lunes, 28 de noviembre de 2011

Riesgos en adquisiciones II

Continuando con los riesgos en procesos de compra por adquisición tenemos:

Recepción del producto
  • que el proveedor no respete los términos contractuales.
  • fallas en la supervisión del contrato por parte del área que requiere el servicio.
  • falta de documentación de eventos relevantes por parte del área de adquisiciones.

Finiquito del contrato
  • Efectuar pagos por compras no autorizadas
  • Riesgo cambiario en relación a pos pagos a efectuar el proveedor.

Algunos de los riesgos identificados en el proceso de licitación

Planificación institucional / programación de compras
  • Planificación inadecuada de las contrataciones.
  • Falta de presupuesto y el plan general de adquisiciones.
  • Preparar un presupuesto base inadecuado para la contratación.
Conformación del expediente único de la licitación
  • Mal control de documentos que se vayan generando durante el proceso de contratación.
  • perdida de documentos generados en el proceso de contratación.
Apertura y evaluación de ofertas
  • Cambio de lugar, fecha y hora de apertura de oferta; sin informar los Oferentes de este cambio.
  • Perdida de garantías de mantenimiento de oferta presentadas por los oferentes de este cambio.
  • No usar los criterios de evaluación descritos en el PBC.
Identificación de los riesgos en procesos de administración de contratos.

Evaluación, recomendación y adjudicación de la licitación
  • Fallas en el juicio humano al realizar el análisis de ofertas.
  • Tomar una decisión inadecuada en relación a la evaluación de las ofertas.
  • Notificar inadecuadamente a los oferentes sobre el resultado del proceso.
Recursos del oferente
  • Recibir impugnaciones de oferentes por fallas en el proceso, que demoren la adquisición.
  • Retraso en los tiempos de respuesta ante los recursos interpuestos por el oferente.
Adjudicación del contrato
  • Publicación de la adjudicación con información incompleta.
  • Que el proveedor no presente las garantías requeridas.
  • Que el proveedor no este disponible para firmar el contrato respectivo cuando así sea requerido.
Todo esto demuestra lo complejo y profundo del análisis de riesgos en los procesos de un negoció, donde conocer los riesgos que se deben tener en cuenta permitirá una administración de riesgos más eficaz.


Publicado por en No hay comentarios:

lunes, 21 de noviembre de 2011

Riesgos en adquisiciones I

Riesgos en procesos de compra por cotización
  • Planificación
    • Planificación inadecuada de las contrataciones
    • Preparar un presupuesto base inadecuado para la contratación
  • Solicitud de contratación
    • Solicitud de contratación sin los campos requeridos completos.
    • Aprobar una solicitud de contratación sin disponibilidad presupuestaria
  • Control de documentos
    • Mal control de documentos que se vayan generando durante el proceso de contratación
    • Pérdida de documentos generados en el proceso de contratación
  • Solicitud de cotizaciones
    • Elaborar la solicitud de contratación con información incompleta
    • No enviar a los proveedores la invitación de solicitud de cotización
    • Invitar siempre los mismos proveedores
  • Recepción de cotizaciones
    • Obviar alguna de las cotizaciones recibidas
    • Cerrar el proceso de recepción de cotizaciones antes del plazo establecido
    • No contar con el número de ofertas requeridas según la cantidad establecida en el marco normativo
  • Evaluación de cotizaciones
    • No aplicar los mismos parámetros de evaluación a los oferentes
    • Fallas en el juicio humano al realizar el análisis de las ofertas
    • Tomar una decisión inadecuada en relación a la evaluación de ofertas
  • Adjudicación, notificación al proveedor y firma de orden de compra
    • Notificar inadecuadamente al proveedor adjudicado sobre el resultado del proceso
  • Elaborar, firmar y publicar orden de compra
    • Generar orden de compra con la información incompleta
    • Desfase de tiempo en la publicación de la orden de compra
Los anteriores son algunos de los riesgos frecuentemente identificados en los procesos de compra por cotizacion, aunque podríamos inferir como se haría la administración de estos riesgos, realmente el análisis de la gestión de riesgos podría cambiar radicalmente según los objetivos trazados en la organización, las prioridades e impactos de los riesgos cambiaran según factores políticos, económicos, sociales, tecnológicos y ambientales.

Más adelante continuaremos con la identificación de riesgos en adquisiciones (Identificación de riesgos en procesos de licitación y Identificación de riesgos en procesos de administración de contratos).

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

lunes, 14 de noviembre de 2011

Riesgos en Proyectos ERP

Cuando una organización decide implementar un ERP como sistema de información central debe contemplar los posibles riesgos a los que esta expuesto durante todas las fases de proyecto. A continuación empezaremos a nombrar y describir algunos de los riesgos mas comunes en un proyecto de implementación de un software ERP:

  • Datos basura: Uno de los objetivos al implementar un ERP es estandarizar los procesos y los datos de una organización, sin embargo este proceso puede requerir mucho tiempo y recursos para lograrlo, para esto es necesario realizar una depuración de todos los datos por parte del personal autorizado del negocio desde las primeras fases del proyecto y a través de ellas con el fin de obtener los datos correctos al momento de la salida a producción.}
  • Resistencia al Cambio: Es uno de los riesgos mas comunes que se deben contemplar en la implementación de un ERP en una organización, los usuarios finales de este sistema por lo general no estan dispuestos aceptar de primera mano cambiar su modo de operación, por esto tanto el proveedor como el departamento de TI de la organización deben crear maneras de mitigar este riesgo por medio de campañas de concientización y adopción de nuevas tecnologías para la innovación, el desarrollo y el crecimiento organizacional.
  • Desfase en tiempos: Inicialmente, en un proyecto ERP se estima tanto la duración de las fases como la fecha de salida a producción ya que por lo general estos proyectos cuestan mucho dinero y se pretenden desarrollar en el menor tiempo posible, sin embargo es casi imposible estimar exactamente la duración de este ya que varios factores como el ritmo de trabajo del recurso asignado, la transmisión efectiva de conocimiento proveedor-usuario, los problemas de instancia (velocidad, terminales de trabajo, capacidad de servidor), etc. pueden retrasar cada una de las fases por lo que se debe aceptar este riesgo contemplando nuevos planes de trabajo.
  • Personalización o Customización excesivas: Cuando un sistema ERP se ofrece a una organización es necesario contemplar la personalización que se le debe realizar al sistema para que este se adapte a las necesidades del negocio, sin embargo es muy posible que se llegue a un punto en el que se tengan que realizar muchos cambios y desarrollos adicionales que el negocio requiera para que la operación no tenga mayor impacto en sus procesos, para esto se tienen que revisar tanto procedimientos alternos como sistemas legacys o complementarios que se integren al ERP y ayuden a evitar o mitigar estos riesgos muy presentes en este tipo de proyectos.
De esta manera se describen algunos de los riesgos mas comunes en una organización al implementar un sistema ERP, en las próximas publicaciones ampliaremos más el panorama de riesgos tocando el tema también acerca de los riesgos en proyectos de infraestructura.
Publicado por en No hay comentarios:

lunes, 7 de noviembre de 2011

MANEJO DE RIESGOS EN LA PRODUCCIÓN DE VIDEOJUEGOS

En una industria relativamente nueva que se ha expandido de forma exponencial en los últimos años, ya no se trata de industria experimental y mucho menos seria, al contrario por su accelerado crecimiento en todo el mundo, es uno de los factores de crecimiento económico en muchos países englobando docenas de disciplinas de trabajo y generadores de millones de empleos en el mundo.

por ello las empresas productoras de videojuegos adoptan soluciones y marcos que se aplican en empresas de actividad económica convencional dándole un nuevo enfoque a las diferente necesidades que exige un mercado dinámico como es la industria de videojuegos.

a todo esto se explicara como la gestión de riesgos se aplica en esta industria y como esta se transforma para cumplir las necesidades de las empresas.

¿Que se busca y que beneficios se obtienen con la gestión de riesgos en la producción de videojuegos?

  • Aumentar y mejorar la productividad.
  • Desarrollar buenas relaciones con publicadores y desarrolladores.
  • Desarrollo personal y profesional del capital humano.
  • Mejorar la calidad del producto.
  • Reducción de costos al mejorar la eficiencia.
  • Aumentar la confiabilidad en la viabilidad de proyectos dirigidos tanto a publicadores como desarrolladores.

Como aplicar las 4 formas básicas para tratar un riesgo.

Evitando el riesgo.

  • Modificar el alcance del proyecto para eliminar el riesgo por completo.
  • La evasión y transferencia se emplean tipicamente en las fases iniciales de planificación del proyecto.
Conteniendo el riesgo.

  • Mantener varias contingencias a lo largo del proyecto.
  • Construir un modelo de acumulación de riegos.
  • La contingencia se puede encontrar en tiempo, presupuesto o la calidad y es comúnmente utilizado para manejar los riesgos de programación.
Transfiriendo el riesgo
  • Por medio de aseguradoras.
  • Contratistas y terceras partes.
  • Distribución de riesgo entre inversionista.
Aceptando el riesgo

Algunos riesgos tiene que ser aceptados a pesar de su nivel de riesgo como:

  • Huelga meteorito - consecuencias altas, pero de muy baja probabilidad de ocurrencia.
  • Enfermedad de empleado - consecuencia baja, pero de alta probabilidad.

Referencias



Publicado por en No hay comentarios:

lunes, 31 de octubre de 2011

Más a fondo en la gestión de riesgos


Tipos riesgos de Software
  • Riesgos del negocio: Amenazan la viabilidad del software.
  • Riesgos del proyecto: Amenazan el plan del proyecto, planificación temporal y costos  
  • Riesgos del producto: Amenazan la calidad y planificación del software.

Análisis y gestión de riesgos
Ø  Identificación
Identificar los riesgos potenciales que pueden ocurrir en el proyecto.  Los más habituales en proyectos:
·         Cambio de requisitos
·         Meticulosidad en requerimientos o de los desarrolladores
·         Escatimar en la calidad
·         Planificaciones demasiado optimistas
·         Diseño inadecuado
·         Síndrome de la panacea (“esta herramienta ahorrará la mitad del trabajo”)
·         Desarrollo orientado a la investigación (proyectos muy novedosos, más propios de investigación que de desarrollo)
·         Personal mediocre
·         Errores en la contratación
·         Diferencias con los clientes
Ø  Análisis de los riesgos
Estimación del riesgo: Probabilidad y magnitud de perdida.
Establecer una escala que refleje la probabilidad percibida del riesgo.
ej:
<10 % muy bajo
10-25 % bajo
25-50 % Medio
50-75 % Alto
>75 % Muy Alto

La magnitud de perdida puede ser medida en unidades de tiempo y costo.
Matriz de estimación
RIESGO
PROBABILIDAD
MAGNITUD DE PERDIDA (Unidad)
EXPOSICION AL RIESGO (unidad)
r1
20%
3
0,6
r2
35%
20
7
r3
15%
5
0,75

Si existe el 25% de probabilidad que un riesgo ocurra y esto podrá atrasar el proyecto 4 semanas, entonces la exposición al riesgo seria 0,25 * 4 = 1 semana.

Priorización del riesgo: determinar  los riesgos más importantes, se establece una línea de corte, se descartan los riesgos por debajo de esa línea.

Ø  Planificación del riesgo
Se establece un plan de gestión del  riesgo para cada uno de los riesgos claves
Estrategias
        Prevención: reducir la probabilidad
        Minimización: Reducir el impacto
        Planes de contingencia: Estar preparado y planificar la solución.
Ø  Supervisión del riesgo
Realizar un seguimiento de los riesgos durante la ejecución del proyecto. Un buen método es realizar seguimientos periódicos (semanales, por ejemplo) de los riesgos más significativos

Su finalidad es determinar si:
·         Las respuestas son implementadas según se planificó.
·         Las acciones de respuesta son tan efectivas como se esperaba o si nuevas respuestas deberían ser elaboradas.
·         Las asunciones del proyecto son todavía válidas.
·         La exposición a los riesgos ha cambiado y, en caso afirmativo, cual es la tendencia futura.
·         Un disparador (evento) de riesgo ha ocurrido.
·         Se han seguido las políticas y procedimientos adecuados.
·         Han ocurrido riesgos nuevos que no estaban previamente identificados


Algo más de información


http://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos
http://www.monografias.com/trabajos73/gestion-riesgos/gestion-riesgos.shtml
Publicado por en No hay comentarios:

lunes, 24 de octubre de 2011

Proceso de Administración de Riesgos

En el transcurso del Blog hemos mencionado muchos temas relacionados con la Gestión de Riesgos enfocándonos cada vez mas en TI. En las últimas publicaciones hemos visto herramientas que se pueden utilizar para realizar una buena Gestión de Riesgos dentro de una Organización, entre los mencionados hay estándares y marcos de referencia que prestan un apoyo importante al proceso de administración de riesgos que comprende la decisión para enfocar y planear actividades con respecto a la gestión de riesgos.

Dentro del procesos de administración de riesgos se pueden identificar algunas etapas clave que explicaremos a continuación:

  • Planificación de la administración de riesgos:
En este paso se documentan los procedimientos para administrar los riesgos del proyecto indicando metodología, roles y responsabilidades, presupuesto y plazos, categorización de riesgos, calculo de probabilidad de riesgo y su impacto, etc.
  • Identificación de Riesgos:
En esta etapa se comprenden los eventos que potencialmente podrian dañar o mejorar
un proyecto. Esta etapa es clave ya que hay que ser oportuno para poder evitar incidentes realmente críticos.
  • Análisis Cualitativo de Riesgos:
Esta etapa involucra evaluar la probabilidad y el impacto de la identificación de riesgos hecha previamente para determinar que tan grave es y que prioridad se debe asignar para tratarlo.
  • Planificación de la respuesta de los riesgos:
Después que una organización identifica y cuantifica los riesgos, debe desarrollar una apropiada estrategia para poder enfrentarlos. Para ello se tienen en cuenta cuatro aspectos:
-Evitar o eliminar riesgos.
-Aceptar los riesgos.
-Transferir los riesgos.
-Mitigar los Riesgos.

Es importante tener en cuenta que también se deben tener en cuenta los riesgos que significan algún aspecto positivo para la organización, esto hace que la administración de los mismos sea integral.
  • Monitoreo y control de Riesgos
El monitoreo y control de los riesgos involucra la ejecución de los procesos de la administración de riesgo para responder a los eventos riesgosos.
A partir de este procedimiento muchos proyectos de TI ejecutan su plan de Control de Riesgos, aplicando estándares tales como ISO 27000 o marcos de referencia y metodologías comoo ITIL o Cobit de forma integrada.
Publicado por en No hay comentarios:

lunes, 10 de octubre de 2011

COBIT Y SU MARCO RISK IT





Elementos de gestión de riesgo tomado dehttp://upload.wikimedia.org/wikipedia/commons/2/2d/Risk_Management_Elements.jpg

Tras la aparición del marco basado en COBIT en el mes de noviembre en el año 2009 de la mano de ISACA, Risk IT como un nuevo modelo de la familia COBIT que complementaria a ValIT y COBIT.

RISK IT tiene el objetivo de ”ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC a la generación de valor para el negocio”,enfocado a las coporaciones que tengan su origen en el uso de las TIC. Con esto se cerraría el triángulo sincronía-valor-riesgo que complementaria la Gobernanza de TI y apoyaría el futuro COBIT 5.

RISK IT está distribuido en dos documentos principales

El marco de referencia propiamente dicho (The Risk IT Framework)

Disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios y procesos ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI.

La guía para el especialista (The Risk IT Practitioner Guide)

Disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos.

RISK IT leyes y regulaciones

· United Nations

· OECD

· European Union

· Council of Europe

· USA

Estándares de Organizaciones

§ International standard bodies:

§ International Organization for Standardization - ISO

§ Payment Card Industry Security Standards Council

§ Information Security Forum

§ The Open Group

§ USA standard bodies:

§ National Institute of Standards and Technology - NIST

§ Federal Information Processing Standards - FIPS by NIST devoted to Federal Government and Agencies

§ UK standard bodies

§ British Standard Institute

REFERENCIAS

http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx

http://en.wikipedia.org/wiki/IT_risk#Definitions

http://www.slideshare.net/mmedinasearch/coso-y-cobit-riesgo-y-gestin-de-cambio-ifrs

http://www.isacamty.org.mx/archivo/GRCModel09.pdf

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)