risk it - isaca_es

7/27/2019 Risk It - Isaca_es

1/42

RISK IT


2/42

En el contexto de una auditora basada en riesgos

En el contexto de la evaluacin del riesgo de los procesos de

un negocio

En el contexto de una auditora sobre el proceso de la

administracin de los riesgos en los procesos del negocio

Risk IT est enfocado en aquellas funciones gerenciales con una misin, enel sentido financiero, de reducir el riesgo


3/42

DocumentopreparadoporJohnnyM

uozP.,

CISA,

CRISC

El marco de referencia est basado

en un conjunto de principios y guas

de administracin

Se complementa con el estndar de

facto denominado COBIT

El riesgo de T.I. es uno entre muchos

riesgos que tiene el negocio.


4/42


uozP.,

CISA,

CRISC

Riesgos sobre la

entrega de servicios de

T.I.

Rendimiento y disponibilidad

de los servicios de T.I. que

puedan llevar a la

destruccin o reduccin del

valor de la empresa

Riesgos sobre la

realizacin del

beneficio o entregade soluciones de T.I.

Pobre contribucin de T.I.

para nuevas soluciones

de negocio o mejoras a

las ya existentes.

Riesgo sobre la

realizacin de

beneficios de T.I.

Aprovechamiento de

oportunidades para usar la

tecnologa con el fin de

mejorar la eficiencia o

efectividad de los procesos

del negocio o comohabilitador de nuevas

iniciativas de negocio


5/42

Habilitacin delbeneficio (Valor)

de T.I.

Entrega desoluciones de T.I.

(proyectos)

Entrega deServicios de T.I.

Habilitador tecnolgico paranuevas iniciativas del negocio

Habilitador tecnolgico paraeficientizar las operaciones

Calidad de los proyectos

Relevancia de los proyectos

Sobreproduccin de proyectos

Interrupciones del servicio de

T.I.

Problemas de seguridad

Cumplimiento regulatorio

Valor del negocioPrdida Preservar

Valor del negocioDejar de ganar Ganar


6/42


uozP.,

CISA,

CRISC

Un efectivo gobierno de T.I. a nivel corporativo:

Siempre est conectado a los objetivos del negocio

Alinea la administracin de los riesgos de T.I. con la administracin de

riesgos corporativa

Balancea los costos y beneficios de la administracin de riesgo

Administracin efectiva de los riesgos de T.I.

Promueve una comunicacin abierta y justa de los riesgos de T.I.

Establece el tono correcto desde la cima de la organizacin, mientras sedefinen y se fuerza la rendicin de cuentas personal para las operaciones

dentro de unos niveles de tolerancia bien definidos y aceptados

Es un proceso continuo y pertenece a las actividades diarias


7/42

Riesgo degeneracin devalor de T.I.

Riesgo en laentrega de

proyectos de T.I.

Riesgo en la entregade servicios y

operaciones de T.I.


8/42


9/42

Establecer y mantener unavisin comn de riesgo

Integrarse con laadministracin corporativade riesgo

Tomar decisiones denegocio concientes delriesgo

Recopilar datos Analizar el riesgo Mantener un perfil de

riesgo

Articular el riesgo Administrar el

riesgo Reaccionar ante

eventos

IT

RISK

Gobierno

EvaluacinRespuesta


10/42


uozP.,

CISA,

CRISC

La administracin de los riesgos del negocio es un componenteesencial en cualquier negocio

El uso de T.I. puede generar grandes beneficios, pero tambin

conlleva riesgos

El riesgo de T.I. debe tratarse como cualquier otro riesgo (mercado, crdito,

operacional)

El marco conceptual permite:

Integrar la administracin del riesgo de T.I. a la administracin corporativa

de riesgo

Tomar decisiones bien informadas sobre la extensin, el apetito y la

tolerancia al riesgo de la empresa

Entender como responder ante los riesgos


11/42


uozP.,

CISA,

CRISCEl marco conceptual provee

Un conjunto de prcticas de gobierno para la administracin del riesgo

Un proceso de principio a fin para la administracin exitosa del riesgo de

T.I.

Una lista genrica de eventos comunes que pueden afectar adversamente

las actividades de T.I. y la realizacin de los objetivos del negocio

Herramientas y tcnicas para entender los riesgo reales de las

operaciones.


12/42

El marco refererencial de

RISK IT es sobre elriesgo del NEGOCIO

relacionado con el uso

de la T.I.

Principiosde RISK

IT

Conectarsecon los

Objetivos delNegocio

Alinear elRiesgo de T.I.

con laadministraci

n de ERM

Balacosto/beneficio nce

del delRiesgo de T.I.

Promoveruna

comunicacinabierta y

justa

Establecerresponsabilidades tone at

the top

Funcionarcomo parte

de lasactividades

diarias


13/42


14/42

Funcin Beneficios o razones por las que debe utilizarRISK ITAdministradores de laseguridad de T.I.

Posicionamiento del riesgo de seguridad junto con otrascategoras del riesgo de T.I.

Directores Financieros Obtienen una mejor visin de los riesgos relacionados con

T.I. y sus implicaciones financieras

Oficiales de gobiernocorporativo

Asistencia en sus responsabilidades de revisin y vigilanciadel gobierno corporativo y otras funciones de gobierno de T.I.

Administradores del negocio Entendimiento y administracin del riesgo de T.I. como unms de los riesgos del negocio, los cuales deben estaralineados

Auditores de T.I. Mejor anlisis del riesgo como soporte de los planes yestudios de auditora

Auditores externos Gua adicional sobre los niveles de riesgo de T.I. cuandoestablecen una opinin sobre la calidad del control interno

Aseguradoras Soporte en el establecimiento de una cobertura adecuada deaseguramiento de T.I. de acuerdo con los niveles de riesgo


15/42

Objetivosdel

negocioComunicacin

Analizar el

riesgo

Mantener

un perfil

de riesgo

Recolectar

datos

Evaluacin de

Riesgos

Integracin con

ERM

Toma de

decisiones

basadas en

el riesgo

Visin

comn del

riesgo

Gobierno deRiesgo

Administrar

el riesgo

Reaccionar

ante los

eventos

Articular el

riesgo

Respuesta alRiesgo


16/42

DocumentopreparadoporJohnnyMuozP.,

CISA,

CRISC

Generalidades delGobierno de Riesgo


17/42

Documen

topreparadoporJohnnyM

uozP.,

CISA,

CRISC

Oportunidad

Aceptable

Inaceptable

Realmente inaceptable

Frecuencia

Magnitu

d


18/42

Documen


uozP.,

CISA,

CRISC

Comunicacin

efectiva del

Riesgo de T.I.

Expectativas:

Estrategia,

polticas,

procedimientos,

concientizacin,

capacitacin, etc.

Capacidad:

Madurez de los

procesos de

administracin del

riesgo

Estado:

Perfil del riesgo,

indicadores clave

de riesgo, eventos

de materializacin

Expectativas

CapacidadEstado


19/42

Documen


uozP.,

CISA,

CRISC

Cultura

de

Riesgo

Comportamiento

del tomador de

riesgo

Comportamiento

hacia el

cumplimiento de

polticas

Comportamiento

ante eventos

negativos

Conservativo:

Adverso al

riesgo

Agresivo:

Tomador de

riesgos

Cumplir

No

cumplir

Cultura de

aprendizaje

Cultura de

culpar


20/42

Docum

entopreparadoporJohnnyMuozP.,

CISA,

CRISC

Generalidades de laEvaluacin del Riesgo


21/42

Criterios de informacinde COBIT

Efectividad

Eficiencia

Confidencialidad

Integridad

DisponibilidadCumplimiento

Confiabilidad

Cuadro de MandoIntegral (CMI)

