JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC

SALOMÓN RICO, CISA, CISM, CGEIT

Instructores:

Tema:

Un vistazo general deCOBIT 5 for Risk

Octubre 31, 2013

2

Familia de productos COBIT 5

JA

3

Objetivo de la Gobernanza: Creación de Valor

� La creación de valor significa la realización de beneficios con una optimización en el costo por el uso de recursos y una optimización en los riesgos a los que se está expuesto.

� Los beneficios pueden tomar muchas formas, por ejemplo: Financiero para empresascomerciales o servicios públicos para entidades de gobierno.

4

Objetivo de la Gobernanza: Creación de Valor

� Las empresas tienen muchos interesados, y “creación de valor” significa algo diferente, y algunas veces incluso crea conflictospara cada uno de estos interesados.

� La gobernanza busca negociar y decidir entre los diferentesinteresados los intereses del valor

� El componente de creación de valor relacionado con la optimización de riesgos muestra que: � La optimización de riesgos es una parte esencial de cualquier

sistema de gobierno� La optimización de riesgos no puede ser vista de manera

aislada; las acciones tomadas como parte de la administración de riesgos ejercerán influencia en la realización de beneficios y en la optimización de recursos.

5

Overview COBIT 5 for Risk

SR

6

Overview COBIT 5 for Risk (continuación)

RIESGOS Y ADMINISTRACIÓN DE RIESGOS (SEC. 1)

- Objetivo de la Gobernanza: La Creación de Valor (C1)

- Riesgo (C2)

- Alcance de COBIT 5 for Risk (C3)

- Aplicando los principios de COBIT 5 en la Gestión de Riesgos (C4)

8

Riesgo

� Riesgo generalmente se define como la combinación de la probabilidad de un evento y sus consecuencias (ISO guía 73). Las consecuencias son que los objetivos de la empresa no sean alcanzados.

� COBIT 5 para riesgos define el riesgo de TI como un riesgo de negocios, especificamente, el riesgo de negocios asociado con el uso, la propiedad, la operación, el involucramiento, la influencia y la adopción de TI dentro de unaempresa.

� El riesgo de TI consiste de eventos relacionados a TI que podríanpotencialmente impactar el negocio.

� El riesgo de TI puede ocurrir tanto con una frecuencia incierta como con un impacto y crea retos para el logro de las metas y objetivos estratégicos.

� El riesgo de TI siempre existe, asi sea que haya sido detectado o reconocido o no.

9

Riesgo

10

Riesgo

El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que sonconsistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negociorequieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar losobjetivos y metas de una empresa, y este riesgo debe ser administrado pero nonecesariamente evitado.

11

Riesgo

Cuando se hace referencia a Riesgo en COBIT 5 para riesgos, se trata del riesgo actual. El concepto de riesgo inherente rara vez se utiliza en COBIT 5 para riesgos. Teoricamente, COBIT 5 para riesgos se enfoca en el riesgo actual porque, en la práctica, es lo que se usa.

12

Alcance de COBIT 5 for Risk: Perspectivas

• Perspectivas de la Función de Riesgo

– Describe lo que se necesita en una empresa para construir y sostener actividades efectivas de gobierno y gestión de riesgos.

• Perspectiva de la Administración de Riesgo

– Describe como los procesos “core” de gestión de riesgos que son identificación, análisis, respuesta y respuesta de riesgos, pueden ser apoyadas con los habilitadores de COBIT 5

JA

13

Alcance de COBIT 5 for Risk: Perspectivas

• Perspectivas de Riesgo con COBIT 5

– Perspectiva de la Función de Riesgo

– Perspectiva de la Administración de Riesgo

• P

14

Alcance de COBIT 5 for Risk

• Se enfoca en aplicar los habilitadores de COBIT 5al riesgo.

• Provee una guía de alto nivel en como identificar,analizar y responder a los riesgos utilizandoprocesos de COBIT 5 y con el uso de escenariosde riesgo.

• Se alinea con los principales estándares y marcosde referencia en gestión de riesgos.

• Provee un enlace entre los escenarios de riesgo ylos habilitadores de COBIT 5 que puede ser usadopara mitigar el riesgo.

15

Alcance de COBIT 5 for Risk

16

Aplicando los principios de COBIT 5 en la Gestión de Riesgos

• COBIT 5 está basado en 5 principios:

17

Principio 1. Satisfacer las necesidades de los interesados

� Empresas existen para crear valor para sus interesados.

Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

17

18

Principio 2. Cubrir la empresa de extremo a extremo:

� Esto significa que COBIT 5:

� Integra el gobierno empresarial de TI en el gobierno

corporativo..

�Cubre todas las funciones y procesos dentro de la

empresa; (COBIT 5 does not focus only on the ‘IT

function’).

19

Principio 2. Cubrir la empresa de extremo a extremo:

Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.

Se considera quienes están involucrados, que hacen y que relaciones tienen entre ellos.

19

20

Principio 3. Aplicar un solo marco integrado:

� COBIT 5 integra diversos productos de COBIT, como

Val IT y Risk IT.

� COBIT 5 se alinea con los estándares y marcos más

relevantes usados por las empresas:

�Empresariales: COSO, COSO ERM, ISO/IEC 9000,

�Relacionados con TI: ISO/IEC 38500, ITIL, serie

ISO/IEC 27000, TOGAF,

�Etc.

