Metodología de evaluación del riesgo
Facultad de Ciencias Económicas, Administrativas y Contables
Departamento de Contaduría Pública y Finanzas
Auditoría de Sistemas de Información II
METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE TI RISK IT
CATEDRÁTICOS:
Licenciado Roberto Chang
Licenciado RobertoMartínez
Licenciado Ricardo Casco
Ciudad Universitaria, Tegucigalpa M.D.C.
INTRODUCCIÓN
Existen diversas metodologías para evaluar riesgos de TI y su adopción depende de las necesidades de cada organización; tales metodologías representan una herramienta muy útil, dado que, permiten identificar los riesgos que la organización está dispuesta a cubrir, aevaluarlos y dar respuesta a los mismos para contrarrestarlos.
Dentro de estas metodologías cabe mencionar la Metodología de Evaluación de Riesgos de TI RISK IT (Basado en COBIT); en la cual, se detalla de principio a fin los procesos que debe seguir una organización que decida adoptar este tipo de marco.
Esta metodología está basada en tres ámbitos de importancia:
1. Gobierno del riesgo
2.Evaluación del Riesgo
3. Respuesta ante el Riesgo
METODOLOGÍA DE EVALUACIÓN DE RIESGOS DE TI
METODOLOGÍA RISK IT (BASADO EN COBIT)
DISEÑADO Y CREADO POR ISACA
Los riesgos de TI son un componente del universo de riesgos a los que está sometida una organización. Otros de los riesgos a los que una organización se enfrenta pueden ser riesgos estratégicos, riesgos ambientales, riesgosde mercado, riesgos de crédito, riesgos operativos y riesgos de cumplimiento.
RISK IT es el riesgo comercial, es decir, el riesgo de los negocios asociados con el uso, la propiedad, la operación, la participación, la influencia y la adopción de TI dentro de una organización.
Se compone de eventos relacionados con TI que podrían afectar a la organización. Esto incluye tanto la frecuencia y lamagnitud incierta, la creación de problemas en el cumplimiento de metas y objetivos estratégicos, así como la incertidumbre en la búsqueda de oportunidades.
Los riesgos relacionados de TI existen, independientemente de si son descubiertos o reconocidos por una organización. En este contexto es importante identificar y gestionar potencialmente los asuntos importantes de riesgo de TI, a diferenciadel resto de riesgos, ya que éste puede no ser rentable.
El uso común y general de TI puede proporcionar importantes beneficios a una organización, pero también implica riesgos. Debido a su importancia para las organizaciones, los riesgos relacionados con TI deberían ser tratados como los demás riesgos claves organizacionales, tales como el riesgo del mercado, el riesgo de crédito y otrosriesgos operativos.
La metodología de RISK IT llena los huecos entre la gestión de los riesgos genéricos, como las metodologías del COSO ERM y AS / NZS 4360, ISO 31000, el dominio británico ARMS5 y marcos de dominios específicos.
Proporciona de principio a fin, visión global de todos los riesgos relacionados con el uso de las TI y un tratamiento igualmente minucioso de la gestión del riesgo,desde el tono y la cultura hasta las cuestiones operativas. En resumen, la metodología permitirá a las organizaciones entender y gestionar todos los tipos importantes de riesgos de TI.
La metodología provee:
➢ Una metodología de proceso de punta a punta para gestión de riesgos de TI correcta.
➢ Orientación para los profesionales, incluyendo herramientas y técnicas para entender ygestionar los riesgos concretos para las operaciones de negocio.
BENEFICIOS Y RESULTADOS
La metodología de RISK IT aborda muchas cuestiones a las cuales las organizaciones se enfrentan hoy en día, es notable su necesidad de:
➢ Una visión precisa del presente y del futuro próximo sobre los riesgos relacionados con TI en toda la organización y el éxito con el que la organización se ocupa...
Regístrate para leer el documento completo.