La gestión del riesgo en proyectos TIC

Por Miguel Andrés Santisteban 1

1.   Las TIC en la empresa

El amplio uso de la tecnología sobre el negocio ha tenido y tiene beneficios evidentes, pero también plantea riesgos que no se le ocultan a nadie. Riesgos operacionales –que lastran nuestra actividad comercial-, riesgos de imagen frente al mercado -accionistas, clientes, reguladores-, riesgos de pérdidas económicas –que debilitan nuestra posición como compañía-, riesgos incluso en la continuidad del negocio que nos impidan entregar nuestros productos o prestar nuestros servicios a los clientes.

El riesgo de que las TIC soporten los procesos de negocio, los procesos clave y todos los demás, en términos de manejo y gestión de información necesaria para la continuidad del negocio convierten a las TIC (Tecnología de la Información y las Comunicaciones) en un elemento imprescindible para la misma supervivencia de la empresa.

El impacto de las tecnologías en la estrategia empresarial es especialmente sensible  en los sectores que evolucionan con gran celeridad y en aquellos que se encuentran muy regulados -como las telecomunicaciones, el sector financiero, el sector energético, etc-.

Pero, no es menos importante en otros sectores de actividad, dónde un proyecto de desarrollo fallido puede acarrear un impacto severo que afecte incluso a la supervivencia de la empresa. Luego, independientemente del sector de actividad y del tamaño de la empresa es preciso adoptar un enfoque amplio sobre la integración de la tecnología de la información y las comunicaciones en nuestro negocio.

Por consiguiente, habrá que reducir esos riesgos operativos derivados de los proyectos TIC con una adecuada gestión de riesgos. Dicha visión ha de incluir forzosamente los impactos en las Organizaciones y el adecuado uso de Controles para paliar o mitigar eficientemente los riesgos.

 

2.   Gestionar el riesgo de un proyecto

Para identificar los riesgos inherentes a un proyecto de tecnología, ya sea desarrollo de sistemas, desarrollo de aplicaciones, cambios en la infraestructura, etc., se podrían fijar los siguientes pasos:

  1. Estimación de los riesgos del proyecto.
  2. Estimación de los controles del proyecto.
  3. Estudiar los riesgos residuales.
  4. Estimación  e implementación de las medidas necesarias.
  5. Supervisión constante de los riesgos, los controles y las medidas implementadas.

2.1. Estimación de los riesgos del proyecto

Que los proyectos de TIC tengan éxito, es decir, que finalicen adecuadamente –en tiempo y forma- y cumplan con los objetivos previstos es el fin natural de los mismos.

La adecuada valoración de los riesgos –antes de la implantación de controles- del proyecto es clave en todo el proceso que vamos a emprender.  Obviamente los riesgos inherentes del proyecto dependerán de la tecnología empleada, del tipo de proyecto, etc. No obstante, sea cual sea el área de negocio involucrada, se deberían considerar las siguientes categorías principales:

  • Gestión del proyecto (¿hay un sponsor? ¿hay un comité de seguimiento?)
  • Objetivo del negocio buscado.
  • Procesos de negocio afectados.
  • Usuarios del proyecto.
  • Tecnología utilizada.
  • Datos involucrados (exactitud, legislación al respecto).

2.2 Estimación de los controles

Una vez determinados los riesgos, se han de estimar los controles existentes de por sí en el proyecto, para ello habrá que estudiar los procedimientos de control actualmente vigentes en las diferentes fases de proyecto y valorar su efectividad.

2.3 Estimación de los riesgos residuales

Una vez que hemos determinado los riesgos del proyecto y evaluado los controles actuales obtenemos los riesgos residuales, es decir, aquellos que aún pueden hacer peligrar el éxito del proyecto.

Cuando eso ocurre hay un evidente riesgo operativo, pero también hay unas consecuencias  que influyen en la efectividad de la empresa, consecuencias estratégicas. ¿Qué podemos hacer con ellos?

2.4 Estimación e implementación de medidas

Llegados a este punto de nuestro proceso de análisis y una vez valorados los riesgos del proyecto hemos de determinar una estrategia sobre los riesgos que permanecen en nuestro proyecto.

Estas medidas una vez implantadas deberían ser supervisadas por quien ocupe la posición de “gestión de riesgo” dentro de la organización, y debería ser exigido su cumplimiento al área propietaria de cada fase de proyecto por parte de la gerencia de la compañía.

Las medidas a implantar se podrán encuadrar en las siguientes categorías:

  • Prevenir el riesgo (por ejemplo, de una redefinición de su objeto)
  • Limitación del riesgo (fijar caminos alternativos en caso de fallo)
  • Mitigación del riesgo (otros controles para compensar los controles débiles)
  • Desviación del riesgo (por ejemplo, con cláusulas contractuales).
  • Aceptación del riesgo (asumiendo las consecuencias si el riesgo se materializa, de modo formalizado).

2.5 Supervisión constante de los riesgos, los controles y las medidas implementadas

La supervisión de los riesgos del proyecto significa que no sólo al inicio del proyecto se va a tener en cuenta el riesgo, por el contrario, hasta la finalización del proyecto, hasta su implantación exitosa debe mantenerse un seguimiento de los indicadores que se hayan fijado sobre los controles y medidas complementarias introducidas.

 

3. Conclusiones

Las TIC (Tecnologías de la Información y las Comunicaciones) son parte fundamental de cualquier empresa hoy  en día, así como de sus procesos de negocio; por tanto, la gestión de la tecnología es fundamental en el gobierno de la empresa.

Consecuentemente los riesgos en un proyecto TIC, no deben ser considerados sólo como el riesgo de desviación del presupuesto asignado, también como el riesgo de que no se consiga el objetivo buscado con el proyecto, y fundamentalmente su impacto en el conjunto de la estructura TIC que da soporte a negocio por tanto, en la estrategia de la empresa, en el negocio entendido como un todo.

Es preciso integrar la estrategia de TI y sus riesgos con el riesgo de las decisiones estratégicas de negocios que se han realizado a nivel de empresa.

Para ello es necesario comprender un nuevo concepto de control, en el sentido de una actividad directiva cuyo fin es la alineación de la actividad, procesos de negocio, proyectos con los objetivos de la empresa. Por tanto el enfoque es ayudar a que la empresa alcance los objetivos que se ha marcado.

 

Referencias bibliográficas

Silva, A. J. (2005). Sistemas e Tecnologias de Informação. International Journal of Information Systems, 1(1), 30-36.

Boehm, B.W. (1981). Software engineering economics. Englewood Cliffs, Prentice Hall.

Boehm, B, Turner, R. (2005). Management Challenges to Implementing Agile Processes in Traditional Development Organizations. IEEE Software.

ISACA Information Systems Audit and Control Association. COBIT Control Objectives for Information and related Technology. <http://www.isaca.org/cobit.htm>.


Sobre el autor

1 Certificado en Gobierno Empresarial de Tecnología de Ia Información (CGEIT), Gerente Certificado de Seguridad de la Información (Certified Information Security Management  CISM), Auditor Certificado en Sistemas de Información (Certified Information Systems Auditor, CISA) todos ellos por ISACA, Curso Superior de Inteligencia Económica de la UFV, miembro de la sociedad española de CEPIS  ATI (Asociación de Técnicos de Informática) donde participa en el Grupo de Interés de Seguridad de la Información GISI, Miembro de CriptoRed red temática latinoamericana de Criptografía y Seguridad de la información. Trabaja en Telefónica España como experto en Análisis de Riesgo y Seguridad.

masantisteban {arroba} gmail [punto] com

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA Image

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>