Información del panorama total de riesgos: El nuevo oro
Febrero 07, 2023
Febrero 07, 2023
Es difícil para los líderes tomar decisiones bien informadas sin una comprensión total del entorno de riesgo y control en el que se encuentra su organización. Pero obtener este punto de vista es extremadamente difícil cuando la información sobre riesgos y regulaciones se distribuye a lo largo de toda la compañía. El uso de soluciones especializadas está creciendo, generando más y más bolsillos de datos dispares. Sin embargo, las organizaciones ahora tienen sistemas enfocados en la privacidad, informes ambientales, sociales y de gobernanza, seguridad cibernética, riesgo de terceros y reputacional, entre otros.
Por otra parte, el predominio de los sistemas de nicho refleja que la empresa se responsabiliza más del riesgo, lo cual es bueno y necesario: a medida que los riesgos crecen en impacto e interconexión, se requiere que toda la organización los gestione. Sin embargo, esto puede llevar a que los datos de riesgo se fragmenten, desalineen y dispersen en silos organizacionales, lo que impide que los líderes obtengan una vista panorámica sobre el estado del riesgo en la empresa.
Entonces, ¿cuál es la mejor manera de obtener una visibilidad completa de los riesgos más críticos? Si bien, consolidar la gestión de riesgos en un único sistema de gobierno, riesgo y cumplimiento (GRC) para toda la organización o en una solución integrada de gestión de riesgos, no es necesariamente la única respuesta. En la mayoría de los casos, el valor de un sistema GRC se deriva de su grado de integración y agregación de datos, más que de la propia tecnología. Eso no significa que todos los datos de riesgo deban consolidarse, ni que los datos tengan que interconectarse de manera constante.
De hecho, la mayoría de las organizaciones tienen varios sistemas empresariales, como SAP, Salesforce, Workday y ServiceNow. Estos proveedores de tecnología están incorporando controles de acceso, procesos de cumplimiento e indicadores de riesgo en sus aplicaciones. Al hacerlo, descartan un único sistema centralizado de gestión de riesgos y controles. Además, muchos de los procedimientos GRC actuales están diseñados para especialistas en riesgos, mientras que otros sistemas empresariales especializados tienen una interfaz de usuario más contemporánea, una funcionalidad inteligente y están mejor alineados para administrar el problema específico que intentan resolver. Por esta razón, para involucrar realmente a la organización en la gestión y propiedad del riesgo, los sistemas GRC deberían ser mucho más fáciles e intuitivos de usar. Además, algunos proveedores de tecnología GRC se están moviendo agresivamente para redefinir la experiencia del usuario y expandir el alcance de los riesgos que cubren. Es importante mencionar que resulta incierto que estos sistemas puedan ponerse al día y luego mantenerse a la vanguardia, dado el panorama de riesgos en evolución. Finalmente, en la mayoría de las situaciones, si una organización quisiera adoptar un enfoque de método único, podría ser simplemente demasiado oneroso, particularmente dado el desarrollo personalizado requerido para satisfacer requisitos complejos.
Dados los obstáculos asociados, la centralización de la gestión integral de controles y riesgos operativos puede no ser factible o apropiada para muchas organizaciones. En cambio, la mejor solución puede residir en cómo la empresa recopila, agrega, alinea y maximiza el uso de todos los datos de riesgo a su disposición. Por ejemplo, los equipos cibernéticos, contra el fraude y contra el lavado de dinero tradicionalmente están aislados dentro de una organización, pero los atacantes pueden explotar las debilidades cibernéticas mediante el diseño de malware personalizado para eludir los controles de la red. Estos hackers luego detectan brechas en los controles de fraude para obtener acceso no autorizado a las aplicaciones y las identificaciones de los usuarios, configurar cuentas bancarias fraudulentas para recibir y transferir los fondos robados y lavar el dinero robado. Este tipo de ataque atraviesa silos, aunque es difícil de lograr, la inteligencia colectiva que reside en estos silos podría unirse a través de un centro de fusión. En tal caso, ¿se defendería mejor la organización contra los perpetradores que intentan explotar las debilidades en estas áreas?
Por ejemplo, considera un gran minorista con la que trabaja PwC. Cuenta con 20 sistemas empresariales para gestionar áreas de incertidumbre específicas, como riesgo de terceros, auditoría de tiendas, privacidad y resiliencia. La empresa está implementando una solución GRC no para reemplazar estos sistemas especializados con un método centralizado de gestión de riesgos y controles, sino como una plataforma para consolidar los datos de riesgo, realizar mejores análisis y obtener una mejor inteligencia de riesgos en toda la organización. Ha diseñado sus interfaces para que cuando un incidente alcance el Nivel 1, ingrese al sistema GRC central, se trata de tener información relevante en tiempo real sobre eventos materiales. Apuntalar todo esto es una comprensión clara y común de qué riesgos son los más importantes para el negocio y cuál es el apetito de la organización por esos riesgos.
En un entorno de riesgo impredecible, incierto y que cambia rápidamente, el uso de la tecnología para detectar, prevenir y mitigar el riesgo es esencial para la recopilación de inteligencia, el análisis, el monitoreo continuo y la eficiencia. En muchos casos, los sistemas en los que se encuentra la información de riesgos no están dañados, pero pocos riesgos pueden gestionarse y mitigarse en silos aislados.
Es necesario un método para consolidar de manera efectiva los datos de riesgo de toda la organización, de hecho, el valor de tales datos es como el oro. Resolver el desafío de la consolidación respaldará la participación de toda la organización en la gestión de riesgos y proporcionará una visión de este panorama en toda la organización. También habilitará un nivel de inteligencia y supervisión del que pueden depender los líderes y los reguladores.
Este artículo está basado en el artículo "Comprehensive risk data: The new gold" de PwC Global. La traducción del texto original (en inglés) publicado en www.pwc.com es organizada y revisada por PwC Colombia.