información de productopublic.dhe.ibm.com/software/data/cognos/... · información de producto...
TRANSCRIPT
IBM OpenPages GRC PlatformVersión 7.2.0
Guía de soluciones
IBM
NotaAntes de utilizar esta información y el producto al que da soporte, lea la información del apartado “Avisos” en la página109.
Información de producto
Este documento se aplica a IBM OpenPages GRC Platform Versión 7.2.0 y también a releases posteriores.
Material bajo licencia - Propiedad de IBM Corporation.
© Copyright IBM Corporation, 2003, 2015.
Derechos restringidos para los usuarios del Gobierno de EE.UU. - Uso, duplicación o divulgación restringida por elcontrato de planificación de GSA ADP con IBM Corp.
Contenido
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. vLicencias de tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. vOpenPages Financial Controls Management . . . . . . . . . . . . . . . . . . . . . . . .. vOpenPages Operational Risk Management . . . . . . . . . . . . . . . . . . . . . . . .. vi
Algo Risk Content on Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . .. viiOpenPages Policy and Compliance Management . . . . . . . . . . . . . . . . . . . . .. viiiOpenPages IT Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. viiiOpenPages Internal Audit Management . . . . . . . . . . . . . . . . . . . . . . . . .. ixGestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . . . . . . . .. xIndicadores clave de riesgo e Indicadores clave de rendimiento (KRI y KPI) . . . . . . . . . . . . .. xii
Capítulo 1. Novedades . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 1Características nuevas de la versión 7.2.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 1Nuevas características de la versión 7.1.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 3Nuevas características de la versión 7.0.0 . . . . . . . . . . . . . . . . . . . . . . . . .. 3
Capítulo 2. Tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . .. 5Correlación de nombres de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . .. 8Descripciones de tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . .. 11Subcomponentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 30
Capítulo 3. Campos calculados . . . . . . . . . . . . . . . . . . . . . . . .. 35
Capítulo 4. Ayudantes . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 39Asistente de finalización de escenario. . . . . . . . . . . . . . . . . . . . . . . . . .. 40Programa de utilidad Creación de valor de KRI . . . . . . . . . . . . . . . . . . . . . .. 40Programa de utilidad Creación de valor de KPI . . . . . . . . . . . . . . . . . . . . . .. 41Asistente de finalización de RCSA . . . . . . . . . . . . . . . . . . . . . . . . . . .. 41Asistente de alineación de procesos RCSA . . . . . . . . . . . . . . . . . . . . . . . .. 42Asistente del programa de utilidad de inicio de RCSA . . . . . . . . . . . . . . . . . . . .. 42Asistente de sincronización de sitios de RCSA . . . . . . . . . . . . . . . . . . . . . . .. 43Visores de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 43Asistente Vista de comparación de políticas . . . . . . . . . . . . . . . . . . . . . . .. 43Asistente Desbloquear política . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 44Asistente Publicar notificación por lotes . . . . . . . . . . . . . . . . . . . . . . . . .. 44Asistente Vista de conocimiento de política . . . . . . . . . . . . . . . . . . . . . . . .. 45Asistente Informe de creación de testificación . . . . . . . . . . . . . . . . . . . . . . .. 45Asistente Obtener líneas base . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente Crear enlaces de recursos . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente Cerrar auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 46Asistente para añadir o modificar planificaciones . . . . . . . . . . . . . . . . . . . . . .. 46Asistente para el informe de entrada de hoja de registro horario. . . . . . . . . . . . . . . . .. 47Asistente para el informe de entrada de hoja de registro horario del administrador . . . . . . . . . .. 47
Capítulo 5. Notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . .. 49Notificación a través del boletín de problemas y acciones . . . . . . . . . . . . . . . . . . .. 50Notificación de recordatorio de KPI . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de infracción de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de recordatorio de KRI . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de infracción de KRI . . . . . . . . . . . . . . . . . . . . . . . . . . .. 50Notificación de incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 51Notificación de evaluación de cuestionario . . . . . . . . . . . . . . . . . . . . . . . .. 51
iii
Capítulo 6. Informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 53Informes de evaluación de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . .. 56Informes de riesgos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 57Informes de control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 58Informes de prueba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 58Informes de visualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de indicador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de eventos de pérdida . . . . . . . . . . . . . . . . . . . . . . . . . . .. 59Informes de gestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . . .. 60Informes de análisis de escenarios . . . . . . . . . . . . . . . . . . . . . . . . . . .. 60Informes de modelado de capital . . . . . . . . . . . . . . . . . . . . . . . . . . .. 61Informes de cumplimiento normativo. . . . . . . . . . . . . . . . . . . . . . . . . .. 61Informes de activos de TI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 62Informes de conformidad de TI. . . . . . . . . . . . . . . . . . . . . . . . . . . .. 62Informes de gestión de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . .. 63
Capítulo 7. Activadores. . . . . . . . . . . . . . . . . . . . . . . . . . . .. 67Tipos de objeto que contienen activadores . . . . . . . . . . . . . . . . . . . . . . . .. 68Activadores de gestión de problemas y corrección . . . . . . . . . . . . . . . . . . . . .. 68
Activador de ciclo de vida del problema. . . . . . . . . . . . . . . . . . . . . . . .. 69Activadores de evaluaciones de riesgos y autocontrol . . . . . . . . . . . . . . . . . . . .. 70Activadores de visualización . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 70Activadores del ciclo de vida de KRI y KPI. . . . . . . . . . . . . . . . . . . . . . . .. 70Activadores del ciclo de vida de eventos de pérdida. . . . . . . . . . . . . . . . . . . . .. 71
Activador de cálculo de eventos de pérdida . . . . . . . . . . . . . . . . . . . . . .. 71Activador de envío para aprobación del evento de pérdida . . . . . . . . . . . . . . . . .. 72Activador de aprobación de eventos de pérdida . . . . . . . . . . . . . . . . . . . . .. 72
Activadores de ciclo de vida de evaluación de cuestionario . . . . . . . . . . . . . . . . . .. 72Activador de importación de políticas . . . . . . . . . . . . . . . . . . . . . . . . .. 73Activador de bloqueo de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . .. 75Activador de cálculos de clasificación de riesgos de la auditoría . . . . . . . . . . . . . . . . .. 75Activador de automatización de cierre de auditoría . . . . . . . . . . . . . . . . . . . . .. 75Activadores de ciclo de vida de incidente . . . . . . . . . . . . . . . . . . . . . . . .. 76
Capítulo 8. Perfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages RCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages MRG Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 79Perfil de OpenPages FCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de OpenPages ORM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de ORM Operational Risk Team . . . . . . . . . . . . . . . . . . . . . . . . .. 80Perfil de ORM Business User . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 81Perfil de ORM Simplified User . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 81Perfil OpenPages FIRST Loss . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 82Perfil de OpenPages PCM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 82Perfil de OpenPages ITG Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Perfil de OpenPages IAM Master . . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Listas filtradas de la página de inicio . . . . . . . . . . . . . . . . . . . . . . . . . .. 83Vistas de actividad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 90Vistas de cuadrícula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 99
Capítulo 9. Plantillas de rol . . . . . . . . . . . . . . . . . . . . . . . . .. 101Permisos de plantillas de rol . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 101Permisos de tipo de objeto asignados por plantilla de rol . . . . . . . . . . . . . . . . . . .. 101
Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 109
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 113
iv IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Introducción
IBM® OpenPages GRC Platform contiene soluciones, tales como IBM OpenPagesFinancial Controls Management y IBM OpenPages Operational Risk Management.
Público
La publicación Guía de soluciones de IBM® OpenPages® GRC Platform está dirigida alos usuarios que necesitan utilizar las soluciones que se proporcionan conOpenPages GRC Platform. El contenido describe los tipos de objeto para cadasolución. Identifica también los subcomponentes, campos calculados, asistentes,notificaciones, informes, activadores, perfiles y plantillas de rol compatibles concada solución.
Dónde encontrar información
Para buscar documentación de productos en la web, incluida toda ladocumentación traducida, acceda al Knowledge Center de IBM(http://www.ibm.com/support/knowledgecenter).
Funciones de accesibilidad
Las funciones de accesibilidad ayudan a los usuarios que tienen algunadiscapacidad física, por ejemplo movilidad restringida o visión limitada, a utilizarproductos de tecnología de la información. La documentación de OpenPages GRCPlatform tiene características de accesibilidad. Los documentos PDF soncomplementarios y no incluyen características de accesibilidad.
Proyecciones futuras
En esta documentación se describen las funcionalidad actuales del producto. Puedeque se incluyan referencias a elementos que actualmente no están disponibles. Perono debe entenderse que estos vayan a estar disponibles en un futuro. Estasreferencias no constituyen un compromiso, promesa ni obligación legal queimplique la entrega de ningún tipo de material, código o funcionalidad.Eldesarrollo, entrega y comercialización de las características son aspectos quequedan a la entera discreción de IBM.
Licencias de tipos de objetoDispone de licencia para utilizar los tipos de objeto de cada solución de IBMOpenPages GRC Platform que haya adquirido.
Para obtener una lista completa de los tipos de objeto proporcionados con cadasolución, consulte el apartado Capítulo 2, “Tipos de objeto”, en la página 5. Quedaprohibido el uso de cualquier otro tipo de objeto sin la autorización previa porescrito de IBM.
OpenPages Financial Controls ManagementIBM OpenPages Financial Controls Management reduce el tiempo y el coste de losrecursos asociados con el cumplimiento de las regulaciones sobre informesfinancieros actuales
v
IBM OpenPages Financial Controls Management combina una potente gestión delos documentos y los procesos con funciones de elaboración de informesinteractivas en un entorno flexible, adaptable y fácil de utilizar. Esta característicaproporciona a los CEO, CFO, gestores, auditores independientes y comités deauditoría la capacidad de realizar todas las actividades necesarias para cumplir lasregulaciones sobre informes financieros de una forma sencilla y eficaz.
Permite a los usuarios ver fácilmente el estado de sus proyectos de documentaciónsobre controles financieros y proporciona un repositorio seguro para elalmacenamiento de la documentación de sus controles internos.
Sus principales características son:v Un repositorio de gestión de controles financieros, que presenta los procesos,los
riesgos y controles de modo lógico en relaciones de varios a varios ycompartidas en diferentes niveles y permite adjuntar archivos y planes de accióna los procesos, riesgos, controles y pruebas a todos los niveles.
v Automatización flexible que proporciona notificación y finalización de lasactividades de gestión de los controles financieros, como revisión de diseño,revisión de funcionamiento y certificación.
v Informes, supervisión y análisis.
Para obtener más información, consulte el documento OpenPages GRC PlatformFCM Solution Details.
OpenPages Operational Risk ManagementIBM OpenPages Operational Risk Management combina la gestión de proceso ydocumentos con un sistema de supervisión y soporte de las decisiones. IBMOpenPages Operational Risk Management permite a las organizaciones analizar,gestionar y mitigar riesgos de una forma simple y eficiente.
IBM OpenPages Operational Risk Management ayuda a automatizar el proceso demedir y supervisar el riesgo operativo. Combina todos los datos de riesgo,incluidas las evaluaciones de riesgos y autocontrol, los eventos de pérdida, losanálisis de escenarios, las pérdidas externas y los indicadores claves de riesgo(KRI) en un única solución integrada.
IBM OpenPages Financial Controls Management incluye las siguientescaracterísticas clave:v Eventos de pérdida para supervisar, evaluar y gestionar eventos internos y
externos que podrían originar pérdidas operativas.v Evaluaciones de autocontrol y riesgos (RCSA) para identificar, medir y reducir el
riesgo.v Indicadores claves de riesgo (KRI) e indicadores clave de rendimiento (KPI), que
pueden realizar un seguimiento de las mediciones de rendimiento para mostrarpotencialmente la presencia o el estado de una condición de riesgo o unatendencia.
v Análisis de escenarios, que es una técnica de evaluación que se utiliza paraidentificar y medir determinadas clases de riesgos, en particular, los eventosmuy graves y de baja frecuencia.
v Eventos de pérdidas externas para importar datos de pérdidas de las bases dedatos de pérdidas de IBM Algo Risk Content on Cloud, ORX y ORIC.
v Gestión de problemas y corrección (IMR)
vi IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
v Modelado de capital, que proporciona la capacidad de almacenar informacióndel modelado de capital en OpenPages. La característica de modelado de capitalde IBM OpenPages GRC Platform proporciona una integración completa con laaplicación IBM OpenPages Capital Modeling.
v Informes, supervisión y análisis
Para obtener más información, consulte el documento OpenPages GRC PlatformORM Solution Details.
Algo Risk Content on CloudLa base de datos IBM Algo Risk Content on Cloud es una colección de eventos depérdida por riesgos operativos externos en forma de estudios de caso de riesgo.
Los eventos Algo Risk Content on Cloud están dirigidos al sector financiero ycontienen más de 20 años de eventos, que se han indexado en 13 jerarquías depalabras clave, incluidas la categoría Base y la línea de negocio. Otras jerarquíasincluyen el factor de control, el activador de eventos, el tipo de unidad de negocioy el tipo de entidad. Los casos de Algo Risk Content on Cloud incluyendescripciones detalladas que desglosan el evento para analizar la causa raíz,identificar desgloses de control, las lecciones aprendidas, la respuesta del equipode dirección y las consecuencias del evento. Los eventos también pueden incluirsecciones con detalles de respaldo que proporcionan una línea temporal al evento,información relevante sobre la institución en la que sucedió y otros detalles sobreel impacto de las pérdidas.
La mayoría de los eventos de Algo Risk Content on Cloud capturan informacióncuantitativa, así como análisis cualitativos detallados. Esta información cuantitativatoma la forma de importes de pérdida que se capturan en el momento del evento.
Algo Risk Content on Cloud ofrece una suscripción a un complemento de datosactualizado a diario con la base de datos de Algo Risk Content on Cloud en unformato compatible con la función FastMap. Los clientes de IBM OpenPages GRCPlatform pueden utilizar el complemento de datos FastMap de Algo Risk Contenton Cloud para proporcionar acceso a los usuarios finales a estudios de caso deAlgo Risk Content on Cloud dentro de la aplicación OpenPages GRC Platform.Una vez cargados los datos en OpenPages GRC Platform, los usuarios finalespueden explorar y asociar estudios de caso de Algo Risk Content on Cloud aobjetos como análisis de escenario, riesgos y eventos de pérdida. Consulte a surepresentante de IBM para obtener más información sobre cómo obtener elcomplemento de datos Algo Risk Content on Cloud para OpenPages GRCPlatform.
Si se suscribe al servicio de base de datos de Algo Risk Content on Cloud, AlgoRisk Content on Cloud proporciona un archivo FastMap compatible para una cargacontinua de datos de Algo Risk Content on Cloud en IBM OpenPages OperationalRisk Management.
De forma predeterminada, IBM OpenPages Operational Risk Management incluyeel perfil OpenPages FIRST Loss. Los usuarios con este perfil pueden cargar datosde FIRST Loss a través de la función IBM OpenPages FastMap. Para obtener másinformación sobre este perfil, consulte el apartado “Perfil OpenPages FIRST Loss”en la página 82.
Introducción vii
OpenPages Policy and Compliance ManagementIBM OpenPages Policy and Compliance Management es una solución de softwarede gestión de cumplimiento empresarial que reduce los gastos, la complejidad y elcarácter engorroso del cumplimiento de las diferentes normas y políticascorporativas.
IBM OpenPages Policy and Compliance Management permite a las empresasgestionar y supervisar las actividades de cumplimiento a través de un conjuntocompleto de funciones integradas, como:v Bibliotecas regulatorias y Gestión de cambiosv Evaluaciones de riesgo y controlv Gestión de políticas, incluidas la creación, revisión y aprobación de políticas y el
reconocimiento de políticasv Pruebas de control y solución de problemasv Gestión de interacciones con el reguladorv Seguimiento de incidenciasv Indicadores clave de rendimientov Informes, supervisión y análisis
En IBM OpenPages Policy and Compliance Management, IBM OpenPages GRCPlatform se admiten tres métodos:
Centrado en datosLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y procedimientos se crea, almacena,modifica y revisa en los visores de las políticas. No se admite el control decambios marcados con una raya roja dentro de las iteraciones del borrador.
Centrado en documentoLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y los procedimientos se crea fuera deOpenPages GRC Platform y el documento entero se adjunta al objetoPolítica. El contenido de la política o el procedimiento nunca se importa nise almacena en OpenPages GRC Platform.
HíbridoLos atributos de las políticas se almacenan como metadatos en el objetoPolítica. El contenido de las políticas y los procedimientos se crea y editaen documentos de Microsoft Word y después se importa y se almacena enOpenPages GRC Platform. La función de control de cambios disponible enMicrosoft Word se utiliza para realizar un seguimiento de los cambiosmarcados con una raya roja dentro de las iteraciones del borrador.
Para obtener más información, consulte el documento OpenPages GRC PlatformPCM Solution Details.
OpenPages IT GovernanceIBM OpenPages IT Governance alinea servicios de TI, riesgos y políticas coniniciativas, estrategias y estándares operativos corporativos.
IBM OpenPages IT Governance permite gestionar controles de TI internos y riesgosen función de los procesos empresariales que admitan. Asimismo, unifica varios
viii IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
silos de riesgos y conformidad de los departamentos de TI para proporcionar unamejor visibilidad, servir de base a la toma de decisiones y, en última instancia,mejorar el rendimiento de la empresa.
Sus principales características son:v Cumplimiento regulatorio y de las políticas por parte de los departamentos de
TIv Evaluaciones de riesgo y controlv Pruebas de control y solución de problemasv Gestión de recursos de TIv Seguimiento de incidenciasv Indicadores clave de rendimiento y de riesgov Informes, supervisión y análisis
Para obtener más información, consulte el documento OpenPages GRC Platform ITGSolution Details.
OpenPages Internal Audit ManagementIBM OpenPages Internal Audit Management proporciona a los auditores internosuna vista configurada de forma única del gobierno, los riesgos y el cumplimientonormativo de la organización, lo cual proporciona a la auditoría la oportunidad decomplementar y coexistir con actividades de gestión del cumplimiento normativo yde los riesgos más amplias.
Al igual que el resto de los módulos, IBM OpenPages Internal Audit Managementestá totalmente integrado con la gestión de los controles financieros, el gobiernodel departamento de TI, los esfuerzos en relación con las políticas y elcumplimiento normativo y los programas de gestión de riesgos operativos. Elequipo de auditoría interna tiene la capacidad de trabajar como un sociocompletamente integrado con los actores clave, de forma totalmente independienteo en una posición intermedia, en función de las necesidades concretas deldepartamento de auditorías o de lo que determine la auditoría en particular que seestá realizando.
Sus principales características son:v La capacidad de clasificar los riesgos del universo de auditoría, configurado en
función de su metodología de auditoría– Amplia compatibilidad con su metodología de evaluación de riesgos– Informes completos en la totalidad del universo de la auditoría
v Capacidad para definir, planificar, ejecutar e informar sobre las auditorías entoda la empresa– Seguimiento y gestión de auditorías, secciones de auditoría, informes y
requisitos y asignaciones de recursos de auditoría– Automatización de las operaciones a través de informes y un flujo de trabajo
totalmente configurablesv Capacidad de proporcionar una garantía independiente a la empresa o funcionar
como una parte integral de los esfuerzos de GRC– Opinión independiente sobre los esfuerzos de GRC del equipo de gestión– Control del acceso a auditorías, campos y vistas de solo auditoría
confidenciales
Introducción ix
Para obtener más información, consulte el documento OpenPages GRC Platform IAMSolution Details.
Gestión de problemas y correcciónEl proceso de Gestión de problemas y corrección (IMR) es un componente esencialde cualquier programa de gestión de riesgos. Una infraestructura IMR sólida ofrecereconocimiento, validación y transparencia al programa de gestión de riesgos alque da soporte.
Cuando se implementa de forma correcta, proporciona un alto valor con unasobrecarga mínima y sirve como estímulo subyacente para la continua mejora deun programa de gestión de riesgos. Una infraestructura IMR efectiva documenta,supervisa, corrige y audita los problemas identificados.
Los problemas son eventos que afectan de forma negativa a la gestión ynotificación de los riesgos de forma precisa. Estos eventos se identifican en relacióncon la infraestructura IMR documentada. Los problemas se pueden asociar conobjetos dentro de la infraestructura y tienen, por lo general, atributos como lapropiedad, la programación y el estado de corrección que identifican el área deconcentración. Un problema puede estar asociado con varios elementos principales.Por ejemplo, si se descubre un problema a través de un evento de pérdida, elproblema se puede asociar con el evento de pérdida, el riesgo que se ha producidoy cualquier control con error que se haya documentado.
El proceso IMR funciona en las siguientes actividades clave:1. Creación y asignación de problemas2. Creación y asignación de acciones3. Rendimiento de las correcciones4. Cierre del problema5. Elaboración de informes
Creación y asignación de problemas
Los problemas surgen como resultado de diferentes actividades de gestión deriesgos, como un evento de pérdida, una ruptura del umbral o la identificación deuna debilidad del control. A través de estas actividades, los usuarios pueden crearun problema dentro de IBM OpenPages GRC Platform.
Los problemas se añaden a través de la interfaz de usuario emisión; no se crean deforma automática como resultado de un factor causal.
Durante la creación, el estado del problema se define como pendiente. El creadordebe especificar un valor en el campo de fecha de vencimiento actual. La primeravez que se guarda un problema, la fecha de vencimiento actual se copia en uncampo de solo lectura que contiene la fecha de vencimiento original. Cuando secrea un problema, el propietario del problema (que no puede ser el creador) recibeuna notificación por correo electrónico.
Creación y asignación de acciones
Es responsabilidad del propietario del problema establecer y registrar las accionesadecuadas para resolver el problema identificado. Las acciones se creanmanualmente a través de la interfaz de usuario. Se capturan los siguientes datos
x IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
sobre un elemento de acción: descripción, responsable, fecha de inicio, fecha devencimiento, fecha de cierre real, estado (solo lectura) y comentarios.
Los responsables de la acción reciben una notificación de que deben realizar unaacción a través de Mis elementos de acción pendientes o por correo electrónico.
Rendimiento de las correcciones
Después de recibir la notificación, el asignado realiza la acción asignada. Algunasacciones pueden tardar algún tiempo en completarse, por lo que la personaasignada debe utilizar el campo Comentario para realizar un seguimiento delprogreso.
Cuando la acción ha finalizado, la persona asignada define el campo Enviar paracierre como Sí, lo cual copiará el campo del propietario del problema desde elproblema principal en la acción y definirá el estado de la acción como En esperade aprobación.
El cambio de estado traslada la acción a la página inicial del propietario delproblema para su revisión y aprobación.
Cierre del problema
El propietario del problema accede a una lista de acciones para aprobar el cierredesde la página de inicio o desde un correo electrónico.
Si la acción se rechaza y se guarda, el estado cambia a pendiente y la acción vuelvea la persona que tiene asignada la acción. Si la acción se acepta para su cierre y seguarda, el estado de la acción cambiará a cerrado y el campo Fecha de cierre serellenará con la fecha actual.
Una vez finalizadas las acciones, el propietario de la acción revisará el problema yactualizará el estado a Cerrado.
Elaboración de informes
Existen varios informes de problemas y de acciones a disposición de todos losusuarios. Asimismo, todas las notificaciones por correo electrónico se incluyen enun único boletín de problemas y acciones para los usuarios, incluida la siguienteinformación:v Problemas asignados al destinatario en los X últimos días.v Acciones asignadas al destinatario en los X últimos días.v Problemas previstos para cerrar en los próximos X días.v Acciones previstas para cerrar en los próximos X días.v Problemas vencidos.v Acciones vencidas.v Acciones a la espera de aprobación de cierre.
Para obtener más información, consulte el documento OpenPages GRC PlatformSolutions Issue Management and Remediation Details.
Introducción xi
Indicadores clave de riesgo e Indicadores clave de rendimiento (KRI yKPI)
Hay disponibles indicadores claves de riesgo (KRI) e indicadores clave derendimiento (KPI) para ls soluciones siguientes: IBM OpenPages Operational RiskManagement, IBM OpenPages Operational Risk Management y también IBMOpenPages IT Governance.
Las principales fases dentro del ciclo de vida de los indicadores clave son ladefinición, la creación de valor, la captura de valor y la elaboración de informes. Seproporciona la automatización siguiente en estas etapas para KRI y KPI paraofrecer soporte a un programa de gestión de métricas:
Definición de indicadorLos indicadores se pueden crear desde cero o basándose en indicadoresestándares de una biblioteca de indicadores.
Creación de valorLos objetos de valor de KRI y KPI se crean automáticamente mediante elprograma de utilidad de creación de valor, que normalmente se ejecuta deforma planificada. Un administrador puede ejecutar el programa deutilidad de creación de valor si no es posible ejecutar el trabajoprogramado de forma automática.
Captura de valorLas notificaciones sobre que es necesario especificar un valor se envían deforma automática al recopilador de indicadores activos del valor que seancercanos a su fecha de recopilación, a través de correos electrónicos y listasfiltradas de la página de inicio. Cuando se ha especificado y se haguardado el valor, los desencadenantes de KRI o KPI calculan elincumplimiento y otros valores de estado, los mantienen en el valor y en elindicador, y envían notificaciones al propietario del riesgo si el estado deincumplimiento pasa de verde o ámbar a rojo.
Informes de indicadorLos informes de panel de control de KRI y KPI muestran información deindicador de resumen de la entidad empresarial seleccionada y susdescendientes, con la posibilidad de examinar con mayor profundidad lainformación detallada y de tendencia de los valores del indicador.
Para obtener más información sobre los activadores de KRI y KPI, consulte eldocumento OpenPages GRC Platform Solutions Metrics Details. Para obtener másinformación sobre los informes de panel de control de KRI y KPI, consulte eldocumento OpenPages GRC Platform Solutions Report Details.
xii IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 1. Novedades
Hay disponibles nuevas características para esta publicación de las soluciones IBMOpenPages GRC Platform.
Para obtener información sobre las nuevas características de esta versión, consultela publicación IBM OpenPages GRC Platform New Features Guide.
Características nuevas de la versión 7.2.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de las soluciones de IBM OpenPages GRC Platform.
Los módulos se denominan ahora soluciones
El concepto conocido anteriormente como módulo se denomina ahora solución. Eltítulo de esta guía es ahora Guía de soluciones de IBM OpenPages GRC Platform.
IBM OpenPages Regulatory Compliance Management
La solución IBM OpenPages Regulatory Compliance Management (RCM) soportaque las organizaciones desglosen la normativa en un catálogo de requisitos,evaluando el impacto en el negocio y creando tareas de acciones. Como solución,permite a las empresas realizar las tareas siguientes:v Crear un catálogo de requisitos que satisfagan las obligaciones normativasv Comparar el entorno de control interno con las obligaciones normativasv Evaluar el nivel de conformidad de los controles internos respecto a los
requisitos normativosv Iniciar las actividades correctivas a partir de los resultados de evaluaciones de
conformidad
Las tablas para los elementos siguientes se actualizan para incluir nuevas columnasy filas relacionadas con RCM:v Tipos de objetov Subcomponentesv Tipos de objeto que contienen activadoresv Perfilesv Listas filtradas de la página de iniciov Vistas de actividadv Vistas de actividades para guiar el asistente Añadir nuevo
IBM OpenPages Model Risk Governance
La solución IBM OpenPages Model Risk Governance (MRG) soporta a lasempresas en la organización y centralización del inventario de modelo. Comosolución, proporciona una plataforma configurable y personalizable, permitiendo alas empresas realizar las tareas siguientes:v Organizar y mantener la lista de modelos de toda la empresa
1
v Documentar y realizar el seguimiento de los problemas asociados con losmodelos en una ubicación central
v Registrar las actividades de gobierno de gestión de cambios de modelov Planificar, seguir y gestionar las revisiones y validaciones de modelov Asignar roles y responsabilidades apropiadas para la gestión de riesgos de
modelo y propiedad de modelov Informar sobre problemas de inventario de modelo y de modelo
Las tablas para los elementos siguientes se actualizan para incluir columnas y filasnuevas relacionadas con MRG:v Tipos de objetov Subcomponentesv Notificacionesv Informesv Tipos de objeto que contienen activadoresv Perfilesv Listas filtradas de la página de iniciov Vistas de actividadv Vistas de actividades para guiar el asistente Añadir nuevo
Evaluaciones de cuestionarios
La introducción de evaluaciones de cuestionarios da soporte a las empresas con larecopilación, organización y centralización de la información que se recopila paralos usuarios de negocio. Los activadores de ciclo de vida soportan la revisión deevaluación de cuestionario. Se han añadido los objetos siguientes:v Evaluaciones de cuestionariosv Plantillas de cuestionariov Plantillas de secciónv Plantillas de subsecciónv Plantillas de preguntav Programas
Ciclos de vida en los incidentes
La introducción de los ciclos de vida en los objetos de incidente soporta a lasempresas en la modernización y estandarización de la manera en que se revisan einvestigan los incidentes.
