Estándares y marcos de referencia

para el Gobierno y la Gestión de

Riesgos
Dra. Ing. Jessie Leila Bravo Jaico
Docente principal UNPRG
Email: jbravo@unprg.edu.pe
¿Cómo se crea valor para los
grupos de interés?
Evolución de la gestión de
riesgos
Estándares y marcos de
referencia
 Historia
• La estandarización de la gestión de riesgos se
inició con COSO, código emitido por el Comité de
Organizaciones Sponsor en 1991 y que incluía
prácticas para la gestión interna del riesgo.
• Dos años más tarde, Australia y Nueva Zelanda
publicaron la norma AS/NZ 4360 sobre el riesgo
en sus empresas públicas.
• En el 2002 el Instituto Británico de Gestión de
Riesgos hizo público el estándar IRM.
• Por otro lado en el año 2002 con la finalidad de
evitar fraudes y riesgo de bancarrota nace en
Estados Unidos la Ley Sarbanes Oxley.
 COSO ERM
• El Consejo del Committee of Sponsoring Organizations
of the Treadway Commission (COSO) publicó el
documento Enterprise Risk Management—Integrating
with Strategy and Performance (ERM 2017), una
actualización de la primera versión de 2004.
• El Marco de Gestión de Riesgos Empresariales –
integrado con estrategia y desempeño (COSO 2017)
aclara la importancia de la gestión de riesgos
empresariales en la planeación estratégica y la
incorpora a toda la organización, ya que el riesgo influye
y están alineados a la estrategia y el desempeño en
todas las áreas, departamentos y funciones.
COSO ERM 2017
COSO ERM 2017
 ISO 31000
• Nace en el año 2009 elaborado por la
Organización Internacional de
Normalización (ISO) .
• Guía en la implementación de la gestión
del riesgo a través de directrices genéricas
para el diseño, la implementación y el
mantenimiento del proceso de gestión de
riesgos en una organización.
 ISO 31000
• ISO 31000: 2009 reemplaza a AS/NZS
4360:2004 para la gestión de riesgos. La
familia ISO 31000 incluye:
• ISO 31000:2009 Principios y directrices en la
implementación.
• ISO/IEC 31010: 2009 Gestión de riesgos–
Técnicas de evaluación de riesgos
• ISO Guide73:2009 Gestión de riesgos–
Vocabulario
ISO 31000
Proceso de gestión del riesgo
 ISO 27005 –GESTIÓN DE RIESGOS DE
SEGURIDAD DE INFORMACIÓN
• ISO 27005 es el estándar internacional que
se ocupa de la gestión de riesgos de
seguridad de información.
• Suministra las directrices para la gestión de
riesgos de seguridad de la información en
una empresa, apoyando particularmente
los requisitos del sistema de gestión de
seguridad de la información definidos
en ISO 27001.
 ISO 27005 –GESTIÓN DE RIESGOS DE
SEGURIDAD DE INFORMACIÓN
• La ISO/IEC 27005:2018 garantizará el
cumplimento con los requisitos de
seguridad de información actuales
expresados los requisitos y fines de la
ISO/IC 27001:2013, además alineado con
la Norma ISO/IEC 27033 la cual aborda
los aspectos relevantes sobre seguridad
en la red.
Proceso de gestión de riesgos de
seguridad de la información
Dicho proceso contempla
dos puntos de decisión:

Punto de decisión 1: Risk

Assessment activities.
Evaluamos el riesgo.

Punto de decisión 2: Risk

Treatment activities.
Tratamos el riesgo.
 MAGERIT –GESTIÓN DE RIESGOS DE
TECNOLOGÍAS DE INFORMACIÓN
• Es una metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración
Electrónica de España, que ofrece un método sistemático
para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones para de
esta forma implementar las medidas de control más
adecuadas que permitan tener los riesgos mitigados.
• Además de esto, cuenta con todo un documento que
reúne técnicas y ejemplos de cómo realizar el análisis de
riesgos.
• Fuente:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XeHPFOhKgdU
MAGERIT –GESTIÓN DE RIESGOS DE
TECNOLOGÍAS DE INFORMACIÓN