Se ilustra el proceso de Administración de Riesgos
establecido por la ISO 31000:2009 para la iniciativa de
implementación de ITIL de Celanese de acuerdo al caso
“Finding the process edge: ITIL at Celanese” publicado
en “Journal of Information Technology Teaching Cases”.
Valuación de Opciones Europeas con el Modelo de Heston utilizando el Método d...
Ilustración de la Administración de Riesgos con ISO 31000:2009
1. Ilustración de la Administración de
Riesgos con ISO 31000:2009
Para la implementación de ITIL en Celanese
Diplomado en Innovación, Estrategia y Gobierno Empresarial de TI
Módulo V. Gestión de Riesgos de Negocio asociados con TI
David Solís
3. 3
Resumen
Se ilustra el proceso de Administración de Riesgos
establecido por la ISO 31000:2009 para la iniciativa de
implementación de ITIL de Celanese de acuerdo al caso
“Finding the process edge: ITIL at Celanese” publicado
en “Journal of Information Technology Teaching Cases”.
!
Adicionalmente este trabajo relaciona diversos
conceptos del Diplomado tales como estrategia,
gobierno, arquitectura empresarial, administración de
servicios y administración de riesgos.
5. 5
Celanese (2014)
‣ Productor mundial de productos químicos para el consumidor y para aplicaciones industriales.
‣ Fundada 1918 por Camille Dreyfus, con sede en Irving, Texas
‣ Plantas manufactureras en América del Norte, Europa y Asia
‣ 7,600 empleados
‣ Segmentos de negocio
‣ Intermedios de Acetilo — es el mayor segmento de Celanese
‣ Materiales de ingeniería avanzada — proporcionado por Ticona, el polímero de Celanese
‣ Especialidades de consumo — edulcorante, conservadores (Nutrinova) y otros ingredientes
alimenticios.
‣ Acetato de celulosa — filtros de cigarrillos, forros.
‣ Especialidades industriales — acetato de polivinilo, y acetato de vinilo etileno (destinado a
productores de alcohol de polivinilo, papel, cemento y yeso, textiles, pinturas, recubrimientos,
adhesivos fabricantes)
‣ Avanzada tecnología de combustible — TCX proceso de producción de etanol a base de hidrocarburos
7. 7
2001 2005 2006 2007 2008 2009
Cambios en TI
Contratación del CIO.
Se formó la base
actual de la estructura
de TI.
Integración de
infraestructura
Implementación de un ERP
(supuestamente SAP).
Consiguiendo eliminar
duplicidad de recursos y
reducción de costos
Servicios de TI
Incremento en la
demanda de servicios de
TI (reflejado en el
presupuesto de nuevos
proyectos)
Inicio de ITIL
Se inician 3 iniciativas de
ITSM
Creación del Consejo de ITIL
Se crea la posición de ITIL
Process Lead
Evaluación de TI por
HP
Debajo de la media.
Los procesos se encontraban
en el nivel 2 del modelo de
madurez del procesos de HP
Estado actual
Compromiso de 5 iniciativas
de ITIL
108 empleados de TI
certificados en ITIL Foundation
Desarrollo de OLAs para un
servicio de BD
Eventos Importantes
9. 9
ISO 31000:2009
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
1. Crea valor y lo protege
2. Está Integrada en los procesos de la
organización
3. Forma parte de la toma de decisiones
4. Trata explícitamente la
incertidumbre
5. Es sistemática, estructurada y
adecuada
6. Está basada en la mejor
información disponible
7. Está hecha a la medida
8. Tiene en cuenta factores humanos y
culturales
9. Es transparente e inclusiva
10. Es dinámica, iterativa y sensible al
cambio
11. Facilita la mejora continua en la
organización
Compromiso de la
Dirección
Diseño del marco
de la Gestión de
Riesgos
Mejora Continua
del Marco
Implementación de
la Gestión de
Riesgos
Seguimiento y
Revisón del Marco
Principios Marco de Trabajo Proceso
Cláusula 3 Cláusula 4 Cláusula 5
10. 9
ISO 31000:2009
Gobierno 1, 3, 4 y 9
Gestión 2, 8, 10 y 11
Implementación 5, 6, 7 y 10
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
1. Crea valor y lo protege
2. Está Integrada en los procesos de la
organización
3. Forma parte de la toma de decisiones
4. Trata explícitamente la
incertidumbre
5. Es sistemática, estructurada y
adecuada
6. Está basada en la mejor
información disponible
7. Está hecha a la medida
8. Tiene en cuenta factores humanos y
culturales
9. Es transparente e inclusiva
10. Es dinámica, iterativa y sensible al
cambio
11. Facilita la mejora continua en la
organización
Compromiso de la
Dirección
Diseño del marco
de la Gestión de
Riesgos
Mejora Continua
del Marco
Implementación de
la Gestión de
Riesgos
Seguimiento y
Revisón del Marco
Principios Marco de Trabajo Proceso
Cláusula 3 Cláusula 4 Cláusula 5
11. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
12. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
El contexto define el alcance y objetivos de la
administración de riesgos.
13. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
Los riesgos se identifican preguntando ¿qué
podría ocurrir que tuviera un impacto en
nuestros objetivos? Los riesgos tienen 3
elementos: eventos, causas e impactos.
14. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
El análisis de riesgos involucra la
clasificación de la posibilidad y
consecuencias de los riesgos utilizando una
escala del 1 al 5.
15. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
Para evaluar los riesgos se revisa que los
controles actuales sean correctos y
apropiados se determina la acción a tomar si
es que hubiera.
16. 10
Proceso
Valoración de Riesgos
Establecimiento del Contexto
Identificación de Riesgos
Análisis de Riesgos
Evaluación de Riesgos
Tratamiento de Riesgos
SeguimientoyRevisión
Comunicaciónyconsulta
El tratamiento de riesgos comprende las
actividades que mejor manejan las
exposiciones. Las estrategias reducen la
posibilidad o consecuencia en caso de que
los riesgos se materialicen.
17. 11
Establecimiento del Contexto
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
Objetivo
Con el propósito de la alineación entre Negocio y TI, la unidad de
TI de Celanese implementará ITIL para poder contar con la
tecnología adecuada en el momento adecuado reduciendo los
silos existentes, reforzando la rendición de cuentas e
implementando y optimizando los procesos, servicios y sistemas
que permitan al personal de TI una mejor inversión de tiempo en
actividades que beneficien más a la organización y de esta forma
mejorar las relaciones con el Negocio y entre las áreas de TI.
Se acompañará esta iniciativa con una
Administración de Riesgos efectiva para aumentar la
factibilidad de conseguir los objetivos y
proporcionarle certeza razonable a la Dirección.
18. 12
Establecimiento del Contexto
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
‣ Incremento significativo en demanda
de servicios de TI
‣ Deficiencias en el proceso de
evaluación de proyectos de nuevas
aplicaciones
‣ Falta de control en el presupuesto de
TI
‣ Áreas de TI como silos
‣ Evaluación de HP no favorable - Nivel
2 de madurez de los procesos de TI
en una escala de 5
‣ ITIL como siguiente paso en la meta
de integración de TI
‣ Crisis mundial de 2008
‣ Industria muy competitiva, altamente
dependiente de ciencia y tecnología,
montos importantes de inversión en
R&D
‣ Requerimientos grandes de capital
para construcción, expansión y
mantenimiento
‣ Requiere mano de obra barata, pero
necesita personal altamente
calificado
Factores internos Factores externos
19. Establecimiento del Contexto
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
‣ Apoyo de la Alta Dirección
‣ Apoyo de la Dirección
‣ Administración del Cambio y Cultura
Organizacional
‣ Administración del cambio
‣ Capacidad del personal de TI
para adaptarse al cambio
‣ Seguimiento y Evaluación
‣ Seguimiento y evaluación de la
Implementación de ITIL
‣ Proceso de implementación de ITIL y
aplicación de tecnología
‣ Estrategia y diseño de la
implementación
‣ Presentación de informes y
auditoría continua a través de un
marco de gestión de la calidad
‣ Prioridad sobre los procesos
‣ Selección de consultores
Factores críticos de éxito
13Fuente: Ahmad, N., Amer, N. T., Qutaifan, F., & Alhilali, A. (2013)
20. Establecimiento del Contexto
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
‣ Entrenamiento y competencia de las
partes interesadas que participan en
el proyecto de ITIL
‣ Estudio de factibilidad antes de
la implementación real
‣ Conciencia sobre las
implicaciones de ITIL
‣ Capacitación en ITIL
‣ Calidad del personal de TI
asignado para ITIL
‣ Comunicación y cooperación
‣ Colaboración entre áreas de TI
!
‣ Administración del Proyecto y
Gobierno
‣ Plan del Proyecto y programa de
mejora continua
‣ Establecimiento de objetivos a
través de un marco de madurez
del proceso
‣ Campeón del proyecto
‣ Orientación al cliente
Factores críticos de éxito
14
21. Establecimiento del Contexto
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
‣ Apoyo de la Dirección
‣ Administración del cambio
‣ Capacidad del personal de TI para
adaptarse al cambio
‣ Seguimiento y evaluación de la
Implementación de ITIL
‣ Estrategia y diseño de la
implementación
‣ Presentación de informes y auditoría
continua a través de un marco de gestión de
la calidad
‣ Prioridad sobre los procesos
‣ Selección de consultores
‣ Estudio de factibilidad antes de la
implementación real
‣ Conciencia sobre las implicaciones de
ITIL
‣ Calidad del personal de TI asignado
para ITIL
‣ Capacitación en ITIL
‣ Colaboración entre áreas de TI
‣ Plan del Proyecto y programa de mejora
continua
‣ Establecimiento de objetivos a través de
un marco de madurez del proceso
‣ Campeón del proyecto
‣ Orientación al cliente
Factores críticos de éxito
15
22. 16
Identificación de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
El número limitado de factores que deben
estar presentes para asegurar el éxito de un
proyecto.
El efecto de la incertidumbre (falta de
información) en el logro de los objetivos. Existen
diversas taxonomías dependiendo del contexto.
El nivel de riesgo existente después de la
implantación de las acciones de
mitigación implementadas
Riesgos
Residuales
Riesgos
Factores críticos de éxito
23. 17
Identificación de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
24. Frecuencia
Impacto
Riesgo V Muy baja frecuencia, impacto
muy grande
Riesgo IV Baja frecuencia, impacto alto.
Riesgo III Frecuencia media, impacto
medio
Riesgo II Frecuencia medía, impacto
bajo
Riesgo I Frecuencia alta, impacto bajo
18
Análisis de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
Matriz de Riesgos
25. Frecuencia
Impacto
Riesgo V Muy baja frecuencia, impacto
muy grande
Riesgo IV Baja frecuencia, impacto alto.
Riesgo III Frecuencia media, impacto
medio
Riesgo II Frecuencia medía, impacto
bajo
Riesgo I Frecuencia alta, impacto bajo
18
Análisis de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
Matriz de Riesgos
Distribución de
probabilidad de pérdida
26. 19
Análisis de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
27. 20
Evaluación de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
28. 21
Tratamiento de Riesgos
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
29. 22
Seguimiento y Revisión
Valoración de riesgos
Establecimiento del contexto
Identificación de riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Seguimientoyrevisión
Comunicaciónyconsulta
32. 25
Referencias
Otras fuentes
‣ ISO 31000:2009 Risk management -- Principles and guidelines
‣ ISO/IEC 31010:2009 - Risk Management - Risk Assessment Techniques
‣ ISO Guide 73:2009 - Risk management - Vocabulary
‣ Ahmad, N., Amer, N. T., Qutaifan, F., & Alhilali, A. (2013). Technology adoption
model and a road map to successful implementation of ITIL. Journal of
Enterprise Information Management, 26(5), 553-576.
Libros