Home / Resources / ISACA Journal / Issues / 2020 / Volume 5 / El rol de riesgos en epoca de COVID 19

El rol de riesgos en época de COVID-19, cambiando la forma de trabajo a una versión “agile”

El rol de riesgos en época de COVID-19, cambiando la forma de trabajo a una versión “agile”
Author: Pierina Guizado, CISA, CISM, CDPSE, CSX-P, COBIT Foundation, ISO 31000 Senior Lead Risk Management, ITIL V3
Date Published: 21 September 2020

Desde el Lunes 16 de marzo del 2020, Perú viene afrontando una cuarentena obligatoria designada por el Gobierno, a raíz de la pandemia mundial por COVID-19, lo cual ocasionó que se declare “Estado de Emergencia” a nivel nacional.

A través de la activación del Comité de Crisis del Estado Peruano, se definió una serie de medidas bastante restrictivas, adoptadas de forma obligatoria desde la primera semana. Lo cual marcó un referente en Latinoamérica en la pronta incorporación de las prácticas de contención y medidas preventivas para evitar la propagación y el contagio masivo. Esto principalmente, porque se debía ganar tiempo para poder habilitar un sistema de salud limitado y no colapsarlo, así como tener el espacio para implementar los mecanismos de contención necesarios ante un incremento a corto plazo del número de contagiados, con una estrategia más preventiva ante el impacto inminente del COVID-19.

Es así como se establecieron medidas como: Inmovilización a nivel nacional, toque de queda, cierre de fronteras, restricción de clases escolares/universitarías presenciales, compras restringidas a una persona por familia, uso de mascarilla obligatorio y sólo se dio autorización durante la primera semana para que operen empresas financieras, salud, alimentos, call centers, entre otras que permitieran continuar con el flujo financiero y de servicios básicos.

Es así como el sector financiero (i.e., banca, seguros y pensiones) tuvo que continuar operando para garantizar el flujo de transferencias, operaciones financieras y movimiento de dinero, pero adecuándose a las disposiciones que emitiera de manera continua el Estado, debido a que durante los dos primeros meses, era costumbre ver al Comité de Crisis del Estado Peruano por emitiendo el estado situacional del impacto del COVID-19 en los diferentes frentes que gestiona el gobierno. Así mismo, como parte de las medidas designadas por el Ministerio de Economía, tratando de apoyar a las personas que se vieron impactadas y los sectores que pararon operación, se definió emitir ayudas sociales (bonos/disposición de efectivo) que impactaron a nivel operativo y de ejecución de nuevos procesos en las empresas financieras. Dónde las mismas se tuvieron que adaptar rápidamente al entorno para continuar operando y atender los requerimientos del Gobierno/Estado Peruano.

Posiblemente esta situación haya sido la misma que enfrentaron diversos países en Latinoamérica y el mundo. Sin embargo, al preguntarnos ¿Cómo estamos hoy en Perú?, la respuesta es que lideramos el número de contagios en América Latina, después de Brasil y el puesto número 12 en el mundo, según el reporte al 30.05.20201 y tenemos a la fecha + de 141K contagios y 4K muertes, según el reporte situacional del Comité de Crisis del Estado Peruano2. Así como, según una encuesta de un diario líder en el país a nivel Empresarial, con fecha 26 de mayo 2020, indica que según una estudio realizado de Pulso Perú, el “61 por ciento de los peruanos cree que estamos en el peor momento de la pandemia”3. Y el 33 por ciento opina que lo peor está por venir.

Tal vez cuando se lea el artículo la situación sea otra. Existe un 50 por ciento de probabilidad que se hayan reactivado los diferentes sectores económicos y a pesar de una pandemia activa, se trate de vivir el “la nueva normalidad” en las empresas y los países. Y existe otro 50 por ciento de probabilidad que el número de contagios se haya incrementado al igual que el número de personas impactadas. Ante lo cual, hoy estamos en un escenario de retomar las medidas de cuarentena en los diferentes países y una situación más restrictiva de la que comenzamos.

Esperamos lo más positivo de todo esto, pero hoy quiero compartir con ustedes los dos primeros meses que afrontamos en una empresa del sector financiero en Perú y cómo cambió nuestra forma de trabajar y nuestro rol de Gestión de Riesgos y Control Interno para la Organización. Seguramente, un escenarío de pandemía se esperaba, acorde a los escenaríos de riesgos para el 2020 del Foro Económico, sin embargo, nadie se esperaba el impacto que hoy tiene4.

Antes de entrar a revisar cómo cambió el rol de las áreas de control interno, es importante destacar, que pese a la situación del contexto y del entorno que todos vivimos, también algo cambió positivamente y nuestro rol como colaboradores de una empresa, clientes y a nivel de la vida personal también se han visto impactados.

Algunos cambios presentados fueron:

  • Incremento de conexiones digitales, debido a que no existen fronteras geográficas y todos pertenecemos a una misma red (internet)
  • Preocupación latente y constante por la salud, y tener acceso a información vinculada a la evolución de la situación en el país y el mundo y ver posibilidades de una vacuna o cura que nos devuelva a la normalidad
  • Las compras por internet se han incrementado y las empresas han tenido que habilitar o reforzar sus canales digitales, a lo cual se ha denominado una nueva ola de transformación digital impulsada por las medidas de inmovilización.
  • Existe un alto consumo de internet por las comunicaciones, videos en línea y nuevas distracciones colaborativas.
  • No hay exposición a lugares públicos y las calles cambiaron, luciendo vacías.
  • Las clases, reuniones y la educación pasaron a ser a través de videoconferencias.

¿Qué tienen en común estos eventos? Que nuestra vida en la ciudad y las calles, se trasladaron a las calles virtuales de internet, teniendo como puerta de ingreso al mundo digital, el dispositivo móvil y es así como los riesgos de ciberseguridad, tecnológicos y/o de privacidad se incrementaron.

 

Cambio de rol de las Áreas de Control Interno

Bajo el contexto descrito en la sección i, es como empezó la adaptación al cambio en las diferentes organizaciones:

  • Operación en modo de trabajo remoto
  • Atención limitada en agencias al cliente
  • Migración a canales digitales
  • Incremento de la demanda de servicios tecnológicos (portales webs/aplicaciones móviles)
  • Limitación de operación por horarios, entre otros.

Figure 1

Acompañando esto, se iniciaron cambios en ambiente operativo a raíz de las medidas diarias emitidas por el Estado Peruano para la contención del COVID-19 y ayuda/reactivación económica. Con ello el rol de riesgos cambió de su rol tradicional de segunda línea de defensa como asesor y evaluador del Diseño e Implementación de controles, a ser “un agente de acompañamiento de este proceso en tiempo real” para la primera línea de defensa:

  1. Siendo facilitador del equipo de administración de crisis en un rol de “gestor de proyectos”.
  2. Identificando y gestionando riesgos emergentes al negocio y operativos.
  3. Trabajando de manera conjunta con las áreas de negocio durante los cambios y levantando controles o recomendaciones de ajuste a los procesos.
  4. Gestionando alertas diarias sobre el funcionamiento de procesos a nivel de riesgos tecnológicos, de ejecución de procesos, exposición a fraude, iniciativas, etc., y escalando los riesgos a asumir por la administración.
  5. Monitoreando el entorno de amenazas informáticas en tiempo real, porque ante el contexto que vivimos la exposición a riesgos de ciberseguridad se incrementó.
  6. Capacitador constante, generando conciencia en la organización sobre las amenazas informáticas y la protección de la identidad digital en la vida personal y laboral que ahora era una sola.
  7. Articulación con diferentes proveedores para reforzar las medidas de seguridad y controles para el trabajo remoto.
  8. Articular con empresas del sector y el regulador para referenciar buenas prácticas a implementar y generar conciencia en el manejo de la información en los nuevos procesos (modalidad remota).
  9. Así mismo, áreas como auditoria y cumplimiento también cambiaron su enfoque al igual que riesgos, destacando prácticas para generar un análisis continuo de los cambios que se presentaban normativamente (diario), evaluación de impacto en los procesos, asesoría al Comité de Administración de Crisis como referentes en la definición de controles y gestión de riesgos, refuerzo de las medidas de protección de privacidad de datos y acompañamiento a las áreas operativas en el fortalecimiento de los controles de procesos críticos, es decir un rol de apoyo al negocío, ante una situación que había requerido la activación del Plan de Continuidad de Negocio a la par que la declaración del Estado de Emergencia del Estado Peruano y con esto demostrando que toda la Organización es un solo equipo para lograr continuar operando.

Es así como, el área de riesgos (ERM), cambió su forma de trabajo a un modo “Ágil”, durante la activación del Plan de Continuidad, porque a pesar de que suene irónico, riesgos operacionales (ERM) es un área tradicionalmente de segunda línea que hace Informes y emite opinión de la evaluacíon de cambios en ambiente operativo o tecnológico al Comité de Riesgos o al Directorio. De manera tradicional su función se basa en realizar análisis exhaustivo de procesos, proyectos, cambios y revisar todas las aristas o escenarios que se puedan presentar.

En términos generales opera como un asesor en base a una planificación y con tiempos para realizar un análisis de los riesgos, pruebas de evaluación del diseño e implementación de controles y realizar informes.

Cambiando paradigmas

Es así como nos referenciamos con los 12 principios del manifiesto ágil y adoptamos una nueva forma de trabajar, rompiendo paradigmas y siendo más oportunos, que era lo que demandaba el negocio al requerir en el día a día información o alerta de riesgos para la toma de decisiones.

Y así el rol de riesgos operacionales cambió a través de aclarar ciertos paradigmas que siempre existen para las áreas de control interno.

Y todo esto para poder dar nuestra mejor aproximación al negocio de los riesgos a los que está expuestos y aportar valor en el proceso de toma de decisiones.

Pero como todo “proceso ágil” tiene sus riesgos, los nuestros en esta situación, nos llevan a que no podemos mapear todas las alternativas de riesgos posibles, pero si dar una buena aproximación, en complemento a la opinión y decisiones de las áreas de negocio, porque el tiempo que vivimos de activación del Plan de Continuidad de Negocio y medidas del Gobierno diarias así lo requiere.

Y no dejar de mencionar que todo este cambio no hubiera sido posible sin un liderazgo claro de la organización (CEO), quién demostró ejemplo de preocupación sincera por la salud de los colaboradores y clientes, la excelencia técnica/operacional de las áreas de negocio para continuar operando, atendiendo los requerimientos de los clientes y el gobierno, cultura colaborativa y sobretodo compromiso de toda la empresa para apoyar en el objetivo de atender a nuestros clientes en modo remoto. Es así como el cambio para un área de riesgos operacionales se dio de manera muy rápida, por el contexto externo y la facilidad de implementación de estos procesos en una cultura de “adaptación al cambio y dónde todos somos un equipo”.

Así mismo, al cierre del mes de mayo, a más de dos meses de activar la mayoría de los planes de continuidad en las empresas en Perú, nos hace repensar la forma de llevar nuestro día a día laboral en modo virtual y destacar la importancia que el rol de la gestión de riesgos aporta a la empresa en el proceso de resiliencia organizacional que se vive hoy en día.

Eso sin perder el objetivo en mente: Apoyar al negocio en el logro de metas y acompañarlos en su proceso de toma de decisiones. Es mejor conocer los riesgos que se toman en las decisiones a no conocerlos o asumirlos.

Será interesante ver cómo se modifican o impactan las regulaciones sobre continuidad operacional, riesgos y seguridad de la información de los reguladores, cuando pase la ola del COVID-19, porque, así como cambió la forma de operar de los negocios, cambió la forma de operar de la gestión de riesgos y la regulación debería poder acompañar ese cambio para facilitar la agilidad en el despliegue de los mismos.

Los invito a compartir cómo se transformó la gestión de riesgos operacionales en sus organizaciones de un proceso de segunda línea de defensa a uno de 1.5 línea, dónde ahora tenemos que estar más cerca de las áreas de riesgos para hacer más ágil el proceso de toma de decisiones, seguramente todas las áreas de riegos pasaron por esto y tienen casuísticas particulares que aportar. Por lo que hoy los dejo con este mensaje:

La gestión de riesgos, no es de un área, es de TODA la organización. Sobretodo de la 1era LDD. Sin embargo, como áreas de Control Interno (2LDD/3LDD), nuestra labor es formar un frente integrado y articulado para monitorear los procesos y el entorno, identificar oportunamente los riesgos y levantar la mano y tomar acción en acompañamiento a las áreas de negocio.

Nota del autor

Este artículo se escribió con fecha de actualización 30 de mayo de 2020, posterior a esta fecha posiblemente las condiciones cambien, pero es importante destacar como una situación externa impactó en la forma de operar del control interno en una empresa del sector financiero de Perú. Y cómo buenas prácticas de agilidad se incorporaron en su proceso de cambio.

Endnotes

1 Johns Hopkins University, “COVID-19 Dashboard by the Center for Systems Science and Engineering (CSSE) at John Hopkins University (JHU),” Baltimore, Maryland, USA, http://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6
2 Sala Situacional, “COVID-19 Perú,” http://covid19.minsa.gob.pe/sala_situacional.asp
3 Redacción Gestión, “El 61% de peruanos cree que estamos en el peor momento de la pandemia,” Gestión, 26 mayo 2020, http://gestion.pe/peru/el-61-de-peruanos-cree-que-estamos-en-el-peor-momento-de-la-pandemia-noticia/
4 World Economic Forum, “Global Issue: COVID-19,” http://intelligence.weforum.org/ topics/a1G0X000006O6EHUA0?tab=publications

Pierina Guizado, CISA, CISM, CDPSE, ITIL, COBIT Foundation, LEAN IT, ISO 31000 Senior Lead Risk Management

Se desempeña como Gerente de Riesgos Operativos y Oficina de Proyectos (PMO). Así como cuenta con certificaciones internacionales en control interno, gobierno de información y tecnología, gestión de riesgos, Privacidad de datos y auditoria. Es expositora Internacional para diferentes foros en Latinomérica a través de ISACA®, así como participación local en diferentes eventos del sector financiero (Asociación de Bancos [ASBANC]), ISACA Lima (Peru) Chapter y diversas empresas, con más de 20 exposiciones realizadas para la difusión de prácticas de control interno y modelo integrado de gestión de las líneas de defensa. Como temas de especialización destaca su experiencia en gestión de riesgos no financieros, Ley Sarbanes Oxley SOX, continuidad de negocio (BCM), gestión de proyectos, seguridad de la información, riesgo tecnológico y ciberseguridad, gestión de procesos y privacidad de datos.