1. Proceso de Gestión de
Riesgos de TI
Dra. Ing. Jessie Leila Bravo Jaico
Docente principal UNPRG
Email: jbravo@unprg.edu.pe
2. EVALUACIÓN DE LOS
RIESGOS DE TI –CRITERIOS
Sobre la base de los resultados del análisis
de los riesgos, se compara el nivel de riesgo
analizado con los criterios de riesgo
establecidos, con la finalidad de:
• Ayudar a la toma de decisiones.
• Determinar cuáles son los riesgos a tratar.
• Determinar la prioridad en el tratamiento
de los riesgos.
3. EVALUACIÓN DE LOS
RIESGOS DE TI
• OJO1: En algunas circunstancias, es
posible que la evaluación del riesgo
analizado pueda llevar a decidir un
análisis de mayor profundidad y detalle.
• OJO2: También es posible que la
evaluación del riesgo pueda decidir no
tomar medidas de tratamiento.
7. SELECCIÓN Y PRIORIZACIÓN
–CRITERIOS
Las respuestas al riesgo pueden ubicarse en los cuadrantes:
• Prioridad alta: Respuestas muy efectivas y eficientes en costos
para los riesgos altos.
• Prioridad normal: Tanto las respuestas más costosas o difíciles
para los riesgos altos, como las respuestas efectivas y eficientes
para los riesgos menores, requieren un análisis cuidadoso y
decisión de la gerencia sobre las inversiones.
• Prioridad baja: Las respuestas para los riesgos bajos pueden
resultar costosas y pueden no demostrar un buen ratio de
costo/beneficio.
• ¿Qué deciden si deben atender riesgos regulatorios?
• ¿Qué deciden si deben atender riesgos excepcionales?
10. Práctica
• Identifique alternativas para mitigar los
riesgos registrados en su trabajo.
• Con frecuencia, es útil referirse a los
siguientes criterios:
– A nivel Personas.
– A nivel Procesos.
– A nivel Tecnología.
12. Práctica
• Identifique alternativas para evitar los
riesgos registrados en su trabajo.
• Con frecuencia, es útil referirse a los
siguientes criterios:
– A nivel Estratégico.
– A nivel Personas.
– A nivel Procesos.
– A nivel Tecnología.
14. Práctica
• Identifique alternativas para aceptar los
riesgos registrados en su trabajo.
• Con frecuencia, es útil referirse a los
siguientes criterios:
– A nivel Personas.
– A nivel Procesos.
– A nivel Tecnología.
16. Práctica
• Identifique alternativas para
compartir/transferir los riesgos registrados
en su trabajo.
• Con frecuencia, es útil referirse a los
siguientes criterios:
– A nivel Personas.
– A nivel Procesos.
– A nivel Tecnología.
19. Consideraciones
Directrices para reportar riesgos:
• Proceso de comunicación y reporte de
riesgos.
• Aplicación de conceptos de agregación de
riesgos.
• Expresando los riesgos de TI en términos
de negocios: Riesgo y oportunidad.
22. INDICADORES DE RIESGOS
• Los indicadores de riesgos son métricas
EFECTIVAS, COMPARABLES Y FÁCILES de
ser utilizadas para indicar cambios en el
comportamiento de riesgos relevantes,
alrededor de umbrales pre-definidos. Sus
propósitos pueden ser:
– Establecer mecanismos de seguimiento, reporte y
respuesta sobre cambios significativos en los riesgos
o incidentes relacionados con los riesgos.
– Combinar y/o agregar indicadores operativos para su
uso a nivel gerencial.
23. INDICADORES DE RIESGOS
• Deben incluir medidas en que se basan, algoritmo de
cálculo, umbrales de aviso y alarma, periodicidad de
evaluación, alerta y reporte.
• Se requiere definir técnicas y herramientas de
recolección, agregación, validación y análisis de datos
alimentadores.
• Suelen ser ubicados en puntos clave de control, con
efecto en impacto y frecuencia.
• Ojo con riesgos inherentes altos, riesgos residuales en
cuadrantes no deseados, etc.
• Deben ser asignados en propiedad a responsables.
24. INDICADORES DE RIESGOS –
KRI
KRI (Key Risk Indicator):
• Indicadores sobre riesgos relevantes: Continuidad, calidad,
participación y respuesta de mercado, reclamos, errores, crisis,
• costos, penalidades, satisfacción, etc.
• Suelen agruparse según modelo corporativo de riesgos.
• Suelen indicar tendencias o probabilidad de ocurrencia de riesgos.
• Propuestos por los responsables de riesgos. Aprobados por el
propietario del riesgo.
• Beneficios:
– Monitorean la evolución de los riesgos.
– Apoya la toma de decisiones.
– Oportunidades de mejora.
– Medición versus apetito y tolerancia al riesgo.
– Ayuda a optimizar ERM.
25. INDICADORES DE RIESGOS –
KRI
Estratégicos:
• KRI-E1: Participación anual de mercado en segmento masivo.
• KRI-E1 Umbrales (Porcentaje): [100 – 75], [74 – 40], [39 - …]
Tácticos:
• KRI-T1: Ratio de morosidad mensual por colocaciones premium.
• KRI-T1 Umbrales (Porcentaje): [0 – 2], [3 – 10], [11 - …]
Operativos:
• KRI-O1: Tiempo semanal acumulado de indisponibilidad de servidor
de producción.
• KRI-O1 Umbrales (Horas): [0 – 2], [2.1 – 4], [4.1 - …]
26. INDICADORES DE RIESGOS –
KPI
KPI (Key Performance Indicator):
• Determinan qué tan bien se ejecuta un proceso,
procedimiento o actividad al posibilitar que se logre una
meta.
• Son indicadores de las capacidades, prácticas y
habilidades relacionadas con una determinada actividad
o proceso.
Tipos de KPIs:
• Mapas de calor, modelos de madurez, etc.
Beneficios:
• Evalúan efectividad de procesos.
• Apoya la toma de decisiones táctica y operativa.
• Permite definir opciones de mejora continua.
27. Criterios de selección
• Impacto: Controles que cubren riesgos de alto
impacto.
• Esfuerzo: Controles fáciles de monitorear.
• Confiabilidad: Relación estrecha entre el riesgo
y los controles.
• Sensitividad: Refleja con precisión los cambios
en el riesgo.
• Repetible: Muestra tendencias y patrones en
actividad y sus resultados.
31. MONITOREO DE RIESGOS DE TI
• El monitoreo de riesgos
se efectúa mediante la
selección de KRIs de
todos los controles y
puntos de datos
disponibles y relevantes.
• Refleja las prioridades del
negocio y el alineamiento
con el apetito de riesgos.
• Sus objetivos son: