Get Adobe Flash player
English French German

La gestión de riesgos de TI en el marco corporativo

El reto actual del profesional de gestión de riesgos de TI se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costes, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos.

 

La medida del riesgo, la evaluación y selección de opciones para mitigarlo, gestionando las amenazas que pueden afectar al éxito del negocio, es una disciplina por todos conocida como gestión del riesgo. Sin embargo, la propia definición de riesgo puede variar sustancialmente según la experiencia y formación de cada profesional o del contexto dentro de la organización.

 

Típicamente cuando un profesional de seguridad de la información piensa en riesgo lo hace en términos del impacto que podría suponer en el negocio una pérdida de confidencialidad, integridad o disponibilidad de la información. Sin embargo, y cada día más debido a la madurez de las organizaciones y a los requisitos de cumplimiento, la definición e incluso la catalogación de riesgos es mucho más amplia dentro de lo que la organización considera como riesgos corporativos dentro del marco del gobierno de la empresa.

 

La exposición al riesgo operacional en una organización la prodríamos dividir, por ejemplo, en tres grandes áreas: los riesgos inherentes a cualquier entidad, de los procesos que realiza la organización y los relacionados con la estrategia.

 

Los riesgos inherentes a la entidad abarcan los provenientes de:

 Los recursos humanos. Tales como diferencias con los empleados o dependencias de personas clave para la organización, clima social en la compañía y política social, y exposición al riesgo de conflictos con los sindicatos o los representantes de los empleados.  

La regulación. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar y gestionar las obligaciones de cumplimiento normativo, especialmente en sectores como el financiero, seguros, u hospitalario. Esta gestión dependerá mucho del modelo de negocio o de los países en los que la organización se encuentre. Ejemplos de estas regulaciones son: Sarbanes-Oxley, PCI y DSS.  

Los clientes. Se torna necesaria la identificación de los puntos de conflicto con clientes, de las áreas de la compañía más expuestas al fallo en el servicio al cliente, e, incluso, de los tipos más significativos de riesgo reputacional.  

El entorno. En él se encuadran las situaciones de riesgo más relevantes relacionadas con agentes externos (tormentas, inundaciones, terremotos, pandemias etc.).  

Dentro de los riesgos de los procesos de una organización, se podrían incluir:

Fraude interno y externo. Sería necesario identificar los procesos expuestos al fraude externo basándonos en la experiencia histórica y en entrevistas con los responsables del proceso de negocio; del mismo modo, habría que identificar los procesos susceptibles de fraude interno, como por ejemplo la venta de información confidencial, relaciones con los proveedores, etc. 

Pérdidas generadas por una interrupción del negocio. Sería necesario identificar los procesos expuestos a una interrupción del servicio, es decir aquellos procesos para los cuales una interrupción puede suponer una pérdida financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimiento de pagos o por violación de regulaciones. Este análisis se suele realizar usualmente en el marco de la disciplina de continuidad de negocio.

 

Pérdidas generadas por errores en la ejecución. Sería necesario identificar las causas más usuales de error en relación con la complejidad y la automatización del proceso: errores humanos, fallos en la integridad TI... Los procesos en los que estos errores podrían impactar son los de pagos, desarrollo de productos financieros y aquellos con fechas de entrega obligatorias. 

Por último, los riesgos relacionados con la estrategia incluyen:

La gestión del cambio. La innovación y la política de gestión del cambio son parámetros que conducen a la exposición al riesgo. Sería por tanto necesario identificar en una organización como factores de riesgo los nuevos proyectos de TI relativos a cambios significativos o a la implementación de nuevos sistemas, el lanzamiento de productos y la adquisición de compañías.  

La política de outsourcing/offshoring. Las decisiones de externalización de las partes no esenciales del negocio para beneficiarse de economías de escala conducen a nuevos riesgos como la exposición a la ejecución de errores de los proveedores de servicio, a su salud financiera, al riesgo de exponer información confidencial a terceros o los derivados de un plan inadecuado de continuidad de negocio del proveedor.  

