Programa de Administración de Riesgos.

Gobierno de riesgos de TI 1 Gobierno de riesgos de TI 2 3 Organización (gente, programa, función) Identificación y análisis de riesgos Política y normas Marco de proceso, riesgo y control 4 Evaluaciones de riesgo Estrategias de riesgos Impulso del negocio y requisitos regulatorios. Proceso de riesgo y procedimiento operativos. 5 2 Herramientas y tecnológicos. 1 Monitoreo e información de cumplimiento

RESULADOS: Riesgos. Una cultura de concientización del riesgo establecida desde los niveles mas altos y que se difunden a toda la empresa. Operaciones de riesgo y control optimizadas. Costo. Esfuerzos enfocados en los riesgos que realmente importan en lugar de enfocarse en las áreas de bajo riesgo. Valor. Crear la confianza para tomar riesgos en lugar de simplemente buscar evitarlos. La función de riesgo ofrece sugerencias para mejorar el proceso

1) Monitoreo y presentación de información del gobierno y cumplimiento de riesgos de TI. La propiedad, responsabilidad y supervisión son los fundamentos de cualquier programa de administración de riesgos. El componente de gobierno del riesgo de un programa del ITRM debe contar con un líder eficaz, es decir, un ejecutivo que pueda manejar iniciativas empresariales estratégicas y técnicas en los diferentes ambientes TI.

2) Impulsores de negocios, requisitos reglamentarios y la estrategia de riesgos (TI) La mayoría de las empresas no dedican suficiente tiempo para definir claramente los asuntos de negocios críticos o los impulsores de negocios que generan la necesidad de contar con un programa de ITRM. Estos impulsores deben estar alineados con los objetivos de negocio, los requisitos reglamentarios ya la directrices del consejo de administración y la alta administración.

3) Organización/ Identificación y análisis de riesgos/ políticas y normas La ITRM debe contar con una definición adecuada de las funciones y responsabilidades, así mismo, un programa de ITRM debe definir políticas, normas y lineamientos que sean justos para todas las partes y que proporcionen una administración eficaz de los procedimientos de los operativos que sean del mismo. Debido a que las empresas operan en un entorne de riesgo de cambio constantes, esta necesitan establecer un proceso congruente para identificar y clasificar los riesgos, lo cual incluye definir una taxonomía para los riesgos y controles internos, la clasificación de riesgos, la priorización de brechas y parámetros.

4) Marco de proceso, riesgo y control Las empresas deben contar con un modelo que incorpore un marco del proceso, riesgos y controles de TI con base en los requisitos reglamentarios, internos y de practicas líder. Además, las empresas deben diseñar metodologías y procedimientos para permitir un procesos de evaluación de riesgos sustentables y repetibles de riesgos de TI par apoyar los objetivos de la ITRM.

5) Procesos de riesgo y procedimientos operativos. Los procesos y procedimientos operativos son la parte medular de la fase de ejecución de un programa de ITRM y deben estar directamente relacionados con la norma de administración de riesgos seleccionada. Los elementos centrales deben incluir: Administración de perdidas por incidentes para registrar los eventos y estimar si impacto financiero. Aseguramiento y coordinación reglamentaria para los procesos de administración de riesgos. Métricas y presentación de información de riesgos para contar con una perspectiva continua de la exposición al riesgo.

Administración de problema para el manejo de estos de manera operativa. Aceptación del riesgo para los riesgos residuales por parte de la administración. Administración de amenazas y vulnerabilidad. Administración de crisis durante desastres y eventos importantes. Concientización y capacitación para mejorar la capacidades con el objetivo de lograr la excelencia operativa en la ITRM.