V. Curso de Gestión de Riesgos de TI - Control y Monitorización II - KRI
Descripción
Maestría en Ingeniería de Sistemas con mención en Gerencia de TI y Gestión de Software Universidad Nacional Pedro Ruiz Gallo
Curso de Gestión de Riesgos de Tecnologías de la Información – Quinta Parte Dra. Maribel Capuñay Guzmán
Control y Monitorización de los Riesgos en Proyectos
Control y Monitorización de los Riesgos en Proyectos
La Monitorización/Control de riesgos concluye al final de la gestión del proyecto. En esta fase se emplean una serie de elementos para detectar desviaciones en el proyecto (indicadores, evaluaciones, análisis de la reserva, reuniones) con el fin de obtener información actual del avance real y tomar medidas de respuesta en el caso de desvíos.
Control y Monitorización de los Riesgos en Proyectos
El Monitoreo y Control de Riesgos en Proyectos de TI junto a los demás áreas operativas de la empresa, forma parte de un marco más amplio, la Gestión Operativa del Riesgo, que contempla la posibilidad de pérdidas financieras originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos.
Control y Monitorización de los Riesgos en Proyectos
Control y Monitorización de los Riesgos en Proyectos
ENTRADAS PARA EL CONTROL DE RIESGOS Plan de Gestión de Proyectos Contiene el plan de gestión de riesgos que identifica: • tolerancia al riesgo o nivel de riesgo que la organización está dispuesta a soportar • propietarios de los riesgos • recursos humanos, tiempo y recursos asignados para la gestión de riesgos del proyecto. Registro de Riesgos Identifica los riesgos y sus propietarios + acciones de respuesta + características + lista de control con los riesgos de baja prioridad.
Datos de Rendimiento de Trabajo Estados de entrega + acciones correctivas + informes de rendimiento de trabajo que pueda afectar a los procesos de gestión de riesgos o a que la ocurrencia del riesgo sea real.
Control y Monitorización de los Riesgos en Proyectos
HERRAMIENTAS PARA EL CONTROL Y MONITOREO DE RIESGOS Revaluación de riesgos El registro de riesgos se revalúa en las reuniones de seguimiento del proyecto por el equipo de gestión de riesgos si lo hay. Evaluar los riesgos es identificar los nuevos riesgos, revaluar los actuales para medir su probabilidad e impacto y cerrar aquellos caducados. El alcance de la evaluación de riesgos dependerá de cómo el proyecto está fluyendo en comparación con sus objetivos. P. e. si un riesgo imprevisto se desarrolla, puede ser necesario disponer un plan de respuesta adicional. Medición del Desempeño Técnico Una comparación de los logros técnicos reales del proyecto con los logros indicados en el plan del proyecto. Las diferencias pueden ayudar a predecir si se logrará el alcance del proyecto.
Control y Monitorización de los Riesgos en Proyectos
Análisis de la Reserva Hace una comparación de la cantidad de la reserva de contingencia con el monto destinado a los riesgos restantes para decidir si la reserva es suficiente. Reuniones El control de riesgos debe ser una de la lista de tareas pendientes en las reuniones de seguimiento del proyecto y/o del equipo de gestión de riesgos. El tiempo que se tome para abordar los problemas depende de los riesgos que se hayan identificados, su prioridad, y la complejidad de su respuesta
Control y Monitorización de los Riesgos en Proyectos
Auditoría de Riesgos del Proyecto Examinen de la capacidad del equipo de gestión de riesgos para detectar riesgos, medir la eficacia de los planes de respuesta, y la actuación de los propietarios del riesgo. Las auditorías de riesgos se marcan en el cronograma del plan de gestión de riesgos y se realizan durante las reuniones de seguimiento del proyecto o en las reuniones de auditoría de riesgos individuales. La auditoría puede ser realizada por un tercero, el responsable del riesgo del proyecto, u otro personal calificado. El auditor revisa el plan de respuesta al riesgo y los resultados del trabajo del proyecto para determinar si las respuestas planificadas a los riesgos identificados producen los resultados deseados en términos de evitar, transferir o mitigar riesgos. Además, el auditor evalúa el desempeño del dueño del riesgo en la aplicación del plan de respuesta. El auditor documenta los resultados de la auditoría y hace recomendaciones para mejorar los esfuerzos en la gestión de riesgos del Proyecto.
Control y Monitorización de los Riesgos en Proyectos
SALIDAS DEL CONTROL/MONITOREO DE RIESGO Información de rendimiento en el trabajo • Resultado de las evaluaciones y auditorías de riesgos • Informe de la Revisión Periódica riesgos: cambios en la probabilidad, impacto, prioridad, planes de respuesta, riesgos inactivos • Resultados de riesgos del proyecto que ayudará en la planificación futura de riesgos. Esto completará los registros de la gestión de riesgos, y es parte de los documentos del proceso de cierre del proyecto.
Solicitudes de Cambio • Cualquier evento que desvíe los resultados esperados proyecto es un costo en el plan de gestión del proyecto. Los cambios se envían a través del proceso de control de cambios integrado, siendo una salida del proceso de seguimiento y control de los riesgos. • Las solicitudes de cambio pueden incluir acciones correctivas recomendadas, es decir, planes de contingencia y planes de soluciones.
Control y Monitorización de los Riesgos en Proyectos
Actualizaciones del plan de gestión del proyecto El plan de gestión del proyecto debe ser revisado y reeditado pues cualquier cambio aprobado tendrá efectos sobre los procesos de gestión de riesgos Actualización de los Activos de la Organización como Base de Conocimientos Los procesos de gestión de riesgos deben documentarse en los procesos organizacionales y servir de referencia para proyectos futuros. La probabilidad y la matriz de impacto, registro de riesgos, y la estructura de desglose del riesgo se actualizan hasta el cierre del proyecto o el cierre de cada fase/hito para proyectos más largos. Las lecciones aprendidas de las actividades de gestión de riesgos pueden añadirse a la base de datos de lecciones aprendidas.
Control y Monitorización de los Riesgos en Proyectos
DIRECTRICES PARA RPTA A LOS RIESGOS DEL PROYECTO Pautas apropiadas para la integración de la respuesta a los riesgos que se implementen: 1. Monitorear el ambiente para los nuevos riesgos que puedan surgir, para que las respuestas sean las acordes: - Cambios en los objetivos del proyecto: cualquier cambio en el costo, cronograma, o nivel de calidad/rendimiento del proyecto cambiará el riesgo global - Cambios en el alcance: Si el alcance del proyecto aumenta o disminuye, el riesgo cambia. Ej. aumentar el alcance del proyecto, sin evaluar el impacto en tiempo/costo puede significar un desastre. - Cambios en la organización, como la reestructuración de los departamentos funcionales. Tal cambio puede significar que alguno de los recursos con los que se contaba ya no estará disponible para el proyecto. - Cambios fuera de la organización: tecnológicos, estándares de la industria, económicos o de mercados, o cambios legales / regulatorios.
Control y Monitorización de los Riesgos en Proyectos
DIRECTRICES PARA RPTA A LOS RIESGOS DEL PROYECTO 2. Si un evento afecta a los objetivos del proyecto, consulte el plan de respuesta al riesgo para ejecutar las acciones mencionadas en el mismo 3. Supervisar la eficacia del plan de respuesta al riesgo, así como los planes de contingencia y de emergencia establecidos en el plan de respuesta al riesgo. 4. Asegurar que el control se realiza de acuerdo según las políticas y procedimientos definidos en el plan de gestión de riesgos en la auditorías, rendimiento técnico y planes de respuesta. 5. Manejar la reserva de contingencia a fin de que se utilice el tiempo adicional, dinero y recursos como estaba previsto.
Gestión Integral del Riesgo
La gestión de riesgos de TI es parte de la Gestión integral de riesgos es un gestión del riesgo operativo, y a su vez enfoque estructurado para manejar la conforma el proceso de gestión de riesgos incertidumbre relativa a las amenazas (Risk Management), Gestión Integral de por medio de actividades como : Riesgos o Gestión de Riesgos Financieros. La evaluación del riesgo Las estrategias para manejarlo: • Transferencia del riesgo • Evasión • Reducción del impacto negativo • Aceptar algunas o todas las consecuencias de un riesgo en particular La mitigación del riesgo usando recursos gerenciales
Gestión Integral del Riesgo
Diversos tipos de riesgos a los que está expuesta una compañía
Gestión Integral del Riesgo
La gestión integral de riesgos se ocupa de diversos tipos de riesgos financieros: R. de mercado (fluctuaciones de los mercados financieros), en el que se distinguen: r. del mercado de divisas, r. de tipo de interés y tipos de cambio R. de crédito R. de liquidez o de financiación R. de Reputación: Posibles pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la cía. es afectado. R. Estratégicos: La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. R. Operativo, es el riesgo de sufrir pérdidas por la inadecuación o fallo de los procesos, el personal y los sistemas internos o acontecimientos externos. En esta definición se incluye el riesgo legal, y se excluyen los riesgos clasificados como estratégicos y de reputación. R. en Seguridad de la Información: La posibilidad de que la información no cumpla los requisitos de Confidencialidad, Integridad y Disponibilidad.
Riesgo Operativo
Gestión Integral del Riesgo
La Gestión Integral del Riesgo abarca la gestión del Riesgo Operacional, Gestión de Seguridad de Información y Gestión de Continuidad del Negocio La G. del Riesgo Operacional evalúa, dirige y supervisa las actividades operacionales, en base a la normativa, desarrollo de metodologías de medición y establecimiento de planes para la mitigación de los Riesgos Operacionales que afectan a la organización. La G. de la Continuidad del Negocio son las acciones orientadas a planificar, organizar y mejorar la capacidad de repuesta de la organización frente a probables impactos adversos que por fallas técnicas, humanas y/o desastres naturales interfieren en la operativa de los procesos de la organización. Busca un rápido retorno a la normalidad ante cualquier catástrofe, minimizando el impacto que pudiese ocasionar dicho evento en el giro del negocio. La Seguridad de la Información es la adecuada combinación de tecnología y política empresarial, tendiente a la protección de los recursos de información de un conjunto de amenazas entre las que se encuentran el daño, la alteración, el robo y la pérdida. No es sólo tratar con recursos y procesos informáticos, sino la adecuada integración de personas, procesos y tecnología.
Indicadores Clave del Riesgo
Los indicadores de riesgo son variables que funcionan como alertas tempranas que avisan del cambio de perfil de riesgo en las áreas clave de la organización. Se construyen en el curso en la organización con la información obtenida y almacenada de las operaciones de la compañía. Es información organizada y elaborada de forma que se le reconoce como información de valor para la toma de decisiones de la empresa. Un Indicador Clave de Riesgo o Key Risk Indicador, por sus siglas anglosajonas (KRI), es una variable que ofrece una base razonable para estimar la probabilidad y severidad de uno o más eventos de riesgo operacional.
Indicadores clave de riesgos (KRI) 1. Introducción 2. Valor, indicadores y KRI 3. Aplicación practica de KRI a escenarios específicos
El Riesgo Operacional y los Indicadores Clave de Riesgo KRIs (Key Risk Indicators)
El riesgo operacional requiere de determinadas métricas que coadyuvan a su medición: 1. Indicadores actuales: hacen un seguimiento de las pérdidas operacionales que han tenido lugar. 2. Indicadores de tendencia: detectan la causa última de los eventos de riesgo y establecen una tendencia con el fin de actuar como sistemas de alarma antes de que ocurra el evento de riesgo. 3. Indicadores de la efectividad del control: reflejan la eficacia operativa de los controles actuales y de tendencia. 4. Indicadores de volumen que proporcionan una medida de la actividad (producción) donde el riego inherente es identificado.
Aplicación practica en escenarios: KRIs para gestión de personas
Los KRI en una situación potencial de pandemia de absentismo laboral general o del personal clave en equipos de trabajo
1. Indicadores Actuales • Conformados por métricas ampliamente usadas en los departamentos de RRHH, p.e. índice de absentismo, de impuntualidad, etc. • Cuando RRHH percibe una situación de absentismo monitoriza los cambios y tendencias que se producen, y reporta a la Dirección cuando corresponde. • El dpto. de RRHH adoptará medidas como contactar con los empleados que superen el absentismo considerado como normal dentro de la compañía o con los responsables de las unidades de negocio cuando la tendencia está fuera de la tolerancia admisible. • Las consecuencias de una situación de absentismo van desde la impacto a nivel organizativo de las actividades hasta el impacto económico en caso de que proceda compensaciones laborales por pagos de seguros médicos.
Aplicación practica en escenarios: KRIs para gestión de personas
Los KRI en una situación potencial de pandemia de absentismo laboral general o del personal clave en equipos de trabajo
2. Indicadores de tendencia Amplia variedad de indicadores de tendencia (o causales) en caso de absentismo. Algunos de ellos son: 1. Las condiciones de salud general de los empleados, edad, estilos de vida, sexo o preexistencias. Estos factores con carácter general no pueden ser mitigados, sin embargo, si se emplean bases de datos externas y comparativas sectoriales se puede observar cuáles son los datos razonablemente esperados. Esta información será empleada en la determinación de las primas de seguros. 2. Si el dpto. de RRHH observa que el absentismo es significativamente superior a los obtenidos de los datos demográficos, se debe cuestionar si existen factores específicos dentro de la cía, como condiciones laborales inadecuadas o insatisfacción de los empleados, que pueda estar influyendo en los resultados de absentismo laboral.
Aplicación practica en escenarios: KRIs para gestión de personas
Los KRI en una situación potencial de pandemia de absentismo laboral general o del personal clave en equipos de trabajo
3.
Si fuera el caso anterior, se podría establecer indicadores sobre los potenciales factores de riesgo como una evaluación diferente de los riesgos laborales, p.e. los que afecten a la ergonomía o lo sanitario; encuestas de clima laboral. Este tipo de indicadores serán tanto más adecuados cuanto se cumplan las siguientes condiciones: a. Debe existir una lógica clara y objetiva a la hora de seleccionar dichos indicadores. b. Que su interdependencia esté contrastada con los datos disponibles. c. Que hayan datos disponibles con suficiente anterioridad para poder predecir de manera efectiva un evento. d. Existe una clara relación con el impacto en el riesgo analizado: al verlos se tiene una respuesta razonable frente al riesgo, evitando la parálisis por análisis.
Aplicación practica en escenarios: KRIs para gestión de personas
Los KRI en una situación potencial de pandemia de absentismo laboral general o del personal clave en equipos de trabajo
3. Indicadores de la efectividad del control • Aseguran la adecuada respuesta en caso de una situación de riesgo a través de los indicadores actuales/casuales o indicadores de tendencia/causales. • P.e., si en el análisis de la situación se hubiera detectado una relación directa entre el incremento de absentismo laboral y el tiempo transcurrido desde la última revisión del sistema de aire acondicionado, el indicador de control podría consistir en asegurar un reemplazo periódico de dichos filtros del aire en la oficina, asegurando la adecuada producción de la respuesta al KRI. • Como las causas no suelen ser únicas, por considerar otros factores, se puede llevar a cabo entrevistas con los empleados de las áreas afectadas. • Algunos principios básicos para la creación de indicadores clave de control quedan reflejados en los siguientes puntos:
Proporcionalidad entre el coste de los controles vs. El impacto derivado de la materialización del riesgo inherente. La selección de indicadores clave de control refleja la variedad de causas que pueden producir el riesgo, considerando aquéllas que no tienen entre sí una relación directa. Las dimensiones o atributos de los controles cuantitativos y cualitativos, deberán ser determinados de la mejor manera posible (intuición/autoevaluación u otras más sofisticadas), y ser revisados periódicamente.
Aplicación practica en escenarios: KRIs para gestión de personas
Los KRI en una situación potencial de pandemia de absentismo laboral general o del personal clave en equipos de trabajo
4. Indicadores de volumen Valoran la efectividad y adecuación de los controles conforme las actividades de la compañía o que sus niveles de actividad cambien. En el caso del Dpto. de RRHH resulta obvio señalar que a mayor número de empleados mayor número de situaciones de riesgo, aunque esto debe ser tomado con ciertas matizaciones. Por ejemplo, cuando una compañía amplía sus contrataciones laborales, probablemente, el riesgo de una situación en la cual todo un departamento se paralice por absentismo laboral se ve disminuido.
En Resumen: Key Risk Indicator
Un indicador de riesgos clave (KRI) es la métrica que determina qué tan posible es que la probabilidad de un evento, combinada con sus consecuencias, supere el apetito de riesgo de la organización, es decir, el nivel de riesgo que la compañía está preparada para aceptar, y tenga un impacto profundamente negativo en la capacidad de tener éxito.
En Resumen: Key Risk Indicator
Los KRI son variables que ofrecen una base razonable para estimar la probabilidad e impacto de uno o más eventos de riesgo operacional. Identificar KRI idóneos que proporcionen información de valor en forma periódica, fácil y confiable es difícil: antes hay que identificar los factores clave de riesgo (FCR riesgos de FCE) con la información de históricos de eventos de riesgo y los resultados de las evaluaciones de riesgo. Por cada FCR se analizan los indicadores con los que existe correlación y que pueden reflejar adecuadamente el nivel de riesgo de la empresa.
En Resumen: Key Risk Indicator
Existen dos tipos de indicadores: prospectivos (leading) y retrospectivos (lagging). Los indicadores prospectivos son preventivos y los retrospectivos identifican un evento de riesgo ya ocurrido para minimizar el daño posible.
En Resumen: Key Risk Indicator
El desarrollo de un sistema de indicadores de riesgos requiere un esfuerzo relativamente grande. Sin embargo, merece la pena pues resulta ser un sistema efectivo para comparar la calidad de los resultados de las evaluaciones de riesgo y los ingresos a la base de datos histórica de eventos de riesgo. Los data warehouse (DWH/DW) ya existentes en muchas empresas facilitarán el diseño de un set adecuado de indicadores de riesgo.
Algunas pautas para construir los KRI:
Para cada indicador se evalúa y define lo siguiente: • ¿Es prospectivo (leading) o retrospectivo (lagging)? • ¿Es cualitativo o cuantitativo? • ¿Cuál será la frecuencia de observación? • ¿Cuál es el nivel de detalle de observación (por lugar de trabajo, departamento, sucursal, etc.) que requiere? • ¿Cuál es el nivel de correlación con los riesgos monitoreados? • ¿Qué tan disponibles son los datos? • ¿Cuál es el nivel de confiabilidad de los datos? • ¿Cuándo se informa y a quién (p.e. a través de un sistema de semáforo)? • ¿Cuán funcional es el indicador (p.e. si se levanta automática o manualmente)?
1. 2.
3. 4. 5.
6. 7. 8. 9.
Bibliografía
CAJAS, J. (2011). MODELOS DE ENFOQUE DE MEDICIÓN AVANZADO DEL RIESGO OPERATIVO (EMA). Contribuciones a la Economía, Grupo Eumed.net - Universidad de Málaga. EL BLOG DEL RIESGO Y LA ESTRATEGIA EMPRESARIAL. (2014). ¿Qué es la Gestión Integral de Riesgo Empresarial?. En línea: http://riesgoyestrategia.wordpress.com/gestion_integral_riesgo/%C2%BFque-es-la-gestion-integral-de-riesgo-empresarial/ (Visitado el 01/12/2014) FRETT, N. (2014). Apetito y Tolerancia al Riesgo. Artículo Publicado en el Blog de Nahun Frett. En línea: http://nahunfrett.blogspot.com/2012/11/apetito-y-tolerancia-riesgo.html#more (Visitado el 01/12/2014) UNIDAD DE RIESGOS CREDINKA. (2012). Informe de Gestión de Credinka S.A. Riesgo Operacional. Disponible en http://www.credinka.com/archivos/informacion_inversionistas/informes_gestion/informe_R_Operacional_201209_Resum en.pdf (Visitado el 25/11/2014) RECLUSA, I. (2014). Riesgo Operacional e Indicadores de Riesgo. Disponible en https://www.linkedin.com/today/post/article/20140714085050-38855920-riesgo-operacional-e-indicadores-de-riesgo (Visitado el 04/12/2014) NEW HORIZONS. (2014). Aprendizaje en Aula Project Management Professional (PMP) 5ta Edición. Casos de Estudio. RIVAS, N. (2011). Gestión Integral de Riesgos GIR. Grupo ACP Mi Banco Asociación de instituciones de Microfinanzas del Perú. En línea: http://slideplayer.es/slide/1073091/ ROISENZVIT, A. (2012). Seminario sobre Indicadores Clave de Riesgo KRI. Disponible en: http://searchdatacenter.techtarget.com/es/definicion/Indicador-de-riesgos-clave-KRI (Visitado el 04/12/2014) SEVERIN, E. (2010). Banco Interamericano de Desarrollo - División de Educación (SCL/EDU) - Tecnologías de la Información y la Comunicación (TICs) en Educación. Marco Conceptual e Indicadores: http://idbdocs.iadb.org/wsdocs/getdocument.aspx?docnum=35128349 (Visitado el 04/12/2014)
Lihat lebih banyak...
Comentarios
