¿Eliminar la incertidumbre con una buena gestión de riesgos?

Introducción:

Antes de iniciar debemos de acotar que manejar un escenario donde exista una gestión de proyectos con cero riesgos es una utopía, por tal razón es importante tener una correcta tolerancia de riesgos procurando reducir la incertidumbre al máximo.

Ahora bien, repasando el párrafo anterior el riesgo contiene atributos que lo diferencian de la incertidumbre. El riesgo es la parte de la incertidumbre que se encarga de gestionar la Gestión de Riesgos, mientras que la incertidumbre latente es aquella que sigue siendo desconocida. La parte de la incertidumbre gestionada es aquella que es susceptible de ser analizada.

Sobre la definición de riesgos podemos leer el siguiente articulo respecto a bases generales donde se vio la definición y tipos de riesgos.

De acuerdo con la RAE el concepto de incertidumbre se define como: “Falta de certidumbre” llevándonos entonces a buscar el concepto de certidumbre el cual dicta:

  1. f. certeza.

  2. f. desus. Obligación de cumplir algo.

Desarrollo:

Si bien es cierto dentro de los proyectos, o la gestión de procesos diarios de las instituciones el ideal es procurar siempre cumplir con todo lo definido dentro de la gestión de estos. La reducción de toda la incertidumbre es inviable para el desarrollo del proyecto, desde el punto de vista económico por los recursos que implicaría. La Dirección de Proyectos requiere, por tanto, de habilidades de liderazgo y de adaptabilidad para lograr tener un grado bajo de incertidumbre y además una correcta gestión de riesgos.

Como se habla del abordaje de la incertidumbre es imposible dejar de lado que esto implica un costo elevado, por lo que hay un límite hasta el que las empresas llegan. Consiste en contenerla y administrarla de forma responsable, no en eliminarla. Un nivel de inversión alto para mitigar la incertidumbre implica una baja tolerancia al riesgo, pero nuevamente son costos elevados. En cada proyecto resulta determinante la incertidumbre con la que se va a convivir y el costo que esto supone para la empresa. El proyecto debe encontrar un nivel de riesgo aceptable.

 

En la gestión de riesgos dentro de los proyectos o procesos manejados en las instituciones, se debe de considerar qué parte de la incertidumbre constituye un riesgo para el proyecto o procesos en donde se debe poder establecer las amenazas u oportunidades que genera, una probabilidad de ocurrencia y un impacto en el caso de que suceda. El sistema de control interno o la persona (departamentos) administradora de los riesgos institucionales (El Risk Management) va a permitir conocer las vulnerabilidades y oportunidades que esa parte de la incertidumbre ocasiona. Los riesgos posibilitan desarrollar planes de mitigación y contingencia.

La incertidumbre en la administración de proyectos o la gestión de procesos puede tener como consecuencia que no se alcancen los objetivos planteados en el proyecto, debido a resultados negativos y amenazas; consecuencias irrelevantes; u oportunidades.

¿Eliminar la incertidumbre con una buena gestión de riesgos?

Retomando la pregunta que nos permitió repasar una serie de conceptos en el tema de riesgos, debemos afirmar que la eliminación de la incertidumbre si bien es cierto es un ideal que implica una inversión elevada de la mano de la buena gestión de los riesgos, en ocasiones la estrategia nos pide tolerar un grado mínimo dentro de los proyectos o procesos, esto al igual que no se puede tener un proyecto libre de riesgos.

Conclusiones:

Cuando hablamos que la gestión de riesgos solamente puede abordar un subconjunto de los riesgos de un proyecto o procesos de las instituciones estamos hablando de una realidad en donde se trata de administrar aquellos que se han podido identificar y, además, que cuentan con los recursos necesarios para su análisis, evaluación, mitigación y control. Sin olvidar que se tolera un grado de incertidumbre este de la mano de la inversión realizada en la gestión de los riesgos.

Auditoría de Sistemas 25-2-2011

Allá en el 2011 presentaba yo este documento como parte de un trabajo que se me pidio:

Auditoria de Sistemas

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, LOS DATOS, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes

Objetivos de la auditoria de sistemas:

  1. Participación en el desarrollo de nuevos sistemas:
  • evaluation de controles
  • cumplimiento de la metodología.
  1. Evaluación de la seguridad en el área informática.
  2. Evaluación de suficiencia en los planes de contingencia.
  • respaldos, preveer qué va a pasar si se presentan fallas.
  1. Opinión de la utilización de los recursos informáticos.
  • resguardo y protección de activos.
  1. Control de modificación a las aplicaciones existentes.
  • fraudes
  • control a las modificaciones de los programas.
  1. Participación en la negociación de contratos con los proveedores.
  2. Revisión de la utilización del sistema operativo y los programas
  • control sobre la utilización de los sistemas operativos
  • programas utilitarios.

 

  1. Auditoría de la base de datos.
  • estructura sobre la cual se desarrollan las aplicaciones…
  1. Auditoría de la red de teleprocesos.
  2. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujogramas
  • Listas de chequeo
  • Mapas conceptuales

 

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

  1. La información es un recurso clave en la empresa para:
  • Planear el futuro, controlar el presente y evaluar el pasado.
  1. Las operaciones de la empresa dependen cada vez más de la sistematización.
  2. Los riesgos tienden a aumentar, debido a:
  • Pérdida de información
  • Pérdida de activos.
  • Pérdida de servicios/ventas.
  1. La sistematización representa un costo significativo para
  • la empresa en cuanto a: hardware, software y personal.
  1. Los problemas se identifican sólo al final.
  2. El permanente avance tecnológico.

 

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

  1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
  2. Entendimiento del efecto de los sistemas en la organización.
  3. Entendimiento de los objetivos de la auditoría.
  4. Conocimiento de los recursos de computación de la empresa.
  5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
– Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
– Destrucción.

Software:
– uso o acceso,
– copia,
– modificación,
– destrucción,
– hurto,
– errores u omisiones.

Archivos:
– Usos o acceso,
– copia, modificación, destrucción, hurto.

Organización:
– Inadecuada: no funcional, sin división de funciones.
– Falta de seguridad,
– Falta de políticas y planes.

Personal:
– Deshonesto, incompetente y descontento.

Usuarios:
– Enmascaramiento, falta de autorización, falta de conocimiento de su función.

 

¿Que tanto hemos avanzado o cambiado desde un punto de vista conceptual?

 

Bienvenidos

Por aquí voy a ir dejando plasmado un punto de vista de la Auditoría en Tecnologías de Información  basados en mi experiencia en el Sector Publico en Costa Rica.

Estamos para aprender y seguir creciendo, siempre tomando en cuenta que no pretendo saberlo todo pero si saber quién lo sabe, desde este punto de vista estoy para servirles.