El futuro de ERM: tecnologías y marcos

 

Transcripción: 

Robert Bateman:

Hola, muchas gracias por acompañarnos nuevamente en PrivSec Focus Enterprise Risk. Soy Robert Bateman, jefe de contenido aquí en GRC World Forums y presento la última sesión del día. Hemos tenido un conjunto fantástico de paneles, y estoy seguro de que este también funcionará.

Haga preguntas utilizando la función de chat en la plataforma. Y pasaré ahora al anfitrión de esta sesión final, el futuro de ERM, tecnologías y marcos. Esto está moderado por Wajahat Raja, quien es Global GRC y GDPR Solutions en la Bolsa de Valores de Arabia Saudita. Wajahat, paso a ti.

Wajahat Raja:

Bueno, Robert, muchas gracias por una sesión y un traspaso tan maravillosos. Realmente quiero felicitar a GRC World por un evento tan increíble hoy. Y junto a mí, me acompañan dos panelistas muy honorables, el Sr. Riccardo y la Sra. Geethy. Muy pronto cuando haga la introducción, oh, tenemos a nuestros panelistas con nosotros. Hola Ricardo. Hola Geethy.

Riccardo Bua:

Hola todos.

Wajahat Raja:

Excelente. Así que déjame darte una pequeña introducción. Ya me presentó Robert. El Sr. Riccardo representa a DigiTribe. Es un experto en gestión de riesgos empresariales junto con muchas otras habilidades que aporta debido a su amplia exposición y experiencia en herramientas y tecnologías.

Tenemos a Geethy aquí de HSBC. Va a debatir mucho sobre los marcos de gestión de riesgos empresariales, pero eso no impedirá que responda a ciertas preguntas tecnológicas sobre el futuro de la gestión de riesgos empresariales.

Voy a entregar a Riccardo. Si desea comenzar, podemos tener nuestras sesiones de preguntas y respuestas al final de esta introducción básica a la gestión empresarial desde la perspectiva del futuro. Tomaremos cinco minutos de discusión básica y luego daremos la bienvenida a todas las preguntas de nuestros panelistas, así como de nuestra audiencia.

Riccardo Bua:

Hola, gracias por eso. Entonces, desde mi perspectiva, he estado trabajando el año pasado en los desafíos de reunir bajo el mismo paraguas, diferentes silos. Cuando hablamos de riesgo empresarial, estamos observando diferentes dominios de riesgo que eventualmente necesitarán agregarse y evaluarse de alguna manera en términos de cómo enfrentamos, mitigamos y definimos cuál es el apetito por el riesgo empresarial y qué tipo de riesgo vamos a asumir. poder evaluar o eventualmente transferir.

Las empresas que trabajan aquí dentro del sector financiero aquí en Europa son las más grandes y básicamente en ambos lados, es difícil transferir tales riesgos. Por lo tanto, significa que se deben poner resultados para finalmente abordarlo. Por lo tanto, cuanto más preciso sea en la evaluación del riesgo de su empresa, más fácil le resultará hacer frente a tales desafíos y escenarios.

Y mi trabajo ha consistido en definir qué tipo de información necesita recopilar de los diferentes grupos y silos que están operando, cómo estructurarlo, qué tipo de gobierno va a implementar. Y con tal gobierno de datos, qué tipo de análisis y extrapolación puede hacer para aumentar el informe y las capacidades que el analista de riesgos eventualmente traerá a la imagen con su evaluación y con sus evaluaciones.

Y algunos de esos desafíos son, de hecho, la forma en que se estructuran los datos, la forma en que se recopilan los datos, la forma en que se procesan los datos. Y finalmente, finalmente, en la forma en que los datos se informan y monitorean en términos de riesgo. Y para ese punto, me gustaría presentar a Geethy porque creo que, desde su perspectiva, tiene algunos enfoques interesantes en términos de cómo hacer frente a estos desafíos en la presentación de informes de riesgo.

Geethy Panicker:

Sí. Así que buenas noches, buenas tardes, dependiendo del lugar donde cada uno de los participantes se una, y hola a mis compañeros participantes. Estoy muy contento de reunirme con todos ustedes para hablar sobre el futuro de ERM y las tecnologías que se implementarán para mejorar la calidad y la eficacia de nuestra gestión de ERM.

Diría que como profesional, he sido profesional durante más de una década para ERM en diferentes bancos en India y Singapur. Y en esa vida, hemos visto cómo evolucionan los marcos, evolucionan las herramientas y cómo el riesgo mismo evoluciona y se manifiesta de diferentes maneras. Entonces, una de las lecciones fundamentales básicas que todos hemos aprendido durante la última década es que el riesgo tradicional se ha mantenido igual.

Hemos visto algunas facetas nuevas del riesgo introducidas por la desglobalización o globalización de la tecnología. Entonces, algunas de las nuevas formas de riesgo se están manifestando y el riesgo tradicional se ha vuelto más interconectado con un mundo globalizado y un mundo tecnológico digitalizado. Entonces, estos son algunos cambios y temas subyacentes, y estamos viendo un riesgo único que ahora toca múltiples taxonomías al mismo tiempo, ya sea pandémico o geopolítico.

Lo verás tocando casi todas las partes de los diferentes taxones. Hay una taxonomía que cada uno de ustedes ha definido para su organización. Entonces, el desafío clave para un profesional de ERM es, por lo tanto, la acumulación de riesgos para eventos desencadenantes, o incluso una base de perfil de riesgo continua. ¿Cómo sabes realmente cuáles son las taxonomías? ¿Qué es la interrelación e interconexiones y la exposición agregada?

Y, por lo general, esto sucede particularmente para los eventos desencadenantes. Esto es de naturaleza muy manual, incluso hoy en día, volviendo a los expertos, cada vez que hemos desencadenado eventos. Cuantitativamente, podemos hacer algo usando los sistemas disponibles, pero cualitativamente, si realmente quieres llegar, no creo que ninguna organización sea tan sofisticada como para tener completo… Por ejemplo, en el momento en que ves el problema de Ucrania, de repente tiene un informe digital avanzado y automatizado que el CRO puede ver al alcance de su mano.

Esa es una visión ideal para el futuro. Y creo que algunas de las tecnologías que discutiremos hoy trabajarán para lograr ese objetivo, incluso mejores perspectivas de tableros para la junta y los CRO y los administradores de riesgos. Así que ese es mi desafío clave número uno hoy, y eso se ve acentuado por la calidad que garantiza la calidad adecuada y buena de los datos para implementar esta tecnología, que es el segundo desafío.

Y tercero, garantizar que las personas que tenemos en la gobernanza funcional de riesgos, las funciones de DRC, estén equipadas con el conjunto de habilidades adecuado para aplicar y hacer uso de esta tecnología para mejorar la gestión de riesgos, así como su administración de riesgos para gestionar el riesgo tecnológico que son subiendo.

Estas son las tres formas de diferentes desafíos que estamos abordando. Y esta es una gran oportunidad. Así que hablaré sobre la oportunidad tal vez en la siguiente pregunta, pero sí, solo quería dar ese contexto de introducción antes de pasar a la segunda pregunta.

Wajahat Raja:

Excelente. Gracias Geethy. Definitivamente agregaré un poco de mi parte que todos estos desafíos, que han sido identificados por Riccardo y Geethy o las situaciones, en realidad brindan un nivel completamente nuevo de tendencias. Quiero decir, si ve el enfoque futurista hacia el ERM, hay algunas tendencias emergentes que debemos observar.

Por ejemplo, podemos ver que los marcos de madurez de riesgo vienen en un formato muy maduro. No podían hacer frente a la gran cantidad de marcos que teníamos y ahora están consolidando los flujos de trabajo que existen en el entorno. Hemos visto la convergencia o el surgimiento de pilas de tecnología ERM con GRC, y creo [inaudible 00:09:20] tener una buena discusión sobre este tema en base a su experiencia personal el próximo año.

También hemos visto que hay un fuerte destaque en el mercado sobre el tratamiento de ERM como una ventaja competitiva. Esta ha sido una discusión bastante grande después de la pandemia, así como también algunas guerras que hemos visto en la región. Luego están las integraciones a nivel de GRC con el factor ESG emergente. ESG ha sido un tema bastante importante hoy en día.

Y cómo ERM y GRC pueden coexistir con ESG es algo que realmente cambiará el paradigma en los próximos años. Eso es algo que también tenemos que discutir. Los roles de los jefes es muy vital como dijo Geethy, que la parte de la gente es bastante importante, pero entre ellos, manteniendo el riesgo en el nivel C. Hemos visto una gran mejora en el papel del CIO, actuando como intermediario entre el nivel C para vender el ERM o la compra del ERM.

Eso es algo muy discutible. Hemos visto una enorme dependencia de la cobertura de riesgos cibernéticos y físicos en el ERM general ahora debido al cambio digital total que está ocurriendo. Las auditorías digitales han sido algo bastante nuevo. Ahora es una nueva normalidad, diría más que algo nuevo. La gestión integrada de riesgos con la transformación digital, un área muy vital e importante a considerar porque el espacio de transformación digital está ocurriendo como nunca antes.

Creo que estas son las pocas áreas que también necesitamos observar y discutir. Y durante la sesión, esperamos que nuestros panelistas contribuyan. Y de la sesión de preguntas y respuestas, ahora damos la bienvenida a cualquiera que realmente quiera preguntar. Definitivamente lo estaremos respondiendo. También hemos comenzado a recibir pocas respuestas, y me encantaría responder estas cosas durante la sesión. Así que paso a ti, Riccardo.

Riccardo Bua:

Sí. Entonces, comenzaré con uno de los puntos que Wajahat planteó anteriormente en términos de poder ser más un socio comercial y capacitar a la empresa para que adopte el enfoque y las decisiones correctos basados en el riesgo y se centre en las oportunidades en lugar de administrar el riesgo. cuando se trata de la pregunta, entonces sobre cómo integrar aún más la IA y el aprendizaje automático en el marco.

La perspectiva desde nuestro lado occidental es segura de que ahora estamos justo al borde de poder recopilar una gran cantidad de datos y análisis de las actividades y las diferentes partes del negocio que realizan esas actividades, y cómo eventualmente expandirse al riesgo antes.

Y tratar de evaluar el impacto de tales transiciones en el estado general de la empresa donde IE y ML podrían entrar en juego es modelar tales riesgos para que puedan ser digeridos y procesados a nivel del mar, y eventualmente comprender dónde están las mayores oportunidades. puede ser.

Y como se mencionó anteriormente, potencialmente algunas de esas áreas podrían estar en cómo alinearse con los controles, como en el lado ESG, pero también cómo explotar la oportunidad ESG y cómo expandir parte de esa evaluación de los datos en términos de cómo eso podría convertirse en una oportunidad para capturar eventualmente la solicitud latente proveniente del mercado y de los diferentes jugadores en términos de dónde posicionar a la empresa en términos de ESG y cómo el riesgo jugará en él. Geethy, ¿quieres agregarle algo? Estás en silencio Geethy.

Geethy Panicker:

Sí, quería elegir un punto que Wajahat había mencionado sobre las nuevas tendencias en la gestión de riesgos y cómo ERM puede ser una ventaja competitiva para la organización. Para esta pregunta, quiero establecer un paralelo con el negocio de la Fórmula Uno y la carrera de Fórmula Uno.

Entonces, si observa la historia de la carrera de Fórmula Uno en la década de 1950, cuando comenzó, los autos solían ir al equipo de boxes, que es muy parecido a una parada en boxes, que es muy similar a una gestión de riesgos o un departamento de cumplimiento de una organización. El coche es algo parecido a una primera línea de negocio. Entonces, el tiempo de parada en boxes solía ser de 72 segundos.

Entonces, manualmente, tuvieron que quitar la llanta, reemplazarla, hacer las reparaciones menores durante el viaje y luego el automóvil se alejaría a su posición de encuesta. Y con el tiempo, las empresas automovilísticas o las empresas patrocinadoras invirtieron mucho en esta tecnología avanzada. Y el mejor tiempo de la historia está por debajo de los dos segundos. Entonces, de 72 segundos, esto se ha reducido a dos segundos en cuanto al más reciente.

Y estoy seguro de que en el futuro, incluso podrían estar haciendo esta actividad de forma completamente remota sentados en otro lugar dentro de la parada en boxes. Entonces, ¿qué tecnología les permite a este negocio mejorar el tiempo de parada en boxes? Cualquier mejora en el tiempo de parada en boxes mostrará y reducirá la mejora en el rendimiento empresarial de los coches, por ejemplo, es un éxito o actúa como una ventaja ganadora.

Y de la misma manera, si lo miras, la competitividad en el mercado es realmente alta. Hay una presión extrema sobre el margen. Estos modelos están cambiando. Entonces, en ese contexto, hay una limitación a la que la primera línea puede contribuir a la rentabilidad. Y es en ese espacio donde los equipos de riesgo y cumplimiento o de gobierno pueden considerar la innovación como un medio para reducir el costo de cumplimiento y agregar al resultado final, en lugar de aumentar continuamente el requisito manual o un requisito de recursos.

Y ese es un lugar donde las tecnologías ERM pueden agregar una ventaja ganadora. Hablaré sobre dos, tres ejemplos de cómo podemos usar cualquiera de estas tecnologías para mejorar nuestro proceso ERM y tener una ventaja ganadora. Comenzaré desde arriba, que es la gobernanza del riesgo. Entonces, la gobernanza del riesgo involucra foros de supervisión o discusiones, reuniones, actas, mucha documentación de todo lo que se discutió en las reuniones. Y ahí es donde un lugar donde la inteligencia artificial puede ayudar de dos, tres maneras.

Uno, por ejemplo, hay una enorme cantidad de informes de riesgo que van a los comités de riesgo. Entonces, la inteligencia artificial, por supuesto, puede ayudar a resumirlos. La PNL es una buena tecnología que puede ayudar a resumir y brindar un informe nítido a la junta en lugar de un ser humano sentado y escribiendo. Por supuesto, se requerirá supervisión y revisión humana, pero la cantidad de horas hombre acumuladas definitivamente puede reducirse mediante un NLP y tecnologías relacionadas.

Del mismo modo, los tableros, ahora tenemos informes periódicos, digamos trimestrales, mensuales, quincenales. Puede pasar a un informe dinámico y necesita saber la base en lugar de la plantilla estándar. ¿Qué es lo que CRO o el miembro de la junta quieren ver en su vista en lugar de la plantilla estándar? Ahí es donde pueden proporcionar el análisis de datos avanzado y la capacidad de BI con IA.

Y todo el proceso de preparar el informe estándar de esas plantillas todos los meses se elimina. El tercer ángulo es tomar muchas notas, la toma de minutos puede automatizarse completamente usando IA. Así que pienso en un área de la gobernanza del riesgo si doy un ejemplo de tres actividades importantes que pueden ahorrar recursos.

Y lo mismo ocurre con ESG. ESG, creo que muchos proveedores ofrecen puntuación ESG basada en IA, en la que la IA en realidad obtiene estos agregados de información externa e interna y reduce la puntuación ESG de la empresa. Así que ese es un buen ejemplo en ESG. También se utiliza para hacer revelaciones. Por lo tanto, se utilizan muchas tecnologías avanzadas para preparar las divulgaciones automáticamente.

Por lo tanto, agrega la información y luego la coloca en plantillas estándar de la misma manera que lo haría un humano y produce informes muy buenos. [inaudible 00:18:21], otra área donde puedes usar mucha inteligencia artificial. Evaluación de riesgos, por lo que ya estamos viendo muchas aplicaciones en fraude, detección de delitos crediticios, detección de delitos financieros, proceso de aprobación de crédito donde la calificación crediticia se realiza mediante inteligencia artificial.

Blockchain se utiliza para muchos procesos de control relacionados con la reconciliación. Entonces, con estas tecnologías, por supuesto, estas son una gran oportunidad y deberán madurar con el tiempo. Por lo tanto, no debemos esperar que mañana, cuando llegue la IA, mi trabajo de gobierno se reduzca. Es que usted tiene que refinar constantemente para adaptarse a los requisitos de la organización.

Algunos productos lo son mucho. Algunos productos aún requerirán muchos aportes de los profesionales de GRC. Pero creo que con el tiempo, sentirá que estas tecnologías realmente pueden ayudarlo a reducir costos, reducir tiempo y enfocarse en lo que es material para su riesgo y diligencia para enfocarse, que es la parte más valiosa. Y ese es el futuro que creo, Riccardo, donde ERM será la ventaja ganadora para la organización.

Riccardo Bua:

Wajahat, ¿tienes alguno [inaudible 00:19:32]

Wajahat Raja:

Sí. Gracias, Ricardo. En realidad, hay una pregunta. Sí, ¿puedes escucharme?

Riccardo Bua:

Sí.

Wajahat Raja:

Sí. Entonces, hay una pregunta sobre cómo podemos aprovechar ML e AI para nuestra integración ESG con ERM y hay muchos puntos buenos que Geethy ha planteado sobre el lado de salida o la capa de presentación de nuestra audiencia para ERM. La raíz o el corazón de todos estos datos serán los datos que residen en forma humana.

Como si se estuviera refiriendo a los informes y luego a las tablas de puntuación y los gráficos, así como a algunos resultados externos. Pero la verdadera preocupación es, ¿cuánto es posible para la automatización? ¿Y qué tipo de opciones tenemos cuando se trata del ERM? La IA definitivamente es una buena palabra de moda, pero si profundizamos en la IA, hay una gran comprensión por desarrollar sobre el aprendizaje automático y el aprendizaje profundo.

Así que podríamos tener suerte si tenemos una buena cantidad de datos. Eso en sí mismo es un problema. Necesitamos estructurar esos datos en un formato específico que se pueda usar a través de nuestros, digamos, los 10 mejores o los cinco mejores algoritmos, luego viene otro aspecto: cómo podemos ordenar esto y cómo podemos llegar a un formato presentable.

Entonces, en la capa, lo que realmente necesita interactuar con las máquinas es algo que depende mucho de los algoritmos existentes que tenemos. Ahora, realmente quiero ir con un poco de introducción para algunos de los algoritmos que están disponibles en el mercado. Y, para ser honesto, están brindando un gran valor, no solo desde la perspectiva de la investigación, sino que podemos ver el potencial de dichos algoritmos en un futuro cercano si no han estado en producción.

Por ejemplo, podemos elegir la regresión lineal. Es uno de los algoritmos mejor ajustados para dar una combinación de Y y X como una relación. Ahora, si tenemos un dato y no hay una relación allí, hay un problema tremendo. Ahora, si tiene una gran cantidad de datos y tiene que encontrar la relación manualmente o en función de las consultas, nuevamente, será un problema grave. Ahora, estos algoritmos, debes entender que necesitan dos cosas principales.

Uno es el entrenamiento de los datos y el otro es el modelado. Ambos han sido todo un desafío hasta ahora, pero con la expectativa de que tenemos datos bien entrenados y tenemos datos bien modelados. Vamos a utilizar estos pocos algoritmos que propuse en ciertas situaciones. Obviamente, no todos los algoritmos se pueden usar en ciertas situaciones específicas de algoritmos. El mar y los árboles, es un algoritmo increíble. UN

Y creo que es uno de los algoritmos utilizables más grandes que puede usar cuando se trata de presentabilidad. Porque si de alguna manera podemos entrenar nuestros datos para que, en este punto en particular, busque estos criterios de calificación y luego haga el [inaudible 00:23:12] y luego produzca un informe para nosotros. Ahora, irónicamente, no tenemos claros estos puntos deciánicos.

Entonces, como dijo Geethy, no es una bala mágica o una bala de plata que todo estará perfectamente bien. Se debe desarrollar un marco para alinearse y gelificarse con la IA. Entonces, el futuro del ERM reside en el surgimiento de la IA y las prácticas de IA. Así que no se trata del algoritmo o de la inteligencia del algoritmo.

Se trata de cómo podemos fusionarlos perfectamente. Del mismo modo, hay otro algoritmo importante que es bastante útil para nosotros, es el algoritmo de pronóstico aleatorio. Este algoritmo es muy, muy útil cuando se trata de pronósticos o previsibilidad. Como podemos ver que el riesgo es la incertidumbre en el futuro. Y ahora mismo en esta sesión, estamos hablando sobre el futuro de ERM en general.

Entonces, mi intuición es que en los próximos tiempos, el algoritmo de pronóstico aleatorio tendrá un valor significativo porque hay múltiples situaciones en las que necesitamos la votación, lo cual es una técnica bastante inteligente para que tomemos una decisión basada en ciertos criterios en nombre de quizás sus jefes. o tal vez su capa gerencial y todo eso, ¿verdad?

Entonces, una vez que sea bastante completo en la comprensión de los decians y antes de eso, tenga este algoritmo de pronóstico con usted. Ahora, es un buen momento para optar por ciertos algoritmos basados en redes neuronales artificiales, que son bastante útiles para integrar e imitar el lado del cerebro humano. Entonces, el comportamiento neuronal es algo que está muy alineado con el lado humano de la ecuación, o el complejo problema que resuelven los humanos.

Y creo que esta ANN, como decía Geethy, no podemos estar 100% basados en máquinas, y tenemos una gran dependencia de los humanos. Entonces, si podemos generar grandes datos de comportamientos humanos, creo que ANN será un gran apoyo para nosotros. Del mismo modo, veo un gran valor de cierta categorización de riesgos desde la perspectiva de la IA.

Ahora, una vez que tenemos nuestra lista de riesgos relacionados con los datos de IA, que a menudo también puede deberse a los problemas de calidad de los datos, que también pueden deberse a las limitaciones de aprendizaje. Ahora, si tenemos una buena comprensión sobre las limitaciones de aprendizaje y el marco integral de la calidad de los datos está en su lugar, nuestros riesgos relacionados con la IA estarán en una postura diferente.

Ahora, hay algunos ataques que podemos predecir y proponer debido a la integración de AI con el ERM. No debemos olvidar que la IA no es solo una bendición. Es tan débil como nuestros esfuerzos. Entonces, en un futuro cercano, debido a que la IA estará en una etapa de evolución en lugar de una forma madura para el ERM, podemos esperar que haya un tipo inteligente que definitivamente atacará nuestros datos porque los datos son el corazón, ¿verdad?

