Home / Resources / ISACA Journal / Issues / 2018 / Volume 4 / Data Governance From the Actuary and Risk Management Perspectives

Gobernanza de datos desde las perspectivas del actuario y gestión de riesgos

Governance
Autor: Mehmet Zeki Önal, CISA, CRISC, CGEIT, CCSA, CRMA
Fecha de Publicación: 23 January 2019
English

Teniendo en cuenta las prácticas y la legislación actual y futura en Turquía y en todo el mundo, el marco Solvencia II1 y las nuevas Normas Internacionales de Información Financiera (NIIF)2 (especialmente la NIIF 9 y la NIIF 17) son áreas donde recientemente se ha debatido el actuario y el riesgo perspectivas de gestión, así como la dimensión de datos. Dado que el marco y las reglamentaciones se centran en los datos, y la forma correcta de aplicarlos depende de la calidad de los datos, se puede ver la importancia del gobierno de los datos. Figura 1 resume el marco y las regulaciones.

Figura 1

Teniendo en cuenta las responsabilidades de las funciones actuario y de gestión de riesgos dentro del marco Solvencia II y las regulaciones IFRS, y la descripción general del trabajo de los gerentes de riesgos, la calidad de los datos utilizados para todos los cálculos, modelos e informes es muy importante y crítica para los resultados. Dado que los datos utilizados para los cálculos, modelos e informes se guardan en los sistemas de información en todas las instituciones, garantizar la calidad de los datos es principalmente el trabajo del propietario de los datos, pero el departamento de TI también es responsable porque conserva los datos. Los actuarios y los gerentes de riesgos, las partes que utilizan los datos producidos por las funciones del negocio y emplean los datos para producir nuevos datos, son indirectamente responsables de evaluar y cuestionar la calidad de los datos. Sus responsabilidades continúan como propietarios de datos cuando crean, modelan e informan los datos.

Dado que los datos se crean, procesan, guardan, informan y archivan de forma distribuida en sistemas de información (es decir, aplicaciones, bases de datos, almacenes de datos y hojas de cálculo almacenadas en servidores de archivos) y en procesos y se utilizan para diferentes fines, como gestión de productos o políticas. reclamos, actividades contables y legales, el gobierno de datos a nivel corporativo se vuelve muy importante desdelasperspectivasdel actuarioygestiónderiesgos. Dado que los datos pueden crearse internamente y/o obtenerse externamente, y las partes interesadas externas en el sector de seguros son variadas e incluyen proveedores de datos sectoriales y económicos, así comoagencias, organizacionesdeserviciosyabogados, aumenta la necesidad de garantizar la gobernanza de los datos.

Desde la perspectiva de la gestión de riesgos, la necesidad de gobernanza de datos existe no solo en el sector de seguros, sino también en todos los sectores afectados por las regulaciones de las NIIF. Las estructuras complejas de los sistemas de información aumentan la necesidad de gobernar los datos. Estas estructuras están compuestas por sistemas de expertos/fuente y sistemas de contabilidad/informes, sistemas periféricos para la gestión de datos e informes ubicados alrededor de estos sistemas, así como interfaces e integraciones que garantizan el funcionamiento adecuado de estos sistemas.

El gobierno de datos comprende un sistema de gestión integral que describe, coordina y gestiona cómo se mueven los datos en la organización, las responsabilidades y los flujos de datos, y todos los riesgos y acciones relacionados con los datos. Por lo tanto, los datos de diferentes fuentes se pueden gestionar de acuerdo con las necesidades de la organización a nivel corporativo, utilizando enfoques integrales y coordinados.

Los datos que deben conservarse, procesarse y notificarse de manera diferente para cumplir con los requisitos del marco Solvencia II y las normativas IFRS deben cumplir con este marco y estas normas. Además, se debe crear una sólida estructura de gobierno de datos para satisfacer todas las necesidades comerciales y tecnológicas de la organización relacionadas con los datos.

Figura 2Uno de los marcos importantes que guían a las organizaciones en relación con la gobernanza de datos es el marco COBIT 5 para la gobernanza y gestión de las TI empresariales (figura 2),3 cuyo objetivo es administrar todas las TI a nivel corporativo de una manera que agregue valor.

El marco COBIT 5 guía la construcción de procesos y estructuras de TI a nivel corporativo en línea con las buenas prácticas. En este marco, el gobierno de datos se maneja en toda la organización dentro del marco de estos procesos y estructuras. Como los datos se consideran fuentes importantes en todas las funciones comerciales y de TI (como entradas, como partes del proceso y como salidas), los procesos y las estructuras de TI definidos dentro del marco COBIT 5 se han construido desde esta perspectiva.

Las siguientes partes del marco COBIT 5 son ejemplos de importantes descripciones de procesos, prácticas de gestión y actividades desde la perspectiva del gobierno de datos, donde mencionan la importancia de los datos, la información y el conocimiento. Estos procesos, prácticas y actividades seleccionados explican los objetivos o expectativas principales del marco COBIT 5 desde la perspectiva del gobierno de datos y el uso de datos, información y conocimiento en el gobierno de TI desde la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad perspectivas:

  • APO01 Administrar el marco de gestión de TI: APO01.06 Definir información (datos) y propiedad del sistema—Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Asegúrese de que los propietarios tomen decisiones sobre la clasificación de la información y los sistemas y los proteja de acuerdo con esta clasificación.
  • APO03 Administrar arquitectura empresarial—Establezca una arquitectura común que consista en capas de arquitectura de procesos, información, datos, aplicaciones y tecnología empresarial para lograr de manera efectiva y eficiente estrategias empresariales y de TI.
  • APO13 Administrar seguridad—Definir, operar y monitorear un sistema para la gestión de la seguridad de la información.
  • BAI02 Administrar definición de requisitos—Identifique soluciones y analice los requisitos antes de la adquisición o creación para asegurarse de que estén en línea con los requisitos estratégicos de la empresa que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios.
  • BAI03 Administrar identificación y construcción de soluciones—Administrar la configuración, la preparación de pruebas, las pruebas, la gestión de requisitos y el mantenimiento de los procesos comerciales, aplicaciones, información/datos, infraestructura y servicios.
  • BAI07 Gestionar la aceptación del cambio y la transición—Acepte formalmente y haga nuevas soluciones operativas, incluida la planificación de implementación, conversión de datos y sistemas, pruebas de aceptación, comunicación, preparación de versiones, promoción a producción de procesos comerciales y servicios de TI nuevos o modificados, soporte de producción inicial y una revisión posterior a la implementación.
  • DSS01 Administrar operaciones: DSS01.01 Realizar procedimientos operativos-actividad 3—Verifique que todos los datos esperados para el procesamiento se reciban y procesen completamente, con precisión y de manera oportuna.
  • DSS04 Gestionar la continuidad: DSS04.03 Desarrollar e implementar una actividad de respuesta de continuidad del negocio 4—Definir las condiciones y los procedimientos de recuperación que permitirían la reanudación del procesamiento comercial, incluida la actualización y conciliación de las bases de datos de información para preservar la integridad de la información.
  • DSS04 Gestionar continuidad: DSS04.07 Gestionar acuerdos de copia de seguridad—Mantener disponibilidad de información crítica para la empresa.
  • DSS05 Administrar servicios de seguridad—Proteja la información de la empresa para mantener el nivel de riesgo de seguridad de la información aceptable para la empresa de acuerdo con la política de seguridad.
  • DSS06 Administrar los controles del proceso comercial: DSS06.02 Controla el procesamiento de la información—Operar la ejecución de las actividades del proceso empresarial y los controles relacionados, en función del riesgo de la empresa, para garantizar que el procesamiento de la información sea válido, completo, preciso, oportuno y seguro (es decir, refleje el uso comercial legítimo y autorizado).

Cuando se evalúan estas prácticas, procesos y actividades mencionados en el marco COBIT 5, la importancia y la importancia de la calidad de los datos se puede ver en cada fase, desde la planificación hasta la adquisición, desde la construcción hasta la operación, y desde la administración hasta la supervisión de la función informática que agrega valor para los procesos de negocios y la organización. Por lo tanto, los pasos importantes que deben tomarse en el entorno de TI son cada vez más obvios para garantizar la calidad de los datos.

Como resultado de la gestión de los datos en línea con los requisitos relacionados con los datos definidos en el marco COBIT 5, las estructuras de TI servirán para calcular e informar desde el actuario o las perspectivas de gestión de riesgos, además de los informes financieros de una manera robusta. Además, es posible construir una estructura de gobierno de datos a nivel corporativo que respalde el trabajo analítico. Este trabajo analítico agregará valor a los procesos de negocio y la organización y logrará varios objetivos.

Después de construir un sistema eficiente de gobierno de datos, estructuras como un sistema de gestión de seguridad de la información (ISMS)4 y un sistema de gestión de continuidad del negocio (BCMS)5 basados en los estándares relevantes de la Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) pueden ser construido de una manera que cumpla con las necesidades de la organización con respecto a la seguridad y continuidad de los datos y que esté en línea con los estándares globales. Del mismo modo, aunque los Comunicados sobre Gestión de Sistemas de Información y Auditoría Independiente publicados por la Junta de Mercados de Capital de Turquía6, 7 no requieren la certificación del cumplimiento de las normas mencionadas, demuestran los requisitos y las expectativas relacionadas con estas asignaturas.

Además de los requisitos operacionales y los requisitos de información, la legislación local y global sobre protección de datos, como la Ley de Protección de Datos Personales de Turquía8 y el Reglamento General de Protección de Datos de la UE (GDPR),9 también requieren la implementación de pasos para los procesos de gobierno de datos; por lo tanto, aceleran y guían los procesos relacionados.

En consecuencia, la gobernanza de datos es cada vez más importante desde las perspectivas de actuario y gestión de riesgos, y la necesidad de que las organizaciones desarrollen un enfoque que considere la legislación y las reglamentaciones relacionadas con este tema ha surgido. En este sentido, el marco COBIT 5 ofrece un enfoque de gobierno de datos para guiar a las organizaciones.

Por lo tanto, es recomendable construir una estructura de gobierno de datos y determinar la propiedad, las responsabilidades y los criterios para cumplir los requisitos directos e indirectos definidos en el marco de Solvencia II y las normas IFRS de manera que cumpla con los requisitos de gobierno de datos del marco COBIT 5 y cubre todas las partes interesadas. El enfoque actual de gobernanza de datos debe revisarse en consecuencia y los datos actuales también deben abordarse y reorganizarse bajo este enfoque. Mientras tanto, se deben tener en cuenta otros objetivos de cumplimiento y organización y se debe garantizar el cumplimiento a nivel corporativo.

Notas finales

1 European Insurance and Occupational Pensions Authority, “Solvency II,” eiopa.europa.eu/regulation-supervision/insurance/solvency-ii
2 International Financial Reporting Standards, List of IFRS Standards, www.ifrs.org/issued-standards/list-of-standards/
3 ISACA, COBIT 5, USA, 2012
4 International Organization for Standardization/ International Electrotechnical Commission, ISO/IEC 27001:2013, Information technology—Security techniques—Information security management systems—Requirements, 2013, www.iso.org/standard/54534.html
5 International Organization for Standardization/International Electrotechnical Commission, ISO/IEC 22301:2012, Societal security—Business continuity management systems—Requirements, 2012, www.iso.org/standard/50038.html
6 Capital Markets Board of Turkey, Bilgi Sistemleri Yönetimi Tebliği, Turkey, 2018, mevzuat.spk.gov.tr/
7 Bilgi Sistemleri Bağımsız Denetim Tebliği, Turkey, 2018, mevzuat.spk.gov.tr/
8 Personal Data Protection Agency of Turkey, Personal Data Protection Law, Turkey, 2016, www.mevzuat.gov.tr/Metin1.Aspx?MevzuatKod=1.5.6698&MevzuatIliski=0&sourceXmlSearch=6698&Tur=1&Tertip=5&No=6698
9 European Parliament, General Data Protection Regulation, 2016, gdpr-info.eu/

Mehmet Zeki Önal, CISA, CRISC, CGEIT, CCSA, CRMA
Es un alto directivo en Risk Assurance Services en PricewaterhouseCoopers Turquía. Tiene experiencia en proyectos de aseguramiento y consultoría relacionados con procesos de TI en compañías financieras y no financieras. Ha participado en compromisos de aseguramiento, cumplimiento, revisión y análisis de brechas, así como en mejoras, optimización, diseño, transformación, preparación y compromisos de implementación con respecto a los marcos, normas y regulaciones locales y globales. Tiene experiencia en gobierno de TI, estrategia de TI, transformación de TI, reorganización de TI, gestión de costes de TI y gestión de riesgos de computación en la nube. Además, tiene experiencia en temas de aseguramiento de desempeño tales como evaluación y selección de proveedores y sistemas y aseguramiento de terceros.