ITGSM12 Risk management

Page 1

Gestión de riesgos: Enfoque de proyectos Vs. Enfoque de servicios

Alfonso Pérez Rodríguez – Soluciones Tecno-Profesionales (STP.es)

Imagen: Microsoft 2020

Creando la nueva generación

de profesionales y empresas

Congreso Académico ITGSM12

para la Era Digital

Speaker Bio & Company Information

 MBA, ITIL® Expert, PMP, ISO 20000, ISO 27002  Computer Engineer (USB, Venezuela)  ITSM, IT standards & regulation consultant  ITIL®, ISO 20000, ISO 27002 & PM Trainer  Project Manager in Software Engineering field  ISO 20000, ISO 27002, ISO 9001 auditor Soluciones Tecno-Profesionales  EXIN Accredited Examination and Training Center  STP Consulting is the division of consulting, auditing and training in areas such as ITSM, Project Management, information security, standards and regulations applied to the IT area Congreso Académico ITGSM12

Contenido

 ¿Por qué es importante la gestión de riesgos?  Enfoques para la gestión de riesgos  Arquitectura de procesos  Proceso de gestión de riesgos  Meta-proceso de implantación y mejora continua  Conclusiones  Preguntas frecuentes  Marcos de referencia Esta presentación está basada en el trabajo titulado: Gestión de riesgos: Enfoque de proyectos Vs Enfoque de servicios Alfonso Pérez Rodríguez – Soluciones Tecno Profesionales (STP)

Congreso Académico ITGSM12

¿Por qué es importante la gestión de riesgos?

 Algunas interrogantes o ¿Cómo afrontamos la incertidumbre y aprendemos de ella? o ¿Cómo evitamos cometer dos veces o más los mismos errores? o ¿Cómo podemos predecir el desempeño?

 Marcos de trabajo de gestión de riesgos Framework: una estructura real o conceptual que pretende servir como soporte o guía para la construcción de algo que desarrolla esta estructura en algo útil www.whatis.com

 Etapas para implantar la gestión de riesgos o Proceso de gestión de riesgos o Meta-proceso de implementación y mejora contínua

Congreso Académico ITGSM12

Enfoque de riesgos en proyectos

 Riesgos negativos (amenazas) vs Riesgos positivos (oportunidades)  El rol del Gestor de Proyecto respecto a los riesgos  ¿Desaparecen los riesgos en un proyecto?  ¿Cómo impactan los riesgos de proyecto a una organización?

Riesgo: un evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en los objetivos de un proyecto Definición extraída del PMBoK Impacto de las variables en función del tiempo en el proyecto. PMBoK® Congreso Académico ITGSM12

Enfoque de riesgos de servicios

 Riesgos causados por amenazas que explotan vulnerabilidades de activos  Objetivo de los riesgos en SLAs  Naturaleza repetitiva  ¿Cuánto tiempo dispones para responder a riesgos antes que el cliente/usuario perciba su afectación? Ventanilla fuera de servicio con un operador Percepción de la calidad del servicio

¿Cuál es el impacto de riesgos en servicios? Congreso Académico ITGSM12

Enfoque de gestión de riesgos en Gobierno de TI

 Gestión de riesgos forma parte de la creación de valor  Reúne el enfoque de proyectos y servicios (tipos de contexto)  Gestión integrada e riesgos y oportunidades

Riesgo y oportunidades (extraído de Risk IT) Congreso Académico ITGSM12

Cubo de COSO ERM

Governance & Management in COBIT 5

Propuesta enfoque para la implantaci贸n de gesti贸n de riesgos

Meta-proceso de implantaci贸n y mejora

Congreso Acad茅mico ITGSM12

Proceso de gesti贸n de riesgos

Contexto

Congreso Acad茅mico ITGSM12

Entradas y salidas en el proceso de gestión de riesgos Ajustes de procesos Planificación de la gestión

Registro de riesgos

Límites de reserva de R.

