RISK IT

En el contexto de una auditora basada en riesgos

En el contexto de la evaluacin del riesgo de los procesos de un negocio

En el contexto de una auditora sobre el proceso de la administracin de los riesgos en los procesos del negocio

Risk IT est enfocado en aquellas funciones gerenciales con una misin, en el sentido financiero, de reducir el riesgo

Se complementa con el estndar de facto denominado COBIT

El riesgo de T.I. es uno entre muchos riesgos que tiene el negocio.

Documento preparado por Johnny Muoz P., CISA, CRISC

El marco de referencia est basado en un conjunto de principios y guas de administracin

Riesgos sobre la entrega de servicios de T.I.

Rendimiento y disponibilidad de los servicios de T.I. que puedan llevar a la destruccin o reduccin del valor de la empresa

Riesgos sobre la realizacin del beneficio o entrega de soluciones de T.I.

Pobre contribucin de T.I. para nuevas soluciones de negocio o mejoras a las ya existentes.

Riesgo sobre la realizacin de beneficios de T.I.

Aprovechamiento de oportunidades para usar la tecnologa con el fin de mejorar la eficiencia o efectividad de los procesos del negocio o como habilitador de nuevas iniciativas de negocio

Documento preparado por Johnny Muoz P., CISA, CRISC

Valor del negocio

Dejar de ganar Ganar

Habilitacin del beneficio (Valor) de T.I. Entrega de soluciones de T.I. (proyectos) Entrega de Servicios de T.I.

Habilitador tecnolgico para nuevas iniciativas del negocio Habilitador tecnolgico para eficientizar las operaciones

Calidad de los proyectos

Relevancia de los proyectos

Sobreproduccin de proyectos

Interrupciones del servicio de T.I. Problemas de seguridad

Cumplimiento regulatorio

Prdida Preservar Valor del negocio

 Siempre est conectado a los objetivos del negocio

Alinea la administracin de los riesgos de T.I. con la administracin de riesgos corporativa Balancea los costos y beneficios de la administracin de riesgo

Administracin efectiva de los riesgos de T.I.

Promueve una comunicacin abierta y justa de los riesgos de T.I. Establece el tono correcto desde la cima de la organizacin, mientras se definen y se fuerza la rendicin de cuentas personal para las operaciones dentro de unos niveles de tolerancia bien definidos y aceptados Es un proceso continuo y pertenece a las actividades diarias

Documento preparado por Johnny Muoz P., CISA, CRISC

Un efectivo gobierno de T.I. a nivel corporativo:

Riesgo de generacin de valor de T.I.

Riesgo en la entrega de proyectos de T.I.

Riesgo en la entrega de servicios y operaciones de T.I.

 Articular el riesgo Administrar el riesgo Reaccionar ante eventos

Gobierno

Establecer y mantener una visin comn de riesgo Integrarse con la administracin corporativa de riesgo Tomar decisiones de negocio concientes del riesgo

IT RISK
Respuesta Evaluacin
Recopilar datos Analizar el riesgo Mantener un perfil de riesgo

El uso de T.I. puede generar grandes beneficios, pero tambin conlleva riesgos
El riesgo de T.I. debe tratarse como cualquier otro riesgo (mercado, crdito, operacional)

El marco conceptual permite:

Integrar la administracin del riesgo de T.I. a la administracin corporativa de riesgo Tomar decisiones bien informadas sobre la extensin, el apetito y la tolerancia al riesgo de la empresa

Entender como responder ante los riesgos

Documento preparado por Johnny Muoz P., CISA, CRISC

La administracin de los riesgos del negocio es un componente esencial en cualquier negocio

Un conjunto de prcticas de gobierno para la administracin del riesgo

Un proceso de principio a fin para la administracin exitosa del riesgo de T.I. Una lista genrica de eventos comunes que pueden afectar adversamente las actividades de T.I. y la realizacin de los objetivos del negocio Herramientas y tcnicas para entender los riesgo reales de las operaciones.

Documento preparado por Johnny Muoz P., CISA, CRISC

El marco conceptual provee

Conectarse con los Objetivos del Negocio Funcionar como parte de las actividades diarias Alinear el Riesgo de T.I. con la administraci n de ERM

El marco refererencial de RISK IT es sobre el riesgo del NEGOCIO relacionado con el uso de la T.I.

Principios de RISK IT
Establecer responsabilid ades tone at the top Promover una comunicacin abierta y justa Balacosto/be neficio nce del del Riesgo de T.I.

