Schließen
Normativa Basilea
1° BCBS-1988
Capitalización =Salud Financiera
Basilea I-->1988 [Capital Regulatorio]
Basilea II-->2004 [Medición de Riesgo]
Basilea III-->2010[Mayor Capital]
Normativa COSO
Formada en 1985
AICPA-AAA -FEI -IIA-IMA
COSO I-1992
orientado a establecer una definición común de control interno y proveer una guía para la creación y el mejoramiento de la estructura de control interno de las entidades.
COSO II (COSO-ERM) 2004
Se amplía el concepto de control interno, y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo.
COSO III-2013
Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.
Normativa ISO
Federación Internacional
no gubernamental
157 Países
Sede Suiza
Norma Chilena Oficial - NCh-ISO 27001-
ISO 31000:2009
Normativa TOGAF
1° Versión en 1995
Creada por
Foro de Arquitectura de "The Open Group"
Normativa PCI DSS
Supervisión y revisión de riesgos: El riesgo y sus factores de influencia deben monitorearse y revisarse para identificar todo cambio que se produzco en el contexto de las organización en una fase temprana
Tratamiento de riesgos:
1.-Modificación del riesgo
2.- Retención del riesgo
3.-Evitar el riesgo
4.-Distribución del riesgo
Métodos para identificar el riesgo: es un proceso para descubrir reconocer y documentar el riesgo al que se enfrenta la organización
Estandartes para Identificación de riesgo
1.-ISO 31000-2009 Gestión de Riesgo-Principios y directrices COBIT 5 for RISK
2.-IEC 31010:2009 2009 Gestión de riesgo Técnicas de Evaluación del riesgo
3.-ISO/IEC 27001:2013 Tecnología de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información
4.-ISO/IEC 27005:2011 Tecnología de la información Tecnicas de seguridad Sistemas de gestión de seguridad de la información
5.-NIST Special publicación 800-30 Revisión 1: guía para realizar evaluaciones de riesgo
6.-NIST Publicación especial 800-39 Gestión de riesgo de seguridad de la información
Aceptación de los riesgos: El input es el plan de tratamiento del riesgo y la evaluación del riesgo residual, sujetos a los criterios de aceptación del riesgo.
La evaluación de riesgos:
Se define como un proceso utilizado para identificar y evaluar el riesgo y sus posibles efectos. Incluye evaluar las funciones esenciales que se necesitan para que la organización continúe las operaciones del negocio, definir los controles implementados para reducir la exposición y valuar el coste de esos controles. El análisis de riesgo suele incluir una evaluación de las probabilidades de un evento particular
Comunicación y consulta de los riesgos: Proceso cruzado en el que la información sobre el riesgo debe ser intercambiado y comunicado entre el responsable de las toma de decisiones y otras partes interesadas
El propósito de definir una respuesta al riesgo es alinear estos con el apetito al riesgo definido por la organización. Esta evaluación de respuesta al riesgo no es un esfuerzo de una sola vez, mas bien, es una parte del ciclo del proceso de gestión de riesgos. Se necesitara implementar una respuesta en caso de que un análisis de riesgo de todos los escenarios identificados muestre después de ponderar el riesgo comparándolo con el retorno potencial que dicho riesgo no esta alineado con los niveles de apetito al riesgo y niveles de tolerancia definidos
Monitoreo y Reporte
de Riesgos y Controles
