2013

VAL IT AND RISK IT

INSTITUTO TECNOLGICO DE SANTO DOMINGO (INTEC)

Karla Mateo 07-0445

18-03-2013

VAL IT AND RISK IT

Val IT

2013

En qu consiste Val IT? Val IT permite soportar el objetivo de negocio de realizar un valor ptimo de las principales inversiones de negocio impulsadas por TI a un coste econmico y con un nivel aceptable de riesgo y est guiado por un conjunto de principios aplicados a procesos de gestin de valor que son impulsados por prcticas claves de gestin con referencias cruzadas a los controles claves de COBIT y que se miden por mtricas de resultados y rendimiento. La iniciativa Val IT, en la que se incluyen investigaciones, publicaciones y servicios de soporte, tiene como objetivo ayudar a la gerencia a garantizar que las organizaciones logren un valor ptimo de las inversiones de negocio posibilitadas por TI a un coste econmico, y con un nivel conocido y aceptable de riesgo. Val IT proporciona guas, procesos y prcticas de soporte para ayudar al consejo/directorio y a la direccin ejecutiva a comprender y desempear sus roles relacionados con dichas inversiones. Val IT est dirigido principalmente a la evaluacin y administracin de las inversiones que realizan las organizaciones tomando como apoyo a TI, donde este es un medio para contribuir a la creacin de valor de la empresa. En concreto, Val IT se concentra en la decisin de invertir correctamente y analizar si se estn obteniendo beneficios tangibles. Aplicar y poner en prctica los principios de Val IT, traer como ventaja el aumento del conocimiento y transparencia de los costos, aumento de la probabilidad de seleccionar inversiones y del xito al ejecutarlas; reducir costos, riesgos e imprevistos en relacin con el costo y entrega de TI. La inversin en TI ya no se trata de la implementacin de soluciones sino de emprender cambios organizacionales impulsados por TI. Val IT es un factor muy relevante para el gobierno de TI porque este aporta liderazgo y proporciona procesos claros y coherentes, una clara asignacin de roles, informacin relevantes, y estructuras de organizacin apropiadas. Adems, de que se gestiona la entrega de valor como una de las cinco reas de enfoque del gobierno de TI. Los principios de Val IT se presentan a continuacin: Las inversiones posibilitadas por TI se gestionarn como cartera de inversiones, se abarcar el pleno alcance de actividades que son necesarias para lograr el valor del negocio y se gestionarn a lo largo de su ciclo de vida econmico completo. En las prcticas de entrega de valor, se reconocer que existen distintas categoras de inversin, se definirn y monitorizarn las mtricas claves e implicarn a todos los interesados o stakeholders, y se asignar la responsabilidad correspondiente para la entrega de capacidades y la realizacin de beneficios del negocio. Dichas prcticas de entrega de valor, sern monitoreadas, evaluadas. Dentro de la aplicacin del VAL IT, es necesario considerar los procesos involucrados y sus prcticas de gestin.

VAL IT AND RISK IT

2013

Gobierno de Valor (VG) Establecimiento de un amplio marco de gobierno, monitoreo y control que permite un vnculo claro y activo entre la estrategia de empresa y la cartera de programas de inversin posibilitados por TI que ejecutan la estrategia. El gobierno del valor permite establecer el marco global de gobierno, la direccin estratgica, las caractersticas deseadas de la cartera, y las limitaciones de recursos y financiacin en funcin de las cuales hay que tomar las decisiones de cartera. El Gobierno de Valor cuenta con 11 prcticas claves de gestin que cubren: el establecimiento del marco de gobierno, monitoreo y control, la fijacin de la direccin estratgica para las inversiones y la definicin de caractersticas de la cartera de inversiones. A continuacin citamos las prcticas claves de gestin mencionadas: 1. Garantizar el liderazgo informado y comprometido 2. Definir e implementar procesos. 3. Definir roles y responsabilidades. 4. Garantizar responsabilidad apropiada y aceptada. 5. Definir necesidades de informacin. 6. Establecer necesidades de informes 7. Establecer estructuras organizativas. 8. Establecer direccin estratgica. 9. Definir categoras de inversin. 10. Determinar un objetivo de composicin (mix) de cartera. 11. Definir criterios de evaluacin por categora.

Gestin de Cartera (PM) Gestin de la cartera global para optimizar el valor para la empresa (PM), cuenta con 14 prcticas claves de gestin que incluyen: identificacin y mantenimiento de perfiles de recursos, definicin de umbrales de las inversiones, evaluacin, priorizacin y seleccin, aplazamiento o rechazo de las inversiones; gestin de la cartera global y monitoreo e informes sobre rendimiento de la cartera. La gestin de cartera permite evaluar y priorizar los programas dentro de las limitaciones de recursos y financiacin, y trasladar los programas seleccionados a la cartera activa para su ejecucin. 1. Mantener un inventario de recursos humanos. 2. Identificar necesidades de recursos. 3. Realizar un anlisis de lagunas (gap). 4. Desarrollar un plan de asignacin de recursos. 5. Monitorizar necesidades y utilizacin de recursos 6. Establecer un umbral de inversin. 7. Evaluar el caso de negocio del concepto de programa inicial. 8. Evaluar y asignar una puntuacin relativa al caso de negocio del programa 9. Crear una visin de la cartera global 10. Tomar y comunicar la decisin inversora. 11. Fijar etapas de (y financiar) los programas seleccionados. 12. Optimizar rendimiento de la cartera. 13. Volver a priorizar la cartera 14. Monitorizar e informar sobre el rendimiento de cartera.

VAL IT AND RISK IT

2013

Gestin de Inversiones (IM) Gestin de los resultados de programas de inversin individuales, incluyendo cambios en el negocio, procesos, personas, tecnologas y organizacionales impulsados por los proyectos de negocio y TI que conforman los programas (IM). La gestin de inversiones permite definir los programas potenciales en base a las necesidades de negocio, determinar si merece la pena profundizar en ellos, y pasar los programas de inversin candidatos a la gestin de cartera para su evaluacin en base a su alineacin con los objetivos estratgicos, valor de negocio, tanto financiero como no, y riesgo, tanto de entrega como de beneficios. La Gestin de Inversiones cuenta con 15 prcticas claves de gestin que cubren: identificacin de necesidades de negocio, adquisicin de un claro entendimiento de los programas de inversin candidatos anlisis de alternativas definicin de programas y documentacin de un caso de negocio detallado, incluyendo detalles de beneficios asignacin clara de responsabilidad y propiedad gestin del programa durante todo su ciclo de vida econmico monitoreo e informes sobre rendimiento del programa.

1. Desarrollar una definicin a alto nivel de la oportunidad de inversin. 2. Desarrollar un caso de negocio del concepto del programa inicial 3. Adquirir un claro entendimiento de los programas candidatos. 4. Realizar anlisis de alternativas. 5. Desarrollar un plan de programas. 6. Desarrollar un plan de realizacin de beneficios. 7. Identificar costes y beneficios de todo el ciclo de vida.

8. Desarrollar un caso de negocio detallado del programa. 9. Asignar claramente la responsabilidad y propiedad. 10. Iniciar, planear y lanzar el programa. 11. Gestionar el programa. 12. Gestionar / hacer un seguimiento de los beneficios. 13. Actualizar el caso de negocio. 14. Monitorizar e informar sobre rendimiento del programa. 15. Retirar el programa.

VAL IT AND RISK IT

Risk IT

2013

El riesgo de TI, es el riesgo en que incurren los negocios por la implementacin, la adquisicin, el uso, la influencia y la adopcin de las tecnologas de informacin dentro de una organizacin. Se compone de eventos asociados con TI que podran afectarla, abarcando la frecuencia, el impacto, la creacin de problemas en el cumplimiento de metas y objetivos estratgicos, as como la incertidumbre en la bsqueda de oportunidades. Los riesgos pueden clasificarse de varias formas: el valor de los riesgos de TI permitidos, los programas de TI y riesgos en las entregas de proyectos; y, operaciones de TI y riesgos en las entregas de servicios En la administracin del riesgo de TI, la gestin del negocio incluye los roles o cargos corporativos, lderes y funciones de apoyo como director financiero, jefe de informacin, recursos humanos, entre otros. El marco de riesgo de TI explica los riesgos a los que est expuesta la organizacin y le permite a los usuarios integrar la gestin de los riesgos, tomar decisiones con conocimiento acerca de la magnitud del riesgo, el apetito y la tolerancia de la organizacin. Tambin, les permite entender cmo responder a los riesgos. En resumen, este marco permite a la organizacin adoptar las decisiones de riesgo apropiadas. La administracin de los riesgos de TI, define una serie de lineamientos o principios para la gestin eficaz de dichos riesgo. Dichos principios se mencionan y explican a continuacin: La gestin eficaz de los riesgos de TI siempre se alinea con los objetivos del negocio: el riesgo de TI es tratado como un riesgo de negocio con un enfoque integral de la organizacin, no parcial. Los esfuerzos se centran en los resultados del negocio, se analiza cmo cada dependencia de la organizacin depende las actividades e infraestructura de TI. La gestin de los riesgos de TI es un instrumento de negocio, que protege contra la destruccin de valor y a la vez, genera valor. Alinear la gestin de riesgos con ERM. Los objetivos del negocio y la cantidad de los riesgos que asumir la empresa ya estn definidos, el proceso de toma de decisiones de la empresa toma en cuenta todas las posibles consecuencias de los riesgos de TI. El apetito por el riesgo se refleja en la cultura de gestin de riesgos que posea la empresa y los temas relacionados a riesgos estn integrados en cada dependencia. Balance de los costos y beneficios de la gestin de los riesgos de TI. El gobierno eficaz de la organizacin con respecto a los riesgos de TI equilibra los costos y beneficios de la gestin del riesgo: se prioriza el riesgo en base al apetito y tolerancia de riesgo del negocio, los controles se llevan en consonancia con el equilibrio de costos y beneficios y son aprovechados para hacer frente a mltiples riesgos o para hacer frente a los riesgos de manera ms eficiente

VAL IT AND RISK IT

2013

Promover a participacin y la comunicacin. La direccin eficaz de los riesgos de TI promueve la comunicacin abierta y justa de los riesgos de TI: la informacin abierta, exacta, oportuna y transparente sobre riesgos de TI sirve como la base para todas las decisiones relacionadas con el riesgo. Establecer responsabilidades. La gestin eficiente de riesgos establece las funciones y responsabilidades personales dentro de los niveles de tolerancia aceptables, tomando en cuenta al personal clave, a la promocin de la cultura del riesgo de manera activa, a la facultad de toma de decisiones por personas autorizadas que desempean un papel clave en la gestin de los riesgos. Funcionar como parte de las responsabilidades diarias. Se presta atencin a la evaluacin del riesgo mediante mtodos, funciones y responsabilidades, herramientas, tcnicas y criterios en toda la organizacin. Se identifican los procesos claves y los riesgos asociados, as como el conocimiento de los impactos en el logro de objetivos.

Los tres mbitos del marco de RISK IT: 1. Gobierno del riesgo. A continuacin, mencionamos algunos componentes importantes del dominio de Gobierno del Riesgo El apetito del riesgo y la tolerancia al riesgo: El apetito del riesgo se refiere al volumen de riesgo que una entidad est dispuesta a aceptar o asumir cuando se trata de alcanzar sus objetivos. Por otro lado la tolerancia al riesgo, se define a nivel de organizacin y se refleja en las polticas definidas por la Alta Gerencia. Responsabilidades y rendicin de cuentas sobre la gestin riesgos de TI. Se indican las funciones y responsabilidades que corresponden a aquellos que deben velar por el xito de las actividades dentro de un proceso, as como la inclusin de la rendicin de cuentas que se aplica a quienes poseen los recursos y autoridad necesarios para aprobar el resultado de una actividad especfica Sensibilizacin y comunicacin. La comunicacin abierta sobre los riesgos de TI contribuye al desarrollo de una gestin ejecutiva para la comprensin de la actual exposicin a los riesgos, sensibilizacin interna entre todas las partes interesadas y transparencia para las partes interesadas en el nivel de riesgo. La comunicacin debe ser clara, concisa y oportuna Cultura del riesgo. La gestin de riesgos consiste en ayudar a las organizaciones a asumir mayores riesgos en la bsqueda de la rentabilidad. Una cultura de riesgos asumidos ofrece un entorno en el que los componentes de riesgo se discuten

