Riesgos 2012
Upcoming SlideShare
Loading in...5
×
 

Riesgos 2012

on

  • 5,653 reproducciones

 

Statistics

reproducciones

Total Views
5,653
Views on SlideShare
5,653
Embed Views
0

Actions

Likes
4
Downloads
415
Comments
1

0 insertados 0

No embeds

Accesibilidad

Categorias

Detalles de carga

Uploaded via as Adobe PDF

Derechos de uso

© Todos los derechos reservados

Report content

Marcada como inapropiada Marcar como inapropiada
Marcar como inapropiada

Seleccione la razón para marcar esta presentación como inapropiada.

Cancelar
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Tu mensaje aparecerá aquí
    Processing...
Publicar comentario
Edite su comentario

Riesgos 2012 Riesgos 2012 Presentation Transcript

  • Gestión de Riesgos
  • …¿ Que debo proteger y de que me debo de proteger?…¿ Esto es un riesgo o es una amenaza?…¿ Como nos preparamos para eventos no deseados?…¿Como minimizamos el impacto si el evento sematerializa?…¿ Cual es el nivel de riego que estamos dispuestos aaceptar ?…¿ A que aplicamos los controles? A la vulnerabilidad, ala amenaza, a ambos.
  • Marcos de ReferenciaISO/DIS 31000IEC/DIS 31010BS 31100ISO/IEC 27005ITGI- Risk IT FrameworkBasilea IIOctaveNIST SP 800-30AS/NZ 4360MageritBS 7799-3Microsoft – SRMGCRAMM_o_R
  • Gestión del RiesgoEl Riesgo es la probabilidad de que un incidente o transacción ocasionepérdidas financieras o daños patrimoniales a la organización, su personal,sus activos o su reputación en general obstaculizando el logro de losobjetivos estratégicos, operativos y financieros de la organización. Aplicación sistemática de controles • Administrativos • Técnicos • Físicos que permita minimizar el riesgo a un nivel aceptable. La Gestión del Riesgo es una función fundamental y vital de la Seguridad de Información
  • El Riesgo es una característica dela vida del negocio y debido a que resulta impráctico y poco económico eliminar los riesgos, cada organización tiene un nivel de Riesgo Aceptable
  • Riesgo AceptablePara la aceptación definitiva de los riesgos la organizacióndebe tener en cuenta:• La política organizacional• Sensibilidad y criticidad de los activos involucrados• Niveles aceptables de los posibles impactos• Rentabilidad de la implementación• Apetito del riesgo
  • Términos Comunes•Amenaza•Vulnerabilidad•Impacto•Apetito del Riesgo•Control•Respuesta al Riesgo•Probabilidad•Riesgo Inherente•Riesgo Residual•Valuación•Clasificación de Activos•Información Crítica•Información Sensible
  • Categorías de Riesgos Operativos• Riesgo ambiental operativo y de instalaciones• Riesgo de salud y seguridad• Riesgo de seguridad de información• Riesgo de marco de control• Riesgo legal y de incumplimiento regulatorio• Riesgo de gobierno corporativo• Riesgo reputacional o imagen• Riesgo estratégico• Riesgo de procesamiento y desempeño
  • Categorías de Riesgos Operativos• Riesgo Tecnológico• Riesgo de administración de proyectos• Riesgo de actos ilícitos o delictivos• Riesgo de recursos humanos• Riesgo de proveedores• Riesgo de información gerencial• Riesgo de ética• Riesgo Geopolítico• Riesgo Cultural• Riesgo Climático
  • Metodologías de Evaluación del RiesgoMétodo Cuantitativo (Objetivo): Basado en el impacto material,monetario e inmediato. Método Cuantitativo = Costo Monetario del RiesgoMétodo Cualitativo (Subjetivo): Basado en el criterio yraciocinio humano capaz de definir un proceso de trabajopara evaluar los riesgos en base a la experiencia delproceso del negocio.
  • Ventajas de los Métodos de Evaluación del RiesgoCuantitativo/Objetivo• Enfoca el análisis mediante el uso de números• Facilita la comparación de vulnerabilidades muy distintas• Proporciona una cifra “justificante” para cada control.Cualitativo/Subjetivo• Enfoca lo amplio que se desee• Plan de trabajo flexible y reactivo• Se concentra en la identificación de eventos• Incluye valores intangibles
  • Desventajas de los Métodos de Evaluación del RiesgoCuantitativo/Objetivo •Cálculos complejos •Estimación de las pérdidas sólo si son valores justificables. •Difíciles de mantener o modificarCualitativo/Subjetivo•La evaluación es un proceso subjetivo•Depende fuertemente de la habilidad y calidad del personalinvolucrado.•Puede existir riesgos significantes desconocidos.
