RISK IT

En el contexto de una auditora basada en riesgos

En el contexto de la evaluacin del riesgo de los procesos de

un negocio

En el contexto de una auditora sobre el proceso de la

administracin de los riesgos en los procesos del negocio

Risk IT est enfocado en aquellas funciones gerenciales con una misin, en

el sentido financiero, de reducir el riesgo

Se complementa con el estndar de

facto denominado COBIT

El riesgo de T.I. es uno entre muchos

riesgos que tiene el negocio.

Documento preparado por Johnny Muoz P., CISA, CRISC

El marco de referencia est basado

en un conjunto de principios y guas
de administracin

Rendimiento y disponibilidad
de los servicios de T.I. que
puedan llevar a la
destruccin o reduccin del
valor de la empresa

Riesgos sobre la
realizacin del
beneficio o entrega
de soluciones de T.I.
Pobre contribucin de T.I.
para nuevas soluciones
de negocio o mejoras a
las ya existentes.

Riesgo sobre la
realizacin de
beneficios de T.I.
Aprovechamiento de
oportunidades para usar la
tecnologa con el fin de
mejorar la eficiencia o
efectividad de los procesos
del negocio o como
habilitador de nuevas
iniciativas de negocio

Documento preparado por Johnny Muoz P., CISA, CRISC

Riesgos sobre la
entrega de servicios de
T.I.

Valor del negocio

Dejar de ganar Ganar

Habilitacin del
beneficio (Valor)
de T.I.
Entrega de
soluciones de T.I.
(proyectos)
Entrega de
Servicios de T.I.

Habilitador tecnolgico para

nuevas iniciativas del negocio
Habilitador tecnolgico para
eficientizar las operaciones

Calidad de los proyectos

Relevancia de los proyectos

Sobreproduccin de proyectos

Interrupciones del servicio de

T.I.
Problemas de seguridad

Cumplimiento regulatorio

Prdida Preservar
Valor del negocio

 Siempre est conectado a los objetivos del negocio

Alinea la administracin de los riesgos de T.I. con la administracin de
riesgos corporativa
Balancea los costos y beneficios de la administracin de riesgo

Administracin efectiva de los riesgos de T.I.

Promueve una comunicacin abierta y justa de los riesgos de T.I.
Establece el tono correcto desde la cima de la organizacin, mientras se
definen y se fuerza la rendicin de cuentas personal para las operaciones
dentro de unos niveles de tolerancia bien definidos y aceptados
Es un proceso continuo y pertenece a las actividades diarias

Documento preparado por Johnny Muoz P., CISA, CRISC

Un efectivo gobierno de T.I. a nivel corporativo:

Riesgo de
generacin de
valor de T.I.

Riesgo en la
entrega de
proyectos de T.I.

Riesgo en la entrega
de servicios y
operaciones de T.I.

 Articular el riesgo
Administrar el
riesgo
Reaccionar ante
eventos

Gobierno

Establecer y mantener una

visin comn de riesgo
Integrarse con la
administracin corporativa
de riesgo
Tomar decisiones de
negocio concientes del
riesgo

IT
RISK
Respuesta

Evaluacin

Recopilar datos
Analizar el riesgo
Mantener un perfil de
riesgo

El uso de T.I. puede generar grandes beneficios, pero tambin

conlleva riesgos
El riesgo de T.I. debe tratarse como cualquier otro riesgo (mercado, crdito,
operacional)

El marco conceptual permite:

Integrar la administracin del riesgo de T.I. a la administracin corporativa
de riesgo
Tomar decisiones bien informadas sobre la extensin, el apetito y la
tolerancia al riesgo de la empresa

Entender como responder ante los riesgos

Documento preparado por Johnny Muoz P., CISA, CRISC

La administracin de los riesgos del negocio es un componente

esencial en cualquier negocio

Un conjunto de prcticas de gobierno para la administracin del riesgo

Un proceso de principio a fin para la administracin exitosa del riesgo de

T.I.
Una lista genrica de eventos comunes que pueden afectar adversamente
las actividades de T.I. y la realizacin de los objetivos del negocio
Herramientas y tcnicas para entender los riesgo reales de las
operaciones.

Documento preparado por Johnny Muoz P., CISA, CRISC

El marco conceptual provee

Conectarse
con los
Objetivos del
Negocio
Funcionar
como parte
de las
actividades
diarias

Alinear el
Riesgo de T.I.
con la
administraci
n de ERM

Principios
de RISK
IT
Establecer
responsabilid
ades tone at
the top

Balacosto/be
neficio nce
del del
Riesgo de T.I.
Promover
una
comunicacin
abierta y
justa

El marco refererencial de
RISK IT es sobre el
riesgo del NEGOCIO
relacionado con el uso
de la T.I.

Funcin

Beneficios o razones por las que debe utilizar

RISK IT

Junta Directiva y Comit

Ejecutivo

Mejor entendimiento de sus responsabilidades y funciones

relacionadas con la administracin de T.I.

Administradores de riesgo
corporativo

Asistencia en la administracin del riesgo de T.I., en lnea con

los principios de administracin de riesgo corporativo
generalmente aceptados

Administradores de riesgo
operativo

Vinculacin de su marco conceptual de riesgo de T.I.,

identificacin de las prdidas operacionales o desarrollo de los
indicadores de riesgo principales

Administracin de T.I.

Mejor entendimiento de cmo identificar y administrar los

riesgos de T.I. y cmo comunicar estos riesgos a los
encargados de tomar las decisiones del negocio

Administradores del servicio

de T.I.

Mejoramiento de su visin del riesgo de T.I. desde un punto de

vista ms operacional, el cual debe encajar en el marco general
de administracin del riesgo

Administradores de la
continuidad del servicio

Alineamiento con la administracin del riesgo corporativo,

debido a que la evaluacin de los riesgos es un aspecto
principal de su responsabilidad

Funcin

Beneficios o razones por las que debe utilizar

RISK IT

Administradores de la
seguridad de T.I.

Posicionamiento del riesgo de seguridad junto con otras

categoras del riesgo de T.I.

Directores Financieros

Obtienen una mejor visin de los riesgos relacionados con

T.I. y sus implicaciones financieras

Oficiales de gobierno
corporativo

Asistencia en sus responsabilidades de revisin y vigilancia

del gobierno corporativo y otras funciones de gobierno de T.I.

Administradores del negocio

Entendimiento y administracin del riesgo de T.I. como un

ms de los riesgos del negocio, los cuales deben estar
alineados

Auditores de T.I.

Mejor anlisis del riesgo como soporte de los planes y

estudios de auditora

Auditores externos

Gua adicional sobre los niveles de riesgo de T.I. cuando

establecen una opinin sobre la calidad del control interno

Aseguradoras

Soporte en el establecimiento de una cobertura adecuada de

aseguramiento de T.I. de acuerdo con los niveles de riesgo

Gobierno de
Riesgo
Integracin con
ERM

Visin
comn del
riesgo

Toma de
decisiones
basadas en
el riesgo

Analizar el
riesgo

Administrar
el riesgo

Articular el
riesgo

Reaccionar
ante los
eventos

Respuesta al
Riesgo

Objetivos
del
negocio

Comunicacin

Recolectar
datos

Mantener
un perfil
de riesgo

Evaluacin de
Riesgos

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades del
Gobierno de Riesgo

Inaceptable

Aceptable

Oportunidad

Frecuencia

Documento preparado por Johnny Muoz P., CISA, CRISC

Magnitud

Realmente inaceptable

Estrategia,
polticas,
procedimientos,
concientizacin,
capacitacin, etc.

Expectativas

Comunicacin
efectiva del
Riesgo de T.I.
Estado:

Estado

Perfil del riesgo,

indicadores clave
de riesgo, eventos
de materializacin

Capacidad:

Madurez de los
Capacidad
procesos de
administracin del
riesgo

Documento preparado por Johnny Muoz P., CISA, CRISC

Expectativas:

Cultura de
aprendizaje

Conservativo:
Adverso al
riesgo

Agresivo:
Tomador de
riesgos

Cumplir

Cultura
de
Riesgo

Cultura de
culpar

Comportamiento
ante eventos
negativos

No
cumplir

Comportamiento
hacia el
cumplimiento de
polticas

Documento preparado por Johnny Muoz P., CISA, CRISC

Comportamiento
del tomador de
riesgo

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades de la
Evaluacin del Riesgo

Criterios de informacin
de COBIT
Efectividad

Cuadro de Mando
Integral (CMI)
Financiera

Eficiencia

Cliente

Confidencialidad

Procesos

Integridad

Capacitacin e
innovacin

Disponibilidad
Cumplimiento
Confiabilidad

CMI Extendido

Financiera

Valor de las
acciones
Dividendos
Utilidades
Costo de capital
Cliente
Mercado de acciones

Satisfaccin del
cliente
Servicio al Cliente
Procesos
Cumplimiento
regulatorio
Capacitacin e
innovacin
Ventaja competitiva
Reputacin

Westerman

COSO ERM

FAIR

Agilidad

Estrategia

Productividad

Precisin

Operaciones

Acceso

Reporte

Costo de
respuesta

Disponibilidad

Cumplimiento

Costo de
reemplazo
Ventaja
competitiva
Reputacin

Escenario
top-down

Identificar los objetivos

del negocio
Identificar escenarios con
el mayor impacto a los
objetivos

Objetivos
del
negocio

Escenarios
de riesgo
genricos

Escenario
bottom-up

Identificar todos los escenarios

hipotticos
Reducirlos mediante un anlisis
de alto nivel

Factores
ambientales
externos

Factores
ambiental
es
internos

Escena
rios
de
riesgo
espec
ficos
de T.I.

