Con la publicación de la nueva versión 5 de COBIT, la ISACA se focalizó en la «maximización de la creación de valor a partir de TI para el negocio» mediante el cumplimiento simultáneo de tres objetivos de gobierno:

  • Maximización de beneficios.
  • Optimización de recursos.
  • Optimización de riesgos.

La introducción del concepto de optimización de riesgos como objetivo de gobierno, muestra una clara evolución frente al enfoque tradicional de mitigación de riesgos, más basada en la visión clásica de la auditoría.

La justificación de este cambio de visión se puede encontrar en que hoy las organizaciones se desempeñan en entornos cada vez más dinámicos, y competitivos, expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del modelo de negocio, donde la búsqueda constante de la maximización sustentable de beneficios exige que se eviten los costos innecesarios de aquellos controles mitigantes que alejan a la organización del nivel óptimo aceptable de exposición al riesgo establecido por la dirección.

Concretamente, COBIT 5 define la optimización de riesgos como «garantizar que los riesgos para el negocio relacionados con TI no exceden el nivel aceptable establecido por la dirección y que el impacto de los riesgos inherentes a TI que podrían afectar al negocio son gestionados y que la probabilidad de potenciales incumplimientos a leyes es minimizada«.

En ese sentido, en este artículo veremos ejemplos de cómo aplicar los lineamientos de gestión que surgen del reciente documento COBIT 5 for Risk, de próxima aparición en castellano, para la optimización de los riesgos de TI mediante la aplicación de los siete facilitadores (enablers) incluidos en COBIT 5.

Según señala la guía COBIT 5 for Risk, se deben aplicar en forma coordinada los siete facilitadores empresariales para gestionar los distintos escenarios de riesgo tecnológico al nivel óptimo establecido por la dirección.

2 opinión5-3

En términos del riesgo tecnológico existe consenso generalizado en definirlo como la posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la organización, al comprometer o degradar las dimensiones críticas de la información (Ej. confidencialidad, integridad, disponibilidad).

 Así pues, COBIT 5 for Risk define el riesgo de TI como un riesgo para el negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una empresa.

 Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio creando pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas oportunidades. Con ese objetivo, COBIT 5 for Risk incluye 20 categorías de escenarios de riesgo con potenciales respuestas basadas en los facilitadores de COBIT 5 como acciones de optimización. Algunas de las categorías mencionadas son las siguientes:

 Establecimiento y mantenimiento de portafolio.

  1. Gestión del ciclo de vida de proyectos y programas.
  2. Toma de decisiones de inversión en TI.
  3. Conocimientos y habilidades de TI.
  4. Operaciones del staff (errores humanos/maliciosos).
  5. Información (violación de datos: daño, fuga y acceso).
  6. Arquitectura (visión y diseño).
  7. Infraestructura (hardware, sistemas operativos y tecnología de control).
  8.  
  9. Propiedad del negocio de TI inefectiva.

 Si tomamos un ejemplo de la 2ª categoría encontraremos los siguientes escenarios de riesgo:

3 opinión5-3

 Para optimizar dichos escenarios podemos aplicar los siete facilitadores de COBIT 5 de la siguiente forma:

 Políticas, principios y marcos.

    1. Política de gestión de proyectos.
    2. Implementación de PMBOK 5 para la gestión de proyectos.
    1. Proceso BAI01 de COBIT 5: «Gestionar programas y proyectos»
  1. Estructura organizacional.
    1. Implementar formalmente una Oficina de Gestión de Proyectos (PMO).
  2. Cultura, ética y comportamientos.
    1. Fomentar la comunicación efectiva.
    2. Incentivar la transparencia sobre desvíos.
  3. Información.
    1. Reportes de gestión del valor ganado (EVM).
  4. Servicios, infraestructura y aplicaciones.
    1. Servicio de consultoría sobre administración de proyectos.
    2. Software de gestión de proyectos.
    3. Bases de datos de conocimiento.
  5. Personas, habilidades y competencias.
    1. Rol del administrador de proyectos.
    2. Certificación PMP (Project Management Professional).
    3. Habilidades interpersonales, soft skills, etcétera.

Finalmente, para lograr el objetivo de la optimización de riesgos, es fundamental tener presente los siguientes conceptos clave:

  • Apetito: la cantidad de riesgo, en un amplio nivel, que la organización está dispuesta a aceptar para alcanzar su misión.
  • Tolerancia: el nivel de variación aceptable que la dirección está dispuesta a permitir para cualquier riesgo en particular con el propósito de alcanzar sus objetivos.
  • Capacidad: la cantidad objetiva de pérdida que una empresa puede tolerar sin poner en riesgo su sustentabilidad y su propia existencia. Difiere del concepto de «apetito», el cual refleja una decisión de la dirección acerca de hasta cuánto nivel de riesgo es deseable aceptar.

 4 opinión5-3

Ejemplo del nivel de riesgo actual en dos organizaciones

 Como se aprecia claramente en la imagen, el nivel de riesgo actual (línea azul) en la primera organización es temporalmente superior al nivel de apetito establecido (línea roja) pero nunca supera la capacidad (línea verde) que puede tolerar, mientras que en la segunda organización una incorrecta definición del apetito por encima de la capacidad tolerable, puede significar un nivel de riesgo actual que comprometa seriamente la sustentabilidad.

@FrancoIT_GRC