  • Proceso de Gestión del Riesgo Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar ESTABLECER EL CONTEXTO
  • Establecer el contextoEsto se desarrolla dentro de la estructura del contexto estratégico,organizacional y de administración de riesgos de una organización.El contexto Estratégico: Relación entre la organización y su entorno,identificando el FODA de la empresa, incluye aspectos financieros, operativos,políticos, sociales, culturales y legales.Debería existir una relación cercana entre la misión u objetivos estratégicos de laorganización y la gestión de los riesgos a los cuales esta expuestaEl contexto Organizacional: Es necesario comprender la organización y suscapacidades, así como sus metas y objetivos, y las estrategias a lograr.El Contexto de la Administración de Riesgos: Establecer la meta, objetivos,estrategias, alcance, y parámetros de la actividad o parte de la organización a lacual se esta aplicando el proceso de gestión de riesgos.
  • Establecer el contextoDesarrollar Criterios: Contra los cuales se va a evaluar el riesgo, lasdecisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,estos pueden basarse en criterios operativos, técnicos, financieros, legales,sociales, etc.Definir la Estructura: Separar la actividad o proyecto en un conjunto deelementos, estos proveen una estructura lógica para identificación y análisislo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.Esta estructura va depender de la naturaleza del riesgo y del alcance delproyecto o actividad.
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Identificar los Riesgos
  • Identificación de riesgosRepresenta una etapa crítica la Identificación por lo tanto se necesita de unproceso sistemático bien estructurado, porque los riesgos potenciales que no seidentifiquen en esta etapa son excluidos de un análisis posterior.¿Qué puede suceder?Desarrollar una lista amplia de eventos que podrían afectar a cada elemento dela estructura definida.¿ Como puede suceder?Se considera causas y escenarios posiblesHerramientas y Técnicas: Incluyen checklists, juicios expertos, registros,diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Analizar los Riesgos
  • Análisis de riesgosEl análisis de riesgo involucra prestar consideración a las fuentes de riesgos, susamenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgocombinando estimaciones de consecuencias, amenazas y probabilidades en elcontexto de las medidas de control existente.Determinar los controles existentes: Identificar la administración, sistemastécnicos y procedimientos existentes para controlar los riesgos y evaluar susfortalezas y debilidades.Consecuencias y Probabilidades: La magnitud de las consecuencias de unevento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,se evalúan en el contexto de los controles existentes.Las consecuencias y probabilidades se combinan para entregar un nivel deriesgo.
  • Análisis de RiesgosDETERMINACION IDENTIFICACION IDENTIFICACION DETERMINACION VALORACION DEL ANALISIS DE DE DE DE DEL ENTORNO IMPACTO AMENAZAS VULNERABILIDAD PROBABILIDAD RIESGO ACTUAL
  • DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno Actual• Identificación de los Procesos críticos y sensibles de la empresa• Identificación de los activos de la Información y de Tecnología de la información (Hardware, Software, Aplicaciones, etc.).• Identificación del Personal usuario y técnico• Identificación de procedimientos políticas y controles existentes• Clasificación de los activos.
  • DETERMINACION DEL ENTORNO ACTUAL Determinación del Entorno ActualTécnicas de Extracción de Información• Cuestionarios/Plantillas: Preguntas para recolectar información• Entrevistas: Personal responsable• Revisión de documentos
  • IDENTIFICACION Identificación de Amenazas DE AMENAZAS• Identificar las fuentes de amenazas• Evaluaciones e informes anteriores• Revisión de bases de datos de fuentes de agencias especializadas.• Identificar las amenazas accidentales e intencionales Fuentes de amenazas comunes: • Naturales • Humanas • Ambientales Motivación: Componente potencial de la amenaza humana, esto hace del personal descontento, ex empleados, clientes insatisfechos, etc.
  • IDENTIFICACION DE AMENAZAS Identificación de AmenazasTipos comunes de amenazas:• Errores• Accidentes• Daño/Ataque malicioso• Incidentes/Fenómenos naturales• Fraude• Robo• Falla en quipo/Software• Pérdida de servicios• Fuga de información• Sabotaje• Terrorismo
  • IDENTIFICACION DE AMENAZAS Identificación de AmenazasResultadoRelación de Amenazas potencialespor cada recurso particular,indicando su naturaleza,características, etc.
  • IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades• Revisión de Informes de auditoria• Resultados de pruebas de seguridad• Inspecciones físicas• Revisión de información y boletines queenvían los fabricantes de HW y SW detecnología
  • IDENTIFICACION DE VULNERABILIDAD Identificación de Vulnerabilidades Técnicas de Extracción• Herramientas de Escaneo de Vulnerabilidadesautomatizadas• Ethical Hacking• Test de control de calidad (scripts, checklist,procedimientos, etc)
  • IDENTIFICACION DE VULNERABILIDAD Identificación de VulnerabilidadesTipos comunes de vulnerabilidades:• Software defectuoso• Equipo configurado en forma inapropiada• Cumplimiento forzoso inadecuado• Diseño deficiente de redes• Procesos defectuosos o incontrolados• Administración inadecuada• Personal insuficiente• Falta de conocimiento• Falta de mantenimiento• Tecnología no probada• Falta de redundancia• Transmisiones de comunicaciones no protegidas• Comunicaciones gerenciales deficientes
  • IDENTIFICACION DE VULNERABILIDAD Identificación de VulnerabilidadesResultado• Lista de potenciales vulnerabilidades por activo evaluado• Valoración relativa de cada activo respecto a suvulnerabilidad.Las amenazas y vulnerabilidades que no pueden causar un impacto son irrelevantes
  • DETERMINACION DE PROBABILIDAD Determinación de ProbabilidadDeterminación de los valores de la probabilidad por activo-amenaza, considerar en la determinación los controlesexistentes.PROBABILIDAD DEFINICIONESInsignificante Improbable de ocurrirMuy bajo Posible de ocurrir dos/tres veces cada 5 añosBajo Posible de ocurrir cada año o menosMedio Posible de ocurrir cada 6 meses o menosAlto Posible de ocurrir una vez al mes o menosMuy alto Posible de ocurrir muchas veces en un mes o menosExtremo Posible de ocurrir múltiples veces en un día
  • DETERMINACION DE PROBABILIDAD Determinación de ProbabilidadResultadoListado de activos valoradosrespecto a su amenaza yprobabilidad de ocurrencia
  • ANALISIS DE Análisis de Impacto IMPACTO• Participación de los propietarios de la Información• Medición efectuada en términos financieros• Evaluación en base a la pérdida de las características de laseguridad. (Disponibilidad, Integridad y Confidencialidad)• Menor: No afecta la operatividad del negocio• Significativo: Impacto o daño tangible, se requieren de gasto de recursos para reparar.• Daño: Impacta a la imagen, pérdidas de la confidencialidad, se requiere un gasto significativo de recursos para repararlo• Serio: Impacta al negocio interrumpiendo parcial o total la operatividad. Puede afectar el compromiso de información o servicio.
  • ANALISIS DE Análisis de Impacto IMPACTOEjemplos de impacto expresados en pérdidas financieras:• Pérdida directa de dinero (efectivo o crédito)• Responsabilidad penal o civil• Pérdida de reputación/buen nombre• Reducción en el valor de las acciones• Poner en peligro al personal o a los clientes• Violaciones de la confidencialidad• Pérdida de oportunidades de negocio• Reducción en el desempeño/eficiencia operativos• Interrupción de las actividades de negocio
  • ANALISIS DE Análisis de Impacto IMPACTOResultado• Listado de la valoración de losactivos.•Cuantificación del impactofinanciero. El Impacto es el elemento fundamental para la Gestión de Riesgos
  • VALORACION DEL RIESGO Valoración del Riesgo• Magnitud del impacto• Determinación de los riesgos debilidad / amenaza• Probabilidad de que explote una amenaza• Extremo: Requiere de acción inmediata• Alto: Requiere de la atención de la Dirección• Moderado: Requiere la asignación de responsabilidades a laGerencia• Bajo: Requiere la administración de procedimientos de rutina
  • VALORACION DEL RIESGO Valoración del Riesgo VR = V x P x I - P: Probabilidad - VR: Valor del Riesgo - I : Impacto - V: VulnerabilidadCuando el VR es calculado utilizando el impacto en términos económicos, el VR es la pérdida económica probabilística.
  • Matrices de Riesgo ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGOBase de Datos deCobranzas Fraude Muy Alta Seria ExtremoBase de Datos de IncumplimientoFinanzas legales Alta Significativa AltoBase de Datos de Fuga deMarketing información Medio Menor Bajo
  • Matrices de Riesgo Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del RiesgoBase de DatosFinanzas Fraude Negociaciones 0,2 0,01 100000 200Base de DatosMarketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50
  • Matrices de Riesgo IMPACTO BAJO MEDIO ALTO OBABILIDAD 3 6 9 ALTO 2 5 8 MEDIOPR 1 4 7 BAJO
  • PROBABILIDAD Matrices de Riesgo 15 30 60 ALTA 3 Zona de Riesgo Moderado Zona de Riesgo Importante Zona de Riesgo Inaceptable 10 20 40 MEDIA 2 Zona de Riesgo Tolerable Zona de Riesgo Moderado Zona de Riesgo Importante 5 10 20 BAJA 1 Zona de Riesgo Aceptable Zona de Riesgo Tolerable Zona de Riesgo Moderado 5 10 20 LEVE MODERADO CATASTROFICO IMPACTO
  • PROBABILIDAD Matrices de Riesgo Casi Cierto 5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100% Probable 4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80% Posible 3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60% Improbable 2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40% Raro 1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20% Insignificante Menor Moderada Mayor Catastrófico 1 2 3 4 5 IMPACTO
  • Matrices de Riesgo ZONA DE RIESGO ValorRIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100%RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50%RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30%RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%
  • Otras fórmulas de Análisis de RiesgosConceptosFactor de Exposición (EF): Porcentaje de pérdida o impactocausada por una amenaza. Este valor es necesario para el cálculodel SLE 0% < EF < 100 %Expectativa de pérdida individual (SLE).- Es el valor monetarioperdido por la ocurrencia de evento. SLE = Valor del activo ($) * EF
  • Fórmulas de Análisis de Riesgos Conceptos (Cont…) Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el cual un evento ocurre dentro del periodo de un año. El ARO es considerado como cantidad o probabilidad (según el análisis) Expectativa de Pérdida Anualizada (ALE): Representa la pérdida anual producida por una amenaza individual. ALE = SLE * ARO EjemploAmenaza Valor del Activo x FE = SLE x ARO = ALEFuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Evaluar los Riesgos
  • Evaluación de RiesgosInvolucra comparar el nivel de riesgo detectado durante el proceso deanálisis con criterios de riesgo establecido previamente.El resultado de la evaluación es una lista priorizada para una acciónsuperior y se considera para ello los objetivos del negocio y el grado deoportunidad que podría resultar de tomar el riesgo.Los riesgos resultantes que caen dentro de las categorías de riesgosbajos y aceptables pueden ser aceptados con un tratamiento futuromínimo pero deben ser monitoreados y revisados periódicamente paraasegurar su aceptabilidad.Los riesgos que no caen dentro de la categoría de riesgos bajos oaceptables deberán ser tratados para controlarlos.
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Tratar los Riesgos
  • Tratar los Riesgo Riesgo Evaluado y Priorizado ¿Riesgo SI Aceptable? AceptableComunicar y Consultar Monitorear y Revisar NO Mitigar Transferir Evitar Selección de Estrategia y Elaboración del Plan de Tratamiento de Riesgo Ejecución del Plan de Tratamiento del Riesgo NO SI ¿Riesgo Aceptable? Aceptable
  • CONTROLES“Políticas, procedimientos, prácticas y estructurasorganizacionales que están diseñados para brindar una confianzarazonable de que se alcanzarán los objetivos del negocio y quese evitarán, detectarán y corregirán los incidentes” Controles Controles Controles Administrativos Técnicos Físicos Políticas, estándares, Controles de acceso Protección de las procedimientos, Lógico, Encriptación, Facilidades, guardias guías, selección de Dispositivos de seguridad, de seguridad, cerraduras, Personal, Identificación y Control ambiental, Entrenamiento y Autenticación Detección de Intrusos Educación de Seguridad Controles Físicos Controles Técnicos Los controles deben ser Controles Administrativos seleccionados basados en Activos, Información el costo de de la Organización implementación, el costo de riesgo reducido y la pérdida potencial si un incidente de seguridad ocurre
