.


v Envía a cada empleado una notificación por correo electrónico y los avisa de queuna testificación ha vencido.

Asistente Obtener líneas baseIniciado desde un enlace de campo calculado del objeto Plan de control, esteasistente copia la línea base seleccionada desde la biblioteca al entorno operativode TI y copia o crea y rellena previamente riesgos descendentes, controles yplanificaciones de prueba. El asistente crea asociaciones desde los nuevoselementos a los elementos de biblioteca y graba la información de estado en elcampo de descripción adicional de la línea base creada.

Asistente Crear enlaces de recursosIniciado desde el enlace a un campo calculado en el objeto de recurso, esteayudante crea un Enlace de recurso como un elemento secundario del recursoinicial y como elemento secundario del recurso seleccionado. El asistente rellenapreviamente los campos en el objeto Enlace de recurso creado.

Asistente Cerrar auditoríaIniciado desde un enlace de campo calculado del objeto de auditoría, el asistentepara cerrar auditorías favorece la automatización del proceso de cierre deauditoría.

Ofrece un resumen y, opcionalmente, detalles de si la auditoría desde la que seinició este asistente y todos sus componentes está preparada para el estado decierre. Cuando todos los componentes están preparados, muestra un botón decierre de auditoría que automatiza las acciones que se realizan cuando se cierrauna auditoría, como la configuración y eliminación de los valores de campos, laeliminación de las instancias de objeto y el bloqueo de objetos.

Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología del cliente.

Asistente para añadir o modificar planificacionesIniciado desde un enlace de campo calculado del objeto de auditoría, el asistentepara añadir o modificar planificaciones hace más sencilla la creación ymodificación de planificaciones de auditoría. Localiza auditores y los rellena en loscampos para asignarlos a las planificaciones.

Estos procesos consumen mucho tiempo, son proclives a errores y difíciles derealizar con la interfaz de usuario de la plataforma.

El asistente proporciona un resumen de las planificaciones de esta auditoría y lacapacidad de modificarlas. Proporciona la posibilidad de añadir un nuevo plan aesta auditoría. También proporciona la capacidad de buscar agrupaciones deauditores o una parte determinada de la agrupación, para localizar auditores quetengan los conocimientos, atributos y requisitos de disponibilidad identificados enla planificación. Permite ver detalles de otras planificaciones para cada auditorlocalizado y seleccionar y rellenar de forma automática al auditor más idóneo apartir de los resultados de búsqueda.

Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología del cliente.


Asistente para el informe de entrada de hoja de registro horarioIniciado desde el menú Informes, el asistente para el informe de entrada de hojade registro horario permite a un auditor introducir o revisar sus horas.

Adopta de forma predeterminada la semana actual. Las semanas empiezan enlunes, lo cual es coherente con los informes de gráfico de GANTT. Este informeinteractivo se utiliza para revisar las horas y gastos introducidos previamente ytambién para introducir las horas y gastos reales. El informe se filtra de formaautomática al usuario actual y para incluir planes para los que el usuario es elauditor asignado.

El usuario se puede mover a una semana próxima utilizando los botones Semanaanterior y Semana siguiente. El usuario puede ir a otra semana que no estépróxima utilizando un widget de calendario para seleccionar una fecha en lasemana deseada y después haciendo clic en el botónIr a semana.

Las horas y los gastos se pueden introducir solo en relación con planes que tenganasignados auditores. Navegue hasta la semana para la que desee introducir oconsultar las horas y los gastos. No hay ninguna restricción sobre la creación omodificación de las hojas de registro de horas por adelantado o atrasado salvo ladel Estado. Las filas de la hoja de registro horario con estado Enviado o Aprobadono se pueden editar.

Al hacer clic en Guardar, los objetos de la hoja de horas se crean y se rellenan paralas filas nuevas y los valores se guardan en las hojas de horas existentes. Losgastos y las horas son una única entrada por fila a la semana y no se desglosan encategorías de gastos. El tiempo y los gastos se introducen y se muestran siempreen la moneda base.

Configure este componente como resulte adecuado para la metodología delcliente.No configure un informe de página de inicio incorporada. Si lo hace,utilizará toda la página de inicio e impedirá que el usuario acceda al contenidosubyacente.

Asistente para el informe de entrada de hoja de registro horario deladministrador

Iniciado desde el menú Informes, el asistente para el informe de entrada de la hojade registro horario del administrador es una extensión del asistenta para el informede entrada de registro horario que incluye una página de ámbito que permite a losusuarios con acceso a este informe seleccionar un usuario diferente para introducirlas horas relativas a él.

La versión del asistente para los administradores incluye los botones Aprobar yRechazar, así como funciones asociadas.

Configure este componente para que se comporte según la metodología del cliente.No configure un informe de página de inicio incorporada. Si lo hace, utilizará todala página de inicio e impedirá que el usuario acceda al contenido subyacente.


Capítulo 5. Notificaciones

Las notificaciones son correos electrónicos que se envían a los propietarios de unproceso como un recordatorio para actuar. Estas notificaciones se pueden produciren diferentes etapas de un proceso o como el paso final de un activador.

El documento OpenPages GRC Platform Issue Management and Remediation Details yel documento OpenPages GRC Platform Metrics Details proporcionan más detallessobre los elementos que aparecen en este tema.

Todas las notificaciones que se envían desde las soluciones de IBM OpenPagesGRC Platform utilizan la siguiente dirección de remitente. Configure la direcciónde correo electrónico y los ajustes del servidor utilizando la abreviatura de lasolución adecuada:v /OpenPages/Solutions/ORM/Email/From Email: la dirección del remitente que se

utiliza para enviar notificaciones.v /OpenPages/Solutions/ORM/Email/From Name: configure este elemento para

identificar el nombre del remitente de correo electrónico que se utiliza con lasnotificaciones.

v /OpenPages/Common/Email/Mail Server: configure este elemento para identificarel servidor de correo electrónico que se utiliza para enviar notificaciones.Este elemento es utilizado por ciclos de vida. Para los mensajes de correoelectrónico generados para evaluaciones de cuestionario al iniciar el programa, ladirección del remitente se graba en código fuente en [email protected] los mensajes de correo electrónico generados por otros activadores de ciclode vida, la dirección del remitente se especifica en el archivo trigger.xml. Elvalor predeterminado es [email protected].

Las soluciones de OpenPages GRC Platform constan de diferentes notificaciones.En la tabla siguiente se muestran las notificaciones incluidas para cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 6. Notificaciones en las soluciones de IBM OpenPages GRC Platform

Notificación MRG FCM ORM PCM ITG IAM

“Notificación a través del boletín deproblemas y acciones” en la página 50

X X X X X X

“Notificación de recordatorio de KPI”en la página 50

X X X

“Notificación de infracción de KPI” enla página 50

X X X

“Notificación de recordatorio de KRI”en la página 50

X X X

49

Tabla 6. Notificaciones en las soluciones de IBM OpenPages GRC Platform (continuación)

Notificación MRG FCM ORM PCM ITG IAM

“Notificación de infracción de KRI” X X X

“Notificación de incidente” en la página51

X X

“Notificación de evaluación decuestionario” en la página 51

X X X X X

Notificación a través del boletín de problemas y accionesDurante la fase de cierre del proceso de gestión de problemas y solución (IMR), seenvía un boletín de problemas y acciones como una notificación de correoelectrónico a los usuarios. El boletín resalta áreas importantes, como los problemasvencidos y las acciones que están pendientes de cierre. El administrador puedeestablecer la frecuencia de esta notificación utilizando el boletín de gestión deproblemas y solución (IMR).

Notificación de recordatorio de KPILa notificación de recordatorio de KPI es un correo electrónico que se envía alpropietario del KPI. Contiene una lista de todos los valores de KPI que elpropietario o el destinatario necesitan capturar en los próximos siete días.

Notificación de infracción de KPILa notificación de infracción de KPI envía un correo electrónico al propietario delriesgo cuando un estado de infracción de KPI cambia de verde a rojo o de ámbar arojo.

El activador de ciclo de vida del KPI inicia la notificación de la infracción del KPI.La notificación por correo electrónico incluye un enlace al KPI que contiene lainfracción y aconseja al propietario del riesgo revisar la infracción y adoptar lasacciones oportunas.

Notificación de recordatorio de KRILa notificación de recordatorio de KRI es un correo electrónico que se envía alpropietario del KRI. Contiene una lista de todos los valores de KRI que elpropietario o el destinatario necesitan capturar en los próximos siete días.

Notificación de infracción de KRILa notificación de infracción de KRI envía un correo electrónico al propietario delriesgo cuando un estado de infracción de KRI cambia de verde a rojo o de ámbara rojo.

El activador de ciclo de vida del KRI inicia la notificación de la infracción del KRI.La notificación por correo electrónico incluye un enlace al KRI que contiene lainfracción y aconseja al propietario del riesgo revisar la infracción y adoptar lasacciones oportunas.


Notificación de incidenteLa notificación de incidente envía un correo electrónico a un responsable de ciclode vida cuando se crea un incidente y para cada transición del ciclo de vida delincidente. Se produce una transición cuando un usuario pulsa un icono detransición (Ciclo de vida > Inicio, Enviar para revisión, Escalar, Rechazo derevisión, Cierre de revisión, Enviar para revisión de escalada, Desescalar, Cierrede revisión de escalada, Rechazo de revisión de escalada o Reabrir) en la vista dedetalles del incidente.

El activador de ciclo de vida de incidente inicia la notificación de incidente. Lanotificación de correo electrónico contiene la etapa, el estado y un enlace alincidente.

Notificación de evaluación de cuestionarioLa notificación de evaluación de cuestionario envía un correo electrónico a unresponsable de ciclo de vida cuando un programa crea una evaluación decuestionario y para cada transición del ciclo de vida. Se produce una transicióncuando un usuario pulsa un icono de transición (Enviar, Enviar y cerrar, Acción >Rechazar, Acción > Aprobar y cerrar, Acción > Enviar para aprobación y Acción> Aprobar) en la interfaz de usuario del cuestionario.

El activador de ciclo de vida de evaluación de cuestionario inicia la notificación deevaluación de cuestionario. La notificación de correo electrónico contiene la etapa,el estado y un enlace a la evaluación de cuestionario.

Capítulo 5. Notificaciones 51

Capítulo 6. Informes

Las soluciones de IBM OpenPages GRC Platform constan de diferentes informes.

El documento OpenPages GRC Solutions Report Details proporciona detallesadicionales sobre los informes que se mencionan en este tema. Existen informesadicionales que se instalan con OpenPages GRC Platform y están disponibles paratodas las soluciones, que se describen en IBM OpenPages GRC PlatformAdministrators Guide.

Las siguientes tablas muestran los informes que se incluyen con cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 7. Informes de análisis de riesgos en las soluciones de IBM OpenPages GRC Platform

Informe MRG FCM ORM PCM ITG IAM

Lista de evaluación deriesgos

X X X X X

Estado de la evaluación deriesgos

X X X X X

Resumen de evaluación deriesgos

X X X X X

Problemas y planes de acciónde evaluación de riesgos

X X X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de evaluación de riesgos” en la página 56.

Tabla 8. Informes de riesgos en las soluciones de IBM OpenPages GRC Platform


Análisis de riesgos X X X X X

Gráfica de riesgos X X X X X

Clasificación de riesgo porentidad

X X X X X

Clasificación de riesgo porcategoría

X X X X X

Riesgos principales X X X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de riesgos” en la página 57.

53

Tabla 9. Informes de control en las soluciones de IBM OpenPages GRC Platform


Matriz de riesgo y control X X X X X

Gráfica de la eficacia decontrol

X X X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de control” en la página 58.

Tabla 10. Informes de prueba en las soluciones de IBM OpenPages GRC Platform


Panel de pruebas X X X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de prueba” en la página 58.

Tabla 11. Informes de visualización en las soluciones de IBM OpenPages GRC Platform


Análisis de proceso X X X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de visualización” en la página 59.

Tabla 12. Informes de indicadores en las soluciones de IBM OpenPages GRC Platform


Panel KRI X X X

Panel KPI X X X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de indicador” en la página 59.

Tabla 13. Informes de eventos de pérdida en las soluciones de IBM OpenPages GRC Platform


Panel de evento de pérdida X

Resumen de eventos depérdida

X

Tendencia de eventos depérdida

X

Riesgo frente a pérdida X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de eventos de pérdida” en la página 59.

Tabla 14. Informes de gestión de problemas y correcciones en las soluciones de IBM OpenPages GRC Platform


Panel de control deproblemas de ORM

X


Tabla 14. Informes de gestión de problemas y correcciones en las soluciones de IBM OpenPages GRCPlatform (continuación)


Elementos de acción yproblemas de ORM

X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de gestión de problemas y corrección” en la página 60.

Tabla 15. Informes de análisis de escenario en las soluciones de IBM OpenPages GRC Platform


Resumen de escenario X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de análisis de escenarios” en la página 60.

Tabla 16. Informes de modelado de capital en soluciones de IBM OpenPages GRC Platform


Contribución de capital porentidad empresarial

X

Contribución de capital porcategoría de riesgo

X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de modelado de capital” en la página 61.

Tabla 17. Informes de conformidad con la normativa en las soluciones de IBM OpenPages GRC Platform


Eficacia de control deproceso por mandato

X

Matriz de aplicabilidad delreglamento

X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de cumplimiento normativo” en la página 61.

Tabla 18. Informes de activos de TI en las soluciones de IBM OpenPages GRC Platform


Línea base X

Plan de control X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de activos de TI” en la página 62.

Tabla 19. Informes de conformidad de TI en las soluciones de IBM OpenPages GRC Platform


Eficacia de control de TI pormandato

X

Capítulo 6. Informes 55

Tabla 19. Informes de conformidad de TI en las soluciones de IBM OpenPages GRC Platform (continuación)


Biblioteca de requisitos X

Biblioteca de requisitos delUCF

X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de conformidad de TI” en la página 62.

Tabla 20. Informes de gestión de auditorías en las soluciones de IBM OpenPages GRC Platform


Universo de auditoría X

Plan de auditoría X

Plan de auditor X

Descripción general deauditoría

X

Informe de auditoría interna X

Desviación de auditoría X

Desviación del auditor X

Entrada de hoja de registrohorario

X

Entrada de hoja de registrohorario del administrador

X

Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de gestión de auditoría” en la página 63.

Informes de evaluación de riesgosLos informes de evaluación de riesgos proporcionan soporte al equipo directivopara tomar mejores decisiones que conducen a la acción. Estos informes formanparte de la fase de acción del proceso de evaluación de riesgos y autocontrol(RCSA).

En la tabla siguiente se describen los informes de evaluación de riesgo disponibles.Los usuarios pueden profundizar en algunos informes para obtener más detalles.

Tabla 21. Informes de evaluación de riesgos

NombreInforme de acceso adetalles Descripción

Lista de evaluaciónde riesgos

Muestra detalles de la evaluación de riesgospara una entidad empresarial específica ytodos sus descendientes.

Estado de laevaluación de riesgos

Detalle del estado dela evaluación deriesgos

Muestra un gráfico de columnas apiladoque muestra el estado de las evaluacionesde riesgos para la entidad empresarialespecificada y sus descendientes directos.


Tabla 21. Informes de evaluación de riesgos (continuación)


Resumen deevaluación de riesgos

Problemas y planesde acción deevaluación de riesgos

Muestra los detalles de las evaluaciones deriesgos junto con sus riesgos y controlesasociados. Un informe de acceso a losdetalles muestra los problemas y loselementos de acción relacionados con lasevaluaciones de riesgos, los riesgos y loscontroles.

Problemas y planesde acción deevaluación de riesgos

Muestra todos los problemas y elementosde acción relacionados con la evaluación deriesgos seleccionada y sus riesgos ycontroles asociados. El objeto principal solomuestra los elementos principales de laevaluación de riesgos, el riesgo y loscontroles.

El informe solicita dos valores: la entidadempresarial y la evaluación de riesgos. Losdatos se filtran según la entidadseleccionada. Los usuarios pueden elegirentre todas las evaluaciones de riesgos queestán asociadas, directa o indirectamente, ala entidad empresarial seleccionada.

Informes de riesgosHay informes de riesgo disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en algunos informes para obtener másdetalles.

Tabla 22. Informes de riesgos


Análisis de riesgos Muestra los riesgos agrupados por procesopara una entidad empresarial especificada.

Gráfica de riesgos Detalle de riesgos Muestra una tabla que agrega riesgos porimpacto residual y la probabilidad para unadeterminada entidad empresarial.

Clasificación deriesgo por entidad

Detalle declasificación deriesgos por entidad

Muestra información de resumen declasificación de riesgos residuales para laentidad empresarial seleccionada y susdescendientes. Un informe de acceso a losdetalles muestra detalles de los riesgos.

Clasificación deriesgo por categoría

Detalle declasificación deriesgos por categoría

Muestra información de resumen declasificación de riesgos residuales y decategorías de riesgo para la entidadempresarial seleccionada. Un informe deacceso a los detalles muestra detalles de losriesgos.


Tabla 22. Informes de riesgos (continuación)


Riesgos principales Muestra un resumen de los principalesriesgos clasificados por exposición de riesgoresidual y también muestra la exposición deriesgo inherente.

De forma predeterminada, los campos deevaluación cuantitativos no están incluidosen las siguientes soluciones, por lo que esposible que este informe no resulteadecuado para los usuarios de estassoluciones:

v IBM OpenPages Policy and ComplianceManagement

v IBM OpenPages Financial ControlsManagement

v IBM OpenPages IT Governance

Informes de controlHay informes de control disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en algunos informes para obtener másdetalles.

Tabla 23. Informes de control


Matriz de riesgo ycontrol

Muestra datos de riesgo y de control parala entidad empresarial y los procesosespecificados.

Gráfica de la eficaciade control

Detalle de la eficaciade control

Muestra recuentos de controles agrupadospor procesos y eficacia operativa. Uninforme detallado contiene más detalles.

Informes de pruebaHay informes de prueba disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en ellos para obtener más detalles.

Tabla 24. Informes de prueba


Panel de pruebas Detalle de panel depruebas

Muestra información de resumen de losresultados de las pruebas para la entidadempresarial seleccionada. Un informe deacceso a detalles muestra informacióndetallada.


Informes de visualizaciónHay informes de visualización disponibles en las soluciones de IBM OpenPagesGRC Platform. Los usuarios pueden profundizar en ellos para obtener másdetalles.

Tabla 25. Informes de visualización


Análisis de proceso Diagrama de flujos deproceso empresariales

Diagrama dejerarquía de entidadesempresariales

Gráfica de riesgos

Muestra el riesgo y los controles en elcontexto de un diagrama de proceso.Proporciona una vista agregada del riesgo ylos controles con puntuaciones de riesgo yeficacia de control en el nivel de proceso yentidad empresarial.

Informes de indicadorLa elaboración de informes es la fase final del ciclo de indicadores clave de riesgo(KRI) o de indicadores clave de rendimiento (KPI). Después de que el propietariodefine los KRI o los KPI, y captura sus valores, se suministran los informes deindicador estándar para ofrecer información de resumen de las entidadesempresariales seleccionadas.

En la tabla siguiente se describen los informes de indicadores disponibles en lassoluciones IBM OpenPages Operational Risk Management, IBM OpenPages Policyand Compliance Management e IBM OpenPages IT Governance. Los usuariospueden profundizar en ellos para obtener más detalles.

Tabla 26. Informes de indicador


Panel KRI Detalle del panel KRI Muestra información de resumen del KRIrelativa a la entidad empresarialseleccionada y sus descendientes. Uninforme de acceso a detalles muestrainformación detallada.

Panel KPI Detalle del panel KPI Muestra información de resumen del KPIrelativa a la entidad empresarialseleccionada y sus descendientes. Uninforme de acceso a detalles muestrainformación detallada.

Informes de eventos de pérdidaLos informes de eventos de pérdida garantizan que la información sobre eventosde pérdida se recopilará de forma coherente en la totalidad de la organización.

En la tabla siguiente se describen los informes de eventos de pérdida disponiblesen IBM OpenPages Operational Risk Management. Los usuarios puedenprofundizar en algunos informes para obtener más detalles.


Tabla 27. Informes de eventos de pérdida


Panel de evento depérdida

Detalle del panel deevento de pérdida

Muestra el total de eventos de pérdida parala entidad empresarial seleccionada, y susdescendientes, desglosados por estado ycategoría de riesgo. Un informe de acceso adetalles muestra información detallada.

Resumen de eventosde pérdida

Detalle del evento depérdida

Muestra un gráfico de columnas (querepresentan entidades) que muestra laspérdidas netas desglosadas por categoría deriesgo. Un informe de acceso a los detallesmuestra detalles de los eventos de pérdida.

Tendencia de eventosde pérdida

Detalle de tendenciadel evento de pérdida

Muestra la tendencia de la pérdida neta porcategoría de riesgo para una entidadempresarial especificada.

Riesgo frente apérdida

Muestra la pérdida neta anual de unaentidad empresarial para una fechaespecificada en comparación con laexposición al riesgo residual actual.

Informes de gestión de problemas y correcciónLos problemas son elementos que se identifican en relación con la infraestructuradocumentada. Se considera que afectan de forma negativa a la gestión ynotificación de los riesgos de forma precisa.

En la tabla siguiente se describen los informes de gestión de problemas ycorrección disponibles en IBM OpenPages Operational Risk Management. Losusuarios pueden profundizar en algunos informes para obtener más detalles. Parausuarios de otras soluciones hay dos informes de plataforma: Lista de problemas yElementos de acción y problemas.

Tabla 28. Informes de gestión de problemas y corrección


Panel de control deproblemas de ORM

Detalle del panel deproblemas

Muestra una representación gráfica delnúmero de problemas por estado. Elinforme entra en el ámbito del objeto deentidad y del rango de fechas.

Elementos de accióny problemas de ORM

Variante del informe Detalle del panel deproblemas. Muestra información deresumen sobre los elementos de acciónasociados.

Informes de análisis de escenariosLos escenarios implican la cuantificación de sucesos significativos (impactos yfrecuencias de eventos potenciales) que se pueden producir en una organización. Elanálisis captura los escenarios hipotéticos de pérdidas. Los informes de análisis deescenarios son la base de las revisiones de los escenarios existentes para cadaunidad de negocio.


En la tabla siguiente se describen los informes de análisis de escenarios disponiblesen IBM OpenPages Operational Risk Management. Los usuarios puedenprofundizar en ellos para obtener más detalles.

Tabla 29. Informes de análisis de escenarios


Resumen de escenario Detalle de resultadosde escenario

Muestra todos los escenarios por entidad.Los detalles incluyen el ID, la descripción,el estado y el propietario.

Informes de modelado de capitalLos informes de modelado de capital proporcionan información sobrecontribuciones de capital.

En la tabla siguiente se describen los informes de modelado de capital disponiblesen IBM OpenPages Operational Risk Management.

Tabla 30. Informes de modelado de capital


Contribución decapital por entidadempresarial

Muestra la contribución de capital al capitalglobal de la empresa de cada entidadempresarial.

Contribución decapital por categoríade riesgo

Muestra la contribución de capital al capitalglobal de la empresa de cada categoría deriesgo.

Informes de cumplimiento normativoEn la tabla siguiente se describen los informes de cumplimiento normativodisponibles en IBM OpenPages Policy and Compliance Management. Los usuariospueden profundizar en algunos informes para obtener más detalles.

Tabla 31. Informes de cumplimiento normativo


Eficacia de control deproceso por mandato

Eficacia de control deproceso porsubmandato

Para una entidad empresarial seleccionada,el informe muestra mandatos asociados conel % de controles efectivos asociados con losprocesos. Un informe de acceso a detallesmuestra información detallada.

Matriz deaplicabilidad delreglamento

Muestra una vista de matriz de losmandatos y de las entidades empresarialesa los que se aplican.


Informes de activos de TIEn la tabla siguiente se describen los informes de activos de TI disponibles en IBMOpenPages IT Governance.

Tabla 32. Informes de activos de TI


Línea base Muestra atributos clave de la línea baseseleccionada, junto con los requisitosasociados y las actividades de control yprocedimientos de prueba recomendados.

Plan de control Muestra atributos clave del plan de controlseleccionado, junto con líneas baseasociadas, sus requisitos y actividades decontrol y procedimientos de pruebarecomendados e implementados.

Informes de conformidad de TIEn la tabla siguiente se describen los informes de conformidad de TI disponiblesen IBM OpenPages IT Governance. Los usuarios pueden profundizar en algunosinformes para obtener más detalles.

Tabla 33. Informes de conformidad de TI


Eficacia de control deTI por mandato

Eficacia de control deTI por submandato

Para una entidad empresarial seleccionada,el informe muestra mandatos asociados conel % de controles efectivos asociados con losplanes de control. Un informe de acceso adetalles muestra información detallada.

El informe analiza los controles del entornooperativo de TI que se comparten entre losmandatos y las líneas base en el entornooperativo de TI. Ofrece una vista de laefectiva del control operativo por mandato.Un subinforme accede a los detalles delmandato seleccionado para mostrar laeficacia del control operativo porsubmandato. El otro subinforme accede alos detalles del mandato seleccionado paramostrar los resultados de las pruebasagrupados por recurso (tipo=Aplicación).Este informe proporciona una vista de laconformidad de cada aplicación. Esteinforme se ejecuta siempre desde el entornooperativo de TI (filtra la entidadempresarial de biblioteca).


Tabla 33. Informes de conformidad de TI (continuación)


Biblioteca derequisitos

Para los requisitos seleccionados, el informemuestra todas las leyes y regulacionesaplicables.

Informa de la jerarquía desde los requisitosque se ajustan al ámbito de la solicitudhasta los submandatos y mandatos quesatisface cada uno de esos requisitos. Estodemuestra que cumplir este único requisitosatisface muchas leyes. El informe tiene unasola página por requisito y mandatosasociados. Este informe se ejecuta desde labiblioteca.

Biblioteca derequisitos del UCF

Para los controles armonizados del UCF, elinforme muestra todos los documentos dela autoridad aplicables.

Informes de gestión de auditoríaEn la tabla siguiente se describen los informes de gestión de auditoría disponiblesen IBM OpenPages Internal Audit Management. Los usuarios pueden profundizaren algunos informes para obtener más detalles.

Tabla 34. Informes de gestión de auditoría


Universo de auditoría Para la organización de auditoría seleccionada, este informemuestra las entidades auditables, además de la clasificación deriesgos y los resultados de auditorías anteriores.

El ámbito se define por entidad empresarial y los usuariospueden elegir el orden de clasificación. Si la entidadempresarial seleccionada se encuentra en la jerarquíaempresarial de auditoría interna, el informe muestra la partedel universo de auditoría que es propiedad de ese equipo deauditoría interna. Si la entidad empresarial se encuentra dentrode la jerarquía organizativa, el informe muestra los elementosdel universo de auditoría que están asociados con esa entidadempresarial o cualquier entidad empresarial descendente. Esteinforme se utiliza en las fases de planificación anual tempranaspara determinar qué elementos del universo de auditoría seauditarán este año.


Tabla 34. Informes de gestión de auditoría (continuación)


Plan de auditoría Detalle del plan deauditoría

Para la organización de auditoría seleccionada y el rango defechas, este informe proporciona una vista de diagrama GANTTde la planificación de la auditoría.

El ámbito se define por entidad empresarial y rango de fechas,un usuario puede mostrar información por días, semanas,meses o trimestres. El rango de fechas seleccionado muestra elplan anual actual, un plan de 3 o 5 años, o un intervalo detiempo de planificación. Al ver el informe, podrá ver la vistadetallada para mostrar los detalles de cada auditoríaprogramada para cada entidad auditable. La vista resumida lepermitirá ver un resumen de las auditorías de cada entidadauditable. Si la fecha de inicio y final programadas de laauditoría y la fecha se solapan con una celda, la celda entera seresaltará. Las celdas de resumen que se muestran en color rojoindican que se ha programado más de una auditoría duranteese tiempo para la entidad auditable. El informe se filtra paraincluir solo las auditorías cuyo estado se haya definido comoPlanificado o Programado.

Plan de auditor Detalle del plan deauditor

Para la organización de auditoría seleccionada, los auditores yel rango de fechas, este informe proporciona una vista dediagrama GANTT de las planificaciones.

El ámbito se define por entidad empresarial, auditor y rango defechas, se puede mostrar información por días, semanas, meseso trimestres. Los auditores disponibles son aquellos asociadoscon la entidad empresarial seleccionada o sus descendientes. Elrango de fechas seleccionado muestra la planificación anualactual o un intervalo de tiempo de planificación. Al ver elinforme, podrá alternar entre la vista detallada (muestra losdetalles de cada planificación de cada auditor) y la vistaresumida (muestra solo un resumen de las planificaciones decada auditor). Si un auditor se programa para más de unaplanificación en una determinada columna, la celda entera seresaltará. Las celdas de resumen que se muestran en color rojoindican que se ha asignado más de una planificación duranteese tiempo al auditor. El informe no utiliza la información delporcentaje asignado de la planificación para determinar si existeun conflicto.

Descripción general deauditoría

v Detalle deconclusiones deauditoría

v Detalle de problemasde auditoría

v Detalle decomentarios derevisión de auditoría

Para la auditoría seleccionada, vista del estado de sus seccionese informes y vistas de las conclusiones, problemas ycomentarios de revisión de auditoría asociados.

Si se define el ámbito por auditoría, el informe incluye lasconclusiones, los problemas y los comentarios de revisión queson elementos secundarios directos de la auditoría, las seccionesy los informes. Al hacer clic en el número de problemas,conclusiones o comentarios de revisión de auditoría, se iniciaráun informe detallado, con más detalles y enlaces a los objetosde la aplicación.


Tabla 34. Informes de gestión de auditoría (continuación)


Informe de auditoríainterna

Informe completo de la auditoría asociada, incluidos unresumen ejecutivo y conclusiones y problemas asociados.

El ámbito se define por entidad auditable y después porauditoría. Incluye conclusiones asociadas con auditorías,secciones de auditoría e informes y los problemas asociados conla auditoría.

Desviación de auditoría Para la auditoría seleccionada, vista de sus planes y seccionesde auditoría, incluida información sobre planificaciones ypresupuestos, con las desviaciones significativas resaltadas.

Este informe enumera los planes y las secciones de la auditoríaseleccionada. Incluye información sobre planificaciones ypresupuestos y las desviaciones significativas aparecenresaltadas. Las celdas que se muestran en color amarillo indicanque falta información esencial. Las celdas que se muestran encolor rojo indican una desviación no favorable de laplanificación de más de un 20 %.El ámbito se define porentidad auditable y después por auditoría. Incluye la auditoríaseleccionada y los planes y secciones de auditoría asociadosdirectamente con la auditoría.

Desviación del auditor Para los auditores seleccionados, vista de sus fechas, horas ygastos reales y previstos.

El ámbito se define por entidad empresarial de auditores,auditor y rango de fechas. Los auditores disponibles sonaquellos asociados con la entidad empresarial seleccionada osus descendientes. El rango de fechas seleccionado permite verun intervalo de tiempo concreto. El informe muestra los planesde cada auditor seleccionado, incluidas las fechas iniciales yfinales programadas, previstas y reales, así como el número dehoras planificadas para cada uno y el número de horas realesen la hoja de horas, así como la cantidad de tiempo y gastosplanificados y reales registrados para cada plan durante cadaperíodo de tiempo. Las celdas que se muestran en color rojoindican que están un 20 % o más por encima de las cantidadesplanificadas. Incluye todos los planes en los que el auditor hasido seleccionado; las planificaciones que no tienen asignado unauditor no se incluyen en este informe. El informe incluye unafila de resumen para cada auditor y para todo el informe. Estáen formato HTML de forma predeterminada y también seencuentra disponible en formato de Microsoft Excel.

Entrada de hoja deregistro horario

Consulte “Asistente para el informe de entrada de hoja deregistro horario” en la página 47.

Entrada de hoja deregistro horario deladministrador

Entrada de hoja deregistro horario

Consulte “Asistente para el informe de entrada de hoja deregistro horario del administrador” en la página 47.


Capítulo 7. Activadores

IBM OpenPages GRC Platform incluye varios activadores.

El documento OpenPages GRC Platform Solution Trigger Details proporciona másdetalles sobre los activadores que aparecen en este tema.

En la tabla siguiente se muestran los activadores incluidos para cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 35. Activadores en soluciones de IBM OpenPages GRC Platform

Activador MRG FCM ORM PCM ITG IAM

“Activadores de gestión deproblemas y corrección” enla página 68

X X X X X X

“Activadores de evaluacionesde riesgos y autocontrol” enla página 70

X X X X X

“Activadores devisualización” en la página70

X X X X X

“Activadores del ciclo devida de KRI y KPI” en lapágina 70

X X X

“Activadores del ciclo devida de eventos de pérdida”en la página 71

X

“Activadores de ciclo de vidade evaluación decuestionario” en la página 72

X X X X X

“Activador de importaciónde políticas” en la página 73

X

“Activador de bloqueo depolíticas” en la página 75

X

“Activador de cálculos declasificación de riesgos de laauditoría” en la página 75

X

“Activador deautomatización de cierre deauditoría” en la página 75

X

“Activadores de ciclo de vidade incidente” en la página 76

X X

67

Tipos de objeto que contienen activadoresPara poder utilizar la herramienta ObjectManager para cargar los datos deinstancias XML, inhabilite los activadores en cualquier tipo de objeto para el quedesee cargar datos.

En la tabla siguiente se listan los tipos de objeto para los que se han incluidoactivadores de forma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management

Tabla 36. Tipos de objeto que contienen activadores en soluciones IBM OpenPages GRC Platform

Tipo de objeto MRG FCM ORM PCM ITG IAM

Entrada de datos X X X X X

Salida de datos X X X X X

Riesgo X X X X X

Problema X X X X X X

Elemento de acción X X X X X X

Evaluación de cuestionario X X X X X

Evento de pérdida X

Impacto de pérdida X

Recuperación de pérdidas X

Valor de KPI X X X

Valor de KRI X X X

Archivo (SOXDocument) X

Política X

Auditoría X

Comentario de revisión deauditoría

X

Sección de auditoría X

Conclusión X

Planificación X

Hoja de registro horario X

Informe de trabajo X X

Incidente X X

Activadores de gestión de problemas y correcciónEn un entorno de Gestión de problemas y corrección (IMR), puede documentar deforma efectiva, supervisar, solucionar y auditar problemas.


Los problemas son elementos que se identifican en relación con el entornodocumentado y afectan de forma negativa a la gestión y notificación de los riesgosde forma precisa. A lo largo de su ciclo de vida, un problema puede tener uno deestos dos estados: Pendiente o Cerrado.

Para resolver el problema identificado, el propietario del problema establece yregistra las acciones adecuadas. Cuando se finaliza una acción, el usuario asignadoestablece la acción como Enviar para aprobación. Cuando se guarda el campo, seinicia un activador, el cual realiza las siguientes acciones:v Copia el valor del campo Propietario del problema desde el problema principal

al campo Propietario del problema para aprobación de la acción.v Establece el campo Estado de acción como En espera de aprobación.v Envía un correo electrónico al propietario del problema informándole de que

una acción está a la espera de aprobación.

El propietario del problema revisa la acción y aprueba o rechaza el cierre delproblema en el campo Aprobar/Rechazar.

Si el propietario del problema selecciona Aprobar, se inicia un activador yestablece el campo Estado como Cerrado.

Si el propietario del problema selecciona Rechazar, se inicia un activador, el cualrealiza las siguientes acciones:v Revierte el campo de estado a Pendiente.v Establece el campo Enviar para aprobación como No.v Envía un correo electrónico al usuario al que se ha asignado la acción para

informarle de que la acción se ha rechazado.

Los siguientes activadores automatizan el proceso de gestión de problemas:v “Activador de ciclo de vida del problema”v Ciclo de vida de acción

Activador de ciclo de vida del problemaEl activador de ciclo de vida del problema establece la Fecha de Vencimientooriginal de la primera instancia de Guardar problema y comprueba si hayAcciones pendientes cuando el estado del problema es Cerrado.

Cuando se crea o actualiza un tipo de objeto Problemas y el estado se establececomo Cerrado, el activador realiza las siguientes acciones:v El activador comprueba todas las Acciones secundarias directas y determina si

están todas cerradas. Si alguna Acción tiene el estado Pendiente o En espera deaprobación, el activador genera un mensaje de error. Si todas las Acciones secierran, el activador guarda los cambios.

Nota: Como administrador, puede configurar el mensaje de error utilizando elmenú Administrador > Configuración.

v Si la Fecha de vencimiento original del Problema está en blanco, el activadorrellena la Fecha de vencimiento original con el valor Fecha de vencimientoactual.

Capítulo 7. Activadores 69

Activadores de evaluaciones de riesgos y autocontrolEl proceso de evaluaciones de riesgos se utiliza para identificar, evaluar ycuantificar el perfil de riesgo de una empresa. Cada riesgo se evalúa sobre unabase cuantitativa o cualitativa.

Los activadores proporcionan el flujo de proceso para la evaluación de riesgos yautocontrol de la empresa.

Cuando se guarda un riesgo, el activador de la clasificación de riesgo cualitativadetermina una puntuación de riesgo de Baja, Media, Alta o Muy alta. El activadortambién rellena los campos cuantitativos ocultos: Gravedad, Frecuencia yExposición.

Cuando se guarda un riesgo, el activador de la clasificación de riesgos cuantitativarealiza las siguientes acciones:1. Calcula la exposición (frecuencia x gravedad)2. Calcula la clasificación del riesgo como Baja, Media, Alta o Muy alta.3. Deriva el valor de impacto (1 - 10) en función de una tabla de correlaciones

para cada unidad de negocio que se almacena en su registro Preferencia.4. Deriva el valor de probabilidad (1 - 10) en función de una tabla de

correlaciones para cada unidad de negocio que se almacena en su registroPreferencia.

Los siguientes activadores se utilizan para las evaluaciones de riesgos yautocontrol:v Activador de RCSA cuantitativasv Activador de RCSA cualitativasv Activador de envío de aprobación de riesgosv Activador de aprobación de control y riesgos de RCSA

Activadores de visualizaciónLos activadores de visualización evitan que un usuario añada riesgos nuevos comoelementos secundarios de los tipos de objeto Entrada de datos y Salida dedatos.Los objetos Entrada de datos y Salida de datos son elementos secundariosdel proceso y solo pueden tener asociaciones con riesgos existentes. El objeto deentrada de datos representa elementos de un flujo para representar una entrada enel flujo empresarial. El objeto de salida de datos representa una salida de lasactividades dentro de un proceso, como la ejecución de un informe o laactualización de un sistema CRM.

Los riesgos solo se pueden añadir como elementos secundarios de estos tipos deobjetos asociándoles riesgos existentes. Los tipos de objeto de entrada de datos yde salida de datos no pueden ser elementos principales primarios de los riesgos.

Activadores del ciclo de vida de KRI y KPILos activadores del ciclo de vida de KRI y KPI calculan y mantienen valores decampo en los tipos de objeto KRI/KPI y Valor de KRI/KPI. El activador solo seactiva si el estado Recopilación del valor de KRI o KPI se establece comorecopilado.


Cuando un objeto Valor de KRI o KPI se actualiza, se asocia o disocia, el activadorrealiza las siguientes acciones:1. Determina si el KRI o KPI se ha establecido para aprobación.v Si el estado es Sí, el activador actualiza el estado a En espera de aprobación

y continúa con los pasos 2, 3, 4 y 6.v Si el estado es No, el activador actualiza el estado de En espera de

recopilación a Recopilado y continúa con los pasos 2, 3, 4 y 5.2. Copia la información de umbral actual desde el KRI o KPI al valor KRI o KPI

secundario.3. Evalúa el estado de incumplimiento.4. Copia el estado Valor, Fecha del valor, Recopilación e Incumplimiento del

KRI o KPI en el KRI o KPI principal.5. Si el estado del campo Incumplimiento del KRI o KPI cambia de Verde o

Ámbar a Rojo, el activador envía una notificación por correo electrónico alpropietario del riesgo para informarle del incumplimiento.

6. Si el estado se establece como En espera de aprobación, el valor de KRI o KPIaparece en la página de inicio del propietario del KRI o KPI. El propietario delKRI o KPI puede aprobar o rechazar el valor:v Si el propietario del KRI o KPI guarda el registro con un estado de

Rechazado, el Valor y la Fecha del valor del KRI o KPI se cambian a enblanco y el estado del valor de KRI o KPI se establece como En espera derecopilación.

v Si el propietario del KRI o KPI guarda el registro con el estado de Aprobado,el estado Recopilación cambia a Recopilado en el campo Valor y en el KRI oKPI.

Nota: Cuando el propietario del KRI o KPI define el KRI o KPI, el propietariopuede especificar los detalles relativos a su aprobación.

Activadores del ciclo de vida de eventos de pérdidaLos activadores del ciclo de vida de eventos de pérdida calculan y mantienen trescampos en el objeto de evento de pérdida, cuando se crean o modifican los camposrelacionados en cualquier objeto descendiente de impacto de pérdida o derecuperación de pérdidas.

Los activadores automatizan el proceso de aprobación y el rendimiento de lascorrecciones de los eventos de pérdida como se describe en los activadores deenvío para aprobación de eventos de pérdida y de aprobación de eventos depérdida.

El proceso del ciclo de vida de eventos pérdida consta de tres activadores:v “Activador de cálculo de eventos de pérdida”v “Activador de envío para aprobación del evento de pérdida” en la página 72v “Activador de aprobación de eventos de pérdida” en la página 72

Activador de cálculo de eventos de pérdidaEl Activador de cálculo de eventos de pérdida calcula valores de resumen en lamoneda base del sistema de un evento de pérdida en función del impacto depérdida y recuperaciones asociados.


Activador de envío para aprobación del evento de pérdidaEl activador de envío para aprobación del evento de pérdida cambia el evento depérdida de un evento pendiente a la fase de aprobación de su ciclo de vida. Elactivador valida los datos.

El activador se inicia cuando el usuario guarda un evento de pérdida con uncampo Estado que se ha definido como Pendiente y el campo Enviar paraaprobación se ha definido como Sí.

Activador de aprobación de eventos de pérdidaEl Activador de aprobación de eventos de pérdida permite aprobar o rechazareventos de pérdida.

El activador se inicia cuando se establecen todas estas condiciones:v Estado se establece únicamente como Pendiente o Cerrado.v Enviar para aprobación se establece en Sí.v Aprobar/Rechazar no está en blanco.

Activadores de ciclo de vida de evaluación de cuestionarioLas evaluaciones de cuestionarios son un medio de recopilar información de losusuarios de negocio en la organización. Los activadores proporcionan lastransiciones que mueven las evaluaciones de cuestionario durante un ciclo de vida.Los ciclos de vida definen las fases que un tipo de objeto puede seguir. En cadafase, el sistema:v Identifica un responsable de ciclo de vidav Define las acciones disponibles para moverse a una fase diferentev Envía automáticamente un correo electrónico al nuevo responsable de ciclo de

vidav Define otros atributos que están relacionados con la fase actual

Se selecciona el ciclo de vida en el programa. Puede ser de:v Dos fases: recopilación de información hasta a cierrev Tres fases: recopilación de información a revisión y hasta cierrev Cuatro fases: recopilación de información a revisión, a aprobación y hasta cierre

Cuando se inicia un programa, el sistema crea un objeto de evaluación decuestionario por empleado, recursos, proceso o subproceso en el programa.Establece el ciclo de vida en la etapa de recopilación de información y envía uncorreo electrónico al primer responsable de ciclo de vida. Cuando el usuariocompleta la tarea, el activador mueve el objeto a la tarea siguiente y al usuariosiguiente. Un usuario puede añadir un comentario con cada transición. Lastransiciones tienen lugar cuando el usuario trabaja con evaluaciones decuestionario en la UI de cuestionario.

La tabla siguiente resume los ciclos de vida para las evaluaciones de cuestionario.La columna icono de transición contiene el nombre del icono en la interfaz deusuario de cuestionario que un usuario pulsa para activar la transición a lasiguiente fase.


Tabla 37. Proceso de ciclo de vida para las evaluaciones de cuestionarios

Ciclo de vida Etapa Icono de transición Etapa siguiente Estado siguiente

Dos fases Recopilación deinformación

Enviar y cerrar Cerrada Completado

Tres fases Recopilación deinformación

Enviar Revisar En revisión

Revisar Acción > Rechazar Recopilación de información Rechazada

Acción > Aprobar ycerrar

Cerrada Completado

Cuato fases Recopilación deinformación

Enviar Revisar En revisión

Revisar Acción > Rechazar Recopilación de información Rechazada

Acción > Enviar paraaprobación

Aprobación En aprobación

Aprobación Acción > Rechazar Revisar Aprobaciónrechazada

Acción > Aprobar Cerrada Completado

Para las evaluaciones de cuestionario, los activos subyacentes determinan el modoen que el sistema establece los responsables de ciclo de vida. La tabla siguienteresume cómo se determinan los asignados de ciclo de vida.

Tabla 38. Asignados de ciclo de vida para las evaluaciones de cuestionarios

Ciclo de vida Etapa Recurso Proceso/subproceso Empleado

Dos etapas Recopilación deinformación

Propietario principal Propietario del proceso Cuenta deempleado

Cerrada - - -

Tres etapas Recopilación deinformación

Propietario principal Propietario del proceso Cuenta deempleado

Revisar Propietario del programa Propietario del programa Gestor deempleados

Cerrada - -

Cuatro etapas Recopilación deinformación

Propietario principal Propietario Cuenta deempleado

Revisar Propietario de negocio Revisor Gestor deempleados

Aprobación Propietario del programa Propietario del programa Propietario delprograma

Cerrada - - -

Activador de importación de políticasEl activador de importación de políticas importa el contenido de la política y delos procedimientos desde un documento Microsoft Word a los campos de política yprocedimiento de IBM OpenPages GRC Platform analizando las distintas seccionesdel documento. Se inicia al comprobar un archivo adjunto del objeto Política.

El activador admite el enfoque híbrido de la gestión de políticas. También admiteel número de versión del enfoque centrado en documentos cuando se extrae un


nuevo documento de política. Como parte del proceso de importación, el activadorrealiza también una validación pormenorizada para asegurarse de que la estructuradel documento Word se ajusta a la plantilla de política definida.

OpenPages GRC Platform o el cliente pueden configurar este componente para quese comporte de acuerdo con la metodología del cliente utilizando los ajustes detexto de aplicación y del registro.

El activador de importación de políticas de IBM OpenPages Policy and ComplianceManagement tiene las siguientes limitaciones conocidas:v Las listas con viñetas solo admiten el formato de viñeta de disco y de círculo.v Las listas numeradas solo admiten decimales, caracteres alfabéticos en

mayúscula, caracteres alfabéticos en minúscula, números romanos en mayúsculay números romanos en minúscula.

v No se admiten fuentes de símbolos. Puede utilizar la opción Insertar símbolo yseleccionar un símbolo utilizando una fuente normal (por ejemplo, el símbolo decopyright).

v La fuente Wingding no es compatible.v No se puede configurar el sombreado desde Formato Bordes y sombreado.

Solución: Utilice el resaltado de texto para obtener un efecto similar. (solo .doc)v No muestra el valor FORMDROPDOWN. (solo .doc)v Las listas ordenadas utilizan siempre un punto como separador. Por ejemplo, si

un elemento de la lista del documento Word se muestra como '1)', se convertiráen '1.' después de la importación.

v En .doc, el estilo del marcador de elementos de lista se inferirá del contenido deltexto de la lista. La familia de fuentes del marcador y el tamaño de la fuentecoincidirán con la primera parte del texto en el elemento de lista. El marcadorserá negrita, cursiva y/o coloreado si el texto entero del elemento de la listatiene el mismo estilo.

v Las imágenes, WordArt y los diagramas no son compatibles.v No admite la importación de una tabla de contenidos.v Todos los estilos de subrayado se muestran como una línea sólida.v No son compatibles los superíndices o los subíndices definidos con un estilo

(solo .doc). Solución: Aplique los subíndices y los superíndices desde el menúFuente en lugar de utilizar un estilo.

v El formateo resuelve el conflicto con los estilos personalizados. Por ejemplo, si elestilo personalizado incluye el formato de texto en negrita y el usuario anula lanegrita del texto de forma manual dentro del documento, el texto se mostrará ennegrita por el estilo Texto en negrita. (solo .doc)

v Las fichas tienen 4 espacios como valor predeterminado Esto no garantiza que seajuste al espacio del documento, porque las fichas se basan en su posición en eldocumento. Se recomienda utilizar el sangrado al alinear el contenido.

v No se garantiza que la sangría francesa (es decir las sangrías de primera línea)se alinee perfectamente, debido a la diferente anchura de los marcadores de loselementos de línea.

v Dentro de las listas, mezclar distintas técnicas para crear viñetas, listas ysangrías suele dar como resultado que los elementos no se alineen correctamentey que la numeración de los elementos sea incorrecta.

v Si se introducen varios retornos de carro para crear espacios no se traducirán enespacio extra.

v Características no admitidas:


– Cambios en la dirección del texto– Doble tachado– Relieve, grabado y texto sombreado– Efectos de texto– Marcas de énfasis– Espaciado de texto personalizado– Bordes sombreados– Bordes de celda diagonales ascendentes

Activador de bloqueo de políticasEl activador de bloqueo de políticas bloquea la política o la política y suscomponentes (procedimientos, archivos adjuntos, comentarios de revisiones depolíticas) en distintos puntos del proceso de revisión y aprobación. Este activadoradmite los tres enfoques de la gestión de política: centrado en datos, híbrido ycentrado en documentos.

El activador de bloqueo de políticas admite dos casos de uso:v Bloqueo de archivos adjuntos de política para respaldar una política que se

coloca en el ciclo de revisión y aprobación y garantizar que el contenido de lapolítica no se pueda modificar durante las aprobaciones. (Se puede aplicar a losenfoques híbrido y centrado en documentos.)

v Bloqueo de la jerarquía completa del borrador de la política (política,procedimientos, archivos adjuntos y comentarios de revisiones de políticas) unavez que se ha otorgado la aprobación final a la política y está lista para supublicación. (Se puede aplicar a los tres enfoques de la política.)

El cliente puede configurar este componente para que se comporte según sumetodología utilizando los ajustes del registro y de texto de la aplicación.

Activador de cálculos de clasificación de riesgos de la auditoríaEl activador de cálculos de clasificación de riesgos de la auditoría calcula ymantiene los valores del campo de clasificación de riesgos residuales e inherentesde la auditoría en el objeto de riesgo.

El activador RCSA cuantitativas y RCSA cualitativas se aplican al activador decálculos de clasificación de riesgos de la auditoría.

Activador de automatización de cierre de auditoríaEl activador de automatización de cierre de auditoría evalúa la preparación para elcierre de cada componente configurado de una auditoría. El activador estáconfigurado, de forma predeterminada, para los siguientes tipos de objeto:Auditoría, Sección de auditoría, Informe de trabajo, Conclusión, Comentario derevisión de auditoría, Planificación y Hoja de registro horario.

Cuando se crea o actualiza una instancia de un tipo de objeto configurado, elactivador evalúa todos los criterios que se han configurado para ese tipo de objeto.Si se han cumplido todos los criterios, el activador establece el valor del campoPreparado para cierre en Sí. Este valor de campo se utiliza por el asistente de cierrede auditoría para determinar si todos los componentes de la auditoría están listospara el cierre.


Las categorías de criterios de listo para el cierre configuradas incluyen campos queson necesarios, campos de fecha que se deben establecer en la fecha del día encurso o anterior a él, campos de fecha que deben configurarse con una fecha igualo anterior a otros campos de fecha, y campos de usuario que no se puedenconfigurar igual que otros campos de usuario.

Activadores de ciclo de vida de incidenteLos activadores proporcionan las transiciones que mueven incidentes durante unciclo de vida de investigación. Los ciclos de vida definen las fases que un tipo deobjeto puede seguir. En cada fase, el sistema:v Identifica un responsable de ciclo de vidav Define las acciones disponibles para moverse a una fase diferentev Envía automáticamente un correo electrónico al nuevo responsable de ciclo de

vidav Define otros atributos que están relacionados con la fase actual

El ciclo de vida para incidentes utiliza las fases siguientes:v Nuevav En cursov Revisarv Escaladov Revisión de escaladov Cerrada

Cuando se crea un incidente, el sistema establece el ciclo de vida en la nueva fasey envía un correo al primer responsable de ciclo de vida. Cuando el usuariocompleta la tarea, el activador mueve el objeto a la tarea siguiente y al usuariosiguiente. Un usuario puede añadir un comentario con cada transición. Lastransiciones tienen lugar cuando los usuarios abren un objeto de incidente en lavista de detalle y pulsa Ciclo de vida > <icono de transición>. La fase determinael icono de transición que se visualiza.

La tabla siguiente resume cómo el sistema maneja los incidentes y establece elresponsable de ciclo de vida. La columna icono de transición contiene el nombredel Ciclo de vida > <icono de transición> en la vista de detalle de incidente queun usuario pulsa para activar la transición a la fase siguiente.

Tabla 39. Proceso de ciclo de vida y propietarios de la etapa en las incidencias

EtapaAsignado de ciclode vida Icono de transición Etapa siguiente Estado siguiente

Nueva Propietario principal Iniciar En curso En curso

En curso Propietario principal Enviar para revisión Revisar En revisión

Escalar Escalado Escalada

Revisar Revisor Rechazar revisión En curso Revisión rechazada

Cerrar revisión Cerrada Cerrada

Escalado Propietario denegocio

Enviar para revisión deescalado

Revisión de escalado Revisión deescalado

Anular escalado En curso Anular escalado

Revisión deescalado

Revisor Cerrar revisión deescalado

Cerrada Escalada y cerrada


Tabla 39. Proceso de ciclo de vida y propietarios de la etapa en las incidencias (continuación)

EtapaAsignado de ciclode vida Icono de transición Etapa siguiente Estado siguiente

Rechazar revisión deescalado

Escalado Revisión deescalado rechazada

Cerrada Ninguna Volver a abrir En curso Reabierto


Capítulo 8. Perfiles

Las soluciones de IBM OpenPages GRC Platform constan de diferentes perfiles.

De forma predeterminada, se proporciona un perfil maestro a cada solución, queincluye todos los campos y la configuración necesaria para dicha solución. Acontinuación, se muestra una lista de los perfiles maestros:v “Perfil de OpenPages RCM Master” - IBM OpenPages Regulatory Compliance

Managementv “Perfil de OpenPages MRG Master” - IBM OpenPages Model Risk Governancev “Perfil de OpenPages FCM Master” en la página 80 - IBM OpenPages Financial

Controls Managementv “Perfil de OpenPages ORM Master” en la página 80 - IBM OpenPages

Operational Risk Managementv “Perfil de OpenPages PCM Master” en la página 82 - IBM OpenPages Policy and

Compliance Managementv “Perfil de OpenPages ITG Master” en la página 83 - IBM OpenPages IT

Governancev “Perfil de OpenPages IAM Master” en la página 83 - IBM OpenPages Internal

Audit Management

Cuando se han instalado todas las soluciones predeterminadas de OpenPages GRCPlatform, se incluyen también las soluciones para el perfil de OpenPages Master.

OpenPages Operational Risk Management incluye también los siguientes perfilesespecíficos de las soluciones:v “Perfil de ORM Operational Risk Team” en la página 80v “Perfil de ORM Business User” en la página 81v “Perfil de ORM Simplified User” en la página 81v “Perfil OpenPages FIRST Loss” en la página 82

Perfil de OpenPages RCM MasterEl perfil de OpenPages RCM Master incluye los campos y la configuraciónnecesarios para IBM OpenPages Regulatory Compliance Management.

Este perfil incluye los componentes siguientes:v Página de inicio Mi trabajov Campos dependientesv Vistas de Detalle, Contexto, Carpeta, Lista filtrada y Lista

Perfil de OpenPages MRG MasterEl perfil de OpenPages MRG Master incluye los campos y la configuraciónnecesarios para IBM OpenPages Model Risk Governance.

Este perfil incluye los componentes siguientes:v Página de inicio Mi trabajov Campos dependientes

79

v Vistas de Detalle, Contexto, Carpeta, Lista filtrada y Lista

Los subconjuntos de este perfil para utilizarlos con un propietario de modelo,ejecutivo de modelo, revisor de modelo y otros usuarios se crean durante elproyecto de implementación.

Perfil de OpenPages FCM MasterEl perfil de OpenPages FCM Master incluye los campos y la configuraciónnecesarios de IBM OpenPages Financial Controls Management.

Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vista

de cuadrícula y Vistas de lista

Los subconjuntos de este perfil para utilizar con un propietario de proceso, unprobador de control y otro usuario se crean durante el proyecto deimplementación.

Perfil de OpenPages ORM MasterEl perfil de OpenPages ORM Master incluye los campos y configuración necesariosde IBM OpenPages Operational Risk Management.

Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista

Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99

Perfil de ORM Operational Risk TeamEl perfil de ORM Operational Risk Team incluye la configuración que necesita unusuario avanzado que utiliza la mayoría de las funciones de IBM OpenPages GRCPlatform, pero no tiene acceso de lectura a los ID de biblioteca ni a los campos deestado de los objetos.

Un usuario con este perfil puede completar los siguientes eventos:v Mantenimiento de procesosv Gestión de bibliotecas de control de riesgosv Determinar el ámbito de RCSAv Ejecutar y supervisar el proceso de RCSAv Administrar, revisar y supervisar eventos de pérdida


v Definir y capturar KRIv Gestionar problemas y cerrar accionesv Coordinar análisis de escenarios



Perfil de ORM Business UserEl perfil de ORM Business User incluye los campos y configuración que necesitautilizar un administrador de riesgos en las operaciones del negocio. Este usuario esun participante activo en la mayoría de las actividades de gestión de riesgosoperativos.

Un usuario con este perfil puede modificar los siguientes elementos:v Registrar un evento de pérdidav Determinar el ámbito de RCSAv Aprobar evaluaciones de riesgosv Capturar indicadores claves de riesgov Gestionar problemas y cerrar accionesv Participar en talleres de escenario



Perfil de ORM Simplified UserEl perfil de ORM Simplified User permite a los usuarios centrarse en eventos depérdida, capturar valores de KRI y gestionar problemas.

Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientes

Capítulo 8. Perfiles 81

v Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista


Perfil OpenPages FIRST LossEl perfil OpenPages FIRST Loss incluye los campos y la configuración que facilitanla carga de los datos de FIRST Loss a través de la función FastMap de IBMOpenPages en IBM OpenPages Operational Risk Management.

Los usuarios con este perfil pueden editar todos los campos de los objetos FIRSTLoss para que dichos datos se puedan cargar. Este perfil sólo se debe asignar a losusuarios que sean responsables de la carga de datos de FIRST Loss a través deFastMap. El resto de los usuarios deben tener acceso de solo lectura a objetosFIRST Loss.

Tenga en cuenta que no es necesario asignar este perfil a un usuario. En su lugar,puede configurar la hoja de cálculo FastMap que contiene los datos de FIRST Losspara que se carguen utilizando el perfil OpenPages FIRST Loss.

Este perfil incluye las siguientes características:v Página de inicio Mi trabajo y pestañas de la página de iniciov Listas de selección dependientesv Vistas Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista

Perfil de OpenPages PCM MasterEl perfil de OpenPages PCM Master incluye los campos y la configuraciónnecesarios de IBM OpenPages Policy and Compliance Management.

Este perfil incluye:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas

de cuadrícula y Lista

Subconjuntos de este perfil que son adecuados para un administrador deprogramas de cumplimiento, oficial de privacidad y otros usuarios creados duranteel proyecto de implementación.



Perfil de OpenPages ITG MasterEl perfil de OpenPages ITG Master incluye los campos y configuración necesariosde IBM OpenPages IT Governance.

Este perfil incluye:v Filtrosv Pestaña de la página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas


Subconjuntos de este perfil que son adecuados para un administrador debibliotecas de TI, un director de TI u otros usuarios creados durante el proyecto deimplementación.

Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio”v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99

Perfil de OpenPages IAM MasterEl perfil de OpenPages IAM Master incluye los campos y configuración necesariosde IBM OpenPages Internal Audit Management.

Este perfil incluye:v Filtrosv Pestaña de la página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas


Subconjuntos de este perfil que son adecuados para un auditor potencial, undirector de auditoría y otros perfiles de usuario creados durante el proyecto deimplementación.

Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio”v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99

Listas filtradas de la página de inicioLa siguiente tabla muestra las listas filtradas definidas para la página de inicio Mitrabajo de cada perfil.

La siguiente tabla identifica las listas filtradas definidas para los perfiles que seproporcionan con cada solución.


Las columnas utilizan abreviaturas para los siguientes perfiles:v RCM = Perfil de RCM Masterv MRG = Perfil de MRG Masterv FCM = Perfil de FCM Masterv ORM = Perfil de ORM Masterv Risk = Perfil de ORM Operational Risk Teamv BU = Perfil de ORM Business Userv SU = Perfil de ORM Simplified Userv PCM = Perfil de PCM Masterv ITG = Perfil de ITG Masterv IAM = Perfil de IAM Master

Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC

Tipo de objeto

Filtro

Descripción de laslistas filtradas de la

página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM

Problema

Mis problemas noresueltos

Lista de problemas noresueltos que sonpropiedad del usuarioconectado y querequieren solución.

X X X X X X X X

Resultado de laprueba

Resultados depruebas fallidas

Acceso de la página deinicio a los resultadosde pruebas fallidas.

X

Elemento de acción

Acciones conaprobaciónpendiente

Proporciona una lista deelementos de acción queestán esperandoaprobación. La listamuestra los elementosde acción cuyopropietario delproblema es el usuarioconectado.

X

Elemento de acción

Mis elementos deacción pendientes

Una lista de elementosde acción que estánasignados al usuario,pero no se hancompletado todavía.

X

Problema

Problemas noresueltos

Acceso de la página deinicio a sus problemas

X X X


Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)

Tipo de objeto

Filtro



Valor de KRI

KRI en espera deentrada

Devuelve una lista devalores de KRI quetienen el estado de enespera de recopilación yuna fecha derecopilación prevista enlos próximos 7 días o enlos últimos 365.Requiere establecer elusuario conectado comoel recopilador de KRI.

X X X

Valor de KRI

Mis KRI queincumplen

Devuelve los KRI queson propiedad delusuario conectado conel estado deincumplimiento de colorrojo.

X X X

Valor de KRI

Mis KRI en esperade aprobación

Devuelve los valores deKRI que coinciden conel estado de larecuperación de Enespera de aprobación yel propietario de los KRIes el usuario conectado.

X X X

Valor de KPI

KPI en espera deentrada

Devuelve una lista devalores de KPI quetienen el estado de enespera de recopilación yuna fecha derecopilación prevista enlos próximos 7 días o enlos últimos 365.Requiere establecer elusuario conectado comoel recopilador de KPI.

X X X

Valor de KPI

Mis KPI en esperade aprobación

Devuelve los valores deKPI que coinciden conel estado de larecuperación de Enespera de aprobación yel propietario de los KPIes el usuario conectado.

X X X

Valor de KPI

Mis KPI queincumplen

Devuelve los KPI queson propiedad delusuario conectado conel estado deincumplimiento de colorrojo.

X X X



Tipo de objeto

Filtro



Evento de pérdida

Eventos en espera deaprobación

La página de iniciomuestra eventos con elestado En espera deaprobación o En esperade aprobación - Nivel 2y el Aprobador de nivel1 o nivel 2 es unusuario conectado.

X X X

Evento de pérdida

Eventos de pérdidapendientes de másde 1 M

Acceso de la página deinicio a los eventos depérdida más grandespendientes.

X X X

Proceso

Proceso en espera deaprobación

Devuelve una lista detodos los procesos quesean propiedad delusuario conectado y quetienen el estado Enespera de aprobación.

X X X

Riesgo

Riesgos en espera deevaluación

Devuelve una lista detodos los procesos quesean propiedad delusuario conectado y quetienen el estado Enespera de evaluación.

X X X


Evaluación de misriesgos

Acceso de la página deinicio a sus evaluacionesde riesgos.

X X

KRI

Incumplimientos deKRI

Acceso de página deinicio a los KRI quetienen un estado deincumplimiento de colorrojo.

X X X X

Elemento de acción

Mis elementos deacción

Acceso de la página deinicio a elementos deacción

X X X X



Tipo de objeto

Filtro



Elemento de acción

Solución pendientede aprobación

Acceso de la página deinicio a los elementos decorrección que está a laespera de aprobación.

El usuario recibe unanotificación de loselementos pendientes deaprobación y la acción arealizar. Si una acciónrequiere tiempo parafinalizar, añada uncomentario para realizarun seguimiento de lasactualizaciones. Cuandose complete la acción,establezca el campoEnviar para cierre en Sí.

X X X X

Eventos de pérdida

Mis eventos noresueltos

Muestra una lista deeventos de pérdida cuyoestado es Pendiente y elpropietario del eventoes el usuario conectado.

X X X X

Testificaciones

Solicitudes deexcepción detestificación

Acceso de la página deinicio a las excepcionesde testificaciónsolicitadas que necesitanrevisión.

X

Testificación

Mis testificaciones

Acceso de la página deinicio a lastestificaciones depolítica pendientes definalización. Incluye unenlace para abrir la vistade reconocimiento depolítica.

X

Incidente

Incidentes deconformidad críticos

Acceso de la página deinicio a los incidentes deconformidad cuyaclasificación deprioridad es muygraves.

X

Todas los incidentesabiertos

Mis incidentesabiertos

Acceso de página deinicio a incidentesabiertos.

X X


Mis comentarios derevisión de política

Acceso de la página deinicio a comentarios derevisión de políticapendientes. Incluye unenlace para abrir la vistade revisión de política.

X



Tipo de objeto

Filtro




Políticas en esperade mi aprobación

Acceso de la página deinicio a las solicitudesde aprobación depolítica pendientes.Incluye un enlace paraabrir la vista de revisiónde política.

X


Políticas en esperade mi revisión

Acceso de la página deinicio a las solicitudesde revisión de políticapendientes.

X

Cuestionario

Mis cuestionariospendientes derellenar

Acceso de la página deinicio a los cuestionariospendientes definalización.

X

Mis evaluaciones decuestionario para

En revisión

En aprobación

En recopilación deinformación

Acceso de página deinicio a las evaluacionesde cuestionario en cadafase de ciclo de vida.

X X X X X X

Cambio regulador

Mis cambiosreguladores de altoimpacto abiertos

Acceso de la página deinicio a los cambiosregulatorios pendientesque se han evaluadocomo de fuerte impacto.

X

Tarea reguladora

Mis tareasreguladoras

Acceso de la página deinicio a las tareasregulatorias quenecesitan atención.

X

Solicitud de RI

Solicitudes dereunión

Acceso de la página deinicio a las solicitudesde reunionesregulatorias cuyopropietario del negocioes usted.

X

Solicitud de RI

Solicitudes in situ

Acceso de la página deinicio a las solicitudesregulatorias in situ cuyopropietario del negocioes usted.

X

Solicitud de RI

Solicitudes previas atrabajo

Acceso de la página deinicio a las solicitudesregulatorias previas altrabajo cuyo propietariodel negocio es usted.

X



Tipo de objeto

Filtro



Política

Mis borradores depolíticas

Acceso de la página deinicio a los borradoresde políticas cuyo autores usted. Incluye unenlace para iniciar elasistente de creación depolíticas.

X

Política

Mis políticaspublicadas

Acceso de la página deinicio a las políticaspublicadas cuyo autores usted. Incluye unenlace para iniciar elasistente Vista depolíticas.

X

KPI

Incumplimientos deKPI

Acceso de página deinicio a los KPI quetienen un estado deincumplimiento de colorrojo.

X X

Auditorías

Mis auditorías encurso

Acceso dela página deinicio a las auditoríascuyo propietario esusted y que es probableque esté trabajando enellas ahora.

X

Comentario derevisión de auditoría

Mis comentarios derevisión de auditoríaabiertos

Acceso a la página deinicio a comentarios derevisión de auditoríaque necesitan unaacción y cuyopropietario es usted.

X

Conclusión

Mis conclusionespara revisión

Acceso de la página deinicio a las conclusionespendientes cuyo revisores usted.

X

Conclusión

Mis conclusionesabiertas

Acceso de la página deinicio a las conclusionesabiertas cuyainformación hapreparado usted.

X

Informe de trabajo

Mis informes encurso

Acceso de la página deinicio a los informes querequieren acción y cuyorevisor de informaciónes usted.

X

Informe de trabajo

Informes listos parami revisión

Acceso de la página deinicio a los informescuya información hapreparado y quenecesitan acción.

X



Tipo de objeto

Filtro



Plan de control

Planes de control endesarrollo

Acceso de página deinicio a los planes decontrol en desarrollo.

X

Incidente

Incidentes de TIcríticos

Acceso de página deinicio a incidentesrelacionados con TI muygraves y pendientes.

X

Renuncia

Renuncias porvencer

Acceso de la página deinicio a las renunciasaprobadas que van aexpirar en los próximos3 meses.

X

Renuncia

Mis aprobaciones derenuncia

Acceso de la página deinicio a las excepcionesde testificaciónsolicitadas que necesitanrevisión.

X

Vistas de actividadLas siguientes tablas identifican la vistas de actividad definidas para cada perfil.

La siguiente tabla identifica las vistas de actividades definidas para los perfiles quese proporcionan con cada solución.

Las columnas utilizan abreviaturas para los siguientes perfiles:v RCM = Perfil de RCM Masterv MRG = Perfil de MRG Masterv FCM = Perfil de FCM Masterv ORM = Perfil de ORM Masterv Risk = Perfil de ORM Operational Risk Teamv BU = Perfil de ORM Business Userv SU = Perfil de ORM Simplified Userv PCM = Perfil de PCM Masterv ITG = Perfil de ITG Masterv IAM = Perfil de IAM Master


Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages

Tipo de objeto

Nombre devista deactividad

Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM

Proceso

Evaluación decontrol

Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen procesos.

X

Control

Resumen depruebas decontrol

Se utiliza para indicarla efectividad delcontrol operativo.Ofrece informaciónsobre el plan de pruebay los resultados de laspruebas que sirve debase para la toma dedecisiones relacionadascon la eficaciaoperativa.

X X X X X

Cuestionario

Cuestionario

Se utiliza pararesponder acuestionarios utilizandoel modelo de objetoCuestionario, Sección yPregunta.

X X X X X X

Cuestionario

Configuraciónde cuestionario

Se utiliza para crear ymodificar cuestionariosutilizando el modelo deobjeto Cuestionario,Sección y Pregunta.

X X X X X

Proceso

AprobaciónRCSA

La utiliza elcoordinador de riesgospara aprobar lasevaluaciones de riesgosy autocontrol.

X X X X X

Proceso

Aprobación delproceso

La utiliza el propietariode proceso paraconfirmar la evaluaciónde cada riesgo ycontrol.

X X X X X X X

Situación

Gestión deescenarios

Se utiliza para indicarla idoneidad de unescenario.

X X X


Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)

Tipo de objeto



Evento

Aprobación deeventos depérdida

Si se envía un eventopara aprobación y esválido y es mayor queel umbral de eventos depérdida 1, el estadocambia a En espera deaprobación. Elaprobador recibe unanotificación para revisary aprobar o rechazar elevento.

X X X X

Valor de KPI

Entrada devalor KPI

Se utiliza paraintroducir valores deKPI y cambiar el estadoa recopilado.

X X X

Valor de KRI

Aprobación devalor KRI

Se utiliza para aprobarvalores de KRI.

X X X X X

Valor de KRI

Entrada devalor KRI

Se utiliza paraintroducir valores deKRI y cambiar el estadoa recopilado.

X X X X X

Valor de KRI

Valor de KRI

Una vez definido elKRI, el sistemadetermina si se necesitaun valor KRI. Si el KRIse marca como activo,el asistente del KRIgenera valores. Si elKRI se establece comoInactivo, el programade utilidad no generaun valor en blanco. Elobjeto de valor seconfigura inicialmentecomo un marcador conel estado En espera derecopilación.

X X



Tipo de objeto



Evento

Gestión deeventos depérdida

La función del eventode pérdida permite larecopilación,clasificación ymantenimiento deeventos de pérdida porriesgos operativosdentro de la jerarquíaempresarial. Garantizaque la informaciónsobre eventos depérdida se recuperaráde forma coherente enla totalidad de laorganización exigiendola introducción de losdatos más importantessobre cada evento yque se realicen lasacciones pertinentes yel proceso deaprobación.

X X X

Proceso

Vista de RCSAde proceso

Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen evaluaciones deriesgos.

X X X X X

Valor de KPI

Aprobación devalor KPI

Se utiliza para aprobarvalores de KPI.

X X X


Vista de RCSA

Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen evaluaciones deriesgos.

X X X

Escenario

Aprobación delescenario

Se utiliza para aprobarun escenario.

X



Tipo de objeto



Riesgo

Evaluación deriesgo y control

Las evaluaciones deriesgos son confrecuencia los procesosfundamentales queutiliza una organizaciónen el riesgo operativo.Identifica, evalúa ycuantifica un perfil deriesgo. Establece lacoherencia y permitetener una visión ampliadel riesgo en latotalidad de unaorganización. Sirve debase para la toma dedecisiones relativas a lagestión, contribuye atomar decisionesmejores y conduce a laacción.

X X X

Testificación

Testificación

Ofrece una vistasimplificada del objetoTestificación. Sirvecomo patrón de unavista que se puedeutilizar como vistapredeterminada de losusuarios adecuados,como los notarios de lapolítica.

X

Mandato

Descripcióngeneral decambios en lasregulaciones

Ofrece una vistaconsolidad de loscambios regulatoriospara un mandato y lastareas regulatoriascorrespondientes que senecesitan comoresultado del cambio.Permite al usuariorealizar un seguimientodel progreso y el estadode las tareas.

X

Política

Descripcióngeneral deestado decampaña

Ver testificacionespendientes de unacampaña.

X



Tipo de objeto



Política

Solicitudes deexcepción depolítica deempleados

Ver solicitudes deexcepción de empleado.

X

Política

Política

Ofrece una vistasimplificada del objetoPolítica. Sirve comopatrón de una vista quese puede utilizar comovista predeterminadade los usuariosadecuados, como losnotarios de la política.

X

Interacción conla autoridadreguladora

Exámenesregulatorios

Proporciona una vistaconsolidada de lascategorías deinteracción y solicitudesdetalladas de unainteracción máscompleja con la entidadreguladora.

X

Auditoría

Descripcióngeneral deauditoría

Seleccione cada secciónde auditoría para vertodos sus informes detrabajo y conclusiones yactualizar después lainformación clave.

X

Auditoría

Matriz deámbito

Identifique lasactividades dentro de laentidad auditable ydecida si cada una deellas está dentro o fueradel ámbito de estaauditoría. Consulte losriesgos de cadaactividad para ayudar atomar una decisión encuanto al ámbito.

X

Auditoría

Vista de matrizde ámbito

Vista de matriz deámbito con todos loscampos configuradoscomo de solo lectura.

X



Tipo de objeto



Auditoría

Lista decomprobaciónde ediciones desecciones

Proporciona una vistaconsolidada delprograma de trabajo ypermite realizar unaactualización rápida delas secciones deauditoría para unaauditoría.

X

Auditoría

Lista decomprobaciónde ediciones deinformes

Proporciona una vistaconsolidada de losinformes de trabajo ypermite realizar unaactualización rápida delos informes de trabajopara una auditoría.

X

Entidadauditable

Todos loscomentarios dela revisión

Consulte loscomentarios de larevisión asociados a laauditoría seleccionada ysus secciones, informesde trabajo yconclusiones.

X

Entidadauditable

Auditorías ysecciones

Ver las secciones de unaauditoría y actualizarlas fechas de inicio yfinalizaciónplanificadas.

X

Entidadauditable

Lista decomprobaciónde secciones

Proporciona una vistarápida de solo lecturade las secciones delprograma de trabajo.

X

Entidadauditable

Lista decomprobaciónde informes

Proporciona una vistarápida de solo lecturade los informes detrabajo en el programade trabajo.

X

Entidadempresarial

Plan deauditoría

Permite introducirfechas de programacióny las horas y el tiempoy gastos estimados paracada auditoría deluniverso. Puedenfiltrarse hasta 2008 ymás allá de lasauditorías dondeEstado es cualquierexcepto Finalizado.

X



Tipo de objeto



Informe detrabajo

Actualizaciónde gestión deproyectos

Se utiliza al finalizar elestado de los informesde trabajo.

X

Informe detrabajo

Planificación degestión deproyectos

Se utiliza al finalizar elestado de los informesde trabajo.

X

Informe detrabajo

Revisión yaprobación

Se utiliza al revisarinformes de trabajo.

X

Informe detrabajo

Ejecución depruebas

Se utiliza al ejecutarpruebas de informes detrabajo durante eltrabajo de campo.

X

Informe detrabajo

Planificación depruebas

Se utiliza al planificarinformes de trabajo.

X

Línea base

Evaluar riesgo

Se utiliza para realizarevaluaciones de riesgossobre líneas base en elentorno operativo deTI.

X

Línea base

Evaluar líneabase

Se utiliza para realizarevaluaciones de riesgossobre líneas base en elentorno operativo deTI.

X

Entidadempresarial

MandatosDeloitte

Muestra todos losrequisitos controladosdesde cada mandatoproporcionado porDeloitte.

X



Tipo de objeto



Entidadempresarial

Controles demandato

Para el mandatoseleccionado, consultetodos los controlesasociados con elentorno operativo deTI. Proporciona unavista a nivel de toda laempresa de laefectividad del controlpara un determinadomandato. Filtracontroles en labiblioteca y solo incluyelos controles ineficaceso sin determinar.

Se debe ejecutar desdeuna entidadempresarial en labiblioteca.

X

Entidadempresarial

Mandatos UCF

Muestra todos losrequisitos controladosdesde cada mandatoproporcionado porUCF.

X

Plan de control

Evaluar plan decontrol

Se utiliza para realizarevaluaciones de riesgossobre planes de controlen el entorno operativode TI.

X

Mandato

Descripcióngeneral demandatoDeloitte

Muestra todos lossubmandatos y losrequisitos de cadasubmandato. Es másadecuado para elcontenido de Deloitte.

X

Mandato

Descripcióngeneral demandato UCF

Muestra todos lossubmandatos y losrequisitos de cadasubmandato. Es másadecuado para elcontenido de UCF.

X


Tabla 42. Vistas de actividades para guiar el asistente Añadir nuevo

Tipo deobjeto



Riesgo

Añadir nuevo

Utilizado por elasistente Añadir nuevo

X X X X

Control

Añadir nuevo


X X X X

Informe detrabajo

Añadir nuevo


X

Vistas de cuadrículaEn este tema se muestran las vistas de cuadrícula definidas para cada perfil.


El perfil de IBM OpenPages Operational Risk Management admite todas las vistasde cuadrícula de los siguientes perfiles específicos de la solución:v Perfil de ORM Operational Risk Teamv Perfil de ORM Business Userv Perfil de ORM Simplified Userv Perfil de ORM Master

Tabla 43. Vistas de cuadrícula para cada solución

Tipo de objeto

Vista de cuadrícula Descripción RCM MRG FCM ORM PCM ITG IAM

KPI, Valor de KPI

Entrada de valores deKPI

Se utiliza para introducirvalores de KPI. Antes deutilizar esta vista, creeobjetos de valor de KPI.

X X X

KRI, Valor de KRI

Aprobar valores de KRI

Se utiliza para revisar yaprobar valores de KRI.Antes de utilizar estavista, cree objetos devalor de KRI eintroduzca los valores.

X X X


Tabla 43. Vistas de cuadrícula para cada solución (continuación)

Tipo de objeto

Vista de cuadrícula Descripción RCM MRG FCM ORM PCM ITG IAM

KRI, Valor de KRI

Entrada de valores deKRI

Se utiliza para introducirvalores de KRI. Antes deutilizar esta vista, creeobjetos de valor de KRI.

X X X

KPI, Valor de KPI

Aprobar valores de KPI

Se utiliza para revisar yaprobar valores de KPI.Antes de utilizar estavista, cree objetos devalor de KPI eintroduzca los valores.

X X X

Proceso, Riesgo, Control

Revisión de PRSA

Se utiliza para revisarevaluaciones de riesgos yautocontrol de procesos.

X X

Proceso, Riesgo, Control

Actualización de PRSA

Se utiliza para actualizarevaluaciones de riesgos yautocontrol de procesos.

X X


Capítulo 9. Plantillas de rol

Una plantilla de rol define los privilegios que se otorgan a un usuario para accedera cada tipo de objeto. Las soluciones de IBM OpenPages GRC Platform incluyenvarias plantillas de rol. Las plantillas de rol proporcionan permisos a lasaplicaciones y otorgan acceso a características y funciones. También proporcionanACL de objeto (RWDA).

Cuando se asignan derechos de permiso a una plantilla de rol de solución, esosderechos también se asignan a la plantilla Todos los módulos maestros.

En cada solución se incluyen de forma predeterminada dos plantillas de rol. Laplantilla denominada Todos los permisos proporciona derechos administrativos ypermisos a todos los tipos de objeto disponibles para la solución. La plantilladenominada Todos los datos - Sin administrador proporciona permisos para todoslos tipos de objetos que están disponibles para la solución, pero no otorga derechosadministrativos.

Para obtener más información sobre los permisos proporcionados por las plantillasde rol, consulte “Permisos de plantillas de rol”.

Permisos de plantillas de rolCada plantilla de roles define permisos de acceso que se habilitan para cada tipode objeto.

Para cada solución, se proporciona una plantilla de roles denominada Todos lospermisos. Incluye derechos de administrador completos. También proporcionaacceso completo de lectura, escritura, eliminación y asociación (RWDA) a todos lostipos de objeto que están incluidos en la solución.

Asimismo, cada solución incluye una plantilla de roles denominada Todos losdatos - Sin administrador. La plantilla no proporciona ningún derecho deadministrador salvo los tipos de objeto asociados con flujos de trabajo, archivos ycarpetas. Las plantillas proporcionan acceso completo de lectura, escritura,eliminación y asociación a todos los tipos de objeto habilitados de formapredeterminada para la solución.

Para obtener más información sobre los permisos que se otorgan a tipos de objetoen las plantillas de roles, consulte “Permisos de tipo de objeto asignados porplantilla de rol”.

Permisos de tipo de objeto asignados por plantilla de rolUna plantilla de rol define el acceso de lectura, escritura, eliminación y asociacióna los tipos de objeto habilitados en cada solución.

Cuando se asignan derechos de permiso a una plantilla de rol de solución: esosderechos también se asignan a la plantilla Todos los módulos maestros.

Los siguientes permisos describen los derechos asignados a tipos de objetos enplantillas de rol. En la siguiente tabla, las abreviaturas identifican los permisoshabilitados para cada tipo de objeto.

101

R Se otorga a los grupos o usuarios el derecho de examinar y ver los detallesde los objetos.

W Se otorga a los grupos o usuarios el derecho de crear o modificar objetosen la carpeta seleccionada. No pueden eliminar los objetos.

D Se otorga a los grupos o usuarios el derecho de suprimir objetos en laestructura de carpetas.

A Se otorga a los grupos o usuarios el derecho de crear asociaciones entreobjetos.

Los siguientes acrónimos representan las plantillas de rol en esta tabla:v RCM = Plantilla de rol de IBM OpenPages Regulatory Compliance Managementv MRG = Plantilla de rol de IBM OpenPages Model Risk Governancev FCM = Plantilla de rol de IBM OpenPages Financial Controls Managementv ORM = Plantilla de rol de IBM OpenPages Operational Risk Managementv Risk = Plantilla de rol de IBM OpenPages Operational Risk Teamv BU = Plantilla de rol de IBM OpenPagesORM Business Userv SU = Plantilla de rol de IBM OpenPagesORM Simplified Userv PCM = Plantilla de rol de IBM OpenPages Policy and Compliance Managementv ITG = Plantilla de rol de IBM OpenPages IT Governancev IAM = Plantilla de rol de IBM OpenPages Internal Audit Management

En la tabla siguiente se incluyen los permisos de tipos de objeto que se otorgan ala plantilla en cada solución. Cada solución incluye dos plantillas maestras: laplantilla Todos los permisos y la plantilla Todos los datos - Sin administrador. Siuna celda está vacía, indica que el tipo de objeto no está disponible para esasolución.

Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC

Nombre del objeto

Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM

Attestation

Testificación

RWDA

AuditableEntity

Entidad de auditoría

RWDA

Auditor

Auditor

RWDA

AuditPhase

Sección de auditoría

RWDA

AuditProgram

Auditoría

RWDA

Campaign

Campaña

RWDA


Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)

Nombre del objeto


CapitalModel

Modelo de capital

RWDA

Challenge

Desafío

RWDA

ChangeRequest

Solicitud de cambio

RWDA

Committee

Comité

RWDA

CompliancePlan

Plan de conformidad

RWDA RWDA

ComplianceTheme

Tema de conformidad

RWDA RWDA

CtlEval

Evaluación de control

RWDA RWDA RWDA RWA RWA RWDA

DataInput

Entrada de datos

RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA

DataOutput

Salida de datos


Documentation

Documentación

RWDA

Empleado

Empleado

RWDA RWDA

Conclusión

Conclusión

RWDA

FIRSTLoss

Pérdida de FIRST

* indica que los derechosW y A no se hanespecificado

RWDA R* R*

Incidente

Incidente

RWDA RWDA

KeyPerfIndicator

KPI

RWDA RWDA RWDA RWDA RWDA RWDA

Capítulo 9. Plantillas de rol 103


Nombre del objeto


KeyPerfIndicatorValue

Valor de KPI

RWDA RWA RWA RWA RWDA

KeyRiskIndicator

KRI

RWDA RWA RWA RWA RWDA

KeyRiskIndicatorValue

Valor de KPI

RWDA RWA RA RWDA

LossEvent

Evento de pérdida

RWDA RWA RWA RWA

LossImpact

Impacto de pérdida

RWDA RWA RWA RWA

LossRecovery RWDA RWA RWA RWA

Mandato

Mandato

RWDA RWDA RWDA RWDA

Metric

Métrica

RWDA

MetricValue

Valor de métrica

RWDA

Model

Modelo

RWDA

ModelInput

Entrada de modelo

RWDA

ModelLink

Enlace de modelo

RWDA

ModelOutput

Salida de modelo

RWDA

ModelReport

Informe de modelo

RWDA

ModelResult

Resultado del modelo decapital

RWDA

ORICLoss

ORIC Loss


RWDA R* R*



Nombre del objeto


ORXLoss

ORX Loss


RWDA R* R*

Planificación

Planificación

RWDA

Política

Política

RWDA RWDA RWDA RWDA

PolicyReviewComment

Comentario de revisiónde política

RWDA

Preferencia

Preferencia

RWDA RWA RA RA RWDA

PrefGrp

Grupo de preferencias

RWDA RWDA

Procedimiento

Procedimiento

RWDA RWDA RWDA RWDA

ProcessDiagram

Diagrama del proceso


ProcessEval

Evaluación del proceso

RWDA RWA RWA RWA

Project

Proyecto

RWDA RWDA

ProjectActionItem

Elemento de la accióndel hito

Quest

Pregunta

RWDA RWDA

Cuestionario

Cuestionario

RWDA RWDA

Qsection RWDA RWDA

RAEval

Análisis de evaluaciónde riesgos

RWDA RWA RWA RWA



Nombre del objeto


RegApp

Aplicabilidad delreglamento

RWDA RWDA

RegChange

Cambio regulador

RWDA RWDA

RegulatoryInitiative

Iniciativa reguladora

RWDA RWDA

RegInt

Interacción con laautoridad reguladora

RWDA

Register

Registro

RWDA

RegTask

Tarea reguladora

RWDA RWDA

Autoridad reguladora

Autoridad reguladora

RWDA RWDA

ReportSection

Sección de informe

RWDA

Requisito

Requisito

RWDA RWDA RWDA RWDA

ReqEval

Evaluación de requisito

RWDA

ReqEvalValue

Valor de evaluación derequisito

RWDA

Recurso

Recurso

RWDA

ResourceLink

Enlace a recursos

RWDA

Review

Revisar

RWDA

ReviewComment

Comentario de revisiónde auditoría

RWDA



Nombre del objeto


RICat

Categoría de RI

RWDA

RIReq

Solicitud de RI

RWDA

RiskAssessment

Evaluación de riesgos

RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

RiskEntity

Plan de control

RWDA

RiskEval

Evaluación de riesgos

RWDA RWA RWA RWA

RiskSubEntity

Línea base

RWDA

ScenarioAnalysis

Análisis de escenario

* indica que los derechosW (escritura) no se hanespecificado

RWDA RWA RA*

ScenarioResult

Resultado de escenario

* indica que los derechosW (escritura) no se hanespecificado

RWDA RWA RA*

SOXAccount

Cuenta

RWDA

SOXBusEntity

Entidad empresarial

RWDA RWDA RWDA RWDA RWA RA RA RWDA RWDA RWDA

SOXControl

Control


SOXControlObjective

Objetivo de control

SOXDocument

Archivo

RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXExternalDocument

Vínculo

RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA



Nombre del objeto


SOXIssue

Problema


SOXMilestone

Hito

SOXProcess

Proceso

RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXRisk

Riesgo


SOXSignature

Firma


SOXSubaccount

Subcuenta

RWDA

SOXSubprocess

Subproceso

RWDA RWDA RWA RWA RWA RWDA RWDA RWDA

SOXTask

Elemento de acción


SOXTest

Plan de prueba

RWDA RWDA RWDA RWDA RWDA

SOXTestResult

Resultado de la prueba

RWDA RWDA RWDA RWDA RWDA

Submandate

Submandato

RWDA RWDA RWDA RWDA

Hoja de registro horario

Hoja de registro horario

RWDA

Usage

Uso

Waiver

Renuncia

RWDA RWDA

Informe de trabajo

Informe de trabajo

RWDA


Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos en todo elmundo.

IBM puede ofrecer este material en otros idiomas. Sin embargo, es posible quetenga obligación de tener una copia del producto o de la versión del producto endicho idioma para acceder a él.

IBM puede no ofrecer los productos, servicios o funcionalidades tratados en estedocumento en otros países. Póngase en contacto con el representante local de IBMpara obtener información sobre los productos y servicios disponibles actualmenteen su área. Las referencias a productos, programas o servicios IBM no tienen comoobjetivo afirmar o implicar que sólo se puede utilizar el producto, programa oservicio IBM. En su lugar, se puede utilizar cualquier producto, programa oservicio funcionalmente equivalente que no infrinja ninguno de los derechos depropiedad intelectual de IBM. No obstante, corresponde al usuario evaluar yverificar el funcionamiento de cualquier producto, programa o servicio que no seade IBM. Este documento puede incluir descripciones de productos, servicios ocaracterísticas que no forman parte de la titularidad de licencia o programa que haadquirido.

IBM puede tener patentes o solicitudes de patentes pendientes que cubran lamateria descrita en esta información. La posesión de este documento no le otorganinguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, porescrito, a:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785EE.UU.

Para preguntas sobre licencias en relación a información de doble byte (DBCS),póngase en contacto con el Departamento de propiedad intelectual de IBM en supaís o envíe preguntas, por escrito, a:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokio 103-8510, Japón

El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país en quedichas disposiciones entren en contradicción con la legislación local:INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, NIEXPLÍCITA NI IMPLÍCITA, INCLUYENDO, PERO NO LIMITÁNDOSE, A LASGARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, COMERCIALIZACIÓN OADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunos estados nopermiten la declaración de limitación de responsabilidad de las garantías explícitaso implícitas en determinadas transacciones, por lo tanto, es posible que estasentencia no sea aplicable en su caso.

109

Esta información puede contener imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información incluida en este documento;estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puedeefectuar mejoras y/o cambios en los productos y/o programas descritos en estapublicación en cualquier momento y sin previo aviso.

Las referencias en este documento a sitios web que no sean de IBM seproporcionan únicamente como ayuda y no se consideran en modo alguno comouna recomendación por parte de IBM de dichos sitios web. Los materiales en estossitios web no forman parte de los materiales para este producto de IBM y el usode estos sitios web corre por cuenta y riesgo del usuario.

IBM puede utilizar o distribuir la información que se le proporcione de la formaque considere adecuada, sin incurrir en ninguna obligación con el cliente.

Los licenciatarios de este programa que deseen obtener información sobre él con elfin de permitir: (i) el intercambio de información entre programas creadosindependientemente y otros programas (incluido este) y (ii) el uso mutuo deinformación que se ha intercambiado, deben ponerse en contacto con:

IBM CorporationLocation Code FT0550 King StreetLittleton, MA01460-1250EE.UU.

Dicha información puede estar disponible, sujeta a los términos y condicionesapropiados, incluyendo en algunos casos el pago de una cantidad.

El programa bajo licencia descrito en este documento y todo el material bajolicencia disponible los proporciona IBM bajo los términos del Acuerdo de clientede IBM, el Acuerdo internacional de programas bajo licencia de IBM o cualquieracuerdo equivalente entre las partes.

Los datos de rendimiento contenidos en este documento se obtuvieron en unentorno controlado. Por lo tanto, los resultados obtenidos en otros entornosoperativos pueden variar considerablemente. Pueden haberse realizado algunasmediciones en sistemas en nivel de desarrollo y no existen garantías de que estasmediciones sean las mismas en sistemas disponibles para todos los usuarios.Además, es posible que alguna medición se haya estimado mediante extrapolación.Puede que los resultados reales varíen. Los usuarios de este documento debenverificar los datos aplicables a su entorno específico.

La información referente a productos que no son de IBM se ha obtenido de lossuministradores de estos productos, sus anuncios publicados u otras fuentesdisponibles para el público. IBM no ha probado estos productos y no puedeconfirmar la precisión del rendimiento, la compatibilidad o cualquier otrareclamación relacionada con productos no IBM. Las preguntas relacionadas con lasprestaciones de los productos que no son de IBM deberán dirigirse a losproveedores de estos productos.

Todas las sentencias relacionadas con la futura dirección de IBM o intento estánsujetas al cambio o retirada sin previo aviso y sólo representan objetivos y metas.


Este manual contiene ejemplos de datos e informes que se utilizan en operacionesempresariales cotidianas. Para ilustrarlas de la manera más completa posible, losejemplos incluyen nombres de individuos, empresas, marcas y productos. Todosestos nombres son ficticios y cualquier similitud con los nombres y direcciones quehaya utilizado una empresa real es pura coincidencia.

Si ve esta información en copia software, es posible que no aparezcan lasfotografías y las ilustraciones en color.

Este producto de software no utiliza cookies ni ninguna otra tecnología pararecopilar información que permita identificar a las personas.

Copyright

Material bajo licencia - Propiedad de IBM Corporation.

© Copyright IBM Corporation, 2003, 2015.

Derechos restringidos para los usuarios del Gobierno de EE.UU. - Uso, duplicacióno divulgación restringida por el contrato de planificación de GSA ADP con IBMCorp.

Esta información contiene programas de aplicación de muestra en lenguaje fuente,que ilustran técnicas de programación en las distintas plataformas operativas.Puede copiar, modificar y distribuir los programas de ejemplo de cualquier forma,sin tener que pagar a IBM, con intención de desarrollar, utilizar, comercializar odistribuir programas de aplicación que estén en conformidad con la interfaz deprogramación de aplicaciones (API) de la plataforma operativa para la que estánescritos los programas de ejemplo.

Estos ejemplos no se han probado exhaustivamente en todas las condiciones. Enconsecuencia, IBM no puede garantizar ni afirmar la fiabilidad, utilidad ofuncionalidad de estos programas. Puede copiar, modificar y distribuir dichosprogramas de ejemplo en cualquier formato y sin tener que abonar una cuota aIBM, a fin de desarrollar, utilizar, comercializar o distribuir programas deaplicación que se adapten a las interfaces de programación de IBM.

Marcas comerciales

IBM, el logotipo de IBM e ibm.com son marcas registradas de InternationalBusiness Machines Corp., registradas en muchas jurisdicciones de todo el mundo.

Los términos siguientes son marcas registradas de otras compañías:v Microsoft, Windows, Windows NT, y el logotipo de Windows son marcas

registradas de Microsoft Corporation en los Estados Unidos y/o en otros países.

Otros nombres de productos y servicios podrían ser marcas registradas de IBM uotras compañías. Hay disponible una lista actual de marcas registradas de IBM enla sección “ Copyright and trademark information” de la webwww.ibm.com/legal/copytrade.shtml.

Avisos 111

http://www.ibm.com/legal/copytrade.shtml

Índice

Aactivador de aprobación de eventos de pérdida 72activador de cálculo de eventos de pérdida 72activador de ciclo de vida de evaluación de cuestionario

Notificación de evaluación de cuestionario 51activador de ciclo de vida de incidente

notificación de incidente 51Activador de ciclo de vida del problema 69activador de entrada de datos 70activador de envíos para aprobación de eventos de

pérdida 72activador de salida de datos 70activador del ciclo de vida del KPI

notificación de infracción 50activador del ciclo de vida del KRI 71

notificación de infracción 50activadores

Aprobación de eventos de pérdida 72Cálculo de eventos de pérdida 72ciclo de vida del KRI 71ciclo de vida del problema 69Envío para aprobación del evento de pérdida 72Evaluaciones de cuestionarios 72Incidencias 76visualización 70

activadores de evaluación de cuestionario 72activadores de evaluaciones de riesgos y autocontrol

Véase activadores de RCSAactivadores de incidente 76activadores de RCSA 70activadores de visualización 70asistente de evaluación de riesgos

Véase asistentes de RCSAasistente de publicación de notificación por lotes 44asistente Desbloquear política 44Asistente Informe de creación de testificación 45asistente Vista de conocimiento de política 45asistentes

Análisis de escenario 40asistentes de RCSA 41, 42evaluación de riesgos 43Indicadores clave 40, 41

Asistentes de análisis de escenarios 40asistentes de indicadores clave 40, 41asistentes de RCSA 41, 42, 43

CCapturador KPI

notificación de recordatorio de KPI 50Capturador KRI

notificación de recordatorio de KRI 50

Eelementos de acción 69Entidad empresarial

asociación con evaluaciones de riesgos 42Evaluaciones de riesgos

asociación con entidad empresarial 42

Evento de pérdida (tipo de objeto) 72

IImpacto de pérdida (tipo de objeto) 72

LLista filtrada de la página de inicio 83

Nnotificación a través de boletín de problemas y acciones 50Notificación de evaluación de cuestionario 51notificación de incidente 51notificación de infracción de KPI 50Notificación de infracción de KRI 50notificación de recordatorio de KPI 50notificación de recordatorio de KRI 50notificaciones 49

boletín de problemas y acciones 50Notificación de evaluación de cuestionario 51notificación de incidente 51Notificación de infracción de KPI 50Notificación de infracción de KRI 50notificación de recordatorio de KPI 50notificación de recordatorio de KRI 50

novedades 1

OOpenPages Policy and Compliance Management viii

Pperfil de equipo de riesgos operativos 81Perfil de Operational Risk Team 80perfil de usuario Simplified 81Perfiles, lista filtrada de la página de inicio 83Perfiles, vistas de actividad 90Problema (tipo de objeto) 69Problemas

gestión 69

RRecuperación de pérdidas (tipo de objeto) 72

Ttipos de objeto

Evento de pérdida 72Impacto de pérdida 72problema 69Recuperación de pérdidas 72

113

VValor de KPI

notificación de recordatorio de KPI 50Valor de KRI

notificación de recordatorio de KRI 50

visores de políticas 43Vista de actividad 90vistas de cuadrícula 99


información de productopublic.dhe.ibm.com/software/data/cognos/... · información de producto...

Documents