Desde esta perspectiva del concepto de riesgo y su clasificación, cada área de la organización implicada en la identificación, monitorización y gestión de estos riesgos, y a su vez cada área afectada directamente por una regulación (finanzas, departamentos legales, auditoría, RRHH), puede desarrollar su propia estrategia y metodología para mitigar los riesgos o cumplimientos con las regulaciones. La gestión de riesgos de TI debe responder a esta realidad, ya que se enmarca dentro de la gestión de riesgos de la organización. Su objetivo es proteger la información de la organización y sus sistemas. Adicionalmente, la gestión de riesgos de TI debe considerarse como un programa y no como un proyecto periódico focalizado en controles de seguridad TI.

En esta situación, la gestión de riesgos de TI toma otra perspectiva en la que es necesario crear programas de gestión del riesgo de TI que combinen la gestión de una amplia gama de riesgos específicos relacionados con la tecnología dentro de un programa de gobierno de los riesgos a un nivel superior. Este programa se enfrenta al reto de elaborar unos resultados y controles lo suficientemente flexibles como para poder encajar en este contexto más global de gestión del riesgo, donde las expectativas son más amplias desde el nivel corporativo, en el marco de unos servicios globalizados y con el cada día más extendido uso de proveedores de servicio externos.

La identificación de cualquier riesgo de TI requiere siempre conectar el riesgo a los servicios de TI y, a su vez, estos a los riesgos de negocio.  

Por ejemplo, el negocio puede enfrentarse a la contingencia de no poder ofrecer determinados servicios debido a la inestabilidad de un sistema TI. Anticiparse a este tipo de situaciones da sentido a la gestión de riesgos de TI más que centrarse en la generación de una serie de medidas puntuales que mitigan ciertos riesgos tecnológicos.

Conclusión

En respuesta a las crecientes problemáticas, la gestión de riesgos de TI ha sufrido muchos cambios durante los últimos años. Sin embargo, más recientemente, la habilidad para definir y comunicar el marco de los riesgos de TI ha tomado mucha más relevancia. La disciplina de gestión de riesgos de TI se enmarca no solo dentro de los requerimientos regulatorios, sino también dentro de los de negocio. Un profesional de la gestión del riesgo TI debe ser especialista en tecnología y sistemas de gestión de seguridad de la información, y también tener un amplio conocimiento del negocio de la empresa en la que desarrolla su actividad.

El reto actual del profesional de gestión de riesgos de TI se basa en definir un programa continuo, objetivo, repetible y medible, en el que la evaluación de costes, la valoración de activos y las métricas de rendimiento convivan de manera integrada con el resto de requerimientos corporativos. La creación del programa debe realizarse desde una perspectiva de arriba hacia abajo, totalmente enmarcada en la gestión global de los riesgos y respondiendo a los diferentes requerimientos de las distintas unidades de negocio, consiguiendo gestionar y definir unos controles flexibles y adaptables a los distintos tipos de riesgos y de requerimientos regulatorios que no obliguen a la organización de TI a reinventar las tareas, y los controles y las evidencias de cumplimiento.    

-----------------------------------------------------------------------

FUENTE: auditool.org

POR:

Carolina de Oro Gómez

IT Compliance & Risk Management Manager

Región Mediterránea y Latinoamérica

AXA SEGUROS

-----------------------------------------------------------------------

primi sui motori con e-max

ULTIMAS PUBLICACIONES.

Seis errores que cometemos con el WiFi en los negocios

Seis errores que cometemos con el WiFi en los negocios

Ya hace años que muchas organizaciones implantaron el uso de conexiones WiFi. Al principio en muchos casos con reparos, porque eran mucho más lentas o más inseguras que...

La música te ayuda a trabajar y a rendir más

La música te ayuda a trabajar y a rendir más

Sobre todo para los que trabajamos en casa la mayoría del tiempo, el silencio es un lujo. Cuando no son interrupciones lógicas al vivir en un edificio con más personas, es...

