¿Riesgos operacionales o estratégicos?
"Estadounidenses y tecnológicas, as son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto". "Las 100 mayores empresas por capitalización bursátil en 2015". PwC.[i]
* *
La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[ii], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Nueva Carolina, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían, para este año 2016, 27 cuestiones relativas al riesgo.
Dichas cuestiones estaban clasificadas en 3 categorías: macroeconómica, estratégica y operativa.
Las Ciberamenazas -operativas- (57% de las contestaciones), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la ‘Pobre Digitalización’ -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización.
Lo denominado abreviadamente ‘Pobre Digitalización’, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y/o nuevas tecnologías en el sector puede superar la capacidad de nuestra organización de competir y/o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse ágilmente a la revolución digital.
Relacionadas con la seguridad de las Tecnologías de la Información, había otras cuestiones:
- En la categoría estratégica, además de la ya citada 'Pobre Digitalización', se encuentra el impacto que pueden tener las redes sociales, aplicaciones móviles, y en general, aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al concretar algunos ìtems y riesgos asociados a ellos.
- En la categoría operacional se pueden citar tres cuestiones:
• Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o acuerdos estratégicos con proveedores de tecnología.
• Insuficientes medios para la gestión de identidades y de la privacidad, así como para la seguridad de la información y la protección de los sistemas.
• Incapacidad para hacer uso del "big data" para apoyar los planes estratégicos.
Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización de la organización, desde las llamadas cuestiones estratágicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.
La encuesta también ofrece los diferentes puntos de vista de los consejeros y los distintos miembros del equipo directivo ("C-suite", CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto del mismo al que se enfrentan sus organizaciones.
Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, estos consideran el riesgo de "Pobre digitalización" como impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de "impacto significativo" potencial. ¿Será porque estos se dejan oír mucho mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatar inmediatamente, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar?
Las respuestas ofrecidas por los consejeros coinciden con las dadas por los CRO's -Chief Risk Officers-, los cuales, entre los 5 riesgos con mayor impacto, además del de las ciberamenazas incluyen los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así como para la seguridad de la información.
Por otra parte, las respuestas dadas por CEO ́s o CIO ́s, entre los 5 riesgos con mayor impacto no se encontraban las ciberamenazas ni ningún otro riesgo operativo. En concreto, en las respuestas de los CEO's, entre los 5 primeros no hab a ningún riesgo relacionado con las TI. Entre las respuestas de los CIO's, sólo uno y es estrat gico, el ya mencionado abreviadamente como "Pobre digitalización", pero no est ninguno relacionado con la ciberseguridad o con la seguridad de TI, en general.
¿Preocupa a los CEO's y CIO's más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia?
Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de la misma.
Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así disponga los medios necesarios para llevarla a cabo; en segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y en tercer lugar, que la transformación digital lleva asociado un cambio en la manera de llevar el negocio, y por tanto, un cambio organizativo y de cultura de empresa.
Si la empresa dejara de existir, ya no habría que preocuparse de las ciberamenazas.
Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente a nombrado a Larry Summers como presidente del "Consejo Asesor Internacional" del Banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité contará entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D'Souza, consejero delegado de Cognizant y miembro del consejo de administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general y consejero delegado de Red Hat.[iii]
Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrando en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró "The Washington Post"; o supermercados en línea -Amazón, que también ha abierto una librería física en Seattle llamada "Amazon Books"-.
Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.
Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizar la tecnología como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.
Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de como usar las TI, y por otro, supervisar que dichas normas se cumplan. Esto no es más que Gobierno Corporativo, particularizado para las TI, o GCTI.
Las ciberamenazas es claro que son una realidad como diariamente nos lo recuerdan distintos medios. Pero enfrentarse a la ciberseguridad o la seguridad de TI en general, dado que éstas ya están -o deberían- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.
Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad.
"El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqu , el para qu y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso."
Del "Manifiesto de iTTi sobre GCTI"[iv]
Los CXO's son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, deben tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.
Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI.
* * *
Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/09/2016. Ref: Magazcitum/Opinión, año 7, nº2, 2016. "¿Riesgos operacionales o estratégicos?" - María José de la Calle.
------------------------------------
[i] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf
[ii] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016. http://www.protiviti.com/en-US/Documents/Surveys/NC-State-Protiviti-Survey-Top-Risks-2016.pdf.
[iv] http://es.slideshare.net/iTTi_news/el-manifiesto-itti
Comments (0)