Sunteți pe pagina 1din 69

Gestin de Riesgos

Que debo proteger y de que me debo de proteger?

Esto es un riesgo o es una amenaza?


Como nos preparamos para eventos no deseados?

Como minimizamos el impacto si el evento se


materializa?
Cual es el nivel de riego que estamos dispuestos a
aceptar ?
A que aplicamos los controles? A la vulnerabilidad, a
la amenaza, a ambos.

Marcos de Referencia
ISO/DIS 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
ITGI- Risk IT Framework
Basilea II
Octave
NIST SP 800-30
AS/NZ 4360
Magerit
BS 7799-3
Microsoft SRMG
CRAM
M_o_R

Gestin del Riesgo


El Riesgo es la probabilidad de que un incidente o transaccin ocasione
prdidas financieras o daos patrimoniales a la organizacin, su personal,
sus activos o su reputacin en general obstaculizando el logro de los
objetivos estratgicos, operativos y financieros de la organizacin.

Aplicacin sistemtica de controles


Administrativos
Tcnicos
Fsicos
que permita minimizar el riesgo a un nivel aceptable.

La Gestin del Riesgo es una funcin fundamental y vital de la


Seguridad de Informacin

El Riesgo es una caracterstica de


la vida del negocio y debido a que
resulta imprctico y poco
econmico eliminar los riesgos,
cada organizacin tiene un nivel
de Riesgo Aceptable

Riesgo Aceptable
Para la aceptacin definitiva de los riesgos la organizacin
debe tener en cuenta:
La poltica organizacional
Sensibilidad y criticidad de los activos involucrados

Niveles aceptables de los posibles impactos


Rentabilidad de la implementacin
Apetito del riesgo

Trminos Comunes
Amenaza
Vulnerabilidad
Impacto
Apetito del Riesgo
Control
Respuesta al Riesgo
Probabilidad
Riesgo Inherente
Riesgo Residual
Valuacin
Clasificacin de Activos
Informacin Crtica
Informacin Sensible

Categoras de Riesgos Operativos


Riesgo ambiental operativo y de instalaciones
Riesgo de salud y seguridad
Riesgo de seguridad de informacin
Riesgo de marco de control
Riesgo legal y de incumplimiento regulatorio
Riesgo de gobierno corporativo
Riesgo reputacional o imagen
Riesgo estratgico
Riesgo de procesamiento y desempeo

Categoras de Riesgos Operativos


Riesgo Tecnolgico
Riesgo de administracin de proyectos
Riesgo de actos ilcitos o delictivos
Riesgo de recursos humanos
Riesgo de proveedores
Riesgo de informacin gerencial
Riesgo de tica
Riesgo Geopoltico
Riesgo Cultural
Riesgo Climtico

Metodologas de Evaluacin del Riesgo


Mtodo Cuantitativo (Objetivo): Basado en el impacto material,
monetario e inmediato.
Mtodo Cuantitativo = Costo Monetario del Riesgo

Mtodo Cualitativo (Subjetivo): Basado en el criterio y


raciocinio humano capaz de definir un proceso de trabajo

para evaluar los riesgos


proceso del negocio.

en base a la experiencia del

Ventajas de los Mtodos de Evaluacin del Riesgo

Cuantitativo/Objetivo

Enfoca el anlisis mediante el uso de nmeros


Facilita la comparacin de vulnerabilidades muy distintas
Proporciona una cifra justificante para cada control.

Cualitativo/Subjetivo
Enfoca lo amplio que se desee
Plan de trabajo flexible y reactivo
Se concentra en la identificacin de eventos
Incluye valores intangibles

Desventajas de los Mtodos de


Evaluacin del Riesgo
Cuantitativo/Objetivo
Clculos complejos
Estimacin de las prdidas slo si son valores justificables.
Difciles de mantener o modificar

Cualitativo/Subjetivo
La evaluacin es un proceso subjetivo
Depende fuertemente de la habilidad y calidad del personal
involucrado.
Puede existir riesgos significantes desconocidos.

Proceso de Gestin del Riesgo


Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Monitorear y Revisar

Evaluar
los
Riesgos

Tratar
los
Riesgos

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

ESTABLECER EL
CONTEXTO

Establecer el contexto
Esto se desarrolla dentro de la estructura del contexto
organizacional y de administracin de riesgos de una organizacin.

estratgico,

El contexto Estratgico: Relacin entre la organizacin y su entorno,


identificando el FODA de la empresa, incluye aspectos financieros, operativos,
polticos, sociales, culturales y legales.
Debera existir una relacin cercana entre la misin u objetivos estratgicos de la
organizacin y la gestin de los riesgos a los cuales esta expuesta

El contexto Organizacional: Es necesario comprender la organizacin y sus


capacidades, as como sus metas y objetivos, y las estrategias a lograr.
El Contexto de la Administracin de Riesgos: Establecer la meta, objetivos,
estrategias, alcance, y parmetros de la actividad o parte de la organizacin a la
cual se esta aplicando el proceso de gestin de riesgos.

Establecer el contexto

Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las


decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,
estos pueden basarse en criterios operativos, tcnicos, financieros, legales,
sociales, etc.
Definir la Estructura: Separar la actividad o proyecto en un conjunto de
elementos, estos proveen una estructura lgica para identificacin y anlisis
lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.

Esta estructura va depender de la naturaleza del riesgo y del alcance del


proyecto o actividad.

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Identificar los Riesgos

Identificacin de riesgos
Representa una etapa crtica la Identificacin por lo tanto se necesita de un
proceso sistemtico bien estructurado, porque los riesgos potenciales que no se
identifiquen en esta etapa son excluidos de un anlisis posterior.
Qu puede suceder?
Desarrollar una lista amplia de eventos que podran afectar a cada elemento de
la estructura definida.

Como puede suceder?


Se considera causas y escenarios posibles
Herramientas y Tcnicas: Incluyen checklists, juicios expertos, registros,
diagrama de flujo, anlisis de sistemas, de escenarios, tormentas de ideas, etc.

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Analizar los Riesgos

Anlisis de riesgos
El anlisis de riesgo involucra prestar consideracin a las fuentes de riesgos, sus
amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo
combinando estimaciones de consecuencias, amenazas y probabilidades en el
contexto de las medidas de control existente.
Determinar los controles existentes: Identificar la administracin, sistemas
tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus
fortalezas y debilidades.

Consecuencias y Probabilidades: La magnitud de las consecuencias de un


evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,
se evalan en el contexto de los controles existentes.
Las consecuencias y probabilidades se combinan para entregar un nivel de
riesgo.

Anlisis de Riesgos

DETERMINACION
DEL
ENTORNO
ACTUAL

IDENTIFICACION
DE
AMENAZAS

IDENTIFICACION
DE
VULNERABILIDAD

DETERMINACION
DE
PROBABILIDAD

ANALISIS DE
IMPACTO

VALORACION
DEL
RIESGO

DETERMINACION
DEL
ENTORNO
ACTUAL

Determinacin del Entorno Actual

Identificacin de los Procesos crticos y sensibles de la empresa


Identificacin de los activos de la Informacin y de Tecnologa
de la informacin (Hardware, Software, Aplicaciones, etc.).
Identificacin del Personal usuario y tcnico
Identificacin de procedimientos polticas y controles existentes
Clasificacin de los activos.

DETERMINACION
DEL
ENTORNO
ACTUAL

Determinacin del Entorno Actual

Tcnicas de Extraccin de Informacin


Cuestionarios/Plantillas: Preguntas para recolectar informacin
Entrevistas: Personal responsable

Revisin de documentos

IDENTIFICACION
DE
AMENAZAS

Identificacin de Amenazas

Identificar las fuentes de amenazas


Evaluaciones e informes anteriores
Revisin de bases de datos de fuentes de agencias
especializadas.
Identificar las amenazas accidentales e intencionales
Fuentes de amenazas comunes:
Naturales
Humanas
Ambientales
Motivacin: Componente potencial de la amenaza
humana, esto hace del personal descontento, ex
empleados, clientes insatisfechos, etc.

IDENTIFICACION
DE
AMENAZAS

Identificacin de Amenazas

Tipos comunes de amenazas:

Errores

Accidentes

Dao/Ataque malicioso

Incidentes/Fenmenos naturales

Fraude

Robo

Falla en quipo/Software

Prdida de servicios

Fuga de informacin

Sabotaje

Terrorismo

IDENTIFICACION
DE
AMENAZAS

Identificacin de Amenazas

Resultado
Relacin de Amenazas potenciales
por cada recurso particular,
indicando su naturaleza,
caractersticas, etc.

IDENTIFICACION
DE
VULNERABILIDAD

Identificacin de Vulnerabilidades

Revisin de Informes de auditoria


Resultados de pruebas de seguridad
Inspecciones fsicas

Revisin de informacin y boletines que


envan los fabricantes de HW y SW de
tecnologa

IDENTIFICACION
DE
VULNERABILIDAD

Identificacin de Vulnerabilidades

Tcnicas de Extraccin
Herramientas
automatizadas

de

Escaneo

de

Vulnerabilidades

Ethical Hacking
Test de control de calidad (scripts,
procedimientos, etc)

checklist,

IDENTIFICACION
DE
VULNERABILIDAD

Identificacin de Vulnerabilidades

Tipos comunes de vulnerabilidades:

Software defectuoso

Equipo configurado en forma inapropiada

Cumplimiento forzoso inadecuado

Diseo deficiente de redes

Procesos defectuosos o incontrolados

Administracin inadecuada

Personal insuficiente

Falta de conocimiento

Falta de mantenimiento

Tecnologa no probada

Falta de redundancia

Transmisiones de comunicaciones no protegidas

Comunicaciones gerenciales deficientes

IDENTIFICACION
DE
VULNERABILIDAD

Identificacin de Vulnerabilidades

Resultado

Lista de potenciales vulnerabilidades por activo evaluado


Valoracin relativa
vulnerabilidad.

de

cada

activo

respecto

su

Las amenazas y vulnerabilidades que no pueden causar un


impacto son irrelevantes

DETERMINACION
DE
PROBABILIDAD

Determinacin de Probabilidad

Determinacin de los valores de la probabilidad por activoamenaza, considerar en la determinacin los controles
existentes.
PROBABILIDAD

DEFINICIONES

Insignificante

Improbable de ocurrir

Muy bajo

Posible de ocurrir dos/tres veces cada 5 aos

Bajo

Posible de ocurrir cada ao o menos

Medio

Posible de ocurrir cada 6 meses o menos

Alto

Posible de ocurrir una vez al mes o menos

Muy alto

Posible de ocurrir muchas veces en un mes


o menos

Extremo

Posible de ocurrir mltiples veces en un da

DETERMINACION
DE
PROBABILIDAD

Determinacin de Probabilidad

Resultado
Listado de activos valorados
respecto a su amenaza y
probabilidad de ocurrencia

ANALISIS DE
IMPACTO

Anlisis de Impacto

Participacin de los propietarios de la Informacin


Medicin efectuada en trminos financieros
Evaluacin en base a la prdida de las caractersticas de la
seguridad. (Disponibilidad, Integridad y Confidencialidad)
Menor: No afecta la operatividad del negocio
Significativo: Impacto o dao tangible, se requieren de gasto
de recursos para reparar.
Dao: Impacta a la imagen, prdidas de la confidencialidad, se
requiere un gasto significativo de recursos para repararlo

Serio: Impacta al negocio interrumpiendo parcial o total la


operatividad. Puede afectar el compromiso de
informacin o servicio.

ANALISIS DE
IMPACTO

Anlisis de Impacto

Ejemplos de impacto expresados en prdidas financieras:

Prdida directa de dinero (efectivo o crdito)

Responsabilidad penal o civil

Prdida de reputacin/buen nombre

Reduccin en el valor de las acciones

Poner en peligro al personal o a los clientes

Violaciones de la confidencialidad

Prdida de oportunidades de negocio

Reduccin en el desempeo/eficiencia operativos

Interrupcin de las actividades de negocio

ANALISIS DE
IMPACTO

Anlisis de Impacto

Resultado
Listado de la valoracin de los
activos.
Cuantificacin del impacto
financiero.

El Impacto es el elemento fundamental para la Gestin de


Riesgos

VALORACION
DEL
RIESGO

Valoracin del Riesgo

Magnitud del impacto


Determinacin de los riesgos debilidad / amenaza
Probabilidad de que explote una amenaza
Extremo: Requiere de accin inmediata
Alto: Requiere de la atencin de la Direccin

Moderado: Requiere la asignacin de responsabilidades a la


Gerencia
Bajo: Requiere la administracin de procedimientos de rutina

VALORACION
DEL
RIESGO

Valoracin del Riesgo

VR = V x P x I
- VR: Valor del Riesgo

- P: Probabilidad

- I : Impacto
- V: Vulnerabilidad

Cuando el VR es calculado utilizando el impacto en trminos

econmicos, el VR es la prdida econmica probabilstica.

Matrices de Riesgo

ACTIVOS
Base de Datos de
Cobranzas
Base de Datos de
Finanzas
Base de Datos de
Marketing

AMENAZA

PROBABILIDAD

Fraude
Muy Alta
Incumplimiento
legales
Alta
Fuga de
informacin
Medio

IMPACTO

RIESGO

Seria

Extremo

Significativa

Alto

Menor

Bajo

Matrices de Riesgo

Activo

Amenaza

Base de Datos
Finanzas
Fraude
Base de Datos
Marketing
Robo

Proceso

Vulnerabilidad Probabilidad Impacto Valor del Riesgo

Negociaciones

0,2

0,01

100000

200

Fidelizacion de Clientes

0,1

0,01

50000

50

Matrices de Riesgo

PROBABILIDAD

IMPACTO

ALTO
MEDIO
BAJO

BAJO

MEDIO

ALTO

PROBABILIDAD

Matrices de Riesgo

ALTA

MEDIA

BAJA

15
Zona de Riesgo Moderado

30
Zona de Riesgo Importante

60
Zona de Riesgo Inaceptable

10
Zona de Riesgo Tolerable

20
Zona de Riesgo Moderado

40
Zona de Riesgo Importante

5
Zona de Riesgo Aceptable
5
LEVE

10
Zona de Riesgo Tolerable
10
MODERADO

20
Zona de Riesgo Moderado
20
CATASTROFICO

IMPACTO

PROBABILIDAD

Matrices de Riesgo

Casi Cierto
5

5 - 20%

10 - 40%

15 - 60%

20 - 80%

25 - 100%

Probable
4

4 - 16%

8 - 32%

12 - 48%

16 - 64%

20 - 80%

Posible
3

3 - 12%

6 - 24%

9 - 36%

12 - 48%

15 - 60%

Improbable
2

2 - 8%

4 - 16%

6 - 24%

8 - 32%

10 - 40%

Raro
1

1 - 4%

2 - 8%

3 - 12%

4 - 16%

5 - 20%

Insignificante
1

Menor
2

Moderada
3

Mayor
4

Catastrfico
5

IMPACTO

Matrices de Riesgo

ZONA DE RIESGO
RIESGO EXTREMO
RIESGO ALTO
RIESGO MODERADO
RIESGO BAJO

Valor

Se requiere de acciones inmediatas

Entre 51% - 100%

Se requiere de acciones a corto plazo

Entre 31% - 50%

Se requiere de acciones a mediano plazo Entre 16% - 30%


Se requiere de acciones a largo plazo

Entre 1% - 15%

Otras frmulas de Anlisis de Riesgos

Conceptos
Factor de Exposicin (EF): Porcentaje de prdida o impacto
causada por una amenaza. Este valor es necesario para el clculo
del SLE
0% < EF < 100 %

Expectativa de prdida individual (SLE).- Es el valor monetario


perdido por la ocurrencia de evento.

SLE = Valor del activo ($) * EF

Frmulas de Anlisis de Riesgos

Conceptos (Cont)
Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el
cual un evento ocurre dentro del periodo de un ao.
El ARO es considerado como cantidad o probabilidad (segn el
anlisis)
Expectativa de Prdida Anualizada (ALE): Representa la prdida
anual producida por una amenaza individual.
ALE = SLE * ARO

Ejemplo
Amenaza Valor del Activo
Fuego
$ 1.0 M
Robo
$ 1.0 M

x
FE
x 0.5
x 0.00005

=
SLE
= $ 500,000
= $ 50

x
x
x

ARO
0.1
1000

=
ALE
= $ 50,000
= $ 50,000

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Evaluar los Riesgos

Evaluacin de Riesgos

Involucra comparar el nivel de riesgo detectado durante el proceso de


anlisis con criterios de riesgo establecido previamente.

El resultado de la evaluacin es una lista priorizada para una accin


superior y se considera para ello los objetivos del negocio y el grado de
oportunidad que podra resultar de tomar el riesgo.
Los riesgos resultantes que caen dentro de las categoras de riesgos
bajos y aceptables pueden ser aceptados con un tratamiento futuro
mnimo pero deben ser monitoreados y revisados peridicamente para
asegurar su aceptabilidad.
Los riesgos que no caen dentro de la categora de riesgos bajos o
aceptables debern ser tratados para controlarlos.

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Tratar los Riesgos

Tratar los Riesgo


Riesgo Evaluado y
Priorizado

SI

Aceptable

NO

Mitigar

Transferir

Evitar

Seleccin de Estrategia y Elaboracin


del Plan de Tratamiento de Riesgo

Ejecucin del Plan de Tratamiento


del Riesgo

NO

Riesgo
Aceptable?

SI

Aceptable

Monitorear y Revisar

Comunicar y Consultar

Riesgo
Aceptable?

CONTROLES

Polticas,
procedimientos,
prcticas
y
estructuras
organizacionales que estn diseados para brindar una confianza
razonable de que se alcanzarn los objetivos del negocio y que
se evitarn, detectarn y corregirn los incidentes
Controles
Administrativos
Polticas, estndares,
procedimientos,
guas, seleccin de
Personal,
Entrenamiento y
Educacin de Seguridad

Controles
Tcnicos
Controles de acceso
Lgico, Encriptacin,
Dispositivos de seguridad,
Identificacin y
Autenticacin

Controles
Fsicos
Proteccin de las
Facilidades, guardias
de seguridad, cerraduras,
Control ambiental,
Deteccin de Intrusos

Controles Fsicos
Controles Tcnicos
Controles Administrativos

Activos, Informacin
de la Organizacin

Los controles deben ser


seleccionados basados en
el
costo
de
implementacin, el costo
de riesgo reducido y la
prdida potencial si un
incidente de seguridad
ocurre

Los Controles pueden ser:

Disuasivos: Para reducir la probabilidad de las amenazas o


la susceptibilidad a estas a travs de una variedad de medios
para reducir el riesgo

Preventivos: Para reducir las vulnerabilidades y hacer que


un ataque no tenga xito o reducir el impacto que tendra.
Correctivos: Reduce el impacto
Deteccin: Identifica ataques o investigaciones que
conduzcan a un ataque o que desencadenen controles
preventivos

