Análisis de los nuevos requisitos para la gestión y control de los riesgos (Com. “A” 7724 BCRA)

El 10 de marzo se publicó comunicación "A" 7724 de Banco Central de la República Argentina (BCRA), en la que se establecen los nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información, la prevención del fraude y la ciberesiliencia para las Entidades Financieras de Argentina.

Esta es una de las actualizaciones normativas más esperadas. En esta etapa, lo que estamos analizando desde BDO, es el doble impacto tanto para nuestros clientes como hacia la auditoría, como dos capas complementarias del desafío.

La norma trae el modelo de las tres líneas presentado por el Instituto de Auditores en 2020; ese abordaje con el que los auditores estamos tan familiarizados permite identificar procesos y roles claros para la buena gobernanza.

Dividiendo nuestro análisis en etapas y nutriéndolo de este conocimiento en la aplicación del modelo, entendemos que el gran aporte de esta norma es poner sobre la mesa la necesidad de involucramiento del directorio y la alta gerencia en cuestiones que antes eran prácticamente una preocupación exclusiva de las áreas técnicas.

Establece claramente la alineación con el negocio como punto de partida de todas las tareas y decisiones posteriores, precisamente esta necesidad de alineación a los objetivos de negocio surge en cada uno de los puntos de la norma (es nombrada más de 20 veces profundizando la importancia de este aspecto).

Se habla de Gobierno de Tecnología y Seguridad, expresando responsabilidades muy claras: el directorio ya no puede solo “tomar conocimiento”, hoy debe aprobar y supervisar las estructuras, los recursos, los marcos de gestión de riesgos y de continuidad del negocio.

La participación no es solo desde lo formal: la alta gerencia juega un rol preponderante en las decisiones por medio del diseño de estrategias, roles y esquemas de control; estableciendo mecanismos de comunicación y coordinación entre las áreas técnicas para el cumplimiento de objetivos, siendo relevante que debe conocer los riesgos y tomar decisiones basadas en estos resultados. Estas cuestiones hacen necesaria la figura de un director de sistemas en aquellas entidades que aún no cuenten con ella.

En este sentido claramente es un cambio de paradigma: las primeras líneas (IT y seguridad) se reconvierten en “facilitadores del negocio”, mientras que los riesgos son asumidos por el directorio.

 

Relacionado con esto se establece la necesidad de realizar análisis de riesgos:

•             Antes del lanzamiento de nuevos productos o servicios que originen cambios importantes en los sistemas de información, en los procesos, servicios y/o actividades de tecnología y seguridad de la información.

•             Antes de la delegación en terceras partes de procesos, servicios y/o actividades.

Aparecen conceptos que, si bien a nivel normativo son novedosos, ya se venían requiriendo a las entidades en las últimas DDJJ, como una Arquitectura Empresarial (que permita coordinar la estrategia de datos, la arquitectura de tecnología y aplicaciones con los procesos del negocio), o gestión de portafolio / inversiones, dividiéndolo a su vez de la gestión de proyectos.

Se establece un rol activo del área de riesgos, separando las tareas de riesgo tecnológico definitivamente de las áreas de seguridad y otras áreas generadoras de los riesgos. Aquí surge la necesidad de efectuar análisis de riesgos de los proyectos, los productos y servicios, así como las terceras partes previas a su formalización.

 

El segundo tópico importante que traemos es el impacto en nosotros como auditores de sistemas.

Dado el plazo que establece la norma, cuando iniciemos este ciclo de evaluación, iremos en búsqueda de un programa de 180 días. y debemos considerar que el mismo deberá gestionarse en forma conjunta con la gestión diaria de proyectos que ya estaban en cartera.

En este sentido, nosotros ya estamos apoyando a las entidades a calcular su GAP, entre la situación actual y los objetivos establecidos por la norma.

Esta tarea no será nada trivial, porque estas modificaciones que mencionamos anteriormente no impactan a nivel de un párrafo, dos o tres: el efecto central se produce en la perspectiva desde la cual se posiciona. Pasamos de una norma de cumplimiento, a una norma con foco en riesgos.

Entonces nos preguntamos, ¿cuáles son las tareas que no pueden faltar?  Nos adelanto en pensar que, justamente, nuestro análisis tendría que partir de validar la inclusión de:

  1. Foco en riesgos,
  2. Que plantee una gestión de portfolios de proyectos,
  3. Que tenga manejo presupuestos,
  4. Donde el sponsor sea por supuesto el directorio.

Entonces, ya en este programa esperamos ver en ejecución la gestión del riesgo, la gestión de proyectos y el involucramiento del directorio, entre otros temas centrales que ya mencionamos.

El tema es a partir de que procesos, con qué información y cuáles reportes serán necesarios y como esas decisiones son convertidas, hasta las primeras líneas que son las responsables de llevar adelante esas decisiones.

Volviendo un paso atrás de este programa 180, ¿estarán evaluando las entidades el nivel de madurez de las metodologías y matrices de riesgos que hoy tienen implementadas? Aquellas que habían planteado una matriz solo para cumplir, ya no les será suficiente.