riesgos
Gestión del Riesgo Corporativo
Lic. Franco N. Rigante, CISA,CRISC,PMP
Conferencista – Biografía
Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas de la Universidad
de Buenos Aires, certificado como PMP, con estudios de Posgrado en
Administración y Planeamiento Estratégico.
Trabajó durante 10 años en el Banco Central de la República Argentina,auditando sistemas informáticos de entidades financieras. Actualmente es
Socio de IT Advisory de Grant Thornton Argentina, liderando proyectos
internacionales sobre aspectos de IT Governance, Risk & Compliance. Posee
experiencia laboral en Alemania, España y Honduras, fue profesor en una
Maestría de Auditoría y en carreras universitarias de grado, se ha
desempeñado como Consultor para el BID yel Banco Mundial y ha dictado
conferencias para PMI (Argentina), ITSMF (España) e ISACA (Uruguay).
Es autor de artículos sobre IT-GRC para medios gráficos especializados y forma
parte del equipo de trabajo de ISACA Madrid para la traducción oficial al
castellano de COBIT 5.
Agenda – Road Map
Introducción
Consenso
Conceptual
Selección
Metodología
Ejecución
Proceso deAnálisis de
Riesgos TI
Integración
con Riesgo
Operacional
Toda Organización tiene Riesgos
“Riesgo proviene del italiano risico o rischio que, a su vez,
tiene origen en el árabe clásico rizq (“lo que depara la
providencia”). El término hace referencia a la proximidad
o contingencia de un posible daño.”
(Diccionario de la Real Academia Española)
Riesgos de TI y el Riesgo CorporativoFuente: “Risk IT – Framework - ISACA (Information System Audit and Control)
Governance, Risk & Compliance
Enfoque holístico para maximizar la creación de valor desde IT
para los stakeholders, alineando e integrando las actividades que
la organización realiza sobre:
Gobierno Corporativo
Gestión Integral del Riesgo Corporativo
Cumplimiento de leyes y regulaciones aplicables.Empezando por el Final - Resultados
Riesgo por Proceso
Riesgo por Soluc. Inf.
Riesgo por Tipo Activo
Riesgo por Activo
Riesgo por Amenaza
Ej. Riesgos de TI de Plazo Fijo
Ej. Riesgos del Core Bancario (Solución)
Ej. Riesgos del Hardware
Ej. Riesgos del AS/400
Ej. Riesgos de Acceso No Autorizado
Agenda – Road Map
Introducción
Consenso
Conceptual
SelecciónMetodología
Ejecución
Proceso de
Análisis de
Riesgos TI
Integración
con Riesgo
Operacional
El activo por excelencia, que interesa tanto a clientes
externos, internos, terceros y entes de supervisión y
control es la Información.
Proceso de Negocio = Información + TI/SI
Activo + Valioso
Soportado por
Activos de TI/SI
Ejemplos de Procesos de una Entidad
Productos/Servicios dela Entidad
Caja de
Ahorro
Proceso 1
(Ej. Alta)
Contabilidad
Proceso 2
(Ej.
Operación)
Proceso 3
(Ej. Baja)
Ejemplo de un proceso
Ejemplo de un proceso
Incidencia de TI para un Proceso
%
variable
Riesgo Residual: Componentes
Riesgo residual TI/SI a gestionar
Lo determina
el Propietario
del Negocio
Criticidad
para el
Negocio
Historia +Expectativa
Probabilidad
de
Ocurrencia
Impacto
TI/SI
Lo determina el Dueño
del Riesgo de TI
(experto TI/SI)
(Mitigantes
del Impacto
y de la
Probabilidad)
Amenaza
Concepto de Criticidad para el Negocio
Impacto tecnológico vs criticidad
Determinación del componente tecnológico
Lo determina el
Propietario del
Negocio
Lo determina el
Dueño del
Riesgo de TI
(expertoTI/SI)
Agenda – Road Map
Introducción
Consenso
Conceptual
Selección
Metodología
Ejecución
Proceso de
Análisis de
Riesgos TI
Integración
con Riesgo
Operacional
Ventajas de utilizar una Metodología
•
•
•
•
•
•
•
•
•
mayor objetividad (métricas, cálculos, variables)
documentación / trazabilidad
lenguaje común = mejor comunicación
respaldo en estándares...
Regístrate para leer el documento completo.