Capacidad
para
administra
r el riesgo

Estimar la
frecuencia y
el impacto

Capacidad
de T.I.

Factores de Riesgo

Riesgo
de T.I.

Capacidad
del negocio
relacionada
con T.I.

Evento
Divulgacin
Interrupcin

Tipo de amenaza

Robo
Destruccin

Activo o recurso

Maliciosa

Personas

Accidental

Procesos

Fallas

Instalaciones

Natural

Informacin

Requerimiento externo

Aplicaciones

Actor
Interno
Externo ( competidor,
socio de negocios,
regulador)

Escenario
de riesgo

Tiempo
Duracin
Momento de ocurrencia
Momento de deteccin

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades de la
Respuesta ante el
Riesgo

Evitar el
riesgo

Mitigacin
del riesgo

Transferir el
riesgo

Aceptar el
riesgo

Documento preparado por Johnny Muoz P., CISA, CRISC

Indicadores
de riesgo
clave RKI

Definicin y
priorizacin
de la
respuesta al
riesgo

Toleranci
a al
riesgo

Estimar la
frecuencia y el
impacto

Riesgos que exceden

los niveles de
tolerancia

Riesgo

Parmetros para
seleccionar la
respuesta al riesgo

Anlisis de riesgo

Costo de reducir el riesgo

dentro de los niveles de
tolerancia

Seleccione las opciones de la respuesta

al riesgo

Capacidad de
implementar la respuesta

Efectividad de la
respuesta

Opciones de respuesta al riesgo

Evitarlo
Reducir Mitigar
Compartir Trasladar
Aceptar

Priorizacin de la
respuesta al riesgo

Priorizar las opciones de respuesta al

riesgo

Planear las acciones ante el riesgo

Priorizar la respuesta al
riesgo

Nivel de riesgo actual

Respuesta al
riesgo

Eficiencia de la respuesta

Caso de
negocio

Logros rpidos
(Quick wins)

Retrasar el
impacto

Caso de
negocio

Tasa de costo/efectividad

T.I. como destructor

o inhibidor del valor

Riesgo de T.I.
T.I. entrega valor reducido al negocio o del
todo no lo entrega

Prdida de oportunidades de negocio por

falta de soporte tecnolgico
Eventos relacionados con la T.I. que
destruyen el valor

Oportunidad de la T.I.
Identificacin de nuevas oportunidades de
negocio utilizando la T.I.
Mejoramiento del valor del negocio con el
uso optimizado de las capacidades de la
T.I.

T.I. como habilitador

del valor

Gobierno de
Riesgo
Integracin con
ERM

Visin
comn del
riesgo

Toma de
decisiones
basadas en
el riesgo

Analizar el
riesgo

Administrar
el riesgo

Articular el
riesgo

Reaccionar
ante los
eventos

Respuesta al
Riesgo

Objetivos
del
negocio

Comunicacin

Recolectar
datos

Mantener
un perfil
de riesgo

Evaluacin de
Riesgos

Gobierno de Riesgo
Asegurar que la empresa tiene prcticas de riesgo de
T.I. que aseguran un retorno ptimo de la
administracin del riesgo

Asegurar que las actividades de

la administracin del riesgo se
alinean con los objetivos
empresariales dentro de los
lmites de tolerancia al riesgo de
la alta administracin

Establecer y mantener
una visin comn del
riesgo

Integracin con ERM

Integrar la estrategia de riesgo
de T.I. y las operaciones con las
decisiones de riesgo estratgicas
del negocio

Asegurar que las decisiones

empresariales contemplen en sus
amplio rango, las oportunidades
y consecuencias de apoyarse en
la T.I.

Toma de decisiones
basadas en el riesgo

RG1.5 Promover la
cultura de
conciencia de
riesgo de T.I.

RG1.4 Alinear la
poltica de riesgo
de T.I.

RG1.1 Realizar una

evaluacin
empresarial del
riesgo de T.I.

RG1.2 Proponer el
umbral de
tolerancia al riesgo
de T.I.

RG1.3 Aprobar el
nivel de tolerancia
de riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RG1.6 Alentar una

comunicacin
efectiva del riesgo
de T.I.

RG2.1 Establecer y
mantener la
responsabilidad por la
administracin del
riesgo de T.I.

RG2.4 Proveer los

recursos adecuados
para la
administracin del
riesgo de T.I.

RG2.2 Coordinar la
estrategia de riesgo
de T.I. con la
estrategia de riesgo
del negocio

RG2.3 Adaptar las

prcticas de riesgo
de T.I. con las
prcticas de riesgo
de empresariales.

Documento preparado por Johnny Muoz P., CISA, CRISC

RG2.5 Proveer
aseguramiento
independiente sobre
la administracin del
riesgo de T.I.

RG3.1 Hacer que la

administracin adopte
la metodologa de
anlisis de riesgo de
T.I.

RG3.2 Aprobar el
anlisis de riesgo de
T.I.

RG3.4 Aceptar el
riesgo de T.I.

RG3.3 Insertar las

consideraciones del
riesgo de T.I. en el
proceso de toma de
decisiones de
carcter estratgico.

Documento preparado por Johnny Muoz P., CISA, CRISC

RG3.5 Priorizar las

actividades de
respuesta al riesgo de
T.I.

Evaluacin de Riesgo
Asegurar que los riesgos y las oportunidades de T.I.
son identificadas analizadas y presentadas en
trminos del negocio.

Identificar los datos relevantes

que habiliten una efectiva
identificacin, anlisis y reporte
de los riesgos de T.I.

Recoleccin de
datos

Analizar el
riesgo
Desarrollar informacin til para
el soporte de las decisiones de
riesgo que tome en cuenta la
relevancia de los factores de
riesgo del negocio.

Mantener un inventario
actualizado de todos los riesgos
conocidos con sus atributos,
recursos, capacidades y controles
tal y como deben ser conocidos
en el contexto de los productos,
servicios y procesos del negocio

Mantener el
perfil de riesgo

RE1.3 Recolectar
los datos ante la
materializacin de
eventos de riesgo.

RE1.2 Recolectar
los datos en el
ambiente
operacional.

Documento preparado por Johnny Muoz P., CISA, CRISC

RE1.4 Identificar
factores de riesgo.

RE1.1 Establecer y
mantener un
modelo para la
coleccin de datos.

RE2.1 Definir un
mbito de
anlisis de
riesgo.

RE2.3 Identificar
las opciones para
la respuesta a los
riesgos.

RE2.2 Estimar el
riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RE2.4 Ejecutar
una revisin de
pares del anlisis
de riesgo.

RE3.5 Mantener el
registro del riesgo
de T.I. y su mapa
de riesgos

RE3.4 Actualizar
los componentes
del escenario del
riesgo de T.I.

RE3.1 Mapear los

recursos de T.I. en
los procesos del
negocio

RE3.2 Determinar
la criticidad de los
recursos de T.I.
para el negocio.

RE3.3 Entender las

capacidades de
T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RE3.6 Desarrollo
de los indicadores
de riesgo de T.I.

Respuesta ante el Riesgo

Asegurar que los riesgos y las oportunidades de T.I.
son enfrentados de manera costo-efectividad y en
lnea con las prioridades del negocio.

Asegurar que la informacin

sobre el verdadero estado sobre
las exposiciones y las
oportunidades estn disponibles
oportunamente y a las personas
apropiadas para su adecuada
respuesta.

Articular el
riesgo

Administrar el
riesgo
Asegurar que las medidas para
aprovechar las oportunidades y
reducir el riesgo a un nivel
aceptable son administradas en
un portafolio.

Asegurar que las medidas para

aprovechar las oportunidades
inmediatas o limitar la magnitud
de las prdidas de los eventos
relacionados con la T.I. Son
activadas oportunamente y son
efectivas

Reaccionar ante
los eventos

RR1.1 Comunicar los

resultados del anlisis
de riesgo de T.I.

RR1.3 Interpretar
independientemente los
hallazgos de las
evaluaciones del riesgo
de T.I.

RR1.2 Reportar las

actividades de
administracin del
riesgo de T.I. y el
estado de
cumplimiento

Documento preparado por Johnny Muoz P., CISA, CRISC

RR1.4 Identificar las

oportunidades de la
tecnologa de
informacin

RR2.1 Inventario de
controles

RR2.2 Monitorizar
el alineamiento
operacional con los
niveles de
tolerancia

RR2.4 Implementar
los controles

RR2.3 Responder a
las exposiciones
de riesgo y las
oportunidades
descubiertas.

Documento preparado por Johnny Muoz P., CISA, CRISC

RR2.5 Reportar el
progreso del plan de
accin del riesgo de
T.I.

RR3.1 Mantener
planes de
respuesta ante
incidentes

RR3.3 Iniciar la
respuesta a
incidentes

RR3.2 Monitorizar
el riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RR3.4 Comunicar
las lecciones
aprendidas de los
eventos de riesgo

Referencias bibliogrficas:
ISACA, The Risk IT framework, 2009
Barnier B., Key questions in COBIT success
what you need to know, COBIT Focus,
2010, Vol 1