NUESTRO PROYECTO ACTUAL
Gestión del Riesgo basado en la Gestión del Conocimiento para empresas PyMEs de Uruguay
Este trabajo presenta un marco de buenas prácticas y modelo de madurez para la gestión de riesgos en empresas de tipo PyMEs en la República Oriental del Uruguay desde la perspectiva de la Gestión del Conocimiento.
La aplicación del marco de buenas prácticas permitirá la mejora en la Gestión de riesgos y la implementación del modelo de madurez posibilitara determinar en qué nivel se encuentra la organización así como los procesos y actividades del siguiente nivel necesarios para el logro de la mejora en la gestión del riesgo.
Objetivos
Se definen un conjunto de objeticos específicos para la realización del trabajo:
- Desarrollo de un marco de buenas prácticas
- Desarrollo de un modelo de madurez
- Validación del modelo definido
- Análisis y publicación de resultados
Trabajo de campo
Investigación sobre gestión del conocimiento y gestión del riesgo en pymes de Uruguay
Conclusiones
Dimensiones de gobierno, evaluación y respuesta del riesgo en TI
- La Gestión de la evaluación del riesgo junto con respuesta ante el riesgo, parecen ser los aspectos en los que se demuestran mayores dificultades.
Factores de éxito o de obstáculo de la GC en su empresa
- RRHH y el compromiso por parte de la dirección los que en mayor medida son visualizados como de éxito. Por otra parte, los que cuentan con mayor porcentaje de consideraciones como factores de fracaso u obstáculo son los recursos referentes al tiempo y a la cultura organizacional.
Marco de gestión del riesgo basado en la gestión del conocimiento
Para cada dominio del modelo de gestión del riesgo Risk IT se define una tabla
En ellas se determina para cada proceso de riesgo, los pasos y actividades de gestión del conocimiento que aplican al mismo, así como los pasos a seguir para la implementación de las actividades de gestión del conocimiento que mejoren el proceso de gestión del riesgo.
| Gestión del Riesgo Proceso Gobierno del Riesgo (RG) | Gestión del Conocimiento aplicado al Proceso Gobierno del Riesgo (RG) | Implementación de la Gestión del Conocimiento aplicado al Proceso Gobierno del Riesgo (RG) |
|---|---|---|
| RG1: Establece y mantiene una visión de riesgo común. | Gestionando el conocimiento sobre la situación de cada área del negocio y la de su cartera de proyectos a nivel organizacional y estableciendo métricas eficientes que sean claras para que todos los responsables de las mismas puedan conocer y minimizar en todo momento el riesgo de su área a través de un alineamiento de sus objetivos con los objetivos del negocio, minimizando de esta manera el riesgo de toda la organización. Se generará una cultura organizacional sobre la gestión del conocimiento. | Se implementa una base de conocimiento (KDBMS) que tenga registro de los objetivos organizacionales a realizar (apetito al riesgo) y las acciones a ejecutar por cada área del negocio para el logro de esto s objetivos. Se deberá capacitar y formar a los gerentes de cada área y a sus recursos humanos para que puedan registrar y actualizar estas acciones con el apoyo y autorización de la dirección general. |
Luego se determina para cada dominio, en cada proceso de Risk IT, las Etapas, Herramientas, Técnicas y Factores asociados al proceso que se determinaron en el mapeo realizado en la tabla anterior
| RG1.1 Desarrolla en una empresa el marco específico de gestión de riesgos de TI | Etapas (Fases) implicadas | Herramientas | Técnicas | Factores Implicados |
|---|---|---|---|---|
| - | Identificación. Generación. Codificación. Transferencia. Compartir o Distribuir. Retención y Uso en capacitación y formación del personal. Registro, acceso y distribución del conocimiento en la KDBMS por el personal adecuado. |
Comunidades de práctica y grupos expertos. Redes, Fusión y adquisición de conocimiento. Mapas Lecciones aprendidas. Mejores prácticas. Benchmarking Accesibilidad. Memoria organizacional |
Realidad virtual. Sistemas expertos. Charlas informales. Bases de conocimiento. E-learning. Clasificación. Clustering |
Recursos económicos. Tiempo. Capacitación. Recursos Humanos. Marcos de Buenas prácticas. Cultura organizacional. CKO (En caso de existir este rol). Compromiso de la alta gerencia. |
A su vez, se presenta para cada dominio las matrices RACI donde se vinculan los procesos del dominio con los roles de cada función.
| Estrategia de T1 | Proyección de futuro | Orientación al usuario | Contribución al negocio | Excelencia operativa |
|---|---|---|---|---|
| - | La organización no reconoce la necesidad de administrar la exposición al riesgo del negocio y sus operaciones, o el reconocimiento está surgiendo pero se limita a evitar riesgos para cumplir con los requisitos o transferencia del riesgo a través de seguros. No existe una base de conocimiento que cuente con los objetivos organizacionales y las acciones a ejecutar por cada área para el logro de los objetivos. Solo existe una identificación ad hoc del conocimiento para cumplir con las actividades propias del negocio. En ocasiones se utilizan algunas herramientas como redes, fusión y adquisición del conocimiento. Se carece de una cultura, buenas prácticas y compromiso de la gerencia para la gestión del conocimiento en la gestión del riesgo. |
No existe conciencia del riesgo o se tiene en cuenta pero es considerado un problema técnico y no se ve un beneficio en su consideración. Los criterios de identificación de riesgo de TI varían en toda la organización según el criterio de cada usuario área. En ocasiones se utilizan herramientas y técnicas de gestión del conocimiento como cámaras web, videoconferencias y realidad virtual solo a nivel del cumplimiento de las tareas. | TI es considerado responsable de la evaluación de riesgos y las opciones de mitigación se deducen de la evaluación de los hechos ocurridos. Las habilidades de gestión de riesgos pueden existir sobre una base ad hoc, pero no son desarrolladas activamente. Ante la no existencia de una base de conocimiento organizacional, los controles se basan en requisitos de cumplimiento que pueden variar ampliamente en relación al riesgo y operar en áreas aisladas. | Los eventos de TI y las condiciones que pueden afectar el día a día en las operaciones en ocasiones se discuten en reuniones de gestión, pero las respuestas de riesgo específicos no se consideran. El apetito y tolerancia al riesgo solo se consideran en evaluaciones de hechos ocurridos. Los inventarios ad hoc centrados en el control se encuentran dispersos en aplicaciones de escritorio. No existe una identificación sistemática del conocimiento necesario para la operativa del negocio. Ocasionalmente se aplican herramientas como redes, fusión y adquisición del conocimiento, así como el uso de cámaras web, videoconferencias y realidad virtual. El factor tiempo y los recursos financieros inciden en la gestión del conocimiento, no existiendo una cultura organizacional de gestión del conocimiento, así como la aplicación de un marco de buenas prácticas. |
Modelo de madurez de gestión del riesgo basado en la gestión del conocimiento
Basado en:
- Marco de Gobernanza de TI para empresas PyMEs.
- Modelo de madurez de alineamiento estratégico de TI en PyMEs.
- Análisis de situación de la gestión del conocimiento en PyMEs de Uruguay y recomendaciones para mitigar riesgos.
- Marco definido en este trabajo.
Define:
- Escala de niveles de madurez ascendente respecto a la gestión del conocimiento.
- Cada nivel representa el estado de situación de la empresa respecto a la gestión del conocimiento.
- Cada nivel contiene a los niveles anteriores.
Niveles:
Nivel 1 - Básico
- No existe gestión del conocimiento aplicada a la gestión del riesgo o existe pero se limita a procesos ad hoc.
Nivel 2 - Gestionado
- Conocimiento gestionado y tenido en cuenta en la gestión del riesgo en TI.
Nivel 3 - Predecible
- Procesos definidos.
- Sistematización de procedimientos de gestión del conocimiento.
- Planificación.
Nivel 4 - Avanzado
- Procesos de gestión del conocimiento integrados totalmente.
- Mejora continua de procesos.
Para cada nivel se define como se aplica la gestión del conocimiento discriminando en:
- Estrategia de TI.
- Portfolio Estratégico.
- Proyectos y Operaciones.
En cada uno de estos aspectos se discrimina según los ítems:
- Proyección de futuro.
- Orientación al usuario.
- Contribución al negocio.
- Excelencia operativa.
Así se desarrolla una tabla para cada aspecto, en cada nivel, detallando el estado de la empresa para cada ítem.
RG1 - Establece y Mantiene una Visión de Riesgo Común.
Funciones Actividades principales |
Directivos |
Director Ejecutivo (CEO) |
Jefe de Riesgo (CRO) |
Jefe de Conocimiento (CKO) |
Jefe de Información (CIO) |
Jefe Financiero (CFO) |
Comité de Riesgos |
Gestión Empresarial |
Dueño de procesos de negocio |
Funciones de control de Riesgo |
Recursos Humanos |
Auditoría y Control |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
RG1.1 Desarrolla en una empresa el marco |
C |
A |
R |
R |
R |
R |
I |
C |
C |
C |
C |
C |
RG1.2 Proponer los umbrales de tolerancia de riesgo de TI |
I |
I |
A |
C |
R |
C |
I |
I |
C |
C |
|
C |
RG1.3 Aprobar la tolerancia al riesgo |
A |
C |
R |
C |
C |
C |
C |
C |
C |
C |
C |
C |
RG1.4 Alinear la política de riesgos de TI |
C |
A |
R |
C |
R |
R |
C |
R |
R |
R |
R |
C |
RG1.5 Promover los riesgos de TI - cultura consciente |
A |
R |
R |
R |
R |
R |
R |
R |
R |
R |
R |
R |
RG1.6 Promover una comunicación efectiva de los |
R |
R |
A |
R |
R |
R |
R |
R |
R |
R |
R |
R |
Nota: R: Responsable - A: Responzable (autoriza) - C: Consultado - I: Informado
Conclusiones y trabajo futuro
- Se definió un nivel para las empresas relevadas.
- Se identifican mejoras a realizar con inversión mínima (costos reducidos).
- Se cuenta con un instrumento para medir las empresas luego de aplicadas las mejoras identificadas y ponderar así el grado de impacto obtenido.
- Se espera con esta sistematización, desarrollar un producto de software que facilite el relevamiento y tratamiento de la información utilizada en el marco y modelo definidos.
Concluimos que:
- Hipótesis I - Existe una relación entre la gestión del conocimiento y gestión del riesgo. | Validada por la revisión sistemática realizada
- Hipótesis II - A mayor eficiencia en la gestión del conocimiento --> mayor eficiencia en la gestión del riesgo | Validada por la experimentación y revisión sistemática.
- Hipótesis III - No existe un marco de buenas prácticas y modelo de madurez para PyMEs | Validada por la revisión sistemática y los indicadores medidos en la experimentación.
Publicaciones
- Modelo de Madurez de Alineamiento Estratégico de TI en empresas de tipo PyMEs y resultados de la aplicación de este modelo en estas organizaciones (CLEI, 2011, Quito - Ecuador)
- Modelo de Madurez de Alineamiento Estratégico de TI en empresas de tipo PyMEs y resultados de la aplicación de este modelo en estas organizaciones (CLEI, 2012, Medellín - Colombia)
- Knowledge Management Steps, Tools, Techniques and Influencing Factors in SMEs (CLEI, 2014, Montevideo - Uruguay)
