EAFLOW · CASO · PREVISIONAL

El modelo de riesgo, control y cumplimiento, conectado al proceso sobre el grafo

La capa de riesgo y control se conecta al proceso como una extensión natural del modelo operacional. En esta prueba de concepto, una organización de servicios financieros previsionales —recaudación de cotizaciones de seguridad social— recorrió Risk & Control Assurance sobre un escenario representativo del dominio previsional en Chile: desde procesos documentados y procesos críticos se visualizan riesgos asociados, controles, evidencias, responsables, pruebas y brechas como un solo modelo GRC sobre el Operational Graph, con un modelo representativo del marco normativo Ley 20.393 y su catálogo de obligaciones versionable.

La capa de riesgo y control vive conectada al proceso: la pista riesgo de cumplimiento → responsable de cumplimiento → control → proceso → evidencia se recorre como una consulta sobre el grafo, lista para responder ante cada cambio normativo o auditoría. EAFlow muestra un escenario representativo para validar trazabilidad y reportabilidad, dejando la carga real para Discovery — sin asumir una migración completa desde una plataforma GRC existente ni usar datos productivos del cliente.

Ver Risk & Control Assurance Prueba de concepto · datos de muestra

El desafío

Las organizaciones sujetas a obligaciones de cumplimiento bajo el marco normativo Ley 20.393 en Chile —y sus ampliaciones— sostienen su modelo de cumplimiento en planillas y documentos sueltos, desconectados del proceso que los origina.

  • El modelo de cumplimiento vive en planillas. El mapa de riesgos de cumplimiento, los controles que los mitigan, los responsables de cumplimiento y las obligaciones del marco aplicables se mantienen en hojas de cálculo y presentaciones, sin un modelo conectado.
  • El responsable de cumplimiento no se conecta al proceso ni al control. Saber qué responsable responde por qué riesgo de cumplimiento, en qué proceso puede materializarse y qué control lo mitiga es un ejercicio de reconstrucción manual.
  • El catálogo de obligaciones del marco cambia y el modelo no. Las ampliaciones del marco normativo obligan a rehacer planillas; no hay un catálogo versionable conectado al modelo de riesgo.
  • La evidencia se reconstruye ante cada auditoría. La trazabilidad riesgo de cumplimiento → control → evidencia no está disponible de forma continua, y las plataformas GRC corporativas modelan riesgo-control genérico sin traer los atributos específicos del marco chileno.

El modelo de cumplimiento no se sostiene con nodos sueltos en una planilla. Se sostiene con riesgos, controles, responsables y evidencia conectados al proceso, vigentes y trazables.

La solución EAFlow

Risk & Control Assurance es una solución transversal de EAFlow Platform construida sobre la capa común Operational Graph. En esta prueba de concepto se extendió, como entrega acotada (custom delivery) sobre la solución, con los atributos específicos del marco normativo Ley 20.393 para el dominio previsional chileno. La prueba de concepto cubrió, sobre un escenario representativo con datos de muestra:

  • Universo riesgo-control con atributos del marco normativo Ley 20.393. Riesgos y controles conectados como nodos del grafo, extendidos con los atributos del marco: responsable de cumplimiento, tipo de obligación y referencia normativa.
  • Responsable de cumplimiento como entidad de primera clase. El modelo conecta cada riesgo de cumplimiento con el responsable aplicable, el proceso donde puede materializarse y el control que lo mitiga, con aislamiento por tenant.
  • Catálogo de obligaciones del marco versionable. Las obligaciones del marco chileno viven en un catálogo versionable conectado a los riesgos, de modo que un cambio normativo se refleja sin rehacer el modelo.
  • Matriz riesgo-control-proceso-responsable. Cobertura, brechas y riesgos o controles sin trazabilidad suficiente del modelo de cumplimiento quedan visibles como consulta del grafo, no como informe armado a mano.
  • Evidencia conectada al control. La documentación de respaldo de cada control se vincula al control y al proceso, lista para auditoría sobre el escenario de muestra.
  • Reportería de cobertura del modelo de cumplimiento. Por responsable de cumplimiento, por tipo de obligación y por proceso, como consulta determinística sobre el mismo grafo.

En esta prueba de concepto el soporte fue analítico —recorrido sobre el grafo, matriz y reportería conectada—. La consulta en lenguaje natural con Max sobre evidencia publicada queda como opción evolutiva sobre el mismo corpus conectado, siempre con control humano. El catálogo de obligaciones y el modelo de cumplimiento son herramientas que organizan y conectan; la interpretación del marco normativo Ley 20.393 y la responsabilidad sobre su cumplimiento siguen siendo del cliente y de su asesoría.

Qué se validó

La prueba de concepto se ejecutó sobre un escenario representativo para validar trazabilidad y reportabilidad del dominio previsional, dejando la carga real para Discovery. El equipo recorrió el modelo de cumplimiento del marco Ley 20.393 sobre el grafo: universo riesgo-control con atributos del marco, responsable de cumplimiento como entidad de primera clase, catálogo de obligaciones versionable, matriz riesgo-control-proceso-responsable, evidencia conectada al control y reportería de cobertura. La prueba muestra la capacidad del modelo, lista para extenderse al universo productivo del cliente en Discovery.

Capacidades demostradas

  • Operational Graph como base común de contexto.
  • Atributos del marco normativo Ley 20.393 (responsable de cumplimiento, tipo de obligación, normativa) sobre el modelo de riesgo-control.
  • Catálogo de obligaciones del marco versionable, conectado a los riesgos.
  • Responsable de cumplimiento como entidad de primera clase, con aislamiento por tenant.
  • Matriz riesgo-control-proceso-responsable como consulta navegable sobre el grafo.
  • Evidencia conectada al control sobre el escenario de muestra.
  • Reportería de cobertura por responsable de cumplimiento, tipo de obligación y proceso.

Resultado observado

El modelo de cumplimiento pasó de "vivir en planillas sueltas" a ser un modelo GRC conectado sobre el grafo, donde el recorrido riesgo de cumplimiento → responsable de cumplimiento → control → proceso → evidencia se navega como consulta, no como reconstrucción manual. La matriz de cumplimiento quedó disponible con cobertura, brechas y riesgos o controles sin trazabilidad suficiente visibles, y el catálogo de obligaciones del marco mostró que un cambio normativo se refleja sin rehacer el modelo.

La prueba de concepto confirmó la viabilidad funcional del modelo de cumplimiento del marco Ley 20.393 sobre el Operational Graph como paso previo a cargar el universo real del cliente.

Por qué importa para otras organizaciones

El patrón se repite en organizaciones chilenas sujetas a obligaciones de cumplimiento bajo el marco normativo Ley 20.393: el modelo de cumplimiento vive en planillas desconectadas, el responsable de cumplimiento no se conecta al proceso ni al control, y el catálogo de obligaciones cambia más rápido de lo que se rehacen las planillas. Modelarlo sobre el Operational Graph —con los atributos específicos del marco y un catálogo versionable— convierte el cumplimiento en una capa navegable y trazable.

Empezar por el modelo de cumplimiento es además una puerta de entrada de bajo riesgo: el mismo Operational Graph que conecta riesgos, controles y responsables sostiene después procesos, evidencia documental y continuidad.

Cómo escala — soluciones relacionadas

El universo riesgo-control conectado se reutiliza sobre el mismo Operational Graph: