Metodologia para Analisis y Valoracion de Riesgos en Proyectos de Tecnologia de Informacion

METODOLOGAPARAELANLISISYVALORACINDERIESGOSEN PROYECTOSDETECNOLOGADEINFORMACIN
HCTORVALENCIAVALENCIA
UNIVERSIDADEAFIT DEPARTAMENTODECIENCIASBSICAS MAPFRE ESPAA MEDELLN Septiembrede2005
METODOLOGAPARAELANLISISYVALORACINDERIESGOSEN PROYECTOSDETECNOLOGADEINFORMACIN
HCTORVALENCIAVALENCIA
MonografaparaoptaralttulodeEspecialistaenAdministracinde RiesgosySeguros.
Asesor EULERDEJESSMUOZ AdministradordeEmpresas
Coordinador RODRIGORESTREPOVLEZ
UNIVERSIDADEAFIT DEPARTAMENTODECIENCIASBSICAS MAPFRE ESPAA MEDELLN Septiembrede2005
" Noexistemayorsignodedemenciaquehacerlomismounayotravezy esperarresultadosdiferentes AlbertEinstein
TABLADECONTENIDO GLOSARIO ......................................................................................................... 7 INTRODUCCIN .............................................................................................. 12 1. OBJETIVOS .............................................................................................. 15 1.1. 1.2. OBJETIVOGENERAL ............................................................................... 15 OBJETIVOSESPECFICOS....................................................................... 15
2. BENEFICIOS ............................................................................................. 16 3. ALCANCE................................................................................................. 17 4. APLICACIN............................................................................................. 18 5. FORMULACINDELPROBLEMA.......................................................... 19 6. JUSTIFICACIN....................................................................................... 21 7. MARCOCONCEPTUAL............................................................................ 23 7.1. 7.2. LASBASESDELAGERENCIADELRIESGOCORPORATIVO......................... 24 ELFUTURO ........................................................................................... 26
8. ANTECEDENTES...................................................................................... 32 9. QUSONLASEMPRESASPBLICASDEMEDELLNE.S.P............... 35 9.1. DEAYERAHOY ..................................................................................... 37 9.2. HACIAELFUTURO.................................................................................. 38 9.3. NUEVOESQUEMAEMPRESARIAL............................................................. 41 9.4. ESTRUCTURAORGANIZACIONALDEEE.PP.M.ENEL2005 ....................... 41 9.5. VISIN.................................................................................................. 42 9.6. MISIN ................................................................................................. 43 9.7. VALORESORGANIZACIONALES............................................................... 43 9.8. ADMINISTRACIN ................................................................................... 44 9.9. PRESUPUESTO ...................................................................................... 44 9.10. FUNCINSOCIAL ................................................................................... 45 9.11. GESTINAMBIENTAL ............................................................................. 45 9.12. NUESTROSCOMPROMISOS .................................................................... 46 Manejointegraldelambiente ..................................................................... 46 Mejoramientocontinuodelagestinambiental ......................................... 47 Partesinteresadas ..................................................................................... 48 9.13. GESTINDERIESGOS........................................................................... 48 9.14. CULTURAEMPRESARIAL........................................................................ 50 9.15. GRUPOEMPRESARIALEE.PP.M.. .......................................................... 51
10.
QUESLADIRECCININFORMTICACORPORATIVA.................. 52
10.1. ESTRUCTURA ........................................................................................ 52 10.2. UNIDADPLANEACININFORMTICA........................................................ 53 10.3. UNIDADGESTININFORMTICA .............................................................. 53 10.4. UNIDADINGENIERAYTECNOLOGAINFORMTICA .................................... 53 10.5. UNIDADSISTEMASDEINFORMACIN ....................................................... 54 10.6. UNIDADOPERACIONESINFORMTICA ...................................................... 54 10.7. PENSAMIENTOESTRATGICO ................................................................. 54 Misin 54 Visin 55 Estrategia................................................................................................... 55 11. METODOLOGIAPARAELANLISISYVALORACINDERIESGOS ENPROYECTOSDETECNOLOGADEINFORMACIN .............................. 56 11.1. FASE 0: SENSIBILIZACIN ..................................................................... 57 11.2. FASE 1: PLANEACINDELPROYECTO.................................................... 61 ConfirmacindelAlcance .......................................................................... 61 ConformacindelEquipodeTrabajo......................................................... 62 11.3. FASE 2: INICIACINDELPROYECTO ....................................................... 64 ReunindeLanzamientodelProyecto ...................................................... 65 ConocimientodelNegocio ......................................................................... 65 SolicituddeRequerimientosdeInformacin.............................................. 66 PlandeEntrevistas .................................................................................... 66 11.4. FASE 3: GESTINDELRIESGO .............................................................. 66 Identificacin .............................................................................................. 69 Anlisisyvaloracin .................................................................................. 77 11.4.2.1.Perfildelosriesgos .............................................................. 88 11.4.2.2.Patronesnormalesdedistribucin...................................... 88 11.4.3. Control ......................................................................................... 90 12. 13. 14. 15. RECOMENDACIONES .......................................................................... 94 CONCLUSIONES.................................................................................. 96 BIBLIOGRAFA..................................................................................... 98 REFERENCIAS.................................................................................... 101
GLOSARIO Para efectos de lograr una adecuada interpretacin de los conceptos que se manejan en los proyectos de tecnologa de informacin, a continuacin se definenalgunos delos principales trminosespecficosde uso frecuente enla metodologaparadesarrollarestetipodeproyectos. Informacin: Es el conjunto de datos que procesados e interpretados arrojan unresultadoyconbaseenlsetomandecisiones. Tecnologa de Informacin: Se define como el conjunto de procesos informticos, genteespecializada einfraestructura tecnolgica necesaria y con un amplio grado de integracin de sus componentes que maximizan la prestacindelosserviciosparasatisfacerlosrequerimientosdelnegocio. Proyecto: Un proyecto puede concebirse como un conjunto de actividades interdependientes,diseadasparaviabilizary materializarlosobjetivosdeuna organizacin en forma eficiente. En su esencia misma puede definirse como: Una accin no repetitiva, ni rutinaria orientada hacia el logro de un objetivo especfico y que se ejecuta con metas preestablecidas de calidad, costo y tiempo. Proyecto de Tecnologa de Informacin: Lo componen un conjunto de actividadesinterdependientesqueserealizanenformaplaneada,coordinaday controlada,dondeseintegranlaspersonas,losprocesosylatecnologaconel findedarunasolucinautomatizadaqueatravsdeunsistemadeinformacin resuelvaunanecesidadplanteadaporelusuarioinformticoolaorganizacin. Usuario Informtico: Persona que utiliza la infraestructura informtica para accederalainformacinyconbaseenellatomardecisiones.
MetodologaparaelAnlisisyValoracindeRiesgosenProyectosdeTecnologadeInformacin
Ambiente Informtico: Es la integracin de tres componentes bsicos: aplicaciones,tecnologaypersonas. Infraestructura Tecnolgica: Son los componentes de hardware (servidores, computadores de escritorio, personales, enrutadores, cables de red, entre otros), software (bsico, especfico, corporativo o departamental), bases de datos y aplicaciones que en forma conjunta e integrada procesan datos y producen resultados que generan informacin y con base en ella se toman decisiones. Contingencia Informtica: Es un suceso fortuito que afecta el procesamiento automatizado de la informacin y suspende las actividades normales del negocio. Amenaza: Persona, objeto, situacin o evento natural del entorno (externo o interno)queesvistocomofuentedepeligro,catstrofeointerrupcinypueden ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin, avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias,insuficiente gestinde monitoreo, aplicativos mal diseados, secuestro,fraude,etc.Tambinsedefinecomounriesgonoevaluado. Vulnerabilidad:Gradodesensibilidaddeunsistemaanteunriesgo,medidoen cuanto al nivel de afectacin posible poniendo en peligro su estabilidad. Situacin creada porlafalta de uno o varios controles, porlo quelaamenaza pudiera ocurrir y afectar el entorno informtico. Por ejemplo: deficiente control de accesos, administracin deficiente de la infraestructura informtica, poco control de versiones de software, ausencia de entrenamiento compartido (respaldodepersonas),polticasinexactaseinsuficientes,etc.
Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difcil de medir, sobretodo, cuandono se cuenta con datos estadsticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad, situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedaddesusconsecuencias(Severidad).
RiesgoInformtico:Esunsucesoinciertoquepuedellegarapresentarseen un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afectenelambienteinformticoolainformacin.
Frecuencia/Probabilidad:Esunamedidasobreelporcentajedeocurrenciade uneventoexpresadoennmerodeocurrenciasovecesquesedaunevento. Ver tambin posibilidad y probabilidad. Tambin se define como el nmero de vecesqueunaamenazadejadeserloparaconvertirseenrealidad,alolargode undeterminadoperiododetiempo. Severidad/Impacto: Es la evaluacin del efecto y consecuencia del riesgo. Generalmente,laexposicinalriesgosemideenaspectoseconmicos,imagen de las personas o empresas, disminucin de capacidad de respuesta y competitividad, interrupcin de operaciones, etc. Efecto que causa en la organizacinlaocurrenciadeunsiniestroocontingenciayquenormalmentese vereflejadoenlasuspensindelasactividadesnormalesdelnegocio.Tambin sedefinecomoeleconmicodelamaterializacindeunaamenaza,serequiere involucrargastosdirectos,indirectosyprdidasconsecuenciales.
10
Siniestro:Todoeventoaccidental,sbitoeimprevisto(repentino,noplaneado), quenormalmentegeneraconsecuenciasnegativassobreunsistema. Control: Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles sirven paraasegurar laconsecucindelos objetivos dela organizacinoasegurarelxitodeunsistemayparareducirlaexposicinde los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenirlascausasdelriesgo,detectarlaocurrenciadelascausasdelriesgo, retroalimentandoelsistemadecontrolinternoconmedioscorrectivos. Administracin de Riesgos: Conjunto de estrategias tendientes a minimizar los riesgos asociados al funcionamiento deun sistema, con el fin de disminuir lasprdidasygarantizarsucontinuidad. Prevenir Riesgos: Estrategia en la administracin de riesgos consistente en actuar sobre las acciones y/o las condiciones inseguras, para disminuir la frecuenciadelossiniestros. Transferir Riesgos: Estrategia enla administracin deriesgos consistente en controlar las consecuencias econmicas de los siniestros, mediante la transferenciaparcialototaldelasmismasauntercero. Seguro: Es un contratoen virtud del cual, un ASEGURADOR se compromete medianteelpagodeunaprima,apagaraunASEGURADOoBENEFICIARIO unaindemnizacin,encasodeocurrirunsiniestro.
11
Retener/AsumirRiesgos:Procesomedianteelcualelpropietariodeunactivo acepta un riesgo de ciertos peligros que no han podido ser solucionados (acabados,minimizados). Recuperacin: Actividad final en el proceso de respuesta a un siniestro, consistente en restablecer la operatividad de un sistema interrumpido por la presentacindelmismo. Aplicacin: Conjunto de programas que soportan un proceso en la organizacin. Aplicacin crtica: Es aquella que por ser esencial, requiere ser procesada paradarlecontinuidadalnegocio.
Determinar un Riesgo: Identificar la exposicin de un activo de informacin quecauseconsecuenciasnegativasparasunormaldisponibilidad.
Costo: De una actividad, estos son tanto directos como indirectos, involucran un impacto positivo o negativo, esto se refiere a dinero, tiempo, trabajo, desorganizacin, renombre, polticas y prdidas intangibles como imagen, confianza,credibilidad.
12
INTRODUCCIN
El hombre y todas las actividades que desarrolla son susceptibles de sufrir eventosquelospuedanafectarenformanegativa.
Desdeloscomienzosdelacomputacin,losrecursosinformticosincluyendola informacin, han estado expuestos a una serie de peligros o riesgos que han aumentadoyevolucionadoconformeseglobalizanlascomunicaciones.
Proteger los activos ms valiosos de la organizacin frente a posibles amenazas que ofrece permanentemente el medio, es un gran desafo. Este interscreceanmscuandolainformacincobraimportanciaparasobrevivir frentealacompetenciaypermanecerenelmercadofactorescomoelusode Internet y dems herramientas que faciliten la comunicacin traen consigo innumerables ventajas, pero igualmente enfrentan a la organizacin a otros problemasqueanteriormentenoexistan.Lamaterializacindeamenazasque alterenodestruyanlainformacin,crealanecesidaddediseareimplementar otrasestrategiasquepermitangerenciarycontrolarlosnuevostiposderiesgos queestnrelacionadosconlatecnologadeinformacin.
Con el devenir del tiempo el hombre ha pretendido desarrollar diferentes metodologasquelepermita,dealgunamanera,enfrentarlasamenazas:desde medidas instintivas hasta el uso racional delos conocimientos y tecnologas a sualcanceencadamomentohistricodelavida.
13
La Administracin de Riesgos nace para suplir la necesidad del hombre de caracterizarconprecisinelriesgo.Estanoveldisciplinatienecomoprincipales actividades la identificacin, anlisis, evaluacin y control fsico, lgico y financiero ptimos de los riesgos a que estn expuestos los recursos de la Entidad(odeloscualesesresponsable,almenosenparte).
Los riesgos para un sistema (en este caso EE.PP.M.) se clasifican entre aquellos denominados comnmente como Riesgos Convencionales para los cuales la empresa cuenta con recursos permanentes y suficientes para su manejo adecuado, y los denominados Riesgos Mayores con capacidad suficienteparagenerarundesajustesignificativoalrgimendefuncionamiento delaempresa,amenazandosuestabilidadymuchasveceslaintegridaddesus funcionarios o de la comunidad, poniendo en peligro su estabilidad y subsistencia. Las consecuencias de un Riesgo Mayor pueden generar graves CRISIS y afectar su operatividad, con un serio impacto sobre las personas, las instalaciones, la economa del negocio, la imagen y buen nombre de la empresa,laoperacin,lainformacinoelmedioambiente.
SeconocecomoCRISIStodasituacincaracterizadaporcambiosimprevistos en las variables crticas que regulan el funcionamiento de un sistema y por la prdida de control sobre las mismas, con potencial de generar un impacto negativogravealsistemaquelasufre.
Dentro de un adecuado programa de ADMINISTRACION DE RIESGOS, toda empresadebecontarconherramientastendientesaproporcionarlaestructura organizacional, la metodologa y los procedimientos para detectar, evaluar y responderalosRiesgosMayores,detalformaqueseimpidaqueellospuedan
14
desembocar en consecuencias desastrosas o catastrficas, salvaguardando la existenciamismadelnegocio.
Elpresentetrabajotienecomofindefinirlametodologadeanlisisyvaloracin de riesgos en proyectos de tecnologa de informacin de una manera estructurada y modular (por fases o etapas) para que sirva como herramienta de apoyo en la gestin de estos proyectos en las Empresas Pblicas de MedellnE.S.P.
En este informe se describen las actividades y tareas que se deben llevar a caboencadafasedelametodologa.
15
1. OBJETIVOS
Conelpresentetrabajoloquesepretendelograrsonlossiguientes:
OBJETIVOGENERAL Dotar a la organizacin Informtica de Empresas Pblicas de Medelln E.S.P. de una herramienta que le facilite identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnologa de informacin que emprenda la corporacin, mejorando la gestin con el fin de disminuir el impacto de la tecnologaenloscostos,recursosyeltiempoalentrarenproduccin.
OBJETIVOSESPECFICOS Dentro de los objetivos especficos que se pretendencubrirconestetrabajo estn:
DefinirlaMetodologa. Identificar los riesgos asociados a los proyectos de tecnologa de Informacin.
Definir el mtodo de evaluacin y valoracin de riesgos para los proyectosdetecnologadeInformacin.
Presentaralgunosmecanismosdecontrolderiesgosparalosproyectos detecnologadeInformacin.
Documentarlametodologa.
16
2. BENEFICIOS
Algunos beneficios a obtener en la identificacin, anlisis y valoracin de riesgosson:
Laidentificacindelosriesgosinternosyexternosasociadosalproyecto de tecnologa de informacin permitir definir acciones que ayuden a minimizarelimpactoylaprobabilidaddequeuneventosematerialice.
Determinarlaprobabilidaddematerializacindeunaamenazaalaluzde lasituacindelpasyenelcontextoESPG(Econmico,Social,Polticoy Geogrficoenlaorganizacin)yquepuedanafectarelproyecto.
Dimensionarelimpactodelosriesgossobrelaorganizacinentrminos deexposicinainterrupcionesyprdidaquepuedanponerenriesgola viabilidadylacontinuidaddelproyectoolaorganizacin.
Localizacin, clasificacin y priorizacin de los riesgos observados, teniendoencuentalaglobalidaddelmapaderiesgosylosobjetivosdel proyectodetecnologadeInformacin.
Obtener las respectivas matrices de riesgos que servirn para diagnosticar la situacin actual y definir las medidas de prevencin y proteccinquepermitanllevarafeliztrminoelproyecto.
17
3. ALCANCE
Definir y documentar la metodologa de anlisis y valoracin de riesgos en proyectosdetecnologadeinformacindeunamaneraestructuradaymodular (por fases o etapas) que permita identificar, evaluar, controlar y valorar los riesgosenelreainformticayparalasEmpresasPblicasdeMedellnE.S.P.
El trabajo se desarrollar documentado cada una de las fases o etapas que componen la metodologa: Fase de identificacin, evaluacin, control y valoracin,incluyendolasactividadesquesedebenejecutarencadafase.
Despusdeidentificaryevaluarlasamenazasasociadasalossistemasysus componentes,seiniciarnprogramasdecontrolderiesgos.
18
4. APLICACIN
La aplicacin de la metodologa para el anlisis y valoracin de riesgos informticos, deber realizarse en todas las etapas de los proyectos de tecnologadeinformacinhacindolaextensivaacontratistas,subcontratistasy proveedores.
1 ExistenenlaEntidaddependencias confuncionesdealcancecorporativoque
deben realizar la gestin de riesgos en dos niveles claramente diferenciables: Comogestininternaindependiente,ycomoapoyocorporativohacialasdems unidadesodirecciones.Enesteltimocaso,sernlasunidadesquerequieran el apoyo de las partes corporativas, las que soliciten en forma explcita la necesidaddeasesoraespecficayaplicacindeestametodologa.
La metodologa podr ser aplicada en cada Unidad de Ncleo Compartido (UNC), Unidad Estratgica de Negocio (UEN) o Unidad de Servicios Compartidos(USC),esdecir,dependiendodelosrecursosqueposeanoestn bajosuresponsabilidad.
Direccin Informtica, Direccin Administrativa, Direccin Gestin Humana, Planeacin y Finanzas, Secretara General,ControlInterno
19
5. FORMULACINDELPROBLEMA
Independientementedelosesfuerzosquelasempresasdesarrollenparaevitar lossiniestros,siemprehabrunaposibilidadesperamosqueremotadeque sepresenteuneventoindeseado.
Enmuchoscasoslosrecursosdisponiblesenlaempresasernsuficientespara sortear con xito el imprevisto. Sin embargo, en otros casos, tal como la experiencia lo ha demostrado, un evento puede superar la capacidad de respuestadisponible,yesentoncesdondesobrevienenlosdesastres,algunos conresultadoscatastrficos.
En el transcurso de los aos y con la incursin de nuevas y mejores tecnologas,lautilizacindelainformacinydelprocesamientoelectrnicode datoshacobradounpapelsignificativodentrodeldesarrollodelasoperaciones normalesdelasorganizaciones.Asmismo,sehaconvertidoenestrategiapara lograrunaventajacompetitivayenunapoyodefinitivoparalagestinnegocio.
Los sistemas de informacin ms que una novedad que adquieren las organizaciones para estar in, son elementos fundamentales que han contribuido efectivamente en el desarrollo de las mismas, que a su vez han tradoconsigounaseriederiesgos,loscualesnoexistanhastaelmomentoo eran de difcil deteccin porque las organizaciones no contaban con los mecanismosolametodologanecesariaparalograrla.
Sinembargo,losbeneficiosreportadosporlossistemasdeinformacinnoson gratuitos,sibienentraronamanejarelrecursomsvaliosoconquecuentanlas organizaciones hoy en da, la informacin, tambin crearon en stas una
20
altsimadependenciadelosmismos,dejandoreasfrgilesyvulnerablesysin lascualeslasorganizacionesnopodransubsistir.
Estamos, sin duda, en la era de la informacin: Adquirir equipos, obtener servicios y acortar las distancias para estar informados es una posibilidad tecnolgica vuelta obsesin. Esto hace que la informacin adquiera gran importanciayunvalorincalculable,yqueporlotantohayaquetomartodaslas medidasnecesariasparaprotegerla.
21
6. JUSTIFICACIN
UnadelasprincipalescaractersticasdeEmpresasPblicasdeMedellnE.S.P. eselmantenersealavanguardiaenlaimplementacindenuevastecnologas de informacin que le permitan brindar un mejor servicio a sus usuarios, disminuirsuscostosoperacionales,permitiendoasprestarserviciospblicosa tarifas ms econmicas, basndose en el principio de que toda inversin tecnolgicao denegocios debe ser sustentada desdela perspectiva tcnica y denegocios.
Esto selogra con eladecuadoaseguramiento delos recursos conque cuenta unaorganizacin,queesunodelosobjetivosdelagestinintegralderiesgos, entendidacomoelconjuntodeaccionesparaenfrentarlosriesgosquegeneran los proyectos de tecnologa de informacin a los cuales estn expuestos, originadosenamenazasprovenientestantodelinteriorcomodelexteriordela empresadefinirydisearcontrolespreventivostomar medidasdeproteccin, y desarrollar programas de recuperacin o planes de contingencia ante la posible ocurrencia de siniestros que puedan afectar la planeacin, ejecucin, implantacin y entrada en produccin del proyecto en una organizacin como lasEmpresasPblicasdeMedellnE.S.P.
La necesidad de tener continuidad enlos procesos se fundamenta en que las principales estrategias que hacen que la empresa sea competitiva y tenga diferenciacin en el medio en que se mueve, dependan de la tecnologa de informacin. Esta realidad la obliga a mantener una alta disponibilidad en su infraestructura tecnolgica y en consecuencia la Direccin de Informtica Corporativa ha venido respondiendo al reto, comprometindose a incrementar ao tras ao el ndice de disponibilidad de la infraestructura de TI, pero
22
reconociendo la falta de metodologas, herramientas y estndares de las mejores prcticas que le permitan identificar, evaluar, valorar y controlar los riesgos de la tecnologa de informacin que le faciliten de la manera ms eficientecumplirconlosobjetivosdelaempresayacostosrazonables.
Elcontarconunametodologadeanlisisyvaloracinderiesgosenproyectos detecnologadeinformacinenlaorganizacin,ayudaenformaestructuradaa identificar, evaluar, controlar y valorar los riesgos para poder administrarlos y de esta manera poder entrar en produccin con los recursos, los costos y el tiempoplaneado.
Elpresentetrabajotienecomofindefinirlametodologadeanlisisyvaloracin de riesgos en Proyectos de Tecnologa de informacin de una manera estructurada y modular (por fases o etapas) para las Empresas Pblicas de MedellnE.S.P.
Por todo lo anterior y siendo la Direccin de Informtica Corporativa el rea responsable de adquirir los sistemas de informacin que apoyen los procesos del negocio, ha considerado muy importante y necesario desarrollar y documentar esta metodologa con el propsito de aplicarla en todos los proyectosdetecnologadeinformacinqueemprendalacorporacinybajola responsabilidaddeestadireccin.
23
7. MARCOCONCEPTUAL
ElHombreysusactividadeshanestado,desdesusorgenes,acompaadosde riesgos y amenazas. La incertidumbre y la exposicin al peligro, han permanecidocontinuamenteligadasaldesarrollohumanoyporende,elinstinto de proteccin ante la eventualidad de sufrir un dao o una prdida, ha sido tambinunaconstanteenlavidadelhombre.
En un comienzo los peligros que lo rodeaban eran sencillos, al igual que las soluciones para enfrentarlos. Sin embargo, el progreso y la diversificacin de actividades humanas, trajeron consigo nuevos y ms acentuados problemas y peligros,desconocidoshastaesemomento.Esto,unidoalaasignacindevalor a los bienes posedos, acarre que las amenazas se hayan incrementado significativamente. De aqu la importancia de disminuir racionalmente las fuentesdepeligrooriesgoalasqueestexpuestaelhombre.
El desarrollo empresarial no ha sido ajeno a estos procesos. An ms, es imposible concebir al empresario sin la convivencia con el riesgo, pues de all es de donde realmente proviene su beneficio. El entorno en que operan las empresas se ha vuelto ms complejo y cada vez ms dependen de la tecnologa y los sistemas de informacin. Esto ha trado consigo la necesidad dedarunamayoratencinaltratamientodelosriesgosenlasorganizaciones loqueha propiciadola aparicin delgerente de riesgos,que se ha convertido enpiezafundamentaldentrodelcontextodelaaltagerencia
Todas las organizaciones entraan riesgos de prdidas a causa de la materializacindeamenazasquetienensuorigenenlarelacindestasconel entornonatural,social,econmico,poltico,tecnolgicoentreotros.
24
La materializacin de cualquier tipo de amenaza puede tener serias y graves consecuencias paralas que debemos estar preparados. Existe la probabilidad dequeseincrementenlosriesgosporfactorescomoeldesarrolloindustrial,la nuevatecnologa,elaumentoderiesgosdeorigensocial,elsurgimientodeuna legislacin ms estricta, la limitada capacidad de respuesta de algunos organismosdeemergencia,entreotros.
En cualquier empresa, los gerentes deben lidiar con el riesgo. Sin embargo, dado que cada departamento dentro de una organizacin afronta el riesgo de diferentemanera,lagerenciaderiesgosenmuchoscasos,sehaconvertidoen unatareaadhoc.
Lagerenciaderiesgoses,sinduda,uncomponentequevaencrecimientoen la vida cotidiana, conforme el mundo de los negocios se expande y se va haciendomscomplejo.
Unaadecuadagerenciadelriesgonoslopuedesignificarladiferenciaentrela vidaylamuertedeunaempresa,sinoquepuedeserunaformainnovadorade aumentar el valor de la empresa. Esta disciplina, antes circunscrita a la administracin de plizas de seguro, es ahora de inters para Gerentes Generales, Directores de Control Interno, Informtica, Gestin Humana, Tesoreros,yengeneral,paratodalaempresa.
L ASB ASESDELA GERENCIADELRIESGOCORPORATIVO El riesgo y la incertidumbre son fundamentales en la vida profesional y personal. El riesgo es la fuente de oportunidades que pueden convertirse en ganancia,peroasuvez,asomalaposibilidaddelaruina.
25
Lasempresasgastananualmentemillonariassumasdedineroparaafrontarsu vulnerabilidadantelosriesgos.Estaenormecifrallevaaplantearnos:
Es el riesgo tan importante en s, como para justificar la cantidad de recursosinvertidosporlasempresasconelfindeafrontarlos?
Estnoptimizandosudineroconestasacciones?.
Debidoaqueelriesgoylaoportunidadvanmanoamano,lasempresassuelen afrontar una inmensa variedad de riesgos, saberlos manejar es un asunto delicado.
Manejar el riesgo puede reducir los riesgos de tener problemas financieros y protegeralaempresaanteeventosnoanticipadosqueinterrumpansusplanes. Mientras que muchos ejecutivos luchan contra ciertos tipos de riesgos especficos,la gerenciade riesgos debera estarintegrada y consolidadapara lograr una mxima reduccin de riesgos a un mnimo costo. El riesgo no se puede evitar, pero es manejable. Las empresas buscan manejar el riesgo de diversasformas:
a) Evasin de riesgos: cuando se decide no emprender ninguna accin riesgosa. b) Reduccinderiesgos:prevenirycontrolarlosriesgosusandoequipos deseguridad,tcnicasdeprevencinydiversificacin. c) Transferenciaderiesgos:serefiereaaseguraryequilibrarlosriesgos, compartindolosconterceros,porejemplolascompaasdeseguros. d) Retencin de riesgos: absorber ciertos riesgos de un modo costo efectivo.
26
Es crtico para una empresa coordinar sus esfuerzos en todaslas reas, para poder tomar decisiones sobre manejo de riesgos de forma coherente. Un ejemplo de incoherencia es una compaa que gasta sumas millonarias asegurando sus plantas de produccin y equipos contra prdidas por accidentessinembargo,unaccidentedeestetiposeramenosdevastadorque uncambioenlastasasdeinters,unaprdidadeinformacinestratgicaouna prdidadeimagencontraelquelaempresanotendraproteccinalguna.
Se debe desarrollar una cooperacin cercana y constante entre aquellos responsables por dirigir las actividades de la empresa, los responsables de conseguir el capital para financiar dichas actividades, y los responsables por cubrirlosriesgosqueesasactividadesgeneran.
LaGerenciadeRiesgoIntegrado(GRI)proveelaestructuraparaarticularestas relacionescrticas.
ELFUTURO Muchastendenciasenelmundoactancomocatalizadoresparaelcrecimiento delagerenciaderiesgointegrado.
Los accionistas estn preocupados por el uso eficiente de sus fondos los funcionarios pblicos buscan el inters de los consumidores los accionistas y aseguradores, as como las agencias de calificacin de riesgo y otros intermediarios financieros, siguen con cautela las habilidades de manejar riesgosdelosgerentes.
27
Losavancesenlosmodelosanalticosquemidenelriesgoylaestandarizacin delasprcticasdegerenciaderiesgostambinestnacelerandoeldesarrollo delGRI.
Sinembargo,anexistenbarrerasquedebensersuperadas,especialmentela inerciaburocrticaquehacedifcilcruzarlaslneasfuncionalestradicionales.El altocostodelastransaccionesylaintegracindelossistemasdeinformacin, lacomplejidaddelosproductosylaincertidumbresobrelostratosregulatoriosy contables,sontodosfactoresnegativos.
Los Estados Unidos han asumido el rol de liderazgo en las soluciones de Transferencia de Riesgo Alternativo (TRA). La perspectiva es alentadora, debidoalacrecienteimportanciadelosmercadosdecapitalylaintegracinde tareas de gerencia de riesgos dentro de las corporaciones. En Europa, el desarrollo en el Reino Unido ha avanzado relativamente, mientras que el mercado permanece en su infancia en el continente. Sin embargo, los ambientes reguladores, de impuestos y contabilidad europeos son favorables para la innovacin, y la regin debera ver un fuerte crecimiento para las solucionesTRAatrminomedio.LosdesarrollosdelassolucionesTRAapenas comienzanahacerseenAsiayLatinoamrica.
Quedarse de lado ante la evolucin de la gerencia de riesgos implica perder oportunidades.Lahistoriahademostradoquelosinnovadorespuedenobtener gananciasextraordinarias.
El Gerente Corporativo de Riesgos El CEO de la empresa (Gerente General), como responsable mximo del xito de la empresa, puede ser considerado comoelejecutivoacargodelriesgo.Unpasoimportanteadarenelcrecimiento de la gerencia de riesgo integrado es la creacin del papel de un gerente de
28
riesgos.Estoyaestocurriendo,especialmenteenlaindustriafinanciera.Este gerente estara encargado de manejar la identificacin y la medicin de todos losriesgosafrontadosporsuempresa,ascomodelusoeficientedelcapitalde riesgo.
Este gerente de riesgo debera provenir de la alta gerencia, y debe reportarle directamentealCEOdelaempresanodeberatenerningunaresponsabilidad por las ganancias o negocio directo, debe actuar ms bien como un auditor o contadorenlaempresa.
ElgerentederiesgosseconvertirenelcampendelGRIcomounabasepara acceder y medir de forma racional la relacin entre los riesgos que una compaaafrontaylosrecursosdecapitalquetieneadisposicin.
Paraelcasocolombiano,LaGerenciadeRiesgoshacobradoparticularinters a comienzos dela dcada delos 90, arazde las medidas encaminadasala liberacin del mercado dentro de la poltica de apertura econmica. El nuevo ambiente de negocios , alejado ya del proteccionismo, ha exigido el uso de tcnicas y metodologas de Gerencia de Riesgo, en detrimento del enfoque simplista de trasladar los riesgos a travs de contratos de seguros, comnmente llamado plizas, manejados por especialistas en la definicin de clusulas y tarifas generales, que poca o ninguna relacin guardaban con la realidad.
Frenteaestenuevopanorama,losriesgosdejarondeseruncampoexclusivo de unos pocos conocedores de las condiciones especficas de plizas existentes en el mercado, para involucrar ms directamente a los gerentes de lasorganizacionesenlagestindestos.
29
En el campo de los riesgos y los seguros, como sucede en la informtica, el conocimiento profundo de los conceptos y los mtodos por parte de los gerentesredundaengrandesbeneficiosyporesoescadavezmsimperativo.
Lagerenciaderiesgoscomofuncindeliderazgoejecutivoenelmanejodelos riesgos que afectan la actividad empresarial, puede observarse desde los siguientespuntosdevista: Amplio:Desdeelpuntodevistaamplio,seconcibeelgerentederiesgocomo unempresarioresponsablequeposeeycontrolatotalmenteelnegocio,esdecir administratotalmentelosriesgosaqueestexpuesto. Limitado: En el enfoque limitado, las funciones del Gerente se circunscriben principalmente,adirigirlosriesgosasegurables,mediantelacoberturaofrecida porlosseguros. Intermedio: Las funciones del gerente de riesgos ubicado en una posicin intermedia, cuya labor va ms all de la mera adquisicin de seguros para cubrir los riesgos de la empresa, pretende administrar los riesgos pero no en formatotal.
Estallaimportanciaquehaalcanzadolafiguradelgerentederiesgos,quese dicequeestefuncionarioestanindispensableparalaempresacomolosonel jefe de compras, el gerente comercial, el gerente de ventas, pues tiene la responsabilidad de gestionar eficazmente los riesgos que recaen sobre cada uno de los bienes e intereses de la empresa. De este forma, supervisar el desempeo total de una compaa, es responsabilidad y labor del gerente de riesgos.
30
Entre las muchas responsabilidades del gerente de riesgos podemos resaltar lassiguientes:
Determinacin y evaluacindelosriesgos en las diferentesreas dela organizacin como: Planeacin, Finanzas, Comercial, Procesos, Administrativa, Informtica, Gestin Humana, Medio Ambiente, Jurdica, entreotras.
Seleccindelosmecanismosdecoberturaparalosriesgospropiosdela actividadempresarial.
Contabilidaddelseguro. Administracindelautoseguro. Diseo y administracin de planes de emergencias, contingencias y atencindedesastres.
Administracin de planes de seguro de grupo y de beneficios para los funcionarios.
Atencindereclamaciones. Prevencindeprdidas.
Dado que la principal funcin del gerente de riesgos es preventiva, l busca eliminaroreduciralmnimolosriesgosdelaempresaycuandostosocurran, busca disminuir su impacto en la produccin empresarial, y aunque es difcil eliminar totalmente la posibilidad de riesgos en la empresa, se han diseado programas bastante difundidos a nivel mundial, para realizar una gerencia del riesgoeficaz,entrelosquesedestacanlossiguientes:
Mantenimientodelosregistrosdeprdidasyaccidentesconinformacin verazyactualizada.
31
Generacin de programas de inspeccin y anlisis de la seguridad en todaslasreasdelaorganizacin.
Programasdeprevencindeaccidentes Generacin de conciencia de seguridad en todas las instancias de la empresa.
Minimizacindelasprdidas.
Al inicio de todo proyecto, contar con un anlisis y valoracin de riesgos de ste, le permite al gerente tener un panorama ms claro y la posibilidad de ir reduciendo frecuencia y severidad ante la posible materializacin de las amenazas.
Loquesepretendeesproporcionarherramientasalosgerentespararealizar sulaborbajolascondicionesderiesgo,sinperderdevistalamisinyvisinde suorganizacin.
32
8. ANTECEDENTES
EE.PP.M. es la empresa lder en el Sector de la prestacin de Servicios Pblicos en el pas, y sus operaciones incluyen actividades de generacin y distribucin de energa, tratamiento y suministro de agua potable, servicios de alcantarillado, telecomunicaciones y distribucin de gas natural en Antioquia y otrasregionesenColombia.
Sus negocios se relacionan con lo que se han denominado Lneas Vitales, o sea aquellos servicios y actividades indispensables para el funcionamiento y desarrolloysupervivenciadelascomunidades.
Debidoalandoledesuoperacin,suactividadnoselimitaaaquellasquese desarrollan dentro de unainstalacin particular, sino quefsicamente cubreun extensoterritorio,conloqueseincrementaconsiderablementelasamenazas.
La mayora de sus operaciones presentan una diferencia significativamente crticaconlamayoradeempresas,debidoaquelaafectacindesuoperacin sereflejaenformainmediataenlasactividadesdelacomunidad.Porelmismo motivoelimpactoproducidoporcualquiereventoqueafectesusoperacionesse extiende mucho ms all del relacionado con factores econmicos y tcnicos, pasando al mbito social y poltico, con las graves implicaciones que ello representa.
Enelnegociodelosserviciospblicosunadelasvariablescrticasparaelxito del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal formaquegaranticesucontinuidadylacalidaddelservicio.
33
Por las caractersticas de su operacin (Empresa de Servicios Pblicos), es altamente vulnerable a las amenazas sociales, ya sean de origen voluntario, poltico o comercial (huelgas, atentados, secuestros, extorsiones, restricciones comerciales, fraude, cambios de legislacin, etc.), adems de presentar amenazas tecnolgicas tpicas para este tipo de operacin (incendios, explosiones,roturadepresas,prdidadeinformacin,contaminacin,fallasen procesos, accidentes de transporte, etc.), as como las amenazas naturales propiasdelaszonasendondeopera(sismos,inundaciones,sequas,etc.).
EE.PP.M. ha desarrollando en las diferentes Unidades Estratgicas de Negocios UEN, Unidades de Ncleo Corporativo UNC y Unidades de Servicios CompartidosUSC, programas yplanes especficos para el manejo desusriesgos.Sinembargo,sehacenecesariointegrartodosestosesfuerzos para que tengan un mismo enfoque y estructura, as como un modelo organizacionalparasuadministracinyoperacin,coherenteconlaMisinyla VisindelaEmpresa.
Conestepropsito,seexpidielDECRETONo648del3deabrilde1995,el cual fue actualizado y reemplazado con el1029 del22 de Enero de 1999, por medio del cual se implanta el Sistema Corporativo de Administracin de Riesgos,suspolticas,directrices,normasyprocedimientos,elcualestableceel proceso para la gestin de los riesgos en EE.PP.M., define los lineamientos parahacerlo,yasignafuncionesyresponsabilidadesalrespecto.
Conmirasallogrodelanteriorpropsito,yencumplimientodelasfuncionesa ella asignadas, la Direccin de Informtica Corporativa ha considerado muy importante y necesario desarrollar y documentar una metodologa con el propsitodeaplicarlaentodoslosproyectosdetecnologadeinformacinque
34
emprenda la corporacin y bajo la responsabilidad de esta direccin, para ser aplicadoalasnecesidadesdelaempresa.
Se busca que en cada una delas Gerencias y Direcciones de EE.PP.M. sean capazdeaplicarla,sirviendodenexoentrelosaspectosestratgicosdelaalta Gerencia y los aspectos operativos de los proyectos de tecnologa de informacinqueestnenejecucin.Todoloanterioradecuadoalmarcolegaly organizacionalquerigeelfuncionamientodelaempresa.
35
9. QUSONLASEMPRESASPBLICASDEMEDELLNE.S.P.
Hasta 1997 Empresas Pblicas de Medelln E.S.P. fue una entidad descentralizada del orden municipal, creada en 1955 por el Consejo Administrativo de Medelln. El 6 de agosto de ese ao cuatro entidades, adscritas en ese entonces al Honorable Concejo Municipal las de Energa, Acueducto,AlcantarilladoyTelfonosfueronfusionadasenunestablecimiento autnomopordeterminacindelConsejoAdministrativodeMedelln,mediante elAcuerdoNmero58.
El18denoviembrede1955laAlcaldadeMedellnexpidilosEstatutosdela organizacin (Decreto 375), reglamentando as su existencia, la cual qued confirmadael25denoviembredelmismoaoconlasancindelGobernador. Pero fue slo en enero de 1956 cuando realmente EE.PP.M. inici su vida administrativa. En 1989, el Acuerdo Nmero 002 incluy en los Estatutos el manejo y mejoramiento del medio ambiente como parte del objeto social de EE.PP.M. Adems reform el nombre del servicio telefnico por el de telecomunicaciones.
Desde enero de 1998, y en virtud de lo previsto en el Acuerdo 69 de 1997 expedido por el Concejo de Medelln y en aplicacin de las previsiones de la Ley 142 de 1994, Empresas Pblicas de Medelln E.S.P. fue transformada en una Empresa Industrial y Comercial del Estado. La entidad tiene por objeto la prestacin de los servicios pblicos domiciliarios de acueducto, alcantarillado, energa,distribucindegasporredytelecomunicaciones.
Por su naturaleza de Empresa Industrial y Comercial del Estado se encuentra sometida a las disposiciones de la ley comercial para el desarrollo de sus
36
actividades, lo cual la sita, en principio, en igualdad de condiciones con las empresas de servicios pblicos domiciliarios. Por el objeto al cual se halla dedicada,estsujetaalasdisposicionesdelaLey142de1994Rgimende los Servicios Pblicos Domiciliarios y debe desenvolverse en el ambiente de competenciaentrelosdiferentesprestadoresdelosservicios,segnloprevisto enelmencionadorgimen.
SusedeesMedelln,capitaldeldepartamentodeAntioquia,conunapoblacin de 2.000.000 de habitantes. Con sus servicios EEPPM atiende 3.000.000 de habitantes, la mayora localizados en el Valle de Aburr, corredor geogrfico dondeademsdeMedellnseencuentranlosmunicipiosdeBello,Copacabana, Girardota,Barbosa,Itag,Envigado,Sabaneta,LaEstrellayCaldas.
La seriedad de su gestin, sus niveles de calidad y cobertura y el estricto cumplimiento de sus compromisos financieros le han valido el respaldo delos organismoscrediticiosnacionaleseinternacionales.
EneseentoncesMedellntenaunos500milhabitantes.Losserviciosestaban enmanosdeempresasindependientes,todasdecarctermunicipal.Elservicio deenergacontabacon75.517suscriptores,lamayoradeellosresidenciales,y una capacidad instalada de 100 mil kilovatios, representados en las centrales dePiedrasBlancasyGuadalupeIyII,staltimamotordeldesarrolloindustrial delacapitalAntioquea.
El servicio de acueducto llegaba apenas a 50506 usuarios que consuman diariamente 115 mil metros cbicos. La infraestructura, todava insuficiente, inclua el tanque de Santa Elena (el primero que tuvo la ciudad), la planta de VillaHermosa(laprimeradepurificacin,anenfuncionamiento)yelembalse dePiedrasBlancas.
37
En materia de telecomunicaciones la aparicin de las Empresas Pblicas de Medelln E.S.P. marc el advenimiento de un gran avance administrativo, tcnicoyoperativo.Alcierrede1955existan25.759suscriptoresentelefona bsica,29.500lneasy54telfonospblicos.
DEAYERAHOY Cincuentaaosdespuslapoblacinsehaquintuplicado.EE.PP.M.trabajada adaparaelevarelniveldevidanoslodeloshabitantesdeMedelln,sinode todoelValledeAburr,garantizndoleslaprestacindelosserviciospblicos bsicosconlosmsaltosnivelesdecalidad,oportunidadyeficiencia.
En el marco de una clara y total funcin social, sus estatutos le asignan, en formaexpresa,elobjetivodeconstituirunfactordebienestaryprogresoparala comunidad.
En este tiempo EE.PP.M. ha construido la columna vertebral del sistema hidroelctricoAntioqueo.LosdesarrollosdeGuadalupe,laprimeraysegunda etapadelacentralGuatap,lascentralesdePlayas,NiquayLaTasajera,yel avancedelproyectoPorceII,encarnanelmsgrandepatrimonioenergticode laregin.En1998entrenoperacinLaSierra,suprimerdesarrollotrmicoa basedegas.
EE.PP.M. ha asumido tambin la prestacin y distribucin gradual del servicio de gas natural en 10 municipios del Valle de Aburr, labor que inici desde agostode1998.
38
Sideacueducto,sehabla,EE.PP.M.entregaelaguademejorcalidaddelpas, procesada en 11 plantas de potabilizacin. La Empresa de Aguas cuenta con fuentesdeaguaysistemasdecaptacinsuficientesparaatenderlapoblacin hastacondicionesdemximasaturacin.Disponedelmsmodernolaboratorio deColombiaparaelcontroldelagua,medianteanlisisbacteriolgicos,fsico qumicos,instrumentalesydeaguasresiduales.
En materia de alcantarillado y resueltas las necesidades de agua potable del Medelln Metropolitano, EE.PP.M. orienta ahora sus esfuerzos hacia el saneamientodelroMedellnyparalograrestepropsitohaconstruidoypuesto enoperacinlaprimeragranplantadeaguasresiduales,ladeSanFernando.
Enelreadetelecomunicacioneselimpulsotecnolgicohasidounaconstante. Ha brindado aportes importantes en estas cuatro dcadas como las centrales digitales, la transmisin por fibra ptica, los sistemas telefnico va radio, buscapersonas y de transmisin de datos la Red Digital de Servicios Integrados, RDSI, y la videoconferencia. Toda esta tecnologa cuenta con el respaldodeservicioscomputarizados,comoeldeinformacinalusuarioo113, el de atencin de daos o 114, y los centros de Control, de Operacin y Mantenimiento.
HACIAELFUTURO EmpresasPblicasdeMedellnE.S.P.siguepreparndoseparaelfuturo.Hacia el2005,supresupuestoaprobadoalcanzarlos$4.797.740millonesdepesos.
Estaprevisineneldesarrollodelosservicioseselresultadodelaplanificacin ydelavisinfuturistademuchasgeneracionesdeantioqueos.Graciasaese
39
sentido de planeacin, el panorama de los servicios pblicos en Medelln y en los dems municipios donde la Empresa presta servicios, se encuentra tan despejadocomoenelpresenteyenelpasado.Asloconfirmanlosplanesde desarrollo ya financiados con recursos propios y de la banca multilateral y comercial.
EndesarrollodesuPlandeExpansindeEnerga,trabajaenPorceIIque,en losalboresdelsigloXXIentregaralpas392MWenelproyectoNech(750 MW) que ser una realidad a partir del 2005, y en la segunda fase de un desarrollotrmicoenelMagdalenaMedio.
Con su servicio domiciliario de Gas Natural Empresas Pblicas de Medelln E.S.P. aspira a cubrir todo el Valle de Aburr. El desarrollo del plan de masificacinseextenderhastaelao2005ydemandarlaconstruccinde89 kilmetros de redes primarias, 24 estaciones reguladoras para los circuitos y 5.600kilmetrosderedessecundarias.
En los albores de un nuevo siglo EE.PP.M. quiere legarle a las generaciones veniderasunroMedellnrecuperado,msamableysinolores.Atravsdesu plandeSaneamientoproyecta406kilmetrosderedes,lapuestaenmarchade laplantaSanFernandoparaeltratamientodeaguasresiduales,alsurdelValle deAburr,yladefinicinyeldiseodeunasegundaplantaenBello,alnorte delValledeAburr.
Empresas Pblicas de Medelln E.S.P. est preparada para afrontar el reto tecnolgicodelastelecomunicaciones del siglo XXI: con EMCALI constituya EMTELCO para la prestacin de servicios de valor agregado y telemticos a nivel nacional e internacional, y con los grupos empresariales Bavaria y
40
SarmientoAnguloconformaOrbitelS.A.paralaprestacindelosserviciosde LargaDistancianacionaleinternacional.
EE.PP.M. adquiri igualmente la empresa Veracruz TV Cable, hoy EPM TELEVISIN,paraprestarelserviciodetelevisinporsuscripcin,ascomoel 36.88%delasaccionesdeEMTELSA,latelefnicadeManizales.
Unodelosprincipalespilaresquesostienelagestinylacredibilidadpblicade las Empresas Pblicas de Medelln E.S.P. es el rigor conceptual que respalda todossusactos:
Rigorjurdico,porsurespetoalaConstitucin,alasleyesdelaRepblicayal ordenamiento legal especfico que las rigen, en particular sus estatutos orgnicosydecontratacinadministrativa.
Rigortcnicoporlaplaneacindelargoplazoyporlosprocesosdeseleccin, adquisicin,montajeyoperacindelosrecursostecnolgicosmsadecuados, que garanticen la prestacin de los servicios en forma oportuna, confiable y econmica.
Rigorfinanciero,porsumanejoortodoxodeldinero.Laentidadslopuedeser viablesisusrentaslepermitencubrirloscostosdeoperacin,mantenimiento, reposicinyexpansindesussistemas.Almismotiemposlopuedesereficaz yeficientesimantieneelequilibrioenelcostodelosserviciosquecobraalos usuarios y transmite a stos la seal adecuada para el uso racional de los mismosservicios.
41
NUEVOESQUEMAEMPRESARIAL La apertura econmica y la consecuente competencia en todos los campos y los nuevos esquemas regulatorios establecidos por la Constitucin Poltica de 1991 y sus desarrollos legales generan un nuevo ambiente para estas organizaciones.
Empresas Pblicas de Medelln E.S.P. claramente requiere acomodarse al nuevoesquemaparamantenersupermanenciaycrecimientoenbeneficiodela comunidad. Por lo tanto, uno de sus principales procesos de planeacin lo constituye el anlisis de su esquema empresarial y de sus condiciones estratgicasdedesarrolloenelnuevoambienteinstitucional.
Empresas Pblicas de Medelln E.S.P. es hoy el resultado de las decisiones acertadas que se tomaron hace cincuenta aos, como respuesta a las exigencias del momento. Con gran visin, los gestores del ente autnomo crearonunaempresaquedemostrserlamsapropiadapararesponderalas necesidadesdeldesarrolloeconmicoysocialdelaciudad.
Hoy,los administradores dela organizacin, los dirigentes yla opinin pblica enfrentan una evidencia irrebatible: encarar con xito las nuevas condiciones polticas,econmicaseinstitucionalesdelpasydelmundo,relacionadasconla prestacindelosserviciospblicos.
ESTRUCTURAORGANIZACIONALDEEE.PP.M.ENEL2005 Actualmente Las Empresas cuentan con seis mil doscientos setenta (6270) funcionarios distribuidos en las diferentes sedes con que cuenta la entidad.
42
Cuatro mil cuatrocientos doce (4412) empleados y mil sesenta y tres (1063) contratistas tienen acceso a los diferentes servicios que ofrece la red corporativadedatos.
En la grfica siguiente se muestra como es la organizacin y la manera de cmoseadministralagenteylosrecursosquemanejalaempresa.
OR G A N IG R A M A E EP P M
G er en c iaG en er al
Un id ad d eC o m u n ic ac io n es y R el ac io n es C o r po rat iv as G er en c iad eP lan eac i n ia d Co r p o r ati v a
G er en c i ad eIn v ers i n
S ec ret ar aG en eral
Di rec c i nd eC on tr o lIn t er n o
U n i d a d e s d e N c l e o C o r p o r a t i v o
G erenciaG eneracin E nerga
G erenc ia D istribuci n E nerga
G erencia Telecom unicaciones
G erencia A guas
G erencia Com ercial
U n i d a d e s E s t r a t g i c a s d e N e g o c i o
Di rec c i n Fin an c iera
Di r ec c i n A d m i n is t rat iv a
D ir ec c i n G es ti n H u m an a
D ir ec c i n In f o rm t i c a Co r p o r ati v a rati
U n i d a d e s d e S e r v i c i o s C o m p a r t i d o s
VISIN Ser una empresa lder en Colombia y relevante en Amrica Latina en la prestacin integral de servicios pblicos domiciliarios y conexos, que a partir del conocimiento de las necesidades de los clientes, les brinde soluciones de valor agregado y un nivel de excelencia que los satisfaga, y de esta manera garanticesulealtadymaximiceelvalorgeneradoporcadaunodeellos.
43
MISIN Serunaempresadeserviciospblicosdomiciliariosintegralesdeclasemundial: Quesatisfagalasnecesidadesdesusclientesconserviciosdeexcelencia.
Quecontribuyadeestaformaaldesarrollosocioeconmicodelasreasdonde acte.
Quegenererendimientoseconmicossuficientesparaatenderasucrecimiento y contribuirala satisfaccin delasnecesidades dela ciudadde Medelln y su gente.
VALORESORGANIZACIONALES Los siguientes son los valores que caracterizan y mueven a las Empresas buscando siempre su estabilidad, crecimiento y cumplimiento de su misin, visinyresponsabilidadsocial:
Innovacin:Implementacindenuevasalternativasaproblemasosituaciones conunfuerteenfoquedemejoramiento. Conocimiento y satisfaccin del cliente: habilidad para conocer e indagar sobre las necesidades de cada cliente, logrando que l opte por nuestros servicios despus de haber entendido sus necesidades, satisfacindolas en tiempoyforma,superandoinclusosusexpectativas.
44
Integridad:disposicinparaactuarconprincipiosticos,demaneraconfiabley consecuente con los objetivos empresariales, sin obtener ventajas personales enlasdecisionesoenlosprocesosorganizacionales. Productividad: capacidad para cumplir los objetivos rentables propuestos haciendousoptimodelosrecursosdisponibles.
A DMINISTRACIN La mxima autoridad de EE.PP.M. es la Junta Directiva, conformada por representantesdelaAlcaldadeMedelln,elConcejoylasentidadescvicaso deusuariosdelosservicios,conpresidenciadelAlcaldeMetropolitano. LarepresentacinlegalylaadministracinestnacargodelGerenteGeneral, nombrado por el Alcalde, quien cuenta con el apoyo de ocho Gerencias: Auxiliar, Telecomunicaciones, Aguas, Generacin de Energa, Distribucin de Energa, Comercial, EPM Consulting y Planeacin Corporativa seis Direcciones: Informtica Corporativa, Administrativa, Gestin Humana, Control Interno, Desarrollo Organizacional, Financiera y la Secretara General. El ControlFiscalposteriordeEE.PP.M.loejercelaContraloraMunicipal.
PRESUPUESTO Empresas Pblicas de Medelln aprob para el ao 2005 un presupuesto de $4.797.740millonesdepesos.
Deesacifra,el39%serdestinadoainversin,un18%afuncionamiento,31% alaoperacincomercialyotro12%alserviciodeladeuda.
45
FUNCINSOCIAL Para atender adecuada y oportunamente a las clases menos favorecidas, durante ms de 30 aos EE.PP.M. ha aportado soluciones concretas al problema de los servicios de Energa, Telefona Bsica, Acueducto y Alcantarillado en las zonas urbanas y semirurales de Medelln y enlos dems municipios de su rea de influencia, a travs de su Programa Habilitacin Viviendas,buscandomejorarlacalidaddevidadelascomunidades,mitigando losimpactosgeneradosporlasobrasyproyectos,participandoactivamenteen el desarrollo comunitario y velando por el cumplimiento de las obligaciones consagradasporley.
LaentidadhaestadopresenteenAntioquiaconlaejecucindeobrasdeamplio contenido social: carreteras, puentes, sedes educativas, culturales y comunitarias pavimentacin de vas, suministro y transporte de materiales y maquinaria dotacin de espacios locativos, creacin de fuentes de empleo, obras de explanacin, proteccin y drenaje, prestacin de servicios pblicos bsicos, realizacin de actividades forestales, labores de veedura, asesora e interventora,entreotras.
GESTINA MBIENTAL LasEmpresasPblicasdeMedellnE.S.P.desarrollandesdehacemsdetres dcadas una vasta tarea reforestadora y de proteccin de los recursos naturalesdeloscualessesirve,agua,sueloybosques,atravsdelcuidadode cuencas y microcuencas, la ejecucin de actividades de reforestacin, mantenimiento de bosques naturales alrededor de sus embalses, control de erosinyestudiosderecuperacineimpactosambientales,entreotros.
46
EmpresasPblicasdeMedellntambinhacepresenciaecolgicaenAntioquia con su Plan de Parques como son: La Culebra enel embalse PeolGuatap, Los Salados en el corregimiento La Fe del municipio de El Retiro, Piedras BlancasenlarepresadelmismonombreentreMedellnyGuarne,yelncleo MiradordelaTorreenRiograndeII,enelmunicipiodeDonMatas,constituyen verdaderasreservasforestalesy,almismotiempo,opcionesrecreativasparala comunidad,llenasdesenderos,miradoresnaturales,aguaymuchopaisaje.
Adems,EE.PP.M.hizoaportesimportantesentierrayenlaconstruccindela infraestructura de servicios pblicos al Parque de las Aguas, con el cual se abriunnuevolugardeesparcimientoparalacomunidad.
NUESTROSCOMPROMISOS LasEmpresasconcientesdesuresponsabilidadsocialydeldesarrollointegral de la ciudad y el departamento, ha adquirido dentro de su gestin, los siguientescompromisos:
MANEJOINTEGRALDELAMBIENTE Se entiende el ambiente como el resultadode lainteraccin dinmica entreel medio natural y el medio social. En este contexto, la gestin ambiental estar relacionada con la prevencin y el manejo adecuado de los impactos ambientalesnodeseablesylapotenciacindelosimpactospositivoscausados porlosproyectos,obrasoactividadespropiosdecadaunodelosnegociosen lasreasdeinfluencia.
47
La gestin ambiental se fundamenta en un enfoque integral y preventivo, en mtodos interdisciplinarios y de trabajo en equipo, en mecanismos de comunicacin, concertacin y participacin con todos los actores involucrados en dicha gestin y mediante la responsabilidad individual y colectiva de los trabajadores, proveedores y contratistas con el entorno. Lo anterior, con el propsitodeinsertaradecuadamentelosproyectosyobrasenlasreasdonde actaEEPPM,bajolosprincipiosdeusoracionaldelosrecursosnaturales,de responsabilidad social con la poblacin influenciada y de compromiso con las generacionesfuturas. En EE.PP.M. se cumple con la legislacin ambiental establecida en la Constitucin, las leyes y las normas aplicables al desarrollo de proyectos y obras.
MEJORAMIENTOCONTINUODELAGESTINAMBIENTAL Se asume el compromiso de mejoramiento continuo de la gestin ambiental mediante la planeacin, implementacin, revisin y actualizacin de los procesos y acciones que interactan con el ambiente, para integrar y dar coherencia a la gestin realizada por la Organizacin en su relacin con el entorno.
Est afianzada la integralidad tcnica econmica y ambiental en todos los proyectos y obras y se mantiene el compromiso de que la gestin ambiental debe estar asociada a la innovacin, al fomento de la investigacin, al desarrollotecnolgicoydeltalentohumanoyalaoptimizacindelosrecursos en la bsqueda del mejoramiento de la productividad, la eficiencia y la racionalizacin de los costos ambientales, con el fin de fortalecer la competitividaddelasEmpresasPblicasdeMedellnE.S.P.
48
PARTESINTERESADAS Reafirmamosqueelclienteesnuestrarazndeser,porlotantoelcompromiso con la excelencia en la prestacin de los servicios, en la satisfaccin de sus necesidades y en la comunicacin adecuada, seguirn siendo la base de nuestrarelacinconste. Lainformacinoportuna,laconsulta,laconcertacinylaparticipacinefectiva fundamentannuestrasrelacionesconelMunicipiodeMedelln,losclientes,los empleados, las comunidades donde actuamos, los proveedores y dems actoresinvolucradosennuestragestinambiental.Deestamanera,seafianza lalealtad,elrespeto,laconfianzaylainteraccindemutuobeneficio. Nos comprometemos a divulgar la poltica ambiental a todos los empleados desarrollandoprogramasymediosqueposibilitensuconocimientoyaplicacin, comotambinsudisponibilidadparaelpblicoengeneral.
GESTINDERIESGOS Para garantizar una ptima confiabilidad de los equipos, instalaciones y procesos, EEPPM se ha interesado en mantener un estricto cumplimiento de las normas y prcticas de ingeniera, una adecuada interventora en la construccin y montaje, y una efectiva administracin, operacin y mantenimiento de los recursos. Adicionalmente, la Unidad Riesgos y Seguros tiene en ejecucin varios programas de Control y Administracin de Prdidas, loscualescomprendenlaidentificacindepeligros,laevaluacinyanlisisde los riesgos, la elaboracin de recomendaciones para minimizar el riesgo, la asesoraycoordinacinconlasdependenciasinvolucradasenelanlisisdela viabilidad tcnica y econmica de las medidas recomendadas, y el anlisis e
49
implementacin de las alternativas de administracin de riesgos ms convenientes.
Estosestudiosestnorientadosalanlisisdetodotipoderiesgosasociadosa las instalaciones en particular (centrales hidroelctricas, subestaciones, almacenes generales, laboratorios, etc.), incluyendo las prdidas materiales, humanas,afectacindelmedioambiente,responsabilidadcivil,siexiste.
MedianteeldecretoNo.648del3deabrilde1995deEE.PP.M.lasEmpresas implantaron un sistema corporativo de administracin de riesgos, el cual contemplalaspolticas,normasyprocedimientosaseguirenmateriadegestin de riesgos a los cuales deben ser sometidos los bienes, recursos humanos e interesesdelasEmpresas,ademsdelacomunidadyelmedioambienteque bajociertascondicionespodraamenazaroseramenazadaporlasoperaciones propiasdelasEmpresas.
Dichodecretofueactualizadoyreemplazadomedianteel1029del22deenero de 1999, para adaptarlo a las nuevas condiciones dadas por el proceso de reestructuracininternaadelantadoenlasEmpresas.
Apartirdeestedecreto,sedioinicioalprocesodeadministracinderiesgosen cada una de las UENs, UNCs y USCs, denominado Sistema Corporativo de AdministracindeRiesgos,SCAR.
Mediante ste sistema se pretende desarrollar, estandarizar e implementar la metodologa y herramientas para la ejecucin de las etapas de identificacin, anlisis,evaluacin,controlfsicoyfinancierodelosriesgosencadaunadelas dependenciasdelasEmpresasPblicasdeMedelln.
50
Para lo anterior se ha contado con la dedicacin de numerosos funcionarios adscritos a las diferentes Unidades, quienes han recibido capacitacin y entrenamiento endiferentes temas de administracin de riesgos, con el objeto dequecadaunoseconviertaenmultiplicadordelaculturadelaadministracin deriesgosenlasEE.PP.M.
CULTURA EMPRESARIAL Esa cultura empresarial se manifiesta en un profundo sentido de pertenencia porlaentidad,nosloporpartedesusfuncionarios,empleadosytrabajadores, sinotambinporpartedelacomunidad,quelaquiere,larespetaycierrafilas entornoaellaparadefenderladeamenazasexternas.Sehageneradoasun verdaderocrculovirtuoso:lagenteapoyaalasEmpresasPblicasdeMedelln E.S.P. porque son eficientes, y ellas son eficientes gracias al respaldo de la gente.
Todo esto se manifiesta en la forma como sus directivas y funcionarios en generalmanejanlosrecursosquelesonasignadosparaelcumplimientodesus funciones y como dentro de su prctica profesional hanincluido el manejo del riesgo en el que hacer diario y en los nuevos proyectos que emprende la corporacinparamejorarlacalidaddevidadesucomunidad,razndeserdela Empresa.
Gracias al apoyo de la gerencia y al compromiso de la gente que ha recibido capacitacin y han sido multiplicadores del tema, la cultura de administrar el riesgosevecadavez inmersaenlosprocesos,enlascontratacionesyenla adquisicindelatecnologadeinformacinbajoesquemasderedundancia,alta disponibilidad y respaldo necesaria para soportar y mantener el servicio 24
51
horas 7 das a la semana, que es lo que demanda hoy el cliente y la competencia.
GRUPOEMPRESARIALEE.PP.M. A continuacin se muestran algunas de lasempresas en las cuales EE.PP.M. tiene participacin econmica. Algunas de estas empresas estn alineadas dentrodelaestrategiadeTIjuntoconEE.PP.M.enlabsquedadesinergias.
Empresa EPMBOGOT EMTELSA ORBITEL EmpresaTelefnicadePereira EMTELCO EDATEL ColombiaMvil TELEPSA AguasdeOriente EPMBogotaAguas EADE CHEC EnergadeQuindo HETS.A.(BONYIC) Participacin 63.40% 36.88% 50.00% 56.14% 99.54% 56.00% 50.00% 60.00% 56.00% 89.58% 63.90% 56.00% 56.00% 75.00% ActividadPrincipal Telecomunicaciones Telecomunicaciones Telecomunicacioneslargadistancia Telecomunicaciones Comunicacindedatos Telecomunicaciones TelefonaMvilPCs Telecomunicaciones Aguas Aguas Energa Energa Energa Energa
52
10. QUESLADIRECCININFORMTICACORPORATIVA
Es el rea encargada de promover y liderar la planeacin y el desarrollo coherente e integrado de la informtica en las Empresas, para garantizar una estrategiainformticaalineadaconlavisincorporativa.
ESTRUCTURA Actualmente La Direccin de Informtica Corporativa cuentan con ciento cincuenta y ocho (158) funcionarios distribuidos en las diferentes reas que componendichaUnidaddeServicioCompartido(USC). Enlagrficasiguientesemuestracomoeslaorganizacin:
DIRECCINDEINFORMTICACORPORATIVA
UnidadGestin Informtica
UnidadPlaneacin Informtica
UnidadSistemasde Informacin
UnidaddeIngeniera yTecnologa Informtica
UnidadOperaciones Informtica Informtica
53
UNIDADPLANEACININFORMTICA Su funcin es elaborar y mantener actualizada la estrategia informtica, en cuanto a aplicaciones, tecnologa y organizacin, con sus correspondientes planes estratgicos y tcticos, para garantizar un desarrollo integrado de la informticaenlasEmpresas.
UNIDADGESTININFORMTICA Su funcin es asesorar y trabajar en equipo con las unidades de la Direccin Informtica Corporativa y con las dems gerencias, en la ejecucin y el mejoramiento de sus planes, para garantizar la coherencia de la gestin informticadetodaslasunidades.
Ofrece apoyo en lo referente al mejoramiento de los productos y servicios, medicin de la calidad del servicio, asesora y adquisicin de infraestructura informtica.
UNIDADINGENIERAYTECNOLOGAINFORMTICA Su funcin es coordinar la Integracin de la planeacin informtica, las necesidades de ingeniera y tecnologa y la infraestructura informtica para proveerasesoraespecializadaatodalaorganizacin.
Presta soporte especializado enlos temas de seguridadinformtica, viabilidad tcnica para adquisicin de tecnologa y compatibilidad con la infraestructura queposeeEE.PP.M.
54
UNIDADSISTEMASDEINFORMACIN Sufuncinescoordinarlaadquisicindepaquetesdesoftware,eldesarrollo,la evolucin y mantenimiento de los sistemas de informacin corporativos tales como OneWorld, Sigma, Siebel, Fnix, Factura, Open, entre otros, para garantizarquestosapoyenlosprocesosorganizacionales.
UNIDADOPERACIONESINFORMTICA Su funcin es coordinar la instalacin, soporte, operacin y mantenimiento de todos los equipos informticos, servidores, redes y aplicaciones para garantizarlealacorporacinladisponibilidaddelainfraestructuratecnolgica.
PENSAMIENTOESTRATGICO ParaentenderelpapeldelaDireccinInformticaCorporativaenlorelacionado con la infraestructura de TI, veamos a continuacin un resumen de su pensamientoestratgico:
MISIN CrearyprestarserviciosdeTecnologadeInformacinqueseanconvenientes para el desempeo integral del Grupo Empresarial EPM. Desempeando los siguientesroles: DireccionadorycontroladordeTIenLasEmpresas. DireccionadorestratgicodeTIparalasempresasfiliales. Prestadordeserviciosdetecnologadeiformacin.
55
VISIN SerlamejoropcinenlaprestacindeserviciosdeTecnologadeInformacin paraelGrupoEmpresarialEPM.
ESTRATEGIA Retener y Potenciar el liderazgo en servicios de TI en el Grupo Empresarial. Ser los lderes de la planeacin, la evolucin y el soporte de los paquetescorporativos. ObtenersinergiasenTIentreEE.PP.M.ysusfiliales. ApalancarelnegociodeIDCybuscarlaconvergenciadeldatacenter Mantener las aplicaciones crticas en los niveles de continuidad que requiereelnegocio.
56
11. METODOLOGIAPARAELANLISISYVALORACINDE RIESGOSENPROYECTOSDETECNOLOGADE INFORMACIN

Esimportanteentodaorganizacincontarconunaherramienta,quegarantice lacorrectaevaluacindelosriesgos,aloscualesestnsometidoslosprocesos yactividadesqueparticipanenunproyectodetecnologadeinformacinypor medio de una buena gestin se pueda evaluar el desempeo, desarrollo y ejecucindelmismo.
Viendola necesidad en el entorno empresarial de este tipo de herramientas y teniendoencuentaqueunadelasprincipalescausasdelosproblemasdentro del entorno informtico, es la inadecuada administracin de riesgos, este trabajo sirve de apoyo para una adecuada gestin de la administracin de riesgos,basndoseenlossiguientesaspectos:
Lasensibilizacinenlaadministracinygestindelosriesgos. La asignacin de responsables a los proyectos de tecnologa de informacin.
La evaluacin y valoracindelosriesgosinherentes alosproyectos de tecnologadeinformacinyalosprocesosquesoporta
Elanlisisdelascausasdelosriesgos. Loscontrolesutilizadosparaminimizarlosriesgos.
Elprocesodeadministracinderiesgoeselconjuntodeestrategiastendientes aminimizarlosriesgosasociadosalfuncionamientodeunsistema,conelfinde disminuir las prdidas y garantizar su estabilidad operativa y financiera en el cortoplazoysucontinuidadypermanenciaenellargoplazo.
57
El esfuerzo metodolgico desarrollado en este documento, en donde se integran los conceptos de la administracin de riesgos y la gerencia de proyectos,esaplicableacualquierempresapuestoquelametodologadescrita, ensnotienerestriccionesespecficas.
A continuacin se describen las fases, actividades y tareas que se deben realizar en las fases que conforman la metodologa y son: (0) Sensibilizacin, (1)Planeacindelproyecto,(2).Iniciodelproyecto,(3)Anlisisyvaloracinde riesgos.
F A S E S D E L A M E T O D O L O G A
P l a n e a c i n
C o n f i r m a c i n d e l A l c a n c e . L o g s t i c a d e A d m i n i s t r a c i n . C o n f o r m a c i n d e l e q u i p o d e t r a b a j o .
In ic i o d e l P r o y e c t o
L a n z a m i e n t o d e l P r o y e c t o . C o n o c i m i e n t o d e l N e g o c i o . S o l i c i t u d d e r e q u e r i m i e n t o s d e In f o r m a c i n P l a n d e e n t r e v i s t a s .
G e s ti n d e l R i e s g o
Id e n t i f i c a c i n . A n l i s i s y V a l o r a c i n . C o n t r o l . R e t e n c i n . T r a n s f e r e n c i a . A n l i s i s d e R e s u l t a d o s .
S e n s i b i l i z a c i n
FASE 0: SENSIBILIZACIN Se debe fomentar en la organizacin y el proyecto la cultura del riesgo. En la medida en que se perciban los riesgos a qu se est expuesto, se estar en capacidad de administrarlos. Esta fase es transversal, es decir, se ejecuta duranteeldesarrollodetodoelproyectoysepuededecirquedeaqudepende engranparteelxitodelmismo.
58
TodointegrantejuegaunpapelimportantsimoenlaAdministracindeRiesgos, toda vez que al ser parte activa del proceso, consolida una cultura organizacionalquegarantizalaadecuadaproteccindelosbienes,recursosy procesosdelaempresayaseguraunmanejodelosriesgosenformaracional, ptima,integral,confiable,altamenteparticipativayacostomnimo.
Todo funcionario de las Empresas debe asumir un papel y responsabilidad claramentedefinidafrentealosriesgos.
Conestaactividadloquesepretendeesidentificarlascaractersticasgenerales de las personas involucradas en el proyecto, as como las percepciones, motivacionesysugerenciasquetienefrentealaadministracindelosriesgos, reconociendo la conformacin e interrelacin entre los distintos equipos de trabajo, todo esto para generar las estrategias de sensibilizacin y comunicacinquefacilitenlaimplementacinexitosadelproyectoenlaentidad ylaadecuadagestindelriesgodurantesuejecucin.
Paralograrloanteriorsepuedenutilizarinstrumentoscomolasentrevistas,las encuestas,laobservacindelcomportamientofrentealriesgoentreotras.
Conlosresultadosobtenidosdespusdeaplicardichosinstrumentos,sedefine lasestrategiasdesensibilizacinquedebenestarenfocadaareforzarelpoder, elquereryelsaberpartiendodelhechodereconocerquelaspersonassonlos artficesdelcambio.Asumequeelserhumanonoesresistentealcambiosino a ser cambiado, por lo tanto el verdadero cambio se da al interior de las personas.
59
S e n s ib il iza c i n
P u e d a (P o d e r )
R e c u rs o s P roc ed im ie n to s E s tn d are s S is tem a s y H e rra m ie n ta s
Q u i e r a (Q u e r e r )
A c titu d C o n du c ta C o m p rom is o
S e p a (S a b e r )
C o m p e te n c ia s T c n ic a s C o m p e te n c ia s F u nc io n ale s C o m p e te n c ia s Interp e rs o n a le s
Est cientficamente comprobado, que los adultos tenemos ciertas caractersticas en el aprendizaje en la que la transmisin oral o visual de conceptosyconocimientossolopermitenunniveldeefectividadyrecordacin promedio del 20%, mientras que las vivencias y/o los descubrimientos que realizamos por nosotros mismos se graban en un 80%, facilitando un proceso sistmicoyperdurabledeaprendizajeycambio,perosobretododeaplicacin prctica,tileinmediata.
En este orden de ideas, las metodologas vivenciales o de outdoortraininng, logran alto impacto, porque aceleran la curva de aprendizaje, apoyado en el objetivodemodificarconductasycomportamientos,generandocompromisosy facilitandolosprocesosdecambioytransformacincultural.
ElOutdoortrainingesunametodologadeformacinquesebasaenreproducir situaciones empresariales a travs de simulaciones y de actividades al aire libre. Es lo que llamamos una metodologa vivencial, porque el punto de partidaeslaexperienciaquevivenlosparticipantes.
60
Despus de estas situacionesfuera del aula, se analiza de forma conjunta lo sucedido, se exploran las analogas que existen con la realidad de las organizaciones. Posteriormente el aprendizaje se integra a travs de la asimilacin de modelos conceptuales de psicologa y management (kolb, Hertberg,etc.).
Elaprendizaje,endefinitiva,seproduceatravsdelavivenciadelequipo,del anlisisdestaydesuconceptualizacinposterior.Elltimopasodelproceso consiste en transferir lo aprendido a la empresa a travs de acciones y compromisosconcretos.
Talycomosehacomentadoanteriormentebuenapartedelxitodelproyecto radica en disminuir la ansiedad que generar el proyecto, suministrando los conceptos, procesos, metodologas y herramientas de anlisis y valoracin de losriesgos,capacitandoyentrenandoatodoslosinvolucradosyaaquellosque participandeunamanerapuntualeneldesarrollodelproyecto.
Al desarrollar las dimensiones del poder, el querer y el saber, se obtiene un cambiodeactitudycomportamientodelaspersonafrentealtemaqueseest sensibilizandoyparaestecasoconcretofrentealaadministracinygestinde riesgos en el proyecto, por que lo interiorizan y hacen parte integral de su trabajodiario.
Todoloanteriordebeiracompaadodeunacompaadecomunicacindonde se aprovecharn los medios corporativos existentes y se disearn otros que garanticen la cobertura de los pblicos identificados. La comunicacin ser abierta,frecuente,breve,sencillaydurantetodalaejecucindelproyecto.
61
FASE 1: PLANEACINDELPROYECTO En esta fase se busca definir y confirmar el alcance, entender el ambiente de trabajodondesedesarrollarelproyecto,identificandoelresponsableascomo elequipoquetomarparteenelmismo.EnlaFasedeplaneacindelproyecto sebuscadesarrollarunplandetrabajoacordeconlasnecesidadesplanteadas yconlosrequerimientosdelclientequeparaestecasopuedenserlasUNCs, UENsyUSCs.
El siguiente mapa muestra cada una delasactividades que se debenllevar a caboenestafasedeplaneacin:

P L A N E A C I N
1 . C o n f i r m a c i n d e l A l c a n c e
2 . C o n f o r m a c i n d e l E q u i p o d e T r a b a j o
3 . E s t a b l e c i m i e n t o d e l a l o g s t i c a d e a d m i n i s t r a c i n
Figura1:ActividadesdelaFasedePlaneacindelProyecto
CONFIRMACINDELA LCANCE El objetivo de esta actividad es que el equipo del proyecto y la organizacin tengan muy en claro lo que contemplar el proyecto, cules procesos, aplicaciones, servidores, instalaciones, bases de datos, etc, estaran incluidas en el estudio. Adems, se debe estar muy atento en conservar el alcance, confirmarloynopermitirquesemodifiqueocambie.Deestodependeengran parteelxitodelproyecto.
62
CONFORMACINDELEQUIPODETRABAJO Para realizar este tipo de proyectos es necesario conformar un equipo de trabajo interdisciplinario entre la UEN, o UNC, o USC, la Direccin de InformticaCorporativayconelapoyopuntualdelasreasqueserequierany deban participar en el anlisis y valoracin de riesgos, utilizando mecanismos deintegracin,comunicacinycoordinacinteniendoencuentalosiguiente:
Conformarelequipodetrabajoconrolesyresponsabilidadesdefinidas. ConformarelComitdirectivodelproyectoconrolesyresponsabilidades definidasqueayudenadirimirconflictos,atomardecisionesyaapoyar elproyecto.
Divulgar la metodologa utilizada para hacer el anlisis y valoracin de riesgosenproyectosdetecnologadeinformacinalosparticipantespor partedelaDireccindeInformticaCorporativa.
Analizarlosajustesy mejorasrequeridasenlametodologadeacuerdo conloscambiosquehayansurgidoenlossistemasdeinformacinylos ambientestecnolgicos.
Recolectarlainformacinnecesariarelacionadaconlasactividadesdela metodologa teniendo en cuenta los controles que se implementan y buscanmejorarelescenariodelriesgoydisminuirsuimpacto.
Aplicar la metodologa teniendo en cuenta los ajustes y mejoras que hayansidorequeridasyquefueronelresultadodelanlisisdelamisma.
Efectuarreunionesperidicasconlosdiferentesmiembrosdelequipode trabajo,paraconocerelestadodeavancedelanlisisyvaloracin.
Analizarlainformacinyvalidarlosresultadosobtenidosdeacuerdocon lametodologaaplicada.
Estructurarelinformefinaldelanlisisyvaloracindelosriegos.
63
Esteequipodebeestarconformadoporelclienteyelproveedordelservicio.La siguiente figura muestra un esquema de cmo debe trabajar un proyecto de estanaturalezaalinteriordelaorganizacin.
E Q U IP O D E T R A B A J O
E q u i p o A s e s o r d e l a M e t o d o l o g a E q u i p o d e l C l i e n t e U N C ,U S C ,U E N
IN T E G R A C IN
M e t o d o l o g a p a r a e l A n l i s i s y v a l o r a c i n d e R i e s g o s e n P T I C O M U N IC A C I N C O O R D IN A C I N
r e a s d e A p o y o d e l r e s t o d e l a O r g a n i z a c i n
T R A N S F E R E N C IA D E C O N O C IM IE N T O
Figura2:Esquemadetrabajoenelproyecto
11.2.3.
ESTABLECIMIENTODELA L OGSTICADEA DMINISTRACIN
Elpropsitoesdefinircualessonlasactividadesquevanapoyarycontrolarla administracin del proyecto. Estas actividades dependen de cada empresa, respetandosuculturaymaneradeejecutarestetipodeproyectos,algunasde ellasson:
Realizarunrecorridoporlasinstalacionesconelequipodetrabajo,aqu se busca conocer el entorno de trabajo, la asignacin de una oficina y losrecursos necesarios (escritorios, sillas, telfonos, red, Internet, entre otras)paraelnormaldesarrollodelproyecto.
64
Definirelcronograma(Plandetrabajo)quecontengalasactividades,las fechas de inicio y terminacin, los responsables de ejecutarlas, los recursos, el presupuesto y los productos o informes que se deben elaboraryentregar.
Definirelformatodelosinformesdeavance,presentacionesyactas. Definirreunionesdeseguimientoconelequipodelproyecto. Definir las reuniones peridicasdeinforme de avance opresentaciones conelcomitdirectivodelproyectoylasreasdueasparaquienesse estrealizandoeltrabajo.
FASE 2: INICIACINDELPROYECTO Esimportanteparallevaracabodeunamaneraexitosaelproyectocontarcon el apoyo de la alta gerencia, por esto es necesario tener una permanente comunicacinconladireccinmedianteinformesdeavancesypresentaciones quedenunaideadecmovaeldesarrollodelproyecto.
Enestafasesebuscalanzarelproyectoconelfindequelaaltagerenciaylas reasalascualesselesvaahacereltrabajoloconozcan,apoyen,participeny secomprometanconejecucinydesarrollohastaelfinal.
Despus de que los involucrados, tanto reas usuarias como equipo de proyecto y alta gerencia, lo conocen, se desarrollan las actividades de conocimiento del negocio, solicitud derequerimientos deinformacin y el plan de entrevistas de una manera ms gil y oportuna donde se evidencia claramentesihayapoyoonoalproyecto.
65
El siguiente mapa muestra cada una delasactividades que se debenllevar a caboenestafasedeIniciacin:
IN IC IO D E L P R O Y E C TO
4 .R e u n i n d e la n z a m ie n to d e l p ro y e c to
5 .C o n o c im ie n to d e lN e g o c io
6 .S o lic itu d d e R e q u e rim ie n to s d e in fo rm a c i n .
7 .P la n d e E n tre vis ta s
Figura3:ActividadesdelaFasedeIniciacindelProyecto
REUNINDEL ANZAMIENTODELPROYECTO Prepararunapresentacinquemuestrelosbeneficios,elplan,losproductosy elequipodetrabajo,algrupogerencialconelfindeconfirmarelapoyoylograr el compromiso de cada una de las reas dentro del alcance para asegurar el xitodelproyecto.
CONOCIMIENTODELNEGOCIO Elequiposedebehacerunaideageneraldelnegocio,losprocesosenlosque serealizareltrabajo,lainfraestructuradeTI,instalacionesetc.
Lamecnicaparalarealizacinconstade2partes:
Solicituddeunosrequerimientosdeinformacinbsica. Presentacionesdelosusuariosydueosdetecnologa
66
SOLICITUDDEREQUERIMIENTOSDEINFORMACIN El equipo de trabajo debe hacer una solicitud a las reas involucradas en el estudio sobrelainformacin necesaria pararealizar el proyecto. Esta solicitud sehaceatravsdeunaplantillaquerecojalosrequerimientosylainformacin necesariosparaconocerelnegocioysobretodoelreaobjetodelanlisis. PLANDEENTREVISTAS Se debe elaborar un plan de entrevistas con las personas que conocen los procesos,lasaplicacionesylainfraestructura,dondeseindiquelafecha,horay lugar delareunin. Es convenientequelasreunionesno sean muy extensas, mximo de dos (2) horas, ya que se tiende a perder la informacin suministrada.
FASE 3: GESTINDELRIESGO Estafaseestdestinadaaidentificar,evaluar,valorarycontrolarlosriesgos,la frecuenciayseveridadconquesepuedenpresentaryelgradodeaceptabilidad quetendraelproyectoolaorganizacinsiocurrieradichoriesgoevaluado.
Para comenzar con el anlisis y la valoracin se requiere utilizar el mismo lenguajeyqueconceptualmentetodosestemosdeacuerdoparaqueelanlisis sealomsobjetivoposibleyparapoderlograrloesnecesarioretomaralgunas definicioneshechasalprincipiodeestedocumento:
Amenaza: Persona, objeto, situacin o evento natural del entorno (externo o interno)queesvistocomofuentedepeligro,catstrofeointerrupcinypueden ser de origen natural tecnolgico y social. Ejemplos: sismos, inundacin,
67
avalanchas, incendio, explosiones, robo de datos, sabotaje, ausencia del plan de contingencias,insuficiente gestinde monitoreo, aplicativos mal diseados, secuestro, fraude, etc. Tambin se define como un riesgo no evaluado. Es necesario cuantificarla para poder tomar decisiones (Administracin de Riesgos). En sntesis podemos definir que la amenaza es una percepcin del algoquepuedeocurrir. Riesgo: Definimos el riesgo como la probabilidad de que la amenaza se materialice, debido a la existencia de una o varias vulnerabilidades de peso significativo. El riesgo es difcil de medir, sobretodo, cuandono se cuenta con datos estadsticos que lo respalden o avalen, por la tendencia de las organizaciones a ocultar incidentes, la localizacin geogrfica, las culturas, leyes, criticidad, situacin pas, etc. Tambin se define como una amenaza evaluada en cuanto a su probabilidad de ocurrencia (Frecuencia) y a la gravedaddesusconsecuencias(Severidad). RiesgoInformtico:Esunsucesoinciertoquepuedellegarapresentarseen un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afectenelambienteinformticoolainformacin. Probabilidad/Frecuencia: Es el numero de veces que se da un evento. Ver tambinposibilidadyprobabilidad.Tambinsedefinecomoelnmerodeveces que una amenaza deja de serlo para convertirse en realidad, a lolargo de un determinadoperiododetiempo.
Gravedad/Severidad/Impacto:Eslaevaluacindelefectoyconsecuenciadel riesgo.Generalmente,laexposicinalriesgosemideenaspectoseconmicos, imagendelaspersonasoempresas,disminucindecapacidadderespuestay competitividad, interrupcin de operaciones, etc. Efecto que causa en la
68
organizacinlaocurrenciadeunsiniestroocontingenciayquenormalmentese vereflejadoenlasuspensindelasactividadesnormalesdelnegocio.Tambin sedefinecomoeleconmicodelamaterializacindeunaamenaza,serequiere involucrargastosdirectos,indirectosyprdidasconsecuenciales.
Valordelriesgo:Riesgo=ProbabilidadXGravedad(R=PxG)
Siniestro:Todoeventoaccidental,sbitoeimprevisto(repentino,noplaneado), quenormalmentegeneraconsecuenciasnegativassobreunsistema.
Control: Control es toda accin orientada a minimizar la frecuencia de ocurrencia de las causas del riesgo o valor de las prdidas ocasionadas por ellas. Los controles sirven paraasegurar laconsecucindelos objetivos dela organizacinoasegurarelxitodeunsistemayparareducirlaexposicinde los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenirlascausasdelriesgo,detectarlaocurrenciadelascausasdelriesgo, retroalimentandoelsistemadecontrolinternoconmedioscorrectivos.
Con las anteriores definiciones, esta etapa de anlisis y valoracin pretende identificarycalificarlosriesgosquepuedenpresentarsealrededordelproyecto de tecnologa de informacin siguiendo una serie de pasos basados en el siguientemapaquemuestracadaunadelasactividadesquesedebenllevara caboenestafase.
69
G E S T I N D E L R IE S G O
Id e n t i f i c a c i n
A n l i s i s y V a l o r a c i n
C o n t r o l F s i c o
A n l i s i s d e R e s u l t a d o s
S e a c e p t a e l r i e s g o ?
N O
T r a n s f e r e n c i a
S I
R e t e n c i n
Figura4:DiagramadeAdministracindeRiesgos
Cadapasodeberealizarseparadosentornos:
Procesos Vs. Tecnologa de Informacin: Tomar como referencia los procesosquetienenasociadalatecnologainformtica.
Tecnologa de Informacin Vs.Tecnologa Informtica, es decir analizar cada recurso de la tecnologa informtica evaluando el hardware, software, aplicaciones, comunicaciones, red, instalaciones fsicas donde seencuentraubicadoovayaafuncionarelproyectoaimplantar.
IDENTIFICACIN Laidentificacinderiesgosconsisteendeterminarqutiposderiesgosesms probablequeafectenalproyectodetecnologadeinformacinydocumentarlas caractersticasdecadauno.
70
La identificacin de riesgos no es un suceso que se produzca en un instante determinado debe desarrollarse de una manera regular a lo largo de todo el proyecto.
Es difcil generalizar acerca de los riesgos de una organizacin o de un proyecto porque las condiciones y operaciones son distintas, pero existen formasdeidentificarlosentrelascualesestn:
Herramientas de identificacin de riesgos: Las ms importantes herramientas usadas en la identificacin de riesgos incluyen: registros internos dela organizacin, listas de chequeo, cuestionarios deanlisis de riesgos, flujos de procesos, anlisis financiero, inspecciones, entrevistas,tormentadeideas,entreotras.
Aproximacin de combinacin: La aproximacin preferida en la identificacin de riesgos consiste de una aproximacin de combinacin, en el cual todas las herramientas de identificacin de riesgos estn hechas para tolerar problemas. En pocas palabras cada herramienta puede resolver una parte del problema y combinados pueden ser una considerable ayuda al administrador de riesgos. Esto significa que dependiendo de lo que quiera analizar puede utilizar una u otra y combinarelresultadodelasqueutiliz.Porejemplo:lasentrevistasylos cuestionariosyhaceranlisiscruzadosdeambosinstrumentos,conelfin dedisminuirlasubjetividadenelanlisis.
Para facilitar la identificacin de los riesgos en un proyecto de tecnologa de informacinesmuytilapoyarseenelsiguientediagrama:
71
In f lu en c ia s E x t er n as A c t i v i d ad es f u er ad e lalc an c e
R IESG O S
PL A NEA CIN Hitos
EJ EC UC IN YCO NTR OL
Res is t en c iaalCam b io In f l u e n c ias In t e rn as
P lazo s
Pr o b lem a s Ur g en t es
L ag es t i n d eRi es g o s es u n ar es p o n s ab il i d ad d eto d o s l o s i n t eg r an t es d elPr o y e c t o . El a n l is i s y g es t i n d elo s r ies g o s d elPr o y ec t o es u n aac c i n c o n t in u ay d in m ic a.
Figura5:Identificacinderiesgosdelproyecto
A continuacin se presenta una serie de preguntas y respuestas que sirven comolistadechequeoalmomentodehacerlaidentificacindelosriesgosen lasdiferentesfasesdelproyecto:
Porquunproyectodetecnologadeinformacinfalla? Verelsiguiente diagrama
P l a n e a c i n n o e x i s t e o e s i n a d e c u a d a
F a l l a s e n l a E j e c u c i n . I m p l a n t a c i n m a l c o o r d i n a d a . F a l t a d e F o c o y C o n t r o l
F A L L A
N o s e p r a c ti c lo q u e s e p l a n te . N o s e c a p a c i t a d e c u a d a m e n te . N o s e c a m b i la c u ltu r a . L a s o l u c i n e s in a d e c u a d a . N o s e c u m p li e r o n l o s o b j e t iv o s . R e tr a s o s y r e p r o c e s o s .
R i e s g o s e s p e cf i c o s d e l p r o y e c t o
F a l t a d e d e c i s i o n e s o p o r t u n a s .
L a s R e s i s t e n c i a s a l C a m b i o n o f u e r o n i d e n t i f i c a d a s y t r a t a d a s o p o r t u n a m e n t e .
Figura6:Identificacinderiesgosdelproyecto
72
PuedeexistirunriesgoenlaPLANEACINdelproyectocuando:
No existe una clara definicin de los objetivos y expectativas para el Proyecto.
No se formaliz un Cronograma que establezca los tiempos para las actividades, los plazos, los hitos y productos, y fuera validado por el EquipoyComitDirectivodelproyecto.
NosehanasignadomiembrosdelEquipoquecumplanlosrequisitosde competencia,queestncomprometidosytenganlaindependenciapara generarlassoluciones.
Nosehanestablecidolasresponsabilidadesyrolesdecadamiembrodel Equipo.
NosehaestablecidolaformadeintegracinconotrosProyectos,cules sonlosinputsyoutputs,lasdependencias,loseventosquedebern ocurrir, responsables, y qu actividades debern los equipos trabajar coordinadamente.
Puede existir un riesgo en la EJECUCIN Y CONTROL del proyecto cuando:
Las decisiones no son tomadas oportunamente, causando probables retrasos.
No se obtiene el compromiso y apoyo del patrocinador a lo largo de la ejecucinycontroldelproyecto
No se ejecuta el plan de capacitacin del equipo y de las personas involucradas.
73
El nivel de dedicacin de cada miembro del equipo y otras personas involucradasnoesadecuadaonocumpleladefinicindelplan.
No se entregan informes/ productos adecuados, completos y segn la periodicidaddefinida.
Nosedocumentanlasmejorasymetodologas No se obtiene la adecuada participacin y compromiso de los involucrados.
No se identifican los problemas reales / potenciales y no se toman las accionescorrectivasypreventivasadecuadas.
Puede existir un riesgo en el proyecto debido a una RESISTENCIA AL CAMBIOcuando:
Los involucrados no entienden con claridad las razones para los cambios.
Existeunaincompatibilidadentrelosvaloresactualesyloscambios Los involucrados perciben que sus jefes y otras personas o grupos polticamenteimportantesenlaOrganizacinnoapoyanelcambio.
Los involucrados creen que los cambios impactarn negativamente la formaenqueellosserelacionanhoy.
Existepresinoinfluenciaexternaalproyecto.
Paraayudarenelanlisisdelasamenazasylosriesgosserequiere:
Identificar los riesgos internos de los procesos con cada elemento de tecnologainformticaasociadoalproyectodetecnologadeinformacin.
74
Realizar una lista de chequeo de las amenazas internas que puedan presentarseenformaaccidentalointencionalenlaEmpresaconrelacin a la tecnologa informtica asociado al proyecto de tecnologa de informacin.
Identificar los riesgos externos de los procesos por cada elemento de tecnologainformticaasociadoalproyectodetecnologadeinformacin.
Realizar un chequeo del entorno en los fenmenos naturales, el ambientegeopoltico,elambientetecnolgico,elambienteecolgicoyel sistema sociocultural que rodea la Organizacin para definir las amenazasalasquepuedeestarexpuestoelproyectodetecnologade informacindelaEmpresa.
Parafacilitarlaidentificacindelosriesgosenlainfraestructuraenunproyecto detecnologadeinformacinesmuytilapoyarseenelsiguientediagrama:
C o m p o n e n t e s d e l a T e c n o l o g a d e i n f o r m a c i n
E N T O R N O A P L I C A C I O N E S R E D
I N F R A E S T R U C T U R A E N S U C O N J U N T O U S U A R I O
U N I X
S I S T E M A O P E R A T I V O
A L M A C E N A M IE N T O , R E S P A L D O Y R E C U P E R A C I N
M O T O R D E B A S E S D E D A T O S
S E R V I D O R S e g u r i d a d F s i c a y l g i c a O P E R A D O R
Figura7:EscenariosdondeseidentificanriesgosdelaInfraestructuradeTI.
75
Una vez identificadas las amenazas y los riesgos se elaboran las siguientes matrices: ElaborarlamatrizdeeventosconrelacinalosprocesosdelaEmpresay lamatrizdeeventosconrelacinalatecnologainformtica.
La matriz de eventos, denominada escenario de riesgos con relacin a los procesos se construye con las amenazas y con los procesos que tiene la tecnologa informtica. La combinacin Proceso Amenaza (fila, columna) lo denominaremos Evento o escenario de riesgos, tal como se muestra a continuacinenlaTablaN1.
TablaNro1. MatrizdeEventosoescenariosconrelacinaProcesos
Procesos/Amenazas P1 P2
A1 P1,A1 P2,A1
A2 P1,A2 P2,A2
An P1,An P2,An
Pn
P1=proceso1,P2=proceso2Pn=proceson A1=amenaza1,A2=amenaza2.An=amenazan P1,A1=E1,eselevento1dequeenelproceso1ocurralaamenaza1.
Estas matrices se elaboran de acuerdo conel criterio experto del responsable delprocesoydelatecnologainformtica.
A manera de ejemplo, si tenemos los procesos de Administrar Recursos Humanos, Administrar Finanzas, Desarrollar y Mantener Sistemas/Tecnologa,
76
Administrar Servicios Legales que poseen tecnologa informtica asociada a susprocesosylasamenazasde:fallasensistemasdeinformacin,fallasenla aplicacin (OneWorld), fallas en la red de comunicaciones, entre otros, se elaboralasiguientetabla:
TablaNro2. EjemploMatrizdeEventosoescenariosconrelacinaProcesos
Procesos/Amenazas FallasenSistemasde Informacin Faltadefuncionamiento delSistemade InformacindeNomina A1 Fallasen ONEWORLD FallasenlaRedde Comunicaciones
AdministrarRecursos HumanosP1
Nodisponibilidad delMduloARA2 Nodisponibilidad delSwitcheATM A3
AdministrarFinanzas P2
Faltadefuncionamiento delSistemade InformacinFinanciero A4 Fallaenelbackup Onlinede OneworldA5 Fallaenelbackup Offlinede OneworldA6 Faltadefuncionamiento delSistemaDocumental MercurioA7
Desarrollary Mantener Sistemas/Tecnologa P3
AdministrarServicio LegalesP4
De igual forma se obtiene la matriz de eventos con relacin a la tecnologa informtica,paraanalizarlasposiblesamenazasquepuedenllegarasufrirlos recursosinformticos,asocindolosconlaletraTcomosemuestraenlaTabla Nro3:
77
Tabla Nro 3. Ejemplo Matriz de Eventos o escenarios con relacin a la TecnologaInformtica

TecnologaInformtica/ NoFuncionamiento FallasenSistema FallasenlaRedde Amenazas deEquipos Operativo Comunicaciones ServidordeDesarrollo Problemasdelectura T1 eneldiscoduro A1 ServidordeCorreo T2 Fallaentarjetasde red A2 SwitcheATM T3 SwitcheATMfuerade SwitcheATMfuera servicio A3 deservicio A4 CentrodeCmputoSede Inundacindeequipos Administrativa T4 A5 CentrodeComputo Inundacindeequipos AlternoT5 A6
A NLISISYVALORACIN Unavezquelosriesgoshansidoidentificadoseladministradorderiesgosdebe evaluarlos. El paso a seguir es hacer el anlisis y la valoracin. En esta actividadsetienecomoobjetivo,unavezdefinidoslosriesgos,ladeterminacin y clculo de los criterios que, con posterioridad, nos facilitarnla evaluacin y valoracindelriesgo.
Como procedimiento a seguir se identificarn las variables especficas y se analizarnlos factores obtenidos. Los criterios de anlisis del riesgopara este caso en particular que usaremos son: Probabilidad o frecuencia, gravedad o impactoylaaceptabilidaddelriesgo.
Parapoderhacerelanlisisylavaloracindelriesgoesnecesarioelaborarlas escalasdeprobabilidadygravedadenquesepuedenpresentarlasamenazas. Estas dos tablas tienen como finalidad obtener una calificacin del riesgo en cuantoafrecuenciaoposibilidaddeocurrenciayencuantoalaconsecuenciao gravedadsisellegaraamaterializarlaamenaza.
78
Ambas escalas son generadas por los responsables del proceso y de la tecnologainformticaenformaestndarparalaempresaoelproyecto,yaque lasconsecuenciasdeundeterminadoeventooamenazaesdiferenteparacada proyecto. El termino probabilidad se refiere a la posibilidad de ocurrencia (frecuencia) quepuedetenerelriesgoevaluado,alosvaloresonivelesdeprobabilidadsele asigna un valor relativo (cualquiera) generalmente por facilidad de manejo se utilizanvaloresenteros.VerejemploenlaTablaNro4: TablaNro4. EjemploparaunaEscaladeProbabilidad
Valor 1 Probabilidad Improbable Definicin Sepresentabajocircunstanciasextremasdeordenpblicoenel pas, de catstrofe o bajo situaciones excepcionales fuera del alcancedelaorganizacinodelproyecto.Comoparos,huelgas, sabotajesoamenazasdeterrorismo. Sepresentapor situacionesatribuiblesalaspersonas,ypueden ser causadas por hechos internos de la organizacin hacia el proyectocomosuspenderlo,noapoyarlo,abortarlo,entreotras. El evento se clasifica como norutinario y no es inherente a la tecnologa, su frecuencia se asocia con variables externas a la tecnologa,losprocesosocomponentesdelproyecto. Se presenta por situaciones atribuibles al descuido o error humanoqueafectanlaejecucindelproyecto. Sepresentaconciertaregularidad,ysucausaesatribuiblealos recursos mnimos del proyecto (Personas, presupuesto, tiempo, tecnologa)loscualessonnecesariosparasuejecucin. Sepresentaeneldaada,suorigenesatribuibleasituaciones normales del proyecto como interrupciones menores de los procesos, los servicios de la tecnologa, la desviacin de los recursosyotrossimilares.
Remoto
3 4 5
Ocasional Moderado Frecuente
Constante
IMPROBABLE: Cuando el riesgo evaluado no ha sucedido hasta ahora y es muydifcilqueocurra. REMOTO:Cuandoelriesgoevaluadohasucedidosloenformaexcepcionaly setieneunaposibilidaddeocurrenciamuybaja.
79
OCASIONAL:Cuandoelriesgoevaluadohasucedidopocasvecesytienebaja posibilidaddeocurrencia. MODERADO: Si el riesgo sucede en forma espordica y tiene limitada posibilidaddeocurrencia.
FRECUENTE: Si el riesgo sucede algunas veces y tiene una significativa posibilidaddeocurrencia.
CONSTANTE: Cuando el riesgo evaluado sucede en forma reiterada y tiene altaposibilidaddeocurrencia. El termino gravedad se refiere a la magnitud en trminos relativos de las consecuenciasquepuedengenerarsealocurrirlaamenazaevaluada.Latabla de gravedad, debe construirse en forma estndar para la empresa a continuacinsemuestraunejemplomediantelaTablaNro5:
TablaNro5.EjemploparaunaEscaladeGravedad
Valor 1 Gravedad
Insignificante: Laduracinde la interrupcin es menor a 1 hora.
Marginal: La duracin de la interrupcin esta entre 1 4
80
Valor
Gravedad horas.
Grave: La duracin de la interrupcin esta entre 48 horas.
10
Crtico: La duracin de la interrupcin estaentre824 horas.
81
Valor
Gravedad
20
Desastroso: Laduracinde la interrupcin esta entre 24 36horas.
82
Valor
Gravedad
50
Catastrfico: Laduracinde la interrupcin es mayor a 36 horas.
INSIGNIFICANTE: Cuando las consecuencias (impacto) pueden ser consideradascomodespreciablesporquequenoafectanelfuncionamientodel proyecto. MARGINAL: Cuando las consecuencias (impacto) se consideran tolerables (moderadas)porqueafectanenformalevealproyecto.
GRAVE: Cuando las consecuencias (impacto) afectan parcialmente el funcionamientodelproyecto,peronoponenenpeligrosuejecucin.
83
CRTICO: Se valora la consecuencia (impacto) en trminos considerables porquedichasconsecuenciasafectanparcialmentealproyectodesplazandosu ejecucin.
DESASTROSO: Las consecuencias afectan totalmente al proyecto, desplazando su ejecucin y aumentando los costos del mismo de lo inicialmentepresupuestado.
CATASTRFICO:Cuandolasconsecuenciasseconsiderandegranmagnitud porque afectan en forma total el proyecto pudiendo poner en riesgo la estabilidaddelmismoeinclusiveimpidiendosuterminacin.
Paralaconstruccindeestastablasoescalasdeprobabilidadygravedadse toma como referencia la experiencia propia del equipo de trabajo y la percepcindelmismo.
Podemos hablar con el trmino riesgo cuando la amenaza se evala con las escalasdeprobabilidadygravedad.Elprximopasoentonces,deestaetapa, escalificarlosriesgosmultiplicandoelvalordelriesgoencuantoaprobabilidad porelvalordelriesgoencuantoagravedad Riesgo=ProbabilidadXGravedad(R=PxG)
TalcomosemuestraenlaTablaNro6tomandocomoreferenciaelejemplode laTablaNro2.MatrizdeEventosoescenariosencuantoaProcesos:
84
Tabla Nro 6. Ejemplo para la Calificacin del Riesgo con relacin a los procesos.
ENTORNODEPROCESOS Administrar Recursos Humanos con falta de funcionamiento del Sistema de Informacin P1A1 Administrar Recursos Humanos sin disponibilidad del Mdulo AR de OneWorld.P1A2 Administrar Finanzas con falta funcionamiento del Sistema de Informacin P2A4 Desarrollar y Mantener Sistemas/Tecnologa con fallas en el backupOfflinedeOneWorld.P3A6 PROBABILIDAD Ocasional P GRAVEDAD G RIESGO 3 Catastrfico 50 150
Moderado
Crtico
10
40
Ocasional
Crtico
10
30
Frecuente
5 Catastrfico 50
250
Riesgo=PXG Donde: P=Probabilidaddeocurrencia(frecuencia) G=Gravedadointensidaddelasconsecuencias(impacto)
De igual forma ocurre con el anlisis de la tecnologa informtica, con el siguiente ejemplo de la Tabla Nro 7 tomando como referencia la Tabla Nro 3. MatrizdeEventosconrelacinalaTecnologaInformtica
Tabla Nro 7. Ejemplo para la Calificacin del Riesgo con relacin a la Tecnologa
ENTORNODETECNOLOGA Servidordedesarrolloconproblemasde lecturaeneldiscoduro T1A1 ServidordeCorreoconfallaenlas tarjetasdered T2A2 SwitcheATMfueradeservicio T3A4 CentrodeCmputoSedeAdministrativa coninundacindeequipos T4A5 PROBABILIDAD Remoto Moderado Ocasional Remoto P GRAVEDAD G RIESGO 2 Crtico 10 20 4 150 100
4 Insignificante 1 3 Catastrfico 50 2 Catastrfico 50
85
ElaborarlaMatrizdeAceptabilidad,quenospermitadeterminarelnivelde aceptabilidad hacia el riesgo: La Matriz de Aceptabilidad de Riesgos nos determina el nivel de aceptabilidad del evento o escenario (combinacin de riesgoproceso, o combinacin de riesgotecnologa) que pueda suceder en el proyecto. Esta matriz est conformada por cuatro zonas de acuerdo con la escala de probabilidadydegravedaddefinidaenlospasosanteriores: ZonaAceptable:Dondelaprobabilidaddeocurrenciadelriesgoesmuybaja, esdecir,uneventooescenariosituadoenestaregindelamatriz,significaque lacombinacinfrecuenciaconsecuencianoimplicaunagravedadsignificativa, por lo que no amerita la inversin de recursos y no requiere acciones adicionales para la gestin sobre el factor de vulnerabilidad considerado, diferentesalasyaaplicadasenelproyecto. Zona Tolerable: Un evento o escenario situado en esta regin de la matriz, significa que, aunque deben desarrollarse actividades para la gestin sobre el riesgo en el proyecto, tienen una prioridad de segundo nivel, pudiendo ser a medianoplazo. ZonaInaceptable:Dondelaprobabilidaddeocurrenciadelriesgoesalta,ysu consecuenciaesconsiderable,esdecir,uneventooescenariosituadoenesta regin de la Matriz, significa que se requiere siempre desarrollar acciones prioritarias a corto plazo para su gestin, debido al alto impacto que tendran sobreelproyecto.
ZonaInadmisible:Uneventooescenariosituadoenestaregindelamatriz, significaquebajoningunacircunstanciasedebermantenerunescenariocon esa capacidad potencial de afectar la estabilidad del proyecto e inclusive su
86
terminacin.Porelloestosescenariosrequierenunaatencindealtaprioridad parabuscardisminuirenformainmediatasuvulnerabilidad.
Para determinar los lmites de cada una de las zonas de aceptabilidad en la matriz,seutilizanlossiguientescriteriosdevaloracin:
ZONA Aceptable Tolerable Inaceptable Inadmisible PROBABILIDADRELATIVA

Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 6(2.0%) 5(1.6%) 4(1.3%) 3(1.0%) 2(0.6%) 1(0.3%) 1 Insignificante
CRITERIODEACEPTABILIDAD (%devulnerabilidad) Hastael3.0 Del3.1al5.0 Del5.1al25.0 Msdel25.0
12(4.0%) 30(10.0%) 60(20.0%) 120(40.0%) 300(100%) 10(3.3%) 25(8.3%) 50(16.5%) 100(33.0%) 250(83.0%) 8(2.6%) 20(6.6%) 40(13.3%) 80(26.0%) 200(66.0%) 6(2.0%) 15(5.0%) 30(10.0%) 60(20.0%) 150(50.0%) 4(1.3%) 10(3.3%) 20(6.6%) 40(13.3%) 100(33.0%) 2(0.6%) 5(1.6%) 10(3.3%) 20(6.6%) 50(16.5%) 2 5 10 20 50 Marginal Grave Crtico Desastroso Catastrfico
GRAVEDADRELATIVA
Cada evento o escenario (PnAn), resultante de la matriz de eventos con relacinalosprocesosyalatecnologainformtica,sesitadentrodelamatriz de aceptabilidad para poder determinar los requerimientos de medidas de control como insumos necesarios para la prxima etapa o fase que es la de Control.
Laexperienciamuestraquelosriesgosnoidentificadossonloquecomnmente causan graves problemas a los afectados, por presentarse sin que exista ningnplanconcretoparacontrolarlosyporesoconllevanefectosdesastrosos.
87
Esimportanteefectuarunaevaluacincuidadosadelosriesgosysuscausas, ya que todo resultado errneo conllevar a un exceso o a una deficiencia de medidas de control fsico, lgico o a la toma de decisiones equivocadas en el controlfinanciero. La Matriz de Aceptabilidad del riesgo est determinada por la escala de probabilidad tomada de la Tabla Nro 4 y la escala de gravedad basada en la TablaNro5conladefinicindelosvaloresdeaceptable,tolerable,inaceptable einadmisiblecomosemuestraacontinuacinenlaTablaNro.8: TablaNro.8.MatrizdeAceptabilidad PROBABILIDADRELATIVA
Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 Aceptable Aceptable Aceptable Aceptable Aceptable Aceptable 1 Insignificante Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Tolerable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Inaceptable Inaceptable Inadmisible Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Tolerable Inaceptable Inaceptable Inadmisible Aceptable Aceptable Tolerable Inaceptable Inaceptable 2 5 10 20 50 Marginal Grave Crtico Desastroso Catastrfico
GRAVEDADRELATIVA Continuando con el ejemplo ilustrado en la Tabla Nro. 6, la Matriz de AceptabilidadparaelentornodeprocesossemuestraenlaTablaNro.9:
TablaNro.9.MatrizdeAceptabilidadparaelentornodeProcesos
PROBABILIDADRELATIVA
Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1 P3A6 P1A2 P2A4 P1A1
88
1 2 5 Insignificante Marginal Grave
10 20 50 Crtico Desastroso Catastrfico
GRAVEDADRELATIVA LaMatrizdeAceptabilidadparaelentornodetecnologainformticasemuestra enlaTablaNro10tomandolosvaloresdelaTablaNro7: TablaNro10.MatrizdeAceptabilidadparaelentornodetecnologainformtica PROBABILIDADRELATIVA

Constante Frecuente Moderado Ocasional Remoto Improbable 6 5 4 3 2 1
T2A2 T1A1 1 2 5 Insignificante Marginal Grave T3A4 T4A5
10 20 50 Crtico Desastroso Catastrfico
GRAVEDADRELATIVACONTROL 11.4.2.1.Perfildelosriesgos El conjunto de todos los eventos o escenarios ubicados en la matriz de aceptabilidadconfiguraelperfildelosriesgosparaelproyectoosistemayque se realiza para el entorno de los procesos y la tecnologa informtica: Administrar recursos humanos, administrar finanzas, desarrollar y mantener sistemas/tecnologa,administrarservicioslegales,entreotros.
11.4.2.2.Patronesnormalesdedistribucin Lospatronesnormalesdedistribucinsonpropiosdelaactividadparticulardel proyecto o sistema por ejemplo, no es lo mismo la distribucin tpica en un proyecto de obra civil o de infraestructura que en un proyecto de tecnologa informtica.
89
A continuacin se presentan los patrones de distribucin de referencia de los eventos o escenarios. Estos patrones son indicadores de la confiabilidad del estado global de riesgos de un proyecto o sistema. Un sistema con patrones anormales en la distribucin de los riesgos presenta una gran incertidumbre sobrelosresultadosdesumanejo.
ZONA Aceptable Tolerable Inaceptable Inadmisible TOTAL DISTRIBUCIONDEEVENTOSOESCENARIOS Mnimoel60% Mximoel30% Mximoel10% NingnEscenario 100%
11.4.2.3.Clculodelndicededistribucindeeventosoescenarios,IDE Conocidalacalificacindeaceptabilidaddecadaeventooescenario,sesuman cuntos de ellos estn en cada nivel y se calcula lo que representan porcentualmentedeltotaldeescenarios.
Continuando con el ejemplo, el total de escenarios evaluados es de 4 para el entornodeprocesosquesemuestraenlaTablaNro9,tomandolosvaloresde la Tabla Nro 6, de ellos 2 estn en el nivel inaceptable y 2 en el nivel de inadmisible Entonces su distribucin sera como se muestra en la siguiente tabla:
Procesos
NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL ESCENARIOS 0 0 2 2 4 DISTR.REAL 0% 0% 50% 50% 100% DISTR.NORMAL Mn.60% Mx.30% Mx.10% 0% 100%
90
Para el entorno de tecnologa informtica, eltotal de escenarios evaluados es de4comosemuestraenlaTablaNro10ytomandolosvaloresdelaTablaNro 7, de ellos 1 est en el nivel aceptable, 1 en el nivel de inaceptable y 2 en el nivel de inadmisible Entonces su distribucin sera como se muestra en la siguientetabla: TecnologaInformtica
NIVEL Aceptable Tolerable Inaceptable Inadmisible TOTAL ESCENARIOS 1 0 1 2 4 DISTR.REAL 25% 0% 25% 50% 100% DISTR.NORMAL Mn.60% Mx.30% Mx.10% 0% 100%
Nota: La Metodologa se aplica bajo los mismos criterios definidos, pero en forma separada para los procesos y para la tecnologa informtica, como lo ilustraelejemplotrabajadoenestedocumento
11.4.3. CONTROL Estafaseconsisteenidentificaryanalizarlassolucionesdisponiblesparatratar los riesgos estudiados en las etapas anteriores, con el fin de reducir la frecuenciayseveridaddelasprdidas,encasodequelosriesgosidentificados sematerialicen.
Controlestodaaccinorientadaaminimizarlafrecuenciadeocurrenciadelas causasdelriesgoovalordelasprdidasocasionadasporellas.Loscontroles sirven para asegurar la consecucin de los objetivos de la organizacin o asegurar el xito de un sistema y para reducir la exposicin de los riesgos, a niveles razonables. Los objetivos bsicos de los controles son: Prevenir las causas del riesgo, detectar la ocurrencia de las causas del riesgo,
91
retroalimentando el sistema de control interno con medios correctivos para establecer las respectivas medidas de proteccin y permitiendo as la continuidaddelaorganizacinoelproyectoqueestenejecucin.
En grfico siguiente muestra cuales son las actividades que se deben seguir paratenerunbuencontrolderiesgosenelproyectoqueseestdesarrollado.
C O N T R O L D E R I E S G O S
P r e v e n c i n
P r o t e c c i n
F s i c o / Lg i c o
C O N T R O L D E R I E S G O S
F i n a n c i e r o R e t e n e r T r a n s f e r i r
Control Fsico/Lgico: En esta actividad se definen dos alternativas fundamentalesparaobtenerunbuencontroldelriesgo: Prevencin: Estudio exhaustivo de las alternativas lgicas conducentes a reducirenlamedidadeloposible,loscausasqueoriginanlamaterializacinde unriesgo.
Sonaquellasmedidastendientesaminimizarlascausasquepuedanprovocar unaprdidateniendoencuentalosprocesos,lagenteylatecnologa.
92
Proteccin: Conjunto de actividades encaminadas a reducir la severidad del impacto causado por la materializacin de un riesgo. Actan sobre las consecuencias.
Sonaquellasmedidastendientesareducirlaseveridaddelaprdida,esdecir en caso de que sta suceda, reduzcalas consecuencias al mnimo, tendiendo encuentalosprocesos,lagenteylatecnologa. Control Financiero: En esta actividad se definen dos alternativas fundamentalesladereteneryladetransferirelriesgo: Retener:Consisteenproveerlosmedioshoy,paraelestadodenecesidad,que la materializacin de un riesgo pueda causar en el futuro. De acuerdo con la capacidad financiera de la organizacin, se pueden asumir los riesgos que se determinendespusdeanalizarlamatrizderiesgos.Seasumengeneralmente los riesgos de baja probabilidad de ocurrencia y baja severidad (riesgos no catastrficos). Uno de los mecanismos que se pueden definir en la organizacin o en el proyectoparatratarlosriesgosqueseconsiderensepuedenasumireselfondo de auto seguro que consiste en reservar el dinero para anticiparse a las consecuenciasdeunaprdidaquesepodrageneraralmaterializarseelriesgo asumidoypreviamentecalculadosuposiblecosto. Transferir:Eseltrasladodelriesgoaunacompaaaseguradoramedianteel pagodeunaprima.(Contratodeseguro).Consistetambinenlatransferencia contractualdelosriesgosaloscontratistasysubcontratistasdelaorganizacin odelosqueintervieneeneldesarrollodelproyecto.
93
Anlisis de resultados: Cualquier proceso requiere de un feedback o retroalimentacin, para mantenerse en el tiempo y hacerse flexible ante los mltiples y vertiginosos cambios que se viven en las organizaciones y con mayor razn en los proyectos y especialmente en los de tecnologa de informacin. Cuando ocurren cambios en el proyecto, es ciclo bsico de identificacin, evaluacin,anlisisyvaloracinderiesgosserepite.Esimportantecomprender queincluso el anlisis ms profundo y completo no puedeidentificartodos los riesgosyprobabilidadescorrectamenteserequiereuncontrolyunaiteracin.
Losriesgossondinmicosydebensermonitoreadospermanentemente
94
12. RECOMENDACIONES
La metodologa aqu definida y documentada se convierte en una herramientaclaveparalaorganizacinInformticadeEmpresasPblicas deMedellnE.S.P.porqueatravsdesuutilizacinyaplicacinlefacilita identificar, evaluar, controlar y valorar los riesgos de los proyectos de tecnologa de informacin que emprenda la corporacin, mejorando la gestin con el fin de disminuir el impacto de la tecnologa en los costos, recursosyeltiempoalentrarenproduccin.
La aplicacinde esta metodologa, deberrealizarse en todas las etapas de los proyectos de tecnologa de informacin hacindola extensiva a contratistas, subcontratistas y proveedores que la empresa adelante en estecampoespecfico.
Es importante oficializar esta metodologa y definir los mecanismos que faciliten su utilizacin, para que la organizacin Informtica de Empresas Pblicas de Medelln E.S.P. la aplique en todos los proyectos de tecnologa de informacin que emprenda con el fin de poder disear e implementar otras estrategias que permitan gerenciar y controlar los nuevostiposderiesgosqueestnrelacionadosconestosproyectos.
Elfocodelproyectodetecnologadeinformacindebeentoncesestarno slo encaminado a procurar el hardware y el software necesario para resolver las necesidades del proceso de negocio sino que tambin debe buscarlosmediosmateriales,econmicosyhumanosparaqueenelcaso delamaterializacindeunriesgolasprdidasseanmnimasoinclusose pueda evitar la inviabilidad del proyecto como tal. En este sentido la
95
metodologa cubre una gama de aspectos ticos, socioculturales, econmicos, administrativos y tecnolgicos que le permitirn al director o gerente de tecnologa informtica tener un dominio integral sobre cada aspectodelaejecucindelproyectogarantizandosucontinuidadysinpor ellodescuidarotrosaspectosdesuoperacinoadministracin.
Esimportantequelaaltagerenciatengaunaformacinslidaentodoeste tipodeconceptos,paraquenocaiganenelerrordedelegarestetipode decisiones o proyectos enlos tcnicos puristas, provocando con ello una desarticulacin entre la estrategia del negocio y la tecnologa de informacin.
96
13. CONCLUSIONES
Estamos, sin duda, enla eradelainformacin: Adquirirequipos, obtener serviciosyacortarlasdistanciasparaestarinformados,esunaposibilidad tecnolgica vuelta obsesin. Esto hace que la informacin adquiera gran importancia y un valor incalculable, y que por lo tanto haya que tomar todas las medidas necesarias para protegerla. El contar con una metodologa que nos ayude a identificar, evaluar, controlar y valorar los riesgos en los proyectos de tecnologa deinformacin en la organizacin es una de las herramientas claves para ayudar a proteger la informacin quesegeneraymanejaenestetipodeproyectos,ademsquefacilitala terminacindelosmismossegnloplaneado. Para definir la metodologa de anlisis y valoracin de riesgos en proyectos de tecnologa de informacin se tuvo en cuenta las tres dimensionesfundamentalesquecomponenunaorganizacininformticaa nivel mundial: Los procesos la gente y la tecnologa, sin olvidar que la parte ms importante es la gente, la que hace que los procesos y la tecnologafuncionen.
El esfuerzo metodolgico desarrollado en este documento, en donde se integraronlos conceptosdela administracin de riesgos yla gerenciade proyectos, es aplicable a cualquier empresa puesto que la metodologa descrita,ensnotienerestriccionesespecficas.
Lo trascendental en la implementacin de la metodologa es como cada empresa percibe la ocurrencia y la consecuencia de los riesgos en la ejecucin de los proyectos de tecnologa que la empresa A, B o C adelantenenestesentido.
97
Lagestindelriesgoenlosproyectosdetecnologadeinformacinhade ser una preocupacin constante en las entidades y a nivel de toda la organizacin, especialmente de la alta direccin, que no es exclusivamenteunproblematcnicoydetcnicosperoqueseraplicado enformadiferentesegnlaempresayelmomento.
La competencia basada en tecnologa de informacin se est volviendo cadadamsfuerteyagresiva,yelcontarconlametodologadeanlisisy valoracinderiesgoscomounaherramientaclavedegestin,ayudaaque laorganizacinenfrenteestenuevoretoqueseplanteaenelsigloXXI,el siglodeeradelainformacin,elnuevopoder.
98
14. BIBLIOGRAFA
[Meja,2001]RubiConsueloMejaQuijano,DiplomaturaenControlyAuditora, TextoGua,UniversidadEAFIT,Medelln,Agostode2001,133p.
[EE.PP.M.,1999] EmpresasPblicasdeMedelln,AdministracindeRiesgos, GuadeControlAdministrativoNo.12,CartillaGua,Medelln,Marzode1999, 24p.
[EE.PP.M.,1999] Empresas Pblicas de Medelln, Metodologa Anlisis de Riesgos y Vulnerabilidad, Unidad de Riesgos y Seguros, Medelln, Marzo de 1999,37p.
[EE.PP.M.1,1999]Empresas Pblicas de Medelln, Plan General de Emergencias, Gua de Control Administrativo No. 13, Cartilla Gua, Medelln, Marzode1999,20p.
[EE.PP.M.,1999] EmpresasPblicasdeMedelln,SistemadeControlInterno, Equipo de Planeacin y Desarrollo del Control, Direccin de Control Interno, Medelln,Juliode1999,57p.
[SUMA,2000]SUMACorredoresdeSegurosS.A.,MetodologadeAnlisisde Riesgos y Vulnerabilidad(AR&V) parael Metro de Medelln, Documento Gua, Medelln,Febrerode2000,13p.
Mauricio Zuluaga Ruiz Director Departamento Administrativo de la Funcin PblicaBogot,AdministracindelRiesgo,CartillaGua,Bogot,Diciembrede 2001,32p.
99
[Rojas,1996]Francisco Abanal Rojas, Cmo se hace un Plan Estratgico, ModelodeDesarrolloenunaEmpresa,1996,512p.
MonsalveSuescunIsmael,EusseRestrepoIvnDaro.AnlisisCuantitativodel Riesgo. Medelln, 2001. 78p. Monografia de Grado (Especialista enFinanzas, preparacinyEvaluacindeProyectos).UniversidaddeAntioquia.Facultadde Ingeniera.
GabrielBacaUrbina.EvaluacindeProyectos,TerceraEdicin.339p.
BusinessContinuityPlanning,ANecessityinNewECommerceEra DisasterRecoveryJounal,Agosto2000.
HewlettPackardCompany,2000.
Cost and Effect: Using Integrated Cost Systems to Drive Profitability and Performance.
HarvardBusinessSchool,1997 ProjectManagementforMissionCriticalSystems.
AHandbookforGovernmentExecutives InformationTechnologyResourcesBoard,Abril2001.
BusinessContinuity:Newrisks,newimperativesandanewapproach InternationalBusinessMachinesCoporations,1999.
ComputerCrimeCostsontheRise Computerworld,20Abril1998.
100
MITBusinessContinuityPlan MassachusettsInstituteofTechnology,1995.
ComputerRelatedRisks InternationalBusinessMachinesCorp,1990.
DisasterTolerantSolutionsforMissionCriticalComputing,WhitePaper ProjectManagementforMissionCriticalSystems AHandbookforGovernmentExecutives.
DevelopmentInformationSystems,ANewParadigminSoftwareDevelopment: ComplexityBegetsComplexityAViciousCycle,WhitePaper
101
15. REFERENCIAS
StratusTechnologiesCorp. http://www.stratus.com
SungardCorp. http://www.sungard.com
GartnerGroup http://www.gartner.com
IDCCorp. http://www.idc.com
AberdeenGroup,Inc. http://www.aberdeen.com
PriceWaterHouseCoopersInc. http://www.pwcglobal.com/
KPMGInc. http://www.kpmg.com
ProjectManagementInstitute http://www.pmi.org

Metodologia para Analisis y Valoracion de Riesgos en Proyectos de Tecnologia de Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Metodologia para Analisis y Valoracion de Riesgos en Proyectos de Tecnologia de Informacion

Cargado por

Copyright:

Formatos disponibles

METODOLOGAPARAELANLISISYVALORACINDERIESGOSEN PROYECTOSDETECNOLOGADEINFORMACIN

UNIVERSIDADEAFIT DEPARTAMENTODECIENCIASBSICAS MAPFRE ESPAA MEDELLN Septiembrede2005

Asesor EULERDEJESSMUOZ AdministradordeEmpresas

UNIVERSIDADEAFIT DEPARTAMENTODECIENCIASBSICAS MAPFRE ESPAA MEDELLN Septiembrede2005

" Noexistemayorsignodedemenciaquehacerlomismounayotravezy esperarresultadosdiferentes AlbertEinstein

RiesgoInformtico:Esunsucesoinciertoquepuedellegarapresentarseen un futuro con la probabilidad de Generar Consecuencias NEGATIVAS que afectenelambienteinformticoolainformacin.

Determinar un Riesgo: Identificar la exposicin de un activo de informacin quecauseconsecuenciasnegativasparasunormaldisponibilidad.

desembocar en consecuencias desastrosas o catastrficas, salvaguardando la existenciamismadelnegocio.

OBJETIVOSESPECFICOS Dentro de los objetivos especficos que se pretendencubrirconestetrabajo estn:

DefinirlaMetodologa. Identificar los riesgos asociados a los proyectos de tecnologa de Informacin.

Definir el mtodo de evaluacin y valoracin de riesgos para los proyectosdetecnologadeInformacin.

Laidentificacindelosriesgosinternosyexternosasociadosalproyecto de tecnologa de informacin permitir definir acciones que ayuden a minimizarelimpactoylaprobabilidaddequeuneventosematerialice.

Determinarlaprobabilidaddematerializacindeunaamenazaalaluzde lasituacindelpasyenelcontextoESPG(Econmico,Social,Polticoy Geogrficoenlaorganizacin)yquepuedanafectarelproyecto.

Dimensionarelimpactodelosriesgossobrelaorganizacinentrminos deexposicinainterrupcionesyprdidaquepuedanponerenriesgola viabilidadylacontinuidaddelproyectoolaorganizacin.

Localizacin, clasificacin y priorizacin de los riesgos observados, teniendoencuentalaglobalidaddelmapaderiesgosylosobjetivosdel proyectodetecnologadeInformacin.

Todas las organizaciones entraan riesgos de prdidas a causa de la materializacindeamenazasquetienensuorigenenlarelacindestasconel entornonatural,social,econmico,poltico,tecnolgicoentreotros.

Lagerenciaderiesgoses,sinduda,uncomponentequevaencrecimientoen la vida cotidiana, conforme el mundo de los negocios se expande y se va haciendomscomplejo.

Es el riesgo tan importante en s, como para justificar la cantidad de recursosinvertidosporlasempresasconelfindeafrontarlos?

ELFUTURO Muchastendenciasenelmundoactancomocatalizadoresparaelcrecimiento delagerenciaderiesgointegrado.

Losavancesenlosmodelosanalticosquemidenelriesgoylaestandarizacin delasprcticasdegerenciaderiesgostambinestnacelerandoeldesarrollo delGRI.

Contabilidaddelseguro. Administracindelautoseguro. Diseo y administracin de planes de emergencias, contingencias y atencindedesastres.

Administracin de planes de seguro de grupo y de beneficios para los funcionarios.

Generacin de programas de inspeccin y anlisis de la seguridad en todaslasreasdelaorganizacin.

Programasdeprevencindeaccidentes Generacin de conciencia de seguridad en todas las instancias de la empresa.

Loquesepretendeesproporcionarherramientasalosgerentespararealizar sulaborbajolascondicionesderiesgo,sinperderdevistalamisinyvisinde suorganizacin.

Debidoalandoledesuoperacin,suactividadnoselimitaaaquellasquese desarrollan dentro de unainstalacin particular, sino quefsicamente cubreun extensoterritorio,conloqueseincrementaconsiderablementelasamenazas.

Enelnegociodelosserviciospblicosunadelasvariablescrticasparaelxito del mismo y su permanencia, es la confiabilidad de sus operaciones, de tal formaquegaranticesucontinuidadylacalidaddelservicio.

emprenda la corporacin y bajo la responsabilidad de esta direccin, para ser aplicadoalasnecesidadesdelaempresa.

DEAYERAHOY Cincuentaaosdespuslapoblacinsehaquintuplicado.EE.PP.M.trabajada adaparaelevarelniveldevidanoslodeloshabitantesdeMedelln,sinode todoelValledeAburr,garantizndoleslaprestacindelosserviciospblicos bsicosconlosmsaltosnivelesdecalidad,oportunidadyeficiencia.

HACIAELFUTURO EmpresasPblicasdeMedellnE.S.P.siguepreparndoseparaelfuturo.Hacia el2005,supresupuestoaprobadoalcanzarlos$4.797.740millonesdepesos.

En la grfica siguiente se muestra como es la organizacin y la manera de cmoseadministralagenteylosrecursosquemanejalaempresa.

G erenciaG eneracin E nerga

G erenc ia D istribuci n E nerga

G erencia Telecom unicaciones

G erencia Com ercial

Di rec c i n Fin an c iera

MISIN Serunaempresadeserviciospblicosdomiciliariosintegralesdeclasemundial: Quesatisfagalasnecesidadesdesusclientesconserviciosdeexcelencia.

Quegenererendimientoseconmicossuficientesparaatenderasucrecimiento y contribuirala satisfaccin delasnecesidades dela ciudadde Medelln y su gente.

PRESUPUESTO Empresas Pblicas de Medelln aprob para el ao 2005 un presupuesto de $4.797.740millonesdepesos.

NUESTROSCOMPROMISOS LasEmpresasconcientesdesuresponsabilidadsocialydeldesarrollointegral de la ciudad y el departamento, ha adquirido dentro de su gestin, los siguientescompromisos:

implementacin de las alternativas de administracin de riesgos ms convenientes.

horas 7 das a la semana, que es lo que demanda hoy el cliente y la competencia.

UnidaddeIngeniera yTecnologa Informtica

UnidadOperaciones Informtica Informtica

PENSAMIENTOESTRATGICO ParaentenderelpapeldelaDireccinInformticaCorporativaenlorelacionado con la infraestructura de TI, veamos a continuacin un resumen de su pensamientoestratgico:

VISIN SerlamejoropcinenlaprestacindeserviciosdeTecnologadeInformacin paraelGrupoEmpresarialEPM.

11. METODOLOGIAPARAELANLISISYVALORACINDE RIESGOSENPROYECTOSDETECNOLOGADE INFORMACIN

Lasensibilizacinenlaadministracinygestindelosriesgos. La asignacin de responsables a los proyectos de tecnologa de informacin.

La evaluacin y valoracindelosriesgosinherentes alosproyectos de tecnologadeinformacinyalosprocesosquesoporta

Todo funcionario de las Empresas debe asumir un papel y responsabilidad claramentedefinidafrentealosriesgos.

Elaprendizaje,endefinitiva,seproduceatravsdelavivenciadelequipo,del anlisisdestaydesuconceptualizacinposterior.Elltimopasodelproceso consiste en transferir lo aprendido a la empresa a travs de acciones y compromisosconcretos.

El siguiente mapa muestra cada una delasactividades que se debenllevar a caboenestafasedeplaneacin:

Conformarelequipodetrabajoconrolesyresponsabilidadesdefinidas. ConformarelComitdirectivodelproyectoconrolesyresponsabilidades definidasqueayudenadirimirconflictos,atomardecisionesyaapoyar elproyecto.

Divulgar la metodologa utilizada para hacer el anlisis y valoracin de riesgosenproyectosdetecnologadeinformacinalosparticipantespor partedelaDireccindeInformticaCorporativa.

Analizarlosajustesy mejorasrequeridasenlametodologadeacuerdo conloscambiosquehayansurgidoenlossistemasdeinformacinylos ambientestecnolgicos.

Recolectarlainformacinnecesariarelacionadaconlasactividadesdela metodologa teniendo en cuenta los controles que se implementan y buscanmejorarelescenariodelriesgoydisminuirsuimpacto.

Aplicar la metodologa teniendo en cuenta los ajustes y mejoras que hayansidorequeridasyquefueronelresultadodelanlisisdelamisma.

ESTABLECIMIENTODELA L OGSTICADEA DMINISTRACIN

Enestafasesebuscalanzarelproyectoconelfindequelaaltagerenciaylas reasalascualesselesvaahacereltrabajoloconozcan,apoyen,participeny secomprometanconejecucinydesarrollohastaelfinal.

El siguiente mapa muestra cada una delasactividades que se debenllevar a caboenestafasedeIniciacin:

6 .S o lic itu d d e R e q u e rim ie n to s d e in fo rm a c i n .

CONOCIMIENTODELNEGOCIO Elequiposedebehacerunaideageneraldelnegocio,losprocesosenlosque serealizareltrabajo,lainfraestructuradeTI,instalacionesetc.

FASE 3: GESTINDELRIESGO Estafaseestdestinadaaidentificar,evaluar,valorarycontrolarlosriesgos,la frecuenciayseveridadconquesepuedenpresentaryelgradodeaceptabilidad quetendraelproyectoolaorganizacinsiocurrieradichoriesgoevaluado.