Professional Documents
Culture Documents
Administracin de Riesgos
Definicin
Es un proceso interactivo e iterativo basado en el conocimiento, evaluacin y manejo de los riesgos y sus impactos, con el propsito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situacin donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
3
Administracin de Riesgos
Beneficios para la Organizacin
Facilita el logro de los objetivos de la organizacin. Hace a la organizacin ms segura y consciente de sus riesgos. Mejoramiento continuo del Sistema de Control Interno. Optimiza la asignacin de recursos. Aprovechamiento de oportunidades de negocio. Fortalece la cultura de autocontrol. Mayor estabilidad ante cambios del entorno.
4
Administracin de Riesgos
Soporta el logro de los objetivos de la auditora. Estandarizacin en el mtodo de trabajo. Integracin del concepto de control en las polticas organizacionales. Mayor efectividad en la planeacin general de Auditora. Evaluaciones enfocadas en riesgos. Mayor cobertura de la administracin de riesgos. Auditoras ms efectivas y con mayor valor agregado.
2. Identificar Riesgos
3. Anlisis de Riesgos
Monitorear y Revisar
Definir la relacin entre la organizacin y el ambiente en el que opera. Entender la organizacin, sus capacidades y habilidades Conocer sus objetivos y estrategias. Entendiendo por objeto, el rea, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organizacin y sobre el cual se pueda efectuar administracin de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro.
Este paso del proceso es importante para evaluar y priorizar los riesgos posteriormente en el paso No. 4
Cmo Hacerlo?
Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de administracin de riesgos.
Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensin y anlisis.
9
Responder qu puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el numeral 2.3.
Cmo y por qu pueden ocurrir los eventos identificados como riesgos? Identificar lo que motiva, dispara o genera los eventos y los escenarios ms significativos.
10
Cmo Hacerlo?
Definiendo los aspectos en los cuales va a centrar su atencin durante la evaluacin operativos, tcnicos, legales, sociales, financieros, humanos.
11
Cmo Hacerlo?
Por lo tanto exprese los riesgos en trminos de consecuencia y considere las causas que pueden generarlo. Ejemplo:
Prdida de confidencialidad debida a interceptacin de la lnea de comunicacin.
12
Asignar valor al evento de materializacin del riesgo propio del objeto de anlisis.
Identificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes. Resultante de aplicar la frmula: Nivel de Exposicin = Riesgo inherente - Controles
13
Cmo Hacerlo?
14
Comparar el resultado del anlisis de riesgo realizado contra los criterios establecidos en el numeral 1. Marco general de referencia.
Las comparaciones de anlisis de riesgo realizadas sobre diferentes reas de la organizacin o sobre los diferentes procesos le permitirn priorizar los riesgos sobre los cuales ha de centrar la atencin para definir una opcin de tratamiento.
15
Cmo Hacerlo?
Para la actividad o componente al cual aplic el proceso de administracin de riesgos, determine las posibles formas de reducir o mitigar el riesgo. Bajo las consideraciones del marco de referencia definido, establecer cules de las opciones de tratamiento identificadas se ajustan a la organizacin y reducen el riesgo a un nivel de exposicin aceptable. Elaborar los planes que le permitan poner en prctica las opciones de tratamiento del riesgo seleccionadas. Poner en marcha el plan definido.
17
Cmo Hacerlo?
18
Cmo Hacerlo?
19
Cmo Hacerlo?
Implementar medidas de reduccin Usar Juicio Para seleccionar Antieconmico la opcin ms apropiada se Costo
20
Cmo Hacerlo?
21
Administrando Riesgos de TI
22
Administracin de Riesgos de TI
Por qu ?
Hoy en da la mayora de las empresas soportan sus procesos operativos con TI. Se ha generado un alto grado de dependencia de la tecnologa informtica. Las organizaciones tienen una elevada inversin en tecnologa, por su adquisicin, mantenimiento y seguridad. Se ha incrementado el nmero de ataques externos a las instalaciones de TI. Porque es un medio por el cual la administracin puede concretar los objetivos de control sobre la T.I.
23
Administracin de Riesgos de TI
Requerimientos de la informacin del negocio. Recursos de Tecnologa Informtica Procesos de Tecnologa Informtica
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO
PROCESOS DE TI
RECURSOS DE TI
24
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable . Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada. Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.
25
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
26
Datos: Los objetos de informacin. Informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
27
1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditora independiente
CobiT
Seguimiento
Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeacin y Organizacin
1.Definicin del nivel de servicio 2.Administracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Administracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones
Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano
Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 6. Administracin de Cambios
28
Administrando Riesgos de TI
1. Establecer Marco General
1.1 Contexto Estratgico 1.2 Contexto Organizacional 1.3 Objetos Crticos
Leyes y Regulaciones
Entorno Econmico
Clientes
Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Estructura Organizacional Procesos Actividades Lneas de negocio Productos 29
Administrando Riesgos de TI
2. Identificar Riesgos
2.4 Identificar Riesgos 2.5 Identificar Causas
Algunos Riesgos
Ineficiencia en el uso de los recursos Prdida de confidencialidad Prdida de Integridad de informacin Interrupcin en la continuidad del servicio Acceso no autorizado Prdida econmica
Heterogeneidad en la ejecucin de procesos Ausencia de metodologas de procesos Inadecuada clasificacin de la informacin Error u omisin en el procesamiento Cambios no autorizados Hurto de activos (recursos informticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantacin de usuarios
Algunas Causas
30
Administrando Riesgos de TI
(un ejemplo con 2 procesos y 2 recursos)
Riesgos de TI
Desarrollo y Adquisicin de Software Sub o sobre dimensionamiento Diseo Inadecuado Aceptacin de sw no acorde con las necesidades Falta de oportunidad en entrada en produccin
Operacin de Instalaciones
Negacin del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado
31
Administrando Riesgos de TI
4. Evaluar y Priorizar Riesgos
4.1 Comparar contra criterios 4.2 Definir prioridades
Heterogeneidad en la ejecucin de procesos Inadecuada clasificacin de la informacin Desarrollo informal (sin metodologa) de sw Ausencia de planes de continuidad de Negocio Incertidumbre para atender incidentes Cambios no autorizados Error u omisin en el procesamiento Hurto de activos (recursos informticos) Suplantacin de usuarios
32