ppt riesgos.pdf

Gestin de Riesgos

Que debo proteger y de que me debo de proteger?

Esto es un riesgo o es una amenaza?

Como nos preparamos para eventos no deseados?

Como minimizamos el impacto si el evento se

materializa?

Cual es el nivel de riego que estamos dispuestos a

aceptar ?

A que aplicamos los controles? A la vulnerabilidad, a

la amenaza, a ambos.

Marcos de Referencia

ISO/DIS 31000

IEC/DIS 31010

BS 31100

ISO/IEC 27005

ITGI- Risk IT Framework

Basilea II

Octave

NIST SP 800-30

AS/NZ 4360

Magerit

BS 7799-3

Microsoft SRMG

CRAM

M_o_R

Gestin del Riesgo

El Riesgo es la probabilidad de que un incidente o transaccin ocasione

prdidas financieras o daos patrimoniales a la organizacin, su personal,

sus activos o su reputacin en general obstaculizando el logro de los

objetivos estratgicos, operativos y financieros de la organizacin.

Aplicacin sistemtica de controles

Administrativos

Tcnicos

Fsicos

que permita minimizar el riesgo a un nivel aceptable.

La Gestin del Riesgo es una funcin fundamental y vital de la

Seguridad de Informacin

El Riesgo es una caracterstica de

la vida del negocio y debido a que

resulta imprctico y poco

econmico eliminar los riesgos,

cada organizacin tiene un nivel

de Riesgo Aceptable

Para la aceptacin definitiva de los riesgos la organizacin

debe tener en cuenta:

La poltica organizacional

Sensibilidad y criticidad de los activos involucrados

Niveles aceptables de los posibles impactos

Rentabilidad de la implementacin

Apetito del riesgo

Riesgo Aceptable

Trminos Comunes

Amenaza

Vulnerabilidad

Impacto

Apetito del Riesgo

Control

Respuesta al Riesgo

Probabilidad

Riesgo Inherente

Riesgo Residual

Valuacin

Clasificacin de Activos

Informacin Crtica

Informacin Sensible

Categoras de Riesgos Operativos

Riesgo ambiental operativo y de instalaciones

Riesgo de salud y seguridad

Riesgo de seguridad de informacin

Riesgo de marco de control

Riesgo legal y de incumplimiento regulatorio

Riesgo de gobierno corporativo

Riesgo reputacional o imagen

Riesgo estratgico

Riesgo de procesamiento y desempeo

Categoras de Riesgos Operativos

Riesgo Tecnolgico

Riesgo de administracin de proyectos

Riesgo de actos ilcitos o delictivos

Riesgo de recursos humanos

Riesgo de proveedores

Riesgo de informacin gerencial

Riesgo de tica

Riesgo Geopoltico

Riesgo Cultural

Riesgo Climtico

Metodologas de Evaluacin del Riesgo

Mtodo Cuantitativo (Objetivo): Basado en el impacto material,

monetario e inmediato.

Mtodo Cualitativo (Subjetivo): Basado en el criterio y

raciocinio humano capaz de definir un proceso de trabajo

para evaluar los riesgos en base a la experiencia del

proceso del negocio.

Mtodo Cuantitativo = Costo Monetario del Riesgo

Ventajas de los Mtodos de Evaluacin del Riesgo

Cuantitativo/Objetivo

Enfoca el anlisis mediante el uso de nmeros

Facilita la comparacin de vulnerabilidades muy distintas

Proporciona una cifra justificante para cada control.

Enfoca lo amplio que se desee

Plan de trabajo flexible y reactivo

Se concentra en la identificacin de eventos

Incluye valores intangibles

Cualitativo/Subjetivo

Clculos complejos

Estimacin de las prdidas slo si son valores justificables.

Difciles de mantener o modificar

La evaluacin es un proceso subjetivo

Depende fuertemente de la habilidad y calidad del personal

involucrado.

Puede existir riesgos significantes desconocidos.

Cuantitativo/Objetivo

Cualitativo/Subjetivo

Desventajas de los Mtodos de

Evaluacin del Riesgo

Proceso de Gestin del Riesgo

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

ESTABLECER EL

CONTEXTO

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Establecer el contexto

Esto se desarrolla dentro de la estructura del contexto estratgico,

organizacional y de administracin de riesgos de una organizacin.

El contexto Estratgico: Relacin entre la organizacin y su entorno,

identificando el FODA de la empresa, incluye aspectos financieros, operativos,

polticos, sociales, culturales y legales.

Debera existir una relacin cercana entre la misin u objetivos estratgicos de la

organizacin y la gestin de los riesgos a los cuales esta expuesta

El contexto Organizacional: Es necesario comprender la organizacin y sus

capacidades, as como sus metas y objetivos, y las estrategias a lograr.

El Contexto de la Administracin de Riesgos: Establecer la meta, objetivos,

estrategias, alcance, y parmetros de la actividad o parte de la organizacin a la

cual se esta aplicando el proceso de gestin de riesgos.

Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las

decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,

estos pueden basarse en criterios operativos, tcnicos, financieros, legales,

sociales, etc.

Definir la Estructura: Separar la actividad o proyecto en un conjunto de

elementos, estos proveen una estructura lgica para identificacin y anlisis

lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.

Esta estructura va depender de la naturaleza del riesgo y del alcance del

proyecto o actividad.

Establecer el contexto

Identificar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Identificacin de riesgos

Representa una etapa crtica la Identificacin por lo tanto se necesita de un

proceso sistemtico bien estructurado, porque los riesgos potenciales que no se

identifiquen en esta etapa son excluidos de un anlisis posterior.

Qu puede suceder?

Desarrollar una lista amplia de eventos que podran afectar a cada elemento de

la estructura definida.

Como puede suceder?

Se considera causas y escenarios posibles

Herramientas y Tcnicas: Incluyen checklists, juicios expertos, registros,

diagrama de flujo, anlisis de sistemas, de escenarios, tormentas de ideas, etc.

Analizar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Anlisis de riesgos

El anlisis de riesgo involucra prestar consideracin a las fuentes de riesgos, sus

amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo

combinando estimaciones de consecuencias, amenazas y probabilidades en el

contexto de las medidas de control existente.

Determinar los controles existentes: Identificar la administracin, sistemas

tcnicos y procedimientos existentes para controlar los riesgos y evaluar sus

fortalezas y debilidades.

Consecuencias y Probabilidades: La magnitud de las consecuencias de un

evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,

se evalan en el contexto de los controles existentes.

Las consecuencias y probabilidades se combinan para entregar un nivel de

riesgo.

DETERMINACION

DEL

ENTORNO

ACTUAL

IDENTIFICACION

DE

AMENAZAS

IDENTIFICACION

DE

VULNERABILIDAD

DETERMINACION

DE

PROBABILIDAD

ANALISIS DE

IMPACTO

VALORACION

DEL

RIESGO

Anlisis de Riesgos

Determinacin del Entorno Actual

Identificacin de los Procesos crticos y sensibles de la empresa

Identificacin de los activos de la Informacin y de Tecnologa

de la informacin (Hardware, Software, Aplicaciones, etc.).

Identificacin del Personal usuario y tcnico

Identificacin de procedimientos polticas y controles existentes

Clasificacin de los activos.

DETERMINACION

DEL

ENTORNO

ACTUAL

Determinacin del Entorno Actual

Tcnicas de Extraccin de Informacin

Cuestionarios/Plantillas: Preguntas para recolectar informacin

Entrevistas: Personal responsable

Revisin de documentos

DETERMINACION

DEL

ENTORNO

ACTUAL

Identificacin de Amenazas

Fuentes de amenazas comunes:

Naturales

Humanas

Ambientales

Identificar las fuentes de amenazas

Evaluaciones e informes anteriores

Revisin de bases de datos de fuentes de agencias

especializadas.

Identificar las amenazas accidentales e intencionales

Motivacin: Componente potencial de la amenaza

humana, esto hace del personal descontento, ex

empleados, clientes insatisfechos, etc.

IDENTIFICACION

DE

AMENAZAS

IDENTIFICACION

DE

AMENAZAS Identificacin de Amenazas

Tipos comunes de amenazas:

Errores

Accidentes

Dao/Ataque malicioso

Incidentes/Fenmenos naturales

Fraude

Robo

Falla en quipo/Software

Prdida de servicios

Fuga de informacin

Sabotaje

Terrorismo

Identificacin de Amenazas

Relacin de Amenazas potenciales

por cada recurso particular,

indicando su naturaleza,

caractersticas, etc.

