Datos detallados sobre el riesgo: El Nuevo Oro
09 Mayo, 2022
Por: Andrew McPherson y Craig Sydney, PwC Australia
Es difícil para los líderes tomar decisiones bien informadas sin una comprensión de toda la organización de su entorno de riesgo y control. Pero obtener esta visión es extremadamente difícil cuando la información sobre riesgos y controles está distribuida por toda la organización. El uso de soluciones especializadas está creciendo, creando cada vez más zonas de datos dispares. Las organizaciones cuentan ahora con sistemas enfocados a la privacidad; a la divulgación de información medioambiental, social y de gobierno; a la seguridad; a la ciberseguridad; al riesgo de terceros; al riesgo de reputación, y a otros.
El predominio de los sistemas de nicho es un reflejo de la mayor apropiación del riesgo por parte de la empresa, lo cual es bueno y necesario: a medida que los riesgos crecen en impacto e interconexión, se necesita a toda la organización para gestionarlos. Sin embargo, esto puede llevar a que los datos sobre riesgos estén fragmentados, desalineados y dispersos en silos organizacionales, lo que impide a los líderes obtener una visión panorámica del panorama de riesgos que necesitan para actuar con audacia y propósito.
Entonces, ¿cuál es la mejor manera de obtener una visibilidad completa de los riesgos más críticos? Consolidar la gestión de riesgos en un único sistema de gobierno, riesgo y cumplimiento (GRC) para toda la organización o en una solución de gestión de riesgos integrada no es necesariamente la única respuesta. En la mayoría de los casos, el valor de un sistema GRC se deriva de su grado de integración y agregación de datos, más que de la propia tecnología. Eso no significa que haya que consolidar todos los datos de riesgo, ni que haya que interconectar los datos de forma constante.
De hecho, la mayoría de las organizaciones tienen varios sistemas empresariales, como SAP, Salesforce, Workday y ServiceNow. Estos proveedores de tecnología están construyendo controles de acceso, procesos de cumplimiento e indicadores de riesgo en sus aplicaciones. Esto descarta un sistema único y centralizado de gestión de riesgos y controles. Además, muchos de los sistemas GRC actuales están diseñados para especialistas en riesgos, mientras que otros sistemas empresariales especializados tienen una interfaz de usuario más contemporánea, una funcionalidad inteligente y sofisticada, y están mejor alineados con la gestión del problema específico que tratan de resolver; para involucrar realmente a la organización en la gestión y la propiedad del riesgo, los sistemas GRC tendrían que ser mucho más fáciles e intuitivos de usar. Además, algunos proveedores de tecnología GRC se están moviendo agresivamente para redefinir la experiencia del usuario, así como para ampliar el alcance de los riesgos que cubren. No se sabe si podrán ponerse al día, y luego mantenerse a la vanguardia, dada la evolución del panorama de riesgos. Por último, en la mayoría de las situaciones, si una organización quisiera pasar a un enfoque de sistema único, podría ser demasiado oneroso, en particular dado el desarrollo a medida necesario para satisfacer requisitos complejos.
Un renacimiento de la gestión de riesgos impulsado por los datos
Dados los obstáculos asociados, la centralización de la gestión del riesgo operacional y de los controles de principio a fin puede no ser factible o apropiada para muchas organizaciones. En su lugar, la mejor solución puede residir en cómo la empresa reúne, agrega, alinea y maximiza el uso de todos los datos de riesgo a su disposición. Por ejemplo, los equipos de ciberriesgo, fraude y lucha contra el blanqueo de capitales están tradicionalmente aislados dentro de una organización, pero los atacantes pueden explotar las debilidades del ciberriesgo diseñando programas maliciosos personalizados para eludir los controles de la red. A continuación, estos atacantes detectan las brechas en los controles de fraude para obtener acceso no autorizado a las aplicaciones y a las identificaciones de los usuarios; crean cuentas bancarias fraudulentas para recibir y transferir los fondos robados; y blanquean el dinero robado. Este tipo de ataque atraviesa los silos. Aunque es difícil de conseguir, la inteligencia colectiva que reside en estos silos podría reunirse a través de un centro de fusión. En tal caso, la organización se defendería mejor de los delincuentes que intenten aprovechar las debilidades de estas áreas?
Consideremos un gran minorista con el que trabaja PwC. Tiene 20 sistemas empresariales para gestionar áreas de riesgo específicas, como el riesgo de terceros, la auditoría de tiendas, la privacidad y la resiliencia. La compañía está implementando una solución GRC no para reemplazar estos sistemas especializados con un sistema centralizado de gestión de riesgos y controles, sino como una plataforma para consolidar los datos de riesgo, realizar mejores análisis de riesgo y obtener mejor inteligencia de riesgo en toda la organización. Ha diseñado sus interfaces para que cuando un incidente llegue al Nivel 1, entre en el sistema central de GRC. La integración por el bien de la integración, o los datos por el bien de los datos, no aportan valor. Se trata de disponer de información relevante en tiempo real sobre los eventos materiales. La base de todo esto es una comprensión clara y común de los riesgos más importantes para la empresa, y de cuál es el apetito de la organización por esos riesgos.
En un entorno de riesgo rápido, incierto e imprevisible, el uso de la tecnología para detectar, prevenir y mitigar el riesgo es esencial: para la recopilación de información, el análisis, la supervisión continua y la eficiencia. En muchos casos, los sistemas en los que está contenida la información sobre riesgos no están rotos, pero pocos riesgos pueden ser gestionados y mitigados en silos aislados. Es necesario un método para consolidar eficazmente los datos sobre riesgos de toda la organización. De hecho, el valor de esos datos es como el oro. Resolver el desafío de la consolidación apoyará la participación de toda la organización en la gestión de riesgos y proporcionará una visión de toda la organización del panorama de riesgos. También permitirá un nivel de inteligencia y supervisión del que pueden depender la dirección y los reguladores.
Contáctanos