  • Los Controles pueden ser:• Disuasivos: Para reducir la probabilidad de las amenazas ola susceptibilidad a estas a través de una variedad de mediospara reducir el riesgo• Preventivos: Para reducir las vulnerabilidades y hacer queun ataque no tenga éxito o reducir el impacto que tendría.• Correctivos: Reduce el impacto• Detección: Identifica ataques o investigaciones queconduzcan a un ataque o que desencadenen controlespreventivos
  • Tratar los riesgosInvolucra identificar la Estrategia acorde para tratar losriesgos, evaluar las opciones dentro de ellas, elaborar losplanes para el tratamiento de los riesgos y ejecutarlos.Identificación de Estrategias para el tratamiento de losriesgos – Evitar el riesgo – Mitigar los riesgos – Transferir los riesgos – Retener o Aceptar los riesgos
  • Tratar los riesgosEvaluación de opciones de tratamiento de los riesgosEsta son evaluadas sobre la base del alcance de la reducción del riesgo,pueden considerarse y aplicarse una cantidad de opciones individual ocombinada.Siempre se considera los costos y beneficios de implementar cada opción.Cuando el costo acumulado de implementación de todos los tratamientos deriesgos excede el presupuesto disponible, el plan debería identificarclaramente el orden de prioridad bajo el cual deberían implementarse.Las opciones de tratamiento de los riesgos deberían considerar como espercibido el riesgo por las partes afectadas y las formas mas apropiadas decomunicárselo a dichas partes.(Anexos A,B,C,D)
  • Tratar los riesgosElaborar Planes de Tratamiento del RiesgoEstos van a documentar como deben ser implementadas las opcionesseleccionadas. Este plan identifica las responsabilidades, el programa, losresultados esperados, el presupuesto, las medidas de desempeño y el procesode revisión a establecer.Debe incluir los mecanismos para evaluar la implementación de las opcionescontra criterios de desempeño, las responsabilidades individuales y otrosobjetivos.Ejecutar Planes de tratamiento del RiesgoEste debe ser administrada por aquellas personas con mejor posibilidad decontrolar los riesgos.El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo deadministración que especifique los métodos seleccionados, asigneresponsabilidades y compromisos.Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgosresiduales.
  • Selección de Controles (Anexo A)• Selección según nivel de riesgo evaluado y el orden deimportancia.• Análisis costo/beneficio• Capacidad de implantar las medidas de mitigación•Selección de controles mas efectivos y eficientes.•Participación de las unidades afectadas
  • Controles para reducir la Probabilidad (Anexo B)– Programas de auditoria y cumplimiento– Condiciones contractuales– Revisiones formales de requerimientos, especificaciones, diseño, ingeniería y operaciones– Inspecciones y controles de procesos– A}dministración de inversiones y carteras– Mantenimiento preventivo– Aseguramiento de calidad, administración y estándares– Investigación y desarrollo, desarrollo tecnológico– Supervisión– Capacitación estructurada y otros programas– Comprobaciones– Acuerdos organizacionales– Controles técnicos
  • Controles para reducir el Impacto (Anexo C)– Planeamiento de contingencia– Arreglos contractuales– Condiciones contractuales– Características de diseño– Planes de recuperación de desastres– Planeamiento de control de fraudes– Minimizar la exposición a fuentes de riesgo– Planeamiento de cartera– Política y control de precios– Separación o reubicación de una actividad y recursos– Relaciones públicas– Otros.
  • Costo de Controles (Anexo D)Se debe considerar el TCO para el ciclo de vida total delcontrol o contramedidas:• Costos por adquisición, si los hubiere• Costos por utilización e implementación• Costos por mantenimiento y soporte• Costo de Licencias• Costos de prueba y evaluación• Monitoreo y exigibilidad del cumplimiento• Inconvenientes para los usuarios• Costo por actualizaciones• Capacitación sobre nuevos procedimientos• Capacitación en tecnologías que sean aplicables(TCO: Total Cost of Ownership)
  • Riesgo Residual CONTROLES RIESGO + CONTROLES = IMPLEMENTADOSEVALUADO APROBADOS RIESGO RESIDUAL Luego de la implementación de los controlesqueda un riesgo residual debido a que en la práctica no hay retorno sin riesgo y los controles no lo eliminan totalmentepor diversos factores, entre ellos el equilibrio costo/beneficio.
  • Riesgo AceptablePara la aceptación definitiva de los riesgos la organizacióndebe tener en cuenta:• La política organizacional• Sensibilidad y criticidad de los activos involucrados• Niveles aceptables de los posibles impactos• Rentabilidad de la implementación
  • Matriz de Controles
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Monitorear y Revisar
  • Monitorear y RevisarEs necesario monitorear los riesgos, la efectividad del plan detratamiento de los riesgos, las estrategias y el sistema deadministración que se establece para controlar la implementación.Los riesgos y los controles implementados necesitan sermonitoreados para asegurar que las circunstancias cambiantes noalteren las prioridades de los riesgos.La Revisión es esencial para asegurar que el plan deadministración se mantiene relevante y vigente. Esta actividad esuna parte integral del plan de tratamiento de la administración deriesgos.
  • Comunicar y ConsultarEstablecer Identificar Analizar Evaluar Tratar el los los los los Contexto Riesgos Riesgos Riesgos Riesgos Monitorear y Revisar Comunicar y Consultar
  • Comunicar y ConsultarConsideración importante en cada paso del proceso de la gestión deriesgos. Es importante desarrollar un plan de comunicación con losinteresados internos y externos en la etapa mas temprana del proceso.La comunicación y consulta involucra un diálogo en ambas direccionesentre los interesados.Las percepciones de los riesgos pueden variar debido a diferencias en lossupuestos, conceptos, necesidades, aspectos y preocupaciones de losinteresados. Los interesados probablemente harán juicios de aceptabilidadde los riesgos basados en su percepción de los mismos.Dado que los intereses pueden tener un impacto significativo en lasdecisiones tomadas, es importante que sus percepciones de los riegos, asícomo, sus percepciones de los beneficios, sean identificadas ydocumentadas y las razones subyacentes para las mismas comprendidasy tenida en cuenta.
  • DocumentaciónEs necesario documentar cada etapa del proceso de gestión de riesgos ydeben incluir los supuestos, los métodos, las fuentes de datos y losresultadosRazones para la documentación: – Demostrar que el proceso es conducido apropiadamente – Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos – Proveer un registro de los riesgos y desarrollar la base de datos de conocimiento de la organización – Proveer a los tomadores de decisión relevantes, de un plan de gestión de riesgos para aprobación y subsiguiente implementación – Facilitar el continuo monitoreo y revisión – Proveer una pista de auditoria – Compartir y comunicar información
  • Documentación de la Gestión del RiesgoDocumentación mínima necesaria para la gestión de la riesgo:1. Un registro de riesgo – para cada riesgo identificado, contiene: - Fuente y naturaleza del riesgo - Controles existentes2. Consecuencia y probabilidad - Pérdida de ingresos, gastos inesperados - Riesgo legal (de incumplimiento regulatorio y contractual) - Procesos Interdependientes - Clasificación inicial del riesgo3. Plan de acción y Mitigación de riesgos, que proporcione: - Responsabilidad de implementar el plan - Recursos que se van a utilizar y asignación del presupuesto - Frecuencia de cumplimiento - Detalle de mecanismos/medidas de control
  • Documentación de la Gestión del Riesgo4. Documentos de Auditoria y Monitoreo que incluyan: - Resultado de auditorias/revisiones y otros procedimientos de monitoreo - Seguimiento de las recomendaciones de la revisión y el estado de su implementación
  • Software para la Gestión de Riesgos