Pablo A. Malagón T. Pablo A. Malagón T.

Transcripción

1

2 AGENDA ETAPA 1 Proyecto Seguridad Informática Diseño: Fases I, II Implementación: Fases III, IV ETAPA 2 El Riesgo Operativo como herramienta estratégica Administración del Riesgo RO a Nivel Internacional RO en Colombia

3 Proyecto Seguridad Informática ETAPA 1 Definición y Alcance Plan estratégico con proyección de 4 años Ventajas Obliga hacer el ejercicio a largo plazo En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas que no se requieran en un futuro o varié la funcionalidad Cambios del personal gerencial y administrativo

4 DOWNLINK DOWNLINK DOWNLINK DOWNLINK DOWNLINK Switch 3300 Switch 3300 Switch 3300 Switch 3300 Switch x 1x 1x 1x 1x 12x 12x 12x 12x 12x STAT US green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status STAT US Packet Status green= enabled, link OK Flashing green= disabled, link OK off = link OK fail Packet Status Packet Status green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status 7 STAT US Packet Status STAT US green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status Packet Status green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status S TA T U S Packet Status MO DULE Packet Status MO DULE Packet Status Packet Status Packet Status Packet Status MO DULE MO DULE MO D U LE Power MGMT Power MGMT Power MG MT Power MG MT Power MG MT S witch 3000 Super Stack II Switch 3000 S witch 3000 Super Stack II Switch 3000 S witch 3000 SuperStack II Switch 3000 S witch 3000 SuperStack II Switch 3000 S witch 3000 SuperStack II Switch 3000 R R R R R Proyecto Seguridad Informática RED DE DATOS Antecedente (1) HUB 24P. P5 SWITCH 12P. HUB 24P. HUB 24P. HUB 24P. P4 SWITCH 24P. SWITCH 12P. HUB 12P. HUB 24P. HUB 24P. HUB 24P. P3 SWITCH 24P. SWITCH 12P. HUB 24P. HUB 24P. HUB 24P. P2 SWITCH 24P. SWITCH 24P. Consola Switch core ATM 6P. FIBRA OPTICA HUB 8P. HUB 24P. HUB 24P. HUB 12P P1 SWITCH 24P. SWITCH 12P. CONVENCIONES F.O OC12 F.O OC3 UTP FE

5 1x 12x green=enabled, link OK Flashinggreen=disabled, link OK off =link OK fail STATUS Packet Status Packet Status MODULE Packet Status Power MGMT Switch 3000 SuperStack II Switch 3000 R Proyecto Seguridad Informática Antecedente (2) Servidor WEB Firewall Router Internet Servidor Red local 2 Red local 1 HUB RAS SWITCH Usuarios Remotos Usuario Remoto Switch ATM RDSI y RTPC RDSI: Red Digital de Servicios Integrada RTPC: Red Telefónica Publica Conmutada ATM: Modo de Transferencia Asíncrono

6 ETAPA 1 Proyecto Seguridad Informática Fase I Diagnostico y diseño del modelo de seguridad de la infraestructura garantizando la funcionalidad de los servicios que tiene la organización. Definición de las políticas organizacionales entorno a la seguridad Adquirir herramientas básicas de seguridad informática y capacitación en las mismas. Identificar y corregir vulnerabilidades (Hardening) de sistemas operaciones de red Diagnostico y definición de los respaldos y la recuperación de la información.

7 ETAPA 1 Proyecto Seguridad Informática Fase I Contratos de servicios y conexiones con terceros. Diagnostico de las practicas en el desarrollo y mantenimiento de sistemas de información. Conservar el personal especializado Las herramientas adquiridas queden en total funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido. Que este alineado con el estándar de seguridad Internacional ISO 17799

8 1x 12x STATUS green= enabled,link OK Flashinggreen=disabled, link OK of =link OKfail Packet Status Packet Status MODULE Packet Status Power MGMT Switch 3000 SuperStack II Switch 3000 R Proyecto Seguridad Informática ETAPA 1 Fase I Router Del ISP Servidor WEB Firewall Correo Externo DMZ Usuario Interno Remoto Appliance Antivirus IDS Sin enrutamiento S.O. Hardening Red local 2 Red local 1 HUB Firewall RAS FIREWALL SWITCH Replica Usuarios RDSI Switch ATM Servidor Usuarios RDSI RDSI y RTPC Usuarios Remotos

9 ETAPA 1 Proyecto Seguridad Informática Antecedente Fase II Router del ISP Servidor WEB Firewall DMZ Correo Externo Antivirus Usuarios Internos Remotos Switch Giga VLAN 1 Firewall VLAN 2 IDS RAS FIREWALL Usuarios Remotos RDSI y RTPC Usuarios Remotos

10 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Certificados digitales Modulo de verificación de firmas para la comunicación entre la organización y los usuarios remotos Certificado de Servidor Seguro Capacitación

11 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Utilización n del Certificado Digital: Firma Digital Mensaje de Datos Certificado Firma Digital Ok! Parte Confiante

12 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Certificados Digitales Router Del ISP Servidor WEB Firewall Correo Externo Comunicaciones Antivirus DMZ Entidad Certificadora VLAN 1 Firewall VLAN 2 IDS RAS FIREWALL Directorio Usuarios Remotos RDSI y RTPC Usuario Remoto

13 Proyecto Seguridad Informática ETAPA 1 Fase II (B) Plan de Contingencia Diagnóstico de la Situación n Actual Mapas de Procesos Matriz de Riesgos BIA (Análisis de impacto del negocio) Plan de acciones Definición n de requerimientos para el retorno a la normalidad de las operaciones Estrategias de Recuperación n de Contingencias de TI.. Probar, P capacitar y ejercitar el plan.

14 Proyecto Seguridad Informática ETAPA 1 Esquema de Contingencia VLAN INTERNET Router Del ISP Servidor WEB IPS Firewall Entidad Certificadora 2 1 Comunicaciones VLAN 1 VLAN 2 Antivirus /Anti spam Correo externo VLAN DMZ Firewall Carrier Switch 1 2 RAS 3 PSTN Usuarios Remotos Puestos de trabajo 1 Usuarios RDSI 3 RAS FIREWALL Router Sitio Alterno Sistema critico 1 Sistema critico 2 Sistema critico 3 RDSI y RTPC Usuario Remoto 5

15 Proyecto Seguridad Informática ETAPA 1 Fase III Adquisición de Herramientas Control de contenido y direcciones de Internet Proxy Autenticación fuerte de usuarios Internos Certificados Digitales Token Firewalls personales

16 Proyecto Seguridad Informática ETAPA 1 Fase III VLAN INTERNET Router del ISP Servidor WEB IPS Firewall Firewall Servidor Control de URL / Proxy Servidor de Certificados Digitales Antivirus /Antispam Correo Externo VLAN DMZ Usuario Interno Remoto Desktop Firewall, Certificado Digital Token VLAN 1 Firewall Comunicaciones VLAN 2 RAS FIREWALL Certificado Interno Usuarios RemotosI RDSI y RTPC Usuarios Remotos Certificado ente externo Documento con Firma Electrónica

17 Proyecto Seguridad Informática ETAPA 1 Fase IV Riesgo Sistema de Prevención 2 1 Administrador de Vulnerabilidades Vulnerabilidad Explotar Arreglo (Patch / Hardening) Aplicar Retorno Normalidad Tiempo

18 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Descubrir en línea dispositivos y realizar el mapa de manera automática de la infraestructura tecnológica Priorizar activos de acuerdo con el nivel de seguridad requerido. Verificar las vulnerabilidades de las plataformas y determinar el nivel de exposición al riesgo Facilitar la protección de los activos críticos, de acuerdo con los requerimientos y políticas del negocio.

19 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Asignar, controlar y validar la remediación de forma autónoma. Capacitar en la configuración, administración y mantenimiento de la solución Acompañar la remediación con personal experto

20 Proyecto Seguridad Informática ETAPA 1 Fase IV Solución Fase de aprendizaje, se analiza por aplicación Identificación de los servicios a cerrar, entre más bloqueos más latencia Modo oculto, no muestra una dirección IP y tampoco una MAC.

