Administración de Riesgos y Gobierno de TI: Una pareja que se incorpora en las organizaciones
Resumen – El gobierno de TI ha cobrado importancia en los últimos años y TI tiene un papel fundamental que desempeñar en la mejora de sus buenas prácticas de gobierno corporativo. La administración de riesgos se ha sensibilizado y hay una mayor conciencia creciente del compromiso de llevar a cabo una gestión de control para las distintas actividades de TI.
Aunque la palabra Gobierno de TI es relativamente nueva como disciplina definida ha evolucionado a grandes pasos pero se está buscando que el enfoque sea más especifico en cuando a la mejora de la gestión de control y de tecnologías de información.
La creación de nuevas tecnologías y oportunidades de negocio implican cada vez un riesgo mayor que pueden afectar la continuidad del negocio, la seguridad de la información y la falta de reconocimiento para poder aplicar eficientemente cambios organizacionales. Hay muchos riesgos del pasado y otros que han ido surgiendo, pero lo que si es claro es que están siendo visibles y que definitivamente hay que empezar a tratarlos y a hacerlos parte de los planes estratégicos de la organización.
Índice de Términos – Gobierno – alineación estratégica, gestión de riesgos
I. INTRODUCCIÓN
En el mundo de la informática, el tema de Gobierno de TI ha cobrado importancia y se han creado muchas definiciones entorno a este concepto. La forma para empezar a definir este tema es traduciendo la palabra que viene del latín Gubernance que no significa otra diferente a dirigir o guiar, pero existe un instituto llamado: Instituto de Gobierno de TI (ITGI), el cual hacen su definición así:
“Gobierno de TI es responsabilidad de los ejecutivos y del Consejo de Dirección, y consiste del liderazgo, estructura organizacional y procesos que garantizan que la TI corporativa, sustente y prolongue las estrategias y objetivos de la organización”[1].
Por otra parte encontramos dos grandes investigadores de la Escuela de Administración de Sloan del MIT, Jeanne Ross y Peter Weill quien dicen: “El gobierno de TI es especificar los derechos de decidir y el marco de rendición de cuentas que obligan a comportamientos deseados en el uso de la TI”. Esta definición de gobierno de TI aspira a capturar la simpleza de este gobierno: derechos de decisión, rendición de cuentas y comportamiento deseado que son diferentes en cada organización”
Si bien podemos encontrar muchas otras definiciones sobre el Gobierno de TI, lo que si se tiene claro es que el un buen gobierno debe proveer estructuras que logre unir los distintos procesos de TI, los recursos, la información y los objetivos, por ello entonces llega a la organización definiciones como:
ü Alineación del negocio de TI
ü Administración del portafolio
ü Administración de Valor
ü Administración de recursos
ü Administración de beneficios
ü Administración de Riesgos
Es esta última definición en la cual se concentrará este estudio, ya que la conciencia del riesgo existe y su estado en la organización cada día se vuelve más importante y de necesario tratamiento siempre guardando un equilibrio entre las metas de cumplimiento y desempeño por medio de las acciones del directorio mencionadas anteriormente.
Figura 1. Equilibrio Organizacional[2]
II. GOBIERNO DE TI
El núcleo del gobierno de TI tiene dos grandes responsabilidades, la entrega de valor al negocio y la mitigación de riesgos asociados a TI.
Se habla entonces de un gobierno corporativo, en donde se abarca un conjunto de relaciones entre la dirección de la compañía, su consejo, sus accionistas y otras partes interesadas en donde se proporciona la estructura a través de la cual se definen objetivos de la compañía y se determina el medio para alcanzarlos y se supervisa el desempeño. [3]
Entonces, el gobierno corporativo llega a formar una vista de la siguiente manera:
Figura 2. Gobierno Corporativo[4]
El gobierno corporativo está centrado en el rendimiento, los riesgos y el control de las tecnologías de información, por tanto la gestión de las tecnologías de información tiene su clasificación basada en:
ü Planeación de las TI
ü Control de Gestión de TI
ü Administración de Portafolio de proyectos de TI
Figura 3. Gestión de las Tecnologías de TI[5]
En la parte central de este articulo, control de Gestión de TI, se tiene también dos divisiones una igualmente importante que la otra:
Figura 4. Control de Gestión de TI
Teniendo en cuenta la ubicación en donde se está, se puede hacer una definición de riesgo basados en el Committee AS/NZA4360 de Risk Management que dice: “Riesgo expresa la incertidumbre con respecto a eventos futuros o sus consecuencias, los cuales podrían afectar el logro de los objetivos. Es percibido como una amenaza o peligro el cual al materializarse podría impactar negativamente a la organización”[6]
La gestión de riesgo requiere que por parte de la gerencia exista conciencia del riesgo y comprensión de tus requerimientos legales y regulatorios basado en la identificación, valoración tratamiento, monitoreo y comunicación de los riesgos y sus impactos.
Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos entonces para alcanzar estos objetivos la gerencia debe entender muy bien el estado de sus sistemas, controlarlos y asegurarlos y es aquí en donde entran a jugar un papel clave los estándares y mejores practicas
III. ESTANDARES Y MEJORES PRACTICAS
La utilización de unos y otros depende estrictamente de la organización, sus prioridades y expectativas. De igual puede adoptarse todo el estándar o solo una parte de ellos pero siempre buscando un mejor desempeño de los procesos de negocios.
El gobierno de TI se ha vuelto algo critico debido a los cambios vertiginosos del mundo informático y generalmente las inversiones en tecnología solo sirven para atender problemas operativos en vez de generar valor aunque se tiene claro que TI es la forma de ejecutar grandes objetivos empresariales.
Por todo esto, la organización esta constantemente enfrentado desafíos y retos y busca alinearse según su estrategia de TI con el negocio por ello se opto por la búsqueda de una estructura organizacional que facilitara la aplicación de estrategias y objetivos adoptando un marco de trabajo.
Figura 5. Constelación de Estándares Organizacionales
Por ellos, se piensan en estándares y mejores prácticas para el cumplimiento de objetivos enfocados a la organización, el equilibrio y el cumplimiento.
COBIT, (Objetivos de control para la información y las tecnologías relacionadas) es uno de los primeros framework en preferencia organizacional, ya que ayuda a integrar prácticas tecnológicas específicas con prácticas generales de alto nivel y se establece un puente entre los riesgos del negocio, los controles que se necesitan y los aspectos técnicos más relevantes.
Por otro lado, la seguridad de la información y la continuidad del negocio son dos componentes críticos de la estrategia futura de muchas instituciones a nivel nacional e internacional
Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de los riesgos así como de los beneficios asociados con la información y sus tecnologías relacionadas. Cobit generalmente es aceptable y aplicable para las buenas prácticas de seguridad y control.[7]
COSO, publicó el sistema de Control Interno, que consistía en un informe que establece una definición de control interno y proporciona un estándar por medio del cual las organizaciones pueden evaluar y mejorar su sistema de control.
Su objetivo es: mejorar la calidad de información concentrándose en el manejo corporativo, las normas éticas y el control interno y así unificar criterios ante la existencia de una variedad de interpretaciones y conceptos sobre control interno.[8]
Figura 6. COSO[9]
Dentro de este marco se habla de COSO ERM, en donde el control interno hace parte integral de la administración del riesgo empresarial. Hay dentro del un ambiente interno en donde se encuentran los objetivos, la identificación de los eventos y la asignación de riesgos.
También se puede hablar MECI, que es el modelo estándar del control interno que consta de 3 elementos que son:
ü Control Estratégico
ü Control de Gestión
ü Control de Evaluación
MECI se dedica una sección a administración de riesgos en donde se hace una identificación y análisis del riesgo, una valoración y además se establecen unas políticas que permitan administrar el riesgo, esto fue dado bajo el decreto 1599 de 2005. [10]
Figura 7. MECI, sistema de Control Interno
Finalmente esta RISK IT que basa su teoría en 3 categorías de riesgo:
ü Entrega de riesgo asociado al rendimiento y a la disponibilidad de los servicios de TI
ü Entrega de soluciones y beneficios asociados a la contribución de TI
ü Beneficios en la realización de riesgos asociados a las oportunidades para utilizar tecnologías que mejoren la eficiencia y efectividad de los procesos.
Risk IT, proporciona de extremo a extremo una visión global de todos los riesgos relacionados con el uso de las TI y su tratamiento. El entorno de Risk IT, es bien importante por ello se explican las funciones los entes asociados a TI.
Roles / Actividades | Definir alcance de análisis de riesgo de TI | Estimar el riesgo de TI, sus productos críticos, servicios, procesos y recursos | Identificar las opciones de respuesta al riesgo | Revisión de los resultados del análisis de riesgo |
CEO | I | I | ||
CRO | R | R | C | A/R |
CIO | C | C | C | |
CFO | I | C | C | |
Enterprise Risk Committee | C | I | R | |
Business Management | A | A/R | A | I |
Business Procesos Owner | R | R | R | |
Risk Control Funtions | C | R | R | I |
HR | ||||
Compliance and Audit | C | C | I |
Tabla 1. Matriz RACI[11]
Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren los aspectos fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000, COBIT 5.0, COSO, ITIL V3 y BS 25999, entre otros, con el fin de plantear una ruta estratégica que le ofrezca a las organizaciones la capacidad para estar mejor preparada ante un entorno cambiante y de alto riesgo.
IV. PROCESO PARA EVALUACION DE RIESGOS
Con el riesgo se pueden tener varias alternativas para como son: Evitar, Reducir, Mitigar, Dispersar o Atomizar, Transferir, Asumir o Aceptar. Sea cual sea la decisión que se tome basadas en las posibilidades anteriores es importante realizar una evaluación que se basa en:
ü Alcance de la reducción de riesgo (Eficacia)
ü Beneficios u oportunidades creada
ü Factibilidad y Eficiencia (Costo)
Figura 8. Proceso de Evaluación de Riesgos[12]
Seguidamente se trata y se valora el riesgo y se convierte entonces en un tema administrativo en donde se ubica en un contexto preventivo y en el que con la ayuda de unos planes definidos el negocio tiene la garantía de continuidad y se mantienen los criterios de control como efectividad, eficiencia, disponibilidad, confidencialidad y cumplimiento.
Todo hace parte entonces de un plan estratégico enmarcado dentro de un Gobierno de TI en el que se establecen políticas, procedimientos, practicas, estructuras organizaciones que brinden una garantía razonable enfocada en los objetivos del negocio.
Figura 9. Plan Estratégico de Administración de Riesgos[13]
V. CONCLUSIONES
Finalmente las organizaciones ha tenido que enfrentarse a riesgo pero con el tiempo han empezado a hacerlo parte de la familia del gobierno de cada organización y vieron la importancia de relacionar los riesgos en sus planes estratégicos de gobierno.
Hoy en día, Gobierno de TI lleva inmerso el sello de riesgo y debe considerarse, tratarse y evaluarse como parte clave en la definición de estrategias y objetivos organizacionales.
El papel que debe jugar en las compañías la administración de riesgos no es más que el de crear un entorno que facilite la identificación y el control estricto de los distintos riesgos que puedan presentarse pero sin dejar de tener en cuenta que algunos de ellos pueden convertirse en oportunidades de negocio.
La clave de todo está en poder descubrir cuando riesgo está dispuesto a aceptar o tolerar la organización y de esta manera gestionarlo encasillándolo siempre a os procesos estratégicos y operativos de a empresa.
REFERENCIAS
[1] Applegate-McFarlan-McKenny, 1996
[2]Basel Commite (Enhancing CG for Banking Organizations – IT Governace Institute – OCDE
[3] Cobit 5.0
[5] Enterprise Risk, identify , govern and manage it Risk – IT Risk Management
[6] Gobierno de TI, estrategia para la competitividad de las organizaciones Li. Alejandro Tinoco Zavala Gerente Senior, PricewaterhouseCoopers alejandro.tinoco@mx.pwc.com
[7]Implantación de Gobierno de TI (Tecnologías de la Información) Resumen ejecutivo – Network sec, www.network-sec.com
[8] Information System Auditand Control Foundation .IT Governancer institute
[9] IT Governance Developing a successful governance strategy - A Best Practice guide for decision makers in IT
[10] IT Governance on one page – Peter Weill and Jeanne Ross.Nov 2004
[11] IT Risk Exploration: The IT Risk Management Taxonomy and Evolution – feature
[12] Mejores practicas del gobierno de ti en las instituciones financieras. XIV congreso latinoamericano de auditoria interna y evaluacion del riesgos. Francisco de Assis Fernandes
[13] Operational Risk Management using a Fuzzy Logic Inference System† Alejandro Reveiz, Carlos León
[14] The Australian/New Zealand Joint Standars Committee AS/NZ4360 Risk Management
[15] The IT services management and control best practices company – business It
[16] Unlocking value - An Executive Primer on theCritical Role of IT Governance
[17] Un marco integrado para el GOBIERNO DE TI- José Antonio Ojeda
[18]www.dafp.gov.com
[1] IT Governance Institute, ITGI
[3] Basel Commite (Enhancing CG for Barking Organizations) ITGI
[4] IIA
[5] Applegate-McFarlan-McKenny, 1996
[6] The Australian/New Zealand Joint Standars Committee AS/NZ4360 Risk Management
[7] Information System Auditand Control Foundation
[9] Committee of Sponsoring Organizations of the Treadway Commision
[11] Enterprise Risk: Identify, govern and Manage IT Risk, The Risk IT Framework
[12] The Australian/New Zealand Joint Standart Committee AS/NZS 4360
[13] Diapositivas Ing. Nestor Romero
No hay comentarios:
Publicar un comentario