JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC SALOMÓN RICO, CISA, CISM, CGEIT

Transcripción

1 Tema: Un vistazo general de COBIT 5 for Risk Octubre 31, 2013 Instructores: JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC SALOMÓN RICO, CISA, CISM, CGEIT

2 Familia de productos COBIT 5 JA 2

3 Objetivo de la Gobernanza: Creación de Valor La creaciónde valor significa la realizaciónde beneficioscon unaoptimizaciónen el costoporel usode recursosy unaoptimizaciónen los riesgosa los quese estáexpuesto. Los beneficios pueden tomar muchas formas, por ejemplo: Financiero para empresas comercialeso serviciospúblicos paraentidades de gobierno. 3

4 Objetivo de la Gobernanza: Creación de Valor Las empresastienenmuchosinteresados, y creaciónde valor significa algo diferente, y algunas veces incluso crea conflictos paracadaunode estosinteresados. La gobernanza busca negociar y decidir entre los diferentes interesados los intereses del valor El componentede creaciónde valor relacionadocon la optimizaciónde riesgosmuestraque: La optimización de riesgos es una parte esencial de cualquier sistema de gobierno La optimizaciónde riesgosno puedeservista de manera aislada; lasaccionestomadascomoparte de la administraciónde riesgosejerceráninfluenciaen la realización de beneficios y en la optimización de recursos. 4

5 Overview COBIT 5 for Risk SR 5

6 Overview COBIT 5 for Risk (continuación) 6

7 RIESGOS Y ADMINISTRACIÓN DE RIESGOS (SEC. 1) -Objetivo de la Gobernanza: La Creación de Valor (C1) - Riesgo (C2) -Alcance de COBIT 5 for Risk (C3) -Aplicando los principios de COBIT 5 en la Gestión de Riesgos (C4)

8 Riesgo Riesgo generalmente se define comola combinaciónde la probabilidadde un evento y susconsecuencias (ISO guía73). Las consecuencias son quelos objetivosde la empresa no seanalcanzados. COBIT 5 parariesgos define el riesgo de TI comoun riesgo de negocios, especificamente, el riesgo de negociosasociadocon el uso, la propiedad, la operación, el involucramiento, la influencia y la adopción de TI dentro de una empresa. El riesgo de TI consiste de eventosrelacionadosa TI quepodrían potencialmenteimpactar el negocio. El riesgo de TI puedeocurrirtantocon unafrecuencia incierta comocon un impacto y crea retos para el logro de las metas y objetivos estratégicos. El riesgo de TI siempre existe, asisea quehayasidodetectadoo reconocidoo no. 8

9 Riesgo 9

10 Riesgo El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que son consistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negocio requieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar los objetivos y metas de una empresa, y este riesgo debe ser administrado pero no necesariamente evitado. 10

11 Riesgo Cuandose hacereferencia a Riesgo en COBIT 5 parariesgos, se tratadel riesgoactual. El conceptode riesgo inherente raravezse utilizaen COBIT 5 parariesgos. Teoricamente, COBIT 5 parariesgosse enfocaen el riesgoactual porque, en la práctica, eslo quese usa. 11

12 Alcance de COBIT 5 for Risk: Perspectivas Perspectivas de la Función de Riesgo Describe lo que se necesita en una empresa para construir y sostener actividades efectivas de gobierno y gestión de riesgos. Perspectiva de la Administración de Riesgo Describe como los procesos core de gestión de riesgos que son identificación, análisis, respuesta y respuesta de riesgos, pueden ser apoyadas con los habilitadores de COBIT 5 JA 12

13 Alcance de COBIT 5 for Risk: Perspectivas Perspectivas de Riesgo con COBIT 5 P Perspectiva de la Función de Riesgo Perspectiva de la Administración de Riesgo 13

14 Alcance de COBIT 5 for Risk Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo. Provee una guía de alto nivel en como identificar, analizar y responder a los riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo. Se alinea con los principales estándares y marcos de referencia en gestión de riesgos. Provee un enlace entre los escenarios de riesgo y loshabilitadoresdecobit5quepuedeserusado para mitigar el riesgo. 14

15 Alcance de COBIT 5 for Risk 15

16 Aplicando los principios de COBIT 5 en la Gestión de Riesgos COBIT 5 está basado en 5 principios: 16

17 Principio 1. Satisfacer las necesidades de los interesados Empresas existen para crear valor para sus interesados. Source: COBIT 5, figure ISACA All rights reserved

18 Principio 2. Cubrir la empresa de extremo a extremo: Esto significa que COBIT 5: Integra el gobierno empresarial de TI en el gobierno corporativo.. Cubre todas las funciones y procesos dentro de la empresa; (COBIT 5 does not focus only on the IT function ). 18

19 Principio 2. Cubrir la empresa de extremo a extremo: Source: COBIT 5, figure ISACA All rights reserved. Se considera quienes están involucrados, que hacen y que relaciones tienen entre ellos

20 Principio 3. Aplicar un solo marco integrado: COBIT 5 integra diversos productos de COBIT, como Val IT y Risk IT. COBIT 5 se alinea con los estándares y marcos más relevantes usados por las empresas: Empresariales: COSO, COSO ERM, ISO/IEC 9000, Relacionados con TI: ISO/IEC 38500, ITIL, serie ISO/IEC 27000, TOGAF, Etc. Esto permite que la empresa use COBIT 5 como un marco integrador de gobierno y administración de TI. 20

