7/27/2019 Risk It - Isaca_es
1/42
RISK IT
7/27/2019 Risk It - Isaca_es
2/42
En el contexto de una auditora basada en riesgos
En el contexto de la evaluacin del riesgo de los procesos de
un negocio
En el contexto de una auditora sobre el proceso de la
administracin de los riesgos en los procesos del negocio
Risk IT est enfocado en aquellas funciones gerenciales con una misin, enel sentido financiero, de reducir el riesgo
7/27/2019 Risk It - Isaca_es
3/42
DocumentopreparadoporJohnnyM
uozP.,
CISA,
CRISC
El marco de referencia est basado
en un conjunto de principios y guas
de administracin
Se complementa con el estndar de
facto denominado COBIT
El riesgo de T.I. es uno entre muchos
riesgos que tiene el negocio.
7/27/2019 Risk It - Isaca_es
4/42
DocumentopreparadoporJohnnyM
uozP.,
CISA,
CRISC
Riesgos sobre la
entrega de servicios de
T.I.
Rendimiento y disponibilidad
de los servicios de T.I. que
puedan llevar a la
destruccin o reduccin del
valor de la empresa
Riesgos sobre la
realizacin del
beneficio o entregade soluciones de T.I.
Pobre contribucin de T.I.
para nuevas soluciones
de negocio o mejoras a
las ya existentes.
Riesgo sobre la
realizacin de
beneficios de T.I.
Aprovechamiento de
oportunidades para usar la
tecnologa con el fin de
mejorar la eficiencia o
efectividad de los procesos
del negocio o comohabilitador de nuevas
iniciativas de negocio
7/27/2019 Risk It - Isaca_es
5/42
Habilitacin delbeneficio (Valor)
de T.I.
Entrega desoluciones de T.I.
(proyectos)
Entrega deServicios de T.I.
Habilitador tecnolgico paranuevas iniciativas del negocio
Habilitador tecnolgico paraeficientizar las operaciones
Calidad de los proyectos
Relevancia de los proyectos
Sobreproduccin de proyectos
Interrupciones del servicio de
T.I.
Problemas de seguridad
Cumplimiento regulatorio
Valor del negocioPrdida Preservar
Valor del negocioDejar de ganar Ganar
7/27/2019 Risk It - Isaca_es
6/42
DocumentopreparadoporJohnnyM
uozP.,
CISA,
CRISC
Un efectivo gobierno de T.I. a nivel corporativo:
Siempre est conectado a los objetivos del negocio
Alinea la administracin de los riesgos de T.I. con la administracin de
riesgos corporativa
Balancea los costos y beneficios de la administracin de riesgo
Administracin efectiva de los riesgos de T.I.
Promueve una comunicacin abierta y justa de los riesgos de T.I.
Establece el tono correcto desde la cima de la organizacin, mientras sedefinen y se fuerza la rendicin de cuentas personal para las operaciones
dentro de unos niveles de tolerancia bien definidos y aceptados
Es un proceso continuo y pertenece a las actividades diarias
7/27/2019 Risk It - Isaca_es
7/42
Riesgo degeneracin devalor de T.I.
Riesgo en laentrega de
proyectos de T.I.
Riesgo en la entregade servicios y
operaciones de T.I.
7/27/2019 Risk It - Isaca_es
8/42
7/27/2019 Risk It - Isaca_es
9/42
Establecer y mantener unavisin comn de riesgo
Integrarse con laadministracin corporativade riesgo
Tomar decisiones denegocio concientes delriesgo
Recopilar datos Analizar el riesgo Mantener un perfil de
riesgo
Articular el riesgo Administrar el
riesgo Reaccionar ante
eventos
IT
RISK
Gobierno
EvaluacinRespuesta
7/27/2019 Risk It - Isaca_es
10/42
DocumentopreparadoporJohnnyM
uozP.,
CISA,
CRISC
La administracin de los riesgos del negocio es un componenteesencial en cualquier negocio
El uso de T.I. puede generar grandes beneficios, pero tambin
conlleva riesgos
El riesgo de T.I. debe tratarse como cualquier otro riesgo (mercado, crdito,
operacional)
El marco conceptual permite:
Integrar la administracin del riesgo de T.I. a la administracin corporativa
de riesgo
Tomar decisiones bien informadas sobre la extensin, el apetito y la
tolerancia al riesgo de la empresa
Entender como responder ante los riesgos
7/27/2019 Risk It - Isaca_es
11/42
DocumentopreparadoporJohnnyM
uozP.,
CISA,
CRISCEl marco conceptual provee
Un conjunto de prcticas de gobierno para la administracin del riesgo
Un proceso de principio a fin para la administracin exitosa del riesgo de
T.I.
