the risk it framework(etg)
TRANSCRIPT
-
8/7/2019 The Risk IT Framework(ETG)
1/19
Riesgo Empresarial:Identificacin, Gobierno y
Administracin del Riesgo de TI
El Marco de Riesgo de TI
Edmundo Trevio Gelover,
CGEIT, CISM, CISA
Definiciones en Evolucin
Los conceptos tradicionales de
riesgo, auditora y control han
evolucionado hacia conceptos
mas amplios como el CorporateGovernance y el IT
Governance; producto de las
estrictas regulaciones sobre el
control interno, el riesgo
operacional, las
responsabilidades de la alta
Gerencia y la necesidad de
alinear la TI con la estrategia
del negocio.
2
-
8/7/2019 The Risk IT Framework(ETG)
2/19
El IT Governance
3
El Gobierno Corporativo refiere a cmouna organizacin, a travs de variosroles y responsabilidades de susDirectores y de la propia Administracin:
Fija los objetivos corporativos
Ejecuta las operaciones diarias delnegocio
Monitorea el desempeo de laorganizacin y su personal
Integra a sus stakeholders
Alinea el comportamiento y lasactividades corporativas
Cumple con leyes y regulacionesaplicables
El Gobierno Corporativo refiere a cmouna organizacin, a travs de variosroles y responsabilidades de susDirectores y de la propia Administracin:
Fija los objetivos corporativos
Ejecuta las operaciones diarias delnegocio
Monitorea el desempeo de laorganizacin y su personal
Integra a sus stakeholders
Alinea el comportamiento y lasactividades corporativas
Cumple con leyes y regulacionesaplicables
El IT Governance:
Parte integral del GobiernoCorporativo.
Contempla el liderazgo,estructuras deorganizacin y procesosque aseguran que laTecnologa de laInformacin, soporta losobjetivos y estrategias de
la organizacin
IT Governance Institute *
El IT Governance:
Parte integral del GobiernoCorporativo.
Contempla el liderazgo,estructuras deorganizacin y procesosque aseguran que laTecnologa de laInformacin, soporta losobjetivos y estrategias dela organizacin
IT Governance Institute *
Expectativas sobre la TI
4
- Lograr la TI sus
objetivos ?
- Podr la TI adaptarse alos nuevos escenarios ?
- Conoce y/o administra
la TI sus riesgos ?
- Existe una alineacin de
objetivos y esfuerzos
entre TI y la gestin
empresarial ?
La alta Gerencia espera:
Apoyo de la tecnologa para alcanzar los
objetivos del negocio, p.ej. en la Banca:uso intensivo de sistemas y medios
electrnicos para hacer llegar a los
clientes, el portafolio de productos y
servicios financieros.
Manejo razonable de costos e inversin de
la TI.
Incremento en eficiencia y reduccin de
riesgos.
Cumplimiento con regulaciones y
normatividad.
Mayor rentabilidad.
-
8/7/2019 The Risk IT Framework(ETG)
3/19
-
8/7/2019 The Risk IT Framework(ETG)
4/19
Necesidad de un Marco de Riesgo
Con base en lo anterior, surge lanecesidad de crear un Marco dereferencia que permita:
Reconocer la existencia deriesgos de TI,
Facilite su identificacin,evaluacin y administracin,
Que reconozca que existe unadependencia muy importante delnegocio, hacia el funcionamiento
continuo de la TI Y por ende ..hacia el manejo de
sus riesgos.!!
7
Antecedentes
El IT Governance Institute expuso recientemente un draft de la publicacin prxima a
liberar denominada Enterprise Risk: Identify, Govern and Manage Risk, The Risk
IT Framework.
El Marco de Riesgos de TI (The Risk IT Framework) es producto de la investigacin y
aporte de la experiencia conjunta de un equipo global de especialistas, cuya misin
fue la de facilitar a la alta Gerencia, una administracin efectiva de los riesgos de TI
relacionados con el negocio, a partir de su identificacin y evaluacin.
Este marco representa el eslabn perdido entre el ERM (Enterprise Risk
Management) y el IT Risk Management, cubriendo adems en su totalidad el Marco
IT Governance del ITGI. Asimismo, este marco se constituy a partir de los
componentes de riesgo relacionados dentro de los marcos actuales, es decir: COBIT
y Val IT.
8
-
8/7/2019 The Risk IT Framework(ETG)
5/19
Antecedentes El riesgo de TI es el riesgo de negocio asociado con el uso, propiedad, operacin, involucramiento,
influencia y adopcin de la TI dentro de la empresa. Este riesgo consiste en los eventos relacionados
con la TI que pueden potencialmente impactar al negocio. Cada evento puede ser visto como Riesgo y
Oportunidad
9
La TI como
Inhibidor de Valor
o Destructor
El Riesgo de TI
Eventos adversos relacionados con TI quedestruyen valor
Valor de negocio no realizado o reducido atravs de la TI
Oportunidades omitidas de asistencia de TI
La TI como
Habilitador
de Valor
Oportunidad de TI
Identificacin de nuevas oportunidades denegocio a travs del uso de la TI
Incremento del valor del negocio a travsdel uso ptimo de las capacidades de TI
Marco de Riesgo de TI
El Marco de Riesgo de TI que plantea el ITGI, explica los riesgos de
TI y ayuda a quienes lo aplican para:
Integrar la administracin de los riesgos de TI, dentro de la
administracin general de los riesgos empresariales y estructuras de
cumplimiento.
Tomar decisiones bien informadas acerca del alcance del riesgo, del
apetito al riesgo y su nivel de tolerancia.
Entender cmo responder al riesgo.
10
Principios y Bases
-
8/7/2019 The Risk IT Framework(ETG)
6/19
Marco de Riesgo de TI
Adems, este Marco de Riesgo de TI atiende muchos aspectos que
las organizaciones enfrentan actualmente y provee:
Una apreciacin muy atinada de los riesgos relacionados de TI
presentes y de futuro inmediato, a travs de toda la organizacin y de
las bases con las cuales la organizacin puede atenderlos.
Una gua punta-a-punta de cmo administrar los riesgos relacionados
de TI, mas all del alcance puramente tcnico y de sus medidas de
control y seguridad.
Un entendimiento de cmo capitalizar la inversin hecha en un sistema
de control interno de TI ya establecido, para administrar los riesgos
relacionados de TI.
11
Principios y Bases
Marco de Riesgo de TI
Un marco/lenguaje comn para ayudar a administrar la relacin entre
los tomadores de decisiones (Comits / Alta Direccin), el CIO y la
Gerencia a cargo de la administracin de riesgos empresariales, entre
los Auditores y la propia Direccin.
La promocin y la responsabilidad de los riesgos y su aceptacin a
travs de toda la organizacin.
12
Principios y Bases
-
8/7/2019 The Risk IT Framework(ETG)
7/19
Marco de Riesgo de TI
A la alta Direccin y a sus Comits, quienes necesitan fijar eldireccionamiento y monitoreo de los riesgos de toda la organizacin.
Gerentes de TI y departamentos de negocio, quienes necesitandefinir un proceso de administracin de riesgos.
Responsables y profesionales de administracin de riesgos, quienesnecesitan guas especficas para el manejo del riesgo de TI.
Externos relacionados.
13
A quienes esta dirigido?
Fundamento del Riesgo de TI
14
Escenarios de Riesgo
Un primer paso es identificar,
entender y evaluar el riesgo
de TI considerando todo lo
que puede salir mal con o en
relacin a TI; usando para
ello escenarios de riesgo, los
cuales contienen varios
componentes.
-
8/7/2019 The Risk IT Framework(ETG)
8/19
Los 3 Marcos del ITGI
15
Riesgos, oportunidades y su tratamiento
Administracin
del Riesgo
Administracin
de Valor
Actividades
de TI
(Procesos)
Eventos
Relacionados
con TI
Evaluacin de
Riesgos y
OportunidadesVal ITRisk IT
CobIT
Componentes de Riesgo de TI
El Marco tiene tres dominios: Risk Governance, Risk Evaluation y Risk
Response divididos en 9 procesos de negocio. Cada uno contiene los
siguientes 3 procesos:
Risk Governance (Gobierno del Riesgo) Establecimiento y Mantenimiento de una Visin Comn de Riesgo
Integracin con ERM (Enterprise Risk Management)
Toma de Decisiones de Negocio con una Conciencia del Riesgo
Risk Evaluation (Evaluacin del Riesgo)
Recoleccin de Datos
Anlisis de Riesgo
Mantenimiento del Perfil de Riesgos
Risk Response (Respuesta al Riesgo)
Articulando el Riesgo
Administrando el Riesgo Reaccionando a Eventos 16
-
8/7/2019 The Risk IT Framework(ETG)
9/19
Componentes de Riesgo de TI
17
Risk Governance
Risk Response Risk Evaluation
Communication
Risk IT
Foundation
Make Risk-Aware Business
Decisions
Integrate withERM
Establish &Maintain a
Common RiskView
Manage Risk
Articulate Risk React to Events
Analyze Risk
Collect Data Maintain RiskProfile
Administrando el riesgo en la prctica
Existen guas tcnicas que complementan el Marco de Riesgo de TI y
que proveen ejemplos de posibles tcnicas a emplear para su
tratamiento, algunas de ellas incluyen:
Construccin de escenarios a partir de escenarios genricos de riesgo de TI.
Construccin de un mapa de riesgos, usando tcnicas para describir el
impacto y frecuencia de los escenarios.
Construccin de criterios de impacto con relevancia al negocio.
Uso de COBiT y Val IT para mitigar los riesgos, la liga entre el riesgo y los
objetivos de control de COBiT y Val IT, y prcticas clave de administracin.
18
Gua Tcnica
-
8/7/2019 The Risk IT Framework(ETG)
10/19
-
8/7/2019 The Risk IT Framework(ETG)
11/19
Componentes de Riesgo de TI
21
Risk Governance
Risk Response Risk Evaluation
Communication
Risk IT
Foundation
Make Risk-Aware Business
Decisions
Integrate withERM
Establish &Maintain a
Common RiskView
Manage Risk
Articulate Risk React to Events
Analyze Risk
Collect Data Maintain RiskProfile
Risk Governance
Risk Response Risk Evaluation
Communication
Risk IT
Foundation
Make Risk-Aware Business
Decisions
Integrate withERM
Establish &Maintain a
Common RiskView
Manage Risk
Articulate Risk React to Events
Analyze Risk
Collect Data Maintain RiskProfile
Por Dominio:
- Objetivo del Dominio- Mtricas del Dominio
- Modelo de Madurez
Por Proceso:
- Objetivo y Actividades Clave
- Los procesos en detalle: prcticas clave
de administracin con Inputs y Outputs
- Guas Gerenciales: Matrices RACI,
Objetivos y Mtricas
Nivel de Informacin
Risk IT Foundation:
- Provee informacin para que los
procesos de administracin de riesgo
se definan y trabajen.
Comunicacin:
- Propone un flujo para crear
una comunicacin efectiva
a partir del cumplimiento y
seguimiento de polticas,
competencias y
administracin de los
datos de riesgo.
Informacin por Dominio
22
-
8/7/2019 The Risk IT Framework(ETG)
12/19
-
8/7/2019 The Risk IT Framework(ETG)
13/19
Informacin por Proceso
25
Informacin por Proceso
26
-
8/7/2019 The Risk IT Framework(ETG)
14/19
Informacin por Proceso
27
Informacin por Proceso
28
-
8/7/2019 The Risk IT Framework(ETG)
15/19
Informacin por Proceso
29
Inputs y Outputs
Los 9 procesos del Riesgo de TI a pesar de que se listan secuencialmente, estn relacionados de una forma
compleja, ya que ellos comparten informacin y dependen unos de otros.
Los Inputs sugieren que la informacin de una actividad de riesgo de TI, necesita de otras actividades y
procesos para ser exitosa. Consecuentemente las actividades de riesgo de TI generan informacin (Outputs)
para soportar otras actividades y procesos de administracin de riesgo empresarial y de gobierno de TI.
Informacin por Proceso
30
-
8/7/2019 The Risk IT Framework(ETG)
16/19
Informacin por Proceso
31
Informacin por Dominio
32
-
8/7/2019 The Risk IT Framework(ETG)
17/19
-
8/7/2019 The Risk IT Framework(ETG)
18/19
Informacin por Dominio
35
Comentarios y Conclusiones
36
Si bien existen diversas metodologas para llevar a cabo una adecuadaadministracin de riesgos a nivel empresarial, son pocas las que involucranel efecto de los riesgos de TI en la organizacin y menos an, las que
integran y relacionan actividades de identificacin, gobierno yadministracin de los riesgos de TI.
Este Marco de Riesgos de TI complementa muy bien a COBiT, ya quemientras COBiT establece buenas prcticas como el medio para laadministracin de riesgo, el Marco de Riesgos de TI (The Risk ITFramework) establece buenas prcticas para el fin.
El documento al que hace referencia esta presentacin, puede constituiruna herramienta con las que todos los profesionales relacionados con elGobierno de TI, puedan promover en sus organizaciones o las de susclientes, la importancia que tiene una administracin efectiva de los riesgosde TI y su relacin con la buena marcha del negocio.
-
8/7/2019 The Risk IT Framework(ETG)
19/19
Riesgo Empresarial:Identificacin, Gobierno y
Administracin del Riesgo de TI
El Marco de Riesgo de TI
Edmundo Trevio Gelover,
CGEIT, CISM, CISA