You are on page 1of 2

LOS ESTNDARES EN LA GESTIN DE RIESGO OPERACIONAL

JOS G. DURN, CISA


Marzo 2006

El uso de los estndares y su aplicabilidad en la gestin de riesgo operativo ha


sido una sensible discusin, que desde principios del ao 2005 hasta el presente, se
ha presentado de forma no muy cordial entre algunos especialistas de reconocida
fama en la gestin de dicho riesgo. El tema a estado centrado en el uso de algunas
prcticas para la evaluacin y administracin en aspectos relacionados al ambiente
de control. Sin embargo no es el objetivo de este artculo ahondar en el detalle de la
discusin entre los especialistas o del alcance del estndar el cual es objeto de la
disputa, el asunto que se quiere plantear es que en la prctica con un slo estndar
o normativa adoptada no se podr gestionar adecuadamente el riesgo operacional.
El cctel de estndares. En distintas experiencias de evaluaciones de riesgo
operativo, as como, de opiniones recabadas directamente de personal que conforma
las distintas unidades que se han estructurado en las organizaciones para gerenciar
los riesgos, notamos con una frecuencia casi cierta, que el riesgo operacional lo
concentran exclusivamente en la evaluacin del ambiente de control interno ; con lo
cual, slo se estara evaluando una parte de todos los aspectos y componentes del
riesgo operacional.
Vale la pena destacar, que
en la prctica uno de los
riesgos ms complejos para
ITIL
administrar
es
el
riesgo
operativo,
dados
los
1540
1333
COBI
componentes que lo integran,
8
5
T
su extensin y amplitud de
presencia manifiesta en todos
1779
los procesos de la organizacin.
9
De all que conformarse con un
estndar o un par de ellos,
caeramos en una situacin, en
NIST
TickI
la cual, slo se estara atacando
T
una parte
del problema. En
nuestra experiencia, hemos
tenido que incorporar guas de
COSO
PMI para la administracin de
proyectos, AS/NZ 4360 para la
administracin de riesgos, IIA
para la prctica auditora, ITIL
para la aplicacin de las
mejores prcticas para soporte
Alcance de las Guas (Estndares)
Fuente: COBIT Mapping 2003
y servicios de tecnologa de
informacin y por supuesto, la
normativa prudencial que regule materias particular del sector en que se desempee
la organizacin, DRI, el cual desarrolla guas para la recuperacin de desastres y
continuidad operativa, siendo stos algunos que hemos utilizado en aspectos que le
son pertinentes a las circunstancias en los que evaluamos los riesgos operativos.

D&A Consultores 2003

En la figura que se incorpora en este documento, tomado del papel de trabajo


COBIT Mapping de 2003; se seala la amplitud y profundidad que en cuanto a
detalle y alcance de la evaluacin tecnolgica, en el cual las guas o estndares
pudieran estar cubriendo como marco de referencia para una evaluacin de riesgos
de tecnologa de informacin. De tal forma que de considerarse que un estndar o
gua metodolgica no sirve para evaluar riesgos pudiera estar apreciando una
observacin errada, como igualmente estara equivocado el que afirme que con ese
nico estndar es suficiente.
Por lo tanto, lo ideal es agrupar los estndares y mejores prcticas apropiadas
para cada componente y tipo de industria para luego desarrollar un mtodo de
evaluacin que permita identificar los niveles de adecuacin en los que se encuentra
la organizacin. Es factible que por tipo de industria puedan utilizarse guas
metodolgicas comunes, como el estndar de gerencia de riesgos AS/NZS 4360 o el
ISO17799; sin embargo, si se requiere mayor especializacin existen estndares que
slo aplicaran a sectores muy especficos en los cuales organismos dedicados a esta
tarea han formulado.
La razn principal de esta recomendacin subyace en el mismo principio de la
especialidad y naturaleza de los componentes de riesgo operativo, de manera que no
se puede pretender atender evaluaciones de riesgo o construccin de modelos de
madurez sin tener los parmetros propios de cada componente, de all que cuando se
desee realizar una evaluacin tecnolgica en referencia al gobierno de tecnologa de
informacin, podra utilizarse como patrn de referencia COBIT , el cual a su vez
hace referencia a COSO en lo que al esquema de informacin y comunicacin se
refiere. Ahora bien, si estamos ante un aspecto de seguridad de informacin; con un
carcter ms tcnico se puede considerar el estndar ISO17799 y as con cada uno
de los aspectos que se integran a la gestin de riesgo operativo.
Es muy importante aclarar que la agrupacin de estndares y mejores prcticas
no implica desarrollar una actitud purista hacia la aplicacin de los mismos. Lo
aconsejable es que se utilicen como guas de evaluacin y control que permitan ir
orientando a las unidades de la organizacin en su auto evaluacin para ir adoptando
mejores prcticas en las reas de control requeridas y en la medida que la
organizacin vaya fortaleciendo su cultura de riesgos, se ir consolidando el uso de
estndares.
Otro aspecto que debe ser considerado en la adopcin de un estndar es que el
mismo debe servir para mantener el su enfoque hacia la mxima consecucin de los
objetivos planteados por la organizacin en su planificacin estratgica y no la simple
funcin de adoptar un estndar, pues al fin y al cabo lo que importa dentro de los
parmetros ticos, carcter social como unidad econmica y misin de la empresa,
es lograr el mximo beneficio de los interesados.
Jos G. Durn, CISA es asesor y su actual inters involucra la evaluacin de
riesgos operativos y tecnolgicos para organizaciones financieras, seguridad de
informacin y evaluacin de rentabilidad tecnolgica en procesos crticos
bancarios.

D&A Consultores 2003