comunidad.udistrital.edu.cocomunidad.udistrital.edu.co/cicibogota/files/2016/10/tesis-riesgos... ·...
Post on 01-Nov-2018
219 Views
Preview:
TRANSCRIPT
CIS1130IS11
MODELO DE GESTIÓN DE RIESGOS OPERACIONALES PARA EL GOBIERNO DE
LAS TECNOLOGÍAS DE LA INFORMACIÓN (TI)
http://pegasus.javeriana.edu.co/~CIS1130IS11
SANDY JOHANA CALDERÓN LANCHEROS
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
BOGOTÁ, D.C.
2012
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 2
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página i
CIS1130IS11
MODELO DE GESTIÓN DE RIESGOS OPERACIONALES PARA EL
GOBIERNO DE TECNOLOGÍAS DE LA INFORMACIÓN (TI)
Autor(es):
Sandy Johana Calderón Lancheros
MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO
DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE
SISTEMAS
Director
Ing. Jaime García Cepeda
Página web del Trabajo de Grado
http://pegasus.javeriana.edu.co/~CIS1130IS11
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
BOGOTÁ, D.C.
Julio, 2012.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página ii
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE INGENIERIA
CARRERA DE INGENIERIA DE SISTEMAS
Rector Magnífico
Joaquín Emilio Sánchez García S.J.
Decano Académico Facultad de Ingeniería
Ingeniero Francisco Javier Rebolledo Muñoz
Decano del Medio Universitario Facultad de Ingeniería
Padre Sergio Bernal Restrepo S.J.
Directora de la Carrera de Ingeniería de Sistemas
Ingeniero Luis Carlos Díaz Chaparro
Director Departamento de Ingeniería de Sistemas
Ingeniero César Julio Bustacara Medina
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página iii
Artículo 23 de la Resolución No. 1 de Junio de 1946
“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus
proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral
católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se
vean en ellos el anhelo de buscar la verdad y la Justicia”
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página iv
AGRADECIMIENTOS
Agradezco a Dios y a la Santísima Virgen por llenarme de bendiciones en estos años que hoy
permiten que culmine con éxito mi formación profesional; a mis Padres que han sido mi guía
y mi soporte para enfocarme en conseguir con éxito mi grado profesional y crecimiento como
persona; adicional a mi Director Jaime García Cepeda agradecimientos por el apoyo para el
desarrollo y el cumplimiento de mis objetivos en este proyecto de grado.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página v
TABLA DE CONTENIDO
INTRODUCCIÓN .....................................................................................................................2
I - MARCO TEÓRICO ..............................................................................................................5
1. Gobierno de Tecnologías de la información (TI) ...........................................................6
1.1 Definiciones .................................................................................................................6
1.2. Modelos y Estándares .....................................................................................................7
1.3. Análisis de modelos y/o estándares .........................................................................10
1.4 Modelo base: COBIT 5 [9] ..................................................................................11
2 Riesgos .........................................................................................................................14
2.1 Definiciones ...............................................................................................................14
2.2. Tipos de Riesgos .......................................................................................................15
2.3 Gestión de riesgos ......................................................................................................16
2.4 Modelos y/o estándares ..............................................................................................17
2.4.2 Normatividad colombiana ................................................................................21
3 Riesgo Operativo .........................................................................................................23
3.1 Brasilea II [23] .....................................................................................................23
3.2 Circular Externa 041 de 2007 [13] .......................................................................24
II – DESARROLLO DEL TRABAJO .....................................................................................31
1. Cara 1: Riesgos operacionales y mapa de riesgos ........................................................33
2. Cara 2 Escenarios de riesgos y riesgos operacionales: ................................................42
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página vi
3. Cara 3: Escenarios de riesgos con procesos de COBIT ...............................................44
4. Cara 4: Relación de gobierno de TI con procesos de COBIT ......................................49
5. Cilindro: Estructura del modelo ...................................................................................56
6. Validación ....................................................................................................................57
III – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS .....................58
1. Conclusiones ................................................................................................................58
2. Trabajos futuros ...........................................................................................................60
iV - REFERENCIAS Y BIBLIOGRAFÍA ..............................................................................61
1. Referencias .......................................................................................................................61
2. Bibliografía ......................................................................................................................63
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página vii
LISTA DE GRÁFICAS
Ilustración1. Principios de COBIT ..........................................................................................11
Ilustración 2. Necesidades de los Stakeholder COBIT ............................................................12
Ilustración 3. Principios, políticas y marcos de COBIT ..........................................................13
Ilustración 4. Proceso gestión de riesgos - AS/NZ 4360.[7] ...................................................18
Ilustración 5. Estructura del modelo – Cilindro central ...........................................................32
Ilustración 6. Estructura del modelo 1 .....................................................................................32
Ilustración 7. Estructura del modelo 2 .....................................................................................33
Ilustración 8. Pasos de la Cara 1. .............................................................................................34
Ilustración 9. Pasos de la Cara 2. .............................................................................................42
Ilustración 10. Pasos de la Cara 3. ...........................................................................................45
Ilustración 11. Ejemplo de Cara 3 ............................................................................................49
Ilustración 12. Pasos de la Cara 4. ...........................................................................................50
Ilustración 13. Ejemplo Cara 4 – Relación de procesos de COBIT con objetivos de TI. ........53
Ilustración 14. Ejemplo Cara 4 – Relación de objetivos de TI con objetivos de negocio. .......56
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página viii
LISTA DE TABLAS
Tabla 1. Comparación de modelos y estándares. .....................................................................10
Tabla 2. Líneas de negocio y porcentajes. ...............................................................................23
Tabla 3 Listado de Amenazas/Vulnerabilidades. .....................................................................37
Tabla 4. Escala de nivel de impacto. ........................................................................................38
Tabla 5. Escala de nivel de probabilidad de ocurrencia. ..........................................................38
Tabla 6. Riesgos operacionales, nivel de impacto y nivel de probabilidad. ............................39
Tabla 7. Matriz de riesgos ........................................................................................................41
Tabla 8. Escenarios de riesgos .................................................................................................43
Tabla 9. Relación escenarios de riesgos con riesgos operacionales .........................................44
Tabla 10. Relación de escenarios de riesgos con procesos de negocio de COBIT ..................48
Tabla 11. Relación de proceso de negocio de COBIT con objetivos de TI .............................52
Tabla 12. Relación de objetivos de TI con objetivos de negocio .............................................55
Tabla 13. Escala de valores para resultados de datos de caras del cubo. .................................56
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página ix
ABSTRACT
This document proposes the structure of a model of operational risk management aligned
with IT governance. This model seeks to serve as a guide to identify operational risks and
from these align with IT objectives and business goals of an organization. As an added value
tools and instruments will be designed to allow implementation in organizations that wish to
align their operational risks to its objectives. The model is thought as a hub where you can
check from any face part of the process from identification of risks to their relationships with
the objectives or the entire process.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página x
RESUMEN
El presente trabajo propone la estructuración de un modelo de gestión de riesgos
operacionales alineado con el gobierno de TI. Este modelo busca servir como guía para
identificar los riesgos operacionales y a partir de estos alinearlos con los objetivos de TI y los
objetivos de negocio de una organización. Como valor agregado se diseñarán instrumentos y
herramientas que permitan implantar en organizaciones que desean alinear sus riesgos
operacionales con sus objetivos. El modelo se pensó en forma de un cubo en donde se puede
revisar desde cualquier cara una parte del proceso desde la identificación de riesgos hasta su
relación con los objetivos o el proceso completo.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página xi
RESUMEN EJECUTIVO
Objetivo general
Elaborar un modelo de Gestión de Riesgos operacionales para el Gobierno de Tecnologías de
la Información (TI).
Objetivos específicos
Identificar, analizar, comparar y caracterizar metodologías y buenas prácticas para el
área de Gobierno de Tecnologías de la Información (TI).
Identificar, analizar, comparar y caracterizar metodologías y buenas prácticas para los
riesgos operativos de TI.
Definir el mapa de riesgos a partir del Mapeo e Integración de las caracterizaciones del
Gobierno de TI y los riesgos de TI.
Diseñar el modelo de riesgos operacionales para el Gobierno de Tecnologías de la
Información (TI).
Aplicar el modelo de gestión al mapa de riesgos.
Las empresas necesitan una mejora con respecto a cómo llevan a cabo sus procesos de
administración de riesgos operacionales para alcanzar las metas, desafíos y objetivos
planteados para acercarse al éxito. Esto se ha comprobado en algunos casos en los que se
evidencia el costo de las pérdidas en los riesgos que se generan en algunos procesos de la
empresa. El detalle de los casos que ejemplifican esta situación, serán detallados en el
desarrollo del documento.
El incremento en el uso de las tecnologías de la información y como estas han generado un
impacto a nivel de objetivos de la empresa se genera el siguiente interrogante ¿Cómo es
posible reducir los riesgos operativos en el Gobierno de las Tecnologías de la Información
(TI), con el fin de alcanzar los objetivos estratégicos en una organización?
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página xii
Para esto se propone un modelo el cual está conformado por un cubo y un cilindro en la
mitad, en donde en el cilindro se encuentra todo el modelo central desde la identificación de
riesgos hasta la relación de estos con los objetivos de negocio, y el cubo cumple la función de
mostrar una parte del modelo el cual se divide en cuatro caras que son:
Cara 1: Muestra los riesgos operacionales identificados por los stakeholders,
relacionados con la matriz de riesgos por medio del riesgo inherente.
Cara 2: Muestra la relación de los riesgos operacionales identificados con los
escenarios de riesgos.
Cara 3: Muestra la relación de los escenarios de riesgos con los Proceso de COBIT
de alinear, planificar y organizar.
Cara 4: Muestra la relación entre los Procesos de COBIT de alinear, planificar y
organizar con el Gobierno de TI (objetivos de TI y objetivos de negocio).
El éxito del modelo está relacionado con las decisiones que tomen los stakeholders respecto a
los riesgos operacionales, escenarios de riesgos y tener el conocimiento de la visión, misión y
objetivos de la empresa.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 2
INTRODUCCIÓN
En la actualidad, los amplios avances tecnológicos y la globalización, han llevado a las
empresas a incrementar el uso de la tecnología. Lo anterior, con el objetivo de soportar sus
procesos de negocio.
El precio que debe pagar la organización al tratar de garantizar el cumplimiento de sus
objetivos radica en el compromiso entre las tecnologías de la información y la facilidad de los
empleados y usuarios para accederlos. Así, se incrementan los riesgos y la exposición de la
información a los mismos. Siendo necesario proteger la información que:
Soporta los negocios.
Colabora en la oportuna prestación de los servicios.
Al igual, se debe tener en cuenta que la información es la base que hace posible la existencia
de las tecnologías, aplicaciones, dispositivos de hardware, entre muchos otros elementos.
Estos elementos hacen necesaria la existencia de personas experimentadas en tecnologías de
la información.
Según ISACA [1], cuando el manejo de la información está basado en tecnología, se debe
afirmar que la misma:
Puede estar almacenada y/o procesada en computadoras.
Puede ser confidencial.
Puede ser mal utilizada o divulgada de manera inapropiada.
Puede estar sujeta a robos, sabotaje o fraudes.
Por los anteriores argumentos se considera que a partir de la identificación y análisis de los
riesgos operacionales, se puede dar inicio a la definición de una estrategia de tratamiento del
riesgo. Esto con el fin de obtener los objetivos de la empresa según sus necesidades,
objetivos, misión y visión.
Lo anterior permite pensar que es útil construir instrumentos de ayuda para analizar riesgos
operacionales para el gobierno de TI. Esto, dadas las vulnerabilidades y amenazas que hay en
su entorno. A partir de ellos, podrán obtener datos válidos para definir una estrategia de
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 3
tratamiento del riesgo y esta podría ayudar a las empresas a obtener mayores niveles de
cumplimiento de objetivos negocio respecto a su misión y visión.
Para ello, la propuesta es identificar los riesgos operacionales más comunes. A partir de esos
datos, se estructurara un modelo para relacionarlos con los objetivos de TI y los objetivos de
negocio para generar un buen gobierno de TI.
Este modelo busca servir como guía para identificar los riesgos operacionales y relacionarlos
con los objetivos de Ti y los objetivos de negocio en organizaciones de cualquier tipo, ya que
sin tener en cuenta su actividad económica, estas presentan riesgos operacionales y estos
deben estar alineados a sus objetivos de negocio; y el modelo no define lo riesgos
operaciones ni los objetivos de negocio, si no es una guía para unir ambos conceptos. Cómo
valor agregado se incluyen instrumentos y herramientas, las cuales permiten implantarlo en
organizaciones que inician la adopción de tecnologías de información o que ya las tiene.
Los instrumentos que serán definidos, buscan permitir establecer un conjunto de amenazas y
vulnerabilidades de los riesgos operacionales.
¿Por qué un modelo de gestión de riesgos?
La información es el insumo principal de las empresas para alcanzar las metas, desafíos y
objetivos planteados para acercarse al éxito.
De acuerdo con ISACA London Chapter (2005) [1], cita algunos casos que ejemplifican las
fallas en las tecnologías de la información y que en consecuencia provocaron pérdidas
multimillonarias:
El caso del Banco Wells Fargo donde se evidenció que la protección de archivos era
inadecuada, cuyo error costo USD 21.3 millones.
El caso del empleado que vendió la lista de clientes de una compañía de venta de
libros, lo que causo una pérdida de USD 3 millones.
El caso del Citibank después de una serie de fraudes tecnológicos que acumularon
una suma cercana a los USD 10 millones.
Por lo anterior, podemos pensar que es necesario brindar instrumentos facilitadores para la
realización de un modelo de gestión de riesgos operacionales y adicionalmente con gobierno
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 4
de TI, ya que todos estos riesgos terminan generando un impacto en los objetivos de negocio
de la empresa.
Por lo anterior se sugiere que la adopción de un modelo de gestión de riesgos operacionales
con gobierno de TI como una decisión estratégica de la organización y su diseño e
implementación ser influenciado por las necesidades y objetivos del negocio.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 5
I - MARCO TEÓRICO
El éxito de las empresas sin importar el sector económico en donde se desarrollen no solo va
ligada de la innovación en un mercado, o de la cantidad de utilidad generada por sus ventas;
son múltiples factores que cobijan el crecimiento de estas, y con los avances tecnológicos
estos tienes que ser contribuyentes en el cumplimiento de los objetivos estratégicos que se
plantea cada empresa. Uno de estos factores es la administración efectiva de la información y
la Tecnología de la Información (TI), siendo un componente critico, sensible y que aporta al
éxito y estabilidad a las empresas; en donde la tecnología ha dejando de ser una función
meramente de soporte en las empresas, convirtiéndose en una herramienta que genera valor
agregado y políticas de desarrollo en diferentes sectores económicos.
De esta forma no solo se integra la tecnología y la información, sino que surge la necesidad
de gestionarla, de administrar esa información que tendrá relevancia en el tiempo y que en las
empresas cada vez tiene mayor importancia, involucrándose en la planeación de los objetivos
estratégicos y que permiten conformar no solo un área sino una nueva política en las
empresas como lo es el gobierno de las tecnologías de la información.
Adicionalmente hoy en día la información se está enfrentando a nuevos riesgos por el
aumento de amenazas, en donde las organizaciones han aumentado las inversiones en las TI
para disminuir estos riesgos, además ha generado que las organizaciones cambien los
procesos de negocio y generen nuevas oportunidades de negocio y fortalezas.
Esta gestión de información y los riesgos que esta implica y siendo esta la base de las
organizaciones ha hecho que este sea manejado por parte de la dirección de las empresas, en
donde surge el concepto de gobierno de TI.
Por ende en esta sección se permite poner al lector en el contexto de la investigación,
presentando conceptos básicos acerca del Gobierno de TI, riesgos operacionales y aspectos
importantes sobre la gestión de riesgos.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 6
1. Gobierno de Tecnologías de la información (TI)
1.1 Definiciones
El gobierno de TI se define de diferentes formas pero todas manejan el mismo fin u objetivo,
entre estas definiciones se pueden destacar:
“Estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto
de alcanzar los objetivos del negocio y añadir valor mientras se balancean los riesgos
versus el retorno de la inversión sobre TI y sus procesos. El Gobierno de TI orienta y
conduce a la empresa a implantar prácticas de planificación y organización,
adquisición e implantación, entrega y soporte de servicio y monitoreo del desempeño
de los servicios de TI, logrando así maximizar sus beneficios, capitalizar sus
oportunidades y obtener ventaja competitiva, todo esto en procura de la mejor salud
empresarial.”[2]
“El Gobierno de las TI especifica los procedimientos de toma de decisiones y los
esquemas de responsabilidad para alcanzar el comportamiento deseado en el uso de
las TI"[3].
“El Gobierno de las TI es la capacidad de la que dispone el Consejo de Dirección, la
administración ejecutiva y la administración de las TI para controlar la planificación
y la implementación de estrategias de TI y así asegurar la alineación entre negocio y
TI”[4].
“El Gobierno de las TI se define como las estructuras de dirección y de organización,
procesos y mecanismos de relación que aseguran que las TI den soporte y extiendan
las estrategias y objetivos de la organización”[5].
“Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado
actual y futuro del uso de TI”[6].
"El Gobierno de TI es responsabilidad del Consejo de Administración y la alta
dirección. Es una parte integral del gobierno corporativo y consiste en que el
liderazgo, las estructuras organizativas y los procesos aseguren que la TI sostiene y
extiende los objetivos y estrategias de la Organización"[7].
Con base de las anteriores definiciones se puede observar que las organizaciones deben
reconocer, comprender y gestionar los riesgos que tienen los procesos de negocio, además
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 7
tienen que relacionar el valor que tiene las TI, con su respectiva gestión y el los riesgos que
implica el manejo y control de información.
Otro aspecto clave a tener en cuenta en estas definiciones es quien o quienes deben ser los
responsables de Gobierno de Ti, en donde podemos ver que la responsabilidad no es
solamente del gerente de sistemas o el encargado del área o departamento de tecnología de la
información, sino que debe ser responsabilidad del consejo de dirección, la administración
ejecutiva y la administración de la TI, ya que por lo menos el consejo de dirección o la alta
dirección es el responsable de entender como las funciones de las TI pueden relacionar y
apoyar los objetivos de negocio y así poder planificar e implementar nuevos objetivos,
estrategias y servicios que puedan ayudar a el negocio, pero también es responsabilidad de los
administración ejecutiva para tener en cuenta la continuidad de las operaciones y por ende la
continuidad del negocio.
Pero no es solo quien es el responsable del gobierno de TI sino que estos responsables deben
asegurar que:
“TI este alineada con la estrategia del negocio.
Las nuevas tecnologías faciliten que la organización haga cosas que antes no fue
posible hacer.
Los servicios y funciones de Ti se proporcionan con el máximo valor posible o de la
forma más eficiente.
Todos los recursos de TI son utilizados responsablemente.
Los riesgos asociados a TI son gestionados apropiadamente”[7].
1.2. Modelos y Estándares
1.2.1 ITIL[8]
ITIL (Biblioteca de Infraestructura de Tecnologías de la Información) es un estándar mundial
de Gestión de Servicios Informáticos, que fue construido inicialmente como guía para el
gobierno del Reino Unido pero ha demostrado ser útil para las empresas en todos los sectores.
ITIL fue desarrollado al reconocer que las empresas dependen cada vez más de las
tecnologías de información para alcanzar sus objetivos corporativos, causando una necesidad
creciente de servicios informáticos de calidad, alineados con los objetivos del negocio, y que
satisfagan los requisitos y las expectativas de los clientes; proporcionando así una
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 8
descripción detallada de una serie de buenas prácticas, con una amplia lista de roles, tareas,
procedimientos y responsabilidades que pueden adaptarse a cualquier empresa.
1.2.2. COBIT (Control Objetives for information and related Technology)[9]
IT Governance Institute (ITGI) fue creado en 1998 por ISACA para avanzar en la definición
de estándares para la dirección y control de la tecnología de información en las empresas, en
donde para proveer un marco de trabajo que colabore en la búsqueda de niveles adecuados de
seguridad, definió COBIT (Control Objectives for Information and related Technology), en
donde define unos objetivos de control asociados con la información y la tecnología
relacionada.
COBIT considera fundamental el tratamiento de los riesgos asociados a los activos de
información electrónica, alineada con su misión, que consiste en investigar, desarrollar,
publicar y promover un conjunto internacional y actualizado de objetivos de control para
tecnología de información que sea de uso cotidiano para gerentes, auditores y usuarios.
.
1.2.3 ISO/IEC 38500:2008 “Corporate Governance of Information Technology”[6]
Se publico el 1 de junio de 2008 por ISO y está basada en la norma australiana AS8015:2005.
Su objetivo es proporcionar un marco de principios para que la dirección de las
organizaciones lo utilice para evaluar, dirigir y monitorizar el uso de las TI, para así crear el
uso eficaz, efectivo y aceptable de las TI en toda la organización.
La norma define seis principios de un buen gobierno corporativo de TI:
Responsabilidad: Establecer las responsabilidades de cada individuo o grupo de personas
dentro de la organización en relación a las TI.
Estrategia: Hay que tener en cuenta el potencial de las TI a la hora de diseñar la estrategia
actual y futura de la organización.
Adquisición: Las adquisiciones de TI deben realizarse después de un adecuado análisis y
tomando la decisión en base a criterios claros y transparentes. Debe existir un equilibrio
apropiado entre beneficios, oportunidades, coste y riesgos, tanto a corto como a largo plazo.
Rendimiento: Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel
de calidad requerido por la organización.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 9
Conformidad: Las TI deben cumplir con todas las leyes y normativas y las políticas y los
procedimientos internos deben estar claramente definidos, implementados y apoyados.
Conducta humana: Las políticas y procedimientos establecidos deben incluir el máximo
respeto hacia la componente humana, incorporando todas las necesidades propias de las
personas que forman parte de los procesos de TI.
El modelo de gobierno de TI que muestra ISO/IEC 38500 da tres tareas principales para dar
dirección hacia y, controlar el desempeñó de los roles de gestión en la conducción de la
organización para la planificación, implementación y utilización operacional de TI.
Estas tres tareas son:
Evaluar: la utilización actual y futura de las TI.
Dirigir: la preparación e implementación de los planes y políticas que aseguren que la
utilización de las TI alcanzan los objetivos de negocio. Los planes deberían fijar el destino de
las inversiones en proyectos y operaciones de TI.
Las políticas deberían establecer el nivel de servicio en la utilización de las TI.
Controlar: mediante un adecuado sistema de medida, la adecuación a las políticas,
procedimientos y planes establecidos (tanto interna como externamente).
1.2.4 ISO 27000[10]
La serie de normas ISO/IEC 27000 son estándares de seguridad de la información, que
contiene las mejores prácticas de seguridad de información para desarrollar, implementar y
mantener un Sistema de Gestión de la Seguridad de la Información (SGSI), y especifica los
requerimientos para la implementación de controles de seguridad diseñados de acuerdo a las
necesidades específicas de una empresa o una parte de esta; por ende se tomo este estándar ya
que la seguridad de la información es uno de los objetivos principales que tienen las
organizaciones, por el valor que la información posee en estas, y este estándar ayuda a
entender el manejo de la información y como asegurar esta.
El Sistema de Gestión de la Seguridad de la Información (SGCI) está basado en el modelo
PDCA (Plan, Do, Check, Act) del cual se derivan las siguientes actividades:
1. Establecer el sistema.
2. Implementar y operar el sistema.
3. Mantener y mejorar el sistema.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 10
4. Monitorear y revisar el sistema.
1.3. Análisis de modelos y/o estándares
Para establecer el modelo se realiza una comparación entre los modelos y estándares
explicados en la sección 2.1, en donde se tiene en cuenta los siguientes criterios de
comparación que se toman según las definiciones de Gobierno de TI, Riegos Operacionles
según lo que se está buscando en el modelo a desarrollar y pueden presentar información útil
para la creación de este y el cumplimiento de los objetivos del proyecto:
C1: Se contempla los objetivos estratégicos, visión y misión de la empresa alineados
con los riesgos de esta.
C2: Se siguiere una estimación de resultados que se logran después de la
implementación del modelo o estándar.
C3: Se manejan controles y métricas de TI.
C4: Se contemplan los ciclos de vida de las aplicaciones, sistemas y servicios de TI.
C5: Se contemplan ciclos de mejora continua.
C6: Se contemplan controles enfocados en seguridad de la información.
Luego de realizar una investigación acerca de cuatro modelos de gobierno de TI (Sección
2.1.) se tienen los resultados reflejados en el siguiente cuadro comparativo:
C1 C2 C3 C4 C5 C6
ITIL SI NO NO SI SI NO
COBIT 5 SI SI SI SI SI SI
ISO/IEC 38500:2008 SI NO SI NO SI NO
ISO 27000 SI SI SI NO SI SI
Tabla 1. Comparación de modelos y estándares.
En conclusión, se considera que el estándar que mejor se acomoda al objetivo es COBIT, ya
que establece dentro de sus cuatro dominios los principios de alto nivel para el control de la
tecnología de información, definiendo objetivos de control y hace parte de las mejores
prácticas en un ambiente de control para tecnología de información.
Por lo anterior, COBIT 5 es la base para la construcción del modelo.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 11
1.4 Modelo base: COBIT 5 [9]
COBIT 5 proporciona un marco global que ayuda a las empresas a alcanzar sus objetivos para
el gobierno y la gestión de las TI, o sea que ayuda a las empresas a crear valor óptimo de la
misma por mantener un equilibrio entre la obtención de beneficios, la optimización de los
niveles de riesgo y el uso de los recursos; adicionalmente permite el desarrollo de las políticas
y buenas prácticas para el control de las tecnologías.
COBIT 5 ha integrado COBIT 4.1, Val IT 2.01 y Risk IT
2 contenido en un modelo de
referencia de proceso, en donde reúne cinco principios que permiten a las empresas a
construir un gobierno efectivo y un marco de gestión basado en siete facilitadores que
optimizan la información y la inversión en tecnología y el uso para el beneficio de las partes
interesadas.
Ilustración1. Principios de COBIT (Basado en [9])
1 Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente
aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI
2 Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una
gestión efectiva de riesgos de TI.
PRINCIPIOS
Entregar las necesidades a los interesados
Cubrir la empresa de extremo a extremo
Aplicar un marco único
intregado
Habilitar un enfoque holistico
Separar el gobierno de la
gestión
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 12
Los principios que maneja COBIT 5 son:
1. Entregar las necesidades a los interesados ("Meeting Stakeholder Needs"):
El sistema de gobierno debe considerar todas las partes interesadas en la toma de decisiones
de beneficios, recursos y evaluación de riesgos.
Ilustración 2. Necesidades de los Stakeholders COBIT (Basado en [9])
2. Cubrir la Empresa de extremo a extremo ("Covering the Enterprise End-to-End"):
Se refiere al gobierno y la gestión de las TI relacionada a un nivel corporativo, de extremo a
extremo.
3. Aplicar un marco único integrado ("Applying a Single Integrated Framework):
COBIT 5 se alinea con las normas y marcos utilizados por las empresas: COSO, COSO
ERM, ISO / IEC 9000, ISO / IEC 31000, ISO / IEC 38500, ITIL, ISO / IEC 27000 serie,
TOGAF, PMBOK/PRINCE2, CMMI.
4. Habilitar un enfoque holístico ("Enabling a Holistic Approach"):
COBIT 5 maneja la definición de facilitadores que son los factores que, individual y
colectivamente, influyen en el gobierno y la gestión en la empresa de TI.
Stakeholders
Beneficiar a la organización
Optimizar riesgos
Optimizar recursos
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 13
Ilustración 3. Facilitadores de COBIT (Basado en [9])
Estos facilitadores son:
Principios, políticas y marcos que son las formas para traducir el comportamiento
deseado en una guía práctica para la gestión del día a día.
Procesos que es un conjunto organizado de prácticas y actividades para lograr ciertos
objetivos y producir un conjunto de salidas en apoyo del logro de TI.
Estructura de la organización que es la clave de la toma de decisiones en las
entidades de una organización.
Cultura, ética y conducta de los individuos y de la organización, muy a menudo
subestimado como factor de éxito en las actividades de gobierno y gestión.
La información que es necesaria para mantener la organización funcionando, pero en
el plano operativo, la información es muy a menudo la clave del producto de la
propia empresa.
Servicios, infraestructura y aplicaciones, con la infraestructura, tecnología y
aplicaciones que proporcionan a la empresa con el procesamiento de tecnología de la
información y los servicios.
Facilitadores
Principios, politícas y
marcos.
Procesos
Estructura de la organización
Cultura, ética y conducta de los
individuos Información
Servicios, infraestructura y aplicaciones
Personas, habilidades y competencias
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 14
Personas, habilidades y competencias, están relacionadas con las personas y son
necesarios para completar con éxito todas las actividades y de tomar decisiones
correctas y tomar las acciones correctivas.
5. Separar el gobierno de la gestión ("Separating Governance from Management"):
El marco de COBIT 5 hace una clara distinción entre el gobierno y la gestión.
En donde el gobierno es la responsabilidad del consejo de administración bajo el liderazgo
del presidente, mientras que la gestión es responsabilidad de la dirección ejecutiva.
Adicionalmente el gobierno contiene cinco procesos que son:
Asegurar el establecimiento y mantenimiento del marco de gobierno de TI.
Asegurar la entrega de beneficios.
Asegurar la optimización de riesgos.
Asegurar la optimización de recursos.
Asegurar la transparencia de las partes interesadas.
Y en estos procesos se debe evaluar, dirigir y supervisar (EDM).
En cambio la gestión se basa en las áreas de planificar, construir, ejecutar y supervisar
(PBRM).
2 Riesgos
2.1 Definiciones
Existen diversas definiciones de riesgo como:
“Efecto de la incertidumbre en los objetivos” [11], en donde el efecto lo toman como
una desviación de lo esperado ya sea positivo o negativo y la incertidumbre es el
estado (total o parcial) de deficiencia de la información en relación al entendimiento
o conocimiento de un evento, su consecuencia o su probabilidad. En donde el riesgo
es casi siempre caracterizado en referencia a potenciales eventos y sus consecuencias
o por una combinación de éstas; y es casi siempre expresado en términos de una
combinación de las consecuencias de un evento (incluyendo cambio en
circunstancias) y probabilidad asociada de ocurrencia.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 15
“La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance
de los objetivos. El riesgo en términos de una combinación de un evento o
circunstancia y su probabilidad”[12].
“Combinación de la Probabilidad de un Evento y su Consecuencia siempre y
cuando exista la posibilidad de pérdidas.
RIESGO(E) = Probabilidad(E) x Consecuencia(E)” en donde (E) hace referencia a
los evento siendo una ocurrencia o un cambio de un grupo particular de
circunstancias; este puede tener una o más ocurrencias y puede tener varias causas,
además algunas veces puede ser referido como “incidente” o “accidente”1.
2.2. Tipos de Riesgos
2.2.1 Riesgo Legal[13]
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a
indemnizar daños como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales.
El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones,
derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la
formalización o ejecución de contratos o transacciones.
2.2.3 Riesgo Reputacional [13]
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen,
publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que
cause pérdida de clientes, disminución de ingresos o procesos judiciales.
2.2.4 Riesgo Operativo [13]
Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de
acontecimientos externos.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 16
2.2.5 Riesgo Financiero [13]
El riesgo financiero se refiere a la probabilidad de ocurrencia de un evento que tenga
consecuencias financieras negativas para una organización, incluyendo la posibilidad de que
los resultados financieros sean mayores o menores de los esperados. De hecho, tenida la
posibilidad de que los inversores realicen apuestas financieras en contra del mercado,
movimientos de éstos en una u otra dirección pueden generar tanto ganancias o pérdidas en
función de la estrategia de inversión.
2.3 Gestión de riesgos
Una gestión de riesgos eficiente se puede volver en grandes beneficios económicos para las
empresas, constituyéndose en una herramienta clave para la toma de decisiones, aportando
cada vez más al cumplimiento de los objetivos estratégicos y metas previstas, tomando la
gestión de riesgos como la identificación, evaluación y priorización del riesgo junto con las
acciones para transformar el riesgo, controlando la probabilidad y mitigando el impacto de
los eventos generadores de riesgo.
Una gestión del riesgo debe incluir los siguientes elementos:
1. Identificar, caracterizar y evaluar eventos generadores de riesgo.
2. Evaluar la vulnerabilidad de los activos críticos ante amenazas específicas.
3. Determinar el riesgo: la probabilidad de ocurrencia y la consecuencia de eventos.
4. Identificar maneras de reducir, evitar o transferir los riesgos.
5. Priorizar las acciones basadas en una estrategia de principios y políticas de la gestión del
riesgo.
En las políticas de la gestión de riesgos se debe:
Fijar criterios para el diseño del programa de manejo de los riesgos (apetito, tolerancia de
riesgo)
Incluir niveles de responsabilidad y deberes.
Establecer la cultura de control interno con base al riesgo.
Establece el rol de la auditoría interna.
Establecer un proceso efectivo de información y reporte interno.
Por ende para las empresas teniendo una gestión de riesgos tiene como ventajas:
Aumentar el valor de la organización.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 17
Asegurar que todos los riesgos estén manejados en línea con la estrategia de la empresa.
Evitar duplicidad de costos: Optimización del costo de riesgo.
Se generan potenciales fuentes alternas de financiamiento de pérdidas por el efecto
“balance” entre diferentes tipos de riesgos (visión de portafolio)
Se asegura que se estén manejando todas las fuentes de riesgo al eliminarse el efecto
“borde” (separación entre silos).
2.4 Modelos y/o estándares
2.4.1 Estándares internacionales
2.4.1.1 Norma australiana neozelandesa AS/NZ 4360 [12]
Este estándar provee una guía genérica para el establecimiento e implementación el proceso
de gestión de riesgos involucrando el establecimiento del contexto y la identificación,
análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos.
(Figura1).
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 18
Ilustración 4. Proceso gestión de riesgos – Basado en AS/NZ 4360.[12]
Co
mu
nic
ar
y c
on
sult
ar
Mo
nit
ore
ar
y r
evis
ar
Establecer el contexto • El contexto estratégico.
• El contexto organizacional.
• El contexto administración de
riesgos.
• Desarrollar criterios.
• Decidir la estructura.
Identificar riesgos
• ¿Qué puede suceder?.
• ¿Cómo puede suceder?.
Analizar riesgos
Determinar controles existentes
Determinar
Probabilidades
Determinar
Consecuencias
Estimar nivel del riesgo
Evaluar riesgos • Comparar contra criterios.
• Establecer prioridades de riesgos.
¿Se aceptan los
riesgos?
Tratar riesgos • Identificar opciones de tratamiento.
• Evaluar opciones de tratamiento.
• Seleccionar opciones de tratamiento.
• Preparar planes de tratamiento.
• Implementar planes.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 19
2.4.1.2 ISO 31000:2009 – Risk Management – Principle and guidelines [14]
Este estándar establece los siguientes principios para hacer una gestión de riesgos eficaz:
a. Crea valor.
b. Está integrada en los procesos de la organización.
c. Forma parte de la toma de decisiones.
d. Trata explícitamente la incertidumbre.
e. Es sistemática, estructurada y adecuada.
f. Está basada en la mejor información disponible.
g. Está hecha a medida.
h. Tiene en cuenta factores humanos y culturales.
i. Es transparente e inclusiva.
j. Es dinámica, iterativa y sensible al cambio.
k. Facilita la mejora continua de la organización.
Adicionalmente recomienda que las empresas desarrollen, implementen y mejoren
continuamente un marco de trabajo o estructura de soporte cuyo objetivo es integrar el
proceso de gestión de riesgos en el gobierno corporativo de las empresas, planificación y
estrategia, gestión, procesos de información, políticas, valores y cultura.
2.4.1.3 COSO II – Enterprise Risk Management Integrated Framework (The
Committee of Sponsoring Organizations of the Treadway Commission) [15]
Proporciona los siguientes componentes para la gestión de riesgos:
1. Ambiente interno.
a. Filosofía de la gestión de riesgo.
b. Cultura de riesgo.
c. Consejo de administración/Dirección.
d. Integridad y valores éticos.
e. Compromiso de competencia.
f. Estructura organizativa.
g. Asignación de autoridad y responsabilidad.
h. Políticas y prácticas en materia de recursos humanos.
2. Establecimiento de objetivos.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 20
a. Objetivos estratégicos.
b. Objetivos relacionados.
c. Objetivos seleccionados.
d. Riesgo aceptado.
e. Tolerancia al riesgo.
3. Identificación de acontecimientos.
a. Acontecimientos.
b. Factores de influencia estratégica y de objetivos.
c. Acontecimientos interdependientes.
d. Categorías de acontecimientos.
e. Riesgos y oportunidades.
4. Evaluación de riesgos.
a. Riesgo inherente y residual.
b. Probabilidad e impacto.
c. Fuentes de datos.
d. Técnicas de evaluación.
e. Correlación entre acontecimientos.
5. Respuesta a los riesgos.
a. Evaluación de posibles respuestas.
b. Selección de respuestas.
c. Perspectiva de cartera.
6. Actividades de control.
a. Integración de la respuesta al riesgo.
7. Información y comunicación.
8. Supervisión.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 21
2.4.2 Normatividad colombiana
2.4.2.2 NTC 5254 [16]
Esta norma técnica colombiana está basada en la norma australiana neozelandesa AS/NZ
4360 (ver sección 1.1.1) en donde también se maneja como una guía genérica para el
establecimiento e implementación del proceso de gestión de riesgos involucrando el
establecimiento del contexto y la identificación, análisis, evaluación, tratamiento,
comunicación y el monitoreo en curso de los riesgos.
