Uso del BSC en la Gestión de Riesgos TI

Transcripción

1 Traducción Isaca Journal Volume 5, 2010 Uso del BSC en la Gestión de Riesgos TI La gestión de riesgos es -en su esencia- subjetiva. Aunque se trata de un enfoque estructurado para determinar si acepta, mitiga, transfiere o evita un riesgo, se basa en una evaluación subjetiva del impacto del negocio sobre el ejercicio de la vulnerabilidad organizacional. La actual caída de la rentabilidad del negocio ha traído consigo una mayor concentración de iniciativas necesarias para la gestión del riesgo, alineándolas rápidamente con los objetivos del negocio de una empresa. Los objetivos del negocio van a cambiar de vez en cuando, así como la percepción de sus vulnerabilidades asociadas y su consiguiente impacto. El proceso de gestión de riesgos debe estar en consonancia con este cambio. En un medio ambiente de negocios dinámico, que requiere del cambio para alcanzar metas y objetivos de negocio, el alinear los aspectos de la gestión del riesgo con el despliegue óptimo de los recursos TI, es de gran relevancia. 1.- El Balanced Scorecard Existen numerosos factores que impactan en las metas y objetivos del negocio de una empresa, de este modo, contribuyen a la necesidad del cambio. El cambio puede ser manejado por las fuerzas del mercado o puede ser resultado de un cambio interno en las prioridades. Estos factores, variados y divergentes, pueden ser efectivamente resumidos a través de un enfoque BSC. El enfoque del BSC ha evolucionado desde un simple marco de medición del desempeño, hacia una completa planificación estratégica y un 1

2 sistema de gestión. Es utilizado en todos los sectores de la industria para alinear las actividades del negocio de las empresas, con la visión y misión de la organización, para mejorar el funcionamiento interno y la percepción de los clientes hacia ésta y para monitorear su gestión hacia las metas estratégicas. Esto creará un marco para generar indicadores y delineará objetivos cuya medición permita ejecutar la estrategia. El BSC posee el potencial para visualizar el mecanismo para convertir un plan estratégico a largo plazo, en un conjunto de actividades factibles. Aunque existe una gran cantidad de literatura disponible sobre el BSC, nos abstraeremos de ésta para los propósitos de este artículo. Cada una de las cuatro perspectivas está brevemente dilucidada de la siguiente forma: - La perspectiva financiera está focalizada en garantizar que la ejecución de la estrategia de una organización contribuya a su crecimiento. Crecen ingresos, costos, márgenes de beneficios, flujos de fondos e ingresos netos; indicadores ilustrativos que se incorporan en la planificación y evaluación de las actividades de una empresa versus esta perspectiva. - La perspectiva clientes está focalizada en la propuesta de valor (basada en la combinación adecuada entre excelencia operacional, gestión de satisfacción de clientes y participación del producto) que la empresa implementa para generar mejores ventas por fidelizar a sus clientes. - La perspectiva de procesos internos se focaliza en el proceso que crea y entrega el valor al producto propuesto al cliente. Están incluidos los procesos que tienen que ver con operaciones, 2

3 regulación, cumplimiento, innovación y la ejecución de la responsabilidad social y corporativa. - La perspectiva de aprendizaje y crecimiento se focaliza en la fundación de cualquier estrategia: los activos intangibles de una organización, que primeramente abarcan habilidades internas y capacidades que se requieren para guiar y apoyar la creación de procesos internos. Aunque la inversión en estos activos usualmente disminuye a corto plazo, es necesaria para llegar a las metas establecidas a largo plazo. 2.- Mapeando un BSC La metodología de un BSC puede proveer un sistema de gestión y medición que soporte el proceso del gobierno de TI, así como los aspectos más críticos de alineación del gobierno TI, a las metas y objetivos corporativos. En esta propuesta, un BSC enlazado con el negocio a través la perspectiva de contribución al negocio, expresa la relación entre los objetivos del negocio, las metas y los objetivos TI, de acuerdo a la siguiente figura. 3

4 El mapa es una herramienta usada para dirigirnos en cómo impartir el máximo valor para la organización a través de la tecnología. Asimismo, traza las relaciones entre las metas estratégicas determinadas por el BSC corporativo y la consecución de los objetivos estratégicos pertenecientes al dominio TI y al BSC TI. Por ejemplo, mejorar el rendimiento en los objetivos de una perspectiva (aprendizaje y crecimiento) permitirá a la organización llegar a la excelencia operacional (procesos internos), que a su vez, le permitirá alcanzar resultados deseables en las perspectivas clientes y financiera. Estas relaciones causa- efecto hacen que la empresa se mueva a través de las etapas de su ciclo de vida. El departamento TI puede controlar el riesgo mediante el desarrollo de aplicaciones de controles que garanticen integridad, exactitud, validez, autorización y segregación de derechos, considerando el valor de negocio a través del manejo del riesgo. Lo anterior, requiere entender las 4

5 actuales prioridades de la empresa, en efecto, las de la alta dirección. Esto puede ser guiado por factores sociales, económicos y medioambientales, además de la etapa específica del ciclo de vida de la empresa. El manejo de riesgo, subjetivo como tiende a ser, debe ser un aspecto inherente para cualquier esfuerzo exitoso en el negocio y se lleva a cabo (explícitamente o implícitamente) tanto en el lado operacional, como en los niveles estratégicos de una empresa. Es un constituyente esencial del buen gobierno corporativo. Tal como el BSC TI puede ser deducido del BSC corporativo para alinearlo con los objetivos del negocio, una metodología para el manejo de riesgos tecnológicos puede ser deducida por el BSC corporativo para facilitar el manejo de riesgos TI. De esta forma, el objetivo de este artículo es extrapolar la técnica de usar el BSC para el manejo del riesgo TI al interior de una empresa. Los factores en las relaciones causa efecto son dilucidados previamente. La implementación de la metodología mejorará el nivel de sensibilización de los procesos de la gestión de riesgo tecnológico a su condición más crítica, alineándolos con las metas y objetivos corporativos. 3.- La metodología La metodología incluye los siguientes siete pasos: Paso 1: Identificar el conjunto de metas actuales del BSC. Esta actividad es realizada por los altos niveles de la organización. El CEO deberá mantener al día las metas y deberá notificar y detectar el cambio en las prioridades (implícitamente o explícitamente) y rápidamente incluirlo en el plan de gestión de riesgos TI. 5

6 Paso 2: El conjunto actual de metas del BSC debe mapearse hacia objetivos tecnológicos accionables y establecer un contexto en el cual el marco de la valorización de los riesgos es aplicado para garantizar resultados apropiados. Esto debería incluir el objetivo de evaluación de una meta BSC, incluyendo los delineamientos del contexto de cada riesgo hacia los criterios empresariales que se pretenden alcanzar. Paso 3: desarrollar un sistema de identificación del riesgos basado principalmente en los objetivos determinados en el paso dos. La principal actividad a llevar a cabo en esta etapa, es definir los perfiles de las amenazas y vulnerabilidades específicas para el logro de los objetivos. Paso 4: llevar a cabo la valorización del riesgo tomando en cuenta su probabilidad, impacto en el negocio y priorizar de acuerdo a la metodología estándar. La seguridad de la información y su cumplimiento no son los únicos acontecimientos. Amenazas hacia las ventajas competitivas, reputación, promoción de la visión, etc., tienen que ser consideradas. Con una consideración completa del espectro de las actividades de la organización y una debida priorización, la evaluación de riesgos TI estará finalizada. Paso 5: determinar estrategias específicas de control de riesgos en combinación con uno o más de los siguientes aspectos: - Anulación de riesgo. - Traspaso del riesgo. - Mitigación del riesgo. - Aceptación del riesgo. 6

7 Paso 6: implementación de un sistema con la estrategia como una parte integral de los requerimientos y fases analíticas. Esta es una etapa en que un procedimiento que dé respuesta a los riesgos debe ser desarrollado y mantenido. Este debe ser designado para garantizar la rentabilidad de los controles, los cuales se alinean con la estrategia de control de riesgos específicos. El cumplimiento de las directrices reguladoras debería estar asociado al manejo del riesgo desde el BSC. Paso 7: Periódicamente revisar si la técnica probada es efectiva. Las métricas asociadas deben ser identificadas con las etapas iniciales. La evaluación final debe ser moldada por la subjetividad inherente en todas las actividades relacionadas con el riesgo. Algunas métricas sugeridas son: - El porcentaje del esfuerzo en gestión del riesgo que se destina como consecuencia de las prioridades del BSC, como parte del riesgo global del manejo de riesgo. Se siguiere que esto no debe ser menos del 60%. - El porcentaje actual de los eventos críticos que han impactado al negocio como parte de los previstos durante la etapa de la evaluación de riesgos. - Número de los eventos significativos causados por el riesgo no identificado en el proceso de gestión de riesgos impacto en el negocio. y su respectivo - Frecuencia de revisión del proceso de evaluación de riesgo. - Costos beneficios de la implementación de controles. - 7

8 4.- Factores Críticos del Éxito La gestión de riesgos se ha convertido en algo inherente a todas las actividades corporativas. Conseguir que todos los stakeholders se concentren en lo esencial, sigue siendo un verdadero desafío. Los factores críticos del éxito ayudan en la delimitación de las áreas esenciales de las actividades que se deben realizar para alcanzar los objetivos del negocio. Los FCE para la gestión de riesgo a través del uso del BSC, son los siguientes: Las prioridades establecidas en el BSC deben ser ambiguas y basadas en abstracciones tecnológicas realizadas por el CEO, las cuales son mapeadas desde hechos originados de: -Inteligencia de Negocios y datos. - Expectativas de los Stakeholders. El mapa de las abstracciones tecnológicas hacia los objetivos TI, debe ser parametrizado y los umbrales deben fijarse para cada parámetro. Ante la ausencia de datos históricos, las técnicas aproximación y estimación pueden ser utilizadas. La evaluación de riesgos debe permitir la gestión de seguridad y desastres, además de los objetivos fijados por el BSC. La gestión del cambio debe ser efectiva cada vez que se cambian las prioridades corporativas. Estas incluyen: - Identificar las conductas del cambio y sus respectivas responsabilidades Quién hace qué? - Establecer una hoja de ruta para el cambio, junto con los hitos. 8

9 - Asegurarse de que el monitoreo y control estén considerados desde el inicio. 5.- Conclusión Al final de la gestión de riesgos siempre está la pregunta frente a la cual los stakeholder quisieran tener estamos haciendo bien? respuesta con algún tipo de certeza: Lo La pregunta puede ser respondida con algo de precisión sólo si se observa y revisa constantemente, siendo proactivo y reactivo. El éxito en cualquier actividad de manejo de riesgos en TI depende en gran medida de la cooperación de la alta directiva, la competencia del equipo de manejo de riesgos para transformar los requerimientos del negocio en objetivos TI, el apoyo y participación del equipo TI y la conciencia de cooperación y apoyo de todos los empleados de la organización para cumplir con los controles, para así hacer que la visión de la organización se vuelva una realidad. 9