¿Cómo considerar la gestión de riesgos operativos en la transformación digital?
A continuación los temas que cubrimos durante la sesión:
- La era digital y su impacto en el negocio.
- Cómo es el proceso de la gestión del riesgo operativo
- Cómo involucrar de manera proactiva a todos los colaboradores en la gestión del riesgo operativo
- Beneficios de una solución tecnológica para la gestión del riesgo operativo
- Demostración de solución tecnológica GRC
1. La era digital y su impacto en el negocio
Primero repasamos la 4 revoluciones industriales y su impacto en la forma de hacer negocios.
También revisamos los aspectos claves que han cambiado en los últimos años y han impactado la gestión de riesgos operativos, como los nuevos modelos digitales de negocio.
- Cambio de poder al cliente: Los clientes tienen ahora múltiples formas de comprar y pueden calificar su experiencia. Esperan el mismo tipo de servicios casi instantáneo y productos personalizados.*1
- Las innovaciones de terceros y las Fintech: Han automatizado en gran medida sus procesos y han hecho sus modelos de gestión de riesgos más precisos.*2
- Regulaciones emergentes: Nuevas regulaciones como: GDPR, LFPDPP, SOX, Basilea III, entre otras.
El futuro de la gestión del riesgo operativo en la era digital
Compartimos datos importantes como:
- 22% de los bancos han invertido más del 25% de su presupuesto de riesgo anual para digitalizar la gestión de los riesgos*3
- 70% de los bancos tiene un riesgo digital eminente*4
Plantemos las siguientes preguntas.
¿En su empresa son capaces de responder a estas? Nos gustaría conocer tu opinión en la sección de comentarios.
Identificamos los siguientes aspectos para considerar los riesgos operativos durante la transformación digital:
- Identificar los riesgos del ecosistema de una forma oportuna.
- Contextualizar los riesgos relacionados a los objetivos estratégicos, procesos de negocio y TI (de una forma integral).
- Evaluar el nivel de riesgo basado en el impacto de negocio y la probabilidad de ocurrencia, así mismo integrar el riesgo en las decisiones de transformación.
- Automatización de controles.
- Reportes Instantáneos y notificaciones en base a eventos.
- Contar con la información necesaria en tiempo real.
2. ¿Cómo es el proceso de la gestión del riesgo operativo?
Beneficios de una correcta gestión del riesgo operativo
- Ayuda a generar un mayor entendimiento de la Misión, Visión y los Valores Clave de la Organización
- Mejora la correcta y precisa identificación de Riesgos y Oportunidades asociadas
- Minimiza las pérdidas económicas.
- Asegura la permanencia de la Organización en el tiempo
- Crecimiento en la rentabilidad y en el valor del negocio
- Fortalece el sistema de control interno y de Gobierno en la Organización
- Mejora la capacidad de recuperación de la organización
- Ayuda a identificar mejores condiciones para recibir capital y financiamiento
3. ¿Cómo involucrar de manera proactiva a todos los colaboradores en la gestión del riesgo operativo?
Primero hablamos acerca de los retos para conseguir que todos los colaboradores participen de forma proactiva en la gestión del riesgo
- Apoyo de la alta dirección.
- El personal no coopera, no se ha interiorizado la gestión del RO y se piensa que solo es responsabilidad de Riesgos, de todas las personas que operan en la organización.
- En muchas empresas no existe la responsabilidad compartida.
- Falta de un esquema de incentivos (personas que reportan incidentes).
- Implementación de soluciones tecnológicas, para la comunicación efectiva del riesgo operativo.
4. Beneficios de una solución tecnológica para la gestión del riesgo operativo
- Mejora la calidad y efectividad de la administración de riesgos empresariales.
- Permite la evaluación de los riesgos en colaboración con los usuarios de negocio.
- Automatiza la consolidación de datos sobre la exposición al riesgo en la empresa.
- Permite identificar los riesgos de alta prioridad a través de seguimiento del indicador de riesgo clave (KRI).
- Elimina silos y redundancias mediante el aprovechamiento un repositorio central para almacenar todo riesgo, proceso y requerimientos de cumplimiento.
- Tiempos de respuesta eficientes a través de automatizado campañas de evaluación, cuestionarios, alertas, recordatorios y flujos de trabajo.
