Congreso Académico ITGSM12 para la Era Digital

de profesionalesy empresas

Creando la nueva generación

Imagen: Microsoft 2020

Gestión de riesgos: Enfoque de proyectos Vs.

Enfoque de servicios

Alfonso Pérez Rodríguez – Soluciones Tecno-Profesionales (STP.es)

Congreso Académico ITGSM12

Speaker Bio & Company Information

MBA, ITIL® Expert, PMP, ISO 20000, ISO 27002 Computer Engineer (USB, Venezuela) ITSM, IT standards & regulation consultant ITIL®, ISO 20000, ISO 27002 & PM Trainer Project Manager in Software Engineering field ISO 20000, ISO 27002, ISO 9001 auditor

Soluciones Tecno-Profesionales EXIN Accredited Examination and Training Center STP Consulting is the division of consulting, auditing and

training in areas such as ITSM, Project Management, information security, standards and regulations applied to the IT area

Congreso Académico ITGSM12

Contenido

¿Por qué es importante la gestión de riesgos? Enfoques para la gestión de riesgos Arquitectura de procesos Proceso de gestión de riesgosMeta-proceso de implantación y mejora continua Conclusiones Preguntas frecuentesMarcos de referencia

Esta presentación está basada en el trabajo titulado:Gestión de riesgos: Enfoque de proyectos Vs Enfoque de serviciosAlfonso Pérez Rodríguez – Soluciones Tecno Profesionales (STP)

Congreso Académico ITGSM12

¿Por qué es importante la gestión de riesgos?

Algunas interroganteso ¿Cómo afrontamos la incertidumbre y aprendemos de ella?o ¿Cómo evitamos cometer dos veces o más los mismos errores?o ¿Cómo podemos predecir el desempeño?

Marcos de trabajo de gestión de riesgos

Etapas para implantar la gestión de riesgoso Proceso de gestión de riesgoso Meta-proceso de implementación y mejora contínua

Framework: una estructura real o conceptual que pretende servir como soporte o guía para la construcción de algo que desarrolla esta estructura en algo útil www.whatis.com

Congreso Académico ITGSM12

Enfoque de riesgos en proyectos

Riesgos negativos (amenazas) vs Riesgos positivos (oportunidades)

El rol del Gestor de Proyecto respecto a los riesgos ¿Desaparecen los riesgos en un proyecto? ¿Cómo impactan los riesgos de proyecto a una

organización?

Impacto de las variables en función del tiempo en el proyecto. PMBoK®

Riesgo: un evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto

Definición extraída del PMBoK

Congreso Académico ITGSM12

Enfoque de riesgos de servicios

Riesgos causados por amenazas que explotan vulnerabilidades de activos

Objetivo de los riesgos en SLAs Naturaleza repetitiva ¿Cuánto tiempo dispones para responder a riesgos antes

que el cliente/usuario perciba su afectación?

Ventanilla fuera de servicio con un operador

Percepción de la calidad del servicio

¿Cuál es el impacto de riesgos en servicios?

Congreso Académico ITGSM12

Enfoque de gestión de riesgos en Gobierno de TI

Gestión de riesgos forma parte de la creación de valor

Reúne el enfoque de proyectos y servicios (tipos de contexto)

Gestión integrada e riesgos y oportunidades

Governance & Management in COBIT 5Riesgo y oportunidades (extraído de Risk IT)

Cubo de COSO ERM

Congreso Académico ITGSM12

Propuesta enfoque para la implantación de gestión de riesgos

Meta-proceso de implantación y mejora

Congreso Académico ITGSM12

Proceso de gestión de riesgos

Contexto

Congreso Académico ITGSM12

Entradas y salidas en el proceso de gestión de riesgos

Planificación de la gestión

Identificación

Evaluación

Planificación del tratamiento

Monitorización y revisión

Registro de riesgos

Contexto

Categoríasde riesgos

Reporte de riesgos

Oportunidades de mejora

Ajustes de procesos

Apetito de riesgos

Límites de reserva de R.

Presupuesto de gestión y tratamiento

Planes de tratamiento

Congreso Académico ITGSM12

Criterios de aceptación de Proy.

Matrices de responsabilidades

Políticas de gestión de riesgos

Entradas y salidas en el meta-proceso de implantación y mejora

Mandato y compromiso de

la dirección

Diseño del marco para la gestión

de riesgos

Categoríasde riesgos

CharterPlan de proyecto de

implantación

Propuestas de cambio

Implementación del proceso de

gestión de riesgos

Artefactos y componentes

Monitorización del proceso de

gestión de riesgos

Mejora continua del meta-proceso

Oportunidades de mejoras/cambios

Cuadro de indicadores

Congreso Académico ITGSM12

Conclusiones

Es importante tener una visión general de la gestión de riesgos aunque se implemente una reducida

Es fundamental tener un enfoque tanto para el día a día (el proceso de gestión) como para la forma de implementar y mejorar

Es importante tomar guía de los marcos de trabajo afines al contexto para lograr una visión más amplia.

El proceso de gestión de riesgos es bastante maduro, sin embargo, aun no hay un consenso en el meta-proceso.

Automatizar los procesos de identificación, evaluación y definición de medidas de respuesta es un CSF

Es clave identificar y delimitar tipos de contextos y los riesgos asociados

Requiere de trabajo en grupo para promover la experiencia

Congreso Académico ITGSM12

Preguntas clave

¿Cómo evitar que la iniciativa la gestión de riesgos se convierta en mero papeleo?

¿Qué papel debería jugar la PMO/SMO en esto? ¿Cuánto tiempo me tomará implantar bien el proceso? ¿Si formo parte de una organización de consultoría, que

aspecto me haría más competitivo? ¿Qué factores favorecen la capitalización de los beneficios

de la estandarización? ¿Por qué un ciclo de vida de los riesgos? ¿Cuándo se debería parar la identificación de riesgos? ¿Qué relación tiene la gestión de riesgos con la ética?

Nota: Estas preguntas se encuentran respondidas en el paper

Congreso Académico ITGSM12

Marcos de trabajo incluidos en el desarrollo de la propuesta

CMMI-Dev ® v1.3 SEI/CMU (2010) COBIT ® 5 ISACA (2012) COSO ERM PD ISO/IEC Guide 73:2002 Risk management vocabulary ISO/IEC 27001:2008 Information security management systems ISO/IEC 27005:2008 Information security risk management ISO/DIS 31000:2009. Risk management principles & guidelines ISO/IEC 38500: 2008 Corporate governance of IT ITIL® Information Technology Infrastructure Library (2011) M_o_R The orange book. Management of Risk (2004) NIST 800-30 Risk Management Guide for IT Systems (2002) OCTAVE ® Operationally Critical Threat, Asset, and Vulnerability

EvaluationSM. SEI/CMU (2001) PMBoK ® Project Management Body of Knowledge. PMI. 2008. Risk IT. ISACA (2009)

Congreso Académico ITGSM12

Copyright y derechos reservados

ITIL® es una marca registrada del Cabinet Office, UK PMBoK® OPM3® es una marca registrada del Project Management

Institute (PMI), USA OCTAVE® y CMMI® son marcas registradas del Software Engineering

Institute (SEI) de la Carnegie Mellon University (CMU), USA COBITRM RiskITRM es una marca registrada del Information Systems

Auditability and Control Association (ISACA) Mangement of Risk – M_o_R® y P3M3® es una marca registrada del

Organization of Goverment Commerce (OGC), UK MAGERIT® es una marca registrada de Ministerio de

Administraciones Públicas, España

Congreso Académico ITGSM12

Contact details:

Alfonso Perez Rodriguezaperez@stpconsulting.eshttp://www.linkedin.com/in/alfonsoperezr

¡ Muchas gracias !

16Congreso Académico ITGSM12

www.stp.es