IDENTIFICACION

DE

AMENAZAS

Resultado

Identificacin de Vulnerabilidades

Revisin de Informes de auditoria

Resultados de pruebas de seguridad

Inspecciones fsicas

Revisin de informacin y boletines que

envan los fabricantes de HW y SW de

tecnologa

IDENTIFICACION

DE

VULNERABILIDAD

Tcnicas de Extraccin

Herramientas de Escaneo de Vulnerabilidades

automatizadas

Ethical Hacking

Test de control de calidad (scripts, checklist,

procedimientos, etc)

IDENTIFICACION

DE

VULNERABILIDAD Identificacin de Vulnerabilidades

Tipos comunes de vulnerabilidades:

Software defectuoso

Equipo configurado en forma inapropiada

Cumplimiento forzoso inadecuado

Diseo deficiente de redes

Procesos defectuosos o incontrolados

Administracin inadecuada

Personal insuficiente

Falta de conocimiento

Falta de mantenimiento

Tecnologa no probada

Falta de redundancia

Transmisiones de comunicaciones no protegidas

Comunicaciones gerenciales deficientes

IDENTIFICACION

DE

VULNERABILIDAD Identificacin de Vulnerabilidades

IDENTIFICACION

DE

VULNERABILIDAD

Lista de potenciales vulnerabilidades por activo evaluado

Valoracin relativa de cada activo respecto a su

vulnerabilidad.

Resultado

Las amenazas y vulnerabilidades que no pueden causar un

impacto son irrelevantes

Identificacin de Vulnerabilidades

Determinacin de Probabilidad

Determinacin de los valores de la probabilidad por activo-

amenaza, considerar en la determinacin los controles

existentes.

DETERMINACION

DE

PROBABILIDAD

PROBABILIDAD DEFINICIONES

Insignificante Improbable de ocurrir

Muy bajo Posible de ocurrir dos/tres veces cada 5 aos

Bajo Posible de ocurrir cada ao o menos

Medio Posible de ocurrir cada 6 meses o menos

Alto Posible de ocurrir una vez al mes o menos

Muy alto Posible de ocurrir muchas veces en un mes

o menos

Extremo Posible de ocurrir mltiples veces en un da

DETERMINACION

DE

PROBABILIDAD

Listado de activos valorados

respecto a su amenaza y

probabilidad de ocurrencia

Resultado

Determinacin de Probabilidad

Anlisis de Impacto

Participacin de los propietarios de la Informacin

Medicin efectuada en trminos financieros

Evaluacin en base a la prdida de las caractersticas de la

seguridad. (Disponibilidad, Integridad y Confidencialidad)

ANALISIS DE

IMPACTO

Menor: No afecta la operatividad del negocio

Significativo: Impacto o dao tangible, se requieren de gasto

de recursos para reparar.

Dao: Impacta a la imagen, prdidas de la confidencialidad, se

requiere un gasto significativo de recursos para repararlo

Serio: Impacta al negocio interrumpiendo parcial o total la

operatividad. Puede afectar el compromiso de

informacin o servicio.

Ejemplos de impacto expresados en prdidas financieras:

Prdida directa de dinero (efectivo o crdito)

Responsabilidad penal o civil

Prdida de reputacin/buen nombre

Reduccin en el valor de las acciones

Poner en peligro al personal o a los clientes

Violaciones de la confidencialidad

Prdida de oportunidades de negocio

Reduccin en el desempeo/eficiencia operativos

Interrupcin de las actividades de negocio

ANALISIS DE

IMPACTO

Anlisis de Impacto

Listado de la valoracin de los

activos.

Cuantificacin del impacto

financiero.

Resultado

ANALISIS DE

IMPACTO

El Impacto es el elemento fundamental para la Gestin de

Riesgos

Anlisis de Impacto

Magnitud del impacto

Determinacin de los riesgos debilidad / amenaza

Probabilidad de que explote una amenaza

Valoracin del Riesgo

Extremo: Requiere de accin inmediata

Alto: Requiere de la atencin de la Direccin

Moderado: Requiere la asignacin de responsabilidades a la

Gerencia

Bajo: Requiere la administracin de procedimientos de rutina

VALORACION

DEL

RIESGO

VR = V x P x I

- VR: Valor del Riesgo

- V: Vulnerabilidad

Cuando el VR es calculado utilizando el impacto en trminos

econmicos, el VR es la prdida econmica probabilstica.

- P: Probabilidad

- I : Impacto

VALORACION

DEL

RIESGO Valoracin del Riesgo

Matrices de Riesgo

ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO

Base de Datos de

Cobranzas Fraude Muy Alta Seria Extremo

Base de Datos de

Finanzas

Incumplimiento

legales Alta Significativa Alto

Base de Datos de

Marketing

Fuga de

informacin Medio Menor Bajo

Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo

Base de Datos

Finanzas Fraude Negociaciones 0,2 0,01 100000 200

Base de Datos

Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50

Matrices de Riesgo

BAJO MEDIO ALTO

ALTO3 6 9

MEDIO2 5 8

BAJO1 4 7

IMPACTOPRO

BA

BIL

IDA

D

Matrices de Riesgo

ALTA 3

15

Zona de Riesgo Moderado

30

Zona de Riesgo Importante

60

Zona de Riesgo Inaceptable

MEDIA 2

10

Zona de Riesgo Tolerable

20

Zona de Riesgo Moderado

40

Zona de Riesgo Importante

BAJA 1

5

Zona de Riesgo Aceptable

10

Zona de Riesgo Tolerable

20

Zona de Riesgo Moderado

5 10 20

LEVE MODERADO CATASTROFICO

IMPACTO

PR

OB

AB

ILID

AD

Matrices de Riesgo

Casi Cierto

5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100%

Probable

4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80%

Posible

3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60%

Improbable

2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40%

Raro

1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20%

Insignificante

1

Menor

2

Moderada

3

Mayor

4

Catastrfico

5

IMPACTO

PR

OB

AB

ILID

AD

Matrices de Riesgo

Valor

RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100%

RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50%

RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30%

RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%

ZONA DE RIESGO

Matrices de Riesgo

Conceptos

Factor de Exposicin (EF): Porcentaje de prdida o impacto

causada por una amenaza. Este valor es necesario para el clculo

del SLE

0% < EF < 100 %

Expectativa de prdida individual (SLE).- Es el valor monetario

perdido por la ocurrencia de evento.

SLE = Valor del activo ($) * EF

Otras frmulas de Anlisis de Riesgos

Conceptos (Cont)

Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el

cual un evento ocurre dentro del periodo de un ao.

El ARO es considerado como cantidad o probabilidad (segn el

anlisis)

Expectativa de Prdida Anualizada (ALE): Representa la prdida

anual producida por una amenaza individual.

ALE = SLE * ARO

Frmulas de Anlisis de Riesgos

Amenaza Valor del Activo

x FE = SLE x ARO = ALE

Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000

Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000

Ejemplo

Evaluar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Evaluacin de Riesgos

Involucra comparar el nivel de riesgo detectado durante el proceso de

anlisis con criterios de riesgo establecido previamente.

El resultado de la evaluacin es una lista priorizada para una accin

superior y se considera para ello los objetivos del negocio y el grado de

oportunidad que podra resultar de tomar el riesgo.

Los riesgos resultantes que caen dentro de las categoras de riesgos

bajos y aceptables pueden ser aceptados con un tratamiento futuro

mnimo pero deben ser monitoreados y revisados peridicamente para

asegurar su aceptabilidad.

Los riesgos que no caen dentro de la categora de riesgos bajos o

aceptables debern ser tratados para controlarlos.

Tratar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Tratar los Riesgo

Riesgo Evaluado y

Priorizado

Mitigar Transferir Evitar

Ejecucin del Plan de Tratamiento

del Riesgo

Seleccin de Estrategia y Elaboracin

del Plan de Tratamiento de Riesgo

Aceptable

Co

mu

nic

ar y

Co

nsu

ltar

Mo

nito

rea

r y R

evis

ar

Riesgo

Aceptable?

Aceptable Riesgo

Aceptable?

