pegasus.javeriana.edu.copegasus.javeriana.edu.co/~CIS1130IS11/Documentos/Memoria... · Web...

CIS1130IS11

MODELO DE GESTIÓN DE RIESGOS OPERACIONALES PARA EL GOBIERNO DE

LAS TECNOLOGÍAS DE LA INFORMACIÓN (TI)http://pegasus.javeriana.edu.co/~CIS1130IS11

SANDY JOHANA CALDERÓN LANCHEROS

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE INGENIERIA

CARRERA DE INGENIERIA DE SISTEMAS

BOGOTÁ, D.C.

2012

http://pegasus.javeriana.edu.co/~CIS1130IS11

Ingeniería de Sistemas Istar - CIS1130IS11

____________________________________________________________________________________________

Página 2

Memoria de Trabajo de Grado –Proyecto de Investigación

CIS1130IS11

MODELO DE GESTIÓN DE RIESGOS OPERACIONALES PARA EL

GOBIERNO DE TECNOLOGÍAS DE LA INFORMACIÓN (TI)

Autor(es):

Sandy Johana Calderón Lancheros

MEMORIA DEL TRABAJO DE GRADO REALIZADO PARA CUMPLIR UNO

DE LOS REQUISITOS PARA OPTAR AL TITULO DE INGENIERO DE

SISTEMAS

Director

Ing. Jaime García Cepeda

Página web del Trabajo de Grado





BOGOTÁ, D.C.

____________________________________________________________________________________________

Página i



Julio, 2012.




Rector Magnífico

Joaquín Emilio Sánchez García S.J.

Decano Académico Facultad de Ingeniería

Ingeniero Francisco Javier Rebolledo Muñoz

Decano del Medio Universitario Facultad de Ingeniería

Padre Sergio Bernal Restrepo S.J.

Directora de la Carrera de Ingeniería de Sistemas

Ingeniero Luis Carlos Díaz Chaparro

Director Departamento de Ingeniería de Sistemas

Ingeniero César Julio Bustacara Medina

____________________________________________________________________________________________

Página ii


Artículo 23 de la Resolución No. 1 de Junio de 1946“La Universidad no se hace responsable de los conceptos emitidos por sus alumnos en sus

proyectos de grado. Sólo velará porque no se publique nada contrario al dogma y la moral

católica y porque no contengan ataques o polémicas puramente personales. Antes bien, que se

vean en ellos el anhelo de buscar la verdad y la Justicia”

____________________________________________________________________________________________

Página iii


AGRADECIMIENTOS

Agradezco a Dios y a la Santísima Virgen por llenarme de bendiciones en estos años que hoy

permiten que culmine con éxito mi formación profesional; a mis Padres que han sido mi guía

y mi soporte para enfocarme en conseguir con éxito mi grado profesional y crecimiento como

persona; adicional a mi Director Jaime García Cepeda agradecimientos por el apoyo para el

desarrollo y el cumplimiento de mis objetivos en este proyecto de grado.

____________________________________________________________________________________________

Página iv


TABLA DE CONTENIDO

INTRODUCCIÓN.....................................................................................................................2

I - MARCO TEÓRICO..............................................................................................................5

1. Gobierno de Tecnologías de la información (TI)...........................................................6

1.1 Definiciones.................................................................................................................6

1.2. Modelos y Estándares......................................................................................................7

1.3. Análisis de modelos y/o estándares..........................................................................10

1.4 Modelo base: COBIT 5 [9]...................................................................................11

2 Riesgos.........................................................................................................................14

2.1 Definiciones...............................................................................................................14

2.2. Tipos de Riesgos.......................................................................................................15

2.3 Gestión de riesgos......................................................................................................16

2.4 Modelos y/o estándares..............................................................................................17

2.4.2 Normatividad colombiana................................................................................21

3 Riesgo Operativo..........................................................................................................23

3.1 Brasilea II [23].....................................................................................................23

3.2 Circular Externa 041 de 2007 [13].......................................................................24

II – DESARROLLO DEL TRABAJO.....................................................................................31

____________________________________________________________________________________________

Página v


1. Cara 1: Riesgos operacionales y mapa de riesgos........................................................33

2. Cara 2 Escenarios de riesgos y riesgos operacionales:................................................42

3. Cara 3: Escenarios de riesgos con procesos de COBIT...............................................44

4. Cara 4: Relación de gobierno de TI con procesos de COBIT......................................49

5. Cilindro: Estructura del modelo...................................................................................56

6. Validación....................................................................................................................57

III – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS FUTUROS.....................58

1. Conclusiones................................................................................................................58

2. Trabajos futuros............................................................................................................60

iV - REFERENCIAS Y BIBLIOGRAFÍA...............................................................................61

1. Referencias.......................................................................................................................61

2. Bibliografía.......................................................................................................................63

____________________________________________________________________________________________

Página vi


LISTA DE GRÁFICAS

Ilustración1. Principios de COBIT...........................................................................................11

Ilustración 2. Necesidades de los Stakeholder COBIT............................................................12

Ilustración 3. Principios, políticas y marcos de COBIT...........................................................13

Ilustración 4. Proceso gestión de riesgos - AS/NZ 4360.[7]...................................................18

Ilustración 5. Estructura del modelo – Cilindro central...........................................................31

Ilustración 6. Estructura del modelo 1.....................................................................................32

Ilustración 7. Estructura del modelo 2.....................................................................................32

Ilustración 8. Pasos de la Cara 1..............................................................................................34

Ilustración 9. Pasos de la Cara 2..............................................................................................42

Ilustración 10. Pasos de la Cara 3............................................................................................45

Ilustración 11. Ejemplo de Cara 3............................................................................................48

Ilustración 12. Pasos de la Cara 4............................................................................................49

Ilustración 13. Ejemplo Cara 4 – Relación de procesos de COBIT con objetivos de TI.........52

Ilustración 14. Ejemplo Cara 4 – Relación de objetivos de TI con objetivos de negocio........55

____________________________________________________________________________________________

Página vii


LISTA DE TABLAS

Tabla 1. Comparación de modelos y estándares......................................................................10

Tabla 2. Líneas de negocio y porcentajes................................................................................23

Tabla 3 Listado de Amenazas/Vulnerabilidades......................................................................37

Tabla 4. Escala de nivel de impacto.........................................................................................37

Tabla 5. Escala de nivel de probabilidad de ocurrencia...........................................................38

Tabla 6. Riesgos operacionales, nivel de impacto y nivel de probabilidad.............................38

Tabla 7. Matriz de riesgos........................................................................................................40

Tabla 8. Escenarios de riesgos.................................................................................................43

Tabla 9. Relación escenarios de riesgos con riesgos operacionales.........................................44

Tabla 10. Relación de escenarios de riesgos con procesos de negocio de COBIT..................47

Tabla 11. Relación de proceso de negocio de COBIT con objetivos de TI.............................51

Tabla 12. Relación de objetivos de TI con objetivos de negocio.............................................54

Tabla 13. Escala de valores para resultados de datos de caras del cubo..................................55

____________________________________________________________________________________________

Página viii


ABSTRACT

This document proposes the structure of a model of operational risk management aligned

with IT governance. This model seeks to serve as a guide to identify operational risks and

from these align with IT objectives and business goals of an organization. As an added value

tools and instruments will be designed to allow implementation in organizations that wish to

align their operational risks to its objectives. The model is thought as a hub where you can

check from any face part of the process from identification of risks to their relationships with

the objectives or the entire process.

____________________________________________________________________________________________

Página ix


RESUMEN

El presente trabajo propone la estructuración de un modelo de gestión de riesgos

operacionales alineado con el gobierno de TI. Este modelo busca servir como guía para

identificar los riesgos operacionales y a partir de estos alinearlos con los objetivos de TI y los

objetivos de negocio de una organización. Como valor agregado se diseñarán instrumentos y

herramientas que permitan implantar en organizaciones que desean alinear sus riesgos

operacionales con sus objetivos. El modelo se pensó en forma de un cubo en donde se puede

revisar desde cualquier cara una parte del proceso desde la identificación de riesgos hasta su

relación con los objetivos o el proceso completo.

____________________________________________________________________________________________

Página x


RESUMEN EJECUTIVO

Objetivo general

Elaborar un modelo de Gestión de Riesgos operacionales para el Gobierno de Tecnologías de

la Información (TI).

Objetivos específicos

Identificar, analizar, comparar y caracterizar metodologías y buenas prácticas para el

área de Gobierno de Tecnologías de la Información (TI).

Identificar, analizar, comparar y caracterizar metodologías y buenas prácticas para los

riesgos operativos de TI.

Definir el mapa de riesgos a partir del Mapeo e Integración de las caracterizaciones del

Gobierno de TI y los riesgos de TI.

Diseñar el modelo de riesgos operacionales para el Gobierno de Tecnologías de la

Información (TI).

Aplicar el modelo de gestión al mapa de riesgos.

Las empresas necesitan una mejora con respecto a cómo llevan a cabo sus procesos de

administración de riesgos operacionales para alcanzar las metas, desafíos y objetivos

planteados para acercarse al éxito. Esto se ha comprobado en algunos casos en los que se

evidencia el costo de las pérdidas en los riesgos que se generan en algunos procesos de la

empresa. El detalle de los casos que ejemplifican esta situación, serán detallados en el

desarrollo del documento.

El incremento en el uso de las tecnologías de la información y como estas han generado un

impacto a nivel de objetivos de la empresa se genera el siguiente interrogante ¿Cómo es

____________________________________________________________________________________________

Página xi


posible reducir los riesgos operativos en el Gobierno de las Tecnologías de la Información

(TI), con el fin de alcanzar los objetivos estratégicos en una organización?

Para esto se propone un modelo el cual está conformado por un cubo y un cilindro en la

mitad, en donde en el cilindro se encuentra todo el modelo central desde la identificación de

riesgos hasta la relación de estos con los objetivos de negocio, y el cubo cumple la función de

mostrar una parte del modelo el cual se divide en cuatro caras que son:

Cara 1: Muestra los riesgos operacionales identificados por los stakeholders,

relacionados con la matriz de riesgos por medio del riesgo inherente.

Cara 2: Muestra la relación de los riesgos operacionales identificados con los

escenarios de riesgos.

Cara 3: Muestra la relación de los escenarios de riesgos con los Proceso de COBIT

de alinear, planificar y organizar.

Cara 4: Muestra la relación entre los Procesos de COBIT de alinear, planificar y

organizar con el Gobierno de TI (objetivos de TI y objetivos de negocio).

El éxito del modelo está relacionado con las decisiones que tomen los stakeholders respecto a

los riesgos operacionales, escenarios de riesgos y tener el conocimiento de la visión, misión y

objetivos de la empresa.

____________________________________________________________________________________________

Página xii


INTRODUCCIÓN

En la actualidad, los amplios avances tecnológicos y la globalización, han llevado a las

empresas a incrementar el uso de la tecnología. Lo anterior, con el objetivo de soportar sus

procesos de negocio.

El precio que debe pagar la organización al tratar de garantizar el cumplimiento de sus

objetivos radica en el compromiso entre las tecnologías de la información y la facilidad de los

empleados y usuarios para accederlos. Así, se incrementan los riesgos y la exposición de la

información a los mismos. Siendo necesario proteger la información que:

Soporta los negocios.

Colabora en la oportuna prestación de los servicios.

Al igual, se debe tener en cuenta que la información es la base que hace posible la existencia

de las tecnologías, aplicaciones, dispositivos de hardware, entre muchos otros elementos.

Estos elementos hacen necesaria la existencia de personas experimentadas en tecnologías de

la información.

Según ISACA [1], cuando el manejo de la información está basado en tecnología, se debe

afirmar que la misma:

Puede estar almacenada y/o procesada en computadoras.

Puede ser confidencial.

Puede ser mal utilizada o divulgada de manera inapropiada.

Puede estar sujeta a robos, sabotaje o fraudes.

Por los anteriores argumentos se considera que a partir de la identificación y análisis de los

riesgos operacionales, se puede dar inicio a la definición de una estrategia de tratamiento del

riesgo. Esto con el fin de obtener los objetivos de la empresa según sus necesidades,

objetivos, misión y visión.

____________________________________________________________________________________________

Página xiii


Lo anterior permite pensar que es útil construir instrumentos de ayuda para analizar riesgos

operacionales para el gobierno de TI. Esto, dadas las vulnerabilidades y amenazas que hay en

su entorno. A partir de ellos, podrán obtener datos válidos para definir una estrategia de

tratamiento del riesgo y esta podría ayudar a las empresas a obtener mayores niveles de

cumplimiento de objetivos negocio respecto a su misión y visión.

Para ello, la propuesta es identificar los riesgos operacionales más comunes. A partir de esos

datos, se estructurara un modelo para relacionarlos con los objetivos de TI y los objetivos de

negocio para generar un buen gobierno de TI.

Este modelo busca servir como guía para identificar los riesgos operacionales y relacionarlos

con los objetivos de Ti y los objetivos de negocio en organizaciones de cualquier tipo, ya que

sin tener en cuenta su actividad económica, estas presentan riesgos operacionales y estos

deben estar alineados a sus objetivos de negocio; y el modelo no define lo riesgos

operaciones ni los objetivos de negocio, si no es una guía para unir ambos conceptos. Cómo

valor agregado se incluyen instrumentos y herramientas, las cuales permiten implantarlo en

organizaciones que inician la adopción de tecnologías de información o que ya las tiene.

Los instrumentos que serán definidos, buscan permitir establecer un conjunto de amenazas y

vulnerabilidades de los riesgos operacionales.

¿Por qué un modelo de gestión de riesgos?

La información es el insumo principal de las empresas para alcanzar las metas, desafíos y

objetivos planteados para acercarse al éxito.

De acuerdo con ISACA London Chapter (2005) [1], cita algunos casos que ejemplifican las

fallas en las tecnologías de la información y que en consecuencia provocaron pérdidas

multimillonarias:

El caso del Banco Wells Fargo donde se evidenció que la protección de archivos era

inadecuada, cuyo error costo USD 21.3 millones.

El caso del empleado que vendió la lista de clientes de una compañía de venta de

libros, lo que causo una pérdida de USD 3 millones.

El caso del Citibank después de una serie de fraudes tecnológicos que acumularon

una suma cercana a los USD 10 millones.

____________________________________________________________________________________________

Página xiv


Por lo anterior, podemos pensar que es necesario brindar instrumentos facilitadores para la

realización de un modelo de gestión de riesgos operacionales y adicionalmente con gobierno

de TI, ya que todos estos riesgos terminan generando un impacto en los objetivos de negocio

de la empresa.

Por lo anterior se sugiere que la adopción de un modelo de gestión de riesgos operacionales

con gobierno de TI como una decisión estratégica de la organización y su diseño e

implementación ser influenciado por las necesidades y objetivos del negocio.

____________________________________________________________________________________________

Página xv


I - MARCO TEÓRICO

El éxito de las empresas sin importar el sector económico en donde se desarrollen no solo va

ligada de la innovación en un mercado, o de la cantidad de utilidad generada por sus ventas;

son múltiples factores que cobijan el crecimiento de estas, y con los avances tecnológicos

estos tienes que ser contribuyentes en el cumplimiento de los objetivos estratégicos que se

plantea cada empresa. Uno de estos factores es la administración efectiva de la información y

la Tecnología de la Información (TI), siendo un componente critico, sensible y que aporta al

éxito y estabilidad a las empresas; en donde la tecnología ha dejando de ser una función

meramente de soporte en las empresas, convirtiéndose en una herramienta que genera valor

agregado y políticas de desarrollo en diferentes sectores económicos.

De esta forma no solo se integra la tecnología y la información, sino que surge la necesidad

de gestionarla, de administrar esa información que tendrá relevancia en el tiempo y que en las

empresas cada vez tiene mayor importancia, involucrándose en la planeación de los objetivos

estratégicos y que permiten conformar no solo un área sino una nueva política en las

empresas como lo es el gobierno de las tecnologías de la información.

Adicionalmente hoy en día la información se está enfrentando a nuevos riesgos por el

aumento de amenazas, en donde las organizaciones han aumentado las inversiones en las TI

para disminuir estos riesgos, además ha generado que las organizaciones cambien los

procesos de negocio y generen nuevas oportunidades de negocio y fortalezas.

Esta gestión de información y los riesgos que esta implica y siendo esta la base de las

organizaciones ha hecho que este sea manejado por parte de la dirección de las empresas, en

donde surge el concepto de gobierno de TI.

Por ende en esta sección se permite poner al lector en el contexto de la investigación,

presentando conceptos básicos acerca del Gobierno de TI, riesgos operacionales y aspectos

importantes sobre la gestión de riesgos.

____________________________________________________________________________________________

Página xvi


1. Gobierno de Tecnologías de la información (TI)1.1 Definiciones

El gobierno de TI se define de diferentes formas pero todas manejan el mismo fin u objetivo,

entre estas definiciones se pueden destacar:

“Estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto

de alcanzar los objetivos del negocio y añadir valor mientras se balancean los riesgos

versus el retorno de la inversión sobre TI y sus procesos. El Gobierno de TI orienta y

conduce a la empresa a implantar prácticas de planificación y organización,

adquisición e implantación, entrega y soporte de servicio y monitoreo del desempeño

de los servicios de TI, logrando así maximizar sus beneficios, capitalizar sus

oportunidades y obtener ventaja competitiva, todo esto en procura de la mejor salud

empresarial.”[2]

“El Gobierno de las TI especifica los procedimientos de toma de decisiones y los

esquemas de responsabilidad para alcanzar el comportamiento deseado en el uso de

las TI"[3].

“El Gobierno de las TI es la capacidad de la que dispone el Consejo de Dirección, la

administración ejecutiva y la administración de las TI para controlar la planificación

y la implementación de estrategias de TI y así asegurar la alineación entre negocio y

TI”[4].

“El Gobierno de las TI se define como las estructuras de dirección y de organización,

procesos y mecanismos de relación que aseguran que las TI den soporte y extiendan

las estrategias y objetivos de la organización”[5].

“Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado

actual y futuro del uso de TI”[6].

"El Gobierno de TI es responsabilidad del Consejo de Administración y la alta

dirección. Es una parte integral del gobierno corporativo y consiste en que el

liderazgo, las estructuras organizativas y los procesos aseguren que la TI sostiene y

extiende los objetivos y estrategias de la Organización"[7].

Con base de las anteriores definiciones se puede observar que las organizaciones deben

reconocer, comprender y gestionar los riesgos que tienen los procesos de negocio, además

____________________________________________________________________________________________

Página xvii


tienen que relacionar el valor que tiene las TI, con su respectiva gestión y el los riesgos que

implica el manejo y control de información.

Otro aspecto clave a tener en cuenta en estas definiciones es quien o quienes deben ser los

responsables de Gobierno de Ti, en donde podemos ver que la responsabilidad no es

solamente del gerente de sistemas o el encargado del área o departamento de tecnología de la

información, sino que debe ser responsabilidad del consejo de dirección, la administración

ejecutiva y la administración de la TI, ya que por lo menos el consejo de dirección o la alta

dirección es el responsable de entender como las funciones de las TI pueden relacionar y

apoyar los objetivos de negocio y así poder planificar e implementar nuevos objetivos,

estrategias y servicios que puedan ayudar a el negocio, pero también es responsabilidad de los

administración ejecutiva para tener en cuenta la continuidad de las operaciones y por ende la

continuidad del negocio.

Pero no es solo quien es el responsable del gobierno de TI sino que estos responsables deben

asegurar que:

“TI este alineada con la estrategia del negocio.

Las nuevas tecnologías faciliten que la organización haga cosas que antes no fue

posible hacer.

Los servicios y funciones de Ti se proporcionan con el máximo valor posible o de la

forma más eficiente.

Todos los recursos de TI son utilizados responsablemente.

Los riesgos asociados a TI son gestionados apropiadamente”[7].

1.2. Modelos y Estándares1.2.1 ITIL[8]

ITIL (Biblioteca de Infraestructura de Tecnologías de la Información) es un estándar mundial

de Gestión de Servicios Informáticos, que fue construido inicialmente como guía para el

gobierno del Reino Unido pero ha demostrado ser útil para las empresas en todos los sectores.

ITIL fue desarrollado al reconocer que las empresas dependen cada vez más de las

tecnologías de información para alcanzar sus objetivos corporativos, causando una necesidad

creciente de servicios informáticos de calidad, alineados con los objetivos del negocio, y que

satisfagan los requisitos y las expectativas de los clientes; proporcionando así una

____________________________________________________________________________________________

Página xviii


descripción detallada de una serie de buenas prácticas, con una amplia lista de roles, tareas,

procedimientos y responsabilidades que pueden adaptarse a cualquier empresa.

1.2.2. COBIT (Control Objetives for information and related Technology)[9]

IT Governance Institute (ITGI) fue creado en 1998 por ISACA para avanzar en la definición

de estándares para la dirección y control de la tecnología de información en las empresas, en

donde para proveer un marco de trabajo que colabore en la búsqueda de niveles adecuados de

seguridad, definió COBIT (Control Objectives for Information and related Technology), en

donde define unos objetivos de control asociados con la información y la tecnología

relacionada.

COBIT considera fundamental el tratamiento de los riesgos asociados a los activos de

información electrónica, alineada con su misión, que consiste en investigar, desarrollar,

publicar y promover un conjunto internacional y actualizado de objetivos de control para

tecnología de información que sea de uso cotidiano para gerentes, auditores y usuarios.

.

1.2.3 ISO/IEC 38500:2008 “Corporate Governance of Information Technology”[6]

Se publico el 1 de junio de 2008 por ISO y está basada en la norma australiana AS8015:2005.

Su objetivo es proporcionar un marco de principios para que la dirección de las

organizaciones lo utilice para evaluar, dirigir y monitorizar el uso de las TI, para así crear el

uso eficaz, efectivo y aceptable de las TI en toda la organización.

La norma define seis principios de un buen gobierno corporativo de TI:

Responsabilidad: Establecer las responsabilidades de cada individuo o grupo de personas

dentro de la organización en relación a las TI.

Estrategia: Hay que tener en cuenta el potencial de las TI a la hora de diseñar la estrategia

actual y futura de la organización.

Adquisición: Las adquisiciones de TI deben realizarse después de un adecuado análisis y

tomando la decisión en base a criterios claros y transparentes. Debe existir un equilibrio

apropiado entre beneficios, oportunidades, coste y riesgos, tanto a corto como a largo plazo.

Rendimiento: Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel

de calidad requerido por la organización.

____________________________________________________________________________________________

Página xix


Conformidad: Las TI deben cumplir con todas las leyes y normativas y las políticas y los

procedimientos internos deben estar claramente definidos, implementados y apoyados.

Conducta humana: Las políticas y procedimientos establecidos deben incluir el máximo

respeto hacia la componente humana, incorporando todas las necesidades propias de las

personas que forman parte de los procesos de TI.

El modelo de gobierno de TI que muestra ISO/IEC 38500 da tres tareas principales para dar

dirección hacia y, controlar el desempeñó de los roles de gestión en la conducción de la

organización para la planificación, implementación y utilización operacional de TI.

Estas tres tareas son:

Evaluar: la utilización actual y futura de las TI.

Dirigir: la preparación e implementación de los planes y políticas que aseguren que la

utilización de las TI alcanzan los objetivos de negocio. Los planes deberían fijar el destino de

las inversiones en proyectos y operaciones de TI.

Las políticas deberían establecer el nivel de servicio en la utilización de las TI.

Controlar: mediante un adecuado sistema de medida, la adecuación a las políticas,

procedimientos y planes establecidos (tanto interna como externamente).

1.2.4 ISO 27000[10]

La serie de normas ISO/IEC 27000 son estándares de seguridad de la información, que

contiene las mejores prácticas de seguridad de información para desarrollar, implementar y

mantener un Sistema de Gestión de la Seguridad de la Información (SGSI), y especifica los

requerimientos para la implementación de controles de seguridad diseñados de acuerdo a las

necesidades específicas de una empresa o una parte de esta; por ende se tomo este estándar ya

que la seguridad de la información es uno de los objetivos principales que tienen las

organizaciones, por el valor que la información posee en estas, y este estándar ayuda a

entender el manejo de la información y como asegurar esta.

El Sistema de Gestión de la Seguridad de la Información (SGCI) está basado en el modelo

PDCA (Plan, Do, Check, Act) del cual se derivan las siguientes actividades:

1. Establecer el sistema.

2. Implementar y operar el sistema.

3. Mantener y mejorar el sistema.

____________________________________________________________________________________________

Página xx


4. Monitorear y revisar el sistema.

1.3. Análisis de modelos y/o estándares

Para establecer el modelo se realiza una comparación entre los modelos y estándares

explicados en la sección 2.1, en donde se tiene en cuenta los siguientes criterios de

comparación que se toman según las definiciones de Gobierno de TI, Riegos Operacionles

según lo que se está buscando en el modelo a desarrollar y pueden presentar información útil

para la creación de este y el cumplimiento de los objetivos del proyecto:

C1: Se contempla los objetivos estratégicos, visión y misión de la empresa alineados

con los riesgos de esta.

C2: Se siguiere una estimación de resultados que se logran después de la

implementación del modelo o estándar.

C3: Se manejan controles y métricas de TI.

C4: Se contemplan los ciclos de vida de las aplicaciones, sistemas y servicios de TI.

C5: Se contemplan ciclos de mejora continua.

C6: Se contemplan controles enfocados en seguridad de la información.

Luego de realizar una investigación acerca de cuatro modelos de gobierno de TI (Sección

2.1.) se tienen los resultados reflejados en el siguiente cuadro comparativo:

C1 C2 C3 C4 C5 C6

ITIL SI NO NO SI SI NO

COBIT 5 SI SI SI SI SI SI

ISO/IEC

38500:2008SI NO SI NO SI NO

ISO 27000 SI SI SI NO SI SI

Tabla 1. Comparación de modelos y estándares.

En conclusión, se considera que el estándar que mejor se acomoda al objetivo es COBIT, ya

que establece dentro de sus cuatro dominios los principios de alto nivel para el control de la

tecnología de información, definiendo objetivos de control y hace parte de las mejores

prácticas en un ambiente de control para tecnología de información.

____________________________________________________________________________________________

Página xxi


Por lo anterior, COBIT 5 es la base para la construcción del modelo.

1.4 Modelo base: COBIT 5 [9]

COBIT 5 proporciona un marco global que ayuda a las empresas a alcanzar sus objetivos para

el gobierno y la gestión de las TI, o sea que ayuda a las empresas a crear valor óptimo de la

misma por mantener un equilibrio entre la obtención de beneficios, la optimización de los

niveles de riesgo y el uso de los recursos; adicionalmente permite el desarrollo de las políticas

y buenas prácticas para el control de las tecnologías.

COBIT 5 ha integrado COBIT 4.1, Val IT 2.01 y Risk IT2 contenido en un modelo de

referencia de proceso, en donde reúne cinco principios que permiten a las empresas a

construir un gobierno efectivo y un marco de gestión basado en siete facilitadores que

optimizan la información y la inversión en tecnología y el uso para el beneficio de las partes

interesadas.

Ilustración1. Principios de COBIT (Basado en [9])

1 Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI

2 Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI.

____________________________________________________________________________________________

Página xxii

PRINCIPIOS

Entregar las necesidades a los interesados

Cubrir la empresa de extremo a extremo

Aplicar un marco único

intregado

Habilitar un enfoque holistico

Separar el gobierno de la

gestión


Los principios que maneja COBIT 5 son:

1. Entregar las necesidades a los interesados ("Meeting Stakeholder Needs"):

El sistema de gobierno debe considerar todas las partes interesadas en la toma de decisiones

de beneficios, recursos y evaluación de riesgos.

Ilustración 2. Necesidades de los Stakeholders COBIT (Basado en [9])

2. Cubrir la Empresa de extremo a extremo ("Covering the Enterprise End-to-End"):

Se refiere al gobierno y la gestión de las TI relacionada a un nivel corporativo, de extremo a

extremo.

3. Aplicar un marco único integrado ("Applying a Single Integrated Framework):

COBIT 5 se alinea con las normas y marcos utilizados por las empresas: COSO, COSO

ERM, ISO / IEC 9000, ISO / IEC 31000, ISO / IEC 38500, ITIL, ISO / IEC 27000 serie,

TOGAF, PMBOK/PRINCE2, CMMI.

4. Habilitar un enfoque holístico ("Enabling a Holistic Approach"):

COBIT 5 maneja la definición de facilitadores que son los factores que, individual y

colectivamente, influyen en el gobierno y la gestión en la empresa de TI.

____________________________________________________________________________________________

Página xxiii

Stakeholders

Beneficiar a la organización

Optimizar riesgos

Optimizar recursos


Ilustración 3. Facilitadores de COBIT (Basado en [9])

Estos facilitadores son:

Principios, políticas y marcos que son las formas para traducir el comportamiento

deseado en una guía práctica para la gestión del día a día.

Procesos que es un conjunto organizado de prácticas y actividades para lograr ciertos

objetivos y producir un conjunto de salidas en apoyo del logro de TI.

Estructura de la organización que es la clave de la toma de decisiones en las

entidades de una organización.

Cultura, ética y conducta de los individuos y de la organización, muy a menudo

subestimado como factor de éxito en las actividades de gobierno y gestión.

La información que es necesaria para mantener la organización funcionando, pero en

el plano operativo, la información es muy a menudo la clave del producto de la

propia empresa.

Servicios, infraestructura y aplicaciones, con la infraestructura, tecnología y

aplicaciones que proporcionan a la empresa con el procesamiento de tecnología de la

información y los servicios.

____________________________________________________________________________________________

Página xxiv

Facilitadores

Principios, politícas y

marcos.

Procesos

Estructura de la organización

Cultura, ética y conducta de los

individuosInformación

Servicios, infraestructura y aplicaciones

Personas, habilidades y competencias


Personas, habilidades y competencias, están relacionadas con las personas y son

necesarios para completar con éxito todas las actividades y de tomar decisiones

correctas y tomar las acciones correctivas.

5. Separar el gobierno de la gestión ("Separating Governance from Management"):

El marco de COBIT 5 hace una clara distinción entre el gobierno y la gestión.

En donde el gobierno es la responsabilidad del consejo de administración bajo el liderazgo

del presidente, mientras que la gestión es responsabilidad de la dirección ejecutiva.

Adicionalmente el gobierno contiene cinco procesos que son:

Asegurar el establecimiento y mantenimiento del marco de gobierno de TI.

Asegurar la entrega de beneficios.

Asegurar la optimización de riesgos.

Asegurar la optimización de recursos.

Asegurar la transparencia de las partes interesadas.

Y en estos procesos se debe evaluar, dirigir y supervisar (EDM).

En cambio la gestión se basa en las áreas de planificar, construir, ejecutar y supervisar

(PBRM).

2 Riesgos2.1 Definiciones

Existen diversas definiciones de riesgo como:

“Efecto de la incertidumbre en los objetivos” [11], en donde el efecto lo toman como

una desviación de lo esperado ya sea positivo o negativo y la incertidumbre es el

estado (total o parcial) de deficiencia de la información en relación al entendimiento

o conocimiento de un evento, su consecuencia o su probabilidad. En donde el riesgo

es casi siempre caracterizado en referencia a potenciales eventos y sus consecuencias

o por una combinación de éstas; y es casi siempre expresado en términos de una

combinación de las consecuencias de un evento (incluyendo cambio en

circunstancias) y probabilidad asociada de ocurrencia.

____________________________________________________________________________________________

Página xxv


“La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance

de los objetivos. El riesgo en términos de una combinación de un evento o

circunstancia y su probabilidad”[12].

“Combinación de la Probabilidad de un Evento y su Consecuencia siempre y

cuando exista la posibilidad de pérdidas.

RIESGO(E) = Probabilidad(E) x Consecuencia(E)” en donde (E) hace referencia a

los evento siendo una ocurrencia o un cambio de un grupo particular de

circunstancias; este puede tener una o más ocurrencias y puede tener varias causas,

además algunas veces puede ser referido como “incidente” o “accidente”1.

2.2. Tipos de Riesgos

2.2.1 Riesgo Legal[13]

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a

indemnizar daños como resultado del incumplimiento de normas o regulaciones y

obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones,

derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la

formalización o ejecución de contratos o transacciones.

2.2.3 Riesgo Reputacional [13]

Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen,

publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que

cause pérdida de clientes, disminución de ingresos o procesos judiciales.

2.2.4 Riesgo Operativo [13]

Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el

recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de

acontecimientos externos.

____________________________________________________________________________________________

Página xxvi


2.2.5 Riesgo Financiero [13]

El riesgo financiero se refiere a la probabilidad de ocurrencia de un evento que tenga

consecuencias financieras negativas para una organización, incluyendo la posibilidad de que

los resultados financieros sean mayores o menores de los esperados. De hecho, tenida la

posibilidad de que los inversores realicen apuestas financieras en contra del mercado,

movimientos de éstos en una u otra dirección pueden generar tanto ganancias o pérdidas en

función de la estrategia de inversión.

2.3 Gestión de riesgos

Una gestión de riesgos eficiente se puede volver en grandes beneficios económicos para las

empresas, constituyéndose en una herramienta clave para la toma de decisiones, aportando

cada vez más al cumplimiento de los objetivos estratégicos y metas previstas, tomando la

gestión de riesgos como la identificación, evaluación y priorización del riesgo junto con las

acciones para transformar el riesgo, controlando la probabilidad y mitigando el impacto de

los eventos generadores de riesgo.

Una gestión del riesgo debe incluir los siguientes elementos:

1. Identificar, caracterizar y evaluar eventos generadores de riesgo.

2. Evaluar la vulnerabilidad de los activos críticos ante amenazas específicas.

3. Determinar el riesgo: la probabilidad de ocurrencia y la consecuencia de eventos.

4. Identificar maneras de reducir, evitar o transferir los riesgos.

5. Priorizar las acciones basadas en una estrategia de principios y políticas de la gestión del

riesgo.

En las políticas de la gestión de riesgos se debe:

Fijar criterios para el diseño del programa de manejo de los riesgos (apetito, tolerancia de

riesgo)

Incluir niveles de responsabilidad y deberes.

Establecer la cultura de control interno con base al riesgo.

Establece el rol de la auditoría interna.

Establecer un proceso efectivo de información y reporte interno.

Por ende para las empresas teniendo una gestión de riesgos tiene como ventajas:

Aumentar el valor de la organización.

____________________________________________________________________________________________

Página xxvii


Asegurar que todos los riesgos estén manejados en línea con la estrategia de la empresa.

Evitar duplicidad de costos: Optimización del costo de riesgo.

Se generan potenciales fuentes alternas de financiamiento de pérdidas por el efecto

“balance” entre diferentes tipos de riesgos (visión de portafolio)

Se asegura que se estén manejando todas las fuentes de riesgo al eliminarse el efecto

“borde” (separación entre silos).

2.4 Modelos y/o estándares

2.4.1 Estándares internacionales

2.4.1.1 Norma australiana neozelandesa AS/NZ 4360 [12]

Este estándar provee una guía genérica para el establecimiento e implementación el proceso

de gestión de riesgos involucrando el establecimiento del contexto y la identificación,

análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos.

(Figura1).

____________________________________________________________________________________________

Página xxviii

Com

unicar y consultar

Monitorear y revisar

Establecer el contextoEl contexto estratégico.

El contexto organizacional.El contexto administración de riesgos.

Desarrollar criterios.Decidir la estructura.

Identificar riesgos¿Qué puede suceder?.

¿Cómo puede suceder?.

Analizar riesgosDeterminar controles existentes

DeterminarProbabilidades

DeterminarConsecuencias

Estimar nivel del riesgo

Evaluar riesgosComparar contra criterios.

Establecer prioridades de riesgos.

¿Se aceptan los riesgos?

Tratar riesgosIdentificar opciones de tratamiento.

Evaluar opciones de tratamiento.Seleccionar opciones de tratamiento.

Preparar planes de tratamiento.Implementar planes.


Ilustración 4. Proceso gestión de riesgos – Basado en AS/NZ 4360.[12]

____________________________________________________________________________________________

Página xxix


2.4.1.2 ISO 31000:2009 – Risk Management – Principle and guidelines [14]

Este estándar establece los siguientes principios para hacer una gestión de riesgos eficaz:

a. Crea valor.

b. Está integrada en los procesos de la organización.

c. Forma parte de la toma de decisiones.

d. Trata explícitamente la incertidumbre.

e. Es sistemática, estructurada y adecuada.

f. Está basada en la mejor información disponible.

g. Está hecha a medida.

h. Tiene en cuenta factores humanos y culturales.

i. Es transparente e inclusiva.

j. Es dinámica, iterativa y sensible al cambio.

k. Facilita la mejora continua de la organización.

Adicionalmente recomienda que las empresas desarrollen, implementen y mejoren

continuamente un marco de trabajo o estructura de soporte cuyo objetivo es integrar el

proceso de gestión de riesgos en el gobierno corporativo de las empresas, planificación y

estrategia, gestión, procesos de información, políticas, valores y cultura.

2.4.1.3 COSO II – Enterprise Risk Management Integrated Framework (The

Committee of Sponsoring Organizations of the Treadway Commission) [15]

Proporciona los siguientes componentes para la gestión de riesgos:

1. Ambiente interno.

a. Filosofía de la gestión de riesgo.

b. Cultura de riesgo.

c. Consejo de administración/Dirección.

d. Integridad y valores éticos.

e. Compromiso de competencia.

f. Estructura organizativa.

g. Asignación de autoridad y responsabilidad.

h. Políticas y prácticas en materia de recursos humanos.

2. Establecimiento de objetivos.

____________________________________________________________________________________________

Página xxx


a. Objetivos estratégicos.

b. Objetivos relacionados.

c. Objetivos seleccionados.

d. Riesgo aceptado.

e. Tolerancia al riesgo.

3. Identificación de acontecimientos.

a. Acontecimientos.

b. Factores de influencia estratégica y de objetivos.

c. Acontecimientos interdependientes.

d. Categorías de acontecimientos.

e. Riesgos y oportunidades.

4. Evaluación de riesgos.

a. Riesgo inherente y residual.

b. Probabilidad e impacto.

c. Fuentes de datos.

d. Técnicas de evaluación.

e. Correlación entre acontecimientos.

5. Respuesta a los riesgos.

a. Evaluación de posibles respuestas.

b. Selección de respuestas.

c. Perspectiva de cartera.

6. Actividades de control.

a. Integración de la respuesta al riesgo.

7. Información y comunicación.

8. Supervisión.

____________________________________________________________________________________________

Página xxxi


2.4.2 Normatividad colombiana

2.4.2.2 NTC 5254 [16]

Esta norma técnica colombiana está basada en la norma australiana neozelandesa AS/NZ

4360 (ver sección 1.1.1) en donde también se maneja como una guía genérica para el

establecimiento e implementación del proceso de gestión de riesgos involucrando el

establecimiento del contexto y la identificación, análisis, evaluación, tratamiento,

comunicación y el monitoreo en curso de los riesgos.

2.4.2.3 Ley 1150 de 2007 [17]

Esta ley tiene como objeto: “introducir modificaciones en la Ley 80 de 1993, así como dictar

otras disposiciones generales aplicables a toda contratación con recursos públicos.”[17]

En donde en el “ARTÍCULO 4o. DE LA DISTRIBUCIÓN DE RIESGOS EN LOS

CONTRATOS ESTATALES. Los pliegos de condiciones o sus equivalentes deberán incluir

la estimación, tipificación y asignación de los riesgos previsibles involucrados en la

contratación.

En las licitaciones públicas, los pliegos de condiciones de las entidades estatales deberán

señalar el momento en el que, con anterioridad a la presentación de las ofertas, los oferentes y

la entidad revisarán la asignación de riesgos con el fin de establecer su distribución

definitiva.” [17]. Se especifica la distribución de riesgos en los procesos de contratación

estatal.

2.4.2.4 Ley 87 de 1993 [18]

Esta ley tiene como objeto: “establecer normas para el ejercicio del control interno en las

entidades y organismos del Estado”[18]; en donde en el Artículo 2° se especifica los

objetivos del sistema de control interno y entre estos se expresan: “a) Proteger los recursos de

la organización, buscando su adecuada administración ante posibles riesgos que los afecten.

(…) f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones

que se presenten en la organización y que puedan afectar el logro de sus objetivos”[18].

2.4.2.5 Decreto 423 de 2001 [19]

En este decreto se estipula como dice el artículo 7° que: “los organismos sometidos al

Régimen de Contingencias de las Entidades Estatales deberán manejar a través del Fondo de

____________________________________________________________________________________________

Página xxxii


Contingencias Contractuales de las Entidades Estatales, la totalidad de los recursos que

apropien en sus presupuestos, para el cumplimiento de obligaciones contingentes

contractuales derivadas de los riesgos comprendidos dentro del Área de Riesgos”[19].

Adicionalmente en el artículo 45 establece que: “La Dirección General de Crédito Público del

Ministerio de Hacienda y Crédito Público, determinará cuáles de los riesgos certificados por

la dependencia de Planeación respectiva, deben ser atendidos con los recursos del Fondo de

Contingencias Contractuales de las Entidades Estatales, para lo cual establecerá un área de

riesgos a partir de dos variables que se tomarán como coordenadas para determinarla, a saber:

1. El valor del pago como porcentaje del proyecto; y,

2. La probabilidad de ocurrencia de la contingencia.”[19]

2.3.2.5 Ley 872 de 2003, Decreto 4110 de 2004 y Decreto 4485 de 2009 [18]

Esta ley tiene como fin dar las pautas para la creación del sistema de gestión de calidad para

las entidades descritas en el artículo 2, y debe tener como requisitos en su implementación:

“identificar y diseñar, con la participación de los servidores públicos que intervienen en cada

uno de los procesos y actividades, los puntos de control sobre los riesgos de mayor

probabilidad de ocurrencia o que generen un impacto considerable en la satisfacción de las

necesidades y expectativas de calidad de los usuarios o destinatario, en las materias y

funciones que le competen a cada entidad.”[20] Y se complementa con el decreto 4410 de

2004 en donde se presenta la creación del sistema de gestión en el numeral 4 y con el Decreto

4485 de 2009 que expone la actualización de la Norma Técnica de Calidad en la Gestión

Pública NTCGP 1000:2004.

2.3.2.6 CONPES 3107 y 3133 de 2001 [21, 22]

Estos documentos: “someten a consideración del Consejo Nacional de Política Económica y

Social – CONPES- los lineamientos de Política de Riesgo Contractual del Estado para

proyectos de participación privada en infraestructura, en los sectores de: (1) transporte, (2)

energía, (3) comunicaciones, y (4) agua potable y saneamiento básico, de acuerdo con lo

establecido en la sección II del decreto 423 de 2001”[21].

____________________________________________________________________________________________

Página xxxiii


3 Riesgo Operativo3.1 Brasilea II [23]

Una clara muestra de la importancia que ha cobrado el tema de riesgos operacionales a nivel

internacional es el Acuerdo de Capitales de Basilea II, en éste se oficializó mundialmente el

riesgo operacional así como sus metodologías de medición,

Definiendo el riesgo operacional como: “El riesgo de pérdida resultante por fallas en los

procesos internos, humanos y de los sistemas o por eventos externos. Esta definición incluye

el riesgo legal, dejando por fuera los riesgos estratégico y reputacional”.

Estableciendo las siguientes metodologías de medición para el cálculo de los requerimientos

de capital por riesgo operacional:

Método del Indicador Básico: las entidades que implementen este modelo deberán cubrir el

riesgo operacional con un capital equivalente a un porcentaje fijo (α=15%) multiplicado por

el promedio del ingreso bruto positivo de los últimos tres años.

Método Estándar: de acuerdo con esta metodología, las diferentes actividades de las

entidades financieras se deben asociar a las líneas de negocio y porcentaje fijo (Tabla 1)

establecido por Basilea II multiplicado por el promedio del ingreso bruto positivo de los

últimos tres años.

Línea de negocio Porcentaje fijo

Finanzas corporativas 18%

Negociación y ventas 18%

Banca minorista 12%

Banca comercial 15%

Liquidación y pagos 18%

Servicios de agencia 15%

Administración de activos 12%

Intermediación minorista 12%

Tabla 2. Líneas de negocio y porcentajes.

Métodos de Medición Avanzada (AMA): según esta metodología, cada entidad desarrolla

su propio modelo interno, el cual debe ser aprobado por el organismo supervisor

correspondiente.

____________________________________________________________________________________________

Página xxxiv


3.2 Circular Externa 041 de 2007 [13]

Según lo establecido en esta circular, todas las entidades vigiladas por la Superintendencia

Financiera de Colombia deben identificar, medir, controlar y monitorear eficazmente los

riesgos dentro de su organización, de acuerdo a las pautas y normas establecidas, por ende,

dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de

Administración de Riesgo Operativo (SARO)3, acorde con su estructura, tamaño, objeto

social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros.

Tomando como definición de riesgo operativo como: la posibilidad de incurrir en pérdidas

por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la

infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el

riesgo legal y reputacional, asociados a tales factores.

Adicionalmente maneja la siguiente clasificación de los riesgos operativos:

1. Fraude interno.

2. Fraude externo.

3. Relaciones laborales.

4. Clientes.

5. Daños a activos físicos.

6. Fallas tecnológicas.

7. Ejecución y administración de procesos.

2.2.1 Etapas de la Administración del Riesgo Operativo

2.2.1.1 Identificación

En esta etapa se debe realizar los siguientes pasos:

a) Identificar y documentar la totalidad de los procesos.

b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el

fin de determinar los eventos de riesgo operativo.

3Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

____________________________________________________________________________________________

Página xxxv


c) Identificar los eventos de riesgo operativo, potenciales y ocurridos, en cada uno de

los procesos.

d) La etapa de identificación debe realizarse previamente a la implementación o

modificación de cualquier proceso. Así mismo, deberá adelantarse con anterioridad a

la realización de operaciones de fusión, adquisición, cesión de activos, pasivos y

contratos, entre otros.

2.2.1.2 Medición

Puede realizarse de forma cualitativa o cuantitativa cuando se cuente con datos históricos de

al menos un año y debe realizarse los siguientes pasos:

a) Establecer la metodología de medición individual y consolidada susceptible de

aplicarse a los riesgos operativos identificados. La metodología debe ser aplicable

tanto a la probabilidad de ocurrencia como al impacto.

b) Aplicar la metodología establecida para lograr una medición de la probabilidad de

ocurrencia y del impacto de los riesgos operativos, en la totalidad de los procesos de

la entidad, conforme a la clasificación de los riesgos operativos.

c) Determinar el perfil de riesgo inherente de la entidad.

2.2.1.3 Control


a) Establecer la metodología con base en la cual se definan las medidas de control de los

eventos de riesgo operativo.

b) De acuerdo con la metodología establecida implementar las medidas de control sobre

cada uno de los riesgos operativos.

c) Determinar las medidas que permitan asegurar la continuidad del negocio.

d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.

2.2.1.4 Monitoreo


a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y

corrección de las deficiencias en su SARO. Dicho seguimiento debe tener una

periodicidad acorde con los riesgos operativos potenciales y ocurridos, así como con

la frecuencia y naturaleza de los cambios en el entorno operativo. En cualquier caso,

el seguimiento debe realizarse con una periodicidad mínima semestral.

____________________________________________________________________________________________

Página xxxvi


b) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales

riesgos operativos.

c) Asegurar que los controles estén funcionando en forma oportuna, efectiva y

eficiente.

d) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación

establecidos por la entidad.

2.2.2 Elementos del SARO

2.2.2.1 Políticas

Las entidades deben cumplir con los siguientes requisitos:

a) Impulsar a nivel institucional la cultura en materia de riesgo operativo.

b) Establecer el deber de los órganos de administración, de control y de sus demás

funcionarios, de asegurar el cumplimiento de las normas internas y externas

relacionadas con la administración del riesgo operativo.

c) Permitir la prevención y resolución de conflictos de interés en la recolección de

información en las diferentes etapas del SARO, especialmente para el registro de

eventos de riesgo operativo.

d) Permitir la identificación de los cambios en los controles y en el perfil de riesgo.

e) Desarrollar e implementar planes de continuidad del negocio.

2.2.2.2 Procedimientos


a) Instrumentar las diferentes etapas y elementos del SARO.

b) Identificar los cambios y la evolución de los controles, así como del perfil de riesgo.

c) Adoptar las medidas por el incumplimiento del SARO.

2.2.2.3 Documentación


a) Manual de Riesgo Operativo.

a. Las políticas para la administración del riesgo operativo.

b. La estructura organizacional del SARO.

c. Los roles y responsabilidades de quienes participan en la administración del

riesgo operativo.

____________________________________________________________________________________________

Página xxxvii


d. Las medidas necesarias para asegurar el cumplimiento de las políticas y

objetivos del SARO.

e. Los procedimientos y metodologías para identificar, medir, controlar y

monitorear los riesgos operativos y su nivel de aceptación.

f. Los procedimientos y metodologías para implementar y mantener el registro

de eventos.

g. Los procedimientos que deben implementar los órganos de control frente al

SARO.

h. Las estrategias de capacitación del SARO y

i. Las estrategias de divulgación del SARO.

b) Los documentos y registros que evidencien la operación efectiva del SARO.

c) Los informes de la Junta Directiva, el Representante Legal y los órganos de control.

2.2.2.4 Estructura organizacional

2.2.2.4.1 Junta Directiva u órgano que haga sus veces

Tienen como función:

a) Establecer las políticas relativas al SARO.

b) Aprobar el Manual de Riesgo Operativo y sus actualizaciones.

c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad.

d) Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el

nivel de tolerancia al riesgo de la entidad, fijado por la misma junta directiva.

e) Pronunciarse respecto de cada uno de los puntos que contengan los informes

periódicos que presente el Representante Legal.

f) Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de

control.

g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de

forma efectiva y eficiente, el SARO.

2.2.2.4.2 Representante legal

Tiene como función:

a) Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el

Manual de Riesgo Operativo y sus actualizaciones.

____________________________________________________________________________________________

Página xxxviii


b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta

Directiva.

c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del

SARO.

d) Designar el área o cargo que actuará como responsable de la implementación y

seguimiento del SARO – (Unidad de Riesgo Operativo).

e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el

cambio cultural que la administración de este riesgo implica para la entidad.

f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de

tolerancia al riesgo, fijado por la Junta Directiva.

g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y

medido.

h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo.

i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las

disposiciones señaladas en la Circular Externa 041 de 2007.

j) Velar porque se implementen los procedimientos para la adecuada administración del

riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad.

k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los

recursos necesarios para su oportuna ejecución.

l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la

evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones

preventivas y correctivas implementadas o por implementar y el área responsable.

m) Establecer un procedimiento para alimentar el registro de eventos de riesgo

operativo.

n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de

integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y

confidencialidad de la información allí contenida.

2.2.2.4.3 La Unidad de Riesgo Operativo

Tiene como función:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad

administre efectivamente sus riesgos operativos, en concordancia con los

____________________________________________________________________________________________

Página xxxix


lineamientos, etapas y elementos.

b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo

operativo de la entidad.

c) Administrar el registro de eventos de riesgo operativo.

d) Coordinar la recolección de la información para alimentar el registro de eventos de

riesgo operativo.

e) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los

riesgos operativos medidos.

f) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano

correspondiente.

g) Realizar el seguimiento permanente de los procedimientos y planes de acción

relacionados con el SARO y proponer sus correspondientes actualizaciones y

modificaciones.

h) Desarrollar los modelos de medición del riesgo operativo.

i) Desarrollar los programas de capacitación de la entidad relacionados con el SARO.

j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el

propósito de evaluar su efectividad.

k) Reportar semestralmente al Representante Legal la evolución del riesgo, los controles

implementados y el monitoreo que se realice sobre el mismo.

2.2.2.5 Registro de eventos de riesgo operativo

Se debe tener en cuenta las siguientes características:

a) Cada entidad debe tener su propio y único registro de eventos de riesgo operativo. La

entidad con matriz internacional debe tener disponible y centralizada en Colombia, la

información relacionada con los eventos de riesgo operativo locales.

b) Comprender la totalidad de los eventos de riesgo operativo.

c) Contener los siguientes campos mínimos, que corresponden a la información de los

eventos de riesgo operativo:

a. Referencia.

b. Fecha de inicio del evento.

c. Fecha de finalización del evento.

d. Fecha del descubrimiento.

____________________________________________________________________________________________

Página xl


e. Fecha de contabilización.

f. Divisa.

g. Cuantía.

h. Cuantía total recuperada.

i. Cuantía recuperada por seguros.

j. Clase de riesgo operativo.

k. Producto/servicio afectado.

l. Cuentas PUC afectadas.

m. Proceso.

n. Tipo de pérdida.

o. Descripción del evento.

p. Líneas operativas.

2.2.2.6 Otros

Adicionalmente se debe contar con:

a) Órganos de control: los cuales deben ser la Revisoría Fiscal y Auditoría Interna.

b) Plataforma tecnológica.

c) Divulgación de la información: de forma interna, externa y la revelación contable

cuando afectan el estado de resultados.

d) Capacitación a todas las áreas y funcionarios.

II – DESARROLLO DEL TRABAJO

____________________________________________________________________________________________

Página xli


Este modelo fue pensado para asociar los riesgos operacionales con los objetivos de negocio

de TI de las empresas, en los cuales comprende:

Identificar los riesgos operacionales.

Impacto y probabilidad de los riesgos operacionales, presentada en forma de una

matriz de riesgos.

Escenarios de riesgos asociados a estos riesgos.

Asociación de escenarios de los riesgos con los procesos de COBIT 5.

Identificar los objetivos de TI.

Cuantificar la probabilidad de ocurrencia.

El proceso que se realizo para definir el modelo, fue inicialmente realizar una revisión

bibliográfica sobre los temas base del proyecto, los cuales son:

Gobierno de TI

Riesgos Operacionales

A partir de la revisión de esto se realiza la construcción del marco teórico, en donde se realiza

la elección de los estándares a tomar para la definición del modelo, en donde la mayor parte

esta basado en el modelo COBIT, ya que este tiene una estructura basada en gobierno de Ti y

tiene una parte definida para riesgos, entonces tiene un enfoque inicial para la creación del

modelo.

Aunque COBIT es el estándar base del proyecto se realiza una administración de la

información en donde, teniendo como estructura base COBIT se comienza a relacionar con

otros estándares y/o modelos como el Balanced Score Card para la decisión de los procesos

que se van a realizar en el modelo los cuales son alineación, planeación y organización, ISO

27000 como una parte de apoyo para la identificación de amenazas y vulnerabilidades

respecto a la información, siendo este uno de los recursos más importantes de las

organizaciones.

Con base de lo anterior se estructuro un modelo el cual esta creado en una serie de eventos

que se encuentran en la parte central representados en el cilindro y la relación de estos se

encuentra detallada en cada cara del cubo, esto con el fin de poder ver detalladamente el

proceso e irlos relacionado; como se puede apreciar en los siguientes gráficos.

____________________________________________________________________________________________

Página xlii


Ilustración 5. Estructura del modelo – Cilindro central

Ilustración 6. Estructura del modelo 1

____________________________________________________________________________________________

Página xliii


Ilustración 7. Estructura del modelo 2

A continuación se procede a detallar la estructura del modelo por caras para llegar a la

formación total del cilindro en donde se contiene todo la estructura del modelo.

1. Cara 1: Riesgos operacionales y mapa de riesgos

Esta cara del modelo de gestión del riesgo busca determinar el estado actual de la empresa.

Éste debe ser medido con respecto a su ambiente de control y gestión de los riesgos

operacionales relacionados.

Es importante tener en cuenta que para tener éxito en la construcción del modelo, todas las

partes interesadas (stakeholders) deben brindar un completo apoyo y deben estar

comprometidos con la búsqueda de los objetivos.

La gestión de riesgos operacionales no debe ser considerada una función netamente técnica,

pues es esencial para cumplir la misión, visión y objetivos estratégicos de una compañía que

____________________________________________________________________________________________

Página xliv


soporte sus principales procesos de TI.

El apoyo de los stakeholders incentiva un ambiente de compromiso por parte de los

empleados de la compañía para el cumplimiento de las metas propuestas. Así mismo ayuda

en la concientización asociada a la importancia de los riesgos operacionales que se generan

en esta.

Para esta primera cara, se identifican los siguientes pasos:

Identificación de amenazas/vulnerabilidades de los procesos críticos del negocio

enmarcándolos en la consecución de los objetivos estratégicos.

Identificar el nivel de impacto y probabilidad de las amenazas y vulnerabilidades.

Identificación del riesgo inherente.

Relación del riesgo inherente con la matriz de riesgos.

Ilustración 8. Pasos de la Cara 1.

ISACA define los procesos de negocio como el mecanismo de la organización para crear y

dar valor a sus stakeholders. Las entradas, el procesamiento y las salidas son resultado de su

ejecución. Estos procesos se automatizan e integran cada vez más con sistemas más

____________________________________________________________________________________________

Página xlv


complejos y eficientes, para así satisfacer algunas necesidades funcionales de las compañías.

[24]

Por lo anterior, es importante que la empresa tenga identificados y documentados sus

procesos de negocio. Esa información será clave para identificar los procesos que se

analizarán.

Para realizar la identificación de riesgos operacionales, se ejecutan las siguientes actividades:

Conocer los procesos.

Identificar la información necesaria para el desarrollo del proceso y la información

generada por las actividades que componen el proceso.

Identificar los riesgos operacionales sobre estos procesos en donde se deben

enmarcar los siguientes aspectos:

o Recursos Humanos.

o Tecnología.

o Infraestructura.

o Acontecimientos externos.

Para la identificación de riesgos se pueden manejar diferentes métodos como:

Resultados de procesos.

Uso de las bases de conocimiento publicadas en Internet o en otros medios.

Resultados de la ejecución previa de pruebas de seguridad de los sistemas.

Sucesos o acontecimientos que la empresa ya haya tenido.

A continuación se siguiere un grupo de 75 amenazas/vulnerabilidades para los riesgos

operacionales construido por el autor, el cual se realizo por medio de análisis de diferentes

estándares y modelos investigados, en donde se identificaban estos posibles casos que se

pueden presentar en una organización:

____________________________________________________________________________________________

Página xlvi


Riesgos Operacionales

Administración inadecuada de incidentes Falta de políticas y procedimientos de control de cambios en configuraciones

Administración inadecuada de la red Falta de procedimientos de actualización de software base

Comunicaciones sin cifrado Falta de procedimientos de monitoreo de hardware

Configuración o mantenimiento incorrecto de seguridad de aplicativos

Falta de procedimientos de planeación de la capacidad del hardware

Configuración o mantenimiento incorrecto de seguridad del sistema operativo

Falta de protección ambiental

Falta de segmentación lógica o física de la red Falta de restricciones para acceso remoto

Control inapropiado de distribución de software

Falta de segregación entre programadores y operadores

Copias no controladas de datos y software Falta de seguridad física

Copias no restringidas de software Falta de seguridad física de los dispositivos de comunicaciones y cableado

Despliegue de información que pueda facilitar una conexión remota no autorizada

Falta de software de detección de intrusos

Educación inadecuada sobre código malicioso

Falta de un procedimiento de administración de privilegios de acceso

Entrenamiento insuficiente en seguridad Falta de un procedimiento de registro y autorización de salida de equipos

Especificaciones incompletas o confusas Falta de una política de uso de software licenciado

Estándares inadecuados de desarrollo de software

Falta de una política que establezca que no se debe suministrar información a terceros hasta no verificar la identidad y autoridad del solicitante

Existencia de materiales inflamables Falta de una política que prohíba el suministro de información telefónicamente

Explotación de debilidades de seguridad del sistema operativo por no tener la última versión / actualización

Falta de uso de firmas digitales

Falta de capacidad de la red Imposibilidad de probar el envío o recepción de un mensaje

Falta de comunicación entre recursos humanos / interventores de contratos y Seguridad Informática para reportar oportunamente las novedades de personal

No disponibilidad de backups de información electrónica o sistemas de backup

____________________________________________________________________________________________

Página xlvii


Falta de conciencia en seguridad Localización en área susceptible a terremotosFalta de control sobre las descargas de software de Internet Localización en áreas contaminadas

Falta de controles de identificación y autenticación

Localización en áreas susceptibles a estas condiciones

Falta de controles para identificar y autenticar al emisor o receptor de un mensaje

Localización en áreas susceptibles a inundación

Falta de documentación de procedimientos (uso y operación) Localización en áreas susceptibles a tormentas

Falta de esquema de firewall Localización en áreas susceptibles al fuegoFalta de firmas digitales en procesos de desembolso de dinero

Monitoreo inadecuado de condiciones ambientales

No está definido un plan de continuidad o de recuperación de información o de activos de información

No existen sistemas UPS

Falta de herramientas de software de control de cambios No existen sistemas de regulación

Falta de instalaciones, equipos o procesos de respaldo

No existen sistemas o mecanismos de detección / extinción de fuego

Falta de mantenimiento de equipos e instalaciones No hay backup para personal clave

Uso de módems sin restricción al interior de la red

No hay procedimientos o mecanismos de actualización del software antivirus

Falta de mecanismos de identificación / autenticación confiables

No hay software de detección de virus instalado en los equipos

Falta de planeación de sucesión de roles y responsabilidades Passwords no protegidos (lógica o físicamente)

Falta de planeación en capacidad o cambios en la red Personal sin las habilidades requeridas

Falta de políticas de uso de e-mail Procedimientos de personal no documentadosFalta de políticas en el uso de medios removibles de almacenamiento

Procedimientos inadecuados en el Ciclo de Desarrollo del software

Falta de políticas respecto al uso de módems y acceso telefónico a la red

Reporte y manejo inadecuado de fallas en la funcionalidad del sistema

Falta de políticas y procedimientos de control de cambios Supervisión inadecuada de los programadores

Falta de auditoría a la instalación de software en los equipos de la organización

Tabla 3 Listado de Amenazas/Vulnerabilidades.

Con base en las amenazas/vulnerabilidades de los riesgos operacionales identificados, es

posible proceder a identificar aquellos de mayor criticidad al interior de los proceso y los

____________________________________________________________________________________________

Página xlviii


niveles de riesgo inherente a los cuales se expone cada uno, en donde se busca determinar

cualitativamente el nivel de impacto de un riesgo al momento de materializarse, con base en

una identificación del nivel de impacto del riesgos sobre los procesos y los objetivos de la

compañía.

El nivel de impacto adverso de un evento se puede describir en términos de la pérdida o

degradación.

Durante la identificación se califica el nivel de impacto en una escala de uno (1) a cinco (5).

En la siguiente tabla se explica la escala:

Escala Significado1 Insignificante2 Menor3 Moderado4 Mayor5 Catastrofico

Tabla 4. Escala de nivel de impacto.

Esta escala numérica se establece ya que el proceso de calificación es más intuitivo que usar

una escala de otro tipo porque se disminuyen los niveles de ambigüedad.

Ademas del nivel de impacto se clasificara el nivel de probabilidad de ocurrencia del riesgos,

en otras palabras que tan probable es que suceda el evento, en donde se manejara una escala

de uno (1) a cinco (5). En la siguiente tabla se explica la escala:

Escala Significado1 Raro2 Improbable3 Posible4 Muy Probable5 Casi Certeza

Tabla 5. Escala de nivel de probabilidad de ocurrencia.

En donde al final tendramos una tabla con las siguientes caracterisitcas:

____________________________________________________________________________________________

Página xlix


RIESGOS OPERACIONALES Nivel de Impacto Nivel de Probabilidad

Recursos Humanos. Riesgo 1 2 5Tecnología. Risgos 2 3 2

Infraestructura. … … …Acontecimientos

externos. Riesgo n 1 4

Tabla 6. Riesgos operacionales, nivel de impacto y nivel de probabilidad.

De igual forma para las amenazas/vulnerabilidades del modelo se sugiere inicialmente solo el

evento pero para que sean más completos y la información sea más confiable, verídica y al

final con esta información se pueda realizar un análisis de riesgos más completo por parte de

la empresa, se puede agregar componentes como

Actores: son lo que generan la amenaza/vulnerabilidad que pueden ser internos o externos y

pueden ser humano o no humano.

Tipo de amenaza: Que se puede clasificar en malicioso, accidental, fracaso de un proceso o

evento natural.

Tiempo: En este componente se pueden tener en cuenta diferentes puntos de vista con el

tiempo como:

Cuánto tiempo puede transcurrir desde que ocurre el evento hasta que se genere

consecuencias por este.

En qué momentos la generación de este evento puede volverse crítico, por ejemplo que se

vaya la luz en un momento en que se está realizando un procedimiento importante en la

empresa o cierre.

El tiempo de duración del evento.

____________________________________________________________________________________________

Página l


Por último en esta cara es definir el apetito del riesgo por medio de la matriz de riesgos; en

donde el apetito es la cantidad de riesgo que la empresa está dispuesta a aceptar y a partir de

esto decidir si lo asume, reduce, evita, comparte o transfiere.

Para este trabajo se suguiere la siguiente matriz de riesgo la cual el riesgo inherente es

calculado con la multiplicación del nivel de impacto y nivel de probabilidad de las

amenzas/vulnerabilidades identificadas anteriormente y según estos nos genera la

información del apetiro del riesgo a partir de cómo la empresa los haya definido.

En esta matriz de riesgos sugerida se encuentra enfocada en cuatro colores:

• Rojo: indica que el riesgo es inaceptable y podría desencadenar en una respuesta

negativa hacia la empresa.

• Amarillo: indica que el riesgo es elevado, está por encima de la aceptación del riesgo,

pero la organización podría aceptarlo en un caso dado y requiere una acción rápida para que

no se llegue a volver un riesgo extremo e inaceptable.

____________________________________________________________________________________________

Página li


• Verde: indica que el riesgo es aceptable y no necesita una acción rápida pero se debe

realizar seguimiento y monitoreo para que no vaya a subir su nivel.

• Azul: indica que el riesgo es muy bajo y no se necesita acciones y se puede dar

prioridad a otros riesgos con nivel de apetito más alto.

Por esto es importante enfocar el esfuerzo en representar los riesgos que presenta un mayor

impacto y probabilidad para la organización.

La matriz de riesgos que se suguiere se presenta a continuación:

MATRIZ DE RIESGOSPROBABILIDAD VALOR ZONAS DE RIESGO

Casi Certeza 5

5Zona de Riesgo

AltaReducir, evitar,

compartir o transferir el riesgo

10Zona de Riesgo



15Zona de Riesgo

ExtremaEvitar, reducir,

compartir o transferir el

riesgo

20Zona de Riesgo


compartir o

transferir el riesgo

25Zona de Riesgo



Muy Probable 4

4Zona de Riesgo

ModeradoAsumir o reducir el

riesgo

8Zona de Riesgo



12Zona de

Riesgo AltaReducir, evitar,

compartir o transferir el

riesgo

16Zona de Riesgo


compartir o


20Zona de Riesgo



Posible 3 3Zona de Riesgo

BajaAsumir el riesgo

6Zona de Riesgo


9Zona de

Riesgo AltaReducir, evitar,

compartir o

12Zona de Riesgo


15Zona de Riesgo



____________________________________________________________________________________________

Página lii


riesgo transferir el riesgo

compartir o


Improbable 2

2Zona de Riesgo

BajaAsumir el Riesgo

4Zona de Riesgo Baja

Asumir el riesgo

6Zona de Riesgo


riesgo

8Zona de Riesgo


compartir o


10Zona de Riesgo



Raro 1

1Zona de Riesgo

BajaAsumir el Riesgo

2Zona de Riesgo Baja

Asumir el Riesgo

3Zona de Riesgo


riesgo

4Zona de Riesgo


compartir o


5Zona de Riesgo



IMPACTO INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICOVALOR 1 2 3 4 5

Tabla 7. Matriz de riesgos

2. Cara 2 Escenarios de riesgos y riesgos operacionales:

Esta cara del modelo es relacionar los escenarios de riesgos con los riesgos operacionales y

uno de los desafíos para la gestión de riesgos de TI es el identificar los riesgos importantes y

relevantes entre todo lo que posiblemente puede relacionarse con TI, considerando la

presencia y dependencia de TI en el negocio. Una de las técnicas para vencer este desafío es

realismo, visión, compromiso organizacional, mejorar el análisis y la estructura de la

compleja cuestión de los riesgos de TI. [24].

Por esto los riesgos operacionales que se presenten en una empresa se deben organizar en

posibles escenarios para un mejor entendimiento de estos y para darle un foco más puntual en

busca de los objetivos que maneja la empresa.

Por eso para esta cara se siguieren las siguientes actividades:

____________________________________________________________________________________________

Página liii


Identificación de escenarios de riesgos.

Relación de los riesgos operacionales con los escenarios.

Cuantificar el promedio del riesgo inherente de los riesgos operacionales según el

escenario.


Los escenarios de riesgos de TI son una descripción de un evento relacionado con la TI que

puede conducir a un impacto en el negocio, por ende, una vez medida, sirve de entrada a las

actividades de análisis de riesgos, donde el impacto en el negocio final necesita que se

establezcan.[13]

Para la identificación de escenarios de riesgos se puede comenzar inicialmente con una lista

de escenarios genéricos y a partir de estos irlos personalizando según las necesidades,

situaciones de la empresa y los riesgo reales de la empresa para así poder relacionar todas las

amenazas/vulnerabilidades identificadas en la cara anterior, porque no tendría ningún fin si

identificamos amenazas/vulnerabilidades en la cara anterior y no los relacionamos con ningún

escenario ya que entonces este no se estaría teniendo en cuenta al final.

A continuación se presenta un listado de escenarios genéricos que puede ser utilizado como

punto de partida para la identificación de estos según la empresa.

____________________________________________________________________________________________

Página liv


ESCENARIOS DE RIESGOSSelección de programas TI Capacidad del sistemaNuevas tecnologías Obsolescencia de infraestructura de softwareSelección de tecnologías Software malicioso (malware)Tama de decisiones en la inversión de TI Ataques lógicosRendición de cuentas sobre las TI Medios de informaciónIntegración de las TI en los procesos de negocio Utilidades de rendimiento

Estado de la infraestructura tecnológica Acción industrialObsolescencia de aplicaciones de software Integridad de datos (bases de datos)Agilidad y flexibilidad arquitectónica Traspaso lógicoCumplimiento de normativa Errores operacionales TIImplementación de software Cumplimiento contractualTerminación de proyectos TI AmbientalEconomía de proyectos TI Actos de naturalezaEjecución de proyectos Conocimiento y habilidades de TICalidad de proyectos Integridad de softwareSelección / desempeño de proveedores externos Infraestructura (hardware)

Robo de infraestructura Rendimiento del softwareDestrucción de infraestructura Personal de TI

Tabla 8. Escenarios de riesgos

Teniendo los escenarios de riesgos identificados el siguiente paso es proceder a relacionarlos

con las amenazas/vulnerabilidades que se identificaron en la cara anterior.

En donde para que cada escenario de riesgo se identifican las amenazas/vulnerabilidades

relacionadas a este.

El último paso es la cuantificación del riesgo inherente en donde se toma el riesgo inherente

de las amenazas/vulnerabilidades y se promedian por cada escenario, al final se debe

presentar una tabla como se muestra a continuación en donde se relaciona todo el proceso que

se realizo.

ESCENARIO RIESGO OPERACIONAL RIESGO INHERENTEAmenaza/Vulnerabilidad Riesgo Inherente

Escenario 1 Riesgo 1Riesgo 5

910

5

____________________________________________________________________________________________

Página lv


…Riesgo n

…4

Escenario 2

Riesgo 8Riesgo 15…Riesgo n

152…12

10

… … … …

Escenario n

Riesgo 6Riesgo 37…Riesgo n

46…2

4

Tabla 9. Relación escenarios de riesgos con riesgos operacionales

3. Cara 3: Escenarios de riesgos con procesos de COBITEsta cara del modelo relaciona los escenarios de riesgos identificados en la cara anterior con

los procesos de COBIT de alinear, planificar y organizar para este modelo pero si la empresa

lo desea también los puede realizar con todos los procesos de COBIT,

Cabe resaltar que se escogió los procesos de COBIT ya que este es el modelo base para la

estructuración de este modelo, adicionalmente COBIT es uno de los modelos más completos

que se encuentran ya que se relaciona con otros modelos como ITIL, BALANCED SCORE

CARD y estándares como ISO 38500; además maneja los dos temas principales que son

riesgos y gobierno de TI.

En esta cara se presentan las siguientes actividades para la estructuración del modelo:

Selección de procesos de COBIT de alineación, planeación y organización.

Relación de escenarios de riesgos con los procesos seleccionados.

Cuantificar el promedio de los escenarios de riesgos operacionales según los

procesos.

____________________________________________________________________________________________

Página lvi



La forma en cómo se va a relacionar los riesgos operacionales y el gobierno de TI es por

medio de los procesos de COBIT en el dominio de alineación, planeación y organización para

este trabajo.

Se maneja estos procesos para que las empresas visualicen y administren las actividades de

TI para que se llegue a un buen gobierno, porque para gobernar efectivamente TI, es

importante determinar las actividades y los riesgos que requieren ser administrados y el

dominio de alineación, planeación y organización cubre las estrategias y tácticas, y tiene que

ver con identificar la menara en la que las Ti pueden contribuir a la mejor manera al logro de

los objetivos de negocio.

En donde este dominio cubre los siguientes cuestionamientos como nos lo muestra COBIT:

¿Están alineadas las estrategias de TI y del negocio?

¿La empresa está alcanzando un uso óptimo de sus recursos?

¿Entienden todas las personas dentro de la organización los objetivos de TI?

¿Se entienden y administran los riesgos de TI?

¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Por esto cuando se relacionan los escenarios de riesgos con los procesos de COBIT de

alinear, planificar y organizar se busca lograr ciertos objetivos y producir unas salidas para

____________________________________________________________________________________________

Página lvii


lograr los objetivos de TI, con el fin de darle una estructura más enfocada para acercarnos a

nuestro objetivo de relacionar los riesgos operacionales con Gobierno de TI.

A continuación se presenta una propuesta de la relación de los escenarios genéricos tomados

anteriormente con los siguientes procesos de COBIT:

APO01: Gestionar el marco de gestión de TI

APO02: Gestión de la estrategia

APO03: Gestión de arquitectura empresarial

APO04: Gestión de la innovación

APO05: Gestión del portafolio/proyectos

APO06: Gestionar presupuesto y costos

APO07: Gestionar recursos humanos

APO08: Gestionar las relaciones

APO09: Gestión de acuerdos de servicios

APO10: Gestión de proveedores

APO11: Gestión de calidad

APO12: Gestión de riesgos

APO13: Gestión de seguridad

PROCESOS DE NEGOCIO DE COBIT

Ges

tiona

r el m

arco

de

gest

ión

de T

I

Ges

tión

de la

est

rate

gia

Ges

tión

de a

rqui

tect

ura

empr

esar

ial

Ges

tión

de la

inno

vaci

ón

Ges

tión

del p

orta

folio

/pro

yect

os

Ges

tiona

r pre

supu

esto

y c

osto

s

Ges

tiona

r rec

urso

s hum

anos

Ges

tiona

r las

rela

cion

es

Ges

tión

de a

cuer

dos

de s

ervi

cios

Ges

tión

de p

rove

edor

es

Ges

tión

de c

alid

ad

Ges

tión

de ri

esgo

s

Ges

tión

de s

egur

idad

01 02 03 04 05 06 07 08 09 10 11 12 13

____________________________________________________________________________________________

Página lviii


ESC

ENA

RIO

S D

E R

IESG

OS

1 Selección de programas TI X X X X

2 Nuevas tecnologías X X X X

3 Selección de tecnologías X X

4 Tama de decisiones en la inversión de TI

X X X X X

5 Rendición de cuentas sobre las TI X X X

6 Integración de las TI en los procesos de negocio

X X X X X

7 Estado de la infraestructura tecnológica

X X X X

8 Obsolescencia de aplicaciones de software

X X X X

9 Agilidad y flexibilidad arquitectónica

X X X X X X

10 Cumplimiento de normativa X X X X X X

11 Implementación de software X

12 Terminación de proyectos TI X X X

13 Economía de proyectos TI X X

14 Ejecución de proyectos X X X

15 Calidad de proyectos X X

16 Selección / desempeño de proveedores externos

X X

17 Robo de infraestructura X X

18 Destrucción de infraestructura

19 Personal de TI X X X

20 Conocimiento y habilidades de TI X

21 Integridad de software X X

22 Infraestructura (hardware)

23 Rendimiento del software X X

24 Capacidad del sistema X X

25 Obsolescencia de infraestructura de software

X

26 Software malicioso (malware) X

27 Ataques lógicos X X

28 Medios de información

29 Utilidades de rendimiento X

30 Acción industrial X X

31 Integridad de datos (bases de datos) X

32 Traspaso lógico X X

33 Errores operacionales TI

34 Cumplimiento contractual

35 Ambiental X X

36 Actos de naturaleza

Tabla 10. Relación de escenarios de riesgos con procesos de negocio de COBIT

____________________________________________________________________________________________

Página lix


La empresa debe determinar si manejara todos los procesos de COBIT del dominio de

alinear, planificar y organizar o solo uno de ellos dependiendo las necesidades y los objetivos

de esta.

Adicionalmente cuando se realice la relación entre los escenarios y los procesos se debe

buscar que todos los escenarios que la empresa haya propuesto en la cara anterior estén

vinculados con un proceso de negocio de COBIT o sin esos riesgos que ya se han analizado

anteriormente no generaran impacto en los objetivos del negocio y por ende no se tendrían en

cuenta al final.

En el momento en que se tenga la relación de estos se procederá a sacar el promedio del

riesgo inherente de los escenarios por cada proceso de negocio de COBIT y al final se debe


se realizo.

Ilustración 11. Ejemplo de Cara 3

____________________________________________________________________________________________

Página lx


.

4. Cara 4: Relación de gobierno de TI con procesos de COBIT

En esta cara se busca la relación de los procesos de COBIT con el gobierno de TI en donde

por medio de mapeos realizados por COBIT se relacionaran los objetivos de TI y los

objetivos de negocio.

En esta cara las actividades a realizar son:

Selección de objetivos de TI (se sugiere en esta parte de selección tomar todos los

objetivos ya que los que se busca es crear un completo y buen gobierno de TI y para

esto se necesita analizar todos los objetivos de TI).

Relación de procesos de COBIT con objetivos de TI.

Selección de objetivos de negocio (se sugiere en esta parte de selección tomar todos

los objetivos ya que los que se busca es crear un completo y buen gobierno de TI y

para esto se necesita analizar todos los objetivos de TI).

Relación de objetivos de TI con objetivos de negocio.

____________________________________________________________________________________________

Página lxi



Esta cara es la unión de los dos conceptos principales Riesgos Operacionales y Gobierno de

Ti, en donde los procesos de negocio de COBIT son el punto de conexión de estos.

En donde el Gobierno de TI lo conformamos por los objetivos de TI y los objetivos de

negocio, y estos a su veces los alineamos con los riesgos operacionales que la empresa

identifico al principio, por esto es que el éxito de que los objetivos de negocio se relacionen

con los riesgos operacionales depende de la relación que se tome en cada cara, para llegar a

este punto, y como los stakeholders se comprometen con el desarrollo del modelo y siempre

teniendo claro y buscando la visión y misión de la empresa.

Inicialmente comenzamos seleccionando los objetivos de TI en donde se sugieren los

siguientes de COBIT:

Alineamiento de las TI y las estrategias de negocio.

Cumplimiento de la TI y el soporte para el cumplimiento empresarial de las leyes y

reglamentos externos.

Compromiso de la dirección ejecutiva para ejecutar decisiones relacionadas con la

TI.

Gestionando TI relacionados con el riesgo empresarial.

____________________________________________________________________________________________

Página lxii


Beneficios realizados de TI habilitados para las inversiones y portafolio de servicios.

Transparencia de los costos de TI, beneficios y riesgos.

Entrega de servicios de TI en línea con los requerimientos del negocio.

El uso adecuado de las soluciones de aplicaciones, información y tecnología.

Agilidad TI.

Seguridad de información, procesamiento de infraestructura y aplicaciones.

Optimización de los activos de TI, recursos y capacidades.

Habilitación y soporte de los procesos de negocio mediante la integración de

aplicaciones y la tecnología hacia los procesos de negocio.

La entrega de los programas de entrega de beneficios, a tiempo, dentro del

presupuesto, y que cumpla los requisitos y estándares de calidad.

La disponibilidad de información confiable y útil para la toma de decisiones.

El cumplimiento de TI con las políticas internas.

Negocio competente y motivado y personal TI.

El conocimiento, la experiencia y las iniciativas de innovación empresarial.

Posteriormente se realiza la relación de estos con los procesos, como se puede visualizar en la

siguiente tabla:

OBJETIVOS DE TI

____________________________________________________________________________________________

Página lxiii


Alin

eam

ient

o de

las

TI y

las e

stra

tegi

as d

e ne

goci

o

Cum

plim

ient

o de

la T

I y e

l sop

orte

par

a el

cum

plim

ient

o em

pres

aria

l de

las

leye

s y

regl

amen

tos

exte

rnos

Com

prom

iso

de la

dire

cció

n ej

ecut

iva

para

eje

cuta

r dec

isio

nes r

elac

iona

das

con

la T

I

Ges

tiona

ndo

TI re

laci

onad

os c

on e

l rie

sgo

empr

esar

ial

Ben

efic

ios

real

izad

os d

e TI

hab

ilita

dos

para

las

inve

rsio

nes

y po

rtafo

lio d

e se

rvic

ios

Tran

spar

enci

a de

los

cost

os d

e TI

, ben

efic

ios

y rie

sgos

Entre

ga d

e se

rvic

ios

de T

I en

línea

con

los

requ

erim

ient

os d

el n

egoc

io

El u

so a

decu

ado

de la

s so

luci

ones

de

aplic

acio

nes,

info

rmac

ión

y te

cnol

ogía

Agi

lidad

TI

Segu

ridad

de

info

rmac

ión,

pro

cesa

mie

nto

de in

frae

stru

ctur

a y

aplic

acio

nes

Opt

imiz

ació

n de

los

activ

os d

e TI

, rec

urso

s y

capa

cida

des

Hab

ilita

ción

y s

opor

te d

e lo

s pr

oces

os d

e ne

goci

o m

edia

nte

la in

tegr

ació

n de

ap

licac

ione

s y

la te

cnol

ogía

hac

ia lo

s pr

oces

os d

e ne

goci

o

La e

ntre

ga d

e lo

s pro

gram

as d

e en

trega

de

bene

ficio

s, a

tiem

po, d

entro

del

pr

esup

uest

o, y

que

cum

pla

los

requ

isito

s y

está

ndar

es d

e ca

lidad

La d

ispo

nibi

lidad

de

info

rmac

ión

conf

iabl

e y

útil

para

la to

ma

de d

ecis

ione

s

El c

umpl

imie

nto

de T

I con

las

polít

icas

inte

rnas

Neg

ocio

com

pete

nte

y m

otiv

ado

y pe

rson

al T

I

El c

onoc

imie

nto,

la e

xper

ienc

ia y

las

inic

iativ

as d

e in

nova

ción

em

pres

aria

l

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17ALINEAR,

PLANIFICAR

Y

ORGANIZAR

APO01Gestionar el marco de gestión de TI

X X X X X X X

APO02 Gestión de la estrategia X X X

APO03Gestión de arquitectura empresarial

X X X

APO04 Gestión de la innovación X X X X X

APO05 Gestión del portafolio X X X

APO06Gestionar presupuesto y costos

X X

APO07Gestionar recursos humanos

X X X X X

APO08 Gestionar las relaciones X X X X

APO09Gestión de acuerdos de servicios

X X

APO10 Gestión de proveedores X X X

APO11 Gestión de calidad X X X

APO12 Gestión de riesgos X X X X X

APO13 Gestión de seguridad X X X X X

Tabla 11. Relación de proceso de negocio de COBIT con objetivos de TI


riesgo inherente de los proceso de negocio de COBIT por cada objetivo de TI y al final se

____________________________________________________________________________________________

Página lxiv


debe presentar una tabla como se muestra a continuación en donde se relaciona todo el

proceso que se realizo.

Ilustración 13. Ejemplo Cara 4 – Relación de procesos de COBIT con objetivos de TI.

Teniendo los objetivos de TI se procede a seleccionar los objetivos de negocio donde se

sugieren los siguientes de COBIT:

Valor de los interesados en las inversiones del negocio.

Portafolio de los productos y servicios competitivos.

Gestión de los riesgos de negocio (Salvaguardia de los activos).

Cumplimiento de las leyes y reglamentos externos.

Transparencia financiera.

Cultura de servicio orientada al cliente.

Continuidad y disponibilidad del servicio de negocio.

Respuesta ágil al cambio del ambiente de negocio.

Información basada en la toma de decisiones estratégicas.

____________________________________________________________________________________________

Página lxv


Optimización de los costos en la prestación de servicios.

Optimización en la funcionalidad de los procesos de negocio en los costos de los

procesos de negocio.

Gestión de negocio en los cambios de programas.

Productividad de las operaciones y personal.

Cumplimiento de políticas internas.

Personal calificado y motivado.

Cultura de innovación de productos y negocio.

Posteriormente se realiza la relación de estos con los objetivos de TI, como se puede

visualizar en la siguiente tabla:

OBJETIVOS DE NEGOCIO

Val

or d

e lo

s int

eres

ados

en

las

inve

rsio

nes

del n

egoc

io

Porta

folio

de

los

prod

ucto

s y

serv

icio

s com

petit

ivos

Ges

tión

de lo

s rie

sgos

de

nego

cio

(Sal

vagu

ardi

a de

los a

ctiv

os)

Cum

plim

ient

o de

las l

eyes

y re

glam

ento

s ex

tern

os

Tran

spar

enci

a fin

anci

era

Cul

tura

de

serv

icio

orie

ntad

a al

clie

nte

Con

tinui

dad

y di

spon

ibili

dad

del s

ervi

cio

de n

egoc

io

Res

pues

ta á

gil a

l cam

bio

del a

mbi

ente

de

nego

cio

Info

rmac

ión

basa

da e

n la

tom

a de

dec

isio

nes

estra

tégi

cas

Opt

imiz

ació

n de

los

cost

os e

n la

pre

stac

ión

de s

ervi

cios

Opt

imiz

ació

n en

la fu

ncio

nalid

ad d

e lo

s pr

oces

os d

e ne

goci

o

Opt

imiz

ació

n en

los

cost

os d

e lo

s pr

oces

os d

e ne

goci

o

Ges

tión

de n

egoc

io e

n lo

s cam

bios

de

prog

ram

as

Prod

uctiv

idad

de

las

oper

acio

nes

y pe

rson

al

Cum

plim

ient

o de

pol

ítica

s in

tern

as

Pers

onal

cal

ifica

do y

mot

ivad

o

Cul

tura

de

inno

vaci

ón d

e pr

oduc

tos y

neg

ocio

.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

OBJETIVOS

DE

TI

1 Alineamiento de las TI y las estrategias de negocio X X X X X X X

2Cumplimiento de la TI y el soporte para el cumplimiento empresarial de las leyes y reglamentos externos

X X

3Compromiso de la dirección ejecutiva para ejecutar decisiones relacionadas con la TI

X X

4 Gestionando TI relacionados con el riesgo empresarial X X X

5Beneficios realizados de TI habilitados para las inversiones y portafolio de servicios

X X X

6 Transparencia de los costos de TI, beneficios y riesgos X X X

7 Entrega de servicios de TI en línea con los requerimientos del negocio X X X X X

____________________________________________________________________________________________

Página lxvi


8El uso adecuado de las soluciones de aplicaciones, información y tecnología

X X

9 Agilidad TI X X X X

10Seguridad de información, procesamiento de infraestructura y aplicaciones

X X X X

11 Optimización de los activos de TI, recursos y capacidades X X X

12

Habilitación y soporte de los procesos de negocio mediante la integración de aplicaciones y la tecnología hacia los procesos de negocio

X X

13

La entrega de los programas de entrega de beneficios, a tiempo, dentro del presupuesto, y que cumpla los requisitos y estándares de calidad

X X

14La disponibilidad de información confiable y útil para la toma de decisiones

X X

15 El cumplimiento de TI con las políticas internas X

16 Negocio competente y motivado y personal TI X X X

17El conocimiento, la experiencia y las iniciativas de innovación empresarial

X X X

Tabla 12. Relación de objetivos de TI con objetivos de negocio


riesgo inherente de los objetivos de TI por cada objetivo de negocio y al final se debe


se realizo.

____________________________________________________________________________________________

Página lxvii


Ilustración 14. Ejemplo Cara 4 – Relación de objetivos de TI con objetivos de negocio.

5. Cilindro: Estructura del modeloLa formación del cilindro lo hacen todas las caras del cubo, en donde al final generamos el

promedio de los objetivos de negocio y esto nos da el resultado final, respecto a la relación de

los riesgos operacionales y el gobierno de TI.

Para la lectura de estos valores a partir de la cara 2 se maneja con la siguiente tabla:

VALOR Estado

20 a 25 Critico15 a 20 Alto10 a 15 Moderado5 a 10 Menor0 a 5 Insignificante

Tabla 13. Escala de valores para resultados de datos de caras del cubo.

____________________________________________________________________________________________

Página lxviii


En donde a partir del estado moderado se debe realizar un análisis por parte de la empresa y

los stakeholders reducir el riesgo inherente de los riesgos que están causando que el objetivo

de negocio, objetivo de TI, proceso de negocio y escenario generen para la empresa un

impacto y consecuencias negativas que hagan q no se logren los objetivos, misión y visión de

esta.

6. Validación

Como parte de la metodología empleada en el desarrollo del trabajo se realiza un análisis

teórico del modelo a partir de los estándares utilizados para el desarrollo de este, los cuales

son COBIT, ITIL, ISO 27000, ISO31000:2009, Circular Externa 041 de 2007, ISO 38500,

teniendo como base COBIT ya que este se alinea con los otros.

La validación solo se maneja teóricamente ya que es un modelo que se encuentra en estado

de madurez, por lo que pueden surgir cambios en la estructura del modelo que puede afectar a

este.

Adicionalmente es difícil tener mediciones precisas en cuanto al nivel de ocurrencia e

impacto de los riesgos sobre la organización ya que se debería tener un historial detallado de

los eventos sucedidos en estas.

____________________________________________________________________________________________

Página lxix


III – CONCLUSIONES, RECOMENDACIONES Y TRABAJOS

FUTUROS

1. Conclusiones

• Por medio del trabajo realizado en el capítulo I fue posible dar cumplimiento al

primer objetivo específico, que buscaba analizar y comparar estándares existentes para

riesgos operacionales y Gobierno de Ti y a partir de esto seleccionar o proponer una

estrategia para relacionar y alinear estos dos conceptos.

• En la estructuración del modelo se investigan los riesgos operacionales que se pueden

presentar en una empresa dando como sugerencia un listado inicial de riesgos.

• Fue posible construir un procedimiento para realizar la identificación y clasificación

de los riesgos operacionales.

• Las tecnologías de la información cada vez se hacen más importantes para los

stakeholders y se identifica como un factor determinante para mejorar la rentabilidad de los

negocios y en algunas ocasiones la competitividad porque en la información se basa la toma

de decisiones, el control de la rentabilidad del negocio, las ventas, entre otros importantes

aspectos.

• Es importante realizar un diagnóstico de la empresa que permita identificar aquellas

áreas o procesos donde se requieren los mayores esfuerzos para identificar los riesgos. Lo

anterior se debe a que la fuga de información puede representar pérdidas invaluables para las

empresas alrededor del mundo y en consecuencia es importante no escatimar esfuerzos para

evitarlo

• Aunque los controles representan una carga operativa adicional para los empleados

de una compañía, tienen un valor agregado en cuanto al monitoreo de la situación actual y el

constante mejoramiento. Un ambiente de control robusto brinda garantías a inversionistas,

empleados, clientes, proveedores, etc.

____________________________________________________________________________________________

Página lxx


• El modelo permite estructurar un ambiente de control con base en el resultado de una

evaluación de riesgos que identifica si estos son inaceptables y elegir una estrategia de

tratamiento del riesgo por medio del mapeo de riesgos.

• Los riesgos operacionales ya no es un tema que solo deba ser tenido en cuenta en

Bancos y otras entidades financieras. Empresas de todos los sectores han empezado a

considerar este aspecto como parte de sus agendas de crecimiento y mejoramiento.

• Es importante determinar el costo-beneficio de las diferentes estrategias para el

manejo de riesgos operacionales y no se vuelva un rubro de gasto deliberado de recursos y se

vea como una inversión con beneficios a mediano y largo plazo. Es necesario hacer un

análisis juicioso que permita enfocar los esfuerzos donde mayor beneficio se obtendrá y así

mismo donde realmente es importante y útil hacer la inversión. De lo contrario, la empresa

podría incurrir en gastos que a largo plazo podrían no causar ningún retorno.

• El éxito del modelo depende de los stakeholders ya que ellos son los que seleccionan

e identifican los diferentes componentes del modelo y estos deben tener un conocimiento

sobre las necesidades de la empresa, la visión, misión de esta y sobre todo el objetivo final de

implementar un modelo.

____________________________________________________________________________________________

Página lxxi


2. Trabajos futuros

La construcción del modelo de gestión de riesgos operacionales abre paso al desarrollo de

futuros proyectos que pueden involucrar algunas de las siguientes actividades, entre otras:

- Implementación y evaluación del modelo a partir de una experiencia práctica en una

empresa.

- Actualización y mejoramiento del modelo usando otros estándares de riesgos y

gobierno de TI.

- Actualización y mejoramiento del modelo usando nuevas versiones de los estándares

usados.

- Identificación y/o construcción de herramientas automáticas que permitan controlar

los riesgos operacionales con el Gobierno de TI, siguiendo los lineamientos establecidos por

el modelo.

- Adecuación del modelo para conformar una metodología de control interno de las

empresas.

____________________________________________________________________________________________

Página lxxii


IV - REFERENCIAS Y BIBLIOGRAFÍA

1. ReferenciasReferences

[1] Isaca, "Datawach Summer 2004," 2004, 2004.

[2] E. Lamprea, "Gobierno de TI y Salud Empresarial," vol. 2012, 2009.

[3] P. Weill and J. W. Ross, IT Governance: How Top Performers Manage IT Decision

Rights for Superior Results. Harvard Business Press, 2004.

[4] W. Van Grembergen, "Introduction to the Minitrack “IT Governance and its

Mechanisms”," 2002.

[5] W. Van Grembergen, Strategies for Information Technology Governance.

[6] ISO/IEC, "International Standard ISO/IEC 38500:2008: Corporate gevernance of

information technology." 2008.

[7] IT Governance Institute, Board Briefing on IT Governance. 2003.

[8] IT Governance Institute, Information Risks: Whose Business are they? 2005.

[9] Isaca, COBIT 5: A Business Framework for the Governance and Management of

Enterprise IT. 2012.

[10] M. Spremic, Z. Zmirak and K. Kraljevic, "IT and business process performance

management: Case study of ITIL implementation in finance service industry," in Information

Technology Interfaces, 2008. ITI 2008. 30th International Conference on, 2008, pp. 243-250.

[11] Isaca, The Risk IT Framework. 2009.

[12] AS/NZS, "AS/NZS 4360:1999: Administración de riesgos," 1999.

[13] Superintendencia Financiera de Colombia, "Circular Externa 041 de 2007," 2007.

[14] M. Leitch, "ISO 31000: 2009—The New International Standard on Risk Management,"

Risk Analysis, vol. 30, pp. 887-892, 2010.

[15] R. E. Gaitán and O. E. Gaitán, Análisis Financiero y De Gestión. Ecoe Ediciones, 2006.

[16] ICONTEC, "NTC 5254: Gestión del riesgo," 2004.

[17] Congreso de la República, "Ley 1150 de 2007," 2007.

[18] Congreso de Colombia, "Ley 87 de 1993," 1993.

[19] Ministerio de Hacienda y Crédito Público, "Decreto 423 de 2001," 2001.

____________________________________________________________________________________________

Página lxxiii



[21] Ministerio de Hacienda y Crédito Público, "Conpes 3107-2001: Política de Manejo de

Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura,"

2001.

[22] Ministerio de Hacienda y Crédito Público, Ministerio del Medio Ambiente y Ministerio

de Desarrollo Económico, "Conpes 3133-2001: Modificaciones a la política de manejo de

riesgo contractual del estado para procesos de participación privada en infraestructura

establecida en el documento Conpes 3107 de Abril de 2001," 2001.

[23] M. Á. Nieto Giménez-Montesinos, "El tratamiento del riesgo operacional en Basilea II,"

Estabilidad Financiera, pp. 163-185, 2005.

[24] Isaca, COBIT 4.1. 2007.

____________________________________________________________________________________________

Página lxxiv


2. Bibliografía[1] AS/NZS, "AS/NZS 4360:1999: Administración de riesgos," 1999.




[5] Congreso de la República, "Ley 1150 de 2007," 2007.

[6] J. Dedrick, V. Gurbaxani and K. L. Kraemer, "Information technology and economic

performance: A critical review of the empirical evidence," ACM Computing Surveys

(CSUR), vol. 35, pp. 1-28, 2003.

[7] R. E. Gaitán and O. E. Gaitán, Análisis Financiero y De Gestión. Ecoe Ediciones, 2006.

[8] J. C. Henderson and N. Venkatraman, "Strategic alignment: Leveraging information

technology for transforming organizations," IBM Syst J, vol. 32, pp. 4-16, 1993.

[9] ICONTEC, "NTC 5254: Gestión del riesgo," 2004.

[10] Isaca, COBIT 5: A Business Framework for the Governance and Management of

Enterprise IT. 2012.

[11] Isaca, The Risk IT Practitioner Guide. 2009.

[12] Isaca, The Risk IT Framework. 2009.

[13] Isaca, Cobit 4.1. 2007.

[14] Isaca, "Datawach Summer 2004," 2004, 2004.

[15] I. G. I. Isaca, "Global status report on the governance of enterprise it (GEIT) 2011,"

2011.

[16] ISO/IEC, "International Standard ISO/IEC 38500:2008: Corporate gevernance of

information technology." 2008.

[17] IT Governance Institute, Information Risks: Whose Business are they? 2005.

[18] IT Governance Institute, IT Aligment: Who is in Charge? 2005.

[19] IT Governance Institute, "Measuring and Demostrating the Value of IT," 2005.

[20] IT Governance Institute, Optimising Value Creation from IT Investments. 2005.

[21] IT Governance Institute, Governance of Outsourcing. 2005.

[22] IT Governance Institute, Board Briefing on IT Governance. 2003.

[23] E. Lamprea, "Gobierno de TI y Salud Empresarial," vol. 2012, 2009.

____________________________________________________________________________________________

Página lxxv


[24] M. Leitch, "ISO 31000: 2009—The New International Standard on Risk Management,"

Risk Analysis, vol. 30, pp. 887-892, 2010.

[25] J. Luftman, R. Papp and T. Brier, "Enablers and inhibitors of business-IT alignment,"

Communications of the AIS, vol. 1, pp. 1, 1999.

[26] Ministerio de Hacienda y Crédito Público, "Conpes 3107-2001: Política de Manejo de

Riesgo Contractual del Estado para Procesos de Participación Privada en Infraestructura,"

2001.

[27] Ministerio de Hacienda y Crédito Público, "Decreto 423 de 2001," 2001.

[28] Ministerio de Hacienda y Crédito Público, Ministerio del Medio Ambiente y Ministerio

de Desarrollo Económico, "Conpes 3133-2001: Modificaciones a la política de manejo de

riesgo contractual del estado para procesos de participación privada en infraestructura

establecida en el documento Conpes 3107 de Abril de 2001," 2001.

[29] M. Á. Nieto Giménez-Montesinos, "El tratamiento del riesgo operacional en Basilea II,"

Estabilidad Financiera, pp. 163-185, 2005.

[30] M. Penagos Acosta, "Administración del riesgo en el contexto empresarial," 2011.

[31] Presidencia de la República, "Decreto Número 4110 de 2004," 2004.

[32] M. Spremic, Z. Zmirak and K. Kraljevic, "IT and business process performance

management: Case study of ITIL implementation in finance service industry," in Information

Technology Interfaces, 2008. ITI 2008. 30th International Conference on, 2008, pp. 243-250.

[33] Superintendencia Financiera de Colombia, "Circular Externa 041 de 2007," 2007.

[34] W. Van Grembergen and S. De Haes, "Measuring and improving IT governance through

the balanced scorecard," Information Systems Control Journal, vol. 2, pp. 35-42, 2005.

[35] W. Van Grembergen, "Introduction to the Minitrack “IT Governance and its

Mechanisms”," 2002.

[36] W. Van Grembergen, Strategies for Information Technology Governance.

[37] P. Weill and J. W. Ross, IT Governance: How Top Performers Manage IT Decision

Rights for Superior Results. Harvard Business Press, 2004.

____________________________________________________________________________________________

Página lxxvi

pegasus.javeriana.edu.copegasus.javeriana.edu.co/~CIS1130IS11/Documentos/Memoria... · Web...

Documents

Transcript of pegasus.javeriana.edu.copegasus.javeriana.edu.co/~CIS1130IS11/Documentos/Memoria... · Web...