EDUARDO YÁNEZ

Licenciado en computación egresado de la Universidad Central de Venezuela, con

especialización en ingeniería de software. Hasta el 2008 se desempeñó como

supervisor de esfuerzos de desarrollo de software empresarial en el rol de líder

técnico en importantes corporaciones de telecomunicaciones y aviación comercial.

Desde el 2011, ha tenido experiencia en la modelización de procesos de negocio y

desde el 2013 tiene experiencia profesional con variados motores de procesos,

automatizando procesos de negocio y combinando lo mejor de las plataformas BPM

con las soluciones de integración SOA, cubriendo así todo el stack tecnológico

BPM/SOA con diversos fabricantes.

Como consultor aborda problemas en la implementación de contramedidas para

mitigar o eliminar los riesgos en los procesos de negocio.

Pranical Technologies (www.pranical.com)

• Empresa dedicada a proveer soluciones de negocio basadas en tecnologías y prácticas reconocidas,

centrada en la creación de valor tanto para sus clientes como su gente.

• Ofrece servicios en las áreas de SOA (adopción/implementación), BPM, modelización y mejoramiento de

procesos de negocio (basándose en marcos de trabajo como ITIL, COBIT, eTOM), Arquitectura

Empresarial, desarrollo de aplicaciones empresariales, móviles y aseguramiento de calidad de software.

El Enfoque Tradicional de Riesgos

¿Dónde están los riesgos?En el contexto de gestión de procesos de

negocio, el riesgo se ha manejado tradicionalmente desde una perspectiva de

gestión de proyectos. Pero los procesos tienen dentro de sus actividades riesgos implícitos.

Identificando los Riesgos en los Procesos

El riesgo es una propiedad inherente de

cada proceso de negocio, por lo tanto,

se necesitan técnicas para identificar,

representar y analizar los riesgos de los

procesos de negocio.

Considera los riesgos

Integrando los Riesgos en los Modelos de Procesos

BPMN es actualmente el estándar de facto para la modelización de procesos de negocio

Proponemos extender BPMN para documentar los riesgos intrínsecos del proceso en el modelo mismo y sus relaciones con los objetivos del proceso y otros riesgos.

Presentamos un proceso del área de cumplimiento como ejemplo ilustrativo.

Caso Real: Falla en el Procesamiento de una Alerta

Una transferencia

internacional por un monto

elevado hacia una jurisdicción de alto riesgo es procesada tarde

y de forma inadecuada por

el analista.

La alerta es descartada y

clasificada como un "falso

positivo". El analista no se percata que el

beneficiario final es una entidad

asociada a grupos terroristas.

El retraso en el procesamiento y

la falla en la clasificación no son detectadas.

Causas del Problema

El empleado estaba agotado debido al exceso

de trabajo ocasionado por el elevado número

de alertas que debe procesar diariamente.

El Riesgo no se había identificado en el

proceso de forma explícita.

Causas del Problema

A pesar de que se requería la firma de un

supervisor y del oficial de cumplimiento para

descartar una alerta, la fatiga en la ejecución

del proceso hizo que la doble firma se

convirtiera en rutina.

Causas del Problema

El retraso en atender la alerta no escaló una

"nueva alerta" al supervisor del equipo.

Consecuencias

No se hizo una debida diligencia ampliada y pudo haberse omitido la presentación de un reporte ante la UIF.

La falla puede ser detectada en futuras inspecciones, lo cual pudiera generar multas, sanciones administrativas y/o la

exigencia de más inversión en fortalecer el departamento de cumplimiento.

El dinero transferido puede ser utilizado para perpetrar ataques terroristas.

¿Qué Ocurrió?

El proceso parecía estar bien porque tenía actividades de mitigación para garantizar su éxito (la doble firma).

El hecho de que el exceso de trabajo de un analista pudiera generar retraso y fallas de cumplimiento no estaba contemplado en el proceso.

Ante la falta de documentación de los riesgos, la organización no estaba advertida ni preparada para afrontarlo o mitigarlo.

La Relación Entre Procesos y Riesgos

Gestión de Procesos Orientada a Riesgos

Garantizar la continuidad operativa del negocio

Satisfacer marcos legales regulatorios como leyes antilavado locales, 4° Directiva ALD de la Unión

Europea, la Ley Patriot de USA, la Ley FATCA de USA, etc.

Identificar, modelizar, analizar y documentar riesgos es de importancia fundamental para:

¿Cuál es la Propuesta?

Estáticos

Estructura de Riesgos

Riesgos vs. Objetivos

Dinámicos

Estado de los Riesgos

BPMN extendido con riesgos

Indispensable: adoptaruna técnica y un lenguaje

de modelización de procesos (BPM, BPMN)

Integrar elementos que capturen de forma

explícita la informaciónde riesgos

Se proponen los siguientesmodelos:

Riesgos

BPMN

BPM

Estructura de Riesgos

Este modelo presenta una visión de las relaciones jerárquicas entre los riesgos:

•Riesgos compuestos: modelo que especifica

cuáles riesgos deben ocurrir conjuntamente

para que un riesgo mayor pueda darse:

•En el ejemplo del proceso de la alerta, el

riesgo de no identificar al beneficiario final

en una transacción se compone de dos sub-

riesgos: que cada supervisor no detecte el

error en la debida diligencia.

Estructura de Riesgos

Se puede hacer uso de elementos de BPMN que representan eventos, esto permite de forma muy concreta hacer el amarre entre los riesgos y los procesos

Definición del Evento Asociado a los RiesgosUso del evento en un diagrama de proceso

Estructura de Riesgos

Este modelo presenta una visión de las relaciones jerárquicas entre los riesgos:

• Generalización/especialización: permite

especificar el detalle de los riesgos

(especialización) o hacer referencia

simultánea a varios tipos de riesgos de una

forma simple (generalización):

• En nuestro ejemplo, el riesgo de una

“clasificación errada de alertas” pudiera

especializarse en “análisis/investigación

deficiente” o “fallas en la supervisión”

Clasificación errada de Alertas

Análisis / Investigación

Deficiente

Fallas en la supervisión

Riesgo General

Riesgo de Cumplimiento

Riesgos Vs. Objetivos

En el contexto de un proceso, un riesgo

representa una probabilidad de que no se alcancen sus

objetivos.

Riesgos diferentes amenazan diferentes

objetivos

Este modelo es una matriz, donde las

filas son los riesgos y los objetivos son las

columnas

Este instrumento permite orientar los

esfuerzos de mitigación de riesgos

Riesgos Vs. Objetivos

Estado de los Riesgos

El elemento riesgo (con la probabilidad correspondiente en la esquina superior derecha)

El elemento “consecuencia” (con la probabilidad correspondiente en la esquina inferior derecha)

Los flujos típicos de BPMN, para indicar la secuencia en la que se suscitan los riesgos

El flujo que se conecta con la consecuencia se representa con guiones y representa la expresión “trae como resultado”.

Adicionalmente se pueden usar las compuertas XOR, O—Inclusivo y AND del lenguaje BPMN para expresar la forma como se combinan los riesgos para llegar a una consecuencia

Este modelo captura las relaciones dinámicas entre los riesgos y la relación con sus posibles consecuencias. Los elementos que se usan son:

[Probabilidadlocal]

<Nombre Riesgo>

Consecuencia

[Probabilidad global]

Estado de los Riesgos

• De esta forma se puede representar la dinámica de como los

riesgos se combinan para llegar a la consecuencia (ver diagrama

de la derecha)

• En ocasiones es necesario que se susciten de forma combinada

los riesgos para llegar a la consecuencia (diagrama inferior)

BPMN extendido con riesgos

El punto culminante en esta técnica propuesta es resaltar los riesgos relevantes en los modelos de procesos de negocio hechos en BPMN

De este modo se pueden señalar cada una de las actividades de un proceso que están expuestas a algún tipo de riesgo.

La probabilidad y magnitud de los riesgos asignados se pueden usar para identificar rápidamente las actividades más críticas en un modelo de procesos.

BPMN Riesgos

Asociando actividades con riesgos

Mediante un elemento de riesgo asociado a una actividad del diagrama BPMN

Usando los eventos que se definieron previamente en los modelos estáticos de riesgos como eventos de borde o los eventos de inicio de un subproceso iniciado por eventos

La forma de hacer el amarre entre riesgos y procesos es:

Asociando las Actividades con Riesgos

Tratamiento de los Riesgos

Puede usarse BPMN también para definir marcos de procesos para el tratamiento de los riesgos.

Al asociar los riesgos a eventos BPMN, se pueden indicar las actividades que deben ejecutarse al suceder tales eventos.

Si estas actividades son las mismas independientemente del proceso que se ejecuta, se puede definir un marco común de tratamiento de los riesgos.

Gracias por su participación

EDUARDO YÁNEZ

Telf. Panamá: +507-6496-1787

Email: eduardo.yanez@pranical.com

Pranical Technologies (www.pranical.com)

• Empresa dedicada a proveer soluciones de negocio basadas en tecnologías y prácticas reconocidas,

centrada en la creación de valor tanto para sus clientes como su gente.

• Ofrece servicios en las áreas de SOA (adopción/implementación), BPM, modelización y mejoramiento de

procesos de negocio (basándose en marcos de trabajo como ITIL, COBIT, eTOM), Arquitectura

Empresarial, desarrollo de aplicaciones empresariales, móviles y aseguramiento de calidad de software.