8/7/2019 The Risk IT Framework(ETG)

1/19

Riesgo Empresarial:Identificacin, Gobierno y

Administracin del Riesgo de TI

El Marco de Riesgo de TI

Edmundo Trevio Gelover,

CGEIT, CISM, CISA

Definiciones en Evolucin

Los conceptos tradicionales de

riesgo, auditora y control han

evolucionado hacia conceptos

mas amplios como el CorporateGovernance y el IT

Governance; producto de las

estrictas regulaciones sobre el

control interno, el riesgo

operacional, las

responsabilidades de la alta

Gerencia y la necesidad de

alinear la TI con la estrategia

del negocio.

2

8/7/2019 The Risk IT Framework(ETG)

2/19

El IT Governance

3

El Gobierno Corporativo refiere a cmouna organizacin, a travs de variosroles y responsabilidades de susDirectores y de la propia Administracin:

Fija los objetivos corporativos

Ejecuta las operaciones diarias delnegocio

Monitorea el desempeo de laorganizacin y su personal

Integra a sus stakeholders

Alinea el comportamiento y lasactividades corporativas

Cumple con leyes y regulacionesaplicables

El Gobierno Corporativo refiere a cmouna organizacin, a travs de variosroles y responsabilidades de susDirectores y de la propia Administracin:

Fija los objetivos corporativos

Ejecuta las operaciones diarias delnegocio

Monitorea el desempeo de laorganizacin y su personal

Integra a sus stakeholders

Alinea el comportamiento y lasactividades corporativas

Cumple con leyes y regulacionesaplicables

El IT Governance:

Parte integral del GobiernoCorporativo.

Contempla el liderazgo,estructuras deorganizacin y procesosque aseguran que laTecnologa de laInformacin, soporta losobjetivos y estrategias de

la organizacin

IT Governance Institute *

El IT Governance:

Parte integral del GobiernoCorporativo.

Contempla el liderazgo,estructuras deorganizacin y procesosque aseguran que laTecnologa de laInformacin, soporta losobjetivos y estrategias dela organizacin

IT Governance Institute *

Expectativas sobre la TI

4

- Lograr la TI sus

objetivos ?

- Podr la TI adaptarse alos nuevos escenarios ?

- Conoce y/o administra

la TI sus riesgos ?

- Existe una alineacin de

objetivos y esfuerzos

entre TI y la gestin

empresarial ?

La alta Gerencia espera:

Apoyo de la tecnologa para alcanzar los

objetivos del negocio, p.ej. en la Banca:uso intensivo de sistemas y medios

electrnicos para hacer llegar a los

clientes, el portafolio de productos y

servicios financieros.

Manejo razonable de costos e inversin de

la TI.

Incremento en eficiencia y reduccin de

riesgos.

Cumplimiento con regulaciones y

normatividad.

Mayor rentabilidad.

8/7/2019 The Risk IT Framework(ETG)

3/19

8/7/2019 The Risk IT Framework(ETG)

4/19

Necesidad de un Marco de Riesgo

Con base en lo anterior, surge lanecesidad de crear un Marco dereferencia que permita:

Reconocer la existencia deriesgos de TI,

Facilite su identificacin,evaluacin y administracin,

Que reconozca que existe unadependencia muy importante delnegocio, hacia el funcionamiento

continuo de la TI Y por ende ..hacia el manejo de

sus riesgos.!!

7

Antecedentes

El IT Governance Institute expuso recientemente un draft de la publicacin prxima a

liberar denominada Enterprise Risk: Identify, Govern and Manage Risk, The Risk

IT Framework.

El Marco de Riesgos de TI (The Risk IT Framework) es producto de la investigacin y

aporte de la experiencia conjunta de un equipo global de especialistas, cuya misin

fue la de facilitar a la alta Gerencia, una administracin efectiva de los riesgos de TI

relacionados con el negocio, a partir de su identificacin y evaluacin.

Este marco representa el eslabn perdido entre el ERM (Enterprise Risk

Management) y el IT Risk Management, cubriendo adems en su totalidad el Marco

IT Governance del ITGI. Asimismo, este marco se constituy a partir de los

componentes de riesgo relacionados dentro de los marcos actuales, es decir: COBIT

y Val IT.

8

8/7/2019 The Risk IT Framework(ETG)

5/19

Antecedentes El riesgo de TI es el riesgo de negocio asociado con el uso, propiedad, operacin, involucramiento,

influencia y adopcin de la TI dentro de la empresa. Este riesgo consiste en los eventos relacionados

con la TI que pueden potencialmente impactar al negocio. Cada evento puede ser visto como Riesgo y

Oportunidad

9

La TI como

Inhibidor de Valor

o Destructor

El Riesgo de TI

Eventos adversos relacionados con TI quedestruyen valor

Valor de negocio no realizado o reducido atravs de la TI

Oportunidades omitidas de asistencia de TI

La TI como

Habilitador

de Valor

Oportunidad de TI

Identificacin de nuevas oportunidades denegocio a travs del uso de la TI

Incremento del valor del negocio a travsdel uso ptimo de las capacidades de TI

Marco de Riesgo de TI

El Marco de Riesgo de TI que plantea el ITGI, explica los riesgos de

TI y ayuda a quienes lo aplican para:

Integrar la administracin de los riesgos de TI, dentro de la

administracin general de los riesgos empresariales y estructuras de

cumplimiento.

Tomar decisiones bien informadas acerca del alcance del riesgo, del

apetito al riesgo y su nivel de tolerancia.

Entender cmo responder al riesgo.

10

Principios y Bases

8/7/2019 The Risk IT Framework(ETG)

6/19

Marco de Riesgo de TI

Adems, este Marco de Riesgo de TI atiende muchos aspectos que

las organizaciones enfrentan actualmente y provee:

Una apreciacin muy atinada de los riesgos relacionados de TI

presentes y de futuro inmediato, a travs de toda la organizacin y de

las bases con las cuales la organizacin puede atenderlos.

Una gua punta-a-punta de cmo administrar los riesgos relacionados

de TI, mas all del alcance puramente tcnico y de sus medidas de

control y seguridad.

Un entendimiento de cmo capitalizar la inversin hecha en un sistema

de control interno de TI ya establecido, para administrar los riesgos

relacionados de TI.

11

Principios y Bases

Marco de Riesgo de TI

Un marco/lenguaje comn para ayudar a administrar la relacin entre

los tomadores de decisiones (Comits / Alta Direccin), el CIO y la

Gerencia a cargo de la administracin de riesgos empresariales, entre

los Auditores y la propia Direccin.

La promocin y la responsabilidad de los riesgos y su aceptacin a

travs de toda la organizacin.

12

Principios y Bases

8/7/2019 The Risk IT Framework(ETG)

7/19

Marco de Riesgo de TI

A la alta Direccin y a sus Comits, quienes necesitan fijar eldireccionamiento y monitoreo de los riesgos de toda la organizacin.

Gerentes de TI y departamentos de negocio, quienes necesitandefinir un proceso de administracin de riesgos.

Responsables y profesionales de administracin de riesgos, quienesnecesitan guas especficas para el manejo del riesgo de TI.

Externos relacionados.

13

A quienes esta dirigido?

Fundamento del Riesgo de TI

14

Escenarios de Riesgo

Un primer paso es identificar,

entender y evaluar el riesgo

de TI considerando todo lo

que puede salir mal con o en

relacin a TI; usando para

ello escenarios de riesgo, los

cuales contienen varios

componentes.

8/7/2019 The Risk IT Framework(ETG)

8/19

Los 3 Marcos del ITGI

15

Riesgos, oportunidades y su tratamiento

Administracin

del Riesgo

Administracin

de Valor

Actividades

de TI

(Procesos)

Eventos

Relacionados

con TI

Evaluacin de

Riesgos y

OportunidadesVal ITRisk IT

CobIT

Componentes de Riesgo de TI

El Marco tiene tres dominios: Risk Governance, Risk Evaluation y Risk

Response divididos en 9 procesos de negocio. Cada uno contiene los

siguientes 3 procesos:

Risk Governance (Gobierno del Riesgo) Establecimiento y Mantenimiento de una Visin Comn de Riesgo

Integracin con ERM (Enterprise Risk Management)

Toma de Decisiones de Negocio con una Conciencia del Riesgo

Risk Evaluation (Evaluacin del Riesgo)

Recoleccin de Datos

Anlisis de Riesgo

Mantenimiento del Perfil de Riesgos

Risk Response (Respuesta al Riesgo)

Articulando el Riesgo

Administrando el Riesgo Reaccionando a Eventos 16

8/7/2019 The Risk IT Framework(ETG)

9/19

Componentes de Riesgo de TI

17

Risk Governance

Risk Response Risk Evaluation

Communication

Risk IT

Foundation

Make Risk-Aware Business

Decisions

Integrate withERM

Establish &Maintain a

Common RiskView

Manage Risk

Articulate Risk React to Events

Analyze Risk

Collect Data Maintain RiskProfile

Administrando el riesgo en la prctica

Existen guas tcnicas que complementan el Marco de Riesgo de TI y

que proveen ejemplos de posibles tcnicas a emplear para su

tratamiento, algunas de ellas incluyen:

Construccin de escenarios a partir de escenarios genricos de riesgo de TI.

Construccin de un mapa de riesgos, usando tcnicas para describir el

impacto y frecuencia de los escenarios.

Construccin de criterios de impacto con relevancia al negocio.

Uso de COBiT y Val IT para mitigar los riesgos, la liga entre el riesgo y los

objetivos de control de COBiT y Val IT, y prcticas clave de administracin.

18

Gua Tcnica

8/7/2019 The Risk IT Framework(ETG)

10/19

8/7/2019 The Risk IT Framework(ETG)

11/19

Componentes de Riesgo de TI

21

Risk Governance

Risk Response Risk Evaluation

Communication

Risk IT

Foundation

Make Risk-Aware Business

Decisions

Integrate withERM

Establish &Maintain a

Common RiskView

Manage Risk

Articulate Risk React to Events

Analyze Risk

Collect Data Maintain RiskProfile

Risk Governance

Risk Response Risk Evaluation

Communication

Risk IT

Foundation

Make Risk-Aware Business

Decisions

Integrate withERM

Establish &Maintain a

Common RiskView

Manage Risk

Articulate Risk React to Events

Analyze Risk

Collect Data Maintain RiskProfile

Por Dominio:

- Objetivo del Dominio- Mtricas del Dominio

- Modelo de Madurez

Por Proceso:

- Objetivo y Actividades Clave

- Los procesos en detalle: prcticas clave

de administracin con Inputs y Outputs

- Guas Gerenciales: Matrices RACI,

Objetivos y Mtricas

Nivel de Informacin

Risk IT Foundation:

- Provee informacin para que los

procesos de administracin de riesgo

se definan y trabajen.

Comunicacin:

- Propone un flujo para crear

una comunicacin efectiva

a partir del cumplimiento y

seguimiento de polticas,

competencias y

administracin de los

datos de riesgo.

Informacin por Dominio

22

8/7/2019 The Risk IT Framework(ETG)

12/19

8/7/2019 The Risk IT Framework(ETG)

13/19

Informacin por Proceso

25

Informacin por Proceso

26

8/7/2019 The Risk IT Framework(ETG)

14/19

Informacin por Proceso

27

Informacin por Proceso

28

8/7/2019 The Risk IT Framework(ETG)

15/19

Informacin por Proceso

29

Inputs y Outputs

Los 9 procesos del Riesgo de TI a pesar de que se listan secuencialmente, estn relacionados de una forma

compleja, ya que ellos comparten informacin y dependen unos de otros.

Los Inputs sugieren que la informacin de una actividad de riesgo de TI, necesita de otras actividades y

procesos para ser exitosa. Consecuentemente las actividades de riesgo de TI generan informacin (Outputs)

para soportar otras actividades y procesos de administracin de riesgo empresarial y de gobierno de TI.

Informacin por Proceso

30

8/7/2019 The Risk IT Framework(ETG)

16/19

Informacin por Proceso

31

Informacin por Dominio

32

8/7/2019 The Risk IT Framework(ETG)

17/19

8/7/2019 The Risk IT Framework(ETG)

18/19

Informacin por Dominio

35

Comentarios y Conclusiones

36

Si bien existen diversas metodologas para llevar a cabo una adecuadaadministracin de riesgos a nivel empresarial, son pocas las que involucranel efecto de los riesgos de TI en la organizacin y menos an, las que

integran y relacionan actividades de identificacin, gobierno yadministracin de los riesgos de TI.

Este Marco de Riesgos de TI complementa muy bien a COBiT, ya quemientras COBiT establece buenas prcticas como el medio para laadministracin de riesgo, el Marco de Riesgos de TI (The Risk ITFramework) establece buenas prcticas para el fin.

El documento al que hace referencia esta presentacin, puede constituiruna herramienta con las que todos los profesionales relacionados con elGobierno de TI, puedan promover en sus organizaciones o las de susclientes, la importancia que tiene una administracin efectiva de los riesgosde TI y su relacin con la buena marcha del negocio.

8/7/2019 The Risk IT Framework(ETG)

19/19

Riesgo Empresarial:Identificacin, Gobierno y

Administracin del Riesgo de TI

El Marco de Riesgo de TI

Edmundo Trevio Gelover,

CGEIT, CISM, CISA