It risk management cit 1

CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS

CIT


Administración de Riesgosde TI

CIT

CONSULTING INFORMATION TECHNOLOGY S.A.

CONTENIDOCIT

Contenido Objetivo

Concepto y Alcance

Porqué administrar el riesgo

Marcos de trabajo a utilizar

Alcance del Proyecto

Proceso de Administración de Riesgos

Beneficios

Entregables

CIT


OBJETIVO - CONCEPTO - ALCANCECIT

CIT

Objetivo

No es minimizar ni eliminar el riesgo, sino que administrarlo y

optimizarlo, hay que aprender a vivir con él.

Concepto

“ Es el riesgo de pérdidas ocasionadas por fraude, actividades no

autorizadas, error, omisión, ineficiencia, fallas de los sistemas o por

eventos externos.”.

Alcance

Es aplicable a todos los niveles de gestión en la empresa y a los

implicados en la evaluación y mitigación del riesgo tecnológico.


¿PORQUE ADMINISTRAR EL RIESGO ?CIT

¿Porqué administrar el riesgo?

• Reduce las pérdidas económicas provocadas por eventos adversos

• Reduce la pérdida de valor de los activos financieros y activos fijos

• Crea valor dentro de la empresa, se vuelve más competitiva

• Minimiza el impacto sobre las utilidades, pasivos, activos y patrimonios

CIT


Marcos de trabajo a utilizar

CIT


COSO ERM vs ISO/IEC 27005CIT

CIT

Ambiente interno Establecimiento del contexto Establecimiento Obj.

Id. Eventos

Evaluación de riesgos

Respuesta de riesgos

Actividades de control

Información y Com.

Supervisión

COSO ERM

Id. del riesgo

Estimación Evaluación

Comunicación del riesgo

Tratamiento del riesgo

Aceptación del riesgo

Monitoreo y revisión

ISO/IEC 27005

PLAN

DO

CHECK

ACT

¿Qué marco de trabajo utilizamos?

CONSULTING INFORMATION TECHNOLOGY S.A.CITCOMPONENTES CLAVES DEL ERM

CIT

Establecimiento

de objetivos

Estratégico

Operacionales

Informe

Cumplimiento

Identificación de

eventos

Fuente Externa

Económicos

Negocio

Tecnológicos

Politicos

Sociales

Fuente Interna

Proceso

Personas

Sistemas

Infraestructura

Valoración del riesgo Técnicas cualitativas

Técnicas cuantitativas

Respuesta al riesgo Evitar

Reducir

Compartir

Aceptar

Actividades de control Políticas y Procedimientos

Preventivos

Detectivos

Correctivos

Manuales

Automáticos

Entorno Interno

Filosofía Administración

de riesgo

Cultura de riesgo

Supervisión de Directorio

integridad, valores éticos

y competencia del

personal

Autoridad, roles y

responsabilidades y

estructura

Información y

Comunicación

Identificación y

capturación de datos

Datos internos y externos

Datos históricos

Esquemas de reporte

Monitoreo

Actividades continuas

Actividades esporádicas

Dire

cció

n

y S

op

orte

Acti

vid

ad

es

Pri

mari

as d

e la

Ge

sti

ón

de

Rie

sg

os


Alcance del Proyecto

CIT


Alcance del proyecto

Fase 1 Establecimiento de Objetivos

y Entorno Interno

• Definir Objetivos Estratégicos y Operacionales• Elaborar Filosofía de Administración y Cultura de Riesgos• Definir Autoridades, Roles, Responsabilidades y Estructura

Fase 2Administración del Riesgo

• Identificar el riesgo ( Recolección de información, análisis de procesos, elaboración de inventario de riesgos y categorización).

• Análisis y Valoración del Riesgo (Estimación del Impacto y la Factibilidados, elaboración del mapa de riesgos, riesgo inherente y residual)

• Determinación de las Estrategias de gestión del riesgo

Fase 3 Mitigación y Control del

Riesgo

Fase 4 Revelación de la Información y

Monitoreo

• Elaboración de estructura que permita a las Gerencias de las Unidades de Negociocomunicar el estatus de los riesgos a la alta Gerencia, Comité y Junta Directiva.

• Formatos de cumplimiento de planes de implantación de estrategias, políticas yprocedimientos de la gestión de riesgos.

Requerimientos del Proyecto

• Elaboración de procesos

• En caso de ser requerido se puede brindar apoyo en esta etapa

CIT

Fue

ra d

eA

lcan

ce

Alcan

ce d

e la p

rop

ue

sta

• Elaboración de Planes de Contingencia (Procedimientos de emergencia, pruebas,tipos de alerta, activación de los planes).

• Elaboración de Políticas de control.


