A medida que los procesos y rutinas organizacionales aumentan su dependencia en los recursos tecnológicos, las empresas están cada vez más expuestas a riesgos de TI y ciberseguridad. Es por ello que a medida que las organizaciones crecen, requieren fortalecer sus estructuras de gestión de riesgos para proteger de amenazas a sus clientes, socios, empleados, y a sí mismas.
Es evidente que no existen empresas libres de riesgo; por lo que existen marcos sólidos de gestión de riesgos que las compañías adoptan ampliamente para sistematizar las posibles variables que puedan afectar al negocio y prever escenarios específicos, minimizando las pérdidas.
Con el objetivo de llevar la gestión de riesgos al siguiente nivel, en Nu hemos desarrollado un equipo altamente diverso y colaborativo que nos permite innovar la manera en cómo gestionamos los riesgos de TI y ciberseguridad, así de cómo brindamos las mejores recomendaciones y soporte a nuestras áreas de negocio y tecnología.
El modelo de tres líneas para la gestión de riesgos
Nu tiene sólidos procesos de gobernanza y gestión de riesgos que, al igual que muchas otras empresas en todo el mundo, opera utilizando el modelo de tres líneas, un marco estándar diseñado por el Instituto de Auditores Internos (IIA, por sus siglas en inglés), anteriormente conocido como “el modelo de las tres líneas de defensa” .
Este modelo ayuda a identificar las estructuras y procesos que mejor apoyan al logro de los objetivos y facilitan una gobernanza y gestión de riesgos sólida. Como su nombre lo indica, el modelo consta de tres líneas, o equipos, que trabajan juntos para lograr un objetivo en común, cada uno con responsabilidades específicas.
En otras palabras, al igual que en el fútbol moderno, donde todos los jugadores participan en la defensa cuando es necesario, el modelo de las tres líneas posiciona a todos los miembros de la organización como jugadores responsables de la gestión de riesgos, cada uno con roles específicos.
Primera línea
Cuando hablamos de la primera línea de defensa, nos referimos a todos los equipos responsables de las áreas de negocio, operaciones, tecnología y soporte. Esta línea está a cargo de desarrollar e implementar controles, políticas y administrar los riesgos.
Usando la metáfora del fútbol, los equipos de la primera línea se ubican en las posiciones ofensivas: Estos son los responsables de marcar goles, derribar oponentes, crear grandes productos y venderlos, pero también de identificar, evaluar, controlar y mitigar los riesgos.
Segunda línea
La segunda línea está compuesta por las áreas de Gestión de Riesgos, Controles Internos y Cumplimiento, donde pertenece el equipo de Riesgos de TI.
Esta línea busca asegurar que la compañía tenga la visibilidad apropiada sobre sus riesgos más relevantes, un ambiente de control de riesgos efectivo, y que estos se administren correctamente. Es responsable de proponer políticas de gestión de riesgos, desarrollar modelos, metodologías, así como evaluar y supervisar la primera línea desde una perspectiva de riesgos.
Analizando a estos equipos desde la perspectiva de la metáfora del fútbol, la segunda línea juega en las posiciones del medio campo, brindando asistencia para administrar los riesgos y, al igual que los mediocampistas, moviéndose entre las diferentes líneas para asegurarse de que todo funcione bien. Dependiendo de la estrategia, pueden jugar más a la defensiva u ofensivamente con el objetivo de apoyar los objetivos del equipo.
Tercera línea
Finalmente, la tercera línea, compuesta por Auditoría Interna, es responsable de evaluar periódicamente desde un punto de vista independiente sí las políticas, métodos y procedimientos de la empresa son implementados adecuada y efectivamente para asegurar la eficacia de la gobernanza y la gestión de riesgos.
La tercera línea es el portero de nuestro equipo de fútbol, la última línea de defensa, que actúa de manera independiente, pero que forma parte del equipo impidiendo que el adversario anote gol, garantizando la idoneidad e implementación de los controles de riesgo.
Al ser una empresa única, este modelo tradicional no era suficiente para satisfacer nuestras necesidades, considerando nuestro amplio uso de tecnología, crecimiento acelerado, y apetito de riesgo. En Nu tenemos como valor central “perseguir la eficiencia inteligente”, es por ello que siempre nos encontramos innovando, incluso en nuestra organización interna.
Sí, nosotros usamos esta metodología tradicional, pero también innovamos para buscar adaptaciones para nuestra realidad que nos ayuden a lograr nuestros objetivos.
La segunda línea tradicional y nuestra forma de trabajar
Siguiendo puramente las metodologías tradicionales, las líneas de defensa actúan dentro de su ámbito específico, con todos sus procesos definidos. Este modelo tradicional es muy eficiente pero, debido a la falta de integración entre los equipos, el trabajo puede superponerse y consumir demasiado tiempo de la primera línea.
Todos estos obstáculos en el ciclo de desarrollo generan fricciones y retrasos que son perjudiciales para las empresas tecnológicas de rápido crecimiento.
Profundizando en el modelo tradicional, los equipos de segunda línea se centran intensamente en procesos de negocio y tienen una profundidad técnica limitada. También suelen tener poca integración con los equipos de riesgo, ciberseguridad e ingeniería, actuando como jugadores aislados con un alcance de trabajo bien definido.
Este modelo puede ser suficiente para la mayoría de las empresas, pero usar puramente estas metodologías resulta inviable para una empresa tecnológica como Nu. Para atender nuestras demandas, adaptamos los modelos tradicionales, creando una metodología propia, para operar bajo una lógica de “riesgo por diseño”, por lo que la segunda línea se involucra en proyectos relevantes desde el inicio.
Segmentación en tres equipos
Para dar el mejor soporte a la primera línea, el equipo de Riesgos de TI está segmentado en tres equipos, además de los equipos del resto de países donde opera Nu.
- El equipo de Evaluaciones de Riesgos de TI trabaja en estrecha colaboración con la primera línea, desempeñando un papel de consultoría y apoyando en la definición de planes de acción para evitar y mitigar eventuales riesgos de TI.
- El equipo de Gobernanza define y actualiza nuestras metodologías de gestión de riesgos y orienta a la primera línea en temas regulatorios.
- El equipo de Ingeniería de Riesgos garantiza que operemos de manera inteligente y eficiente mediante la automatización de procesos y el aprovechamiento de la capacidad del equipo.
El modelo de gestión de riesgos de Nu
En todos nuestros procesos utilizamos tecnología, y entenderla es crucial para asegurarnos de que estamos explorando todos los escenarios de riesgo. Al realizar evaluaciones de riesgos, normalmente lidiamos con tecnologías en la nube como AWS o GCP, Kafka, plataformas móviles, canales de datos, entre otros.
Al contar con equipos de riesgos operativos y de TI dedicados, cada equipo puede profundizar en su área de especialización y aportar más valor al negocio con sus análisis.
Mientras que el enfoque del equipo de Riesgos Operativos son los procesos, el de Riesgos de TI se enfoca en la ingeniería, la gestión de datos y la ciberseguridad. En Nu, pensamos y actuamos como propietarios, no como inquilinos, por lo que el equipo de Riesgos de TI empodera a la primera línea de defensa para tomar decisiones y asumir riesgos de manera segura, lo que permite que la empresa crezca rápidamente sin la burocracia de extensos análisis en cada decisión.
Proporcionamos metodologías, información, orientación y automatización, para que las áreas de negocio tengan autonomía para tomar decisiones informadas sin perder de vista las prácticas de gobierno y gestión de riesgos de Nu.
Este contenido es parte de la misión de Nu Colombia de devolver a las personas el control sobre sus vidas financieras. ¿Aún no conoces Nu y la tarjeta de crédito morada?
Haz clic en el botón “Quiero mi Tarjeta Nu” y recibe una respuesta en 3 minutos.