2.4.2.3 Ley 1150 de 2007 [17]
Esta ley tiene como objeto: “introducir modificaciones en la Ley 80 de 1993, así como dictar
otras disposiciones generales aplicables a toda contratación con recursos públicos.”[17]
En donde en el “ARTÍCULO 4o. DE LA DISTRIBUCIÓN DE RIESGOS EN LOS
CONTRATOS ESTATALES. Los pliegos de condiciones o sus equivalentes deberán incluir
la estimación, tipificación y asignación de los riesgos previsibles involucrados en la
contratación.
En las licitaciones públicas, los pliegos de condiciones de las entidades estatales deberán
señalar el momento en el que, con anterioridad a la presentación de las ofertas, los oferentes y
la entidad revisarán la asignación de riesgos con el fin de establecer su distribución
definitiva.” [17]. Se especifica la distribución de riesgos en los procesos de contratación
estatal.
2.4.2.4 Ley 87 de 1993 [18]
Esta ley tiene como objeto: “establecer normas para el ejercicio del control interno en las
entidades y organismos del Estado”[18]; en donde en el Artículo 2° se especifica los
objetivos del sistema de control interno y entre estos se expresan: “a) Proteger los recursos de
la organización, buscando su adecuada administración ante posibles riesgos que los afecten.
(…) f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones
que se presenten en la organización y que puedan afectar el logro de sus objetivos”[18].
2.4.2.5 Decreto 423 de 2001 [19]
En este decreto se estipula como dice el artículo 7° que: “los organismos sometidos al
Régimen de Contingencias de las Entidades Estatales deberán manejar a través del Fondo de
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 22
Contingencias Contractuales de las Entidades Estatales, la totalidad de los recursos que
apropien en sus presupuestos, para el cumplimiento de obligaciones contingentes
contractuales derivadas de los riesgos comprendidos dentro del Área de Riesgos”[19].
Adicionalmente en el artículo 45 establece que: “La Dirección General de Crédito Público del
Ministerio de Hacienda y Crédito Público, determinará cuáles de los riesgos certificados por
la dependencia de Planeación respectiva, deben ser atendidos con los recursos del Fondo de
Contingencias Contractuales de las Entidades Estatales, para lo cual establecerá un área de
riesgos a partir de dos variables que se tomarán como coordenadas para determinarla, a saber:
1. El valor del pago como porcentaje del proyecto; y,
2. La probabilidad de ocurrencia de la contingencia.”[19]
2.3.2.5 Ley 872 de 2003, Decreto 4110 de 2004 y Decreto 4485 de 2009 [18]
Esta ley tiene como fin dar las pautas para la creación del sistema de gestión de calidad para
las entidades descritas en el artículo 2, y debe tener como requisitos en su implementación:
“identificar y diseñar, con la participación de los servidores públicos que intervienen en cada
uno de los procesos y actividades, los puntos de control sobre los riesgos de mayor
probabilidad de ocurrencia o que generen un impacto considerable en la satisfacción de las
necesidades y expectativas de calidad de los usuarios o destinatario, en las materias y
funciones que le competen a cada entidad.”[20] Y se complementa con el decreto 4410 de
2004 en donde se presenta la creación del sistema de gestión en el numeral 4 y con el Decreto
4485 de 2009 que expone la actualización de la Norma Técnica de Calidad en la Gestión
Pública NTCGP 1000:2004.
2.3.2.6 CONPES 3107 y 3133 de 2001 [21, 22]
Estos documentos: “someten a consideración del Consejo Nacional de Política Económica y
Social – CONPES- los lineamientos de Política de Riesgo Contractual del Estado para
proyectos de participación privada en infraestructura, en los sectores de: (1) transporte, (2)
energía, (3) comunicaciones, y (4) agua potable y saneamiento básico, de acuerdo con lo
establecido en la sección II del decreto 423 de 2001”[21].
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 23
3 Riesgo Operativo
3.1 Brasilea II [23]
Una clara muestra de la importancia que ha cobrado el tema de riesgos operacionales a nivel
internacional es el Acuerdo de Capitales de Basilea II, en éste se oficializó mundialmente el
riesgo operacional así como sus metodologías de medición,
Definiendo el riesgo operacional como: “El riesgo de pérdida resultante por fallas en los
procesos internos, humanos y de los sistemas o por eventos externos. Esta definición incluye
el riesgo legal, dejando por fuera los riesgos estratégico y reputacional”.
Estableciendo las siguientes metodologías de medición para el cálculo de los requerimientos
de capital por riesgo operacional:
Método del Indicador Básico: las entidades que implementen este modelo deberán cubrir el
riesgo operacional con un capital equivalente a un porcentaje fijo (α=15%) multiplicado por
el promedio del ingreso bruto positivo de los últimos tres años.
Método Estándar: de acuerdo con esta metodología, las diferentes actividades de las
entidades financieras se deben asociar a las líneas de negocio y porcentaje fijo (Tabla 1)
establecido por Basilea II multiplicado por el promedio del ingreso bruto positivo de los
últimos tres años.
Línea de negocio Porcentaje fijo
Finanzas corporativas 18%
Negociación y ventas 18%
Banca minorista 12%
Banca comercial 15%
Liquidación y pagos 18%
Servicios de agencia 15%
Administración de activos 12%
Intermediación minorista 12%
Tabla 2. Líneas de negocio y porcentajes.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 24
Métodos de Medición Avanzada (AMA): según esta metodología, cada entidad desarrolla
su propio modelo interno, el cual debe ser aprobado por el organismo supervisor
correspondiente.
3.2 Circular Externa 041 de 2007 [13]
Según lo establecido en esta circular, todas las entidades vigiladas por la Superintendencia
Financiera de Colombia deben identificar, medir, controlar y monitorear eficazmente los
riesgos dentro de su organización, de acuerdo a las pautas y normas establecidas, por ende,
dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de
Administración de Riesgo Operativo (SARO)3, acorde con su estructura, tamaño, objeto
social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros.
Tomando como definición de riesgo operativo como: la posibilidad de incurrir en pérdidas
por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la
infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el
riesgo legal y reputacional, asociados a tales factores.
Adicionalmente maneja la siguiente clasificación de los riesgos operativos:
1. Fraude interno.
2. Fraude externo.
3. Relaciones laborales.
4. Clientes.
5. Daños a activos físicos.
6. Fallas tecnológicas.
7. Ejecución y administración de procesos.
2.2.1 Etapas de la Administración del Riesgo Operativo
2.2.1.1 Identificación
En esta etapa se debe realizar los siguientes pasos:
a) Identificar y documentar la totalidad de los procesos.
3
Conjunto de elementos tales como políticas, procedimientos, documentación, estructura
organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica,
divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican,
miden, controlan y monitorean el riesgo operativo.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 25
b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el
fin de determinar los eventos de riesgo operativo.
c) Identificar los eventos de riesgo operativo, potenciales y ocurridos, en cada uno de
los procesos.
d) La etapa de identificación debe realizarse previamente a la implementación o
modificación de cualquier proceso. Así mismo, deberá adelantarse con anterioridad a
la realización de operaciones de fusión, adquisición, cesión de activos, pasivos y
contratos, entre otros.
2.2.1.2 Medición
Puede realizarse de forma cualitativa o cuantitativa cuando se cuente con datos históricos de
al menos un año y debe realizarse los siguientes pasos:
a) Establecer la metodología de medición individual y consolidada susceptible de
aplicarse a los riesgos operativos identificados. La metodología debe ser aplicable
tanto a la probabilidad de ocurrencia como al impacto.
b) Aplicar la metodología establecida para lograr una medición de la probabilidad de
ocurrencia y del impacto de los riesgos operativos, en la totalidad de los procesos de
la entidad, conforme a la clasificación de los riesgos operativos.
c) Determinar el perfil de riesgo inherente de la entidad.
2.2.1.3 Control
En esta etapa se debe realizar los siguientes pasos:
a) Establecer la metodología con base en la cual se definan las medidas de control de los
eventos de riesgo operativo.
b) De acuerdo con la metodología establecida implementar las medidas de control sobre
cada uno de los riesgos operativos.
c) Determinar las medidas que permitan asegurar la continuidad del negocio.
d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.
2.2.1.4 Monitoreo
En esta etapa se debe realizar los siguientes pasos:
a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y
corrección de las deficiencias en su SARO. Dicho seguimiento debe tener una
periodicidad acorde con los riesgos operativos potenciales y ocurridos, así como con
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 26
la frecuencia y naturaleza de los cambios en el entorno operativo. En cualquier caso,
el seguimiento debe realizarse con una periodicidad mínima semestral.
b) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales
riesgos operativos.
c) Asegurar que los controles estén funcionando en forma oportuna, efectiva y
eficiente.
d) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación
establecidos por la entidad.
2.2.2 Elementos del SARO
2.2.2.1 Políticas
Las entidades deben cumplir con los siguientes requisitos:
a) Impulsar a nivel institucional la cultura en materia de riesgo operativo.
b) Establecer el deber de los órganos de administración, de control y de sus demás
funcionarios, de asegurar el cumplimiento de las normas internas y externas
relacionadas con la administración del riesgo operativo.
c) Permitir la prevención y resolución de conflictos de interés en la recolección de
información en las diferentes etapas del SARO, especialmente para el registro de
eventos de riesgo operativo.
d) Permitir la identificación de los cambios en los controles y en el perfil de riesgo.
e) Desarrollar e implementar planes de continuidad del negocio.
2.2.2.2 Procedimientos
Las entidades deben cumplir con los siguientes requisitos:
a) Instrumentar las diferentes etapas y elementos del SARO.
b) Identificar los cambios y la evolución de los controles, así como del perfil de riesgo.
c) Adoptar las medidas por el incumplimiento del SARO.
2.2.2.3 Documentación
Las entidades deben cumplir con los siguientes requisitos:
a) Manual de Riesgo Operativo.
a. Las políticas para la administración del riesgo operativo.
b. La estructura organizacional del SARO.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 27
c. Los roles y responsabilidades de quienes participan en la administración del
riesgo operativo.
d. Las medidas necesarias para asegurar el cumplimiento de las políticas y
objetivos del SARO.
e. Los procedimientos y metodologías para identificar, medir, controlar y
monitorear los riesgos operativos y su nivel de aceptación.
f. Los procedimientos y metodologías para implementar y mantener el registro
de eventos.
g. Los procedimientos que deben implementar los órganos de control frente al
SARO.
h. Las estrategias de capacitación del SARO y
i. Las estrategias de divulgación del SARO.
b) Los documentos y registros que evidencien la operación efectiva del SARO.
c) Los informes de la Junta Directiva, el Representante Legal y los órganos de control.
2.2.2.4 Estructura organizacional
2.2.2.4.1 Junta Directiva u órgano que haga sus veces
Tienen como función:
a) Establecer las políticas relativas al SARO.
b) Aprobar el Manual de Riesgo Operativo y sus actualizaciones.
c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad.
d) Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el
nivel de tolerancia al riesgo de la entidad, fijado por la misma junta directiva.
e) Pronunciarse respecto de cada uno de los puntos que contengan los informes
periódicos que presente el Representante Legal.
f) Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de
control.
g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de
forma efectiva y eficiente, el SARO.
2.2.2.4.2 Representante legal
Tiene como función:
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 28
a) Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el
Manual de Riesgo Operativo y sus actualizaciones.
b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta
Directiva.
c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del
SARO.
d) Designar el área o cargo que actuará como responsable de la implementación y
seguimiento del SARO – (Unidad de Riesgo Operativo).
e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el
cambio cultural que la administración de este riesgo implica para la entidad.
f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de
tolerancia al riesgo, fijado por la Junta Directiva.
g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y
medido.
h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo.
i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las
disposiciones señaladas en la Circular Externa 041 de 2007.
j) Velar porque se implementen los procedimientos para la adecuada administración del
riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad.
k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los
recursos necesarios para su oportuna ejecución.
l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la
evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones
preventivas y correctivas implementadas o por implementar y el área responsable.
m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo.
n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de
integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y
confidencialidad de la información allí contenida.
2.2.2.4.3 La Unidad de Riesgo Operativo
Tiene como función:
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 29
a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad
administre efectivamente sus riesgos operativos, en concordancia con los
lineamientos, etapas y elementos.
b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo
operativo de la entidad.
c) Administrar el registro de eventos de riesgo operativo.
d) Coordinar la recolección de la información para alimentar el registro de eventos de
riesgo operativo.
e) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los
riesgos operativos medidos.
f) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano
correspondiente.
g) Realizar el seguimiento permanente de los procedimientos y planes de acción
relacionados con el SARO y proponer sus correspondientes actualizaciones y
modificaciones.
h) Desarrollar los modelos de medición del riesgo operativo.
i) Desarrollar los programas de capacitación de la entidad relacionados con el SARO.
j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el
propósito de evaluar su efectividad.
k) Reportar semestralmente al Representante Legal la evolución del riesgo, los controles
implementados y el monitoreo que se realice sobre el mismo.
2.2.2.5 Registro de eventos de riesgo operativo
Se debe tener en cuenta las siguientes características:
a) Cada entidad debe tener su propio y único registro de eventos de riesgo operativo. La
entidad con matriz internacional debe tener disponible y centralizada en Colombia, la
información relacionada con los eventos de riesgo operativo locales.
b) Comprender la totalidad de los eventos de riesgo operativo.
c) Contener los siguientes campos mínimos, que corresponden a la información de los
eventos de riesgo operativo:
a. Referencia.
b. Fecha de inicio del evento.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 30
c. Fecha de finalización del evento.
d. Fecha del descubrimiento.
e. Fecha de contabilización.
f. Divisa.
g. Cuantía.
h. Cuantía total recuperada.
i. Cuantía recuperada por seguros.
j. Clase de riesgo operativo.
k. Producto/servicio afectado.
l. Cuentas PUC afectadas.
m. Proceso.
n. Tipo de pérdida.
o. Descripción del evento.
p. Líneas operativas.
2.2.2.6 Otros
Adicionalmente se debe contar con:
a) Órganos de control: los cuales deben ser la Revisoría Fiscal y Auditoría Interna.
b) Plataforma tecnológica.
c) Divulgación de la información: de forma interna, externa y la revelación contable
cuando afectan el estado de resultados.
d) Capacitación a todas las áreas y funcionarios.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 31
II – DESARROLLO DEL TRABAJO
Este modelo fue pensado para asociar los riesgos operacionales con los objetivos de negocio
de TI de las empresas, en los cuales comprende:
Identificar los riesgos operacionales.
Impacto y probabilidad de los riesgos operacionales, presentada en forma de una
matriz de riesgos.
Escenarios de riesgos asociados a estos riesgos.
Asociación de escenarios de los riesgos con los procesos de COBIT 5.
Identificar los objetivos de TI.
Cuantificar la probabilidad de ocurrencia.
El proceso que se realizo para definir el modelo, fue inicialmente realizar una revisión
bibliográfica sobre los temas base del proyecto, los cuales son:
Gobierno de TI
Riesgos Operacionales
A partir de la revisión de esto se realiza la construcción del marco teórico, en donde se realiza
la elección de los estándares a tomar para la definición del modelo, en donde la mayor parte
esta basado en el modelo COBIT, ya que este tiene una estructura basada en gobierno de Ti y
tiene una parte definida para riesgos, entonces tiene un enfoque inicial para la creación del
modelo.
Aunque COBIT es el estándar base del proyecto se realiza una administración de la
información en donde, teniendo como estructura base COBIT se comienza a relacionar con
otros estándares y/o modelos como el Balanced Score Card para la decisión de los procesos
que se van a realizar en el modelo los cuales son alineación, planeación y organización, ISO
27000 como una parte de apoyo para la identificación de amenazas y vulnerabilidades
respecto a la información, siendo este uno de los recursos más importantes de las
organizaciones.
Con base de lo anterior se estructuro un modelo el cual esta creado en una serie de eventos
que se encuentran en la parte central representados en el cilindro y la relación de estos se
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 32
encuentra detallada en cada cara del cubo, esto con el fin de poder ver detalladamente el
proceso e irlos relacionado; como se puede apreciar en los siguientes gráficos.
Ilustración 5. Estructura del modelo – Cilindro central
Ilustración 6. Estructura del modelo 1
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 33
Ilustración 7. Estructura del modelo 2
A continuación se procede a detallar la estructura del modelo por caras para llegar a la
formación total del cilindro en donde se contiene todo la estructura del modelo.
1. Cara 1: Riesgos operacionales y mapa de riesgos
Esta cara del modelo de gestión del riesgo busca determinar el estado actual de la empresa.
Éste debe ser medido con respecto a su ambiente de control y gestión de los riesgos
operacionales relacionados.
Es importante tener en cuenta que para tener éxito en la construcción del modelo, todas las
partes interesadas (stakeholders) deben brindar un completo apoyo y deben estar
comprometidos con la búsqueda de los objetivos.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 34
La gestión de riesgos operacionales no debe ser considerada una función netamente técnica,
pues es esencial para cumplir la misión, visión y objetivos estratégicos de una compañía que
soporte sus principales procesos de TI.
El apoyo de los stakeholders incentiva un ambiente de compromiso por parte de los
empleados de la compañía para el cumplimiento de las metas propuestas. Así mismo ayuda
en la concientización asociada a la importancia de los riesgos operacionales que se generan en
esta.
Para esta primera cara, se identifican los siguientes pasos:
Identificación de amenazas/vulnerabilidades de los procesos críticos del negocio
enmarcándolos en la consecución de los objetivos estratégicos.
Identificar el nivel de impacto y probabilidad de las amenazas y vulnerabilidades.
Identificación del riesgo inherente.
Relación del riesgo inherente con la matriz de riesgos.
Ilustración 8. Pasos de la Cara 1.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 35
ISACA define los procesos de negocio como el mecanismo de la organización para crear y
dar valor a sus stakeholders. Las entradas, el procesamiento y las salidas son resultado de su
ejecución. Estos procesos se automatizan e integran cada vez más con sistemas más
complejos y eficientes, para así satisfacer algunas necesidades funcionales de las compañías.
[24]
Por lo anterior, es importante que la empresa tenga identificados y documentados sus
procesos de negocio. Esa información será clave para identificar los procesos que se
analizarán.
Para realizar la identificación de riesgos operacionales, se ejecutan las siguientes actividades:
Conocer los procesos.
Identificar la información necesaria para el desarrollo del proceso y la información
generada por las actividades que componen el proceso.
Identificar los riesgos operacionales sobre estos procesos en donde se deben
enmarcar los siguientes aspectos:
o Recursos Humanos.
o Tecnología.
o Infraestructura.
o Acontecimientos externos.
Para la identificación de riesgos se pueden manejar diferentes métodos como:
Resultados de procesos.
Uso de las bases de conocimiento publicadas en Internet o en otros medios.
Resultados de la ejecución previa de pruebas de seguridad de los sistemas.
Sucesos o acontecimientos que la empresa ya haya tenido.
A continuación se siguiere un grupo de 75 amenazas/vulnerabilidades para los riesgos
operacionales construido por el autor, el cual se realizo por medio de análisis de diferentes
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 36
estándares y modelos investigados, en donde se identificaban estos posibles casos que se
pueden presentar en una organización:
Riesgos Operacionales
Administración inadecuada de incidentes Falta de políticas y procedimientos de control de
cambios en configuraciones
Administración inadecuada de la red Falta de procedimientos de actualización de
software base
Comunicaciones sin cifrado Falta de procedimientos de monitoreo de
hardware
Configuración o mantenimiento
incorrecto de seguridad de aplicativos
Falta de procedimientos de planeación de la
capacidad del hardware
Configuración o mantenimiento
incorrecto de seguridad del sistema
operativo
Falta de protección ambiental
Falta de segmentación lógica o física de la
red Falta de restricciones para acceso remoto
Control inapropiado de distribución de
software
Falta de segregación entre programadores y
operadores
Copias no controladas de datos y software Falta de seguridad física
Copias no restringidas de software Falta de seguridad física de los dispositivos de
comunicaciones y cableado
Despliegue de información que pueda
facilitar una conexión remota no
autorizada
Falta de software de detección de intrusos
Educación inadecuada sobre código
malicioso
Falta de un procedimiento de administración de
privilegios de acceso
Entrenamiento insuficiente en seguridad Falta de un procedimiento de registro y
autorización de salida de equipos
Especificaciones incompletas o confusas Falta de una política de uso de software
licenciado
Estándares inadecuados de desarrollo de
software
Falta de una política que establezca que no se
debe suministrar información a terceros hasta no
verificar la identidad y autoridad del solicitante
Existencia de materiales inflamables Falta de una política que prohíba el suministro
de información telefónicamente
Explotación de debilidades de seguridad
del sistema operativo por no tener la
última versión / actualización
Falta de uso de firmas digitales
Falta de capacidad de la red Imposibilidad de probar el envío o recepción de
un mensaje
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 37
Falta de comunicación entre recursos
humanos / interventores de contratos y
Seguridad Informática para reportar
oportunamente las novedades de personal
No disponibilidad de backups de información
electrónica o sistemas de backup
Falta de conciencia en seguridad Localización en área susceptible a terremotos
Falta de control sobre las descargas de
software de Internet Localización en áreas contaminadas
Falta de controles de identificación y
autenticación
Localización en áreas susceptibles a estas
condiciones
Falta de controles para identificar y
autenticar al emisor o receptor de un
mensaje
Localización en áreas susceptibles a inundación
Falta de documentación de
procedimientos (uso y operación) Localización en áreas susceptibles a tormentas
Falta de esquema de firewall Localización en áreas susceptibles al fuego
Falta de firmas digitales en procesos de
desembolso de dinero
Monitoreo inadecuado de condiciones
ambientales
No está definido un plan de continuidad o
de recuperación de información o de
activos de información
No existen sistemas UPS
Falta de herramientas de software de
control de cambios No existen sistemas de regulación
Falta de instalaciones, equipos o procesos
de respaldo
No existen sistemas o mecanismos de detección /
extinción de fuego
Falta de mantenimiento de equipos e
instalaciones No hay backup para personal clave
Uso de módems sin restricción al interior
de la red
No hay procedimientos o mecanismos de
actualización del software antivirus
Falta de mecanismos de identificación /
autenticación confiables
No hay software de detección de virus instalado
en los equipos
Falta de planeación de sucesión de roles y
responsabilidades Passwords no protegidos (lógica o físicamente)
Falta de planeación en capacidad o
cambios en la red Personal sin las habilidades requeridas
Falta de políticas de uso de e-mail Procedimientos de personal no documentados
Falta de políticas en el uso de medios
removibles de almacenamiento
Procedimientos inadecuados en el Ciclo de
Desarrollo del software
Falta de políticas respecto al uso de
módems y acceso telefónico a la red
Reporte y manejo inadecuado de fallas en la
funcionalidad del sistema
Falta de políticas y procedimientos de
control de cambios Supervisión inadecuada de los programadores
Falta de auditoría a la instalación de
software en los equipos de la
organización
Tabla 3 Listado de Amenazas/Vulnerabilidades.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 38
Con base en las amenazas/vulnerabilidades de los riesgos operacionales identificados, es
posible proceder a identificar aquellos de mayor criticidad al interior de los proceso y los
niveles de riesgo inherente a los cuales se expone cada uno, en donde se busca determinar
cualitativamente el nivel de impacto de un riesgo al momento de materializarse, con base en
una identificación del nivel de impacto del riesgos sobre los procesos y los objetivos de la
compañía.
El nivel de impacto adverso de un evento se puede describir en términos de la pérdida o
degradación.
Durante la identificación se califica el nivel de impacto en una escala de uno (1) a cinco (5).
En la siguiente tabla se explica la escala:
Escala Significado
1 Insignificante
2 Menor
3 Moderado
4 Mayor
5 Catastrofico
Tabla 4. Escala de nivel de impacto.
Esta escala numérica se establece ya que el proceso de calificación es más intuitivo que usar
una escala de otro tipo porque se disminuyen los niveles de ambigüedad.
Ademas del nivel de impacto se clasificara el nivel de probabilidad de ocurrencia del riesgos,
en otras palabras que tan probable es que suceda el evento, en donde se manejara una escala
de uno (1) a cinco (5). En la siguiente tabla se explica la escala:
Escala Significado
1 Raro
2 Improbable
3 Posible
4 Muy Probable
5 Casi Certeza
Tabla 5. Escala de nivel de probabilidad de ocurrencia.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 39
En donde al final tendramos una tabla con las siguientes caracterisitcas:
RIESGOS OPERACIONALES Nivel de Impacto Nivel de
Probabilidad
Recursos Humanos. Riesgo 1 2 5
Tecnología. Risgos 2 3 2
Infraestructura. … … …
Acontecimientos
externos. Riesgo n 1 4
Tabla 6. Riesgos operacionales, nivel de impacto y nivel de probabilidad.
De igual forma para las amenazas/vulnerabilidades del modelo se sugiere inicialmente solo el
evento pero para que sean más completos y la información sea más confiable, verídica y al
final con esta información se pueda realizar un análisis de riesgos más completo por parte de
la empresa, se puede agregar componentes como
Actores: son lo que generan la amenaza/vulnerabilidad que pueden ser internos o externos y
pueden ser humano o no humano.
Tipo de amenaza: Que se puede clasificar en malicioso, accidental, fracaso de un proceso o
evento natural.
Tiempo: En este componente se pueden tener en cuenta diferentes puntos de vista con el
tiempo como:
Cuánto tiempo puede transcurrir desde que ocurre el evento hasta que se genere
consecuencias por este.
En qué momentos la generación de este evento puede volverse crítico, por ejemplo que se
vaya la luz en un momento en que se está realizando un procedimiento importante en la
empresa o cierre.
El tiempo de duración del evento.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 40
Por último en esta cara es definir el apetito del riesgo por medio de la matriz de riesgos; en
donde el apetito es la cantidad de riesgo que la empresa está dispuesta a aceptar y a partir de
esto decidir si lo asume, reduce, evita, comparte o transfiere.
Para este trabajo se suguiere la siguiente matriz de riesgo la cual el riesgo inherente es
calculado con la multiplicación del nivel de impacto y nivel de probabilidad de las
amenzas/vulnerabilidades identificadas anteriormente y según estos nos genera la
información del apetiro del riesgo a partir de cómo la empresa los haya definido.
En esta matriz de riesgos sugerida se encuentra enfocada en cuatro colores:
• Rojo: indica que el riesgo es inaceptable y podría desencadenar en una respuesta
negativa hacia la empresa.
• Amarillo: indica que el riesgo es elevado, está por encima de la aceptación del riesgo,
pero la organización podría aceptarlo en un caso dado y requiere una acción rápida para que
no se llegue a volver un riesgo extremo e inaceptable.
• Verde: indica que el riesgo es aceptable y no necesita una acción rápida pero se debe
realizar seguimiento y monitoreo para que no vaya a subir su nivel.
• Azul: indica que el riesgo es muy bajo y no se necesita acciones y se puede dar
prioridad a otros riesgos con nivel de apetito más alto.
Por esto es importante enfocar el esfuerzo en representar los riesgos que presenta un mayor
impacto y probabilidad para la organización.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 41
La matriz de riesgos que se suguiere se presenta a continuación:
MATRIZ DE RIESGOS
PROBABILIDAD VALOR ZONAS DE RIESGO
Casi Certeza 5
5
Zona de Riesgo Alta Reducir, evitar,
compartir o
transferir el riesgo
10
Zona de Riesgo Alta
Reducir,
evitar, compartir o
transferir el
riesgo
15
Zona de Riesgo
Extrema
Evitar, reducir, compartir o
transferir el
riesgo
20 Zona de
Riesgo
Extrema Evitar,
reducir,
compartir o transferir
el riesgo
25 Zona de Riesgo
Extrema
Evitar, reducir, compartir o
transferir el riesgo
Muy Probable 4
4
Zona de Riesgo Moderado
Asumir o reducir el
riesgo
8
Zona de Riesgo Alta
Reducir,
evitar, compartir o
transferir el
riesgo
12
Zona de
Riesgo Alta Reducir, evitar,
compartir o
transferir el riesgo
16 Zona de
Riesgo
Extrema Evitar,
reducir,
compartir o transferir
el riesgo
20 Zona de Riesgo
Extrema
Evitar, reducir, compartir o
transferir el riesgo
Posible 3
3
Zona de Riesgo Baja Asumir el riesgo
6 Zona de
Riesgo
Moderado Asumir o
reducir el
riesgo
9 Zona de
Riesgo Alta
Reducir, evitar, compartir o
transferir el
riesgo
12
Zona de Riesgo
Extrema
Evitar, reducir,
compartir
o transferir el riesgo
15
Zona de Riesgo Extrema
Evitar, reducir,
compartir o transferir el riesgo
Improbable 2
2
Zona de Riesgo Baja Asumir el Riesgo
4
Zona de
Riesgo
Baja
Asumir el riesgo
6 Zona de
Riesgo
Moderado Asumir o
reducir el
riesgo
8
Zona de Riesgo
Alta
Reducir, evitar,
compartir
o transferir el riesgo
10
Zona de Riesgo
Extrema
Evitar, reducir,
compartir o transferir el riesgo
Raro 1
1
Zona de Riesgo Baja Asumir el Riesgo
2
Zona de Riesgo
Baja
Asumir el Riesgo
3 Zona de
Riesgo
Moderado Asumir o
reducir el
riesgo
4
Zona de Riesgo
Alta
Reducir, evitar,
compartir
o transferir el riesgo
5
Zona de Riesgo Alta
Reducir, evitar,
compartir o transferir el riesgo
IMPACTO INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO
VALOR 1 2 3 4 5
Tabla 7. Matriz de riesgos
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 42
2. Cara 2 Escenarios de riesgos y riesgos operacionales:
Esta cara del modelo es relacionar los escenarios de riesgos con los riesgos operacionales y
uno de los desafíos para la gestión de riesgos de TI es el identificar los riesgos importantes y
relevantes entre todo lo que posiblemente puede relacionarse con TI, considerando la
presencia y dependencia de TI en el negocio. Una de las técnicas para vencer este desafío es
realismo, visión, compromiso organizacional, mejorar el análisis y la estructura de la
compleja cuestión de los riesgos de TI. [24].
Por esto los riesgos operacionales que se presenten en una empresa se deben organizar en
posibles escenarios para un mejor entendimiento de estos y para darle un foco más puntual en
busca de los objetivos que maneja la empresa.
Por eso para esta cara se siguieren las siguientes actividades:
Identificación de escenarios de riesgos.
Relación de los riesgos operacionales con los escenarios.
Cuantificar el promedio del riesgo inherente de los riesgos operacionales según el
escenario.
Ilustración 9. Pasos de la Cara 2.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 43
Los escenarios de riesgos de TI son una descripción de un evento relacionado con la TI que
puede conducir a un impacto en el negocio, por ende, una vez medida, sirve de entrada a las
actividades de análisis de riesgos, donde el impacto en el negocio final necesita que se
establezcan.[13]
Para la identificación de escenarios de riesgos se puede comenzar inicialmente con una lista
de escenarios genéricos y a partir de estos irlos personalizando según las necesidades,
situaciones de la empresa y los riesgo reales de la empresa para así poder relacionar todas las
amenazas/vulnerabilidades identificadas en la cara anterior, porque no tendría ningún fin si
identificamos amenazas/vulnerabilidades en la cara anterior y no los relacionamos con ningún
escenario ya que entonces este no se estaría teniendo en cuenta al final.
A continuación se presenta un listado de escenarios genéricos que puede ser utilizado como
punto de partida para la identificación de estos según la empresa.
ESCENARIOS DE RIESGOS
Selección de programas TI Capacidad del sistema
Nuevas tecnologías Obsolescencia de infraestructura de software
Selección de tecnologías Software malicioso (malware)
Tama de decisiones en la inversión de TI Ataques lógicos
Rendición de cuentas sobre las TI Medios de información
Integración de las TI en los procesos de
negocio Utilidades de rendimiento
Estado de la infraestructura tecnológica Acción industrial
Obsolescencia de aplicaciones de software Integridad de datos (bases de datos)
Agilidad y flexibilidad arquitectónica Traspaso lógico
Cumplimiento de normativa Errores operacionales TI
Implementación de software Cumplimiento contractual
Terminación de proyectos TI Ambiental
Economía de proyectos TI Actos de naturaleza
Ejecución de proyectos Conocimiento y habilidades de TI
Calidad de proyectos Integridad de software
Selección / desempeño de proveedores
externos Infraestructura (hardware)
Robo de infraestructura Rendimiento del software
Destrucción de infraestructura Personal de TI
Tabla 8. Escenarios de riesgos
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 44
Teniendo los escenarios de riesgos identificados el siguiente paso es proceder a relacionarlos
con las amenazas/vulnerabilidades que se identificaron en la cara anterior.
En donde para que cada escenario de riesgo se identifican las amenazas/vulnerabilidades
relacionadas a este.
El último paso es la cuantificación del riesgo inherente en donde se toma el riesgo inherente
de las amenazas/vulnerabilidades y se promedian por cada escenario, al final se debe
presentar una tabla como se muestra a continuación en donde se relaciona todo el proceso que
se realizo.
ESCENARIO RIESGO OPERACIONAL RIESGO
INHERENTE Amenaza/Vulnerabilidad Riesgo Inherente
Escenario 1
Riesgo 1
Riesgo 5
…
Riesgo n
9
10
…
4
5
Escenario 2
Riesgo 8
Riesgo 15
…
Riesgo n
15
2
…
12
10
… … … …
Escenario n
Riesgo 6
Riesgo 37
…
Riesgo n
4
6
…
2
4
Tabla 9. Relación escenarios de riesgos con riesgos operacionales
3. Cara 3: Escenarios de riesgos con procesos de COBIT
Esta cara del modelo relaciona los escenarios de riesgos identificados en la cara anterior con
los procesos de COBIT de alinear, planificar y organizar para este modelo pero si la empresa
lo desea también los puede realizar con todos los procesos de COBIT,
Cabe resaltar que se escogió los procesos de COBIT ya que este es el modelo base para la
estructuración de este modelo, adicionalmente COBIT es uno de los modelos más completos
que se encuentran ya que se relaciona con otros modelos como ITIL, BALANCED SCORE
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 45
CARD y estándares como ISO 38500; además maneja los dos temas principales que son
riesgos y gobierno de TI.
En esta cara se presentan las siguientes actividades para la estructuración del modelo:
Selección de procesos de COBIT de alineación, planeación y organización.
Relación de escenarios de riesgos con los procesos seleccionados.
Cuantificar el promedio de los escenarios de riesgos operacionales según los
procesos.
Ilustración 10. Pasos de la Cara 3.
La forma en cómo se va a relacionar los riesgos operacionales y el gobierno de TI es por
medio de los procesos de COBIT en el dominio de alineación, planeación y organización para
este trabajo.
Se maneja estos procesos para que las empresas visualicen y administren las actividades de
TI para que se llegue a un buen gobierno, porque para gobernar efectivamente TI, es
importante determinar las actividades y los riesgos que requieren ser administrados y el
dominio de alineación, planeación y organización cubre las estrategias y tácticas, y tiene que
ver con identificar la menara en la que las Ti pueden contribuir a la mejor manera al logro de
los objetivos de negocio.
En donde este dominio cubre los siguientes cuestionamientos como nos lo muestra COBIT:
¿Están alineadas las estrategias de TI y del negocio?
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 46
¿La empresa está alcanzando un uso óptimo de sus recursos?
¿Entienden todas las personas dentro de la organización los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Por esto cuando se relacionan los escenarios de riesgos con los procesos de COBIT de
alinear, planificar y organizar se busca lograr ciertos objetivos y producir unas salidas para
lograr los objetivos de TI, con el fin de darle una estructura más enfocada para acercarnos a
nuestro objetivo de relacionar los riesgos operacionales con Gobierno de TI.
A continuación se presenta una propuesta de la relación de los escenarios genéricos tomados
anteriormente con los siguientes procesos de COBIT:
APO01: Gestionar el marco de gestión de TI
APO02: Gestión de la estrategia
APO03: Gestión de arquitectura empresarial
APO04: Gestión de la innovación
APO05: Gestión del portafolio/proyectos
APO06: Gestionar presupuesto y costos
APO07: Gestionar recursos humanos
APO08: Gestionar las relaciones
APO09: Gestión de acuerdos de servicios
APO10: Gestión de proveedores
APO11: Gestión de calidad
APO12: Gestión de riesgos
APO13: Gestión de seguridad
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 47
PROCESOS DE NEGOCIO DE COBIT
Ges
tionar
el
mar
co d
e ges
tión d
e T
I
Ges
tión d
e la
est
rate
gia
Ges
tión d
e ar
quit
ectu
ra e
mp
resa
rial
Ges
tión d
e la
innovac
ión
Ges
tión d
el p
ort
afo
lio/p
royec
tos
Ges
tionar
pre
supues
to y
cost
os
Ges
tionar
rec
urs
os
hum
anos
Ges
tionar
las
rel
acio
nes
Ges
tión d
e ac
uer
dos
de
serv
icio
s
Ges
tión d
e pro
vee
dore
s
Ges
tión d
e ca
lidad
Ges
tión d
e ri
esgos
Ges
tión d
e se
guri
dad
01 02 03 04 05 06 07 08 09 10 11 12 13
ES
CE
NA
RIO
S D
E R
IES
GO
S 1 Selección de programas TI X X X X
2 Nuevas tecnologías X X X X
3 Selección de tecnologías X X
4 Tama de decisiones en la inversión
de TI
X X X X X
5 Rendición de cuentas sobre las TI X X X
6 Integración de las TI en los
procesos de negocio
X X X X X
7 Estado de la infraestructura
tecnológica
X X X X
8 Obsolescencia de aplicaciones de
software
X X X X
9 Agilidad y flexibilidad
arquitectónica
X X X X X X
10 Cumplimiento de normativa X X X X X X
11 Implementación de software X
12 Terminación de proyectos TI X X X
13 Economía de proyectos TI X X
14 Ejecución de proyectos X X X
15 Calidad de proyectos X X
16 Selección / desempeño de
proveedores externos
X X
17 Robo de infraestructura X X
18 Destrucción de infraestructura
19 Personal de TI X X X
20 Conocimiento y habilidades de TI X
21 Integridad de software X X
22 Infraestructura (hardware)
23 Rendimiento del software X X
24 Capacidad del sistema X X
25 Obsolescencia de infraestructura de
software
X
26 Software malicioso (malware) X
27 Ataques lógicos X X
28 Medios de información
29 Utilidades de rendimiento X
30 Acción industrial X X
31 Integridad de datos (bases de datos) X
32 Traspaso lógico X X
33 Errores operacionales TI
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 48
34 Cumplimiento contractual
35 Ambiental X X
36 Actos de naturaleza
Tabla 10. Relación de escenarios de riesgos con procesos de negocio de COBIT
La empresa debe determinar si manejara todos los procesos de COBIT del dominio de
alinear, planificar y organizar o solo uno de ellos dependiendo las necesidades y los objetivos
de esta.
Adicionalmente cuando se realice la relación entre los escenarios y los procesos se debe
buscar que todos los escenarios que la empresa haya propuesto en la cara anterior estén
vinculados con un proceso de negocio de COBIT o sin esos riesgos que ya se han analizado
anteriormente no generaran impacto en los objetivos del negocio y por ende no se tendrían en
cuenta al final.
En el momento en que se tenga la relación de estos se procederá a sacar el promedio del
riesgo inherente de los escenarios por cada proceso de negocio de COBIT y al final se debe
presentar una tabla como se muestra a continuación en donde se relaciona todo el proceso que
se realizo.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 49
Ilustración 11. Ejemplo de Cara 3
.
4. Cara 4: Relación de gobierno de TI con procesos de
COBIT
En esta cara se busca la relación de los procesos de COBIT con el gobierno de TI en donde
por medio de mapeos realizados por COBIT se relacionaran los objetivos de TI y los
objetivos de negocio.
En esta cara las actividades a realizar son:
Selección de objetivos de TI (se sugiere en esta parte de selección tomar todos los
objetivos ya que los que se busca es crear un completo y buen gobierno de TI y para
esto se necesita analizar todos los objetivos de TI).
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 50
Relación de procesos de COBIT con objetivos de TI.
Selección de objetivos de negocio (se sugiere en esta parte de selección tomar todos
los objetivos ya que los que se busca es crear un completo y buen gobierno de TI y
para esto se necesita analizar todos los objetivos de TI).
Relación de objetivos de TI con objetivos de negocio.
Ilustración 12. Pasos de la Cara 4.
Esta cara es la unión de los dos conceptos principales Riesgos Operacionales y Gobierno de
Ti, en donde los procesos de negocio de COBIT son el punto de conexión de estos.
En donde el Gobierno de TI lo conformamos por los objetivos de TI y los objetivos de
negocio, y estos a su veces los alineamos con los riesgos operacionales que la empresa
identifico al principio, por esto es que el éxito de que los objetivos de negocio se relacionen
con los riesgos operacionales depende de la relación que se tome en cada cara, para llegar a
este punto, y como los stakeholders se comprometen con el desarrollo del modelo y siempre
teniendo claro y buscando la visión y misión de la empresa.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 51
Inicialmente comenzamos seleccionando los objetivos de TI en donde se sugieren los
siguientes de COBIT:
Alineamiento de las TI y las estrategias de negocio.
Cumplimiento de la TI y el soporte para el cumplimiento empresarial de las leyes y
reglamentos externos.
Compromiso de la dirección ejecutiva para ejecutar decisiones relacionadas con la TI.
Gestionando TI relacionados con el riesgo empresarial.
Beneficios realizados de TI habilitados para las inversiones y portafolio de servicios.
Transparencia de los costos de TI, beneficios y riesgos.
Entrega de servicios de TI en línea con los requerimientos del negocio.
El uso adecuado de las soluciones de aplicaciones, información y tecnología.
Agilidad TI.
Seguridad de información, procesamiento de infraestructura y aplicaciones.
Optimización de los activos de TI, recursos y capacidades.
Habilitación y soporte de los procesos de negocio mediante la integración de
aplicaciones y la tecnología hacia los procesos de negocio.
La entrega de los programas de entrega de beneficios, a tiempo, dentro del
presupuesto, y que cumpla los requisitos y estándares de calidad.
La disponibilidad de información confiable y útil para la toma de decisiones.
El cumplimiento de TI con las políticas internas.
Negocio competente y motivado y personal TI.
El conocimiento, la experiencia y las iniciativas de innovación empresarial.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 52
Posteriormente se realiza la relación de estos con los procesos, como se puede visualizar en la
siguiente tabla:
OBJETIVOS DE TI
Ali
nea
mie
nto
de
las
TI
y l
as e
stra
tegia
s de
neg
oci
o
Cu
mp
lim
ien
to d
e la
TI
y e
l so
po
rte
par
a el
cum
pli
mie
nto
em
pre
sari
al d
e la
s
ley
es y
reg
lam
ento
s ex
tern
os
Co
mp
rom
iso
de
la d
irec
ció
n e
jecu
tiv
a par
a ej
ecuta
r dec
isio
nes
rel
acio
nad
as
con
la
TI
Ges
tio
nan
do
TI
rela
cio
nad
os
con
el
ries
go e
mpre
sari
al
Ben
efic
ios
real
izad
os
de
TI
hab
ilit
ad
os
par
a la
s in
ver
siones
y p
ort
afoli
o d
e
serv
icio
s
Tra
nsp
aren
cia
de
los
cost
os
de
TI,
ben
efic
ios
y r
iesg
os
En
treg
a d
e se
rvic
ios
de
TI
en l
ínea
con l
os
requer
imie
nto
s del
neg
oci
o
El
uso
ad
ecu
ado
de
las
solu
cio
nes
de
apli
caci
ones
, in
form
ació
n y
tec
nolo
gía
Ag
ilid
ad T
I
Seg
uri
dad
de
info
rmac
ión
, p
roce
sam
iento
de
infr
aest
ruct
ura
y a
pli
caci
ones
Op
tim
izac
ión
de
los
acti
vo
s d
e T
I, r
ecurs
os
y c
apac
idad
es
Hab
ilit
ació
n y
so
po
rte
de
los
pro
ceso
s de
neg
oci
o m
edia
nte
la
inte
gra
ció
n d
e
apli
caci
on
es y
la
tecn
olo
gía
hac
ia l
os
pro
ceso
s de
neg
oci
o
La
entr
ega
de
los
pro
gra
mas
de
entr
ega
de
ben
efic
ios,
a t
iem
po,
den
tro d
el
pre
sup
ues
to,
y q
ue
cum
pla
lo
s re
qu
isit
os
y e
stán
dar
es d
e ca
lidad
La
dis
po
nib
ilid
ad d
e in
form
ació
n c
on
fiab
le y
úti
l par
a la
tom
a de
dec
isio
nes
El
cum
pli
mie
nto
de
TI
con
las
po
líti
cas
inte
rnas
Neg
oci
o c
om
pet
ente
y m
oti
vad
o y
per
sonal
TI
El
con
oci
mie
nto
, la
ex
per
ien
cia
y l
as i
nic
iati
vas
de
innovac
ión e
mpre
sari
al
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
A
L
I
N
E
A
R
,
P
L
A
N
I
F
I
C
A
R
Y
O
R
G
A
N
I
Z
A
R
APO01
Gestionar el
marco de
gestión de TI
X X X X X X X
APO02 Gestión de la
estrategia X X X
APO03
Gestión de
arquitectura
empresarial
X X X
APO04 Gestión de la
innovación X X X X X
APO05 Gestión del
portafolio X X X
APO06
Gestionar
presupuesto y
costos
X X
APO07
Gestionar
recursos
humanos
X X X X X
APO08 Gestionar las
relaciones X X X X
APO09
Gestión de
acuerdos de
servicios
X X
APO10 Gestión de
proveedores X X X
APO11 Gestión de
calidad X X X
APO12 Gestión de
riesgos X X X X X
APO13 Gestión de
seguridad X X X X X
Tabla 11. Relación de proceso de negocio de COBIT con objetivos de TI
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 53
En el momento en que se tenga la relación de estos se procederá a sacar el promedio del
riesgo inherente de los proceso de negocio de COBIT por cada objetivo de TI y al final se
debe presentar una tabla como se muestra a continuación en donde se relaciona todo el
proceso que se realizo.
Ilustración 13. Ejemplo Cara 4 – Relación de procesos de COBIT con objetivos de TI.
Teniendo los objetivos de TI se procede a seleccionar los objetivos de negocio donde se
sugieren los siguientes de COBIT:
Valor de los interesados en las inversiones del negocio.
Portafolio de los productos y servicios competitivos.
Gestión de los riesgos de negocio (Salvaguardia de los activos).
Cumplimiento de las leyes y reglamentos externos.
Transparencia financiera.
Cultura de servicio orientada al cliente.
Continuidad y disponibilidad del servicio de negocio.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 54
Respuesta ágil al cambio del ambiente de negocio.
Información basada en la toma de decisiones estratégicas.
Optimización de los costos en la prestación de servicios.
Optimización en la funcionalidad de los procesos de negocio en los costos de los
procesos de negocio.
Gestión de negocio en los cambios de programas.
Productividad de las operaciones y personal.
Cumplimiento de políticas internas.
Personal calificado y motivado.
Cultura de innovación de productos y negocio.
Posteriormente se realiza la relación de estos con los objetivos de TI, como se puede
visualizar en la siguiente tabla:
OBJETIVOS DE NEGOCIO
Val
or
de
los
inte
resa
do
s en
las
in
ver
sio
nes
del
neg
oci
o
Port
afo
lio
de
los
pro
du
cto
s y
ser
vic
ios
com
pet
itiv
os
Ges
tión d
e lo
s ri
esg
os
de
neg
oci
o (
Sal
vag
uar
dia
de
los
acti
vo
s)
Cum
pli
mie
nto
de
las
ley
es y
reg
lam
ento
s ex
tern
os
Tra
nsp
aren
cia
fin
anci
era
Cult
ura
de
serv
icio
ori
enta
da
al c
lien
te
Conti
nuid
ad y
dis
po
nib
ilid
ad d
el s
erv
icio
de
neg
oci
o
Res
pues
ta á
gil
al
cam
bio
del
am
bie
nte
de
neg
oci
o
Info
rmac
ión
bas
ada
en l
a to
ma
de
dec
isio
nes
est
raté
gic
as
Opti
miz
ació
n d
e lo
s co
sto
s en
la
pre
stac
ión
de
serv
icio
s
Opti
miz
ació
n e
n l
a fu
nci
on
alid
ad d
e lo
s p
roce
sos
de
neg
oci
o
Opti
miz
ació
n e
n l
os
cost
os
de
los
pro
ceso
s d
e n
ego
cio
Ges
tión d
e n
ego
cio
en
lo
s ca
mb
ios
de
pro
gra
mas
Pro
duct
ivid
ad d
e la
s o
per
acio
nes
y p
erso
nal
Cum
pli
mie
nto
de
po
líti
cas
inte
rnas
Per
sonal
cal
ific
ado
y m
oti
vad
o
Cult
ura
de
inn
ov
ació
n d
e p
rod
uct
os
y n
ego
cio
.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
O
B
J
E
T
I
V
O
S
1 Alineamiento de las TI y las
estrategias de negocio X X X X X X X
2
Cumplimiento de la TI y el soporte
para el cumplimiento empresarial de
las leyes y reglamentos externos
X X
3
Compromiso de la dirección
ejecutiva para ejecutar decisiones
relacionadas con la TI
X X
4 Gestionando TI relacionados con el
riesgo empresarial X X X
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 55
D
E
T
I
5
Beneficios realizados de TI
habilitados para las inversiones y
portafolio de servicios
X X X
6 Transparencia de los costos de TI,
beneficios y riesgos X X X
7 Entrega de servicios de TI en línea
con los requerimientos del negocio X X X X X
8
El uso adecuado de las soluciones
de aplicaciones, información y
tecnología
X X
9 Agilidad TI X X X X
10
Seguridad de información,
procesamiento de infraestructura y
aplicaciones
X X X X
11 Optimización de los activos de TI,
recursos y capacidades X X X
12
Habilitación y soporte de los
procesos de negocio mediante la
integración de aplicaciones y la
tecnología hacia los procesos de
negocio
X X
13
La entrega de los programas de
entrega de beneficios, a tiempo,
dentro del presupuesto, y que
cumpla los requisitos y estándares
de calidad
X X
14
La disponibilidad de información
confiable y útil para la toma de
decisiones
X X
15 El cumplimiento de TI con las
políticas internas X
16 Negocio competente y motivado y
personal TI X X X
17
El conocimiento, la experiencia y
las iniciativas de innovación
empresarial
X X X
Tabla 12. Relación de objetivos de TI con objetivos de negocio
En el momento en que se tenga la relación de estos se procederá a sacar el promedio del
riesgo inherente de los objetivos de TI por cada objetivo de negocio y al final se debe
presentar una tabla como se muestra a continuación en donde se relaciona todo el proceso que
se realizo.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 56
Ilustración 14. Ejemplo Cara 4 – Relación de objetivos de TI con objetivos de negocio.
