capacitacion de riesgos saro- sub tecnología
TRANSCRIPT
Dirección Unidad de Riesgos Operativos
Abril 2013
Sistema de Administración de Riesgo Operativo
2
• Temas de la capacitación
Mapas de CalorMapas de Calor
SAROSARO
Identificación de riesgos
Identificación de riesgos
Árbol de procesosÁrbol de procesos
Sistema de Administración de Riesgo Operativo
3
• Árbol de procesos -Subgerencia de Tecnología– La Subgerencia de Tecnología tiene 4 procesos que abarcan 22
procedimientos así:PROCESO PROCEDIMIENTO ESTADO
Planear y Organizar
Definir un plan estrategico de TI En procesoDefinir la Arquitectura de la información En procesoDeterminar la Direccion Tecnologica En procesoAdministrar recursos humanos de TI HomologadoEvaluar y Administrar Riesgos. Homologado
Adquirir e implementar
Adquirir y Manterner el Software Aplicativo PublicadoAdquirir y Mantener Infraestructura Tecnológica PublicadoAdquirir recursos de TI HomologadoAdministrar Cambios PublicadoInstalar y acreditar soluciones y cambios En proceso
Sistema de Administración de Riesgo Operativo
MARZO 31 DE 2013
4
PROCESO PROCEDIMIENTO ESTADO
Entrega y Soporte
Definir y administrar niveles de servicio En procesoAdministrar los Servicios de Terceros PublicadoAdministrar el Desempeño y la Capacidad PublicadoGarantizar la Continuidad del Servicio PublicadoGarantizar la Seguridad de los Sistemas PublicadoAdministrar la Mesa de Servicio y los Incidentes PublicadoAdministrar la Configuración PublicadoAdministración de Datos PublicadoAdministración del Ambiente Físico PublicadoOperación Diaria del Sistema Publicado
Monitorear y Evaluar
Monitorear y Evaluar el Desempeño de TI En procesoProporcionar Gobierno de TI En proceso
Sistema de Administración de Riesgo Operativo • Árbol de procesos -Subgerencia de Tecnología
MARZO 31 DE 2013
5
Sistema de Administración de Riesgo Operativo • Riesgos tecnológicos
– Los riesgos asociados a los procesos de la Subgerencia equivalen al 34% (75/218) del total de riesgos de la Cámara, su distribución es:
PROCESO PROCEDIMIENTO RIESGOS% RIESGOS
TECNOLOGIA% RIESGOS TOTALES
Planear y Organizar
Definir un plan estrategico de TI En procesoDefinir la Arquitectura de la información En procesoDeterminar la Direccion Tecnologica En procesoAdministrar recursos humanos de TI HomologadoEvaluar y Administrar Riesgos. Homologado
PROCESO PROCEDIMIENTO RIESGOS% RIESGOS
TECNOLOGIA% RIESGOS TOTALES
Adquirir e implementar
Adquirir y Manterner el Software Aplicativo 23 30, 66% 10,5%Adquirir y Mantener Infraestructura Tecnológica 16 21,33% 7,3%
Adquirir recursos de TI HomologadoAdministrar Cambios 2 2,66% 0,9%Instalar y acreditar soluciones y cambios En proceso
TOTAL 41 54,66% 18,80%
6
Sistema de Administración de Riesgo Operativo • Riesgos tecnológicos
PROCESO PROCEDIMIENTO RIESGOS % RIESGOS TECNOLOGIA % RIESGOS TOTALES
Monitorear y Evaluar
Monitorear y Evaluar el Desempeño de TI 0Proporcionar Gobierno de TI 0
PROCESO PROCEDIMIENTO RIESGOS% RIESGOS
TECNOLOGIA% RIESGOS TOTALES
Entrega y Soporte
Definir y administrar niveles de servicio 0Administrar los Servicios de Terceros 2 2,66% 0,91%
Administrar el Desempeño y la Capacidad 0
Garantizar la Continuidad del Servicio 0
Garantizar la Seguridad de los Sistemas 9 12% 4,1%
Administrar la Mesa de Servicio y los Incidentes 3 4% 1,3%
Administrar la Configuración 4 5,33% 1,8%Administración de Datos 9 12% 4,1%Administración del Ambiente Físico 4 5,33% 1,8%Operación Diaria del Sistema 3 4% 1,3%
TOTAL 34 45,33% 15.59%
7
• Mapas de calor -Subgerencia de tecnología– Los 75 riesgos se reflejan en el mapa de calor por representar un impacto para la Entidad
(económico, legal, reputacional, estratégico) de la siguiente manera:
Sistema de Administración de Riesgo Operativo
CONVENCIÓN NIVEL DESCRIPCIÓNRANGOS DE CRITICIDAD
INACEPTABLE Se requiere de acción inmediata o plan de choque para ser mitigado y controlado en un plazo mínimo de 1 mes y administrado con una periodicidad de 3 meses. >=15<=20
INDESEABLE Se requiere atención especial de la gerencia para ser mitigado, controlado en un plazo mínima de 3 meses y administrado con una periodicidad de 6 meses. >=8<15
ACEPTABLE CON CONTROL Se requiere de la atención y seguimiento para ser monitoreado y controlado. >=4<8
ACEPTABLE Solo requiere ser monitoreado por los controles y procedimientos de rutina < 4
8
Sistema de Administración de Riesgo Operativo • Rutas de acceso
– La información detallada de todos los riesgos, sus causas y controles los pueden encontrar en la Matriz de Riesgos de la Cámara ubicada en la siguiente ruta:
c:\svn\crccdocumentacion\riesgos operativos\saro\administración riesgo operativo
– La información detallada de los eventos y sucesos de riesgo de la Cámara los pueden encontrar en:
c:\svn\crccdocumentacion\riesgos operativos\saro\administración riesgo operativo
– Todos los lineamientos del Sistema de Administración del Riesgo Operativo, los pueden consultar en el Manual del SARO ubicado en:
c:\svn\crccdocumentacion\riesgos operativos\saro\administración riesgo operativo\manual saro
MUCHAS GRACIAS