21 Proyecto Seguridad Informática ETAPA 1 Fase IV Solución para mitigar el Riesgo Remediación Resultados: Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa) Criticidad por importancia del activo Gestión mediante tikes

22 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Reducir y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas Focalizándose en los activos más importante Tomando medidas para dar continuidad a la organización Definiendo responsables de los sistemas de información Midiendo el progreso o evolución del riesgo de la infraestructura tecnológica

23 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Identificación proactiva de las nuevas amenazas sobre los activos críticos Técnicamente mediante: Patch y/o actualización de S.O. y aplicaciones comerciales. Antivirus Software de automatización de oficina Bases de datos Correo electrónico Identificando software no autorizado o necesario

24 Proyecto Seguridad Informática ETAPA 1 Fase I a IV Preparación del recurso humano Herramientas de seguridad Sensibilización Concientización 1. Definición de Políticas de seguridad 2. Difusión Audiencia acorde a su interés 3. Segmentación de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnología. Metodologías y Normas: a. Administradores de TI b. Gerencia y Gobierno Corporativo c. Funcionarios generales 1. ISO 9001: ISO Cobit 4. NTC ISO 27001

25 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 BASILEA II El Riesgo Operativo se define como: El riesgo de pérdida debido a la inadecuación o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el estratégico y el de reputación. Administración del Riesgo Identificar el riesgo operacional implícito, en todos los productos, actividades, procesos y sistemas Política, procesos y procedimientos para la mitigación de RO Planes de contingencia y continuidad del negocio Se puede administrar?

26 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Administración corporativa del riesgo (ERM) Conceptos fundamentales: Es un proceso Efectuado por personas Aplicado en la definición de la estrategia A través de toda la organización Identifica los eventos que potencialmente pueden afectar a la entidad Proveer seguridad razonable a la administración y a la junta directiva Orientado al logro de los objetivos Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo

27 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ADMINISTRAR EL RIESGOS Establecer el contexto Comunicar y consultar Identificar riesgos Analizar riesgos Evaluar riesgos Aceptar riesgos No Tratar los riesgos Si Monitoreo y revisión Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo

28 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ANÁLISIS DE RIESGOS Probabilidad Impacto Nivel Rango Raro Improbable Posible Probable Casi Seguro Nivel Rango Insignificante Menor Moderado Mayor Catastrofico EXTREMO ALTO MEDIO BAJO Nivel de riesgo

29 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ANÁLISIS DE RIESGOS Probabilidad Impacto Nivel de riesgo Representa la posibilidad de ocurrencia de un evento Consecuencia que puede ocasionar en la organización la materialización de un riesgo

30 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 TRATAMIENTO DEL RIESGOS Elimina Reduce o Mitiga Acepta Traslada

31 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS Herramienta metodológica para realizar un inventario de los riesgos de una manera sistemática y ordenada. Representación o descripción de los aspectos considerados en la valoración y tratamiento de los riesgos. Medio para reportar los riesgos a múltiples niveles (organizacional, proceso o función)

32 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS Soportar la metodología de administración de riesgos. Documentar las fases del proceso de administración de riesgos. Comunicar los resultados del proceso.

33 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS 1. Identificación de riesgos RIESGO DESCRIPCION POSIBLES CONSECUENCIAS 2. Identificación, valoración y tratamiento de riesgos RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE NIVEL RIESGO DE ACCIONES RESPONSABLES CRONOGRAMA INDICADOR Guía Administración del Riesgo - DAFP

34 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS 3. Identificación, valoración y tratamiento de riesgos Manual del Usuario Software Methodware

35 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO PERU ECUADOR Según la Comisión Nacional Bancaria y de Valores: ( ) como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información, así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnológico y al riesgo legal, en el entendido que: El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software,sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución. Según la Superintendencia de Banca, Seguros y AFP: Las empresas deben administrar adecuadamente los riesgos de operación que enfrentan. Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. Según la Superintendencia de Bancos y Seguros (ECUADOR): La posibilidad de que se ocasionen pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. Incluye el riesgo legal.

36 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO PERU ECUADOR Según la Comisión Nacional Bancaria y de Valores: El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo. Según la Superintendencia de Banca, Seguros y AFP: Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros. Según la Superintendencia de Bancos y Seguros (ECUADOR): Riesgo legal: Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal surge también de incumplimientos de las leyes o normas aplicables.

