5 Factores para considerar para construir tu resiliencia operativa en el sector financiero

Introducción

La resiliencia financiera nació como respuesta a la crisis financiera de 2008, mediante la evaluación de funciones comerciales vitales, el establecimiento de niveles de tolerancia que éstas funciones pueden soportar y la prueba a las tolerancias en intervalos regulares de tiempo.

El Comité de Supervisión Bancaria de Basilea define la resiliencia operativa como la capacidad de un banco para realizar operaciones críticas a través de la interrupción. Esta capacidad le permite a un banco:

  • Identificarse y protegerse de la amenazas y posibles fallas
  • Responder y adaptarse, así como recuperarse y aprender de los eventos disruptivos.

A diferencia de la típica Gestión de riesgos y los enfoques más tradicionales basados en el cumplimiento, en la resiliencia operativa los bancos deben asumir que se producirán interrupciones y deben considerar su apetito de riesgo general y su tolerancia a las interrupciones. En este contexto, el Comité define la tolerancia a la interrupción como el nivel de interrupción de cualquier tipo de riesgo operativo que un banco está dispuesto a aceptar, dada una variedad de escenarios severos pero plausibles. Según las empresas con las que trabaja MckInsey, no se trata solo de lidiar con los problemas y desafíos actuales, se trata de crear una cultura fortalecida con tecnología y soluciones digitales que les permita estar preparados para los cambios inminentes:

“La definición misma de resiliencia, la capacidad de recuperarse rápidamente de las dificultades” se está implementando con una velocidad sorprendente.

Ahora no es el momento de hacer una pausa

Es momento de reinventar las cadenas de suministro,  debe haber un equilibrio entre eficiencia, crecimiento y resiliencia.

La resiliencia operativa se define en términos bastante amplios dentro de la mayoría de los esquemas en todo el mundo. Los Estados Unidos, la Unión Europea, Hong Kong, Singapur, Australia y Reino Unido están trabajando todos hacia objetivos similares, con sus estrategias informadas por las guías regulatorias existentes en torno a la gestión de riesgos y la gobernanza. Por ejemplo, los reguladores del Reino Unido, incluidos el Banco de Inglaterra, la Autoridad de Regulación Prudencial y la Autoridad de Conducta Financiera, han priorizado la resiliencia operativa durante los últimos tres años. La falta de disponibilidad de servicios comerciales vitales y la interrupción operativa tienen el potencial de causar un daño significativo a los clientes, lo que a su vez representa un riesgo para la integridad del mercado, amenaza la viabilidad de las empresas y causa inestabilidad en todo el sistema financiero. La Autoridad de Conducta Financiera (FCA) señala que las interrupciones causadas por la pandemia del COVID, revelan por qué es vital que las empresas comprendan los servicios que brindan e inviertan en su capacidad de recuperación.

Resumen de las expectativas de resiliencia operativa

En 2021, los reguladores de Reino Unido publicaron un resumen final de la política sobre las expectativas de la resiliencia operativa, exigiendo que para fines de marzo de 2022, las empresas y las infraestructuras de los mercados financieros deben:

  1. Identificar sus servicios comerciales importantes considerando como la interrupción comercial que brindan puede tener impactos más allá de sus propios intereses comerciales
  2. Establecer una tolerancia de interrupción para cada servicio comercial importante
  3. Asegurar de que puedan continuar brindando sus importantes servicios comerciales  y que puedan permanecer dentro de sus tolerancias de impacto, durante escenarios severos pero plausibles.

Incluso a primera vista, estas expectativas presentan un desafío monumental para las instituciones financieras establecidas, dadas las presiones comerciales inducidas por el COVID y la competencia feroz de los ágiles jugadores digitales, ya navegan en aguas desconocidas. Reconociendo que las instituciones financieras tienen diferencias fundamentales en su infraestructura y que cada una se encuentra en diferentes etapas de su procesos de prueba de resiliencia.

