CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
Administración de Riesgosde TI
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.
CONTENIDOCIT
Contenido Objetivo
Concepto y Alcance
Porqué administrar el riesgo
Marcos de trabajo a utilizar
Alcance del Proyecto
Proceso de Administración de Riesgos
Beneficios
Entregables
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.
OBJETIVO - CONCEPTO - ALCANCECIT
CIT
Objetivo
No es minimizar ni eliminar el riesgo, sino que administrarlo y
optimizarlo, hay que aprender a vivir con él.
Concepto
“ Es el riesgo de pérdidas ocasionadas por fraude, actividades no
autorizadas, error, omisión, ineficiencia, fallas de los sistemas o por
eventos externos.”.
Alcance
Es aplicable a todos los niveles de gestión en la empresa y a los
implicados en la evaluación y mitigación del riesgo tecnológico.
CONSULTING INFORMATION TECHNOLOGY S.A.
¿PORQUE ADMINISTRAR EL RIESGO ?CIT
¿Porqué administrar el riesgo?
• Reduce las pérdidas económicas provocadas por eventos adversos
• Reduce la pérdida de valor de los activos financieros y activos fijos
• Crea valor dentro de la empresa, se vuelve más competitiva
• Minimiza el impacto sobre las utilidades, pasivos, activos y patrimonios
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
Marcos de trabajo a utilizar
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.
COSO ERM vs ISO/IEC 27005CIT
CIT
Ambiente interno Establecimiento del contexto Establecimiento Obj.
Id. Eventos
Evaluación de riesgos
Respuesta de riesgos
Actividades de control
Información y Com.
Supervisión
COSO ERM
Id. del riesgo
Estimación Evaluación
Comunicación del riesgo
Tratamiento del riesgo
Aceptación del riesgo
Monitoreo y revisión
ISO/IEC 27005
PLAN
DO
CHECK
ACT
¿Qué marco de trabajo utilizamos?
CONSULTING INFORMATION TECHNOLOGY S.A.CITCOMPONENTES CLAVES DEL ERM
CIT
Establecimiento
de objetivos
Estratégico
Operacionales
Informe
Cumplimiento
Identificación de
eventos
Fuente Externa
Económicos
Negocio
Tecnológicos
Politicos
Sociales
Fuente Interna
Proceso
Personas
Sistemas
Infraestructura
Valoración del riesgo Técnicas cualitativas
Técnicas cuantitativas
Respuesta al riesgo Evitar
Reducir
Compartir
Aceptar
Actividades de control Políticas y Procedimientos
Preventivos
Detectivos
Correctivos
Manuales
Automáticos
Entorno Interno
Filosofía Administración
de riesgo
Cultura de riesgo
Supervisión de Directorio
integridad, valores éticos
y competencia del
personal
Autoridad, roles y
responsabilidades y
estructura
Información y
Comunicación
Identificación y
capturación de datos
Datos internos y externos
Datos históricos
Esquemas de reporte
Monitoreo
Actividades continuas
Actividades esporádicas
Dire
cció
n
y S
op
orte
Acti
vid
ad
es
Pri
mari
as d
e la
Ge
sti
ón
de
Rie
sg
os
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
Alcance del Proyecto
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
Alcance del proyecto
Fase 1 Establecimiento de Objetivos
y Entorno Interno
• Definir Objetivos Estratégicos y Operacionales• Elaborar Filosofía de Administración y Cultura de Riesgos• Definir Autoridades, Roles, Responsabilidades y Estructura
Fase 2Administración del Riesgo
• Identificar el riesgo ( Recolección de información, análisis de procesos, elaboración de inventario de riesgos y categorización).
• Análisis y Valoración del Riesgo (Estimación del Impacto y la Factibilidados, elaboración del mapa de riesgos, riesgo inherente y residual)
• Determinación de las Estrategias de gestión del riesgo
Fase 3 Mitigación y Control del
Riesgo
Fase 4 Revelación de la Información y
Monitoreo
• Elaboración de estructura que permita a las Gerencias de las Unidades de Negociocomunicar el estatus de los riesgos a la alta Gerencia, Comité y Junta Directiva.
• Formatos de cumplimiento de planes de implantación de estrategias, políticas yprocedimientos de la gestión de riesgos.
Requerimientos del Proyecto
• Elaboración de procesos
• En caso de ser requerido se puede brindar apoyo en esta etapa
CIT
Fue
ra d
eA
lcan
ce
Alcan
ce d
e la p
rop
ue
sta
• Elaboración de Planes de Contingencia (Procedimientos de emergencia, pruebas,tipos de alerta, activación de los planes).
• Elaboración de Políticas de control.
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
Proceso de Gestión de Riesgos
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITMETODOLOGÍA
CIT
CADENA DE VALOR PROCESOS
IDENTIFICACION DE RIESGOS OPERATIVOS
EN LOS PROCESOS
CONSULTING INFORMATION TECHNOLOGY S.A.CIT
CATEGORIZACION DE LOS RIESGOS OPERATIVOS SEGÚN BASILEA II
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITPROCESO DE GESTION DE RIESGOS
CIT
CONSULTING INFORMATION TECHNOLOGY S.A.CITIDENTIFICACION Y EVALUACION DEL RIESGO
CIT
E v a l u a c i ó nE v a l u a c i ó n
R i e s g o R e s i d u a lR i e s g o R e s i d u a l
R i e s g o I n h e r e n t eR i e s g o I n h e r e n t e
FactibilidadFactibilidad ImpactoImpactoXX ExposiciónExposición
B
I d e n t i f i c a c i ó I d e n t i f i c a c i ó nn
M i t i g a c i ó n / C o n t r o lM i t i g a c i ó n / C o n t r o l
Do
cu
me
nta
ció
n / R
ep
orte
Do
cu
me
nta
ció
n / R
ep
orte
E v a l u a c i ó nE v a l u a c i ó n
R i e s g o R e s i d u a lR i e s g o R e s i d u a l
R i e s g o I n h e r e n t eR i e s g o I n h e r e n t e
FactibilidadFactibilidad ImpactoImpactoXX ExposiciónExposición M
A
I d e n t i f i c a c i ó I d e n t i f i c a c i ó nn
M i t i g a c i ó n / C o n t r o lM i t i g a c i ó n / C o n t r o l
Do
cu
me
nta
ció
n / R
ep
orte
Do
cu
me
nta
ció
n / R
ep
orte
CONSULTING INFORMATION TECHNOLOGY S.A.CITMAPA DE RIESGOS
CIT
I
m
p
a
c
t
o
A
M
B
B M A
Frecuencia
CONSULTING INFORMATION TECHNOLOGY S.A.CIT
DEFINICION DE LAS ESTRATEGIAS DE RIESGO OPERATIVO
CIT
En esta etapa se definen las estrategias de gestión que se seleccionan paracada riesgo, las cuales están sujetas a los niveles de criticidad de riesgo y al nivel detolerancia al riesgo establecidos por la Compañía. Esto se define y completa, con elapoyo brindado por la Gerencias de las unidades de negocio.
CONSULTING INFORMATION TECHNOLOGY S.A.CITANALISIS Y EVALUACION DEL RIESGO
CIT
Estrategias de Mitigación y
Controldel Riesgo
Políticas de Seguridad, Planes de Contingencia,Planes de Continuidad de Negocio
CONSULTING INFORMATION TECHNOLOGY S.A.CITREVELACION DE LA INFORMACION
Revelación de la
Información de la Gestión de Riesgos
El proceso de revelación de la información debe permitir a la Gerencia de las unidades de negocio y apoyo comunicar el estatus de los riesgos operativos a través de un estructura y proceso de información y comunicación del estado de gestión de los riesgos.
CONSULTING INFORMATION TECHNOLOGY S.A.CITMONITOREO DEL RIESGO
CIT
Monitoreo del
Riesgo
El monitoreo de los riesgos es un proceso de vigilancia permanente de los riesgos de la Compañía. Consiste en una combinación de comunicaciones regulares, revisiones periódicas o auditorías y evaluaciones por parte de personal calificado o independiente en diferentes niveles de la Compañía.
CONSULTING INFORMATION TECHNOLOGY S.A.CITENTREGABLES
CIT
Entregables
• Evaluación de riesgos de TI
• Análisis cualitativo del riesgo
• Matrices de evaluación de riesgos
• Mapa de riesgos
• Estrategia para el tratamiento de los riesgos
• Implementación de las Estrategias de Mitigación y Control
• Estructura para la Revelación de Información
CONSULTING INFORMATION TECHNOLOGY S.A.CITBENEFICIOS
CIT
Beneficios
• Planeación de la administración del riesgo
• Proveer a la Compañía una estructura que permita a las actividades futuras desarrollarse de forma consistente y controlada
• Optimizar la eficiencia operacional disminuyendo los eventos de riesgo y logrando que sean más competitivos
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
CIT
Administración de
riesgos
una tarea de
todos
¿Preguntas?
Identificación
Evaluación
Organización
Pruebas
CONSULTING INFORMATION TECHNOLOGY S.A.CITADMINISTRACION DE RIESGOS
www.consultinginformationtecnhnology.com
CIT