- Permite la generación de informes y análisis accionables para la optimización del proceso y la gobernanza sobre el riesgo.
Evaluación de una herramienta tecnológica de GRC
A continuación aspectos claves a considerar para evaluar una solución tecnológica de GRC.
- Identificar las necesidades de mi empresa.
- Realizar un estudio de viabilidad técnica y económica.
- Determinar los requerimientos funcionales.
- Elaborar un RFI, RFQ o RFP para la selección y evaluación.
- Evaluar la reputación del proveedor.
- Verificar que el proveedor de ofrezca servicios de soporte local y mantenimiento.
- Considerar la capacitación de la solución tecnológica.
5. Demo de solución HOPEX para a gestión de riesgos operativos.
Se mostraron algunos reportes que se pueden generar con HOPEX para la gestión de riesgos operativos.
Análisis de tendencia el antes y después de implementar un plan de acción.
Preguntas y respuestas de la sesión:
1. ¿Cómo se evalúa en la solución de HOPEX si los controles han sido o no eficientes?
Respuesta: Se pueden ejecutar pruebas del control para verificar su implementación. Similares a la ejecución de las auditorías.
2. La herramienta soporta de alguna forma la aplicación de alguna de las 31 metodologías de identificación y análisis de riesgo que permiten la estimación de probabilidad e impacto (arboles causales, AMEF, redes bayesianas, etc)
Repuesta: El módulo de riesgos esta estructurado de forma tal que puede utilizarse para cumplir con la mayoría de las metodologías, permite la gestión del riesgo desde su identificación, hasta el tratamiento del riesgo. Siguiendo buenas prácticas, se apega mucho a la metodología COSO ERM.
3. En el sofware, al tener los riesgos, ¿Se da un resumen en alguna matriz o algo parecido?
Respuesta: Se cuentan con diferentes reportes, como matrices de ubicación del riesgo y de mapas de calor. Así mismo hay un catálogo de riesgos que se va alimentando del registro de los mismos.
4. En esta plataforma se pueden integrar los mapas de procesos con las matrices de riesgos analizadas, a fin de visualizarlas?
Respuesta: Al ser los procesos un insumo para la gestión de riesgos, HOPEX cuenta con un módulo de documentación de procesos que se encuentra integrado con el módulo de gestión de riesgos. Se cuenta con reportes de ubicación del riesgo, con los procesos y con unidades organizacionales.
5. ¿Cuál es el modelo para la gestión del riesgo materializado?
Respuesta: Al ser un riesgo materializado, forma parte también del catálogo de riesgos, en el que se procede a hacer un análisis de la causa/raíz del riesgo, para implementar una estrategia adecuada para su tratamiento.
6. ¿Cómo implementar GRC en una empresa donde no existe la madurez suficiente?
Respuesta: Sugerimos los siguientes aspectos:
- Debe de haber una concienciación sobre la cultura de riesgo y control interno.
- Debe de haber una entidad responsable de la gestión del riesgo dentro de la empresa, ya que será a través de esta figura que se lleve a cabo la iniciativa.
- Podemos empezar a establecer una metodología, en base a buenas prácticas de gestión de riesgo y fortalecerlo a travaes de una implementación de una solución como HOPEX.
7. ¿Para la implementación en procesos productivos tienen ejemplos?
Respuesta: Para el diseño y modelado de los procesos, tenemos el producto de HOPEX BPA, en el cual puede considerarse el mapeo de los riesgos dentro del modelo de procesos.
8. ¿Cómo se gestionan los riesgos de Continuidad de Negocio y Seguridad de información en esta plataforma Hopex?
Respuesta: La gestión de este tipo de riesgos sigue el mismo proceso que se menciona en la presentación. No obstante, se pueden consideran planes de acción para temas de continuidad del negocio. Para la parte de seguridad de la información contamos con el módulo de IT Risk Managment, que permite la gestión del riesgo tecnológico.
9. ¿Cómo se puede lograr que las políticas y los estándares tengan un enfoque integral?.