Esto ha dejado a las empresas con el complejo desafío de cumplir con los resultados regulatorios, sin una guía o pasos para lograrlo. Sin embargo, con las soluciones tecnológicas correctas y una mentalidad centrada en el cliente, las instituciones pueden abordar estas demandas regulatorias con un socio tecnológico adecuado, fortalecer sus sistemas centrales y posicionarse para lograr el cumplimiento en un plazo más corto. Si bien la capacidad de predecir qué áreas pueden causar interrupciones alguna vez fue competencia de un supervisor humano, dado el cambio a las operaciones digitales, es lógico que las empresas usen la inteligencia artificial (IA) y el aprendizaje automático (ML) para identificar patrones y riesgos dentro de los complejos sistemas tecnológicos de una institución.

Este artículo describe cinco consideraciones clave que las instituciones financieras deben conocer, así como las soluciones tecnológicas disponibles para ayudar a construir una estrategia de resiliencia operativa sólida y compatible.

Primer consideración: Lidiar con la identificación y el mapeo

La identificación y el mapeo de la tecnología clave que respalda los servicios comerciales importantes es un obstáculo clave con el que deben lidiar las empresas.

La identificación de riesgos  es un componente fundamental de los Sistemas de Gestión de Riesgos operativos efectivos y es particularmente desafiante para las grandes instituciones financieras que están haciendo malabarismos:

  • La presión para innovar y evolucionar digitalmente
  • La necesidad de cumplir con amplias actualizaciones regulatorias

Muchas de estas actualizaciones están destinadas a intentar supervisar el futuro nuevo y altamente digital de los servicios financieros.  En su Documento Consultivo “Revisiones de los principios para la buena gestión del riesgo operativo”, el Comité de Basilea enumera una selección de soluciones que son útiles para identificar el riesgo operativo. Estas soluciones incluyen:

  • Datos de eventos de riesgo operativo
  • Autoevaluaciones
  • Gestión de eventos
  • Monitoreo de control y marco de aseguramiento
  • Métricas
  • Análisis de escenarios
  • Evaluación comparativa y análisis comparativo.

Para identificar con precisión los riesgos, el resultado de estas soluciones debe basarse en datos precisos. La integridad de estos datos está garantizada por una sólida gobernanza y procedimientos sólidos de verificación y validación.

Una vez que una institución financier ha identificado sus operaciones criticas, el siguiente paso consiste en mapear las interconexiones e interdependencias internas y externas que son necesarias para su entrega. esto implica la identificación y documentación de las personas, tecnología, procesos, información e instalaciones involucradas, incluidas aquellas que pueden depender de terceros.

De hecho, cuando se trata de resiliencia operativa, esta interconexión de los servicios operativos crea una especie de espada de doble filo:

  • Las interdependencias en todo el ecosistema son complejas; esto se refleja en la red de servicios que las grandes instituciones financieras brindan dentro de su propia oferta. Por lo tanto, es un desafío considerable desentrañar e identificar con precisión servicios comerciales específicos que a menudo se entrelazan en múltiples ofertas, plataforma o sistemas dentro de una institución determinada. Mckinsey explica que si bien los esfuerzos de digitalización pueden presentar un perfil de riesgo complicado para los bancos, acelerar estos planes también pueden mejorar los esfuerzos de seguridad para reducir el contacto al permitir interacciones omnicanal. Por ejemplo, cuando los bancos aceleran la consolidación de redes de sucursales físicas para reasignar recursos y atender a los clientes de manera más efectiva a través de canales digitales, esto tiene el efecto de reducir el contacto en persona.

Las diferentes prioridades, cultura, costo de inversión y complejidad son obstáculos comunes en el impulso de la resiliencia operativa y sirven para resaltar la necesidad de implementar cambios culturales, cuando se trabaja hacia la resiliencia operativa. Dada la interconexión de los servicios financieros, se ha convertido en un lugar común que un único servicio comercial se extiende a través de múltiples tecnologías y terceros. Cuando culminan la ubicación, el potencial de delitos cibernéticos y los riesgos de origen humano, la recopilación de puntos de datos relevantes para el mapeo y la generación de informes se convierte en un gran desafío. La definición de los límites de propiedad es esencial para ayudar a las empresas a medir, gestionar e impulsar la resiliencia de los servicios comerciales cruzados entre equipos que se identifican. 

Segunda consideración: Pruebas sobre la marcha:evaluación y prueba de la tolerancia de los servicios empresariales.

Un elemento fundamental en el desarrollo de una fuerte resiliencia operativa es la evaluación y prueba de las tolerancias de impacto.

 Una vez que las empresas han establecido sus niveles de tolerancia, generalmente el nivel máximo tolerable de interrupción de un servicio comercial importante, deben probarse en escenarios dinámicos para asegurarse de que se puedan cumplir. Un requisito recurrente en la orientación de la resiliencia operativa en todo el mundo es la necesidad de repetibilidad.Se espera que los resultados de las pruebas se registren y actualicen periódicamente, es prudente que las empresas consideren utilizar herramientas y servicios que no solo ayudan a ejecutar pruebas anuales, sino que también optimiza y refuerza las métricas utilizadas como parámetros dentro de las pruebas en sí. La tecnología ofrece pronósticos comerciales preciso, simulaciones claras, de migración a la nube, evaluación sólida de riesgos y vulnerabilidades, o el desglose confiable de actualizaciones y lanzamientos futuros, es muy valiosa cuando se intenta generar entradas consistentes para pruebas por escenarios. El enfoque y nivel de granularidad del mapeo deberían ser suficientes para que los bancos identifiquen vulnerabilidades, así como para probar su capacidad para entregar operaciones criticas a traves de interrupciones, al mismo tiempo que se tiene en cuenta el apetito por el riesgo del banco y la tolerancia a la interrupción. 

Tercer consideración: Volver al buen camino: comprensión de la respuesta y la recuperación de fallas del sistema

Mantener y mejorar la resiliencia empresarial es un medio para que las empresas generen confianza con sus clientes, reguladores y la economía subyacente

Las fallas del sistema son problemáticas no solo por la interrupción del sistema en el corto plazo y razones de accesibilidad, también dañan la reputación y la confianza que las instituciones financieras llevan décadas construyendo a largo plazo.

Dejando de lado la obligación regulatoria de desarrollar una estrategia sólida de resiliencia operativa, las instituciones financieras ya no pueden ignorar la necesidad de planificar los eventos de fallas, si desean seguir siendo competitivas.Ofrecer un servicio confiable es fundamental. Tener estrategias alternativas en caso de falla del sistema asegura la confianza de lso clientes. Aprovechar los acuerdos de administración de servicios de múltiples nubes ayuda a proteger la oferta comercial, los datos críticos de una institución financiera al proporcionar capacidades de respaldo y recuperación para la continuidad del negocio. Mejorar la estrategia AIOPS es otro enfoque que puede fortalecer la resiliencia operativa de la Institución. Al combinar big data y aprendizaje automático para automatizar los procesos de operaciones de TI, como la detección de anomalías, la correlación de eventos y la determinación de la causalidad, AIOPS puede ayudar a detectar y predecir condiciones de falla complejas dentro de enormes conjuntos de datos y sistemas intrincados.

Cuarta consideración: Reducción de vulnerabilidades, fortalecimiento de la seguridad y la gobernanza para combatir las amenazas cibernéticas.

Como resultado de la digitalización generalizada, los servicios financieros están más interconectados y dependen de terceros.

Esta conectividad, si bien proporciona un terreno fértil para la innovación y la colaboración, significa que el ecosistema es altamente vulnerable a las amenazas y ataques a la seguridad. Si los malos actores tienen éxito en apuntar a un jugador específico dentro del sistema,es probable que cualquier interrupción o falla afecte a múltiples instituciones y a su vez, a muchos clientes. Además los ciberataques suelen ser difíciles de identificar y la amplitud de estos ataques puede ser un proceso lento y laborioso. Dada la escala y la velocidad a la que los ciberataques pueden amenazar la seguridad de una institución financiera, las empresas deben buscar tecnologia que este diseñada específicamente par mejorar la resiliencia sistémica.

