Gran grupo bancario: Un enfoque ágil para una mejor gestión de los reglamentos de cumplimiento de TI
Retos
- Mejorar la gestión operativa del cumplimiento con una perspectiva a largo plazo.
- Optimizar todos los costos de la gestión del cumplimiento.
- Mejorar la información compartida entre las diferentes divisiones del negocio.
Resultados
- Mejor rastreo de los recursos de TI para cumplir con los requisitos de cumplimiento.
- Habilidad de evaluar el cumplimiento de miles de aplicaciones con numerosos reglamentos.
Modernizar y centralizar la gestión del cumplimiento de TI del banco
Este grupo bancario, el cual es uno de los principales actores del sector bancario internacional, se enfrenta al reto de garantizar el cumplimiento de numerosos reglamentos como GDPR (Reglamento General de Protección de Datos), NYDFS (Departamento de Servicios Financieros de Nueva York), PCI-DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago), CSP (Content Security Policy), Swift (Society for Worldwide Interbank Financial Telecommunication), etc., sin interrumpir el desarrollo del negocio. Con un alcance internacional, los departamentos de TI del banco constan de varios miles de empleados.
Históricamente, el banco documentaba sus procesos de cumplimiento de TI en documentos de Excel. En la actualidad, el banco ha optado por utilizar una herramienta que le ayuda a gestionar los reglamentos de cumplimiento de TI, especialmente los relacionados con la ciberseguridad, de una manera más eficiente.
La solución está organizada en torno a un único repositorio para proporcionar:
- Gestión del cumplimiento operativo para los departamentos de sistemas de información.
- Costos de la gestión del cumplimiento optimizados;
- Reducción de la pérdida de datos de calidad entre las diferentes divisiones de negocios;
- Control permanente del cumplimiento de TI, incluyendo la habilidad de trabajar sin la participación de los equipos de proyectos de TI que se retiran después de completar la implementación inicial.
El desafío para el grupo fue establecer un repositorio común para gestionar el cumplimiento de los recursos de TI para cumplir con todas las normas internas y los reglamentos externos.
Un proyecto ágil para incrementar el cumplimiento con varios reglamentos
Para lograr sus objetivos, el grupo bancario ha tomado la decisión de apoyarse en su repositorio de arquitectura empresarial también para las iniciativas de cumplimiento. Para ello, ha añadido la solución de gestión de control interno de MEGA –HOPEX Integrated Risk Management– para gestionar el cumplimiento en todo su patrimonio de aplicaciones. La elección de la solución se hizo con base en tres criterios principales:
- Pertinencia de la solución propuesta en función de los requisitos del banco.
- Capacidad de integración en el repositorio de arquitectura empresarial existente en HOPEX, lo que permite aprovechar el inventario de aplicaciones existente.
- Apoyo de los consultores de MEGA para dirigir el proyecto de integración de la solución.
La compañía ha tomado un enfoque pragmático para la innovación al establecer una estrategia de MVP (Producto Viable Mínimo). Esto consiste en lanzar una primera versión, para luego desarrollarla de acuerdo con las necesidades reportadas por todos los involucrados del proyecto.
La organización ágil del proyecto se desarrolló con el tiempo y evolucionó de manera gradual con el equipo de proyecto de negocios, la dirección del proyecto y el equipo de MEGA International. Estas discusiones permitieron a la solución evolucionar de manera ágil para construir un MVP extendido e iniciaron el primer caso de uso concreto: el cumplimiento con los reglamentos de GDPR. Una vez que la producción de este caso de uso inició, el equipo de gestión del proyecto ingresó toda la información directamente en el repositorio HOPEX, así se puso fin al uso de archivos de Excel para este tipo de operación.
La centralización de la información para un mejor acceso al conocimiento
Gracias a la centralización de los datos de cumplimiento en una sola plataforma, el grupo ahora tiene información confiable, clara y actualizada que a su vez facilita el acceso al conocimiento. Para lograr este resultado, se requirió de la cooperación multidisciplinaria para garantizar el cumplimiento de TI del banco.
Centralizar la información también brindó mejor visibilidad en todos los niveles de cumplimiento de los recursos de TI. Inicialmente, el banco fue capaz de evaluar el cumplimiento del reglamento GDPR para varios cientos de aplicaciones, así como muchas aplicaciones adicionales que se han agregado desde entonces.
El siguiente objetivo para el banco es industrializar (automatizar) la gestión del cumplimiento de su portafolio de aplicaciones. El otro requisito central es reducir los costos de la gestión del cumplimiento.
Soluciones
- HOPEX Integrated Risk Management
- HOPEX IT Portfolio Management
- HOPEX Platform
- MEGA Services Team