viernes, 7 de agosto de 2009

Risk IT Framework Exposure Draft (COBIT)

Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework Exposure Draft


El IT Governance Institute expuso recientemente un draft de la publicación denominada Enterprise Risk: Identify, Govern and Manage Risk, The Risk IT Framework.
  • El Marco de Riesgos de TI (The Risk IT Framework) es producto de la investigación y aporte de la experiencia conjunta de un equipo global de especialistas, cuya misión fue la de facilitar a la alta Gerencia, una administración efectiva de los riesgos de TI relacionados con el negocio, a partir de su identificación y evaluación.
  • Este marco representa el eslabón perdido entre el ERM (Enterprise Risk Management) y el IT Risk Management, cubriendo además en su totalidad el Marco IT Governance del ITGI. Asimismo, este marco se constituyó a partir de los componentes de riesgo relacionados dentro de los marcos actuales, es decir: COBIT y Val IT.

Principios y Bases:

  • El Marco de Riesgo de TI que plantea el ITGI (IT Governance Institute), explica los riesgos de TI y ayuda a quienes lo aplican para:
  1. Integrar la administración de los riesgos de TI, dentro de la administración general de los riesgos empresariales y estructuras de cumplimiento.
  2. Tomar decisiones bien informadas acerca del alcance del riesgo, del apetito al riesgo y su nivel de tolerancia.
  3. Entender cómo responder al riesgo.

  • Además, este Marco de Riesgo de TI atiende muchos aspectos que las organizaciones enfrentan actualmente y provee:
  1. Una apreciación muy atinada de los riesgos relacionados de TI presentes y de futuro inmediato, a través de toda la organización y de las bases con las cuales la organización puede atenderlos.
  2. Una guía punta-a-punta de cómo administrar los riesgos relacionados de TI, mas allá del alcance puramente técnico y de sus medidas de control y seguridad.
  3. Un entendimiento de cómo capitalizar la inversión hecha en un sistema de control interno de TI ya establecido, para administrar los riesgos relacionados de TI.

  • Un marco/lenguaje común para ayudar a administrar la relación entre los tomadores de decisiones (Comités / Alta Dirección), el CIO y la Gerencia a cargo de la administración de riesgos empresariales, ó entre los Auditores y la propia Dirección.

  • La promoción y la responsabilidad de los riesgos y su aceptación a través de toda la organización.


Marco de Riesgo de TI - ¿ A quienes esta dirigido?
  • A la alta Dirección y a sus Comités, quienes necesitan fijar el direccionamiento y monitoreo de los riesgos de toda la organización.
  • Gerentes de TI y departamentos de negocio, quienes necesitan definir un proceso de administración de riesgos.
  • Responsables y profesionales de administración de riesgos, quienes necesitan guías específicas para el manejo del riesgo de TI.
  • Externos relacionados.

Componentes de Riesgo de TI
El Marco tiene tres dominios: Risk Governance, Risk Evaluation y Risk Response divididos en 9 procesos de negocio. Cada uno contiene los siguientes 3 procesos:
Risk Governance (Gobierno del Riesgo)
- Establecimiento y Mantenimiento de una Visión Común de Riesgo
- Integración con ERM (Enterprise Risk Management)
- Toma de Decisiones de Negocio con una Conciencia del Riesgo

Risk Evaluation (Evaluación del Riesgo)
- Recolección de Datos
- Análisis de Riesgo
- Mantenimiento del Perfil de Riesgos

Risk Response (Respuesta al Riesgo)
- Articulando el Riesgo
- Administrando el Riesgo
- Reaccionando a Eventos

Fuente: ISACA Monterrey

UPDATE
Download: Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework Exposure Draft (PDF, 94 Pag. Ingles)



Link relacionado:

No hay comentarios: