A medida que los procesos y rutinas organizacionales dependen cada vez más de los recursos tecnológicos, las empresas quedan más expuestas a los Riesgos de TI y Ciberseguridad. Por lo tanto, a medida que crecen, necesitan impulsar estructuras de gestión de riesgos para protegerse a sí mismos, a sus clientes, socios y empleados de las amenazas.

Es evidente que no existen empresas libres de riesgos; por lo que existen sólidos marcos de gestión de riesgos que las empresas adoptan ampliamente para sistematizar las posibles variables que afectan el negocio y prever escenarios específicos, minimizando las pérdidas. 

Con el objetivo de llevar la gestión de riesgos a un nuevo nivel, en Nubank hemos creado un equipo muy diverso y colaborativo para innovar en la gestión de los riesgos de TI y ciberseguridad y brindar la mejor orientación y soporte para las áreas comerciales y tecnológicas.

El modelo de tres líneas para la gestión de riesgos

Nubank tiene sólidos procesos de gobernanza y gestión de riesgos y, como muchas otras empresas en todo el mundo, opera según el modelo de tres líneas, un marco estándar diseñado por el IIA (el Instituto de Auditores Internos), anteriormente conocido como ‘el modelo de las tres líneas de defensa’.

Este modelo ayuda a identificar estructuras y procesos que mejor ayudan al logro de objetivos y facilitan una gobernanza y una gestión de riesgos sólidas. Como su nombre lo dice, consta de tres líneas, o equipos, que trabajan juntos con un objetivo común, cada uno con responsabilidades específicas.

En otras palabras, al igual que en el fútbol moderno, donde todos los jugadores participan en la defensa cuando es necesario, el modelo de tres líneas posiciona a todos los miembros de la empresa como jugadores responsables de la gestión de riesgos, cada uno con roles específicos.

Descubre las oportunidades

Primera linea

Cuando hablamos de primera línea de defensa, nos referimos a todos los equipos responsables de las áreas de negocio, operaciones, tecnología y soporte. Esta línea es la encargada de desarrollar e implementar controles, políticas y gestionar los riesgos.

Utilizando la metáfora del fútbol, los equipos de primera línea están en posiciones ofensivas: son responsables de marcar goles, driblar a los oponentes, crear productos excepcionales y venderlos, pero también de identificar, evaluar, controlar y mitigar los riesgos.

Segunda linea

La segunda línea está compuesta por las áreas de Gestión de Riesgos, Controles Internos y Cumplimiento, a donde pertenece el equipo de Riesgos de TI. Busca asegurar que la empresa tenga una adecuada visibilidad sobre los riesgos relevantes, un ambiente de control efectivo de los riesgos y que estos estén bien gestionados. Responsable de proponer políticas de gestión de riesgos, desarrollar modelos, metodologías, así como evaluar y supervisar la primera línea en perspectiva de riesgos.

Al analizar estos equipos desde la perspectiva de la metáfora del fútbol, la segunda línea juega en las posiciones del mediocampo, brindando asistencia para gestionar los riesgos y, al igual que los mediocampistas, haciendo transiciones entre líneas para asegurarse de que todo se desarrolle sin problemas. Dependiendo de la estrategia, pueden jugar de manera más defensiva u ofensiva con el objetivo de apoyar los objetivos del equipo. 

Tercera linea

Finalmente, la tercera línea, compuesta por Auditoría Interna, es responsable de evaluar periódicamente de manera independiente si las políticas, métodos y procedimientos se implementan de manera adecuada y efectiva para asegurar la efectividad del gobierno y la gestión de riesgos. 

La tercera línea es el portero de nuestro equipo de fútbol, la última línea de defensa, actuando de forma independiente, pero formando parte del equipo, para evitar el gol del contrario y garantizar la adecuación y aplicación de los controles de riesgos.

Al ser una empresa única, este modelo tradicional no fue suficiente para satisfacer nuestras necesidades considerando nuestro uso extensivo de tecnología, crecimiento acelerado y apetito por el riesgo. En Nubank tenemos como valor fundamental Buscar la Eficiencia Inteligente, es por eso que siempre estamos innovando incluso en nuestra organización interna. 

Sí, utilizamos esta metodología tradicional, sin embargo, también innovamos buscando adaptaciones a nuestra realidad que nos ayuden a alcanzar nuestros objetivos. 

Reinventing IT & Cyber Risk Management in the financial market
Tres líneas de defensa trabajando juntas en la sede de Nubank en São Paulo, Brasil. 

La segunda línea tradicional y nuestra manera de hacerlo

Siguiendo puramente las metodologías tradicionales, las líneas de defensa actúan con su alcance específico, con todos los procesos definidos. Este modelo tradicional es muy eficiente pero, debido a la falta de integración entre equipos, el trabajo puede superponerse y consumir demasiado tiempo desde la primera línea. Todos estos obstáculos al ciclo de desarrollo generan fricciones y retrasos que son perjudiciales para las empresas tecnológicas de rápido crecimiento. 

Profundizando en el modelo tradicional, los equipos de segunda línea están intensamente centrados en los procesos de negocio y tienen una profundidad técnica limitada. También tienden a tener poca integración entre los equipos de riesgo, ciberseguridad e ingeniería, actuando como actores aislados con un ámbito de trabajo bien definido.  

Este modelo puede ser suficiente para la mayoría de las empresas, pero utilizar estas metodologías de manera pura es inviable para una empresa de tecnología como Nubank. Para atender nuestras demandas adaptamos los modelos tradicionales, creando una metodología propia, y operamos en una lógica de riesgo por diseño, por lo que la segunda línea se involucra en proyectos relevantes desde el inicio. 

Segmentación de tres escuadrones

Para brindar el mejor soporte a la primera línea, el equipo de Riesgos de TI está segmentado en tres escuadrones, además de los equipos en los demás países donde opera Nubank. 

  • El equipo de Evaluación de Riesgos TI trabaja estrechamente con la primera línea desempeñando un rol de consultoría y apoyándolos en la definición de planes de acción para evitar y mitigar eventuales riesgos TI. 
  • El equipo de Gobernanza define y actualiza nuestras metodologías de gestión de riesgos y orienta a la primera línea en temas normativos. 
  • Por último, el equipo de Ingeniería de Riesgos garantiza que operamos de manera inteligente y eficiente al automatizar procesos y aprovechar la capacidad del equipo.

El modelo de gestión de riesgos de Nubank

En todos los procesos contamos con algo de tecnología y comprenderla es crucial para garantizar que estamos explorando todos los escenarios de riesgo. Al realizar evaluaciones de riesgos, debemos lidiar con tecnologías de la Nube como AWS o GCP, Kafka, Mobile Platform, Data pipelines, entre otras herramientas. 

Al crear equipos dedicados a Riesgos Operativos y de TI, cada equipo puede profundizar en su área de especialización y aportar más valor comercial con su análisis. 

Mientras que el Riesgo Operacional aborda los procesos, el Riesgo de TI se centra en la ingeniería, la gestión de datos y la ciberseguridad. En Nubank, pensamos y actuamos como propietarios, no como inquilinos, por lo que el equipo de Riesgos de TI empodera a la primera línea de defensa para tomar decisiones y asumir riesgos con barreras de seguridad, lo que permite a la empresa crecer rápidamente sin la burocracia de un análisis extenso para cada decisión.   

Proporcionamos metodología, información, orientación y automatización, para que las áreas de negocio tengan la autonomía para tomar decisiones informadas sin perder de vista las prácticas de gobierno y gestión de riesgos de Nubank. 

La importancia de la diversidad y la segunda línea estratégica

El crecimiento exponencial y la internacionalización de Nubank apalancaron la relevancia estratégica de la segunda línea, su impacto en el negocio y las responsabilidades. Para seguir el ritmo, aceleramos el crecimiento del equipo, y hacer crecer un equipo a este ritmo de manera sostenible aprovechando la diversidad y la química del grupo es un desafío. 

Aún así, no tomamos atajos cuando se trata de nuestros valores, y todo ese trabajo extra vale la pena a medida que logramos construir un equipo de primer nivel que está reinventando la forma de gestionar los riesgos de TI a nivel global.

El equipo de Riesgos de TI está compuesto por personas de diversos orígenes étnicos, géneros, educativos y profesionales (sí, no es necesario saber gestión de riesgos para unirse al equipo). 

Como equipo diverso, tenemos diferentes puntos de vista, por lo que tomamos decisiones más sólidas y proponemos mejores alternativas para resolver los problemas. Además, un equipo multidisciplinario es una fuente natural de intercambio de conocimientos y aprendizaje. 

El equipo cuenta con profesionales con competencias y experiencia complementarias en diversas áreas, como Auditoría, Seguridad de Aplicaciones, Seguridad Ofensiva, Gestión de Infraestructura, Front-end, Prevención de Fraude, Gobernanza, Ingeniería, Gestión de Proyectos y Redacción Técnica. 

Pero todos tenemos en común algunas habilidades que nos hacen un grupo inclusivo y de alto rendimiento:

  • Somos curiosos, adaptables y aprendemos rápido
  • Estamos intrínsecamente motivados y actuamos como propietarios
  • Desafiamos el status quo
  • Somos colaborativos y orientados al cliente

Conclusión

En Nubank, la gestión de riesgos es una fuente de ventaja competitiva. Entendemos lo útiles que son las metodologías tradicionales para guiarnos, pero son sólo una guía. 

Para abordar la necesidad de una empresa única como Nu, necesitábamos adaptar todo lo que aprendimos de los marcos existentes y desafiarnos a nosotros mismos para crear una metodología más eficiente y moderna sin ignorar todo el aprendizaje que aportan los modelos estándar.

Nuestra misión es aprovechar el negocio empoderando a la primera línea para que tome decisiones informadas y ayudándolos a abordar los riesgos de cola en un ecosistema empresarial donde las empresas están cada vez más expuestas a los riesgos. 

Utilizamos tecnología y diseño de procesos para mejorar la eficiencia de los procesos de gestión de riesgos para mantenernos al día con las necesidades de primera línea para innovar rápidamente y ofrecer consistentemente las mejores soluciones a nuestros clientes.

Sin embargo, ninguna de estas mejoras podría existir sin un equipo muy capacitado, multidisciplinar y audaz. Construir un equipo muy fuerte es uno de nuestros objetivos principales para seguir innovando y desafiando el status quo para brindar el mejor valor a nuestros clientes.

Descubre las oportunidades