Más Vale Prevenir que Lamentar

En la columna anterior comentamos que el Gobierno corporativo de TI tiene 5 áreas clave de enfoque: Alineación estratégica, entrega de valor, administración de riesgos, administración de recursos y medición del desempeño.
En esta columna profundizaremos en algunos aspectos de la “Administración de riesgos de TI”.Es importante notar que los riesgos de TI son riesgos del negocio. Conforme avanza la tecnología se incrementa la correlación entre los riesgos asociados con el uso, operación, involucramiento, influencia y adopción de las TI en una organización y el incremento en el impacto y las probabilidades de lograr los objetivos de negocio.

Los riesgos de TI pueden ser clasificados en tres grandes grupos:
• Riesgos en la entrega de los servicios de TI, asociados con el desempeño y disponibilidad de los servicios y que pueden ocasionar destrucción o reducción de valor a la organización.
• Riesgos en la entrega de una solución de negocio, asociados con la contribución esperada de TI a la mejora o creación de nuevas soluciones de negocio.
• Riesgos en la entrega de beneficios, asociados con la pérdida de oportunidades de usar la tecnología para mejorar la eficiencia y eficacia de los procesos de negocio o para usar la tecnología como habilitador de nuevas iniciativas de negocio.

El síndrome asociado a una pobre administración de los riesgos de TI se puede identificar por la presencia de uno de los siguientes síntomas:
• “Toco madera” Los ejecutivos del negocio y responsables de TI administran los riesgos pretendiendo que no está. Pero los riesgos existen, independientemente de que se detectan o reconocen por la organización.
• “Visión corta” Los riesgos de TI son manejados de manera independiente a los riesgos de negocio. La perspectiva de TI prevalece -“Sólo se cayó el sistema 10 minutos”-, sobre la de negocio – “Sufrimos fuertes pérdidas en ventas por transacciones no realizadas”-
• “El vaquero solitario”. La organización celebra, premia y comenta las acciones heroicas de los valientes que salvan el día y evitan grandes pérdidas por eventos inesperados.
• “El cuerpo de bomberos”. Un equipo de especialistas de TI dedicados a resolver los incidentes continuos de los servicios de TI que ocurren en la operación.
• “Concurso de talentos”. Se atienden los riesgos del patrocinador que canta y hace el show más atractivo, desviando recursos valiosos de aquellos riesgos que por su magnitud deberían de ser atendidos con prioridad.
• “Yo tenía 10 perritos”. Pérdidas de valor y activos del negocio derivados de eventos que ocurren sin ser identificados.
La magnitud del impacto de los riesgos de TI es para la mayoría de las organizaciones enorme, sin embargo no se equilibra con el esfuerzo y la inversión para administrar y controlar los riesgos, ésta es un área que no recibe la atención suficiente. Para asegurar que TI sostiene a los objetivos de negocio y evitar la pérdida del valor creado es indispensable atender este aspecto mediante la implementación en la organización de un marco de control de riesgos, que para ser efectivo necesita de una serie de actividades que involucran a todos en la organización, desde la alta dirección hasta los niveles operativos.

¿Cómo podemos avanzar? ISACA (Information Systems Audit and Control Association) emitió un marco metodológico para la administración de los riesgos de TI que se suma a la familia de productos
COBIT. La publicación, denominada en inglés “Enterprise Risk: Identify, Govern and Manage IT Risk; The Risk IT Framework” puede ser obtenida en el sitio de ISACA (www.isaca.org). Esta publicación viene a llenar un vacío que existía entre las metodologías de riesgos genéricas (como la ISO 31000) y las específicas asociadas a la administración de riesgos de seguridad de la información (como la ISO 27001). Risk IT provee un marco de procesos para la administración de riesgos compuesto de 9 procesos, organizados en tres dominios:

Gobierno de riesgos
• Establecer y mantener una perspectiva de riesgos común
• Integrar con la administración de riesgos empresarial
• Tomar decisiones de negocio conscientes de los riesgos

Evaluación de riesgos
• Recolectar datos
• Analizar riesgos
• Mantener el perfil de riesgos

Respuesta a los riesgos
• Articular los riesgos
• Gestionar los riesgos
• Reaccionar a eventos

De estos tres dominios el menos común de encontrar en otros estándares y modelos de riesgo es el de Gobierno de Riesgos. En el corazón de este dominio hay algunos elementos clave que establecen un cambio de cultura:

Apetito y Tolerancia al Riesgo
Apetito. La cantidad de riesgo que una organización está dispuesta a aceptar cuando está decidida a lograr sus objetivos.
Tolerancia. Desviaciones del nivel establecido por las definiciones de apetito de riesgos.

Responsabilidad y Rendición de Cuentas
Responsabilidad. La responsabilidad pertenece a aquellos que deben de asegurarse que las actividades para la evaluación y la respuesta a los riesgos se realicen.

Rendición de Cuentas. Este concepto es más difícil, no sólo por su traducción (del inglés accountability) sino también por nuestra cultura. La rendición de cuentas pertenece al individuo (no más de uno) que aprueba la ejecución o acepta el resultado de una actividad. En este sentido es el responsable último ante la organización si el resultado no se logra. Es más fácil determinar y establecer a un responsable de ejecutar, que a un responsable de rendir cuentas.

Consciencia y Comunicación
Consciencia. Es una parte fundamental de la cultura organizacional de prevención. Las organizaciones con consciencia de los riesgos entienden que éstos deben ser bien comprendidos y conocidos, esto no implica que se deban evitar o eliminar todos ellos. Toda decisión de inversión requiere un balance entre los riesgos y los beneficios esperados. Este tipo de organizaciones esperan que los riesgos se identifiquen, se comuniquen y se analicen para una toma de decisiones adecuada. Esta consciencia repercute en que los asuntos relacionados a riesgos se atienden en una forma alineada a las prioridades
de la organización.

Comunicación. Es clave en el establecimiento de esta cultura. Las personas nos sentimos incómodas hablando de riesgos. Es fundamental cambiar esta actitud por una en la que se entiendan los beneficios de no cegarse ante los riesgos y de ver en la atención de ellos un elemento de ahorro y la posibilidad de evitar desastres.

Adicionalmente al marco Risk IT, ISACA elaboró una guía complementaria para la implementación llamada “The Risk IT Practitioner Guide” (está por publicarse pronto). Les recomiendo la lectura de estos dos documentos para entender los fundamentos de la administración de los riesgos y obtener lineamientos de diseño e implementación de una cultura de prevención que sustituya a la de atención de desastres (a pesar del espíritu del bombero que desde niños llevamos adentro).

La respuesta no está en sólo un modelo, otros marcos de referencia contienen metodologías que complementan el control de riesgos. Algunos de estos son, las normas ISO (31000 y 27000); el área de conocimiento de gestión de riesgos del PMBOK, la certificación del PMI Certified Professional in Risk Management (CPRM); la categoría de procesos del CMMI, Risk Management; el proceso de ITIL, Risk Management, y las metodologías inglesas del British Standards

Acerca del Autor
Gloria Quintanilla es Directora de Innovación y Desarrollo de Itera. Cuenta con más de 20 años de experiencia en dirección y gestión de proyectos y servicios de TI. Ha sido miembro del Comité Técnico Nacional de Normalización en Sistemas de Calidad. Fue miembro fundador y presidente en dos ocasiones de la AMCIS. Actualmente es VP de Estándares del Capítulo México del Project Management Institute (PMI) y es Coordinadora del Comité Técnico Nacional para la atención de la ISO en Administración de Proyectos. Gloria es Instructor COBIT Autorizado por ISACA y sus certificaciones incluyen: Auditor Líder ISO 9000, Project Management Professional, ITIL Service Manager, Certified RUP Consultant y Certified MSF Practitioner.