ISACA Journal
Volume 6, 2,017 

Translated Articles 

Gobierno, riesgo, cumplimiento y un caso de estudio de big data 

Guy Pearce 

Mediante la muestra de lo que pudo haber cambiado si un proyecto exitoso de analítica de Big Data se hubiera desarrollado, dadas las actuales preocupaciones de gobierno, riesgo y cumplimiento (GRC), este artículo resalta las consideraciones de GRC que deben ser incorporadas en el diseño de cualquier proyecto nuevo de big data.

Este proyecto no comenzó con la intención de basarse en big data como resultado. Al contrario, el uso de big data era encontrado incidental para resolver un problema de negocio para un banco dentro del ranking Forbes Global Top 1000. Es sólo en retrospectiva que el banco encontró que se habia topado con la definición de big data como parte de su solución para lograr una comercialización orientada por datos bajo una estrategia centrada en el cliente.1

Gobierno, riesgo, cumplimiento y big data—definiciones

Para asegurar la comprensión de este artículo, con la intención con la que fue escrito, se proveen las siguientes definiciones:

  • Gobierno—”Estructuras y procesos que son diseñados para asegurar la asignación de responsabilidad, transparencia, lineamientos y estabilidad…”2
  • Riesgo—”El efecto de la incertidumbre en objetivos [de negocio]”.3
  • Cumplimiento—Actuar acorde a un deseo u orden.4
  • Big data—Activos de información de un alto volumen, una alta velocidad y alta variedad, que demandan costosas e innovadoras formas de procesamiento de información para lograr una óptima toma de decisiones.5

Resumen ejecutivo del caso de estudio de big data

La cuota de mercado del banco estaba bajo presión debido a la creciente competencia. La comercialización orientada por datos bajo una estrategia centrada en el cliente probó ser una efectiva solución al problema, regresando al banco a su camino para volver a ganar cuota de mercado. El banco ganó cuota de mercado a través de la creación de US $94.95 millones en valor incremental para el banco en seis meses. El modo en que el valor fie creado tanto para el banco como para sus clientes, proveyó un pico en el poder de un paradigma de la estrategia centrada en el cliente.

Como parte del proceso de entendimiento del problema de negocio, el resultado de múltiples sesiones en grupos con una muestra representativa de clientes, mostró que el banco no estaba cumpliendo sus expectativas, un hallazgo en paralelo con la propia investigación de mercado del banco (figura 1).

Acciones correctivas fueron entonces identificadas y priorizadas de acuerdo a la urgencia e impacto, y potenciales soluciones fueron filtradas con base en el riesgo ajustado a casos de negocio y su facilidad de implementación.

Las percepciones profundas de los clientes, mostradas en la figura 2 fueron categorizadas como productos y servicios, utilización de productos, utilización de canales, fuga de cartera, percepciones económicas, percepciones de la industria y percepciones regionales. Los datos requeridos como entradas para estas percepciones—hechas tanto de datos internos como externos y estructurados y no estructurados—fueron identificados.

Sin embargo, al no saber la calidad y, por lo tanto, la eventual usabilidad de la analítica planteaba un riesgo de negocio considerable. Los procesos fueron así creados y ejecutados para determinar la completitud, singularidad, validez y exactitud de las dimensiones de la calidad de datos para los elementos identificados. En un caso, los hallazgos de las evaluaciones de calidad de datos fueron tales que se realizó una restitución de datos en toda la compañía para incrementar el atributo de completitud de los elementos claves de datos.

Después de resolver los problemas de acceso a los datos, la integración de datos, la calidad de datos, la depuración de datos y la fusión de datos (estructurados con los no estructurados y de internos con externos), se desarrolló un portafolio de iniciativas analíticas predictivas, descriptivas y conductuales, sobre el origen de los datos consolidados.

El punto de desarrollo se vuelve más difícil, dado el crecimiento en la actual legislación de la privacidad. Mientras algunas leyes eran aplicables para aprovechar los datos cuando este caso de estudio fue desarrollado, dos observaciones son útiles en este punto. Primero, el banco ya tenía trabajando relaciones de negocio con sus clientes, implicando consentimiento en los términos actuales. Segundo, la estrategia centrada en el cliente, orientada por datos no era solo una frase. Significaba la creación de valor de dos vías. El valor era creado para el banco debido a que valor real era creado para los clientes. Los resultados confirmaron esto.

Una vez que el prototipo probó que la estrategia centrada en el cliente podía atender el problema del negocio, la alta gerencia dio su aprobación para la implementación corporativa. Esto implicó distribuir percepciones de clientes derivadas de la analítica generadas periódicamente, a 1300 ramas usando una herramienta de administración de relacionamiento (CRM). El personal del banco que da la cara al cliente ahora tenía acceso a percepciones claves en cada uno de sus clientes y podía, en consecuencia generar una estrategia acerca de cómo tener conversaciones más significativas y mutuamente benéficas con ellos.

Junto con una mejor capacitación en los productos y servicios del banco (figura 2), el personal del banco ahora podía relacionar mejor los productos y servicios con la posición de los clientes en su particular ciclo de vida bancario. Las interacciones con los clientes eran consecuentemente más relevantes y significativas, resultando en tasas de venta efectivos de casi uno de dos (50 por ciento). Este es un resultado notable porque las tasas de venta efectiva de la mercadotecnia directa son como del cinco por ciento.6 Este resultado demuestra la efectividad superior de la mercadotecnia de relacionamiento sobre la mercadotecnia directa, una muy interesante dimensión de competitividad. La figura 3 muestra los resultados generales de estos esfuerzos.

Mientras que los clientes del banco experimentaron mejores y enfocadas interacciones por parte del personal del banco, el banco, por su parte, experimentó un incremento financiero mediante el incremento de ventas y actividades en cuatro modos, como se muestra en la figura 3.

Si bien el uso de big data fue clave para el éxito, debe destacarse que fue incidental. El banco no buscó resolver un problema de negocio usando big data. Por el contrario, mediante el entendimiento primeramente del problema de manera apropiada y luego implementando objetivamente la mejor respuesta de un conjunto de alternativas, el banco terminó encontrando una solución de centrado en el cliente basada en big data.

Por lo tanto, ¿la gestación del proyecto mediante la orientación hacia los datos califica como big data? Basado en la definición de big data presentada anteriormente, sí. Esas definiciones son:

  • Alto volumen de datos—Multi-terabytes de datos son producidos.
  • Alta velocidad de datos—Los volúmenes de transacción eran alrededor de 1,000 transacciones por segundo en un punto máximo.
  • Alta variedad de datos—Datos estructurados y no estructurados, tanto internos como externos originados desde múltiples divisiones del banco y de proveedores de datos especialistas. Estos incluyen gacetas del gobierno y pronósticos económicos nacionales, provinciales y regionales. El potencial de esas fuentes de datos dispares fue desbloqueado por la fusión de datos para el enriquecimiento de datos
  • Procesamiento innovador—Nuevas tecnologías de base de datos fueron necesarias para acelerar el procesamiento de datos requerido para producir percepciones de clientes actualizadas en una manera oportuna.
  • Mejores percepciones y toma de decisiones—Mejores perspectivas de los clientes significan un compromiso notablemente mayor resultando en mejores resultados financieros, tal como se muestran en la figura 3.

El impacto del gobierno

El gobierno de datos es uno de los más grandes desafíos para el gobierno corporativo porque muchas juntas ignoran el riesgo que representa la mala administración de los datos.7 Al demostrar el potencial para mitigar apropiadamente el riesgo, 16 áreas de alineamiento fueron encontradas entre el gobierno de datos (usando el marco de trabajo de administración de datos DAMA por sus siglas en inglés) y el gobierno corporativo (usando el marco de trabajo de Deloitte) que pudiera ser significativamente aplicado en busca de la mitigación del riesgo.8, 9

Considera cuál podría haber sido el impacto de las actuales disciplinas de gobierno corporativo y gobierno de datos si el proyecto de big data fuera ejecutado ahora, comenzando con el gobierno corporativo.

Para el gobierno de datos, hay que notar que el impacto es parcialmente reflejado por el pilar de integridad en la figura 4 y parcialmente por el principio de privacidad número dos en la figura 5.

Las implicaciones generales de gobierno del proyecto de big data son claramente significativas. Tres de los seis pilares del gobierno corporativo demandarían al menos algún cambio en el enfoque del proyecto, con el gobierno de datos posiblemente teniendo las mayores implicaciones de gobierno para la implementación.

El impacto del riesgo

El más grande riesgo que las juntas de directores deben considerar para proteger a la organización es el riesgo reputacional.11 Debido a que la reputación de una organización puede ser impactada negativamente hoy en día, por ejemplo, el uso de datos incorrecto o inapropiado o por no cumplir la regulación de privacidad, es por lo que controles apropiados deben ser implementados para mitigar el riesgo.

El gobierno corporativo mitiga algunos de estos riesgos mediante la administración de riesgo empresarial (ERM, por sus siglas en inglés) dentro del pilar de riesgo, mientras que el gobierno de datos mitiga algunos de estos riesgos mediante el uso de políticas, procedimientos, estándares, guías y herramientas utilizadas para desarrollar y evaluar varias características de los activos de datos, y asegurar la adherencia a las políticas de la empresa para propósitos de auditoría.

Originalmente, el comité ejecutivo proporcionó un medio de gestión de riesgos, pero no había algo formal en ese entonces como lo es ahora el gobierno de datos como mitigador de riesgos. Actualmente, un ERM más formal sería necesario para un proyecto de esta escala e impacto, y debería ser presentado para revisión por altos miembros del banco. Adicionalmente, la ciberseguridad era incipiente, relativamente hablando.

Un tema importante para que un equipo de datos entienda sobre ciber riesgos es el riesgo de una brecha de información personal tanto antes de la implementación como en la implementación. Esto significa que el riesgo debe ser mitigado usando planes de respuesta apropiados, cuyo contenido puede diferir según la jurisdicción. Además del requerimiento regulatorio para reporte de brechas, algunas jurisdicciones también necesitan comprender el riesgo de daño significativo que surja de la brecha. Este riesgo exige una evaluación de la sensibilidad de los datos expuestos y la probabilidad que esos datos sean mal utilizados.12 Muchos ejecutivos aún no tienen idea dónde están sus datos sensibles, aun y cuando existen herramientas modernas disponibles para soportar el descubrimiento de datos.13

El impacto del cumplimiento

En 2015, 109 leyes generales de privacidad estaban activas globalmente, y 49 por ciento de ellas estaban en la Unión Europea. Una adición significativa a esta lista actualmente podría ser la regulación de protección de datos de la Unión Europea (GDPR, por sus siglas en inglés), la cual comienza a regir a partir de mayo de 2018.14 Dado que el modelo europeo es el modelo global líder de privacidad, los elementos clave de la legislación de privacidad de este modelo deberían ser considerados en el contexto de este caso de estudio de big data (debe haber algunas similitudes a través de otras jurisdicciones).15, 16

Si se realizara el proyecto hoy en día, estaría impactado por los principios dos, tres, cuatro y cinco, con implicaciones consecuentes para la administración del proyecto, el tamaño del equipo, la composición del equipo, y los recursos financieros y de tiempo requeridos para ejecutar el proyecto. También, el principio siete requiere la supervisión apropiada y aseguramiento de todas las iniciativas actuales que sean de cara al cliente basadas en datos.

Conclusión

El ámbito moderno del GRC tiene un impacto significativo en la forma en que se emprendería un proyecto de big data a escala empresarial en la actualidad. Mucho del impacto recae en el pilar de integridad del gobierno corporativo. Este pilar alinea el gobierno de datos con el gobierno corporativo, ayudando a asegurar que las actividades de los datos se suscriben a los estándares empresariales de integridad.17

La figura 6 resume las mayores áreas de impacto de GRC en un proyecto de big data aplicable desde la perspectiva del modelo europeo de privacidad, el cual, como se mencionó, es el modelo global dominante.

Este artículo proporciona una visión general del impacto probable del GRC en las iniciativas actuales de big data. Dado el lapso de riesgo y problemas de cumplimiento y la relación entre el gobierno corporativo y el gobierno de datos, este artículo no es exhaustivo en su contenido, en destacar las complejidades de cada jurisdicción, en destacar las complejidades del movimiento de datos e información entre jurisdicciones, o incluso en destacar el contenido relevante en una única jurisdicción. El artículo, sin embargo, si destaca la necesidad de ser cada vez más consciente de la consideraciones regulatorias—tales como todas aquellas referentes a la privacidad—como parte de los proyectos de big data tanto actuales como propuestos, particularmente si los datos están involucrados en la manera que la empresa interactúa con sus clientes.

Notas finales

1 Sicular, S.; “Gartner’s Big Data Definition Consists of Three Parts, Not to Be Confused With Three V’s,” Forbes, 27 March 2013, https://www.forbes.com/sites/gartnergroup/2013/03/27/gartners-big-data-definition-consists-of-three-parts-not-to-be-confused-with-three-vs/#4626650842f6
2 United Nations Educational, Scientific and Cultural Organization, “Concept of Governance,” www.unesco.org/new/en/education/themes/strengthening-education-systems/quality-framework/technical-notes/concept-of-governance/
3 Lark, J.; “ISO 31000 Risk Management: A Practical Guide for SMEs,” International Organization for Standardization, Switzerland, 2015, https://www.iso.org/files/live/sites/isoorg/files/archive/pdf/en/iso_31000_for_smes.pdf
4 English Oxford Living Dictionaries, “compliance and comply,” https://en.oxforddictionaries.com/definition/compliance
5 Op cit, Sicular
6 Chaffey, D.; “Marketing Campaign Response Rates,” Smart Insights, 11 October 2012, www.smartinsights.com/managing-digital-marketing/planning-budgeting/marketing-campaign-response-rates/
7 Yordanova, V.; Filling the Gaps of Big Data Regulation, master’s thesis, Maastricht University, The Netherlands, 2015
8 Pearce, G.; “Align Data Governance With Board Governance Imperatives,” TDAN.com, 3 May 2017, http://tdan.com/align-data-governance-with-board-governance-imperatives/21355
9 Data Management Association International, Body of Knowledge, https://www.dama.org/content/body-knowledge
10 Deloitte, “The Role and Benefits of a Corporate Governance Framework,” The Wall Street Journal, 24 May 2013, http://deloitte.wsj.com/riskandcompliance/2013/05/24/the-role-and-benefits-of-a-corporate-governance-framework/
11 Dowling, G.; “Reputation Risk: It Is the Board’s Ultimate Responsibility,” Journal of Business Strategy, vol. 27, iss. 2, 2006, p. 59–68
12 Jones, P.; L. Walker; “How to Navigate Landscape of Global Privacy and Data Protection,” American Bar Association, USA, 2–4 November 2016, https://www.americanbar.org/content/dam/aba/images/franchising/annual16/course-materials-16/w22-navigate-global-privacy.pdf
13 Pearce, G.; “Boosting Cyber Security With Data Governance and Enterprise Data Management” ISACA Journal, vol. 3, 2017, www.isaca.org/Journal/archives/Pages/default.aspx
14 General Data Protection Regulation (GDPR), “GDPR Portal,” European Union, www.eugdpr.org/
15 Op cit, Dowling
16 Bank for International Settlements, Principles for Effective Risk Data Aggregation and Risk Reporting, Switzerland, 2013, www.bis.org/publ/bcbs239.pdf
17 Op cit, Chaffey

Guy Pearce
Ha prestado sus servicios para cinco juntas directivas y dos juntas administrativas de rubros bancarios, financieros y de ventas al detalle dentro de la última década. También prestó servicios como presidente ejecutivo de una empresa de crédito de retail multinacional que atendía a 100,000 clientes en tres países, en los que dirigió a los 700 empleados de la organización hacia la rentabilidad poco después del colapso financiero global de 2008. Ha publicado numerosos artículos en materia de ciber riesgo, big data y varios aspectos de gobierno, y actualmente es consultor en estrategia, riesgo, gobierno, TI, big data y analítica de datos.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.