Proceso de Gestión de Riesgos

CIT

CONSULTING INFORMATION TECHNOLOGY S.A.CITMETODOLOGÍA

CIT

CADENA DE VALOR PROCESOS

IDENTIFICACION DE RIESGOS OPERATIVOS

EN LOS PROCESOS

CONSULTING INFORMATION TECHNOLOGY S.A.CIT

CATEGORIZACION DE LOS RIESGOS OPERATIVOS SEGÚN BASILEA II

CIT

CONSULTING INFORMATION TECHNOLOGY S.A.CITPROCESO DE GESTION DE RIESGOS

CIT

CONSULTING INFORMATION TECHNOLOGY S.A.CITIDENTIFICACION Y EVALUACION DEL RIESGO

CIT

E v a l u a c i ó nE v a l u a c i ó n

R i e s g o R e s i d u a lR i e s g o R e s i d u a l

R i e s g o I n h e r e n t eR i e s g o I n h e r e n t e

FactibilidadFactibilidad ImpactoImpactoXX ExposiciónExposición

B

I d e n t i f i c a c i ó I d e n t i f i c a c i ó nn

M i t i g a c i ó n / C o n t r o lM i t i g a c i ó n / C o n t r o l

Do

cu

me

nta

ció

n / R

ep

orte

Do

cu

me

nta

ció

n / R

ep

orte

E v a l u a c i ó nE v a l u a c i ó n

R i e s g o R e s i d u a lR i e s g o R e s i d u a l

R i e s g o I n h e r e n t eR i e s g o I n h e r e n t e

FactibilidadFactibilidad ImpactoImpactoXX ExposiciónExposición M

A

I d e n t i f i c a c i ó I d e n t i f i c a c i ó nn

M i t i g a c i ó n / C o n t r o lM i t i g a c i ó n / C o n t r o l

Do

cu

me

nta

ció

n / R

ep

orte

Do

cu

me

nta

ció

n / R

ep

orte

CONSULTING INFORMATION TECHNOLOGY S.A.CITMAPA DE RIESGOS

CIT

I

m

p

a

c

t

o

A

M

B

B M A

Frecuencia

CONSULTING INFORMATION TECHNOLOGY S.A.CIT

DEFINICION DE LAS ESTRATEGIAS DE RIESGO OPERATIVO

CIT

En esta etapa se definen las estrategias de gestión que se seleccionan paracada riesgo, las cuales están sujetas a los niveles de criticidad de riesgo y al nivel detolerancia al riesgo establecidos por la Compañía. Esto se define y completa, con elapoyo brindado por la Gerencias de las unidades de negocio.

CONSULTING INFORMATION TECHNOLOGY S.A.CITANALISIS Y EVALUACION DEL RIESGO

CIT

Estrategias de Mitigación y

Controldel Riesgo

Políticas de Seguridad, Planes de Contingencia,Planes de Continuidad de Negocio

CONSULTING INFORMATION TECHNOLOGY S.A.CITREVELACION DE LA INFORMACION

Revelación de la

Información de la Gestión de Riesgos

El proceso de revelación de la información debe permitir a la Gerencia de las unidades de negocio y apoyo comunicar el estatus de los riesgos operativos a través de un estructura y proceso de información y comunicación del estado de gestión de los riesgos.

CONSULTING INFORMATION TECHNOLOGY S.A.CITMONITOREO DEL RIESGO

CIT

Monitoreo del

Riesgo

El monitoreo de los riesgos es un proceso de vigilancia permanente de los riesgos de la Compañía. Consiste en una combinación de comunicaciones regulares, revisiones periódicas o auditorías y evaluaciones por parte de personal calificado o independiente en diferentes niveles de la Compañía.

CONSULTING INFORMATION TECHNOLOGY S.A.CITENTREGABLES

CIT

Entregables

• Evaluación de riesgos de TI

• Análisis cualitativo del riesgo

• Matrices de evaluación de riesgos

• Mapa de riesgos

• Estrategia para el tratamiento de los riesgos

• Implementación de las Estrategias de Mitigación y Control

• Estructura para la Revelación de Información

CONSULTING INFORMATION TECHNOLOGY S.A.CITBENEFICIOS

CIT

Beneficios

• Planeación de la administración del riesgo

• Proveer a la Compañía una estructura que permita a las actividades futuras desarrollarse de forma consistente y controlada

• Optimizar la eficiencia operacional disminuyendo los eventos de riesgo y logrando que sean más competitivos


CIT

Administración de

riesgos

una tarea de

todos

¿Preguntas?

Identificación

Evaluación

Organización

Pruebas

http://images.google.com/imgres?imgurl=http://www.asociacionazimut.com/catalog/images/privacidad.gif&imgrefurl=http://www.asociacionazimut.com/catalog/privacy.php?osCsid=8ebb0101ccee6a143c3df1487f58b7eb&h=200&w=150&sz=11&hl=es&start=18&um=1&tbnid=1hjwaEHo9kaS3M:&tbnh=104&tbnw=78&prev=/images?q=confidencialidad&start=18&ndsp=18&svnum=10&um=1&hl=es&rls=RNWE,RNWE:2006-42,RNWE:en&sa=N

http://images.google.com/imgres?imgurl=http://www.chestwon.com/Images/imag_banca.jpg&imgrefurl=http://www.chestwon.com/banca_finanza.htm&h=209&w=273&sz=23&hl=es&start=108&um=1&tbnid=UAi9ePcoiRqQQM:&tbnh=87&tbnw=113&prev=/images?q=confidencialidad&start=108&ndsp=18&svnum=10&um=1&hl=es&rls=RNWE,RNWE:2006-42,RNWE:en&sa=N


www.consultinginformationtecnhnology.com

[email protected]

CIT

http://www.consultinginformationtecnhnology.com/

mailto:[email protected]

It risk management cit 1

Technology

Transcript of It risk management cit 1