La gestión del riesgo es vital en la ejecución de los procesos de negocio corporativos

Cuando se habla de seguridad, cada área dentro de una organización la entiende de manera diferente. Es necesario llegar a un consenso entre todos los departamentos –y más si se trata de una entidad financiera– para conseguir un entorno seguro en el que realizar las diferentes actividades necesarias para mantener la operativa diaria.

Conocer los elementos con los que cuentan las organizaciones para minimizar los riesgos y, sobre todo, para convertir a la seguridad en un proceso continuo, fue uno de los temas que se abordó en una nueva edición del II Foro de Seguridad Avanzada, organizado conjuntamente por Ernst & Young y ComputerWorld.
La seguridad comunmente se percibe como un tema técnico que debe ser tratado y manejado por los técnicos. Sin embargo, en opinión de Enrique Martínez, senior manager de Servicios Financieros de Ernst & Young, “esto es un grave error por que la seguridad es un aspecto que afecta transversalmente a todas las áreas de negocio de una organización. Todos los procesos de negocio están sujetos al riesgo y afectan a todos los sectores y a todas las actividades, al día a día. Cuando hablamos de riesgos no sólo nos referimos a riesgos financieros, que son los que en muchos casos están mejor protegidos, sino sobre todo al riesgo operativo”.
Existen una gran cantidad de riesgos que están presentes en las operaciones habituales, que son comunes a todas las industrias y que provienen tanto de agentes externos como internos, que en la mayor parte de las veces están ocultos y latentes y, como aseguró Enrique Martínez, “cuya materialización tiene consecuencias múltiples, tanto económicas como reputacionales”.

Tópicos y realidades
Cuando se habla de riesgos, inmediatamente nos viene a la mente todo lo relacionado con grandes hackers, robo de información de alto secreto, fraudes financieros millonarios, pero como explica Enrique Martínez, “en realidad, los riesgos son simples y muy cercanos y en muchas ocasiones pueden pasar desapercibidos. La caída de los sistemas, la imposibilidad de seguir operando con la pérdida de operaciones que ello supone, la realización de compras indebidas, la insatisfacción de los clientes, las indemnizaciones fraudulentas, los contratos incumplidos o imposibles de cumplir o las informaciones confidenciales que ponemos en manos de la prensa o de nuestros competidores son realmente los riesgos a los que debemos hacer frente y que en la mayoría de las ocasiones nos pasan desapercibidos”.
Ante esta situación, es necesario que la empresa se plantee qué áreas internas son las que demandan una mayor seguridad y aquí es importante, en opinión de Enrique Martínez, contemplar que tanto clientes como proveedores, departamentos de recursos humanos, compras, contabilidad o incluso los propios empleados son demandantes activos de seguridad. “Todos necesitamos un entorno seguro”, aseveró.
Por ello, hay que contar con una serie de proveedores de seguridad, tanto internos como externos. Entre los internos hay que señalar a los departamentos de control y gestión, el de organización y los de sistemas de información y auditoría interna. Y en cuanto a los externos, para el responsable de servicios financieros de E&Y, hay que establecer un nivel de colaboración con los proveedores de hardware y software y con los proveedores de servicios, sin olvidar a los organismos oficiales.
“La solución siempre es mixta, es el resultado de la unión de ambas áreas. Los sistemas de información deben unir soluciones internas con las que ofrecen los proveedores externos”, indicó Enrique Martínez.

Qué hacer para minimizar los riesgos
Para llevar adelante las acciones encaminadas a minimizar los riesgos es necesario que las organizaciones pongan en marcha acciones destinadas a proteger los procesos y aunque algunas, como por ejemplo, las auditorías internas y externas, la existencia de centros de respaldo ya son habituales, es necesario, como señaló Martínez, “ir un paso más allá, adicionalmente al establecimiento de un un sistema de seguridad física y lógica robusto. Es preciso establecer una adecuada segregación de funciones e incorporar en los procesos de negocio y en los sistemas informáticos que los soportan controles de ejecución tanto automáticos como manuales y todo ello apoyado con revisiones periodicas y auditorías preventivas”.
Para que todas estas acciones sean eficaces es necesario que los proyectos e iniciativas asociados a la gestión de riesgos sean proyectos continuos y cíclicos, no iniciativas aisladas. “Tienen que ser específicos y diseñados para el proceso que se desea asegurar. No conseguiremos nada si no se involucra a todas las áreas de la compañía y se consigue que estos planes formen parte integral del proceso de gestión de riesgos a nivel corporativo”, afirmó Enrique Martínez. Todo ello apoyado por una metodología específica que facilita el proceso de control.
En general, Martínez aseguró que para lograrlo, “es necesario no sólo aplicar una metodología sino utilizar herramientas que permitan centralizar la información, que mejoren el seguimiento del desempeño proporcionando un flujo de reporting efectivo y optimizando la toma de decisiones”.

La opinión de los asistentes
Como en todas las jornadas organizadas conjuntamente por Ernst & Young y ComputerWorld, conocer la opinión de los asistentes fue fundamental para saber el grado de implantación de planes de seguridad en los procesos de negocio.
Como conclusión hay que destacar que la mayoría de los asistentes al II Foro de Seguridad Avanzada estuvieron de acuerdo en que las entidades financieras tienen un elevado riesgo operacional dado el objeto de su negocio. El aspecto económico tiene una clara repercusión, pero los efectos reputacionales tienen consecuencias económicas superiores a cualquier otro. Por otro lado, la gestión de los riesgos (prevención y control ) debe estar presente en la ejecución de los procesos de negocio y tiene que ser necesariamente liderada por sus responsables. Tanto el diseño y ejecución de dichos procesos, como la configuración de los sistemas y aplicativos que los soportan deben ser concebidos bajo la premisa de contener los controles y alertas necesarias que faciliten la gestión de forma proactiva.
Asimismo, se destacó la existencia de un elevado conjunto de requerimientos normativos a cumplir, pero es complejo discriminar entre aquellos que implican obligatoriedad y/o sanción y aquellos que son recomendaciones, buenas prácticas, etc. y que a corto o medio plazo se convierten en obligatorios, por lo que es necesario tener programas continuos de revisión y control, ya que el sector financiero, mantiene una elevada actividad en la gestión de riesgos y aquel que no avance estará perdiendo cierta ventaja competitiva respecto al resto.
Por último, los asistentes al encuentro de seguridad definieron diferentes niveles de madurez en lo que al control y gestión de riesgos se refiere, dependiendo del tamaño o espacio geográfico de actuación de la entidad. Igualmente señalaron que donde debe existir una elevada madurez en esta materia es en el grado de concienciación y esponsorización por parte de la alta dirección, ya que el riesgo real pertenece a la dirección general, los departamentos de auditoría, de

Whitepaper emc-cio-it-as-a-service-wp Whitepapers