para Riesgos

para Riesgos

ISACA
With more than 110,000 constituents in 180 countries, ISACA (www.isaca.org) helps business and IT leaders maximize
value and manage risk related to information and technology. Founded in 1969, the non-profit, independent ISACA is an
advocate for professionals involved in information security, assurance, risk management and governance. These professionals
rely on ISACA as the trusted source for information and technology knowledge, community, standards and certification.
The association, which has 200 chapters worldwide, advances and validates business-critical skills and knowledge through
the globally respected Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM),
Certified in the Governance of Enterprise IT (CGEIT) and Certified in Risk and Information Systems ControlTM
(CRISCTM) credentials. ISACA also developed and continually updates COBIT, a business framework that helps enterprises
in all industries and geographies govern and manage their information and technology.

Disclaimer
ISACA has designed and created COBIT 5 for Risk (the Work) primarily as an educational resource for assurance
professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not
be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and
tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information,
procedure or test, assurance professionals should apply their own professional judgement to the specific circumstances
presented by the particular systems or information technology environment.

Reservation of Rights
2013 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org

Provide Feedback: www.isaca.org/cobit

Participate in the ISACA Knowledge Center: www.isaca.org/knowledge-center
Follow ISACA on Twitter: https://twitter.com/ISACANews
Join ISACA on LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficial
Like ISACA on Facebook: www.facebook.com/ISACAHQ

COBIT 5 for Risk

ISBN 978-1-60420-458-2
3

for

risk

CAPTULO 5
RESPUESTA AL RIESGO
5.1 Definiciones
Los conceptos en la figura 41 son frecuentemente utilizados en la gestin de riesgos y en este documento.
Figura 41Definicin de trminos de riesgos
Trmino

Definicin

Apetito de riesgo

El nivel de riesgo, a un nivel amplio, que una entidad est dispuesta a aceptar en pos del logro de su misin.

Tolerancia al riesgo

El nivel aceptable de variacin que la gerencia est dispuesta a permitir para cualquier riesgo en particular, con la
finalidad de lograr sus objetivos.

Capacidad de riesgo

El nivel objetivo de prdida que una empresa puede tolerar sin arriesgar su viabilidad. Difiere del apetito del riesgo,
el cual es una decisin de la gerencia o del directorio, sobre cunto riesgo es deseable aceptar.

Estos conceptos son mejor ilustrados en el apndice B.5.6.

5.2 Flujo y opciones de respuesta al riesgo

El propsito de definir una respuesta al riesgo es alinearla con el apetito de riesgo definido por la empresa. En otras
palabras, una respuesta necesita ser definida de tal manera que todo el futuro riesgo residual posible (riesgo actual con su
respuesta al riesgo definida e implementada) resulte dentro de los lmites de tolerancia definidos (usualmente esto depende
del presupuesto disponible). El flujo completo de respuesta al riesgo es mostrado en la figura 42. Los procesos EDM03 y
APO12 de COBIT 5 incluyen una gua en relacin a estas actividades, especficamente, en las prcticas EDM03.02 y
APO12.02.
Esta evaluacin de respuesta al riesgo no es un esfuerzo de una sola vez, sino que es parte del ciclo del proceso de gestin
de riesgos. Cuando el anlisis de riesgos de todos los escenarios de riesgo identificados, despus de comparar el riesgo
contra el retorno potencial, muestra que el riesgo no est alineado con el apetito de riesgo o los niveles de tolerancia
definidos, se requiere una respuesta. Esta puede ser cualquiera de las cuatro posibles respuestas explicadas en las secciones
subsiguientes.

Evitar el riesgo
Significa dejar de hacer las actividades o salir de las condiciones que permiten que el riesgo se presente. Evitar el riesgo
slo aplica cuando ninguna otra respuesta al riesgo es adecuada. Este es el caso cuando:
No existe ninguna otra respuesta efectiva en costo que pueda ser exitosa para disminuir la frecuencia o el impacto
debajo de los umbrales definidos para el apetito de riesgo.
El riesgo no puede ser compartido o transferido.
El nivel de exposicin ha sido considerado inaceptable por la gerencia.
Algunos ejemplos relacionados a TI sobre evitar el riesgo son:
Reubicar un centro de datos lejos de una regin con amenazas naturales significativas.
Declinar involucrarse en un proyecto grande cuando el caso de negocio muestra un notable riesgo de falla.
Declinar involucrarse en un proyecto que se construir sobre sistemas obsoletos y complejos porque no existe un
grado aceptable de confianza sobre el xito del proyecto.
Decidir no usar una determinada tecnologa o paquete de software porque impedirn el crecimiento futuro del
negocio.

80

Seccin 1, captulo 4
aplicando los principios de COBIT 5 para gerenciar riesgos

Nivelderiesgovigente

Aceptar el riesgo
Aceptar significa que se reconoce la exposicin a la prdida pero no se toman acciones relativas a un riesgo en particular y
la prdida es aceptada, en caso ocurra. Esto es diferente a no estar consciente de un riesgo. Aceptar un riesgo supone que se
conoce el riesgo y que la gerencia ha tomado una decisin informada para aceptarlo como tal (p.ej., cuando un costo de
remediacin excede el riesgo).
Si una empresa adopta una postura de aceptacin del riesgo, debe considerar cuidadosamente quin puede aceptar el riesgo,
incluso ms con los riesgos relacionados con TI. El riesgo de TI debe ser aceptado solo por la gerencia del negocio (y los
propietarios de los procesos de negocios), con la colaboracin y el soporte de TI. La aceptacin debe ser comunicada y
documentada a la alta gerencia y al directorio (ver EDM3.02, actividades 5.3 y 5.4). Las empresas deberan tambin
considerar niveles autorizados de aceptacin del riesgo, estableciendo responsables de la empresa que estn autorizados
para aceptar diferentes niveles de riesgo, lo que ayudar a asegurar que el riesgo sea aceptado en un nivel adecuado dentro
de la empresa.
Algunos ejemplos de aceptacin de riesgos son:
Pueden haber riesgos que un proyecto de desarrollo no entregue las funcionalidades de negocio requeridas en la
fecha planificada. La gerencia puede decidir aceptar el riesgo y proseguir con el proyecto.
Si un riesgo en particular es evaluado como extremadamente raro, pero con un impacto muy alto (catastrfico) y
cualquier costo de mitigarlo es prohibitivo, la gerencia puede decidir aceptarlo.
Contratar seguros tambin es una manera de aceptar el riesgo, aunque esto slo mitigue la magnitud de la prdida y no
disminuya la frecuencia esperada.

Compartir/Transferir el riesgo
Compartir significa reducir la frecuencia o el impacto del riesgo transfiriendo o compartiendo una porcin del riesgo. Las
tcnicas comunes incluyen la contratacin de seguros y la externalizacin.

81

for

risk

Algunos ejemplos incluyen adquirir cobertura de seguros para incidentes relacionados con TI, externalizar algunas
actividades de TI, compartir riesgos de proyectos de TI con el proveedor a travs de acuerdos de precios fijos o acuerdos de
inversin compartida. Tanto a nivel fsico como a nivel legal, stas tcnicas no liberan a la empresa de la propiedad del
riesgo, pero pueden involucrar las habilidades y competencias de terceros en la gestin de riesgos para reducir las
consecuencias financieras si ocurrieran eventos adversos. As mismo, desde el punto de vista de la reputacin, compartir o
transferir riesgos no traslada la propiedad ni la responsabilidad sobre los mismos.
Algunos ejemplos de compartir o transferir riesgos relacionados con TI son:
Una empresa de gran tamao identific y evalu el riesgo de incendio en su infraestructura a travs de diversas
regiones geogrficas, evaluando el costo de compartir el impacto del riesgo a travs de una cobertura de seguros. Se
concluy que debido a la ubicacin de los sitios, el costo del seguro y de los deducibles relacionados no era
prohibitivo, de tal forma que se opt por contratar la cobertura del seguro.
En una gran inversin relacionada con TI, el riesgo del proyecto puede ser compartido externalizando el desarrollo
de la solucin a un proveedor por un precio fijo, basado en un esquema de bonificaciones.
Algunas empresas externalizan todas o algunas de las funciones de TI, compartiendo una fraccin del riesgo de
manera contractual.
Cuando se externaliza el servicio de hosting de aplicaciones, la empresa siempre conserva la responsabilidad de
proteger la privacidad de los datos del cliente, pero si el proveedor es negligente y ocurre una brecha de seguridad,
el riesgo (impacto financiero) puede por lo menos ser compartido con la empresa que brinda el hosting.
Otras tcnicas que contribuyen a compartir el riesgo incluyen:
Empresas grandes con muchas entidades legales, donde los riesgos de TI pueden ser transferidos a otras divisiones
dentro de la empresa (los reaseguros son un ejemplo comn).
La certificacin SSAE16, que permite a una organizacin que brinda servicios, transfiera una fraccin del riesgo al
cliente, a travs de la seccin Consideraciones del Cliente del reporte SSAE16.

Mitigar el riesgo
Significa tomar acciones de mitigacin para reducir la frecuencia y/o el impacto de un riesgo. Las maneras ms comunes de
mitigar un riesgo incluyen:
Reforzar las prcticas de gestin de riesgos de TI, p.ej., implementar procesos de gestin de riesgos de TI lo
suficientemente maduros, como se define en el marco COBIT 5.
Introducir medidas de control orientadas a reducir la frecuencia de ocurrencia de un evento adverso y/o el impacto
de un evento en el negocio. Los controles son, en el contexto de la gestin de riesgos, empleados para mitigar un
riesgo, p.ej., las polticas, procedimientos y prcticas, estructuras, flujos de informacin, etc. El conjunto de
habilitadores interconectados de COBIT 5 ofrece un conjunto comprehensivo de controles que pueden ser
implementados. Es posible identificar, para cualquier escenario de riesgo que excediera el apetito de riesgo, un
conjunto de habilitadores de COBIT 5 (procesos, estructuras organizativas, comportamientos, etc.) que puedan
mitigar dicho escenario de riesgo. El apndice D incluye una lista detallada de controles (expresados como
habilitadores COBIT 5) que puedan mitigar riesgos (ver la lista de ejemplos de escenarios genricos de riesgos
definidos en el captulo 3).
La mitigacin de riesgos tambin es posible por otros medios o mtodos, es decir, existen estndares y marcos de
referencia de TI bastante conocidos que pueden ser de ayuda.

5.3 Seleccin y priorizacin de la respuesta al riesgo

La seccin previa discute sobre las opciones disponibles de respuesta al riesgo. En esta seccin, se trata la seleccin de una
respuesta apropiada, es decir, dado un riesgo en particular, se discute cmo responder y cmo escoger entre las opciones
disponibles de respuesta. Como se ilustra en la figura 43, en este proceso se deben considerar los siguientes parmetros:
Eficiencia de la respuesta, es decir, los beneficios relativos esperados de la respuesta en comparacin con:
Otras inversiones (invertir en medidas de respuesta al riesgo siempre compite con otras inversiones).
Otras respuestas (una respuesta puede resolver varios riesgos mientras que otra no).
Esto tambin considera el costo de una respuesta, p.ej., en el caso de una transferencia de riesgos, el costo de una
cobertura de seguros premium; en el caso de una mitigacin de riesgos, el costo de implementar medidas de control
(gastos de capital, salarios, consultoras, etc.)
Exposicin, es decir, la importancia del riesgo que aborda la respuesta, representado por su posicin en el mapa de
riesgos (que refleja los niveles combinados de frecuencia e impacto).
La capacidad de la empresa para implementar la respuesta. Cuando la empresa es madura en sus procesos de gestin
de riesgos, se pueden implementar respuestas al riesgo ms sofisticadas; si no es tan madura, es mejor empezar con
respuestas bsicas al riesgo.
Efectividad de la respuesta, es decir, la medida en que la respuesta reducir el impacto y la magnitud del riesgo.
82

Seccin 1, captulo 4
aplicando los principios de COBIT 5 para gerenciar riesgos

Nivelderiesgovigente

RatioCosto/Beneficio

El esfuerzo agregado requerido para las respuestas de mitigacin, es decir, el grupo de controles que se necesitan
implementar o reforzar, pueden exceder los recursos disponibles. Siempre que no haya una urgencia requerida, se necesita
preparar un caso de negocios priorizado para las inversiones. Utilizando el mismo criterio de la seleccin de la respuesta al
riesgo, las respuestas al riesgo pueden ser establecidas en un cuadrante que ofrece tres posibles prioridades, como se
muestra en la figura 43.
Prioridad alta: Respuestas muy efectivas y eficientes en costos para los riesgos altos.
Prioridad normal: Tanto las respuestas ms costosas o difciles para los riesgos altos, como las respuestas efectivas
y eficientes para los riesgos menores, requieren un anlisis cuidadoso y decisin de la gerencia sobre las inversiones.
Prioridad baja: Las respuestas para los riesgos bajos pueden resultar costosas y pueden no demostrar un buen ratio
de costo/beneficio.
Algunos ejemplos de priorizacin incluyen:
Se identific un riesgo en la arquitectura de TI de una empresa, que, debido a su complejidad, dentro de unos pocos
aos se tornar difcil y el mantenimiento del software ser muy costoso. La respuesta identificada fue el
fortalecimiento del proceso APO03 Gestionar la arquitectura de la empresa de COBIT, as como empezar un
proyecto grande para optimizar la arquitectura completa. Dados los costos del proyecto, esta respuesta est
categorizada como normal.
Se identific un riesgo de incumplimiento con regulaciones dado que no se cuenta con algunos procedimientos
relativamente simples de TI. La respuesta consisti en crear e implementar los procedimientos de TI faltantes. Esto
fue clasificado como alto.

83

for

risk

5.4 Gua en la seleccin y priorizacin de respuesta al riesgo

Las estructuras organizativas en COBIT 5 para Riesgos incluyen cuadros de roles y responsabilidades (RACI por sus siglas
en ingls) para todas las actividades del proceso de gestin de riesgos de TI, incluyendo la definicin y priorizacin de la
respuesta al riesgo. Las principales partes interesadas deben involucrarse en estas decisiones: la alta gerencia, la gerencia
del negocio, la gerencia de riesgos y la gerencia de TI.
Basado en los resultados del anlisis de riesgos y en la experiencia ganada durante la definicin y priorizacin de la
respuesta al riesgo, la empresa tambin puede decidir sobre cambios ms fundamentales en su posicin contra el riesgo, por
ejemplo:
Revisar los umbrales de apetito de riesgo o, temporalmente, incrementar o disminuir los niveles de apetito de riesgo.
Incrementar (o disminuir) los recursos disponibles para ejecutar la respuesta al riesgo.
Aceptar riesgos que normalmente excederan los umbrales de apetito de riesgo.
En la evaluacin y diseo de la respuesta al riesgo, las empresas siempre deberan procurar un conjunto balanceado de
respuestas, es decir, una combinacin de concientizacin/capacitacin, proceso/gobierno y automatizacin.

84