Marco de Riesgos de TI Finalidad y Destinatarios. Riesgos de TI Los riesgos de TI es slo un grupo de todo el conjunto de riesgos organizacionales.

. Otros riesgos a los que se enfrenta una organizacin pueden ser riesgos estratgicos, riesgos ambientales, riesgos de mercado, riesgos de crdito, riesgos operativos y riesgos de cumplimiento. Un riesgo de TI puede pertenecer a cualquiera de estos grupos de riesgos sin inclinarse a un grupo en particular. En muchas organizaciones, los riesgos de TI se consideran un componente operativo; sin embargo, el componente financiero puede catalogar al riesgo de TI como riesgo estratgico. Por esta razn, no se describe al riesgo de TI con una dependencia jerrquica en una de las categoras de riesgo organizacional, tal como se muestra a continuacin:

Risk IT es aquel riesgo organizacional asociado con el uso, propiedad, operacin, participacin, influencia y adopcin de las TI dentro de una organizacin. Los riesgos de TI pueden clasificarse de la sgte. forma: Riesgo sobre la realizacin de beneficios de TI: Asociado al aprovechamiento de oportunidades para usar la tecnologa con el fin de mejorar la eficiencia de los procesos del negocio o como habilitador de nuevas iniciativas de negocio. Riesgo sobre la entrega de soluciones de TI: Asociad a la contribucin de TI para nuevas soluciones de negocio o mejoras de las ya existentes, en forma de proyectos y programas. Riesgo sobre la entrega de servicios de TI: Asociado al rendimiento y disponibilidad de los servicios y sistemas de TI que puedan producir prdidas o llevar a la reduccin del valor de la empresa. Propsito del marco de trabajo de Riesgo de TI La administracin de los riesgos del negocio es un componente esencial en cualquier proyecto. El uso de tecnologas de informacin puede generar grandes beneficios, pero al mismo tiempo conlleva riesgos.

El marco de trabajo de Riesgo de TI permite: Integrar la administracin del riesgo de TI a la administracin corporativa de riesgo Tomar decisiones bien informadas sobre la magnitud, el apetito y la tolerancia al riesgo de la empresa Entender cmo responder ante los riesgos

El marco de trabajo de Riesgo permite a la organizacin adoptar las decicsiones de riesgo apropiadas. El marco de trabajo de Riesgos de TI provee: 1. Un conjunto de prcticas de gobierno para la administracin del riesgo 2. Un proceso de principio a fin para la administracin exitosa del riesgo de TI 3. Una lista genrica de evetos comunes que pueden afectar adversamente las actividades de TI y la realizacin de los objetivos del negocio 4. Herramientas y tcnicas para entender los riesgos reales de las operaciones El Pblico y las partes interesadas Todos los grupos citados pueden ser considerados partes interesadas para la gestin de riesgos de TI. Pblico y Ventajas Funcin Junta y Direccin Ejecutiva

Gestores de Riesgo Corporativo

Administrador de Riesgos Operativo

Administracin de TI

Administradores de servicios de TI

Administrador de la continuidad de negocio

Administrador de la Seguridad de TI

Beneficios o razones para usar el marco de riesgos de TI Mejor entendimiento de sus responsabilidades y funciones relacionadas con la administracin de TI Asistencia en la administracin del riesgo de TI, en lnea con los principios de administracin de riesgo corporativo generalmente aceptados Vinculacin de su marco conceptual de riesgo de TI, identificacin de las prdidas operacionales o desarrollo de los indicadores de riesgo principales Mejor entendimiento de cmo identificar y administrar los riesgos de TI y cmo comunicar estos riesgos a los encargados de tomar las decisiones del negocio Mejoramiento de su visin del riesgo de TI desde un punto de vista ms operacioal, el cual debe encajar en el marco general de administracin del riesgo. Alineamiento con la administracin del riesgo corporativo, debido a que la evaluacin de los riesgos es un aspecto principal de su responsabilidad Posicionamiento del riesgo de seguridad junto

Directores Financieros (CFOs)

Oficiales de gobierno corporativo

Directores ejecutivos

Auditores de TI Reguladores Auditores externos

Aseguradoras

Agencias de Calificacin

con otras categoras del riesgo de T.I Obtienen una mejor visin de los riesgos relacionados con T.I. y sus implicaciones financieras Asistencia en sus responsabilidades de revisin y vigilancia del gobierno corporativo y otras funciones de gobierno de T.I. Entendimiento y administracin del riesgo de T.I. como un ms de los riesgos del negocio, los cuales deben estar alineados Mejor anlisis del riesgo como soporte de los planes y estudios de auditora Apoyo de su evaluacin de las organizaciones reguladas enfoque de gestin de riesgos de TI Gua adicional sobre los niveles de riesgo de T.I. cuando establecen una opinin sobre la calidad del control interno Soporte en el establecimiento de una cobertura adecuada de aseguramiento de T.I. de acuerdo con los niveles de riesgo En colaboracin con aseguradores; una referencia para evaluar objetivamente y la tarifa como una organizacin se ocupa de los riesgos

Principios de los Riesgos de TI El marco de Risk TI se refiere a los riesgos organizacionales relacionados con el uso de TI. La conexin con el negocio se fundamenta en los principios en los que se basa el marco. A continuacin se mencionan los principios de Risk TI: A continuacin se examina cada uno de estos principios con ms detalle: 1. La eficaz gestin de la organizacin de los riesgos de TI siempre se alinea con los objetivos del negocio. El riesgo de TI es tratado como un riesgo de negocio, en contraposicin a un tipo de riesgo. La atencin se centra en los resultados del negocio y los riesgos de TI se expresan en el impacto que puedan tener en el logro de los objetivos de la empresa. Todo anlisis de los riesgos de TI contiene dependencia de anlisis de como el negocio depende de capas subyacentes de la infraestructura de TI. La gestin de riesgos de TI es un instrumento de negocio, no un inhibidor. El riesgo de TI es una proteccin contra la destruccin de valor y al mismo tiempo genera valor a la organizacin.

2. Alinear el riesgo de TI con la administracin de ERM.

Los objetivos del negocio y el riesgo que la organizacin est dispuesta a asumir estn claramente definidos. El proceso de toma de decisiones de la organizacin considera todas las posibles consecuencias potenciales y oportunidades de riesgos de TI El apetito de riesgo de la entidad refleja su filosofa de gestin de riesgo e influencia en la cultura y en el tipo de funcionamiento. Los temas relativos a los riesgos estn integrados en cada departamento de la organizacin. Es decir, la visin del riesgo se comunica a travs de toda la estructura de la organizacin.

3. Balance de los costos y beneficios de la gestin de los riesgos de TI El riesgo es priorizado y dirigido en consonancia con el apetito de riesgo y tolerancia. Los controles se llevan a cabo con respecto a un determinado riesgo y en base a un anlisis del costo-beneficio del mismo. Los controles existentes son aprovechados para hacer frente a mltiples riesgos.

4. Promover la comunicacin abierta y justa de los riesgos de TI. La informacin abierta, exacta y transparente sobre riesgos de TI sirve como la base para todas las decisiones relacionadas con el riesgo. Las tareas, principios y mtodos de la gestin de riesgos se han integrado en toda la organizacin. Las conclusiones tcnicas son traducidas en trminos de negocio relevante y comprensible.

5. Establecer y ejecutar las responsabilidades para el funcionamiento dentro de los niveles de tolerancia aceptables y bien definidos. Personas clave como los dueos de negocios y el consejo de administracin se dedican a la gestin de riesgos de TI. Hay una asignacin de la propiedad del riesgo, incluyendo la rendicin de cuentas, haciendo la medicin del rendimiento e integrando la gestin del riesgo en el sistema de recompensas. Las acciones a seguir son divulgadas desde el principio por medio de polticas, procedimientos y el correcto nivel de ejecucin. La cultura del riesgo se promueve de manera activa, comenzando por las capas ms altas. Esto ayuda a asegurar que los implicados en la gestin de riesgos operacionales funcionan sobre suposiciones de riesgo constantes. Las decisiones de riesgos se toman por personas autorizadas, con un enfoque en la gestin organizacional, que desempea un papel clave en la gestin de los riesgos.

La gestin eficaz de los riesgos promueve la mejora continua y es una parte de las actividades diarias.


Debido a la naturaleza dinmica del riesgo, gestin de riesgos es un iterativo y perpetuo proceso en curso. Cada cambio conlleva riesgos y/o oportunidades, y la organizacin se prepara para ello, dando cuenta previamente a los cambios en la propia organizacin (fusiones y adquisiciones), en la regulacin, en tecnologas de informacin, en el negocio, etc. Se presta atencin a la evaluacin del riesgo mediante mtodos, funciones y responsabilidades, herramientas, tcnicas y criterios en toda la organizacin. Identificacin de los procesos clave y los riesgos asociados Conocimiento de los impactos en el logro de objetivos Identificacin de los factores desencadenantes que indican cundo una actualizacin del marco o de los componentes es necesaria. Las prcticas de gestin de riesgos estn adecuadamente integradas en orden de prioridad. Las prcticas de gestin de riesgos son simples y fciles de usar, y contienen las prcticas para detectar las amenazas y los riesgos potenciales, as como para prevenir y mitigar las mismas.

Marco de los Riesgos de TI El marco de los riesgos de TI se basa en los principios establecidos anteriormente y se ha desarrollado en base a un modelo de proceso integral. El modelo del proceso en la gestin de riesgos fija ciertas actividades clave en una serie de procesos. Estos procesos se agrupan en tres mbitos. Los tres mbitos del marco de RISK IT Gobierno del riesgo, Evaluacin del Riesgo y Respuesta ante el Riesgos cada uno de los cuales contiene tres procesos, tal y como se muestra en la figura.