El trabajo que da sus frutos no es cuestión de suerte

El trabajo que da sus frutos no es cuestión de suerte

Si somos conscientes de que todo lo que sucede depende de nuestra actitud y forma de pensar, creer que la suerte es una especie de pócima mágica que se encuentra...

Difundir contenido en video: una ventaja para tu marca

Difundir contenido en video: una ventaja para tu marca

El video es uno de los formatos cuya popularidad ha crecido considerablemente en los últimos años con la aparición de las denominadas stories en plataformas como...

Errores que debes evitar cuando retroalimentas a tus empleados

Errores que debes evitar cuando retroalimentas a tus empleados

La retroalimentación es necesaria para el crecimiento personal y profesional, porque permite que se identifiquen puntos de mejora en el desempeño. Sin embargo, si la...

El poder detrás de una buena marca empresarial

El poder detrás de una buena marca empresarial

En el mundo empresarial con tantos productos o servicios similares, con igual calidad y hasta un mismo precio, es más difícil mantener fidelizado al cliente, el cual cada...

Tipos de personalidad y ambiente laboral

Tipos de personalidad y ambiente laboral

Tener en cuenta el tipo de personalidad de cada empleado es un elemento importante a tomar en cuenta al momento de definir el rol que ocupará dentro de tu empresa o negocio.En...

¿Cómo manejar los diferentes tipos de clientes?

¿Cómo manejar los diferentes tipos de clientes?

El departamento de ventas y servicio al cliente es de gran importancia para cualquier empresa que desea marcar la diferencia frente a la competencia, ya que estas dos áreas definen el...

Claves para mejorar el clima laboral

Claves para mejorar el clima laboral

Un buen clima laboral es fundamental para obtener resultados extraordinarios. Esta regla no es distinta para las pequeñas y medianas empresas, por ello a continuación te...

Potencializando el liderazgo de tus mandos medios

Potencializando el liderazgo de tus mandos medios

Quienes se desempeñan en los mandos medios son fundamentales, porque son el dinámico que ejecuta la visión del propietario de la empresa. Por ende, su capacidad es...

¿Cómo generar una cultura de calidad empresarial?

¿Cómo generar una cultura de calidad empresarial?

En la actualidad las estrategias de marketing están enfocadas en crear técnicas que creen una experiencia única y positiva con el cliente, para lograrlo es fundamental para...

¿Es una buena idea crear tu marca personal si trabajas para una empresa?

¿Es una buena idea crear tu marca personal si trabajas para una empresa?

Muchas preguntas acuden cuando decides dar el paso y hacerte un nombre en el universo de la red de redes. Pero si ya trabajas para una empresa, las preguntas, los temores y las dudas se...

¿Cómo determinar el valor de mi empresa?

¿Cómo determinar el valor de mi empresa?

Determinar el valor de un negocio no es un tema sencillo, teniendo en cuenta que para quien ha fundado la empresa esta es como su hijo. Sin lugar a dudas,  hay un punto subjetivo a la hora...

Herramientas para evaluar la calidad de los servicios empresariales

Herramientas para evaluar la calidad de los servicios empresariales

Cada día se registra un alto crecimiento de nuevas empresas, intensificando la competencia en el sector empresarial, lo que implica a su vez un gran reto para las pymes que entran a...

  • Seis errores que cometemos con el WiFi en los negocios

    Seis errores que cometemos con el WiFi en los negocios

  • La música te ayuda a trabajar y a rendir más

    La música te ayuda a trabajar y a rendir más

  • El trabajo que da sus frutos no es cuestión de suerte

    El trabajo que da sus frutos no es cuestión de suerte

  • Difundir contenido en video: una ventaja para tu marca

    Difundir contenido en video: una ventaja para tu marca

  • Errores que debes evitar cuando retroalimentas a tus empleados

    Errores que debes evitar cuando retroalimentas a tus empleados

  • El poder detrás de una buena marca empresarial

    El poder detrás de una buena marca empresarial

  • Tipos de personalidad y ambiente laboral

    Tipos de personalidad y ambiente laboral

  • ¿Cómo manejar los diferentes tipos de clientes?

