IX ENCUENTRO NACIONAL y IV INTERNACIONAL DE CONTROL INTERNO Manizales, 6, 7 y 8 de Octubre de 2003

Por una gestin pblica eficaz y transparente

ADMINISTRACIN DE RIESGOS DE RIESGOS DE TI

Por: Fernando Izquierdo Duarte Banco de la Repblica Presidente Capitulo ISACA en Colombia

La administracin del riesgo es fundamental en el funcionamiento exitoso de las organizaciones. INTRODUCCIN En la economa global, las organizaciones necesitan tomar riesgos para sobrevivir - la mayora de ellas necesitan incrementar el nivel de riesgos que toman para ser exitosas a largo plazo. Con el significativo incremento en la competencia, los objetivos y metas agresivos de las corporaciones se estn convirtiendo en norma. Para direccionar este cambio, los lderes mundiales estn fortaleciendo sustancialmente sus prcticas de administracin de riesgos para asegurar que si las iniciativas o el funcionamiento de las unidades de negocio se descarrilan, esto se identifique rpidamente poder actuar para corregir la situacin. El enfoque presentado en esta conferencia se encuentra basado en las mejores prcticas relacionadas con esta forma de implementacin, sin decir con ello que los conceptos aqu planteados no permitan realizar implementaciones a niveles especficos o para bajos niveles operativos. MARCO CONCEPTUAL DE ADMINISTRACIN DE RIESGOS Qu es Administracin de Riesgos? La administracin de riesgos es el proceso continuo basado en el conocimiento, evaluacin, manejo de los riesgos y sus impactos que mejora la toma de decisiones organizacionales. Es entonces la administracin de riesgos el trmino asociado al conjunto de pasos secuenciales, lgicos y sistemticos que debe seguir el analista de riesgos para identificar, valorar y manejar los riesgos asociados a los procesos de la Organizacin, los cuales ejecutados en forma organizada le permiten encontrar soluciones reales a los riesgos detectados minimizando las prdidas o maximizando las oportunidades.

Beneficios de la Administracin de Riesgos

Organizaciones que han aplicado enfoques efectivos de administracin de riesgos han reportado entre otros los siguientes beneficios: A nivel organizacional: Alcance o logro de los objetivos organizacionales. nfasis en prioridades de negocio: permite a los directivos enfocar sus recursos en los objetivos primarios. Tomar accin para prevenir y reducir prdidas, antes que corregir despus de los hechos, es una estrategia efectiva de administracin del riesgo. Fortalecimiento del proceso de planeacin. Apoyo en la identificacin de oportunidades. Fortalecimiento de la cultura de autocontrol. Al proceso de administracin: Cambio cultural que soporta discusiones abiertas sobre riesgos e informacin potencialmente peligrosa. La nueva cultura tolera equivocaciones pero no tolera errores escondidos. La nueva cultura tambin hace nfasis en el aprendizaje de los errores. Mejor administracin financiera y operacional al asegurar que los riesgos sean adecuadamente considerados en el proceso de toma de decisiones. Una mejor administracin operacional generar servicios ms efectivos y eficientes. Anticipando los problemas, los directivos tendrn mayor oportunidad de reaccin y tomar acciones. La organizacin ser capaz de cumplir con sus promesas de servicio. Mayor responsabilidad de los administradores en el corto plazo. A largo plazo, se mejorarn todas las capacidades de los directivos. Caractersticas Generales. La Administracin de Riesgos debe estar apoyada por la Alta Gerencia de la Organizacin. La Administracin de Riesgos debe ser parte integral del proceso administrativo utilizado por la Direccin de la Organizacin. La Administracin de Riesgos es un proceso multifactico y participativo, el cual es frecuentemente mejor llevado a cabo por un equipo multidisciplinario. Etapas del Proceso de administracin de Riesgos: A continuacin se describen las principales etapas definidas para el Proceso de Administracin de Riesgos. 1. Establecimiento del Contexto General. Permite, a travs del conocimiento del entorno y de la organizacin, establecer las polticas y criterios generales que sern utilizados para implementar el enfoque de Administracin de Riesgos en cualquier rea de la Organizacin. Durante esta etapa se deben establecer las polticas y criterios generales que sern utilizados para la aplicacin del enfoque de Administracin de Riesgos en cualquier rea de al organizacin. Consiste en identificar las relaciones entre la organizacin y su entorno, entender la organizacin, sus objetivos, estrategias, capacidades y habilidades, as como identificar todos aquellos objetos (reas, procesos, proyectos, etc) de la organizacin a los cuales se

