La evolución de las normativas Basilea y Solvencia II durante los últimos años han ido desarrollando, ampliando y actualizando la mayoría de las normas establecidas en estas directivas. Gran parte de las empresas del sector financiero las han ido incorporando de manera progresiva y efectiva.
Centrándonos en el Pilar II y su impacto en TI, en este post vamos a hablar de uno de los artículos relacionado con el control interno y su aportación para el negocio.
Para posicionar a nuestros lectores transcribimos la parte del texto normativo que se adapta, en este caso al sector asegurador por citar uno en concreto, a este artículo:
ART.46: Control Interno
Las empresas de seguros y de reaseguros establecerán un sistema eficaz de control interno. Dicho sistema constará, como mínimo, de procedimientos administrativos y contables, de un marco de control interno, de mecanismos adecuados de información a todos los niveles de la empresa y de una función de verificación del cumplimiento.
(EIOPA) Directriz 33: Entorno de control interno
De conformidad con el artículo 46 de la Directiva Solvencia II, las autoridades de supervisión deberían garantizar que la empresa promueva la importancia de llevar a cabo controles internos adecuados asegurándose de que todo el personal sea consciente de su función en el sistema de control interno. Las actividades de control deben ser proporcionales a los riesgos derivados de las actividades y procesos a controlar.
De conformidad con el artículo 246 de la Directiva Solvencia II, las autoridades de supervisión deben garantizar que la entidad responsable se asegure de que los sistemas de control interno se apliquen en todo el grupo.
(EIOPA) Directriz 34: Control y notificaciones
De conformidad con el artículo 46 de la Directiva Solvencia II, las autoridades de supervisión deberían garantizar que la empresa establezca que los mecanismos de control y notificación del sistema de control interno proporcionen al órgano de administración, de dirección y de control la información relevante para los procesos de toma de decisiones.
Aplicación en las TIC’s
- Normativa orientada a procedimientos, los procedimientos TI están incluidos.
- Controles internos.
- Monitorización.
- Información relevante: Cuadros de mando e informes.
Me consta que con frecuencia los aspectos normativos o de aplicación de procedimientos no son siempre bien valorados por determinadas áreas del negocio. Es como si con esas normas y procedimientos perdieran libertad y con ello productividad, cuando salvo excepciones, es todo lo contrario. Las normas nos obligan y por tanto no son eludibles ni cuestionables, pero los procedimientos se limitan a decir cómo se deben de realizar las operaciones para que se ejecuten de modo óptimo y controlable, por lo que con ellos se garantiza que se realizan las acciones del mejor modo posible y que se dejan huellas del proceso para poderlo controlar.
Si alguien considera que los procedimientos perjudican en algún sentido la eficacia y eficiencia de su área, es porque no han elaborado los procedimientos contemplando las mejores prácticas, o lo han hecho de espaldas a la realidad y no reflejan lo que realmente se debe hacer o porque no se ha contado con TI al nivel que permita niveles de automatización óptimos. Y; por otra parte, si el hecho de dejar constancia de lo que se hace es lo que causa el rechazo a los procedimientos, bajo el argumento de una sobrecarga de trabajo, es porque no se valora adecuadamente el conocimiento de lo que está pasando para poder analizarlo y mejorarlo.
Procesos que entran en bucle, debido a un mal diseño, incremento de los tiempos de respuesta en servicios críticos, procesos obsoletos que ya no tienen función de ser, etc. Son algunos de los casos que nos podemos encontrar en cualquier centro de datos.
El establecer una adecuada monitorización de esos procesos, mediante la trazabilidad de su “huella digital”, permite conocer su funcionamiento, mejorarlo y reducir los tiempos, los recursos que utilizan (disco, memoria, personal técnico, etc.) y por ende los costes de cada proceso, ofreciendo además una mejora de la imagen, tanto del departamento de TI, como de la propia compañía.
La monitorización de los procesos permite medir las mejoras introducidas en la optimización de los mismos, controlar los riesgos y cuantificar los costes. Todo ello es siempre muy bien valorado por las áreas que participan directamente del resultado.
Si en este proceso logramos que la monitorización de estos se consolide y que podamos ser capaces de obtener la trazabilidad completa de la información, el éxito será mayor aún.
La trazabilidad del dato permite verificar, modernizar y mejorar los diferentes operacionales, lo que en la actualidad suele ser uno de los caballos de batalla en nuestro sector. El crecimiento de los diferentes negocios y su ubicación en sistemas tecnológicos incompatibles entre ellos ha sido desde el origen una fuente de problemas en la consolidación, el gobierno del dato y la mejora de la información.
Teniendo en cuenta que la adaptación de esos sistemas Legacy no es sencilla, ni económica, ni rápida, el poder disponer de una alternativa que reduzca los riesgos y los costes, es algo que ayudará a las compañías a disponer de un plan alternativo mientras se adoptan otras medidas a medio/largo plazo.
Solvencia II y la gestión adecuada de los procesos (huella digital y su monitorización), pueden ser la palanca que ayude al cambio y que posibilite una modernización de estos, el control y gobierno del dato y la mitigación de los riesgos asociados.
