Actualidad | Artículos | 29 ENE 2015

La gestión de riesgos de TI, es algo del día a día

Los principios del marco COSO nos ayudan a gobernar y gestionar los riesgos de Tecnología de la Información.
ciberseguridad-danger
Juan Carlos Morales

Existen riesgos en todo lo que hacemos y de igual manera, las organizaciones tienen que enfrentarlos para alcanzar sus objetivos. No podemos esconder la cabeza en un agujero, como hace el avestruz. Tecnología de la Información se ha convertido en un elemento estratégico para crear oportunidades, innovación y ventaja competitiva, pero a su vez conlleva riesgos inherentes  que requieren atención en la entrega de servicios, proyectos y en las iniciativas de negocios habilitados por TI;  por lo que los riesgos deben ser gobernados y gestionados.

A la alta gerencia le corresponde establecer el gobierno y la cultura organizacional hacia los riesgos, definir los criterios y el apetito o nivel de riesgo que la organización está dispuesta a aceptar para lograr sus objetivos; así como su tolerancia, y asegurar que los riesgos se gestionen. La mejor manera de hacerlo es estableciendo directrices claras mediante políticas y liderando con el ejemplo.

Los principios del marco de referencia COSO (por sus siglas en inglés Committee of Sponsoring Organizations of the Treadway Commission) indican que la organización ha de especificar los objetivos con suficiente claridad, para permitir la identificación y evaluación de los riesgos relacionados. También indica que los riesgos se deben identificar, analizar y evaluar para ser gestionados; incluyendo la posibilidad de fraude. Si vemos la matriz de roles y responsabilidades del proceso EDM03 Asegurar la Optimización del Riesgo en el marco de referencia COBIT 5, podemos observar que el Consejo de Administración (Junta Directiva) es quien debe rendir cuentas (A de Accountable ) por las prácticas de gobierno.

La gestión de riesgos implica su identificación, análisis y evaluación  para  darles un tratamiento apropiado y así,  llevarlos a un nivel aceptable para la organización. La respuesta puede ser mitigar o reducir el riesgo, transferirlo o compartirlo, evitarlo o aceptarlo. Si vemos la matriz de roles y responsabilidades del proceso APO12 Gestionar el Riesgo en el marco de referencia COBIT 5, podemos observar que el Director de Informática (CIO) es quien debe rendir cuentas por las prácticas de recopilar datos, analizar, expresar y responder al riesgo; mientras que el Director de Riesgos (CRO)  es quien tiene la A en las prácticas de mantener un perfil de riesgo y definir un portafolio de acciones para  gestionarlos. 

El principio diez del marco COSO establece que la organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos. Más específicamente el principio once del marco COSO señala que la organización debe seleccionar y desarrollar controles generales sobre Tecnología de la Información.

Una vez identificados los riesgos, se debe mantener un registro de los mismos y monitorearlos para actuar consecuentemente. El riesgo que hoy es aceptable puede convertirse en inaceptable al cambiar el entorno o las circunstancias.  El principio nueve del marco de referencia COSO  dice que la organización debe identificar y evaluar los cambios importantes que podrían impactar en el sistema de control interno. El principio doce del marco COSO nos dice que la organización debe implementar actividades de control a través de políticas y procedimientos adecuados. Las políticas son los enunciados de alto nivel que establecen las directrices. Los procedimientos definen lo que se debe hacer paso a paso para llevar a cabo los procesos, por medio de los cual se implementan las políticas.

Para gobernar y gestionar los riesgos de tecnología de la información,  debemos de guiarnos por principios y establecer procesos.  No estamos solos, contamos con estándares y marcos de referencia.  Para conocer más acerca de este tema  recomiendo leer el marco de referencia COSO,  el estándar ISO 31000 Gestión de Riesgos, y  la publicación de ISACA COBIT 5 for Risk.

Juan Carlos Morales

Ingeniero de Sistemas y Magister Artium. Consultor e Instructor de TI. Certificado por ISACA:  CISA, CISM, CRISC y CGEIT, y acreditado por APMG como instructor de COBIT 5. Autor de tres novelas históricas. Ciudad de Guatemala, Guatemala.

 

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 1 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información