Funcin
Junta Directiva y Comit Ejecutivo Administradores de riesgo corporativo Administradores de riesgo operativo Administracin de T.I.

Beneficios o razones por las que debe utilizar RISK IT

Mejor entendimiento de sus responsabilidades y funciones relacionadas con la administracin de T.I. Asistencia en la administracin del riesgo de T.I., en lnea con los principios de administracin de riesgo corporativo generalmente aceptados Vinculacin de su marco conceptual de riesgo de T.I., identificacin de las prdidas operacionales o desarrollo de los indicadores de riesgo principales Mejor entendimiento de cmo identificar y administrar los riesgos de T.I. y cmo comunicar estos riesgos a los encargados de tomar las decisiones del negocio

Administradores del servicio de T.I.

Administradores de la continuidad del servicio

Mejoramiento de su visin del riesgo de T.I. desde un punto de vista ms operacional, el cual debe encajar en el marco general de administracin del riesgo
Alineamiento con la administracin del riesgo corporativo, debido a que la evaluacin de los riesgos es un aspecto principal de su responsabilidad

Funcin

Beneficios o razones por las que debe utilizar RISK IT

Posicionamiento del riesgo de seguridad junto con otras categoras del riesgo de T.I. Obtienen una mejor visin de los riesgos relacionados con T.I. y sus implicaciones financieras Asistencia en sus responsabilidades de revisin y vigilancia del gobierno corporativo y otras funciones de gobierno de T.I. Entendimiento y administracin del riesgo de T.I. como un ms de los riesgos del negocio, los cuales deben estar alineados Mejor anlisis del riesgo como soporte de los planes y estudios de auditora

Administradores de la seguridad de T.I. Directores Financieros Oficiales de gobierno corporativo Administradores del negocio

Auditores de T.I.

Auditores externos
Aseguradoras

Gua adicional sobre los niveles de riesgo de T.I. cuando establecen una opinin sobre la calidad del control interno
Soporte en el establecimiento de una cobertura adecuada de aseguramiento de T.I. de acuerdo con los niveles de riesgo

Gobierno de Riesgo
Integracin con ERM

Visin comn del riesgo

Toma de decisiones basadas en el riesgo

Administrar el riesgo

Analizar el riesgo
Objetivos del negocio

Articular el riesgo

Reaccionar ante los eventos

Comunicacin

Recolectar datos

Mantener un perfil de riesgo

Respuesta al Riesgo

Evaluacin de Riesgos

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades del Gobierno de Riesgo

Realmente inaceptable

Inaceptable

Aceptable

Oportunidad

Frecuencia

Documento preparado por Johnny Muoz P., CISA, CRISC

Magnitud

Expectativas:

Expectativas

Comunicacin efectiva del Riesgo de T.I. Estado: Capacidad:

Perfil del riesgo, indicadores clave de riesgo, eventos de materializacin

Estado

Madurez de los Capacidad procesos de administracin del riesgo

Documento preparado por Johnny Muoz P., CISA, CRISC

Estrategia, polticas, procedimientos, concientizacin, capacitacin, etc.

Cultura de aprendizaje Cultura de culpar

Cultura de Riesgo
Comportamiento ante eventos negativos Comportamiento hacia el cumplimiento de polticas

Cumplir No cumplir

Documento preparado por Johnny Muoz P., CISA, CRISC

Comportamiento del tomador de riesgo

Conservativo: Adverso al riesgo

Agresivo: Tomador de riesgos

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades de la Evaluacin del Riesgo

Criterios de informacin de COBIT Efectividad

Cuadro de Mando Integral (CMI) Financiera

CMI Extendido

Financiera

Eficiencia
Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Cliente
Procesos Capacitacin e innovacin

Valor de las acciones

Dividendos Utilidades Costo de capital Cliente Mercado de acciones

Satisfaccin del cliente

Servicio al Cliente Procesos Cumplimiento regulatorio Capacitacin e innovacin Ventaja competitiva Reputacin

Westerman Agilidad Precisin Acceso Disponibilidad

COSO ERM Estrategia Operaciones Reporte Cumplimiento

FAIR Productividad Costo de respuesta Costo de reemplazo Ventaja competitiva Reputacin

Escenario top-down
Objetivos del negocio

Identificar los objetivos del negocio Identificar escenarios con el mayor impacto a los objetivos

Escenarios de riesgo genricos

Escenario bottom-up

Identificar todos los escenarios hipotticos Reducirlos mediante un anlisis de alto nivel

Escena rios de riesgo espec ficos de T.I.