� Esto permite que la empresa use COBIT 5 como un

marco integrador de gobierno y administración de TI.

21

Principio 4. Habilitar un enfoque Holístico

Los habilitadores de COBIT 5 son:

• Factores que, individual y colectivamente

influencian para que algo funcione. En el

caso de COBIT, este algo, son el gobierno y

la administración de TI empresarial.

• Se describen los habilitadores de COBIT 5 en

siete categorías.

22

Habilitadores de COBIT 5

1. Principios, Políticas y marcos

2. Procesos

3. Estructuras organizacionales

4. Cultura, Ética y Conducta

5. Información

6. Servicios, Infraestructura y Aplicaciones

7. Gente, Habilidades y Competencias

23

Principio 5. Separar Gobierno de Administración:

� Estas dos disciplinas:

� Incluyen diferentes tipos de actividades

�Requieren diferentes estructuras organizacionales

�Sirven para diferentes propósitos

� Gobierno— Responsabilidad de la Junta Directiva.

� Administración—Responsabilidad de la alta

administración, bajo el liderazgo del CEO.

24

Separar gobierno de administración

Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.

25

Modelo de Referencia de

Procesos de COBIT 5

26

Risk Function Perspective: Procesos soportando la función de riesgos

27

Procesos Centrales (“Core”) de Riesgos

• EDM03 Asegurar la Optimización de Riesgos

– Cubre la articulación y comunicación del apetito y la tolerancia al riesgo de la empresa

• APO12 Administrar Riesgos

– Cubre las actividades de identificación, evaluación y mitigación de riesgos

28

COBIT 5 for Risk aplica los principios de COBIT 5:

• Satisfacer las necesidades de los interesados.

– El propósito del gobierno y administración del riesgo es ayudar aasegurar que la empresa logre sus objetivos, y la optimización deriesgos es uno de los tres componentes de la creación de valor.

• Cubrir la empresa de extremo a extremo

– COBIT 5 for Risk cubre todos los habilitadores de gobierno y gestión ydescribe todas las fases de gobierno y gestión de riesgos.

• Aplicar un único marco integrado

– COBIT 5 for Risk se alinea con los principales marcos y estándares deadministración de riesgos

• Habilitar un enfoque holístico

– COBIT 5 for Risk identifica todos los elementos interconectados de loshabilitadores, requeridos para para proveer una adecuado gobierno ygestión de riesgo.

• Separar gobernanza de administración

– COBIT 5 distingue entre actividades de gobierno de riesgo y gestión deriesgo

PERSPECTIVA DE LA ADMINISTRACIÓN DE RIESGOS (SEC. 2B)

- Escenarios de Riesgo (C2)

- Escenarios de Riesgo Genéricos (C3)

SR

30

Escenarios de riesgo

31

Escenarios de riesgo

� Un escenario de riesgos es la descripción de un posible evento que, cuando ocurre, tendrá un impacto incierto en el logro de los objetivos de la empresa.

� El proceso “core” de administración de riesgos requiere que los riesgos sean identificadosy analizados.

� Los escenarios de riesgos pueden ser obtenidos por medio de dos diferentesmecanismos:� Un enfoque “top-down”, donde uno empieza desde los objetivos generales de la

empresa� Un enfoque “bottom-up” es donde se utiliza una lista de escenarios genericos de

riesgos

� Los enfoques son complementarios y deberían ser usados simultáneamente. De hecho, los escenarios de riesgos deben ser relevantes y ligados a los riesgos de negocio reales.

� Es importante considerar riesgos específicos para cada empresa y sus requerimientos de negocio críticos en los escenarios de riesgo definidos

32

Escenarios de riesgo - Workflow

1. Use la lista de escenarios de riesgos genericos de base

2. El negocio podría empezar considerando escenarios de ocurrencia común en suindustria o área de producto, escenarios que representan fuentes de amenaza queestán incrementando en el número o severidad, y escenarios que involucranrequerimientos legales y regulatorios

3. Otro enfoque podría ser identificar las unidades de negocio de alto riesgo y evaluaruno o dos procesos operativos de alto riesgo dentro de cada una de ellas, incluyendo los componentes de TI que habilitan dichos procesos.

4. Hay que desarrollar una validación contra los objetivos del negocio. ¿Los escenarios de riesgo seleccionados se refieren a impactos potenciales en el logro de los objetivos de la entidad?

5. Reducir el número de escenarios a un conjunto manejable. No hay un númeroespecífico, pero deberían estar en linea con la importancia general y la criticidad de la unidad.

33

Escenarios de riesgo – Factores de riesgo

34

Escenarios de riesgo – Estructura

35

Escenarios de riesgo – Aspectos principales

36

Escenarios de riesgo – Aspectos principales

37

Escenarios de riesgo genéricos

38

Escenarios de riesgo genéricos

39

Escenarios de riesgo genéricos

40

Tópico: Los 7 habilitadores de COBIT 5

Describir como puede cada uno de los habilitadores deCOBIT 5 contribuir a la gestión del riesgo

JA

41

Tópico: Las líneas de defensa contra el riesgo

• Discutir el rol de las tres líneas de defensa:

42

¡Gracias!

JOSÉ ÁNGEL PEÑA IBARRAjapi@ccisa.com.mx

SALOMÓN RICOsrico@deloittemx.com

Instructores: