Gestión de Riesgos

…¿ Que debo proteger y de que me debo de proteger?

…¿ Esto es un riesgo o es una amenaza?

…¿ Como nos preparamos para eventos no deseados?

…¿Como minimizamos el impacto si el evento se

materializa?

…¿ Cual es el nivel de riego que estamos dispuestos a

aceptar ?

…¿ A que aplicamos los controles? A la vulnerabilidad, a

la amenaza, a ambos.

Marcos de Referencia

ISO/DIS 31000

IEC/DIS 31010

BS 31100

ISO/IEC 27005

ITGI- Risk IT Framework

Basilea II

Octave

NIST SP 800-30

AS/NZ 4360

Magerit

BS 7799-3

Microsoft – SRMG

CRAM

M_o_R

Gestión del Riesgo

El Riesgo es la probabilidad de que un incidente o transacción ocasione

pérdidas financieras o daños patrimoniales a la organización, su personal,

sus activos o su reputación en general obstaculizando el logro de los

objetivos estratégicos, operativos y financieros de la organización.

Aplicación sistemática de controles

• Administrativos

• Técnicos

• Físicos

que permita minimizar el riesgo a un nivel aceptable.

La Gestión del Riesgo es una función fundamental y vital de la

Seguridad de Información

El Riesgo es una característica de

la vida del negocio y debido a que

resulta impráctico y poco

económico eliminar los riesgos,

cada organización tiene un nivel

de Riesgo Aceptable

Para la aceptación definitiva de los riesgos la organización

debe tener en cuenta:

• La política organizacional

• Sensibilidad y criticidad de los activos involucrados

• Niveles aceptables de los posibles impactos

• Rentabilidad de la implementación

• Apetito del riesgo

Riesgo Aceptable

Términos Comunes

•Amenaza

•Vulnerabilidad

•Impacto

•Apetito del Riesgo

•Control

•Respuesta al Riesgo

•Probabilidad

•Riesgo Inherente

•Riesgo Residual

•Valuación

•Clasificación de Activos

•Información Crítica

•Información Sensible

Categorías de Riesgos Operativos

• Riesgo ambiental operativo y de instalaciones

• Riesgo de salud y seguridad

• Riesgo de seguridad de información

• Riesgo de marco de control

• Riesgo legal y de incumplimiento regulatorio

• Riesgo de gobierno corporativo

• Riesgo reputacional o imagen

• Riesgo estratégico

• Riesgo de procesamiento y desempeño

Categorías de Riesgos Operativos

• Riesgo Tecnológico

• Riesgo de administración de proyectos

• Riesgo de actos ilícitos o delictivos

• Riesgo de recursos humanos

• Riesgo de proveedores

• Riesgo de información gerencial

• Riesgo de ética

• Riesgo Geopolítico

• Riesgo Cultural

• Riesgo Climático

Metodologías de Evaluación del Riesgo

Método Cuantitativo (Objetivo): Basado en el impacto material,

monetario e inmediato.

Método Cualitativo (Subjetivo): Basado en el criterio y

raciocinio humano capaz de definir un proceso de trabajo

para evaluar los riesgos en base a la experiencia del

proceso del negocio.

Método Cuantitativo = Costo Monetario del Riesgo

Ventajas de los Métodos de Evaluación del Riesgo

Cuantitativo/Objetivo

• Enfoca el análisis mediante el uso de números

• Facilita la comparación de vulnerabilidades muy distintas

• Proporciona una cifra “justificante” para cada control.

• Enfoca lo amplio que se desee

• Plan de trabajo flexible y reactivo

• Se concentra en la identificación de eventos

• Incluye valores intangibles

Cualitativo/Subjetivo

•Cálculos complejos

•Estimación de las pérdidas sólo si son valores justificables.

•Difíciles de mantener o modificar

•La evaluación es un proceso subjetivo

•Depende fuertemente de la habilidad y calidad del personal

involucrado.

•Puede existir riesgos significantes desconocidos.

Cuantitativo/Objetivo

Cualitativo/Subjetivo

Desventajas de los Métodos de

Evaluación del Riesgo

Proceso de Gestión del Riesgo

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

ESTABLECER EL

CONTEXTO

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Establecer el contexto

Esto se desarrolla dentro de la estructura del contexto estratégico,

organizacional y de administración de riesgos de una organización.

El contexto Estratégico: Relación entre la organización y su entorno,

identificando el FODA de la empresa, incluye aspectos financieros, operativos,

políticos, sociales, culturales y legales.

Debería existir una relación cercana entre la misión u objetivos estratégicos de la

organización y la gestión de los riesgos a los cuales esta expuesta

El contexto Organizacional: Es necesario comprender la organización y sus

capacidades, así como sus metas y objetivos, y las estrategias a lograr.

El Contexto de la Administración de Riesgos: Establecer la meta, objetivos,

estrategias, alcance, y parámetros de la actividad o parte de la organización a la

cual se esta aplicando el proceso de gestión de riesgos.

Desarrollar Criterios: Contra los cuales se va a evaluar el riesgo, las

decisiones concernientes a aceptabilidad de riesgos y tratamiento de riesgos,

estos pueden basarse en criterios operativos, técnicos, financieros, legales,

sociales, etc.

Definir la Estructura: Separar la actividad o proyecto en un conjunto de

elementos, estos proveen una estructura lógica para identificación y análisis

lo cual ayuda a asegurar que no se pasen por alto los riesgos significativos.

Esta estructura va depender de la naturaleza del riesgo y del alcance del

proyecto o actividad.

Establecer el contexto

Identificar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Identificación de riesgos

Representa una etapa crítica la Identificación por lo tanto se necesita de un

proceso sistemático bien estructurado, porque los riesgos potenciales que no se

identifiquen en esta etapa son excluidos de un análisis posterior.

¿Qué puede suceder?

Desarrollar una lista amplia de eventos que podrían afectar a cada elemento de

la estructura definida.

¿ Como puede suceder?

Se considera causas y escenarios posibles

Herramientas y Técnicas: Incluyen checklists, juicios expertos, registros,

diagrama de flujo, análisis de sistemas, de escenarios, tormentas de ideas, etc.

Analizar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Análisis de riesgos

El análisis de riesgo involucra prestar consideración a las fuentes de riesgos, sus

amenazas, consecuencias y probabilidades de ocurrencia. Se analiza el riesgo

combinando estimaciones de consecuencias, amenazas y probabilidades en el

contexto de las medidas de control existente.

Determinar los controles existentes: Identificar la administración, sistemas

técnicos y procedimientos existentes para controlar los riesgos y evaluar sus

fortalezas y debilidades.

Consecuencias y Probabilidades: La magnitud de las consecuencias de un

evento, si el mismo ocurriera, y la probabilidad del evento y sus consecuencias,

se evalúan en el contexto de los controles existentes.

Las consecuencias y probabilidades se combinan para entregar un nivel de

riesgo.

DETERMINACION

DEL

ENTORNO

ACTUAL

IDENTIFICACION

DE

AMENAZAS

IDENTIFICACION

DE

VULNERABILIDAD

DETERMINACION

DE

PROBABILIDAD

ANALISIS DE

IMPACTO

VALORACION

DEL

RIESGO

Análisis de Riesgos

Determinación del Entorno Actual

• Identificación de los Procesos críticos y sensibles de la empresa

• Identificación de los activos de la Información y de Tecnología

de la información (Hardware, Software, Aplicaciones, etc.).

• Identificación del Personal usuario y técnico

• Identificación de procedimientos políticas y controles existentes

• Clasificación de los activos.

DETERMINACION

DEL

ENTORNO

ACTUAL

Determinación del Entorno Actual

Técnicas de Extracción de Información

• Cuestionarios/Plantillas: Preguntas para recolectar información

• Entrevistas: Personal responsable

• Revisión de documentos

DETERMINACION

DEL

ENTORNO

ACTUAL

Identificación de Amenazas

Fuentes de amenazas comunes:

• Naturales

• Humanas

• Ambientales

• Identificar las fuentes de amenazas

• Evaluaciones e informes anteriores

• Revisión de bases de datos de fuentes de agencias

especializadas.

• Identificar las amenazas accidentales e intencionales

Motivación: Componente potencial de la amenaza

humana, esto hace del personal descontento, ex

empleados, clientes insatisfechos, etc.

IDENTIFICACION

DE

AMENAZAS

IDENTIFICACION

DE

AMENAZAS Identificación de Amenazas

Tipos comunes de amenazas:

• Errores

• Accidentes

• Daño/Ataque malicioso

• Incidentes/Fenómenos naturales

• Fraude

• Robo

• Falla en quipo/Software

• Pérdida de servicios

• Fuga de información

• Sabotaje

• Terrorismo

Identificación de Amenazas

Relación de Amenazas potenciales

por cada recurso particular,

indicando su naturaleza,

características, etc.

IDENTIFICACION

DE

AMENAZAS

Resultado

Identificación de Vulnerabilidades

• Revisión de Informes de auditoria

• Resultados de pruebas de seguridad

• Inspecciones físicas

• Revisión de información y boletines que

envían los fabricantes de HW y SW de

tecnología

IDENTIFICACION

DE

VULNERABILIDAD

Técnicas de Extracción

• Herramientas de Escaneo de Vulnerabilidades

automatizadas

• Ethical Hacking

• Test de control de calidad (scripts, checklist,

procedimientos, etc)

IDENTIFICACION

DE

VULNERABILIDAD Identificación de Vulnerabilidades

Tipos comunes de vulnerabilidades:

• Software defectuoso

• Equipo configurado en forma inapropiada

• Cumplimiento forzoso inadecuado

• Diseño deficiente de redes

• Procesos defectuosos o incontrolados

• Administración inadecuada

• Personal insuficiente

• Falta de conocimiento

• Falta de mantenimiento

• Tecnología no probada

• Falta de redundancia

• Transmisiones de comunicaciones no protegidas

• Comunicaciones gerenciales deficientes

IDENTIFICACION

DE

VULNERABILIDAD Identificación de Vulnerabilidades

IDENTIFICACION

DE

VULNERABILIDAD

• Lista de potenciales vulnerabilidades por activo evaluado

• Valoración relativa de cada activo respecto a su

vulnerabilidad.

Resultado

Las amenazas y vulnerabilidades que no pueden causar un

impacto son irrelevantes

Identificación de Vulnerabilidades

Determinación de Probabilidad

Determinación de los valores de la probabilidad por activo-

amenaza, considerar en la determinación los controles

existentes.

DETERMINACION

DE

PROBABILIDAD

PROBABILIDAD DEFINICIONES

Insignificante Improbable de ocurrir

Muy bajo Posible de ocurrir dos/tres veces cada 5 años

Bajo Posible de ocurrir cada año o menos

Medio Posible de ocurrir cada 6 meses o menos

Alto Posible de ocurrir una vez al mes o menos

Muy alto Posible de ocurrir muchas veces en un mes

o menos

Extremo Posible de ocurrir múltiples veces en un día

DETERMINACION

DE

PROBABILIDAD

Listado de activos valorados

respecto a su amenaza y

probabilidad de ocurrencia

Resultado

Determinación de Probabilidad

Análisis de Impacto

• Participación de los propietarios de la Información

• Medición efectuada en términos financieros

• Evaluación en base a la pérdida de las características de la

seguridad. (Disponibilidad, Integridad y Confidencialidad)

ANALISIS DE

IMPACTO

• Menor: No afecta la operatividad del negocio

• Significativo: Impacto o daño tangible, se requieren de gasto

de recursos para reparar.

• Daño: Impacta a la imagen, pérdidas de la confidencialidad, se

requiere un gasto significativo de recursos para repararlo

• Serio: Impacta al negocio interrumpiendo parcial o total la

operatividad. Puede afectar el compromiso de

información o servicio.

Ejemplos de impacto expresados en pérdidas financieras:

• Pérdida directa de dinero (efectivo o crédito)

• Responsabilidad penal o civil

• Pérdida de reputación/buen nombre

• Reducción en el valor de las acciones

• Poner en peligro al personal o a los clientes

• Violaciones de la confidencialidad

• Pérdida de oportunidades de negocio

• Reducción en el desempeño/eficiencia operativos

• Interrupción de las actividades de negocio

ANALISIS DE

IMPACTO

Análisis de Impacto

• Listado de la valoración de los

activos.

•Cuantificación del impacto

financiero.

Resultado

ANALISIS DE

IMPACTO

El Impacto es el elemento fundamental para la Gestión de

Riesgos

Análisis de Impacto

• Magnitud del impacto

• Determinación de los riesgos debilidad / amenaza

• Probabilidad de que explote una amenaza

Valoración del Riesgo

• Extremo: Requiere de acción inmediata

• Alto: Requiere de la atención de la Dirección

• Moderado: Requiere la asignación de responsabilidades a la

Gerencia

• Bajo: Requiere la administración de procedimientos de rutina

VALORACION

DEL

RIESGO

VR = V x P x I

- VR: Valor del Riesgo

- V: Vulnerabilidad

Cuando el VR es calculado utilizando el impacto en términos

económicos, el VR es la pérdida económica probabilística.

- P: Probabilidad

- I : Impacto

VALORACION

DEL

RIESGO Valoración del Riesgo

Matrices de Riesgo

ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO

Base de Datos de

Cobranzas Fraude Muy Alta Seria Extremo

Base de Datos de

Finanzas

Incumplimiento

legales Alta Significativa Alto

Base de Datos de

Marketing

Fuga de

información Medio Menor Bajo

Activo Amenaza Proceso Vulnerabilidad Probabilidad Impacto Valor del Riesgo

Base de Datos

Finanzas Fraude Negociaciones 0,2 0,01 100000 200

Base de Datos

Marketing Robo Fidelizacion de Clientes 0,1 0,01 50000 50

Matrices de Riesgo

BAJO MEDIO ALTO

ALTO3 6 9

MEDIO2 5 8

BAJO1 4 7

IMPACTOPRO

BA

BIL

IDA

D

Matrices de Riesgo

ALTA 3

15

Zona de Riesgo Moderado

30

Zona de Riesgo Importante

60

Zona de Riesgo Inaceptable

MEDIA 2

10

Zona de Riesgo Tolerable

20

Zona de Riesgo Moderado

40

Zona de Riesgo Importante

BAJA 1

5

Zona de Riesgo Aceptable

10

Zona de Riesgo Tolerable

20

Zona de Riesgo Moderado

5 10 20

LEVE MODERADO CATASTROFICO

IMPACTO

PR

OB

AB

ILID

AD

Matrices de Riesgo

Casi Cierto

5 5 - 20% 10 - 40% 15 - 60% 20 - 80% 25 - 100%

Probable

4 4 - 16% 8 - 32% 12 - 48% 16 - 64% 20 - 80%

Posible

3 3 - 12% 6 - 24% 9 - 36% 12 - 48% 15 - 60%

Improbable

2 2 - 8% 4 - 16% 6 - 24% 8 - 32% 10 - 40%

Raro

1 1 - 4% 2 - 8% 3 - 12% 4 - 16% 5 - 20%

Insignificante

1

Menor

2

Moderada

3

Mayor

4

Catastrófico

5

IMPACTO

PR

OB

AB

ILID

AD

Matrices de Riesgo

Valor

RIESGO EXTREMO Se requiere de acciones inmediatas Entre 51% - 100%

RIESGO ALTO Se requiere de acciones a corto plazo Entre 31% - 50%

RIESGO MODERADO Se requiere de acciones a mediano plazo Entre 16% - 30%

RIESGO BAJO Se requiere de acciones a largo plazo Entre 1% - 15%

ZONA DE RIESGO

Matrices de Riesgo

Conceptos

Factor de Exposición (EF): Porcentaje de pérdida o impacto

causada por una amenaza. Este valor es necesario para el cálculo

del SLE

0% < EF < 100 %

Expectativa de pérdida individual (SLE).- Es el valor monetario

perdido por la ocurrencia de evento.

SLE = Valor del activo ($) * EF

Otras fórmulas de Análisis de Riesgos

Conceptos (Cont…)

Tasa de Ocurrencia Anual (ARO).- Representa la frecuencia en el

cual un evento ocurre dentro del periodo de un año.

El ARO es considerado como cantidad o probabilidad (según el

análisis)

Expectativa de Pérdida Anualizada (ALE): Representa la pérdida

anual producida por una amenaza individual.

ALE = SLE * ARO

Fórmulas de Análisis de Riesgos

Amenaza Valor del Activo

x FE = SLE x ARO = ALE

Fuego $ 1.0 M x 0.5 = $ 500,000 x 0.1 = $ 50,000

Robo $ 1.0 M x 0.00005 = $ 50 x 1000 = $ 50,000

Ejemplo

Evaluar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Evaluación de Riesgos

Involucra comparar el nivel de riesgo detectado durante el proceso de

análisis con criterios de riesgo establecido previamente.

El resultado de la evaluación es una lista priorizada para una acción

superior y se considera para ello los objetivos del negocio y el grado de

oportunidad que podría resultar de tomar el riesgo.

Los riesgos resultantes que caen dentro de las categorías de riesgos

bajos y aceptables pueden ser aceptados con un tratamiento futuro

mínimo pero deben ser monitoreados y revisados periódicamente para

asegurar su aceptabilidad.

Los riesgos que no caen dentro de la categoría de riesgos bajos o

aceptables deberán ser tratados para controlarlos.

Tratar los Riesgos

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Tratar los Riesgo

Riesgo Evaluado y

Priorizado

Mitigar Transferir Evitar

Ejecución del Plan de Tratamiento

del Riesgo

Selección de Estrategia y Elaboración

del Plan de Tratamiento de Riesgo

Aceptable

Co

mu

nic

ar y

Co

nsu

ltar

Mo

nito

rea

r y R

evis

ar

¿Riesgo

Aceptable?

Aceptable ¿Riesgo

Aceptable?

SI

NO

NO

SI

CONTROLES

“Políticas, procedimientos, prácticas y estructuras

organizacionales que están diseñados para brindar una confianza

razonable de que se alcanzarán los objetivos del negocio y que

se evitarán, detectarán y corregirán los incidentes”

Activos, Información

de la Organización

Controles Administrativos

Controles Técnicos

Controles Físicos

Controles

Administrativos

Políticas, estándares,

procedimientos,

guías, selección de

Personal,

Entrenamiento y

Educación de Seguridad

Controles

Técnicos

Controles de acceso

Lógico, Encriptación,

Dispositivos de seguridad,

Identificación y

Autenticación

Controles

Físicos

Protección de las

Facilidades, guardias

de seguridad, cerraduras,

Control ambiental,

Detección de Intrusos

Los controles deben ser

seleccionados basados en

el costo de

implementación, el costo

de riesgo reducido y la

pérdida potencial si un

incidente de seguridad

ocurre

• Disuasivos: Para reducir la probabilidad de las amenazas o

la susceptibilidad a estas a través de una variedad de medios

para reducir el riesgo

• Preventivos: Para reducir las vulnerabilidades y hacer que

un ataque no tenga éxito o reducir el impacto que tendría.

• Correctivos: Reduce el impacto

• Detección: Identifica ataques o investigaciones que

conduzcan a un ataque o que desencadenen controles

preventivos

Los Controles pueden ser:

Tratar los riesgos

Involucra identificar la Estrategia acorde para tratar los

riesgos, evaluar las opciones dentro de ellas, elaborar los

planes para el tratamiento de los riesgos y ejecutarlos.

Identificación de Estrategias para el tratamiento de los

riesgos

– Evitar el riesgo

– Mitigar los riesgos

– Transferir los riesgos

– Retener o Aceptar los riesgos

Evaluación de opciones de tratamiento de los riesgos

Esta son evaluadas sobre la base del alcance de la reducción del riesgo,

pueden considerarse y aplicarse una cantidad de opciones individual o

combinada.

Siempre se considera los costos y beneficios de implementar cada opción.

Cuando el costo acumulado de implementación de todos los tratamientos de

riesgos excede el presupuesto disponible, el plan debería identificar

claramente el orden de prioridad bajo el cual deberían implementarse.

Las opciones de tratamiento de los riesgos deberían considerar como es

percibido el riesgo por las partes afectadas y las formas mas apropiadas de

comunicárselo a dichas partes.

(Anexos A,B,C,D)

Tratar los riesgos

Elaborar Planes de Tratamiento del Riesgo

Estos van a documentar como deben ser implementadas las opciones

seleccionadas. Este plan identifica las responsabilidades, el programa, los

resultados esperados, el presupuesto, las medidas de desempeño y el proceso

de revisión a establecer.

Debe incluir los mecanismos para evaluar la implementación de las opciones

contra criterios de desempeño, las responsabilidades individuales y otros

objetivos.

Ejecutar Planes de tratamiento del Riesgo

Este debe ser administrada por aquellas personas con mejor posibilidad de

controlar los riesgos.

El éxito del Plan de tratamiento del riesgo requiere un sistema efectivo de

administración que especifique los métodos seleccionados, asigne

responsabilidades y compromisos.

Se deberá decidir si se retiene o repite el proceso de tratamiento con los riesgos

residuales.

Tratar los riesgos

• Selección según nivel de riesgo evaluado y el orden de

importancia.

• Análisis costo/beneficio

• Capacidad de implantar las medidas de mitigación

•Selección de controles mas efectivos y eficientes.

•Participación de las unidades afectadas

Selección de Controles

(Anexo A)

Controles para reducir la Probabilidad

(Anexo B)

– Programas de auditoria y cumplimiento

– Condiciones contractuales

– Revisiones formales de requerimientos, especificaciones,

diseño, ingeniería y operaciones

– Inspecciones y controles de procesos

– A}dministración de inversiones y carteras

– Mantenimiento preventivo

– Aseguramiento de calidad, administración y estándares

– Investigación y desarrollo, desarrollo tecnológico

– Supervisión

– Capacitación estructurada y otros programas

– Comprobaciones

– Acuerdos organizacionales

– Controles técnicos

– Planeamiento de contingencia

– Arreglos contractuales

– Condiciones contractuales

– Características de diseño

– Planes de recuperación de desastres

– Planeamiento de control de fraudes

– Minimizar la exposición a fuentes de riesgo

– Planeamiento de cartera

– Política y control de precios

– Separación o reubicación de una actividad y recursos

– Relaciones públicas

– Otros.

Controles para reducir el Impacto

(Anexo C)

Se debe considerar el TCO para el ciclo de vida total del

control o contramedidas:

• Costos por adquisición, si los hubiere

• Costos por utilización e implementación

• Costos por mantenimiento y soporte

• Costo de Licencias

• Costos de prueba y evaluación

• Monitoreo y exigibilidad del cumplimiento

• Inconvenientes para los usuarios

• Costo por actualizaciones

• Capacitación sobre nuevos procedimientos

• Capacitación en tecnologías que sean aplicables

(TCO: Total Cost of Ownership)

Costo de Controles

(Anexo D)

Riesgo Residual

+ RIESGO

EVALUADO

CONTROLES

APROBADOS =

CONTROLES

IMPLEMENTADOS

RIESGO RESIDUAL

Luego de la implementación de los controles

queda un riesgo residual debido a que en la práctica no hay

retorno sin riesgo y los controles no lo eliminan totalmente

por diversos factores, entre ellos el equilibrio costo/beneficio.

Para la aceptación definitiva de los riesgos la organización

debe tener en cuenta:

• La política organizacional

• Sensibilidad y criticidad de los activos involucrados

• Niveles aceptables de los posibles impactos

• Rentabilidad de la implementación

Riesgo Aceptable

Matriz de Controles

Monitorear y Revisar

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Monitorear y Revisar

Es necesario monitorear los riesgos, la efectividad del plan de

tratamiento de los riesgos, las estrategias y el sistema de

administración que se establece para controlar la implementación.

Los riesgos y los controles implementados necesitan ser

monitoreados para asegurar que las circunstancias cambiantes no

alteren las prioridades de los riesgos.

La Revisión es esencial para asegurar que el plan de

administración se mantiene relevante y vigente. Esta actividad es

una parte integral del plan de tratamiento de la administración de

riesgos.

Comunicar y Consultar

Tratar

los

Riesgos

Establecer

el

Contexto

Identificar

los

Riesgos

Analizar

los

Riesgos

Evaluar

los

Riesgos

Monitorear y Revisar

Comunicar y Consultar

Comunicar y Consultar

Consideración importante en cada paso del proceso de la gestión de

riesgos. Es importante desarrollar un plan de comunicación con los

interesados internos y externos en la etapa mas temprana del proceso.

La comunicación y consulta involucra un diálogo en ambas direcciones

entre los interesados.

Las percepciones de los riesgos pueden variar debido a diferencias en los

supuestos, conceptos, necesidades, aspectos y preocupaciones de los

interesados. Los interesados probablemente harán juicios de aceptabilidad

de los riesgos basados en su percepción de los mismos.

Dado que los intereses pueden tener un impacto significativo en las

decisiones tomadas, es importante que sus percepciones de los riegos, así

como, sus percepciones de los beneficios, sean identificadas y

documentadas y las razones subyacentes para las mismas comprendidas

y tenida en cuenta.

Documentación

Es necesario documentar cada etapa del proceso de gestión de riesgos y

deben incluir los supuestos, los métodos, las fuentes de datos y los

resultados

Razones para la documentación:

– Demostrar que el proceso es conducido apropiadamente

– Proveer evidencia de un enfoque sistemático de identificación y

análisis de riesgos

– Proveer un registro de los riesgos y desarrollar la base de datos de

conocimiento de la organización

– Proveer a los tomadores de decisión relevantes, de un plan de

gestión de riesgos para aprobación y subsiguiente implementación

– Facilitar el continuo monitoreo y revisión

– Proveer una pista de auditoria

– Compartir y comunicar información

Documentación de la Gestión del Riesgo

Documentación mínima necesaria para la gestión de la riesgo:

1. Un registro de riesgo – para cada riesgo identificado, contiene:

- Fuente y naturaleza del riesgo

- Controles existentes

2. Consecuencia y probabilidad

- Pérdida de ingresos, gastos inesperados

- Riesgo legal (de incumplimiento regulatorio y contractual)

- Procesos Interdependientes

- Clasificación inicial del riesgo

3. Plan de acción y Mitigación de riesgos, que proporcione:

- Responsabilidad de implementar el plan

- Recursos que se van a utilizar y asignación del presupuesto

- Frecuencia de cumplimiento

- Detalle de mecanismos/medidas de control

4. Documentos de Auditoria y Monitoreo que

incluyan:

- Resultado de auditorias/revisiones y otros

procedimientos de monitoreo

- Seguimiento de las recomendaciones de la

revisión y el estado de su

implementación

Documentación de la Gestión del Riesgo

Software para la Gestión de Riesgos