Riesgos en adquisiciones II

Continuando con los riesgos en procesos de compra por adquisición tenemos:

Recepción del producto

• que el proveedor no respete los términos contractuales.
• fallas en la supervisión del contrato por parte del área que requiere el servicio.
• falta de documentación de eventos relevantes por parte del área de adquisiciones.

Finiquito del contrato

• Efectuar pagos por compras no autorizadas
• Riesgo cambiario en relación a pos pagos a efectuar el proveedor.

Algunos de los riesgos identificados en el proceso de licitación

Planificación institucional / programación de compras

• Planificación inadecuada de las contrataciones.
• Falta de presupuesto y el plan general de adquisiciones.
• Preparar un presupuesto base inadecuado para la contratación.

Conformación del expediente único de la licitación

• Mal control de documentos que se vayan generando durante el proceso de contratación.
• perdida de documentos generados en el proceso de contratación.

Apertura y evaluación de ofertas

• Cambio de lugar, fecha y hora de apertura de oferta; sin informar los Oferentes de este cambio.
• Perdida de garantías de mantenimiento de oferta presentadas por los oferentes de este cambio.
• No usar los criterios de evaluación descritos en el PBC.

Identificación de los riesgos en procesos de administración de contratos.

Evaluación, recomendación y adjudicación de la licitación

• Fallas en el juicio humano al realizar el análisis de ofertas.
• Tomar una decisión inadecuada en relación a la evaluación de las ofertas.
• Notificar inadecuadamente a los oferentes sobre el resultado del proceso.

Recursos del oferente

• Recibir impugnaciones de oferentes por fallas en el proceso, que demoren la adquisición.
• Retraso en los tiempos de respuesta ante los recursos interpuestos por el oferente.

Adjudicación del contrato

• Publicación de la adjudicación con información incompleta.
• Que el proveedor no presente las garantías requeridas.
• Que el proveedor no este disponible para firmar el contrato respectivo cuando así sea requerido.

Todo esto demuestra lo complejo y profundo del análisis de riesgos en los procesos de un negoció, donde conocer los riesgos que se deben tener en cuenta permitirá una administración de riesgos más eficaz.

Riesgos en adquisiciones I

Riesgos en procesos de compra por cotización

• Planificación
• Planificación inadecuada de las contrataciones
• Preparar un presupuesto base inadecuado para la contratación
• Solicitud de contratación
• Solicitud de contratación sin los campos requeridos completos.
• Aprobar una solicitud de contratación sin disponibilidad presupuestaria
• Control de documentos
• Mal control de documentos que se vayan generando durante el proceso de contratación
• Pérdida de documentos generados en el proceso de contratación
• Solicitud de cotizaciones
• Elaborar la solicitud de contratación con información incompleta
• No enviar a los proveedores la invitación de solicitud de cotización
• Invitar siempre los mismos proveedores
• Recepción de cotizaciones
• Obviar alguna de las cotizaciones recibidas
• Cerrar el proceso de recepción de cotizaciones antes del plazo establecido
• No contar con el número de ofertas requeridas según la cantidad establecida en el marco normativo
• Evaluación de cotizaciones
• No aplicar los mismos parámetros de evaluación a los oferentes
• Fallas en el juicio humano al realizar el análisis de las ofertas
• Tomar una decisión inadecuada en relación a la evaluación de ofertas
• Adjudicación, notificación al proveedor y firma de orden de compra
• Notificar inadecuadamente al proveedor adjudicado sobre el resultado del proceso
• Elaborar, firmar y publicar orden de compra
• Generar orden de compra con la información incompleta
• Desfase de tiempo en la publicación de la orden de compra

Los anteriores son algunos de los riesgos frecuentemente identificados en los procesos de compra por cotizacion, aunque podríamos inferir como se haría la administración de estos riesgos, realmente el análisis de la gestión de riesgos podría cambiar radicalmente según los objetivos trazados en la organización, las prioridades e impactos de los riesgos cambiaran según factores políticos, económicos, sociales, tecnológicos y ambientales.

Más adelante continuaremos con la identificación de riesgos en adquisiciones (Identificación de riesgos en procesos de licitación y Identificación de riesgos en procesos de administración de contratos).

Riesgos en Proyectos ERP

Cuando una organización decide implementar un ERP como sistema de información central debe contemplar los posibles riesgos a los que esta expuesto durante todas las fases de proyecto. A continuación empezaremos a nombrar y describir algunos de los riesgos mas comunes en un proyecto de implementación de un software ERP:

• Datos basura: Uno de los objetivos al implementar un ERP es estandarizar los procesos y los datos de una organización, sin embargo este proceso puede requerir mucho tiempo y recursos para lograrlo, para esto es necesario realizar una depuración de todos los datos por parte del personal autorizado del negocio desde las primeras fases del proyecto y a través de ellas con el fin de obtener los datos correctos al momento de la salida a producción.}
• Resistencia al Cambio: Es uno de los riesgos mas comunes que se deben contemplar en la implementación de un ERP en una organización, los usuarios finales de este sistema por lo general no estan dispuestos aceptar de primera mano cambiar su modo de operación, por esto tanto el proveedor como el departamento de TI de la organización deben crear maneras de mitigar este riesgo por medio de campañas de concientización y adopción de nuevas tecnologías para la innovación, el desarrollo y el crecimiento organizacional.
• Desfase en tiempos: Inicialmente, en un proyecto ERP se estima tanto la duración de las fases como la fecha de salida a producción ya que por lo general estos proyectos cuestan mucho dinero y se pretenden desarrollar en el menor tiempo posible, sin embargo es casi imposible estimar exactamente la duración de este ya que varios factores como el ritmo de trabajo del recurso asignado, la transmisión efectiva de conocimiento proveedor-usuario, los problemas de instancia (velocidad, terminales de trabajo, capacidad de servidor), etc. pueden retrasar cada una de las fases por lo que se debe aceptar este riesgo contemplando nuevos planes de trabajo.
• Personalización o Customización excesivas: Cuando un sistema ERP se ofrece a una organización es necesario contemplar la personalización que se le debe realizar al sistema para que este se adapte a las necesidades del negocio, sin embargo es muy posible que se llegue a un punto en el que se tengan que realizar muchos cambios y desarrollos adicionales que el negocio requiera para que la operación no tenga mayor impacto en sus procesos, para esto se tienen que revisar tanto procedimientos alternos como sistemas legacys o complementarios que se integren al ERP y ayuden a evitar o mitigar estos riesgos muy presentes en este tipo de proyectos.

De esta manera se describen algunos de los riesgos mas comunes en una organización al implementar un sistema ERP, en las próximas publicaciones ampliaremos más el panorama de riesgos tocando el tema también acerca de los riesgos en proyectos de infraestructura.

MANEJO DE RIESGOS EN LA PRODUCCIÓN DE VIDEOJUEGOS

En una industria relativamente nueva que se ha expandido de forma exponencial en los últimos años, ya no se trata de industria experimental y mucho menos seria, al contrario por su accelerado crecimiento en todo el mundo, es uno de los factores de crecimiento económico en muchos países englobando docenas de disciplinas de trabajo y generadores de millones de empleos en el mundo.

por ello las empresas productoras de videojuegos adoptan soluciones y marcos que se aplican en empresas de actividad económica convencional dándole un nuevo enfoque a las diferente necesidades que exige un mercado dinámico como es la industria de videojuegos.

a todo esto se explicara como la gestión de riesgos se aplica en esta industria y como esta se transforma para cumplir las necesidades de las empresas.

¿Que se busca y que beneficios se obtienen con la gestión de riesgos en la producción de videojuegos?

• Aumentar y mejorar la productividad.
• Desarrollar buenas relaciones con publicadores y desarrolladores.
• Desarrollo personal y profesional del capital humano.
• Mejorar la calidad del producto.
• Reducción de costos al mejorar la eficiencia.
• Aumentar la confiabilidad en la viabilidad de proyectos dirigidos tanto a publicadores como desarrolladores.

Como aplicar las 4 formas básicas para tratar un riesgo.

Evitando el riesgo.

• Modificar el alcance del proyecto para eliminar el riesgo por completo.
• La evasión y transferencia se emplean tipicamente en las fases iniciales de planificación del proyecto.

Conteniendo el riesgo.

• Mantener varias contingencias a lo largo del proyecto.
• Construir un modelo de acumulación de riegos.
• La contingencia se puede encontrar en tiempo, presupuesto o la calidad y es comúnmente utilizado para manejar los riesgos de programación.

Transfiriendo el riesgo

• Por medio de aseguradoras.
• Contratistas y terceras partes.
• Distribución de riesgo entre inversionista.

Aceptando el riesgo

Algunos riesgos tiene que ser aceptados a pesar de su nivel de riesgo como:

• Huelga meteorito - consecuencias altas, pero de muy baja probabilidad de ocurrencia.
• Enfermedad de empleado - consecuencia baja, pero de alta probabilidad.

Referencias

http://www.gamegroup.plc.uk/gmg_plc/about/markets/riskman/

http://es.wikipedia.org/wiki/Industria_de_los_videojuegos

http://www.gnw-evergreen.com/industries/game-guard/

Más a fondo en la gestión de riesgos

Tipos riesgos de Software

• Riesgos del negocio: Amenazan la viabilidad del software.
• Riesgos del proyecto: Amenazan el plan del proyecto, planificación temporal y costos  
• Riesgos del producto: Amenazan la calidad y planificación del software.

Análisis y gestión de riesgos

Ø  Identificación

Identificar los riesgos potenciales que pueden ocurrir en el proyecto.  Los más habituales en proyectos:

·         Cambio de requisitos

·         Meticulosidad en requerimientos o de los desarrolladores

·         Escatimar en la calidad

·         Planificaciones demasiado optimistas

·         Diseño inadecuado

·         Síndrome de la panacea (“esta herramienta ahorrará la mitad del trabajo”)

·         Desarrollo orientado a la investigación (proyectos muy novedosos, más propios de investigación que de desarrollo)

·         Personal mediocre

·         Errores en la contratación

·         Diferencias con los clientes

Ø  Análisis de los riesgos

Estimación del riesgo: Probabilidad y magnitud de perdida.

Establecer una escala que refleje la probabilidad percibida del riesgo.

ej:

<10 % muy bajo

10-25 % bajo

25-50 % Medio

50-75 % Alto

>75 % Muy Alto

La magnitud de perdida puede ser medida en unidades de tiempo y costo.

Matriz de estimación

RIESGO	PROBABILIDAD	MAGNITUD DE PERDIDA (Unidad)	EXPOSICION AL RIESGO (unidad)
r1	20%	3	0,6
r2	35%	20	7
r3	15%	5	0,75

Si existe el 25% de probabilidad que un riesgo ocurra y esto podrá atrasar el proyecto 4 semanas, entonces la exposición al riesgo seria 0,25 * 4 = 1 semana.

Priorización del riesgo: determinar  los riesgos más importantes, se establece una línea de corte, se descartan los riesgos por debajo de esa línea.

Ø  Planificación del riesgo

Se establece un plan de gestión del  riesgo para cada uno de los riesgos claves

Estrategias

        Prevención: reducir la probabilidad

        Minimización: Reducir el impacto

        Planes de contingencia: Estar preparado y planificar la solución.

Ø  Supervisión del riesgo

Realizar un seguimiento de los riesgos durante la ejecución del proyecto. Un buen método es realizar seguimientos periódicos (semanales, por ejemplo) de los riesgos más significativos

Su finalidad es determinar si:

·         Las respuestas son implementadas según se planificó.

·         Las acciones de respuesta son tan efectivas como se esperaba o si nuevas respuestas deberían ser elaboradas.

·         Las asunciones del proyecto son todavía válidas.

·         La exposición a los riesgos ha cambiado y, en caso afirmativo, cual es la tendencia futura.

·         Un disparador (evento) de riesgo ha ocurrido.

·         Se han seguido las políticas y procedimientos adecuados.

·         Han ocurrido riesgos nuevos que no estaban previamente identificados

Algo más de información

http://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos

http://www.monografias.com/trabajos73/gestion-riesgos/gestion-riesgos.shtml

Proceso de Administración de Riesgos

En el transcurso del Blog hemos mencionado muchos temas relacionados con la Gestión de Riesgos enfocándonos cada vez mas en TI. En las últimas publicaciones hemos visto herramientas que se pueden utilizar para realizar una buena Gestión de Riesgos dentro de una Organización, entre los mencionados hay estándares y marcos de referencia que prestan un apoyo importante al proceso de administración de riesgos que comprende la decisión para enfocar y planear actividades con respecto a la gestión de riesgos.

Dentro del procesos de administración de riesgos se pueden identificar algunas etapas clave que explicaremos a continuación:

• Planificación de la administración de riesgos:

En este paso se documentan los procedimientos para administrar los riesgos del proyecto indicando metodología, roles y responsabilidades, presupuesto y plazos, categorización de riesgos, calculo de probabilidad de riesgo y su impacto, etc.

• Identificación de Riesgos:

En esta etapa se comprenden los eventos que potencialmente podrian dañar o mejorar

un proyecto. Esta etapa es clave ya que hay que ser oportuno para poder evitar incidentes realmente críticos.

• Análisis Cualitativo de Riesgos:

Esta etapa involucra evaluar la probabilidad y el impacto de la identificación de riesgos hecha previamente para determinar que tan grave es y que prioridad se debe asignar para tratarlo.

• Planificación de la respuesta de los riesgos:

Después que una organización identifica y cuantifica los riesgos, debe desarrollar una apropiada estrategia para poder enfrentarlos. Para ello se tienen en cuenta cuatro aspectos:

-Evitar o eliminar riesgos.

-Aceptar los riesgos.

-Transferir los riesgos.

-Mitigar los Riesgos.

Es importante tener en cuenta que también se deben tener en cuenta los riesgos que significan algún aspecto positivo para la organización, esto hace que la administración de los mismos sea integral.

• Monitoreo y control de Riesgos

El monitoreo y control de los riesgos involucra la ejecución de los procesos de la administración de riesgo para responder a los eventos riesgosos.

A partir de este procedimiento muchos proyectos de TI ejecutan su plan de Control de Riesgos, aplicando estándares tales como ISO 27000 o marcos de referencia y metodologías comoo ITIL o Cobit de forma integrada.

COBIT Y SU MARCO RISK IT

Elementos de gestión de riesgo tomado dehttp://upload.wikimedia.org/wikipedia/commons/2/2d/Risk_Management_Elements.jpg

Tras la aparición del marco basado en COBIT en el mes de noviembre en el año 2009 de la mano de ISACA, Risk IT como un nuevo modelo de la familia COBIT que complementaria a ValIT y COBIT.

RISK IT tiene el objetivo de ”ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC a la generación de valor para el negocio”,enfocado a las coporaciones que tengan su origen en el uso de las TIC. Con esto se cerraría el triángulo sincronía-valor-riesgo que complementaria la Gobernanza de TI y apoyaría el futuro COBIT 5.

RISK IT está distribuido en dos documentos principales

El marco de referencia propiamente dicho (The Risk IT Framework)

Disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios y procesos ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI.

La guía para el especialista (The Risk IT Practitioner Guide)

Disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos.

RISK IT leyes y regulaciones

· United Nations

· OECD

· European Union

· Council of Europe

· USA

Estándares de Organizaciones

§ International standard bodies:

§ International Organization for Standardization - ISO

§ Payment Card Industry Security Standards Council

§ Information Security Forum

§ The Open Group

§ USA standard bodies:

§ National Institute of Standards and Technology - NIST

§ Federal Information Processing Standards - FIPS by NIST devoted to Federal Government and Agencies

§ UK standard bodies

§ British Standard Institute

REFERENCIAS

http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx

http://en.wikipedia.org/wiki/IT_risk#Definitions

http://www.slideshare.net/mmedinasearch/coso-y-cobit-riesgo-y-gestin-de-cambio-ifrs

http://www.isacamty.org.mx/archivo/GRCModel09.pdf

Estándares

• ISO 27000  (serie)

Estándar para la seguridad de la información, el cual contiene un conjunto de políticas de aseguramiento de la información.

Nos permite el establecimiento de una metodología de seguridad clara y estructurada, el cual es continuamente revisado permitiendo mejoras tras cada publicación y gracias a su marco de referencia permite una fácil integración con otros estándares relacionados (ISO9001, ISO14001, etc.)   y aceptación mundial lo que permite integración y alineación a nivel mundial

• ITIL

“Las actividades de la administración de la seguridad están inmersas en casi todos los procesos de ITIL, debido a que es de vital importancia dentro de una adecuada administración, identificar los riesgos asociados al proceso para definir líneas de acción, con la finalidad de mitigarlos; por lo anterior, cobra especial relevancia el tópico "Security Management" que forma parte de la biblioteca.” ... más info ...

Entre otros beneficios facilita la toma de decisiones de acuerdo a indicadores de TI y de negocio y minimiza los riesgos que pueden afectar la continuidad del negocio.

• COBIT

Se trata de un marco compatible con ISO27002 que incorpora aspectos fundamentales de otros estándares relacionados.

Ayuda a los administradores a entender como los asuntos de seguridad y control benefician sus áreas de operación

Otros estándares:

• NIST Serie 800
• UNE 71502:2004
• BS 7799-3
• BS 25999
• BS 25777
• COSO / Sarbanes-Oxley

http://itil.osiatis.es/Curso_ITIL/

http://www.enterate.unam.mx/

http://www.iteraprocess.com/

http://www.aenor.es/

http://es.wikipedia.org/wiki/ISO/IEC_27000-series

Gestión de Riesgos de Tecnología

Las organizaciones son cada vez mas conscientes de los impactos que puede generar el no administrar los riesgos de tecnología ya que esto representa un impacto negativo a varios indicadores empresariales tales como la productividad, la utilidad, la efectividad operacional, etc. Para poder realizar una buena GESTIÓN DE RIESGOS existen básicamente dos herramientas, los estándares y normas, y las metodologías; sin embargo el uso de estas herramientas no garantiza que todos los posibles riesgos presentes en cualquier tipo de organización se mitiguen en su totalidad.

A pesar de los diferentes mecanismos que se pueden implementar para GESTIÓN DE RIESGOS dentro de una organización es importante resaltar que en algunas ocasiones se debe coexistir con estos de forma controlada con el fin de evitar que se conviertan en incidentes que aumenten los efectos negativos en los procesos organizacionales, en este caso hablando particularmente de los servicios de TI dentro de una empresa.

Básicamente, en cualquier área organizacional se debe realizar un análisis de riesgos por unidad de negocio y un plan de mitigación respectivo que incluya acciones como las ya mencionadas en publicaciones anteriores (evitar, aceptar, mitigar, transferir riesgos).

Cuando hablamos de establecer controles implica la elaboración de políticas, normas y procedimientos que en el caso de TI se reflejan directamente en el manejo y la gestión de los recursos tales como el hardware, el software (aplicaciones, Sistemas operativos) y claro está el recurso humano. Estos controles por lo general son el fruto de un análisis particularizado por el tipo de riesgo que se puede generar estimando su impacto en la operación y la probabilidad de que ocurra teniendo como base el esquema estratégico con el que trabaja dicha organización lo que significa un buen Gobierno de TI y es por esto que se ha presentado la necesidad de observar varios estándares y metodologías con el fin de utilizar herramientas para elaborar los controles de riesgos más efectivos para la organización, tema que se tratará la próxima semana.

GESTIÓN DE RIESGO COMO SOLUCIÓN DE SOFTWARE

La gestión de riesgo actúa de forma transversal en la estructura organizacional de una empresa, ya que los riesgos pueden manifestarse de muchas maneras y en diferentes áreas como por ejemplo: La incertidumbre en el mercado, fracaso en proyectos (en cualquiera de sus fases desarrollo, producción o sostenimiento en su ciclo de vida), complicaciones legales, riesgo en crédito, accidentes naturales o influencias por terceros. Todo esto no toca propiamente una área de la empresa por ello existen varios estándares para la gestión de riesgo donde se plantean diferentes métodos y recursos para manejar un riesgo según el área al que corresponda.

Algunos de los principios de la gestión de riesgos según la International Organization of Standardization (ISO)

• crear valor.
• ser una parte integral de los procesos organizacionales.
• hacer parte de la toma de decisiones.
• especificar incertidumbre e hipótesis.
• ser sistemático y Publicar entradaestructural
• basarse en la mejor fuente de información.
• tener en cuenta el factor humano.
• ser transparente, iterativo, dinámico y responder fácilmente al cambio.
• mantener siempre el mejoramiento continuo.

Todos estos junto con los procesos para identificar, planificar, abstraer, enmarcar, analizar y finalmente mitigar o solucionar se da una idea general de lo que la gestión de riesgo debe hacer por cada unidad de apoyo en la que participa.

Entre las aplicaciones para las diferentes soluciones en sus diferentes áreas tenemos:

RM Risk Management: Servicio de inspección de salud y salvavilidad para proteger la empresa.

MetricStream Soluciones: “marco de gestión integrado y flexible para la documentación y evaluación de riesgos, definición de controles, gestión de auditorías y para identificar problemas e implementar de planes de recomendación y reparación. La solución de gestión del riesgo incluye potentes herramientas para el análisis y supervisión del riesgo tales como calculadoras de riesgo configurable y mapas de calor del riesgo.”

ARC RISK: Solución que facilita la parametrización de los cálculos de riesgo, visualización, y evaluación a través de procesos de fácil ejecución, proporcionando más desempeño y eficacia en la generación y en el control de los riesgos.

Risk Management Insight (RMI): A través de las matemáticas y la modelación probabilística de los mercados financieros provee una solución para predecir y manejar los riegos de la empresa.

Referencias y material de apoyo.

• http://riskmanagementinsight.com/
• https://www.risk-mi.com/cw/es/servicios_riskmanagement.phtml
• http://www.qdconsulting.com/documentos/Brochure-AdministracionRiesgo.pdf
• http://www.metricstream.com/es/soluciones.htm
• http://en.wikipedia.org/wiki/Risk_management
• http://www.rmriskmanagement.co.uk/

En general los mecanismos para gestionar riesgos son: Evitar, mitigar, transferir y aceptar las consecuencias de los riesgos.

Para realizar cualquier acción contra riesgos primer debemos:

• Identificar  los posibles riesgos
• Identificar y entender  el origen de riesgos, sabiendo que son de origen externo (Económicos, Sociales, Orden Público, Legales, Cambios Tecnológicos, etc.) y origen interno (Personas, recursos económicos, Naturaleza de la actividad, etc.),
• Hacer una breve descripción con las características generales o las formas en las que se manifiestan los riesgos identificados.
• Identificar las posibles consecuencias o efectos que podría causar el riesgo.
• Análisis de riesgos: De los posibles riesgos identificados debemos saber que probabilidad y que nivel de impacto generan en nuestro entorno.
• Definir un orden de calificación ejemplos. (Alto, Medio, Bajo) ó (1, 2, 3) ó (a, b, c).
• Clasificar según el estándar adoptado la frecuencia con la que se podría presentar el riesgo.
• Clasificar según el estándar adoptado la forma en la cual el riesgo podría afectar los resultados u objetivos.
• Evaluación de riesgos: Del análisis de riesgos podemos determinar cuáles de estos riesgos son tolerables y cuales controles existentes necesitan ser mejorados o crear nuevos controles.
• Definir la prioridad en la atención de cada riesgo
• Identificar los controles asociados a este riesgo y que tan efectivos son.
• Definir el nivel de riesgo.
• Manejo de riesgos: De las acciones anteriores podemos determinar cuál va a ser  la estrategia para manejar el riesgo identificado, la definición de la estrategia dependerá de las identificaciones previas realizadas, el balance entre el costo de la implementación versus el beneficio, responsable(s) y cronograma de  implantación.

En conclusión podemos determinar si los riesgos identificados pueden ser controlados mediante algunas acciones, encontraremos algunos riesgos a los cuales los métodos de control no serán suficientes solo permitirán bajar el impacto o la probabilidad de ocurrencia de los riesgos, también, hay riesgos de los cuales no tendremos métodos pertinentes para su control y solo con mitigar su impacto o probabilidad de frecuencia no es suficiente así que debemos transferir el riesgo, como ejemplo a un seguro y por ultimo encontraremos riesgos   a los cuales por su impacto, probabilidad de ocurrencia o controles identificados decidimos  asumir.

Referencias de interés:

• http://pdf.rincondelvago.com/plan-de-control-de-riesgos-operacionales.html
• http://www.ergolaboris.com/docs/Documents_tecnics/Metodologia_Evaluacion_Riesgos_Laborales.pdf
• http://www.monografias.com/trabajos13/progper/progper.shtml

¿Qué es Riesgo?

El concepto de riesgo ha evolucionado a través de la historia desde que el hombre tomo conciencia de las situaciones que resultaban inesperadamente desafortunadas. De primera mano la palabra riesgo se utilizo en temas financieros y comerciales debido al desarrollo del capitalismo industrial y las practicas llevadas a cabo con los nuevos inventos, de esta manera fue evolucionando el concepto dentro del marco empresarial como un factor importante para tener en cuenta dentro de una organización.

Actualmente las diferentes interpretaciones que ha tenido la palabra riesgo describen en cualquier situación en que no sabemos con exactitud lo que ocurrirá en el futuro. A continuación algunas definiciones hechas por dos instituciones:

Para "International Organization of Standarization" (ISO):

"Combinación de la Probabilidad de un Evento y su Consecuencia" ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)".

Para "The institute of internal auditors" (The IIA):

"La Posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad".

Es importante tener claro que actualmente el concepto de riesgo se utiliza activamente dentro de varios marcos interdisciplinarios. Desde la guerra fría, donde la información paso de ser una herramienta a un aliado estratégico para combate, se empezó a masificar el termino Riesgo en el manejo de Información, de tal manera que su administración se ha convertido en un campo muy amplio de investigación con el fin de tomar planes de acción en donde se busca como mejor practica evitar el riesgo, sin embargo en el transcurso de las próximas semanas nos daremos cuenta de los diferentes mecanismos de acción que hay para combatir un riesgo y asi poco a poco enfocarnos en el tema de Gestión de Riesgos de TI.

Referencias:

http://www.monografias.com/trabajos73/gestion-riesgos/gestion-riesgos2.shtml#capituloia

http://manuelgross.bligoo.com/20110624-el-decalogo-del-management-segun-wharton

Introducción

En el avance tecnológico, creciente por demás, se ha demostrado  que el acceso a las TIC ya no es de uso privativo de los profesionales de la informática, este mismo crecimiento ha llevado a multiplicar las amenazas existentes, esto está  estrechamente relacionado con la apertura de las redes ya que el acceso no es solo a recursos locales y propios si no también a otros recursos remotos propios y no propios, la combinación de los factores anteriormente mencionados ha hecho que la gestión de riesgos sea vista como una herramienta indispensable para la sociedad ya que las inversiones que se deben hacer en TI para una organización deben ser tenidas en cuenta y no se pueden  dar por perdidas  por la mala gestión de los riesgos, riesgos  que intrínsecamente tienen las TIC.

Entendiendo la gestión de riesgos

¡Bienvenido!

Este Blog está enfocado al desarrollo temático y práctico de la Gestión de Riesgos Informáticos con el fin de establecer la importancia de los elementos para reaccionar ante estos.