El riesgo se define como la incertidumbre de un resultado de acciones y eventos. Este resultado puede ser una oportunidad positiva o una amenaza negativa. El riesgo termina siendo la combinación de la probabilidad de su ocurrencia y el impacto que generaría si ocurre, incluyendo la importancia percibida.
La gestión de riesgo pretende entonces generar un mayor aprovechamiento de los riesgos positivos, y mitigar el impacto de los riesgos negativos. No podemos perder de vista que los riesgos no se pueden evitar, solo se pueden mitigar o no sus efectos.
Hay varios marcos de referencia para manejo del riesgo corporativo, y avanza a pasos agigantados, primero en las empresas que están vigiladas, y luego en las que van entendiendo el manejo del riesgo como una oportunidad, la implementación de estos marcos de referencia. El manejo de este riesgo ha pasado de un esquema tradicional, donde el énfasis era en contemplar el riesgo como algo malo y el enfoque era transferir ese riesgo a un tercero, hacia el esquema estratégico donde el riesgo es una incertidumbre y el enfoque debe ser en la optimización y la habilidad para responder y/o recuperarse en caso que ocurra.
La gestión de la tecnología informática no es ajena a este manejo del riesgo, y hay tres áreas específicas donde se debe contemplar el riesgo y generar los planes para su manejo de tal manera que se conviertan en una oportunidad tanto de mitigación como de apropiación:
Logro del beneficio/valor de las TI
Está claro que la tecnología informática debe generar valor para el negocio, bien sea en reducción de costos, o aumento de ingresos, e inclusive en posicionamiento estratégico. Estos beneficios se deben fijar al interior del negocio, por la directiva del mismo, estipulando cual es el mínimo beneficio esperado con la aplicación de las tecnologías de información. Por lo general esta actividad no se lleva a cabo en las organizaciones, generando todavía un mayor riesgo en la gestión de las TIC.
Curiosamente no está establecido hoy en los negocios cual es el valor que se obtiene de las TIC, y por consiguiente, no hay una medida efectiva del riesgo que se presenta para en incumplimiento en este logro. Tenemos una manera de equiparar los diferentes tipos de tecnología informática a por lo menos el objetivo que se espera lograr con él, y así hacer una efectiva administración del portafolio de TI. Esta clasificación del portafolio permite entender claramente cómo se obtiene valor de las TIC y qué riesgos se pueden asociar que impidan o mejoren la probabilidad de obtener este valor.
Entrega de Programas y Proyectos de TI
Los programas con un conjunto de proyectos que permitan generar valor para el negocio. La entrega de estos programas y proyectos en cuatro puntos importantes generan riesgos positivos o negativos. El alcance, la calidad, el tiempo y el costo son las cuatro variables preponderantes en el manejo de programas y proyectos, y es donde hay una amplia serie de herramientas para evaluar tanto la posibilidad de ocurrencia como el impacto en caso de ocurrir. No se puede perder de vista que el impacto puede ser positivo y negativo.
Por lo general no prolongamos el impacto de estos riesgos del proyecto y/o del programa sobre el negocio en general, por una falta clara de asignación del beneficio del proyecto al mismo durante la etapa de formulación y aprobación. Es aquí donde encontramos una oportunidad de mejora importante, si para cada proyecto exigimos que haya una cuantificación del beneficio a obtener.
Este beneficio servirá inclusive para tomar decisiones sobre gestión de cambios en alcances en los proyectos e inclusive concluirse antes de tiempo para minimizar el impacto negativo de los proyectos.
Entrega de operaciones y servicios de TI
Una vez establecidos los servicios y las operaciones de TI requeridas para el funcionamiento de la empresa, existen riesgos si estos servicios no se pueden acceder desde donde se requiera y en el tiempo que se requieran. Estos riesgos van relacionados desde altas multas por incumplimientos en entrega de información a entidades de control, hasta pérdida de valor de la acción de la compañía o pérdida de imagen y/o clientes por un mal servicio y atención a requerimientos de los clientes.
La mitigación de estos riesgos se puede hacer fácilmente utilizando marcos de referencia como ITIL o ISO20000 específicamente construidos para elaborar procedimientos para la ejecución de procesos tendientes a mitigar los riesgos que se puedan presentar. Muchos de estos riesgos inclusive se hacen por transferencia de los mismos a proveedores como prestadores de servicios de infraestructura y hasta utilización de aplicaciones en la nube.
Son tres tipos de riesgo que se deben gestionar de manera estratégica, de tal manera que se puedan aprovechar las oportunidades que generan una correcta gestión de los procesos y a su vez mitigarlos riesgos que se pudieran generar por algún resultado inesperado.