Hace varios años, BT se propuso actualizar su sistema de gestión de riesgos y controles con un enfoque cohesivo que mejorara la visibilidad en toda la organización y proporcionara datos creíbles y oportunos al equipo directivo y al consejo de administración.
DESAFÍO
El Grupo BT es el principal proveedor de comunicaciones de línea fija y móvil del Reino Unido, e incluye servicios de banda ancha, telefonía móvil, seguridad, TV, redes y TI. Con operaciones en 180 países y más de 100.000 empleados, la organización tiene una estructura compleja, que hacía difícil calibrar la imagen real de su exposición al riesgo.
Al mismo tiempo, el Código de Gobierno Corporativo revisado del Reino Unido exigirá que los consejos determinen lo que consideran riesgos y controles materiales y decidan el nivel de supervisión y garantía que necesitan para declarar la eficacia de los controles materiales en el informe y las cuentas anuales antes de 2026.
«Estaba claro que había margen para mejorar el enfoque de la gestión de riesgos. Necesitábamos un marco que proporcionara a los responsables de gestionar y supervisar el riesgo los procesos y la estructura para hacerlo. Era vital que el marco lo hiciera de forma coherente y eficaz, ayudando a respaldar decisiones de calidad y dando importantes señales de alerta temprana si algo está a punto de ir mal», recuerda Dan Maclennan, director de riesgos del grupo BT. «Nos propusimos rediseñar el proceso desde cero».
Pero había un posible escollo: el nuevo marco estaba hecho a medida para BT y tenía un proceso de elaboración de informes de riesgos muy personalizado, junto con sus propias convenciones de nomenclatura que era fundamental mantener. Muchos se mostraban escépticos ante la posibilidad de que un nuevo sistema pudiera reproducir el marco y producir los informes que necesitaba el consejo.
SOLUCIÓN
BT recurrió a Riskonnect para que le proporcionara una plataforma que diera vida a este marco, integrando todas las actividades de riesgo, control y garantía. El proyecto comenzó con la implantación de la solución de Gestión de Riesgos Empresariales de Riskonnect, seguida de las soluciones de Controles Internos y Auditoría.
«Elegimos Riskonnect porque es muy configurable», explica Maclennan. «La filosofía de nuestro enfoque era crear una comunidad centrada en el riesgo, que incluyera a los profesionales de la gestión del riesgo empresarial, el control y la garantía. Con Riskonnect pudimos reunirlo todo bajo un mismo marco».
Y lo que es más importante, BT pudo continuar con su metodología establecida de riesgo, control y garantía. La distinción entre «riesgos duraderos» y «riesgos dinámicos», por ejemplo, es la piedra angular de su programa de riesgos. Los riesgos duraderos son los que persisten en el tiempo y merece la pena invertir en la estructura de controles y procesos para mitigarlos a largo plazo. Los riesgos dinámicos son riesgos significativos «del momento» e incertidumbres que surgen, que no pueden mitigarse mediante el marco de control existente y requieren una respuesta específica.
Un gran paso fue construir el modelo de datos para alimentar los informes. El equipo pasó más de un año definiendo sus riesgos permanentes -salud y seguridad, cibernéticos, protección de datos, etc.-, trazando controles y asignando responsabilidades. «Tardamos todo ese tiempo en obtener resultados significativos», dice Maclennan.
Los datos de todos los riesgos duraderos y sus controles correspondientes están ahora alojados en Riskonnect para mostrar cómo se desarrollan estos riesgos en toda la organización. Los propietarios de los controles y los proveedores de garantías tienen pleno acceso al sistema para llevar a cabo sus actividades. Otros pueden proporcionar actualizaciones a través de un portal, lo que facilita la incorporación de más personas al proceso.
RESULTADOS
Con Riskonnect, BT logró lo que algunos pensaban que era un viaje interminable: Todos los datos de riesgo, control y garantía están ahora en un único marco para una mejor visibilidad, y se ha conservado su estructura de riesgo única.
«El marco da forma al modo en que se gestiona cada área de riesgo especializada», dice Maclennan. «Muchas partes de la empresa ya estaban haciendo un buen trabajo, pero no de una forma coherente que facilitara la supervisión en todo el panorama y priorizara los esfuerzos cuando fuera necesario. Ahora cada área tiene una responsabilidad y una estructura claras, lo que ayuda a todos a hacer su trabajo con más eficacia.»
Se eliminaron las cargas administrativas y se racionalizaron y mejoraron los informes para obtener una visión integral. «Necesitamos ver muchos aspectos diferentes del riesgo, desde los detalles más minuciosos hasta la visión a nivel directivo. Puede ser un campo de minas», afirma. «La solución proporcionada por Riskonnect ha permitido que nuestro marco lo haga posible».
Riskonnect hace aflorar los datos adecuados en informes automatizados que proporcionan a la junta directiva una línea de visión de riesgos grandes y complejos. La dirección puede elegir una categoría -por ejemplo, cibernética- y ejecutar un informe que muestre la eficacia de los controles. «Tenemos visibilidad de todo el panorama», dice Maclennan.
Disponer de un marco también establece las normas con las que se puede evaluar todo para priorizar los recursos, el enfoque y el presupuesto. Tomemos el ciberriesgo, por ejemplo. «Nuestro equipo de ciberseguridad ha estado a la vanguardia de la adopción del marco y de la herramienta Riskonnect, que ahora se utiliza para supervisar nuestra exposición y realizar un seguimiento de las acciones para reforzar continuamente nuestra postura de seguridad», explica Maclennan.
BT ha tenido mucho éxito a la hora de superar cualquier resistencia persistente a un nuevo sistema. «Hemos recibido buenos comentarios», señala Maclennan. «La gente ve realmente las ventajas de utilizar Riskonnect».
Y eso, a su vez, está influyendo en la cultura. «En las reuniones, oigo a la gente referirse a riesgos puntuales y riesgos emergentes. Empieza a formar parte de nuestra jerga».
Aunque el cumplimiento de la nueva normativa no era inicialmente una prioridad máxima, el nuevo marco se ajusta bien a los requisitos. «Sin darnos cuenta, nos preparamos y estamos en una posición bastante buena para cumplir los requisitos de control reforzado del Código de Gobierno Corporativo del Reino Unido, porque ya íbamos en esa dirección».
«Riskonnect avanza en nuestro propósito de ayudar al Grupo BT a ser inteligente con el riesgo y a tomar decisiones informadas», dice Maclennan.
Para obtener más información sobre la gestión holística de riesgos, descárgate nuestro libro electrónico Gobernanza, Riesgo y Cumplimiento: La Guía Definitiva, y echa un vistazo a las soluciones de software GRC de Riskonnect.
