Posteado por: FrancoIT_GRC | 09/06/2014

Optimización de Riesgos con COBIT 5

Con la aparición del nuevo COBIT 5, publicado por ISACA, se focalizó en la “maximización de la creación de valor a partir de TI para el Negocio” mediante el cumplimiento simultáneo de 3 objetivos de gobierno:

  • Maximización de Beneficios
  • Optimización de Recursos
  • Optimización de Riesgos

La introducción del concepto de “Optimización de Riesgos” como Objetivo de Gobierno, muestra una clara evolución frente a la enfoque tradicional de “Mitigación de Riesgos”, más basada en la visión clásica de la auditoría.

Optimizar gestión de Riesgos

La justificaciónde este cambio de visión se puede encontrar en que las organizaciones hoy se desempeñan en entornos cada vez más dinámicos, cambiantes y competitivos, expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del Modelo de Negocio, donde la búsqueda constante de la maximización sustentable de beneficios exige que se eviten los costos innecesarios de aquellos controles mitigantes que alejan a la organización del nivel óptimo aceptable de exposición al riesgo establecido por la Dirección.

Concretamente, COBIT 5 define la Optimización de Riesgos como: “Garantizar que los riesgos para el Negocio relacionados con TI no exceden el nivel aceptable establecido por la Dirección y que el impacto de los riesgos inherentes a TI que podrían afectar al Negocio son gestionados y que la probabilidad de potenciales incumplimientos a leyes es minimizada.

En ese sentido, veremos en este artículo ejemplos de cómo aplicar los lineamientos de gestión que surgen del reciente documento “COBIT 5 for Risk”, de próxima aparición en castellano, para la optimización de los riesgos de TI, mediante la aplicación de los 7 facilitadores (enablers) incluídos en COBIT 5.

Según señala la guía “COBIT 5 for Risk”, se deben aplicar en forma coordinada los 7 facilitadores empresariales, para poder gestionar los distintos escenarios de riesgos tecnológicos al nivel óptimo establecido por la Dirección.

Facilitadores enablers COBIT 5

En términos del Riesgo Tecnológico, existe consenso generalizado en definirlo como: la posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la organización, al comprometer o degradar las dimensiones críticas de la información (Ej. confidencialidad, integridad , disponibilidad).

En ese sentido, COBIT 5 para Riesgos define el Riesgo de TI como un riesgo para el negocio, especificamente el riesgo para el negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una empresa.

Una inadecuada gestión de los riesgos de TI pueden reducir el valor del negocio, creando pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas oportunidades. Con ese objetivo, COBIT 5 for Risk de ISACA, incluye 20 categorías de escenarios de riesgos con potenciales respuestas basadas en los facilitadores de COBIT 5 como acciones de optimización.

Algunas de las categorías de escenarios de Riesgos de TI son las siguientes:

  1. Establecimiento y mantenimiento de portfolio
  2. Gestión del ciclo de vida de proyectos/programas
  3. Toma de decisiones de inversión en TI
  4. Conocimientos y habilidades de TI
  5. Operaciones del staff (erroreshumanos/maliciosos)
  6. Información (violación de datos: daño, fuga y acceso)
  7. Arquitectura (visión y diseño)
  8. Infraestructura (hardware, SO y tecnología de control)
  9. Software
  10. Propiedad del negocio de TI inefectiva

Si tomamos un ejemplo de la 2da. Categoría, encontraremos los siguientes Escenarios de Riesgos:

Escenarios de Riesgos según COBIT 5

Para optimizar dichos escenarios de riesgos, podemos aplicar los 7 facilitadores de COBIT 5 de la siguiente forma:

  1. Políticas Principios y Frameworks:
  2. Procesos:
  3. Estructura organizacional:
  4. Cultura, ética y comportamientos:
    • Fomentar la Comunicación efectiva
    • Incentivar la Transparencia sobre desvíos
  5. Información:
    • Reportes de Gestión del Valor Ganado (EVM)
  6. Servicios, Infraestructura y Aplicaciones:
    • Servicio de Consultoría sobre Project Management
    • Software de Gestión de Proyecto
    • Bases de datos de Conocimiento
  7. Personas, Habilidades y Competencias:
    • Rol del Project Manager
    • Certificación PMP
    • Habilidades interpersonales, soft skills, etc

Finalmente, para lograr el objetivo de la Optimización de Riegsos, es fundamental tener presente los siguientes conceptos claves:

  • Apetito: La cantidad de riesgo, en un amplio nivel, que la organización está dispuesta a aceptar para alcanzar su misión.
  • Tolerancia:El nivel de variación aceptable que la Dirección está dispuesta a permitir para cualquier riesgo en particular para alcanzar sus objetivos.
  • Capacidad:La cantidad objetiva de pérdida que una empresa puede tolerar sin poner en riesgo su sustentabilidad y su propia existencia. Difiere del concepto de “apetito”, el cual refleja una decisión de la Dirección acerca de hasta cuánto nivel de riesgo es deseable aceptar.

Apetito Riesgos Gestión - COBIT 5Ejemplo del nivel de Riesgo Actual en dos organizaciones

 

Como se aprecia claramente en la imagen,  el nivel de Riesgo Actual (línea azul) en la primera organización es temporalmente superior al nivel de Apetito establecido (línea roja) pero nunca supera la Capacidad (linea verde) que puede tolerar, mientras que en la segunda organización una incorrecta definición del Apetito por encima de la Capacidad tolerable, puede significar en un nivel de Riesgo actual que comprometa seriamente su sustentabilidad.

 

 

Anuncios

Responses

  1. […] las organizaciones están expuestas a Riesgos para el Negocio que deben gestionar de acuerdo al nivel óptimo aceptable de exposición al riesgo establecido por la Dirección. En ese sentido, es sumamente importante definir adecuadamente, en la […]

  2. […] Con la aparición del nuevo COBIT 5, publicado por ISACA, se focalizó en la "maximización de la creación de valor a partir de TI para el Negocio" mediante el cumplimiento simultáneo de 3 objetivos de gobierno: …  […]


Dejar un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: