El papel de la tecnología en la gestión del riesgo empresarial

Se espera que el nuevo documento marco de referencia de COSO ERM, Gestión de Riesgo Empresarial—Integración con Estrategia y Desempeño,¹ tenga un nivel de influencia global similar al Control interno—Marco de referencia integrado.² El marco de referencia de ERM está diseñado para proporcionar expectativas razonables para que la entidad que lo adopte entienda y gestione todo tipo de riesgos asociados con la estrategia de negocio y los objetivos de desempeño. Proporciona una base sólida para integrar la gestión de todos los tipos de riesgo. La innovación tecnológica es reconocida como un habilitador clave para soportar las decisiones estratégicas y es un ejemplo de un objetivo estratégico de negocio. El riesgo tecnológico es uno de los muchos ejemplos de riesgo empresarial que el documento utiliza para ilustrar el marco de referencia de ERM.

Marco de referencia de Sinergias

Al igual que COBIT 5, el marco de referencia COSO ERM está basado en principios y enfatiza que los planes estratégicos que soportan la misión y visión de una organización deben ser respaldados con elementos de gobierno, medición del desempeño y control interno. Describe cómo los gerentes de riesgos en todas las profesiones sopesan la probabilidad de que las actividades impulsadas por una estrategia dada puedan resultar en eventos futuros previsibles que afecten la misión de una entidad. También como COBIT 5, el marco de referencia COSO ERM aboga por una mejora continua del proceso que depende en gran medida de las estructuras de gobernanza para ayudar a enmarcar las decisiones.

Los principios del marco de referencia ERM funcionan como sistemas de circuito cerrado. Aunque la lista específica de principios difiere, ambos marcos se refieren al establecimiento de objetivos, la priorización de riesgos, el apalancamiento del sistema de información, el monitoreo y la generación de reportes. Tal como lo describe la cascada de objetivos de COBIT 5 (figura 1), algunos componentes de ERM deben ser establecidos en orden de cascada para proporcionar objetivos a otros, pero, una vez establecidos, no hay un orden secuencial prescrito para la operación continua de las actividades de gestión de riesgos. Tal como lo describe el flujo de información de COBIT 5 (figura 2), los procesos ocurren simultáneamente y dependen de la información compartida para formar un enfoque holístico de la gestión del riesgo. En un nivel más específico (granular), los principios también son conocidos para los profesionales de ciberseguridad que están familiarizados con prevenir-detectar-recuperar, observar-orientar-decidir-actuar y el ciclo identificar-proteger-detectar-responder-recuperar del Marco de Ciberseguridad del Instituto Nacional de Estados Unidos de Estándares y Tecnología. Todos estos tienen componentes que se basan en objetivos y estrategias similares y se espera que se ejecuten simultáneamente y se apoyen entre sí.

El diagrama correspondiente al marco de referencia COSO ERM aparece en la figura 3. Al igual que en la cascada de objetivos de COBIT 5, la estrategia se desprende de los valores de las partes interesadas, y los objetivos relacionados con los negocios y las metas de desempeño se derivan de los objetivos de la empresa. Al igual que en el flujo de información COBIT 5, la información fluye de las partes interesadas a los gobernadores, a la gestión, a los habilitadores y viceversa. Es importante que los profesionales de tecnología entiendan que los componentes del marco de referencia ERM no son solo ejercicios de papel, sino que son marcos de trabajo a nivel empresarial que pueden aprovecharse para dar un marco a las decisiones en apoyo de los objetivos de gestión de riesgos tecnológicos. Particularmente en las dimensiones de gobernanza, estrategia y reportería, si el riesgo tecnológico se gestiona independientemente del ERM, es probable que no reciba apoyo de arriba hacia abajo con recursos de gestión de riesgos profesionales.

