2. TÉRMINOS Y DEFINICIONES
•
Riesgo: efecto de la incertidumbre sobre los objetivos.
•
Gestión de riesgos: coordinación de actividades para dirigir y controlar una
organización en relación con el riesgo.
•
Stakeholder: Persona u organización que puede afectar, ser afectada o
percibir ser afectada por una decisión o actividad.
•
Resiliencia: Capacidad de adaptación de una organización en un entorno
complejo y cambiante. ‘resistencia, flexibilidad,…’
3. Riesgos de TI
•
Se definen como riesgos de negocios asociados con el uso,
propiedad, operación, la participación, la influencia y la adopción de
TI dentro de una empresa.
•
Son un componente del universo de riesgos a los que está
sometida una organización. Otros de los riesgos a los que una
organización se enfrenta pueden ser riesgos estratégicos, riesgos
ambientales, riesgos de mercado, riesgos de crédito, riesgos
operativos y riesgos de cumplimiento.
4. • El Riesgo de TI es el riesgo comercial, es decir, el riesgo
de los negocios asociados con el uso, la propiedad, la
operación, la participación, la influencia y la adopción de
las TI dentro de una organización. Se compone de
eventos relacionados con IT que podrían afectar a la
organización. Esto incluye tanto la frecuencia y la
magnitud incierta, la creación de problemas en el
cumplimiento de metas y objetivos estratégicos, así
como la incertidumbre en la búsqueda de oportunidades.
5. Clasificación de los Riesgos
•
El valor de los riesgos de TI permitidos – Asociado con las
oportunidades no aprovechadas para mejorar la eficiencia o
efectividad de los procesos de negocio.
•
Programas de TI y riesgos en las entregas de proyectos – Asociada
a la contribución de IT sobre nuevas soluciones de negocio.
•
Operaciones de TI y riesgos en las entregas de servicios –
Asociadas con todos los aspectos relacionados con los servicios y
sistemas de TI, puede producir pérdidas o reducción del valor a la
organización.
6.
7. ISO 31000
• Tiene como objetivo ayudar a las organizaciones de
todo tipo y tamaño a gestionar sus riesgos con
efectividad.
• El nuevo standard ISO proporciona que los principios, el
marco y un proceso destinado a gestionar cualquier tipo
de riesgo en una manera transparente, sistemática y
creíble dentro de cualquier alcance o contexto.
8. ISO 31000
El standard recomienda que las organizaciones
desarrollen, implementen y mejoren en forma continua el
marco de gestión de riesgos como un componente del
sistema integral de gestión de la organización.
• ISO 31000 es un documento práctico que busca ayudar a
las organizaciones en el desarrollo de su propia estrategia
para gestionar sus riesgos, pero no es un estándar
certificable.
9. ISO 31000 está diseñada para ayudar a las
organizaciones a:
•
•
•
•
•
•
•
Aumentar la probabilidad de lograr sus objetivos
Fomentar la gestión proactiva
Ser conscientes de la necesidad de identificar y tratar el riesgo en
toda la organización
Mejorar la identificación de las oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias y las normas
internacionales
Mejorar la información financiera
Mejorar el gobierno de la organización
10. ISO 31000 está diseñada para ayudar a las
organizaciones a:
•Incrementar la confianza de los grupos de interés (‘stakeholders’)
•Establecer una base fiable para la toma de decisiones y planificación.
•Mejorar los controles
•Asignar y utilizar de manera efectiva los recursos para el tratamiento
del riesgo
•Mejorar la eficacia y la eficiencia operacional.
•Aumentar la seguridad y salud así como la protección al medio
ambiente
•Mejorar la prevención y la gestión de incidentes.
•Minimizar las pérdidas.
•Mejorar el aprendizaje y la ‘resiliencia’ de la organización
11. Clasificación de los riesgos
•
•
•
•
•
•
•
RIESGOS FINANCIEROS
RIESGOS DINAMICOS
RIESGOS ESTATICOS
RIESGO ESPECULATIVO
RIESGO PURO
RIESGO FUNDAMENTAL
RIESGO PARTICULAR
12.
13. Principales indicadores de riesgo
Son capaces de demostrar que la empresa está sujeta a, o tiene una alta
probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo
definido. Los riesgos son específicos para cada empresa y su selección depende de
parámetros, tales como el tamaño y la complejidad de la empresa. En La
identificación de indicadores de riesgo debe tenerse en cuenta :
•Considerar las distintas partes interesadas en la empresa.
•Hacer una selección equilibrada de indicadores del riesgo.
•Asegurar que los indicadores seleccionados detallen el origen de la
causa de los eventos.
14. Indicadores claves de riesgo (RISK)
Los RISK se distinguen por ser de gran relevancia, por poseer una alta probabilidad de
predecir o por que indican un riesgo importante. Los criterios para seleccionar RISK
incluyen:
•Impacto
•Esfuerzo para aplicar, medir y reportar
•Fiabilidad
•Sensibilidad
•EJEMPLO:
Un detector de humo, fiabilidad significa que el detector de humo hará sonar una
alarma cada vez que haya humo. Sensibilidad significa que el detector de humo suena
cuando se alcanza un determinado umbral de densidad de humo.
15. Beneficios a la empresa:
•
Alerta temprana
•
Opinión retrospectiva
•
Facilitar la documentación y el análisis de las tendencias.
•
Indicadores.
•
Aumentar la probabilidad de lograr los objetivos estratégicos de la
empresa.
•
Ayudar continuamente a la optimización de la gestión del riesgo y del
entorno.
16. TI . Riesgo - Oportunidad
Después de que la
empresa realice su
evaluación inicial de los
riesgos y / o de
oportunidades, es
necesario determinar la
forma de tratarlos.
Aquí, los tres Marcos
de ISACA (COBIT, VAL
IT y riesgos de TI) se
complementan entre sí
y proporcionan una
orientación práctica
17. TI puede jugar varios roles en relación riesgo-oportunidad
•Valor Permitido:
•Habilitando proyectos de TI de éxito que apoyan las nuevas iniciativas y, así,
la creación de valor.
•La aplicación de nuevas tecnologías o el uso de nueva tecnología de forma
innovadora que permitan nuevas iniciativas empresariales y la creación de
valor.
•Valor inhibidor:
•La organización puede fallar.
•Destrucción de valor, algunos eventos de TI, especialmente en las
operaciones de TI, pueden causar leves o graves trastornos operativos a la
empresa.
18. El marco de riesgos de TI consiste de:
Dominio; Gobierno del riesgo (RG).
• – RG1 Establecer y mantener una visión común de riesgo.
• – RG2 Intégrese con la Gestión de riesgos de la empresa (ERM).
• – RG3 Hacer decisiones conscientes del riesgo de negocio.
Domino; Evaluación de riesgo (RE)
• – RE1 Recoger datos.
• – RE2 Analizar los riesgos.
• – RE3 Mantener el Perfil de riesgo.
Dominio; Respuesta de riesgo (RR)
• – RR1 Articular el riesgo.
• – RR2 Gestión de riesgos.
• – RR3 Reaccionar a los eventos.
19.
20. ¿Cómo puede una empresa hacer frente a esto en
la práctica?
Se propone una importante inversión en infraestructura de TI, ya sea como una iniciativa proactiva o
de reacción la empresa debe considerar todos los siguientes elementos en la toma de decisiones:
•Beneficios en la reducción del riesgo.
•Los riesgos asociados con la inversión.
•Los beneficios comerciales resultantes de la posesión de la nueva infraestructura de TI y las
oportunidades.
Cuando surge una nueva tecnología, la empresa debe considerar lo siguiente al determinar si
conviene o no adoptar la tecnología:
•Los riesgos asociados con la operación de la nueva tecnología:
•Impacto de la adopción de la tecnología.
•Consecuencias de no adoptar la nueva tecnología.
•Los beneficios comerciales de la nueva tecnología.