Estimar la frecuencia y el impacto

Riesgo de T.I.

Factores ambientales externos

Factores ambiental es internos

Capacidad para administra r el riesgo

Capacidad de T.I.

Capacidad del negocio relacionada con T.I.

Factores de Riesgo

Evento
Divulgacin
Interrupcin

Tipo de amenaza
Maliciosa
Accidental Fallas Natural Requerimiento externo

Robo Destruccin

Activo o recurso
Personas
Procesos Instalaciones Informacin Aplicaciones

Actor
Interno Externo ( competidor, socio de negocios, regulador)

Escenario de riesgo

Tiempo
Duracin Momento de ocurrencia Momento de deteccin

Documento preparado por Johnny Muoz P., CISA, CRISC

Generalidades de la Respuesta ante el Riesgo

Indicadores de riesgo clave RKI

Definicin y priorizacin de la respuesta al riesgo

Evitar el riesgo

Mitigacin del riesgo

Transferir el riesgo

Aceptar el riesgo

Documento preparado por Johnny Muoz P., CISA, CRISC

Estimar la frecuencia y el impacto

Toleranci a al riesgo

Riesgo

Parmetros para seleccionar la respuesta al riesgo

Costo de reducir el riesgo dentro de los niveles de tolerancia Capacidad de implementar la respuesta

Anlisis de riesgo

Riesgos que exceden los niveles de tolerancia

Seleccione las opciones de la respuesta al riesgo

Opciones de respuesta al riesgo

Efectividad de la respuesta

Respuesta al riesgo

Eficiencia de la respuesta

Evitarlo Reducir Mitigar Compartir Trasladar Aceptar

Nivel de riesgo actual

Priorizar la respuesta al riesgo

Caso de negocio Logros rpidos (Quick wins)

Priorizacin de la respuesta al riesgo

Priorizar las opciones de respuesta al riesgo

Retrasar el impacto

Caso de negocio

Planear las acciones ante el riesgo

Tasa de costo/efectividad

T.I. como destructor o inhibidor del valor

Riesgo de T.I.
T.I. entrega valor reducido al negocio o del todo no lo entrega

Prdida de oportunidades de negocio por falta de soporte tecnolgico

Eventos relacionados con la T.I. que destruyen el valor

Oportunidad de la T.I.
Identificacin de nuevas oportunidades de negocio utilizando la T.I.
Mejoramiento del valor del negocio con el uso optimizado de las capacidades de la T.I.

T.I. como habilitador del valor

Gobierno de Riesgo
Integracin con ERM

Visin comn del riesgo

Toma de decisiones basadas en el riesgo

Administrar el riesgo

Analizar el riesgo
Objetivos del negocio

Articular el riesgo

Reaccionar ante los eventos

Comunicacin

Recolectar datos

Mantener un perfil de riesgo

Respuesta al Riesgo

Evaluacin de Riesgos

Gobierno de Riesgo
Asegurar que la empresa tiene prcticas de riesgo de T.I. que aseguran un retorno ptimo de la administracin del riesgo

Asegurar que las actividades de la administracin del riesgo se alinean con los objetivos empresariales dentro de los lmites de tolerancia al riesgo de la alta administracin

Integracin con ERM

Integrar la estrategia de riesgo de T.I. y las operaciones con las decisiones de riesgo estratgicas del negocio

Asegurar que las decisiones empresariales contemplen en sus amplio rango, las oportunidades y consecuencias de apoyarse en la T.I.

Establecer y mantener una visin comn del riesgo

Toma de decisiones basadas en el riesgo

RG1.6 Alentar una comunicacin efectiva del riesgo de T.I.

RG1.1 Realizar una evaluacin empresarial del riesgo de T.I.

RG1.5 Promover la cultura de conciencia de riesgo de T.I.

RG1.2 Proponer el umbral de tolerancia al riesgo de T.I.

RG1.4 Alinear la poltica de riesgo de T.I.

RG1.3 Aprobar el nivel de tolerancia de riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RG2.5 Proveer aseguramiento independiente sobre la administracin del riesgo de T.I.

RG2.1 Establecer y mantener la responsabilidad por la administracin del riesgo de T.I.

RG2.4 Proveer los recursos adecuados para la administracin del riesgo de T.I.

RG2.2 Coordinar la estrategia de riesgo de T.I. con la estrategia de riesgo del negocio

RG2.3 Adaptar las prcticas de riesgo de T.I. con las prcticas de riesgo de empresariales.

Documento preparado por Johnny Muoz P., CISA, CRISC

RG3.5 Priorizar las actividades de respuesta al riesgo de T.I.

RG3.1 Hacer que la administracin adopte la metodologa de anlisis de riesgo de T.I.

RG3.4 Aceptar el riesgo de T.I.

RG3.2 Aprobar el anlisis de riesgo de T.I.

RG3.3 Insertar las consideraciones del riesgo de T.I. en el proceso de toma de decisiones de carcter estratgico.

Documento preparado por Johnny Muoz P., CISA, CRISC

Evaluacin de Riesgo
Asegurar que los riesgos y las oportunidades de T.I. son identificadas analizadas y presentadas en trminos del negocio.

Identificar los datos relevantes que habiliten una efectiva identificacin, anlisis y reporte de los riesgos de T.I.

Analizar el riesgo
Desarrollar informacin til para el soporte de las decisiones de riesgo que tome en cuenta la relevancia de los factores de riesgo del negocio.

Mantener un inventario actualizado de todos los riesgos conocidos con sus atributos, recursos, capacidades y controles tal y como deben ser conocidos en el contexto de los productos, servicios y procesos del negocio

Recoleccin de datos

Mantener el perfil de riesgo

RE1.4 Identificar factores de riesgo.

RE1.1 Establecer y mantener un modelo para la coleccin de datos.

RE1.3 Recolectar los datos ante la materializacin de eventos de riesgo.

RE1.2 Recolectar los datos en el ambiente operacional.

Documento preparado por Johnny Muoz P., CISA, CRISC

RE2.4 Ejecutar una revisin de pares del anlisis de riesgo.

RE2.1 Definir un mbito de anlisis de riesgo.

RE2.3 Identificar las opciones para la respuesta a los riesgos.

RE2.2 Estimar el riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

RE3.6 Desarrollo de los indicadores de riesgo de T.I.

RE3.1 Mapear los recursos de T.I. en los procesos del negocio

RE3.5 Mantener el registro del riesgo de T.I. y su mapa de riesgos

RE3.2 Determinar la criticidad de los recursos de T.I. para el negocio.

RE3.4 Actualizar los componentes del escenario del riesgo de T.I.

RE3.3 Entender las capacidades de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

Respuesta ante el Riesgo

Asegurar que los riesgos y las oportunidades de T.I. son enfrentados de manera costo-efectividad y en lnea con las prioridades del negocio.

Asegurar que la informacin sobre el verdadero estado sobre las exposiciones y las oportunidades estn disponibles oportunamente y a las personas apropiadas para su adecuada respuesta.

Administrar el riesgo
Asegurar que las medidas para aprovechar las oportunidades y reducir el riesgo a un nivel aceptable son administradas en un portafolio.

Asegurar que las medidas para aprovechar las oportunidades inmediatas o limitar la magnitud de las prdidas de los eventos relacionados con la T.I. Son activadas oportunamente y son efectivas

Articular el riesgo

Reaccionar ante los eventos

RR1.4 Identificar las oportunidades de la tecnologa de informacin

RR1.1 Comunicar los resultados del anlisis de riesgo de T.I.

RR1.3 Interpretar independientemente los hallazgos de las evaluaciones del riesgo de T.I.

RR1.2 Reportar las actividades de administracin del riesgo de T.I. y el estado de cumplimiento

Documento preparado por Johnny Muoz P., CISA, CRISC

RR2.5 Reportar el progreso del plan de accin del riesgo de T.I.

RR2.1 Inventario de controles

RR2.4 Implementar los controles

RR2.2 Monitorizar el alineamiento operacional con los niveles de tolerancia RR2.3 Responder a las exposiciones de riesgo y las oportunidades descubiertas.

Documento preparado por Johnny Muoz P., CISA, CRISC

RR3.4 Comunicar las lecciones aprendidas de los eventos de riesgo

RR3.1 Mantener planes de respuesta ante incidentes

RR3.3 Iniciar la respuesta a incidentes

RR3.2 Monitorizar el riesgo de T.I.

Documento preparado por Johnny Muoz P., CISA, CRISC

Referencias bibliogrficas: ISACA, The Risk IT framework, 2009 Barnier B., Key questions in COBIT success what you need to know, COBIT Focus, 2010, Vol 1