21 Principio 4. Habilitar un enfoque Holístico Los habilitadores de COBIT 5 son: Factores que, individual y colectivamente influencian para que algo funcione. En el caso de COBIT, este algo, son el gobierno y la administración de TI empresarial. Se describen los habilitadores de COBIT 5 en siete categorías. 21

22 Habilitadores de COBIT 5 1. Principios, Políticas y marcos 2. Procesos 3. Estructuras organizacionales 4. Cultura, Ética y Conducta 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Gente, Habilidades y Competencias 22

23 Principio 5. Separar Gobierno de Administración: Estas dos disciplinas: Incluyen diferentes tipos de actividades Requieren diferentes estructuras organizacionales Sirven para diferentes propósitos Gobierno Responsabilidad de la Junta Directiva. Administración Responsabilidad de la alta administración, bajo el liderazgo del CEO. 23

24 Separar gobierno de administración Source: COBIT 5, figure ISACA All rights reserved. 24

25 Modelo de Referencia de Procesos de COBIT 5 25

26 Risk FunctionPerspective: Procesos soportando la función de riesgos 26

27 Procesos Centrales ( Core ) de Riesgos EDM03 Asegurar la Optimización de Riesgos Cubre la articulación y comunicación del apetito y la tolerancia al riesgo de la empresa APO12 Administrar Riesgos Cubre las actividades de identificación, evaluación y mitigación de riesgos 27

28 COBIT 5 for Risk aplica los principios de COBIT 5: Satisfacer las necesidades de los interesados. El propósito del gobierno y administración del riesgo es ayudar a asegurar que la empresa logre sus objetivos, y la optimización de riesgosesunodelostrescomponentes delacreacióndevalor. Cubrir la empresa de extremo a extremo COBIT 5 for Risk cubre todos los habilitadores de gobierno y gestión y describe todas las fases de gobierno y gestión de riesgos. Aplicar un único marco integrado COBIT 5 for Risk se alinea con los principales marcos y estándares de administración de riesgos Habilitar un enfoque holístico COBIT 5 for Risk identifica todos los elementos interconectados de los habilitadores, requeridos para para proveer una adecuado gobierno y gestión de riesgo. Separar gobernanza de administración COBIT 5 distingue entre actividades de gobierno de riesgo y gestión de riesgo 28

29 PERSPECTIVA DE LA ADMINISTRACIÓN DE RIESGOS (SEC. 2B) - Escenarios de Riesgo (C2) - Escenarios de Riesgo Genéricos (C3) SR

30 Escenarios de riesgo 30

31 Escenarios de riesgo Un escenariode riesgosesla descripción de un posibleevento que, cuando ocurre, tendráun impactoincierto en el logrode los objetivosde la empresa. El proceso core de administración de riesgos requiere que los riesgos sean identificados y analizados. Los escenarios de riesgos pueden ser obtenidos por medio de dos diferentes mecanismos: Un enfoque top-down, dondeunoempiezadesde los objetivosgenerales de la empresa Un enfoque bottom-up esdondese utilizaunalistade escenariosgenericos de riesgos Los enfoquesson complementariosy deberían serusadossimultáneamente. De hecho, los escenariosde riesgosdeben serrelevantesy ligadosa los riesgosde negocio reales. Esimportanteconsiderarriesgosespecíficosparacadaempresa y susrequerimientos de negocio críticos en los escenarios de riesgo definidos 31

32 Escenarios de riesgo - Workflow 1. Use la listade escenariosde riesgosgenericos de base 2. El negocio podría empezar considerando escenarios de ocurrencia común en su industria o área de producto, escenarios que representan fuentes de amenaza que están incrementando en el número o severidad, y escenarios que involucran requerimientos legales y regulatorios 3. Otro enfoque podría ser identificar las unidades de negocio de alto riesgo y evaluar unoo dos procesosoperativosde alto riesgodentro de cadaunade ellas, incluyendo los componentes de TI quehabilitan dichosprocesos. 4. Hay quedesarrollarunavalidacióncontra los objetivosdel negocio. Los escenariosde riesgoseleccionadosse refieren a impactospotencialesen el logrode los objetivos de la entidad? 5. Reducirel númerode escenariosa un conjuntomanejable. No hay un número específico, perodeberían estaren linea con la importanciageneral y la criticidadde la unidad. 32

33 Escenarios de riesgo Factores de riesgo 33

34 Escenarios de riesgo Estructura 34

35 Escenarios de riesgo Aspectos principales 35

36 Escenarios de riesgo Aspectos principales 36

37 Escenarios de riesgo genéricos 37

38 Escenarios de riesgo genéricos 38

39 Escenarios de riesgo genéricos 39

40 Tópico: Los 7 habilitadores de COBIT 5 Describir como puede cada uno de los habilitadores de COBIT5contribuiralagestióndelriesgo JA 40

41 Tópico: Las líneas de defensa contra el riesgo Discutir el rol de las tres líneas de defensa: 41

42 Gracias! Instructores: JOSÉ ÁNGEL PEÑA IBARRA SALOMÓN RICO 42