El IT Governance Institute expuso recientemente un draft de la publicación denominada Enterprise Risk: Identify, Govern and Manage Risk, The Risk IT Framework.
- El Marco de Riesgos de TI (The Risk IT Framework) es producto de la investigación y aporte de la experiencia conjunta de un equipo global de especialistas, cuya misión fue la de facilitar a la alta Gerencia, una administración efectiva de los riesgos de TI relacionados con el negocio, a partir de su identificación y evaluación.
- Este marco representa el eslabón perdido entre el ERM (Enterprise Risk Management) y el IT Risk Management, cubriendo además en su totalidad el Marco IT Governance del ITGI. Asimismo, este marco se constituyó a partir de los componentes de riesgo relacionados dentro de los marcos actuales, es decir: COBIT y Val IT.
Principios y Bases:
- El Marco de Riesgo de TI que plantea el ITGI (IT Governance Institute), explica los riesgos de TI y ayuda a quienes lo aplican para:
- Integrar la administración de los riesgos de TI, dentro de la administración general de los riesgos empresariales y estructuras de cumplimiento.
- Tomar decisiones bien informadas acerca del alcance del riesgo, del apetito al riesgo y su nivel de tolerancia.
- Entender cómo responder al riesgo.
- Además, este Marco de Riesgo de TI atiende muchos aspectos que las organizaciones enfrentan actualmente y provee:
- Una apreciación muy atinada de los riesgos relacionados de TI presentes y de futuro inmediato, a través de toda la organización y de las bases con las cuales la organización puede atenderlos.
- Una guía punta-a-punta de cómo administrar los riesgos relacionados de TI, mas allá del alcance puramente técnico y de sus medidas de control y seguridad.
- Un entendimiento de cómo capitalizar la inversión hecha en un sistema de control interno de TI ya establecido, para administrar los riesgos relacionados de TI.
- Un marco/lenguaje común para ayudar a administrar la relación entre los tomadores de decisiones (Comités / Alta Dirección), el CIO y la Gerencia a cargo de la administración de riesgos empresariales, ó entre los Auditores y la propia Dirección.
- La promoción y la responsabilidad de los riesgos y su aceptación a través de toda la organización.
Marco de Riesgo de TI - ¿ A quienes esta dirigido?
- A la alta Dirección y a sus Comités, quienes necesitan fijar el direccionamiento y monitoreo de los riesgos de toda la organización.
- Gerentes de TI y departamentos de negocio, quienes necesitan definir un proceso de administración de riesgos.
- Responsables y profesionales de administración de riesgos, quienes necesitan guías específicas para el manejo del riesgo de TI.
- Externos relacionados.
Componentes de Riesgo de TI
El Marco tiene tres dominios: Risk Governance, Risk Evaluation y Risk Response divididos en 9 procesos de negocio. Cada uno contiene los siguientes 3 procesos:
� Risk Governance (Gobierno del Riesgo)- Establecimiento y Mantenimiento de una Visión Común de Riesgo
- Integración con ERM (Enterprise Risk Management)
- Toma de Decisiones de Negocio con una Conciencia del Riesgo
� Risk Evaluation (Evaluación del Riesgo)
- Recolección de Datos
- Análisis de Riesgo
- Mantenimiento del Perfil de Riesgos
� Risk Response (Respuesta al Riesgo)
- Articulando el Riesgo
- Administrando el Riesgo
- Reaccionando a Eventos
Fuente: ISACA Monterrey
UPDATE
Download: Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework Exposure Draft (PDF, 94 Pag. Ingles)
Link relacionado:
No hay comentarios:
Publicar un comentario