Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

El empleo de la tecnología es una de las decisiones más comunes en la elección de estrategias, por lo que se ha incrementado la dependencia al uso de información electrónica dentro de las organizaciones. Lo anterior, ha permitido que la tecnología deje de ser un miembro pasivo y se convierta en un elemento importante para la operación de los negocios. La constante búsqueda por ser una empresa sobresaliente dentro del mercado, ha sido un factor importante para la implantación de nuevas estrategias, técnicas y herramientas que permitan mejorar aspectos como: planeación, administración, gestión y operación, entre otros.

Uno de los ejemplos más conocidos sobre la elección de tecnología, es el empleo de los sistemas

Enterprise Resource Planning (ERP), para el procesamiento de información dentro de los diversos procesos de negocio, como lo muestra la figura 1.

TI: VALOR ESTRATÉGICO DEL NEGOCIO

Figura 1. Relación de la tecnología con los procesos de negocio

Fuente: Gustavo A. Solís Montes, (CobiT User Convention-CobiT y la administración de riesgos).

Siendo así, la tecnología se vuelve parte de la operación y su funcionamiento no puede aislarse de los demás elementos del proceso; asimismo, todos los integrantes en conjunto tienen un solo objetivo, además de poseer la misma importancia para el logro de los resultados.

Sin embargo, como en todo proceso, existe el factor llamado “riesgo”, pues como su definición lo establece: es la posibilidad de que ocurra un evento y afecte adversamente el logro de objetivos.

Este factor, también está presente en la tecnología y como se puede observar en la figura 2 (pág. sig.), está inmerso dentro de la operación del negocio.

Para tener mayor claridad sobre la relación del riesgo tecnológico con el negocio, se observa el flujo existente en la figura 1, en la que se detallan los vínculos directos entre los componentes de la tecnología, los procesos, el logro de objetivos, el cumplimiento de metas y hasta la satisfacción de los stakeholders.

Hoy en día existe un concepto llamado “gobierno de TI” que tiene dentro de sus objetivos, además de alinear la tecnología con los procesos del negocio, la administración apropiadade los riesgos.

Administración de riesgos

Para administrar un riesgo hay que entender su significado, si se retoma la definición utilizada sobre el riesgo, y la relacionamos con la tecnología, se puede decir que un riesgo tecnológico: es aquella posibilidad de que ocurra un evento relacionado con la tecnología y que afecte  adversamente el logro de los objetivos del negocio.

Entonces surge un cuestionamiento, ¿cuáles son esos tipos de riesgos o eventos a los que estoy expuesto como negocio? Como no existe una clasificación genérica sobre los riesgos tecnológicos, no hay una respuesta específica para esta pregunta. Esto depende de las características de cada una de las compañías, del tipo de tecnología que esté utilizando y de los procesos a los que ésta

esté relacionada dentro de la operación. Por ello, existen algunas guías o bases que se pueden

utilizar sobre los riesgos tecnológicos, como la que proporciona el ITGI (Information Technology

Governance Institute), ver tabla 1.

Estos riesgos están completamente relacionados con la tecnología y su impacto puede ser directo para el negocio, pues como ya se mencionó: la tecnología es un factor importante para la operación de los negocios. Para demostrar lo anterior, se tomarán como ejemplos los tipos de eventos de riesgo en la operación del negocio, (ver tabla 2, pág. sig.) así como los aspectos de tecnología relacionados (sin ser éstos los únicos existentes, ya que dependen de la operación de cada empresa y de la constante innovación tecnológica que existe).

La decisión de incorporar tecnología en los procesos del negocio, trae consigo la decisión de administrar el riesgo tecnológico correspondiente

Pero no todo es negativo, ya que aunque existen riesgos que pueden llegar a impactar la operación, hay procesos y mejores prácticas que se apoyan en la administración de los mismos, pues como dice un dicho popular: “quien no arriesga, no gana”, y más en la actualidad, donde tomar riesgos es una parte común para las decisiones de las empresas en la búsqueda de alcanzar nuevas metas, perseguir mayores objetivos y ampliar alcances; cada camino trae inmerso su propio riesgo y mientras más ambicioso sea, mayor es el riesgo relacionado.

La frase de arriesgar y ganar es muy utilizada para tomar la decisión y actuar, pues da a entender que no importa la existencia del riesgo ni que se conozcan las consecuencias, lo importante es ganar y ¿por qué hacerlo sólo de esa manera?, el estar conscientes de la existencia de un riesgo y mejor aún, conocer ese riesgo, son aspectos importantes; pero, conocer la manera de tratar (administración) con ese riesgo, proporcionará mayor seguridad para tomar una decisión.

Esto es un factor importante, ya que en ocasiones se corren riesgos de manera irresponsable, que obligan al desarrollo de planes de compensación; y con el paso del tiempo, la aplicación de éstos resulta más costoso que el beneficio inicial de tomar ese riesgo.

Por tal razón, hago énfasis en la importancia que tiene que las empresas consideren a la tecnología y sus riesgos relacionados, con la finalidad de evitar su impacto en los procesos del negocio. Existen dos factores que no deben pasarse por alto al hablar de riesgo: el impacto (efectos que pueda tener para el negocio) y la probabilidad (posibilidad de que ocurra el evento); pues la combinación de estos factores proporcionarán un panorama sobre las consecuencias que pudiera llegar a sufrir el negocio (ver figura 3).

En este punto, se hace referencia a las actividades de administración de los riesgos, en especial a las mejores prácticas enunciadas por la ITGI para realizar este proceso, entre las cuales se pueden señalar los siguientes elementos fundamentales:

Análisis de riesgos. Es la etapa en la que se recopila la información acerca de la exposición de la operación al riesgo tecnológico, con el fin de tomar decisiones y administrar los riesgos de forma apropiada.

Administración de riesgos. Es el monitoreo y tratamiento de los riesgos, con base en la información recopilada de los mismos, mediante el análisis, la identificación y evaluación.

El proceso anterior, se puede ejemplificar a nivel general por medio de la figura 4.


 

No hay que olvidar, que cada una de estas actividades son claves para el logro de los resultados, y en conjunto forman un flujo para poder administrar de manera adecuada los riesgos. El beneficio que se obtiene de este proceso, es que se puede contar con un tratamiento adecuado (ver figura 5) para cada riesgo relacionado con la tecnología, de tal forma que el riesgo residual —riesgo que prevalece después de su tratamiento— sea menor (ver figura 6, pág. siguiente). 

Fuente: Gustavo A. Solís Montes, CobiT User Convention-CobiT y la administración de riesgos

Pero, ¿cómo determinar el impacto que tiene un riesgo tecnológico y la probabilidad de que ocurra dentro de mi proceso de negocio? Este punto del proceso se refiere a la medición del riesgo tecnológico; es decir, ¿qué beneficios proporciona el medir un riesgo?, sólo por mencionar

algunos: contar con bases para estimaciones futuras y tener argumentos necesarios para saber cómo administrar ese riesgo.

Para medir un riesgo tecnológico es importante tener en mente dos palabras: cualitativo y cuantitativo, ya que con cada una de ellas se puede hacer la medición y determinar los valores que proporcionen la severidad del impacto y la probabilidad de ocurrencia.

En el análisis cualitativo se considera la magnitud de las consecuencias relacionadas con el riesgo. Para el caso cuantitativo, éste está relacionado con la cantidad de ocurrencias relacionadas con el riesgo, por lo que, en cada caso, los factores de impacto vs. probabilidad son propios de cada tipo de medición.

Una vez que se tiene un panorama sobre cómo hacer la medición de los riesgos tecnológicos, también se puede saber que existe un proceso llamado administración del riesgo con el que se podrá dar un tratamiento a cada uno de los casos que se presenten, con base en su impacto y

probabilidad. Pero, para que todo esto suceda, se debe preguntar, ¿quién va a medir los riesgos tecnológicos? Y ¿de quién es la responsabilidad?, pues si no se tiene esa figura, no es posible cerrar el proceso.

La participación de los stakeholders dentro de la medición del

Riesgo tecnológico debe ser una prioridad para el negocio.

Quizá la respuesta sería, si se trata de riesgos de tecnología, que la responsabilidad es de las

áreas de Tecnologías de Información (TI); aunque, surge otra pregunta ¿cómo va a determinar

el personal de TI la magnitud del impacto al proceso de negocio y a los objetivos de la empresa?,

porque a pesar de formar parte de la operación, no conforma todo el proceso.

Por eso la participación de los stakeholders dentro de la medición del riesgo tecnológico

debe ser una prioridad para el negocio, con la finalidad de identificar con claridad los riesgos, las consecuencias, las actividades requeridas para su administración, así como medir y determinar la pérdida (en números), en caso de que se materialice el riesgo.

Importancia de la participación de los stakeholders

Un factor de éxito para obtener mayores beneficios de la medición del riesgo, es la participación de los stakeholders, ya que en la mayoría de los casos estas actividades son ejecutadas sólo por personal de TI. Para el logro del objetivo es necesario que todos los involucrados en los procesos del negocio participen.

Pongamos atención en los resultados de una encuesta realizada por el ITGi a 200 profesionales de TI, en 14 países (incluyendo el continente americano), de la totalidad de encuestados, sólo en 37% de las compañías, los stakeholders de las unidades de negocio participan en el proceso de administración de riesgos tecnológicos.

Entonces, si el objetivo es emplear tecnología para obtener mejores resultados, la responsabilidad debe recaer en todos los involucrados dentro del negocio; haciendo una división del alcance de dichas responsabilidades con base en la especialización y rol de cada miembro del equipo. algunas de estas responsabilidades y roles, se mencionan en la figura 7 (pág. siguiente)

Si el riesgo tecnológico es considerado por todos los involucrados, se puede hacer un análisis más eficiente sobre el impacto que pueda tener y la probabilidad de que ocurra dentro de los procesos de negocio, y así se logrará un mayor conocimiento para saber cómo administrarlo.

Para conocer los riesgos tecnológicos, los involucrados en los procesos deben analizar, identificar, evaluar y medir las características de esos riesgos con base en la tecnología que han decidido incorporar, esa es la clave para obtener los beneficios esperados de la tecnología sin preocuparse

en las situaciones adversas que puedan suceder por esa decisión.

Ideas finales

Mientras mayor grado de conciencia se tenga sobre la importancia que tienen todos los aspectos que rodean a la tecnología, incluyendo los riesgos correspondientes, mayor provecho se obtendrá de su empleo dentro del negocio.

Si pensamos que los riesgos tecnológicos son propios de la operación de TI y están aislados del negocio, no podremos obtener resultados favorables al incorporar tecnología, y sólo habremos realizado gastos sin un retorno de inversión, los cuales quedarán catalogados como malas

decisiones corporativas.

Por lo anterior, es fundamental tener en claro que si dentro de las estrategias del negocio está la incorporación de tecnología, como parte de la búsqueda para ser una empresa sobresaliente, entonces todos debemos ser partícipes del esfuerzo por realizar una medición del riesgo tecnológico relacionado, ya que nuestra prioridad deben ser los objetivos de la empresa.

 

 Ing. Raúl Fuenzalida Contreras

Socio Deloitte, Control Assurance

Ing. Eduardo Ambrosio Pradel

Gerente Deloitte, Control Assurance

Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicoswww.imcp.org.mx

 

 

 

Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2

Sin conexión a Internet