Riesgo, fraude, continuidad y productividad Miguel Angel Aranguren Romero CISA, CISM, CGEIT, CRISC, CISSP, ITIL V3 FC, COBIT FC, OSCP Risk Analytics IBM Latinoamérica www.isaca.org.uy
Agenda Riesgo Fraude Continuidad y Productividad www.isaca.org.uy
Riesgo www.isaca.org.uy
Sólo el 12% de las organizaciones dicen contar con un programa integral de gestión de riesgo, aunque el 46% dice que es una alta prioridad o su prioridad más alta. Las empresas tienen una estructura organizacional que apoya el modelo de riesgo de extremo a extremo de la gestión, y asegura que la alta dirección se mantiene al tanto del modelo de riesgo. La presión regulatoria está haciendo que se aumente el interés por el riesgo: Los requisitos de cumplimiento fueron citados como motor de la gestión del modelo de riesgo en un 59% de los encuestados. Pero estos requisitos han encasillado al modelo de gestión del riesgo en una carga de costos basado en el cumplimiento más que como un posible motor para cumplir los objetivos estratégicos. Chartis The Risk Enabled Enterprise MODEL RISK MANAGEMENT, junio 2014 www.isaca.org.uy
La data es un reto importante: los datos de mala calidad y la escasez de datos son vistos como las dos fuentes de complejidad más significativas del modelo de riesgo. 72% de los encuestados dijo que ellos ven datos de mala calidad como un importante o muy importante fuente de riesgo. Retos organizativos y estructurales en la gestión de riesgos: el modelo de integración entre los sistemas de gestión del riesgo y los sistemas financieros representan una prioridad clave. Las empresas también requieren de un liderazgo fuerte y dedicado, la educación y la formación tiene previsto establecer programas de gestión de riesgos. Además, necesitan establecer los vínculos entre el modelo de riesgo y la remuneración de forma fuerte y clara. www.isaca.org.uy
www.isaca.org.uy El camino a la gestión de riesgo
www.isaca.org.uy
www.isaca.org.uy El modelo de gestión de riesgo
www.isaca.org.uy Jerarquías y tareas
Fraude www.isaca.org.uy
www.isaca.org.uy El triángulo
www.isaca.org.uy Entre inteligencia y gobierno
El modelo anti fraude Detectar Detectar si una solicitud reclamo, transacción, etc. es potencialmente fraudulenta, mediante la aplicación de modelos predictivos y reglas en tiempo real (o casi tiempo real) para determinar la probabilidad de fraude Monitorear y Reportar Detectar Detectar fraude en línea en un proceso de negocio Prevenir Tomar acciones en tiempo real cuando aplique Aprender y Modelar Responder Aplicar los resultados de la detección para detener el procesamiento de fraude conocido, o disuadir a los criminales de abandonar su objetivo, mostrando que la organización entiende mucho más de sus actividades e intenciones Investigar Recuperar datos acerca de criminales y/o esquemas detectados ó descubiertos. Armar casos para enjuiciamiento, recuperación ó negación de pagos. Construir listas negras y reglas para DETECCION y/o DESCUBRIMIENTO www.isaca.org.uy Investigar Confirmar el fraude para procesamiento, recuperación y registro en listas negras Criminal Desarrollar y gestionar reglas Descubrir Encontrar y validar fraude en los datos Descubrir Descubrir el fraude que puede existir en un negocio, revisando datos históricos e identificando individuos u organizaciones que pudieran estar conduciendo actividades fraudulentas
www.isaca.org.uy Las tareas y las fuentes
El marco Lavado de Activos Fraude Interno Fraude Externo Detección Investigación Seguimiento al Caso Indicadores de gestión Cumplimiento Gestión de Riesgo Liquidez Capital Mercado Tecnología Operacional Crédito.. Gestión de Auditoría Gestión de Identidades Correlación de eventos Seguridad Endpoints Seguridad BD Seguridad Perímetro INTEGRACION CALIDAD DE DATOS BIG DATA www.isaca.org.uy
Continuidad www.isaca.org.uy
www.isaca.org.uy Ciclo de vida de BCM
www.isaca.org.uy En detalle
www.isaca.org.uy Si no lo hago a conciencia
www.isaca.org.uy Elementos clave
Productividad www.isaca.org.uy
Desempeño basado en principios Aunque existen numerosas funciones que aportan al Desempeño Basado en Principios - Principled Performance, muchas entidades utilizan la sigla GRC (del inglés, gobierno, riesgo y cumplimiento) para abreviar el conjunto de actividades. Cabe señalar que toda entidad ejecuta actividades implícitas de GRC" hasta cierto grado, pero muchas no lo hacen todavía de una forma integrada y orquestada logrando un GRC efectivo, el cual puede permitir el logro del desempeño basado en principios- Principled Performance. www.isaca.org.uy
www.isaca.org.uy
GRC, enmarca los conceptos de Riesgo, Fraude, Continuidad, Cumplimiento, Monitoreo y los articula para generar productividad en el negocio. Cuando se logran integrar adecuadamente afinan cada elemento de la organización y hacen que esta sea notoriamente más eficiente www.isaca.org.uy
www.isaca.org.uy
Preguntas? Muchas Gracias Miguel Angel Aranguren marangur@co.ibm.com www.isaca.org.uy