podra aplicar un Anlisis de Riesgos, y permite determinar, mediante el uso de los criterios generales, definidos previamente, sobre cuales de ellos debe realizarse el anlisis 2. Identificacin de Riesgos: Mediante el establecimiento de un marco de accin especfico que permita entender el objeto sobre el cual se aplicar el proceso de Administracin de Riesgos. Consiste adems, en definir los criterios especficos del anlisis de riesgos y determinar el nivel de aceptacin de riesgo que la organizacin est dispuesta a aceptar para este proceso. El propsito final de esta etapa es provee los mecanismos necesarios para recopilar la informacin relacionada con los riesgos, impactos y sus causas. Importante en esta etapa, es la definicin de Riesgo. Para la mayora de partes, los riesgos son percibidos como cualquier cosa o evento que podra apoyar la forma en que la organizacin alcance sus objetivos. Por consiguiente, para estas organizaciones, la administracin de riesgos no se realiza sobre riesgos adversos. La administracin de riesgos no est dirigida exclusivamente a evitarlos. Su enfoque est en identificar, evaluar, controlar y dominar los riesgos. Administracin de riesgos tambin significa tomar ventaja de las oportunidades y tomar riesgos basados en decisiones informadas y anlisis de resultados. 3. Anlisis del Riesgos: En esta etapa se busca obtener el entendimiento y conocimiento de los riesgos identificados de tal manera que se pueda recopilar informacin que permita el clculo del nivel de riesgo al cual est expuesto el objeto en la actualidad, Identificar los controles existentes implementados para mitigar el impacto ante la ocurrencia de los riesgos, permitiendo de esta manera valorar los niveles del riesgo, la efectividad de los controles y el nivel de exposicin. El riesgo es analizado a travs de la combinacin de estimativos de probabilidad y de las consecuencias en el contexto de las medidas de control existentes. El anlisis de riesgos involucra un debido examen de las fuentes de riesgo, sus consecuencias y la probabilidad de que esas consecuencias puedan ocurrir. Pueden llegar a identificarse factores que afectan tanto las consecuencias como la probabilidad. Los estimativos pueden determinarse utilizando anlisis, estadsticas y clculos. Alternativamente donde no hay datos histricos disponibles, se pueden hacer estimativos subjetivos que reflejen el grado de creencia de un grupo o de un individuo en que un evento en particular o suceso ocurran. 4. Evaluacin y Priorizacin de Riesgos La evaluacin de riesgos incluye comparar el nivel de riesgo encontrado durante el proceso de anlisis contra el criterio de riesgo establecido previamente, y decidir si los riesgos pueden ser aceptados. El anlisis de riesgos y los criterios contra los cuales los riesgos son comparados en la valoracin deben ser considerados sobre la misma base. As, evaluaciones cualitativas incluyen la comparacin de un nivel cualitativo de riesgo contra criterios cualitativos, y

evaluaciones cuantitativas involucran la comparacin de niveles estimados de riesgo contra criterios que pueden ser expresados como nmeros especficos, tales como fatalidad, frecuencia o valores monetarios. El resultado de una evaluacin de riesgos es una lista priorizada de riesgos para definirles acciones de tratamiento posteriores. 5. Tratamiento de Riesgos. Despus de valorar y priorizar los riesgos, y dependiendo del nivel de exposicin, se debe determinar la opcin de tratamiento que ms conviene aplicar en cada caso. El tratamiento de riesgos incluye la identificacin de la gama de opciones de tratamiento del riesgo, la evaluacin de las mismas, la preparacin de planes de tratamiento de riesgos y su posterior implementacin. Las opciones de tratamiento que se relacionan a continuacin no son mutuamente exclusivas ni sern apropiadas en todas las circunstancias: EVITAR el riesgo: Se decide, donde sea prctico, no proceder con servicios, procesos y/o actividades que podran generar riesgos inaceptables, buscando con ello eludir el riesgo inherente asociado a esos objetos. Es siempre la primera alternativa que debe considerarse. REDUCIR el riesgo: La organizacin decide prevenir y/o reducir el riesgo. Si el riesgo no se puede evitar porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al ms bajo nivel posible, el cual debe ser compatible con las actividades de las reas. Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles. REDUCIR la probabilidad de ocurrencia: Prevencin del riesgo a travs de la implementacin de acciones tendientes a controlar su frecuencia o probabilidad. REDUCIR las consecuencias o MITIGAR el riesgo: reduccin del riesgo a travs de la implementacin de acciones o medidas de control dirigidas a disminuir el impacto o severidad de las consecuencias del riesgo si ste ocurre. ATOMIZAR el riesgo: La organizacin decide segmentar el objeto sobre el cual recae la amenaza de riesgo o, distribuir la localizacin de los objetos. TRANSFERIR el riesgo. La organizacin decide traspasar o trasladar riesgos a otra parte o lugar de manera total o parcial. Las transferencias parciales son conocidas como COMPARTIR el Riesgo. La distribucin o localizacin del riesgo en diversos lugares se conoce como DISPERSIN o ATOMIZACIN del riesgo. ASUMIR el riesgo: La organizacin decide aceptar los riesgos como ellos existen en la actualidad, y establece polticas o estrategias financieras apropiadas para su tratamiento. En este caso la organizacin considera que el riesgo residual actual es de

nivel bajo y decide convivir con l, aceptando la prdida probable, con lo cual las estrategias de prevencin se vuelven esenciales. 6. Monitoreo y Revisin. Pocos riesgos permanecen estticos. Por lo tanto, riesgos y la efectividad de sus medidas de control necesitan ser monitoreados continuamente para asegurar que circunstancias cambiantes no alteren las prioridades. Revisiones progresivas son esenciales para asegurar que los planes de la administracin permanecen relevantes. Los factores que afectan la probabilidad y la consecuencia de un resultado pueden cambiar, al igual que los factores que afectan la viabilidad o el costo de las opciones de tratamiento. BIBLIOGRAFA: The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management COSO - The Committee of Sponsoring Organizations of the commission Treadway COCO - Instituto Canadiense de Contadores Certificados (CICA) IFAC - Financial & Management Accounting Committee Government of Canada, Communications Security. A Guide to Security Risk Management for Information Technology Systems MAGERIT - Metodologa de Anlisis y Sesin de Riesgos de los Sistemas de Informacin Versin 1.0 Chester Simmons - Risk Management Solis Montes Gustavo A. Reingeniera de la Auditora Informtica