Asistente para el informe de entrada de hoja de registro horariodel administrador
Se ha actualizado la sección sobre el ayudante de informe de entrada de hoja deregistro horario de administrador.
Para obtener más información, consulte “Asistente para el informe de entrada dehoja de registro horario” en la página 47 y “Asistente para el informe de entradade hoja de registro horario del administrador” en la página 47.
2 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Nuevas características de la versión 7.1.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de los módulos de IBM OpenPages GRC Platform.
Integración con OpenPages Capital Modeling
IBM OpenPages Operational Risk Management se integra con OpenPages CapitalModeling. La integración proporciona a los usuarios prestaciones e informes demodelado de capital. Los usuarios pueden recopilar, modelar y elaborar informesde forma simultánea sobre datos de riesgos operativos y capital. Los usuarioscargan datos (datos de pérdida internos y externos) de OpenPages GRC Platformen la aplicación Capital Modeling. Una vez que el proceso de modelado se hacompletado, los modelos se guardan en la aplicación OpenPages para elaborarinformes y analizarlos más a fondo.
Se incluyen los siguientes tipos de objeto:v Modelo de capitalv Resultado del modelo
Se incluyen los informes siguientes:v Contribución de capital por entidad empresarialv Contribución de capital por categoría de riesgo
Se han añadido Vistas de actividades al asistente Añadir nuevo
Se incluyen vistas de actividades de Añadir nuevo para los tipos de objetossiguientes:v Riesgov Controlv Informe de trabajo
Nuevas características de la versión 7.0.0En este tema se proporciona una descripción general de las principales funcionesnuevas y mejoras de IBM OpenPages GRC Platform.
Función de gestión de riesgos operativos mejorada
Se han añadido flujos de trabajo, automatización e informes nuevos a IBMOpenPages Operational Risk Management para proporcionar enfoque estándar alas siguientes prácticas:v Eventos de pérdidav Evaluación de riesgos y autocontrolv Indicadores claves de riesgov Indicadores clave de rendimientov Análisis de escenariov Análisis de datos de pérdidas externasv Gestión de problemas y corrección
Capítulo 1. Novedades 3
Visualizaciones
Como analista de riesgos o gestor de conformidad, puede representar gráficamenteel proceso empresarial y comunicarlo a otros usuarios del análisis de riesgo. Puedecrear visualizaciones interactivas para comunicar información sobre los flujos deproceso y la estructura jerárquica de Entidad empresarial.
Se incluyen los siguientes tipos de objeto:v Diagrama de procesov Entrada de datosv Salida de datos
4 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 2. Tipos de objeto
Las soluciones de IBM OpenPages GRC Platform constan de diferentes tipos deobjetos.
El documento OpenPages GRC Object Model Details proporciona información acercade las relaciones entre tipos de objeto para cada solución.
En la tabla siguiente se muestran los tipos de objeto disponibles para cada solucióny si se han habilitado o inhabilitado de forma predeterminada. En los casos en quese muestra una celda vacía, indica que el tipo de objeto no está disponible para esasolución.
Se utilizan los siguientes acrónimos en la tabla:v RCM = IBM OpenPages Regulatory Compliance Managementv MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform
Tipo de objeto RCM MRG FCM ORM PCM ITG IAM
Firma Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Hito Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Elemento de la acción delhito
Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Problema Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Elemento de acción Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Archivo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Vínculo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Entidad empresarial Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Proceso Habilitado Habilitado Habilitado Habilitado Habilitado
Subproceso Habilitado Habilitado Habilitado Habilitado Habilitado
Riesgo Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Control Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Plan de prueba Habilitado Habilitado Habilitado Habilitado Habilitado
Resultado de la prueba Habilitado Habilitado Habilitado Habilitado Habilitado
Evaluación de riesgos Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Diagrama de proceso Habilitado Habilitado Habilitado Habilitado Habilitado
Entrada de datos Habilitado Habilitado Habilitado Habilitado Habilitado
Salida de datos Habilitado Habilitado Habilitado Habilitado Habilitado
Objetivo de control Inhabilitado Inhabilitado Inhabilitado Inhabilitado Inhabilitado
5
Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform (continuación)
Tipo de objeto RCM MRG FCM ORM PCM ITG IAM
Cuenta Habilitado
Subcuenta Habilitado
Declaración Inhabilitado
Evaluación del proceso Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado
Evaluación de riesgos Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado
Evaluación de control Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado
Análisis de evaluación deriesgos
Inhabilitado Habilitado Inhabilitado Inhabilitado Inhabilitado
Cuestionario Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado
Sección Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado
Pregunta Inhabilitado Habilitado Habilitado Inhabilitado Inhabilitado
Evaluación decuestionario
Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Plantilla de cuestionario Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Plantilla de sección Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Plantilla de subsección Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Plantilla de preguntas Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Programa Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Grupo de preferencia Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Preferencia Habilitado Habilitado Habilitado Habilitado Habilitado Habilitado
Pérdida de FIRST Habilitado
Evento de pérdida Habilitado
Impacto de pérdida Habilitado
Recuperación depérdidas
Habilitado
Pérdida de ORIC Habilitado
Pérdida de ORX Habilitado
Análisis de escenario Habilitado
Resultado de escenario Habilitado
Modelo de capital Habilitado
Resultado del modelo decapital
Habilitado
Centro de costes Inhabilitado
KRI Inhabilitado Habilitado Habilitado
Valor de KRI Inhabilitado Habilitado Habilitado
KPI Inhabilitado Habilitado Habilitado
Valor de KPI Inhabilitado Habilitado Habilitado
Incidente Habilitado Habilitado
Renuncia Habilitado Habilitado
Mandato Habilitado Habilitado Habilitado Habilitado
Submandato Habilitado Habilitado Habilitado Habilitado
6 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform (continuación)
Tipo de objeto RCM MRG FCM ORM PCM ITG IAM
Requisito Habilitado Habilitado Habilitado Habilitado
Evaluación de requisito Habilitado
Valor de evaluación derequisito
Habilitado
Tema de conformidad Habilitado
Plan de conformidad Habilitado
Proyecto Habilitado
Directiva Habilitado Habilitado Habilitado Habilitado
Procedimiento Habilitado Habilitado Habilitado Habilitado
Evaluación de control Habilitado
Testificación Habilitado
Campaña Habilitado
Empleado Habilitado Habilitado
Comentario de revisiónde política
Habilitado
Autoridad reguladora Habilitado Habilitado
Interacción con laautoridad reguladora
Habilitado
Categoría de RI Habilitado
Solicitud de RI Habilitado
Aplicabilidad delreglamento
Habilitado Habilitado
Cambio regulador Habilitado Habilitado
Tarea reguladora Habilitado Habilitado
Iniciativa reguladora Habilitado
Plan de control Habilitado
Línea base Habilitado
Recurso Habilitado
Enlace a recursos Habilitado
Entidad auditable Habilitado
Auditoría Habilitado
Sección de auditoría Habilitado
Informe de trabajo Habilitado
Conclusión Habilitado
Planificación Habilitado
Hoja de registro horario Habilitado
Auditor Habilitado
Comentario de revisiónde auditoría
Habilitado
Desafío
Solicitud de cambio
Capítulo 2. Tipos de objeto 7
Tabla 1. Tipos de objetos en las soluciones de IBM OpenPages GRC Platform (continuación)
Tipo de objeto RCM MRG FCM ORM PCM ITG IAM
Comité
Documentación
Métrica
Valor de métrica
Modelo
Entrada de modelo
Enlace de modelo
Informe de modelo
Sección de informe
Revisar
Uso
Salida de modelo
Correlación de nombres de objetoEn este tema se enumeran las etiquetas de tipo de objeto predeterminadascorrelacionadas con nombres de objeto.
Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto
Icono Nombre del objeto Etiqueta de tipo de objeto
assertion Declaración
Attestation Testificación
AuditableEntity Entidad auditable
Auditor Auditor
AuditPhase Sección de auditoría
AuditProgram Auditoría
Campaign Campaña
CapitalModel Modelo de capital
CapitalModelResult Resultado del modelo de capital
Desafío Desafío
ChangeRequest Solicitud de cambio
Comité Comité
CompliancePlan Plan de conformidad
ComplianceTheme Tema de conformidad
CostCenter Centro de costes
CtlEval Evaluación de control
8 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto (continuación)
Icono Nombre del objeto Etiqueta de tipo de objeto
DataInput Entrada de datos
DataOutput Salida de datos
Documentation Documentación
Employee Empleado
Finding Conclusión
FIRSTLoss Pérdida de FIRST
Incident Incidente
KeyPerfIndicator KPI
KeyPerfIndicatorValue Valor de KPI
KeyRiskIndicator KRI
KeyRiskIndicatorValue Valor de KRI
LossEvent Evento de pérdida
LossImpact Impacto de pérdida
LossRecovery Recuperación de pérdidas
Mandato Mandato
Metric Métrica
MetricValue Valor de métrica
Model Modelo
ModelInput Entrada de modelo
ModelLink Enlace de modelo
ModelOutput Salida de modelo
ModelReport Informe
ORICLoss ORIC Loss
ORXLoss ORX Loss
Planificación Planificación
Política Política
PolicyReviewComment Comentario de revisión de política
Preferencia Preferencia
PrefGrp Grupo de preferencias
Procedimiento Procedimiento
ProcessDiagram Diagrama del proceso
Capítulo 2. Tipos de objeto 9
Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto (continuación)
Icono Nombre del objeto Etiqueta de tipo de objeto
ProcessEval Evaluación del proceso
Program Programa
Project Proyecto
ProjectActionItem Elemento de la acción del hito
Qsection Sección
Búsqueda Pregunta
Cuestionario Cuestionario
QuestionnaireAssessment Evaluación de cuestionario
QuestionnaireTemplate Plantilla de cuestionario
QuestionTemplate Plantilla de preguntas
RAEval Análisis de evaluación de riesgos
RegApp Aplicabilidad del reglamento
RegChange Cambio regulador
RegInt Interacción con la autoridadreguladora
Register Registro
RegTask Tarea reguladora
Autoridad reguladora Autoridad reguladora
RegulatoryInitiative Iniciativa reguladora
ReportSection Sección de informe
Requirement Requisito
RequirementEvaluation Evaluación de requisito
RequirementEvaluationValue Valor de evaluación de requisito
Recurso Recurso
ResourceLink Enlace a recursos
Review Revisión
ReviewComment Comentario de revisión de auditoría
RICat Categoría de RI
RIReq Solicitud de RI
RiskAssessment Evaluación de riesgos
RiskEntity Plan de control
10 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 2. Etiquetas de tipo de objeto correlacionadas con nombres de objeto (continuación)
Icono Nombre del objeto Etiqueta de tipo de objeto
RiskEval Evaluación de riesgos
RiskSubEntity Línea base
ScenarioAnalysis Análisis de escenario
ScenarioResult Resultado de escenario
SectionTemplate Plantilla de sección
SOXAccount Cuenta
SOXBusEntity Entidad empresarial
SOXControl Control
SOXControlObjective Objetivo de control
SOXDocument Archivo
SOXExternalDocument Vínculo
SOXIssue Problema
SOXMilestone Hito
SOXProcess Proceso
SOXRisk Riesgo
SOXSignature Firma
SOXSubaccount Subcuenta
SOXSubprocess Subproceso
SOXTask Elemento de acción
SOXTest Plan de prueba
SOXTestResult Resultado de la prueba
Submandato Submandato
SubSectionTemplate Plantilla de subsección
Hoja de registro horario Hoja de registro horario
Usage Uso
Waiver Renuncia
Informe de trabajo Informe de trabajo
Descripciones de tipos de objetoLas soluciones de IBM OpenPages GRC Platform constan de diferentes tipos deobjetos.
Capítulo 2. Tipos de objeto 11
CuentaLas cuentas corresponden a uno o varios elementos de línea de un informefinanciero. Cada cuenta se ve afectada por procesos repetidos. Estosprocesos pueden introducir riesgos que deben documentarse durante elproyecto de documentación de controles financieros. Una cuenta seidentifica como significativa en función de factores como el tamaño, lacomplejidad de los procesos que funcionan en ala cuenta o si la cuenta estáasociada con nuevas líneas de producto dentro del negocio. Los riesgosque podrían materializarse y que producen un efecto material sobre lacuenta se identifican mediante la consideración de los procesos que operanen la cuenta.
DeclaraciónEl objeto de declaración se utiliza para vincular objetos de control a objetosde cuenta (o subcuenta). Una práctica común es almacenar el tipo dedeclaración que abarca el control como un campo de datos del objeto dedeclaración.
TestificaciónEl objeto de testificación, que forma parte de la función de reconocimientode la directiva, se utiliza para capturar la afirmación de un empleado deque ha leído y comprendido una directiva. Un elemento principal primariode la declaración es el registro del empleado y un elemento principalsecundario es la campaña asociada.
AuditoríaUna auditoría representa cada ejecución de una auditoría a una entidadauditable. Por ejemplo, si una entidad auditable se audita cada dos años,es necesario crear una instancia de auditoría secundaria independientepara cada período de dos años, por ejemplo 2006 y 2008. Una organizaciónpuede auditar varios procesos. Por ejemplo, puede auditar una entidad, unrequisito regulador determinado o la seguridad física de un centro dedatos.
El objeto de auditoría se configura como un tipo de objeto autocontenido yse crea de forma automática una carpeta para cada instancia de auditoría.Esta configuración permite copiar auditorías de plantillas y componentesde auditoría desde una biblioteca a la jerarquía de auditoría sin que seproduzcan conflictos con los nombres de los objetos.
La planificación y programación de los recursos de auditoría se realiza enel nivel de auditoría.
Se puede realizar un seguimiento del progreso de las auditorías de nivelgeneral supervisando los valores de estado y de fecha en la auditoría. Loshitos clave de la auditoría se pueden supervisar añadiendo campos querepresenten las fechas de finalización de cada uno de esos hitos claveobjeto de control.
Utilice el objeto de auditoría para gestionar el proceso de auditoría en todala empresa. La auditoría identifica un punto de retención para capturarinformación, por ejemplo, el ámbito, los objetivos, la información detemporización y los roles de revisión, ejecución y aprobación. Puederealizar un seguimiento de un subconjunto de las auditorías que estárealizando en un determinado horizonte de planificación o todas lasauditorías en el universo de auditoría.
Comentario de revisión de auditoríaEl tipo de objeto de comentario de revisión de auditoría se utiliza paraproporcionar comentarios durante el proceso de revisión de una auditoría
12 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
y de sus componentes. Se asocia como un elemento secundario a lainstancia de la auditoría, sección, informe o conclusión para la que seproporcionan comentarios.
Sección de auditoríaLas secciones de auditoría se pueden utilizar para representar las fases dela auditoría, los programas de trabajo dentro de la auditoría u otroscomponentes de la auditoría como, por ejemplo, el nivel deseado degranularidad.
Las organizaciones pueden tener varios componentes estándar para cadaauditoría. Se pueden crear en una biblioteca auditorías de plantilla queincluyan secciones para cada componente estándar. Las fechas de inicio yfinalización planificadas y reales de estas secciones se utilizan paranotificar el progreso en relación a una serie de hitos clave en las auditorías.
Se puede realizar un seguimiento detallado del progreso de una auditoríaincluyendo una sección de auditoría para cada hito. También, algunasorganizaciones pueden añadir campos a la auditoría que representen fechasde finalización de cada uno de los hitos clave de los que desean realizar unseguimiento.
Aunque las secciones de la auditoría se pueden utilizar para planificar yprogramar recursos de auditoría, la mayoría de las organizacionesencontrarán que este método es demasiado detallado.
Entidad auditableUn objeto de entidad auditable es un elemento secundario de una entidadde negocios. Se establece una jerarquía de entidades de negocios deauditoría internas y se crean todas las entidades auditables como unelemento secundario del objeto de la entidad de negocios de auditoríainterna. Las entidades auditables que se alinean con los elementos de lajerarquía organizativa de las entidades de negocios también se asocian conesas entidades de negocios.
Una entidad auditable representa un elemento único del universo deauditoría; la colección de elementos del negocio que se pueden auditar. Lamayoría de las entidades auditables representan entidades de negocios olegales, pero también pueden representar procesos, proyectos a largo plazoo iniciativas, programas de cumplimiento o servicios de TI compartidos.
Todos los años se establece una clasificación de los riesgos para lasentidades a fin de determinar la prioridad de la realización de unaauditoría ese año. Se calcula una puntuación de riesgo ponderada, pero lapuntuación se puede sustituir.
AuditorLa planificación y asignación de recursos necesita información clave sobrecada individuo que puede realizar el trabajo de auditoría. El objeto delauditor se utiliza para crear una agrupación de auditores que puedenasignarse a las auditorías.
Cada usuario que tiene asignado un trabajo de auditoría está representadocomo una instancia de auditor. Los auditores están en este momentodisponibles para la asignación de recursos. El objeto de auditor incluyeatributos que sirven para evaluar y seleccionar auditores para encargarlesauditorías, por ejemplo, especialidades, idiomas y certificaciones. Losobjetos de auditor se asocian con el componente pertinente de la jerarquíaorganizativa de auditorías internas. Se recomienda hacer coincidir elnombre del objeto del auditor con el nombre de usuario.
Capítulo 2. Tipos de objeto 13
Línea baseUn tipo de objeto de línea base representa una plantilla de requisitos debiblioteca. Es autónomo, lo que significa que las carpetas se crean paracada línea base. Las líneas base de la biblioteca representan elementos delentorno operativo de TI. Están vinculadas a los requisitos de ese tipo deelemento. El objeto de línea base se copia desde la biblioteca a la jerarquíaempresarial, se realiza una asociación con un requisito de la biblioteca y lostipos de objeto de riesgo, control y prueba se crean como objetossecundarios. Los objetos de riesgo, control y prueba se rellenan con datosprocedentes del requisito.
Por ejemplo, un objeto de línea base representa una colección de objetos derequisito de un centro de datos con información identificablepersonalmente (PII) y una clasificación de datos confidenciales. Para cadaobjeto de requisito, recomendamos definir qué debe controlarse (objeto deriesgo) y cómo debe controlarse (objeto de control). También puedeestablecer una práctica para verificar la eficacia del control (objeto deprueba).
Entidad de negociosLas entidades de negocios son representaciones abstractas de su estructurade negocios. Una entidad de negocios puede incluir subentidades (comodepartamentos, unidades de negocio o ubicaciones geográficas). Laestructura de la entidad que cree dependerá de sus necesidadesempresariales. Por ejemplo, puede crear una entidad principal para lasoficinas centrales de su negocio y una subentidad para cada ubicación odepartamento. También es posible que desee representar una estructura deentidades legales y otra de entidades de negocios.
Las entidades de negocios también se utilizan para organizar datos debiblioteca, como las bibliotecas de control y de riesgos o el contenidoregulador (por ejemplo, leyes, reglamentos y estándares).
Al configurar su jerarquía de entidades de negocios, trabaje con su asesorde IBM OpenPages GRC. La estructura de las entidades de negocios afectaal tipo y calidad de la información que se pueden extraer de la aplicación.
En IBM OpenPages Internal Audit Management, las entidades de negociostambién modelan la estructura organizativa de la auditoría interna, quefacilita la elaboración de informes y la seguridad al equipo de auditoríasinternas. La estructura organizativa de la auditoría interna es una entidadde nivel superior para minimizar la probabilidad de otorgar de formaaccidental acceso a un usuario empresarial a información de auditoríainterna. Los elementos del universo de auditoría que son propiedad de unequipo de auditoría interna se asocian con la entidad de negocios delequipo. Se puede crear otra estructura de entidad de negocios de nivelsuperior para organizar auditorías confidenciales, lo que otorga unaseguridad especial a estas auditorías. También se puede utilizar unaentidad de negocios para organizar un biblioteca de plantillas decontenidos de auditorías.
CampañaEl objeto Campaña forma parte de la función de reconocimiento depolíticas y se utiliza para gestionar los aspectos de gestión de proyectosrelacionado con una campaña de reconocimiento. También se utiliza paradefinir los requisitos y los criterios que identifican qué empleadosnecesitan leer y testimoniar una política. Las campañas se crean por logeneral en la jerarquía de políticas publicadas.
14 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Modelo de capitalEl modelo de capital es el modelo creado en la aplicación IBM OpenPagesCapital Modeling que calcula el capital de riesgo operativo para unaunidad de medida concreta, ya sea entidad de negocios o Categoría deriesgo. El Modelo de capital se puede construir utilizando datos depérdidas internas, datos de escenario o datos de pérdidas externas que serecopilan en IBM OpenPages Operational Risk Management. El Modelo decapital consta de una distribución de frecuencia con sus parámetrosasociados, la distribución de gravedad que mejor se ajuste y susparámetros asociados y las estimaciones de capital de riesgo operativoresultantes a diferentes percentiles. Hay tres tipos de modelos de capital,dependiendo de los datos que se hayan utilizado para construir el modeloy el número de modelos utilizados. Los modelos únicos se construyen a unnivel más granular (normalmente entidad de negocios y Categoría deriesgo) utilizando datos de escenarios (Modelo de escenario), datos depérdidas internas (Modelo de pérdidas internas) o datos de pérdidasexternas FIRST (Modelo de pérdida FIRST). Los modelos combinados seconstruyen utilizando los modelos únicos guardados anteriormente y seutilizan para crear estimaciones de capital a niveles superiores, porejemplo, entre entidades de negocios o Categorías de riesgo. IncluyenModelos independientes, que supone que no hay dependencia entre losmodelos individuales seleccionados y los Modelos correlacionados, quesupone una estructura de dependencia entre los modelos individualesseleccionados. El tipo de objeto del modelo de capital guardado muestraparámetros de distribución de frecuencia, los parámetros de distribución degravedad que mejor se ajustan, así como los resultados de la distribuciónde pérdidas agregadas y otra información descriptiva sobre el modelo.También se guarda un archivo adjunto zip junto con el tipo de objetoModelo de capital. La aplicación OpenPages Capital Modeling lee esteadjunto a archivo para visualizar los modelos guardados. Contiene toda lainformación sobre el modelo, incluidos los parámetros integrados,resultados, así como todos los puntos de datos integrados generados apartir de la simulación Monte Carlo.
Resultado del modelo de capitalEl objeto de resultado del modelo de capital es la estimación de capital deriesgo operativo resultante o la distribución de pérdida agregada resultantede la simulación de la frecuencia seleccionada que mejor se ajusta y lasdistribuciones de gravedad. Cada Resultado del modelo de capital seasocia a un objeto Modelo de capital. Para Modelos únicos (Modelos deescenario, Modelo de pérdidas internas, Modelo de pérdidas FIRST), sevisualiza un Valor en riesgo individual (VaR) a diferentes percentiles (elnúmero y valor de los percentiles se puede configurar). Para los Modelosindependientes y correlacionados, el capital se muestra para VaRindividual, ESF aditivo (Déficit esperado) y VaR aditivo a diferentespercentiles (el número y valor de los percentiles se puede configurar).
Desafío
El objeto de desafío se puede utilizar para almacenar y demostrar lapresencia de un desafío en cualquier parte del inventario de modelo. Segenera un desafío y se registra la respuesta. El objeto de desafío es un hijode los objetos de modelo y uso.
Solicitud de cambio
El objeto de solicitud de cambio es hijo de los objetos de modelo y uso ypermite la creación y el seguimiento de las actividades de gobierno
Capítulo 2. Tipos de objeto 15
relacionadas con los cambios en los modelos y los despliegues. El objeto desolicitud de cambio captura datos tales como tipo de cambio, descripciónde cambio y estado. También permite registrar los pasos clave deaprobación y gobierno en el ciclo de vida de solicitud de cambio.
Comité
El objeto de comité es hijo de la entidad de negocios y permite a unaorganización representar grupos de gobierno y comités. Estos se puedenalinear con los usos y también pueden ser padre del objeto Empleado. Elobjeto Comité puede almacenar información como Términos de referenciapara un comité, frecuencia de reuniones y detalles sobre el presidente.
Plan de conformidadLos objetos de plan de conformidad permiten crear un plan general paraencargarse de los requisitos normativos en una configuración estructurada.Se pueden agrupar uno o varios temas de conformidad en un plan deconformidad general para la organización.
Tema de conformidadLos objetos de tema de conformidad permiten a los usuarios organizarrequisitos normativos en temas para realizar evaluaciones. Este objetopermite evaluar los requisitos de conformidad más allá del enfoque deentidad de negocios típico, agrupando requisitos normativos en temas querepercuten en toda la organización. Los temas pueden incluir, por ejemplo,privacidad de datos, gobierno y responsabilidad.
ControlLos controles son políticas y procedimientos que garantizan la ejecución derespuestas para mitigar el riesgo.
Una vez identificados los riesgos que llevan consigo sus prácticas,establezca controles, como aprobaciones, autorizaciones y verificaciones.Estos controles eliminan, limitan o transfieren estos riesgos.
Los controles proporcionan prevención o detección de riesgos. Loscontroles están asociados con pruebas que garantizan que un control eseficaz. Por ejemplo, el departamento de recursos humanos identifica unriesgo en el nuevo proceso de contratación. El proceso no cumple con lanormativa ni las directrices relativas a la diversidad y a la discriminación.Defina controles para mitigar este riesgo, por ejemplo, establezca políticasy procedimientos de contratación y lleve a cabo unos cursos de formaciónobligatorios para los encargados de la contratación.
En IBM OpenPages Internal Audit Management, utilice Controles paracrear un modelo detallado de controles que existen o que desea aplicar alas actividades objeto de la auditoría. Si se comparten con la empresa, loscontroles se pueden puntuar de manera independiente por la auditoríainterna y la empresa.
Evaluación de controlLos objetos de evaluación de control son similares a los objetos deevaluación de riesgos excepto en que se crean como hijos de los controles.Almacenan datos de evaluación de control. Cuando los períodos de losinformes y los ciclos de análisis de evaluaciones de control, utilice losobjetos de evaluación de control para capturar varios ciclos de evaluaciónen un único período de elaboración de informes.
Objetivo de controlUn objetivo de control es un objeto de evaluación que define las categoríasde riesgo de un proceso o un subproceso.
16 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Los objetivos de control definen las categorías de cumplimiento de COSOpara mitigar los cuales están pensados los controles. Los objetivos decontrol se pueden clasificar en categorías como Cumplimiento, Informesfinancieros, Estrategias, Operaciones o Desconocido.
Una vez identificado un objetivo de control, se pueden definir los riesgosque pertenecen a ese objetivo de control. En la mayoría de casos, cadaobjetivo de control tiene un riesgo asociado con él. Sin embargo, es posibleque haya más de un riesgo asociado con él. Por ejemplo, una empresa deservicios financieros emplea a vendedores que son conscientes de que esobligatorio tener unas ciertas normas éticas. El departamento de RRHHconfigura un objetivo de control denominado el Personal'. Un riesgoasociado con el objetivo de control es: “Los empleados hacen operacionescomerciales que entran en conflicto con los objetivos de la empresa encuanto a la ética comercial y el comercio justo”.
De forma predeterminada, se inhabilita un objetivo de control de gestiónde auditoría interna de OpenPages. Este objeto no se utiliza con frecuencia,salvo para alinearlo con otras soluciones que pueden utilizarlo.
Plan de controlUn plan de control es un tipo de objeto autónomo; esto significa que secrean carpetas para cada plan de control. Agrupa varias líneas base pararepresentar elementos en el entorno operativo cuyo riesgo se puedeevaluar. Actúa como contenedor de una colección de objetos de línea baseque realizan juntos una función o forman parte de un servicio de TI. Porejemplo, un objeto de plan de control podría representar los servidores, lossistemas operativos, las aplicaciones, las bases de datos, el personal deservicio técnico y las instalaciones que proporciona el correo electrónicocorporativo.
Centro de costesLos objetos de centro de costes se utilizan para agrupar eventos de pérdidaen una entidad de negocios. En muchos casos, las firmas desean realizarun seguimiento de dónde se producen los eventos de pérdida con un altogrado de detalles, por ejemplo, a nivel de centro de costes, pero no deseanrepresentar todas las capas organizativas como entidades de negocios.
Entrada de datos, salida de datosLos objetos Entrada de datos y Salida de datos son elementos secundariosdel proceso y solo pueden tener asociaciones con riesgos existentes.Representan elementos de un flujo para representar una entrada en el flujoempresarial o una salida procedente de las diferentes actividades dentro deun proceso, como la ejecución de un informe, la actualización de unsistema CRM o la obtención de un origen de datos externo.
Documentación
Los objetos de documentación permiten a un usuario capturar contexto detexto enriquecido de gran volumen que normalmente se asocia con eldesarrollo, el despliegue y la revisión de modelos. Mediante el uso de unobjeto independiente del modelo, los objetos de documentación se puedenasociar fácilmente con varios modelos o revisiones. También se puedenasociar con objetos de sección de informe en el proceso de informe demodelo. Los tipos de documentación incluyen (pero no están limitados a)suposiciones, teoría y metodología, contenido de desarrollo y datos. Elobjeto de documentación se alinea con el enfoque centrado en los datospara modelar la documentación.
Capítulo 2. Tipos de objeto 17
EmpleadoEl objeto de empleado forma parte de la función de reconocimiento depolítica. Se utiliza para capturar información sobre empleados individuales,como el nombre, el cargo, el correo electrónico, la región, el departamento,el estado, etc. La información del perfil del empleado se coteja después conlos requisitos de testificación definidos en una campaña para determinarqué empleados necesitan testificar sobre cada política. Los datos deempleado normalmente se derivan de la exportación de un sistema deRRHH, que se carga en línea a través de FastMap, y residen en la entidadde negocios del empleado de referencia. Se recomienda que el campo delnombre del empleado coincida con el nombre del usuario.
ArchivoEl tipo de objeto de archivo se utiliza para incorporar una referencia a unarchivo (como un documento, un diagrama de flujo o una hoja de cálculo)en el sistema IBM OpenPages y asociarla con uno o varios objetospertinentes.
ConclusiónLas conclusiones se pueden utilizar para representar observacionesnotificables a la empresa, al comité de auditoría o a ambos. Asimismo, lasconclusiones se pueden utilizar para representar observaciones basadas enlos hechos individuales, en tanto que los problemas se utilizan pararepresentar temas consolidados y problemas sistemáticos, que se notifican acontinuación a la empresa, al comité de auditoría o a ambos.
Una conclusión representa algo que se ha descubierto en el curso de unaauditoría que necesita una explicación y una investigación por parte delequipo directivo. Puede utilizar una conclusión para realizar unseguimiento de los progresos del equipo directivo respecto a lainvestigación del problema subyacente identificado. El objeto Problema sepuede utilizar en lugar de, o en combinación con, el objeto Conclusión.
FIRST LossLos objetos FIRST Loss se pueden importar desde la base de datos depérdidas externas FIRST para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital. Los objetos FIRST Loss se organizan con frecuencia por categoríasde pérdida, como líneas de producto o tipos de evento. Por ejemplo, utiliceuna entidad de negocios para crear una jerarquía de datos de pérdidasFIRST. Denomine al objeto raíz 'FIRST-data,' y cree carpetas de categoríabajo la raíz. Vincule pérdidas externas al objeto.
IncidenteUn incidente es un caso que tiene un efecto adverso potencial en suempresa. Cree un objeto de incidente para registrar información, como lapersona responsable de investigar el incidente y otros datos relacionados.El objeto Incidente se utiliza con los ciclos de vida para facilitar el análisisde incidentes. Las categorías que se refieren a los incidentes sonConformidad con la normativa, Conformidad legal, Información deseguridad y TI. Los incidentes se almacenan en la entidad de negocios o enel recurso de TI donde se ha producido el evento y se asocian de formasecundaria con un mandato o política afectados.
Problema, Elemento de acciónAunque los problemas se generen en áreas en las que no se implementencontroles internos, utilice el objeto Problema para documentar un problemaasociado con cualquier tipo de objeto. Por ejemplo, una prueba se ha
18 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
asociado con un control, pero la prueba ha fallado la última vez que se hacompletado. Este problema potencial se puede resaltar capturándolo en unobjeto de problema.
Un problema se resuelve a través de elementos de acción. Puede utilizarun elemento de acción o una serie de elementos de acción para formar unplan de acción. Cada elemento de acción se asigna a un usuario para suresolución y seguimiento del progreso. Después de que todos los elementosde acción de un problema hayan finalizado (cuando el responsable leshaya asignado el valor 100 %), cierre el problema.
En OpenPages Internal Audit Management, se pueden utilizar problemas yelementos de acción en lugar de conclusiones.
KPI, Valor de KPILos KPI (Indicadores clave de rendimiento) son componentes del procesode supervisión de riesgos y se utilizan para proporcionar indicadorespasados y futuros de las condiciones de riesgo potencial. Cada instancia deun KPI dentro de la organización puede tener límites exclusivos de destinoy de umbral. El tipo de objeto Valor de KPI registra el valor de un objetoKPI en un determinado punto. Cree un objeto KPI y después cree de formaperiódica (a diario, semanalmente, mensualmente) un objeto Valor de KPIpara poder detectar las tendencias.
KRI, Valor de KRILos KRI (Indicadores clave de riesgo) son componentes del proceso desupervisión de riesgos y se utilizan para proporcionar indicadores pasadosy futuros de las condiciones de riesgo potencial. Cada instancia de un KRIdentro de la organización puede tener límites exclusivos de destino y deumbral. Los valores de KRI se utilizan para registrar el valor real de unindicador en un determinado punto en el tiempo.
VínculoEl tipo de objeto de vínculo se utiliza para incorporar una referencia a unURL en el sistema OpenPages y asociarla con uno o varios objetospertinentes.
Evento de pérdidaLos eventos de pérdida se utilizan para realizar un seguimiento de laspérdidas operativas que se producen en cualquier parte de unaorganización. Los eventos de pérdida se almacenan por lo general en laentidad de negocios en la que se ha producido la pérdida. Los objetos deevento de pérdida se utilizan para realizar un seguimiento, evaluar ygestionar los datos de pérdidas internas relacionadas. Puede añadir variosimpactos y recuperaciones a cada evento de pérdida utilizando los objetosImpacto de pérdida y Recuperación de pérdida.
Impacto de pérdidaUn impacto de pérdida es un consecuencia financiera y de otro tipoderivada de un evento de pérdida. Los impactos de pérdidas realizan unseguimiento de los impactos iniciados por un evento de pérdida, como laresponsabilidad legal, pérdida o daños en los activos o una interrupción dela actividad del negocio. Puede haber varios impactos de pérdida asociadoscon cada evento de pérdida.
Recuperación de pérdidasLos objetos de recuperación de pérdidas se utilizan para realizar unseguimiento de los procesos asociados con la recuperación de los dañosque son consecuencia de eventos de pérdida.
Capítulo 2. Tipos de objeto 19
MandatoLos mandatos representan elementos externos que las organizacionesdeben cumplir, por ejemplo, leyes, normas y estándares. La configuraciónpredefinida admite directamente los contenidos proporcionados porDeloitte y UCF y se puede adaptar para admitir los contenidos de otrosproveedores. Los mandatos se representan en una estructura de entidadesde negocios por biblioteca y no se replican para todo el sistema. Porejemplo, una empresa de seguros tiene un objeto de mandato para HIPAAy otro para GLBA. El mismo mandato se puede asociar con gruposdiferentes dentro de la organización. Los mandatos de privacidad, porejemplo, se pueden aplicar a los departamentos de nóminas, servicios deseguros, legales y de TI. El mandato también soporta el contenido para laconformidad con la normativa. La normativa se puede extraer de IBMRegulatory Compliance Analytics y llenarse como mandatos para IBMOpenPages Regulatory Compliance Management.
Métrica, Valor de métrica
El objeto de métrica registra la definición de una medición de rendimientoque la organización elige seguir. Un usuario establece el tipo de métrica,los umbrales amarillo y rojo y otra información de colección. Una métricaes un hijo de los objetos de entidad de negocios, uso y modelo.
El objeto de valor de métrica registrar el resultado de la medición derendimiento de métrica. Se ha diseñado para permitir a la organizaciónalmacenar resultados de series temporales de medición.
Hito, Elemento de acción de hitoUn hito representa un punto significativo en el desarrollo de su proyecto.Puede asociar hitos a fechas específicas o utilizarlos para señalar lafinalización de una parte del proyecto completo. Los hitos pueden contenerotros hitos o elementos de acción de hito. No puede asociar un hito conotros objetos en la jerarquía de objetos.
Un elemento de acción de hito es un objetivo específico que debefinalizarse para alcanzar un hito. En general, todos los elementos de acciónde hito asociados con un hito deben finalizarse para poder alcanzar unhito. Cuando se le asigne un objeto de elemento de acción de hito, semostrará (si se ha configurado) en la sección Mis elementos de acción dehito de su ficha Mi trabajo.
Modelo
El objeto de modelo proporciona la representación de los modelos en unaorganización. A un nivel teórico, un modelo como método cuantitativo, unsistema o un enfoque que aplica teorías estadísticas, económicas,financieras o matemáticas, técnicas y suposiciones para procesar datos deentrada en estimaciones cuantitativas. En el objeto de modelo enOpenPages, se puede representar la información de modelo de clave,incluida la descripción de modelo. Datos de propiedad de modelo, estadode modelo, fechas de ciclo de vida de desarrollo, tipo y categoría demodelo y evaluación de riesgo de modelo.
Entrada de modelo
Si una organización quiere adoptar un enfoque más granular para modelarla documentación, el objeto de entrada de modelo proporciona laposibilidad de registrar las entradas. Los campos incluyen Propietario deentrada, Tipo, Estado y Descripción. Un objeto de Entrada de modelotambién puede ser el hijo de un objeto de Salida de modelo, lo que permite
20 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
crear cadenas de modelos a un nivel de detalle si el enfoque de enlace demodelo no es suficientemente granular.
Enlace de modelo
Los modelos pueden formar cadenas complejas y es importante que lasempresas puedan representar estas asociaciones dentro del inventario demodelo. El objeto de Enlace de modelo permite crear cadenas de modeloscomo un hijo de dos modelos padre. El objeto de Enlace de modelocontiene información que está relacionada con los modelos padre e hijo dela relación.
Salida de modelo
Si una organización quiere adoptar un enfoque más granular para modelarla documentación, el objeto de salida de modelo proporciona la posibilidadde registrar las salidas del modelo. La finalidad prevista es registrar ladescripción y la visión general de la salida desde un punto de vista degobierno y no registrar el resultado de modelo.
Pérdida ORICLos objetos de Pérdida ORIC se pueden importar desde la base de datosde pérdidas externas ORIC para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital.
Pérdida de ORXLos objetos de Pérdida de ORX se pueden importar desde la base de datosde pérdidas externas ORX para utilizarlos con análisis de escenarios,benchmarking y generación de informes, así como para exportar datos depérdidas a herramientas de análisis o a las aplicaciones de asignación decapital. Puede importar datos de pérdidas ORX en OpenPages OperationalRisk Management para utilizarlos en análisis de escenarios y modelaciónde capital.
Planificación, Hoja de registro horarioUn tipo de objeto de planificación facilita la planificación de recursos deauditoría y la asignación en cualquier nivel. Por ejemplo, puede crear unúnico objeto de planificación para una auditoría completa o puede crear unobjeto de planificación por tarea para cada auditor implicado en laauditoría. Los objetos de planificación se utilizan para determinar ladisponibilidad, los conocimientos y experiencia que necesita tener elrecurso deseado. Las vistas de actividades de auditoría de OpenPages, losinformes, etc. están alineados con la planificación en el nivel de auditoría.Los planes pueden asociarse en cambio con secciones de auditoría, en cuyocaso estos componentes tendrían que modificarse.
Los objetos de planificación determinan también el seguimiento del tiempo:todo el tiempo se controla en función de las planificaciones. Se utiliza untipo de objeto de hoja de registro horario para registrar las horas y gastossemanales reales empleados en relación con el objeto de planificación deuna auditoría. Dado que los objetos de hoja de registro horario estánasociados con planificaciones, resulta sencillo rastrear las desviacionesentre el tiempo y los gastos previstos y reales. El informe interactivoEntrada de hoja de registro horario debe utilizarse siempre para introduciro modificar los datos de tiempo y gastos. Por este motivo, no hay ningúnelemento de menú superior relativo a la hoja de registro horario en laconfiguración predeterminada de OpenPages Internal Audit Management.
Capítulo 2. Tipos de objeto 21
Por lo general, cree o modifique un objeto de planificación utilizando elasistente para añadir o modificar planificaciones al que puede accederdesde un enlace de la página de detalles de la auditoría.
PolíticaLas políticas representan pautas internas que adopta, por lo general, elConsejo de administración o el órgano de gobierno dentro de unaorganización. El texto de una política se puede guardar en camposestándar del objeto o como un archivo adjunto del objeto. Las políticastienen normalmente un ciclo de vida distinto desde Borrador a Publicada oCaducada, además de un proceso de revisión y aprobación. Las políticas enborrador residen, por lo general en la jerarquía empresarial organizativa,en tanto que las políticas publicadas y caducadas residen en las entidadesde biblioteca de referencia. Las políticas con frecuencia se correlacionan conmandatos aplicables de la biblioteca con los que están relacionadas.
Comentario de revisión de políticaLos comentarios de revisión de política proporcionan soporte y facilitan elproceso de revisión y aprobación de las políticas y procedimientos porparte de expertos en la materia y personal encargado del cumplimientonormativo.
Preferencia, Grupo de preferenciasEl objeto de preferencia es un elemento secundario de la entidad denegocios e incluye valores de variable que pueden controlar informes,flujos de trabajo y campos calculados. Tiene valores de variable específicosde entidad que permiten un comportamiento diferente para los mismosflujos de trabajo. Por ejemplo, defina valores de variable para determinar elcomportamiento de flujos de trabajo de revisión y aprobación por ejemplo,los usuarios adecuados para cada nivel de revisión y aprobación y losumbrales para determinar el número de niveles de revisión y aprobaciónnecesarios.
El grupo de preferencias se utiliza para agrupar objetos de preferencia. Sineste objeto de agrupación, cada objeto de preferencia tendría que asociarsepor separado con cada entidad de negocios pertinente. El grupo depreferencias ayuda a minimizar las tareas de mantenimiento asociadas.
En la configuración predeterminada de IBM OpenPages Internal AuditManagement, estos objetos se utilizan para almacenar las ponderaciones delos factores de riesgo utilizados en la puntuación de riesgos de evaluaciónanual. Dado que las ponderaciones y los factores pueden ser distintos paracada tipo de auditoría, por ejemplo, financieros, operativos o estratégicos,cree una instancia de preferencia independiente para cada tipo deauditoría. Dado que es un elemento secundario de una entidad denegocios, este enfoque ofrece la capacidad de contar con valores devariables específicas de entidad.
ProcedimientoLos procedimientos representan el "qué", el "dónde", el "cuándo" y el"cómo" de la forma en que se implementan las políticas dentro de unaorganización. El texto de los procedimientos se almacena normalmente enlos campos del objeto. Por lo general, los procedimientos se representancomo elementos secundarios de una política y residen en la mismaestructura de entidad que su política principal.
ProcesoLos procesos representan las principales actividades empresariales deextremo a extremo dentro de una entidad que están sujetas a riesgo. Los
22 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
procesos residen en áreas como los informes financieros, el cumplimientonormativo y la seguridad de la información. Por ejemplo, los procesos deldepartamento de Cuentas por cobrar, como los de pedido-a-metálico sepueden mejorar con controles de protección frente a riesgos de elaboraciónde informes financieros, como los comportamientos fraudulentos o lasinexactitudes en los informes financieros.
En OpenPages Internal Audit Management, los procesos también seutilizan para determinar el ámbito de las auditorías. Las auditorías puedencopiar procesos creados por la entidad de negocios o crear sus propiosprocesos.
Diagrama de proceso Un diagrama de proceso es un objeto secundario del proceso y puede tenermuchos diagramas por proceso. Se utiliza para almacenar la secuencia desubprocesos o actividades dentro de un proceso con riesgos y controlesasociados junto con cualquier anotación, como los nodos de decisión.Todos los atributos de la visualización de procesos empresariales estánalmacenados en el objeto Diagrama de proceso.
Evaluación del procesoLos objetos de evaluación del proceso son elementos secundarios de losobjetos de proceso que se utilizan para capturar valores de medida deproceso a efectos de determinación de tendencias.
Cuando los períodos de elaboración de informes no se alinean con losciclos de evaluación, puede utilizar objetos de evaluación de objetos paracapturar varios ciclos de evaluación dentro de un único período deelaboración de informes.
ProgramaLos objetos de programa se utilizan juntos con plantillas de cuestionariopara implementar evaluaciones de cuestionario. Cuando un administradorempresarial inicia un programa, se crean evaluaciones de cuestionarios. Unprograma se asocia con los activos subyacentes, las evaluaciones decuestionario que ha credo y la plantilla de cuestionario en la que se basa.El programa define el ciclo de vida que siguen las evaluaciones decuestionario.
ProyectoUn objeto de proyecto está diseñado para organizar tareas normativas enun proyecto de conformidad general. Por ejemplo, pueden haber cambiosnormativos de los que es necesario encargarse en la infraestructura deconformidad. Los usuarios pueden crear un proyecto para identificar yasignar tareas.
Cuestionario, Sección, PreguntaLos objetos de cuestionario, sección y pregunta se utilizan conjuntamentepara implementar cuestionarios. Los cuestionarios se crean como plantillasde una biblioteca y recopilan información de los encuestados. Los objetosde sección son elementos secundarios de los objetos de cuestionarioprincipales y organizan conjuntos de preguntas relacionadas. Los objetosde pregunta son elementos secundarios de los objetos de sección ycapturan datos de los encuestados. Los administradores de la empresautilizan la vista de la actividad de configuración del cuestionario paraconfigurar plantillas de cuestionario. Las plantillas de cuestionario secopian entonces en los tipos de objeto principal entidad de negocios,Proceso, Subproceso o Empleado.
Capítulo 2. Tipos de objeto 23
Los cuestionarios no están relacionados con las evaluaciones decuestionario. La información que describe los cuestionarios no se aplica alas evaluaciones de cuestionario.
Evaluación de cuestionarioLos objetos de evaluación de cuestionario son un medio de recopilarinformación de los usuarios de negocio en la organización. Lasevaluaciones de cuestionario se crean cuando se inicia un programa. Lasevaluaciones de cuestionario se asocian con los activos subyacentes, elprograma que las ha iniciado y la plantilla de cuestionario en la que sebasan. Las evaluaciones de cuestionario se utilizan con ciclos de vida parafacilitar un proceso de revisión.
Las evaluaciones de cuestionario no están relacionadas con loscuestionarios. La información que describe las evaluaciones decuestionario, las plantillas de cuestionario y los programas no se aplica alos cuestionarios.
Plantilla de cuestionario, Plantilla de sección, Plantilla de subsección y Plantillade preguntas
Los objetos de Plantilla de cuestionario, Plantilla de sección, Plantilla desubsección y Plantilla de preguntas se utilizan junto con Programas paraimplementar evaluaciones de cuestionario. Los objetos Plantilla decuestionario son objetos padre y organizan los objetos Plantilla de sección.Los objetos Plantilla de sección son hijos de los objetos Plantilla decuestionario y organizan los objetos Plantilla de subsección. Los objetosPlantilla de subsección son hijos de los objetos Plantilla de sección padre yorganizan los objetos Plantilla de preguntas. Los objetos Plantilla depreguntas contienen preguntas y opciones de respuesta.
Registro
El objeto de registro es hijo del objeto Entidad y es padre de los objetosUso y Modelo. El uso del objeto de registro es opcional. Su principalfinalidad es actuar como biblioteca de modelos durante el desarrollo.También se puede utilizar para almacenar copias de sólo lectura del objetoUso después de que éstas se hayan aprobado como parte del ciclo dedespliegue.
Aplicabilidad del reglamentoEl objeto de aplicabilidad del reglamento reside en la jerarquía empresarialorganizativa. Evalúa y realiza un seguimiento del impacto regulador de unmandato en la biblioteca en una entidad de negocios.
Autoridad reguladoraEl objeto de autoridad reguladora es parte de la función de gestión deinteracciones con la entidad reguladora y proporciona la capacidad decrear un único inventario de todas las autoridades reguladoras con las queinteractúan. Las entidades reguladoras se crean, por lo general, en unaentidad de negocios de biblioteca de referencia. El objeto es un elementosecundario de la entidad de negocios y se puede asociar con mandatos einteracciones con la autoridad reguladora.
Interacción con la autoridad reguladoraEl objeto de interacción con la autoridad reguladora forma parte de lafunción de gestión de las interacciones con la autoridad reguladora ypermite gestionar las interacciones, las comunicaciones, los trabajosinternos, las revisiones y aprobaciones asociadas con las autoridadesreguladoras externas, como las consultas, los envíos, los archivados, losexámenes y las auditorías. En el caso de interacciones complejas, como
24 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
exámenes y auditorías, los clientes pueden utilizar una estructura deobjetos de tres capas (Interacción con la entidad reguladora, Categoría deRI y Solicitud de RI) para gestionar y realizar un seguimiento de lainteracción general, cada sección de la interacción y las solicitudesindividuales. Para las solicitudes y consultas más simples, los clientespueden utilizar el objeto Interacción con la entidad reguladora paragestionar ellos mismos los detalles de la solicitud y de la respuesta.
Cambio reguladorEl objeto de cambio regulador forma parte de la función de gestión decambios reguladores. Ofrece la capacidad de realizar un seguimiento de loscambios reguladores (modificaciones u orientaciones de una regulaciónexistentes o un nuevo requisito regulador), evalúa el impacto de unamodificación en la organización, comunica el cambio a nivel interno a laspersonas que correspondan y gestiona los procesos internos de respuesta alcambio. Los cambios reguladores normalmente residen en la entidad denegocios de la biblioteca y están asociados directamente con el mandatoque han modificado. El objeto tiene varias tareas reguladoras asociadas aél, una por cada entidad de negocios afectada por el mandato respectivo.
Iniciativa reguladoraEl objeto de iniciativa reguladora es hijo del objeto Entidad de negocios.Captura información descriptiva sobre la normativa que repercute en unorganización. Las iniciativas reguladoras representan una agrupación másamplia de normativas. Por ejemplo, Antiblanqueo de dinero puede ser unainiciativa reguladoras que incluya varias normativas de blanqueo de dinerodiferentes con las que las organizaciones deben cumplir. Estas iniciativasreguladoras se pueden obtener de IBM Regulatory Compliance Analytics eintegrar en IBM OpenPages Regulatory Compliance Management.
Tarea reguladoraEl objeto de tarea reguladora forma parte de la función de gestión decambios reguladores. Facilita el proceso de gestión de cambios asociadoscon un cambio regulador. Se crea una tarea reguladora en la jerarquíaempresarial organizativa y se asigna a un individuo en cada una de lasentidades de negocios afectadas por el mandato que se ha modificado. Elobjeto se utiliza a continuación para realizar un seguimiento y supervisarsi se necesita una acción como resultado del cambio (por ejemplo, unarevisión de política, una evaluación de control, un curso de formación) y elprogreso de la acción.
Informe
El objeto de informe es el registro de cabecera para la ordenación de uninforme de modelo maestro o un informe de documentación de modelo.Los campos incluyen descripción, autor, estado y resumen.
Sección de informe
El objeto de sección de informe se utiliza en la ordenación de informe demodelo. Es hijo del objeto de informe de modelo y padre del objeto dedocumentación. Un organizador o autor de informe genera secciones deinforme para subdividir la documentación de modelo. Entonces cadasección de informe se puede asociar con varios fragmentos dedocumentación para representarse en un informe maestro. Los camposincluyen descripción, resumen y orden de visualización.
RequisitoLos requisitos representan las tareas normalizadas para realizar a fin depoder cumplir con todos sus submandatos asociados. Los requisitos logran
Capítulo 2. Tipos de objeto 25
dos objetivos fundamentales: traducen la redacción a menudo difícil yfarragosa de los mandatos y submandatos en un lenguaje más sencillo yuniformizan los diferentes submandatos. Por ejemplo, puede haber muchossubmandatos en varios mandatos que indican todos ellos que es necesarioque utilice contraseñas seguras. Un solo requisito puede documentar losdetalles de las necesidades de las contraseñas seguras. Cumpliendo esteúnico requisito, el departamento de TI puede satisfacer muchos mandatosy submandatos.
La configuración predefinida admite directamente los contenidosproporcionados por Deloitte y UCF y se puede adaptar para admitir loscontenidos de otros proveedores. Por lo general, los mandatos serepresentan en una estructura de entidades de negocios por biblioteca y nose replican para todo el sistema.
Los requisitos también soportan contenido para conformidad con lanormativa. Se pueden utilizar requisitos para representar las obligacionesreguladoras derivadas de los informes reguladores. Los requisitos sepueden obtener de IBM Regulatory Compliance Analytics y llenar comorequisitos para la gestión de conformidad con la normativa.
Evaluación de requisitoDespués de que los usuarios correlacionen controles internos con requisitosderivados de normativas, puede realizar una evaluación del grado desatisfacción del funcionamiento respecto al requisito identificado. Losusuarios pueden evaluar la efectividad operativa y la efectividad de diseñode los controles dentro del ámbito de un tema de conformidad.
Valor de evaluación de requisitoLos objetos de valor de evaluación de requisito se utilizan para registrar elvalor real de un requisito en un momento específico determinado.
RecursoCOBIT sugiere que existen cuatro tipos de activos de TI, en tanto que losprofesionales incluyen también cuatro tipos adicionales. El objeto Recursose define como un subtipo mediante campos dependientes para representarcualquiera de estos tipos de activos de TI. Los recursos normalmente secrean como una agrupación asociada con la entidad de negocios de TIresponsable o propietaria y se asocian después con los elementosoperativos pertinentes (líneas base, procesos, etc.) en el entorno operativode TI y, potencialmente, se asocian con entidades de negocios relevantespara la empresa también. Aunque los recursos pueden representar activosde TI individuales, (por ejemplo, un servidor Microsoft Windows 2003concreto), con frecuencia representan un grupo de activos (por ejemplo,una agrupación de servidores de aplicaciones Windows 2003 que seutilizan con una determinada aplicación.
