Delimitación Del Problema

EDM03 Prácticas, Entradas/Salidas y Actividades del Proceso

Práctica de Gobierno Entradas Salidas

EDM03.01 Evaluar la gestión de riesgos.

Examinar y evaluar continuamente el efecto del

riesgo sobre el uso actual y futuro de las TI en la

empresa. Considerar si el apetito de riesgo de la

empresa es apropiado y el riesgo sobre el valor de la

empresa relacionado con el uso de TI es identificado y

gestionado.

De Descripción Descripción A

APO12.01 Factores y problemas de

riesgos emergentes

Guías de apetito de riesgo APO12.03

Niveles de tolerancia de

riesgo aprobados

APO12.03

Fuera del

Ámbito de

COBIT

Principios de la gestión de

riesgos de la empresa

Evaluación de las

actividades de gestión de

riesgo

APO12.01

Actividades

1. Determinar el nivel de riesgos relacionados con las TI que la empresa está dispuesta a asumir para cumplir con sus objetivos (apetito de riesgo).

2. Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo TI frente a los niveles de riesgo y oportunidad aceptables por la empresa.

3. Determinar el grado de alineación de la estrategia de riesgos de TI con la estrategia de riesgos empresariales.

4. Evaluar proactivamente los factores de riesgo TI con anterioridad a las decisiones estratégicas de la empresa pendientes y asegurar que las

decisiones de la empresa se toman conscientes de los riesgos.

5. Determinar si el uso de TI está sujeto a una valoración y evaluación de riesgos adecuada, según lo descrito en estándares nacionales e

internacionales relevantes.

6. Evaluar las actividades de gestión de riesgos para garantizar su alineamiento con las capacidades de la empresa para las perdidas relacionadas con

TI y la tolerancia de los líderes a los mismos.

Práctica de Gobierno Entradas Salidas

EDM03.02 Orientar la gestión de riesgos.

Orientar el establecimiento de prácticas de gestión de

riesgos para proporcionar una seguridad razonable de

que son apropiadas para asegurar que riesgo TI actual

no excede el apetito de riesgo del Consejo.

De Descripción Descripción A

APO12.03 Perfil de riesgo agregado

incluyendo el estado de

las acciones de gestión del

riesgo

Políticas de gestión de

riesgos

APO12.01

Objetivos claves a ser

monitorizados por la

gestión de riesgos

APO12.01

Fuera del

Ámbito de

COBIT

Perfiles y planes de

mitigación de la Gestión

del Riesgo de la Empresa

(ERM)

Proceso aprobado para la

medición de la gestión de

riesgos

APO12.01

Actividades

1. Promover una cultura consciente de los riesgos TI e impulsar a la empresa a una identificación proactiva de riesgos TI, oportunidades e impactos

potenciales en el negocio.

2. Orientar la integración de las operaciones y la estrategia de riesgos de TI con las decisiones y operaciones empresariales

...