¿Eliminar la incertidumbre con una buena gestión de riesgos?

Introducción:

Antes de iniciar debemos de acotar que manejar un escenario donde exista una gestión de proyectos con cero riesgos es una utopía, por tal razón es importante tener una correcta tolerancia de riesgos procurando reducir la incertidumbre al máximo.

Ahora bien, repasando el párrafo anterior el riesgo contiene atributos que lo diferencian de la incertidumbre. El riesgo es la parte de la incertidumbre que se encarga de gestionar la Gestión de Riesgos, mientras que la incertidumbre latente es aquella que sigue siendo desconocida. La parte de la incertidumbre gestionada es aquella que es susceptible de ser analizada.

Sobre la definición de riesgos podemos leer el siguiente articulo respecto a bases generales donde se vio la definición y tipos de riesgos.

De acuerdo con la RAE el concepto de incertidumbre se define como: “Falta de certidumbre” llevándonos entonces a buscar el concepto de certidumbre el cual dicta:

  1. f. certeza.

  2. f. desus. Obligación de cumplir algo.

Desarrollo:

Sigue leyendo ¿Eliminar la incertidumbre con una buena gestión de riesgos?

Riesgo Reputacional

Retomando el tema que tiempo atrás trate sobre Bases Generales: Riesgos; vamos a recordar la definición de lo que es un riesgo:

Contingencia o proximidad de un daño

Es decir, es aquello que va a afectar de alguna forma el estado normal de las operaciones ya sea de la compañía o institución pública.

Por otro lado analicemos: ¿cuál es el concepto de reputación?

“Opinión o consideración en que se tiene a alguien o algo”

“Prestigio o estima en que son tenidos alguien o algo”  (Fuente: RAE.es).

Sigue leyendo Riesgo Reputacional

Bases Generales: Riesgos

Si bien es cierto el Riesgo o los Riesgos son un componente importantísimo del Control Interno, no dejan de ser una guía primordial a la hora de abordar los estudios de auditoria. Estudios de auditoria en cualquiera de sus áreas del Universo, pero para continuar con la columna vertebral de este sitio, se procurara relacionar con los procesos de Auditoria de Sistemas. Vamos ahora a su definición.

Definición de Riesgo:

Desde el sitio web de la RAE, de forma sencilla se nos dice: “Contingencia o proximidad de un daño”.

Por otro lado la UNISDR (The United Nations Office for Disaster Risk Reduction) lo define: “El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre

Para la Contraloría General de la Republica en la Norma de Control Interno (N-2-2009-CO-DFOE) en su página 47 se define el Riesgo como: “Probabilidad de que ocurran eventos de origen interno o externo, que tendrían consecuencias sobre el cumplimiento de los objetivos institucionales

Tipos de Riegos:

Como segundo paso es importante definir cuantos tipos se pueden determinar o prevenir (objetivo primordial de una auditoria), en uno curso de cual fui parte (Gestión de auditoria de alto impacto en riesgos, 2016) se nos ofrecía dos tipos de riesgos a gran escala, rescato de mis apuntes lo siguiente:

Riesgo Inherente: riesgo que amenaza el cumplimiento de un objetivo, este va a estar más relacionado con la causa por tanto se les suele conocer como riesgo causal.

Riesgo de Control: es aquel riesgo en que los controles no mitiguen el riesgo inherente, viene a ser la consecuencia de la falta de controles por lo tanto se le conoce como riesgo consecuente.

Entornos de T.I.

Dentro de las Normas Técnicas para la gestión de las Tecnologías de la Información vamos a tener dentro del su alcance en su Capítulo I, las normas de aplicación en donde se puede leer el punto 1.3:

Gestión del Riesgo: La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.

Tomando como punto de partida ese argumento podemos  ver la importancia del tema de riesgo para las tecnologías de información, en donde el propósito fundamental es tender a eliminarlo procurando su disminución al máximo. Es decir tomando en cuenta las definiciones iniciales, “minimizar las probabilidades de que se materialicen los RIESGOS”, esto porque en esencia los riesgos siempre van a existir.

Por otro lado es importante mencionar que dentro de las normativas internacionales el riesgo también forma parte de capítulos de interés, por un lado el Instituto Internacional de Auditoria Interna nos ofrece la certificación CRMA (Certification in Risk Management Assurance) en el otro extremo más del lado de las tecnologías de información tenemos la reciente certificación que ofrece ISACA llamada CRISC (Certified in Risk and Information System Control).

Dentro de la normativa de TI (N-2-2007-CO-DFOE)con la cual solemos trabajar los auditores de sistemas en este bello país como lo es Costa Rica, podemos ubicar dentro de ella 19 resultados donde se menciona la palabra riesgo, esto con justa razón; en todos los procesos donde vemos relacionados las tecnologías de información van a existir riesgos, los cuales debemos de minimizar, esto con el fin de que no se vean materializados para que las empresas u instituciones no vean su día a día afectado.

Es de suma importancia dejar de lado lo urgente y darle la importancia apropiada al tema de los riesgos, debemos apropiarnos de la tarea: de analizar, documentar, clasificar y evaluar de forma periódica el tema. By. RVV

mafalda-riesgos-rvv