Enlace a recursosCOBIT sugiere que los activos de TI tienen relaciones complejas. Indicanque los activos de tipo Personas, Proceso, Infraestructura e Informaciónpueden ser principales y cada uno puede ser un elemento secundario delotro. Además, con frecuencia es necesario relacionar los recursos del mismotipo entre sí. Se puede utilizar un Enlace a recursos como una relaciónmuchos-a muchos, pero la práctica (a la que da soporte el asistente deinterfaz de usuario) es vincular de forma exacta dos recursos. Tenga encuenta que si los nombres o atributos de cada uno de los recursosprincipales se modifica, el nombre y los atributos del Enlace a recursos noestarán sincronizados con sus recursos principales.
26 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Revisión
El objeto de revisión se utiliza para registrar la planificación y losresultados de cualquier actividad de revisión de modelo. Es hijo de losobjetos de uso y modelo. Los campos incluyen (pero no están limitados a)descripción, ámbito, fecha planificada y de ejecución, ejecutor, revisor yresultado. El objeto Revisión está destinado a capturar los resultados de losrevisores tanto si son preimplementación, postimplementación o realizadospor segundo o tercera línea de defensa.
Categoría de RIEl objeto de categoría de RI forma parte de la función de gestión deinteracciones con la autoridad reguladora y se utiliza como nivelintermedio del modelo de objeto de tres niveles (Interacción con laautoridad reguladora, Categoría de RI y Solicitud de RI). El objeto seutiliza para organizar y realizar un seguimiento del progreso de seccioneso categorías individuales de una interacción compleja, como un examen ouna auditoría.
Solicitud de RIEl objeto de solicitud de RI forma parte de la función de gestión deinteracciones con la autoridad reguladora y se utiliza como nivel final delmodelo de objeto de tres niveles (Interacción con la autoridad reguladora,Categoría de RI y Solicitud de RI). El objeto se utiliza para organizar yrealizar un seguimiento de las solicitudes individuales, revisiones oaprobaciones del trabajo previo y tareas in situ como parte de unainteracción compleja, como un examen o una auditoría.
RiesgoLos riesgos son responsabilidades potenciales. Los riesgos se puedenasociar con procesos de negocio, entidades de negocios o el cumplimientode un mandato. Cada riesgo tiene controles que proporcionan proteccionesfrente al riesgo. Los controles ayudan a reducir las consecuencias queresultan del riesgo. Utilice el objeto Riesgo para categorizar riesgos;capturar la frecuencia, realizar clasificaciones y evaluar la gravedad de losdatos de riesgo observados y calculados, y para consultar informes eidentificar los elementos de riesgo más importantes. Por ejemplo, la cuentaEn metálico tiene un proceso denominado Nómina. Se podría producir unriesgo potencial en la nómina; por ejemplo, que la nómina sea undesembolso de nómina duplicado o la creación de desembolsos de nóminaficticios. La identificación de los riesgos en los procesos es un componentefundamental del desarrollo de un proyecto de documentación de controlesfinancieros.
En OpenPages Internal Audit Management, un riesgo que se comparteentre una auditoría interna y la empresa se puede clasificar por separado.
Evaluación de riesgosLas evaluaciones de riesgos le permiten evaluar y elaborar informes de laspotenciales responsabilidades para un conjunto de entidades de negocios oprocesos. Un objeto de evaluación de riesgos contiene los nombres delevaluador y el revisor, los intervalos de tiempo de la evaluación y el estadode la evaluación. Utilice una evaluación de riesgos para gestionar el riesgode un proceso de autoevaluación. Asocie objetos de riesgo con unaevaluación de riesgos para crear un enlace entre la entidad de negocios ylos riesgos. Por ejemplo, cree una evaluación de riesgos para evaluar losriesgos operativos, como robos y fraudes externos y fraudes, fraudeinterno, daños a la propiedad o interrupciones del negocio.
Capítulo 2. Tipos de objeto 27
Análisis de evaluación de riesgosLos objetos de análisis de evaluación de riesgos son similares a los objetosde evaluación de riesgos salvo que se crean como instancias de elementossecundarios de las evaluaciones de riesgos. Almacenan datos deevaluaciones de riesgos.
Evaluación de riesgosLos objetos de evaluación de riesgos son elementos secundarios de losobjetos de riesgo que se utilizan para capturar valores de medida de riesgoa efectos de determinación de tendencias. Con frecuencia, los períodos deelaboración de informes no coinciden con los ciclos de evaluación deriesgos y, por tanto, los objetos de evaluación de riesgos se pueden utilizarpara capturar varios ciclos de evaluación dentro de un único período deelaboración de informes.
Análisis de escenarioLos análisis de escenarios son una técnica de evaluación que se utiliza paraidentificar y medir determinadas clases de riesgos, en particular, loseventos de alto impacto y baja frecuencia, como terremotos, recesiones ofallos de la red eléctrica.
Resultado de escenarioLos objetos de resultado de escenario son elementos secundarios de losobjetos de análisis de escenario y se utilizan para capturar los resultadosde los talleres de análisis de escenarios para realizar comparaciones o aefectos de determinación de tendencias.
Firma Una firma indica, por lo general, la confirmación de que el objeto merecesu aprobación. No implica obligatoriedad y no evita que el elemento puedamodificarse una vez otorgada la aprobación. Un objeto con una firma tieneun icono de firma junto al nombre del firmante en la ficha Firmas.
En función de la configuración del sistema, las firmas (con o sin bloqueosasociados) se pueden aplicar a un objeto del siguiente modo:v De forma manual, desde la página de detalles de un objeto.v De forma automática, a través de una tarea de flujo de trabajo.v Una combinación de las dos formas, manual y automática.
Si se configuran bloqueos derivados de la firma en su sistema, cuandofirme un objeto y todos sus objetos secundarios asociados se bloquearán yno se podrán modificar hasta que usted revoque la firma o unadministrador desbloquee el objeto.
SubcuentaUna subcuenta representa un elemento de línea más pequeño y específicoque forma parte de una cuenta principal más grande (o de otra subcuenta).Cada objeto de subcuenta puede asociarse con objetos principales decuenta o de subcuenta.
SubmandatoLos submandatos representan subelementos externos (o internos) que laempresa necesita cumplir. La configuración predefinida admitedirectamente los contenidos proporcionados por Deloitte y UCF y se puedeadaptar para admitir los contenidos de otros proveedores. Por lo general,los mandatos se representan en una estructura de entidades de negociospor biblioteca y no se replican para todo el sistema. El submandato esrecursivo, pero el contenido de Deloitte y de UCF utiliza exactamente unnivel de submandato. Los submandatos también soportan el contenidopara la conformidad con la normativa. Los submandatos se pueden utilizar
28 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
para representar párrafos derivados de informes reguladores. Los párrafosse pueden extraer de IBM Regulatory Compliance Analytics y llenar comosubmandatos para la gestión de conformidad con la normativa.
SubprocesoUn subproceso es un componente de un proceso. Se utiliza para dividirprocesos en unidades más pequeñas a efectos de evaluación. Por ejemplo,un proceso financiero de pedido-a-metálico podría estar compuesto devarios subprocesos, como cuentas por pagar, compras y contabilidadgeneral. Cualquiera de estos subprocesos podrían exponer a la empresa aun riesgo y se pueden mejorar utilizando controles.
En OpenPages Internal Audit Management, este objeto no se utiliza paradeterminar el ámbito de la auditoría, pero se puede utilizar paradocumentar los detalles del proceso.
Plan de pruebaUn plan de prueba es un contenedor de pruebas y se puede asociar conobjetos de control principales y objetos secundarios, como resultados depruebas y problemas. Determine la eficacia operativa de un controlrealizando pruebas pormenorizadas y documentando después losresultados. Los planes de prueba describen los mecanismos quedeterminan si un control es efectivo. Por ejemplo, un control de pruebasería: “Recursos Humanos autoriza cambios en el estado del empleado”.Una prueba de este control sería: “Verificar el sello de autorización deRRHH en los registros de empleados nuevos”. La prueba verifica que elnuevo control se implemente y esté en uso.
La configuración predeterminada de OpenPages Internal AuditManagement utiliza el objeto Informe de trabajo en lugar de los objetosPlan de prueba y Resultados de la prueba. El objeto de auditoría necesitaacceder a estos objetos porque con frecuencia se utilizan para documentarlas pruebas de la empresa.
Resultado de la pruebaUn resultado de la prueba es la información que se obtiene tras laejecución de un plan de prueba.
La configuración predeterminada de OpenPages Internal AuditManagement utiliza el objeto Informe de trabajo en lugar de los objetosPlan de prueba y Resultados de la prueba. El objeto de auditoría necesitaacceder a estos objetos porque con frecuencia se utilizan para documentarlas pruebas de la empresa.
Uso
El objeto Uso es hijo de los objetos de entidad de negocios y comité. Elobjeto Uso se utiliza como elemento clave de registro del despliegue deuno o más modelos. El objeto Uso contiene información como descripción,estado, propietario y campos para permitir la evaluación de riesgo de unconjunto de modelos determinado. El objeto Uso es el padre de los objetosde modelo, informe de modelo, solicitud de cambio y métrica.
RenunciaLas renuncias permiten documentar, procesar y gestionar el ciclo de vidade las excepciones de políticas corporativas, políticas de seguridad de lainformación, políticas de TI o requisitos de conformidad con la normativa.Las renuncias se pueden asociar con entidades de negocios, políticas,procedimientos, requisitos, riesgos, controles, líneas base y recursos.
Capítulo 2. Tipos de objeto 29
Informe de trabajoUn informe de trabajo es cualquier artefacto o entregable del que se desearealizar un seguimiento en el ámbito de una auditoría. Puede representaruna carta de compromiso, una matriz de prueba, las notas de unaentrevista o cualquier otro cosa que resulte apropiada para la auditoría encuestión. El propio informe de trabajo puede tener atributos almacenadosen el objeto Informe de trabajo o puede ser un archivo Microsoft Word,Microsoft Excel o de otro tipo anexado a un objeto Informe de trabajo.Cuando el informe de trabajo se utiliza como evidencia de la prueba,documenta tanto la planificación de la prueba como los resultados de lamisma.
Cree un objeto de informe de trabajo desde la página de detalles de unasección de auditoría. Los objetos de informe de trabajo también se puedencopiar desde una biblioteca, donde representan plantillas de diferentestipos de informes de trabajo generadas por un departamento de auditoríasinternas.
SubcomponentesLas soluciones IBM OpenPages GRC Platform constan de diferentessubcomponentes.
Un subcomponente es un grupo de tipos de objeto que admite una función lógicaen la solución.
En la tabla siguiente se listan los subcomponentes que se incluyen de formapredeterminada.
Se utilizan los siguientes acrónimos en la tabla:v RCM = IBM OpenPages Regulatory Compliance Managementv MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 3. Subcomponentes de OpenPages GRC Platform
SubcomponenteEtiqueta de tipode objeto RCM MRG FCM ORM PCM ITG IAM
Organización Entidadempresarial
X X X X X X X
Preferencia Grupo depreferencias,Preferencia
X X X X X X X
Evaluación deriesgos
Evaluación deriesgos, Análisisde evaluación deriesgos
X X X X X X X
30 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 3. Subcomponentes de OpenPages GRC Platform (continuación)
SubcomponenteEtiqueta de tipode objeto RCM MRG FCM ORM PCM ITG IAM
Proceso Proceso,Evaluación deproceso,Subproceso,Objetivo decontrol
X X X X X X X
Riesgo Riesgo, Evaluaciónde riesgos
X X X X X X X
Control Control,Evaluación decontrol
X X X X X X X
Pruebas Plan de pruebas,Resultado de laspruebas
X X X X X X X
Problema Problema,Elemento deacción
X X X X X X X
Cuestionario Cuestionario,Sección, Pregunta
X X X X X X X
Evaluación decuestionario
Evaluación decuestionario,Plantilla decuestionario,Plantilla desección, Plantillade subsección,Plantilla depreguntas
X X X X X X X
Hito Hito, Elemento deacción de hito
X X X X X X X
Visualización Diagrama deproceso, Entradade datos, Salida dedatos
X X X X X X X
Programa deevaluación
Programa X X X X X X X
Cuenta Cuenta,Subcuenta,Declaración
X
Análisis deescenario
Análisis deescenario,Resultado delescenario
X
Pérdida externa ORX Loss, ORICLoss, FIRST Loss
X
Evento de pérdida Evento de pérdida,Impacto depérdida,Recuperación depérdidas, Centrode costes
X
Capítulo 2. Tipos de objeto 31
Tabla 3. Subcomponentes de OpenPages GRC Platform (continuación)
SubcomponenteEtiqueta de tipode objeto RCM MRG FCM ORM PCM ITG IAM
Modelado decapital
Modelo de capital,Resultado demodelo de capital
X
KRI KRI, Valor de KRI X X X
KPI KPI, Valor de KPI X X X
Bibliotecaregulatoria
Mandato,Submandato,Requisito
X X X X
Incidente Incidente X X
Renuncia Renuncia X X
Política Política,Procedimiento,Comentario derevisión de política
X X X
Testificación depolítica
Política,Procedimiento,Testificación
X
Campaña Campaña,Empleado,Testificación
X
Interacción con laautoridadreguladora
Interacción con laautoridadreguladora,Autoridadreguladora,Categoría de RI,RI
X
Cambio regulador Cambio regulador,Aplicabilidad delreglamento, Tareareguladora
X X
Política de ITG Política,Procedimiento
X
Plan de control Plan de control,Línea base
X
Recurso Recurso, Enlace arecursos
X
Plan anual Entidad auditable,Auditoría
X
Planificación decompromiso
Planificación, Hojade registrohorario, Auditor
X
Conclusiones Conclusión X
Trabajo de campo Sección deauditoría, Informe,Comentario derevisión deauditoría
X
32 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 3. Subcomponentes de OpenPages GRC Platform (continuación)
SubcomponenteEtiqueta de tipode objeto RCM MRG FCM ORM PCM ITG IAM
Proyecto deconformidad
Proyecto, Plan deconformidad,Tema deconformidad
X
Evaluación derequisito
Evaluación derequisito, Valor deevaluación derequisito
X
Autoridadreguladora
Autoridadreguladora,Iniciativareguladora
X
Supervisión demodelo
Métrica, Valor demétrica
X
Estructura decomité
Comité, Empleado X
Elaboración deinformes demodelo y revisión
Informe, Sección,Documentación
X
Inventario demodelo y ciclo devida
Registro, Uso,Modelo, Solicitudde cambio,Entrada demodelo, Salida demodelo, Enlace demodelo
X
Revisión y Desafío Revisión, Desafío X
Además de los subcomponentes incluidos en la tabla, se incluyen los siguientestipos de objeto en cada solución y cualquier usuario autorizado puede tener accesoa ellos:v Firmav Archivov Vínculo
Capítulo 2. Tipos de objeto 33
34 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 3. Campos calculados
Las soluciones IBM OpenPages GRC Platform constan de diferentes camposcalculados. Un campo calculado es un campo de solo lectura cuyo valor se obtienede los valores de otros campos. Los campos calculados pueden incluir tipos dedatos, como booleano, fecha, decimal, entero y cadenas simples.
En la tabla siguiente se muestran los campos calculados incluidos para cadasolución de forma predeterminada.
Se utilizan los siguientes acrónimos en la tabla:v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 4. Campos calculados en soluciones OpenPages GRC Platform
Etiqueta de tipo deobjeto
Grupo de campos
Nombre del campo Descripción FCM ORM PCM ITG IAM
Evaluación deriesgos
Asistente de rellenode RCSA
Crea un enlace que inicia elAsistente de relleno de RCSA.Este asistente permite alcoordinador de RCSA finalizarla evaluación de riesgos ycrear un árbol de evaluaciónpara las referencias históricas.
X
Evaluación deriesgos
Asistente dealineación deprocesos RCSA
Crea un enlace que inicia elAsistente de relleno de RCSA.Este asistente permite alcoordinador de RCSA revisarlos procesos, riesgos ycontroles asociados y crearmás asociaciones. El asistentetambién configura losprocesos, riesgos y controlescon el estado de En espera deevaluación.
X
35
Tabla 4. Campos calculados en soluciones OpenPages GRC Platform (continuación)
Etiqueta de tipo deobjeto
Grupo de campos
Nombre del campo Descripción FCM ORM PCM ITG IAM
Análisis deescenario
Asistente definalización deescenario
Crea un enlace que inicia elAsistente de finalización deescenario. Este ayudante seutiliza para crear resultadosde escenario tras lafinalización de un taller.
El propietario del escenario oel equipo de riesgos puedeniniciar el asistente de formamanual al completarse elanálisis del escenario.
X
Testificación
OPSS-Attest
Testificación depolítica
Crea un enlace que inicia elasistente Vista delreconocimiento de política.
X
Política
OPSS-Pol
Modificar política
Crea un enlace que inicia elasistente del editor depolíticas.
X
Política
OPSS-Pol
Ver política
Crea un enlace que inicia elasistente del visor de políticas.
X
Política
OPSS-Pol
Abrir política paranuevo ciclo derevisión o Volver aabrir política parallevar a cabocambios adicionales
Crea un enlace que inicia elasistente del editor depolíticas.
X
Comentario derevisión de política
OPSS-PolRevComm
Revisar política
Crea un enlace que inicia elasistente de la vista derevisión de política.
X
Plan de control
OPSS-RiskEnt
Líneas de base
Crea un enlace para iniciar elasistente de obtención delíneas base.
X
36 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 4. Campos calculados en soluciones OpenPages GRC Platform (continuación)
Etiqueta de tipo deobjeto
Grupo de campos
Nombre del campo Descripción FCM ORM PCM ITG IAM
Recurso
OPSS-Res
Enlaces de recursos
Crea un enlace para iniciar elasistente para añadir unenlace de recurso.
X
Entidad auditable
OPSS-AudEnt
Puntuación deriesgo ponderada
Calcula la suma de losproductos de cada valor defactor de riesgo pertinente ysu ponderación del factor deriesgo. Los valores de factorde riesgo se introducen en laentidad auditable. Lasponderaciones de factor deriesgo proceden del objeto deauditoría de preferencia defactor de riesgo "más cercano",que coinciden con el tipo deauditoría especificado en laentidad auditable.
X
Auditoría
OPSS-Aud
Cerrar auditoría
Crea un enlace para iniciar elasistente de cierre deauditoría.
X
Auditoría
OPSS-Aud
Planes
Crea un enlace para iniciar elasistente de inicio deauditoría.
X
Auditoría
T y G reales
Calcula la suma de lasentradas de T y G de todas lashojas de horas para todas lasplanificaciones de estaauditoría.
X
Auditoría
Horas reales
Calcula la suma de lasentradas de horas de todas lashojas de horas para todas lasplanificaciones de estaauditoría.
X
Planificación
OPSS-Plan
Horas reales
Calcula la suma de lasentradas de T y G de todas lashojas de horas para todas lasplanificaciones de estaauditoría.
X
Planificación
OPSS-Plan
T y G reales
Calcula la suma de todas lasentradas de horas de todas lashojas de horas para estaplanificación.
X
Capítulo 3. Campos calculados 37
Nota: OpenPages Policy and Compliance Management inicia aplicaciones deayuda desde los campos de URL. Los campos calculados se implementan comocampos de URL.
38 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 4. Ayudantes
Las soluciones de IBM OpenPages GRC Platform incluyen varios ayudantes.
En la tabla siguiente se muestran los asistentes incluidos para cada solución deforma predeterminada.v FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 5. Asistentes en soluciones de IBM OpenPages GRC Platform
Ayudante FCM ORM PCM ITG IAM
“Asistente de finalización de escenario” en lapágina 40
X
“Programa de utilidad Creación de valor de KRI”en la página 40
X X X
“Programa de utilidad Creación de valor de KPI”en la página 41
X X X
“Asistente de finalización de RCSA” en la página41
X
“Asistente de alineación de procesos RCSA” en lapágina 42
X
“Asistente del programa de utilidad de inicio deRCSA” en la página 42
X
“Asistente de sincronización de sitios de RCSA” enla página 43
X
Ver políticaNota: Este ayudante y el de Revisar política son lomismo. Cada uno tiene una función diferente ydependen de en qué punto del ciclo de vida seencuentre la política.
X
Revisar políticaNota: Este ayudante y el de Ver política son lomismo. Cada uno tiene una función diferente ydependen de en qué punto del ciclo de vida seencuentre la política.
X
“Asistente Vista de comparación de políticas” en lapágina 43
X
“Asistente Desbloquear política” en la página 44 X
Publicación de notificaciones en lotes X
Vista de conocimiento de política X
Informe de creación de testificación X
“Asistente Obtener líneas base” en la página 46 X
“Asistente Crear enlaces de recursos” en la página46
X
39
Tabla 5. Asistentes en soluciones de IBM OpenPages GRC Platform (continuación)
Ayudante FCM ORM PCM ITG IAM
“Asistente Cerrar auditoría” en la página 46 X
“Asistente para añadir o modificar planificaciones”en la página 46
X
“Asistente para el informe de entrada de hoja deregistro horario” en la página 47
X
“Asistente para el informe de entrada de hoja deregistro horario del administrador” en la página 47
X
Asistente de finalización de escenarioCuando finaliza el taller del escenario, el equipo de riesgos operativos o elpropietario del escenario actualiza los resultados del escenario en el objetoEscenario. Para finalizar el escenario, el propietario ejecuta el Asistente definalización de escenario.
Como facilitadores del proceso de análisis de escenarios, el equipo de riesgosoperativos realiza la mayoría de las actividades en IBM OpenPages GRC Platform.El asistente realiza los siguientes pasos:1. Valida los datos.2. Crea un objeto de resultados del escenario.3. Rellena los campos de resultados del escenarios con el análisis del escenario.4. Ejecuta el informe de detalles de resultados del escenario y lo adjunta a los
resultados del escenario.
Programa de utilidad Creación de valor de KRIUna vez definido el indicador clave de riesgo (KRI)el programa de utilidadCreación de valor de KRI determina si es necesario generar un objeto de valor deKRI como elemento secundario del KRI.
El programa de utilidad Creación de valor de KRI genera objetos de valor de KRIen blanco que deben capturarse en la semana siguiente. El programa de utilidad seinicia como una tarea semanal que se programa para ejecutarse durante la noche.Sin embargo, un administrador puede iniciarla manualmente si la tarea planificadano se inicia automáticamente.
El programa de utilidad revisa los KRI e identifica los que están pendientes derecopilación en los próximos siete días. Los KRI se identifican en función de losdatos de valor de KRI Frecuencia y Desfase de frecuencia. Si el KRI se marcacomo Activo, el programa de utilidad Creación de valor de KRI genera un valor deKRI secundario y rellena el valor con los siguientes datos:v IDv Descripción, que se basa en el KRI principal.v Propietario del KRI, que se basa en el KRI principal.
El propietario es el usuario que registra el valor de KRI en OpenPages GRCPlatform.
v Fecha de captura prevista.Esta fecha es un campo de solo lectura y se basa en los valores Frecuencia yDesfase de frecuencia.
40 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
v El estado del valor de KRI, que se establece como En espera de recopilación.Si el KRI se marca como Inactivo, el programa de utilidad no genera un valor enblanco. El objeto de valor se configura inicialmente como un marcador deposición con el estado En espera de recopilación.
Programa de utilidad Creación de valor de KPIUna vez definido el KPI, la función del asistente OpenPages GRC Platformdetermina si es necesario generar un objeto de valor de KPI como elementosecundario del KPI.
El programa de utilidad Creación de valor de KPI genera objetos de valor de KPIen blanco que deben capturarse en la semana siguiente. El programa de utilidad seinicia como una tarea semanal que se programa para ejecutarse durante la noche.Sin embargo, un administrador puede iniciarla manualmente si la tarea planificadano se inicia automáticamente.
El programa de utilidad revisa los KPI e identifica los que están pendientes derecopilación en los próximos siete días. Los KPI se identifican en función de losdatos de valor de KPI Frecuencia y Desfase de frecuencia. Si el KPI se marcacomo Activo, el programa de utilidad Creación de valor de KPI genera un valor deKPI secundario y rellena el valor con los siguientes datos:v ID.v Descripción, que se basa en el KPI principal.v Propietario del KPI, que se basa en el KPI principal.
El propietario es el usuario que registra el valor de KPI en OpenPages GRCPlatform.
v Fecha de captura prevista.Esta fecha es un campo de solo lectura, que se basa en los valores Frecuencia yDesfase de frecuencia.
v El estado del valor de KPI, que se establece como En espera de recopilación.Si el KPI se marca como Inactivo, el programa de utilidad no genera un valor enblanco. El objeto de valor se configura inicialmente como un marcador deposición con el estado En espera de recopilación.
Asistente de finalización de RCSAEl Asistente de finalización de RCSA permite al coordinador de RCSA finalizar laevaluación de riesgos y crear un árbol de evaluación para las referencias históricas.
El coordinador de RCSA recibe un mensaje que pregunta si se debe continuar.Cuando el coordinador de RCSA confirma el mensaje, el asistente realiza lassiguientes acciones:1. Establece el campo de estado Evaluación de riesgos como Aprobado.2. Crea la siguiente estructura vinculada para el registro de evaluación
secundario:v Análisis de evaluación de riesgosv Evaluación de procesosv Evaluación de riesgosv Evaluación de control
3. Copia los datos clave a los nuevos registros de evaluación y realiza asociacionessecundarias.
Capítulo 4. Ayudantes 41
Debe especificar qué campos deben copiarse (menú Configuración).
Asistente de alineación de procesos RCSAEl Asistente de alineación de procesos RCSA permite al coordinador de RCSArevisar los procesos, riesgos y controles asociados y crear más asociaciones. Elasistente también configura los procesos, riesgos y controles con el estado de Enespera de evaluación.
Cuando el coordinador de RCSA desee iniciar el ciclo de RCSA, podrá iniciar elasistente desde un enlace URL en la página Detalle de evaluación de riesgos.
El asistente basado en tareas realiza las siguientes acciones cuando se inicia:1. Añade o elimina procesos, riesgos y controles2. Revisa la propiedad del proceso, del riesgo y del control3. Pregunta al coordinador de RCSA si desea iniciar la evaluaciónv Si el coordinador responde Sí, el asistente continúa con los siguientes
procesos:– Establece todos los riesgos y controles como En espera de evaluación.– Establece el campo Enviar para aprobación del objeto Riesgo como No.– Establece el campo Aprobar/Rechazar del objeto Riesgo como un valor en
blanco.– Establece el campo Comentarios de rechazo del objeto Riesgo como un
valor en blanco.v Si el coordinador no desea comenzar el ciclo de RCSA, guarde y cierre la
evaluación.
Asistente del programa de utilidad de inicio de RCSAEl Asistente del programa de utilidad de inicio de RCSA genera objetos deevaluación de riesgos para las entidades dentro del ámbito.
El Asistente del programa de utilidad de inicio de RCSA ayuda al administrador ainiciar el proceso de RCSA del siguiente modo:1. Crea una evaluación de riesgos bajo la entidad empresarial y asocia todos los
procesos que están bajo esa entidad empresarial con la evaluación de riesgos.2. Solicita los detalles de la evaluación de riesgos.
El administrador proporciona valores para los campos en todas las evaluacionesde riesgos generadas, como Fecha de inicio, Fecha de finalización eInstrucciones / Orientación.
3. Identifica todas las entidades Dentro del ámbito.4. Genera un objeto de evaluación de riesgos para todas las entidades
empresariales Dentro del ámbito.5. Rellena el objeto de evaluación de riesgos con los valores proporcionados en el
paso 1.6. Establece el estado de la evaluación de riesgos como No iniciado y el campo
Administrador de RCSA se rellena con el nombre de usuario correspondiente.7. Envía un correo electrónico al coordinador de RCSA informándole de que el
ciclo de RCSA puede comenzar.
42 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
El administrador puede especificar el contenido del correo electrónico a travésde la página Configuración. El correo electrónico del coordinador de riesgosutiliza la información del registro de preferencia más próximo que tenga elcoordinador de RCSA especificado.
Asistente de sincronización de sitios de RCSAEl Asistente de sincronización de sitios de RCSA sincroniza instancias de datos deobjetos con valores de una estructura de datos de biblioteca.
Cuando se inicia el asistente, identifica todos los cambios en el objetomaestro/biblioteca. El asistente utiliza un campo Referencia de biblioteca comouna clave común y sincroniza todas las instancias locales del objeto con el maestro.
Visores de políticasUna serie de visores de políticas facilitan el proceso de creación, modificación,revisión y aprobación de políticas y procedimientos. Agrega varias secciones deuna política y los procedimientos asociados a una única vista narrativa para editar,revisar y aprobar, en tanto que permite a los clientes mantener la estandarizaciónde una plantilla Política.
Este asistente ofrece las siguientes vistas:v Modificar política - Abierta desde un objeto Política, la vista Modificar política
es una vista editable que permite al autor y al propietario de la política crear yeditar un objeto Política y sus Procedimientos asociados. El visor Modificarpolítica solo se utiliza como parte del enfoque Centrado en datos para Gestiónde políticas.
v Ver política - Abierta desde un objeto Política, la vista Ver política es una vistade solo lectura que permite a los usuarios ver una política y sus procedimientosen una vista narrativa con formato (enfoque Centrado en datos e Híbrido) odesde un enlace Archivo adjunto de política (enfoque Centrado en documento).
v Revisar política - Abierta desde un objeto Comentarios de revisión de política,la vista Revisar política es una vista basada en rol que hace más sencillos losprocesos de revisión y aprobación. Además de mostrar los objetos Política yProcedimiento, o el enlace Archivo adjunto de política, incluye el objetoComentarios de revisión de política que permite a los revisores y aprobadoresenviar comentarios editando directamente el objeto Política o utilizando elformulario Comentarios. Se presenta a los revisores una vista editable o de sololectura de la política y sus procedimientos, en función del parámetro establecidoen IBM OpenPages GRC Platform en la página Ajustes. A los aprobadores se lespresenta una vista de solo lectura de la política.
Utilice los ajustes y los ajustes de texto de la aplicación para configurar estecomponente de forma que se comporte según la metodología del cliente.
Asistente Vista de comparación de políticasEl asistente Vista de comparación de políticas permite a los usuarios verdiferencias marcadas en color rojo de una versión de política a otra. Por ejemplo,un usuario puede observar a simple vista las diferencias entre un borrador actualde una política y la política publicada, o de las versiones anteriores ya caducadas.
El componente Vista de comparación de políticas se utiliza con los enfoquesCentrado en datos e Híbrido.
Capítulo 4. Ayudantes 43
Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología de los clientes.
Asistente Desbloquear políticaEl asistente Desbloquear política se abre desde el objeto Política después de que lapolítica pasa a la fase de revisión y aprobación. El asistente Desbloquear políticadesbloquea el objeto Política y sus componentes (Procedimientos, Adjuntos,Comentarios de revisiones de políticas) para su revisión.
El asistente Desbloquear política admite tres enfoques de política: centrada endatos, centrada en documentos e híbrida.
El asistente Desbloquear política admite dos casos de uso:1. La reapertura de un objeto Política para los cambios producidos dentro de un
ciclo de revisión:v Establece el Estado de aprobación como En revisión.v Desbloquea los objetos o adjuntos bloqueados que se necesitan durante el
proceso de revisión.v Actualiza el número de versión.
2. Apertura de una política para un nuevo ciclo de revisión:v Establece Estado de aprobación como En revisión.v Desbloquea el objeto Política y sus componentes (por ejemplo,
Procedimientos, Adjuntos).v Restablece y borra campos, como Fecha de publicación, Estado de
publicación, Siguiente fecha de revisión.v Actualiza el número de versión.v Elimina o borra objetos de comentarios de revisión de políticas.v Establece un distintivo en la política publicada correspondiente para indicar
que el borrador está En revisión.
IBM OpenPages GRC Platform o el cliente pueden configurar este componentepara que cumpla la metodología del cliente utilizando los ajustes y los ajustes detexto de aplicación.
Asistente Publicar notificación por lotesEl asistente Publicar notificación por lotes hace más sencillo el proceso depromocionar una política de borrador aprobada a la biblioteca de publicados y demover la versión publicada actual a la biblioteca de caducados. También retira unapolítica moviendo la política publicada a la biblioteca de publicados y eliminandoel borrador. Puede utilizar el asistente Publicar notificación por lotes con losenfoques de política Centrado en datos, Centrado en documentos, e Híbrido.
El asistente Publicar notificación por lotes se ejecuta de forma programada yrealiza las siguientes tareas:v Actualiza la política en borrador:
– Configura los campos de la política en borrador como Estado de aprobación,Fecha de publicación y Estado de publicación.
– Actualiza un número de versión en función de la relevancia de un cambio enla política.
v Promociona un objeto Política publicado a la biblioteca de caducados:
44 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
– Cambia el nombre del objeto Política (anexa Expired – V#).– Establece Ubicación de política como Caducada y especifica la fecha de
caducidad.– Mantiene las aprobaciones y las asociaciones con objetos como Entidades y
Mandatos.– Elimina los archivos adjuntos de políticas híbridas.
v Promociona un objeto Política en borrador a la biblioteca de publicados:– Establece Ubicación de política como Publicada.– Mantiene las aprobaciones y las asociaciones con objetos como Entidades y
Mandatos.– Mantiene asociaciones de objeto existentes (Evaluación de riesgos) en un
objeto Política publicado.v Envía correos electrónicos tras la correcta de la publicación.
Utilice los ajustes y los ajustes de texto de la aplicación para configurar estecomponente de forma que se comporte según la metodología del cliente.
Asistente Vista de conocimiento de políticaEl asistente Vista de conocimiento de política es una vista intuitiva que permite alos empleados leer de forma fácil una política y sus procedimientos y susprocedimientos en un formato narrativo. El empleado testifica que ha leído ycomprendido la política.
El asistente Vista de conocimiento de política realiza las siguientes tareas:v Muestra los objetos Política y su Procedimiento en un formato narrativo simple
y de solo lectura con la apariencia de una política corporativa.v Permite a los empleados testificar respecto a la política con un simple clic y sin
ningún tipo de navegación.v Permite a los empleados solicitar una excepción al requisito de testificación de
política.
Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente para que se comporte según la metodología del cliente.
Asistente Informe de creación de testificaciónEl asistente Informe de creación de testificación es una notificación planificada.También se puede ejecutar desde el menú Informes (en el menú Informes detestificación).
Este informe proporciona soporte a la función de reconocimiento de políticas. Estápensado para ejecutarse de forma planificada y realiza las siguientes tareas:v Encuentra todos los objetos Campaña con el estado Listo para empezar asociado
a las políticas publicadas.v Encuentra todos los empleados activos que cumplen los mismos criterios de los
requisitos de testificación definidos en el objeto Campaña.v Crea un registro Testificación para cada empleado coincidente con esa campaña
de política.v Conduce el registro Testificación a la página de inicio del empleado utilizando
la lista filtrada de la página de inicio configurada.
Capítulo 4. Ayudantes 45
v Envía a cada empleado una notificación por correo electrónico y los avisa de queuna testificación ha vencido.
Asistente Obtener líneas baseIniciado desde un enlace de campo calculado del objeto Plan de control, esteasistente copia la línea base seleccionada desde la biblioteca al entorno operativode TI y copia o crea y rellena previamente riesgos descendentes, controles yplanificaciones de prueba. El asistente crea asociaciones desde los nuevoselementos a los elementos de biblioteca y graba la información de estado en elcampo de descripción adicional de la línea base creada.
Asistente Crear enlaces de recursosIniciado desde el enlace a un campo calculado en el objeto de recurso, esteayudante crea un Enlace de recurso como un elemento secundario del recursoinicial y como elemento secundario del recurso seleccionado. El asistente rellenapreviamente los campos en el objeto Enlace de recurso creado.
Asistente Cerrar auditoríaIniciado desde un enlace de campo calculado del objeto de auditoría, el asistentepara cerrar auditorías favorece la automatización del proceso de cierre deauditoría.
Ofrece un resumen y, opcionalmente, detalles de si la auditoría desde la que seinició este asistente y todos sus componentes está preparada para el estado decierre. Cuando todos los componentes están preparados, muestra un botón decierre de auditoría que automatiza las acciones que se realizan cuando se cierrauna auditoría, como la configuración y eliminación de los valores de campos, laeliminación de las instancias de objeto y el bloqueo de objetos.
Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología del cliente.
Asistente para añadir o modificar planificacionesIniciado desde un enlace de campo calculado del objeto de auditoría, el asistentepara añadir o modificar planificaciones hace más sencilla la creación ymodificación de planificaciones de auditoría. Localiza auditores y los rellena en loscampos para asignarlos a las planificaciones.
Estos procesos consumen mucho tiempo, son proclives a errores y difíciles derealizar con la interfaz de usuario de la plataforma.
El asistente proporciona un resumen de las planificaciones de esta auditoría y lacapacidad de modificarlas. Proporciona la posibilidad de añadir un nuevo plan aesta auditoría. También proporciona la capacidad de buscar agrupaciones deauditores o una parte determinada de la agrupación, para localizar auditores quetengan los conocimientos, atributos y requisitos de disponibilidad identificados enla planificación. Permite ver detalles de otras planificaciones para cada auditorlocalizado y seleccionar y rellenar de forma automática al auditor más idóneo apartir de los resultados de búsqueda.
Utilice los ajustes de texto de la aplicación y del registro para configurar estecomponente de forma que se comporte según la metodología del cliente.
46 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Asistente para el informe de entrada de hoja de registro horarioIniciado desde el menú Informes, el asistente para el informe de entrada de hojade registro horario permite a un auditor introducir o revisar sus horas.
Adopta de forma predeterminada la semana actual. Las semanas empiezan enlunes, lo cual es coherente con los informes de gráfico de GANTT. Este informeinteractivo se utiliza para revisar las horas y gastos introducidos previamente ytambién para introducir las horas y gastos reales. El informe se filtra de formaautomática al usuario actual y para incluir planes para los que el usuario es elauditor asignado.
El usuario se puede mover a una semana próxima utilizando los botones Semanaanterior y Semana siguiente. El usuario puede ir a otra semana que no estépróxima utilizando un widget de calendario para seleccionar una fecha en lasemana deseada y después haciendo clic en el botónIr a semana.
Las horas y los gastos se pueden introducir solo en relación con planes que tenganasignados auditores. Navegue hasta la semana para la que desee introducir oconsultar las horas y los gastos. No hay ninguna restricción sobre la creación omodificación de las hojas de registro de horas por adelantado o atrasado salvo ladel Estado. Las filas de la hoja de registro horario con estado Enviado o Aprobadono se pueden editar.
Al hacer clic en Guardar, los objetos de la hoja de horas se crean y se rellenan paralas filas nuevas y los valores se guardan en las hojas de horas existentes. Losgastos y las horas son una única entrada por fila a la semana y no se desglosan encategorías de gastos. El tiempo y los gastos se introducen y se muestran siempreen la moneda base.
Configure este componente como resulte adecuado para la metodología delcliente.No configure un informe de página de inicio incorporada. Si lo hace,utilizará toda la página de inicio e impedirá que el usuario acceda al contenidosubyacente.
Asistente para el informe de entrada de hoja de registro horario deladministrador
Iniciado desde el menú Informes, el asistente para el informe de entrada de la hojade registro horario del administrador es una extensión del asistenta para el informede entrada de registro horario que incluye una página de ámbito que permite a losusuarios con acceso a este informe seleccionar un usuario diferente para introducirlas horas relativas a él.
La versión del asistente para los administradores incluye los botones Aprobar yRechazar, así como funciones asociadas.
Configure este componente para que se comporte según la metodología del cliente.No configure un informe de página de inicio incorporada. Si lo hace, utilizará todala página de inicio e impedirá que el usuario acceda al contenido subyacente.
Capítulo 4. Ayudantes 47
48 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 5. Notificaciones
Las notificaciones son correos electrónicos que se envían a los propietarios de unproceso como un recordatorio para actuar. Estas notificaciones se pueden produciren diferentes etapas de un proceso o como el paso final de un activador.
El documento OpenPages GRC Platform Issue Management and Remediation Details yel documento OpenPages GRC Platform Metrics Details proporcionan más detallessobre los elementos que aparecen en este tema.
Todas las notificaciones que se envían desde las soluciones de IBM OpenPagesGRC Platform utilizan la siguiente dirección de remitente. Configure la direcciónde correo electrónico y los ajustes del servidor utilizando la abreviatura de lasolución adecuada:v /OpenPages/Solutions/ORM/Email/From Email: la dirección del remitente que se
utiliza para enviar notificaciones.v /OpenPages/Solutions/ORM/Email/From Name: configure este elemento para
identificar el nombre del remitente de correo electrónico que se utiliza con lasnotificaciones.
v /OpenPages/Common/Email/Mail Server: configure este elemento para identificarel servidor de correo electrónico que se utiliza para enviar notificaciones.Este elemento es utilizado por ciclos de vida. Para los mensajes de correoelectrónico generados para evaluaciones de cuestionario al iniciar el programa, ladirección del remitente se graba en código fuente en [email protected] los mensajes de correo electrónico generados por otros activadores de ciclode vida, la dirección del remitente se especifica en el archivo trigger.xml. Elvalor predeterminado es [email protected].
Las soluciones de OpenPages GRC Platform constan de diferentes notificaciones.En la tabla siguiente se muestran las notificaciones incluidas para cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 6. Notificaciones en las soluciones de IBM OpenPages GRC Platform
Notificación MRG FCM ORM PCM ITG IAM
“Notificación a través del boletín deproblemas y acciones” en la página 50
X X X X X X
“Notificación de recordatorio de KPI”en la página 50
X X X
“Notificación de infracción de KPI” enla página 50
X X X
“Notificación de recordatorio de KRI”en la página 50
X X X
49
Tabla 6. Notificaciones en las soluciones de IBM OpenPages GRC Platform (continuación)
Notificación MRG FCM ORM PCM ITG IAM
“Notificación de infracción de KRI” X X X
“Notificación de incidente” en la página51
X X
“Notificación de evaluación decuestionario” en la página 51
X X X X X
Notificación a través del boletín de problemas y accionesDurante la fase de cierre del proceso de gestión de problemas y solución (IMR), seenvía un boletín de problemas y acciones como una notificación de correoelectrónico a los usuarios. El boletín resalta áreas importantes, como los problemasvencidos y las acciones que están pendientes de cierre. El administrador puedeestablecer la frecuencia de esta notificación utilizando el boletín de gestión deproblemas y solución (IMR).
Notificación de recordatorio de KPILa notificación de recordatorio de KPI es un correo electrónico que se envía alpropietario del KPI. Contiene una lista de todos los valores de KPI que elpropietario o el destinatario necesitan capturar en los próximos siete días.
Notificación de infracción de KPILa notificación de infracción de KPI envía un correo electrónico al propietario delriesgo cuando un estado de infracción de KPI cambia de verde a rojo o de ámbar arojo.
El activador de ciclo de vida del KPI inicia la notificación de la infracción del KPI.La notificación por correo electrónico incluye un enlace al KPI que contiene lainfracción y aconseja al propietario del riesgo revisar la infracción y adoptar lasacciones oportunas.
Notificación de recordatorio de KRILa notificación de recordatorio de KRI es un correo electrónico que se envía alpropietario del KRI. Contiene una lista de todos los valores de KRI que elpropietario o el destinatario necesitan capturar en los próximos siete días.
Notificación de infracción de KRILa notificación de infracción de KRI envía un correo electrónico al propietario delriesgo cuando un estado de infracción de KRI cambia de verde a rojo o de ámbara rojo.
El activador de ciclo de vida del KRI inicia la notificación de la infracción del KRI.La notificación por correo electrónico incluye un enlace al KRI que contiene lainfracción y aconseja al propietario del riesgo revisar la infracción y adoptar lasacciones oportunas.
50 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Notificación de incidenteLa notificación de incidente envía un correo electrónico a un responsable de ciclode vida cuando se crea un incidente y para cada transición del ciclo de vida delincidente. Se produce una transición cuando un usuario pulsa un icono detransición (Ciclo de vida > Inicio, Enviar para revisión, Escalar, Rechazo derevisión, Cierre de revisión, Enviar para revisión de escalada, Desescalar, Cierrede revisión de escalada, Rechazo de revisión de escalada o Reabrir) en la vista dedetalles del incidente.
El activador de ciclo de vida de incidente inicia la notificación de incidente. Lanotificación de correo electrónico contiene la etapa, el estado y un enlace alincidente.
Notificación de evaluación de cuestionarioLa notificación de evaluación de cuestionario envía un correo electrónico a unresponsable de ciclo de vida cuando un programa crea una evaluación decuestionario y para cada transición del ciclo de vida. Se produce una transicióncuando un usuario pulsa un icono de transición (Enviar, Enviar y cerrar, Acción >Rechazar, Acción > Aprobar y cerrar, Acción > Enviar para aprobación y Acción> Aprobar) en la interfaz de usuario del cuestionario.
El activador de ciclo de vida de evaluación de cuestionario inicia la notificación deevaluación de cuestionario. La notificación de correo electrónico contiene la etapa,el estado y un enlace a la evaluación de cuestionario.
Capítulo 5. Notificaciones 51
52 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 6. Informes
Las soluciones de IBM OpenPages GRC Platform constan de diferentes informes.
El documento OpenPages GRC Solutions Report Details proporciona detallesadicionales sobre los informes que se mencionan en este tema. Existen informesadicionales que se instalan con OpenPages GRC Platform y están disponibles paratodas las soluciones, que se describen en IBM OpenPages GRC PlatformAdministrators Guide.
Las siguientes tablas muestran los informes que se incluyen con cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 7. Informes de análisis de riesgos en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Lista de evaluación deriesgos
X X X X X
Estado de la evaluación deriesgos
X X X X X
Resumen de evaluación deriesgos
X X X X X
Problemas y planes de acciónde evaluación de riesgos
X X X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de evaluación de riesgos” en la página 56.
Tabla 8. Informes de riesgos en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Análisis de riesgos X X X X X
Gráfica de riesgos X X X X X
Clasificación de riesgo porentidad
X X X X X
Clasificación de riesgo porcategoría
X X X X X
Riesgos principales X X X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de riesgos” en la página 57.
53
Tabla 9. Informes de control en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Matriz de riesgo y control X X X X X
Gráfica de la eficacia decontrol
X X X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de control” en la página 58.
Tabla 10. Informes de prueba en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Panel de pruebas X X X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de prueba” en la página 58.
Tabla 11. Informes de visualización en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Análisis de proceso X X X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de visualización” en la página 59.
Tabla 12. Informes de indicadores en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Panel KRI X X X
Panel KPI X X X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de indicador” en la página 59.
Tabla 13. Informes de eventos de pérdida en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Panel de evento de pérdida X
Resumen de eventos depérdida
X
Tendencia de eventos depérdida
X
Riesgo frente a pérdida X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de eventos de pérdida” en la página 59.
Tabla 14. Informes de gestión de problemas y correcciones en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Panel de control deproblemas de ORM
X
54 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 14. Informes de gestión de problemas y correcciones en las soluciones de IBM OpenPages GRCPlatform (continuación)
Informe MRG FCM ORM PCM ITG IAM
Elementos de acción yproblemas de ORM
X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de gestión de problemas y corrección” en la página 60.
Tabla 15. Informes de análisis de escenario en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Resumen de escenario X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de análisis de escenarios” en la página 60.
Tabla 16. Informes de modelado de capital en soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Contribución de capital porentidad empresarial
X
Contribución de capital porcategoría de riesgo
X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de modelado de capital” en la página 61.
Tabla 17. Informes de conformidad con la normativa en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Eficacia de control deproceso por mandato
X
Matriz de aplicabilidad delreglamento
X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de cumplimiento normativo” en la página 61.
Tabla 18. Informes de activos de TI en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Línea base X
Plan de control X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de activos de TI” en la página 62.
Tabla 19. Informes de conformidad de TI en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Eficacia de control de TI pormandato
X
Capítulo 6. Informes 55
Tabla 19. Informes de conformidad de TI en las soluciones de IBM OpenPages GRC Platform (continuación)
Informe MRG FCM ORM PCM ITG IAM
Biblioteca de requisitos X
Biblioteca de requisitos delUCF
X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de conformidad de TI” en la página 62.
Tabla 20. Informes de gestión de auditorías en las soluciones de IBM OpenPages GRC Platform
Informe MRG FCM ORM PCM ITG IAM
Universo de auditoría X
Plan de auditoría X
Plan de auditor X
Descripción general deauditoría
X
Informe de auditoría interna X
Desviación de auditoría X
Desviación del auditor X
Entrada de hoja de registrohorario
X
Entrada de hoja de registrohorario del administrador
X
Para obtener más información relacionada con la tabla anterior, consulte elapartado “Informes de gestión de auditoría” en la página 63.
Informes de evaluación de riesgosLos informes de evaluación de riesgos proporcionan soporte al equipo directivopara tomar mejores decisiones que conducen a la acción. Estos informes formanparte de la fase de acción del proceso de evaluación de riesgos y autocontrol(RCSA).
En la tabla siguiente se describen los informes de evaluación de riesgo disponibles.Los usuarios pueden profundizar en algunos informes para obtener más detalles.
Tabla 21. Informes de evaluación de riesgos
NombreInforme de acceso adetalles Descripción
Lista de evaluaciónde riesgos
Muestra detalles de la evaluación de riesgospara una entidad empresarial específica ytodos sus descendientes.
Estado de laevaluación de riesgos
Detalle del estado dela evaluación deriesgos
Muestra un gráfico de columnas apiladoque muestra el estado de las evaluacionesde riesgos para la entidad empresarialespecificada y sus descendientes directos.
56 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 21. Informes de evaluación de riesgos (continuación)
NombreInforme de acceso adetalles Descripción
Resumen deevaluación de riesgos
Problemas y planesde acción deevaluación de riesgos
Muestra los detalles de las evaluaciones deriesgos junto con sus riesgos y controlesasociados. Un informe de acceso a losdetalles muestra los problemas y loselementos de acción relacionados con lasevaluaciones de riesgos, los riesgos y loscontroles.
Problemas y planesde acción deevaluación de riesgos
Muestra todos los problemas y elementosde acción relacionados con la evaluación deriesgos seleccionada y sus riesgos ycontroles asociados. El objeto principal solomuestra los elementos principales de laevaluación de riesgos, el riesgo y loscontroles.
El informe solicita dos valores: la entidadempresarial y la evaluación de riesgos. Losdatos se filtran según la entidadseleccionada. Los usuarios pueden elegirentre todas las evaluaciones de riesgos queestán asociadas, directa o indirectamente, ala entidad empresarial seleccionada.
Informes de riesgosHay informes de riesgo disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en algunos informes para obtener másdetalles.
Tabla 22. Informes de riesgos
NombreInforme de acceso adetalles Descripción
Análisis de riesgos Muestra los riesgos agrupados por procesopara una entidad empresarial especificada.
Gráfica de riesgos Detalle de riesgos Muestra una tabla que agrega riesgos porimpacto residual y la probabilidad para unadeterminada entidad empresarial.
Clasificación deriesgo por entidad
Detalle declasificación deriesgos por entidad
Muestra información de resumen declasificación de riesgos residuales para laentidad empresarial seleccionada y susdescendientes. Un informe de acceso a losdetalles muestra detalles de los riesgos.
Clasificación deriesgo por categoría
Detalle declasificación deriesgos por categoría
Muestra información de resumen declasificación de riesgos residuales y decategorías de riesgo para la entidadempresarial seleccionada. Un informe deacceso a los detalles muestra detalles de losriesgos.
Capítulo 6. Informes 57
Tabla 22. Informes de riesgos (continuación)
NombreInforme de acceso adetalles Descripción
Riesgos principales Muestra un resumen de los principalesriesgos clasificados por exposición de riesgoresidual y también muestra la exposición deriesgo inherente.
De forma predeterminada, los campos deevaluación cuantitativos no están incluidosen las siguientes soluciones, por lo que esposible que este informe no resulteadecuado para los usuarios de estassoluciones:
v IBM OpenPages Policy and ComplianceManagement
v IBM OpenPages Financial ControlsManagement
v IBM OpenPages IT Governance
Informes de controlHay informes de control disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en algunos informes para obtener másdetalles.
Tabla 23. Informes de control
NombreInforme de acceso adetalles Descripción
Matriz de riesgo ycontrol
Muestra datos de riesgo y de control parala entidad empresarial y los procesosespecificados.
Gráfica de la eficaciade control
Detalle de la eficaciade control
Muestra recuentos de controles agrupadospor procesos y eficacia operativa. Uninforme detallado contiene más detalles.
Informes de pruebaHay informes de prueba disponibles en las soluciones de IBM OpenPages GRCPlatform. Los usuarios pueden profundizar en ellos para obtener más detalles.
Tabla 24. Informes de prueba
NombreInforme de acceso adetalles Descripción
Panel de pruebas Detalle de panel depruebas
Muestra información de resumen de losresultados de las pruebas para la entidadempresarial seleccionada. Un informe deacceso a detalles muestra informacióndetallada.
58 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Informes de visualizaciónHay informes de visualización disponibles en las soluciones de IBM OpenPagesGRC Platform. Los usuarios pueden profundizar en ellos para obtener másdetalles.
Tabla 25. Informes de visualización
NombreInforme de acceso adetalles Descripción
Análisis de proceso Diagrama de flujos deproceso empresariales
Diagrama dejerarquía de entidadesempresariales
Gráfica de riesgos
Muestra el riesgo y los controles en elcontexto de un diagrama de proceso.Proporciona una vista agregada del riesgo ylos controles con puntuaciones de riesgo yeficacia de control en el nivel de proceso yentidad empresarial.
Informes de indicadorLa elaboración de informes es la fase final del ciclo de indicadores clave de riesgo(KRI) o de indicadores clave de rendimiento (KPI). Después de que el propietariodefine los KRI o los KPI, y captura sus valores, se suministran los informes deindicador estándar para ofrecer información de resumen de las entidadesempresariales seleccionadas.
En la tabla siguiente se describen los informes de indicadores disponibles en lassoluciones IBM OpenPages Operational Risk Management, IBM OpenPages Policyand Compliance Management e IBM OpenPages IT Governance. Los usuariospueden profundizar en ellos para obtener más detalles.
Tabla 26. Informes de indicador
NombreInforme de acceso adetalles Descripción
Panel KRI Detalle del panel KRI Muestra información de resumen del KRIrelativa a la entidad empresarialseleccionada y sus descendientes. Uninforme de acceso a detalles muestrainformación detallada.
Panel KPI Detalle del panel KPI Muestra información de resumen del KPIrelativa a la entidad empresarialseleccionada y sus descendientes. Uninforme de acceso a detalles muestrainformación detallada.
Informes de eventos de pérdidaLos informes de eventos de pérdida garantizan que la información sobre eventosde pérdida se recopilará de forma coherente en la totalidad de la organización.
En la tabla siguiente se describen los informes de eventos de pérdida disponiblesen IBM OpenPages Operational Risk Management. Los usuarios puedenprofundizar en algunos informes para obtener más detalles.
Capítulo 6. Informes 59
Tabla 27. Informes de eventos de pérdida
NombreInforme de acceso adetalles Descripción
Panel de evento depérdida
Detalle del panel deevento de pérdida
Muestra el total de eventos de pérdida parala entidad empresarial seleccionada, y susdescendientes, desglosados por estado ycategoría de riesgo. Un informe de acceso adetalles muestra información detallada.
Resumen de eventosde pérdida
Detalle del evento depérdida
Muestra un gráfico de columnas (querepresentan entidades) que muestra laspérdidas netas desglosadas por categoría deriesgo. Un informe de acceso a los detallesmuestra detalles de los eventos de pérdida.
Tendencia de eventosde pérdida
Detalle de tendenciadel evento de pérdida
Muestra la tendencia de la pérdida neta porcategoría de riesgo para una entidadempresarial especificada.
Riesgo frente apérdida
Muestra la pérdida neta anual de unaentidad empresarial para una fechaespecificada en comparación con laexposición al riesgo residual actual.
Informes de gestión de problemas y correcciónLos problemas son elementos que se identifican en relación con la infraestructuradocumentada. Se considera que afectan de forma negativa a la gestión ynotificación de los riesgos de forma precisa.
En la tabla siguiente se describen los informes de gestión de problemas ycorrección disponibles en IBM OpenPages Operational Risk Management. Losusuarios pueden profundizar en algunos informes para obtener más detalles. Parausuarios de otras soluciones hay dos informes de plataforma: Lista de problemas yElementos de acción y problemas.
Tabla 28. Informes de gestión de problemas y corrección
NombreInforme de acceso adetalles Descripción
Panel de control deproblemas de ORM
Detalle del panel deproblemas
Muestra una representación gráfica delnúmero de problemas por estado. Elinforme entra en el ámbito del objeto deentidad y del rango de fechas.
Elementos de accióny problemas de ORM
Variante del informe Detalle del panel deproblemas. Muestra información deresumen sobre los elementos de acciónasociados.
Informes de análisis de escenariosLos escenarios implican la cuantificación de sucesos significativos (impactos yfrecuencias de eventos potenciales) que se pueden producir en una organización. Elanálisis captura los escenarios hipotéticos de pérdidas. Los informes de análisis deescenarios son la base de las revisiones de los escenarios existentes para cadaunidad de negocio.
60 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
En la tabla siguiente se describen los informes de análisis de escenarios disponiblesen IBM OpenPages Operational Risk Management. Los usuarios puedenprofundizar en ellos para obtener más detalles.
Tabla 29. Informes de análisis de escenarios
NombreInforme de acceso adetalles Descripción
Resumen de escenario Detalle de resultadosde escenario
Muestra todos los escenarios por entidad.Los detalles incluyen el ID, la descripción,el estado y el propietario.
Informes de modelado de capitalLos informes de modelado de capital proporcionan información sobrecontribuciones de capital.
En la tabla siguiente se describen los informes de modelado de capital disponiblesen IBM OpenPages Operational Risk Management.
Tabla 30. Informes de modelado de capital
NombreInforme de acceso adetalles Descripción
Contribución decapital por entidadempresarial
Muestra la contribución de capital al capitalglobal de la empresa de cada entidadempresarial.
Contribución decapital por categoríade riesgo
Muestra la contribución de capital al capitalglobal de la empresa de cada categoría deriesgo.
Informes de cumplimiento normativoEn la tabla siguiente se describen los informes de cumplimiento normativodisponibles en IBM OpenPages Policy and Compliance Management. Los usuariospueden profundizar en algunos informes para obtener más detalles.
Tabla 31. Informes de cumplimiento normativo
NombreInforme de acceso adetalles Descripción
Eficacia de control deproceso por mandato
Eficacia de control deproceso porsubmandato
Para una entidad empresarial seleccionada,el informe muestra mandatos asociados conel % de controles efectivos asociados con losprocesos. Un informe de acceso a detallesmuestra información detallada.
Matriz deaplicabilidad delreglamento
Muestra una vista de matriz de losmandatos y de las entidades empresarialesa los que se aplican.
Capítulo 6. Informes 61
Informes de activos de TIEn la tabla siguiente se describen los informes de activos de TI disponibles en IBMOpenPages IT Governance.
Tabla 32. Informes de activos de TI
NombreInforme de acceso adetalles Descripción
Línea base Muestra atributos clave de la línea baseseleccionada, junto con los requisitosasociados y las actividades de control yprocedimientos de prueba recomendados.
Plan de control Muestra atributos clave del plan de controlseleccionado, junto con líneas baseasociadas, sus requisitos y actividades decontrol y procedimientos de pruebarecomendados e implementados.
Informes de conformidad de TIEn la tabla siguiente se describen los informes de conformidad de TI disponiblesen IBM OpenPages IT Governance. Los usuarios pueden profundizar en algunosinformes para obtener más detalles.
Tabla 33. Informes de conformidad de TI
NombreInforme de acceso adetalles Descripción
Eficacia de control deTI por mandato
Eficacia de control deTI por submandato
Para una entidad empresarial seleccionada,el informe muestra mandatos asociados conel % de controles efectivos asociados con losplanes de control. Un informe de acceso adetalles muestra información detallada.
El informe analiza los controles del entornooperativo de TI que se comparten entre losmandatos y las líneas base en el entornooperativo de TI. Ofrece una vista de laefectiva del control operativo por mandato.Un subinforme accede a los detalles delmandato seleccionado para mostrar laeficacia del control operativo porsubmandato. El otro subinforme accede alos detalles del mandato seleccionado paramostrar los resultados de las pruebasagrupados por recurso (tipo=Aplicación).Este informe proporciona una vista de laconformidad de cada aplicación. Esteinforme se ejecuta siempre desde el entornooperativo de TI (filtra la entidadempresarial de biblioteca).
62 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 33. Informes de conformidad de TI (continuación)
NombreInforme de acceso adetalles Descripción
Biblioteca derequisitos
Para los requisitos seleccionados, el informemuestra todas las leyes y regulacionesaplicables.
Informa de la jerarquía desde los requisitosque se ajustan al ámbito de la solicitudhasta los submandatos y mandatos quesatisface cada uno de esos requisitos. Estodemuestra que cumplir este único requisitosatisface muchas leyes. El informe tiene unasola página por requisito y mandatosasociados. Este informe se ejecuta desde labiblioteca.
Biblioteca derequisitos del UCF
Para los controles armonizados del UCF, elinforme muestra todos los documentos dela autoridad aplicables.
Informes de gestión de auditoríaEn la tabla siguiente se describen los informes de gestión de auditoría disponiblesen IBM OpenPages Internal Audit Management. Los usuarios pueden profundizaren algunos informes para obtener más detalles.
Tabla 34. Informes de gestión de auditoría
NombreInforme de acceso adetalles Descripción
Universo de auditoría Para la organización de auditoría seleccionada, este informemuestra las entidades auditables, además de la clasificación deriesgos y los resultados de auditorías anteriores.
El ámbito se define por entidad empresarial y los usuariospueden elegir el orden de clasificación. Si la entidadempresarial seleccionada se encuentra en la jerarquíaempresarial de auditoría interna, el informe muestra la partedel universo de auditoría que es propiedad de ese equipo deauditoría interna. Si la entidad empresarial se encuentra dentrode la jerarquía organizativa, el informe muestra los elementosdel universo de auditoría que están asociados con esa entidadempresarial o cualquier entidad empresarial descendente. Esteinforme se utiliza en las fases de planificación anual tempranaspara determinar qué elementos del universo de auditoría seauditarán este año.
Capítulo 6. Informes 63
Tabla 34. Informes de gestión de auditoría (continuación)
NombreInforme de acceso adetalles Descripción
Plan de auditoría Detalle del plan deauditoría
Para la organización de auditoría seleccionada y el rango defechas, este informe proporciona una vista de diagrama GANTTde la planificación de la auditoría.
El ámbito se define por entidad empresarial y rango de fechas,un usuario puede mostrar información por días, semanas,meses o trimestres. El rango de fechas seleccionado muestra elplan anual actual, un plan de 3 o 5 años, o un intervalo detiempo de planificación. Al ver el informe, podrá ver la vistadetallada para mostrar los detalles de cada auditoríaprogramada para cada entidad auditable. La vista resumida lepermitirá ver un resumen de las auditorías de cada entidadauditable. Si la fecha de inicio y final programadas de laauditoría y la fecha se solapan con una celda, la celda entera seresaltará. Las celdas de resumen que se muestran en color rojoindican que se ha programado más de una auditoría duranteese tiempo para la entidad auditable. El informe se filtra paraincluir solo las auditorías cuyo estado se haya definido comoPlanificado o Programado.
Plan de auditor Detalle del plan deauditor
Para la organización de auditoría seleccionada, los auditores yel rango de fechas, este informe proporciona una vista dediagrama GANTT de las planificaciones.
El ámbito se define por entidad empresarial, auditor y rango defechas, se puede mostrar información por días, semanas, meseso trimestres. Los auditores disponibles son aquellos asociadoscon la entidad empresarial seleccionada o sus descendientes. Elrango de fechas seleccionado muestra la planificación anualactual o un intervalo de tiempo de planificación. Al ver elinforme, podrá alternar entre la vista detallada (muestra losdetalles de cada planificación de cada auditor) y la vistaresumida (muestra solo un resumen de las planificaciones decada auditor). Si un auditor se programa para más de unaplanificación en una determinada columna, la celda entera seresaltará. Las celdas de resumen que se muestran en color rojoindican que se ha asignado más de una planificación duranteese tiempo al auditor. El informe no utiliza la información delporcentaje asignado de la planificación para determinar si existeun conflicto.
Descripción general deauditoría
v Detalle deconclusiones deauditoría
v Detalle de problemasde auditoría
v Detalle decomentarios derevisión de auditoría
Para la auditoría seleccionada, vista del estado de sus seccionese informes y vistas de las conclusiones, problemas ycomentarios de revisión de auditoría asociados.
Si se define el ámbito por auditoría, el informe incluye lasconclusiones, los problemas y los comentarios de revisión queson elementos secundarios directos de la auditoría, las seccionesy los informes. Al hacer clic en el número de problemas,conclusiones o comentarios de revisión de auditoría, se iniciaráun informe detallado, con más detalles y enlaces a los objetosde la aplicación.
64 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 34. Informes de gestión de auditoría (continuación)
NombreInforme de acceso adetalles Descripción
Informe de auditoríainterna
Informe completo de la auditoría asociada, incluidos unresumen ejecutivo y conclusiones y problemas asociados.
El ámbito se define por entidad auditable y después porauditoría. Incluye conclusiones asociadas con auditorías,secciones de auditoría e informes y los problemas asociados conla auditoría.
Desviación de auditoría Para la auditoría seleccionada, vista de sus planes y seccionesde auditoría, incluida información sobre planificaciones ypresupuestos, con las desviaciones significativas resaltadas.
Este informe enumera los planes y las secciones de la auditoríaseleccionada. Incluye información sobre planificaciones ypresupuestos y las desviaciones significativas aparecenresaltadas. Las celdas que se muestran en color amarillo indicanque falta información esencial. Las celdas que se muestran encolor rojo indican una desviación no favorable de laplanificación de más de un 20 %.El ámbito se define porentidad auditable y después por auditoría. Incluye la auditoríaseleccionada y los planes y secciones de auditoría asociadosdirectamente con la auditoría.
Desviación del auditor Para los auditores seleccionados, vista de sus fechas, horas ygastos reales y previstos.
El ámbito se define por entidad empresarial de auditores,auditor y rango de fechas. Los auditores disponibles sonaquellos asociados con la entidad empresarial seleccionada osus descendientes. El rango de fechas seleccionado permite verun intervalo de tiempo concreto. El informe muestra los planesde cada auditor seleccionado, incluidas las fechas iniciales yfinales programadas, previstas y reales, así como el número dehoras planificadas para cada uno y el número de horas realesen la hoja de horas, así como la cantidad de tiempo y gastosplanificados y reales registrados para cada plan durante cadaperíodo de tiempo. Las celdas que se muestran en color rojoindican que están un 20 % o más por encima de las cantidadesplanificadas. Incluye todos los planes en los que el auditor hasido seleccionado; las planificaciones que no tienen asignado unauditor no se incluyen en este informe. El informe incluye unafila de resumen para cada auditor y para todo el informe. Estáen formato HTML de forma predeterminada y también seencuentra disponible en formato de Microsoft Excel.
Entrada de hoja deregistro horario
Consulte “Asistente para el informe de entrada de hoja deregistro horario” en la página 47.
Entrada de hoja deregistro horario deladministrador
Entrada de hoja deregistro horario
Consulte “Asistente para el informe de entrada de hoja deregistro horario del administrador” en la página 47.
Capítulo 6. Informes 65
66 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 7. Activadores
IBM OpenPages GRC Platform incluye varios activadores.
El documento OpenPages GRC Platform Solution Trigger Details proporciona másdetalles sobre los activadores que aparecen en este tema.
En la tabla siguiente se muestran los activadores incluidos para cada solución deforma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 35. Activadores en soluciones de IBM OpenPages GRC Platform
Activador MRG FCM ORM PCM ITG IAM
“Activadores de gestión deproblemas y corrección” enla página 68
X X X X X X
“Activadores de evaluacionesde riesgos y autocontrol” enla página 70
X X X X X
“Activadores devisualización” en la página70
X X X X X
“Activadores del ciclo devida de KRI y KPI” en lapágina 70
X X X
“Activadores del ciclo devida de eventos de pérdida”en la página 71
X
“Activadores de ciclo de vidade evaluación decuestionario” en la página 72
X X X X X
“Activador de importaciónde políticas” en la página 73
X
“Activador de bloqueo depolíticas” en la página 75
X
“Activador de cálculos declasificación de riesgos de laauditoría” en la página 75
X
“Activador deautomatización de cierre deauditoría” en la página 75
X
“Activadores de ciclo de vidade incidente” en la página 76
X X
67
Tipos de objeto que contienen activadoresPara poder utilizar la herramienta ObjectManager para cargar los datos deinstancias XML, inhabilite los activadores en cualquier tipo de objeto para el quedesee cargar datos.
En la tabla siguiente se listan los tipos de objeto para los que se han incluidoactivadores de forma predeterminada.v MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
Tabla 36. Tipos de objeto que contienen activadores en soluciones IBM OpenPages GRC Platform
Tipo de objeto MRG FCM ORM PCM ITG IAM
Entrada de datos X X X X X
Salida de datos X X X X X
Riesgo X X X X X
Problema X X X X X X
Elemento de acción X X X X X X
Evaluación de cuestionario X X X X X
Evento de pérdida X
Impacto de pérdida X
Recuperación de pérdidas X
Valor de KPI X X X
Valor de KRI X X X
Archivo (SOXDocument) X
Política X
Auditoría X
Comentario de revisión deauditoría
X
Sección de auditoría X
Conclusión X
Planificación X
Hoja de registro horario X
Informe de trabajo X X
Incidente X X
Activadores de gestión de problemas y correcciónEn un entorno de Gestión de problemas y corrección (IMR), puede documentar deforma efectiva, supervisar, solucionar y auditar problemas.
68 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Los problemas son elementos que se identifican en relación con el entornodocumentado y afectan de forma negativa a la gestión y notificación de los riesgosde forma precisa. A lo largo de su ciclo de vida, un problema puede tener uno deestos dos estados: Pendiente o Cerrado.
Para resolver el problema identificado, el propietario del problema establece yregistra las acciones adecuadas. Cuando se finaliza una acción, el usuario asignadoestablece la acción como Enviar para aprobación. Cuando se guarda el campo, seinicia un activador, el cual realiza las siguientes acciones:v Copia el valor del campo Propietario del problema desde el problema principal
al campo Propietario del problema para aprobación de la acción.v Establece el campo Estado de acción como En espera de aprobación.v Envía un correo electrónico al propietario del problema informándole de que
una acción está a la espera de aprobación.
El propietario del problema revisa la acción y aprueba o rechaza el cierre delproblema en el campo Aprobar/Rechazar.
Si el propietario del problema selecciona Aprobar, se inicia un activador yestablece el campo Estado como Cerrado.
Si el propietario del problema selecciona Rechazar, se inicia un activador, el cualrealiza las siguientes acciones:v Revierte el campo de estado a Pendiente.v Establece el campo Enviar para aprobación como No.v Envía un correo electrónico al usuario al que se ha asignado la acción para
informarle de que la acción se ha rechazado.
Los siguientes activadores automatizan el proceso de gestión de problemas:v “Activador de ciclo de vida del problema”v Ciclo de vida de acción
Activador de ciclo de vida del problemaEl activador de ciclo de vida del problema establece la Fecha de Vencimientooriginal de la primera instancia de Guardar problema y comprueba si hayAcciones pendientes cuando el estado del problema es Cerrado.
Cuando se crea o actualiza un tipo de objeto Problemas y el estado se establececomo Cerrado, el activador realiza las siguientes acciones:v El activador comprueba todas las Acciones secundarias directas y determina si
están todas cerradas. Si alguna Acción tiene el estado Pendiente o En espera deaprobación, el activador genera un mensaje de error. Si todas las Acciones secierran, el activador guarda los cambios.
Nota: Como administrador, puede configurar el mensaje de error utilizando elmenú Administrador > Configuración.
v Si la Fecha de vencimiento original del Problema está en blanco, el activadorrellena la Fecha de vencimiento original con el valor Fecha de vencimientoactual.
Capítulo 7. Activadores 69
Activadores de evaluaciones de riesgos y autocontrolEl proceso de evaluaciones de riesgos se utiliza para identificar, evaluar ycuantificar el perfil de riesgo de una empresa. Cada riesgo se evalúa sobre unabase cuantitativa o cualitativa.
Los activadores proporcionan el flujo de proceso para la evaluación de riesgos yautocontrol de la empresa.
Cuando se guarda un riesgo, el activador de la clasificación de riesgo cualitativadetermina una puntuación de riesgo de Baja, Media, Alta o Muy alta. El activadortambién rellena los campos cuantitativos ocultos: Gravedad, Frecuencia yExposición.
Cuando se guarda un riesgo, el activador de la clasificación de riesgos cuantitativarealiza las siguientes acciones:1. Calcula la exposición (frecuencia x gravedad)2. Calcula la clasificación del riesgo como Baja, Media, Alta o Muy alta.3. Deriva el valor de impacto (1 - 10) en función de una tabla de correlaciones
para cada unidad de negocio que se almacena en su registro Preferencia.4. Deriva el valor de probabilidad (1 - 10) en función de una tabla de
correlaciones para cada unidad de negocio que se almacena en su registroPreferencia.
Los siguientes activadores se utilizan para las evaluaciones de riesgos yautocontrol:v Activador de RCSA cuantitativasv Activador de RCSA cualitativasv Activador de envío de aprobación de riesgosv Activador de aprobación de control y riesgos de RCSA
Activadores de visualizaciónLos activadores de visualización evitan que un usuario añada riesgos nuevos comoelementos secundarios de los tipos de objeto Entrada de datos y Salida dedatos.Los objetos Entrada de datos y Salida de datos son elementos secundariosdel proceso y solo pueden tener asociaciones con riesgos existentes. El objeto deentrada de datos representa elementos de un flujo para representar una entrada enel flujo empresarial. El objeto de salida de datos representa una salida de lasactividades dentro de un proceso, como la ejecución de un informe o laactualización de un sistema CRM.
Los riesgos solo se pueden añadir como elementos secundarios de estos tipos deobjetos asociándoles riesgos existentes. Los tipos de objeto de entrada de datos yde salida de datos no pueden ser elementos principales primarios de los riesgos.
Activadores del ciclo de vida de KRI y KPILos activadores del ciclo de vida de KRI y KPI calculan y mantienen valores decampo en los tipos de objeto KRI/KPI y Valor de KRI/KPI. El activador solo seactiva si el estado Recopilación del valor de KRI o KPI se establece comorecopilado.
70 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Cuando un objeto Valor de KRI o KPI se actualiza, se asocia o disocia, el activadorrealiza las siguientes acciones:1. Determina si el KRI o KPI se ha establecido para aprobación.v Si el estado es Sí, el activador actualiza el estado a En espera de aprobación
y continúa con los pasos 2, 3, 4 y 6.v Si el estado es No, el activador actualiza el estado de En espera de
recopilación a Recopilado y continúa con los pasos 2, 3, 4 y 5.2. Copia la información de umbral actual desde el KRI o KPI al valor KRI o KPI
secundario.3. Evalúa el estado de incumplimiento.4. Copia el estado Valor, Fecha del valor, Recopilación e Incumplimiento del
KRI o KPI en el KRI o KPI principal.5. Si el estado del campo Incumplimiento del KRI o KPI cambia de Verde o
Ámbar a Rojo, el activador envía una notificación por correo electrónico alpropietario del riesgo para informarle del incumplimiento.
6. Si el estado se establece como En espera de aprobación, el valor de KRI o KPIaparece en la página de inicio del propietario del KRI o KPI. El propietario delKRI o KPI puede aprobar o rechazar el valor:v Si el propietario del KRI o KPI guarda el registro con un estado de
Rechazado, el Valor y la Fecha del valor del KRI o KPI se cambian a enblanco y el estado del valor de KRI o KPI se establece como En espera derecopilación.
v Si el propietario del KRI o KPI guarda el registro con el estado de Aprobado,el estado Recopilación cambia a Recopilado en el campo Valor y en el KRI oKPI.
Nota: Cuando el propietario del KRI o KPI define el KRI o KPI, el propietariopuede especificar los detalles relativos a su aprobación.
Activadores del ciclo de vida de eventos de pérdidaLos activadores del ciclo de vida de eventos de pérdida calculan y mantienen trescampos en el objeto de evento de pérdida, cuando se crean o modifican los camposrelacionados en cualquier objeto descendiente de impacto de pérdida o derecuperación de pérdidas.
Los activadores automatizan el proceso de aprobación y el rendimiento de lascorrecciones de los eventos de pérdida como se describe en los activadores deenvío para aprobación de eventos de pérdida y de aprobación de eventos depérdida.
El proceso del ciclo de vida de eventos pérdida consta de tres activadores:v “Activador de cálculo de eventos de pérdida”v “Activador de envío para aprobación del evento de pérdida” en la página 72v “Activador de aprobación de eventos de pérdida” en la página 72
Activador de cálculo de eventos de pérdidaEl Activador de cálculo de eventos de pérdida calcula valores de resumen en lamoneda base del sistema de un evento de pérdida en función del impacto depérdida y recuperaciones asociados.
Capítulo 7. Activadores 71
Activador de envío para aprobación del evento de pérdidaEl activador de envío para aprobación del evento de pérdida cambia el evento depérdida de un evento pendiente a la fase de aprobación de su ciclo de vida. Elactivador valida los datos.
El activador se inicia cuando el usuario guarda un evento de pérdida con uncampo Estado que se ha definido como Pendiente y el campo Enviar paraaprobación se ha definido como Sí.
Activador de aprobación de eventos de pérdidaEl Activador de aprobación de eventos de pérdida permite aprobar o rechazareventos de pérdida.
El activador se inicia cuando se establecen todas estas condiciones:v Estado se establece únicamente como Pendiente o Cerrado.v Enviar para aprobación se establece en Sí.v Aprobar/Rechazar no está en blanco.
Activadores de ciclo de vida de evaluación de cuestionarioLas evaluaciones de cuestionarios son un medio de recopilar información de losusuarios de negocio en la organización. Los activadores proporcionan lastransiciones que mueven las evaluaciones de cuestionario durante un ciclo de vida.Los ciclos de vida definen las fases que un tipo de objeto puede seguir. En cadafase, el sistema:v Identifica un responsable de ciclo de vidav Define las acciones disponibles para moverse a una fase diferentev Envía automáticamente un correo electrónico al nuevo responsable de ciclo de
vidav Define otros atributos que están relacionados con la fase actual
Se selecciona el ciclo de vida en el programa. Puede ser de:v Dos fases: recopilación de información hasta a cierrev Tres fases: recopilación de información a revisión y hasta cierrev Cuatro fases: recopilación de información a revisión, a aprobación y hasta cierre
Cuando se inicia un programa, el sistema crea un objeto de evaluación decuestionario por empleado, recursos, proceso o subproceso en el programa.Establece el ciclo de vida en la etapa de recopilación de información y envía uncorreo electrónico al primer responsable de ciclo de vida. Cuando el usuariocompleta la tarea, el activador mueve el objeto a la tarea siguiente y al usuariosiguiente. Un usuario puede añadir un comentario con cada transición. Lastransiciones tienen lugar cuando el usuario trabaja con evaluaciones decuestionario en la UI de cuestionario.
La tabla siguiente resume los ciclos de vida para las evaluaciones de cuestionario.La columna icono de transición contiene el nombre del icono en la interfaz deusuario de cuestionario que un usuario pulsa para activar la transición a lasiguiente fase.
72 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 37. Proceso de ciclo de vida para las evaluaciones de cuestionarios
Ciclo de vida Etapa Icono de transición Etapa siguiente Estado siguiente
Dos fases Recopilación deinformación
Enviar y cerrar Cerrada Completado
Tres fases Recopilación deinformación
Enviar Revisar En revisión
Revisar Acción > Rechazar Recopilación de información Rechazada
Acción > Aprobar ycerrar
Cerrada Completado
Cuato fases Recopilación deinformación
Enviar Revisar En revisión
Revisar Acción > Rechazar Recopilación de información Rechazada
Acción > Enviar paraaprobación
Aprobación En aprobación
Aprobación Acción > Rechazar Revisar Aprobaciónrechazada
Acción > Aprobar Cerrada Completado
Para las evaluaciones de cuestionario, los activos subyacentes determinan el modoen que el sistema establece los responsables de ciclo de vida. La tabla siguienteresume cómo se determinan los asignados de ciclo de vida.
Tabla 38. Asignados de ciclo de vida para las evaluaciones de cuestionarios
Ciclo de vida Etapa Recurso Proceso/subproceso Empleado
Dos etapas Recopilación deinformación
Propietario principal Propietario del proceso Cuenta deempleado
Cerrada - - -
Tres etapas Recopilación deinformación
Propietario principal Propietario del proceso Cuenta deempleado
Revisar Propietario del programa Propietario del programa Gestor deempleados
Cerrada - -
Cuatro etapas Recopilación deinformación
Propietario principal Propietario Cuenta deempleado
Revisar Propietario de negocio Revisor Gestor deempleados
Aprobación Propietario del programa Propietario del programa Propietario delprograma
Cerrada - - -
Activador de importación de políticasEl activador de importación de políticas importa el contenido de la política y delos procedimientos desde un documento Microsoft Word a los campos de política yprocedimiento de IBM OpenPages GRC Platform analizando las distintas seccionesdel documento. Se inicia al comprobar un archivo adjunto del objeto Política.
El activador admite el enfoque híbrido de la gestión de políticas. También admiteel número de versión del enfoque centrado en documentos cuando se extrae un
Capítulo 7. Activadores 73
nuevo documento de política. Como parte del proceso de importación, el activadorrealiza también una validación pormenorizada para asegurarse de que la estructuradel documento Word se ajusta a la plantilla de política definida.
OpenPages GRC Platform o el cliente pueden configurar este componente para quese comporte de acuerdo con la metodología del cliente utilizando los ajustes detexto de aplicación y del registro.
El activador de importación de políticas de IBM OpenPages Policy and ComplianceManagement tiene las siguientes limitaciones conocidas:v Las listas con viñetas solo admiten el formato de viñeta de disco y de círculo.v Las listas numeradas solo admiten decimales, caracteres alfabéticos en
mayúscula, caracteres alfabéticos en minúscula, números romanos en mayúsculay números romanos en minúscula.
v No se admiten fuentes de símbolos. Puede utilizar la opción Insertar símbolo yseleccionar un símbolo utilizando una fuente normal (por ejemplo, el símbolo decopyright).
v La fuente Wingding no es compatible.v No se puede configurar el sombreado desde Formato Bordes y sombreado.
