Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En el contexto de una auditora sobre el proceso de la administracin de los riesgos en los procesos del negocio
Risk IT est enfocado en aquellas funciones gerenciales con una misin, en el sentido financiero, de reducir el riesgo
Habilitacin del beneficio (Valor) de T.I. Entrega de soluciones de T.I. (proyectos) Entrega de Servicios de T.I.
Habilitador tecnolgico para nuevas iniciativas del negocio Habilitador tecnolgico para eficientizar las operaciones
Cumplimiento regulatorio
Gobierno
Establecer y mantener una visin comn de riesgo Integrarse con la administracin corporativa de riesgo Tomar decisiones de negocio concientes del riesgo
IT RISK
Respuesta Evaluacin
Recopilar datos Analizar el riesgo Mantener un perfil de riesgo
El uso de T.I. puede generar grandes beneficios, pero tambin conlleva riesgos
El riesgo de T.I. debe tratarse como cualquier otro riesgo (mercado, crdito, operacional)
Un proceso de principio a fin para la administracin exitosa del riesgo de T.I. Una lista genrica de eventos comunes que pueden afectar adversamente las actividades de T.I. y la realizacin de los objetivos del negocio Herramientas y tcnicas para entender los riesgo reales de las operaciones.
Conectarse con los Objetivos del Negocio Funcionar como parte de las actividades diarias Alinear el Riesgo de T.I. con la administraci n de ERM
El marco refererencial de RISK IT es sobre el riesgo del NEGOCIO relacionado con el uso de la T.I.
Principios de RISK IT
Establecer responsabilid ades tone at the top Promover una comunicacin abierta y justa Balacosto/be neficio nce del del Riesgo de T.I.
Funcin
Junta Directiva y Comit Ejecutivo Administradores de riesgo corporativo Administradores de riesgo operativo Administracin de T.I.
Mejoramiento de su visin del riesgo de T.I. desde un punto de vista ms operacional, el cual debe encajar en el marco general de administracin del riesgo
Alineamiento con la administracin del riesgo corporativo, debido a que la evaluacin de los riesgos es un aspecto principal de su responsabilidad
Funcin
Administradores de la seguridad de T.I. Directores Financieros Oficiales de gobierno corporativo Administradores del negocio
Auditores de T.I.
Auditores externos
Aseguradoras
Gua adicional sobre los niveles de riesgo de T.I. cuando establecen una opinin sobre la calidad del control interno
Soporte en el establecimiento de una cobertura adecuada de aseguramiento de T.I. de acuerdo con los niveles de riesgo
Gobierno de Riesgo
Integracin con ERM
Administrar el riesgo
Analizar el riesgo
Objetivos del negocio
Articular el riesgo
Comunicacin
Recolectar datos
Respuesta al Riesgo
Evaluacin de Riesgos
Realmente inaceptable
Inaceptable
Aceptable
Oportunidad
Frecuencia
Magnitud
Expectativas:
Expectativas
Estado
Cultura de Riesgo
Comportamiento ante eventos negativos Comportamiento hacia el cumplimiento de polticas
Cumplir No cumplir
CMI Extendido
Financiera
Eficiencia
Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Cliente
Procesos Capacitacin e innovacin
Escenario top-down
Objetivos del negocio
Identificar los objetivos del negocio Identificar escenarios con el mayor impacto a los objetivos
Escenario bottom-up
Identificar todos los escenarios hipotticos Reducirlos mediante un anlisis de alto nivel
Riesgo de T.I.
Capacidad de T.I.
Factores de Riesgo
Evento
Divulgacin
Interrupcin
Tipo de amenaza
Maliciosa
Accidental Fallas Natural Requerimiento externo
Robo Destruccin
Activo o recurso
Personas
Procesos Instalaciones Informacin Aplicaciones
Actor
Interno Externo ( competidor, socio de negocios, regulador)
Escenario de riesgo
Tiempo
Duracin Momento de ocurrencia Momento de deteccin
Evitar el riesgo
Transferir el riesgo
Aceptar el riesgo
Toleranci a al riesgo
Riesgo
Anlisis de riesgo
Efectividad de la respuesta
Respuesta al riesgo
Eficiencia de la respuesta
Retrasar el impacto
Caso de negocio
Tasa de costo/efectividad
Riesgo de T.I.
T.I. entrega valor reducido al negocio o del todo no lo entrega
Oportunidad de la T.I.
Identificacin de nuevas oportunidades de negocio utilizando la T.I.
Mejoramiento del valor del negocio con el uso optimizado de las capacidades de la T.I.
Gobierno de Riesgo
Integracin con ERM
Administrar el riesgo
Analizar el riesgo
Objetivos del negocio
Articular el riesgo
Comunicacin
Recolectar datos
Respuesta al Riesgo
Evaluacin de Riesgos
Gobierno de Riesgo
Asegurar que la empresa tiene prcticas de riesgo de T.I. que aseguran un retorno ptimo de la administracin del riesgo
Asegurar que las actividades de la administracin del riesgo se alinean con los objetivos empresariales dentro de los lmites de tolerancia al riesgo de la alta administracin
Asegurar que las decisiones empresariales contemplen en sus amplio rango, las oportunidades y consecuencias de apoyarse en la T.I.
RG2.4 Proveer los recursos adecuados para la administracin del riesgo de T.I.
RG2.2 Coordinar la estrategia de riesgo de T.I. con la estrategia de riesgo del negocio
RG2.3 Adaptar las prcticas de riesgo de T.I. con las prcticas de riesgo de empresariales.
RG3.3 Insertar las consideraciones del riesgo de T.I. en el proceso de toma de decisiones de carcter estratgico.
Evaluacin de Riesgo
Asegurar que los riesgos y las oportunidades de T.I. son identificadas analizadas y presentadas en trminos del negocio.
Identificar los datos relevantes que habiliten una efectiva identificacin, anlisis y reporte de los riesgos de T.I.
Analizar el riesgo
Desarrollar informacin til para el soporte de las decisiones de riesgo que tome en cuenta la relevancia de los factores de riesgo del negocio.
Mantener un inventario actualizado de todos los riesgos conocidos con sus atributos, recursos, capacidades y controles tal y como deben ser conocidos en el contexto de los productos, servicios y procesos del negocio
Recoleccin de datos
Asegurar que la informacin sobre el verdadero estado sobre las exposiciones y las oportunidades estn disponibles oportunamente y a las personas apropiadas para su adecuada respuesta.
Administrar el riesgo
Asegurar que las medidas para aprovechar las oportunidades y reducir el riesgo a un nivel aceptable son administradas en un portafolio.
Asegurar que las medidas para aprovechar las oportunidades inmediatas o limitar la magnitud de las prdidas de los eventos relacionados con la T.I. Son activadas oportunamente y son efectivas
Articular el riesgo
RR1.3 Interpretar independientemente los hallazgos de las evaluaciones del riesgo de T.I.
RR1.2 Reportar las actividades de administracin del riesgo de T.I. y el estado de cumplimiento
RR2.2 Monitorizar el alineamiento operacional con los niveles de tolerancia RR2.3 Responder a las exposiciones de riesgo y las oportunidades descubiertas.
Referencias bibliogrficas: ISACA, The Risk IT framework, 2009 Barnier B., Key questions in COBIT success what you need to know, COBIT Focus, 2010, Vol 1