La clave para el diseño e implementación efectiva de un marco de gestión de riesgos tecnológicos es identificar que los componentes del marco de referencia ERM se entienden a nivel de la alta gerencia y se aprovechan las fortalezas del programa de ERM dentro de la organización para apoyar la gestión de riesgos tecnológicos. Por supuesto, siempre se ha orientado a los profesionales de tecnología que involucren a la alta dirección para abordar el riesgo tecnológico. La diferencia en esta versión de la guía de COSO es que cada vez es más obvio que los profesionales de ERM tienen la obligación profesional de conocer a profesionales de la tecnología y no solo quedarse a mitad de camino. Aunque en el pasado los profesionales de riesgo de tecnología parecían considerar que las actividades de ERM de alto nivel dentro de su organización daban por hecho la gestión del riesgo tecnológico, este escenario ha cambiado y está evolucionando rápidamente. Las amenazas de ciberseguridad y otras preocupaciones tecnológicas disruptivas están entre lo más importante para los miembros de la alta gerencia de hoy.³

En todas las grandes empresas, y en muchas medianas, ERM ha sido durante mucho tiempo un esfuerzo formal para garantizar que la misión, la visión y los principios básicos de la empresa sean la base de la planificación estratégica. Estas actividades impulsan la asignación de recursos y soportan la toma de decisiones, articulando claramente el tono en la parte superior. Sin embargo, la planificación de estrategias tecnológicas a menudo se origina con objetivos de menor nivel, como migraciones de infraestructura, estrategias de ubicación de personas, reducción de costos y reducción de tiempos de desarrollo. Estas no son metas estratégicas que caen en cascada directamente desde la misión y los valores de la empresa, y en ocasiones entran en conflicto con las actividades tecnológicas que apoyarían más directamente esos valores. Por ejemplo, una iniciativa de reducción de costos en la que las actividades de desarrollo se externalizan puede entrar en conflicto con un objetivo de simplificar la experiencia del cliente, ya que este último objetivo requerirá una estrecha colaboración entre los equipos de desarrollo en diferentes áreas comerciales. Reconociendo que las actividades de riesgo empresarial no siempre han sido particularmente transparentes para las partes interesadas, como tecnología, el marco COSO ERM comienza con una explicación detallada de las dinámicas subyacentes que se espera que ocurran entre la alta gerencia y la gerencia ejecutiva al definir un enfoque para ERM. Comienza con una definición de gestión de riesgos empresariales: “la cultura, las capacidades y las prácticas, integradas con las definiciones estratégicas y el desempeño, en que las organizaciones confían para gestionar los riesgos para crear, preservar y garantizar el valor”.⁴

Como la definición abarca varios conceptos complejos, cada concepto es descrito en el contexto de los desafíos inherentes a la gestión del riesgo a nivel empresarial. Muchos de estos desafíos también se describen en COBIT 5. La figura 4 especifica las secciones en ambos documentos que muestran cómo la definición de COSO ERM se relaciona con los principios clave de COBIT para la gobernanza y la gestión de la TI empresarial.^{5, 6}

Aunque ambos marcos de trabajo están basados en principios y parecen similares a un alto nivel, COSO ERM es un marco de referencia de nivel superior ya que abarca la consideración de todos los tipos de riesgo, incluido el riesgo tecnológico. Sin embargo, al igual que COBIT 5, enfatiza la importancia de la unidad de gestión a nivel de marco y enfatiza que alinear e integrar marcos de trabajo potencialmente separados es el camino más corto para mejorar el soporte a la toma decisiones.^{7, 8}

Como se muestra en la figura 3, el marco de referencia COSO ERM incluye 20 principios que se agrupan en cinco componentes:

1. Gobernanza y cultura
2. Estrategia y definición de objetivos
3. Desempeño
4. Seguimiento y revisión
5. Información, comunicación y reportes

Los principios de COBIT 5 no se corresponden con los principios de COSO ERM, sino que con el entorno tecnológico en el que operan los principios de ERM. Es decir, los principios de los componentes de ERM se encuentran en las profundidades de la definición y ejecución de COBIT 5 respecto en los problemas propiamente inherentes a la gestión de riesgos tecnológicos en el nivel habilitador de COBIT 5, más que a nivel del marco de referencia de COBIT 5.

Esto es particularmente cierto para el habilitador de procesos COBIT 5, que contiene la guía más descriptiva de COBIT 5, específica para la gestión de riesgos.⁹ COBIT 5 ofrece una guía más detallada para profesionales de la tecnología para la aplicación exitosa tanto del marco COBIT 5 como de los principios del marco de ERM. La Figura 5 especifica las secciones en ambos documentos que muestran cómo se relacionan los componentes y principios del marco de COSO con los habilitadores de COBIT 5.

Habilitador de Información de Riesgo

Las últimas cuatro filas de la figura 5 especifican las secciones en ambos documentos que muestran cómo se relacionan los principios de desempeño de COSO ERM con el habilitador de procesos COBIT 5 APO12 Gestión de Riesgos—Prácticas Claves. Muestra que, tanto en COSO ERM como en COBIT 5, existe la expectativa de que la gestión de riesgos depende de la recopilación de datos y el uso de esos datos en el análisis de riesgos, la articulación de riesgos y la clasificación de riesgos. Esto resalta la dependencia crítica o el ERM en la información de gestión de riesgos recopilada durante la ejecución de procesos de negocio. Por lo tanto, pone de relieve los sistemas de información de riesgos que dependen cada vez más de las herramientas de análisis de negocios para proporcionar reportes y calcular pérdidas potenciales basadas en modelos de riesgo.

A medida que los sistemas de análisis de negocios se han vuelto más populares y amplios, la recopilación de información a menudo ha estado en manos de analistas de riesgos, con el resultado de que la informática del usuario final se ha convertido en un modo de operación de facto en muchos departamentos de administración de riesgos. Incluso cuando sus motores analíticos de negocios se basan en servidores o utilizan software de análisis de big data, las bases de datos de información de riesgos a menudo están pobladas con hojas de cálculo descargadas por analistas de riesgos de una amplia variedad de sistemas dispares. Los analistas de riesgo a veces descargan datos sin índices y lidian con problemas de mapeo de registros al crear su propia tabla de traducción y fórmulas. Cuando existen varios sistemas de este tipo en la misma organización, es difícil agregar información en múltiples dominios de riesgo, y las herramientas de agregación a veces también dependen del mapeo. Esta situación es tan generalizada que el Banco de Pagos Internacionales (Bank of International Settlements) elaboró una guía específica sobre informes de agregación de riesgos.¹⁰ Esta dependencia crítica en la tecnología de la información se menciona en el marco COSO ERM. Es decir, el riesgo de que la tecnología que soporta ERM sea defectuosa se lleva al nivel más alto de conciencia del riesgo empresarial, estableciendo una condición para la integración de las capacidades de ERM como: “Al realizar las inversiones necesarias en tecnología u otra infraestructura, la administración considera las herramientas necesarias para habilitar actividades de gestión de riesgos empresariales”¹¹ (énfasis añadido).

La importancia estratégica de mantener los sistemas de análisis de negocios de manera correcta y efectiva finalmente está obteniendo la atención a nivel de alta gerencia que merece. Las estructuras de información utilizadas para representar a la empresa, sus unidades de negocio y estructura organizacional son componentes fundamentales de la arquitectura de información de gestión de riesgos, y la coherencia de dichas estructuras en los dominios de gestión de riesgos es esencial para completar un perfil correcto a nivel de empresa.

COBIT 5 aborda este problema de una manera general que es relevante para cualquier proceso de negocio en la publicación COBIT 5: Habilitación de la información.¹² Describe la información como una composición de dimensiones físicas, empíricas, semánticas y pragmáticas que deben articularse de forma transparente. Distingue los ciclos de vida de la información en fases para planificar, diseñar, construir/adquirir, usar/operar, monitorear y eliminar. Hace hincapié en la importancia de compensar los requerimientos de calidad y los objetivos correspondientes. El profesional de gestión de riesgos tecnológicos tiene la función especial de utilizar tales herramientas y técnicas para proteger la integridad de ese diseño de información y el proceso de recopilación de datos de todos los riesgos de información, no solo de aquellos relacionados con el riesgo tecnológico. Afortunadamente para una audiencia de gestión de riesgos tecnológicos, COBIT 5: Habilitación de la información utiliza un perfil de riesgo como ejemplo de un elemento de información y proporciona contenido de datos ilustrativos, roles y responsabilidades del ciclo de vida de la información y objetivos de calidad para el elemento de información de perfil de riesgo.¹³

Recomendaciones clave

Cuando la gestión de riesgos tecnológicos se alinea con las organizaciones de gestión de riesgos corporativos que llevan a cabo actividades de ERM a nivel de la alta gerencia, se puede esperar que los planes estratégicos de tecnología estén en línea con la misión, visión y principios centrales de la empresa. Los marcos COSO ERM y COBIT 5 representan una base de conocimiento compartido a través de una gran comunidad de profesionales que pueden utilizarse para crear esa alineación. Los profesionales de riesgo tecnológico y ciberseguridad y auditoría deben estar familiarizados con ambos marcos de trabajo y estar familiarizados con los puntos de integración entre ellos. Las recomendaciones clave de este resumen incluyen:

• La gestión eficaz de los riesgos tecnológicos requiere que el marco ERM abarque la tecnología.
• Como los profesionales de gestión de riesgos tecnológicos son especialistas en riesgos relacionados con la integridad y disponibilidad de la información, desempeñan un papel especial en ERM. Los procesos que utilizan para identificar, evaluar, cuantificar y monitorear el riesgo tecnológico se aplican no solo al riesgo en la categoría de tecnología o ciberseguridad, sino que deben diseñarse para soportar la integridad de la información utilizada por los administradores de riesgos en otros dominios de riesgo.
• Los profesionales de tecnología se encuentran en una posición única para identificar problemas relacionados con estrategias de agregación de riesgos y para soportar actividades de ERM con procesos del ciclo de vida de la información y objetivos de control de calidad.
• Cuando COSO ERM como COBIT 5 son utilizados explícitamente por una organización, tanto a los profesionales de riesgos empresariales como a los profesionales de tecnología se les debe educar sobre cómo se compatibilizan y por qué deben usarse juntos y no por separado.

Notas finales

¹ In 2014, ISACA and other similarly influential associations affiliated with other risk-management- related professions were invited to participate in a committee focused on enhancing enterprise risk management (ERM) guidance provided by the Committee of Sponsoring Organizations of the Treadway Commission (COSO), which was first published in 2004. COSO is an independent private-sector association sponsored jointly by five major professional associations focused on financial statement integrity: the American Accounting Association (AAA), the American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA) and the Institute of Management Accountants (IMA). COSO’s goal is to provide thoughtful leadership dealing with three interrelated subjects: ERM, internal control and fraud deterrence.
² COSO’s flagship publication, Internal Control–Integrated Framework, is also a product of widespread collaboration across numerous industry associations and private sector contributors, and is the foundation for most global organizations’ internal control frameworks. There was a multiyear effort when it was first published in 1992, and in a subsequent update in 2013. ISACA participated in that update committee as well.
³ National Association of Corporate Directors, Resource Center: Emerging Issues, USA, 2018, https://www.nacdonline.org/Resources/BoardResource.cfm?ItemNumber=38149
⁴ The Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management: Integrating With Strategy and Performance, USA, 2017, https://www.coso.org
⁵ Ibid.
⁶ ISACA, Relating the COSO Internal Control—Integrated Framework and COBIT, USA, 2013
⁷ Op cit COSO 2017
⁸ Op cit ISACA 2013
⁹ ISACA, COBIT 5: Enabling Processes, USA, 2012
¹⁰ Basel Committee on Banking Supervision, Principles for Effective Risk Data Aggregation and Risk Reporting, Bank for International Settlements, January 2013, www.bis.org/publ/bcbs239.pdf
¹¹ Op cit COSO, 2017, p. 19
¹² ISACA, COBIT 5: Enabling Information, USA, 2013
¹³ Ibid.