metodologÍa para el anÁlisis y valoraciÓn de riesgos …€¦ · acepta un riesgo de ciertos...
TRANSCRIPT
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN
PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN
HÉCTOR VALENCIA VALENCIA
UNIVERSIDAD EAFIT
DEPARTAMENTO DE CIENCIAS BÁSICAS
MAPFRE ESPAÑA
MEDELLÍN
Septiembre de 2005
METODOLOGÍA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN
PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN
HÉCTOR VALENCIA VALENCIA
Monografía para optar al título de Especialista en Administración de
Riesgos y Seguros.
Asesor
EULER DE JESÚS MUÑOZ
Administrador de Empresas
Coordinador
RODRIGO RESTREPO VÉLEZ
UNIVERSIDAD EAFIT
DEPARTAMENTO DE CIENCIAS BÁSICAS
MAPFRE ESPAÑA
MEDELLÍN
Septiembre de 2005
"No existe mayor signo de demencia que hacer lo mismo una y otra vez y
esperar resultados diferentes”
Albert Einstein
TABLA DE CONTENIDO
GLOSARIO......................................................................................................... 7 INTRODUCCIÓN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15
1.1. OBJETIVO GENERAL............................................................................... 15 1.2. OBJETIVOS ESPECÍFICOS ....................................................................... 15
2. BENEFICIOS............................................................................................. 16 3. ALCANCE ................................................................................................. 17 4. APLICACIÓN............................................................................................. 18 5. FORMULACIÓN DEL PROBLEMA .......................................................... 19 6. JUSTIFICACIÓN ....................................................................................... 21 7. MARCO CONCEPTUAL............................................................................ 23
7.1. LAS BASES DE LA GERENCIA DEL RIESGO CORPORATIVO ......................... 24 7.2. EL FUTURO ........................................................................................... 26
8. ANTECEDENTES...................................................................................... 32 9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P............... 35
9.1. DE AYER A HOY ..................................................................................... 37 9.2. HACIA EL FUTURO.................................................................................. 38 9.3. NUEVO ESQUEMA EMPRESARIAL ............................................................. 41 9.4. ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005 ....................... 41 9.5. VISIÓN.................................................................................................. 42 9.6. MISIÓN ................................................................................................. 43 9.7. VALORES ORGANIZACIONALES ............................................................... 43 9.8. ADMINISTRACIÓN................................................................................... 44 9.9. PRESUPUESTO...................................................................................... 44 9.10. FUNCIÓN SOCIAL................................................................................... 45 9.11. GESTIÓN AMBIENTAL ............................................................................. 45 9.12. NUESTROS COMPROMISOS .................................................................... 46 Manejo integral del ambiente..................................................................... 46 Mejoramiento continuo de la gestión ambiental ......................................... 47 Partes interesadas..................................................................................... 48
9.13. GESTIÓN DE RIESGOS ........................................................................... 48 9.14. CULTURA EMPRESARIAL ........................................................................ 50 9.15. GRUPO EMPRESARIAL EE.PP.M.. .......................................................... 51
10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA.................. 52
10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDAD PLANEACIÓN INFORMÁTICA ........................................................ 53 10.3. UNIDAD GESTIÓN INFORMÁTICA.............................................................. 53 10.4. UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA .................................... 53 10.5. UNIDAD SISTEMAS DE INFORMACIÓN ....................................................... 54 10.6. UNIDAD OPERACIONES INFORMÁTICA...................................................... 54 10.7. PENSAMIENTO ESTRATÉGICO ................................................................. 54 Misión 54 Visión 55 Estrategia................................................................................................... 55
11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE RIESGOS EN PROYECTOS DE TECNOLOGÍA DE INFORMACIÓN .............................. 56
11.1. FASE 0: SENSIBILIZACIÓN ..................................................................... 57 11.2. FASE 1: PLANEACIÓN DEL PROYECTO.................................................... 61 Confirmación del Alcance .......................................................................... 61 Conformación del Equipo de Trabajo......................................................... 62
11.3. FASE 2: INICIACIÓN DEL PROYECTO....................................................... 64 Reunión de Lanzamiento del Proyecto ...................................................... 65 Conocimiento del Negocio ......................................................................... 65 Solicitud de Requerimientos de Información.............................................. 66 Plan de Entrevistas .................................................................................... 66
11.4. FASE 3: GESTIÓN DEL RIESGO.............................................................. 66 Identificación.............................................................................................. 69 Análisis y valoración .................................................................................. 77 11.4.2.1. Perfil de los riesgos .............................................................. 88 11.4.2.2. Patrones normales de distribución...................................... 88
11.4.3. Control ......................................................................................... 90 12. RECOMENDACIONES .......................................................................... 94 13. CONCLUSIONES .................................................................................. 96 14. BIBLIOGRAFÍA ..................................................................................... 98 15. REFERENCIAS.................................................................................... 101
7
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
GLOSARIO
Para efectos de lograr una adecuada interpretación de los conceptos que se
manejan en los proyectos de tecnología de información, a continuación se
definen algunos de los principales términos específicos de uso frecuente en la
metodología para desarrollar este tipo de proyectos.
Información: Es el conjunto de datos que procesados e interpretados arrojan
un resultado y con base en él se toman decisiones.
Tecnología de Información: Se define como el conjunto de procesos
informáticos, gente especializada e infraestructura tecnológica necesaria y con
un amplio grado de integración de sus componentes que maximizan la
prestación de los servicios para satisfacer los requerimientos del negocio.
Proyecto: Un proyecto puede concebirse como un conjunto de actividades
interdependientes, diseñadas para viabilizar y materializar los objetivos de una
organización en forma eficiente. En su esencia misma puede definirse como:
Una acción no repetitiva, ni rutinaria orientada hacia el logro de un objetivo
específico y que se ejecuta con metas preestablecidas de calidad, costo y
tiempo.
Proyecto de Tecnología de Información: Lo componen un conjunto de
actividades interdependientes que se realizan en forma planeada, coordinada y
controlada, donde se integran las personas, los procesos y la tecnología con el
fin de dar una solución automatizada que a través de un sistema de información
resuelva una necesidad planteada por el usuario informático o la organización.
Usuario Informático: Persona que utiliza la infraestructura informática para
acceder a la información y con base en ella tomar decisiones.
8
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Ambiente Informático: Es la integración de tres componentes básicos:
aplicaciones, tecnología y personas.
Infraestructura Tecnológica: Son los componentes de hardware (servidores,
computadores de escritorio, personales, enrutadores, cables de red, entre
otros), software (básico, específico, corporativo o departamental), bases de
datos y aplicaciones que en forma conjunta e integrada procesan datos y
producen resultados que generan información y con base en ella se toman
decisiones.
Contingencia Informática: Es un suceso fortuito que afecta el procesamiento
automatizado de la información y suspende las actividades normales del
negocio.
Amenaza: Persona, objeto, situación o evento natural del entorno (externo o
interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden
ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan
de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados,
secuestro, fraude, etc. También se define como un riesgo no evaluado.
Vulnerabilidad: Grado de sensibilidad de un sistema ante un riesgo, medido en
cuanto al nivel de afectación posible poniendo en peligro su estabilidad.
Situación creada por la falta de uno o varios controles, por lo que la amenaza
pudiera ocurrir y afectar el entorno informático. Por ejemplo: deficiente control
de accesos, administración deficiente de la infraestructura informática, poco
control de versiones de software, ausencia de entrenamiento compartido
(respaldo de personas), políticas inexactas e insuficientes, etc.
9
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se
materialice, debido a la existencia de una o varias vulnerabilidades de peso
significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con
datos estadísticos que lo respalden o avalen, por la tendencia de las
organizaciones a ocultar incidentes, la localización geográfica, las culturas,
leyes, criticidad, situación país, etc. También se define como una amenaza
evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la
gravedad de sus consecuencias (Severidad).
Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en
un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que
afecten el ambiente informático o la información.
Frecuencia/Probabilidad: Es una medida sobre el porcentaje de ocurrencia de
un evento expresado en número de ocurrencias o veces que se da un evento.
Ver también posibilidad y probabilidad. También se define como el número de
veces que una amenaza deja de serlo para convertirse en realidad, a lo largo de
un determinado periodo de tiempo.
Severidad/Impacto: Es la evaluación del efecto y consecuencia del riesgo.
Generalmente, la exposición al riesgo se mide en aspectos económicos, imagen
de las personas o empresas, disminución de capacidad de respuesta y
competitividad, interrupción de operaciones, etc. Efecto que causa en la
organización la ocurrencia de un siniestro o contingencia y que normalmente se
ve reflejado en la suspensión de las actividades normales del negocio. También
se define como el económico de la materialización de una amenaza, se requiere
involucrar gastos directos, indirectos y pérdidas consecuenciales.
10
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),
que normalmente genera consecuencias negativas sobre un sistema.
Control: Control es toda acción orientada a minimizar la frecuencia de
ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por
ellas. Los controles sirven para asegurar la consecución de los objetivos de la
organización o asegurar el éxito de un sistema y para reducir la exposición de
los riesgos, a niveles razonables. Los objetivos básicos de los controles son:
Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
retroalimentando el sistema de control interno con medios correctivos.
Administración de Riesgos: Conjunto de estrategias tendientes a minimizar
los riesgos asociados al funcionamiento de un sistema, con el fin de disminuir
las pérdidas y garantizar su continuidad.
Prevenir Riesgos: Estrategia en la administración de riesgos consistente en
actuar sobre las acciones y/o las condiciones inseguras, para disminuir la
frecuencia de los siniestros.
Transferir Riesgos: Estrategia en la administración de riesgos consistente en
controlar las consecuencias económicas de los siniestros, mediante la
transferencia parcial o total de las mismas a un tercero.
Seguro: Es un contrato en virtud del cual, un ASEGURADOR se compromete
mediante el pago de una prima, a pagar a un ASEGURADO o BENEFICIARIO
una indemnización, en caso de ocurrir un siniestro.
11
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Retener/Asumir Riesgos: Proceso mediante el cual el propietario de un activo
acepta un riesgo de ciertos peligros que no han podido ser solucionados
(acabados, minimizados).
Recuperación: Actividad final en el proceso de respuesta a un siniestro,
consistente en restablecer la operatividad de un sistema interrumpido por la
presentación del mismo.
Aplicación: Conjunto de programas que soportan un proceso en la
organización.
Aplicación crítica: Es aquella que por ser esencial, requiere ser procesada
para darle continuidad al negocio.
Determinar un Riesgo: Identificar la exposición de un activo de información
que cause consecuencias negativas para su normal disponibilidad.
Costo: De una actividad, estos son tanto directos como indirectos, involucran
un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo,
desorganización, renombre, políticas y pérdidas intangibles como imagen,
confianza, credibilidad.
12
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
INTRODUCCIÓN
El hombre y todas las actividades que desarrolla son susceptibles de sufrir
eventos que los puedan afectar en forma negativa.
Desde los comienzos de la computación, los recursos informáticos incluyendo la
información, han estado expuestos a una serie de peligros o riesgos que han
aumentado y evolucionado conforme se globalizan las comunicaciones.
Proteger los activos más valiosos de la organización frente a posibles
amenazas que ofrece permanentemente el medio, es un gran desafío. Este
interés crece aún más cuando la información cobra importancia para sobrevivir
frente a la competencia y permanecer en el mercado; factores como el uso de
Internet y demás herramientas que faciliten la comunicación traen consigo
innumerables ventajas, pero igualmente enfrentan a la organización a otros
problemas que anteriormente no existían. La materialización de amenazas que
alteren o destruyan la información, crea la necesidad de diseñar e implementar
otras estrategias que permitan gerenciar y controlar los nuevos tipos de riesgos
que están relacionados con la tecnología de información.
Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes
metodologías que le permita, de alguna manera, enfrentar las amenazas: desde
medidas instintivas hasta el uso racional de los conocimientos y tecnologías a
su alcance en cada momento histórico de la vida.
13
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
La Administración de Riesgos nace para suplir la necesidad del hombre de
caracterizar con precisión el riesgo. Esta novel disciplina tiene como principales
actividades la identificación, análisis, evaluación y control físico, lógico y
financiero óptimos de los riesgos a que están expuestos los recursos de la
Entidad (o de los cuales es responsable, al menos en parte).
Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre
aquellos denominados comúnmente como Riesgos Convencionales para los
cuales la empresa cuenta con recursos permanentes y suficientes para su
manejo adecuado, y los denominados Riesgos Mayores con capacidad
suficiente para generar un desajuste significativo al régimen de funcionamiento
de la empresa, amenazando su estabilidad y muchas veces la integridad de sus
funcionarios o de la comunidad, poniendo en peligro su estabilidad y
subsistencia.
Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y
afectar su operatividad, con un serio impacto sobre las personas, las
instalaciones, la economía del negocio, la imagen y buen nombre de la
empresa, la operación, la información o el medio ambiente.
Se conoce como CRISIS toda situación caracterizada por cambios imprevistos
en las variables críticas que regulan el funcionamiento de un sistema y por la
pérdida de control sobre las mismas, con potencial de generar un impacto
negativo grave al sistema que la sufre.
Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda
empresa debe contar con herramientas tendientes a proporcionar la estructura
organizacional, la metodología y los procedimientos para detectar, evaluar y
responder a los Riesgos Mayores, de tal forma que se impida que ellos puedan
14
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
desembocar en consecuencias desastrosas o catastróficas, salvaguardando la
existencia misma del negocio.
El presente trabajo tiene como fin definir la metodología de análisis y valoración
de riesgos en proyectos de tecnología de información de una manera
estructurada y modular (por fases o etapas) para que sirva como herramienta
de apoyo en la gestión de estos proyectos en las Empresas Públicas de
Medellín E.S.P.
En este informe se describen las actividades y tareas que se deben llevar a
cabo en cada fase de la metodología.
15
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
1. OBJETIVOS
Con el presente trabajo lo que se pretende lograr son los siguientes:
OBJETIVO GENERAL
Dotar a la organización Informática de Empresas Públicas de Medellín E.S.P.
de una herramienta que le facilite identificar, evaluar, controlar y valorar los
riesgos de los proyectos de tecnología de información que emprenda la
corporación, mejorando la gestión con el fin de disminuir el impacto de la
tecnología en los costos, recursos y el tiempo al entrar en producción.
OBJETIVOS ESPECÍFICOS
Dentro de los objetivos específicos que se pretenden cubrir con este trabajo
están:
• Definir la Metodología.
• Identificar los riesgos asociados a los proyectos de tecnología de
Información.
• Definir el método de evaluación y valoración de riesgos para los
proyectos de tecnología de Información.
• Presentar algunos mecanismos de control de riesgos para los proyectos
de tecnología de Información.
• Documentar la metodología.
16
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
2. BENEFICIOS
Algunos beneficios a obtener en la identificación, análisis y valoración de
riesgos son:
• La identificación de los riesgos internos y externos asociados al proyecto
de tecnología de información permitirá definir acciones que ayuden a
minimizar el impacto y la probabilidad de que un evento se materialice.
• Determinar la probabilidad de materialización de una amenaza a la luz de
la situación del país y en el contexto ESPG (Económico, Social, Político y
Geográfico en la organización) y que puedan afectar el proyecto.
• Dimensionar el impacto de los riesgos sobre la organización en términos
de exposición a interrupciones y pérdida que puedan poner en riesgo la
viabilidad y la continuidad del proyecto o la organización.
• Localización, clasificación y priorización de los riesgos observados,
teniendo en cuenta la globalidad del mapa de riesgos y los objetivos del
proyecto de tecnología de Información.
• Obtener las respectivas matrices de riesgos que servirán para
diagnosticar la situación actual y definir las medidas de prevención y
protección que permitan llevar a feliz término el proyecto.
17
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
3. ALCANCE
Definir y documentar la metodología de análisis y valoración de riesgos en
proyectos de tecnología de información de una manera estructurada y modular
(por fases o etapas) que permita identificar, evaluar, controlar y valorar los
riesgos en el área informática y para las Empresas Públicas de Medellín E.S.P.
El trabajo se desarrollará documentado cada una de las fases o etapas que
componen la metodología: Fase de identificación, evaluación, control y
valoración, incluyendo las actividades que se deben ejecutar en cada fase.
Después de identificar y evaluar las amenazas asociadas a los sistemas y sus
componentes, se iniciarán programas de control de riesgos.
18
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
4. APLICACIÓN
La aplicación de la metodología para el análisis y valoración de riesgos
informáticos, deberá realizarse en todas las etapas de los proyectos de
tecnología de información haciéndola extensiva a contratistas, subcontratistas y
proveedores.
Existen en la Entidad dependencias 1 con funciones de alcance corporativo que
deben realizar la gestión de riesgos en dos niveles claramente diferenciables:
Como gestión interna independiente, y como apoyo corporativo hacia las demás
unidades o direcciones. En este último caso, serán las unidades que requieran
el apoyo de las partes corporativas, las que soliciten en forma explícita la
necesidad de asesoría específica y aplicación de esta metodología.
La metodología podrá ser aplicada en cada Unidad de Núcleo Compartido
(UNC), Unidad Estratégica de Negocio (UEN) o Unidad de Servicios
Compartidos (USC), es decir, dependiendo de los recursos que posean o estén
bajo su responsabilidad.
1 Dirección Informática, Dirección Administrativa, Dirección Gestión Humana, Planeación y Finanzas, Secretaría General, Control Interno
19
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
5. FORMULACIÓN DEL PROBLEMA
Independientemente de los esfuerzos que las empresas desarrollen para evitar
los siniestros, siempre habrá una posibilidad esperamos que remota de que
se presente un evento indeseado.
En muchos casos los recursos disponibles en la empresa serán suficientes para
sortear con éxito el imprevisto. Sin embargo, en otros casos, tal como la
experiencia lo ha demostrado, un evento puede superar la capacidad de
respuesta disponible, y es entonces donde sobrevienen los desastres, algunos
con resultados catastróficos.
En el transcurso de los años y con la incursión de nuevas y mejores
tecnologías, la utilización de la información y del procesamiento electrónico de
datos ha cobrado un papel significativo dentro del desarrollo de las operaciones
normales de las organizaciones. Así mismo, se ha convertido en estrategia para
lograr una ventaja competitiva y en un apoyo definitivo para la gestión negocio.
Los sistemas de información más que una novedad que adquieren las
organizaciones para estar “in”, son elementos fundamentales que han
contribuido efectivamente en el desarrollo de las mismas, que a su vez han
traído consigo una serie de riesgos, los cuales no existían hasta el momento o
eran de difícil detección porque las organizaciones no contaban con los
mecanismos o la metodología necesaria para lograrla.
Sin embargo, los beneficios reportados por los sistemas de información no son
gratuitos, si bien entraron a manejar el recurso más valioso con que cuentan las
organizaciones hoy en día, la información, también crearon en éstas una
20
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
altísima dependencia de los mismos, dejando áreas frágiles y vulnerables y sin
las cuales las organizaciones no podrían subsistir.
Estamos, sin duda, en la era de la información: Adquirir equipos, obtener
servicios y acortar las distancias para estar informados es una posibilidad
tecnológica vuelta obsesión. Esto hace que la información adquiera gran
importancia y un valor incalculable, y que por lo tanto haya que tomar todas las
medidas necesarias para protegerla.
21
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
6. JUSTIFICACIÓN
Una de las principales características de Empresas Públicas de Medellín E.S.P.
es el mantenerse a la vanguardia en la implementación de nuevas tecnologías
de información que le permitan brindar un mejor servicio a sus usuarios,
disminuir sus costos operacionales, permitiendo así prestar servicios públicos a
tarifas más económicas, basándose en el principio de que toda inversión
tecnológica o de negocios debe ser sustentada desde la perspectiva técnica y
de negocios.
Esto se logra con el adecuado aseguramiento de los recursos con que cuenta
una organización, que es uno de los objetivos de la gestión integral de riesgos,
entendida como el conjunto de acciones para enfrentar los riesgos que generan
los proyectos de tecnología de información a los cuales están expuestos,
originados en amenazas provenientes tanto del interior como del exterior de la
empresa; definir y diseñar controles preventivos; tomar medidas de protección,
y desarrollar programas de recuperación o planes de contingencia ante la
posible ocurrencia de siniestros que puedan afectar la planeación, ejecución,
implantación y entrada en producción del proyecto en una organización como
las Empresas Públicas de Medellín E.S.P.
La necesidad de tener continuidad en los procesos se fundamenta en que las
principales estrategias que hacen que la empresa sea competitiva y tenga
diferenciación en el medio en que se mueve, dependan de la tecnología de
información. Esta realidad la obliga a mantener una alta disponibilidad en su
infraestructura tecnológica y en consecuencia la Dirección de Informática
Corporativa ha venido respondiendo al reto, comprometiéndose a incrementar
año tras año el índice de disponibilidad de la infraestructura de TI, pero
22
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
reconociendo la falta de metodologías, herramientas y estándares de las
mejores prácticas que le permitan identificar, evaluar, valorar y controlar los
riesgos de la tecnología de información que le faciliten de la manera más
eficiente cumplir con los objetivos de la empresa y a costos razonables.
El contar con una metodología de análisis y valoración de riesgos en proyectos
de tecnología de información en la organización, ayuda en forma estructurada a
identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y
de esta manera poder entrar en producción con los recursos, los costos y el
tiempo planeado.
El presente trabajo tiene como fin definir la metodología de análisis y valoración
de riesgos en Proyectos de Tecnología de información de una manera
estructurada y modular (por fases o etapas) para las Empresas Públicas de
Medellín E.S.P.
Por todo lo anterior y siendo la Dirección de Informática Corporativa el Área
responsable de adquirir los sistemas de información que apoyen los procesos
del negocio, ha considerado muy importante y necesario desarrollar y
documentar esta metodología con el propósito de aplicarla en todos los
proyectos de tecnología de información que emprenda la corporación y bajo la
responsabilidad de esta dirección.
23
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
7. MARCO CONCEPTUAL
El Hombre y sus actividades han estado, desde sus orígenes, acompañados de
riesgos y amenazas. La incertidumbre y la exposición al peligro, han
permanecido continuamente ligadas al desarrollo humano y por ende, el instinto
de protección ante la eventualidad de sufrir un daño o una pérdida, ha sido
también una constante en la vida del hombre.
En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las
soluciones para enfrentarlos. Sin embargo, el progreso y la diversificación de
actividades humanas, trajeron consigo nuevos y más acentuados problemas y
peligros, desconocidos hasta ese momento. Esto, unido a la asignación de valor
a los bienes poseídos, acarreó que las amenazas se hayan incrementado
significativamente. De aquí la importancia de disminuir racionalmente las
fuentes de peligro o riesgo a las que está expuesta el hombre.
El desarrollo empresarial no ha sido ajeno a estos procesos. Aún más, es
imposible concebir al empresario sin la convivencia con el riesgo, pues de allí
es de donde realmente proviene su beneficio. El entorno en que operan las
empresas se ha vuelto más complejo y cada vez más dependen de la
tecnología y los sistemas de información. Esto ha traído consigo la necesidad
de dar una mayor atención al tratamiento de los riesgos en las organizaciones
lo que ha propiciado la aparición del gerente de riesgos, que se ha convertido
en pieza fundamental dentro del contexto de la alta gerencia
Todas las organizaciones entrañan riesgos de pérdidas a causa de la
materialización de amenazas que tienen su origen en la relación de éstas con el
entorno natural, social, económico, político, tecnológico entre otros.
24
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
La materialización de cualquier tipo de amenaza puede tener serias y graves
consecuencias para las que debemos estar preparados. Existe la probabilidad
de que se incrementen los riesgos por factores como el desarrollo industrial, la
nueva tecnología, el aumento de riesgos de origen social, el surgimiento de una
legislación más estricta, la limitada capacidad de respuesta de algunos
organismos de emergencia, entre otros.
En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo,
dado que cada departamento dentro de una organización afronta el riesgo de
diferente manera, la gerencia de riesgos en muchos casos, se ha convertido en
una tarea ad hoc.
La gerencia de riesgos es, sin duda, un componente que va en crecimiento en
la vida cotidiana, conforme el mundo de los negocios se expande y se va
haciendo más complejo.
Una adecuada gerencia del riesgo no sólo puede significar la diferencia entre la
vida y la muerte de una empresa, sino que puede ser una forma innovadora de
aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la
administración de pólizas de seguro, es ahora de interés para Gerentes
Generales, Directores de Control Interno, Informática, Gestión Humana,
Tesoreros, y en general, para toda la empresa.
LAS BASES DE LAGERENCIA DEL RIESGO CORPORATIVO
El riesgo y la incertidumbre son fundamentales en la vida profesional y
personal. El riesgo es la fuente de oportunidades que pueden convertirse en
ganancia, pero a su vez, asoma la posibilidad de la ruina.
25
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Las empresas gastan anualmente millonarias sumas de dinero para afrontar su
vulnerabilidad ante los riesgos. Esta enorme cifra lleva a plantearnos:
• ¿Es el riesgo tan importante en sí, como para justificar la cantidad de
recursos invertidos por las empresas con el fin de afrontarlos?
• ¿Están optimizando su dinero con estas acciones?.
Debido a que el riesgo y la oportunidad van mano a mano, las empresas suelen
afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto
delicado.
Manejar el riesgo puede reducir los riesgos de tener problemas financieros y
proteger a la empresa ante eventos no anticipados que interrumpan sus planes.
Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos
específicos, la gerencia de riesgos debería estar integrada y consolidada para
lograr una máxima reducción de riesgos a un mínimo costo. El riesgo no se
puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de
diversas formas:
a) Evasión de riesgos: cuando se decide no emprender ninguna acción
riesgosa.
b) Reducción de riesgos: prevenir y controlar los riesgos usando equipos
de seguridad, técnicas de prevención y diversificación.
c) Transferencia de riesgos: se refiere a asegurar y equilibrar los riesgos,
compartiéndolos con terceros, por ejemplo las compañías de seguros.
d) Retención de riesgos: absorber ciertos riesgos de un modo costo
efectivo.
26
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Es crítico para una empresa coordinar sus esfuerzos en todas las áreas, para
poder tomar decisiones sobre manejo de riesgos de forma coherente. Un
ejemplo de incoherencia es una compañía que gasta sumas millonarias
asegurando sus plantas de producción y equipos contra pérdidas por
accidentes; sin embargo, un accidente de este tipo sería menos devastador que
un cambio en las tasas de interés, una pérdida de información estratégica o una
pérdida de imagen contra el que la empresa no tendría protección alguna.
Se debe desarrollar una cooperación cercana y constante entre aquellos
responsables por dirigir las actividades de la empresa, los responsables de
conseguir el capital para financiar dichas actividades, y los responsables por
cubrir los riesgos que esas actividades generan.
La Gerencia de Riesgo Integrado (GRI) provee la estructura para articular estas
relaciones críticas.
EL FUTURO
Muchas tendencias en el mundo actúan como catalizadores para el crecimiento
de la gerencia de riesgo integrado.
Los accionistas están preocupados por el uso eficiente de sus fondos; los
funcionarios públicos buscan el interés de los consumidores; los accionistas y
aseguradores, así como las agencias de calificación de riesgo y otros
intermediarios financieros, siguen con cautela las habilidades de manejar
riesgos de los gerentes.
27
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Los avances en los modelos analíticos que miden el riesgo y la estandarización
de las prácticas de gerencia de riesgos también están acelerando el desarrollo
del GRI.
Sin embargo, aún existen barreras que deben ser superadas, especialmente la
inercia burocrática que hace difícil cruzar las líneas funcionales tradicionales. El
alto costo de las transacciones y la integración de los sistemas de información,
la complejidad de los productos y la incertidumbre sobre los tratos regulatorios y
contables, son todos factores negativos.
Los Estados Unidos han asumido el rol de liderazgo en las soluciones de
Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora,
debido a la creciente importancia de los mercados de capital y la integración de
tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el
desarrollo en el Reino Unido ha avanzado relativamente, mientras que el
mercado permanece en su infancia en el continente. Sin embargo, los
ambientes reguladores, de impuestos y contabilidad europeos son favorables
para la innovación, y la región debería ver un fuerte crecimiento para las
soluciones TRA a término medio. Los desarrollos de las soluciones TRA apenas
comienzan a hacerse en Asia y Latinoamérica.
Quedarse de lado ante la evolución de la gerencia de riesgos implica perder
oportunidades. La historia ha demostrado que los innovadores pueden obtener
ganancias extraordinarias.
El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General),
como responsable máximo del éxito de la empresa, puede ser considerado
como el ejecutivo a cargo del riesgo. Un paso importante a dar en el crecimiento
de la gerencia de riesgo integrado es la creación del papel de un gerente de
28
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
riesgos. Esto ya está ocurriendo, especialmente en la industria financiera. Este
gerente estaría encargado de manejar la identificación y la medición de todos
los riesgos afrontados por su empresa, así como del uso eficiente del capital de
riesgo.
Este gerente de riesgo debería provenir de la alta gerencia, y debe reportarle
directamente al CEO de la empresa; no debería tener ninguna responsabilidad
por las ganancias o negocio directo, debe actuar más bien como un auditor o
contador en la empresa.
El gerente de riesgos se convertirá en el campeón del GRI como una base para
acceder y medir de forma racional la relación entre los riesgos que una
compañía afronta y los recursos de capital que tiene a disposición.
Para el caso colombiano, La Gerencia de Riesgos ha cobrado particular interés
a comienzos de la década de los 90, a raíz de las medidas encaminadas a la
liberación del mercado dentro de la política de apertura económica. El nuevo
ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de
técnicas y metodologías de Gerencia de Riesgo, en detrimento del enfoque
simplista de trasladar los riesgos a través de contratos de seguros,
comúnmente llamado pólizas, manejados por especialistas en la definición de
cláusulas y tarifas generales, que poca o ninguna relación guardaban con la
realidad.
Frente a este nuevo panorama, los riesgos dejaron de ser un campo exclusivo
de unos pocos conocedores de las condiciones específicas de pólizas
existentes en el mercado, para involucrar más directamente a los gerentes de
las organizaciones en la gestión de éstos.
29
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
En el campo de los riesgos y los seguros, como sucede en la informática, el
conocimiento profundo de los conceptos y los métodos por parte de los
gerentes redunda en grandes beneficios y por eso es cada vez más imperativo.
La gerencia de riesgos como función de liderazgo ejecutivo en el manejo de los
riesgos que afectan la actividad empresarial, puede observarse desde los
siguientes puntos de vista:
Amplio: Desde el punto de vista amplio, se concibe el gerente de riesgo como
un empresario responsable que posee y controla totalmente el negocio, es decir
administra totalmente los riesgos a que está expuesto.
Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben
principalmente, a dirigir los riesgos asegurables, mediante la cobertura ofrecida
por los seguros.
Intermedio: Las funciones del gerente de riesgos ubicado en una posición
intermedia, cuya labor va más allá de la mera adquisición de seguros para
cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en
forma total.
Es tal la importancia que ha alcanzado la figura del gerente de riesgos, que se
dice que este funcionario es tan indispensable para la empresa como lo son el
jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la
responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada
uno de los bienes e intereses de la empresa. De este forma, supervisar el
desempeño total de una compañía, es responsabilidad y labor del gerente de
riesgos.
30
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Entre las muchas responsabilidades del gerente de riesgos podemos resaltar
las siguientes:
• Determinación y evaluación de los riesgos en las diferentes áreas de la
organización como: Planeación, Finanzas, Comercial, Procesos,
Administrativa, Informática, Gestión Humana, Medio Ambiente, Jurídica,
entre otras.
• Selección de los mecanismos de cobertura para los riesgos propios de la
actividad empresarial.
• Contabilidad del seguro.
• Administración del autoseguro.
• Diseño y administración de planes de emergencias, contingencias y
atención de desastres.
• Administración de planes de seguro de grupo y de beneficios para los
funcionarios.
• Atención de reclamaciones.
• Prevención de pérdidas.
Dado que la principal función del gerente de riesgos es preventiva, él busca
eliminar o reducir al mínimo los riesgos de la empresa y cuando éstos ocurran,
busca disminuir su impacto en la producción empresarial, y aunque es difícil
eliminar totalmente la posibilidad de riesgos en la empresa, se han diseñado
programas bastante difundidos a nivel mundial, para realizar una gerencia del
riesgo eficaz, entre los que se destacan los siguientes:
• Mantenimiento de los registros de pérdidas y accidentes con información
veraz y actualizada.
31
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
• Generación de programas de inspección y análisis de la seguridad en
todas las áreas de la organización.
• Programas de prevención de accidentes
• Generación de conciencia de seguridad en todas las instancias de la
empresa.
• Minimización de las pérdidas.
Al inicio de todo proyecto, contar con un análisis y valoración de riesgos de
éste, le permite al gerente tener un panorama más claro y la posibilidad de ir
reduciendo frecuencia y severidad ante la posible materialización de las
amenazas.
Lo que se pretende es proporcionar herramientas a los gerentes para realizar
su labor bajo las condiciones de riesgo, sin perder de vista la misión y visión de
su organización.
32
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
8. ANTECEDENTES
EE.PP.M. es la empresa líder en el Sector de la prestación de Servicios
Públicos en el país, y sus operaciones incluyen actividades de generación y
distribución de energía, tratamiento y suministro de agua potable, servicios de
alcantarillado, telecomunicaciones y distribución de gas natural en Antioquia y
otras regiones en Colombia.
Sus negocios se relacionan con lo que se han denominado Líneas Vitales, o
sea aquellos servicios y actividades indispensables para el funcionamiento y
desarrollo y supervivencia de las comunidades.
Debido a la índole de su operación, su actividad no se limita a aquellas que se
desarrollan dentro de una instalación particular, sino que físicamente cubre un
extenso territorio, con lo que se incrementa considerablemente las amenazas.
La mayoría de sus operaciones presentan una diferencia significativamente
crítica con la mayoría de empresas, debido a que la afectación de su operación
se refleja en forma inmediata en las actividades de la comunidad. Por el mismo
motivo el impacto producido por cualquier evento que afecte sus operaciones se
extiende mucho más allá del relacionado con factores económicos y técnicos,
pasando al ámbito social y político, con las graves implicaciones que ello
representa.
En el negocio de los servicios públicos una de las variables críticas para el éxito
del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal
forma que garantice su continuidad y la calidad del servicio.
33
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Por las características de su operación (Empresa de Servicios Públicos), es
altamente vulnerable a las amenazas sociales, ya sean de origen voluntario,
político o comercial (huelgas, atentados, secuestros, extorsiones, restricciones
comerciales, fraude, cambios de legislación, etc.), además de presentar
amenazas tecnológicas típicas para este tipo de operación (incendios,
explosiones, rotura de presas, pérdida de información, contaminación, fallas en
procesos, accidentes de transporte, etc.), así como las amenazas naturales
propias de las zonas en donde opera (sismos, inundaciones, sequías, etc.).
EE.PP.M. ha desarrollando en las diferentes Unidades Estratégicas de
Negocios –UEN, Unidades de Núcleo Corporativo –UNC y Unidades de
Servicios Compartidos –USC, programas y planes específicos para el manejo
de sus riesgos. Sin embargo, se hace necesario integrar todos estos esfuerzos
para que tengan un mismo enfoque y estructura, así como un modelo
organizacional para su administración y operación, coherente con la Misión y la
Visión de la Empresa.
Con este propósito, se expidió el DECRETO No 648 del 3 de abril de 1995, el
cual fue actualizado y reemplazado con el 1029 del 22 de Enero de 1999, por
medio del cual se implanta el Sistema Corporativo de Administración de
Riesgos, sus políticas, directrices, normas y procedimientos, el cual establece el
proceso para la gestión de los riesgos en EE.PP.M., define los lineamientos
para hacerlo, y asigna funciones y responsabilidades al respecto.
Con miras al logro del anterior propósito, y en cumplimiento de las funciones a
ella asignadas, la Dirección de Informática Corporativa ha considerado muy
importante y necesario desarrollar y documentar una metodología con el
propósito de aplicarla en todos los proyectos de tecnología de información que
34
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
emprenda la corporación y bajo la responsabilidad de esta dirección, para ser
aplicado a las necesidades de la empresa.
Se busca que en cada una de las Gerencias y Direcciones de EE.PP.M. sean
capaz de aplicarla, sirviendo de nexo entre los aspectos estratégicos de la alta
Gerencia y los aspectos operativos de los proyectos de tecnología de
información que están en ejecución. Todo lo anterior adecuado al marco legal y
organizacional que rige el funcionamiento de la empresa.
35
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
9. QUÉ SON LAS EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P.
Hasta 1997 Empresas Públicas de Medellín E.S.P. fue una entidad
descentralizada del orden municipal, creada en 1955 por el Consejo
Administrativo de Medellín. El 6 de agosto de ese año cuatro entidades,
adscritas en ese entonces al Honorable Concejo Municipal las de Energía,
Acueducto, Alcantarillado y Teléfonos fueron fusionadas en un establecimiento
autónomo por determinación del Consejo Administrativo de Medellín, mediante
el Acuerdo Número 58.
El 18 de noviembre de 1955 la Alcaldía de Medellín expidió los Estatutos de la
organización (Decreto 375), reglamentando así su existencia, la cual quedó
confirmada el 25 de noviembre del mismo año con la sanción del Gobernador.
Pero fue sólo en enero de 1956 cuando realmente EE.PP.M. inició su vida
administrativa. En 1989, el Acuerdo Número 002 incluyó en los Estatutos el
manejo y mejoramiento del medio ambiente como parte del objeto social de
EE.PP.M. Además reformó el nombre del servicio telefónico por el de
telecomunicaciones.
Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997
expedido por el Concejo de Medellín y en aplicación de las previsiones de la
Ley 142 de 1994, Empresas Públicas de Medellín E.S.P. fue transformada en
una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la
prestación de los servicios públicos domiciliarios de acueducto, alcantarillado,
energía, distribución de gas por red y telecomunicaciones.
Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra
sometida a las disposiciones de la ley comercial para el desarrollo de sus
36
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
actividades, lo cual la sitúa, en principio, en igualdad de condiciones con las
empresas de servicios públicos domiciliarios. Por el objeto al cual se halla
dedicada, está sujeta a las disposiciones de la Ley 142 de 1994 Régimen de
los Servicios Públicos Domiciliarios y debe desenvolverse en el ambiente de
competencia entre los diferentes prestadores de los servicios, según lo previsto
en el mencionado régimen.
Su sede es Medellín, capital del departamento de Antioquia, con una población
de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de
habitantes, la mayoría localizados en el Valle de Aburrá, corredor geográfico
donde además de Medellín se encuentran los municipios de Bello, Copacabana,
Girardota, Barbosa, Itagüí, Envigado, Sabaneta, La Estrella y Caldas.
La seriedad de su gestión, sus niveles de calidad y cobertura y el estricto
cumplimiento de sus compromisos financieros le han valido el respaldo de los
organismos crediticios nacionales e internacionales.
En ese entonces Medellín tenía unos 500 mil habitantes. Los servicios estaban
en manos de empresas independientes, todas de carácter municipal. El servicio
de energía contaba con 75.517 suscriptores, la mayoría de ellos residenciales, y
una capacidad instalada de 100 mil kilovatios, representados en las centrales
de Piedras Blancas y Guadalupe I y II, ésta última motor del desarrollo industrial
de la capital Antioqueña.
El servicio de acueducto llegaba apenas a 50506 usuarios que consumían
diariamente 115 mil metros cúbicos. La infraestructura, todavía insuficiente,
incluía el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de
Villa Hermosa (la primera de purificación, aún en funcionamiento) y el embalse
de Piedras Blancas.
37
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
En materia de telecomunicaciones la aparición de las Empresas Públicas de
Medellín E.S.P. marcó el advenimiento de un gran avance administrativo,
técnico y operativo. Al cierre de 1955 existían 25.759 suscriptores en telefonía
básica, 29.500 líneas y 54 teléfonos públicos.
DE AYER A HOY
Cincuenta años después la población se ha quintuplicado. EE.PP.M. trabaja día
a día para elevar el nivel de vida no sólo de los habitantes de Medellín, sino de
todo el Valle de Aburrá, garantizándoles la prestación de los servicios públicos
básicos con los más altos niveles de calidad, oportunidad y eficiencia.
En el marco de una clara y total función social, sus estatutos le asignan, en
forma expresa, el objetivo de constituir un factor de bienestar y progreso para la
comunidad.
En este tiempo EE.PP.M. ha construido la columna vertebral del sistema
hidroeléctrico Antioqueño. Los desarrollos de Guadalupe, la primera y segunda
etapa de la central Guatapé, las centrales de Playas, Niquía y La Tasajera, y el
avance del proyecto Porce II, encarnan el más grande patrimonio energético de
la región. En 1998 entró en operación La Sierra, su primer desarrollo térmico a
base de gas.
EE.PP.M. ha asumido también la prestación y distribución gradual del servicio
de gas natural en 10 municipios del Valle de Aburrá, labor que inició desde
agosto de 1998.
38
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Si de acueducto, se habla, EE.PP.M. entrega el agua de mejor calidad del país,
procesada en 11 plantas de potabilización. La Empresa de Aguas cuenta con
fuentes de agua y sistemas de captación suficientes para atender la población
hasta condiciones de máxima saturación. Dispone del más moderno laboratorio
de Colombia para el control del agua, mediante análisis bacteriológicos, físico
químicos, instrumentales y de aguas residuales.
En materia de alcantarillado y resueltas las necesidades de agua potable del
Medellín Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el
saneamiento del río Medellín y para lograr este propósito ha construido y puesto
en operación la primera gran planta de aguas residuales, la de San Fernando.
En el área de telecomunicaciones el impulso tecnológico ha sido una constante.
Ha brindado aportes importantes en estas cuatro décadas como las centrales
digitales, la transmisión por fibra óptica, los sistemas telefónico vía radio,
buscapersonas y de transmisión de datos; la Red Digital de Servicios
Integrados, RDSI, y la videoconferencia. Toda esta tecnología cuenta con el
respaldo de servicios computarizados, como el de información al usuario o 113,
el de atención de daños o 114, y los centros de Control, de Operación y
Mantenimiento.
HACIA EL FUTURO
Empresas Públicas de Medellín E.S.P. sigue preparándose para el futuro. Hacia
el 2005, su presupuesto aprobado alcanzará los $4.797.740 millones de pesos.
Esta previsión en el desarrollo de los servicios es el resultado de la planificación
y de la visión futurista de muchas generaciones de antioqueños. Gracias a ese
39
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
sentido de planeación, el panorama de los servicios públicos en Medellín y en
los demás municipios donde la Empresa presta servicios, se encuentra tan
despejado como en el presente y en el pasado. Así lo confirman los planes de
desarrollo ya financiados con recursos propios y de la banca multilateral y
comercial.
En desarrollo de su Plan de Expansión de Energía, trabaja en Porce II que, en
los albores del siglo XXI entregará al país 392 MW; en el proyecto Nechí (750
MW) que será una realidad a partir del 2005, y en la segunda fase de un
desarrollo térmico en el Magdalena Medio.
Con su servicio domiciliario de Gas Natural Empresas Públicas de Medellín
E.S.P. aspira a cubrir todo el Valle de Aburrá. El desarrollo del plan de
masificación se extenderá hasta el año 2005 y demandará la construcción de 89
kilómetros de redes primarias, 24 estaciones reguladoras para los circuitos y
5.600 kilómetros de redes secundarias.
En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones
venideras un río Medellín recuperado, más amable y sin olores. A través de su
plan de Saneamiento proyecta 406 kilómetros de redes, la puesta en marcha de
la planta San Fernando para el tratamiento de aguas residuales, al sur del Valle
de Aburrá, y la definición y el diseño de una segunda planta en Bello, al norte
del Valle de Aburrá.
Empresas Públicas de Medellín E.S.P. está preparada para afrontar el reto
tecnológico de las telecomunicaciones del siglo XXI: con EMCALI constituyó a
EMTELCO para la prestación de servicios de valor agregado y telemáticos a
nivel nacional e internacional, y con los grupos empresariales Bavaria y
40
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Sarmiento Angulo conformó a Orbitel S.A. para la prestación de los servicios de
Larga Distancia nacional e internacional.
EE.PP.M. adquirió igualmente la empresa Veracruz TV Cable, hoy EPM
TELEVISIÓN, para prestar el servicio de televisión por suscripción, así como el
36.88% de las acciones de EMTELSA, la telefónica de Manizales.
Uno de los principales pilares que sostiene la gestión y la credibilidad pública de
las Empresas Públicas de Medellín E.S.P. es el rigor conceptual que respalda
todos sus actos:
Rigor jurídico, por su respeto a la Constitución, a las leyes de la República y al
ordenamiento legal específico que las rigen, en particular sus estatutos
orgánicos y de contratación administrativa.
Rigor técnico por la planeación de largo plazo y por los procesos de selección,
adquisición, montaje y operación de los recursos tecnológicos más adecuados,
que garanticen la prestación de los servicios en forma oportuna, confiable y
económica.
Rigor financiero, por su manejo ortodoxo del dinero. La entidad sólo puede ser
viable si sus rentas le permiten cubrir los costos de operación, mantenimiento,
reposición y expansión de sus sistemas. Al mismo tiempo sólo puede ser eficaz
y eficiente si mantiene el equilibrio en el costo de los servicios que cobra a los
usuarios y transmite a éstos la señal adecuada para el uso racional de los
mismos servicios.
41
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
NUEVO ESQUEMA EMPRESARIAL
La apertura económica y la consecuente competencia en todos los campos y
los nuevos esquemas regulatorios establecidos por la Constitución Política de
1991 y sus desarrollos legales generan un nuevo ambiente para estas
organizaciones.
Empresas Públicas de Medellín E.S.P. claramente requiere acomodarse al
nuevo esquema para mantener su permanencia y crecimiento en beneficio de la
comunidad. Por lo tanto, uno de sus principales procesos de planeación lo
constituye el análisis de su esquema empresarial y de sus condiciones
estratégicas de desarrollo en el nuevo ambiente institucional.
Empresas Públicas de Medellín E.S.P. es hoy el resultado de las decisiones
acertadas que se tomaron hace cincuenta años, como respuesta a las
exigencias del momento. Con gran visión, los gestores del ente autónomo
crearon una empresa que demostró ser la más apropiada para responder a las
necesidades del desarrollo económico y social de la ciudad.
Hoy, los administradores de la organización, los dirigentes y la opinión pública
enfrentan una evidencia irrebatible: encarar con éxito las nuevas condiciones
políticas, económicas e institucionales del país y del mundo, relacionadas con la
prestación de los servicios públicos.
ESTRUCTURA ORGANIZACIONAL DE EE.PP.M. EN EL 2005
Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270)
funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.
42
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063)
contratistas tienen acceso a los diferentes servicios que ofrece la red
corporativa de datos.
En la gráfica siguiente se muestra como es la organización y la manera de
cómo se administra la gente y los recursos que maneja la empresa.
Geren c ia de In vers ió n Gerenc ia d e Planeac ión Co rpo rati va
Gerencia Generación Energía
Gerenc ia D istribución Energía
Gerencia Telecomunicaciones
Sec retar ía General Di recc ió n de Con tro l In terno
Gerencia General
Un idad de Comun ic ac iones y Relac io nes Co rpo rat iv as
Un id ad es d e N ú c le o Co rp o ra tivo
U n id ad e s Est ra té g ic as d e N eg o c io
U n id ad es d e Se rv ic io s Com pa r tid o s
ORGANIGRAMA EEPPM
Di recc ió n Fin an c iera
Gerencia Aguas
Gerencia Comercial
Di rec c ión Adm in is t rat iva
D irec c ión Ges tión Hum an a
D irec c ión In fo rm át i ca Co rpo rati va
Geren c ia de In vers ió n Gerenc ia d e Planeac ión Co rpo rati va
Gerencia Generación Energía
Gerenc ia D istribución Energía
Gerencia Telecomunicaciones
Sec retar ía General Di recc ió n de Con tro l In terno
Gerencia General
Un idad de Comun ic ac iones y Relac io nes Co rpo rat iv as
Un id ad es d e N ú c le o Co rp o ra tivo
U n id ad e s Est ra té g ic as d e N eg o c io
U n id ad es d e Se rv ic io s Com pa r tid o s
ORGANIGRAMA EEPPM
Di recc ió n Fin an c iera
Gerencia Aguas
Gerencia Comercial
Di rec c ión Adm in is t rat iva
D irec c ión Ges tión Hum an a
D irec c ión In fo rm át i ca Co rpo rati va
VISIÓN
Ser una empresa líder en Colombia y relevante en América Latina en la
prestación integral de servicios públicos domiciliarios y conexos, que a partir
del conocimiento de las necesidades de los clientes, les brinde soluciones de
valor agregado y un nivel de excelencia que los satisfaga, y de esta manera
garantice su lealtad y maximice el valor generado por cada uno de ellos.
43
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
MISIÓN
Ser una empresa de servicios públicos domiciliarios integrales de clase mundial:
Que satisfaga las necesidades de sus clientes con servicios de excelencia.
Que contribuya de esta forma al desarrollo socioeconómico de las áreas donde
actúe.
Que genere rendimientos económicos suficientes para atender a su crecimiento
y contribuir a la satisfacción de las necesidades de la ciudad de Medellín y su
gente.
VALORES ORGANIZACIONALES
Los siguientes son los valores que caracterizan y mueven a las Empresas
buscando siempre su estabilidad, crecimiento y cumplimiento de su misión,
visión y responsabilidad social:
Innovación: Implementación de nuevas alternativas a problemas o situaciones
con un fuerte enfoque de mejoramiento.
Conocimiento y satisfacción del cliente: habilidad para conocer e indagar
sobre las necesidades de cada cliente, logrando que él opte por nuestros
servicios después de haber entendido sus necesidades, satisfaciéndolas en
tiempo y forma, superando incluso sus expectativas.
44
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Integridad: disposición para actuar con principios éticos, de manera confiable y
consecuente con los objetivos empresariales, sin obtener ventajas personales
en las decisiones o en los procesos organizacionales.
Productividad: capacidad para cumplir los objetivos rentables propuestos
haciendo uso óptimo de los recursos disponibles.
ADMINISTRACIÓN
La máxima autoridad de EE.PP.M. es la Junta Directiva, conformada por
representantes de la Alcaldía de Medellín, el Concejo y las entidades cívicas o
de usuarios de los servicios, con presidencia del Alcalde Metropolitano.
La representación legal y la administración están a cargo del Gerente General,
nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias:
Auxiliar, Telecomunicaciones, Aguas, Generación de Energía, Distribución de
Energía, Comercial, EPM Consulting y Planeación Corporativa; seis
Direcciones: Informática Corporativa, Administrativa, Gestión Humana, Control
Interno, Desarrollo Organizacional, Financiera; y la Secretaría General. El
Control Fiscal posterior de EE.PP.M. lo ejerce la Contraloría Municipal.
PRESUPUESTO
Empresas Públicas de Medellín aprobó para el año 2005 un presupuesto de
$4.797.740 millones de pesos.
De esa cifra, el 39% será destinado a inversión, un 18% a funcionamiento, 31%
a la operación comercial y otro 12% al servicio de la deuda.
45
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
FUNCIÓN SOCIAL
Para atender adecuada y oportunamente a las clases menos favorecidas,
durante más de 30 años EE.PP.M. ha aportado soluciones concretas al
problema de los servicios de Energía, Telefonía Básica, Acueducto y
Alcantarillado en las zonas urbanas y semirurales de Medellín y en los demás
municipios de su área de influencia, a través de su Programa Habilitación
Viviendas, buscando mejorar la calidad de vida de las comunidades, mitigando
los impactos generados por las obras y proyectos, participando activamente en
el desarrollo comunitario y velando por el cumplimiento de las obligaciones
consagradas por ley.
La entidad ha estado presente en Antioquia con la ejecución de obras de amplio
contenido social: carreteras, puentes, sedes educativas, culturales y
comunitarias; pavimentación de vías, suministro y transporte de materiales y
maquinaria; dotación de espacios locativos, creación de fuentes de empleo,
obras de explanación, protección y drenaje, prestación de servicios públicos
básicos, realización de actividades forestales, labores de veeduría, asesoría e
interventoría, entre otras.
GESTIÓN AMBIENTAL
Las Empresas Públicas de Medellín E.S.P. desarrollan desde hace más de tres
décadas una vasta tarea reforestadora y de protección de los recursos
naturales de los cuales se sirve, agua, suelo y bosques, a través del cuidado de
cuencas y microcuencas, la ejecución de actividades de reforestación,
mantenimiento de bosques naturales alrededor de sus embalses, control de
erosión y estudios de recuperación e impactos ambientales, entre otros.
46
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Empresas Públicas de Medellín también hace presencia ecológica en Antioquia
con su Plan de Parques como son: La Culebra en el embalse PeñolGuatapé,
Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras
Blancas en la represa del mismo nombre entre Medellín y Guarne, y el núcleo
Mirador de la Torre en Riogrande II, en el municipio de Don Matías, constituyen
verdaderas reservas forestales y, al mismo tiempo, opciones recreativas para la
comunidad, llenas de senderos, miradores naturales, agua y mucho paisaje.
Además, EE.PP.M. hizo aportes importantes en tierra y en la construcción de la
infraestructura de servicios públicos al Parque de las Aguas, con el cual se
abrió un nuevo lugar de esparcimiento para la comunidad.
NUESTROS COMPROMISOS
Las Empresas concientes de su responsabilidad social y del desarrollo integral
de la ciudad y el departamento, ha adquirido dentro de su gestión, los
siguientes compromisos:
MANEJO INTEGRAL DEL AMBIENTE
Se entiende el ambiente como el resultado de la interacción dinámica entre el
medio natural y el medio social. En este contexto, la gestión ambiental estará
relacionada con la prevención y el manejo adecuado de los impactos
ambientales no deseables y la potenciación de los impactos positivos causados
por los proyectos, obras o actividades propios de cada uno de los negocios en
las áreas de influencia.
47
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
La gestión ambiental se fundamenta en un enfoque integral y preventivo, en
métodos interdisciplinarios y de trabajo en equipo, en mecanismos de
comunicación, concertación y participación con todos los actores involucrados
en dicha gestión y mediante la responsabilidad individual y colectiva de los
trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el
propósito de insertar adecuadamente los proyectos y obras en las áreas donde
actúa EEPPM, bajo los principios de uso racional de los recursos naturales, de
responsabilidad social con la población influenciada y de compromiso con las
generaciones futuras.
En EE.PP.M. se cumple con la legislación ambiental establecida en la
Constitución, las leyes y las normas aplicables al desarrollo de proyectos y
obras.
MEJORAMIENTO CONTINUO DE LA GESTIÓN AMBIENTAL
Se asume el compromiso de mejoramiento continuo de la gestión ambiental
mediante la planeación, implementación, revisión y actualización de los
procesos y acciones que interactúan con el ambiente, para integrar y dar
coherencia a la gestión realizada por la Organización en su relación con el
entorno.
Está afianzada la integralidad técnica económica y ambiental en todos los
proyectos y obras y se mantiene el compromiso de que la gestión ambiental
debe estar asociada a la innovación, al fomento de la investigación, al
desarrollo tecnológico y del talento humano y a la optimización de los recursos
en la búsqueda del mejoramiento de la productividad, la eficiencia y la
racionalización de los costos ambientales, con el fin de fortalecer la
competitividad de las Empresas Públicas de Medellín E.S.P.
48
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
PARTES INTERESADAS
Reafirmamos que el cliente es nuestra razón de ser, por lo tanto el compromiso
con la excelencia en la prestación de los servicios, en la satisfacción de sus
necesidades y en la comunicación adecuada, seguirán siendo la base de
nuestra relación con éste.
La información oportuna, la consulta, la concertación y la participación efectiva
fundamentan nuestras relaciones con el Municipio de Medellín, los clientes, los
empleados, las comunidades donde actuamos, los proveedores y demás
actores involucrados en nuestra gestión ambiental. De esta manera, se afianza
la lealtad, el respeto, la confianza y la interacción de mutuo beneficio.
Nos comprometemos a divulgar la política ambiental a todos los empleados
desarrollando programas y medios que posibiliten su conocimiento y aplicación,
como también su disponibilidad para el público en general.
GESTIÓN DE RIESGOS
Para garantizar una óptima confiabilidad de los equipos, instalaciones y
procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de
las normas y prácticas de ingeniería, una adecuada interventoría en la
construcción y montaje, y una efectiva administración, operación y
mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros
tiene en ejecución varios programas de Control y Administración de Pérdidas,
los cuales comprenden la identificación de peligros, la evaluación y análisis de
los riesgos, la elaboración de recomendaciones para minimizar el riesgo, la
asesoría y coordinación con las dependencias involucradas en el análisis de la
viabilidad técnica y económica de las medidas recomendadas, y el análisis e
49
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
implementación de las alternativas de administración de riesgos más
convenientes.
Estos estudios están orientados al análisis de todo tipo de riesgos asociados a
las instalaciones en particular (centrales hidroeléctricas, subestaciones,
almacenes generales, laboratorios, etc.), incluyendo las pérdidas materiales,
humanas, afectación del medio ambiente, responsabilidad civil, si existe.
Mediante el decreto No. 648 del 3 de abril de 1995 de EE.PP.M. las Empresas
implantaron un sistema corporativo de administración de riesgos, el cual
contempla las políticas, normas y procedimientos a seguir en materia de gestión
de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e
intereses de las Empresas, además de la comunidad y el medio ambiente que
bajo ciertas condiciones podría amenazar o ser amenazada por las operaciones
propias de las Empresas.
Dicho decreto fue actualizado y reemplazado mediante el 1029 del 22 de enero
de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de
reestructuración interna adelantado en las Empresas.
A partir de este decreto, se dio inicio al proceso de administración de riesgos en
cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de
Administración de Riesgos, SCAR.
Mediante éste sistema se pretende desarrollar, estandarizar e implementar la
metodología y herramientas para la ejecución de las etapas de identificación,
análisis, evaluación, control físico y financiero de los riesgos en cada una de las
dependencias de las Empresas Públicas de Medellín.
50
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Para lo anterior se ha contado con la dedicación de numerosos funcionarios
adscritos a las diferentes Unidades, quienes han recibido capacitación y
entrenamiento en diferentes temas de administración de riesgos, con el objeto
de que cada uno se convierta en multiplicador de la cultura de la administración
de riesgos en las EE.PP.M.
CULTURA EMPRESARIAL
Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia
por la entidad, no sólo por parte de sus funcionarios, empleados y trabajadores,
sino también por parte de la comunidad, que la quiere, la respeta y cierra filas
en torno a ella para defenderla de amenazas externas. Se ha generado así un
verdadero círculo virtuoso: la gente apoya a las Empresas Públicas de Medellín
E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la
gente.
Todo esto se manifiesta en la forma como sus directivas y funcionarios en
general manejan los recursos que le son asignados para el cumplimiento de sus
funciones y como dentro de su práctica profesional han incluido el manejo del
riesgo en el que hacer diario y en los nuevos proyectos que emprende la
corporación para mejorar la calidad de vida de su comunidad, razón de ser de la
Empresa.
Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido
capacitación y han sido multiplicadores del tema, la cultura de administrar el
riesgo se ve cada vez inmersa en los procesos, en las contrataciones y en la
adquisición de la tecnología de información bajo esquemas de redundancia, alta
disponibilidad y respaldo necesaria para soportar y mantener el servicio 24
51
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
horas 7 días a la semana, que es lo que demanda hoy el cliente y la
competencia.
GRUPO EMPRESARIAL EE.PP.M.
A continuación se muestran algunas de las empresas en las cuales EE.PP.M.
tiene participación económica. Algunas de estas empresas están alineadas
dentro de la estrategia de TI junto con EE.PP.M. en la búsqueda de sinergias.
Empresa Participación Actividad Principal
EPM BOGOTÁ 63.40% Telecomunicaciones
EMTELSA 36.88% Telecomunicaciones
ORBITEL 50.00% Telecomunicaciones – larga distancia
Empresa Telefónica de Pereira 56.14% Telecomunicaciones
EMTELCO 99.54% Comunicación de datos
EDATEL 56.00% Telecomunicaciones
Colombia Móvil 50.00% Telefonía Móvil PCs
TELEPSA 60.00% Telecomunicaciones
Aguas de Oriente 56.00% Aguas
EPM Bogota Aguas 89.58% Aguas
EADE 63.90% Energía
CHEC 56.00% Energía
Energía de Quindío 56.00% Energía
HET S.A. (BONYIC) 75.00% Energía
52
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
10. QUÉ ES LA DIRECCIÓN INFORMÁTICA CORPORATIVA
Es el área encargada de promover y liderar la planeación y el desarrollo
coherente e integrado de la informática en las Empresas, para garantizar una
estrategia informática alineada con la visión corporativa.
ESTRUCTURA
Actualmente La Dirección de Informática Corporativa cuentan con ciento
cincuenta y ocho (158) funcionarios distribuidos en las diferentes áreas que
componen dicha Unidad de Servicio Compartido (USC).
En la gráfica siguiente se muestra como es la organización:
Unidad Planeación Informática
Unidad Gestión Informática
DIRECCIÓN DE INFORMÁTICA CORPORATIVA
Unidad Sistemas de Información
Unidad de Ingeniería y Tecnología Informática
Unidad Operaciones Informática
Unidad Planeación Informática
Unidad Planeación Informática
Unidad Gestión Informática
DIRECCIÓN DE INFORMÁTICA CORPORATIVA
Unidad Sistemas de Información
Unidad de Ingeniería y Tecnología Informática
Unidad de Ingeniería y Tecnología Informática
Unidad Operaciones Informática
53
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
UNIDAD PLANEACIÓN INFORMÁTICA
Su función es elaborar y mantener actualizada la estrategia informática, en
cuanto a aplicaciones, tecnología y organización, con sus correspondientes
planes estratégicos y tácticos, para garantizar un desarrollo integrado de la
informática en las Empresas.