Entonces, cuando estamos entrenando los datos, podemos esperar que alguien envenene esa cosa. Se llama el envenenamiento de datos. Así que no se trata solo de lograr la perfección. Cuando hay ahorros de costos, cuando hay ganancias financieras, siempre existirá la expectativa de que alguien encontrará el lado oscuro de la ecuación. Y creo que podemos predecir que el envenenamiento de datos de entrenamiento ocurrirá mucho.

Del mismo modo, existe un problema grave con la extracción o robo de los modelos. Ahora, imagine que ha entrenado sus datos para… Como sabe, los datos requieren una enorme cantidad de tiempo. Podemos pensar en 15 a 20 días, o tal vez 30 días de entrenamiento en una sesión, y estos son los equipos basados en cuántica, que nos van a ayudar.

Ahora, después de tanto esfuerzo y tiempo, obviamente será un gran ahorro de tiempo para alguien si podemos robarnos el modelo. Por lo tanto, se pueden esperar ataques directos, predichos en el modelado del ERM basado en IA también. Y de manera similar, se trata de problemas de confianza sobre las pruebas debido a la falta de transparencia o resultados inexactos, o tal vez ciertas otras BS. Por lo tanto, también podemos esperar algún incumplimiento de la política.

Entonces, con esta categorización y estos algoritmos, creo que hay ambos lados que debemos cuidar bien, la productividad o el lado beneficioso de la integración de IA con el ERM y los riesgos, que vendrán debido a la IA en el ERM. lado. Así que espero haber respondido la pregunta en base a las expectativas. ¿Algún otro punto que le gustaría agregar Geethy o Riccardo?

Riccardo Bua:

No, creo que cubrió muy bien las oportunidades y los desafíos que la IA y el ML están trayendo a la luz. No sé si quieres ampliar un poco ese Geethy, ¿o deberíamos abordar la siguiente pregunta que viene del foro?

Geethy Panicker:

También me gustaría pasar a la siguiente pregunta, y tal vez podamos agregar, sí.

Wajahat Raja:

Sí, por favor. Creo que hay una pregunta número tres, que se supone que debe tomarse, o la pregunta número cuatro. Creo que la pregunta número cuatro será.

Riccardo Bua:

Hay una pregunta dos y tres que me gustaría fusionar y abordar si no le importa Wajahat.

Wajahat Raja:

Sí, por favor.

Riccardo Bua:

Así que creo que hay una tensión constante en el mercado. Estamos pasando de un sistema cerrado a un sistema abierto. Y eso básicamente significa, desde una perspectiva tecnológica y de marco, que estamos construyendo lentamente un ecosistema de instituciones financieras que eventualmente compartirán información similar, como conocer los escenarios de sus clientes, o potencialmente incluso compartir información y sesiones con terceros, cuartos. y quinta parte.

Lo que, de manera inadecuada, traerá algunos desafíos en el control de los datos y cómo se comparten en el proceso y fue una especie de evaluación de riesgos que podemos hacer a partir de la relación que se establece con todas esas partes. Y dada la reciente implicación geopolítica, entendemos perfectamente que identificar quién es nuestro cliente final y por qué se realizan determinadas operaciones es fundamental para la organización de gestión de riesgos empresariales y para la segunda y tercera línea.

La tecnología Best Set puede ayudarnos allí, y ahí es donde también veo una posible respuesta a la pregunta número tres. Históricamente, toda esa información se almacenaba en grandes mainframes de entrada. Ahora, nos mudamos a una especie de centro de datos grande en las instalaciones, como se mencionó, que tiene requisitos enormes en términos de almacenamiento y también de actividades de procesamiento.

Pero cuando se trata de las opciones más avanzadas hoy en día, estamos viendo que se adopta la nube y, potencialmente, la elasticidad de la nube permite diferentes propósitos y la utilización de la misma información dentro de la nube. Y también, potencialmente, compartir las mismas estructuras de nube entre diferentes jugadores permitiría una vez más algún tipo de redistribución de la carga que proviene del almacenamiento de dicha información en la huella general de la organización y sobre los recursos potenciales que están disponibles para abordar la selección específica de actividades y así sucesivamente.

Entonces, en ese sentido, creo que la adopción de la nube seguramente nos moverá hacia ese tipo de escenario, e implícitamente también expandiría el alcance de la tecnología como el libro mayor distribuido y todo el escenario de la cadena de bloques donde dejaríamos de almacenar información en algunos una especie de formatos múltiples al tener una forma distribuida de procesarlos y, finalmente, ser reconciliados en un libro mayor.

Entonces, todo eso debería reducir la interacción manual entre los diferentes actores, debería permitir también un mejor monitoreo en términos de cómo fluirán los datos entre las diferentes partes donde se realizará una especie de validación en esas operaciones.

Y eventualmente, permitirnos con el tiempo realizar una evaluación de riesgos de las diferentes partes que eventualmente participarían en tales actividades, por lo tanto, desdibujando la línea entre la tercera y cuarta, quinta y más parte final de la relación hacia un ecosistema distribuido con múltiples actores. que eventualmente participará en una llamada transacción inteligente o contrato inteligente para realizar una operación que será validada por su cumplimiento en todo el sistema, y eventualmente traerá la facilidad de hacer una prueba para ciertas actividades.

Y veo el potencial de tales escenarios para las monedas digitales y qué tipo de sistemas eventualmente involucrarán una gran cantidad de transiciones que pueden estar basadas en máquinas y validadas en lugar de tener una interacción humana inmediata. No sé si tiene algún punto adicional que quiera plantear sobre este Geethy.

Geethy Panicker:

Quiero agregar al último punto, que fue alguna idea sobre la carga adicional con respecto a los objetivos ESG y el cumplimiento normativo. Por lo tanto, en los últimos dos o tres años, los reguladores globales emitieron ESG, mejoraron las pautas de ESG o escribieron las obligatorias opcionales, pero con un cronograma extendido sobre estos hasta 2022, 23, algunos incluso más allá.

Algunos están en estado de borrador, otros en fase de consulta. Pero a nivel mundial, la tendencia es que la mayoría de los principales reguladores han anunciado regulaciones ESG para la industria financiera, tanto bancos, aseguradoras y otros como [inaudible 00:34:31] empresas, al menos. Y existen correlaciones y alianzas globales, que también exigen estándares de divulgación mejorados de forma voluntaria, estándares de cumplimiento, etcétera.

Entonces, ya sea que provenga del regulador o se lo imponga a sí mismo o debido a una imposición gubernamental u otra alianza impuesta, los ESG como un propósito central o una estrategia central estarán presentes en todos los bancos o instituciones financieras, porque en última instancia es una cuestión de supervivencia para la humanidad y las instituciones financieras bancarias, como parte de los ciudadanos globales en general en ese sentido. Así que va a ser un propósito central y una estrategia.

Y en esa medida, muchas organizaciones no lo ven como un costo de cumplimiento normativo. También lo ven como una oportunidad porque, por un lado, cuando tenemos que cumplir, las corporaciones también terminan bajo una tremenda presión o los prestatarios o clientes también están bajo una tremenda presión para hacer la transición a una posición neta cero o una mejor huella de carbono para sus propia competencia de supervivencia empresarial, así como el riesgo típico que podrían estar enfrentando en su ubicación geográfica diferente.

Por lo tanto, existe una gran oportunidad para financiarlos y apoyarlos en la transición, lo que compensará en parte las reducciones que debemos hacer en aquellos sectores de alto riesgo donde existen exposiciones financiadas. Además de eso, los bancos y las IF tendrán que mejorar muchos aspectos internos, como uno, el requisito de gobernanza para centrarse en la implementación de la transición ESG de la directriz.

El segundo es establecer el apetito por el riesgo y el aumento clave para monitorear las exposiciones actuales con exposiciones futuras [inaudible 00:36:18] diferentes tipos de riesgo, el mayorista, el minorista, las exposiciones al riesgo de resiliencia, nuestro propio desempeño de la evaluación de impacto, etcétera, y valoración del cliente. Entonces, se requiere mucha tecnología y la IA está ayudando enormemente en ese espacio.

Una vez más, siendo ESG relativamente nuevo, particularmente su riesgo climático, todos los bancos no tienen el mismo nivel de madurez. Por lo tanto, existe una enorme cantidad de desafíos de datos sobre la exposición de los clientes a estos riesgos y de manera estructurada. Ahí es donde entra en juego la estrategia del proveedor, y que también es un costo adicional en ese ángulo.

Pero a largo plazo, los bancos y las IF generarán estos datos a través de cuestionarios y envíos adicionales. Y ahí es donde puede ayudar al cliente, usar IA para mejorar sus divulgaciones y, por lo tanto, ayudarnos en nuestros datos, enriqueciéndolos. Y además, la IA puede ayudar a mejorar nuestros puntajes ESG, que eventualmente se integrarán con los puntajes crediticios, y es posible que incluso vea un puntaje combinado para la evaluación crediticia.

Todo esto requerirá tecnología para agregar varias fuentes de información, internas, externas e incluso no estructuradas y dar significado al analizador o al riesgo de qué perfiles limpios son estos, perfiles de cartera son estos, y usted agrega el perfil de toda la entidad son estos . Y ESG es un área clave donde la mayoría de la tecnología, ya sea blockchain, AI, está ayudando en todas las facetas.

Wajahat Raja:

Absolutamente, excelente. Creo que Geethy, hay algunos desafíos más que debemos considerar además de su aparición. Ahora, nos hemos dado cuenta de que hay datos de ERM, que han sido significativamente grandes en tamaño. Y al mismo tiempo, surgirán nuevos datos gracias a ESG. Como si tuvieras un alcance tremendo.

Ahora, tener toda esta porción de datos en la nube requiere una gran cantidad de servicios nativos en la nube. Requiere procesar una gran cantidad de datos en servicios muy costosos. Eso significa que será una empresa costosa. Por lo tanto, también tiene un lado de la privacidad de la ecuación que requiere atención. Así que será un desafío tremendo, cómo vamos a proteger estos datos sobre el cifrado, sobre la seguridad de transición, sobre la tokenización, [inaudible 00:38:54].

Y luego están las empresas de datos que actúan como intermediarios en el medio. Así que hay un gran ecosistema allí. Ahora bien, esto se suma a la complejidad. Entonces, no solo el aspecto financiero o la privacidad, también existe una complejidad que se supone que debe manejarse y administrarse bien. Complejidad, no solo en la integración de las tecnologías, sino también desde la perspectiva del cliente, cómo podemos facilitarlo.

Y luego hay una grave falta de aspectos legales sobre la adopción de IA cuando se trata de ERM. Entonces, el lado ético de la IA y el lado de la gobernanza de la IA y los servicios de aseguramiento de la IA serán de gran valor aquí.

Después de los desafíos, creo que hay un papel de los servicios de aseguramiento de IA en el gobierno de IA para ERM y ESG, que no se comprende muy bien porque hay muchas autoridades en todos los países y los reguladores que están allí para garantizar el lado del gobierno. y particularmente la adopción de la IA.