Herramientas como la gestión de vulnerabilidades, que escanean continuamente los sistemas para identificar, priorizar, remedar e informar sobre las vulnerabilidades de seguridad pueden ser invaluables;particularmente cuando se combina con regímenes sólidos de administración de parches. La complejidad de las regulaciones que gobiernan el panorama de los servicios financieros es cada vez más difícil de atravesar y las instituciones financeiras que no cuplen con sus oligaciones de cumplimiento corren el riesgo de incurrir en sanciones financieras significativas.Las herramienta que aduitan continuamente los regimenes de ciumplimiento interno pueden ofrecer un nviel de resistencia operativa que está en línea con los marcos regulatorios estrictos y por lo tanto, son fundamentales para las empresas que buscan asegurarse de estar protegidas contra amenazas nuevas y sofisticadas.

Quinta consideración:  Comunicar el valor de las métricas de negocio y optimizar los flujos de trabajo.

Las comunicaciones juegan una parte integral de las capacidades generales de resiliencia operativa y, por lo tanto, están sujetas a los mismos requisitos de gobernanza. Es vital que las instituciones financieras brinden la capacitación adecuada a sus funciones de comunicaciones y operaciones. Dicha capacitación conducirá al establecimiento de planes y procedimientos de comunicaciones definidos y ensayados. Estos planes deben adoptarse y adaptarse a  escenarios específicos y cubrir aspectos clave. El enfoque de resiliencia operativa deberá involucrar a especialistas en comunicación y confirmar el mensaje y la idoneidad de los canales de comunicación.

Naturalmente, la visibilidad y la comunicación están intrínsecamente ligadas a la búsqueda y desarrollo de la resiliencia operativa. Sin embargo, dado que los equipos de tecnología dentro de las instituciones financieras han operado históricamente en silos, el intercambio simplificado de información no es un lugar común, lo que dificulta lograr una visión holística de los activos tecnológicos y los servicios que esta tecnología debería respaldar. Este desafío se aborda cada vez más mediante la adopción de herramientas que funcionan para mejorar la visibilidad en todo el ecosistema de una empresa. Un solo tablero puede ofrecer una plataforma automatizada en la que la información se recopila y presenta de manera sistemática y coherente, lo que agiliza los activos y las relaciones en una sola vista y crea una fuente de información más completa y resistente.

Los flujos de trabajo inteligentes y automatizados presentan otro medio atractivo para que las instituciones financieras refuercen las adyacencias comerciales y desarrollen su capacidad de recuperación operativa.

En pocas palabras, la falta de integración y coordinación del flujo de trabajo de TI Conduce a ineficiencias, pérdida de productividad y debilidades de seguridad, lo que pone en peligro los esfuerzos de creación de resiliencia. La tecnologia destinada a inyectar herramientas anañiticas y deaprendizaje automático impulsadas por inteligencia atifical sirve para recitficar procesos y comunicaciones inconexos, manuales e inexactos, y ayuda a impulsar una mejor toma de decisiones a través de la entrega de datos precisos y completos. Además, la automatización puede ofrecer de forma preventiva entrega, implementación y configuración de aplicaciones y cada una de ellas contribuye al desarrollo de un régimen de resiliencia operativa sólida. 

Concluimos que:

La resiliencia operativa solo está avanzando en la agenda regulatoria en todo el mundo.

Si bien existen ligeras variaciones en los requisitos de una jurisdicción a otra, lo que sigue siendo constante es tanto la amplitud como la importancia de desarrollar y mantener una estrategia sólida de resiliencia operativa. Aplicar la orientación reglamentaria, es fundamental identificar las herramientas y los servicios que pueden ayudar en la entrega efectiva de estos objetivos. Dado que el mandato de resiliencia operativa surgió en parte (significativa) como respuesta a la interconexión cada vez más digital del sector de servicios financieros, es lógico que las empresas busquen apoyo en la tecnología, que ha sido diseñada específicamente para ayudar en su gestión; en lugar de aferrarse a los enfoques tradicionales de cumplimiento. Los proveedores de servicios de tecnología que están bien equipados para apoyar a las instituciones financieras en su búsqueda hacia la construcción de resiliencia operativa son aquellos que tienen una gran conciencia de la necesidad de desarrollarse junto con las instituciones financieras a las que sirven y el panorama regulatorio en evolución en el que operan.

También puede interesarte