VAL IT AND RISK IT

2013

abiertamente, y los niveles de riesgo aceptables se entienden y se mantienen. La cultura de riesgos aceptables comienza en la parte superior, con la junta y los ejecutivos de negocios que establece la direccin, comunicando el riesgo de toma de decisiones aceptables y premiando la cultura de aprendizaje en la gestin eficaz del riesgo. 2. Evaluacin del Riesgo. La evaluacin de los riesgos de TI, requiere como fundamento la comprensin mutua entre TI y las reas de negocio. Para esto, se han definido algunos mtodos como los criterios de informacin de COBIT, que permiten la expresin de los aspectos comerciales relacionados con TI; entender los objetivos del negocio, el 4A framework, que define el riesgo como el potencial de participacin de un acontecimiento imprevistos para amenazar la agilidad, precisin, acceso y disponibilidad de la organizacin; el COSO ERM, entre otros. En la evaluacin de los riesgos de TI, tambin se toman en consideracin los escenarios de riesgo. Para esto, se puede partir de los objetivos generales y realizar un anlisis de los escenarios de riesgos de TI ms relevantes y probables que impacten los objetivos de negocio, en un enfoque de arriba hacia abajo. A partir de un enfoque de abajo hacia arriba, se utiliza una lista general de escenarios para definir escenarios ms especficos aplicados a la situacin de la organizacin individual. 3. Respuesta ante el Riesgos Los indicadores de riesgos son capaces de demostrar que la empresa est sujeta a, o tiene una alta probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo definido. La identificacin de indicadores de riesgo debe tener en cuenta los siguientes pasos (entre otros): considerar las distintas partes interesadas en la empresa o stakeholders, hacer una seleccin equilibrada de indicadores del riesgo, cubriendo indicadores de los resultados, los principales y las tendencias; y asegurar que los indicadores seleccionados detallen el origen de la causa de los eventos. Los indicadores de riesgos se definen tomando en cuenta el impacto comercial, el esfuerzo para aplicar, medir y reportar; la fiabilidad y la sensibilidad de los riesgos. El objetivo principal de definir una respuesta ante el riesgo es poder minimizarlo hasta el nivel del apetito de riesgo definido por la empresa despus de los anlisis realizados. La organizacin debe seleccionar y priorizar las respuestas al riesgo utilizando los siguientes criterios: el coste de la respuesta, la importancia del riesgo dirigido por la respuesta, la

VAL IT AND RISK IT

2013

capacidad de la organizacin para aplicar la respuesta, la efectividad y eficiencia de la respuesta ante los riesgos identificados. Para la gestin en la prctica de los riesgos de TI, se muestra una visin general de la gua profesional que ofrece ejemplos de las tcnicas posibles y una orientacin ms detallada sobre cmo abordar, desde una base prctica los conceptos tratados sobre Risk IT y en el modelo de proceso detallado. La Gua Profesional y mapas de los dominios y los procesos del riesgo y los modelos de proceso a los que se pueden aplicar: Establecer y mantener una visin comn Integrarse con ERM Hacer decisiones conscientes de riesgo de negocio Recopilar datos Anlisis de riesgo Mantener el perfil del riesgo Articular riesgo Gestionar el riesgo Reaccionar a eventos

Los principales vnculos entre el Val de TI y riesgos de TI son a travs de los siguientes procesos de negocio: Establecer un liderazgo informado y comprometido Definir caractersticas de cartera. Establecer una supervisin de gobernanza eficaz. Evaluar y seleccionar programas para financiar. Desarrollar y evaluar el programa del diseo inicial de negocio. Comprender los candidatos y las opciones del programa de ejecucin. Desarrollar el caso de negocio detallado del programa candidato Supervisar e informar sobre el programa.