CAPITULO I
EL PROBLEMA
1. Planteamiento del Problema
La utilización de la tecnología es una de las decisiones estratégicas más comunes ejecutadas por la gerencia alrededor del mundo, por lo que se ha incrementado la dependencia al uso de las tecnologías de la información (TI) y la administración de la información electrónica dentro de las organizaciones. En este sentido, la tecnología es un elemento importante para la operación de los negocios que paso de ser un proceso de soporte pasivo a un proceso transversal relevante.
La decisión de incorporar tecnología en las estrategias del negocio, trae consigo la acción de administrar el riesgo tecnológico y articular los sistemas de gestión de la calidad a partir de la mejora continua. La innovación impulsa la adopción de la tecnología mucho más allá del mundo de las TI; por lo cual, para los ejecutivos de la innovación que buscan construir una estrategia de ir al mercado que va más allá de las tecnologías requieren definir realmente su relevancia específica para su negocio. Por lo tanto, las capacidades organizativas de las empresas, dentro de los entornos de Tecnología de la Información (TI), pueden reforzarse mediante un enfoque de Gestión de Riesgos (GR), centralizado e integrado basado en las normas ISO.
3
Este estudio analizó las actividades de gestión de riesgos a lo largo de varias normas de la Organización Internacional de normalización (ISO) seleccionadas para proporcionar la base para mejorar, coordinar e interoperar las actividades de gestión de riesgos en los entornos TI, para diversos fines relacionados con la gestión de calidad.
La Norma internacional ISO 31000:2009 para la gestión de riesgos, es referente para realizar una comparación, con el fin de identificar las actividades relacionadas con la gestión del riesgo en la estructura de los sistemas de gestión de la calidad basados en ISO 9001:2015. La pertinencia de esta norma se fundamenta en la referenciación que hacen los cambios de los sistemas de gestión para el año 2015, donde las citan como instrumento de gestión.
Las normas, son de gran interés para los profesionales que administran procesos, no obstante no tanto para los profesionales de las TI en Colombia, debido al bajo índice de certificación en estas; para los investigadores, son un reto de validación y constancia en el contenido metodológico que proponen a las empresas, las cuales pretenden beneficiarse a partir de la integración de actividades basadas en procesos, implementando mecanismos para vincular a las entidades en procesos TI de su organización con desafíos de gestión de riesgos.
Los vectores de políticas de Riesgo, la gestión de la Calidad, la
comprensión de la organización con su contexto, el pensamiento basado en
el riesgo, el liderazgo más el compromiso de los colaboradores, el enfoque
de proceso junto a la estructura del Planear, Hacer, Verificar y Actuar (PHVA)
son los elementos validados en este estudio. De este modo, el proceso de
globalización viene impactando de forma amplia, considerablemente a las
empresas, entidades gubernamentales, instituciones de cualquier orden,
proyectos de inversión, ideas de negocio que surgen de nuevas modalidades
de descubrimiento de negocios serán objeto de muestra de estudio.
Algunas cifras; Blue Coat System Inc (2013), señala, el 78% de las intrusiones toman semanas, meses y hasta años en ser detectadas. Así mismo, Enter.co (2015) señala: el 25% de los profesionales de TI que pueden combatir las amenazas proactivamente, solo el 16% lo hace, ya que están ocupados en los deberes del día a día. Eso vuelve el tema un riesgo y lo señala el autor como de falta de recursos. Intel (2012), en su reporte Needle in a Datastack Report, indica la incapacidad de la mayoría de Organizaciones para identificar las brechas de seguridad y los riesgos de seguridad a medida que ocurren es equivalente a un 33%.
En el estudio de Vanson Bourne, (2012) citado por Intel (2012), indica que el 35% de los responsables de la toma de decisiones de TI, declararon que podían detectar una brecha de datos en cuestión de minutos después de su aparición. El estudio también reveló que el 22%, señalo que a menudo toma un día completo para identificar un incumplimiento, y el 5% precisa tomar hasta una semana. Esto significa que, en promedio, se emplean10 horas para que una organización reconozca una violación de seguridad.
Estos resultados muestran los riesgos a los que están expuestos las organizaciones alrededor del mundo que aplican tecnologías en sus procesos.
Según CONPES 3701 (2011), en Colombia se ha incrementado considerablemente el uso de tecnologías de la información y las comunicaciones elevando su nivel de exposición a amenazas cibernéticas. El número de usuarios de internet aumentó en 354% entre el 2005 y el 2009. El número de suscriptores a internet se incrementó́ en 101% entre el 2008 y el 2010, alcanzando un total de 4.384.181 suscriptores de internet fijo y móvil.
De estos, el 39% corresponde a suscriptores de Internet fijo y el 61% a suscriptores internet móvil.
Según Ministerio de Tecnologías de la Información y las
Comunicaciones (MINTIC) (2016), al finalizar el primer trimestre de 2016, el
número total de conexiones a Internet de Banda Ancha alcanzó los
13.233.368 accesos en el país, mientras las demás conexiones a Internet (conexiones con velocidad efectiva de bajada – Downstream <1.024 Kbps + Móvil 2G) suman 473.783, para un agregado nacional de 13.707.151 conexiones a Internet.
Por otra parte, al término del primer trimestre del año 2016, el índice de penetración para las conexiones a Internet de Banda Ancha en Colombia aumentó 4,1 puntos porcentuales con relación al primer trimestre del año 2015, alcanzando un índice de 27,1%; al cierre del primer trimestre del año 2016, el número total de suscriptores a Internet en el país alcanzó los 13.707.151, cifra compuesta por suscriptores a Internet fijo y móvil, lo que representa un índice de penetración del 28,1%, un aumento de 1,5 puntos porcentuales con relación al índice de penetración del cuarto trimestre de 2015. Fuente MINTIC (2016). Esto indica que el ecosistema de Internet está creciendo en Colombia exponencialmente, la presencia de riesgos tecnológicos está vigente.
Así mismo, Hernández (2016), citando la herramienta para la prevención criminal “Guía de Seguridad para los actores de la Cadena de Suministro V edición”, son 10 los departamentos que concentran el 82% de casos de acceso abusivos a un sistema informático ver gráfico 1, entre ellos Santander con 78 casos y Norte de Santander con 48 casos, ubicándose en la quinta y séptima posición en el año 2015.
Gráfico 1: Casos de acceso abusivo en TI.
Fuente: SIEDCO (2015). Citado por PONAL (2015).
Para el año 2015, se incrementó en un 169% los casos de acceso abusivo a un sistema informático en Colombia con respecto al 2014 fuente SIEDCO Policía Nacional. El 15% (171 casos), fueron perpetrados bajo la modalidad de ADWARE, seguido de SPOOFING y SPYWARE con el 4% (43 y 42 casos respetivamente), es de anotar que en 62% (720 hechos) no registran la modalidad. Los meses de agosto y octubre con el 10% (119 casos cada uno) son los de mayor registro, seguido de febrero y abril con el 9% (109 y 103 hechos respectivamente).
Las mujeres con el 59% (788 casos), son las más afectadas por este delito, mientras que en un 41% (548 casos), fueron hombres. Los días martes con un 19% (198 hechos), son los de mayor registro, seguido de los jueves, lunes y miércoles con el 15% (177, 176 y 174 hechos, respectivamente). Los adultos con el 97% (1.128 casos), son los más afectados, seguido de los adolescentes con el 2% (76) y los menores con el 1% (13).
En primer lugar para la variable de gestión de riesgo tecnológico en el ámbito mundial, es necesario resaltar la comisión Económica de las Naciones Unidas UNECE (United Nations Economic Commission for Europe) por sus siglas en inglés; (2012), estableció Risk Management in Regulatory Frameworks: Towards a Better Management of Risks; Gestión de riesgos en los marcos regulatorios: la gestión de riesgos, es una disciplina firmemente arraigada en la gestión organizativa y, en particular, en la gestión empresarial. Los reglamentos se dirigen a menudo a los operadores empresariales, que deben aplicarlos a través de sus estructuras de gestión.
Es aquí, cuando, la gestión gerencial debe considerar la gestión de
riesgos, como parte de su proceso estratégico. Siguiendo con UNECE
(2012), la gestión de riesgos proporciona herramientas para un pensamiento
estructurado sobre el futuro y para hacer frente a la incertidumbre asociada a
los procesos organizacionales. La implementación de la gestión de riesgos
en una organización o en una entidad gubernamental proporciona a los dueños de procesos herramientas para tomar decisiones racionales basadas en la información disponible, independientemente de su limitación.
El trabajo de la UNECE, en el área de Gestión de Riesgos, es la elaboración de orientaciones y mejores prácticas sobre la forma en que las autoridades reguladoras pueden establecer marcos normativos que gestionen eficazmente los riesgos que enfrentan los consumidores, los ciudadanos y las comunidades.
En otras palabras la UNECE, determina lineamientos para gerenciar la incertidumbre en el sector privado y público; desarrolla elementos metodológicos que se complementan específicamente, en las siguientes prioridades: a). Gestión de riesgos en el desarrollo de reglamentos técnicos.
b). Estándares como herramientas de gestión de riesgos. c). Gestión del riesgo en la evaluación de la conformidad. d). Gestión de riesgos en la vigilancia del mercado. Es aquí cuando, la gestión integral de riesgo tecnológico pasa a desempeñar un papel gerencial estratégico para considerar transversalmente en todas las actividades de la organización.
Ramírez (2012), agrega en la versión de COBIT, toma la gestión de riesgos como un objetivo de gobernanza para la creación de valor, buscando la optimización de riesgos, haciendo el mapeo de estos junto a la optimización de recurso, el realce de beneficios que impacten las metas organizacionales de información más las de tecnología. La finalidad, es cumplir con procesos, capacidad en servicios, habilidades, competencias, principios, políticas, información, estructura organizacional, además del ambiente ético, cultural requerido.
Esta versión de COBIT dentro del dominio APO (alineación, planeación
y organización), contiene un proceso de riesgos APO12 (gestión del riesgo),
en el cual se integra la gestión de riesgos empresariales relacionados con
tecnología, con la evaluación, dirección y monitoreo (EDM) de la
organización. Además tiene un enfoque en los riesgos de los terceros.
A nivel mundial se encuentra en los Estados Unidos ISACA (Information Systems Audit and Contol Association, Asociación de Control y Auditoria en Sistemas de Información) (2016), teniendo en cuenta que el gobierno de TI requería un marco de referencia para lograr los fines expuestos, lanzó COBIT (Control Objetives for Information and Related Technologies, Control de Objetivos para Información y Tecnologías Relacionadas, por sus siglas en inglés) que ofrecía principios para gestionar la tecnología dentro del gobierno de TI, lo que deja COBIT es desarrollar procesos para gerenciar el riesgo tecnológico.
El marco de trabajo de COBIT, brinda buenas prácticas a través del manejo de dominios y procesos, con el cual se plantean los objetivos de control para la información y tecnología relacionada que permita a las organizaciones mantener vigilancia respecto a los requerimientos del negocio y gestionar los recursos de tecnología. De esta forma, se busca alinear las metas organizacionales con las metas de TI.
Así, dentro del dominio, planeación, organización, el proceso que referencia esta herramienta indicado PO9 hace referencia a la evaluación junto a la administración de los riesgos de TI, donde se busca documentar en un nivel común y acordado, estrategias de mitigación, control de riesgos residuales de acuerdo a los límites definidos por las directivas.
La idea es identificar, analizar, evaluar impactos potenciales sobre las metas de la organización. Al aplicar esto, se logra garantizar que la administración de riesgos se incluye dentro de todos los procesos administrativos, se establecen planes de acción para la mitigación, teniendo en cuenta las recomendaciones de todos los niveles organizacionales, junto la divulgación sobre los mismos.
A nivel Latinoamericano, la gestión de riesgos tecnológico, Alfonzo
(2015), precisó: el análisis de riesgo se debe realizar desde el principio en la
fase de identificación de oportunidades y actualizarse durante las otras
etapas. Cada proyecto tecnológico debe contar con un análisis o evaluación
económica, realizada con sensibilidades derivadas de simulación de Monte Carlo, así como de un plan de implantación para definir el riesgo tecnológico.
El Riesgo Tecnológico está directamente asociado a la madurez y el dominio de la tecnología, es decir, mientras mayor sea su madurez, más información se tenga de la misma, menos riesgosa será su implantación. El riesgo está asociado a la probabilidad que se tiene de destruir valor o de crear valor.
En resumen de este autor se precisa, la metodología a seguir para medir Riesgo Tecnológico consiste en la identificación de las variables que conformaran e impactan al proceso, como segundo paso se crea el modelo para medir el riesgo a través de simulación de Monte Carlo, tomando en consideración que a medida que se compre información se debe retroalimentar el modelo de simulación y recalcular la función objetivo, una vez que se ha comparado la información suficiente se determinan las acciones a tomar para la administración y mitigación del riesgo.
Por su parte Sánchez, M (2015), el análisis y gestión de riesgos en el ámbito de la tecnología tiene las dificultades para disponer de series de datos históricas hacen que el uso de modelos estadísticos predictivos, con larga tradición en otros dominios de riesgo, sea en gran medida inviable y tengan que ser suplidos por la experiencia, como el juicio de los profesionales.
La metodología que se utiliza trata de un inventario de riesgos en el que
los analistas hacen una atribución del riesgo de cada uno de ellos, calculado
como combinación de la estimación de la frecuencia de ocurrencia del evento
y el impacto para el negocio. En primer lugar se estima el riesgo inherente
del escenario; en esta fase los participantes en el análisis deben tratar de
calcular el nivel de riesgo sin tener en cuenta el efecto mitigatorio de
controles que puedan estar implementados. Una vez estimado el riesgo
inherente, para cada riesgo con un nivel significativo, se identifican por parte
de los participantes en el análisis los controles que están implementados y/o
aquellos que aunque no implementados, se recomienda que lo sean.
Tras esta identificación de los controles, los analistas vuelven a estimar el riesgo residual tras considerar el grado en que los controles mitigan el escenario de riesgo. De esta forma, el modelo tiene limitaciones, dado que normalmente no se dispone de series históricas de datos, la estimación de la frecuencia y/o el impacto de cada escenario es meramente subjetiva. No existen normalmente datos objetivos que permitan avalar el efecto mitigador del riesgo que normalmente se atribuye a los controles implantados.
En relación con riesgos como el tecnológico, en la estimación del riesgo inherente, es prácticamente imposible para un analista figurarse en la mayoría de los casos cuál puede ser el nivel de riesgo en una ausencia total de controles. La única razón por la que en este tipo de análisis se emplea tiempo en estimar el riesgo inherente es para poder justificar de alguna manera que la inversión en controles tiene un efecto reductor del riesgo.
Sánchez, M (2015), Al tratarse de un inventario lineal de riesgos, no queda bien reflejado el efecto multiplicador o reductor de varios escenarios de riesgo combinados. Este tipo de modelos no permiten capturar las relaciones causa-efecto entre determinadas circunstancias y el nivel de riesgo final. Es fácil caer en la suposición de que los controles tienen un efecto perfecto y constante en la mitigación de los riesgos, cuando en realidad los controles pierden efectividad con el paso del tiempo. La experiencia demuestra que es fácil caer en un comportamiento estereotipado que lleve a los analistas a ajustar los niveles de riesgo estimado, de modo que haya riesgos inherentes altos o críticos y riesgos residuales bajos o medios.
En Colombia, para Ramírez, A., Ortiz, Z. (2011), en su artículo Gestión
de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la
continuidad de negocios; la gestión de los riesgos tecnológicos es importante
dado que las organizaciones al usar tecnología en su actividad diaria, como
parte de sus procesos de negocio se encuentran expuestas a este tipo de
riesgos; por ello pueden afectar la actividad propia de las mismas, como también ser fuentes de pérdidas, al igual que daños considerables.
Por lo que se destaca en este autor, los planes de seguridad deben enfatizar en crear conciencia en seguridad para prevenir riesgos y buscar estrategias para obtener el apoyo de la alta dirección con el fin de cumplir con los objetivos, asegurar la información crítica, adicional la gestión adecuada de los riesgos permite evitar en gran medida la ocurrencia de incidentes y con ello evitar la activación de planes de continuidad.
En términos generales, las organizaciones deben robustecer su protección a nivel físico (lo correspondiente a infraestructura, incluyendo la tecnológica), nivel lógico (sistemas de información y software) y factor humano (toma de medidas organizacionales); en estos tres aspectos está presente el uso de tecnología y por ello la exposición a este tipo específico de riesgo crece constantemente.
Bravo y Sánchez (2012), la gestión de riesgo cobra mayor importancia, la necesidad de gestionar los crecientes riesgos a los que está expuesta una organización como un todo, en los últimos años se ha empezado a hablar del concepto de manejo integral de riesgos (Enterprise Wide Risk Managment o Business Risk Managment), con el cual se busca incluir la administración del riesgo no solamente el punto de vista financiero, sino que paulatinamente se avancen e involucren todos los procesos de la empresa teniendo en cuenta otros riesgos que afectan la continuidad del negocio.
Entre los que se destacan los riesgos operacionales, los de ejecución
de proyectos, los riesgos reputacionales de marca e intención, los riesgos de
toma de decisión, del entorno, la relación armónica entre los diferentes
grupos de interés como son los Stakeholders, los riesgos de definición
estratégica, con lo que se busca el control de las múltiples situaciones
adversas que se pueden presentar, lo que implican el cumplimiento de
regulaciones en el corto plazo; la supervivencia en el hoy y el
aprovechamiento de las oportunidades en el mediano plazo, los riesgos del
mercado, los concernientes a los requisitos legales e involucramiento en actividades ilícitas.
La intención de los estudios descritos en gestión de riesgos tecnológico, como punto de partida para dar lineamientos sobre cómo gestionar este tipo de riesgos los cuales son fuente de estudio para integrarla a los Sistemas de Gestión de la Calidad (SGC) que hoy las empresas consideran en los procesos TI son los que inspiran los aspectos mencionados y buscando un marco de protección integral.
Actualmente, la gestión integral de los riesgos en las empresas que implementan estándares internacionales de calidad basados en normas ISO 9001 en Colombia, no había sido considerada en la estrategia que se contextualizó en el Siglo XX; la cual era basada en conseguir índices de mayor productividad a partir de una demanda, en presencia de una competencia débil o enfocada a satisfacer los requisitos del cliente.
En este nuevo siglo, se ha presentado una gran evolución en razón de la necesidad de conocer y manejar los niveles de incertidumbre a los que está expuesta la ejecución de la estrategia del modelo de negocio que proponga cualquier organización; por tanto, con esta situación ha cambiado también el cumplimiento de objetivos y metas.
De allí que, los cambios fuertes en las necesidades de los clientes, el cambio en la demanda, y la presencia de organizaciones de cualquier orden compitiendo desde cualquier lugar del mundo obligan a buscar permanentemente nuevas estrategias que se adapten flexiblemente a la evolución del mercado.
De este modo, las organizaciones se ven expuestas a situaciones con
incertidumbres impensables o inexistentes, así vienen cambiando las cosas
en el entorno competitivo llevando a las empresas a pensar cómo garantizar
su permanencia en un horizonte de tiempo a corto plazo, conservando sus
índices de productividad, indicadores de crecimiento en relación a las
exigencias del mercado, a gestionar el riesgo, a gerenciar la calidad de lo que requieren sus clientes o usuarios.
De tal forma, que las organizaciones modernas en los mercados globalizados deben de responder a prácticas y estándares de calidad actualizados, perfilándose a gestionar la calidad como factor de permanencia, lo que era en el siglo pasado un factor de competitividad se perfila como un factor de necesidad a corto plazo para cumplir.
En septiembre del 2015, la ISO (the International Organization for Standardization) por sus siglas en inglés Organización Internacional de Normalización público los nuevos estándares de calidad que regirán el mundo en cuanto gestión de calidad refiere; en esta nueva versión la norma trae el Higth Level Structure – HLS estructura de alto nivel esta busca aumentar el alineamiento de las normas de los sistemas de gestión de ISO a través de factores comunes como son su estructura, el texto, los términos, las definiciones; facilitando en las organizaciones la integración de los diferentes sistemas de gestión con base a las normas ISO que tengan implementados.
Con ello precisa para las organizaciones modernas la gestión la calidad deberá considerar a través de la mentalidad de riesgos (risk based thinking) la gestión integral del riesgo como un requisito transversal en la implementación de la norma, en plantear modelos de negocio que satisfagan el cliente, esto se fijó en modelo de mejora continua, buscando fortalecer sus competencias y administrar sus riesgos en un contexto interno y un contexto externo en el cual se encuentre la organización.
Siguiendo con el panorama internacional, es necesario citar que para
Moreno-Luzón, Peris y González (2002), la Gestión de la Calidad Total se
caracteriza por una constante evolución de un enfoque que es consecuencia
de los retos a los que tienen que enfrentarse las empresas en los mercados
actuales; estos retos se sintetizan en los siguientes puntos: Globalización de
los mercados, que ha supuesto un aumento de la competencia al añadir a
ésta la dimensión internacional, con amplitud no conocida anteriormente.
Clientes exigentes, con expectativas, necesidades cambiantes y cada vez más elevadas. Aceleración del cambio tecnológico, que implica ciclos de vida del producto cada vez más cortos.
Así mismo, el Éxito de las formas pioneras más globales y participativas de Gestión de la Calidad; en este punto entran los negocios digitales. Para poder hacer frente a estas exigencias emergentes, como perentorias no es suficiente con los enfoques de calidad precedentes. Es necesario un Sistema de gestión de la calidad orientado en su totalidad al mercado; una orientación que, además ha de tener carácter multidimensional y ha de ser dinámica (Oackland, 1989).
Otros autores como Ponsati y Canela (2010), afirman que la gestión de la calidad parte del enfoque sistémico de la organización “se lleva a cabo mediante un sistema, que es un conjunto de elementos mutuamente relacionados que interactúan entre sí para obtener un resultado”, en otras palabras surge el concepto de proceso que es el eje fundamental de esta metodología. Es en este contexto, donde la Gestión del Riesgo debe de considerarse para desempeñar un papel de mejora continua al cambio que experimentan las organizaciones modernas, y por organizaciones modernas están las empresas de base tecnológica que surgen como innovación en el descubrimiento de negocios.
Salazar, (2015), las clasificaciones de los enfoques para la Gestión de
la Calidad son mayoritariamente de naturaleza discreta, y pretenden
distinguir perspectivas netamente diferenciadas. El concepto de calidad
subyacente a la inspección es la calidad de conformidad con unas
especificaciones. El desarrollo del Control Estadístico de Calidad CEC
enriquece el concepto de calidad, despejando la idea de que la conformidad
debe mantenerse en el tiempo (uniformidad) antes de poderse mejorar. La
Gestión de Calidad (GC) amplía dicho concepto, uniendo la calidad de
diseño y la calidad de conformidad, a fin de garantizar la aptitud para el uso y la minimización de la variabilidad.
Es necesario citar que para Font (2015), actualmente, implantar un Sistema de Gestión de Calidad en una organización, tanto pública como privada, supone otorgar a sus productos y/o servicios, de una elevada cualificación, distinción que los diferencia respecto de su entorno y que implícitamente les reporta un valor añadido, máxima en la economía de libre mercado.
Siguiendo con este autor, implantar un Sistema de Gestión de Calidad supone dotar a una organización de las herramientas de gestión necesarias que aseguren que los productos manufacturados (o los servicios prestados) son conformes a la norma establecida. Obvia e implícitamente este hecho se relaciona con la calidad del producto y/o servicio generado: las organizaciones que se esmeran por la calidad de los servicios que prestan, se enfocan por la calidad de los productos que ofrecen por ello, gustan ofrecer productos de alta calidad.
Para la organización The British Standards Institution (2015): las ventajas de la implementación de los Sistemas de Gestión basados en ISO 9001, le permite a las organizaciones del mundo convertirse en un competidor más consistente en el mercado; mejorar la Gestión de la Calidad que ayuda a satisfacer las necesidades de sus clientes.
De igual forma, implementa métodos más eficaces de trabajo que ahorran tiempo, dinero, recursos, mejor desempeño operativo que reducirá errores y aumentará los beneficios, motiva, aumenta el nivel de compromiso del personal a través de procesos internos más eficientes, aumenta el número de clientes de valor a través de un mejor servicio de atención al cliente, amplía las oportunidades de negocio demostrando conformidad con las normas.
Por lo tanto, es viable para cualquier organización sea cual fuera el
tamaño de su empresa con una norma reconocida en todo el mundo que
puede lograr en estas instituciones ahorrar dinero, aumentar beneficios, conseguir más oportunidades de negocio, satisfacer las necesidades de más clientes.
En el modelo de Gestión Integral de la Calidad se establecen las bases del sistema de calidad, los principios y procesos de la gestión de calidad, un procedimiento para el diseño del sistema de calidad, una metodología de evaluación del sistema y una metodología para la implementación del sistema (Delgado,1998).
Los principios representan el fundamento y las regularidades más importantes de la gestión de calidad, siendo éstos para la Investigación y el desarrollo (I+D), (Delgado,1998-2): Principio 1. La gestión de calidad se extiende a todos los niveles de dirección, y la alta dirección es la máxima responsable por la calidad. Principio 2. La gestión de calidad se analiza en todos los procesos que intervienen en el desarrollo del producto y se orienta a los clientes internos y externos. Principio 3. Todas las actividades del desarrollo de nuevos productos deben estar estandarizadas, lo que incluye los requerimientos regulatorios de la industria y de la ISO 9001:2015.
Continuando con el Principio 4. La Investigación y Desarrollo (I+D) debe ser integrada en un proyecto que se ha de gerenciar y trabajar en equipo.
Principio 5. La gestión de la calidad en el desarrollo de nuevos productos de la organización requiere de la participación activa de todos los integrantes del equipo. Principio 6. La calidad debe ser evaluada en todas las etapas del desarrollo del producto y los resultados deben servir de retroalimentación al sistema de calidad, que también debe ser evaluado para su mejoramiento continuo.
La norma de calidad introdujo en su cambio reciente a la Gestión de
Riesgos, un fin de este cambio es, el refuerzo en el uso del sistema de
gestión como una herramienta de gobernanza y ayudará a identificar las
oportunidades de negocio que contribuyen a mejorar los resultados. El
concepto de la gestión del riesgo es ampliamente conocido, su significado
difiere altamente entre las diferentes profesiones. Por ejemplo, Halman (1994) y Olsson (2006) revela que el significado de la gestión del riesgo varía cuando se utiliza por el economista, el sociólogo, el geólogo, el estadístico, el médico o el ingeniero.
Según Olsson, incluso dentro de la disciplina de ingeniería el significado de la gestión de riesgos difiere ampliamente. Esta situación plantea dificultades que podrían causar confusión y errores. Entre las muchas definiciones, Clayton (2001) define directa la gestión de riesgos como la aplicación general de las políticas, los procesos y las prácticas de trato con el riesgo.
Por lo tanto, la gestión de riesgos debe ser bien definida y comprendida la responsabilidad dentro de la totalidad de la organización le corresponda a cada dueño de proceso; esto no sucede en las organizaciones modernas. De acuerdo con la definición en la Guía ISO 73 la ISO (2007), precisa la gestión del riesgo consiste en la coordinación de actividades para dirigir y controlar una organización con respecto a los riesgos.
La noción de actividades coordinadas indica el carácter explícito de la gestión de riesgo. Estas simples definiciones acerca de gestión del riesgo han demostrado su valor práctico en ingeniería y construcción. Dada la incertidumbre inherente del riesgo, así como la imposibilidad de verificación directamente la eficacia de la gestión de riesgos y la eficiencia, Van Staveren (2006) considera la gestión del riesgo como una especie de gestión de las expectativas aplicadas en las empresas de construcción.
Para López, S (2015), Un Sistema de Gestión de la Calidad es un
método de trabajo que recoge documentalmente la totalidad de las
actividades de una empresa. La gestión de la calidad es una herramienta
más a tener en cuenta para realizar el cambio, como adaptarse a nuevas
circunstancias. Está en constante revisión y evolución. Una de sus grandes
ventajas radica en que el disponer de un sistema implantado permite unificar
los criterios, sirviendo de interface con otras empresas que también disponen de similares sistemas.
Mora (2004), la gerencia moderna, especialmente la que concierne las Pymes, no puede pasar por alto las características que los actuales escenarios empresariales presentan, en donde se manifiesta una dinámica competitividad entorno a la calidad y productividad son requisitos fundamentales para permanecer en los mercados.
Por su parte Martínez (2011) aporta, “Quizás el factor más importante en las iniciativas de calidad exitosas en Pymes es el reconocimiento por parte de la directiva de que un enfoque en la calidad ofrece beneficios, lleva al logro de los objetivos de la organización, evitando sus fracasos y ayudando a superar los obstáculos que las aleja de ser altamente exitosas.
Algunos académicos han llegado a establecer la relación de la calidad y la innovación como dos conceptos centrales de nuevas teorías económicas de la empresa, o como modelos de comportamiento empresarial en el ámbito normativo (Perdomo, 2010).
Por otra parte, el papel de la innovación junto al desarrollo tecnológico sobre la productividad, la competitividad de las empresas, el bienestar de la sociedad, el progreso de los países, han despertado el interés de los investigadores de diferentes ámbitos que han realizado estudios sobre los factores que afectan la innovación. Para articular la variable de Calidad con el tema de Innovación empresarial, lo más cercano es Arraut (2010), los sistemas de calidad y su relación con la innovación organizacional en las empresas, permiten mostrar un sistema de calidad como innovación organizacional que impacta positivamente en la calidad; por tanto, en la productividad de las empresas.
Los sistemas de dirección de las empresas son medios esenciales que
permiten mejorar la capacidad de innovación; a su vez, son innovaciones
organizacionales. En este estudio se puede apreciar cómo la planeación
estratégica, el sistema de gestión de la calidad y su mantenimiento se
convierten en un campo adecuado para implementar la cultura de la innovación.
A nivel Latinoamericano se encuentra a Atehortua, Bustamante y Valencia (2008), expresan que existen deficiencia las cuales se ven reflejadas en la falta de implementación de sistemas tecnológicos de información dentro de las empresas y organizaciones, de este modo se presenta un nivel de satisfacción bajo en los clientes con los servicios o productos que ofrecen los proveedores, lo que deja por desarrollar el proceso de mejora continua por la necesidad de formación constante en los trabajadores.
En materia de articular las variables de estudio calidad y gestión de riesgos a nivel de estudios de tesis doctorales hay oportunidades por profundizar y aportar a los antecedentes en un contexto latinoamericano, sin embargo en este tema existen varios autores que articulan el tema de riesgo al factor climático, riesgo a la variable financiera y mercados de capitales.
Para Romero y compañía (2007), la gestión de riesgos implica la toma de decisiones en la práctica, el mismo que debe estar alineado al objetivo de la empresa. Muchas veces los riesgos aparentemente no importan, pero a mediano plazo sí que importan. Finalmente; en la práctica los riesgos que se pueden materializar en cualquier tipo de proyecto de ingeniería o administración se toman con mucha presión, cuando en la política de la empresa se debe implementar un plan de gestión de riesgos, algo que no se hace en la práctica por motivos económicos.
La Comunidad de Estados Latinoamericanos y Caribeños (CELAC), la
gestión de la calidad se refleja algunos aportes. Noguez (2015), El concepto
de pensamiento basado en el riesgo siempre ha estado implícito en la norma
ISO-9001, aunque en esta nueva versión se fortalece y se incorpora a todo el
Sistema de Gestión de la Calidad. En la versión 2015 de ISO 9001, este
concepto reforzado se incorpora en los requisitos de establecimiento,
implementación, mantenimiento y mejora del Sistema de Gestión de la Calidad.
Así mismo, eliminar por completo el riesgo de una organización no es posible, es necesario encontrar el equilibrio entre los esfuerzos invertidos en su gestión y el riesgo residual que queda. Las organizaciones deben comenzar en esta actividad, la gestión de riesgos no es una labor difícil, debe de considerarse todas las formas posibles de atender el riesgo.
Para ISO 9001 (2015), es imprescindible identificar e implementar controles efectivos sobre los procesos de gestión de calidad empleando el enfoque basado en riesgos. Este cambio viene incorporado en el Anexo SL de la norma, por tanto va a afectar a todas las normas que desde su publicación en adelante se revisen o se creen. El enfoque basado en riesgos viene incluido en varias cláusulas de la norma ISO 9001 versión 2015, especialmente es destacable en el enfoque a procesos, el liderazgo y la planificación. Esto hace imprescindible para todas las organizaciones el uso de herramientas de gestión de riesgos. El enfoque basado en riesgos significará un fortalecimiento del Sistema de Gestión de la Calidad de todas las organizaciones.
A nivel Latinoamericano, Martínez-Mediano, C y Arribas, J (2016), La norma ISO 9001 establece unos criterios para definir e implementar un Sistema de Gestión de la Calidad que proporcione confianza en la conformidad de un bien o servicio con los requisitos (legales, de los clientes o de la propia organización) previamente establecidos.
La determinación de las necesidades y expectativas de los
beneficiarios, el desarrollo de procesos para cumplir con esas y otras
necesidades, proporcionando un bien o servicio previamente diseñado, el
análisis de la satisfacción de los beneficiarios y la adopción de medidas de
acuerdo con los resultados de la evaluación, para mejorar esta satisfacción,
son el centro de los SGC ISO. Estos SGC ISO se basan en los principios de
gestión de la calidad (ISO 9000:2015,) que, a su vez, son aplicables a las organizaciones.
En Colombia en materia de gestión de la calidad y gestión de riesgo se encuentran en el sector público, la presencia de leyes, directrices con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Departamento Administrativo de la Función Pública – DAFP, establece una metodología y se contextualiza para estas instituciones un marco normativo.
De esta forma, se identifica: Ley 87 (Modificada parcialmente por la Ley 1474 de 2011), Decreto 1537 - Artículo 4, Decreto 1599, Manual de implementación MECI, Resolución 9862 Interna del Ministerio de Educación Nacional, NTC GP:1000, Decreto 4485, por el que se adopta la actualización de la NTCGP 1000 a su versión 2009, Guía de Administración de riesgos del Departamento Administrativo de la Función Pública, Ley 1474 – Artículo 73, Decreto 2641, la más reciente la resolución del ministerio de trabajo 1072 del 2015.
Así mismo, se referencian Estándares y normas enmarcadas dentro de las mejores prácticas para la Gestión Integral de Riesgos: ISO-31000: 2009 NTC-OHSAS 18001:2007 Sistemas de Gestión en Seguridad y Salud Ocupacional. Norma ISO14001: 2015 Sistema de Gestión Ambiental.
AS/NZS 4360:2004 Estándar Australiano„ Administración de Riesgos‟. NTC- ISO-26000: 2010 Responsabilidad Social. COSO – ERM: 2004; Framework for Enterprise Risk Management.
En Colombia, en el sector privado según Muñiz (2009), las empresas
carecen de gestión de calidad, así se evidencia la integridad de las mismas
en el mercado globalizado competitivo, la fuente de este fenómeno es la
resistencia al cambio; con este panorama esto es un riesgo que hay que
gestionar desde el proceso de talento humano y considerar en un proceso
estratégico. Es decir, los integrantes de una organización no consideran,
captan, integran y le dan tratamiento a la información que se requiere para la
excelencia organizacional con un enfoque de prevención.
Cabe señalar, que existe una Guía de Diagnóstico utilizada para implementar el Sistema de Gestión de la Calidad bajo la Norma Técnica de Calidad en la Gestión Pública NTC GP 1000:2009, se registra la importancia a la capacitación en materia de calidad, buscando como fin el conocimiento del personal involucrado en los procesos de implementación, mantenimiento y mejora de los sistemas de gestión de la calidad.
Este factor, junto a la transición de la actualización de la norma ISO 9001:2015, surge la necesidad que los gerentes consideren preparar al personal en materia de gestión de riesgos, con fin de lograr la mejora continua, la identificación de factores competitivos y la satisfacción del cliente. Por su parte, Alderete y Gutiérrez (2012), señalan que las empresas colombianas tienen diferencias en lo que se refiere a la adaptación de variables como implementación tecnológica con la gestión de la calidad como una de las herramientas para satisfacer el cliente.
Es notable señalar, la importancia que cobra una buena administración de Gestión de Riesgo, que integrada a la implementación, mantenimiento de los sistemas de gestión de la calidad, junto con ellos la correcta integración de los principios de la Calidad: enfoque al cliente, liderazgo, compromiso y competencias de las personas, enfoque basado en procesos, mejora continua, toma de decisiones informadas, gestión de las relaciones. A estos principios rectores de calidad, se señalan los principios para la aplicación de la gestión de riesgos han sido proporcionados por varias instituciones, como expertos en la práctica profesional.
La gestión del riesgo, por ejemplo, la norma ISO 31000 (2009),
presenta los principios más genéricos once para la gestión eficaz de los
riesgos dentro de una organización. De acuerdo con esta directriz, la gestión
de riesgos debe: 1. Crear valor al contribuir al logro demostrable a los
objetivos; 2. Sea una parte integral de los procesos organizativos normales,
sin ser un independiente la actividad; 3. Ser parte de la toma de decisiones,
dando prioridad a las acciones y la distinción entre cursos alternativos de
acción; 4. abordar explícitamente la incertidumbre al tratar con aquellos aspectos de la toma de decisiones que son inciertos.
De la misma manera, se encuentra, 5. Ser sistemático y estructurado mediante el uso de enfoques posibles que producen resultados consistentes, comparables y fiables. 6. Basarse en la mejor información disponible, incluyendo fuentes como experiencia, opiniones de expertos, la retroalimentación, la observación, las previsiones, mientras que reconociendo las limitaciones de los datos y el modelado, así como las divergencias entre las opiniones de expertos; 7. Estar alineado con el contexto externo e interno de la organización, ya que es perfil del riesgo.
Siguiendi con los principios se encuentra: 8. Tomar en cuenta los factores humanos, mediante el reconocimiento de las capacidades, percepciones y las intenciones de las personas externas e internas que puede apoyar o obstaculizar el cumplimiento de los objetivos de la organización. 9. Ser transparente e inclusivo, involucrando a tiempo a todos los interesados con su percepciones y tolerancia al riesgo, así como a todos los niveles de la organización.
Para concluir: 10. Ser dinámico, iterativo y ser continuamente detectar y responder al cambio, mediante la supervisión y la revisión; 11. Ser capaz de mejora continua y la mejora, mediante el desarrollo de estrategias para mejorar la madurez riesgo de la organización junto con todos los demás aspectos de la organización.
En lo que corresponde al departamento de Santander y Norte de
Santander – Colombia, las organizaciones presentan una implementación de
gestión de riesgos en sistemas de gestión en control y seguridad BASC; la
cual consideró la seguridad en los sistemas de información. Según
observaciones no sistematizadas provenientes de ejercicio de auditoria, las
empresas presentan deficiencia en la integración de la Gestión del Riesgo a
los sistemas de Gestión; tanto los gerentes como los trabajadores dueños de
procesos junto a los operativos no le asignan la importancia a los principios
de sistemas de gestión de calidad y menos a los principios de gestión de riesgos.
Es decir que no es completa la satisfacción de los clientes y las partes interesadas (Stakeholders), en lo que se refiere a los servicios, productos y actividades que ofrecen las organizaciones de la cadena de suministro. Los nuevos negocios, junto a las nuevas oportunidades de mercado no tienen implementado sistemas de gestión de la calidad basados en un pensamiento de riesgos y menos consideran un sistema de gestión de riesgo.
Tomando en consideración lo anterior, al existir diferencias en el principio de satisfacción del cliente, al no existir una clara forma de abordar la gestión de riesgos considerándola en la implementación de sistemas de gestión de la calidad que agreguen valor a la continuidad del negocio y la transición de las empresas certificadas por las versiones ISO 9001:2008 y BASC.
Se hace presente la ausencia de mejora continua de los procesos de calidad, esto podría deberse a la necesidad de una formación continua de los procesos de calidad, junto a una formación continua de gestión de riesgos en todos los procesos de la organización, también esto pudiera deberse a la formación, la reflexión de los procesos de cambio como herramientas de innovación y adaptación a la comprensión de los avances en tecnología, que con ellos las empresas deben de adaptarse a las nuevas exigencias del mercado.
Además, persiste la deficiencia con los elementos de integración de la
gestión de la calidad a la estrategia del negocio, con ello la necesidad de
integrar la gestión de riesgos en todos los niveles de la organización a la
estrategia de la organización, tal como lo indica Alderete y Gutiérrez (2012),
cuando precisa que los elementos de la gestión de la calidad es una de las
partes importantes en toda organización, específicamente en los procesos
gerenciales, misionales, las prioridades y métodos utilizados para mantener
el producto dentro de un estándar de calidad en un mercado competitivo.
Así mismo. Noguez (2015), complementa evaluar la vulnerabilidad de la organización para cada uno de los riesgos identificados, la vulnerabilidad depende de la probabilidad que el riesgo se materialice y del coste en el cual implicaría que esto ocurriese. De este modo, una organización debe cuantificar los riesgos identificados, es decir establecer cuáles son conveniente tratar y cuáles no, según corresponda. Si la materialización de un riesgo supone un coste económico menor que la gestión del mismo es necesario plantearse un análisis más profundo del mismo, esto es perentorio considerarse.
Aunado en lo anterior, dentro de las empresas que forman parte de la cadena de suministro del mercado internacional en el Oriente Colombiano, es necesario tomar en cuenta los lineamientos de gestión de la calidad, con ellos la gestión de riesgos, ya que complementa en la metodología de continuidad, como el descubrimiento de nuevos negocios a través de la validación los requisitos del cliente, pero no considera en ellos el modelo de calidad y menos la gestión del riesgo. Mientras más se robustezca el modelo de negocios orientado a la satisfacción del cliente se puede obtener mejores resultados, una mayor calidad en los productos diseñados con la inclusión de una visión por procesos.
Basado en todo lo anterior se puede señalar que de continuar la ausencia de la gestión del riesgo en la gestión de calidad en las empresas del Oriente Colombiano en los departamentos del gran Santander – Colombia, podría muchas organizaciones potenciales no generar lo que sus gerentes esperan y se alejan de la satisfacción del cliente, lo cual hoy se encuentra basado en un modelo de negocio con normas ISO 9001 y BASC que agreguen valor.
Con esta situación, se vería afectado el proceso productivo y de
prestación de servicios, específicamente los sistemas de gestión de calidad
en ausencia de una gestión de riesgo que se requiere; situación que coloca
ya en riesgo la continuidad del negocio, el riesgo de permanencia en el
mercado. En otras palabras, la gestión de la calidad junto a una gestión de riesgos requiere de una consideración inmediata en la estructura de los nuevos modelos de negocios de las empresas del Oriente Colombiano, es decir los aspectos concernientes a la estrategia, la cultura corporativa, los atributos de las organizaciones deben de cuidar estos aspectos concernientes a considerar la satisfacción del cliente y gerenciar la incertidumbre.
En vista de lo planteado, es necesario desarrollar una investigación donde se pueda validar, analizar la gestión integral de riesgos tecnológicos en la gestión de la calidad en las empresas del Oriente Colombiano más específicamente los departamentos de Santander, Norte de Santander. Este análisis se puede desarrollar a través de la identificación de los principios de la calidad y los principios de la gestión de riesgos, definir los elementos de gestión de calidad y la gestión de riesgos además de caracterizar una posible nueva metodología que permita agregar valor a los negocios de las empresas.
Por otro lado, las empresas del Oriente Colombiano certificados por ICONTEC y BASC bajo las normas ISO 9001:2008 y BASC V4 2012, deben considerarse en una metodología ampliada los datos de los requisitos del cliente en un contexto de gestión de riesgos interno y externo para una identificación adecuada de las variables de continuidad del negocio y las herramientas TIC que el mercado requiere.
1.1 Formulación del Problema
¿Cómo es la Gestión Integral de Riesgos Tecnológico en los sistemas integrados de gestión de la calidad de las empresas del Oriente Colombiano?
1.2 Sistematización del Problema
¿Cuáles son los principios de la gestión integral de riesgos en tecnología y los principios de gestión de calidad que requieren las empresas del Oriente Colombiano?
¿Cuáles son los elementos de la gestión integral de riesgos y gestión de calidad han implementado las empresas del Oriente Colombiano?
¿Cuáles son las funciones de la gestión integral de riesgos y la gestión de la calidad en la Gerencia de las empresas del Oriente Colombiano?
¿Cuáles son las ventajas del Sistema de gestión integral de Riesgos y gestión de la calidad en las empresas del Oriente Colombiano?
¿Qué elementos deben de considerar las empresas del Oriente Colombiano que permita integrar la gestión integral de riesgos en la la gestión de la calidad al modelo de Gerencia de Gestión?
2. Objetivos de la Investigación
2.1 Objetivo General
Analizar la gestión integral del riesgo tecnológico en la gestión de la calidad en las empresas del Oriente Colombiano (Santander y Norte de Santander)
2.1 Objetivos Específicos
Identificar los principios de la gestión integral de riesgo tecnológico en las empresas del Oriente Colombiano.
Establecer las fases de implementación de la gestión integral de riesgo
tecnológico basado en la norma ISO 31000:2009.
Caracterizar el proceso de la gestión integral de riesgo tecnológico en las empresas del Oriente Colombiano.
Describir las ventajas en los Sistemas de Gestión de la calidad en las empresas del Oriente Colombiano.
Determinar las herramientas de Gestión de la Calidad en las empresas del Oriente Colombiano
Identificar las técnicas de control en la Gestión de la Calidad en las empresas del Oriente Colombiano
Generar lineamientos teóricos-prácticos para la gestión integral de riesgos tecnológicos en la gestión de la calidad de las empresas del Oriente Colombiano.
3. Justificación de la investigación
La investigación se justificó en 4 ámbitos; desde la perspectiva teórica, se planteó revisar, documentar y analizar de forma sistematica la literatura, aportes teóricos a las variables de estudio con el fin de comprender la situación actual de las organizaciones existentes en los departamentos de Santander, Norte de Santander con respecto a la gestión integral de reisgos en la gestión de la calidad. Así mismo, aporta nuevos conocimientos, reune los conceptos existentes de las variables estudiadas.
En el segundo ámbito, esta investigación será práctica porque los
resultados obtenidos podrán servir de referencia para corroborar el estado en
que se encuentran las organizaciones para gestionar integralmente los
riesgos tecnológicos, y poder describir las ventajas logradas en la integración
con la gestión de la calidad. Se propone que esta investigación sirva como
fuente de caracterización, tipificación, conformación y determinación de la
gestión del riesgo en la gestión de la calidad. De modo que aporte a la
identificación de las deficiencias en el proceso de gestión de riesgos
tecnológicos en las empresas de los departamentos de Santander, Norte de Santander.
En tercer ámbito metodológico, será referente para otros estudios. Se sustenta en generar lineamientos estratégicos que pueden permitir la implementación de la gestión integral del riesgo en la gestión de la calidad como apoyo a la prevención de riesgos tecnológicos u otros riesgos por procesos. Puede contribuir significativamente a la base de conocimientos científicos muy limitada acerca de la implementación de metodologías de gestión de riesgos existentes en las organizaciones en general, y en la industria Colombianas en particular.
En el cuarto ámbito Social, los beneficios para el gran Santander como región que emprende registrará sus avances en la generación de estrategias para la toma de decisiones gestionando el riesgo tecnológico en los sistemas de gestión de calidad, para los docentes y estudiantes será referente de estudio y consulta; para las empresas, comunidades, fue un aporte socio-económico para complementar y asesorar las organizaciones que persisiten en metodología en gestión de la calidad total buscando obtener ventajas competitivas.
Finalmente desde el punto de vista juridico, esta investigación aporta a la gestión de los mandatarios locales en el documento CONPES 3701 y CONPES 3854 del Consejo Nacional de Política Económica y Social Republica de Colombia - Departamento Nacional de Planeación, elementos teóricos investigativos para estudiar e identificar en el Oriente Colombiano como se encuentra la capacidad de las organizaciones en la gestión integral de riesgos tecnológicos para enfrentar las amenazas, tecnológicas, cibernéticas y la política nacional de seguridad digital.
4. Delimitación de Investigación