Identificación

Apetito de riesgos

Presupuesto de gestión y tratamiento Evaluación Planes de tratamiento

Categorías de riesgos Planificación del tratamiento

Reporte de riesgos

Contexto Monitorización y revisión Oportunidades de mejora

Congreso Académico ITGSM12

Entradas y salidas en el meta-proceso de implantación y mejora Charter

Mandato y compromiso de la dirección

Plan de proyecto de implantación Políticas de gestión de riesgos Matrices de responsabilidades

Diseño del marco para la gestión de riesgos

Propuestas de cambio

Criterios de aceptación de Proy.

Implementación del proceso de gestión de riesgos

Cuadro de indicadores Mejora continua del meta-proceso Congreso Académico ITGSM12

Artefactos y componentes Categorías de riesgos

Monitorización del proceso de gestión de riesgos Oportunidades de mejoras/cambios

Conclusiones

 Es importante tener una visión general de la gestión de riesgos aunque se implemente una reducida  Es fundamental tener un enfoque tanto para el día a día (el proceso de gestión) como para la forma de implementar y mejorar  Es importante tomar guía de los marcos de trabajo afines al contexto para lograr una visión más amplia.  El proceso de gestión de riesgos es bastante maduro, sin embargo, aun no hay un consenso en el meta-proceso.  Automatizar los procesos de identificación, evaluación y definición de medidas de respuesta es un CSF  Es clave identificar y delimitar tipos de contextos y los riesgos asociados  Requiere de trabajo en grupo para promover la experiencia Congreso Académico ITGSM12

Preguntas clave

 ¿Cómo evitar que la iniciativa la gestión de riesgos se convierta en mero papeleo?  ¿Qué papel debería jugar la PMO/SMO en esto?  ¿Cuánto tiempo me tomará implantar bien el proceso?  ¿Si formo parte de una organización de consultoría, que aspecto me haría más competitivo?  ¿Qué factores favorecen la capitalización de los beneficios de la estandarización?  ¿Por qué un ciclo de vida de los riesgos?  ¿Cuándo se debería parar la identificación de riesgos?  ¿Qué relación tiene la gestión de riesgos con la ética? Nota: Estas preguntas se encuentran respondidas en el paper Congreso Académico ITGSM12

Marcos de trabajo incluidos en el desarrollo de la propuesta

           

CMMI-Dev ® v1.3 SEI/CMU (2010) COBIT ® 5 ISACA (2012) COSO ERM PD ISO/IEC Guide 73:2002 Risk management vocabulary ISO/IEC 27001:2008 Information security management systems ISO/IEC 27005:2008 Information security risk management ISO/DIS 31000:2009. Risk management principles & guidelines ISO/IEC 38500: 2008 Corporate governance of IT ITIL® Information Technology Infrastructure Library (2011) M_o_R The orange book. Management of Risk (2004) NIST 800-30 Risk Management Guide for IT Systems (2002) OCTAVE ® Operationally Critical Threat, Asset, and Vulnerability

EvaluationSM. SEI/CMU (2001)

 PMBoK ® Project Management Body of Knowledge. PMI. 2008.  Risk IT. ISACA (2009) Congreso Académico ITGSM12

Copyright y derechos reservados  ITIL® es una marca registrada del Cabinet Office, UK  PMBoK® OPM3® es una marca registrada del Project Management Institute (PMI), USA  OCTAVE® y CMMI® son marcas registradas del Software Engineering Institute (SEI) de la Carnegie Mellon University (CMU), USA  COBITRM RiskITRM es una marca registrada del Information Systems Auditability and Control Association (ISACA)  Mangement of Risk – M_o_R® y P3M3® es una marca registrada del Organization of Goverment Commerce (OGC), UK  MAGERIT® es una marca registrada de Ministerio de Administraciones Públicas, España

Congreso Académico ITGSM12

ÂĄ Muchas gracias ! Contact details: Alfonso Perez Rodriguez aperez@stpconsulting.es http://www.linkedin.com/in/alfonsoperezr

Congreso AcadĂŠmico ITGSM12

www.stp.es

16

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.