UNIDAD GESTIÓN INFORMÁTICA
Su función es asesorar y trabajar en equipo con las unidades de la Dirección
Informática Corporativa y con las demás gerencias, en la ejecución y el
mejoramiento de sus planes, para garantizar la coherencia de la gestión
informática de todas las unidades.
Ofrece apoyo en lo referente al mejoramiento de los productos y servicios,
medición de la calidad del servicio, asesoría y adquisición de infraestructura
informática.
UNIDAD INGENIERÍA Y TECNOLOGÍA INFORMÁTICA
Su función es coordinar la Integración de la planeación informática, las
necesidades de ingeniería y tecnología y la infraestructura informática para
proveer asesoría especializada a toda la organización.
Presta soporte especializado en los temas de seguridad informática, viabilidad
técnica para adquisición de tecnología y compatibilidad con la infraestructura
que posee EE.PP.M.
54
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
UNIDAD SISTEMAS DE INFORMACIÓN
Su función es coordinar la adquisición de paquetes de software, el desarrollo, la
evolución y mantenimiento de los sistemas de información corporativos tales
como OneWorld, Sigma, Siebel, Fénix, Factura, Open, entre otros, para
garantizar que éstos apoyen los procesos organizacionales.
UNIDAD OPERACIONES INFORMÁTICA
Su función es coordinar la instalación, soporte, operación y mantenimiento de
todos los equipos informáticos, servidores, redes y aplicaciones para
garantizarle a la corporación la disponibilidad de la infraestructura tecnológica.
PENSAMIENTO ESTRATÉGICO
Para entender el papel de la Dirección Informática Corporativa en lo relacionado
con la infraestructura de TI, veamos a continuación un resumen de su
pensamiento estratégico:
MISIÓN
“Crear y prestar servicios de Tecnología de Información que sean convenientes
para el desempeño integral del Grupo Empresarial EPM.” Desempeñando los
siguientes roles:
• Direccionador y controlador de TI en Las Empresas.
• Direccionador estratégico de TI para las empresas filiales.
• Prestador de servicios de tecnología de iformación.
55
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
VISIÓN
Ser la mejor opción en la prestación de servicios de Tecnología de Información
para el Grupo Empresarial EPM.
ESTRATEGIA
• Retener y Potenciar el liderazgo en servicios de TI en el Grupo
Empresarial.
• Ser los líderes de la planeación, la evolución y el soporte de los
paquetes corporativos.
• Obtener sinergias en TI entre EE.PP.M. y sus filiales.
• Apalancar el negocio de IDC y buscar la convergencia del datacenter
• Mantener las aplicaciones críticas en los niveles de continuidad que
requiere el negocio.
56
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
11. METODOLOGIA PARA EL ANÁLISIS Y VALORACIÓN DE
RIESGOS EN PROYECTOS DE TECNOLOGÍA DE
INFORMACIÓN
Es importante en toda organización contar con una herramienta, que garantice
la correcta evaluación de los riesgos, a los cuales están sometidos los procesos
y actividades que participan en un proyecto de tecnología de información; y por
medio de una buena gestión se pueda evaluar el desempeño, desarrollo y
ejecución del mismo.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que una de las principales causas de los problemas dentro
del entorno informático, es la inadecuada administración de riesgos, este
trabajo sirve de apoyo para una adecuada gestión de la administración de
riesgos, basándose en los siguientes aspectos:
• La sensibilización en la administración y gestión de los riesgos.
• La asignación de responsables a los proyectos de tecnología de
información.
• La evaluación y valoración de los riesgos inherentes a los proyectos de
tecnología de información y a los procesos que soporta
• El análisis de las causas de los riesgos.
• Los controles utilizados para minimizar los riesgos.
El proceso de administración de riesgo es el conjunto de estrategias tendientes
a minimizar los riesgos asociados al funcionamiento de un sistema, con el fin de
disminuir las pérdidas y garantizar su estabilidad operativa y financiera en el
corto plazo y su continuidad y permanencia en el largo plazo.
57
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
El esfuerzo metodológico desarrollado en este documento, en donde se
integran los conceptos de la administración de riesgos y la gerencia de
proyectos, es aplicable a cualquier empresa puesto que la metodología descrita,
en sí no tiene restricciones específicas.
A continuación se describen las fases, actividades y tareas que se deben
realizar en las fases que conforman la metodología y son: (0) Sensibilización,
(1) Planeación del proyecto, (2). Inicio del proyecto, (3) Análisis y valoración de
riesgos.
Sen s ib i l i zac ió n
P lan eac ió n In ic io d e l P r o y ec t o G es t ió n d e l R ie s g o
• C o n f i rm ac ió n d e l A l c a n c e .
• L o g ís t i c a d e A d m in i s t r ac ió n .
• C o n f o rm ac ió n d e l eq u ip o d e t r a b a jo .
• L a n zam ien t o d e l P r o y e c t o .
• C o n o c im ien t o d e l N eg o c io .
• S o l i c i t u d d e r eq u e r im ien t o s d e In f o rm ac ió n
• P lan d e en t r ev i s t a s .
• Id en t i f i c ac i ó n .
• A n á l i s i s y V a l o r a c i ó n .
• C o n t r o l .
• R e t en c ió n .
• T r a n s f e r en c ia .
• A n á l i s i s d e R e s u l t ad o s .
FASES DE L A M ETODOL OG ÍA
Sen s ib i l i zac ió n S en s ib i l i zac ió n
P lan eac ió n In ic io d e l P r o y ec t o G es t ió n d e l R ie s g o
• C o n f i rm ac ió n d e l A l c a n c e .
• L o g ís t i c a d e A d m in i s t r ac ió n .
• C o n f o rm ac ió n d e l eq u ip o d e t r a b a jo .
• L a n zam ien t o d e l P r o y e c t o .
• C o n o c im ien t o d e l N eg o c io .
• S o l i c i t u d d e r eq u e r im ien t o s d e In f o rm ac ió n
• P lan d e en t r ev i s t a s .
• Id en t i f i c ac i ó n .
• A n á l i s i s y V a l o r a c i ó n .
• C o n t r o l .
• R e t en c ió n .
• T r a n s f e r en c ia .
• A n á l i s i s d e R e s u l t ad o s .
FASES DE L A M ETODOL OG ÍA
FASE 0: SENSIBILIZACIÓN
Se debe fomentar en la organización y el proyecto la cultura del riesgo. En la
medida en que se perciban los riesgos a qué se está expuesto, se estará en
capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta
durante el desarrollo de todo el proyecto y se puede decir que de aquí depende
en gran parte el éxito del mismo.
58
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Todo integrante juega un papel importantísimo en la Administración de Riesgos,
toda vez que al ser parte activa del proceso, consolida una cultura
organizacional que garantiza la adecuada protección de los bienes, recursos y
procesos de la empresa y asegura un manejo de los riesgos en forma racional,
óptima, integral, confiable, altamente participativa y a costo mínimo.
Todo funcionario de las Empresas debe asumir un papel y responsabilidad
claramente definida frente a los riesgos.
Con esta actividad lo que se pretende es identificar las características generales
de las personas involucradas en el proyecto, así como las percepciones,
motivaciones y sugerencias que tiene frente a la administración de los riesgos,
reconociendo la conformación e interrelación entre los distintos equipos de
trabajo, todo esto para generar las estrategias de sensibilización y
comunicación que faciliten la implementación exitosa del proyecto en la entidad
y la adecuada gestión del riesgo durante su ejecución.
Para lograr lo anterior se pueden utilizar instrumentos como las entrevistas, las
encuestas, la observación del comportamiento frente al riesgo entre otras.
Con los resultados obtenidos después de aplicar dichos instrumentos, se define
las estrategias de sensibilización que deben estar enfocada a reforzar el poder,
el querer y el saber partiendo del hecho de reconocer que las personas son los
artífices del cambio. Asume que el ser humano no es resistente al cambio sino
a ser cambiado, por lo tanto el verdadero cambio se da al interior de las
personas.
59
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Sen s ib i l izac ió n
Qu iera (Qu ere r ) • Actitud • Conducta • Comprom iso
Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les
Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas
Sen s ib i l izac ió n Sen s ib i l izac ió n
Qu iera (Qu ere r ) • Actitud • Conducta • Comprom iso
Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les
Sep a (Sab er ) • Competenc ias T écn icas • Competenc ias Func ionales • Competenc ias Interpersona les
Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas
Pu eda (Po d er ) • Recursos • P roced im ien tos • Estándares • S is temas y Herram ien tas
Está científicamente comprobado, que los adultos tenemos ciertas
características en el aprendizaje en la que la transmisión oral o visual de
conceptos y conocimientos solo permiten un nivel de efectividad y recordación
promedio del 20%, mientras que las vivencias y/o los descubrimientos que
realizamos por nosotros mismos se graban en un 80%, facilitando un proceso
sistémico y perdurable de aprendizaje y cambio, pero sobre todo de aplicación
práctica, útil e inmediata.
En este orden de ideas, las metodologías vivenciales o de outdoortraininng,
logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el
objetivo de modificar conductas y comportamientos, generando compromisos y
facilitando los procesos de cambio y transformación cultural.
El Outdoortraining es una metodología de formación que se basa en reproducir
situaciones empresariales a través de simulaciones y de actividades al aire
libre. Es lo que llamamos una metodología vivencial, porque el punto de
partida es la experiencia que viven los participantes.
60
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Después de estas situaciones fuera del aula, se analiza de forma conjunta lo
sucedido, se exploran las analogías que existen con la realidad de las
organizaciones. Posteriormente el aprendizaje se integra a través de la
asimilación de modelos conceptuales de psicología y management (kolb,
Hertberg, etc.).
El aprendizaje, en definitiva, se produce a través de la vivencia del equipo, del
análisis de ésta y de su conceptualización posterior. El último paso del proceso
consiste en transferir lo aprendido a la empresa a través de acciones y
compromisos concretos.
Tal y como se ha comentado anteriormente buena parte del éxito del proyecto
radica en disminuir la ansiedad que generará el proyecto, suministrando los
conceptos, procesos, metodologías y herramientas de análisis y valoración de
los riesgos, capacitando y entrenando a todos los involucrados y a aquellos que
participan de una manera puntual en el desarrollo del proyecto.
Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un
cambio de actitud y comportamiento de las persona frente al tema que se está
sensibilizando y para este caso concreto frente a la administración y gestión de
riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su
trabajo diario.
Todo lo anterior debe ir acompañado de una compaña de comunicación donde
se aprovecharán los medios corporativos existentes y se diseñarán otros que
garanticen la cobertura de los públicos identificados. La comunicación será
abierta, frecuente, breve, sencilla y durante toda la ejecución del proyecto.
61
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
FASE 1: PLANEACIÓN DEL PROYECTO
En esta fase se busca definir y confirmar el alcance, entender el ambiente de
trabajo donde se desarrollará el proyecto, identificando el responsable así como
el equipo que tomará parte en el mismo. En la Fase de planeación del proyecto
se busca desarrollar un plan de trabajo acorde con las necesidades planteadas
y con los requerimientos del cliente que para este caso pueden ser las UNCs,
UENs y USCs.
El siguiente mapa muestra cada una de las actividades que se deben llevar a
cabo en esta fase de planeación:
P L A N E A C IÓ N
1 . C o n f i r m a c ió n d e l A l c a n c e
2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n
P L A N E A C IÓ N P L A N E A C IÓ N
1 . C o n f i r m a c ió n d e l A l c a n c e 1 . C o n f i r m a c ió n d e l A l c a n c e
2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o
2 . C o n f o r m a c i ó n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n
3 . E s t a b l e c im ie n t o d e l a l o g í s t i c a d e a d m i n i s t r a c i ó n
Figura 1: Actividades de la Fase de Planeación del Proyecto
CONFIRMACIÓN DEL ALCANCE
El objetivo de esta actividad es que el equipo del proyecto y la organización
tengan muy en claro lo que contemplará el proyecto, cuáles procesos,
aplicaciones, servidores, instalaciones, bases de datos, etc, estarían incluidas
en el estudio. Además, se debe estar muy atento en conservar el alcance,
confirmarlo y no permitir que se modifique o cambie. De esto depende en gran
parte el éxito del proyecto.
62
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
CONFORMACIÓN DEL EQUIPO DE TRABAJO
Para realizar este tipo de proyectos es necesario conformar un equipo de
trabajo interdisciplinario entre la UEN, o UNC, o USC, la Dirección de
Informática Corporativa y con el apoyo puntual de las áreas que se requieran y
deban participar en el análisis y valoración de riesgos, utilizando mecanismos
de integración, comunicación y coordinación teniendo en cuenta lo siguiente:
• Conformar el equipo de trabajo con roles y responsabilidades definidas.
• Conformar el Comité directivo del proyecto con roles y responsabilidades
definidas que ayuden a dirimir conflictos, a tomar decisiones y a apoyar
el proyecto.
• Divulgar la metodología utilizada para hacer el análisis y valoración de
riesgos en proyectos de tecnología de información a los participantes por
parte de la Dirección de Informática Corporativa.
• Analizar los ajustes y mejoras requeridas en la metodología de acuerdo
con los cambios que hayan surgido en los sistemas de información y los
ambientes tecnológicos.
• Recolectar la información necesaria relacionada con las actividades de la
metodología teniendo en cuenta los controles que se implementan y
buscan mejorar el escenario del riesgo y disminuir su impacto.
• Aplicar la metodología teniendo en cuenta los ajustes y mejoras que
hayan sido requeridas y que fueron el resultado del análisis de la misma.
• Efectuar reuniones periódicas con los diferentes miembros del equipo de
trabajo, para conocer el estado de avance del análisis y valoración.
• Analizar la información y validar los resultados obtenidos de acuerdo con
la metodología aplicada.
• Estructurar el informe final del análisis y valoración de los riegos.
63
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Este equipo debe estar conformado por el cliente y el proveedor del servicio. La
siguiente figura muestra un esquema de cómo debe trabajar un proyecto de
esta naturaleza al interior de la organización.
M e to d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I
E q u i p o A s e s o r d e l a M e t o d o l o g ía
Eq u i p o d e l C l i e n t e U NC , U SC , U EN
Á r ea s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n
EQ U IPO D E TR A B A JO
COM UN ICA C IÓ N C O O R D IN A C IÓ N
IN TEG R A C IÓ N
TR A N SFER EN C IA D E C O NOC IM IEN TO
M e to d o l o g ía p a r a e l A n á l i s i s y v a l o r a c i ó n d e R i e s g o s e n P T I
E q u i p o A s e s o r d e l a M e t o d o l o g ía
Eq u i p o d e l C l i e n t e U NC , U SC , U EN
Eq u i p o d e l C l i e n t e U NC , U SC , U EN
Á r ea s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n
Á r e a s d e A p o y o d e l r e s t o d e l a O r g an iz a c i ó n
EQ U IPO D E TR A B A JO
COM UN ICA C IÓ N C O O R D IN A C IÓ N
IN TEG R A C IÓ N
TR A N SFER EN C IA D E C O NOC IM IEN TO
Figura 2: Esquema de trabajo en el proyecto
11.2.3. ESTABLECIMIENTO DE LA LOGÍSTICA DE ADMINISTRACIÓN
El propósito es definir cuales son las actividades que van apoyar y controlar la
administración del proyecto. Estas actividades dependen de cada empresa,
respetando su cultura y manera de ejecutar este tipo de proyectos, algunas de
ellas son:
• Realizar un recorrido por las instalaciones con el equipo de trabajo, aquí
se busca conocer el entorno de trabajo, la asignación de una oficina y
los recursos necesarios (escritorios, sillas, teléfonos, red, Internet, entre
otras) para el normal desarrollo del proyecto.
64
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
• Definir el cronograma (Plan de trabajo) que contenga las actividades, las
fechas de inicio y terminación, los responsables de ejecutarlas, los
recursos, el presupuesto y los productos o informes que se deben
elaborar y entregar.
• Definir el formato de los informes de avance, presentaciones y actas.
• Definir reuniones de seguimiento con el equipo del proyecto.
• Definir las reuniones periódicas de informe de avance o presentaciones
con el comité directivo del proyecto y las áreas dueñas para quienes se
está realizando el trabajo.
FASE 2: INICIACIÓN DEL PROYECTO
Es importante para llevar a cabo de una manera exitosa el proyecto contar con
el apoyo de la alta gerencia, por esto es necesario tener una permanente
comunicación con la dirección mediante informes de avances y presentaciones
que den una idea de cómo va el desarrollo del proyecto.
En esta fase se busca lanzar el proyecto con el fin de que la alta gerencia y las
áreas a las cuales se les va a hacer el trabajo lo conozcan, apoyen, participen y
se comprometan con ejecución y desarrollo hasta el final.
Después de que los involucrados, tanto áreas usuarias como equipo de
proyecto y alta gerencia, lo conocen, se desarrollan las actividades de
conocimiento del negocio, solicitud de requerimientos de información y el plan
de entrevistas de una manera más ágil y oportuna donde se evidencia
claramente si hay apoyo o no al proyecto.
65
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
El siguiente mapa muestra cada una de las actividades que se deben llevar a
cabo en esta fase de Iniciación:
IN IC IO DEL PROYECTO
4 . Reunión de lanzam iento de l p royecto
5. Conocim ien to de l N egoc io 6. So lic itud de Reque rim ien tos
de in form ac ión . 7 . P lan de Entrevis tas
IN IC IO DEL PROYECTO
4 . Reunión de lanzam iento de l p royecto
5. Conocim ien to de l N egoc io 6. So lic itud de Reque rim ien tos
de in form ac ión . 6 . So lic itud de Reque rim ien tos
de in form ac ión . 7 . P lan de Entrevis tas
Figura 3: Actividades de la Fase de Iniciación del Proyecto
REUNIÓN DE LANZAMIENTO DEL PROYECTO
Preparar una presentación que muestre los beneficios, el plan, los productos y
el equipo de trabajo, al grupo gerencial con el fin de confirmar el apoyo y lograr
el compromiso de cada una de las áreas dentro del alcance para asegurar el
éxito del proyecto.
CONOCIMIENTO DEL NEGOCIO
El equipo se debe hacer una idea general del negocio, los procesos en los que
se realizará el trabajo, la infraestructura de TI, instalaciones etc.
La mecánica para la realización consta de 2 partes:
• Solicitud de unos requerimientos de información básica.
• Presentaciones de los usuarios y dueños de tecnología
66
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
SOLICITUD DE REQUERIMIENTOS DE INFORMACIÓN
El equipo de trabajo debe hacer una solicitud a las áreas involucradas en el
estudio sobre la información necesaria para realizar el proyecto. Esta solicitud
se hace a través de una plantilla que recoja los requerimientos y la información
necesarios para conocer el negocio y sobre todo el área objeto del análisis.
PLAN DE ENTREVISTAS
Se debe elaborar un plan de entrevistas con las personas que conocen los
procesos, las aplicaciones y la infraestructura, donde se indique la fecha, hora y
lugar de la reunión. Es conveniente que las reuniones no sean muy extensas,
máximo de dos (2) horas, ya que se tiende a perder la información
suministrada.
FASE 3: GESTIÓN DEL RIESGO
Esta fase está destinada a identificar, evaluar, valorar y controlar los riesgos, la
frecuencia y severidad con que se pueden presentar y el grado de aceptabilidad
que tendría el proyecto o la organización si ocurriera dicho riesgo evaluado.
Para comenzar con el análisis y la valoración se requiere utilizar el mismo
lenguaje y que conceptualmente todos estemos de acuerdo para que el análisis
sea lo más objetivo posible y para poder lograrlo es necesario retomar algunas
definiciones hechas al principio de este documento:
Amenaza: Persona, objeto, situación o evento natural del entorno (externo o
interno) que es visto como fuente de peligro, catástrofe o interrupción y pueden
ser de origen natural tecnológico y social. Ejemplos: sismos, inundación,
67
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan
de contingencias, insuficiente gestión de monitoreo, aplicativos mal diseñados,
secuestro, fraude, etc. También se define como un riesgo no evaluado. Es
necesario cuantificarla para poder tomar decisiones (Administración de
Riesgos). En síntesis podemos definir que la amenaza es una percepción del
algo que puede ocurrir.
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se
materialice, debido a la existencia de una o varias vulnerabilidades de peso
significativo. El riesgo es difícil de medir, sobretodo, cuando no se cuenta con
datos estadísticos que lo respalden o avalen, por la tendencia de las
organizaciones a ocultar incidentes, la localización geográfica, las culturas,
leyes, criticidad, situación país, etc. También se define como una amenaza
evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la
gravedad de sus consecuencias (Severidad).
Riesgo Informático: Es un suceso incierto que puede llegar a presentarse en
un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que
afecten el ambiente informático o la información.
Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver
también posibilidad y probabilidad. También se define como el número de veces
que una amenaza deja de serlo para convertirse en realidad, a lo largo de un
determinado periodo de tiempo.
Gravedad/Severidad/Impacto: Es la evaluación del efecto y consecuencia del
riesgo. Generalmente, la exposición al riesgo se mide en aspectos económicos,
imagen de las personas o empresas, disminución de capacidad de respuesta y
competitividad, interrupción de operaciones, etc. Efecto que causa en la
68
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
organización la ocurrencia de un siniestro o contingencia y que normalmente se
ve reflejado en la suspensión de las actividades normales del negocio. También
se define como el económico de la materialización de una amenaza, se requiere
involucrar gastos directos, indirectos y pérdidas consecuenciales.
Valor del riesgo: Riesgo = Probabilidad X Gravedad (R = PxG)
Siniestro: Todo evento accidental, súbito e imprevisto (repentino, no planeado),
que normalmente genera consecuencias negativas sobre un sistema.
Control: Control es toda acción orientada a minimizar la frecuencia de
ocurrencia de las causas del riesgo o valor de las pérdidas ocasionadas por
ellas. Los controles sirven para asegurar la consecución de los objetivos de la
organización o asegurar el éxito de un sistema y para reducir la exposición de
los riesgos, a niveles razonables. Los objetivos básicos de los controles son:
Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
retroalimentando el sistema de control interno con medios correctivos.
Con las anteriores definiciones, esta etapa de análisis y valoración pretende
identificar y calificar los riesgos que pueden presentarse alrededor del proyecto
de tecnología de información siguiendo una serie de pasos basados en el
siguiente mapa que muestra cada una de las actividades que se deben llevar a
cabo en esta fase.
69
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
G E S T IÓ N D E L R IE S G O
C o n t r o l F ís i c o
¿ S e a c e p t a e l r ie s g o ?
Id e n t i f i c a c i ó n
A n á l i s i s y V a l o r a c i ó n
R e t e n c i ó n
T r a n s f e r e n c i a
S I
N O A n á l i s i s d e R e s u l t a d o s
G E S T IÓ N D E L R IE S G O
C o n t r o l F ís i c o C o n t r o l F ís i c o
¿ S e a c e p t a e l r ie s g o ? ¿ S e a c e p t a e l r ie s g o ?
Id e n t i f i c a c i ó n Id e n t i f i c a c i ó n
A n á l i s i s y V a l o r a c i ó n A n á l i s i s y V a l o r a c i ó n
R e t e n c i ó n R e t e n c i ó n
T r a n s f e r e n c i a T r a n s f e r e n c i a
S I
N O A n á l i s i s d e R e s u l t a d o s A n á l i s i s d e R e s u l t a d o s
Figura 4: Diagrama de Administración de Riesgos
Cada paso debe realizarse para dos entornos:
• Procesos Vs. Tecnología de Información: Tomar como referencia los
procesos que tienen asociada la tecnología informática.
• Tecnología de Información Vs. Tecnología Informática, es decir analizar
cada recurso de la tecnología informática evaluando el hardware,
software, aplicaciones, comunicaciones, red, instalaciones físicas donde
se encuentra ubicado o vaya a funcionar el proyecto a implantar.
IDENTIFICACIÓN
La identificación de riesgos consiste en determinar qué tipos de riesgos es más
probable que afecten al proyecto de tecnología de información y documentar las
características de cada uno.
70
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
La identificación de riesgos no es un suceso que se produzca en un instante
determinado; debe desarrollarse de una manera regular a lo largo de todo el
proyecto.
Es difícil generalizar acerca de los riesgos de una organización o de un
proyecto porque las condiciones y operaciones son distintas, pero existen
formas de identificarlos entre las cuales están:
• Herramientas de identificación de riesgos: Las más importantes
herramientas usadas en la identificación de riesgos incluyen: registros
internos de la organización, listas de chequeo, cuestionarios de análisis
de riesgos, flujos de procesos, análisis financiero, inspecciones,
entrevistas, tormenta de ideas, entre otras.
• Aproximación de combinación: La aproximación preferida en la
identificación de riesgos consiste de una aproximación de combinación,
en el cual todas las herramientas de identificación de riesgos están
hechas para tolerar problemas. En pocas palabras cada herramienta
puede resolver una parte del problema y combinados pueden ser una
considerable ayuda al administrador de riesgos. Esto significa que
dependiendo de lo que quiera analizar puede utilizar una u otra y
combinar el resultado de las que utilizó. Por ejemplo: las entrevistas y los
cuestionarios y hacer análisis cruzados de ambos instrumentos, con el fin
de disminuir la subjetividad en el análisis.
Para facilitar la identificación de los riesgos en un proyecto de tecnología de
información es muy útil apoyarse en el siguiente diagrama:
71
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Hitos
PL ANEACIÓN EJECUCIÓN Y CONTROL
In f lu en c ias Ex tern as Ac t i v i d ades fu era de l alcan ce
In f l uen c ias In te rn as
Res is ten c ia al Cam b io
Pro b lem as Urgen tes
P lazo s
RIESGOS
La ges t ión de Riesgos es una respons ab il idad de to dos lo s in teg ran tes del Pro yec to .
El anál is is y g es t ión d e lo s r ies gos del Pro yec to es una acc ión con t inu a y d in ám ic a.
Hitos Hitos
PL ANEACIÓN EJECUCIÓN Y CONTROL PLANEACIÓN PLANEACIÓN EJECUCIÓN Y CONTROL
In f lu en c ias Ex tern as Ac t i v i d ades fu era de l alcan ce
In f l uen c ias In te rn as
Res is ten c ia al Cam b io
Pro b lem as Urgen tes
P lazo s
RIESGOS
La ges t ión de Riesgos es una respons ab il idad de to dos lo s in teg ran tes del Pro yec to .
El anál is is y g es t ión d e lo s r ies gos del Pro yec to es una acc ión con t inu a y d in ám ic a.
Figura 5: Identificación de riesgos del proyecto
A continuación se presenta una serie de preguntas y respuestas que sirven
como lista de chequeo al momento de hacer la identificación de los riesgos en
las diferentes fases del proyecto:
¿Por qué un proyecto de tecnología de información falla? Ver el siguiente
diagrama
P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l
c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n
i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
F a l t a d e d e c i s i o n e s o p o r t u n a s .
R i e s g o s e s p e c íf i c o s d e l p r o y e c t o
• N o s e p r a c t ic ó lo q u e s e p la n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu ra . • L a s o lu c ió n e s in a d e c u a d a . • N o s e c u m p lie ro n lo s o b je t iv o s . • R e tr a s o s y r e p ro c e s o s .
F A L L A
P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a
P l a n e a c i ó n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l
c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
F a l l a s e n l a E j e c u c i ó n . Im p l a n t a c i ó n m a l
c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n
i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n
i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
F a l t a d e d e c i s i o n e s o p o r t u n a s .
F a l t a d e d e c i s i o n e s o p o r t u n a s .
R i e s g o s e s p e c íf i c o s d e l p r o y e c t o
R i e s g o s e s p e c íf i c o s d e l p r o y e c t o
• N o s e p r a c t ic ó lo q u e s e p la n te ó . • N o s e c a p a c i tó a d e c u a d a m e n te . • N o s e c a m b ió la c u ltu ra . • L a s o lu c ió n e s in a d e c u a d a . • N o s e c u m p lie ro n lo s o b je t iv o s . • R e tr a s o s y r e p ro c e s o s .
F A L L A F A L L A
Figura 6: Identificación de riesgos del proyecto
72
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Puede existir un riesgo en la PLANEACIÓN del proyecto cuando:
• No existe una clara definición de los objetivos y expectativas para el
Proyecto.
• No se formalizó un Cronograma que establezca los tiempos para las
actividades, los plazos, los hitos y productos, y fuera validado por el
Equipo y Comité Directivo del proyecto.
• No se han asignado miembros del Equipo que cumplan los requisitos de
competencia, que estén comprometidos y tengan la independencia para
generar las soluciones.
• No se han establecido las responsabilidades y roles de cada miembro del
Equipo.
• No se ha establecido la forma de integración con otros Proyectos, cuáles
son los “inputs” y “outputs”, las dependencias, los eventos que deberán
ocurrir, responsables, y qué actividades deberán los equipos trabajar
coordinadamente.
Puede existir un riesgo en la EJECUCIÓN Y CONTROL del proyecto
cuando:
• Las decisiones no son tomadas oportunamente, causando probables
retrasos.
• No se obtiene el compromiso y apoyo del patrocinador a lo largo de la
ejecución y control del proyecto
• No se ejecuta el plan de capacitación del equipo y de las personas
involucradas.
73
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
• El nivel de dedicación de cada miembro del equipo y otras personas
involucradas no es adecuada o no cumple la definición del plan.
• No se entregan informes/ productos adecuados, completos y según la
periodicidad definida.
• No se documentan las mejoras y metodologías
• No se obtiene la adecuada participación y compromiso de los
involucrados.
• No se identifican los problemas reales / potenciales y no se toman las
acciones correctivas y preventivas adecuadas.
Puede existir un riesgo en el proyecto debido a una RESISTENCIA AL
CAMBIO cuando:
• Los involucrados no entienden con claridad las razones para los
cambios.
• Existe una incompatibilidad entre los valores actuales y los cambios
• Los involucrados perciben que sus jefes y otras personas o grupos
políticamente importantes en la Organización no apoyan el cambio.
• Los involucrados creen que los cambios impactarán negativamente la
forma en que ellos se relacionan hoy.
• Existe presión o influencia externa al proyecto.
Para ayudar en el análisis de las amenazas y los riesgos se requiere:
• Identificar los riesgos internos de los procesos con cada elemento de
tecnología informática asociado al proyecto de tecnología de información.
74
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
• Realizar una lista de chequeo de las amenazas internas que puedan
presentarse en forma accidental o intencional en la Empresa con relación
a la tecnología informática asociado al proyecto de tecnología de
información.
• Identificar los riesgos externos de los procesos por cada elemento de
tecnología informática asociado al proyecto de tecnología de información.
• Realizar un chequeo del entorno en los fenómenos naturales, el
ambiente geopolítico, el ambiente tecnológico, el ambiente ecológico y el
sistema sociocultural que rodea la Organización para definir las
amenazas a las que puede estar expuesto el proyecto de tecnología de
información de la Empresa.
Para facilitar la identificación de los riesgos en la infraestructura en un proyecto
de tecnología de información es muy útil apoyarse en el siguiente diagrama:
C o m p o n e n t e s d e l a T e c n o l o g ía d e i n f o r m a c i ó n
R E D
S E R V ID O R
U S U A R IO
M O T O R D E B A S E S D E D A T O S
S e g u r i d a d F ís i c a y l ó g i c a
O P E R A D O R
A P L IC A C IO N E S
S IS T E M A O P E R A T IV O
E N T O R N O
U N IX U N IX
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C IÓ N
IN F R A E S T R U C T U R A E N S U C O N J U N T O
C o m p o n e n t e s d e l a T e c n o l o g ía d e i n f o r m a c i ó n
R E D
S E R V ID O R
U S U A R IO
M O T O R D E B A S E S D E D A T O S
S e g u r i d a d F ís i c a y l ó g i c a
O P E R A D O R
A P L IC A C IO N E S
S IS T E M A O P E R A T IV O
E N T O R N O
U N IX U N IX
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C IÓ N
IN F R A E S T R U C T U R A E N S U C O N J U N T O
Figura 7: Escenarios donde se identifican riesgos de la Infraestructura de TI.
75
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes
matrices:
Elaborar la matriz de eventos con relación a los procesos de la Empresa y
la matriz de eventos con relación a la tecnología informática.
La matriz de eventos, denominada escenario de riesgos con relación a los
procesos se construye con las amenazas y con los procesos que tiene la
tecnología informática. La combinación Proceso – Amenaza (fila, columna) lo
denominaremos Evento o escenario de riesgos, tal como se muestra a
continuación en la Tabla N° 1.
Tabla Nro 1. Matriz de Eventos o escenarios con relación a Procesos
Procesos / Amenazas A1 A2 An
P1 P1,A1 P1,A2 P1,An
P2 P2,A1 P2,A2 P2,An
Pn
P1= proceso 1, P2= proceso 2 …… Pn= proceso n
A1= amenaza 1, A2= amenaza 2 …… …. An= amenaza n
P1,A1 = E1, es el evento 1 de que en el proceso 1 ocurra la amenaza 1.
Estas matrices se elaboran de acuerdo con el criterio experto del responsable
del proceso y de la tecnología informática.
A manera de ejemplo, si tenemos los procesos de Administrar Recursos
Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnología,
76
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Administrar Servicios Legales que poseen tecnología informática asociada a
sus procesos y las amenazas de: fallas en sistemas de información, fallas en la
aplicación (OneWorld), fallas en la red de comunicaciones, entre otros, se
elabora la siguiente tabla:
Tabla Nro 2. Ejemplo Matriz de Eventos o escenarios con relación a Procesos Procesos/Amenazas Fallas en Sistemas de
Información Fallas en
ONEWORLD Fallas en la Red de Comunicaciones
Administrar Recursos Humanos –P1
Falta de funcionamiento del Sistema de
Información de Nomina – A1
No disponibilidad del Módulo ARA2
No disponibilidad del Switche ATM –
A3
Administrar Finanzas –P2
Falta de funcionamiento del Sistema de
Información Financiero – A4
Desarrollar y Mantener Sistemas/Tecnología –P3
Falla en el backup Online de
Oneworld A5 Falla en el backup
Offline de Oneworld –A6
Administrar Servicio Legales –P4
Falta de funcionamiento del Sistema Documental
Mercurio –A7
De igual forma se obtiene la matriz de eventos con relación a la tecnología
informática, para analizar las posibles amenazas que pueden llegar a sufrir los
recursos informáticos, asociándolos con la letra T como se muestra en la Tabla
Nro 3:
77
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Tabla Nro 3. Ejemplo Matriz de Eventos o escenarios con relación a la
Tecnología Informática Tecnología Informática /
Amenazas No Funcionamiento
de Equipos Fallas en Sistema
Operativo Fallas en la Red de Comunicaciones
Servidor de Desarrollo T1
Problemas de lectura en el disco duro A1
Servidor de Correo T2 Falla en tarjetas de red A2
Switche ATM T3 Switche ATM fuera de servicio A3
Switche ATM fuera de servicio A4
Centro de Cómputo Sede Administrativa T4
Inundación de equipos A5
Centro de Computo Alterno T5
Inundación de equipos –A6
ANÁLISIS Y VALORACIÓN
Una vez que los riesgos han sido identificados el administrador de riesgos debe
evaluarlos. El paso a seguir es hacer el análisis y la valoración. En esta
actividad se tiene como objetivo, una vez definidos los riesgos, la determinación
y cálculo de los criterios que, con posterioridad, nos facilitarán la evaluación y
valoración del riesgo.
Como procedimiento a seguir se identificarán las variables específicas y se
analizarán los factores obtenidos. Los criterios de análisis del riesgo para este
caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o
impacto y la aceptabilidad del riesgo.
Para poder hacer el análisis y la valoración del riesgo es necesario elaborar las
escalas de probabilidad y gravedad en que se pueden presentar las amenazas.
Estas dos tablas tienen como finalidad obtener una calificación del riesgo en
cuanto a frecuencia o posibilidad de ocurrencia y en cuanto a la consecuencia o
gravedad si se llegara a materializar la amenaza.
78
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Ambas escalas son generadas por los responsables del proceso y de la
tecnología informática en forma estándar para la empresa o el proyecto, ya que
las consecuencias de un determinado evento o amenaza es diferente para cada
proyecto.
El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia)
que puede tener el riesgo evaluado, a los valores o niveles de probabilidad se le
asigna un valor relativo (cualquiera); generalmente por facilidad de manejo se
utilizan valores enteros. Ver ejemplo en la Tabla Nro 4:
Tabla Nro 4. Ejemplo para una Escala de Probabilidad
Valor Probabilidad Definición
1 Improbable
Se presenta bajo circunstancias extremas de orden público en el país, de catástrofe o bajo situaciones excepcionales fuera del alcance de la organización o del proyecto. Como paros, huelgas, sabotajes o amenazas de terrorismo.
2 Remoto Se presenta por situaciones atribuibles a las personas, y pueden ser causadas por hechos internos de la organización hacia el proyecto como suspenderlo, no apoyarlo, abortarlo, entre otras.
3 Ocasional El evento se clasifica como norutinario y no es inherente a la tecnología, su frecuencia se asocia con variables externas a la tecnología, los procesos o componentes del proyecto.
4 Moderado Se presenta por situaciones atribuibles al descuido o error humano que afectan la ejecución del proyecto.
5 Frecuente Se presenta con cierta regularidad, y su causa es atribuible a los recursos mínimos del proyecto (Personas, presupuesto, tiempo, tecnología) los cuales son necesarios para su ejecución.
6 Constante
Se presenta en el día a día, su origen es atribuible a situaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnología, la desviación de los recursos y otros similares.
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es
muy difícil que ocurra.
REMOTO: Cuando el riesgo evaluado ha sucedido sólo en forma excepcional y
se tiene una posibilidad de ocurrencia muy baja.
79
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
OCASIONAL: Cuando el riesgo evaluado ha sucedido pocas veces y tiene baja
posibilidad de ocurrencia.
MODERADO: Si el riesgo sucede en forma esporádica y tiene limitada
posibilidad de ocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa
posibilidad de ocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene
alta posibilidad de ocurrencia.
El termino gravedad se refiere a la magnitud en términos relativos de las
consecuencias que pueden generarse al ocurrir la amenaza evaluada. La tabla
de gravedad, debe construirse en forma estándar para la empresa; a
continuación se muestra un ejemplo mediante la Tabla Nro 5:
Tabla Nro 5. Ejemplo para una Escala de Gravedad Valor Gravedad
1 Insignificante: La duración de la interrupción es menor a 1 hora.
2 Marginal: La duración de la interrupción esta entre 1 4
80
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Valor Gravedad
horas.
5 Grave: La duración de la interrupción esta entre 48 horas.
10 Crítico: La duración de la interrupción esta entre 824 horas.
81
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Valor Gravedad
20 Desastroso: La duración de la interrupción esta entre 24 36 horas.
82
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Valor Gravedad
50 Catastrófico: La duración de la interrupción es mayor a 36 horas.
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser
consideradas como despreciables porque que no afectan el funcionamiento del
proyecto.
MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables
(moderadas) porque afectan en forma leve al proyecto.
GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el
funcionamiento del proyecto, pero no ponen en peligro su ejecución.
83
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
CRÍTICO: Se valora la consecuencia (impacto) en términos considerables
porque dichas consecuencias afectan parcialmente al proyecto desplazando su
ejecución.
DESASTROSO: Las consecuencias afectan totalmente al proyecto,
desplazando su ejecución y aumentando los costos del mismo de lo
inicialmente presupuestado.
CATASTRÓFICO: Cuando las consecuencias se consideran de gran magnitud
porque afectan en forma total el proyecto pudiendo poner en riesgo la
estabilidad del mismo e inclusive impidiendo su terminación.
Para la construcción de estas tablas o escalas de probabilidad y gravedad se
toma como referencia la experiencia propia del equipo de trabajo y la
percepción del mismo.
Podemos hablar con el término riesgo cuando la amenaza se evalúa con las
escalas de probabilidad y gravedad. El próximo paso entonces, de esta etapa,
es calificar los riesgos multiplicando el valor del riesgo en cuanto a probabilidad
por el valor del riesgo en cuanto a gravedad
Riesgo = Probabilidad X Gravedad (R = PxG)
Tal como se muestra en la Tabla Nro 6 tomando como referencia el ejemplo de
la Tabla Nro 2. Matriz de Eventos o escenarios en cuanto a Procesos:
84
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Tabla Nro 6. Ejemplo para la Calificación del Riesgo con relación a los
procesos.
ENTORNO DE PROCESOS PROBABILIDAD P GRAVEDAD G RIESGO Administrar Recursos Humanos con falta de funcionamiento del Sistema de Información P1A1
Ocasional 3 Catastrófico 50 150
Administrar Recursos Humanos sin disponibilidad del Módulo AR de OneWorld. P1A2
Moderado 4 Crítico 10 40
Administrar Finanzas con falta funcionamiento del Sistema de Información P2A4
Ocasional 3 Crítico 10 30
Desarrollar y Mantener Sistemas/Tecnología con fallas en el backup Offline de OneWorld. –P3A6
Frecuente 5 Catastrófico 50 250
Riesgo = P X G
Donde:
P = Probabilidad de ocurrencia (frecuencia)
G = Gravedad o intensidad de las consecuencias (impacto)
De igual forma ocurre con el análisis de la tecnología informática, con el
siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3.
Matriz de Eventos con relación a la Tecnología Informática
Tabla Nro 7. Ejemplo para la Calificación del Riesgo con relación a la
Tecnología
ENTORNO DE TECNOLOGÍA PROBABILIDAD P GRAVEDAD G RIESGO Servidor de desarrollo con problemas de lectura en el disco duro T1A1 Remoto 2 Crítico 10 20 Servidor de Correo con falla en las tarjetas de red T2A2 Moderado 4 Insignificante 1 4 Switche ATM fuera de servicio T3A4 Ocasional 3 Catastrófico 50 150 Centro de Cómputo Sede Administrativa con inundación de equipos T4A5 Remoto 2 Catastrófico 50 100
85
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Elaborar la Matriz de Aceptabilidad, que nos permita determinar el nivel de
aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos
determina el nivel de aceptabilidad del evento o escenario (combinación de
riesgoproceso, o combinación de riesgotecnología) que pueda suceder en el
proyecto.
Esta matriz está conformada por cuatro zonas de acuerdo con la escala de
probabilidad y de gravedad definida en los pasos anteriores:
Zona Aceptable: Donde la probabilidad de ocurrencia del riesgo es muy baja,
es decir, un evento o escenario situado en esta región de la matriz, significa que
la combinación frecuencia consecuencia no implica una gravedad significativa,
por lo que no amerita la inversión de recursos y no requiere acciones
adicionales para la gestión sobre el factor de vulnerabilidad considerado,
diferentes a las ya aplicadas en el proyecto.
Zona Tolerable: Un evento o escenario situado en esta región de la matriz,
significa que, aunque deben desarrollarse actividades para la gestión sobre el
riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a
mediano plazo.
Zona Inaceptable: Donde la probabilidad de ocurrencia del riesgo es alta, y su
consecuencia es considerable, es decir, un evento o escenario situado en esta
región de la Matriz, significa que se requiere siempre desarrollar acciones
prioritarias a corto plazo para su gestión, debido al alto impacto que tendrían
sobre el proyecto.
Zona Inadmisible: Un evento o escenario situado en esta región de la matriz,
significa que bajo ninguna circunstancia se deberá mantener un escenario con
esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su
86
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
terminación. Por ello estos escenarios requieren una atención de alta prioridad
para buscar disminuir en forma inmediata su vulnerabilidad.
Para determinar los límites de cada una de las zonas de aceptabilidad en la
matriz, se utilizan los siguientes criterios de valoración:
ZONA CRITERIO DE ACEPTABILIDAD (% de vulnerabilidad)
Aceptable Hasta el 3.0 Tolerable Del 3.1 al 5.0 Inaceptable Del 5.1 al 25.0 Inadmisible Más del 25.0
PROBABILIDAD RELATIVA
Constante 6 6 (2.0%) 12 (4.0%) 30 (10.0%) 60 (20.0%) 120 (40.0%) 300 (100%) Frecuente 5 5 (1.6%) 10 (3.3%) 25 (8.3%) 50 (16.5%) 100 (33.0%) 250 (83.0%) Moderado 4 4 (1.3%) 8 (2.6%) 20 (6.6%) 40 (13.3%) 80 (26.0%) 200 (66.0%) Ocasional 3 3 (1.0%) 6 (2.0%) 15 (5.0%) 30 (10.0%) 60 (20.0%) 150 (50.0%) Remoto 2 2 (0.6%) 4 (1.3%) 10 (3.3%) 20 (6.6%) 40 (13.3%) 100 (33.0%)
Improbable 1 1 (0.3%) 2 (0.6%) 5 (1.6%) 10 (3.3%) 20 (6.6%) 50 (16.5%) 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA
Cada evento o escenario (PnAn), resultante de la matriz de eventos con
relación a los procesos y a la tecnología informática, se sitúa dentro de la matriz
de aceptabilidad para poder determinar los requerimientos de medidas de
control como insumos necesarios para la próxima etapa o fase que es la de
Control.
La experiencia muestra que los riesgos no identificados son lo que comúnmente
causan graves problemas a los afectados, por presentarse sin que exista
ningún plan concreto para controlarlos y por eso conllevan efectos desastrosos.
87
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Es importante efectuar una evaluación cuidadosa de los riesgos y sus causas,
ya que todo resultado erróneo conllevará a un exceso o a una deficiencia de
medidas de control físico, lógico o a la toma de decisiones equivocadas en el
control financiero.
La Matriz de Aceptabilidad del riesgo está determinada por la escala de
probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la
Tabla Nro 5 con la definición de los valores de aceptable, tolerable, inaceptable
e inadmisible como se muestra a continuación en la Tabla Nro. 8:
Tabla Nro. 8. Matriz de Aceptabilidad
PROBABILIDAD RELATIVA
Constante 6 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Frecuente 5 Aceptable Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Moderado 4 Aceptable Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Ocasional 3 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible Remoto 2 Aceptable Aceptable Tolerable Inaceptable Inaceptable Inadmisible
Improbable 1 Aceptable Aceptable Aceptable Tolerable Inaceptable Inaceptable 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA
Continuando con el ejemplo ilustrado en la Tabla Nro. 6, la Matriz de
Aceptabilidad para el entorno de procesos se muestra en la Tabla Nro. 9:
Tabla Nro. 9. Matriz de Aceptabilidad para el entorno de Procesos
PROBABILIDAD RELATIVA Constante 6 Frecuente 5 P3A6 Moderado 4 P1A2 Ocasional 3 P2A4 P1A1 Remoto 2
Improbable 1
88
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
1 2 5 10 20 50 Insignificante Marginal Grave Crítico Desastroso Catastrófico
GRAVEDAD RELATIVA
La Matriz de Aceptabilidad para el entorno de tecnología informática se muestra
en la Tabla Nro 10 tomando los valores de la Tabla Nro 7:
Tabla Nro 10. Matriz de Aceptabilidad para el entorno de tecnología informática
PROBABILIDAD RELATIVA
Constante 6 Frecuente 5 Moderado 4 T2A2 Ocasional 3 T3A4 Remoto 2 T1A1 T4A5
Improbable 1 1 2 5 10 20 50
Insignificante Marginal Grave Crítico Desastroso Catastrófico GRAVEDAD RELATIVA CONTROL
11.4.2.1. Perfil de los riesgos
El conjunto de todos los eventos o escenarios ubicados en la matriz de
aceptabilidad configura el perfil de los riesgos para el proyecto o sistema y que
se realiza para el entorno de los procesos y la tecnología informática:
Administrar recursos humanos, administrar finanzas, desarrollar y mantener
sistemas/tecnología, administrar servicios legales, entre otros.
11.4.2.2. Patrones normales de distribución
Los patrones normales de distribución son propios de la actividad particular del
proyecto o sistema; por ejemplo, no es lo mismo la distribución típica en un
proyecto de obra civil o de infraestructura que en un proyecto de tecnología
informática.
89
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
A continuación se presentan los patrones de distribución de referencia de los
eventos o escenarios. Estos patrones son indicadores de la confiabilidad del
estado global de riesgos de un proyecto o sistema. Un sistema con patrones
anormales en la distribución de los riesgos presenta una gran incertidumbre
sobre los resultados de su manejo.
ZONA DISTRIBUCION DE EVENTOS O ESCENARIOS Aceptable Mínimo el 60% Tolerable Máximo el 30% Inaceptable Máximo el 10% Inadmisible Ningún Escenario TOTAL 100%
11.4.2.3. Cálculo del índice de distribución de eventos o escenarios, IDE
Conocida la calificación de aceptabilidad de cada evento o escenario, se suman
cuántos de ellos están en cada nivel y se calcula lo que representan
porcentualmente del total de escenarios.
Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el
entorno de procesos que se muestra en la Tabla Nro 9, tomando los valores de
la Tabla Nro 6, de ellos 2 están en el nivel inaceptable y 2 en el nivel de
inadmisible; Entonces su distribución sería como se muestra en la siguiente
tabla:
Procesos NIVEL ESCENARIOS DISTR. REAL DISTR. NORMAL
Aceptable 0 0% Mín. 60% Tolerable 0 0% Máx. 30% Inaceptable 2 50% Máx. 10% Inadmisible 2 50% 0% TOTAL 4 100% 100%
90
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Para el entorno de tecnología informática, el total de escenarios evaluados es
de 4 como se muestra en la Tabla Nro 10 y tomando los valores de la Tabla Nro
7, de ellos 1 está en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el
nivel de inadmisible; Entonces su distribución sería como se muestra en la
siguiente tabla:
Tecnología Informática NIVEL ESCENARIOS DISTR. REAL DISTR. NORMAL
Aceptable 1 25% Mín. 60% Tolerable 0 0% Máx. 30% Inaceptable 1 25% Máx. 10% Inadmisible 2 50% 0% TOTAL 4 100% 100%
Nota: La Metodología se aplica bajo los mismos criterios definidos, pero en
forma separada para los procesos y para la tecnología informática, como lo
ilustra el ejemplo trabajado en este documento
11.4.3. CONTROL
Esta fase consiste en identificar y analizar las soluciones disponibles para tratar
los riesgos estudiados en las etapas anteriores, con el fin de reducir la
frecuencia y severidad de las pérdidas, en caso de que los riesgos identificados
se materialicen.
Control es toda acción orientada a minimizar la frecuencia de ocurrencia de las
causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los controles
sirven para asegurar la consecución de los objetivos de la organización o
asegurar el éxito de un sistema y para reducir la exposición de los riesgos, a
niveles razonables. Los objetivos básicos de los controles son: Prevenir las
causas del riesgo, detectar la ocurrencia de las causas del riesgo,
91
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
retroalimentando el sistema de control interno con medios correctivos para
establecer las respectivas medidas de protección y permitiendo así la
continuidad de la organización o el proyecto que esté en ejecución.
En gráfico siguiente muestra cuales son las actividades que se deben seguir
para tener un buen control de riesgos en el proyecto que se está desarrollado.
C O N T R O L D E R IE S G O S
P r e v e n c i ó n
C O N T R O L D E R IE S G O S
F í s i c o / L ó g i c o
P r o t e c c i ó n P r o t e c c i ó n
F i n a n c i e r o
T r a n s f e r i r R e t e n e r
Control Físico/Lógico: En esta actividad se definen dos alternativas
fundamentales para obtener un buen control del riesgo:
Prevención: Estudio exhaustivo de las alternativas lógicas conducentes a
reducir en la medida de lo posible, los causas que originan la materialización de
un riesgo.
Son aquellas medidas tendientes a minimizar las causas que puedan provocar
una pérdida teniendo en cuenta los procesos, la gente y la tecnología.
92
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Protección: Conjunto de actividades encaminadas a reducir la severidad del
impacto causado por la materialización de un riesgo. Actúan sobre las
consecuencias.
Son aquellas medidas tendientes a reducir la severidad de la pérdida, es decir
en caso de que ésta suceda, reduzca las consecuencias al mínimo, tendiendo
en cuenta los procesos, la gente y la tecnología.
Control Financiero: En esta actividad se definen dos alternativas
fundamentales la de retener y la de transferir el riesgo:
Retener: Consiste en proveer los medios hoy, para el estado de necesidad, que
la materialización de un riesgo pueda causar en el futuro. De acuerdo con la
capacidad financiera de la organización, se pueden asumir los riesgos que se
determinen después de analizar la matriz de riesgos. Se asumen generalmente
los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no
catastróficos).
Uno de los mecanismos que se pueden definir en la organización o en el
proyecto para tratar los riesgos que se consideren se pueden asumir es el fondo
de auto seguro que consiste en reservar el dinero para anticiparse a las
consecuencias de una pérdida que se podría generar al materializarse el riesgo
asumido y previamente calculado su posible costo.
Transferir: Es el traslado del riesgo a una compañía aseguradora mediante el
pago de una prima. (Contrato de seguro). Consiste también en la transferencia
contractual de los riesgos a los contratistas y subcontratistas de la organización
o de los que interviene en el desarrollo del proyecto.
93
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
Análisis de resultados: Cualquier proceso requiere de un “feedback” o
retroalimentación, para mantenerse en el tiempo y hacerse flexible ante los
múltiples y vertiginosos cambios que se viven en las organizaciones y con
mayor razón en los proyectos y especialmente en los de tecnología de
información.
Cuando ocurren cambios en el proyecto, es ciclo básico de identificación,
evaluación, análisis y valoración de riesgos se repite. Es importante comprender
que incluso el análisis más profundo y completo no puede identificar todos los
riesgos y probabilidades correctamente; se requiere un control y una iteración.
“ Los riesgos son dinámicos y deben ser monitoreados permanentemente”
94
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
12. RECOMENDACIONES
• La metodología aquí definida y documentada se convierte en una
herramienta clave para la organización Informática de Empresas Públicas
de Medellín E.S.P. porque a través de su utilización y aplicación le facilita
identificar, evaluar, controlar y valorar los riesgos de los proyectos de
tecnología de información que emprenda la corporación, mejorando la
gestión con el fin de disminuir el impacto de la tecnología en los costos,
recursos y el tiempo al entrar en producción.
• La aplicación de esta metodología, deberá realizarse en todas las etapas
de los proyectos de tecnología de información haciéndola extensiva a
contratistas, subcontratistas y proveedores que la empresa adelante en
este campo específico.
• Es importante oficializar esta metodología y definir los mecanismos que
faciliten su utilización, para que la organización Informática de Empresas
Públicas de Medellín E.S.P. la aplique en todos los proyectos de
tecnología de información que emprenda con el fin de poder diseñar e
implementar otras estrategias que permitan gerenciar y controlar los
nuevos tipos de riesgos que están relacionados con estos proyectos.
• El foco del proyecto de tecnología de información debe entonces estar no
sólo encaminado a procurar el hardware y el software necesario para
resolver las necesidades del proceso de negocio sino que también debe
buscar los medios materiales, económicos y humanos para que en el caso
de la materialización de un riesgo las pérdidas sean mínimas o incluso se
pueda evitar la inviabilidad del proyecto como tal. En este sentido la
95
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
metodología cubre una gama de aspectos éticos, socioculturales,
económicos, administrativos y tecnológicos que le permitirán al director o
gerente de tecnología informática tener un dominio integral sobre cada
aspecto de la ejecución del proyecto garantizando su continuidad y sin por
ello descuidar otros aspectos de su operación o administración.
• Es importante que la alta gerencia tenga una formación sólida en todo este
tipo de conceptos, para que no caigan en el error de delegar este tipo de
decisiones o proyectos en los técnicos puristas, provocando con ello una
desarticulación entre la estrategia del negocio y la tecnología de
información.
96
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
13. CONCLUSIONES
• Estamos, sin duda, en la era de la información: Adquirir equipos, obtener
servicios y acortar las distancias para estar informados, es una posibilidad
tecnológica vuelta obsesión. Esto hace que la información adquiera gran
importancia y un valor incalculable, y que por lo tanto haya que tomar
todas las medidas necesarias para protegerla. El contar con una
metodología que nos ayude a identificar, evaluar, controlar y valorar los
riesgos en los proyectos de tecnología de información en la organización
es una de las herramientas claves para ayudar a proteger la información
que se genera y maneja en este tipo de proyectos, además que facilita la
terminación de los mismos según lo planeado.
• Para definir la metodología de análisis y valoración de riesgos en
proyectos de tecnología de información se tuvo en cuenta las tres
dimensiones fundamentales que componen una organización informática a
nivel mundial: Los procesos; la gente y la tecnología, sin olvidar que la
parte más importante es la gente, la que hace que los procesos y la
tecnología funcionen.
• El esfuerzo metodológico desarrollado en este documento, en donde se
integraron los conceptos de la administración de riesgos y la gerencia de
proyectos, es aplicable a cualquier empresa puesto que la metodología
descrita, en sí no tiene restricciones específicas.
• Lo trascendental en la implementación de la metodología es como cada
empresa percibe la ocurrencia y la consecuencia de los riesgos en la
ejecución de los proyectos de tecnología que la empresa A, B o C
adelanten en este sentido.
97
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
• La gestión del riesgo en los proyectos de tecnología de información ha de
ser una preocupación constante en las entidades y a nivel de toda la
organización, especialmente de la alta dirección, que no es
exclusivamente un problema técnico y de técnicos; pero que será aplicado
en forma diferente según la empresa y el momento.
• La competencia basada en tecnología de información se está volviendo
cada día más fuerte y agresiva, y el contar con la metodología de análisis y
valoración de riesgos como una herramienta clave de gestión, ayuda a que
la organización enfrente este nuevo reto que se plantea en el siglo XXI, el
siglo de era de la información, el nuevo poder.
98
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
14. BIBLIOGRAFÍA
[Mejía, 2001] Rubi Consuelo Mejía Quijano, Diplomatura en Control y Auditoría,
TextoGuía, Universidad EAFIT, Medellín, Agosto de 2001, 133 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Administración de Riesgos,
Guía de Control Administrativo No. 12, Cartilla Guía, Medellín, Marzo de 1999,
24 p.
[EE.PP.M. , 1999] Empresas Públicas de Medellín, Metodología Análisis de
Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medellín, Marzo de
1999, 37 p.
[EE.PP.M.1, 1999] Empresas Públicas de Medellín, Plan General de
Emergencias, Guía de Control Administrativo No. 13, Cartilla Guía, Medellín,
Marzo de 1999, 20 p.
[EE.PP.M., 1999] Empresas Públicas de Medellín, Sistema de Control Interno,
Equipo de Planeación y Desarrollo del Control, Dirección de Control Interno,
Medellín, Julio de 1999, 57 p.
[SUMA , 2000] SUMA Corredores de Seguros S.A., Metodología de Análisis de
Riesgos y Vulnerabilidad (AR&V) para el Metro de Medellín, Documento Guía,
Medellín, Febrero de 2000, 13 p.
Mauricio Zuluaga Ruiz Director Departamento Administrativo de la Función
Pública Bogotá, Administración del Riesgo, Cartilla Guía, Bogotá, Diciembre de
2001, 32 p.
99
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
[Rojas, 1996]Francisco Abanal Rojas, Cómo se hace un Plan Estratégico,
Modelo de Desarrollo en una Empresa, 1996, 512 p.
Monsalve Suescun Ismael, Eusse Restrepo Iván Darío. Análisis Cuantitativo del
Riesgo. Medellín, 2001. 78p. Monografíia de Grado (Especialista en Finanzas,
preparación y Evaluación de Proyectos). Universidad de Antioquia. Facultad de
Ingeniería.
Gabriel Baca Urbina. Evaluación de Proyectos, Tercera Edición. 339p.
Business Continuity Planning, A Necessity in New ECommerce Era
Disaster Recovery Jounal, Agosto 2000.
HewlettPackard Company, 2000.
Cost and Effect: Using Integrated Cost Systems to Drive Profitability and
Performance.
Harvard Business School, 1997
Project Management for Mission Critical Systems.
A Handbook for Government Executives
Information Technology Resources Board, Abril 2001.
Business Continuity: New risks, new imperatives and a new approach
International Business Machines Coporations, 1999.
Computer Crime Costs on the Rise
Computerworld, 20 Abril 1998.
100
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
MIT Business Continuity Plan
Massachusetts Institute of Technology, 1995.
Computer Related Risks
International Business Machines Corp, 1990.
Disaster Tolerant Solutions for MissionCritical Computing, White Paper
Project Management for Mission Critical Systems
A Handbook for Government Executives.
Development Information Systems, A New Paradigm in Software Development:
Complexity Begets Complexity – A Vicious Cycle, White Paper
101
Metodología para el Análisis y Valoración de Riesgos en Proyectos de Tecnología de Información
15. REFERENCIAS
Stratus Technologies Corp.
http://www.stratus.com
Sungard Corp.
http://www.sungard.com
Gartner Group
http://www.gartner.com
IDC Corp.
http://www.idc.com
Aberdeen Group, Inc.
http://www.aberdeen.com
Price WaterHouse Coopers Inc.
http://www.pwcglobal.com/
KPMG Inc.
http://www.kpmg.com
Project Management Institute
http://www.pmi.org