5. Cilindro: Estructura del modelo
La formación del cilindro lo hacen todas las caras del cubo, en donde al final generamos el
promedio de los objetivos de negocio y esto nos da el resultado final, respecto a la relación de
los riesgos operacionales y el gobierno de TI.
Para la lectura de estos valores a partir de la cara 2 se maneja con la siguiente tabla:
VALOR Estado
20 a 25 Critico
15 a 20 Alto
10 a 15 Moderado
5 a 10 Menor
0 a 5 Insignificante
Tabla 13. Escala de valores para resultados de datos de caras del cubo.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 57
En donde a partir del estado moderado se debe realizar un análisis por parte de la empresa y
los stakeholders reducir el riesgo inherente de los riesgos que están causando que el objetivo
de negocio, objetivo de TI, proceso de negocio y escenario generen para la empresa un
impacto y consecuencias negativas que hagan q no se logren los objetivos, misión y visión de
esta.
6. Validación
Como parte de la metodología empleada en el desarrollo del trabajo se realiza un análisis
teórico del modelo a partir de los estándares utilizados para el desarrollo de este, los cuales
son COBIT, ITIL, ISO 27000, ISO31000:2009, Circular Externa 041 de 2007, ISO 38500,
teniendo como base COBIT ya que este se alinea con los otros.
La validación solo se maneja teóricamente ya que es un modelo que se encuentra en estado
de madurez, por lo que pueden surgir cambios en la estructura del modelo que puede afectar a
este.
Adicionalmente es difícil tener mediciones precisas en cuanto al nivel de ocurrencia e
impacto de los riesgos sobre la organización ya que se debería tener un historial detallado de
los eventos sucedidos en estas.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 58
III – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS
FUTUROS
1. Conclusiones
• Por medio del trabajo realizado en el capítulo I fue posible dar cumplimiento al
primer objetivo específico, que buscaba analizar y comparar estándares existentes para
riesgos operacionales y Gobierno de Ti y a partir de esto seleccionar o proponer una
estrategia para relacionar y alinear estos dos conceptos.
• En la estructuración del modelo se investigan los riesgos operacionales que se pueden
presentar en una empresa dando como sugerencia un listado inicial de riesgos.
• Fue posible construir un procedimiento para realizar la identificación y clasificación
de los riesgos operacionales.
• Las tecnologías de la información cada vez se hacen más importantes para los
stakeholders y se identifica como un factor determinante para mejorar la rentabilidad de los
negocios y en algunas ocasiones la competitividad porque en la información se basa la toma
de decisiones, el control de la rentabilidad del negocio, las ventas, entre otros importantes
aspectos.
• Es importante realizar un diagnóstico de la empresa que permita identificar aquellas
áreas o procesos donde se requieren los mayores esfuerzos para identificar los riesgos. Lo
anterior se debe a que la fuga de información puede representar pérdidas invaluables para las
empresas alrededor del mundo y en consecuencia es importante no escatimar esfuerzos para
evitarlo
• Aunque los controles representan una carga operativa adicional para los empleados
de una compañía, tienen un valor agregado en cuanto al monitoreo de la situación actual y el
constante mejoramiento. Un ambiente de control robusto brinda garantías a inversionistas,
empleados, clientes, proveedores, etc.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 59
• El modelo permite estructurar un ambiente de control con base en el resultado de una
evaluación de riesgos que identifica si estos son inaceptables y elegir una estrategia de
tratamiento del riesgo por medio del mapeo de riesgos.
• Los riesgos operacionales ya no es un tema que solo deba ser tenido en cuenta en
Bancos y otras entidades financieras. Empresas de todos los sectores han empezado a
considerar este aspecto como parte de sus agendas de crecimiento y mejoramiento.
• Es importante determinar el costo-beneficio de las diferentes estrategias para el
manejo de riesgos operacionales y no se vuelva un rubro de gasto deliberado de recursos y se
vea como una inversión con beneficios a mediano y largo plazo. Es necesario hacer un
análisis juicioso que permita enfocar los esfuerzos donde mayor beneficio se obtendrá y así
mismo donde realmente es importante y útil hacer la inversión. De lo contrario, la empresa
podría incurrir en gastos que a largo plazo podrían no causar ningún retorno.
• El éxito del modelo depende de los stakeholders ya que ellos son los que seleccionan
e identifican los diferentes componentes del modelo y estos deben tener un conocimiento
sobre las necesidades de la empresa, la visión, misión de esta y sobre todo el objetivo final de
implementar un modelo.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 60
2. Trabajos futuros
La construcción del modelo de gestión de riesgos operacionales abre paso al desarrollo de
futuros proyectos que pueden involucrar algunas de las siguientes actividades, entre otras:
- Implementación y evaluación del modelo a partir de una experiencia práctica en una
empresa.
- Actualización y mejoramiento del modelo usando otros estándares de riesgos y
gobierno de TI.
- Actualización y mejoramiento del modelo usando nuevas versiones de los estándares
usados.
- Identificación y/o construcción de herramientas automáticas que permitan controlar
los riesgos operacionales con el Gobierno de TI, siguiendo los lineamientos establecidos por
el modelo.
- Adecuación del modelo para conformar una metodología de control interno de las
empresas.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 61
IV - REFERENCIAS Y BIBLIOGRAFÍA
1. Referencias
References
[1] Isaca, "Datawach Summer 2004," 2004, 2004.
[2] E. Lamprea, "Gobierno de TI y Salud Empresarial," vol. 2012, 2009.
[3] P. Weill and J. W. Ross, IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results. Harvard Business Press, 2004.
[4] W. Van Grembergen, "Introduction to the Minitrack “IT Governance and its
Mechanisms”," 2002.
[5] W. Van Grembergen, Strategies for Information Technology Governance.
[6] ISO/IEC, "International Standard ISO/IEC 38500:2008: Corporate gevernance of
information technology." 2008.
[7] IT Governance Institute, Board Briefing on IT Governance. 2003.
[8] IT Governance Institute, Information Risks: Whose Business are they? 2005.
[9] Isaca, COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT. 2012.
[10] M. Spremic, Z. Zmirak and K. Kraljevic, "IT and business process performance
management: Case study of ITIL implementation in finance service industry," in Information
Technology Interfaces, 2008. ITI 2008. 30th International Conference on, 2008, pp. 243-250.
[11] Isaca, The Risk IT Framework. 2009.
[12] AS/NZS, "AS/NZS 4360:1999: Administración de riesgos," 1999.
[13] Superintendencia Financiera de Colombia, "Circular Externa 041 de 2007," 2007.
[14] M. Leitch, "ISO 31000: 2009—The New International Standard on Risk Management,"
Risk Analysis, vol. 30, pp. 887-892, 2010.
[15] R. E. Gaitán and O. E. Gaitán, Análisis Financiero y De Gestión. Ecoe Ediciones, 2006.
[16] ICONTEC, "NTC 5254: Gestión del riesgo," 2004.
[17] Congreso de la República, "Ley 1150 de 2007," 2007.
[18] Congreso de Colombia, "Ley 87 de 1993," 1993.
[19] Ministerio de Hacienda y Crédito Público, "Decreto 423 de 2001," 2001.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 62
[20] Congreso de Colombia, "Ley 872 de 2003," 2003.
[21] Ministerio de Hacienda y Crédito Público, "Conpes 3107-2001: Política de Manejo de
Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura,"
2001.
[22] Ministerio de Hacienda y Crédito Público, Ministerio del Medio Ambiente y Ministerio
de Desarrollo Económico, "Conpes 3133-2001: Modificaciones a la política de manejo de
riesgo contractual del estado para procesos de participación privada en infraestructura
establecida en el documento Conpes 3107 de Abril de 2001," 2001.
[23] M. Á. Nieto Giménez-Montesinos, "El tratamiento del riesgo operacional en Basilea II,"
Estabilidad Financiera, pp. 163-185, 2005.
[24] Isaca, COBIT 4.1. 2007.
Memoria de Trabajo de Grado –Proyecto de Investigación
____________________________________________________________________________________________
Página 63
2. Bibliografía
[1] AS/NZS, "AS/NZS 4360:1999: Administración de riesgos," 1999.
[2] Congreso de Colombia, "Ley 872 de 2003," 2003.
[3] Congreso de Colombia, "Ley 448 de 1998," 1998.
[4] Congreso de Colombia, "Ley 87 de 1993," 1993.
[5] Congreso de la República, "Ley 1150 de 2007," 2007.
[6] J. Dedrick, V. Gurbaxani and K. L. Kraemer, "Information technology and economic
performance: A critical review of the empirical evidence," ACM Computing Surveys
(CSUR), vol. 35, pp. 1-28, 2003.
[7] R. E. Gaitán and O. E. Gaitán, Análisis Financiero y De Gestión. Ecoe Ediciones, 2006.
[8] J. C. Henderson and N. Venkatraman, "Strategic alignment: Leveraging information
technology for transforming organizations," IBM Syst J, vol. 32, pp. 4-16, 1993.
[9] ICONTEC, "NTC 5254: Gestión del riesgo," 2004.
[10] Isaca, COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT. 2012.
[11] Isaca, The Risk IT Practitioner Guide. 2009.
[12] Isaca, The Risk IT Framework. 2009.
[13] Isaca, Cobit 4.1. 2007.
[14] Isaca, "Datawach Summer 2004," 2004, 2004.
[15] I. G. I. Isaca, "Global status report on the governance of enterprise it (GEIT) 2011,"
2011.
[16] ISO/IEC, "International Standard ISO/IEC 38500:2008: Corporate gevernance of
information technology." 2008.
[17] IT Governance Institute, Information Risks: Whose Business are they? 2005.
[18] IT Governance Institute, IT Aligment: Who is in Charge? 2005.
[19] IT Governance Institute, "Measuring and Demostrating the Value of IT," 2005.
[20] IT Governance Institute, Optimising Value Creation from IT Investments. 2005.
[21] IT Governance Institute, Governance of Outsourcing. 2005.
[22] IT Governance Institute, Board Briefing on IT Governance. 2003.
[23] E. Lamprea, "Gobierno de TI y Salud Empresarial," vol. 2012, 2009.
Ingeniería de Sistemas Istar - CIS1130IS11
____________________________________________________________________________________________
Página 64
[24] M. Leitch, "ISO 31000: 2009—The New International Standard on Risk Management,"
Risk Analysis, vol. 30, pp. 887-892, 2010.
[25] J. Luftman, R. Papp and T. Brier, "Enablers and inhibitors of business-IT alignment,"
Communications of the AIS, vol. 1, pp. 1, 1999.
[26] Ministerio de Hacienda y Crédito Público, "Conpes 3107-2001: Política de Manejo de
Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura,"
2001.
[27] Ministerio de Hacienda y Crédito Público, "Decreto 423 de 2001," 2001.
[28] Ministerio de Hacienda y Crédito Público, Ministerio del Medio Ambiente y Ministerio
de Desarrollo Económico, "Conpes 3133-2001: Modificaciones a la política de manejo de
riesgo contractual del estado para procesos de participación privada en infraestructura
establecida en el documento Conpes 3107 de Abril de 2001," 2001.
[29] M. Á. Nieto Giménez-Montesinos, "El tratamiento del riesgo operacional en Basilea II,"
Estabilidad Financiera, pp. 163-185, 2005.
[30] M. Penagos Acosta, "Administración del riesgo en el contexto empresarial," 2011.
[31] Presidencia de la República, "Decreto Número 4110 de 2004," 2004.
[32] M. Spremic, Z. Zmirak and K. Kraljevic, "IT and business process performance
management: Case study of ITIL implementation in finance service industry," in Information
Technology Interfaces, 2008. ITI 2008. 30th International Conference on, 2008, pp. 243-250.
[33] Superintendencia Financiera de Colombia, "Circular Externa 041 de 2007," 2007.
[34] W. Van Grembergen and S. De Haes, "Measuring and improving IT governance through
the balanced scorecard," Information Systems Control Journal, vol. 2, pp. 35-42, 2005.
[35] W. Van Grembergen, "Introduction to the Minitrack “IT Governance and its
Mechanisms”," 2002.
[36] W. Van Grembergen, Strategies for Information Technology Governance.
[37] P. Weill and J. W. Ross, IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results. Harvard Business Press, 2004.
top related