Entonces, suponiendo que haya regulación en los países en desarrollo, como si hubiera una pregunta sobre el estudio comparativo entre occidentales y no occidentales, este es un factor de diferenciación importante. Este es un problema importante a superar. Que los países altamente regulados también tienen ciertos problemas legislativos. Y ahí es donde los servicios de aseguramiento pueden agregar valor para que podamos respaldar esas regulaciones y problemas de cumplimiento.

Autoevaluación, por ejemplo, sistemas de calificación de certificación, no conformidades de auditoría y certificación y evaluaciones confirmativas. Y luego están algunas auditorías y opciones de certificación. Pueden asegurar que cumplamos o no con estos requisitos de gobierno o requisitos reglamentarios.

Pero, sobre todo, me di cuenta de que la adopción de la IA requiere una forma muy sistemática de ciclos de vida. Por ejemplo, todo comienza con la etapa de ideación. Creo que este es el problema fundamental en el que todos perdemos la noción de que en realidad tenemos un tipo de requisito muy vago cuando se trata de la adopción de tecnologías para ERM o para el ERM nativo.

Y si podemos manejar esta ideación en la etapa de filtrado, bueno, basándonos en algunas metodologías de gestión de proyectos como la priorización y la gestión de carteras, nos lleva hacia la puntuación de datos porque ahí es donde está la verdadera carne. Los datos en sí mismos, hay tanto, y si no están desestructurados, provienen de múltiples canales y múltiples fuentes.

Por lo tanto, no solo debemos ordenar eso y hacerlo cualitativo, sino que también debemos calificarlo. Entonces, creo que la puntuación es un salvavidas cuando se trata de la adopción de tales tecnologías para los datos. Luego viene a través del desarrollo del modelo. Ahora, como hemos discutido, hay montones, montones de algoritmos disponibles, pero ¿sobre qué modelo van a ser útiles?

Entonces, ML es una nueva forma de manejar estas cosas y nos ayudará mucho. Las operaciones de IA nos ayudarán a manejar las limitaciones regulatorias, así como a la adopción de ciertos procesos comerciales. El seguimiento después del desarrollo del modelo y la puntuación de los datos y el paso de la etapa de ideación, el seguimiento es la esencia clave hacia las herramientas de gestión de riesgos, que podemos garantizar en la integración de la IA.

Personalmente, veo muchos casos de uso de este proceso que podemos adoptar. Por ejemplo, en el lado de la seguridad o el lado de la privacidad, existe un requisito muy sencillo de análisis y administración rastreados para mejorar y enriquecer debido a la adopción de IA, la adopción de operaciones de ML, la adopción de aprendizaje profundo o la adopción de algoritmos.

Una vez que tenga una buena comprensión del análisis de amenazas, puede estar satisfecho con la reducción de riesgos. La reducción de riesgos dependerá totalmente, si no totalmente, de la información que obtengamos debido a estos algoritmos a través de los datos. Un excelente caso de uso es sobre la deducción de fraude y la reducción de fraude, pero ese es el objetivo o resultado final al que deberíamos apuntar.

Tiene registros de riesgos de ERM integrales ya establecidos en sus organizaciones. Y creo que los sistemas de gestión antifraude son uno de los sistemas más caros a pesar de que no están utilizando ningún comportamiento anómalo a día de hoy. Así que los llamo primera generación de sistemas de gestión de fraude. Y son los fraudes los que están ocurriendo en el sector financiero y afectan a casi un billón.

Esa es una gran cantidad. Creo que en un futuro próximo, el ERM y los casos de uso para el ERM y la adaptabilidad de la IA serán impulsados o motivados por la gestión del fraude, la detección del fraude como caso de uso. Clasificación de datos, una pesadilla seria incluso a partir de hoy y los datos que se han puntuado anteriormente, cómo los fusionaremos con nuestros nuevos casos de uso.

Creo que con estas notas intentaría resumir esta sesión dando las gracias a todos los que han contribuido. Y al mismo tiempo, agradecería una o dos preguntas, si podemos responderlas rápidamente, o simplemente resumir.

Riccardo Bua:

Wajahat, me gustaría ampliar su último punto sobre el algoritmo e intentar abordar la pregunta cinco que surgió del foro. Cuando se trata de la perspectiva empresarial práctica y el mundo académico, creo que gran parte de la actividad e investigación académica se centra en encontrar el llamado algoritmo perfecto.

Y eso es parte del desafío que encontramos como al menos profesionales en los que nos centraríamos en identificar eventualmente el riesgo real al que está expuesta la empresa y tratar de comprender cuál es la forma más rentable de abordarlo, en lugar de encontrar la respuesta perfecta. , la identificación perfecta y la valoración perfecta.

Si nos esforzamos por ese tipo de profesión en nuestra actividad diaria, será un desafío. Y seguro, para alguien que viene del mundo académico, a veces puede ser un desafío adaptarse a la solicitud del negocio.

Todo el tipo de solicitudes continuas y superpuestas que recibe mientras procesa todos esos riesgos diferentes, especialmente en momentos en que tiene todos esos eventos negros fuertes como pandemias, guerras, etc., que podrían afectar el apetito de riesgo general de la organización o algunos escenarios como el que vimos recientemente con la venta masiva de criptomonedas.

Quiero decir, potencialmente hay muchas situaciones en las que debe abordarlas con un poco de sal y cierta comprensión de lo que está sucediendo desde una perspectiva más amplia en lugar de centrarse tanto en el algoritmo.

Al mismo tiempo, el rigor y el análisis que debemos realizar en nuestras actividades diarias debe ser similar al que encontraríamos en un mundo académico. Y ese es mi último comentario sobre la sesión. Fue un placer trabajar con todos ustedes. Geethy, ¿tienes algo que agregar?

Geethy Panicker:

Sólo dos puntos rápidos. Uno en la pregunta número cinco de nuevo. ¿Qué es una desconexión con respecto a la academia y los profesionales? ¿O lo que realmente verás en vivo en nuestra vida real? Hay muchas relaciones asumidas en nuestra investigación y sobre la interconexión entre varios riesgos. O si sucede este escenario, este es un resultado probable. Si la inflación sube, esto es probable.

O si la economía baja, esto es probable, sí. Entonces, si bien algunas de esas suposiciones serán ciertas, los desarrollos en el nuevo mundo que todos ustedes están viendo, los problemas geopolíticos o la pandemia, vimos muchas de esas relaciones tradicionales establecidas entre el desglose del riesgo, nuevas formas de correlación o nada. , no ocurre correlación.

De hecho, se observó lo contrario en el modelado o en los resultados del modelo. El mejor ejemplo es el crédito. Si bien se suponía que las tasas de incumplimiento disminuirían, aumentaron sustancialmente en la pandemia debido a la respuesta de los reguladores y el esquema, los esquemas de apoyo. No vimos un pico en esas relaciones predeterminadas.

Y, por lo tanto, fue un gran desafío para los modeladores que estaban mucho más centrados en lo teórico y desarrollaron estos modelos con el trasfondo teórico. Así que ahí es donde debe mantener una mente abierta para comprender y pensar un poco hacia adelante en lugar de sacar conclusiones del pasado y la historia y conectar los puntos que están surgiendo, etcétera, que no se hacen del todo durante la investigación, que es principalmente centrado en información retrospectiva, información disponible.

Así que ese es el primer punto. Y el último punto que quería decir, ERM definitivamente evolucionará con todas estas tecnologías. Y verá en la empresa múltiples tecnologías que coexisten con el sistema heredado, que en sí mismo es un riesgo de gestión de cambios para los profesionales de ERM. Entonces, ¿qué pueden hacer los profesionales como nosotros? En primer lugar, comprenda cada una de estas tecnologías de forma independiente y en agregaciones.

Por lo tanto, verá muchas soluciones donde la IA, la cadena de bloques y el IoT coexisten y, a veces, las futuras encuestas bancarias o los servicios financieros estarán en el metaverso, que es como un cóctel de todas estas soluciones. Entonces, ¿cómo se gestiona el riesgo en eso? En primer lugar, debe tener una comprensión amplia de esto como un riesgo, así como un profesional de ERM.

Y luego podrá conectar los puntos del riesgo tecnológico y hacer que el perfil de riesgo sea más significativo para su organización. Así que ahí es donde debe enfocarse en mejorar sus habilidades y también compartir su conocimiento que está desarrollando y mirar hacia adelante y conectar el punto hacia atrás. Así que esa es mi última palabra. Creo que hemos perdido a Wajahat.

Riccardo Bua:

Así que quiero agradecer a la audiencia por las preguntas relevantes e interesantes. Y fue un placer asistir a este. Espero que le hayamos brindado alguna perspectiva y una mayor visibilidad de los desafíos que enfrentamos día a día, y que haya algo compartido que le haya sido útil en su práctica diaria.

Definitivamente agradezco esta conversación con Geethy y Wajahat. Fue un placer discutir y entrevistar este tema contigo. Y me gustaría agradecer a GRC Work Forums por darnos esta oportunidad y organizar una sesión tan interesante con ese tipo de temas. Geethy, de tu lado?

Geethy Panicker:

Gracias. Gracias a mi compañero panelista, Riccardo y Wajahat. Y muchas gracias al público que nos estuvo escuchando pacientemente. Me gustaría devolvérselo a Rob.

Robert Bateman:

Muchas gracias a ambos y también a Wajahat, a quienes perdimos al final allí, pero hubo una discusión muy perspicaz y una excelente manera de concluir lo que ha sido un excelente día de contenido. Muchas gracias a la audiencia por acompañarnos aquí en PrivSec Focus Enterprise Risk Management. Sólo unas pocas palabras ahora para cerrar la conferencia.

Espero que estas sesiones te hayan resultado útiles. A lo largo del día, hemos visto debates que cubren una amplia gama de perspectivas sobre el riesgo empresarial. También hemos tenido la oportunidad de buscar respuestas a las preguntas candentes que hemos tenido de los líderes de opinión en este espacio. Si desea asistir a más eventos como este, tenemos muchos por venir.

Así que aquí hay un recordatorio rápido de algunos de los eventos que estamos destacando ahora en los foros mundiales de GRC. PrivSec Focus, GDPR cuatro años después, eso es el 25 de mayo. Así que esta vez la próxima semana. Ese es un evento virtual de un día. Digital Trust Europe, que tendrá lugar en Londres, Dublín y Ámsterdam en junio y julio respectivamente.

Y luego deberíamos estar en Estocolmo y Bruselas en septiembre. PrivSec Global, que es nuestro principal evento en línea que tendrá lugar el 29 y 30 de junio de este año. Y #RiskInLondon los días 16 y 17 de noviembre en el Excel. Esa es una exposición en persona, que tendrá mucho contenido sobre protección de datos de riesgo y otras áreas relacionadas.

Así que gracias de nuevo por asistir hoy a todos. Visite nuestro sitio web para obtener información sobre todos esos otros eventos. Muchísimas gracias a nuestros patrocinadores, OneTrust y ServiceNow por ayudarnos a realizar este evento. Y por supuesto, a todos nuestros panelistas, moderadores.