COBIT 5 for Risk JAPI-SR V1.2 - Information Technology · Principio 2. Cubrir la empresa de extremo...
Transcript of COBIT 5 for Risk JAPI-SR V1.2 - Information Technology · Principio 2. Cubrir la empresa de extremo...
JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC
SALOMÓN RICO, CISA, CISM, CGEIT
Instructores:
Tema:
Un vistazo general deCOBIT 5 for Risk
Octubre 31, 2013
2
Familia de productos COBIT 5
JA
3
Objetivo de la Gobernanza: Creación de Valor
� La creación de valor significa la realización de beneficios con una optimización en el costo por el uso de recursos y una optimización en los riesgos a los que se está expuesto.
� Los beneficios pueden tomar muchas formas, por ejemplo: Financiero para empresascomerciales o servicios públicos para entidades de gobierno.
4
Objetivo de la Gobernanza: Creación de Valor
� Las empresas tienen muchos interesados, y “creación de valor” significa algo diferente, y algunas veces incluso crea conflictospara cada uno de estos interesados.
� La gobernanza busca negociar y decidir entre los diferentesinteresados los intereses del valor
� El componente de creación de valor relacionado con la optimización de riesgos muestra que: � La optimización de riesgos es una parte esencial de cualquier
sistema de gobierno� La optimización de riesgos no puede ser vista de manera
aislada; las acciones tomadas como parte de la administración de riesgos ejercerán influencia en la realización de beneficios y en la optimización de recursos.
5
Overview COBIT 5 for Risk
SR
6
Overview COBIT 5 for Risk (continuación)
RIESGOS Y ADMINISTRACIÓN DE RIESGOS (SEC. 1)
- Objetivo de la Gobernanza: La Creación de Valor (C1)
- Riesgo (C2)
- Alcance de COBIT 5 for Risk (C3)
- Aplicando los principios de COBIT 5 en la Gestión de Riesgos (C4)
8
Riesgo
� Riesgo generalmente se define como la combinación de la probabilidad de un evento y sus consecuencias (ISO guía 73). Las consecuencias son que los objetivos de la empresa no sean alcanzados.
� COBIT 5 para riesgos define el riesgo de TI como un riesgo de negocios, especificamente, el riesgo de negocios asociado con el uso, la propiedad, la operación, el involucramiento, la influencia y la adopción de TI dentro de unaempresa.
� El riesgo de TI consiste de eventos relacionados a TI que podríanpotencialmente impactar el negocio.
� El riesgo de TI puede ocurrir tanto con una frecuencia incierta como con un impacto y crea retos para el logro de las metas y objetivos estratégicos.
� El riesgo de TI siempre existe, asi sea que haya sido detectado o reconocido o no.
9
Riesgo
10
Riesgo
El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que sonconsistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negociorequieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar losobjetivos y metas de una empresa, y este riesgo debe ser administrado pero nonecesariamente evitado.
11
Riesgo
Cuando se hace referencia a Riesgo en COBIT 5 para riesgos, se trata del riesgo actual. El concepto de riesgo inherente rara vez se utiliza en COBIT 5 para riesgos. Teoricamente, COBIT 5 para riesgos se enfoca en el riesgo actual porque, en la práctica, es lo que se usa.
12
Alcance de COBIT 5 for Risk: Perspectivas
• Perspectivas de la Función de Riesgo
– Describe lo que se necesita en una empresa para construir y sostener actividades efectivas de gobierno y gestión de riesgos.
• Perspectiva de la Administración de Riesgo
– Describe como los procesos “core” de gestión de riesgos que son identificación, análisis, respuesta y respuesta de riesgos, pueden ser apoyadas con los habilitadores de COBIT 5
JA
13
Alcance de COBIT 5 for Risk: Perspectivas
• Perspectivas de Riesgo con COBIT 5
– Perspectiva de la Función de Riesgo
– Perspectiva de la Administración de Riesgo
• P
14
Alcance de COBIT 5 for Risk
• Se enfoca en aplicar los habilitadores de COBIT 5al riesgo.
• Provee una guía de alto nivel en como identificar,analizar y responder a los riesgos utilizandoprocesos de COBIT 5 y con el uso de escenariosde riesgo.
• Se alinea con los principales estándares y marcosde referencia en gestión de riesgos.
• Provee un enlace entre los escenarios de riesgo ylos habilitadores de COBIT 5 que puede ser usadopara mitigar el riesgo.
15
Alcance de COBIT 5 for Risk
16
Aplicando los principios de COBIT 5 en la Gestión de Riesgos
• COBIT 5 está basado en 5 principios:
17
Principio 1. Satisfacer las necesidades de los interesados
� Empresas existen para crear valor para sus interesados.
Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.
17
18
Principio 2. Cubrir la empresa de extremo a extremo:
� Esto significa que COBIT 5:
� Integra el gobierno empresarial de TI en el gobierno
corporativo..
�Cubre todas las funciones y procesos dentro de la
empresa; (COBIT 5 does not focus only on the ‘IT
function’).
19
Principio 2. Cubrir la empresa de extremo a extremo:
Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.
Se considera quienes están involucrados, que hacen y que relaciones tienen entre ellos.
19
20
Principio 3. Aplicar un solo marco integrado:
� COBIT 5 integra diversos productos de COBIT, como
Val IT y Risk IT.
� COBIT 5 se alinea con los estándares y marcos más
relevantes usados por las empresas:
�Empresariales: COSO, COSO ERM, ISO/IEC 9000,
�Relacionados con TI: ISO/IEC 38500, ITIL, serie
ISO/IEC 27000, TOGAF,
�Etc.
� Esto permite que la empresa use COBIT 5 como un
marco integrador de gobierno y administración de TI.
21
Principio 4. Habilitar un enfoque Holístico
Los habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente
influencian para que algo funcione. En el
caso de COBIT, este algo, son el gobierno y
la administración de TI empresarial.
• Se describen los habilitadores de COBIT 5 en
siete categorías.
22
Habilitadores de COBIT 5
1. Principios, Políticas y marcos
2. Procesos
3. Estructuras organizacionales
4. Cultura, Ética y Conducta
5. Información
6. Servicios, Infraestructura y Aplicaciones
7. Gente, Habilidades y Competencias
23
Principio 5. Separar Gobierno de Administración:
� Estas dos disciplinas:
� Incluyen diferentes tipos de actividades
�Requieren diferentes estructuras organizacionales
�Sirven para diferentes propósitos
� Gobierno— Responsabilidad de la Junta Directiva.
� Administración—Responsabilidad de la alta
administración, bajo el liderazgo del CEO.
24
Separar gobierno de administración
Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.
25
Modelo de Referencia de
Procesos de COBIT 5
26
Risk Function Perspective: Procesos soportando la función de riesgos
27
Procesos Centrales (“Core”) de Riesgos
• EDM03 Asegurar la Optimización de Riesgos
– Cubre la articulación y comunicación del apetito y la tolerancia al riesgo de la empresa
• APO12 Administrar Riesgos
– Cubre las actividades de identificación, evaluación y mitigación de riesgos
28
COBIT 5 for Risk aplica los principios de COBIT 5:
• Satisfacer las necesidades de los interesados.
– El propósito del gobierno y administración del riesgo es ayudar aasegurar que la empresa logre sus objetivos, y la optimización deriesgos es uno de los tres componentes de la creación de valor.
• Cubrir la empresa de extremo a extremo
– COBIT 5 for Risk cubre todos los habilitadores de gobierno y gestión ydescribe todas las fases de gobierno y gestión de riesgos.
• Aplicar un único marco integrado
– COBIT 5 for Risk se alinea con los principales marcos y estándares deadministración de riesgos
• Habilitar un enfoque holístico
– COBIT 5 for Risk identifica todos los elementos interconectados de loshabilitadores, requeridos para para proveer una adecuado gobierno ygestión de riesgo.
• Separar gobernanza de administración
– COBIT 5 distingue entre actividades de gobierno de riesgo y gestión deriesgo
PERSPECTIVA DE LA ADMINISTRACIÓN DE RIESGOS (SEC. 2B)
- Escenarios de Riesgo (C2)
- Escenarios de Riesgo Genéricos (C3)
SR
30
Escenarios de riesgo
31
Escenarios de riesgo
� Un escenario de riesgos es la descripción de un posible evento que, cuando ocurre, tendrá un impacto incierto en el logro de los objetivos de la empresa.
� El proceso “core” de administración de riesgos requiere que los riesgos sean identificadosy analizados.
� Los escenarios de riesgos pueden ser obtenidos por medio de dos diferentesmecanismos:� Un enfoque “top-down”, donde uno empieza desde los objetivos generales de la
empresa� Un enfoque “bottom-up” es donde se utiliza una lista de escenarios genericos de
riesgos
� Los enfoques son complementarios y deberían ser usados simultáneamente. De hecho, los escenarios de riesgos deben ser relevantes y ligados a los riesgos de negocio reales.
� Es importante considerar riesgos específicos para cada empresa y sus requerimientos de negocio críticos en los escenarios de riesgo definidos
32
Escenarios de riesgo - Workflow
1. Use la lista de escenarios de riesgos genericos de base
2. El negocio podría empezar considerando escenarios de ocurrencia común en suindustria o área de producto, escenarios que representan fuentes de amenaza queestán incrementando en el número o severidad, y escenarios que involucranrequerimientos legales y regulatorios
3. Otro enfoque podría ser identificar las unidades de negocio de alto riesgo y evaluaruno o dos procesos operativos de alto riesgo dentro de cada una de ellas, incluyendo los componentes de TI que habilitan dichos procesos.
4. Hay que desarrollar una validación contra los objetivos del negocio. ¿Los escenarios de riesgo seleccionados se refieren a impactos potenciales en el logro de los objetivos de la entidad?
5. Reducir el número de escenarios a un conjunto manejable. No hay un númeroespecífico, pero deberían estar en linea con la importancia general y la criticidad de la unidad.
33
Escenarios de riesgo – Factores de riesgo
34
Escenarios de riesgo – Estructura
35
Escenarios de riesgo – Aspectos principales
36
Escenarios de riesgo – Aspectos principales
37
Escenarios de riesgo genéricos
38
Escenarios de riesgo genéricos
39
Escenarios de riesgo genéricos
40
Tópico: Los 7 habilitadores de COBIT 5
Describir como puede cada uno de los habilitadores deCOBIT 5 contribuir a la gestión del riesgo
JA
41
Tópico: Las líneas de defensa contra el riesgo
• Discutir el rol de las tres líneas de defensa: