Gestión de Riesgos de Tecnología

Las organizaciones son cada vez mas conscientes de los impactos que puede generar el no administrar los riesgos de tecnología ya que esto representa un impacto negativo a varios indicadores empresariales tales como la productividad, la utilidad, la efectividad operacional, etc. Para poder realizar una buena GESTIÓN DE RIESGOS existen básicamente dos herramientas, los estándares y normas, y las metodologías; sin embargo el uso de estas herramientas no garantiza que todos los posibles riesgos presentes en cualquier tipo de organización se mitiguen en su totalidad.

A pesar de los diferentes mecanismos que se pueden implementar para GESTIÓN DE RIESGOS dentro de una organización es importante resaltar que en algunas ocasiones se debe coexistir con estos de forma controlada con el fin de evitar que se conviertan en incidentes que aumenten los efectos negativos en los procesos organizacionales, en este caso hablando particularmente de los servicios de TI dentro de una empresa.

Básicamente, en cualquier área organizacional se debe realizar un análisis de riesgos por unidad de negocio y un plan de mitigación respectivo que incluya acciones como las ya mencionadas en publicaciones anteriores (evitar, aceptar, mitigar, transferir riesgos).

Cuando hablamos de establecer controles implica la elaboración de políticas, normas y procedimientos que en el caso de TI se reflejan directamente en el manejo y la gestión de los recursos tales como el hardware, el software (aplicaciones, Sistemas operativos) y claro está el recurso humano. Estos controles por lo general son el fruto de un análisis particularizado por el tipo de riesgo que se puede generar estimando su impacto en la operación y la probabilidad de que ocurra teniendo como base el esquema estratégico con el que trabaja dicha organización lo que significa un buen Gobierno de TI y es por esto que se ha presentado la necesidad de observar varios estándares y metodologías con el fin de utilizar herramientas para elaborar los controles de riesgos más efectivos para la organización, tema que se tratará la próxima semana.

GESTIÓN DE RIESGO COMO SOLUCIÓN DE SOFTWARE

La gestión de riesgo actúa de forma transversal en la estructura organizacional de una empresa, ya que los riesgos pueden manifestarse de muchas maneras y en diferentes áreas como por ejemplo: La incertidumbre en el mercado, fracaso en proyectos (en cualquiera de sus fases desarrollo, producción o sostenimiento en su ciclo de vida), complicaciones legales, riesgo en crédito, accidentes naturales o influencias por terceros. Todo esto no toca propiamente una área de la empresa por ello existen varios estándares para la gestión de riesgo donde se plantean diferentes métodos y recursos para manejar un riesgo según el área al que corresponda.

Algunos de los principios de la gestión de riesgos según la International Organization of Standardization (ISO)

• crear valor.
• ser una parte integral de los procesos organizacionales.
• hacer parte de la toma de decisiones.
• especificar incertidumbre e hipótesis.
• ser sistemático y Publicar entradaestructural
• basarse en la mejor fuente de información.
• tener en cuenta el factor humano.
• ser transparente, iterativo, dinámico y responder fácilmente al cambio.
• mantener siempre el mejoramiento continuo.

Todos estos junto con los procesos para identificar, planificar, abstraer, enmarcar, analizar y finalmente mitigar o solucionar se da una idea general de lo que la gestión de riesgo debe hacer por cada unidad de apoyo en la que participa.

Entre las aplicaciones para las diferentes soluciones en sus diferentes áreas tenemos:

RM Risk Management: Servicio de inspección de salud y salvavilidad para proteger la empresa.

MetricStream Soluciones: “marco de gestión integrado y flexible para la documentación y evaluación de riesgos, definición de controles, gestión de auditorías y para identificar problemas e implementar de planes de recomendación y reparación. La solución de gestión del riesgo incluye potentes herramientas para el análisis y supervisión del riesgo tales como calculadoras de riesgo configurable y mapas de calor del riesgo.”

ARC RISK: Solución que facilita la parametrización de los cálculos de riesgo, visualización, y evaluación a través de procesos de fácil ejecución, proporcionando más desempeño y eficacia en la generación y en el control de los riesgos.

Risk Management Insight (RMI): A través de las matemáticas y la modelación probabilística de los mercados financieros provee una solución para predecir y manejar los riegos de la empresa.

Referencias y material de apoyo.

• http://riskmanagementinsight.com/
• https://www.risk-mi.com/cw/es/servicios_riskmanagement.phtml
• http://www.qdconsulting.com/documentos/Brochure-AdministracionRiesgo.pdf
• http://www.metricstream.com/es/soluciones.htm
• http://en.wikipedia.org/wiki/Risk_management
• http://www.rmriskmanagement.co.uk/

En general los mecanismos para gestionar riesgos son: Evitar, mitigar, transferir y aceptar las consecuencias de los riesgos.

Para realizar cualquier acción contra riesgos primer debemos:

• Identificar  los posibles riesgos
• Identificar y entender  el origen de riesgos, sabiendo que son de origen externo (Económicos, Sociales, Orden Público, Legales, Cambios Tecnológicos, etc.) y origen interno (Personas, recursos económicos, Naturaleza de la actividad, etc.),
• Hacer una breve descripción con las características generales o las formas en las que se manifiestan los riesgos identificados.
• Identificar las posibles consecuencias o efectos que podría causar el riesgo.
• Análisis de riesgos: De los posibles riesgos identificados debemos saber que probabilidad y que nivel de impacto generan en nuestro entorno.
• Definir un orden de calificación ejemplos. (Alto, Medio, Bajo) ó (1, 2, 3) ó (a, b, c).
• Clasificar según el estándar adoptado la frecuencia con la que se podría presentar el riesgo.
• Clasificar según el estándar adoptado la forma en la cual el riesgo podría afectar los resultados u objetivos.
• Evaluación de riesgos: Del análisis de riesgos podemos determinar cuáles de estos riesgos son tolerables y cuales controles existentes necesitan ser mejorados o crear nuevos controles.
• Definir la prioridad en la atención de cada riesgo
• Identificar los controles asociados a este riesgo y que tan efectivos son.
• Definir el nivel de riesgo.
• Manejo de riesgos: De las acciones anteriores podemos determinar cuál va a ser  la estrategia para manejar el riesgo identificado, la definición de la estrategia dependerá de las identificaciones previas realizadas, el balance entre el costo de la implementación versus el beneficio, responsable(s) y cronograma de  implantación.

En conclusión podemos determinar si los riesgos identificados pueden ser controlados mediante algunas acciones, encontraremos algunos riesgos a los cuales los métodos de control no serán suficientes solo permitirán bajar el impacto o la probabilidad de ocurrencia de los riesgos, también, hay riesgos de los cuales no tendremos métodos pertinentes para su control y solo con mitigar su impacto o probabilidad de frecuencia no es suficiente así que debemos transferir el riesgo, como ejemplo a un seguro y por ultimo encontraremos riesgos   a los cuales por su impacto, probabilidad de ocurrencia o controles identificados decidimos  asumir.

Referencias de interés:

• http://pdf.rincondelvago.com/plan-de-control-de-riesgos-operacionales.html
• http://www.ergolaboris.com/docs/Documents_tecnics/Metodologia_Evaluacion_Riesgos_Laborales.pdf
• http://www.monografias.com/trabajos13/progper/progper.shtml