Solución: Utilice el resaltado de texto para obtener un efecto similar. (solo .doc)v No muestra el valor FORMDROPDOWN. (solo .doc)v Las listas ordenadas utilizan siempre un punto como separador. Por ejemplo, si
un elemento de la lista del documento Word se muestra como '1)', se convertiráen '1.' después de la importación.
v En .doc, el estilo del marcador de elementos de lista se inferirá del contenido deltexto de la lista. La familia de fuentes del marcador y el tamaño de la fuentecoincidirán con la primera parte del texto en el elemento de lista. El marcadorserá negrita, cursiva y/o coloreado si el texto entero del elemento de la listatiene el mismo estilo.
v Las imágenes, WordArt y los diagramas no son compatibles.v No admite la importación de una tabla de contenidos.v Todos los estilos de subrayado se muestran como una línea sólida.v No son compatibles los superíndices o los subíndices definidos con un estilo
(solo .doc). Solución: Aplique los subíndices y los superíndices desde el menúFuente en lugar de utilizar un estilo.
v El formateo resuelve el conflicto con los estilos personalizados. Por ejemplo, si elestilo personalizado incluye el formato de texto en negrita y el usuario anula lanegrita del texto de forma manual dentro del documento, el texto se mostrará ennegrita por el estilo Texto en negrita. (solo .doc)
v Las fichas tienen 4 espacios como valor predeterminado Esto no garantiza que seajuste al espacio del documento, porque las fichas se basan en su posición en eldocumento. Se recomienda utilizar el sangrado al alinear el contenido.
v No se garantiza que la sangría francesa (es decir las sangrías de primera línea)se alinee perfectamente, debido a la diferente anchura de los marcadores de loselementos de línea.
v Dentro de las listas, mezclar distintas técnicas para crear viñetas, listas ysangrías suele dar como resultado que los elementos no se alineen correctamentey que la numeración de los elementos sea incorrecta.
v Si se introducen varios retornos de carro para crear espacios no se traducirán enespacio extra.
v Características no admitidas:
74 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
– Cambios en la dirección del texto– Doble tachado– Relieve, grabado y texto sombreado– Efectos de texto– Marcas de énfasis– Espaciado de texto personalizado– Bordes sombreados– Bordes de celda diagonales ascendentes
Activador de bloqueo de políticasEl activador de bloqueo de políticas bloquea la política o la política y suscomponentes (procedimientos, archivos adjuntos, comentarios de revisiones depolíticas) en distintos puntos del proceso de revisión y aprobación. Este activadoradmite los tres enfoques de la gestión de política: centrado en datos, híbrido ycentrado en documentos.
El activador de bloqueo de políticas admite dos casos de uso:v Bloqueo de archivos adjuntos de política para respaldar una política que se
coloca en el ciclo de revisión y aprobación y garantizar que el contenido de lapolítica no se pueda modificar durante las aprobaciones. (Se puede aplicar a losenfoques híbrido y centrado en documentos.)
v Bloqueo de la jerarquía completa del borrador de la política (política,procedimientos, archivos adjuntos y comentarios de revisiones de políticas) unavez que se ha otorgado la aprobación final a la política y está lista para supublicación. (Se puede aplicar a los tres enfoques de la política.)
El cliente puede configurar este componente para que se comporte según sumetodología utilizando los ajustes del registro y de texto de la aplicación.
Activador de cálculos de clasificación de riesgos de la auditoríaEl activador de cálculos de clasificación de riesgos de la auditoría calcula ymantiene los valores del campo de clasificación de riesgos residuales e inherentesde la auditoría en el objeto de riesgo.
El activador RCSA cuantitativas y RCSA cualitativas se aplican al activador decálculos de clasificación de riesgos de la auditoría.
Activador de automatización de cierre de auditoríaEl activador de automatización de cierre de auditoría evalúa la preparación para elcierre de cada componente configurado de una auditoría. El activador estáconfigurado, de forma predeterminada, para los siguientes tipos de objeto:Auditoría, Sección de auditoría, Informe de trabajo, Conclusión, Comentario derevisión de auditoría, Planificación y Hoja de registro horario.
Cuando se crea o actualiza una instancia de un tipo de objeto configurado, elactivador evalúa todos los criterios que se han configurado para ese tipo de objeto.Si se han cumplido todos los criterios, el activador establece el valor del campoPreparado para cierre en Sí. Este valor de campo se utiliza por el asistente de cierrede auditoría para determinar si todos los componentes de la auditoría están listospara el cierre.
Capítulo 7. Activadores 75
Las categorías de criterios de listo para el cierre configuradas incluyen campos queson necesarios, campos de fecha que se deben establecer en la fecha del día encurso o anterior a él, campos de fecha que deben configurarse con una fecha igualo anterior a otros campos de fecha, y campos de usuario que no se puedenconfigurar igual que otros campos de usuario.
Activadores de ciclo de vida de incidenteLos activadores proporcionan las transiciones que mueven incidentes durante unciclo de vida de investigación. Los ciclos de vida definen las fases que un tipo deobjeto puede seguir. En cada fase, el sistema:v Identifica un responsable de ciclo de vidav Define las acciones disponibles para moverse a una fase diferentev Envía automáticamente un correo electrónico al nuevo responsable de ciclo de
vidav Define otros atributos que están relacionados con la fase actual
El ciclo de vida para incidentes utiliza las fases siguientes:v Nuevav En cursov Revisarv Escaladov Revisión de escaladov Cerrada
Cuando se crea un incidente, el sistema establece el ciclo de vida en la nueva fasey envía un correo al primer responsable de ciclo de vida. Cuando el usuariocompleta la tarea, el activador mueve el objeto a la tarea siguiente y al usuariosiguiente. Un usuario puede añadir un comentario con cada transición. Lastransiciones tienen lugar cuando los usuarios abren un objeto de incidente en lavista de detalle y pulsa Ciclo de vida > <icono de transición>. La fase determinael icono de transición que se visualiza.
La tabla siguiente resume cómo el sistema maneja los incidentes y establece elresponsable de ciclo de vida. La columna icono de transición contiene el nombredel Ciclo de vida > <icono de transición> en la vista de detalle de incidente queun usuario pulsa para activar la transición a la fase siguiente.
Tabla 39. Proceso de ciclo de vida y propietarios de la etapa en las incidencias
EtapaAsignado de ciclode vida Icono de transición Etapa siguiente Estado siguiente
Nueva Propietario principal Iniciar En curso En curso
En curso Propietario principal Enviar para revisión Revisar En revisión
Escalar Escalado Escalada
Revisar Revisor Rechazar revisión En curso Revisión rechazada
Cerrar revisión Cerrada Cerrada
Escalado Propietario denegocio
Enviar para revisión deescalado
Revisión de escalado Revisión deescalado
Anular escalado En curso Anular escalado
Revisión deescalado
Revisor Cerrar revisión deescalado
Cerrada Escalada y cerrada
76 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 39. Proceso de ciclo de vida y propietarios de la etapa en las incidencias (continuación)
EtapaAsignado de ciclode vida Icono de transición Etapa siguiente Estado siguiente
Rechazar revisión deescalado
Escalado Revisión deescalado rechazada
Cerrada Ninguna Volver a abrir En curso Reabierto
Capítulo 7. Activadores 77
78 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 8. Perfiles
Las soluciones de IBM OpenPages GRC Platform constan de diferentes perfiles.
De forma predeterminada, se proporciona un perfil maestro a cada solución, queincluye todos los campos y la configuración necesaria para dicha solución. Acontinuación, se muestra una lista de los perfiles maestros:v “Perfil de OpenPages RCM Master” - IBM OpenPages Regulatory Compliance
Managementv “Perfil de OpenPages MRG Master” - IBM OpenPages Model Risk Governancev “Perfil de OpenPages FCM Master” en la página 80 - IBM OpenPages Financial
Controls Managementv “Perfil de OpenPages ORM Master” en la página 80 - IBM OpenPages
Operational Risk Managementv “Perfil de OpenPages PCM Master” en la página 82 - IBM OpenPages Policy and
Compliance Managementv “Perfil de OpenPages ITG Master” en la página 83 - IBM OpenPages IT
Governancev “Perfil de OpenPages IAM Master” en la página 83 - IBM OpenPages Internal
Audit Management
Cuando se han instalado todas las soluciones predeterminadas de OpenPages GRCPlatform, se incluyen también las soluciones para el perfil de OpenPages Master.
OpenPages Operational Risk Management incluye también los siguientes perfilesespecíficos de las soluciones:v “Perfil de ORM Operational Risk Team” en la página 80v “Perfil de ORM Business User” en la página 81v “Perfil de ORM Simplified User” en la página 81v “Perfil OpenPages FIRST Loss” en la página 82
Perfil de OpenPages RCM MasterEl perfil de OpenPages RCM Master incluye los campos y la configuraciónnecesarios para IBM OpenPages Regulatory Compliance Management.
Este perfil incluye los componentes siguientes:v Página de inicio Mi trabajov Campos dependientesv Vistas de Detalle, Contexto, Carpeta, Lista filtrada y Lista
Perfil de OpenPages MRG MasterEl perfil de OpenPages MRG Master incluye los campos y la configuraciónnecesarios para IBM OpenPages Model Risk Governance.
Este perfil incluye los componentes siguientes:v Página de inicio Mi trabajov Campos dependientes
79
v Vistas de Detalle, Contexto, Carpeta, Lista filtrada y Lista
Los subconjuntos de este perfil para utilizarlos con un propietario de modelo,ejecutivo de modelo, revisor de modelo y otros usuarios se crean durante elproyecto de implementación.
Perfil de OpenPages FCM MasterEl perfil de OpenPages FCM Master incluye los campos y la configuraciónnecesarios de IBM OpenPages Financial Controls Management.
Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vista
de cuadrícula y Vistas de lista
Los subconjuntos de este perfil para utilizar con un propietario de proceso, unprobador de control y otro usuario se crean durante el proyecto deimplementación.
Perfil de OpenPages ORM MasterEl perfil de OpenPages ORM Master incluye los campos y configuración necesariosde IBM OpenPages Operational Risk Management.
Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Perfil de ORM Operational Risk TeamEl perfil de ORM Operational Risk Team incluye la configuración que necesita unusuario avanzado que utiliza la mayoría de las funciones de IBM OpenPages GRCPlatform, pero no tiene acceso de lectura a los ID de biblioteca ni a los campos deestado de los objetos.
Un usuario con este perfil puede completar los siguientes eventos:v Mantenimiento de procesosv Gestión de bibliotecas de control de riesgosv Determinar el ámbito de RCSAv Ejecutar y supervisar el proceso de RCSAv Administrar, revisar y supervisar eventos de pérdida
80 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
v Definir y capturar KRIv Gestionar problemas y cerrar accionesv Coordinar análisis de escenarios
Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Perfil de ORM Business UserEl perfil de ORM Business User incluye los campos y configuración que necesitautilizar un administrador de riesgos en las operaciones del negocio. Este usuario esun participante activo en la mayoría de las actividades de gestión de riesgosoperativos.
Un usuario con este perfil puede modificar los siguientes elementos:v Registrar un evento de pérdidav Determinar el ámbito de RCSAv Aprobar evaluaciones de riesgosv Capturar indicadores claves de riesgov Gestionar problemas y cerrar accionesv Participar en talleres de escenario
Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Perfil de ORM Simplified UserEl perfil de ORM Simplified User permite a los usuarios centrarse en eventos depérdida, capturar valores de KRI y gestionar problemas.
Este perfil incluye los componentes siguientes:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientes
Capítulo 8. Perfiles 81
v Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Perfil OpenPages FIRST LossEl perfil OpenPages FIRST Loss incluye los campos y la configuración que facilitanla carga de los datos de FIRST Loss a través de la función FastMap de IBMOpenPages en IBM OpenPages Operational Risk Management.
Los usuarios con este perfil pueden editar todos los campos de los objetos FIRSTLoss para que dichos datos se puedan cargar. Este perfil sólo se debe asignar a losusuarios que sean responsables de la carga de datos de FIRST Loss a través deFastMap. El resto de los usuarios deben tener acceso de solo lectura a objetosFIRST Loss.
Tenga en cuenta que no es necesario asignar este perfil a un usuario. En su lugar,puede configurar la hoja de cálculo FastMap que contiene los datos de FIRST Losspara que se carguen utilizando el perfil OpenPages FIRST Loss.
Este perfil incluye las siguientes características:v Página de inicio Mi trabajo y pestañas de la página de iniciov Listas de selección dependientesv Vistas Detalle, Contexto, Carpeta, Visión general, Lista filtrada y Lista
Perfil de OpenPages PCM MasterEl perfil de OpenPages PCM Master incluye los campos y la configuraciónnecesarios de IBM OpenPages Policy and Compliance Management.
Este perfil incluye:v Filtrosv Página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas
de cuadrícula y Lista
Subconjuntos de este perfil que son adecuados para un administrador deprogramas de cumplimiento, oficial de privacidad y otros usuarios creados duranteel proyecto de implementación.
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio” en la página 83v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
82 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Perfil de OpenPages ITG MasterEl perfil de OpenPages ITG Master incluye los campos y configuración necesariosde IBM OpenPages IT Governance.
Este perfil incluye:v Filtrosv Pestaña de la página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas
de cuadrícula y Lista
Subconjuntos de este perfil que son adecuados para un administrador debibliotecas de TI, un director de TI u otros usuarios creados durante el proyecto deimplementación.
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio”v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Perfil de OpenPages IAM MasterEl perfil de OpenPages IAM Master incluye los campos y configuración necesariosde IBM OpenPages Internal Audit Management.
Este perfil incluye:v Filtrosv Pestaña de la página de inicio Mi trabajo y pestañas de la página de iniciov Campos dependientes y listas de selección dependientesv Campos calculadosv Vistas Actividad, Detalle, Contexto, Carpeta, Visión general, Lista filtrada, Vistas
de cuadrícula y Lista
Subconjuntos de este perfil que son adecuados para un auditor potencial, undirector de auditoría y otros perfiles de usuario creados durante el proyecto deimplementación.
Se proporciona más información en los temas siguientes:v “Listas filtradas de la página de inicio”v “Vistas de actividad” en la página 90v “Vistas de cuadrícula” en la página 99
Listas filtradas de la página de inicioLa siguiente tabla muestra las listas filtradas definidas para la página de inicio Mitrabajo de cada perfil.
La siguiente tabla identifica las listas filtradas definidas para los perfiles que seproporcionan con cada solución.
Capítulo 8. Perfiles 83
Las columnas utilizan abreviaturas para los siguientes perfiles:v RCM = Perfil de RCM Masterv MRG = Perfil de MRG Masterv FCM = Perfil de FCM Masterv ORM = Perfil de ORM Masterv Risk = Perfil de ORM Operational Risk Teamv BU = Perfil de ORM Business Userv SU = Perfil de ORM Simplified Userv PCM = Perfil de PCM Masterv ITG = Perfil de ITG Masterv IAM = Perfil de IAM Master
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Problema
Mis problemas noresueltos
Lista de problemas noresueltos que sonpropiedad del usuarioconectado y querequieren solución.
X X X X X X X X
Resultado de laprueba
Resultados depruebas fallidas
Acceso de la página deinicio a los resultadosde pruebas fallidas.
X
Elemento de acción
Acciones conaprobaciónpendiente
Proporciona una lista deelementos de acción queestán esperandoaprobación. La listamuestra los elementosde acción cuyopropietario delproblema es el usuarioconectado.
X
Elemento de acción
Mis elementos deacción pendientes
Una lista de elementosde acción que estánasignados al usuario,pero no se hancompletado todavía.
X
Problema
Problemas noresueltos
Acceso de la página deinicio a sus problemas
X X X
84 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Valor de KRI
KRI en espera deentrada
Devuelve una lista devalores de KRI quetienen el estado de enespera de recopilación yuna fecha derecopilación prevista enlos próximos 7 días o enlos últimos 365.Requiere establecer elusuario conectado comoel recopilador de KRI.
X X X
Valor de KRI
Mis KRI queincumplen
Devuelve los KRI queson propiedad delusuario conectado conel estado deincumplimiento de colorrojo.
X X X
Valor de KRI
Mis KRI en esperade aprobación
Devuelve los valores deKRI que coinciden conel estado de larecuperación de Enespera de aprobación yel propietario de los KRIes el usuario conectado.
X X X
Valor de KPI
KPI en espera deentrada
Devuelve una lista devalores de KPI quetienen el estado de enespera de recopilación yuna fecha derecopilación prevista enlos próximos 7 días o enlos últimos 365.Requiere establecer elusuario conectado comoel recopilador de KPI.
X X X
Valor de KPI
Mis KPI en esperade aprobación
Devuelve los valores deKPI que coinciden conel estado de larecuperación de Enespera de aprobación yel propietario de los KPIes el usuario conectado.
X X X
Valor de KPI
Mis KPI queincumplen
Devuelve los KPI queson propiedad delusuario conectado conel estado deincumplimiento de colorrojo.
X X X
Capítulo 8. Perfiles 85
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Evento de pérdida
Eventos en espera deaprobación
La página de iniciomuestra eventos con elestado En espera deaprobación o En esperade aprobación - Nivel 2y el Aprobador de nivel1 o nivel 2 es unusuario conectado.
X X X
Evento de pérdida
Eventos de pérdidapendientes de másde 1 M
Acceso de la página deinicio a los eventos depérdida más grandespendientes.
X X X
Proceso
Proceso en espera deaprobación
Devuelve una lista detodos los procesos quesean propiedad delusuario conectado y quetienen el estado Enespera de aprobación.
X X X
Riesgo
Riesgos en espera deevaluación
Devuelve una lista detodos los procesos quesean propiedad delusuario conectado y quetienen el estado Enespera de evaluación.
X X X
Evaluación deriesgos
Evaluación de misriesgos
Acceso de la página deinicio a sus evaluacionesde riesgos.
X X
KRI
Incumplimientos deKRI
Acceso de página deinicio a los KRI quetienen un estado deincumplimiento de colorrojo.
X X X X
Elemento de acción
Mis elementos deacción
Acceso de la página deinicio a elementos deacción
X X X X
86 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Elemento de acción
Solución pendientede aprobación
Acceso de la página deinicio a los elementos decorrección que está a laespera de aprobación.
El usuario recibe unanotificación de loselementos pendientes deaprobación y la acción arealizar. Si una acciónrequiere tiempo parafinalizar, añada uncomentario para realizarun seguimiento de lasactualizaciones. Cuandose complete la acción,establezca el campoEnviar para cierre en Sí.
X X X X
Eventos de pérdida
Mis eventos noresueltos
Muestra una lista deeventos de pérdida cuyoestado es Pendiente y elpropietario del eventoes el usuario conectado.
X X X X
Testificaciones
Solicitudes deexcepción detestificación
Acceso de la página deinicio a las excepcionesde testificaciónsolicitadas que necesitanrevisión.
X
Testificación
Mis testificaciones
Acceso de la página deinicio a lastestificaciones depolítica pendientes definalización. Incluye unenlace para abrir la vistade reconocimiento depolítica.
X
Incidente
Incidentes deconformidad críticos
Acceso de la página deinicio a los incidentes deconformidad cuyaclasificación deprioridad es muygraves.
X
Todas los incidentesabiertos
Mis incidentesabiertos
Acceso de página deinicio a incidentesabiertos.
X X
Comentario derevisión de política
Mis comentarios derevisión de política
Acceso de la página deinicio a comentarios derevisión de políticapendientes. Incluye unenlace para abrir la vistade revisión de política.
X
Capítulo 8. Perfiles 87
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Comentario derevisión de política
Políticas en esperade mi aprobación
Acceso de la página deinicio a las solicitudesde aprobación depolítica pendientes.Incluye un enlace paraabrir la vista de revisiónde política.
X
Comentario derevisión de política
Políticas en esperade mi revisión
Acceso de la página deinicio a las solicitudesde revisión de políticapendientes.
X
Cuestionario
Mis cuestionariospendientes derellenar
Acceso de la página deinicio a los cuestionariospendientes definalización.
X
Mis evaluaciones decuestionario para
En revisión
En aprobación
En recopilación deinformación
Acceso de página deinicio a las evaluacionesde cuestionario en cadafase de ciclo de vida.
X X X X X X
Cambio regulador
Mis cambiosreguladores de altoimpacto abiertos
Acceso de la página deinicio a los cambiosregulatorios pendientesque se han evaluadocomo de fuerte impacto.
X
Tarea reguladora
Mis tareasreguladoras
Acceso de la página deinicio a las tareasregulatorias quenecesitan atención.
X
Solicitud de RI
Solicitudes dereunión
Acceso de la página deinicio a las solicitudesde reunionesregulatorias cuyopropietario del negocioes usted.
X
Solicitud de RI
Solicitudes in situ
Acceso de la página deinicio a las solicitudesregulatorias in situ cuyopropietario del negocioes usted.
X
Solicitud de RI
Solicitudes previas atrabajo
Acceso de la página deinicio a las solicitudesregulatorias previas altrabajo cuyo propietariodel negocio es usted.
X
88 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Política
Mis borradores depolíticas
Acceso de la página deinicio a los borradoresde políticas cuyo autores usted. Incluye unenlace para iniciar elasistente de creación depolíticas.
X
Política
Mis políticaspublicadas
Acceso de la página deinicio a las políticaspublicadas cuyo autores usted. Incluye unenlace para iniciar elasistente Vista depolíticas.
X
KPI
Incumplimientos deKPI
Acceso de página deinicio a los KPI quetienen un estado deincumplimiento de colorrojo.
X X
Auditorías
Mis auditorías encurso
Acceso dela página deinicio a las auditoríascuyo propietario esusted y que es probableque esté trabajando enellas ahora.
X
Comentario derevisión de auditoría
Mis comentarios derevisión de auditoríaabiertos
Acceso a la página deinicio a comentarios derevisión de auditoríaque necesitan unaacción y cuyopropietario es usted.
X
Conclusión
Mis conclusionespara revisión
Acceso de la página deinicio a las conclusionespendientes cuyo revisores usted.
X
Conclusión
Mis conclusionesabiertas
Acceso de la página deinicio a las conclusionesabiertas cuyainformación hapreparado usted.
X
Informe de trabajo
Mis informes encurso
Acceso de la página deinicio a los informes querequieren acción y cuyorevisor de informaciónes usted.
X
Informe de trabajo
Informes listos parami revisión
Acceso de la página deinicio a los informescuya información hapreparado y quenecesitan acción.
X
Capítulo 8. Perfiles 89
Tabla 40. Listas filtradas de la página de inicio para los perfiles de OpenPages GRC (continuación)
Tipo de objeto
Filtro
Descripción de laslistas filtradas de la
página de inicio RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Plan de control
Planes de control endesarrollo
Acceso de página deinicio a los planes decontrol en desarrollo.
X
Incidente
Incidentes de TIcríticos
Acceso de página deinicio a incidentesrelacionados con TI muygraves y pendientes.
X
Renuncia
Renuncias porvencer
Acceso de la página deinicio a las renunciasaprobadas que van aexpirar en los próximos3 meses.
X
Renuncia
Mis aprobaciones derenuncia
Acceso de la página deinicio a las excepcionesde testificaciónsolicitadas que necesitanrevisión.
X
Vistas de actividadLas siguientes tablas identifican la vistas de actividad definidas para cada perfil.
La siguiente tabla identifica las vistas de actividades definidas para los perfiles quese proporcionan con cada solución.
Las columnas utilizan abreviaturas para los siguientes perfiles:v RCM = Perfil de RCM Masterv MRG = Perfil de MRG Masterv FCM = Perfil de FCM Masterv ORM = Perfil de ORM Masterv Risk = Perfil de ORM Operational Risk Teamv BU = Perfil de ORM Business Userv SU = Perfil de ORM Simplified Userv PCM = Perfil de PCM Masterv ITG = Perfil de ITG Masterv IAM = Perfil de IAM Master
90 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Proceso
Evaluación decontrol
Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen procesos.
X
Control
Resumen depruebas decontrol
Se utiliza para indicarla efectividad delcontrol operativo.Ofrece informaciónsobre el plan de pruebay los resultados de laspruebas que sirve debase para la toma dedecisiones relacionadascon la eficaciaoperativa.
X X X X X
Cuestionario
Cuestionario
Se utiliza pararesponder acuestionarios utilizandoel modelo de objetoCuestionario, Sección yPregunta.
X X X X X X
Cuestionario
Configuraciónde cuestionario
Se utiliza para crear ymodificar cuestionariosutilizando el modelo deobjeto Cuestionario,Sección y Pregunta.
X X X X X
Proceso
AprobaciónRCSA
La utiliza elcoordinador de riesgospara aprobar lasevaluaciones de riesgosy autocontrol.
X X X X X
Proceso
Aprobación delproceso
La utiliza el propietariode proceso paraconfirmar la evaluaciónde cada riesgo ycontrol.
X X X X X X X
Situación
Gestión deescenarios
Se utiliza para indicarla idoneidad de unescenario.
X X X
Capítulo 8. Perfiles 91
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Evento
Aprobación deeventos depérdida
Si se envía un eventopara aprobación y esválido y es mayor queel umbral de eventos depérdida 1, el estadocambia a En espera deaprobación. Elaprobador recibe unanotificación para revisary aprobar o rechazar elevento.
X X X X
Valor de KPI
Entrada devalor KPI
Se utiliza paraintroducir valores deKPI y cambiar el estadoa recopilado.
X X X
Valor de KRI
Aprobación devalor KRI
Se utiliza para aprobarvalores de KRI.
X X X X X
Valor de KRI
Entrada devalor KRI
Se utiliza paraintroducir valores deKRI y cambiar el estadoa recopilado.
X X X X X
Valor de KRI
Valor de KRI
Una vez definido elKRI, el sistemadetermina si se necesitaun valor KRI. Si el KRIse marca como activo,el asistente del KRIgenera valores. Si elKRI se establece comoInactivo, el programade utilidad no generaun valor en blanco. Elobjeto de valor seconfigura inicialmentecomo un marcador conel estado En espera derecopilación.
X X
92 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Evento
Gestión deeventos depérdida
La función del eventode pérdida permite larecopilación,clasificación ymantenimiento deeventos de pérdida porriesgos operativosdentro de la jerarquíaempresarial. Garantizaque la informaciónsobre eventos depérdida se recuperaráde forma coherente enla totalidad de laorganización exigiendola introducción de losdatos más importantessobre cada evento yque se realicen lasacciones pertinentes yel proceso deaprobación.
X X X
Proceso
Vista de RCSAde proceso
Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen evaluaciones deriesgos.
X X X X X
Valor de KPI
Aprobación devalor KPI
Se utiliza para aprobarvalores de KPI.
X X X
Evaluación deriesgos
Vista de RCSA
Hace más sencilla larealización deevaluaciones de riesgosy autocontrol basadasen evaluaciones deriesgos.
X X X
Escenario
Aprobación delescenario
Se utiliza para aprobarun escenario.
X
Capítulo 8. Perfiles 93
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Riesgo
Evaluación deriesgo y control
Las evaluaciones deriesgos son confrecuencia los procesosfundamentales queutiliza una organizaciónen el riesgo operativo.Identifica, evalúa ycuantifica un perfil deriesgo. Establece lacoherencia y permitetener una visión ampliadel riesgo en latotalidad de unaorganización. Sirve debase para la toma dedecisiones relativas a lagestión, contribuye atomar decisionesmejores y conduce a laacción.
X X X
Testificación
Testificación
Ofrece una vistasimplificada del objetoTestificación. Sirvecomo patrón de unavista que se puedeutilizar como vistapredeterminada de losusuarios adecuados,como los notarios de lapolítica.
X
Mandato
Descripcióngeneral decambios en lasregulaciones
Ofrece una vistaconsolidad de loscambios regulatoriospara un mandato y lastareas regulatoriascorrespondientes que senecesitan comoresultado del cambio.Permite al usuariorealizar un seguimientodel progreso y el estadode las tareas.
X
Política
Descripcióngeneral deestado decampaña
Ver testificacionespendientes de unacampaña.
X
94 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Política
Solicitudes deexcepción depolítica deempleados
Ver solicitudes deexcepción de empleado.
X
Política
Política
Ofrece una vistasimplificada del objetoPolítica. Sirve comopatrón de una vista quese puede utilizar comovista predeterminadade los usuariosadecuados, como losnotarios de la política.
X
Interacción conla autoridadreguladora
Exámenesregulatorios
Proporciona una vistaconsolidada de lascategorías deinteracción y solicitudesdetalladas de unainteracción máscompleja con la entidadreguladora.
X
Auditoría
Descripcióngeneral deauditoría
Seleccione cada secciónde auditoría para vertodos sus informes detrabajo y conclusiones yactualizar después lainformación clave.
X
Auditoría
Matriz deámbito
Identifique lasactividades dentro de laentidad auditable ydecida si cada una deellas está dentro o fueradel ámbito de estaauditoría. Consulte losriesgos de cadaactividad para ayudar atomar una decisión encuanto al ámbito.
X
Auditoría
Vista de matrizde ámbito
Vista de matriz deámbito con todos loscampos configuradoscomo de solo lectura.
X
Capítulo 8. Perfiles 95
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Auditoría
Lista decomprobaciónde ediciones desecciones
Proporciona una vistaconsolidada delprograma de trabajo ypermite realizar unaactualización rápida delas secciones deauditoría para unaauditoría.
X
Auditoría
Lista decomprobaciónde ediciones deinformes
Proporciona una vistaconsolidada de losinformes de trabajo ypermite realizar unaactualización rápida delos informes de trabajopara una auditoría.
X
Entidadauditable
Todos loscomentarios dela revisión
Consulte loscomentarios de larevisión asociados a laauditoría seleccionada ysus secciones, informesde trabajo yconclusiones.
X
Entidadauditable
Auditorías ysecciones
Ver las secciones de unaauditoría y actualizarlas fechas de inicio yfinalizaciónplanificadas.
X
Entidadauditable
Lista decomprobaciónde secciones
Proporciona una vistarápida de solo lecturade las secciones delprograma de trabajo.
X
Entidadauditable
Lista decomprobaciónde informes
Proporciona una vistarápida de solo lecturade los informes detrabajo en el programade trabajo.
X
Entidadempresarial
Plan deauditoría
Permite introducirfechas de programacióny las horas y el tiempoy gastos estimados paracada auditoría deluniverso. Puedenfiltrarse hasta 2008 ymás allá de lasauditorías dondeEstado es cualquierexcepto Finalizado.
X
96 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Informe detrabajo
Actualizaciónde gestión deproyectos
Se utiliza al finalizar elestado de los informesde trabajo.
X
Informe detrabajo
Planificación degestión deproyectos
Se utiliza al finalizar elestado de los informesde trabajo.
X
Informe detrabajo
Revisión yaprobación
Se utiliza al revisarinformes de trabajo.
X
Informe detrabajo
Ejecución depruebas
Se utiliza al ejecutarpruebas de informes detrabajo durante eltrabajo de campo.
X
Informe detrabajo
Planificación depruebas
Se utiliza al planificarinformes de trabajo.
X
Línea base
Evaluar riesgo
Se utiliza para realizarevaluaciones de riesgossobre líneas base en elentorno operativo deTI.
X
Línea base
Evaluar líneabase
Se utiliza para realizarevaluaciones de riesgossobre líneas base en elentorno operativo deTI.
X
Entidadempresarial
MandatosDeloitte
Muestra todos losrequisitos controladosdesde cada mandatoproporcionado porDeloitte.
X
Capítulo 8. Perfiles 97
Tabla 41. Vistas de actividad para los perfiles GRC de OpenPages (continuación)
Tipo de objeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Entidadempresarial
Controles demandato
Para el mandatoseleccionado, consultetodos los controlesasociados con elentorno operativo deTI. Proporciona unavista a nivel de toda laempresa de laefectividad del controlpara un determinadomandato. Filtracontroles en labiblioteca y solo incluyelos controles ineficaceso sin determinar.
Se debe ejecutar desdeuna entidadempresarial en labiblioteca.
X
Entidadempresarial
Mandatos UCF
Muestra todos losrequisitos controladosdesde cada mandatoproporcionado porUCF.
X
Plan de control
Evaluar plan decontrol
Se utiliza para realizarevaluaciones de riesgossobre planes de controlen el entorno operativode TI.
X
Mandato
Descripcióngeneral demandatoDeloitte
Muestra todos lossubmandatos y losrequisitos de cadasubmandato. Es másadecuado para elcontenido de Deloitte.
X
Mandato
Descripcióngeneral demandato UCF
Muestra todos lossubmandatos y losrequisitos de cadasubmandato. Es másadecuado para elcontenido de UCF.
X
98 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 42. Vistas de actividades para guiar el asistente Añadir nuevo
Tipo deobjeto
Nombre devista deactividad
Descripción de la vistade actividad RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Riesgo
Añadir nuevo
Utilizado por elasistente Añadir nuevo
X X X X
Control
Añadir nuevo
Utilizado por elasistente Añadir nuevo
X X X X
Informe detrabajo
Añadir nuevo
Utilizado por elasistente Añadir nuevo
X
Vistas de cuadrículaEn este tema se muestran las vistas de cuadrícula definidas para cada perfil.
Se utilizan los siguientes acrónimos en la tabla:v RCM = IBM OpenPages Regulatory Compliance Managementv MRG = IBM OpenPages Model Risk Governancev FCM = IBM OpenPages Financial Controls Managementv ORM = IBM OpenPages Operational Risk Managementv PCM = IBM OpenPages Policy and Compliance Managementv ITG = IBM OpenPages IT Governancev IAM = IBM OpenPages Internal Audit Management
El perfil de IBM OpenPages Operational Risk Management admite todas las vistasde cuadrícula de los siguientes perfiles específicos de la solución:v Perfil de ORM Operational Risk Teamv Perfil de ORM Business Userv Perfil de ORM Simplified Userv Perfil de ORM Master
Tabla 43. Vistas de cuadrícula para cada solución
Tipo de objeto
Vista de cuadrícula Descripción RCM MRG FCM ORM PCM ITG IAM
KPI, Valor de KPI
Entrada de valores deKPI
Se utiliza para introducirvalores de KPI. Antes deutilizar esta vista, creeobjetos de valor de KPI.
X X X
KRI, Valor de KRI
Aprobar valores de KRI
Se utiliza para revisar yaprobar valores de KRI.Antes de utilizar estavista, cree objetos devalor de KRI eintroduzca los valores.
X X X
Capítulo 8. Perfiles 99
Tabla 43. Vistas de cuadrícula para cada solución (continuación)
Tipo de objeto
Vista de cuadrícula Descripción RCM MRG FCM ORM PCM ITG IAM
KRI, Valor de KRI
Entrada de valores deKRI
Se utiliza para introducirvalores de KRI. Antes deutilizar esta vista, creeobjetos de valor de KRI.
X X X
KPI, Valor de KPI
Aprobar valores de KPI
Se utiliza para revisar yaprobar valores de KPI.Antes de utilizar estavista, cree objetos devalor de KPI eintroduzca los valores.
X X X
Proceso, Riesgo, Control
Revisión de PRSA
Se utiliza para revisarevaluaciones de riesgos yautocontrol de procesos.
X X
Proceso, Riesgo, Control
Actualización de PRSA
Se utiliza para actualizarevaluaciones de riesgos yautocontrol de procesos.
X X
100 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Capítulo 9. Plantillas de rol
Una plantilla de rol define los privilegios que se otorgan a un usuario para accedera cada tipo de objeto. Las soluciones de IBM OpenPages GRC Platform incluyenvarias plantillas de rol. Las plantillas de rol proporcionan permisos a lasaplicaciones y otorgan acceso a características y funciones. También proporcionanACL de objeto (RWDA).
Cuando se asignan derechos de permiso a una plantilla de rol de solución, esosderechos también se asignan a la plantilla Todos los módulos maestros.
En cada solución se incluyen de forma predeterminada dos plantillas de rol. Laplantilla denominada Todos los permisos proporciona derechos administrativos ypermisos a todos los tipos de objeto disponibles para la solución. La plantilladenominada Todos los datos - Sin administrador proporciona permisos para todoslos tipos de objetos que están disponibles para la solución, pero no otorga derechosadministrativos.
Para obtener más información sobre los permisos proporcionados por las plantillasde rol, consulte “Permisos de plantillas de rol”.
Permisos de plantillas de rolCada plantilla de roles define permisos de acceso que se habilitan para cada tipode objeto.
Para cada solución, se proporciona una plantilla de roles denominada Todos lospermisos. Incluye derechos de administrador completos. También proporcionaacceso completo de lectura, escritura, eliminación y asociación (RWDA) a todos lostipos de objeto que están incluidos en la solución.
Asimismo, cada solución incluye una plantilla de roles denominada Todos losdatos - Sin administrador. La plantilla no proporciona ningún derecho deadministrador salvo los tipos de objeto asociados con flujos de trabajo, archivos ycarpetas. Las plantillas proporcionan acceso completo de lectura, escritura,eliminación y asociación a todos los tipos de objeto habilitados de formapredeterminada para la solución.
Para obtener más información sobre los permisos que se otorgan a tipos de objetoen las plantillas de roles, consulte “Permisos de tipo de objeto asignados porplantilla de rol”.
Permisos de tipo de objeto asignados por plantilla de rolUna plantilla de rol define el acceso de lectura, escritura, eliminación y asociacióna los tipos de objeto habilitados en cada solución.
Cuando se asignan derechos de permiso a una plantilla de rol de solución: esosderechos también se asignan a la plantilla Todos los módulos maestros.
Los siguientes permisos describen los derechos asignados a tipos de objetos enplantillas de rol. En la siguiente tabla, las abreviaturas identifican los permisoshabilitados para cada tipo de objeto.
101
R Se otorga a los grupos o usuarios el derecho de examinar y ver los detallesde los objetos.
W Se otorga a los grupos o usuarios el derecho de crear o modificar objetosen la carpeta seleccionada. No pueden eliminar los objetos.
D Se otorga a los grupos o usuarios el derecho de suprimir objetos en laestructura de carpetas.
A Se otorga a los grupos o usuarios el derecho de crear asociaciones entreobjetos.
Los siguientes acrónimos representan las plantillas de rol en esta tabla:v RCM = Plantilla de rol de IBM OpenPages Regulatory Compliance Managementv MRG = Plantilla de rol de IBM OpenPages Model Risk Governancev FCM = Plantilla de rol de IBM OpenPages Financial Controls Managementv ORM = Plantilla de rol de IBM OpenPages Operational Risk Managementv Risk = Plantilla de rol de IBM OpenPages Operational Risk Teamv BU = Plantilla de rol de IBM OpenPagesORM Business Userv SU = Plantilla de rol de IBM OpenPagesORM Simplified Userv PCM = Plantilla de rol de IBM OpenPages Policy and Compliance Managementv ITG = Plantilla de rol de IBM OpenPages IT Governancev IAM = Plantilla de rol de IBM OpenPages Internal Audit Management
En la tabla siguiente se incluyen los permisos de tipos de objeto que se otorgan ala plantilla en cada solución. Cada solución incluye dos plantillas maestras: laplantilla Todos los permisos y la plantilla Todos los datos - Sin administrador. Siuna celda está vacía, indica que el tipo de objeto no está disponible para esasolución.
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
Attestation
Testificación
RWDA
AuditableEntity
Entidad de auditoría
RWDA
Auditor
Auditor
RWDA
AuditPhase
Sección de auditoría
RWDA
AuditProgram
Auditoría
RWDA
Campaign
Campaña
RWDA
102 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
CapitalModel
Modelo de capital
RWDA
Challenge
Desafío
RWDA
ChangeRequest
Solicitud de cambio
RWDA
Committee
Comité
RWDA
CompliancePlan
Plan de conformidad
RWDA RWDA
ComplianceTheme
Tema de conformidad
RWDA RWDA
CtlEval
Evaluación de control
RWDA RWDA RWDA RWA RWA RWDA
DataInput
Entrada de datos
RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA
DataOutput
Salida de datos
RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA
Documentation
Documentación
RWDA
Empleado
Empleado
RWDA RWDA
Conclusión
Conclusión
RWDA
FIRSTLoss
Pérdida de FIRST
* indica que los derechosW y A no se hanespecificado
RWDA R* R*
Incidente
Incidente
RWDA RWDA
KeyPerfIndicator
KPI
RWDA RWDA RWDA RWDA RWDA RWDA
Capítulo 9. Plantillas de rol 103
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
KeyPerfIndicatorValue
Valor de KPI
RWDA RWA RWA RWA RWDA
KeyRiskIndicator
KRI
RWDA RWA RWA RWA RWDA
KeyRiskIndicatorValue
Valor de KPI
RWDA RWA RA RWDA
LossEvent
Evento de pérdida
RWDA RWA RWA RWA
LossImpact
Impacto de pérdida
RWDA RWA RWA RWA
LossRecovery RWDA RWA RWA RWA
Mandato
Mandato
RWDA RWDA RWDA RWDA
Metric
Métrica
RWDA
MetricValue
Valor de métrica
RWDA
Model
Modelo
RWDA
ModelInput
Entrada de modelo
RWDA
ModelLink
Enlace de modelo
RWDA
ModelOutput
Salida de modelo
RWDA
ModelReport
Informe de modelo
RWDA
ModelResult
Resultado del modelo decapital
RWDA
ORICLoss
ORIC Loss
* indica que los derechosW y A no se hanespecificado
RWDA R* R*
104 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
ORXLoss
ORX Loss
* indica que los derechosW y A no se hanespecificado
RWDA R* R*
Planificación
Planificación
RWDA
Política
Política
RWDA RWDA RWDA RWDA
PolicyReviewComment
Comentario de revisiónde política
RWDA
Preferencia
Preferencia
RWDA RWA RA RA RWDA
PrefGrp
Grupo de preferencias
RWDA RWDA
Procedimiento
Procedimiento
RWDA RWDA RWDA RWDA
ProcessDiagram
Diagrama del proceso
RWDA RWDA RWDA RWDA RWDA RWDA RWDA RWDA
ProcessEval
Evaluación del proceso
RWDA RWA RWA RWA
Project
Proyecto
RWDA RWDA
ProjectActionItem
Elemento de la accióndel hito
Quest
Pregunta
RWDA RWDA
Cuestionario
Cuestionario
RWDA RWDA
Qsection RWDA RWDA
RAEval
Análisis de evaluaciónde riesgos
RWDA RWA RWA RWA
Capítulo 9. Plantillas de rol 105
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
RegApp
Aplicabilidad delreglamento
RWDA RWDA
RegChange
Cambio regulador
RWDA RWDA
RegulatoryInitiative
Iniciativa reguladora
RWDA RWDA
RegInt
Interacción con laautoridad reguladora
RWDA
Register
Registro
RWDA
RegTask
Tarea reguladora
RWDA RWDA
Autoridad reguladora
Autoridad reguladora
RWDA RWDA
ReportSection
Sección de informe
RWDA
Requisito
Requisito
RWDA RWDA RWDA RWDA
ReqEval
Evaluación de requisito
RWDA
ReqEvalValue
Valor de evaluación derequisito
RWDA
Recurso
Recurso
RWDA
ResourceLink
Enlace a recursos
RWDA
Review
Revisar
RWDA
ReviewComment
Comentario de revisiónde auditoría
RWDA
106 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
RICat
Categoría de RI
RWDA
RIReq
Solicitud de RI
RWDA
RiskAssessment
Evaluación de riesgos
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
RiskEntity
Plan de control
RWDA
RiskEval
Evaluación de riesgos
RWDA RWA RWA RWA
RiskSubEntity
Línea base
RWDA
ScenarioAnalysis
Análisis de escenario
* indica que los derechosW (escritura) no se hanespecificado
RWDA RWA RA*
ScenarioResult
Resultado de escenario
* indica que los derechosW (escritura) no se hanespecificado
RWDA RWA RA*
SOXAccount
Cuenta
RWDA
SOXBusEntity
Entidad empresarial
RWDA RWDA RWDA RWDA RWA RA RA RWDA RWDA RWDA
SOXControl
Control
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXControlObjective
Objetivo de control
SOXDocument
Archivo
RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXExternalDocument
Vínculo
RWDA RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
Capítulo 9. Plantillas de rol 107
Tabla 44. Permisos de tipo de objeto para plantillas de funciones de roles de OpenPages GRC (continuación)
Nombre del objeto
Etiqueta de tipo deobjeto RCM MRG FCM ORM Riesgo BU SU PCM ITG IAM
SOXIssue
Problema
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXMilestone
Hito
SOXProcess
Proceso
RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXRisk
Riesgo
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXSignature
Firma
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXSubaccount
Subcuenta
RWDA
SOXSubprocess
Subproceso
RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXTask
Elemento de acción
RWDA RWDA RWDA RWA RWA RWA RWDA RWDA RWDA
SOXTest
Plan de prueba
RWDA RWDA RWDA RWDA RWDA
SOXTestResult
Resultado de la prueba
RWDA RWDA RWDA RWDA RWDA
Submandate
Submandato
RWDA RWDA RWDA RWDA
Hoja de registro horario
Hoja de registro horario
RWDA
Usage
Uso
Waiver
Renuncia
RWDA RWDA
Informe de trabajo
Informe de trabajo
RWDA
108 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en todo elmundo.
IBM puede ofrecer este material en otros idiomas. Sin embargo, es posible quetenga obligación de tener una copia del producto o de la versión del producto endicho idioma para acceder a él.
IBM puede no ofrecer los productos, servicios o funcionalidades tratados en estedocumento en otros países. Póngase en contacto con el representante local de IBMpara obtener información sobre los productos y servicios disponibles actualmenteen su área. Las referencias a productos, programas o servicios IBM no tienen comoobjetivo afirmar o implicar que sólo se puede utilizar el producto, programa oservicio IBM. En su lugar, se puede utilizar cualquier producto, programa oservicio funcionalmente equivalente que no infrinja ninguno de los derechos depropiedad intelectual de IBM. No obstante, corresponde al usuario evaluar yverificar el funcionamiento de cualquier producto, programa o servicio que no seade IBM. Este documento puede incluir descripciones de productos, servicios ocaracterísticas que no forman parte de la titularidad de licencia o programa que haadquirido.
IBM puede tener patentes o solicitudes de patentes pendientes que cubran lamateria descrita en esta información. La posesión de este documento no le otorganinguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, porescrito, a:
IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785EE.UU.
Para preguntas sobre licencias en relación a información de doble byte (DBCS),póngase en contacto con el Departamento de propiedad intelectual de IBM en supaís o envíe preguntas, por escrito, a:
Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokio 103-8510, Japón
El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país en quedichas disposiciones entren en contradicción con la legislación local:INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍA DE NINGÚN TIPO, NIEXPLÍCITA NI IMPLÍCITA, INCLUYENDO, PERO NO LIMITÁNDOSE, A LASGARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, COMERCIALIZACIÓN OADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunos estados nopermiten la declaración de limitación de responsabilidad de las garantías explícitaso implícitas en determinadas transacciones, por lo tanto, es posible que estasentencia no sea aplicable en su caso.
109
Esta información puede contener imprecisiones técnicas o errores tipográficos.Periódicamente se efectúan cambios en la información incluida en este documento;estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puedeefectuar mejoras y/o cambios en los productos y/o programas descritos en estapublicación en cualquier momento y sin previo aviso.
Las referencias en este documento a sitios web que no sean de IBM seproporcionan únicamente como ayuda y no se consideran en modo alguno comouna recomendación por parte de IBM de dichos sitios web. Los materiales en estossitios web no forman parte de los materiales para este producto de IBM y el usode estos sitios web corre por cuenta y riesgo del usuario.
IBM puede utilizar o distribuir la información que se le proporcione de la formaque considere adecuada, sin incurrir en ninguna obligación con el cliente.
Los licenciatarios de este programa que deseen obtener información sobre él con elfin de permitir: (i) el intercambio de información entre programas creadosindependientemente y otros programas (incluido este) y (ii) el uso mutuo deinformación que se ha intercambiado, deben ponerse en contacto con:
IBM CorporationLocation Code FT0550 King StreetLittleton, MA01460-1250EE.UU.
Dicha información puede estar disponible, sujeta a los términos y condicionesapropiados, incluyendo en algunos casos el pago de una cantidad.
El programa bajo licencia descrito en este documento y todo el material bajolicencia disponible los proporciona IBM bajo los términos del Acuerdo de clientede IBM, el Acuerdo internacional de programas bajo licencia de IBM o cualquieracuerdo equivalente entre las partes.
Los datos de rendimiento contenidos en este documento se obtuvieron en unentorno controlado. Por lo tanto, los resultados obtenidos en otros entornosoperativos pueden variar considerablemente. Pueden haberse realizado algunasmediciones en sistemas en nivel de desarrollo y no existen garantías de que estasmediciones sean las mismas en sistemas disponibles para todos los usuarios.Además, es posible que alguna medición se haya estimado mediante extrapolación.Puede que los resultados reales varíen. Los usuarios de este documento debenverificar los datos aplicables a su entorno específico.
La información referente a productos que no son de IBM se ha obtenido de lossuministradores de estos productos, sus anuncios publicados u otras fuentesdisponibles para el público. IBM no ha probado estos productos y no puedeconfirmar la precisión del rendimiento, la compatibilidad o cualquier otrareclamación relacionada con productos no IBM. Las preguntas relacionadas con lasprestaciones de los productos que no son de IBM deberán dirigirse a losproveedores de estos productos.
Todas las sentencias relacionadas con la futura dirección de IBM o intento estánsujetas al cambio o retirada sin previo aviso y sólo representan objetivos y metas.
110 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Este manual contiene ejemplos de datos e informes que se utilizan en operacionesempresariales cotidianas. Para ilustrarlas de la manera más completa posible, losejemplos incluyen nombres de individuos, empresas, marcas y productos. Todosestos nombres son ficticios y cualquier similitud con los nombres y direcciones quehaya utilizado una empresa real es pura coincidencia.
Si ve esta información en copia software, es posible que no aparezcan lasfotografías y las ilustraciones en color.
Este producto de software no utiliza cookies ni ninguna otra tecnología pararecopilar información que permita identificar a las personas.
Copyright
Material bajo licencia - Propiedad de IBM Corporation.
© Copyright IBM Corporation, 2003, 2015.
Derechos restringidos para los usuarios del Gobierno de EE.UU. - Uso, duplicacióno divulgación restringida por el contrato de planificación de GSA ADP con IBMCorp.
Esta información contiene programas de aplicación de muestra en lenguaje fuente,que ilustran técnicas de programación en las distintas plataformas operativas.Puede copiar, modificar y distribuir los programas de ejemplo de cualquier forma,sin tener que pagar a IBM, con intención de desarrollar, utilizar, comercializar odistribuir programas de aplicación que estén en conformidad con la interfaz deprogramación de aplicaciones (API) de la plataforma operativa para la que estánescritos los programas de ejemplo.
Estos ejemplos no se han probado exhaustivamente en todas las condiciones. Enconsecuencia, IBM no puede garantizar ni afirmar la fiabilidad, utilidad ofuncionalidad de estos programas. Puede copiar, modificar y distribuir dichosprogramas de ejemplo en cualquier formato y sin tener que abonar una cuota aIBM, a fin de desarrollar, utilizar, comercializar o distribuir programas deaplicación que se adapten a las interfaces de programación de IBM.
Marcas comerciales
IBM, el logotipo de IBM e ibm.com son marcas registradas de InternationalBusiness Machines Corp., registradas en muchas jurisdicciones de todo el mundo.
Los términos siguientes son marcas registradas de otras compañías:v Microsoft, Windows, Windows NT, y el logotipo de Windows son marcas
registradas de Microsoft Corporation en los Estados Unidos y/o en otros países.
Otros nombres de productos y servicios podrían ser marcas registradas de IBM uotras compañías. Hay disponible una lista actual de marcas registradas de IBM enla sección “ Copyright and trademark information” de la webwww.ibm.com/legal/copytrade.shtml.
Avisos 111
112 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones
Índice
Aactivador de aprobación de eventos de pérdida 72activador de cálculo de eventos de pérdida 72activador de ciclo de vida de evaluación de cuestionario
Notificación de evaluación de cuestionario 51activador de ciclo de vida de incidente
notificación de incidente 51Activador de ciclo de vida del problema 69activador de entrada de datos 70activador de envíos para aprobación de eventos de
pérdida 72activador de salida de datos 70activador del ciclo de vida del KPI
notificación de infracción 50activador del ciclo de vida del KRI 71
notificación de infracción 50activadores
Aprobación de eventos de pérdida 72Cálculo de eventos de pérdida 72ciclo de vida del KRI 71ciclo de vida del problema 69Envío para aprobación del evento de pérdida 72Evaluaciones de cuestionarios 72Incidencias 76visualización 70
activadores de evaluación de cuestionario 72activadores de evaluaciones de riesgos y autocontrol
Véase activadores de RCSAactivadores de incidente 76activadores de RCSA 70activadores de visualización 70asistente de evaluación de riesgos
Véase asistentes de RCSAasistente de publicación de notificación por lotes 44asistente Desbloquear política 44Asistente Informe de creación de testificación 45asistente Vista de conocimiento de política 45asistentes
Análisis de escenario 40asistentes de RCSA 41, 42evaluación de riesgos 43Indicadores clave 40, 41
Asistentes de análisis de escenarios 40asistentes de indicadores clave 40, 41asistentes de RCSA 41, 42, 43
CCapturador KPI
notificación de recordatorio de KPI 50Capturador KRI
notificación de recordatorio de KRI 50
Eelementos de acción 69Entidad empresarial
asociación con evaluaciones de riesgos 42Evaluaciones de riesgos
asociación con entidad empresarial 42
Evento de pérdida (tipo de objeto) 72
IImpacto de pérdida (tipo de objeto) 72
LLista filtrada de la página de inicio 83
Nnotificación a través de boletín de problemas y acciones 50Notificación de evaluación de cuestionario 51notificación de incidente 51notificación de infracción de KPI 50Notificación de infracción de KRI 50notificación de recordatorio de KPI 50notificación de recordatorio de KRI 50notificaciones 49
boletín de problemas y acciones 50Notificación de evaluación de cuestionario 51notificación de incidente 51Notificación de infracción de KPI 50Notificación de infracción de KRI 50notificación de recordatorio de KPI 50notificación de recordatorio de KRI 50
novedades 1
OOpenPages Policy and Compliance Management viii
Pperfil de equipo de riesgos operativos 81Perfil de Operational Risk Team 80perfil de usuario Simplified 81Perfiles, lista filtrada de la página de inicio 83Perfiles, vistas de actividad 90Problema (tipo de objeto) 69Problemas
gestión 69
RRecuperación de pérdidas (tipo de objeto) 72
Ttipos de objeto
Evento de pérdida 72Impacto de pérdida 72problema 69Recuperación de pérdidas 72
113
VValor de KPI
notificación de recordatorio de KPI 50Valor de KRI
notificación de recordatorio de KRI 50
visores de políticas 43Vista de actividad 90vistas de cuadrícula 99
114 IBM OpenPages GRC Platform Versión 7.2.0: Guía de soluciones