Cómo presentar un plan de gestión de riesgos a la junta directiva

En años recientes, el enfoque en el cumplimiento de la ley Sarbanes Oxley ha cambiado hacia un énfasis en la mejora de la gestión global de riesgos en las grandes empresas. En este consejo, French Caldwell, vicepresidente de Gartner que habló en el reciente Symposium/ITxpo de Gartner, ofreció asesoramiento a los CIO y a los líderes de TI sobre cómo llevar a cabo esta importante tarea.


En los últimos años, el cumplimiento que requiere la ley Sarbanes-Oxley ha comenzado a cambiar hacia un énfasis en mejorar la gestión global de riesgos en las corporaciones. Los reguladores están poniendo presión sobre las juntas de directores para mejorar su supervisión del riesgo, lo que resulta en un empujón de arriba hacia abajo para mejorar la comprensión de la empresa sobre la exposición general al riesgo, así como sobre las amenazas a los objetivos estratégicos, dijo Caldwell. Esto significa que a los CIO y gerentes de riesgo de TI cada vez más se les pide demostrar con precisión cómo se vincula TI con los riesgos para el negocio.

En una encuesta reciente de Gartner sobre gestión de riesgos, alrededor del 43% de los encuestados afirmó que los datos de gestión de riesgos que proporciona TI influyen en la toma de decisiones a nivel de junta directiva, dijo Caldwell. Esto puede parecer una buena noticia, pero significa que una mayoría de los encuestados no cree que la información de TI influyó en las decisiones de la junta. No solo eso, sino que algunos de los encuestados cuestionaron si las juntas incluso entendían los datos que TI proporciona.

Para aumentar ese percentil, los CIO necesitan comunicar mejor la conexión entre TI y el negocio a la junta, afirmó Caldwell. Para empezar, el CIO debe explicar lo siguiente: ¿Cuáles son los roles de la junta directiva, el CIO y otros ejecutivos de TI con respecto a la gestión del riesgo empresarial? Y al reportar a la junta, ¿cómo puede el CIO relacionar el riesgo con los objetivos de negocio que más preocupan a la junta? Caldwell enfatizó dos principios rectores para responder a estas preguntas:
•Los objetivos de negocio son los objetivos de TI. En esencia, la organización de TI y el resto de la empresa comparten los mismos objetivos de negocio en cierto nivel. Esto pone a todos moviéndose en la misma dirección.
•Los riesgos de TI son riesgos del negocio. Si está establecido que el negocio y el área de TI comparten los mismos objetivos, se deduce que cualquier riesgo de TI también es un riesgo para el negocio. Esto ayuda a consolidar un enfoque común en los resultados del negocio.

En principio, se debe entender que la junta no gestiona el riesgo, dijo Caldwell. "El rol de la junta en la gestión del riesgo es asegurar que haya un efectivo plan de gestión de riesgos establecido, y que la administración de la compañía está efectivamente implementándolo", señaló. “Tienen un papel de supervisión”.

Cualquier regulador que viene a reunirse con los miembros de la junta –que está sucediendo cada vez con mayor frecuencia en las grandes empresas, sobre todo en la industria de servicios financieros– hará preguntas dirigidas a averiguar si la junta está realmente involucrada en supervisar el plan de gestión de riesgos.

“[Los miembros de la junta] están diciendo que un programa eficaz de gestión de riesgos significa... que no solo están recibiendo un informe una vez al año sobre los diez principales riesgos, sino que de hecho tienen indicadores de riesgo que la administración está monitoreando”, dijo Caldwell. Estos indicadores están equilibrados contra el apetito por el riesgo para la empresa, que es el propósito de un plan de gestión de riesgos: equilibrar los dos.

Bajo esa luz, los CIO necesitan entender los indicadores de riesgo de TI que podrían prevenir o impedir que el negocio logre sus objetivos estratégicos. La distinción es importante. En lugar de centrarse en los riesgos para los activos de TI, los CIO se dirigen hacia los riesgos para el rendimiento del negocio donde la tecnología juega un papel importante.

“Eso no significa que ya no estamos preocupados por el riesgo hacia los activos de TI, sino que estamos viéndolos en términos de los procesos que nos llevan a desempeñarnos contra los objetivos de negocio que han sido establecidos por el junta y la alta dirección”, dijo Caldwell. “Es esta revisión del desempeño del negocio lo que necesitamos llevar adelante con nosotros cuando vamos a reportar a la junta”.

Al hacer la presentación, a pesar de las horas invertidas en su preparación, los CIO deben tener en cuenta que tendrán solo unos 15 minutos para presentar su caso, y que podría ser la única oportunidad formal para hacerlo en un año determinado. La presentación no es un momento para sorpresas o nueva información, subrayó Caldwell. El director de riesgos, el director financiero, el director general y posiblemente los miembros clave de la junta deben saber de antemano de qué estará hablando el CIO.

La presentación real debería idealmente consistir en solo cuatro diapositivas, aconsejó Caldwell:

Diapositiva uno: Relación de tres a seis de los objetivos estratégicos de la empresa. Esto es para permitir que la junta sepa que usted, el CIO, conoce y entiende cuáles son estos objetivos. En otras palabras, que usted sabe lo que es importante para la junta.

Diapositiva dos: Identifique los riesgos de TI que tienen el mayor impacto en cada uno de los objetivos estratégicos antes mencionados.

Diapositiva tres: Describa las iniciativas de gestión de riesgos en curso para gestionar los citados riesgos.

Diapositiva cuatro: Revise y concluya la presentación.

Fuente: SearchDataCenter

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos