Strategy · Clarity · Trust

Lo técnico. Traducido al negocio.

Asesoría en riesgo, ciberseguridad y cumplimiento para organizaciones con exposición material al riesgo digital y operacional. Diagnóstico, preparación para auditoría y acompañamiento estratégico.

Ver servicios
Manifiesto

Claridad antes que urgencia. Evidencia antes que alarma. Criterio antes que especulación.

Disciplina

En Extrimpa el trabajo se organiza con una disciplina precisa: la exposición se cuantifica, el tratamiento se justifica, la ejecución se acompaña. Cada recomendación lleva detrás un análisis de riesgo verificable, y cada plan, un compromiso de seguimiento. Nuestra labor es darle al liderazgo los instrumentos para gobernar el riesgo, no solo sobrellevarlo.

Alcance

Nuestro trabajo se concentra en evaluar, preparar y fortalecer el entorno de riesgo y control de la organización. La opinión formal e independiente que exigen ciertos marcos regulatorios o de certificación corresponde a la entidad autorizada para emitirla: una firma de auditoría externa o un organismo certificador, según el caso.

Servicios

Cuatro capacidades.
Un mismo criterio.

Evaluación, gobierno, preparación regulatoria y acompañamiento continuo del riesgo tecnológico y operacional. Capacidades independientes que se combinan según lo que cada organización necesite fortalecer internamente o demostrar ante un auditor, un regulador o su propio Consejo.

Proveemos un diagnóstico independiente y objetivo sobre la exposición real al riesgo tecnológico de la organización y la efectividad operativa de sus mitigadores.

  • Diagnóstico integral de riesgos

    Evaluaciones de riesgos tecnológicos, ciberseguridad con enfoque de negocio y riesgos críticos asociados a iniciativas de transformación digital.

  • Riesgo de terceros (TPRM)

    Evaluación de la postura de seguridad y cumplimiento de proveedores críticos y de la cadena de suministro tecnológica.

  • Pruebas de control (Control Testing)

    Evaluaciones exhaustivas para validar el entorno de control tecnológico tanto a nivel de diseño como de efectividad operativa, verificando su alineación con las expectativas de la alta dirección y las exigencias de los auditores externos.

Evolucionamos las capacidades de gobierno corporativo para alinear la tecnología con las prioridades de la alta dirección, asegurando la resiliencia operativa y la sustentabilidad del negocio.

  • Marcos de gobierno y riesgo

    Diseño de la estructura de gobierno de TI, definición de la postura de apetito y tolerancia al riesgo, y optimización del modelo de Tres Líneas de Defensa (3LoD) bajo estándares internacionales (COSO, COBIT).

  • Sistema de control interno

    Desarrollo y actualización de matrices de riesgo y control, diseño de controles clave y redacción de las políticas y estándares corporativos que los sustentan.

  • Reportes de gobierno corporativo

    Desarrollo de dashboards ejecutivos e indicadores clave de riesgo (KRIs) orientados a las necesidades de rendición de cuentas ante comités de riesgo y juntas directivas.

Anticipamos los requerimientos de los reguladores y auditores externos mediante un enfoque metodológico que permite identificar brechas y estructurar planes de acción antes de la intervención formal de las autoridades.

  • Revisiones de preparación y análisis de brechas

    Evaluaciones de readiness previas a auditorías, gap assessments frente a normativas regulatorias y medición del nivel de madurez de la postura de riesgo.

  • Simulaciones de auditoría

    Ejercicios de campo que replican con rigurosidad las condiciones de una inspección regulatoria o auditoría externa, evaluando la capacidad de respuesta y la suficiencia de la evidencia del entorno de control.

  • Validación independiente de remediación

    En caso de requerimientos preexistentes, realizamos una revisión objetiva para asegurar que los planes de compromiso asumidos mitiguen el riesgo de forma definitiva ante las autoridades supervisoras.

Diseñado como una extensión estratégica de su función de riesgos, sin sustituirla. Este modelo aporta criterio senior en la supervisión, seguimiento y reporte ejecutivo, dimensionándose exactamente a las exigencias de su operación en cada momento y garantizando una respuesta ágil y especializada sin sobrecargar su estructura interna.

  • Monitoreo continuo de riesgos

    Actualización dinámica del registro de riesgos, seguimiento de los indicadores clave (KRIs) y detección temprana de riesgos emergentes.

  • Gestión estratégica de la remediación

    Supervisión y control del avance de los planes de remediación comprometidos, validando la suficiencia de los avances frente a las observaciones de auditorías previas.

  • Pruebas de control (control testing)

    Orientadas a validar el diseño o la efectividad operativa de los controles clave, con la preparación de informes ejecutivos para la alta gerencia y comités de riesgos.

Nosotros

Firma especializada.

Extrimpa es una firma de consultoría especializada en gestión de riesgos tecnológicos, ciberseguridad y cumplimiento. Servimos a entidades bancarias y financieras reguladas dominicanas, así como a empresas de tecnología, BPO y software que exportan servicios profesionales a mercados internacionales, donde el cumplimiento ya no es un trámite sino una condición de acceso.

No competimos por amplitud. Competimos por proximidad, por especialización y por la calidad del juicio que aportamos a cada decisión. El fundador conduce personalmente la dirección técnica de cada proyecto y la relación estratégica con cada cliente.

Lo que entregamos son respuestas claras, sustentadas en estándares internacionales y traducidas al lenguaje en que se toman las decisiones de negocio.

El fundador

Angel Montilla

Fundador & Principal Consultant CISM · CRISC

Más de una década en tecnologías de la información, con foco en gestión de riesgo tecnológico y seguridad de la información. La trayectoria empezó en operaciones de TI: administración de identidades, gestión de vulnerabilidades, respuesta a incidentes y soporte a auditorías SOC 2, PCI-DSS e ISO 27001. Ese trabajo operativo precedió al paso hacia la consultoría y luego hacia el gobierno corporativo a escala global.

En KPMG Estados Unidos, como segunda línea de defensa, condujo revisiones regionales de riesgo tecnológico para toda América. Asesoró al liderazgo y a los equipos de proyecto en cumplimiento de requerimientos regulatorios, estándares profesionales y políticas de la firma. Participó en el diseño de marcos de gobernanza y metodologías de revisión para nuevas iniciativas adoptadas a nivel regional.

Más adelante, en BNY (The Bank of New York Mellon), formó parte del equipo de gobierno y control de la primera línea de defensa de la plataforma Global Clearing. Allí trabajó bajo los marcos regulatorios aplicables a una operación de compensación de alcance internacional, sujeta a regulación en Estados Unidos, el Reino Unido y la Unión Europea: SOX, SOC 1, SEC Rule 15c3-3, FCA CASS y MiFID II.

Esa trayectoria explica cómo trabaja hoy. Conoce la disciplina documental que se exige desde una segunda línea y conoce también lo que cuesta sostener un control vivo en la operación diaria. Eso es lo que trae a cada proyecto de Extrimpa.

Fundó Extrimpa en 2026 para llevar esa experiencia a las organizaciones dominicanas que hoy enfrentan presiones regulatorias similares a las que conoció en escala global.

Por qué Extrimpa

Strategy. Clarity. Trust.

Tres compromisos que sostienen cada entrega.

01 Strategy

Estrategia.

No solo prestamos servicios; sostenemos decisiones. Cada entrega se diseña para que el liderazgo avance con un mapa, no con un inventario de hallazgos.

02 Clarity

Claridad.

Traducimos la complejidad técnica al lenguaje en que se aprueban presupuestos y se toman acuerdos de junta. Cada recomendación se explica con claridad, se sigue con trazabilidad y resiste el escrutinio.

03 Trust

Confianza.

No se promete con palabras; se demuestra con cada análisis defendible, cada recomendación sostenida en evidencia y cada decisión profesional que respeta el interés del cliente por encima del nuestro.

Primer paso

No se reduce.
el riesgo que no se conoce.

Empecemos con una llamada de 30 min para entender su contexto y definir el alcance del diagnóstico.

Escribir por correo