Una lista genrica de eventos comunes que pueden afectar adversamente
las actividades de T.I. y la realizacin de los objetivos del negocio
Herramientas y tcnicas para entender los riesgo reales de las
operaciones.
7/27/2019 Risk It - Isaca_es
12/42
El marco refererencial de
RISK IT es sobre elriesgo del NEGOCIO
relacionado con el uso
de la T.I.
Principiosde RISK
IT
Conectarsecon los
Objetivos delNegocio
Alinear elRiesgo de T.I.
con laadministraci
n de ERM
Balacosto/beneficio nce
del delRiesgo de T.I.
Promoveruna
comunicacinabierta y
justa
Establecerresponsabilidades tone at
the top
Funcionarcomo parte
de lasactividades
diarias
7/27/2019 Risk It - Isaca_es
13/42
7/27/2019 Risk It - Isaca_es
14/42
Funcin Beneficios o razones por las que debe utilizarRISK ITAdministradores de laseguridad de T.I.
Posicionamiento del riesgo de seguridad junto con otrascategoras del riesgo de T.I.
Directores Financieros Obtienen una mejor visin de los riesgos relacionados con
T.I. y sus implicaciones financieras
Oficiales de gobiernocorporativo
Asistencia en sus responsabilidades de revisin y vigilanciadel gobierno corporativo y otras funciones de gobierno de T.I.
Administradores del negocio Entendimiento y administracin del riesgo de T.I. como unms de los riesgos del negocio, los cuales deben estaralineados
Auditores de T.I. Mejor anlisis del riesgo como soporte de los planes yestudios de auditora
Auditores externos Gua adicional sobre los niveles de riesgo de T.I. cuandoestablecen una opinin sobre la calidad del control interno
Aseguradoras Soporte en el establecimiento de una cobertura adecuada deaseguramiento de T.I. de acuerdo con los niveles de riesgo
7/27/2019 Risk It - Isaca_es
15/42
Objetivosdel
negocioComunicacin
Analizar el
riesgo
Mantener
un perfil
de riesgo
Recolectar
datos
Evaluacin de
Riesgos
Integracin con
ERM
Toma de
decisiones
basadas en
el riesgo
Visin
comn del
riesgo
Gobierno deRiesgo
Administrar
el riesgo
Reaccionar
ante los
eventos
Articular el
riesgo
Respuesta alRiesgo
7/27/2019 Risk It - Isaca_es
16/42
DocumentopreparadoporJohnnyMuozP.,
CISA,
CRISC
Generalidades delGobierno de Riesgo
7/27/2019 Risk It - Isaca_es
17/42
Documen
topreparadoporJohnnyM
uozP.,
CISA,
CRISC
Oportunidad
Aceptable
Inaceptable
Realmente inaceptable
Frecuencia
Magnitu
d
7/27/2019 Risk It - Isaca_es
18/42
Documen
topreparadoporJohnnyM
uozP.,
CISA,
CRISC
Comunicacin
efectiva del
Riesgo de T.I.
Expectativas:
Estrategia,
polticas,
procedimientos,
concientizacin,
capacitacin, etc.
Capacidad:
Madurez de los
procesos de
administracin del
riesgo
Estado:
Perfil del riesgo,
indicadores clave
de riesgo, eventos
de materializacin
Expectativas
CapacidadEstado
7/27/2019 Risk It - Isaca_es
19/42
Documen
topreparadoporJohnnyM
uozP.,
CISA,
CRISC
Cultura
de
Riesgo
Comportamiento
del tomador de
riesgo
Comportamiento
hacia el
cumplimiento de
polticas
Comportamiento
ante eventos
negativos
Conservativo:
Adverso al
riesgo
Agresivo:
Tomador de
riesgos
Cumplir
No
cumplir
Cultura de
aprendizaje
Cultura de
culpar
7/27/2019 Risk It - Isaca_es
20/42
Docum
entopreparadoporJohnnyMuozP.,
CISA,
CRISC
Generalidades de laEvaluacin del Riesgo
7/27/2019 Risk It - Isaca_es
21/42
Criterios de informacinde COBIT
Efectividad
Eficiencia
Confidencialidad
Integridad
DisponibilidadCumplimiento
Confiabilidad
Cuadro de MandoIntegral (CMI)
Financiera
Cliente
Procesos
Capacitacin e
innovacin
CMI Extendido
Financiera
Valor de las
acciones
Dividendos
UtilidadesCosto de capital
Cliente
Mercado de acciones
Satisfaccin del
cliente
Servicio al Cliente
Procesos
Cumplimiento
regulatorio
Capacitacin e
innovacin
Ventaja competitiva
Reputacin
7/27/2019 Risk It - Isaca_es
22/42
7/27/2019 Risk It - Isaca_es
23/42
7/27/2019 Risk It - Isaca_es
24/42
7/27/2019 Risk It - Isaca_es
25/42
Docum
entopreparadoporJohnn
yMuozP.,
CISA,
CRISC
Generalidades de laRespuesta ante elRiesgo
7/27/2019 Risk It - Isaca_es
26/42
7/27/2019 Risk It - Isaca_es
27/42
7/27/2019 Risk It - Isaca_es
28/42
Riesgo de T.I. T.I. entrega valor reducido al negocio o del
todo no lo entrega
Prdida de oportunidades de negocio por
falta de soporte tecnolgico
Eventos relacionados con la T.I. quedestruyen el valor
Oportunidad de la T.I. Identificacin de nuevas oportunidades de
negocio utilizando la T.I.
Mejoramiento del valor del negocio con el
uso optimizado de las capacidades de la
T.I.
T.I. como destructoro inhibidor del valor
T.I. como habilitadordel valor
7/27/2019 Risk It - Isaca_es
29/42
Objetivosdel
negocioComunicacin
Analizar el
riesgo
Mantener
un perfil
de riesgo
Recolectar
datos
Evaluacin de
Riesgos
Integracin con
ERM
Toma de
decisiones
basadas en
el riesgo
Visin
comn del
riesgo
Gobierno deRiesgo
Administrar
el riesgo
Reaccionar
ante los
eventos
Articular el
riesgo
Respuesta al
Riesgo
7/27/2019 Risk It - Isaca_es
30/42
Gobierno de RiesgoAsegurar que la empresa tiene prcticas de riesgo de
T.I. que aseguran un retorno ptimo de laadministracin del riesgo
Asegurar que las actividades de
la administracin del riesgo se
alinean con los objetivos
empresariales dentro de los
lmites de tolerancia al riesgo de
la alta administracin
Establecer y mantener
una visin comn delriesgo
Integrar la estrategia de riesgo
de T.I. y las operaciones con las
decisiones de riesgo estratgicas
del negocio
Integracin con ERMAsegurar que las decisiones
empresariales contemplen en sus
amplio rango, las oportunidades
y consecuencias de apoyarse en
la T.I.
Toma de decisiones
basadas en el riesgo
7/27/2019 Risk It - Isaca_es
31/42
Documen
topreparadoporJohnnyMuozP.,
CISA,
CRISC
RG1.1 Realizar una
evaluacin
empresarial del
riesgo de T.I.
RG1.2 Proponer el
umbral de
tolerancia al riesgo
de T.I.
RG1.3 Aprobar el
nivel de tolerancia
de riesgo de T.I.
RG1.4 Alinear la
poltica de riesgo
de T.I.
RG1.5 Promover la
cultura de
conciencia de
riesgo de T.I.
RG1.6 Alentar una
comunicacin
efectiva del riesgo
de T.I.
7/27/2019 Risk It - Isaca_es
32/42
Documen
topreparadoporJohnnyMuozP.,
CISA,
CRISC
RG2.1 Establecer y
mantener la
responsabilidad por la
administracin del
riesgo de T.I.
RG2.2 Coordinar la
estrategia de riesgo
de T.I. con la
estrategia de riesgo
del negocio
RG2.3 Adaptar las
prcticas de riesgo
de T.I. con las
prcticas de riesgo
de empresariales.
RG2.4 Proveer los
recursos adecuados
para la
administracin del
riesgo de T.I.
RG2.5 Proveer
aseguramiento
independiente sobre
la administracin del
riesgo de T.I.
7/27/2019 Risk It - Isaca_es
33/42
Documen
topreparadoporJohnnyMuozP.,
CISA,
CRISC
RG3.1 Hacer que la
administracin adopte
la metodologa de
anlisis de riesgo de
T.I.
RG3.2 Aprobar el
anlisis de riesgo de
T.I.
RG3.3 Insertar las
consideraciones del
riesgo de T.I. en el
proceso de toma de
decisiones de
carcter estratgico.
RG3.4 Aceptar el
riesgo de T.I.
RG3.5 Priorizar las
actividades de
respuesta al riesgo de
T.I.
7/27/2019 Risk It - Isaca_es
34/42
Evaluacin de RiesgoAsegurar que los riesgos y las oportunidades de T.I.
son identificadas analizadas y presentadas entrminos del negocio.
Identificar los datos relevantes
que habiliten una efectivaidentificacin, anlisis y reporte
de los riesgos de T.I.
Recoleccin dedatos
Desarrollar informacin til para
el soporte de las decisiones de
riesgo que tome en cuenta la
relevancia de los factores de
riesgo del negocio.
Analizar el
riesgoMantener un inventario
actualizado de todos los riesgosconocidos con sus atributos,
recursos, capacidades y controles
tal y como deben ser conocidos
en el contexto de los productos,
servicios y procesos del negocio
Mantener elperfil de riesgo
7/27/2019 Risk It - Isaca_es
35/42
Documen
topreparadoporJohnnyMuozP.,
CISA,
CRISC
RE1.1 Establecer y
mantener un
modelo para lacoleccin de datos.
RE1.2 Recolectar
los datos en el
ambiente
operacional.
RE1.3 Recolectar
los datos ante la
materializacin de
eventos de riesgo.
RE1.4 Identificar
factores de riesgo.
7/27/2019 Risk It - Isaca_es
36/42
Documen
topreparadoporJohnnyMuozP.,
CISA,
CRISC
RE2.1 Definir un
mbito de
anlisis deriesgo.
RE2.2 Estimar el
riesgo de T.I.
RE2.3 Identificar
las opciones para
la respuesta a losriesgos.
RE2.4 Ejecutar
una revisin de
pares del anlisisde riesgo.
7/27/2019 Risk It - Isaca_es
37/42
DocumentopreparadoporJohnnyMuozP.,
CISA,
CRISC
RE3.1 Mapear los
recursos de T.I. en
los procesos del
negocio
RE3.2 Determinar
la criticidad de los
recursos de T.I.
para el negocio.
RE3.3 Entender las
capacidades de
T.I.
RE3.4 Actualizar
los componentes
del escenario del
riesgo de T.I.
RE3.5 Mantener el
registro del riesgo
de T.I. y su mapa
de riesgos
RE3.6 Desarrollo
de los indicadores
de riesgo de T.I.
7/27/2019 Risk It - Isaca_es
38/42
Respuesta ante el RiesgoAsegurar que los riesgos y las oportunidades de T.I.
son enfrentados de manera costo-efectividad y enlnea con las prioridades del negocio.
Asegurar que la informacin
sobre el verdadero estado sobre
las exposiciones y las
oportunidades estn disponibles
oportunamente y a las personas
apropiadas para su adecuada
respuesta.
Articular elriesgo
Asegurar que las medidas para
aprovechar las oportunidades y
reducir el riesgo a un nivel
aceptable son administradas en
un portafolio.
Administrar el
riesgoAsegurar que las medidas para
aprovechar las oportunidades
inmediatas o limitar la magnitud
de las prdidas de los eventos
relacionados con la T.I. Son
activadas oportunamente y son
efectivas
Reaccionar antelos eventos
7/27/2019 Risk It - Isaca_es
39/42
DocumentopreparadoporJohnnyMuozP.,
CISA,
CRISC
RR1.1 Comunicar los
resultados del anlisis
de riesgo de T.I.
RR1.2 Reportar las
actividades de
administracin del
riesgo de T.I. y elestado de
cumplimiento
RR1.3 Interpretar
independientemente los
hallazgos de las
evaluaciones del riesgo
de T.I.
RR1.4 Identificar las
oportunidades de la
tecnologa de
informacin
7/27/2019 Risk It - Isaca_es
40/42
DocumentopreparadoporJohnnyMuozP.,
CISA,
CRISC
RR2.1 Inventario de
controles
RR2.2 Monitorizar
el alineamiento
operacional con los
niveles de
tolerancia
RR2.3 Responder a
las exposiciones
de riesgo y las
oportunidades
descubiertas.
RR2.4 Implementar
los controles
RR2.5 Reportar el
progreso del plan de
accin del riesgo de
T.I.
7/27/2019 Risk It - Isaca_es
41/42
DocumentopreparadoporJohnnyMuozP.,
CISA,
CRISC
RR3.1 Mantener
planes de
respuesta ante
incidentes
RR3.2 Monitorizar
el riesgo de T.I.
RR3.3 Iniciar la
respuesta a
incidentes
RR3.4 Comunicar
las lecciones
aprendidas de los
eventos de riesgo
7/27/2019 Risk It - Isaca_es
42/42
Referencias bibliogrficas: ISACA, The Risk IT framework, 2009 Barnier B., Key questions in COBIT success
what you need to know, COBIT Focus,
Top Related