Tema:

Un vistazo general de
COBIT 5 for Risk

Octubre 31, 2013

Instructores:
JOS NGEL PEA IBARRA, CGEIT, CRISC
SALOMN RICO, CISA, CISM, CGEIT
 Familia de productos COBIT 5

2
JA
 Objetivo de la Gobernanza:
Creacin de Valor

La creacin de valor significa la realizacin de beneficios con una optimizacin en el

costo por el uso de recursos y una optimizacin en los riesgos a los que se est expuesto.

Los beneficios pueden tomar muchas formas, por ejemplo: Financiero para empresas
comerciales o servicios pblicos para entidades de gobierno.

3
 Objetivo de la Gobernanza:
Creacin de Valor

Las empresas tienen muchos interesados, y creacin de valor
significa algo diferente, y algunas veces incluso crea conflictos
para cada uno de estos interesados.

La gobernanza busca negociar y decidir entre los diferentes

interesados los intereses del valor

El componente de creacin de valor relacionado con la

optimizacin de riesgos muestra que:
 La optimizacin de riesgos es una parte esencial de cualquier
sistema de gobierno
 La optimizacin de riesgos no puede ser vista de manera
aislada; las acciones tomadas como parte de la
administracin de riesgos ejercern influencia en la
realizacin de beneficios y en la optimizacin de recursos.
4
 Overview COBIT 5 for Risk

5
SR
Overview COBIT 5 for Risk (continuacin)

6
RIESGOS Y ADMINISTRACIN DE RIESGOS (SEC. 1)

- Objetivo de la Gobernanza: La Creacin de Valor (C1)

- Riesgo (C2)
- Alcance de COBIT 5 for Risk (C3)
- Aplicando los principios de COBIT 5 en la Gestin de Riesgos (C4)
 Riesgo

Riesgo generalmente se define como la combinacin de la probabilidad de

un evento y sus consecuencias (ISO gua 73). Las consecuencias son que los
objetivos de la empresa no sean alcanzados.

COBIT 5 para riesgos define el riesgo de TI como un riesgo de negocios,

especificamente, el riesgo de negocios asociado con el uso, la propiedad, la
operacin, el involucramiento, la influencia y la adopcin de TI dentro de una
empresa.

El riesgo de TI consiste de eventos relacionados a TI que podran

potencialmente impactar el negocio.

El riesgo de TI puede ocurrir tanto con una frecuencia incierta como con un
impacto y crea retos para el logro de las metas y objetivos estratgicos.

El riesgo de TI siempre existe, asi sea que haya sido detectado o reconocido o
no.
8
Riesgo

9
 Riesgo

El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que son
consistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negocio
requieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar los
objetivos y metas de una empresa, y este riesgo debe ser administrado pero no
necesariamente evitado.
10
 Riesgo

Cuando se hace referencia a Riesgo en COBIT 5 para riesgos, se trata del riesgo actual. El
concepto de riesgo inherente rara vez se utiliza en COBIT 5 para riesgos. Teoricamente,
COBIT 5 para riesgos se enfoca en el riesgo actual porque, en la prctica, es lo que se usa.

11
 Alcance de COBIT 5 for Risk: Perspectivas

Perspectivas de la Funcin de Riesgo

Describe lo que se necesita en una empresa para
construir y sostener actividades efectivas de
gobierno y gestin de riesgos.
Perspectiva de la Administracin de Riesgo
Describe como los procesos core de gestin de
riesgos que son identificacin, anlisis, respuesta y
respuesta de riesgos, pueden ser apoyadas con los
habilitadores de COBIT 5

12
JA
 Alcance de COBIT 5 for Risk: Perspectivas

Perspectivas de Riesgo con COBIT 5

Perspectiva de la Funcin de Riesgo
Perspectiva de la Administracin de Riesgo
P

13
 Alcance de COBIT 5 for Risk

Se enfoca en aplicar los habilitadores de COBIT 5

al riesgo.
Provee una gua de alto nivel en como identificar,
analizar y responder a los riesgos utilizando
procesos de COBIT 5 y con el uso de escenarios
de riesgo.
Se alinea con los principales estndares y marcos
de referencia en gestin de riesgos.
Provee un enlace entre los escenarios de riesgo y
los habilitadores de COBIT 5 que puede ser usado
para mitigar el riesgo.

14
Alcance de COBIT 5 for Risk

15
 Aplicando los principios de COBIT 5 en la
Gestin de Riesgos

COBIT 5 est basado en 5 principios:

16
Principio 1. Satisfacer las necesidades de los interesados

Empresas existen para crear valor para sus interesados.

Source: COBIT 5, figure 3. 2012 ISACA All rights reserved.

17

17
Principio 2. Cubrir la empresa de extremo a extremo:

Esto significa que COBIT 5:

Integra el gobierno empresarial de TI en el gobierno
corporativo..

Cubre todas las funciones y procesos dentro de la
empresa; (COBIT 5 does not focus only on the IT
function).

18
 Principio 2. Cubrir la empresa de extremo a extremo:

Source: COBIT 5, figure 9. 2012 ISACA All rights reserved.

Se considera quienes estn involucrados, que hacen y que relaciones tienen entre ellos.

19 19
Principio 3. Aplicar un solo marco integrado:

COBIT 5 integra diversos productos de COBIT, como
Val IT y Risk IT.

COBIT 5 se alinea con los estndares y marcos ms
relevantes usados por las empresas:

Empresariales: COSO, COSO ERM, ISO/IEC 9000,

Relacionados con TI: ISO/IEC 38500, ITIL, serie
ISO/IEC 27000, TOGAF,

Etc.

Esto permite que la empresa use COBIT 5 como un
marco integrador de gobierno y administracin de TI.
20
Principio 4. Habilitar un enfoque Holstico
Los habilitadores de COBIT 5 son:
Factores que, individual y colectivamente
influencian para que algo funcione. En el
caso de COBIT, este algo, son el gobierno y
la administracin de TI empresarial.
Se describen los habilitadores de COBIT 5 en
siete categoras.

21
 Habilitadores de COBIT 5

1. Principios, Polticas y marcos

2. Procesos
3. Estructuras organizacionales
4. Cultura, tica y Conducta
5. Informacin
6. Servicios, Infraestructura y
Aplicaciones
7. Gente, Habilidades y
Competencias

22
Principio 5. Separar Gobierno de Administracin:

Estas dos disciplinas:

Incluyen diferentes tipos de actividades

Requieren diferentes estructuras organizacionales

Sirven para diferentes propsitos

Gobierno Responsabilidad de la Junta Directiva.

AdministracinResponsabilidad de la alta
administracin, bajo el liderazgo del CEO.

23
Separar gobierno de administracin

Source: COBIT 5, figure 15. 2012 ISACA All rights reserved.

24
Modelo de Referencia de
Procesos de COBIT 5

25
Risk Function Perspective: Procesos
soportando la funcin de riesgos

26
 Procesos Centrales (Core) de Riesgos

EDM03 Asegurar la Optimizacin de Riesgos

Cubre la articulacin y comunicacin del apetito y la
tolerancia al riesgo de la empresa
APO12 Administrar Riesgos
Cubre las actividades de identificacin, evaluacin y
mitigacin de riesgos

27
 COBIT 5 for Risk aplica los principios de
COBIT 5:
Satisfacer las necesidades de los interesados.
El propsito del gobierno y administracin del riesgo es ayudar a
asegurar que la empresa logre sus objetivos, y la optimizacin de
riesgos es uno de los tres componentes de la creacin de valor.
Cubrir la empresa de extremo a extremo
COBIT 5 for Risk cubre todos los habilitadores de gobierno y gestin y
describe todas las fases de gobierno y gestin de riesgos.
Aplicar un nico marco integrado
COBIT 5 for Risk se alinea con los principales marcos y estndares de
administracin de riesgos
Habilitar un enfoque holstico
COBIT 5 for Risk identifica todos los elementos interconectados de los
habilitadores, requeridos para para proveer una adecuado gobierno y
gestin de riesgo.
Separar gobernanza de administracin
COBIT 5 distingue entre actividades de gobierno de riesgo y gestin de
riesgo 28
 PERSPECTIVA DE LA ADMINISTRACIN DE RIESGOS
(SEC. 2B)

- Escenarios de Riesgo (C2)

- Escenarios de Riesgo Genricos (C3)

SR
Escenarios de riesgo

30
 Escenarios de riesgo

Un escenario de riesgos es la descripcin de un posible evento que, cuando ocurre,

tendr un impacto incierto en el logro de los objetivos de la empresa.

El proceso core de administracin de riesgos requiere que los riesgos sean identificados
y analizados.

Los escenarios de riesgos pueden ser obtenidos por medio de dos diferentes
mecanismos:
 Un enfoque top-down, donde uno empieza desde los objetivos generales de la
empresa
 Un enfoque bottom-up es donde se utiliza una lista de escenarios genericos de
riesgos

Los enfoques son complementarios y deberan ser usados simultneamente. De hecho,

los escenarios de riesgos deben ser relevantes y ligados a los riesgos de negocio reales.

Es importante considerar riesgos especficos para cada empresa y sus requerimientos de

negocio crticos en los escenarios de riesgo definidos

31
 Escenarios de riesgo - Workflow

1. Use la lista de escenarios de riesgos genericos de base

2. El negocio podra empezar considerando escenarios de ocurrencia comn en su

industria o rea de producto, escenarios que representan fuentes de amenaza que
estn incrementando en el nmero o severidad, y escenarios que involucran
requerimientos legales y regulatorios

3. Otro enfoque podra ser identificar las unidades de negocio de alto riesgo y evaluar
uno o dos procesos operativos de alto riesgo dentro de cada una de ellas,
incluyendo los componentes de TI que habilitan dichos procesos.

4. Hay que desarrollar una validacin contra los objetivos del negocio. Los
escenarios de riesgo seleccionados se refieren a impactos potenciales en el logro de
los objetivos de la entidad?

5. Reducir el nmero de escenarios a un conjunto manejable. No hay un nmero

especfico, pero deberan estar en linea con la importancia general y la criticidad de
la unidad.

32
Escenarios de riesgo Factores de riesgo

33
Escenarios de riesgo Estructura

34
Escenarios de riesgo Aspectos principales

35
Escenarios de riesgo Aspectos principales

36
Escenarios de riesgo genricos

37
Escenarios de riesgo genricos

38
Escenarios de riesgo genricos

39
 Tpico: Los 7 habilitadores de COBIT 5
Describir como puede cada uno de los habilitadores de
COBIT 5 contribuir a la gestin del riesgo

40
JA
 Tpico: Las lneas de defensa contra el riesgo
Discutir el rol de las tres lneas de defensa:

41
Gracias!

Instructores:
JOS NGEL PEA IBARRA SALOMN RICO
japi@ccisa.com.mx srico@deloittemx.com

42