    ¿Cómo manejar los diferentes tipos de clientes?

  • Claves para mejorar el clima laboral

    Claves para mejorar el clima laboral

  • Potencializando el liderazgo de tus mandos medios

    Potencializando el liderazgo de tus mandos medios

  • ¿Cómo generar una cultura de calidad empresarial?

    ¿Cómo generar una cultura de calidad empresarial?

  • ¿Es una buena idea crear tu marca personal si trabajas para una empresa?

    ¿Es una buena idea crear tu marca personal si trabajas para una empresa?

  • ¿Cómo determinar el valor de mi empresa?

    ¿Cómo determinar el valor de mi empresa?

  • Herramientas para evaluar la calidad de los servicios empresariales

    Herramientas para evaluar la calidad de los servicios empresariales

Las 100 Publicaciones Mas Visitas

Formulario de registro

Para acceder algunas áreas debes estar registrado. Registrarte en el formulario de registro en "Crear una cuenta".

Algunos Clientes

 
 
 
 
GR Autoparts.
 
Moronta & Asociados.
 
GEOTECNICA M Q.
 
Constructora Moronta.
 
HK ANAHEIM.
 
Parque Industrial Zona Franca Navarrete.
 
 
 
Kanury Comercial.
 
 
 
 
 
ENERGON.
 
 
 
Batista Moran & Asoc.
 
 
Cero Calvicie
 
Ferreteria Andres Reyes, SRL
 
 

Registros Profesionales

   

Registro # 449,  del Instituto de Contadores Publico Autorizados de la Rep. Dom.  - ICPARD -
   
Registro  # A-118, del Instituto de Desarrollo y Crédito Cooperativo. - IDECOOP -
   
Registro  # 4088, de la  Asociacion Tributaria de la Rep. Dom. - ATRIRD -
   

   

 

Servicios Principales

 FINANCIEROS

Auditorías en: Financiera, Fiscal, Forense, Control Interno y de Sistemas.

Revisión de Estados Financieros por Procedimientos Convenidos o Acordados.

Preparación de Estados Financieros Interinos.

Evaluación y Estudio de factibilidad de Proyectos.

Valoración de Empresas.

Elaboración de Presupuestos, Proyecciones Financieras y Plan Financiero.

Preparación de Flujo de Caja Proyectado.

Consolidación de Estados Financieros.

Combinaciones de Negocios (Fusiones y Adquisiciones)

Planes de Negocio e Inversión.

Outsourcing/Igualas en la Gestión: Contables, Financiero y Administrativo.

Due Diligence (Auditoría de Adquisición de Empresas).

Diseño e Implementación de Sistema Contable.

Asesoría y Consultoría en Administración Financiera.

Finanzas Corporativas.

 

FISCALES -IMPUESTOS-

Asesoría, Consultoría,  Revisión y Auditoría Fiscales/Impositiva.

Asistencias en Procesos de Fiscalización.

Declaración Jurada de todos los tipos de Impuestos (TODAS).

Outsourcing/Igualas Fiscal.

Evaluación de Comprobante Fiscales (NCF).

Planificación Fiscal.

Recursos de Consideración y Defensa Tributaria.

Solución y Alternativas a Problemas o Situaciones de índole Fiscal y TSS

Estudios de Precios de Tranferencias -y-Declaracion Informativa Operaciones Relacionadas (DIOR).

 

TECNOLOGÍA

Consultores en Cambios e Implementación de Sistemas de Información.

Auditoria de Sistemas.

Soluciones de Datos y Conexión de puntos remotos.

Infraestructura.

Planes de Contingencia.

Seguridad de Información.

Evaluación de riesgos en la administración de sistemas tecnológicos

Software y Otros.

 

OTROS SERVICIOS

Consultaría y Asesoría Empresarial.

Reclutamiento y Selección de Personal.

Capacitación y Entrenamiento Empresarial.

Constitución de Compañías.

Reorganización de Sociedades.

Seguros Generales y de Salud.