Riesgo Operacional de TIC

Basilea II establece que Riesgo Operacional es la posibilidad de ocurrencia de pérdidas financieras, por deficiencias o fallas en los Procesos internos, en la Tecnología y/o en las Personas. Este escrito trata sobre los riesgos que provienen del uso de Servicios de Tecnología de Información y Comunicaciones (TIC).

Ver PDF

Una corriente de aceptación global para la conducción de organizaciones al más alto nivel es la conocida como Gobierno, Riesgo y Cumplimiento.  En términos simples, el Gobierno se ejerce al establecer una dirección, hacerla viable y asegurar que ésta se siga adecuadamente para obtener los objetivos establecidos, cuidando  en todo momento el Cumplimiento del marco legal y regulatorio vigente para la actividad que realiza la organización.  Como todo hacer o no hacer implica Riesgo, según la naturaleza y actividad realizada, se hace necesario establecer la orientación para gestionar los Riesgos que le son inherentes.

El Comité de Basilea[1], en su segunda publicación de recomendaciones conocida como Basilea II, propuso la definición de Riesgo Operacional que comparto con Uds. en el encabezado de este documento, la cual podemos considerar válida para ser aplicada a cualquier actividad económica.  Como podemos apreciar, ella señala que una de las fuentes de riesgo operacional es el uso de la Tecnología.  En este sentido, debo agregar que el riesgo operacional tecnológico comprende no sólo a los equipos tecnológicos y aquellas tareas netamente técnicas y de gestión tecnológica, sino que también la automatización de los procesos del negocio que habilitan los servicios que recibe el cliente final.

Veamos entonces algunas consideraciones acerca de la Gestión del Riesgo Operacional, en las organizaciones que basan su actividad en Servicios de TIC.

1.      Comencemos por la necesidad de un Sistema de Gestión de Riesgo Operacional, mediante el cual una organización pueda de manera continua identificar los riesgos potenciales y establecer, en función de los objetivos estratégicos y su cultura organizacional, una determinada posición ante ellos, ya sea para: mitigar, evitar, aceptar o transferir el riesgo. 

En este sentido, la norma ISO/IEC 31000:2009 define los principios, marco general (framework) y un proceso para la gestión del riesgo organizacional, sin llegar a establecer las técnicas específicas para la evaluación de los mismos, dejando así la libertad necesaria para que cada organización utilice aquélla que mejor aplique, según sea el tipo de riesgo a tratar.  Esta norma se está transformando en la base para que cada organización defina su Sistema Integral de Gestión de Riesgos.

2.     A continuación, no debemos olvidar que la Gestión de Riesgos es sólo una parte de la gestión necesaria para el Gobierno y Gestión de los Servicios de TIC que la plataforma tecnológica de una organización le brinda.

Por esta razón, cualquier acción en este sentido, debe estar dentro de un modelo de Gobierno corporativo como el que propone COBIT, como mejor práctica reconocida a este respecto.  

Igualmente pasa en lo relativo a la efectividad y eficiencia de los servicios de TIC, para lo cual la mejor práctica reconocida es ITIL (vea a la izquierda una imagen que integra las mejores prácticas nombradas hasta el momento). 

Sin embargo, esto se extiende, porque otros estándares y mejores prácticas se han creado para atender temas aún más específicos tales como: seguridad de TIC, continuidad del negocio, recuperación de desastres, gestión de contratos con terceros, por nombrar algunos (ver imagen a la derecha).

3.     Luego, es necesario atender la necesidad de escoger una técnica adecuada para la evaluación de los riesgos relativos al uso de activos de TIC, pues las hay para evaluar distintos tipos de riesgos: financiero, mercado, impacto social, seguridad industrial, etc.

La técnica a utilizar debe permitir cubrir las tres categorías de activos de TIC definidas: infraestructura, aplicaciones y data.

Algunas técnicas entregan como resultado una apreciación cualitativa del riesgo, mientras que otras permiten entregar una apreciación cuantitativa.

4.     Por último, para el sector bancario panameño, es necesario considerar los Acuerdos emitidos por la Superintendencia de Bancos de Panamá (SBP), que definen el marco regulatorio nacional que tiene fechas específicas de cumplimiento para los diversos entregables esperados. 

Como se puede apreciar en la figura a la derecha, a este momento, hay sendos acuerdos que establecen requerimientos en los dominios de: el marco de gobierno corporativo, la gestión de riesgos, los servicios de Banca electrónica y la gestión de los contratos de tercerización.

Esta consideración es válida también en otros países, pero para aplicarla, se hace necesario conocer y considerar el marco legal y regulatorio local vigente.

Para finalizar, creo que:

• Las organizaciones deben evitar realizar esfuerzos aislados acerca de la gestión del riesgo, como simple respuesta a requerimientos que provienen de entes reguladores, auditores o de la alta dirección, porque ello implica alto esfuerzo y desembolso de dinero, donde gran parte se convierte en desgaste en el personal involucrado y desperdicio respectivamente, sin llegar a generar real valor a la organización. 
• Esto requiere aprendizaje en la organización y es por ello que este tema necesita ser tratado con educación y acompañamiento, para así poder desarrollar internamente las capacidades que la organización requiere para atender los temas de Gobierno, Gestión y Cumplimiento, como parte de su hacer habitual. 
• Al diseñar e implantar, es necesario trabajar a partir de una visión general que conecte los estándares y mejores prácticas que intervienen en un modelo integrado capaz de mostrar la totalidad del sistema de Gobierno y Gestión de los Servicios de TIC, para así asegurar que el esfuerzo específico de cada uno de ellos cumple adecuadamente sus funciones y puede relacionarse adecuadamente con el resto.  Este modelo es particular para cada organización y debe ser el fruto de la adopción de los estándares y mejores prácticas disponibles y la adaptación a las características de cada organización.

---

[1] Organización mundial con sede en Basilea, Suiza, que reúne a las autoridades de supervisión bancaria, que tiene como función fortalecer la solidez de los sistemas financieros de los países.