Tratar los riesgos

Involucra identificar la Estrategia acorde para tratar los


riesgos, evaluar las opciones dentro de ellas, elaborar los
planes para el tratamiento de los riesgos y ejecutarlos.
Identificacin de Estrategias para el tratamiento de los
riesgos

Evitar el riesgo
Mitigar los riesgos
Transferir los riesgos
Retener o Aceptar los riesgos

Tratar los riesgos

Evaluacin de opciones de tratamiento de los riesgos


Esta son evaluadas sobre la base del alcance de la reduccin del riesgo,
pueden considerarse y aplicarse una cantidad de opciones individual o
combinada.
Siempre se considera los costos y beneficios de implementar cada opcin.
Cuando el costo acumulado de implementacin de todos los tratamientos de
riesgos excede el presupuesto disponible, el plan debera identificar
claramente el orden de prioridad bajo el cual deberan implementarse.
Las opciones de tratamiento de los riesgos deberan considerar como es
percibido el riesgo por las partes afectadas y las formas mas apropiadas de
comunicrselo a dichas partes.
(Anexos A,B,C,D)

Tratar los riesgos

Elaborar Planes de Tratamiento del Riesgo


Estos van a documentar como deben ser implementadas las opciones
seleccionadas. Este plan identifica las responsabilidades, el programa, los
resultados esperados, el presupuesto, las medidas de desempeo y el proceso
de revisin a establecer.

Debe incluir los mecanismos para evaluar la implementacin de las opciones


contra criterios de desempeo, las responsabilidades individuales y otros
objetivos.
Ejecutar Planes de tratamiento del Riesgo
Este debe ser administrada por aquellas personas con mejor posibilidad de
controlar los riesgos.
El xito del Plan de tratamiento del riesgo requiere un sistema efectivo de
administracin que especifique los mtodos seleccionados, asigne
responsabilidades y compromisos.
Se deber decidir si se retiene o repite el proceso de tratamiento con los riesgos
residuales.

Seleccin de Controles
(Anexo A)

Seleccin segn nivel de riesgo evaluado y el orden de


importancia.
Anlisis costo/beneficio
Capacidad de implantar las medidas de mitigacin
Seleccin de controles mas efectivos y eficientes.
Participacin de las unidades afectadas

Controles para reducir la Probabilidad


(Anexo B)

Programas de auditoria y cumplimiento


Condiciones contractuales
Revisiones formales de requerimientos, especificaciones,
diseo, ingeniera y operaciones
Inspecciones y controles de procesos
A}dministracin de inversiones y carteras
Mantenimiento preventivo
Aseguramiento de calidad, administracin y estndares
Investigacin y desarrollo, desarrollo tecnolgico
Supervisin
Capacitacin estructurada y otros programas
Comprobaciones
Acuerdos organizacionales
Controles tcnicos

Controles para reducir el Impacto


(Anexo C)

Planeamiento de contingencia
Arreglos contractuales
Condiciones contractuales
Caractersticas de diseo
Planes de recuperacin de desastres
Planeamiento de control de fraudes
Minimizar la exposicin a fuentes de riesgo
Planeamiento de cartera
Poltica y control de precios
Separacin o reubicacin de una actividad y recursos
Relaciones pblicas
Otros.

Costo de Controles
(Anexo D)

Se debe considerar el TCO para el ciclo de vida total del


control o contramedidas:

Costos por adquisicin, si los hubiere


Costos por utilizacin e implementacin
Costos por mantenimiento y soporte
Costo de Licencias
Costos de prueba y evaluacin
Monitoreo y exigibilidad del cumplimiento
Inconvenientes para los usuarios
Costo por actualizaciones
Capacitacin sobre nuevos procedimientos
Capacitacin en tecnologas que sean aplicables
(TCO: Total Cost of Ownership)

Riesgo Residual

RIESGO
EVALUADO

CONTROLES

CONTROLES
IMPLEMENTADOS

APROBADOS
RIESGO RESIDUAL

Luego de la implementacin de los controles


queda un riesgo residual debido a que en la prctica no hay
retorno sin riesgo y los controles no lo eliminan totalmente
por diversos factores, entre ellos el equilibrio costo/beneficio.

Riesgo Aceptable

Para la aceptacin definitiva de los riesgos la organizacin


debe tener en cuenta:
La poltica organizacional

Sensibilidad y criticidad de los activos involucrados


Niveles aceptables de los posibles impactos
Rentabilidad de la implementacin

Matriz de Controles

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Monitorear y Revisar

Monitorear y Revisar

Es necesario monitorear los riesgos, la efectividad del plan de


tratamiento de los riesgos, las estrategias y el sistema de
administracin que se establece para controlar la implementacin.
Los riesgos y los controles implementados necesitan ser
monitoreados para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos.
La Revisin es esencial para asegurar que el plan de
administracin se mantiene relevante y vigente. Esta actividad es
una parte integral del plan de tratamiento de la administracin de
riesgos.

Comunicar y Consultar

Establecer
el
Contexto

Identificar
los
Riesgos

Analizar
los
Riesgos

Evaluar
los
Riesgos

Tratar
los
Riesgos

Monitorear y Revisar

Comunicar y Consultar

Comunicar y Consultar

Consideracin importante en cada paso del proceso de la gestin de


riesgos. Es importante desarrollar un plan de comunicacin con los
interesados internos y externos en la etapa mas temprana del proceso.
La comunicacin y consulta involucra un dilogo en ambas direcciones
entre los interesados.
Las percepciones de los riesgos pueden variar debido a diferencias en los
supuestos, conceptos, necesidades, aspectos y preocupaciones de los
interesados. Los interesados probablemente harn juicios de aceptabilidad
de los riesgos basados en su percepcin de los mismos.
Dado que los intereses pueden tener un impacto significativo en las
decisiones tomadas, es importante que sus percepciones de los riegos, as
como, sus percepciones de los beneficios, sean identificadas y
documentadas y las razones subyacentes para las mismas comprendidas
y tenida en cuenta.

Documentacin

Es necesario documentar cada etapa del proceso de gestin de riesgos y


deben incluir los supuestos, los mtodos, las fuentes de datos y los
resultados
Razones para la documentacin:
Demostrar que el proceso es conducido apropiadamente
Proveer evidencia de un enfoque sistemtico de identificacin y
anlisis de riesgos
Proveer un registro de los riesgos y desarrollar la base de datos de
conocimiento de la organizacin
Proveer a los tomadores de decisin relevantes, de un plan de
gestin de riesgos para aprobacin y subsiguiente implementacin
Facilitar el continuo monitoreo y revisin
Proveer una pista de auditoria
Compartir y comunicar informacin

Documentacin de la Gestin del Riesgo

Documentacin mnima necesaria para la gestin de la riesgo:

1.

Un registro de riesgo para cada riesgo identificado, contiene:


- Fuente y naturaleza del riesgo

- Controles existentes
2.

Consecuencia y probabilidad

- Prdida de ingresos, gastos inesperados


- Riesgo legal (de incumplimiento regulatorio y contractual)

- Procesos Interdependientes
- Clasificacin inicial del riesgo

3.

Plan de accin y Mitigacin de riesgos, que proporcione:


- Responsabilidad de implementar el plan

- Recursos que se van a utilizar y asignacin del presupuesto


- Frecuencia de cumplimiento

- Detalle de mecanismos/medidas de control

Documentacin de la Gestin del Riesgo

4.

Documentos de Auditoria y Monitoreo que


incluyan:
- Resultado de auditorias/revisiones y otros
procedimientos de monitoreo
- Seguimiento de las recomendaciones de la
revisin
y
el
estado
de
su
implementacin

Software para la Gestin de Riesgos