Artculo

Mukul Pareek, CISA, ACA,

AICWA, PRM, es especialista
en riesgos y trabaja en Nueva
York, EE.UU. Cuenta con ms
de 20 aos de experiencia
en la prestacin de servicios
industriales y financieros.
Es uno de los editores del
Index of Cyber Security,
www.CyberSecurityIndex.org,
y como tal invita a todos los
profesionales del sector a
enviar comentarios, informacin
y opiniones sobre la medicin
cuantitativa del riesgo
tecnolgico. Toda persona
interesada puede enviarle un
mensaje a mp@pareek.org.

Tiene algo
que decir
acerca de
esteartculo?
Para dar su opinin,
visite la seccin Journal
del sitio web de ISACA
(www.isaca.org/journal),
ubique el artculo y
seleccione la pestaa
Comentarios.
Ir directamente al artculo:

ISACA JOURNAL VOLUMEN 6, 2011

Medicin y elaboracin de informes

deriesgos tecnolgicos
Hoy resulta difcil pensar en los riesgos operacionales
sin relacionarlos con los riesgos tecnolgicos. La actual
proliferacin de aplicaciones basadas en flujos de
trabajo, notificaciones activadas por el sistema y bases
de datos con "front ends" de pginas web hace que sea
imposible distinguir un proceso operacional del sistema
en que se ejecuta. Toda falla en el proceso de creacin
de un evento de prdida conducir, casi sin excepcin,
a la identificacin de un control tecnolgico que no fue
diseado correctamente o no funcion. Por ejemplo,
cuando en Barings1 y SocGen2, entre otras compaas,
se produjo una serie de incidentes que tuvieron amplia
difusin, se comprob que uno de los principales
factores que causaron esos hechos era el acceso
inadecuado a los sistemas.
Esta expansin de los riesgos atribuibles a la
tecnologa ha afectado considerablemente el trabajo
del gestor de riesgos tecnolgicos, que ya no solo
tiene la responsabilidad de garantizar la seguridad de
la informacin y la proteccin de los datos, sino que
adems es "invitado" a participar en innumerables
discusiones relacionadas con los procesos de negocios,
a fin de analizar los controles de acceso, la segregacin
de funciones, las jerarquas de aprobacin, las
notificaciones y el envo automtico de comunicaciones
a clientes, proveedores y personal con derechos de
acceso a informacin reservada. En consecuencia, el
riesgo tecnolgico ha cobrado tal relevancia como
fuente de riesgo que muchas veces se le destinan
departamentos especiales y presupuestos superiores,
incluso, al que se invierte en la funcin central de riesgo
operacional.
No obstante, si se le compara con los riesgos
crediticios y de mercado, se puede afirmar que las
operaciones de clculo, medicin y elaboracin de
informes de riesgos tecnolgicos siguen integrando
una disciplina poco desarrollada. Las herramientas
de medicin de riesgo a las que hoy puede acceder
un gestor de riesgos tecnolgicos no son ms que un
conjunto rudimentario de indicadores direccionales
de riesgo. La medicin y comunicacin de riesgos
tecnolgicos sigue siendo un arte y an est lejos
de convertirse en una disciplina cientfica. Las
herramientas disponibles (matrices de riesgos y
controles con distintos niveles de granularidad; paneles
con indicadores de color rojo, mbar y verde; mapas de
riesgos; cuadrantes y dems elementos similares para la
realizacin de mediciones no cuantitativas del riesgo)
no se aproximan al nivel de sofisticacin que poseen las
herramientas empleadas por los especialistas en riesgos
crediticios y de mercado.
El presente artculo procura identificar opciones
ms eficaces para la comunicacin del riesgo,

estableciendo paralelismos con las disciplinas

vinculadas a la gestin de riesgos crediticios y de
mercado, que han alcanzado un nivel de desarrollo
superior. Por consiguiente, el riesgo tecnolgico ser
considerado en este contexto como un importante
subgrupo de la categora general de riesgo operacional.
En este artculo, se revisar la eficacia que poseen
actualmente los procesos de medicin y cuantificacin
de los riesgos crediticios y de mercado, y se realizar un
breve anlisis de la aplicacin del marco de Basilea en
la creacin de modelos de riesgo operacional.
COMPARACIN DE LOS RIESGOS CREDITICIOS Y DE MERCADO
CON LOS RIESGOS TECNOLGICOS
Es importante reconocer las diferencias entre el riesgo
financiero y el riesgo tecnolgico Esto es fundamental,
porque estas diferencias bsicas son las que impiden
que la medicin del riesgo tecnolgico se realice con la
misma objetividad con que se mide el riesgo financiero.
A continuacin se describen las principales diferencias:
Primas por riesgo: los inversionistas cobran primas a
modo de estmulo por la realizacin de operaciones
que conllevan un riesgo crediticio o de mercado.
En cambio, la nica compensacin obtenida por
quienes asumen un riesgo tecnolgico es el hecho
de haber evitado algn inconveniente desconocido
(y el costo que supondra el control de ese riesgo).
Cuando un gestor de fondos realiza una inversin
riesgosa y obtiene un rendimiento superior al ndice
de referencia, tanto el personal directivo de las
empresas como los medios de comunicacin pueden
comprender fcilmente esta operacin. A un gestor de
riesgos de TI, en cambio, le costar mucho explicar
de manera convincente qu riesgo se ha controlado y
qu beneficio se ha obtenido con una inversin de dos
millones de dlares en medidas destinadas a preservar
la seguridad de la informacin.
Importancia relativa: en el sector de los servicios
financieros, los riesgos crediticios y de mercado
son un factor predominante. Estas clases de riesgos
pueden motivar el cierre de una institucin. Los
eventos que suponen un riesgo operacional o un
riesgo para los sistemas pueden perjudicar a una
empresa, pero es poco probable que se conviertan en
causa de cierre, excepto en casos extremos.
Disponibilidad de medidas de proteccin: la mayora
de los riesgos crediticios y de mercado se pueden
compensar mediante la adquisicin de posiciones
en otros valores. La nica medida de proteccin
contra los riesgos tecnolgicos, en cambio, es la
implementacin de controles internos (aunque ahora
se puede disponer de un seguro que ofrece cobertura
en casos muy puntuales).

Le gusta este artculo?

Lea IT Control Objectives for Basel II.

www.isaca.org/research
Conozca Risk IT.

www.isaca.org/riskit
A cceda al Centro de Conocimiento (Knowledge
Center) para obtener ms informacin sobre
gestin de y aseguramiento de riesgos.

www.isaca.org/knowledgecenter
Medicin: los riesgos crediticios y de mercado se pueden medir e
informar mediante indicaciones de valor en riesgo (VaR, "value at
risk")3, definicin de lmites y otras herramientas cuantitativas. No
obstante, resulta difcil medir el riesgo tecnolgico. A la mayora
de los gestores de riesgo les cuesta mucho incorporar nuevas
herramientas que vayan ms all que el uso de los indicadores
subjetivos de color rojo, mbar y verde, y sus equivalentes.
Fungibilidad: en los mercados financieros, los activos son idnticos,
conllevan el mismo riesgo y requieren las mismas medidas de
proteccin. Por otro lado, a cualquier compaa le resultar difcil
proteger un recurso tecnolgico en particular (por ejemplo, los
routers de la empresa) contra un riesgo determinado, dado que,
en general, ningn riesgo puede afectar simultneamente a todos
los activos de esa misma clase, sino solo a una parte. El contraste
con los riesgos financieros se puede ilustrar mediante el siguiente
ejemplo: cuando se devala una moneda, todos los inversionistas
que la utilizan se ven afectados, no solo algunos. En el campo del
riesgo tecnolgico, la materializacin de un riesgo se determina de
forma binaria, ya que depende de que se produzca o no un evento
adverso.
A pesar de las diferencias mencionadas, los riesgos operacionales
y tecnolgicos tienen muchos elementos en comn con los riesgos
crediticios y de mercado. En la siguiente seccin se analizar la
medicin y elaboracin de informes de riesgos en funcin de las
distintas clases de riesgo (operacional, crediticio y de mercado), con
la finalidad de identificar los elementos comunes y las oportunidades
de incorporar nuevos conocimientos a la medicin y presentacin de
informes de riesgos tecnolgicos.
PARALELISMOS ENTRE LOS RIESGOS DE MERCADO, CREDITICIOS Y
OPERACIONALES
Los gestores de riesgos financieros clasifican a los riesgos en tres
categoras generales: riesgos de mercado, riesgos crediticios y riesgos
operacionales. De los clculos de riesgo efectuados en el marco

de cada una de estas categoras dependen el capital regulatorio y

el capital econmico, y las empresas toman estos clculos como
referencia para administrar su capital en funcin de los riesgos
que estn dispuestas a asumir y, como corolario, de la calificacin
crediticia que deseen obtener a partir de la evaluacin de las entidades
calificadoras de riesgo.
Riesgo de mercado
El riesgo de mercado est vinculado con la posibilidad de que se
produzcan prdidas por las fluctuaciones de los precios del mercado.
En esta categora se incluyen los riesgos de prdidas por variaciones
de precios en instrumentos financieros, tasas de cambio de divisas y
materias primas (commodities). Para calcular el riesgo de mercado, es
necesario conocer, bsicamente, los datos de posicin y precios. Con
esta informacin, es posible calcular las correlaciones, la volatilidad
y el nmero del VaR. A primera vista, las diferencias entre el riesgo
tecnolgico y el riesgo de mercado parecen ser tan grandes que
resultara sumamente difcil establecer cualquier paralelismo.
Una de las principales diferencias entre ambas clases de riesgo est
relacionada con los niveles de confianza. Cuando se evala el riesgo
de mercado, se suele formular una pregunta en trminos de intervalos
de confianza: cul es la peor prdida que se podra producir
con un nivel de confianza de, por ejemplo, el 95 por ciento? Para
responderla, es necesario calcular la distribucin de probabilidad de
todos los posibles resultados y observar luego el resultado obtenido en
el percentil 5 (lmite inferior). Por otro lado, la pregunta que se suele
formular al gestor de riesgos tecnolgicos tiene que ver con el peor
escenario posible. Quizs deberamos comenzar a evaluar el riesgo
tecnolgico en funcin de intervalos de confianza. Es decir, en lugar
de centrarnos en el peor resultado posible y dejar que la discusin
se desve hacia el anlisis de escenarios que el personal directivo de
la empresa considera improbables, es importante plantear hiptesis
plausibles que tengan un determinado nivel de confianza.
Por ejemplo, si se determina que la probabilidad de perder una
o varias computadoras porttiles en un ao es del 1 por ciento,
podramos afirmar que existe un nivel de confianza del 95 por ciento
de que no perderemos ninguna. A un nivel de confianza del 99 por
ciento, sin embargo, seguira existiendo la probabilidad de que se
perdiera una o varias computadoras. Si el personal directivo de una
compaa quisiera mantener un nivel de confianza del 99 por ciento
para reducir ese riesgo, podra tomar la decisin de encriptar las
computadoras porttiles para mitigarlo. El nivel de confianza refleja,
esencialmente, los riesgos que el personal directivo est dispuesto a
correr, es decir su apetito de riesgo.
Riesgo crediticio
El riesgo crediticio es la posibilidad de sufrir prdidas de
activos debido a una reduccin en la calificacin crediticia o al
incumplimiento de pago por parte de los deudores de la compaa.
Por lo general, esta clase de riesgos se aplica a prstamos, bonos
y exposiciones de contrapartes por posiciones de derivados.
Curiosamente, aunque existen numerosos modelos para medir
ISACA JOURNAL VOLUMEN 6, 2011

elriesgo crediticio en el nivel de la cartera, tambin se estn

adoptando enfoques de carcter distributivo, en los que se calcula la
distribucin de las prdidas esperadas y el riesgo se mide en trminos
de niveles de confianza en un horizonte temporal determinado
(que en general comprende un ao). Las prdidas esperadas son el
producto de la exposicin al riesgo crediticio (EAD, Exposure At
Default), es decir, de la suma que una contraparte adeuda; de las
probabilidades de incumplimiento (PD, Probabilities of Default);
y de la prdida en caso de incumplimiento (LGD, Loss Given
Default), que da cuenta de las recuperaciones parciales. El clculo de
las prdidas esperadas se realiza en funcin de estas tres variables: es
decir, la prdida esperada es igual a EAD @ PD @ LGD.
En el mbito de los riesgos tecnolgicos, la PD es la probabilidad
de que se materialice un riesgo, y la LGD representa la prdida
resultante en caso de producirse el incidente. La exposicin al riesgo
tecnolgico se podra medir empleando un procedimiento un tanto
diferente y novedoso:
1. Exposicin: en el mbito del riesgo crediticio y de mercado, la
exposicin se mide en funcin del tamao de las posiciones, del
tamao de la cartera o de la suma monetaria de la exposicin. El
riesgo tecnolgico no puede medirse de esta manera, pero no por
eso deja de ser mensurable. Los especialistas en riesgo tecnolgico
suelen ser reacios a realizar todo tipo de suposiciones, dado que, en
general, prefieren manejar datos precisos.
En este sentido sera muy til un cambio de mentalidad, algo
que puede lograrse ms fcilmente si examinamos las disciplinas
relacionadas con la gestin de riesgos crediticios y de mercado,
que han alcanzado un desarrollo superior. La medicin de esta
clase de riesgos se basa en innumerables supuestos y modelos.
Estos supuestos resultan aceptables tanto para el personal
directivo de una empresa como para las autoridades reguladoras
y los bancos centrales. Por ejemplo, para evaluar los valores de
escaso movimiento en el mercado, muchas veces es necesario
emplear modelos basados en supuestos. La exposicin al riesgo
crediticio de un contrato de derivados financieros solo puede
determinarse mediante el clculo de la distribucin de los valores
que podra adquirir en el futuro, y estas estimaciones se apoyan
en una gran cantidad de supuestos. Asimismo, el clculo de la
probabilidad de que un emisor incurra en incumplimiento depende
fundamentalmente de la calificacin de riesgos y no contempla las
caractersticas particulares de cada emisor en materia de capacidad
financiera. El clculo de la recuperacin en caso de incumplimiento
tambin se basa en supuestos, teniendo en cuenta las incontables
variaciones producidas en funcin del ciclo de negocio y del sector.
En otras palabras, las estimaciones y los supuestos pueden ofrecer
una base aceptable para la medicin de riesgos, siempre y cuando
se disponga de un marco conceptual adecuado.
Si aplicamos la misma analoga al riesgo tecnolgico, podramos
arribar a distintas conclusiones respecto de la clase de exposicin a

ISACA JOURNAL VOLUMEN 6, 2011

la que se enfrentan los gestores de riesgos tecnolgicos. Los riesgos

tecnolgicos pueden clasificarse, a grandes rasgos, en las siguientes
categoras:
Filtracin de informacin que genera prdidas econmicas y
perjuicios a la reputacin.
Riesgo de continuidad del negocio por fallas en los sistemas y
procesos.
Ataques externos a la infraestructura, que pueden producir fallas
en el funcionamiento de los sistemas o prdida de datos.
Deficiencias en los procesos y flujos de trabajo que producen
sistemas vulnerables a fraudes, robos o filtracin de datos.
La ltima categora es particularmente amplia, ya que abarca
innumerables posibilidades. Por citar un ejemplo, podramos
imaginar un sistema con graves deficiencias en su diseo, que no
fuera capaz de impedir la prdida de datos o el fraude informtico
por carecer de los controles adecuados. Esto incluye elementos
como la segregacin de funciones en los procesos de negocios y los
controles generales de la TI, destinados a evitar esta clase de riesgos.
El siguiente paso consiste en determinar el grado de exposicin de
una empresa a cada uno de los factores de riesgo mencionados.
En cuanto a los riesgos crediticios y de mercado, las exposiciones
se miden en trminos monetarios o por el valor de los parmetros
(denominados beta) que indican la vulnerabilidad de la cartera
a los factores de riesgo subyacentes. El desafo que se plantea a
la hora de medir el nivel de exposicin a los riesgos tecnolgicos
radica en la posibilidad de que no exista ningn procedimiento
normalizado para realizar la medicin y elaborar informes de
cada tipo de exposicin. No obstante, cubrir este vaco en el nivel
de la empresa no debera ser una tarea demasiado compleja. De
hecho, podra ser un ejercicio positivo, ya que la empresa tendra la
oportunidad de definir las unidades que le resulten ms adecuadas
para medir la exposicin a un riesgo.
La medicin de la exposicin podra incluir la cantidad de registros
de datos vulnerables, la cantidad de aplicaciones crticas que estn
expuestas a Internet, la cantidad de cuentas de correo electrnico
corporativas y la cantidad de servidores que alojan aplicaciones
crticas.
Por lo tanto, la exposicin a los riesgos tecnolgicos debera
medirse en funcin de los factores determinantes de esos riesgos,
y estar expresada en nmeros o en la unidad que mejor refleje
la magnitud de cada riesgo. Al analizar el riesgo crediticio y el
riesgo de mercado, el profesional cuenta con una gran ventaja,
ya que puede medir todos los niveles de exposicin en trminos
monetarios. Al medir la exposicin a los riesgos tecnolgicos, en
cambio, este procedimiento no siempre resulta conveniente, dado
que puede ocultar la verdadera naturaleza del riesgo.

2. Tasa de error del control (o probabilidad de incumplimiento,

cuando se trata de un riesgo crediticio): el grado de exposicin
es, efectivamente, el nivel de riesgo que enfrenta una compaa
cuando no se aplica ningn tipo de control. Esta exposicin debe
compensarse con la aplicacin eficaz de controles que estn
correctamente diseados. En el mbito de los riesgos crediticios, la
exposicin se compensa con factores atenuantes, como las garantas
o prendas. Asimismo, para los especialistas en riesgos tecnolgicos,
la exposicin se compensa mediante la existencia de controles
eficientes. Por ejemplo, una empresa puede tener una gran cantidad
de servidores conectados directamente a Internet, lo que genera
una exposicin al riesgo de ataque por ese medio. La presencia de
un sistema de deteccin de intrusiones (IDS) adecuado, as como
de otros controles, puede invalidar ese riesgo con gran eficacia, y en
ese caso el riesgo residual, o la exposicin neta, podra reducirse a
cero, si se tienen en cuenta los controles introducidos. La pregunta
que surge al examinar este tema est relacionada con la medicin
de la eficacia de los controles: cmo se puede convertir la eficacia
en una tasa de error? Una vez ms, las tcnicas de auditora
basada en riesgos, que tienen una probada eficacia, y el anlisis
de muestras ofrecen una respuesta plausible. El anlisis de una
muestra seleccionada aleatoriamente arrojar una tasa de error
esperada para la poblacin total (la precisin del clculo depende
del tamao de la muestra, y este depender, a su vez, del nivel de
confianza que se desee obtener en la tasa de error). Si se conoce
la tasa de error de un control en particular, se podr calcular el
parmetro real de la poblacin. Por ejemplo, si se estima que el
control no lograr impedir ni detectar una determinada falla en el
proceso cada 50 transacciones, el parmetro real de la poblacin
ser del 2 por ciento. Una vez obtenido el grado de exposicin y la
tasa de error, se puede determinar la frecuencia de falla del control
en un perodo determinado.
3. Prdida en caso de fallas en los controles (vinculada a la
prdida en caso de incumplimiento en el contexto de los riesgos
crediticios): podramos habernos detenido en el punto anterior.
Pero tambin podemos avanzar un poco ms y determinar la
prdida en caso de falla en los controles. Debemos tener en cuenta
que no todos los controles generarn alguna prdida.
El siguiente ejemplo nos permitir ilustrar lo que hemos analizado
en esta seccin. Supongamos que una compaa est expuesta a la
prdida de informacin confidencial a travs del sistema de correo
electrnico corporativo, y que el sistema de vigilancia de correo
electrnico basado en reglas que utiliza la compaa puede bloquear
eficazmente el 90 por ciento de los mensajes enviados con esa clase
de informacin. El grado de exposicin de la compaa equivale, en
este caso, a la cantidad de mensajes de correo electrnico que podran
contener informacin de carcter reservado y no son bloqueados por
el sistema de correo electrnico. Supongamos entonces que, si se
vulnerara alguno de los mensajes que no estn sujetos al control de
la compaa, sta podra sufrir prdidas por la suma de US$100,000.

Sin embargo, no todos los mensajes que exceden los controles del
sistema se envan en forma malintencionada (es posible que la
mayora de esos mensajes no sean vulnerados aunque salgan del
permetro de proteccin de la empresa), y es probable que la tasa
de mensajes enviados en forma malintencionada represente un 0,01
por ciento de los mensajes salientes. En este punto, se puede calcular
la prdida esperada (cantidad bruta de mensajes filtrados @ 0.01
por ciento @ US$100,000) y la prdida real en distintos niveles
de confianza, para obtener un valor similar al VaR (por ejemplo,
utilizando como base la distribucin de Poisson, que requiere un solo
parmetro: el promedio que acabamos de calcular). Sobre la base
de esta informacin, se puede persuadir al personal directivo de que
mejore la eficacia del sistema de vigilancia del correo electrnico
(elevando el nivel de "sensibilidad" del sistema lo cual incrementar
la cantidad de falsos positivos, algo que demandar tiempo y dinero)
hasta alcanzar un nivel en que el personal directivo desee mantener
elriesgo residual.
Riesgo operacional
El riesgo operacional es el riesgo de prdida generado por accin de
procesos, personal y sistemas internos inadecuados o inoperantes, o
bien por eventos externos. (En el presente artculo, se considera que
el riesgo que afecta la reputacin de una empresa corresponde a la
categora de riesgos operacionales, aunque el marco de Basilea que se
aplica a instituciones financieras lo excluya expresamente.) Como se
afirm anteriormente, el riesgo tecnolgico es un componente clave
del riesgo operacional.
Una de las crticas que se suele hacer en relacin con la gestin
de riesgos operacionales es que emplea un enfoque verticalista, al
que se considera desconectado de la realidad cotidiana del proceso
de gestin de riesgos tecnolgicos. Se argumenta que est centrado
en el clculo de nmeros para la adecuacin de capital para satisfacer
las exigencias de las entidades reguladoras y del personal directivo,
y que no ayuda a identificar las medidas que realmente se debera
adoptar para abordar un riesgo. Sin embargo, los especialistas en
riesgos operacionales utilizan una herramienta fundamental: el
anlisis de escenarios, que permite calcular la frecuencia y el impacto
de las prdidas y que, al mismo tiempo, logra atraer la atencin de los
gerentes respecto de la importancia de la gestin de riesgos, mediante
la participacin en ejercicios de anlisis de escenarios.
El marco de Basilea exige la implementacin genrica de la tcnica
de medicin avanzada (AMA, advanced measurement approach).
Un modelo genrico para un plan de control de riesgo operacional
(figura1) funciona de la siguiente manera:
Los riesgos operacionales se definen como el producto de la
frecuencia y severidad de los eventos de prdida:
L
 a frecuencia es la cantidad de eventos de prdida producidos
durante un perodo dado.
L
 a severidad es el impacto que tiene un evento en funcin de la
prdida materializada.
ISACA JOURNAL VOLUMEN 6, 2011

Figura 1: Planificacin de prdidas por riesgos operacionales

Distribucin de
Poisson para la
frecuencia de
las prdidas

Distribucin lognormal
para la severidad
de las prdidas
X

Riesgo operacional
resultante
Distribucin
de prdidas
=

5%
VaR en nivel de
confianza del 95%

Frecuencia programada; la frecuencia de las prdidas se planifica

mediante una tcnica de distribucin adecuada (por lo general,
la distribucin binomial o de Poisson). Estas distribuciones solo
requieren un par de parmetros (incluso es posible emplear uno
solo), que se pueden calcular del siguiente modo:
Frecuencia de prdida esperada = Probabilidad de prdida @
Cantidad de eventos, Transacciones, etc.
Ejemplo: Supongamos que la probabilidad de fraude con
tarjeta de crdito representa el 0.01 por ciento del total de
las transacciones realizadas con ese medio de pago, y que la
cantidad de transacciones previstas en el horizonte temporal de
las prdidas es 1,000,000. En tal caso, la frecuencia de prdida
esperada, o l, es igual a 0.01 por ciento @ 1,000,000 = 100.
Partiendo de algunos supuestos, podemos obtener
una distribucin de la frecuencia.
Modelado de la Severidad; la severidad de las prdidas se mide
mediante la tcnica de distribucin lognormal, y se utilizan sesiones
grupales (tipo "focus group"), discusiones de hiptesis, etc., para
determinar una media y una varianza ( y s).
El producto de los dos clculos se obtiene con el mtodo de
simulacin de Monte Carlo: se toma un valor aleatorio de la
distribucin de la frecuencia y otro de la distribucin de la
severidad, se les multiplica y se obtiene un punto de datos.
Repitaeste ejercicio varias veces hasta obtener la cantidad
necesariade puntos de datos para crear una distribucin de
prdidas.
La prdida se calcula en el percentil quinto o primero, segn el
nivelde confianza deseado.
CONCLUSIONES PARA LA ELABORACIN DE INFORMES DE RIESGOS
TECNOLGICOS
En el anlisis anterior procuramos examinar con atencin las
herramientas que los gestores de riesgos utilizan en el mbito
financiero, dado que estas herramientas tienen mucho para ofrecer
al gestor de riesgos tecnolgicos. A continuacin mencionaremos las
claves que se deben recordar:
1. Piense en trminos de niveles de confianza y probabilidades de
materializacin de un riesgo.

ISACA JOURNAL VOLUMEN 6, 2011

2. N
 o intente comunicar sus conclusiones respecto de los riesgos
partiendo del peor de los casos; mencinelo, pero no como nica
alternativa.
3. D
 efina el nivel de riesgo admisible Con qu probabilidad
estara dispuesta la compaa o su personal directivo a admitir
la materializacin de un riesgo determinado? Planifique la
implementacin de controles que prevean la materializacin del
riesgo en funcin de esta probabilidad.
4. A
 clare y defina las exposiciones a riesgos y los factores
determinantes en trminos numricos.
5. E
 vale los controles supervisando las tasas de error (tanto las que
se calculen empricamente como las que se obtengan mediante
anlisis de muestras). Realice un seguimiento de estas tasas a travs
del tiempo.
6. Utilice los anlisis de escenarios no solo para descubrir o cuantificar
riesgos, sino tambin como recurso para educar a los gerentes
respecto de los posibles riesgos.
7. R
 ealice suposiciones utilizando su propio criterio para cubrir
la falta de datos al medir y elaborar informes de riesgos, pero
identifique claramente las reas en las que falta informacin.
8. S
 i las suposiciones no coinciden con las observaciones posteriores,
corrija los supuestos todas las veces que haga falta.
9. P
 rocure realizar una distribucin de prdidas para determinar las
prdidas por riesgos tecnolgicos en distintos niveles de confianza
ymejorar los resultados obtenidos con el transcurso del tiempo.
10. Aporte sus propias conclusiones en materia de exposicin a
riesgos a partir de la observacin de las prdidas producidas en
otras compaas del sector.
11. Por ltimo, cuando deba comunicar sus conclusiones sobre los
riesgos observados, emplee un vocabulario llano, sin trminos
especializados; procure alcanzar un nivel de precisin razonable
en lugar de aspirar a la precisin absoluta; adopte una visin ms
amplia; y propicie el dilogo y el intercambio de opiniones.
Si bien es indudable que la medicin de riesgos tecnolgicos
evolucionar con el tiempo, es indispensable que el gestor de riesgos
tecnolgicos est atento a las tcnicas empleadas para medir el riesgo
en otras disciplinas relacionadas y, en la medida de lo posible, que
incorpore una o dos herramientas que puedan contribuir para que
esta actividad se transforme en una ciencia, sin dejar de ser un arte.

REFERENCIAS
Comit de Basilea para la Supervisin, Basel II: International
Convergence of Capital Measurement and Capital Standards:
ARevised FrameworkComprehensive Version
Hull, John C.; Options, Futures and Other Derivatives,
PrenticeHall,2005
Index of Cyber Security, www.CyberSecurityIndex.org
Apostillas
1
Banco de Inglaterra, Report of the Board of Banking Supervision
Inquiry Into the Circumstances of the Collapse of Barings, 18 de
julio de 1995. El informe identific diversos factores que condujeron
a Barings a la quiebra. Uno de los principales fue que nose
segregaron las funciones de Nick Leeson, quien pudo introducir
yaprobar transacciones y conciliaciones sin supervisin.
2
Societe Generale, Resumen de la orden judicial,
www.societegenerale.com/sites/default/files/documents/
Summary_of_the_committal_order.pdf. En enero de 2008,
SocieteGenerale, uno de los dos bancos ms importantes de
Francia, anunci que Jerome Kerviel, operador de una mesa de
valores, haba realizado operaciones fraudulentas con dinero del
banco, generando prdidas por una suma de US$7,100 millones.
El fraude pudo concretarse sin nadie lo descubriera porque Kerviel
no solo era responsable de realizar operaciones comerciales
para el banco por el cargo que ocupaba, sino que tambin tena
responsabilidades incompatibles con esa funcin, ya que se
encargaba de asentar las operaciones en los libros. Para ocultar estos
delitos, Kerviel realizaba negocios ficticios, que luego cancelaba
e incluso eliminaba de la base de datos electrnica del banco: una
clara muestra de las consecuencias que puede tener la asignacin
inadecuada de derechos de acceso a los sistemas.
3
El valor en riesgo es un parmetro que se utiliza con mucha
frecuencia para medir los riesgos, especialmente los de mercado.
En ese contexto, lo que se debe determinar es la distribucin futura
de los rendimientos o del valor de las carteras. La distribucin
de los futuros rendimientos o valores no es ms que la lista de
todos los resultados posibles para una cartera de valores en un
horizonte temporal dado (que generalmente comprende dos
semanas). El VaRindica, simplemente, la prdida calculada en el
nivel del percentil 5. Es la respuesta a la siguiente pregunta: En un
determinado nivel de confianza, y durante un determinado perodo
(y conforme a los supuestos relacionados con las volatilidades, las
correlaciones y las distribuciones), qu prdidas podran producirse
en un horizonte temporal determinado sin exceder el nivel de

confianza establecido? Un nmero de VaR expresado con un nivel

de confianza del 99 por ciento indica una probabilidad del 1 por
ciento (lo que equivale a dos o tres das al ao) de que se exceda
este clculo. El VaR no ofrece una respuesta a la pregunta sobre
las prdidas en el peor de los escenarios, pero permite aplicar un
enfoque distributivo a la medicin de riesgos en un determinado
nivel de probabilidad. Una vez que se conoce la distribucin, se sabe
todo lo que hay que saber sobre un riesgo; al menos, en teora. Dado
que muchas veces se asume que la distribucin es normal, el VaR
acaba convirtindose en un mltiplo de la desviacin estndar.

BECOME AN
ISACA VOLUNTEER

www.isaca.org/volunteer

I developed friendships that will last a lifetime.

Todd Weinmon, on volunteering at ISACA.

ISACA JOURNAL VOLUMEN 6, 2011