Respuesta: cuando las partes de la empresa presenta una resistencia a dicha integración Haciendo un programa de gestión del cambio y apoyándonos de una solución como HOPEX, que te permite tener registradas políticas internas y externas de los procesos de negocio. Facilitando la comunicación y la asignación de responsabilidades a los responsables de las áreas de negocio.
10. ¿Pueden compartir metodologías para el tratamiento de la gestión de riesgo operativo?.
Respuesta: Hay información sobre buenas prácticas de gestión del riesgo en internet. Sin embargo, hay especialistas que te puede ayudar a implementar todo un modelo de gestión de riesgos. Si requieres acércate con nuestros partners MAZARS, especialistas en este ámbito.
11. En la definición del alcance del riesgo ¿puede identificarse el sitio donde ocurre?
Respuesta: Sí, la solución de HOPEX al integrar el módulo de procesos, podemos tener una visibilidad completa de los sitios (ejem: oficinas de la empresa) donde ocurren estos riesgos. La solución te permite vincular los riesgos a estos sitios.
12. En normas o estándares se basa el diseño de hopex ¿cumple con ISO-310001:2018?
Respuesta: Sí, la solución de HOPEX puede apoyarle con el cumplimiento de ISO-310001:2018
13. ¿Cómo deferenciar claramente cuando una pérdida se produjo por riesgo estratégico y no operacional o por reputación y no operacional?
Respuesta: Tiene que partir de hacer una taxonomía de riesgos, dentro de su metodología de gestión de riesgos. Ya que prácticamente un riesgo estratégico, normalmente viene siendo a alto nivel y se considera que se materializó por una pérdida económica importante, que pone en riesgo al mismo negocio. Si la noticia de este riesgo se hace pública, se víncula con el riesgo reputacional.
14. ¿Se pueden identificar incidentes?
Respuesta: HOPEX tiene una serie de reportes para identificar los incidentes que los puede víncular a riesgos registrados en el catálogo.
Puedes ver más detalles y el video de la sesión:
*- Encuesta Riesgo Digital IFF / McKinsey 2017
**How Retail Banks Are Adapting to Fintech Disruption: Fintech Singapore, 2016
*** Encuesta Riesgo Digital IFF / McKinsey 2017
A continuación los temas que cubrimos durante la sesión:
- La era digital y su impacto en el negocio.
- Cómo es el proceso de la gestión del riesgo operativo
- Cómo involucrar de manera proactiva a todos los colaboradores en la gestión del riesgo operativo
- Beneficios de una solución tecnológica para la gestión del riesgo operativo
- Demostración de solución tecnológica GRC
1. La era digital y su impacto en el negocio
Primero repasamos la 4 revoluciones industriales y su impacto en la forma de hacer negocios.
También revisamos los aspectos claves que han cambiado en los últimos años y han impactado la gestión de riesgos operativos, como los nuevos modelos digitales de negocio.
- Cambio de poder al cliente: Los clientes tienen ahora múltiples formas de comprar y pueden calificar su experiencia. Esperan el mismo tipo de servicios casi instantáneo y productos personalizados.*1
- Las innovaciones de terceros y las Fintech: Han automatizado en gran medida sus procesos y han hecho sus modelos de gestión de riesgos más precisos.*2
- Regulaciones emergentes: Nuevas regulaciones como: GDPR, LFPDPP, SOX, Basilea III, entre otras.
El futuro de la gestión del riesgo operativo en la era digital
Compartimos datos importantes como:
- 22% de los bancos han invertido más del 25% de su presupuesto de riesgo anual para digitalizar la gestión de los riesgos*3
- 70% de los bancos tiene un riesgo digital eminente*4
Plantemos las siguientes preguntas.
¿En su empresa son capaces de responder a estas? Nos gustaría conocer tu opinión en la sección de comentarios.
Identificamos los siguientes aspectos para considerar los riesgos operativos durante la transformación digital:
- Identificar los riesgos del ecosistema de una forma oportuna.
- Contextualizar los riesgos relacionados a los objetivos estratégicos, procesos de negocio y TI (de una forma integral).
- Evaluar el nivel de riesgo basado en el impacto de negocio y la probabilidad de ocurrencia, así mismo integrar el riesgo en las decisiones de transformación.
- Automatización de controles.
- Reportes Instantáneos y notificaciones en base a eventos.
- Contar con la información necesaria en tiempo real.
2. ¿Cómo es el proceso de la gestión del riesgo operativo?
Beneficios de una correcta gestión del riesgo operativo
- Ayuda a generar un mayor entendimiento de la Misión, Visión y los Valores Clave de la Organización
- Mejora la correcta y precisa identificación de Riesgos y Oportunidades asociadas
- Minimiza las pérdidas económicas.
- Asegura la permanencia de la Organización en el tiempo
- Crecimiento en la rentabilidad y en el valor del negocio
- Fortalece el sistema de control interno y de Gobierno en la Organización
- Mejora la capacidad de recuperación de la organización
- Ayuda a identificar mejores condiciones para recibir capital y financiamiento
3. ¿Cómo involucrar de manera proactiva a todos los colaboradores en la gestión del riesgo operativo?
Primero hablamos acerca de los retos para conseguir que todos los colaboradores participen de forma proactiva en la gestión del riesgo
- Apoyo de la alta dirección.
- El personal no coopera, no se ha interiorizado la gestión del RO y se piensa que solo es responsabilidad de Riesgos, de todas las personas que operan en la organización.
- En muchas empresas no existe la responsabilidad compartida.
- Falta de un esquema de incentivos (personas que reportan incidentes).
- Implementación de soluciones tecnológicas, para la comunicación efectiva del riesgo operativo.
4. Beneficios de una solución tecnológica para la gestión del riesgo operativo
- Mejora la calidad y efectividad de la administración de riesgos empresariales.
- Permite la evaluación de los riesgos en colaboración con los usuarios de negocio.
- Automatiza la consolidación de datos sobre la exposición al riesgo en la empresa.
- Permite identificar los riesgos de alta prioridad a través de seguimiento del indicador de riesgo clave (KRI).
- Elimina silos y redundancias mediante el aprovechamiento un repositorio central para almacenar todo riesgo, proceso y requerimientos de cumplimiento.
- Tiempos de respuesta eficientes a través de automatizado campañas de evaluación, cuestionarios, alertas, recordatorios y flujos de trabajo.
- Permite la generación de informes y análisis accionables para la optimización del proceso y la gobernanza sobre el riesgo.
Evaluación de una herramienta tecnológica de GRC
A continuación aspectos claves a considerar para evaluar una solución tecnológica de GRC.
- Identificar las necesidades de mi empresa.
- Realizar un estudio de viabilidad técnica y económica.
- Determinar los requerimientos funcionales.
- Elaborar un RFI, RFQ o RFP para la selección y evaluación.
- Evaluar la reputación del proveedor.
- Verificar que el proveedor de ofrezca servicios de soporte local y mantenimiento.
- Considerar la capacitación de la solución tecnológica.
5. Demo de solución HOPEX para a gestión de riesgos operativos.
Se mostraron algunos reportes que se pueden generar con HOPEX para la gestión de riesgos operativos.
Análisis de tendencia el antes y después de implementar un plan de acción.
Preguntas y respuestas de la sesión:
1. ¿Cómo se evalúa en la solución de HOPEX si los controles han sido o no eficientes?
Respuesta: Se pueden ejecutar pruebas del control para verificar su implementación. Similares a la ejecución de las auditorías.
2. La herramienta soporta de alguna forma la aplicación de alguna de las 31 metodologías de identificación y análisis de riesgo que permiten la estimación de probabilidad e impacto (arboles causales, AMEF, redes bayesianas, etc)
Repuesta: El módulo de riesgos esta estructurado de forma tal que puede utilizarse para cumplir con la mayoría de las metodologías, permite la gestión del riesgo desde su identificación, hasta el tratamiento del riesgo. Siguiendo buenas prácticas, se apega mucho a la metodología COSO ERM.
3. En el sofware, al tener los riesgos, ¿Se da un resumen en alguna matriz o algo parecido?
Respuesta: Se cuentan con diferentes reportes, como matrices de ubicación del riesgo y de mapas de calor. Así mismo hay un catálogo de riesgos que se va alimentando del registro de los mismos.
4. En esta plataforma se pueden integrar los mapas de procesos con las matrices de riesgos analizadas, a fin de visualizarlas?