SI

NO

NO

SI

CONTROLES

Polticas, procedimientos, prcticas y estructuras

organizacionales que estn diseados para brindar una confianza

razonable de que se alcanzarn los objetivos del negocio y que

se evitarn, detectarn y corregirn los incidentes

Activos, Informacin

de la Organizacin

Controles Administrativos

Controles Tcnicos

Controles Fsicos

Controles

Administrativos

Polticas, estndares,

procedimientos,

guas, seleccin de

Personal,

Entrenamiento y

Educacin de Seguridad

Controles

Tcnicos

Controles de acceso

Lgico, Encriptacin,

Dispositivos de seguridad,

Identificacin y

Autenticacin

Controles

Fsicos

Proteccin de las

Facilidades, guardias

de seguridad, cerraduras,

Control ambiental,

Deteccin de Intrusos

Los controles deben ser

seleccionados basados en

el costo de

implementacin, el costo

de riesgo reducido y la

prdida potencial si un

incidente de seguridad

ocurre

Disuasivos: Para reducir la probabilidad de las amenazas o

la susceptibilidad a estas a travs de una variedad de medios

para reducir el riesgo

Preventivos: Para reducir las vulnerabilidades y hacer que

un ataque no tenga xito o reducir el impacto que tendra.

Correctivos: Reduce el impacto

Deteccin: Identifica ataques o investigaciones que

conduzcan a un ataque o que desencadenen controles

preventivos

Los Controles pueden ser:

Tratar los riesgos

Involucra identificar la Estrategia acorde para tratar los

riesgos, evaluar las opciones dentro de ellas, elaborar los

planes para el tratamiento de los riesgos y ejecutarlos.

Identificacin de Estrategias para el tratamiento de los

riesgos

Evitar el riesgo

Mitigar los riesgos

Transferir los riesgos

Retener o Aceptar los riesgos

Evaluacin de opciones de tratamiento de los riesgos

Esta son evaluadas sobre la base del alcance de la reduccin del riesgo,

pueden considerarse y aplicarse una cantidad de opciones individual o

combinada.

Siempre se considera los costos y beneficios de implementar cada opcin.

Cuando el costo acumulado de implementacin de todos los tratamientos de

riesgos excede el presupuesto disponible, el plan debera identificar

claramente el orden de prioridad bajo el cual deberan implementarse.

Las opciones de tratamiento de los riesgos deberan considerar como es

percibido el riesgo por las partes afectadas y las formas mas apropiadas de

comunicrselo a dichas partes.

(Anexos A,B,C,D)

Tratar los riesgos

Elaborar Planes de Tratamiento del Riesgo

Estos van a documentar como deben ser implementadas las opciones

seleccionadas. Este plan identifica las responsabilidades, el programa, los

resultados esperados, el presupuesto, las medidas de desempeo y el proceso

de revisin a establecer.

Debe incluir los mecanismos para evaluar la implementacin de las opciones

contra criterios de desempeo, las responsabilidades individuales y otros

objetivos.

Ejecutar Planes de tratamiento del Riesgo

Este debe ser administrada por aquellas personas con mejor posibilidad de

controlar los riesgos.

El xito del Plan de tratamiento del riesgo requiere un sistema efectivo de

administracin que especifique los mtodos seleccionados, asigne

responsabilidades y compromisos.

Se deber decidir si se retiene o repite el proceso de tratamiento con los riesgos

residuales.

Tratar los riesgos

Seleccin segn nivel de riesgo evaluado y el orden de

importancia.

Anlisis costo/beneficio

Capacidad de implantar las medidas de mitigacin

Seleccin de controles mas efectivos y eficientes.

Participacin de las unidades afectadas

Seleccin de Controles

(Anexo A)

Controles para reducir la Probabilidad

(Anexo B)

Programas de auditoria y cumplimiento

Condiciones contractuales

Revisiones formales de requerimientos, especificaciones,

diseo, ingeniera y operaciones

Inspecciones y controles de procesos

A}dministracin de inversiones y carteras

Mantenimiento preventivo

Aseguramiento de calidad, administracin y estndares

Investigacin y desarrollo, desarrollo tecnolgico

Supervisin

Capacitacin estructurada y otros programas

Comprobaciones

Acuerdos organizacionales

Controles tcnicos

Planeamiento de contingencia

Arreglos contractuales

Condiciones contractuales

Caractersticas de diseo

Planes de recuperacin de desastres

Planeamiento de control de fraudes

Minimizar la exposicin a fuentes de riesgo

Planeamiento de cartera

Poltica y control de precios

Separacin o reubicacin de una actividad y recursos

Relaciones pblicas

Otros.

Controles para reducir el Impacto

(Anexo C)

Se debe considerar el TCO para el ciclo de vida total del

control o contramedidas:

Costos por adquisicin, si los hubiere

Costos por utilizacin e implementacin

Costos por mantenimiento y soporte

Costo de Licencias

Costos de prueba y evaluacin

Monitoreo y exigibilidad del cumplimiento

Inconvenientes para los usuarios

Costo por actualizaciones

Capacitacin sobre nuevos procedimientos

Capacitacin en tecnologas que sean aplicables

(TCO: Total Cost of Ownership)

Costo de Controles

(Anexo D)

Riesgo Residual

+ RIESGO

EVALUADO

CONTROLES

APROBADOS =

CONTROLES

IMPLEMENTADOS

RIESGO RESIDUAL

Luego de la implementacin de los controles

queda un riesgo residual debido a que en la prctica no hay

retorno sin riesgo y los controles no lo eliminan totalmente

por diversos factores, entre ellos el equilibrio costo/beneficio.

Para la aceptacin definitiva de los riesgos la organizacin

debe tener en cuenta:

La poltica organizacional

Sensibilidad y criticidad de los activos involucrados

Niveles aceptables de los posibles impactos

Rentabilidad de la implementacin

Riesgo Aceptable

Matriz de Controles

Monitorear y Revisar

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Monitorear y Revisar

Es necesario monitorear los riesgos, la efectividad del plan de

tratamiento de los riesgos, las estrategias y el sistema de

administracin que se establece para controlar la implementacin.

Los riesgos y los controles implementados necesitan ser

monitoreados para asegurar que las circunstancias cambiantes no

alteren las prioridades de los riesgos.

La Revisin es esencial para asegurar que el plan de

administracin se mantiene relevante y vigente. Esta actividad es

una parte integral del plan de tratamiento de la administracin de

riesgos.

Comunicar y Consultar

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Comunicar y Consultar

Consideracin importante en cada paso del proceso de la gestin de

riesgos. Es importante desarrollar un plan de comunicacin con los

interesados internos y externos en la etapa mas temprana del proceso.

La comunicacin y consulta involucra un dilogo en ambas direcciones

entre los interesados.

Las percepciones de los riesgos pueden variar debido a diferencias en los

supuestos, conceptos, necesidades, aspectos y preocupaciones de los

interesados. Los interesados probablemente harn juicios de aceptabilidad

de los riesgos basados en su percepcin de los mismos.

Dado que los intereses pueden tener un impacto significativo en las

decisiones tomadas, es importante que sus percepciones de los riegos, as

como, sus percepciones de los beneficios, sean identificadas y

documentadas y las razones subyacentes para las mismas comprendidas

y tenida en cuenta.

Documentacin

Es necesario documentar cada etapa del proceso de gestin de riesgos y

deben incluir los supuestos, los mtodos, las fuentes de datos y los

resultados

Razones para la documentacin:

Demostrar que el proceso es conducido apropiadamente

Proveer evidencia de un enfoque sistemtico de identificacin y

anlisis de riesgos

Proveer un registro de los riesgos y desarrollar la base de datos de

conocimiento de la organizacin

Proveer a los tomadores de decisin relevantes, de un plan de

gestin de riesgos para aprobacin y subsiguiente implementacin

Facilitar el continuo monitoreo y revisin

Proveer una pista de auditoria

Compartir y comunicar informacin

Documentacin de la Gestin del Riesgo

Documentacin mnima necesaria para la gestin de la riesgo:

1. Un registro de riesgo para cada riesgo identificado, contiene:

- Fuente y naturaleza del riesgo

- Controles existentes

2. Consecuencia y probabilidad

- Prdida de ingresos, gastos inesperados

- Riesgo legal (de incumplimiento regulatorio y contractual)

- Procesos Interdependientes

- Clasificacin inicial del riesgo

3. Plan de accin y Mitigacin de riesgos, que proporcione:

- Responsabilidad de implementar el plan

- Recursos que se van a utilizar y asignacin del presupuesto

- Frecuencia de cumplimiento

- Detalle de mecanismos/medidas de control

4. Documentos de Auditoria y Monitoreo que

incluyan:

- Resultado de auditorias/revisiones y otros

procedimientos de monitoreo

- Seguimiento de las recomendaciones de la

revisin y el estado de su

implementacin

Documentacin de la Gestin del Riesgo

Software para la Gestin de Riesgos