Fundamentos de Gobierno del Riesgo Apetito del riesgo El apetito de riesgo es la cantidad de riesgo que una entidad est dispuesta a aceptar cuando se trata de alcanzar sus objetivos. Al examinar los niveles de apetito para la organizacin, surgen dos grandes factores importantes: La Capacidad Objetiva de la organizacin para absorber prdida. La cultura o la predisposicin a asumir riesgos-prudentes o agresivos. El apetito de riesgo se puede definir en la prctica en trminos de combinaciones de la frecuencia y la magnitud de un riesgo. El apetito de riesgo es diferente entre las organizaciones ya que no existe una norma absoluta o una norma de lo que constituye un riesgo aceptable e inaceptable El apetito por el riesgo se puede definir mediante los mapas de riesgo. Se pueden definir diferentes grupos de riesgo, indicado por las bandas de colores en el mapa de riesgo que se muestra en la figura

 Rojo: indica que realmente es un riesgo inaceptable. La organizacin estima que este nivel de riesgo es mucho ms all de su apetito de riesgo normal. Cualquier riesgo que se encuentren en esta banda podra desencadenar una respuesta inmediata de riesgos. Amarillo: indica riesgo elevado, es decir, tambin por encima de apetito de riesgo aceptable. La organizacin podra aceptarlo, como cuestin de poltica. Requieren mitigacin u respuesta adecuada a definir dentro de los lmites de tiempo determinado. Verde: indica un nivel aceptable normal de riesgo, normalmente con ninguna accin especial requerida, excepto el mantenimiento de los controles actuales o de otras respuestas. Azul: indicio de un riesgo muy bajo, donde el ahorro del costo de oportunidades se puede encontrar al disminuir el grado de control o donde las oportunidades para asumir ms riesgos pueden surgir. Tolerancia al riesgo La tolerancia al riesgo es la desviacin tolerable desde el nivel establecido por la definicin del apetito de riesgo, por ejemplo, las normas o proyectos que deben realizarse dentro de los presupuestos y el tiempo, pero sobre costes del 10 por ciento del presupuesto o el 20 por ciento del tiempo son tolerados. Responsabilidades y rendicin de cuentas sobre los riesgos de TI En el cuadro en la figura se definen una serie de funciones para la gestin del riesgo y se indica que estas funciones asumen la responsabilidad o rendicin de cuentas por una o ms actividades dentro de un proceso. La responsabilidad corresponde a aquellos que deben velar por que las actividades se han completado con xito. La rendicin de cuentas se aplica a quienes poseen los recursos necesarios y tener la autoridad para aprobar la ejecucin y / o aceptar el resultado de una actividad especfica dentro de los

procesos de TI de riesgo. Esta tabla es un resumen de los cuadros detallados en el modelo de proceso. Las funciones descritas en la tabla se aplican de manera diferente en cada organizacin y, por tanto, no corresponden necesariamente a las unidades de organizacin o funciones. Para ello, cada funcin ha sido descrita brevemente en el cuadro.

Sensibilizacin y comunicacin La concienciacin de los riesgos es de reconocer que el riesgo es una parte integral de la organizacin. Esto no implica que todos los riesgos que deben ser evitadas o eliminadas, sino que se entienden y conocen los riesgos de TI, problemas de riesgo sean identificables, y la organizacin reconoce y utiliza los medios de manejar los riesgos de TI.

Beneficios de comunicacin y sensibilizacin Los beneficios de la comunicacin abierta sobre los riesgos de TI incluyen: Contribucin de la gestin ejecutiva para la comprensin de la actual exposicin a los riesgos de TI, la definicin de habilitacin de riesgos apropiados y respuestas Sensibilizacin interna entre todas las partes interesadas de la importancia de la integracin de riesgo y oportunidad en sus funciones diarias Transparencia para las partes interesados externas en el nivel real de riesgo y los procesos de gestin de riesgos en uso Cultura de Riesgos La gestin de riesgos consiste en ayudar a las organizaciones a asumir mayores riesgos en la bsqueda de la rentabilidad. Una cultura de riesgos asumidos ofrece un entorno en el que los componentes de riesgo se discuten abiertamente, y los niveles de riesgo aceptables se entienden y se mantienen. La cultura de riesgos aceptables comienza en la parte superior, con la junta y los ejecutivos de negocios que establece la direccin, comunicando el riesgo de toma de decisiones aceptables y premiando la cultura de aprendizaje en la gestin eficaz del riesgo. El conocimiento del riesgo tambin implica que todos los niveles dentro de una organizacin son conscientes de cmo y por qu para responder a los eventos adversos de TI. La cultura del riesgo es un concepto que no es fcil de describir. Se compone de una serie de comportamientos, como se muestra en la figura.

La cultura del riesgo incluye: El comportamiento hacia la toma del riesgo - Cul es el grado de riesgo que siente la organizacin que puede asumir y qu riesgos est dispuesta a tomar? El comportamiento hacia la poltica siguiente - En qu medida la gente va a aceptar y / o cumplir con la poltica? El comportamiento hacia resultados negativos Cmo la organizacin se ocupa de los resultados negativos, es decir, acontecimientos de prdida u oportunidades perdidas? Aprender ellos de esto y tratarn de adaptarse, o se culpar sin tratar la causa de origen?