Integración de Administración de Riesgos e ITIL.

Resumen:
Esta guía presenta la integración entre Administración de Riesgos y el marco de referencia ITIL. Definiendo los conceptos de riesgo corporativo, administración de riesgos, y el ciclo de vida del servicio, con énfasis en como la administración de riesgos puede ser asistida por la administración de servicios.
Los siguientes son conceptos principales:
- BS31100: Estándar británico para la administración de riesgos.
- Riesgo corporativo: Cualquier eventualidad que afecte directamente o indirectamente los objetivos del negocio comúnmente negativamente.
- Administración de riesgos: Reducir la repercusión negativa de los riesgos en el proyecto u operación. La esencia de la administración de riesgos está en prever continuamente posibles problemas para llevar a cabo acciones a tiempo en vez de improvisar y buscar soluciones tardías. Mencionan los autores del artículo que comúnmente cuando las cosas suceden mal, existe evidencia organizacional de que se tienen procesos o practicas que no consideran los riegos en la planeación.
- Gobierno corporativo: Es el conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de gobierno de la empresa, como son los tres poderes dentro de una sociedad: los Accionistas, Directorio y Alta Administración. Un buen Gobierno Corporativo provee los incentivos para proteger los intereses de la compañía y los accionistas, monitorizar la creación de valor y uso eficiente de los recursos.
- Gobierno de Tecnologías de Información: Garantizar un desarrollo eficiente, viable y sistemático de las áreas de tecnología; alinear las acciones y hacerlas consistentes unas con otras; planear la asignación de recursos; sentar las bases para controlar los proyectos, y equilibrar costos y beneficios. Principalmente se hace cargo del establecimiento de una concordancia entre las estrategias de negocios y las estrategias de TI, creando una ventaja estratégica y competitiva.
- M_o_R (Administración de Riesgos de TI): Permite identificar los riesgos relacionados con la infraestructura TI, y establece el gobierno (controles internos) requeridos para administrar los riesgos de la organización. Este marco esta basado en cuatro conceptos: Identificar, Evaluar, Planear e Implementar. Y cinco principios: Registro de Problema, Estrategia de Administración de Riesgos, Guía de Proceso de Administración de Riesgos, Política de Administración de Riesgos y Registro de Riegos.
- RACI: Modelo de tipos de Roles (Responsable, Encargado, Consultado, e Informado).
- Ciclo de Vida del Servicio de ITIL: Modelo del ciclo de vida del servicio, incluye el proceso de mejora continua, diseño del servicio, transición del servicio, operación del servicio y estrategia del servicio.
Relación entre Administración de Riesgos, ITIL y Gobierno de TI. A continuación se enumeran los principales elementos de la integración:
- Tanto ITIL como M_o_R se refieren al RACI como mecanismo para identificar responsables en la organización que están involucrados y son capaces, desde la perspectiva de Administración de Servicios, de administrar los riesgos.
- Otro elemento de convergencia entre M_o_R e ITIL seria la perspectiva de negocio que ofrecen para identificar riesgos y otros riesgos relacionados.
- Así también los Patrocinadores e Involucrados (stakeholder) es un tema de integración entre los dos procesos. Ya que en ambos procesos es necesario tener un mecanismo de comunicación efectiva sobre los riesgos y los principales involucrados.
- ITIL soporta la administración de riesgos corporativos en la siguientes aéreas: Administración de Problemas, Administración de Cambios, Entrega de Servicio, Administración de Disponibilidad y Continuidad de Servicio.
Relación entre Administración de Riesgos y cada uno de los procesos de ITIL (Estrategia de Servicio, Diseño del Servicio, Transición del Servicio, Operación del Servicio, Mejora Continua del Servicio. Los autores enumeran en cada una de las actividades por proceso, las acciones a considerar sobre el proceso de administración de riesgos.
Análisis:
La planeación de riesgos en proyectos u operaciones se ha considerado en diversas estrategias o procesos como un factor crítico. Los autores en este artículo describen las relaciones que tienen ITIL, M_o_R y el gobierno de tecnologías de información, mencionando en cada uno de los conceptos, las mejores prácticas sobre la administración de riesgos. Y detallando estas prácticas a nivel de actividades dentro del marco de referencia ITIL. También denotan como el marco de trabajo M_o_R se basa en cuatro principios sobre la estrategia de identificación de riesgos, resolución de problemas, mejora continua y planeación de riesgos.
Los riesgos existen en todo proyecto, implementación de proceso, operación o servicio, sin embargo se debe considerar que probabilidad tienen de presentarse en la realidad, también se debe analizar el impacto que tiene el riesgo en relación con los objetivos esperados del proyecto o servicio,  y con esto determinar que acción tomar en base a ese riesgo. Los tipos de acciones que se pueden realizar son:
- Evitarlo
- Reducirlo
- Asumirlo
- Transferirlo
Cada una de estas acciones nos definirá que actividades se deben realizar para evitar que el riesgo afecte considerablemente al proyecto o servicio.
Conclusiones:
En mi opinión, el tema de planeación de riesgos no es nuevo, y aunque en el artículo no lo mencionan, es un factor crítico en la ingeniería de software, administración profesional de proyectos, modelo de capacidades de madurez y claro en la administración de servicios de TI. Sin embargo el articulo es bastante nuevo (marzo del presente año), y ninguna disciplina, proceso, estrategia o marco de trabajo  que yo tenga conocimiento, describe en la práctica que considerar para la administración de riesgos. Por lo cual, este articulo lo considero una guía de gran utilidad para la administración de riesgos, ya que en mi experiencia una correcta implementación de esta práctica puede ser determinante en el resultado del proyecto.