COTIZACIÓN

Cotización Nro.: 23-0104

Emitida: 22 de marzo 2023
Producto: AWRISK
Cod. Producto: AWRISK-RM
Resumen:
1) contexto RIESGOS ESTRATEGICOS por 12 meses.
- RMS ( Risk Management Systems): riesgos estratégicos.
- ICS (Internal Control Systems): riesgos de procesos.
- CMS (Compliance Management Systems): riesgos de
cumplimiento legal y normativo.
Referencia: Atixworld Systems SAC
Percy Palomino RUC: 20556897256
Cliente final: Cementos Pacasmayo. facturación@atixworld.com
Sector: Privado https://www.atixworld.com
(Lima – Perú) https://www.awrisk.com

Especificaciones de la Cotización
1. Producto Cotizado
• Implementación de Servicio Cloud Básico por 12 meses/ Código Producto: AWRISK-RM-12m en modalidad
SaaS.
• Servicio de soporte remoto 8x5 incluido por 12 meses. / Código Producto: SSR-8x5-12m
• Servicio de mantenimiento incluido por 12 meses. / Código Producto: SM-12m
2. Servicios incluidos
Item Nombre Descripción Costo US$
Licencia 12meses - 1 contexto autorizado y 20
Licencia de software AWRISK®-RM
usuarios (2 nominales y 18 concurrentes)
Soporte 8x5x365 y mantenimiento de software
Soporte técnico y mantenimiento
12meses
Servidores virtuales + almacenamiento nube
Infraestructura virtual (RM)
+seguridad básica por 12 meses 11,980.0

1 TOTAL, US$: (no incluye IGV) 11,980.00

Item Nombre Descripción Costo US$

Paquete de 160 horas de desarrollo de
Paquete 1 software para personalización y mejoras de
2 funciones a la medida. 5,800.0

TOTAL, US$: (no incluye IGV) 5,800.00

3. Forma de Pago
▪ 100% contra la orden de compra de renovación del servicio y la presentación de la factura respectiva.
(*) Mantenimiento incluye corrección de errores, incidencias e implementación de mejoras del software AWRISK de acuerdo al servicio vigente.

Diez y siete mil setecientos

COTIZACION TOTAL (En US$, no incluido IGV): ochenta con 00/100 dólares
US$ 17,780.0
más IGV.
Ref. TC. 3.8
Autorizado por:

Division de Seguridad Digital – Atixworld Systems

ANEXO 1 - Detalle de Licenciamiento de AWRISK®
1. Descripción

AWRISK® es una plataforma de software para la gestión integral de riesgos en una organización, se encuentra basada en las
buenas prácticas de gestión de riesgos de la ISO 31000 – Risk Manager y cuenta con tres componentes funcionales;
AWRISK®-RM (Risk Manager), AWRISK®-EV (Events) (Reporte de Eventos e Incidentes) y AWRISK®-SelfAssessment (Auto
evaluación de controles y riesgos) que se pueden licenciar de forma independiente a necesidad del cliente.

2. Tipos de licenciamiento
Los componentes de la plataforma AWRISK® se puede licenciar en cualquiera de las siguientes versiones:
1) Cloud: permite brindar el software como servicio, es decir realizar un pago periódico (12, 24 o 36 meses) solo por el uso
de los recursos que la organización requiera a demanda. Los recursos de procesamiento y almacenamiento se
encuentran en nuestra infraestructura de Amazon Web Services (AWS).
2) On-Premise: permite instalar el software en las instalaciones del cliente bajo la modalidad de un appliance (hardware y
software) listo para instalar y usar.
3) Híbrida: Se puede configurar una solución On-Premise con diversos modos de redundancia y conectividad en una
instancia equivalente Cloud.
Aplicación Cloud On premise Hibrida
AWRISK®-RM disponible disponible disponible
AWRISK®-EV disponible X X
AWRISK®-SA disponible x X

3. Modo de licenciamiento general

El licenciamiento de los componentes de la plataforma AWRISK® se basan principalmente en los siguientes cuatro (4) criterios:
1) Cuenta: La cuenta es la identificación única de una empresa u organización y representa una "instancia" en AWRISK®.

2) Contexto: El CONTEXTO es una "Sub-Instancia" de la CUENTA y representa el marco de gestión de riesgos que desea
administrar e informatizar con AWRISK®. Un CONTEXTO tiene un juego propio y único de parámetros que comparte con
sus eventuales PROYECTOS. Cada CONTEXTO implementado requiere una licencia adicional. Los principales contextos
que se puede gestionar son los siguientes:
a. Seguridad de la información (ISO 27001/2).
b. Ciberseguridad (ISO 27032, NIST)
c. Ley de Protección de datos personales (LPDP).

Division de Seguridad Digital – Atixworld Systems

 d. Calidad (ISO 9001).
e. Seguridad y Salud Laboral (ISO 45001).
f. Medioambiente (ISO 14001)
g. Control Interno (COSO II).
h. Gestión de Riesgos en Proyectos (PMBOK).
i. Seguridad física y de Infraestructura Crítica.
j. Seguridad Digital de Activos Críticos Nacionales (ACN)
k. Riesgos de Desastres Naturales.
l. ISO 37001 (Sistema de Riesgos Antifraude).
m. SMS, entre muchas otras.

3) Proyectos: Los proyectos en AWRISK® son las distintas "Micro instancias" de los CONTEXTOS contratados, que como
requisito deben utilizar la misma configuración, parámetros y seguridad del CONTEXTO, y tienen los maestros propios de;
vulnerabilidades, amenazas, controles, consecuencias, fuentes de riesgos y eventos. Los PROYECTOS representan
agrupaciones de datos de riesgos sobre las que se desea limitar su gestión y acceso. Pueden ser basados en:
a. Sistemas de gestión integrados (ISO 9001, ISO 45001, ISO 14001, entre otros.)
b. Áreas funcionales (ejem. Gerencia de Ventas, Gerente de Marketing, etc.)
c. Procesos de negocio. (Ejem. Proceso de Reclamos, Proceso de Ventas, etc.)
d. Proyectos especiales. (Ejem. Proyecto ERP, Proyecto Nueva Planta, etc.)
e. Etapas de procesos. (Ejem. Pruebas, Calidad, producción, etc.)
f. localización geográfica. (Ejem. Zona Norte, Zona Oriental, etc.)

4) Usuarios: Los usuarios son entidades individuales que están relacionados a la CUENTA, asignados al o los CONTEXTOS
y a sus diferentes PROYECTOS. Cada usuario que ingresa a la plataforma AWRISK® requiere una licencia pudiendo ser
del tipo nominal (reservada a un único usuario) o concurrente (asignada a múltiples usuarios) de acuerdo con el plan
contratado.

4. Componente de software AWRISK® - RM

1. Descripción
AWRISK-RM es uno de los componentes de la plataforma de software AWRISK, que sirve para la gestión integral de
riesgos de acuerdo con los procesos de la ISO-31000-2018, como son; definición del Contexto, Identificación, Análisis,
Evaluación, Tratamiento y Monitoreo de Riesgos. Pudiendo integrarse con los componentes de software AWRISK-EV y
AWRISK-SA de ser requerido por el cliente a demanda.

2. Beneficios estratégicos

AWRISK® está basado en el marco de trabajo internacional ISO31000-2018. Le permite disponer de información
actualizada y responder a interrogantes básicas de gestión estratégica y operativa.
❑ ¿Qué eventos o amenazas pueden afectar
a la organización en este momento?
❑ ¿Qué vulnerabilidades técnicas, humanas y
organizacionales están afectándonos o
podrían afectarnos?
❑ ¿Cuáles son los impactos económicos,
legales, de reputación, entre otros,
ocasionados por la concreción de una
amenaza?
❑ ¿Cuál es mi nivel de riesgo operativo?,
¿cómo debo protegerme y cuánto me
costaría?

