Vacante: gerente de riesgos it (controles, continuidad y auditoría | programa core crédito)
área: ti / riesgos tecnológicos / control interno (core de crédito y ecosistema)
idioma: inglés avanzado (indispensable)
objetivo del puesto
diseñar, implementar y operar el marco de riesgos tecnológicos del programa (aplicaciones, integraciones, datos, releases y operación), garantizando controles preventivos/detectivos, continuidad y resiliencia, cumplimiento y evidencias auditables a lo largo de especificación, construcción, pruebas, migración y estabilización. Coordina con negocio y operación ti para que los procesos críticos funcionen sin interrupciones materiales y con trazabilidad extremo a extremo.
responsabilidad financiera (impacto): reduce probabilidad de caídas y eventos operativos materiales, previene pérdidas por errores de datos o accesos indebidos, evita sanciones/regulaciones por incumplimiento, y reduce costo de remediación por hallazgos tardíos.
requisitos (indispensables)
* 5–6+ años en riesgos/controles de ti en servicios financieros.
* 3–5+ años liderando equipos o células de control/continuidad (multi-equipo).
* experiencia en gobierno de controles, continuidad/recuperación, gestión de accesos, cambios/releases e integridad de datos.
* conocimiento del ecosistema de crédito/tarjetas y su operación (procesos críticos y dependencias).
* experiencia probando controles en entornos complejos (desarrollo, integraciones y operación) con evidencias auditables.
* coordinación transversal con negocio, operación ti, seguridad y datos; comunicación ejecutiva para comités.
* inglés avanzado (indispensable).
responsabilidades clave:
1) marco de riesgo tecnológico (inventario, políticas y métricas)
* definir políticas, procesos y métricas de control para aplicaciones, integraciones, datos, accesos y cambios.
* mantener inventario de riesgos y controles (dueños, periodicidades, evidencia requerida y estado).
2) evaluación de riesgos por proceso y por release
* realizar evaluaciones por flujo (originación, operación, cobranza, productos/loyalty) y por versión/release.
* clasificar impactos, dependencias y riesgo residual; priorizar mitigaciones y fechas objetivo.
3) controles de acceso y segregación (sod)
* diseñar y supervisar roles/perfiles, segregación de funciones y revisiones periódicas en aplicaciones y herramientas de soporte.
* asegurar evidencias completas (altas/bajas, recertificación, excepciones y remediación).
4) continuidad y resiliencia (bcp/drp)
* coordinar planes de continuidad/recuperación, pruebas de conmutación y simulacros.
* definir y validar objetivos de disponibilidad, rto/rpo, y controles de resiliencia.
5) integridad de datos y trazabilidad
* definir requisitos de logging/auditoría, retención y accesibilidad de evidencias.
* asegurar integridad y trazabilidad de integraciones y cargas/procesos (referencialidad, reconciliaciones y controles).
6) gestión de cambios y liberaciones (criterios de riesgo)
* establecer criterios de riesgo para cambios y releases; participar en comités de cambio (cab).
* verificar prerequisitos, planes de rollback, validaciones post-liberación y expedientes "audit-ready".
7) pruebas de controles en sit/uat
* diseñar y ejecutar pruebas de controles técnicos/funcionales: pruebas negativas, resiliencia y seguridad.
* gestionar hallazgos, priorización y remediaciones hasta cierre con evidencia.
8) gestión de incidentes y problemas (eventos de riesgo)
* coordinar respuesta a incidentes: caídas, degradaciones, errores de datos o accesos.
* ejecutar runbooks, escalamiento y seguimiento a planes de acción/corrección con dueños y fechas.
9) cumplimiento y auditoría (interno/externo/regulatorio)
* atender requerimientos regulatorios y auditorías; mantener expedientes, bitácoras y matrices de trazabilidad.
* asegurar consistencia y completitud de evidencias para revisiones recurrentes.
10) gobierno y capacitación
* reportar estado de riesgos al director de ti/comité (tendencias, top riesgos, mitigaciones y decisiones requeridas).
* capacitar a equipos en prácticas de control, continuidad y seguridad aplicadas al programa.
conocimientos y herramientas deseables (plus)
* itil/itsm y operación de cab; service desk (jira/servicenow) y confluence.
* continuidad/recuperación (bcp/drp), control interno y auditoría de ti.
* seguridad de la información (controles, hardening, logging, iam).
* gestión de accesos/identidades (iam) y recertificación.
* bpm (mapeo y estandarización de procesos).
* bi/analytics (power bi/tableau) para tableros de riesgo.
* experiencia en integraciones apis/esb y monitoreo/observabilidad (logs/métricas/trazas).
competencias clave (lo que evaluaremos)
* enfoque preventivo: anticipar fallas y diseñar controles antes del go-live.
* rigor "audit-ready": evidencia clara, trazable y consistente.
* capacidad de priorización (impacto, probabilidad, riesgo residual) y ejecución con due dates.
* liderazgo transversal y comunicación ejecutiva (comités, trade-offs, decisiones).
* manejo de incidentes de alta criticidad con disciplina de seguimiento.
tipo de puesto: tiempo completo
sueldo: $70, $75,000.00 al mes
lugar de trabajo: empleo presencial