MSSM Riesgo TI vWeb 1
Entidades Financieras
Presentación de la Práctica
Buenos Aires
Noviembre 2008
La información contenida en el documento es confidencial y propietaria.
No puede ser distribuida sin la correspondiente aprobación - © Copyright Moore Stephens
Índice
Marco General
Pasos del proceso de Gestión del Riesgo de TI
Análisis de riesgo de TI
Informes Beneficios Esperados
1
Las Entidades Financieras tienen el desafío de implantar Basilea II.
IMPLEMENTACION
1999
2000
2001
2003
2004
2006
2010
3º RONDA
CONSULTIVA
BASILEA II
PRINCIPIOS PARA LA
ADMINISTRACIÓN DEL
RIESGO DE CRÉDITO
ACUERDO
DEFINITIVO
REGULACIONES
BANCARIAS
AUTOCTONAS
2º RONDA CONSULTIVA (PRACTICAS
SÓLIDAS PARA LA ADMINISTRACION Y
SUPERVISION DEL RIESGO OPERATIVO
2El planteo de Basilea II tiene como objetivo encontrar una relación
de capital del banco asociado al riesgo.
3
El riesgo de TI como parte del Riesgo Operacional.
Crédito
Procesos
internos de la
Entidad
Riesgo
Mercado
Personal de la
Entidad
Operativo
Sistemas de
información
Legal
4
El proceso de evaluación y gestión del riesgo de TI debe seguir un
conjunto de pasos sistemáticos.
Gestiónde
Riesgo de TI
Análisis de
Riesgo de TI
Elaborar el
Plan de
Acción
Implantar el
Plan de
Acción
Controlar y
Mantener el
Plan de
Acción
Análisis de
Riesgo de TI
Actividades
de Negocio
Activos
Amenazas
Controles
Riesgo
Residual
5
Conocer el riesgo al que están sometidos los recursos de TI es
imprescindible para gestionarlos.
Negocios
Probabilidad
El gran reto de éste proyecto es lacomplejidad del problema que se
enfrenta.
Riesgo
Residual
Frecuencia
Análisis de
Riesgo
de TI
Activos
Hay muchos elementos que considerar y
si no se es muy riguroso, las
conclusiones serán de poco fiar.
Amenazas
Riesgo
Repercutido
Riesgo
Impacto
Riesgo
Acumulado
Degradación
Controles
Valoración
Es por ello que debe existir una aproximación metódica que no deje lugar
a laimprovisación, ni dependa de la arbitrariedad del consultor.
6
Índice
Marco General
Pasos del proceso de Gestión del Riesgo de TI
Análisis de Riesgo de TI
Informes
Beneficios Esperados
7
Nuestro proceso de evaluación y gestión del riesgo de TI.
GESTIÓN DEL RIESGO DE TI
Análisis de
Riesgo de TI
Plan de Acción
Implantación
del Plan
Control y
Mantenimiento
del Plan
8
El análisis de riesgode TI es el análisis de los activos, sus
amenazas, sus riesgos asociados, y como estos se correlacionan
con los procesos del negocio.
Análisis de
Riesgo de TI
Plan de Acción
Implantación
del Plan
Control y
Mantenimiento
del Plan
• Informe de Riesgo
de TI por Proceso
• Informe de Riesgos
de TI por Activo
Procesos del
negocio
Amenazas
Activos de TI
9
El Plan de Acción es documentar en formaclara y concreta que
conjunto de soluciones deben implementarse de manera de mitigar
los riesgos encontrados.
Análisis de
Riesgo de TI
Plan de Acción
Implantación
del Plan
Control y
Mantenimiento
del Plan
Plan de Accion
Realizar la planificación
– Análisis de las acciones a corto – mediano y
largo plazo.
– Generar escenarios de trabajo.
Priorizar
– Identificar las acciones críticas.
–Hacer una unión entre las inversiones y los
objetivos del negocio.
Valorizar
– Pasar la inversión a aspectos cuantitativos.
– Realizar el plan de negocios que determine el
ROI de la inversión.
10
Implantar el plan de acción es realizar las inversiones, escribir los
procedimientos y generar la cultura de manera que la gestión del
riesgo sea un proceso de cambio.
Análisis de
Riesgo de TI
Plan deAcción
Implantación
del Plan
Control y
Mantenimiento
del Plan
Implantación
Organizar el equipo de proyecto
– Juntar a las partes de manera de consolidar un
equipo de trabajo
Seleccionar las diferentes soluciones
– Identificar las soluciones del mercado y decidir
cual implantar.
– Verificar y controlar si se cumple con las
especificaciones tecnicas.
Realizar el Project Management
–...
Regístrate para leer el documento completo.