Gestión del riesgo operacional Implementación, datos y analítica · 2020-02-08 · Pregunta de...

Gestión del riesgo operacional

Implementación, datos y

analítica

Mayo 2019

IdentifyRisks

Assess and Measure

RisksRespond to Risks

Design & Test Controls

Sustain & Continuously

Improve

Develop and Deploy

Strategies

Monitor, Assure & Escalate Risk Intelligence

To Create &Preserve Value

Identificarriesgos

Evaluar y medir

riesgos Responder alos riesgos

Definir y probar

mitigación

Mejora continua ysustentable

Desarrollo deestrategias

Monitoreo

INTELIGENCIAEN RIESGOS

1

2

3

4

5

6

7

RIES

GO

S C

OR

PO

RA

TIV

OS Estratégicos

Operacionales

Financieros

RegulatoriosProcesos de

Soporte

Procesos Operativos

Procesos de Gobierno

Corporativo

PR

OC

ES

OS

DE N

EG

OC

IO

Aumento de ingresos

Optimización de costos

Efectividad de los activos

Atención de las expectativas

VALOR A LOS ACCIONISTAS

Enfoque de Empresa Inteligente en riesgos

Agenda

Riesgo Operacional - Estado actual y desafíos

Ruta hacia adelante

2.1 Caracol Televisión

2.2 Refocosta

2.3 Koba

Integración y Optimización

Tecnología habilitadora – GRC

Tecnologías emergentes – Análisis Predictivo

Pregunta de Sondeo #1

1. Problemas de gestión del cambio2. Mala calidad de los datos3. Ineficiencias del proceso4. Falta de tecnologías adecuadas5. Falta de capacidades predictivas6. No sabe / no aplica

¿Cuál cree que será el mayor desafío del programa de gestión de riesgo operacional (GRO) de su organización en los próximos 12 meses?

Desafíos GROMuchas empresas están reevaluando sus modelos operativos de gestión de riesgos a través de las tres líneas de defensa (LOD) y buscan transformar sus programas de GRO para abordar desafíos específicos

Ineficiencia en Procesos / Costos

• Ineficiencias de procesos y modelo operativo

• Prácticas de gestión de riesgos en silos

• Requerimientos regulatorios incrementan el número de empleados

Infraestructura de TI obsoleta

• Fuentes y sistemas de datos fragmentados (por ejemplo, autoevaluaciones de riesgos y control (RCSA), eventos materializados / pérdida, indicadores de riesgo clave (KRI)

• Subinversión en infraestructura tecnológica

Gestión reactiva de riesgos

• Status Quo reactivo• Fallas en el acceso a datos granulares y de

alta calidad.

Falta de claridad en Roles y Responsabilidades

• Falta de definición en roles y responsabilidades

• Responsabilidades redundantes• Transición de las responsabilidades de GRO

de 2da LOD a 1era LOD

Copyright © 2019 Deloitte Development LLC. Todos los Derechos Reservados.

Gestión del riesgo operacional: Implementación, datos y análisis 5

Riesgos operacionales emergentesLas instituciones han enfrentado un rango de riesgos operacionales en la última década. Aunque el riesgo cibernético sigue siendo una de las mayores preocupaciones de la GRO, han surgido varios riesgos que requieren un mayor enfoque

Pre-crisis financiera 2008 Exceso de confianza

Enfoque-regulatorio

(2008-2016)

Enfoque estratégico

(Post 2016)

EJEMPLO SECTOR FINANCERO Riesgos emergentes

92% Mercado 89% Credito 87% Cartera yCaptaciones

87% Liquidez



57% Reputación 56% Operacional 54% Resiliencia empresarial

51% Modelo de negocio 50% Conducta y Cultura

46% Estratégico 40% Terceros 35% Geopolítica 34% Integridad de datos

Ciber y Privacidad de Datos

Conducta y Cultura

Cumplimiento Normativo Interrupción de Negocios

Modelo de Gestión de Riesgos Estratégico

Datos Practicas Comerciales

Tercero Activos digitales

Continuidad de negocios / Recuperación de desastres

Crimen financiero y Fraude

Riesgo de Estado Financiero

¿Qué tan bien está su organización manejando varios tipos de riesgos? 1

Porcentaje de respuesta extremadamente efectivo o muy efectivo

La gestión de riesgos tradicionales se percibe como altamente efectiva

En cambio, tienen menos confianza en su gestión de los riesgos no financieros…

1 Deloitte’s Global Risk Management Survey, 11th edition (Jan 2019).

https://www2.deloitte.com/content/dam/insights/us/articles/4222_Global-risk-management-survey/DI_global-risk-management-survey.pdf

Ilustrativo

https://www2.deloitte.com/content/dam/insights/us/articles/4222_Global-risk-management-survey/DI_global-risk-management-survey.pdf

ExpectativasLas organizaciones buscan transformarse en un GRO más dinámica alineada con la estrategia, la resiliencia, protección de ventajas competitivas y la generación de resultados financieros

1

2

3Copyright © 2019 Deloitte Development LLC. Todos los Derechos Reservados.


Perspectiva

• Aviso proactivo y comprensión del riesgo

• Capacidades predictivas, datos de más calidad

• Enfocado en decisiones estratégicas

En tiempo real

• Procesos optimizados y mejorados

• Información más cercana al tiempo real

• Fácil adopción por 1er LOD

Con menos recursos y menores pérdidas

• Asignación de recursos basada en riesgos

• Más protección de valor

Pregunta de sondeo#2

1. Si

2. No

3. No sabe / no aplica

¿Cree que eventos de riesgo operacional significativo impactarán el valor a los accionistas en el largo plazo?

Marco de gestión de riesgo operacional (GRO)Un GRO efectivo consta de ocho componentes

Un GRO que pueda ser adaptado a dominios específicos de riesgo operacional

Ilustrativo

Componentes del marco y descripciones

Negocios

Dominios de riesgo

Governance & risk culture

Risk infrastructure

& tools

Estrategia, políticas,

procedimientos y controles

Evaluación demonitoreo ypruebas

Capacitación y comunicaciones

Reputación y eventos externos

Datos, mediciones y reportes

Escalamiento y resolución

Gente

Proceso Tecnología

1

2

3

5

6

7

8

4

Gobierno y cultura del riesgo

Roles y responsabilidades claros y fuerte cultura de riesgo

Infraestructura de riesgo y herramientas

Definición de riesgo operacional, taxonomía, herramientas y datos

3 Estrategia, políticas, procedimientos, controles

4 Capacidad para abordar la complejidad del riesgo operacional y el apetito al riesgo

5 Evaluación de riesgos, monitoreo y pruebas

6 Alcance y frecuencia definidos para monitoreo y pruebas

7 Datos, mediciones y reportes

8 Identificación oportuna, medición y reporte de riesgos

9 Capacitación y comunicaciones

10 Necesidades formativas y plan de desarrollo

3 Escalamiento y resolución

4 Transparencia, monitoreo de asuntos, planes de remediación

5 Reputación y eventos externos

6 Vigilancia de eventos externos y revisión de datos históricos para identificar eventos de pérdida potencial


9

Gobierno y Cultura

Infraestructura y herramientas

PrincipiosUna transformación exitosa de un programa GRO requiere un modelo de ejecución alineado con los objetivos del negocio

Visión del riesgo Alineada con la visión de riesgo empresarial

Considera beneficios de corto y largo plazo

Enfocarse primero en el proceso, luego en la tecnología

Define roles, responsabilidades y autoridad de decisión claramente

Enfoque simple y relevante para las líneas de negocio

Se apalanca en lo que ya existe



Sostenible y escalable

(prueba de concepto donde sea factible)

Líderes de riesgo educados, avance en cultura de riesgo

Valor

Primero Procesos

Roles claros

Relevancia

Influencia

Sostentabilidad

Cultura de riesgo

Ruta hacia delanteLas organizaciones deben considerar tres fases evolutivas en la transformación de sus programas GRO

Integración y optimización

• Identifique las sinergias y las oportunidades de optimización a través de las funciones de gestión de riesgos de la 2da LOD, incluyendo funciones de gerencia de riesgo, gobierno, taxonomías y procesos

• Establezca un programa integrado de gestión de riesgos a través de 1ra y 2da LOD que incorpore capacidades en diferentes niveles de la organización para una toma de decisiones más eficiente y estratégica



Habilitación

• Definir la estrategia y los requisitos de la tecnología de gestión de riesgos

• Implemente soluciones prácticas como los sistemas de gobierno, riesgo y cumplimiento (GRC) para lograr una mejor visibilidad de los componentes clave de un programa de gestión de riesgos:

Agregue un lenguaje común en que permita asociar riesgos diversos dentro de la tecnología

Asocie elementos que faciliten la gestión del programa (por ejemplo, procesos, riesgos, controles, obligaciones, políticas, activos, cuentas de balance entre otros)

Crear una infraestructura efectiva para integrar datos de riesgo

Progresivo

• Identifique oportunidades e implemente automatización cuando sea posible para mejorar la eficiencia y la eficacia de la gestión de riesgos

• Una vez que las fuentes de datos son sólidas y se limpian previamente, implemente soluciones de tecnología emergente para mejorar la toma de decisiones basada en datos y habilitar la inteligencia predictiva para la gestión de riesgos

• Aproveche el análisis avanzado para detectar amenazas y oportunidades emergentes

Oportunidades para optimizar dentro de la 2da LODSe pueden aprovechar sinergias potenciales a través de varias disciplinas de riesgo para brindar eficiencia en procesos, mayor transparencia y una perspectiva valiosa

Gobierno

Racionalización de los comités de gobierno y los marcos de gestión de riesgos que respaldan el modelo organizativo en las líneas de defensa 1 y 2

Evaluación de controlesUnidad de servicios compartidos que ejecute las pruebas de 2da LOD promoviendo pruebas uniformes y eficientes

Gestión de eventos

Gestión integral de eventos que permita una identificación efectiva y agregación sistemática de eventos, junto con la priorización y coordinación entre las funciones para lograr procesos de remediación únicos y sostenibles

Reportes

Informes completos que agreguen métricas y eventos de diversas disciplinas de riesgos para lograr en lo posible, reportes integrados

Taxonomía

Una común y consistente taxonomía es fundamental para medir de manera efectiva el riesgo y realizar oportunidades de sinergias



Integración entre 1era y 2da LODSe requiere un cambio de cultura y clara definición de roles y responsabilidades para apoyar la transformación de la GRO

1er LOD – Dueño del riesgo

Último responsable de la gestión diaria del riesgo

• Desarrolla planes de gestión del riesgo• Identificación y evaluación de riesgos

• Diseño, implementación y prueba de controles

• Desarrollo, evaluación, análisis y reporte de métricas (por ejemplo, KRI)

• Análisis de información histórica de tendencias en la gestión de riesgos operacionales inherentes

• Desarrollar prácticas de ejecución alineadas con las políticas y estándares de 2do LOD

• Desarrollo y ejecución de planes de remediación de problemas

• Colaboración con 2do LOD en actividades de supervisión



2do LOD – Supervisión del riesgo

Responsable por establecer y supervisar la efectividad e integridad del marco

• Definir y establecer el marco, metodologías y taxonomía

• Entender expectativas regulatorias• Establecer apetitos de riesgo,

umbrales, y protocolos de reporte• Establecer y mantener la

infraestructura de gestión de riesgos (por ejemplo, GRC)

• Desarrollar políticas y estándares que delinean las expectativas para la 1era LOD

• Gestionar la relación con 1era LOD a través de la dirección del riesgo y la asociación

• Entrenamiento y comunicaciones continuas de 1era LOD sobre marco y expectativas

• Monitoreo desafiante basado en riesgos de la 1era LOD (por ejemplo, RCSA, pruebas de control, gestión de problemas)


1. Mejorando

2. Planificando

3. Sin cambio


¿Que estado describe mejor el programa GRO de su organización en los próximos 12 meses?

Gestión centralizada de planes de acción

Evaluación de riesgo operacional

IT GRC

LoD Funciones clave de riesgo y control realizadas en LOD

3rd Internal audit

Internal audit

planning

Project risk

assessmentAudit engagement

control testingReporting

2n

d1

st

(1

&1

.5)

ORMF component ActivityPeriodic

(infrequent)Near real-time (continuous)

Evaluación de riesgos, seguimiento y control de pruebas

Métodos de cuadros de mando ponderados y basados en factores de arriba a abajo (ET), de abajo a arriba (BY)

Evaluación de riesgos, monitoreo y pruebas de control

Muestra, observación, auto-evaluaciones

Escalada y resolución Pérdidas de eventos, incidencias, casos, incidencias

Datos, mediciones y reportes Métricas (KRIs) / datos dinámicos

Pla

tafo

rm

a y

len

gu

aje

co

mu

nes

Fuentes de datos dentro de GROLas actividades a través de LODs usan métodos subyacentes similares. Los datos se recolectan en varias frecuencias, pero la mayoría se relaciona con taxonomías comunes.

15

Auditoria Interna

Cumplimiento legal / normativo

Cambio regulatorio / gestión de reglas

Gestión de políticas y documentos

Gestión de casos e investigaciones

Evaluación de riesgos del tercero

Análisis del impacto del negocio

Plan de auditoria interna

Evaluación de riesgoAuditorías

Pruebas de controles Reporte

Evaluación de riesgosy de cumplimiento

Gestión de casos y asuntos legales

Gestión de riesgo operacional / empresarial

Captura de eventos de perdida/ recuperación

Pruebas de control y cumplimiento SOX

Gestión de métricas Autoevaluación de riesgos y controles

Gestión de asuntos y planes

Due diligence e incorporación de

proveedores.

Pruebas y visitas en sitio.

Revisión de contratos y métricas de desempeño

Gestión de terceros

Gestión de continuidad del

negocio

Diseño y Ejecución de pruebas del Plan

Gestión de crisis

Evaluación de riesgos de seguridad

Gestión de amenazas y

vulnerabilidades

Gestión de eventos de seguridad/privacidad

Pruebas de control de TI

Análisis de escenarios

Diseño del Plan

2Preliminary Findings from the OCEG GRC Technology Strategy Survey (Feb 2019). https://go.oceg.org/preliminary-findings-from-the-2019-oceg-grc-technology-strategy-survey. 77% calculated by taking the sum of ‘poor’ and ‘fair’ columns of the three enterprise categories and averaging. Graphs may not add up to 100% due to rounding.

GRC Integrado

La tecnología implementada está siendo utilizada, pero los beneficios no se logran

completamente debido a la falta de alineación.

En el futuro, la mayoría (70%) busca una plataforma común para GRC

Los estudios muestran que los programas más avanzados de gestión de riesgos conducen a un mejor rendimiento, sin embargo, en la actualidad, casi el 80% de las empresas encuestadas no han alineado la tecnología a las necesidades de gestión de riesgos.

Estado actual(2019) Estado futuro

La estrategia de solución de GRC en el futuro

100%



0 %

2%

16%

13%

31%

39%

Una "Plataforma GRC" centralizada para toda la empresa

Una "plataforma GRC" federada para ciertas categorías y soluciones "las mejores de su clase" en otras

Ddesconocido

Otro

Una gama distribuida de las mejores soluciones en diferentes categorías que operan de forma independiente

https://go.oceg.org/preliminary-findings-from-the-2019-oceg-grc-technology-strategy-survey

Las áreas de I&D han avanzado significativamente para GRC mediante tecnologías de estratificación. Poseen siete atributos críticos:

Futuro de la tecnología para integrar la gestión de riesgos

GRC provides intuitive UIX

for admin

Unstructuredand big dataconsumption

Very intuitive UIX and

on-demand intel for 1st LOD

El almacén de datos permite

la consulta estructurada /

no estructurada

Taxonomía bien

diseñada

(capa de datos del objeto)

Capa de plataforma escalable /

integrable común (soporta todas las

aplicaciones / nube)

Flujo de trabajo configurable con validación en la

capa de aplicación

El objetivo es establecer una plataforma confiable / sostenible, con un almacén de datos de alta calidad listo para aplicar análisis avanzados



Consumo de Big data y datos no estructurados

Altamente intuitivo para

usuarios e inteligencia para

1 LOD

El GRC provee esquemas

intuitivos de administración

Compliance HRTransaction

systems

IT incident/ problem

data

Eficiencia de procesos a través de la automatización de procesos robóticos (RPA), el procesamiento en lenguaje natural (NLP) y las herramientas de toma de decisiones y gestión de procesos de negocios para automatizar la recolección, limpieza y transformación de los datos de riesgo operacional aplicables.

Sistemas funcionales de negocio y datos

Arquitectura de big data de riesgo operacional mejorado, con datos "normalizados"

Lago de datos (estructurado y no estructurado, tamaño)

Motor de análisis predictivo para la identificación de patrones, correlaciones y causalidad previamente desconocidos

Analítica avanzada, capa de informes y

visualización

Aproveche la información en las líneas de defensa para promover la eficacia y la acción, sobre el protocolo y el procedimiento

Capa de lenguaje

referencial común

Org Process Risk Controls Other

Front office ssupervisory

data

Plataforma de datos de objetos comunes

Capa de almacenamiento de datos integrado

EX: TR ACL SAS SNOW Actimize

Sistema de nivel de vigilancia

4

2

6

5

RCSA Loss KRIs Scenario Issues data Analysis

1 Plataforma de gestión de riesgos operativos heredada que incluye la

infraestructura tradicional de Basilea para la cuantificación del riesgo operacional

IT GRC Conformidad Third- BCMparty

3 Plataforma de gestión de riesgos operativos heredada que incluye la

infraestructura tradicional de Basilea para la cuantificación

Infraestructura de datos mejorada

3 Formularios, flujos de

trabajo, LOVs

Arquitectura de datos de riesgo prevista para el futuro



¿Cómo funciona un marco inteligente de riesgo más predictivo? Comience con los componentes básicos y agregue con el tiempo.

Aplicaciones heredada (s)3 Cumplimiento heredado y otras aplicaciones de función3

Datos de perdida

Análisis de

escenario

Cuestiones

Cuestiones

Tercera parte

Consideraciones de transformación de GRC para la implementaciónUn programa estratégico de GRC puede satisfacer las necesidades de inteligencia de todos los LOD a medida que maduran, ya que cada LOD puede ser tanto consumidor como contribuyente de inteligencia de riesgo.

• Mediciones articuladas de retorno de la inversión

• Propiedad del programa claramente definido

• Objetivos del programa alineados con los objetivos del negocio

• Consistencia de la estructura de datos

Programa de optimización y estrategia

Herramientas GRC, datos e integración

• Procesos de riesgo integrados

• Flujos de trabajo de desafío incorporados

• La herramienta aprovecha las inversiones de I&D de los proveedores

• Pruebas de usuario de extremo a extremo

Inteligencia y sostenibilidad

• Perspectivas impulsadas desde la tecnología de GRO

• Ampliar la visibilidad en todos los dominios de riesgo

• Nueva inteligencia neta a partir de nuevas fuentes de datos

• Fácil interacción del día a día con herramientas en la 1era LOD

• Educación de líderes de riesgo

• 1er LOD utiliza la tecnología

Adopción de usuarios de negocios



Valor de la inversión

en tecnología


1. Muy por encima de las expectativas:

2. Satisface las expectativas

3. No cumple con las expectativas

4. Aún no nos hemos embarcado en la estructura de GRC


¿Cuál describe mejor la perspectiva de riesgo derivada de su estructura integrada GRC actual?

Utilizando tecnologías emergentesUna vez que se ha integrado GRO y se utiliza el poder de la tecnología de gestión de riesgos como GRC, se pueden emplear tecnologías avanzadas

Automation

Inteligencia

Herramientas utilizadas para automatizar procesos de extremo a extremo, incluso con sistemas de TI externos

Un segmento emergente que puede imitar el cerebro humano, permitiendo al software interpretar situaciones

Tecnología Descripción Ejemplos

Automatizar actividades de rutina como la recopilación de datos, la limpieza y el almacenamiento

Flujos de trabajo automatizados

Automatizar procesos de negocio y transferencias

Aprendizaje automático

Identifica el modelo predictivo más apropiado para un conjunto de datos

Modelado predictivo

Utiliza la minería de datos y la probabilidad para pronosticar resultados futuros

Las soluciones del futuro pueden ser respaldadas por una variedad de tecnologías emergentes habilitadoras

RPA

Analítica Software y/o hardware que genera perspectivas a partir de grandes conjuntos de datos

Analítica embebida

Integración de la analítica en aplicaciones de procesos de negocio

Representación de datos a través de gráficos estadísticos e informativos

Visualización



Automatización

Estrategia, Políticas, Proced. y Controles.

Datos, mediciones y reportes

Entrenamiento y Comunicaciones

Gobierno y cultura de riesgo

Infraestructura de Riesgo y Herramientas

Eval. de Riesgos, Monitoreo y Pruebas

Escalamiento y Resolución

Reputación y Eventos Externos

Uso de tecnologías emergentes en GROLas tecnologías de análisis, automatización e inteligencia pueden acelerar significativamente los procesos y ofrecer resultados de alta calidad en todos los componentes del Marco de Gestión de Riesgo Operacional

Automatización Analítica Inteligencia

Impacto de las tecnologías en los componentes GRO

Bajo impacto Impacto medio Alto impacto




1. Avanzado

2. Construcción

3. Rezagado


¿Cuál describe mejor el uso que hace su organización de las tecnologías emergentes (por ejemplo, analítica avanzada, computación cognitiva, aprendizaje automático) para administrar el riesgo operacional?

Preguntas y respuestas



Deloitte se refiere a una o más de las firmas miembro de Deloitte Touche Tohmatsu Limited (“DTTL”), una compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y de sus firmas miembro puede verse en el sitio web www.deloitte.com/about

Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de 244.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.

Esta comunicación contiene únicamente información general, ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o sus entidades relacionadas (colectivamente, la "Red Deloitte") están, por medio de la presente comunicación, prestando asesoría o servicios profesionales. Previo a la toma de cualquier decisión o ejecución de acciones que puedan afectar sus finanzas o negocios, usted deberá consultar un asesor profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable por pérdidas que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación.

©2019 Deloitte & Touche Ltda.

Gestión del riesgo operacional Implementación, datos y analítica · 2020-02-08 · Pregunta de...

Documents

Transcript of Gestión del riesgo operacional Implementación, datos y analítica · 2020-02-08 · Pregunta de...