EAFLOW · CASO · PREVISIONAL
El modelo de cumplimiento penal, conectado al proceso sobre el grafo
Una organización de servicios financieros previsionales —recaudación de cotizaciones de seguridad social— probó Risk & Control Assurance como prueba de concepto, sobre un escenario representativo con datos de muestra del dominio previsional en Chile: riesgo, control, sujeto responsable, tipo de delito, proceso y evidencia conectados como un solo modelo de cumplimiento sobre el Operational Graph, con el catálogo de figuras del marco Ley 20.393 versionable.
La prueba de concepto mostró que la solución funciona sobre un escenario representativo del dominio previsional y el valor que aporta: la pista riesgo → sujeto responsable → control → proceso → evidencia se recorre como una consulta sobre el grafo, no como una planilla que se rearma a mano ante cada cambio normativo o auditoría.
El desafío
Las organizaciones sujetas a la responsabilidad penal de personas jurídicas en Chile —marco Ley 20.393 y sus ampliaciones— sostienen su modelo de prevención de delitos en planillas y documentos sueltos, desconectados del proceso que los origina.
- El modelo de prevención vive en planillas. El mapa de riesgos de delito, los controles que los mitigan, los sujetos responsables y las figuras penales aplicables se mantienen en hojas de cálculo y presentaciones, sin un modelo conectado.
- El sujeto responsable no se conecta al proceso ni al control. Saber qué sujeto responde por qué riesgo de delito, en qué proceso puede materializarse y qué control lo mitiga es un ejercicio de reconstrucción manual.
- El catálogo de figuras penales cambia y el modelo no. Las ampliaciones del marco legal obligan a rehacer planillas; no hay un catálogo versionable conectado al modelo de riesgo.
- La evidencia se reconstruye ante cada auditoría. La trazabilidad riesgo de delito → control → evidencia no está disponible de forma continua, y las plataformas GRC corporativas modelan riesgo-control genérico sin traer los atributos específicos del marco chileno.
El modelo de cumplimiento no se sostiene con nodos sueltos en una planilla. Se sostiene con riesgos, controles, sujetos responsables y evidencia conectados al proceso, vigentes y trazables.
La solución EAFlow
Risk & Control Assurance es una solución transversal de EAFlow Platform construida sobre la capa común Operational Graph. En esta prueba de concepto se extendió, como entrega acotada (custom delivery) sobre la solución, con los atributos legales específicos del marco Ley 20.393 para el dominio previsional chileno. La prueba de concepto cubrió, sobre un escenario representativo con datos de muestra:
- Universo riesgo-control con atributos del marco Ley 20.393. Riesgos y controles conectados como nodos del grafo, extendidos con los atributos legales del marco: sujeto responsable, tipo de delito y referencia normativa.
- Sujeto responsable como entidad de primera clase. El modelo conecta cada riesgo de delito con el sujeto responsable aplicable, el proceso donde puede materializarse y el control que lo mitiga, con aislamiento por tenant.
- Catálogo de tipos de delito versionable. Las figuras del marco chileno viven en un catálogo versionable conectado a los riesgos, de modo que un cambio normativo se refleja sin rehacer el modelo.
- Matriz riesgo-control-proceso-sujeto. Cobertura, brechas y huérfanos del modelo de cumplimiento penal quedan visibles como consulta del grafo, no como informe armado a mano.
- Evidencia conectada al control. La documentación de respaldo de cada control se vincula al control y al proceso, lista para auditoría sobre el escenario de muestra.
- Reportería de cobertura del modelo de cumplimiento. Por sujeto responsable, por tipo de delito y por proceso, como consulta determinística sobre el mismo grafo.
En esta prueba de concepto el soporte fue analítico —recorrido sobre el grafo, matriz y reportería conectada. La consulta en lenguaje natural con Max sobre evidencia publicada es una capacidad disponible de la solución que no se activó en esta experiencia; queda como opción evolutiva sobre el mismo corpus conectado, siempre con control humano. El catálogo de figuras y el modelo de cumplimiento son herramientas que organizan y conectan; la interpretación legal y la responsabilidad sobre el marco Ley 20.393 siguen siendo del cliente y de su asesoría jurídica.
Qué se validó
La prueba de concepto se ejecutó sobre un escenario representativo con datos de muestra del dominio previsional —no sobre el universo real del cliente—. El equipo recorrió el modelo de cumplimiento Ley 20.393 sobre el grafo: universo riesgo-control con atributos legales, sujeto responsable como entidad de primera clase, catálogo de tipos de delito versionable, matriz riesgo-control-proceso-sujeto, evidencia conectada al control y reportería de cobertura. Lo que se prueba es la capacidad del modelo, no una implementación con el universo productivo del cliente.
Capacidades demostradas
- Operational Graph como base común de contexto.
- Atributos del marco Ley 20.393 (sujeto responsable, tipo de delito, normativa) sobre el modelo de riesgo-control.
- Catálogo de tipos de delito versionable, conectado a los riesgos.
- Sujeto responsable como entidad de primera clase, con aislamiento por tenant.
- Matriz riesgo-control-proceso-sujeto como consulta navegable sobre el grafo.
- Evidencia conectada al control sobre el escenario de muestra.
- Reportería de cobertura por sujeto responsable, tipo de delito y proceso.
Resultado observado
El modelo de prevención de delitos pasó de "vivir en planillas sueltas" a ser un modelo conectado sobre el grafo, donde el recorrido riesgo de delito → sujeto responsable → control → proceso → evidencia se navega como consulta, no como reconstrucción manual. La matriz de cumplimiento quedó disponible con cobertura, brechas y huérfanos visibles, y el catálogo de figuras penales mostró que un cambio normativo se refleja sin rehacer el modelo.
La prueba de concepto confirmó la viabilidad funcional del modelo Ley 20.393 sobre el Operational Graph como paso previo a cargar el universo real del cliente.
Por qué importa para otras organizaciones
El patrón se repite en organizaciones chilenas sujetas a la responsabilidad penal de personas jurídicas: el modelo de prevención de delitos vive en planillas desconectadas, el sujeto responsable no se conecta al proceso ni al control, y el catálogo de figuras cambia más rápido de lo que se rehacen las planillas. Modelarlo sobre el Operational Graph —con los atributos específicos del marco y un catálogo versionable— convierte el cumplimiento en una capa navegable y trazable.
Empezar por el modelo de cumplimiento es además una puerta de entrada de bajo riesgo: el mismo Operational Graph que conecta riesgos, controles y sujetos responsables sostiene después procesos, evidencia documental y continuidad.
Cómo escala — soluciones relacionadas
El universo riesgo-control conectado se reutiliza sobre el mismo Operational Graph:
- Hacia la implementación con el universo del cliente Risk & Control Assurance
Carga del universo de riesgos y controles del cliente, conexión a sus procesos, evidencia documental, pruebas, autocontroles, hallazgos y planes de acción, y recorrido auditor.
- Hacia continuidad Continuidad Operativa y Resiliencia
Los riesgos de interrupción se conectan al modelo de cumplimiento y al marco Ley 20.393, cerrando la relación continuidad ↔ aseguramiento.
- Hacia procesos Modernización de Procesos y Arquitectura / Process Knowledge
Los procesos donde se materializan los riesgos de delito pasan a ser corpus conectado.
- Hacia documentos vivos Document Governance & Evidence
La evidencia que respalda los controles se gobierna con flujo de aprobación, publicación y vigencia.