Respuesta: Al ser los procesos un insumo para la gestión de riesgos, HOPEX cuenta con un módulo de documentación de procesos que se encuentra integrado con el módulo de gestión de riesgos. Se cuenta con reportes de ubicación del riesgo, con los procesos y con unidades organizacionales.
5. ¿Cuál es el modelo para la gestión del riesgo materializado?
Respuesta: Al ser un riesgo materializado, forma parte también del catálogo de riesgos, en el que se procede a hacer un análisis de la causa/raíz del riesgo, para implementar una estrategia adecuada para su tratamiento.
6. ¿Cómo implementar GRC en una empresa donde no existe la madurez suficiente?
Respuesta: Sugerimos los siguientes aspectos:
- Debe de haber una concienciación sobre la cultura de riesgo y control interno.
- Debe de haber una entidad responsable de la gestión del riesgo dentro de la empresa, ya que será a través de esta figura que se lleve a cabo la iniciativa.
- Podemos empezar a establecer una metodología, en base a buenas prácticas de gestión de riesgo y fortalecerlo a travaes de una implementación de una solución como HOPEX.
7. ¿Para la implementación en procesos productivos tienen ejemplos?
Respuesta: Para el diseño y modelado de los procesos, tenemos el producto de HOPEX BPA, en el cual puede considerarse el mapeo de los riesgos dentro del modelo de procesos.
8. ¿Cómo se gestionan los riesgos de Continuidad de Negocio y Seguridad de información en esta plataforma Hopex?
Respuesta: La gestión de este tipo de riesgos sigue el mismo proceso que se menciona en la presentación. No obstante, se pueden consideran planes de acción para temas de continuidad del negocio. Para la parte de seguridad de la información contamos con el módulo de IT Risk Managment, que permite la gestión del riesgo tecnológico.
9. ¿Cómo se puede lograr que las políticas y los estándares tengan un enfoque integral?.
Respuesta: cuando las partes de la empresa presenta una resistencia a dicha integración Haciendo un programa de gestión del cambio y apoyándonos de una solución como HOPEX, que te permite tener registradas políticas internas y externas de los procesos de negocio. Facilitando la comunicación y la asignación de responsabilidades a los responsables de las áreas de negocio.
10. ¿Pueden compartir metodologías para el tratamiento de la gestión de riesgo operativo?.
Respuesta: Hay información sobre buenas prácticas de gestión del riesgo en internet. Sin embargo, hay especialistas que te puede ayudar a implementar todo un modelo de gestión de riesgos. Si requieres acércate con nuestros partners MAZARS, especialistas en este ámbito.
11. En la definición del alcance del riesgo ¿puede identificarse el sitio donde ocurre?
Respuesta: Sí, la solución de HOPEX al integrar el módulo de procesos, podemos tener una visibilidad completa de los sitios (ejem: oficinas de la empresa) donde ocurren estos riesgos. La solución te permite vincular los riesgos a estos sitios.
12. En normas o estándares se basa el diseño de hopex ¿cumple con ISO-310001:2018?
Respuesta: Sí, la solución de HOPEX puede apoyarle con el cumplimiento de ISO-310001:2018
13. ¿Cómo deferenciar claramente cuando una pérdida se produjo por riesgo estratégico y no operacional o por reputación y no operacional?
Respuesta: Tiene que partir de hacer una taxonomía de riesgos, dentro de su metodología de gestión de riesgos. Ya que prácticamente un riesgo estratégico, normalmente viene siendo a alto nivel y se considera que se materializó por una pérdida económica importante, que pone en riesgo al mismo negocio. Si la noticia de este riesgo se hace pública, se víncula con el riesgo reputacional.
14. ¿Se pueden identificar incidentes?
Respuesta: HOPEX tiene una serie de reportes para identificar los incidentes que los puede víncular a riesgos registrados en el catálogo.
Puedes ver más detalles y el video de la sesión:
*- Encuesta Riesgo Digital IFF / McKinsey 2017
**How Retail Banks Are Adapting to Fintech Disruption: Fintech Singapore, 2016
*** Encuesta Riesgo Digital IFF / McKinsey 2017
-
by AlexisCamarillo
,
-
by AlexisCamarillo,
-
by AlexisCamarillo,
-
by AlexisCamarillo,