Financiera

Cliente

Procesos

Capacitacin e

innovacin

CMI Extendido

Financiera

Valor de las

acciones

Dividendos

UtilidadesCosto de capital

Cliente

Mercado de acciones

Satisfaccin del

cliente

Servicio al Cliente

Procesos

Cumplimiento

regulatorio

Capacitacin e

innovacin

Ventaja competitiva

Reputacin


22/42


23/42


24/42


25/42

Docum

entopreparadoporJohnn

yMuozP.,

CISA,

CRISC

Generalidades de laRespuesta ante elRiesgo


26/42


27/42


28/42

Riesgo de T.I. T.I. entrega valor reducido al negocio o del

todo no lo entrega

Prdida de oportunidades de negocio por

falta de soporte tecnolgico

Eventos relacionados con la T.I. quedestruyen el valor

Oportunidad de la T.I. Identificacin de nuevas oportunidades de

negocio utilizando la T.I.

Mejoramiento del valor del negocio con el

uso optimizado de las capacidades de la

T.I.

T.I. como destructoro inhibidor del valor

T.I. como habilitadordel valor


29/42

Objetivosdel

negocioComunicacin

Analizar el

riesgo

Mantener

un perfil

de riesgo

Recolectar

datos

Evaluacin de

Riesgos

Integracin con

ERM

Toma de

decisiones

basadas en

el riesgo

Visin

comn del

riesgo

Gobierno deRiesgo

Administrar

el riesgo

Reaccionar

ante los

eventos

Articular el

riesgo

Respuesta al

Riesgo


30/42

Gobierno de RiesgoAsegurar que la empresa tiene prcticas de riesgo de

T.I. que aseguran un retorno ptimo de laadministracin del riesgo

Asegurar que las actividades de

la administracin del riesgo se

alinean con los objetivos

empresariales dentro de los

lmites de tolerancia al riesgo de

la alta administracin

Establecer y mantener

una visin comn delriesgo

Integrar la estrategia de riesgo

de T.I. y las operaciones con las

decisiones de riesgo estratgicas

del negocio

Integracin con ERMAsegurar que las decisiones

empresariales contemplen en sus

amplio rango, las oportunidades

y consecuencias de apoyarse en

la T.I.

Toma de decisiones

basadas en el riesgo


31/42

Documen

topreparadoporJohnnyMuozP.,

CISA,

CRISC

RG1.1 Realizar una

evaluacin

empresarial del

riesgo de T.I.

RG1.2 Proponer el

umbral de

tolerancia al riesgo

de T.I.

RG1.3 Aprobar el

nivel de tolerancia

de riesgo de T.I.

RG1.4 Alinear la

poltica de riesgo

de T.I.

RG1.5 Promover la

cultura de

conciencia de

riesgo de T.I.

RG1.6 Alentar una

comunicacin

efectiva del riesgo

de T.I.


32/42

Documen


CISA,

CRISC

RG2.1 Establecer y

mantener la

responsabilidad por la

administracin del

riesgo de T.I.

RG2.2 Coordinar la

estrategia de riesgo

de T.I. con la

estrategia de riesgo

del negocio

RG2.3 Adaptar las

prcticas de riesgo

de T.I. con las

prcticas de riesgo

de empresariales.

RG2.4 Proveer los

recursos adecuados

para la

administracin del

riesgo de T.I.

RG2.5 Proveer

aseguramiento

independiente sobre

la administracin del

riesgo de T.I.


33/42

Documen


CISA,

CRISC

RG3.1 Hacer que la

administracin adopte

la metodologa de

anlisis de riesgo de

T.I.

RG3.2 Aprobar el

anlisis de riesgo de

T.I.

RG3.3 Insertar las

consideraciones del

riesgo de T.I. en el

proceso de toma de

decisiones de

carcter estratgico.

RG3.4 Aceptar el

riesgo de T.I.

RG3.5 Priorizar las

actividades de

respuesta al riesgo de

T.I.


34/42

Evaluacin de RiesgoAsegurar que los riesgos y las oportunidades de T.I.

son identificadas analizadas y presentadas entrminos del negocio.

Identificar los datos relevantes

que habiliten una efectivaidentificacin, anlisis y reporte

de los riesgos de T.I.

Recoleccin dedatos

Desarrollar informacin til para

el soporte de las decisiones de

riesgo que tome en cuenta la

relevancia de los factores de

riesgo del negocio.

Analizar el

riesgoMantener un inventario

actualizado de todos los riesgosconocidos con sus atributos,

recursos, capacidades y controles

tal y como deben ser conocidos

en el contexto de los productos,

servicios y procesos del negocio

Mantener elperfil de riesgo


35/42

Documen


CISA,

CRISC

RE1.1 Establecer y

mantener un

modelo para lacoleccin de datos.

RE1.2 Recolectar

los datos en el

ambiente

operacional.

RE1.3 Recolectar

los datos ante la

materializacin de

eventos de riesgo.

RE1.4 Identificar

factores de riesgo.


36/42

Documen


CISA,

CRISC

RE2.1 Definir un

mbito de

anlisis deriesgo.

RE2.2 Estimar el

riesgo de T.I.

RE2.3 Identificar

las opciones para

la respuesta a losriesgos.

RE2.4 Ejecutar

una revisin de

pares del anlisisde riesgo.


37/42


CISA,

CRISC

RE3.1 Mapear los

recursos de T.I. en

los procesos del

negocio

RE3.2 Determinar

la criticidad de los

recursos de T.I.

para el negocio.

RE3.3 Entender las

capacidades de

T.I.

RE3.4 Actualizar

los componentes

del escenario del

riesgo de T.I.

RE3.5 Mantener el

registro del riesgo

de T.I. y su mapa

de riesgos

RE3.6 Desarrollo

de los indicadores

de riesgo de T.I.


38/42

Respuesta ante el RiesgoAsegurar que los riesgos y las oportunidades de T.I.

son enfrentados de manera costo-efectividad y enlnea con las prioridades del negocio.

Asegurar que la informacin

sobre el verdadero estado sobre

las exposiciones y las

oportunidades estn disponibles

oportunamente y a las personas

apropiadas para su adecuada

respuesta.

Articular elriesgo

Asegurar que las medidas para

aprovechar las oportunidades y

reducir el riesgo a un nivel

aceptable son administradas en

un portafolio.

Administrar el

riesgoAsegurar que las medidas para

aprovechar las oportunidades

inmediatas o limitar la magnitud

de las prdidas de los eventos

relacionados con la T.I. Son

activadas oportunamente y son

efectivas

Reaccionar antelos eventos


39/42


CISA,

CRISC

RR1.1 Comunicar los

resultados del anlisis

de riesgo de T.I.

RR1.2 Reportar las

actividades de

administracin del

riesgo de T.I. y elestado de

cumplimiento

RR1.3 Interpretar

independientemente los

hallazgos de las

evaluaciones del riesgo

de T.I.

RR1.4 Identificar las

oportunidades de la

tecnologa de

informacin


40/42


CISA,

CRISC

RR2.1 Inventario de

controles

RR2.2 Monitorizar

el alineamiento

operacional con los

niveles de

tolerancia

RR2.3 Responder a

las exposiciones

de riesgo y las

oportunidades

descubiertas.

RR2.4 Implementar

los controles

RR2.5 Reportar el

progreso del plan de

accin del riesgo de

T.I.


41/42


CISA,

CRISC

RR3.1 Mantener

planes de

respuesta ante

incidentes

RR3.2 Monitorizar

el riesgo de T.I.

RR3.3 Iniciar la

respuesta a

incidentes

RR3.4 Comunicar

las lecciones

aprendidas de los

eventos de riesgo


42/42

Referencias bibliogrficas: ISACA, The Risk IT framework, 2009 Barnier B., Key questions in COBIT success

what you need to know, COBIT Focus,

risk it - isaca_es

Documents