EAFLOW · CASO · SEGUROS
Catálogo de riesgos y controles migrado y consultable, sin perder años de modelo
Una organización líder del sector seguros, con operación en Argentina, validó la primera fase de adopción de Risk & Control Assurance: el catálogo de riesgos y controles de su plataforma GRC enterprise migrado al Operational Graph —códigos heredados, categorías clásicas y scoring inicial preservados— con Max activado para consulta en lenguaje natural sobre el catálogo migrado desde el día uno.
La validación mostró que la solución funciona sobre la operación real del cliente y el valor que aporta: el universo riesgo-control disponible como capa navegable del grafo, consultable por categoría, código, score o descripción, y listo para conectarse a procesos y aplicaciones en fases siguientes.
El desafío
Las organizaciones del sector seguros con función de aseguramiento —Riesgos, Control Interno, Compliance, Auditoría— suelen tener años invertidos en una plataforma GRC enterprise. El catálogo de riesgos y controles está curado, categorizado, scoreado y conocido por el equipo. El problema no es la falta de modelo: es que el catálogo vive en estructuras propietarias, aislado del resto de la operación.
- El catálogo R&C es un activo valioso: cientos de riesgos y miles de controles representan años de talleres con el negocio, revisiones de auditoría externa, ciclos de RCSA y decisiones de gobierno. Tirar el catálogo no es opción.
- Las plataformas GRC enterprise no son trivialmente migrables: códigos heredados, atributos del modelo, taxonomías propias, jerarquías de dominio y categorías viven en estructuras propietarias del modelador. Migrar exige preservar lo que el equipo conoce.
- El catálogo no responde en lenguaje natural: la plataforma GRC legacy entrega vistas tabulares, exportaciones planas y reportería tradicional. "¿Qué controles aplican sobre riesgos operacionales de alto score?" se contesta a mano sobre planillas.
- El catálogo está aislado del resto del modelo operacional: los riesgos no aparecen junto a los procesos que los originan, ni a las aplicaciones que los soportan, ni a la documentación que sostiene el control.
- Las opciones tradicionales son binarias —cambiar de plataforma con migración total (proyecto largo, costoso) o no migrar nada (la cuenta legacy sigue creciendo)—, sin una opción que mueva el catálogo sin obligar a comprometer todo el modelo operacional desde el día uno.
El aseguramiento no empieza reconstruyendo el catálogo. Empieza con el catálogo migrado, con códigos y categorías preservados, y consultable sobre el grafo.
La solución EAFlow
Risk & Control Assurance es una solución transversal de EAFlow Platform construida sobre la capa común Operational Graph. Esta validación se posiciona como primera fase de la adopción: migración del catálogo desde la plataforma GRC enterprise legacy y Max sobre lo migrado, sin obligar al cliente a comprometer el resto del modelo operacional desde el inicio. La validación cubrió, sobre el catálogo de aseguramiento de la operación del cliente:
- Migración del catálogo de riesgos a escala. Cientos de riesgos del catálogo de la plataforma GRC legacy migrados al Operational Graph con códigos heredados, descripciones, categorías, scoring inicial de probabilidad e impacto y los atributos de gobierno asociados. El catálogo no se rehace: se preserva.
- Migración del catálogo de controles a escala. Casi mil controles asociados al universo de riesgo migrados al grafo con su clasificación de tipo, frecuencia y estado de implementación. El equipo reconoce el catálogo migrado por nombre, código y categoría.
- Categorización clásica del modelo R&C preservada. Las categorías habituales del modelo de aseguramiento —operacional, compliance, seguridad, tecnología, estratégico, financiero— se mantienen como dimensiones del catálogo migrado, habilitando las vistas que el equipo ya operaba.
- Riesgos y controles como entidades de primera clase del grafo. El catálogo migrado deja de vivir en planillas paralelas y pasa a ser una capa navegable del Operational Graph, con consulta directa por categoría, código, score o descripción.
- Max activado sobre el catálogo migrado. Las consultas en lenguaje natural —"¿qué riesgos hay en la categoría compliance?", "¿qué controles aplican sobre riesgos operacionales?", "¿qué riesgos tienen score alto?"— responden citando riesgo, control, código y categoría, siempre con control humano. Max no inventa: responde sobre el catálogo migrado, con cita obligatoria a la fuente.
- Base lista para conexión al resto del modelo. Los riesgos y controles migrados quedan listos para conectarse, en fases siguientes, a los procesos modernizados, las aplicaciones del portafolio, los documentos vigentes y las pruebas / autocontroles del aseguramiento.
La conexión del catálogo migrado al resto del modelo operacional —procesos, aplicaciones, documentos, pruebas, hallazgos, planes de acción, recorrido auditor end-to-end— corresponde a las fases evolutivas de la solución, no a esta primera fase. La conexión a la plataforma GRC y a las fuentes oficiales del cliente se establece por madurez y validación técnica en discovery; la solución opera sobre las fuentes del cliente, sin reemplazarlas ni migrar masivamente lo que ya cumple su rol.
Qué se validó
La experiencia se ejecutó sobre el catálogo de aseguramiento de la plataforma GRC enterprise de la operación del cliente, ejecutada a escala. El equipo de Riesgos recorrió la migración completa del catálogo: lectura del catálogo legacy, preservación de códigos heredados, descripciones, categorías y scoring inicial, migración del catálogo de controles asociado con su clasificación, reporte de calidad con huérfanos y atributos faltantes listados explícitamente, y consulta natural con Max sobre el catálogo migrado citando riesgo, control, código y categoría. La trazabilidad de la migración —autor, fecha y motivo por nodo— quedó registrada para auditoría futura.
Capacidades demostradas
- Operational Graph como base común de contexto.
- Migración del catálogo de riesgos a escala con códigos heredados preservados.
- Migración del catálogo de controles a escala con tipo, frecuencia y estado de implementación.
- Categorías clásicas del modelo R&C preservadas como dimensiones del catálogo.
- Riesgos y controles como entidades de primera clase del grafo.
- Consulta en lenguaje natural con Max sobre el catálogo migrado, con cita obligatoria a la fuente y fallback no-IA disponible.
- Reporte de calidad del catálogo migrado (huérfanos, atributos faltantes, valores fuera de rango).
- Trazabilidad de procedencia por nodo migrado.
Resultado observado
El catálogo de aseguramiento pasó de "vivir en estructuras propietarias y planillas paralelas" a estar disponible como capa navegable del grafo, con códigos heredados, categorías clásicas y scoring inicial preservados. La consulta natural sobre el catálogo —que la plataforma legacy no podía ofrecer— pasó a responder citando riesgo, control, código y categoría, sin reconstruir nada a mano.
La validación confirmó que la solución migra a escala el catálogo R&C sobre la operación real del cliente como primera fase de adopción, dejando la conexión al resto del modelo —riesgo ↔ proceso, control ↔ aplicación, alcance completo de aseguramiento— como ruta evolutiva que el equipo de Riesgos decide, con la migración ejecutada como evidencia y no como decisión forzada.
Por qué importa para otras organizaciones
El patrón se repite en organizaciones del sector seguros con función de aseguramiento: la plataforma GRC enterprise existe y cumple su rol, pero el catálogo queda aislado del proceso, no responde en lenguaje natural y la migración se percibe como un proyecto de todo o nada. Demostrar, sobre la operación del cliente, que cientos de riesgos y casi mil controles migran a escala preservando códigos y categorías, y quedan consultables con Max desde el día uno, convierte una decisión de "comprometer todo el modelo" en una decisión informada por evidencia, fase a fase.
Empezar por la migración del catálogo es además una puerta de entrada de bajo riesgo: el mismo Operational Graph que sostiene el catálogo sostiene después procesos, aplicaciones, documentos vivos y el alcance completo de aseguramiento.
Cómo escala — soluciones relacionadas
El catálogo riesgo-control migrado se reutiliza sobre el mismo Operational Graph:
- Hacia el alcance completo del aseguramiento Risk & Control Assurance
Activar RCSA, pruebas de control, hallazgos, planes de acción, evidencia documental conectada, recorrido auditor sobre el grafo y reportería de aseguramiento, sobre el catálogo ya migrado.
- Hacia procesos Process Knowledge
Cada riesgo del catálogo migrado se conecta al proceso operativo que lo origina o ejecuta, y la matriz riesgo-control-proceso se vuelve consultable sobre el grafo.
- Hacia el portafolio TI Inventario Vivo TI
Cada control que aplica sobre una aplicación queda anclado en el inventario, y la criticidad funcional se conecta al control que la cubre.
- Hacia documentos vivos Document Governance & Evidence
Los documentos vigentes que respaldan cada control se vinculan, completando la pista de evidencia.
- Hacia continuidad operativa Continuidad Operativa y Resiliencia
Los riesgos de continuidad del catálogo migrado alimentan el modelo de BIA, RTO/RPO y dependencias críticas cuando se active.