Riesgo, fraude, continuidad y productividad Miguel Angel Aranguren Romero CISA, CISM, CGEIT, CRISC, CISSP, ITIL V3 FC, COBIT FC, OSCP Risk Analytics IBM Latinoamérica www.isaca.org.uy Agenda • • • • Riesgo Fraude Continuidad …y Productividad www.isaca.org.uy Riesgo www.isaca.org.uy • • Sólo el 12% de las organizaciones dicen contar con un programa integral de gestión de riesgo, aunque el 46% dice que es una alta prioridad o su prioridad más alta. Las empresas tienen una estructura organizacional que apoya el modelo de riesgo de extremo a extremo de la gestión, y asegura que la alta dirección se mantiene al tanto del modelo de riesgo. La presión regulatoria está haciendo que se aumente el interés por el riesgo: Los requisitos de cumplimiento fueron citados como motor de la gestión del modelo de riesgo en un 59% de los encuestados. Pero estos requisitos han encasillado al modelo de gestión del riesgo en una carga de costos basado en el cumplimiento más que como un posible motor para cumplir los objetivos estratégicos. www.isaca.org.uy Chartis The Risk Enabled Enterprise® MODEL RISK MANAGEMENT, junio 2014 • La data es un reto importante: los datos de mala calidad y la escasez de datos son vistos como las dos fuentes de complejidad más significativas del modelo de riesgo. 72% de los encuestados dijo que ellos ven datos de mala calidad como un importante o muy importante fuente de riesgo. • Retos organizativos y estructurales en la gestión de riesgos: el modelo de integración entre los sistemas de gestión del riesgo y los sistemas financieros representan una prioridad clave. Las empresas también requieren de un liderazgo fuerte y dedicado, la educación y la formación tiene previsto establecer programas de gestión de riesgos. Además, necesitan establecer los vínculos entre el modelo de riesgo y la remuneración de forma fuerte y clara. www.isaca.org.uy El camino a la gestión de riesgo www.isaca.org.uy www.isaca.org.uy El modelo de gestión de riesgo www.isaca.org.uy Jerarquías y tareas www.isaca.org.uy Fraude www.isaca.org.uy El triángulo www.isaca.org.uy Entre inteligencia y gobierno www.isaca.org.uy El modelo anti fraude Detectar Detectar si una solicitud reclamo, transacción, etc. es potencialmente fraudulenta, mediante la aplicación de modelos predictivos y reglas en tiempo real (o casi tiempo real) para determinar la probabilidad de fraude Aprender y Modelar Monitorear y Reportar Prevenir Detectar Tomar acciones en tiempo real— cuando aplique Detectar fraude en línea en un proceso de negocio Responder Aplicar los resultados de la detección para detener el procesamiento de fraude conocido, o disuadir a los criminales de abandonar su objetivo, mostrando que la organización entiende mucho más de sus actividades e intenciones Criminal Investigar Recuperar datos acerca de criminales y/o esquemas detectados ó descubiertos. Armar casos para enjuiciamiento, recuperación ó negación de pagos. Construir listas negras y reglas para DETECCION y/o DESCUBRIMIENTO www.isaca.org.uy Investigar Confirmar el fraude para procesamiento, recuperación y registro en listas negras Descubrir Descubrir Encontrar y validar fraude en los datos Descubrir el fraude que puede existir en un negocio, revisando datos históricos e identificando individuos u organizaciones que pudieran estar conduciendo actividades fraudulentas Desarrollar y gestionar reglas Las tareas y las fuentes www.isaca.org.uy El marco •Lavado de Activos •Fraude Interno •Fraude Externo •Detección •Investigación •Seguimiento al Caso •Indicadores de gestión •Cumplimiento •Gestión de Riesgo •Liquidez •Capital •Mercado •Tecnología •Operacional •Crédito •….. •Gestión de Identidades •Correlación de eventos •Seguridad Endpoints •Seguridad BD •Seguridad Perímetro •Gestión de Auditoría INTEGRACION – CALIDAD DE DATOS BIG DATA www.isaca.org.uy Continuidad www.isaca.org.uy Ciclo de vida de BCM www.isaca.org.uy En detalle www.isaca.org.uy Si no lo hago a conciencia www.isaca.org.uy Elementos clave www.isaca.org.uy Productividad www.isaca.org.uy Desempeño basado en principios Aunque existen numerosas funciones que aportan al Desempeño Basado en Principios - Principled Performance, muchas entidades utilizan la sigla GRC (del inglés, gobierno , riesgo y cumplimiento) para abreviar el conjunto de actividades. Cabe señalar que toda entidad ejecuta actividades implícitas de “GRC" hasta cierto grado, pero muchas no lo hacen todavía de una forma integrada y orquestada logrando un GRC efectivo, el cual puede permitir el logro del desempeño basado en principios- Principled Performance. www.isaca.org.uy www.isaca.org.uy GRC, enmarca los conceptos de Riesgo, Fraude, Continuidad, Cumplimiento, Monitoreo y los articula para generar productividad en el negocio. Cuando se logran integrar adecuadamente afinan cada elemento de la organización y hacen que esta sea notoriamente más eficiente www.isaca.org.uy www.isaca.org.uy Preguntas? Muchas Gracias Miguel Angel Aranguren [email protected] www.isaca.org.uy