El marco de la gobernabilidad de TI: Gestión del riesgo

Como lo hemos mencionado anteriormente la gestión del riesgo y la generación del valor son los conceptos centrales sobre la que gira el proceso de Gobierno de TI. Basicamente se entiende como el conjunto de acciones que se toman tanto para prevenir desastres como para recuperarse de ellos. En el la etiqueta riesgos TI en este blog hay información adicional respecto a este tema.

Para la alta gerencia este es un asunto no solo de TI sino financiero y operacional, el buen gobierno del equipo gerencial implica contemplar diferentes aspectos en la gestión de riesgos manejando estos conceptos:

• Transparencia, especificacando las políticas de riesgos: cuales se asumen, cuales se evitan y las políticas a seguir al respecto.
• Responsabilidad, indicar claramente las políticas, la delegación de responsabilidades y la claridad en las comunicaciones al respecto.
• Eficiencia en costos, generada por las acciones de mitigación de los riesgos.
• Ventajas competitivas, que genera la seguridad en el accionar de la compañía y que se pueden reflejar en la gestión comercial.
• Manejo del riesgo através de todas las instancias de la organización, garantizando definiciones de escalamiento y acciones en tiempo de desastres.

Estos aspectos influencian directamente en las inversiones en TIC.

Para ello se manejan tres campos específicos de acciones estratégicas:

• Mitigación, acciones destinadas a la disminución de probabilidad de ocurrencia de desastres
• Transferencia, estrategias de seguros que reduzcan el impacto financiero ante eventos
• Aceptación, asumir los riesgos y monitorearlos para impedir su ocurrencia

De estas estrategias hacen parte los planes de contingencias y de recuperación de desastres.

Los riesgos de desastre son una realidad muy tangible. Hace dos semanas un prestigioso banco colombiano tuvo un evento importatnte con sus bases de datos que afectó tanto la operación de cajeros en línea como los pagos en línea en supermercados y otros establecimientos comerciales, los saldos de parte de las cuentas corrientes y de ahorros presentaron valores incorrectos, y con la sombra de Murphy ocurrió en un fin de semana que coincidió con pago de quincena.  Aunque la solución no fué tan rápido como se esperaba finalmente la operación se reestableció sin mayores problemas para los usuarios.

Detrás hay costos tangibles e intangibles: cuantas ventas dejaron de hacer los establecimientos por este evento? hasta donde fueron afectados los clientes? cuanto le costó al banco en comisiones por operaciones esta falla? cuanto costó la recuperación? y la imagen?

Afortunadamente ya todo está operando bien.

El diagrama adjunto refleja el proceso de manejo de riesgos de TI según el IRM - Institute of Risk Management  donde también hay más información adicional.