Scribd
Cargar
259 vistas16 páginas

Optimización y Gestión de Riesgos TI

Este documento presenta un flujograma de procedimiento para la optimización y gestión de riesgos en una empresa. El flujograma describe tres prácticas clave: 1) evaluar la gestión de riesgos, 2) orientar la gestión del riesgo, y 3) supervisar la gestión de riesgos. Para cada práctica se especifican las entradas, actividades, y salidas relacionadas con el proceso de gestión de riesgos de la empresa. El objetivo general es asegurar que el apetito y tolerancia al riesgo de la empresa se

Cargado por

Andres Flores
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como XLSX, PDF, TXT o lee en línea desde Scribd
259 vistas16 páginas

Optimización y Gestión de Riesgos TI

Este documento presenta un flujograma de procedimiento para la optimización y gestión de riesgos en una empresa. El flujograma describe tres prácticas clave: 1) evaluar la gestión de riesgos, 2) orientar la gestión del riesgo, y 3) supervisar la gestión de riesgos. Para cada práctica se especifican las entradas, actividades, y salidas relacionadas con el proceso de gestión de riesgos de la empresa. El objetivo general es asegurar que el apetito y tolerancia al riesgo de la empresa se

Cargado por

Andres Flores
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como XLSX, PDF, TXT o lee en línea desde Scribd

MATRIZ RACI EDM003

PRÀCTICA CLAVE DE GOBIERNO


EDM03.01 EVALUAR LA GESTION DE RIESGOS
EDM03,02 ORIENTAR LA GESTION DEL RIESGO
EDM03,03 SUPERVISAR LA GESTION DE RIESGOS
A
A
A

DIRECTORIO
A
A
A

DIRECTOR GENERAL
C
C
C

DIRECTOR COMERCIAL
C
C
C

DIRECTOR POSTVENTA
R
R
R

DIRECTOR DE NEGOCIOS
R
R
R

DIRECTOR FINANCIERO Y OPERACIONES


C
C
C

GERENTE DE CONTROL DE GESTIÒN


C
C
C

GERENTE DHO

GERENTE DE TI

GESTOR DE SERVICIO

GERENTE COMERCIAL
R A C I
R A C I
R A C I

GERENTE DE MERCADEO
I
I
I

SUBGERENTE DE CONTROL DE GESTIÒN


R
R
R

GERENTE FINANCIERO
GERENTE DESARROLLO DE NEGOCIOS

R I
I I
R I
SUBGERENTE COMERCIAL
FLUJOGRAMA DE PROCEDIMIENTO PARA OPTIMIZACION Y GESTION DE RIESGOS

FUENTE: ELABORACION PROPIA


ESGOS
ENTRADAS
PRACTICAS DE GOBIERNO DE DESCRIPCION
FACTORES PROBLEMAS DE
APO12,01 RIESGOS EMERGENTES
EDM03.01 EVALUAR LA GESTION DE RIESGOS

ACTIVIDADES
DETERMINAR EL NIVEL DE RIESGOS RELACIONADOS CONLAS TI QUE LA EMPRESA ESTA DISPUESTA A ASUMIR PARA
EVALUAR Y PORBAR PROPUESTAS DE UMBRALES DE TOL
EVALUAR PROACTIVAMENTE LOS FACTORES DE RIESGO TI DE
DETERMINAR EL GRADO DE ALINACION LAANTERIORIDAD
CON ESTRATEGIA DEARIESGOS DE TI CON
LAS DECISIONES LA ESTRATEGIA
ESTRATEGICAS DE DE
LA RIES
EM
DECISIONES DE LA EMPRESA SE TOMAN CONSCIENTES DE LOS RIESGOS
DETERMINAR SI EL USO DE TI ESTA SUJETO A UNA VALORACIONY EVALUACION DE RIESGOS ADECUADA SEGÚN LO DESC
INTERNACIONALES
EVALUAR LAS ACTIVIDADES DE GESTION DE RIESGOS PARA GARANTIZAR RELEVANTESCON LAS CAPACIDADES DE
SU ALINEAMIENTO
RELACIONADAS CON TI Y LA TOLERANCIA DE LOS LIDERES A LOS MISMO

ENTRADAS
PRACTICAS DE GOBIERNO DE DESCRIPCION

PERFIL DE RIESGO AGREGADO


INCLUYENDO EL ESTADO DE LAS
ACCIONES DE GESTION DEL
EDM03,02 ORIENTAR LA GESTION DEL RIESGO APO12,03 RIESGO

PROMOVER UNA CULTURA CONSCIENTE DE LOS RIESGOS TI E IMPULSAR A ACTIVIDADES


LA EMPRESA A UNA IDENTIFICACION PROACTI
IMPACTOS POTENCIALES EN EL NEGOCIO
ORIENTAR LA INTEGRACION DE LAS OPERACIONES Y LA ESTRATEGIA DE RIESGOS DE TI CON LAS DECISIONES Y OPERACIO
ORIENTAR LA IMPLANACION DE MECANISMOS ORIENTAR LA ELABORACION
APROPIADOS DE PLANES
PARA RESPONDER DE COMUNICACIÓN
RAPIDAMENTE DE RIESGOS
A LOS RIESGOS CAMBIANTE
DETERMINAR SI EL USO DE TI ESTA SUJETO A UNA VALORACIONY EVALUACION DE RIESGOS ADECUADA SEGÚNACORDAD
NIVELES ADECUADOS DE GESTION, SOPORTADOS PRINCIPIOS DE ESCALADO LO DESC
INTERNACIONALES RELEVANTES

ENTRADAS
PRACTICAS DE GOBIERNO DE DESCRIPCION

RESULTADOS DEL ANALISIS DE


APO12,02 RIESGOS

OPORTUNIDADES PARA LA
ACEPTACION DE UN MAYOR
APO12,04 RIESGO
EDM03,03 SUPERVISAR LA GESTION DE RIESGOS
EDM03,03 SUPERVISAR LA GESTION DE RIESGOS
RESULTADOS DE LAS
EVALUACIONES DE RIESGOS DE
TERCERAS PARTES

ANALISIS DE RIESGOS E
INFORMES DE PERFIL DE
RIESGOS PARA LAS PARTES
INTERESADAS
PROMOVER UNA CULTURA CONSCIENTE DE LOS RIESGOS TI E IMPULSAR A ACTIVIDADES
LA EMPRESA A UNA IDENTIFICACION PROACTI
IMPACTOS POTENCIALES EN EL NEGOCIO
ORIENTAR LA INTEGRACION DE LAS OPERACIONES Y LA ESTRATEGIA DE RIESGOS DE TI CON LAS DECISIONES Y OPERACIO
ORIENTAR LA IMPLANACION DE MECANISMOS ORIENTAR LA ELABORACION
APROPIADOS DE PLANES
PARA RESPONDER DE COMUNICACIÓN
RAPIDAMENTE DE RIESGOS
A LOS RIESGOS CAMBIANTE
DETERMINAR SI EL USO DE TI ESTA SUJETO A UNA VALORACIONY EVALUACION DE RIESGOS ADECUADA SEGÚNACORDAD
NIVELES ADECUADOS DE GESTION, SOPORTADOS PRINCIPIOS DE ESCALADO LO DESC
INTERNACIONALES RELEVANTES
SALIDAS
DE DESCRIPCION

GUIAS DE APETITO DE RIESGO APO12,03


NIVELES DE TOLERANCIA DE RIESGOS
APROBADOS APO12,03

SPUESTA A ASUMIR PARA CUMPLIR CON SUS OBJETIVOS


ALES DE TOL
N LA ESTRATEGIA
ESTRATEGICAS DE DE
LA RIESGOS
EMPRESAEMPRESARIALES
PENDIENTES Y ASEGRAR QUE LAS
ES DE LOS RIESGOS
ECUADA SEGÚN LO DESCRITO EN ESTANDARES NACIONALES E
ON LAS CAPACIDADES DE LA EMPRESA PARA LAS PERDIDAS
ERES A LOS MISMO

SALIDAS
DE DESCRIPCION

POLITICOS DE GESTION DE RIESGOS APO12,01

OBJETIVOS CLAVES A SER


MONITORIZADOS PORLA GESTION DE
RIESGOS APO12,01
DENTIFICACION PROACTIVA DE RIESGOS TI, OPORTUNIDADES E
CIO
DECISIONES Y OPERACIONES EMPRESARIALES ESTRATEGICAS
ACIÓN
OS DE RIESGOS
RIESGOS CAMBIANTES Y NOTIFICAR INMEDIATAMENTE A LOS
ECUADA SEGÚNACORDADOS.
DE ESCALADO LO DESCRITO EN ESTANDARES NACIONALES E

SALIDAS
DE DESCRIPCION

ACCIONES CORRECTIVAS PARA TRATAS


LAS DESVIACIONES EN LA GESTION DEL
RIESGO APO012,06
PROBLEMAS DE LA GESTION DE
RIESGOS PARA LA DIRECCION EDM05,01
DENTIFICACION PROACTIVA DE RIESGOS TI, OPORTUNIDADES E
CIO
DECISIONES Y OPERACIONES EMPRESARIALES ESTRATEGICAS
ACIÓN DE RIESGOS
OS RIESGOS CAMBIANTES Y NOTIFICAR INMEDIATAMENTE A LOS
ECUADA SEGÚNACORDADOS.
DE ESCALADO LO DESCRITO EN ESTANDARES NACIONALES E
EDM003 ASEGURAR LA OPTIMIZACION DEL RIESGO

DESCRIPCIÓN DEL PROCESO Asegurar que el apetito y la tolerencia del riesgo de la empresa son entendido
comunicados y que el riesgo para el valor de la empresa relacionado con el uso de los TI es identificado y

Declaración del propósito del proceso

El proceso apoya la consecución de un conjunto de principales componentes

MÈTRICAS
META TI
MÉTRICA FÓRMULA

04 riesgos de Actualizaciones de Sistema de


negocio Frecuencia de actualización de seguridad efectuadas en el año/
relacionados con las perfil del riesgo Número total de actualizaciones
TI gestionados planificadas por TI

10 seguridad de la
información, Frecuencia de evaluación de Evaluaciones de seguridad
infraestructura de seguridad frente a los últimos ejecutadas/ Evaluaciones de
procesamiento y estándares y guías seguridad planificadas
aplicaciones
Objetivos y métricas del proceso
MÈTRICAS
META TI
MÉTRICA FÓRMULA

[Link] umbrales de
riesgo son definidos
Número de incidentes no
y comunicados y los Numero de potenciales riesgos
identificados en el año / Número de
riesgos clave TI identificados y gestionados
total de incidentes reportados
relacionados con la
TI son conocidos.

2. La empresa
gestiona el riesgo
Porcentaje de planes de accion planes de accion implementados en
critico empresarial
de riesgo TI ejecutados en la empresa /Planes de accion
relacionado con el
tiempo planificadas para el año
TI eficaz y
eficientemente
3. Los riesgos
empresariales
relacionados con los
TI no exceden el
Evaluaciones de Capacidad
apetito de riesgo y el Frecuencia de revision y
efectuadas/ Evaluaciones de
impacto del riesgo actualizacion de las politicas
Capacidad planificadas en el año
TI en el valor de la
empresa es
dentificado y
gestionado.

RESULTADO DE LA CAPACIDAD DE PROCESO 23.6% CAPACIDAD DE PROC

CONCLUSIONES:Según informes de la Gerencia de TI se conoce que se han realizado 6 evaluaciones d


sus procesos de un total de 24 planificadas para el año lo cual representa un 24 % de lo planificada, y
nivel de riesgo Alto, por lo cual se debe considera realizar mas evaluaciones dentro de la emp
EL RIESGO

go de la empresa son entendidos,articulados y


uso de los TI es identificado y gestionado

eso

incipales componentes

APLICACIÓN TOTAL

3/12*100

25.00%

2/12*100

16.67%
o

APLICACIÓN TOTAL

9/50*100

18.00%

2/8*100

25.00%
4/12*100

33.33%
CAPACIDAD DE PROCESO

an realizado 6 evaluaciones de capacidad a


a un 24 % de lo planificada, y muestra un
aluaciones dentro de la empresa.
MATRIS DE EVALUACIÒN DE PROCESOS PAM

Atributo de
rendimiento (PA)

1.1
Rendimiento del PA. 2.1. Gestiòn
proceso del rendimiento
PROCESO
INCOMPLETO PROCESO EJECUTAPROCESO GESTIONADO
PROCESO DE COBIT 0 1 2

EDM003 ASEGURAR LA OPTIMIZACION DEL


RIESGO
23.60%
CONCLUSION: LUEGO DE REALIZAR EL ANALISIS DE LAS ACTIVIDADES Y METAS DEL PROCESO SE CONCLUYE QUE SU NIVEL D
RESULTADO DEL TRABAJO CON UN 2
IÒN DE PROCESOS PAM

PA 2.2 PA 5.2
gestiòn del PA 3.1 PA 3.2 PA4.1 PA 4.2 PA 5.1 Optimizaciò
resultado Definiciòn Despliegue Gestiòn de Control de Innovaciòn n de
del trabajo de procesos de procesos procesos procesos de procesos procesos

ESO GESTIONADO PROCESO ESTABLECIDO PROCESO PREDECIBLE PROCESO OPTIMIZADO


3 4 5

NCLUYE QUE SU NIVEL DE CAPACIDAD SE ENCUENTRE EN 2 ESPECIFICAMENTE EN EL PA2.2 GESTION DE


DEL TRABAJO CON UN 23,60 %
RESUMEN DE LOS PROCESO AUDITADOS EDM003
META TI
04 riesgos de negocio relacionados con las TI gestionados
10 seguridad de la información, infraestructura de procesamiento y aplicaciones
METAS DEL PROCESO
[Link] umbrales de riesgo son definidos y comunicados y los riesgos clave relacionados con la TI son
conocidos.

2. La empresa gestiona el riesgo critico empresarial relacionado con el TI eficaz y eficientemente

3. Los riesgos empresariales relacionados con los TI no exceden el apetito de riesgo y el impacto del
riesgo TI en el valor de la empresa es dentificado y gestionado.
RECOMENDACIONES PARA QUE EL PROCESO ALCANZE EL SIGUIENTE NIVEL DE CAPACIDAD
METAS DE TI / METAS DEL PROCESO

04 riesgos de negocio relacionados con las TI gestionados

10 seguridad de la información, infraestructura de procesamiento y aplicaciones


TOTAL

25.00%
16.67%

18.00%

25.00%

33.33%

ACTIVIDADES

Para la identificación de las respuestas de


los riesgos, se diseña un balance de
costos y beneficios sobre la gestióny
optimizaciónde dichos riesgosen la
organización. Para tal efecto, la Gerencia
Generaldebeproveerde las condiciones,
recursos y autoridad suficiente para
lograr la consecución de los planes de
mitigación de riesgospropuestos

Se deben evaluar todos los riesgos


identificados usando métodos
cualitativos y cuantitativos. La
Inteligencia de Riesgos se
debeacompañar de mapas de calor
específicos, que permitan conocer los
escenarios de materialización de
riesgos y consecuentemente las
prioridades para su mitigación

Las Áreas y Departamentos de la


organizacióndeben colaborar en el
diseño y ejecución de los planes de
acción para la correcta mitigación de
riesgos, lo cual debe abarcar las
siguientes estrategias según corresponda

También podría gustarte