A medida que los procesos y rutinas organizacionales aumentan su dependencia en los recursos tecnológicos, las empresas están cada vez más expuestas a riesgos de TI y ciberseguridad. Es por ello que a medida que las organizaciones crecen, requieren fortalecer sus estructuras de gestión de riesgos para proteger de amenazas a sus clientes, socios, empleados, y a sí mismas.
Es evidente que no existen empresas libres de riesgo; por lo que existen marcos sólidos de gestión de riesgos que las compañías adoptan ampliamente para sistematizar las posibles variables que puedan afectar al negocio y prever escenarios específicos, minimizando las pérdidas.
Con el objetivo de llevar la gestión de riesgos al siguiente nivel, en Nu hemos desarrollado un equipo altamente diverso y colaborativo que nos permite innovar la manera en cómo gestionamos los riesgos de TI y ciberseguridad, así de cómo brindamos las mejores recomendaciones y soporte a nuestras áreas de negocio y tecnología.
El modelo de tres líneas para la gestión de riesgos
Nu tiene sólidos procesos de gobernanza y gestión de riesgos que, al igual que muchas otras empresas en todo el mundo, opera utilizando el modelo de tres líneas, un marco estándar diseñado por el Instituto de Auditores Internos (IIA, por sus siglas en inglés), anteriormente conocido como “el modelo de las tres líneas de defensa” .
Este modelo ayuda a identificar las estructuras y procesos que mejor apoyan al logro de los objetivos y facilitan una gobernanza y gestión de riesgos sólida. Como su nombre lo indica, el modelo consta de tres líneas, o equipos, que trabajan juntos para lograr un objetivo en común, cada uno con responsabilidades específicas.
En otras palabras, al igual que en el fútbol moderno, donde todos los jugadores participan en la defensa cuando es necesario, el modelo de las tres líneas posiciona a todos los miembros de la organización como jugadores responsables de la gestión de riesgos, cada uno con roles específicos.
Primera linea
Cuando hablamos de la primera línea de defensa, nos referimos a todos los equipos responsables de las áreas de negocio, operaciones, tecnología y soporte. Esta línea está a cargo de desarrollar e implementar controles, políticas y administrar los riesgos.
Usando la metáfora del fútbol, los equipos de la primera línea se ubican en las posiciones ofensivas: Estos son los responsables de marcar goles, derribar oponentes, crear grandes productos y venderlos, pero también de identificar, evaluar, controlar y mitigar los riesgos.
Segunda línea
La segunda línea está compuesta por las áreas de Gestión de Riesgos, Controles Internos y Cumplimiento, donde pertenece el equipo de Riesgos de TI. Esta línea busca asegurar que la compañía tenga la visibilidad apropiada sobre sus riesgos más relevantes, un ambiente de control de riesgos efectivo, y que estos se administren correctamente. Es responsable de proponer políticas de gestión de riesgos, desarrollar modelos, metodologías, así como evaluar y supervisar la primera línea desde una perspectiva de riesgos.
Analizando a estos equipos desde la perspectiva de la metáfora del fútbol, la segunda línea juega en las posiciones del medio campo, brindando asistencia para administrar los riesgos y, al igual que los mediocampistas, moviéndose entre las diferentes líneas para asegurarse de que todo funcione bien. Dependiendo de la estrategia, pueden jugar más a la defensiva u ofensivamente con el objetivo de apoyar los objetivos del equipo.
Tercera línea
Finalmente, la tercera línea, compuesta por Auditoría Interna, es responsable de evaluar periódicamente desde un punto de vista independiente sí las políticas, métodos y procedimientos de la empresa son implementados adecuada y efectivamente para asegurar la eficacia de la gobernanza y la gestión de riesgos.
La tercera línea es el portero de nuestro equipo de fútbol, la última línea de defensa, que actúa de manera independiente, pero que forma parte del equipo impidiendo que el adversario anote gol, garantizando la idoneidad e implementación de los controles de riesgo.
Al ser una empresa única, este modelo tradicional no era suficiente para satisfacer nuestras necesidades, considerando nuestro amplio uso de tecnología, crecimiento acelerado, y apetito de riesgo. En Nubank tenemos como valor central “perseguir la eficiencia inteligente”, es por ello que siempre nos encontramos innovando, incluso en nuestra organización interna.
Sí, nosotros usamos esta metodología tradicional, pero también innovamos para buscar adaptaciones para nuestra realidad que nos ayuden a lograr nuestros objetivos.
La segunda línea tradicional y nuestra forma de trabajar
Siguiendo puramente las metodologías tradicionales, las líneas de defensa actúan dentro de su ámbito específico, con todos sus procesos definidos. Este modelo tradicional es muy eficiente pero, debido a la falta de integración entre los equipos, el trabajo puede superponerse y consumir demasiado tiempo de la primera línea. Todos estos obstáculos en el ciclo de desarrollo generan fricciones y retrasos que son perjudiciales para las empresas tecnológicas de rápido crecimiento.
Profundizando en el modelo tradicional, los equipos de segunda línea se centran intensamente en procesos de negocio y tienen una profundidad técnica limitada. También suelen tener poca integración con los equipos de riesgo, ciberseguridad e ingeniería, actuando como jugadores aislados con un alcance de trabajo bien definido.
Este modelo puede ser suficiente para la mayoría de las empresas, pero usar puramente estas metodologías resulta inviable para una empresa tecnológica como Nubank. Para atender nuestras demandas, adaptamos los modelos tradicionales, creando una metodología propia, para operar bajo una lógica de “riesgo por diseño”, por lo que la segunda línea se involucra en proyectos relevantes desde el inicio.
Segmentación en tres equipos
Para dar el mejor soporte a la primera línea, el equipo de Riesgos de TI está segmentado en tres equipos, además de los equipos del resto de países donde opera Nu.
- El equipo de Evaluaciones de Riesgos de TI trabaja en estrecha colaboración con la primera línea, desempeñando un papel de consultoría y apoyando en la definición de planes de acción para evitar y mitigar eventuales riesgos de TI.
- El equipo de Gobernanza define y actualiza nuestras metodologías de gestión de riesgos y orienta a la primera línea en temas regulatorios.
- Por último, el equipo de Ingeniería de Riesgos garantiza que operemos de manera inteligente y eficiente mediante la automatización de procesos y el aprovechamiento de la capacidad del equipo.
El modelo de gestión de riesgos de Nu
En todos nuestros procesos utilizamos tecnología, y entenderla es crucial para asegurarnos de que estamos explorando todos los escenarios de riesgo.
Al realizar evaluaciones de riesgos, normalmente lidiamos con tecnologías en la nube como AWS o GCP, Kafka, plataformas móviles, canales de datos, entre otros.
Al contar con equipos de riesgos operativos y de TI dedicados, cada equipo puede profundizar en su área de especialización y aportar más valor al negocio con sus análisis.
Mientras que el enfoque del equipo de Riesgos Operativos son los procesos, el de Riesgos de TI se enfoca en la ingeniería, la gestión de datos y la ciberseguridad. En Nu, pensamos y actuamos como propietarios, no como inquilinos, por lo que el equipo de Riesgos de TI empodera a la primera línea de defensa para tomar decisiones y asumir riesgos de manera segura, lo que permite que la empresa crezca rápidamente sin la burocracia de extensos análisis en cada decisión.
Proporcionamos metodologías, información, orientación y automatización, para que las áreas de negocio tengan autonomía para tomar decisiones informadas sin perder de vista las prácticas de gobierno y gestión de riesgos de Nu.
La importancia de la diversidad y la segunda línea estratégica
El crecimiento exponencial y la internacionalización de Nu potenciaron la relevancia estratégica de la segunda línea, su impacto en el negocio y sus responsabilidades. Es por ello que aceleramos el crecimiento del equipo, aunque crecer un equipo a este ritmo, de manera sustentable y aprovechando la diversidad y la química del grupo es todo un desafío.
Aún así, no tomamos atajos cuando se trata de nuestros valores, y todo ese trabajo adicional vale la pena cuando logramos construir un equipo de primera clase que está reinventando la forma de administrar los riesgos de TI a nivel global.
El equipo de Riesgos de TI está compuesto por personas de diversos orígenes étnicos, géneros, y perfiles educativos y profesionales (sí, no es necesario que conozcan la gestión de riesgos para unirse al equipo).
Como un equipo diverso, tenemos diferentes puntos de vista, por lo que tomamos decisiones más sólidas y encontramos mejores alternativas para resolver problemas. Además, un equipo multidisciplinario es una fuente natural de intercambio de conocimientos y aprendizaje.
El equipo cuenta con profesionales con competencias y experiencia complementarias en diversas áreas como auditoría, seguridad de aplicaciones, seguridad ofensiva, gestión de infraestructura, front-end, prevención de fraude, gobernanza, ingeniería, gestión de proyectos y redacción técnica.
Pero todos tenemos en común algunas habilidades que nos hacen un grupo inclusivo y de alto rendimiento:
- Somos curiosos, adaptables y aprendemos rápido.
- Estamos intrínsecamente motivados y actuamos como dueños
- Desafiamos el status quo
- Somos colaborativos y orientados al cliente
Conclusión
En Nu, la gestión de riesgos es una fuente de ventaja competitiva. Entendemos cuán útiles son las metodologías tradicionales para guiarnos, pero son solo una guía.
Para satisfacer las necesidades de una empresa tan única como Nu, necesitábamos adaptar todo lo que aprendimos de los marcos existentes, así que nos desafiamos para crear una metodología más eficiente y moderna sin ignorar todo el aprendizaje que aportan los modelos estándar.
Nuestra misión es aprovechar el negocio empoderando a la primera línea para que tome decisiones informadas y ayudándolos a manejar los riesgos en un ecosistema empresarial donde las empresas están cada vez más expuestas a riesgos.
Utilizamos tecnología y diseño de procesos para mejorar la eficiencia de los procesos de gestión de riesgos para mantenernos al día con las necesidades de primera línea, innovar de manera rápida, y ofrecer las mejores soluciones a nuestros clientes de manera consistente.
Sin embargo, ninguna de estas mejoras podría existir sin un equipo muy capacitado, multidisciplinario y audaz. Construir un equipo muy fuerte es uno de nuestros objetivos principales para seguir innovando y desafiando el status quo para brindar el mejor valor a nuestros clientes.
Si te identificaste con nuestra forma de trabajar, estaremos encantados de recibir tu aplicación, visita nuestra web y consulta las vacantes. Invitamos a todos a aplicar. Queremos personas curiosas y dispuestas a aprender y desafiarse a sí mismas.