3. Funcionalidad
El componente de software AWRISK-RM está diseñado de acuerdo con un flujo de trabajo y a diversos módulos funciones
que permiten gestionar los riesgos de cualquier contexto.

Diseño
AWRISK®-RM implementa módulos de software que soportan un flujo de trabajo organizado de acuerdo con los procesos

Division de Seguridad Digital – Atixworld Systems

 estándares de la ISO 3100 como se puede ver en la siguiente figura:
AWRISK-RM
1 (Risk Manager)
Gestión Integral de Riesgos

✔ Identificación
✔ Análisis
✔ Evaluación
✔ Tratamiento
✔ Monitoreo
Módulos de Software

Módulo de
Módulo de Identificación Módulo de Análisis y Módulo de Tratamiento Módulo de
Configuración de Riesgos Evaluación de Riesgos de Riesgos Monitoreo

Seleccionar Monitorear
Configurar Identificar el Analizar el Evalúar el Crear plan
estrategia Riesgos/
el contexto riesgo/ riesgo/ riesgo/ de
de peligros y
peligro peligro peligro tratamiento
tratamiento planes

Establecimiento Monitoreo,
del Contexto/ Apreciación del Riesgo Tratamiento del Riesgo
Revisión,
Alcance/Criterio Comunicación
y Consulta

Registro y Reporte

Modelo de ISO 31000-2018 Gestión de Riesgos

Módulos Base
Independiente del tipo o modo de licenciamiento o el contexto adquirido, los siguientes 6 módulos estarán siempre activos
en la aplicación:
1. Módulo de Identificación de riesgos.
2. Módulo de Análisis de riesgos.
3. Módulo de Evaluación de Riesgos.
4. Módulo de Tratamiento de Riesgos.
5. Módulo de Monitoreo y Control de Riesgos
6. Módulo de Tablero de Mando Integral.

Módulos Complementarios
Los módulos complementarios son los que se incluyen dependiendo del contexto especializado o el tipo de licenciamiento
contratado, y son principalmente los siguientes:
1. Módulo de Inventario de Activos.
2. Módulo de Eventos & Incidentes
3. Módulo de Planes.
4. Módulo de Documentos.
5. Módulo de Administración
6. Módulo de Configuración.

5. Aplicación de software AWRISK® - EV

1) Descripción

AWRISK-EV es uno de los componentes de software de la plataforma de software para la gestión integral de riesgos
AWRISK la cual permite el reporte, registro, análisis e investigación de eventos e incidentes, integrándose con la
aplicación de software de AWRISK-RM de ser requerido.

2) Beneficios

✓ El módulo de EVENTOS se utiliza para proveer a los usuarios autorizados para el reporte inmediato de eventos que
potencialmente pueden convertirse en incidentes que puedan afectar sus objetivos operativos.
✓ Utilizando la tecnología de CHATBOT permite que las 24 horas del día los colaboradores puedan reportar eventos
e integrarse automáticamente al análisis de riesgos de AWRISK®.
✓ “Captura, reporta y analiza centralmente datos sobre eventos e incidentes al instante sin necesidad de APPs
adicionales”

Division de Seguridad Digital – Atixworld Systems

 ✓ Es muy utilizada para alinearse a la política vigente de la organización y permitir que cualquier colaborador autorizado
pueda “DETENER” una actividad riesgosa con solo reportar el evento a la plataforma de riesgos.

3) Funcionalidad

Diseño

“La pirámide de control de riesgo de Frank Bird es una representación gráfica de la proporcionalidad que existe entre los incidentes (eventos
cotidianos) y los accidentes con daños para la salud del trabajador. Suele utilizarse para explicar la importancia que tiene investigar y dar
solución, no solo a los accidentes más graves, sino también a los más sencillos y nos explica el estudio de la proporción de los accidentes.
La captura de información y evidencia (fotos, ubicación física, etc.) oportuna es crucial para una adecuada estrategia de tratamiento de
#riesgos en cualquier tipo de contexto. El utilizar la tecnología de chatbot ha permitido que nuestros clientes de AWRISK® reporten
eventos en forma inmediata y que estos ingresen en línea a nuestra plataforma para ser investigados y gestionados y evitar se conviertan
en incidentes. Utiliza la plataforma segura de Telegram o WhatsApp para la captura de información sin necesidad de instalar Apps
adicionales. Si requieres una captura rápida de eventos y estar enterado de los problemas de seguridad de tu organización AWRISK® Bot
una muy buena alternativa”
Componentes
AWRISK-EV tiene seis componentes funcionales principales:
1) AWRISK-EV-RM: permite registrar y gestionar eventos de diversas fuentes por medio de uso de:
a. Formularios personalizados
b. Carga de datos externas (Excel, etc.)
c. Integración con Módulos de AWRISK-RM (Identificación, Análisis, Monitoreo)
d. Reporte automático por email de eventos e incidentes.

2) AWRISK-EV-API: permite importar/exportar datos de AWRISK a otras aplicaciones en forma bidireccional por medio
de uso de programas e interfaces:
a. APIs (Aplication Program Interface de AWRISK)
b. Portales web, aplicaciones o sistemas propios del cliente.

3) AWRISK-EV-BOT: permite el registro, reporte y recolección de evidencia de eventos (fotos, videos, documentos,
audios, etc.) por medio de la tecnología de chatbot desde dispositivos móviles.
a. BOT cerrado/abierto.
b. BOT Telegram/WhatsApp/Messenger/multiplataforma.

4) AWRISK-EV-ANALISIS: permite el análisis personalizado de datos estructurados de eventos e incidentes por medio
de un sub-módulo de análisis de eventos.
a. Análisis de Datos de eventos personalizados

5) AWRISK-EV-INVESTIGACIÓN permite de análisis y seguimiento personalizado de incidentes y su eventual

integración con los módulos de Identificación, Análisis y Monitoreo de Riesgos de AWRISK-RM.

a. Investigación de Incidentes
b. Lecciones aprendidas
c. Repositorio de sustentos
d. Histórico de datos

Division de Seguridad Digital – Atixworld Systems

 6) AWRISK-EV-TABLERO DE MANDO permite de análisis personalizado de datos estructurados de eventos e
incidentes por medios gráficos y reportes resumidos en un sub-módulo del Tablero de Mando. Puede personalizarse
fuentes de:
a. Eventos/reportes Personalizados
b. Eventos BOT

AWRISK-EV BOT - Tipos de licenciamiento

AWRISK-EV-BOT se puede licenciar bajo las siguientes dos modalidades:
1) Cerrado- por dispositivo/usuario: permite brindar el software como servicio (SaaS), es decir realizar un pago
periódico (12, 24 o 36 meses) solo por el uso de los recursos que la organización requiera a demanda. Los recursos
de procesamiento y almacenamiento se encuentran en nuestra infraestructura de Amazon Web Services (AWS).
2) Abierto - por registro de eventos: se dimensionará el servicio para soportar una cantidad promedio de eventos
registrados periódicamente.

Cantidad de TIPO DE LICENCIA DE BOT

Usuarios
(usuarios o dispositivos
de reporte)

Licencia por volumen

MUY ALTA de eventos registrados
a demanda
<Mas de 100>

MEDIA Licencia
<50-100] por
dispositivo
/usuario

Licencia
BAJA por
[20-50] dispositivo
/usuario

Cantidad de
Eventos x día
BAJA MEDIA MUY ALTA (Volumen)
[50-100] <100-300] <Más de 300>

Arquitectura del servicio de AWRISK-EV-BOT

AWRISK-EV-BOT, se brinda bajo las siguientes características:
1) Plataformas requeridas:
a. Telegram o WhatsApp; requiere la infraestructura de su plataforma de mensajería para su operación y está
condicionada a sus funciones, disponibilidad y características propias.
b. AWRISK-RM; requiere una licencia de uso del componente de risk manager para su integración vía API.
c. AWRISK-EV; requiere una licencia de uso de la aplicación de eventos e incidentes para su integración vía API.
2) Clases de Chatbot:
a. Unidireccional; permite que se capture y registre eventos teniendo como origen el chatbot de la plataforma de
mensajería y sean transferidos para su gestión a la base de datos de AWRISK-RM y AWRISK-EV vía API.
b. Bidireccional; permite que AWRISK-RM reporte información a los usuarios registrados de AWRISK-EV-BOT,
además del registro de eventos desde el Chatbot.

2 EV-Event
1 RM – Risk Manager

ChatBot “cerrado”
AWRISK - BOT EVENTOS
AWRISK-RM

AWR-Bot01 AWRISK_Eventos_LAP_Sfty
Colaborador
DB_AWRISK-
LAP
API DB_Bot API
RM

AWR-Bot02
ChatBot “Abierto”

AWRISK_ReporteVoluntario_LAP_Sfty
Pasajero

3) Seguridad de acceso de AWRISK-EV-BOT

AWRISK-EV-BOT, brinda tres modalidades de seguridad, de acuerdo con los siguientes criterios:

1) Valor de la información reportada: se deberá determinar el grado de oportunidad, veracidad y calidad

que se requiere manejar en los registros de eventos.
2) Seguridad de Acceso (Autenticidad): es la capacidad que se configura para certificar el origen de la
persona que reporte o registra el evento en el Chatbot.

Division de Seguridad Digital – Atixworld Systems

 Valor de la
Información
Reportada
(oportunidad/veracidad
/calidad)

MUY ALTA AWRISK-EV

Oportunidad: inmediata Bot “Cerrado”
Veracidad: 100%
Calidad: asegurada

MEDIA
Oportunidad: inmediata
AWRISK-EV
Veracidad: por verificar Bot “Seguro”
Calidad: por evaluar

BAJA AWRISK-EV
Oportunidad: por verificar Bot “Abierto”
Veracidad: por verificar
Calidad: por evaluar

Seguridad de
Acceso
(Autenticidad)
BAJA MEDIA MUY ALTA
Registro a demanda: Registro a demanda: Pre-registro:
Cualquier Email Email institucional+ Email institucional+DNI+
token Token de autenticación

4) Adicionales
Al licenciamiento de AWRISK-EV-BOT, se le puede incluir a demanda con un costo adicional lo siguiente:
1. Mejora del tipo de instancia Cloud.
▪ Básica dedicada.
▪ Avanzada dedicada.
2. Licencias de nuevos Contextos.
3. Licencias de acceso de Usuarios (nominales y concurrentes).
4. Mayor cantidad de registros promedio por mes.
5. Desarrollo de Bots (unidireccionales o bidireccionales) a medida:
▪ Bot de reportes de riesgos
▪ Bot de evaluación de controles.
▪ Bot de Alerta temprana Incidentes.
▪ Bot de seguimiento de crisis.
▪ Bot de investigación de incidentes.
▪ Bot de eventos abiertos.

6. Aplicación de software AWRISK® - SA

1) Descripción

AWRISK-SA es uno de los componentes de software de la plataforma de software para evaluar permanentemente la
madurez de los CONTROLES que están identificados para mitigar los riesgos o que son de carácter obligatorio por
regulación interna, normativa internacional o buenas prácticas del sector, AWRISK® SelfAssessment permite que los
colaboradores autorizados o expertos, internos o externos, realicen evaluaciones independientes, de forma rápida y
sencilla por medio de una interfaz web amigable de un teléfono móvil o tablet. Esta autoevaluación permite tomar
decisiones oportunas de mejora en los controles o identificar no cumplimientos antes que los riesgos se materialicen y se
conviertan en incidentes o no conformidades en procesos de auditoría.

2) Beneficios

✓ El módulo de EVENTOS se utiliza para proveer a los usuarios autorizados para el reporte inmediato de eventos que
potencialmente pueden convertirse en incidentes que puedan afectar sus objetivos operativos.
✓ Utilizando la tecnología de CHATBOT permite que las 24 horas del día los colaboradores puedan reportar eventos
e integrarse automáticamente al análisis de riesgos de AWRISK®.
✓ “Captura, reporta y analiza centralmente datos sobre eventos e incidentes al instante sin necesidad de APPs
adicionales”
✓ Es muy utilizada para alinearse a la política vigente de la organización y permitir que cualquier colaborador autorizado
pueda “DETENER” una actividad riesgosa con solo reportar el evento a la plataforma de riesgos.

3) Funcionalidad

Diseño

Division de Seguridad Digital – Atixworld Systems

 Modelo de Madurez de Controles
El modelo de madurez se basa en una escala de 0 a 100% en la cual se evalúa cualitativamente el nivel de madurez del
control especifico.
0% 10% 30% 50% 80% 100%

No existe Inicial Gestionado Establecido Predecible Optimizado

ID Nivel de Madurez Criterios de evaluación de madurez Nivel de Cumplimiento

(NC)

0 No Existe No existe control. = 0%

Control implementado de manera
1 Inicial >= 10%
empírica.

Control implementado que cuenta con

2 Gestionado >= 30%
una guía/instructivos de ejecución.

Control implementado formalmente

3 Establecido
4 Predecible
5 Optimizado
documentado (responsables, periodos de >= 50%
ejecución).
Control implementado formalmente
documentado al cual se le aplica un >=80%
checklist de seguimiento/monitoreo.
Control implementado formalmente =100%
documentado, monitoreado, auditado y
cuenta con mejora continua.

Funcionalidad disponible
✓ Módulo de Gestión de Evaluaciones por contexto
✓ Módulo de Gestión de Publicaciones
✓ Módulo de Gestión de Seguimiento y Análisis
✓ Opción de Exportación de Evaluaciones a AWRISK®
✓ Opción de Ayuda personalizada por evaluación.
✓ Opción de evaluaciones con cuestionarios de preguntas.

Division de Seguridad Digital – Atixworld Systems

Anexo 2 - Licenciamiento de AWRISK-RM COTIZADA
Producto: AWRISK®-RM
Versión: 5.0
Tipo: AWRISK® Cloud
Plan Comercial: Básico-Especializado Riesgos Estratégicos
Hardware Incluido Modo de Licencia Servicios Incluidos Funcionalidad
No incluye. ▪ 01 cuenta ▪ Servicio de Soporte ▪ Módulos habilitados:
Servicio Cloud incluido asignada: 8x5x365 por 12 meses. ✓ Módulo de Identificación de
▪ Instancia Básica Pacasmayo ▪ Servicio de Riesgos.
Dedicada (BD) en ▪ 01 contexto Mantenimiento de ✓ Módulo de Análisis de riesgos.
AWS. autorizado software AWRISK® por ✓ Módulo de Evaluación de
▪ 200 GB de ▪ 30 proyectos 12 meses. Riesgos.
almacenamiento. incluidos (de acuerdo con el ✓ Módulo de Tratamiento de
▪ 01 CPU ▪ 20 usuarios de procedimiento vigente). Riesgos.
▪ 04 GB memoria. acceso incluidos (2 ✓ Módulo de Monitoreo y Control
▪ Servicio por 12 meses nominales y 18 de Riesgos.
incluido. concurrentes) ✓ Módulo de Tablero de Mando.
▪ Seguridad básica: IP ▪ Funcionalidad total de los módulos
de acceso autorizado. incluidos habilitada.
▪ Registros ilimitados.

Division de Seguridad Digital – Atixworld Systems

 DECLARACIÓN DE CONFIDENCIALIDAD Y
PRIVACIDAD
Atixworld Systems, le informa que este documento es confidencial entre las partes, estando destinado al uso exclusivo
de las personas o entidades referenciadas en la cabecera de este, con las consecuencias legales inherentes a ello, de
forma que no podrá divulgarse, distribuirse o copiarse la información contenida, salvo para las personas encargadas de la
evaluación de propuestas. En el caso de que la recepción sea errónea bien porque no sea destinatario de la misma o
porque ésta no sea correcta, por favor, póngase en contacto con nuestras oficinas a la mayor brevedad posible.

Division de Seguridad Digital – Atixworld Systems