37 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO 1.Objetivo: Impulsar la cultura de la administración de riesgos 2. Parte de una serie de Definiciones 3. Responsabilidad del Consejo y del Director General 4. Comité de Riesgo y Unidad para la administración integral de riesgos 5. Manuales para la administración Integral de Riesgos 6. Requerimientos de información, Supervisión 7. La auditoría interna PERU 1.Objetivo: Propender a que las empresas supervisadas cuenten con un sistema de control 2. Parte de una serie de definiciones 3. Responsabilidad del Directorio y la Gerencia 4. Unidad de Riesgos: 5. Creación de Manuales: de Organización y Funciones, de Políticas y Procedimientos, de Control de Riesgos. 6. Requerimientos de información 7. Auditoría interna y externa ECUADOR 1.Objetivo: Propender a que las instituciones del sistema financiero cuenten con un sistema de administración del riesgo operativo 2. Parte de unas definiciones 3. Responsabilidades en la Administración del R.O. Directorio u Organismo que haga sus veces 4. Comité de Administración Integral de Riesgos y Unidad de Riesgos 5. Procesos y Códigos de Conducta 6. Reportes 7. Sistema de control interno

38 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional PERU Aspectos que Originan R.O: Procesos Internos: Riesgos asociados a: -Fallas modelos utilizados -Errores en transacciones -Evaluación inadecuada de contratos -Errores información contable -Inadecuada compensación, liquidación o pago -Insuficiencia recursos para el volumen de operaciones -Inadecuada documentación de transacciones -Incumplimiento de plazos y costos planeados. Tecnología de Información: Minimizar posibilidad de pérdidas financieras por uso inadecuado de sistemas informáticos y tecnologías que afectan operaciones y servicios de la empresa: Fallas en la seguridad y continuidad operativa de los sistemas informáticos Errores en el desarrollo e implementación de los mismos. Problemas calidad de información Inadecuada inversión de tecnología Fallas adecuación objetivo del negocio. Personas: Inadecuada capacitación Negligencia Error Humano Sabotaje Fraude, robo Apropiación información sensible Similares Eventos Externos: -Contingencias legales -Fallas en los servicios públicos -Ocurrencia en los desastres naturales -Atentados y actos delictivos -Fallas en servicios críticos provistos por terceros. ECUADOR Identificación Eventos que Originan RO: Las entidades deberán identificar por línea de negocio, los eventos de RO, agrupados por tipo de evento, así: -Fraude interno -Fraude externo -Prácticas laborales y seguridad del ambiente de trabajo. -Prácticas relacionadas con los clientes, los productos y el negocio. -Daños a los activos físicos. -interrupción del negocio por fallas en la tecnología de información. -Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros. Los eventos de RO y las fallas e insuficiencias serán identificados con los factores de riesgo a través de una metodología formal, debidamente documentada y aprobada, la cual puede incorporar utilización de herramientas como : Auto evaluación, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc. Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si: El riesgo se asume, se comparte, se evita, o se transfiere. Con el propósito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar límites de riesgo, etc.

39 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Que de acuerdo con el artículo 325, numeral 2, parágrafo 1º del Estatuto Orgánico del Sistema Financiero, podrán ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crédito o de débito, así como las que administren sistemas de pago y compensación El riesgo operativo es: El riesgo de errores humanos o de falla en los equipos, los programas de computación o los sistemas y canales de comunicación que se requieran para el adecuado y continuo funcionamiento de un sistema de pago. La misma disposición definió el riesgo legal así: Riesgo de que un participante incumpla definitivamente con la obligación resultante de la compensación y/o liquidación a su cargo por causas imputables a debilidades o vacíos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos últimos. Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público

40 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Articulo 4º: a) Criterios de acceso. Tales criterios deberán ser objetivos y basarse en adecuadas consideraciones de prevención y mitigación de los riesgos a que se refiere el literal c) del presente artículo; c) Reglas y procedimientos con que contará la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crédito, legal, liquidez, operativo, sistémico, y de lavado de activos; Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público

41 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Artículo 5. h) El deber de los participantes de contar con planes de contingencia y de seguridad informática, para garantizar la continuidad de su operación en el Sistema de Pago de Bajo Valor; o) El manejo de la confidencialidad y la provisión de información a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la información y prevenir su modificación, daño o pérdida; Publíquese y cúmplase, dado en Bogotá, D. C., 4 de mayo de ÁLVARO URIBE VÉLEZ Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público

42 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 2. Medición, Evaluación y limitación de Riesgos En la evaluación de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operación, De información financiera y contable y De manejo del cambio) y limites, igualmente ante los cambios económicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administración también debe establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO. Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos. Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

43 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 2. Medición, Evaluación y limitación de Riesgos Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos. Cambio en el ambiente de operación Personal Nuevo Sistemas nuevos o reconstruidos Tecnología nueva Línea, productos y actividades nuevas Reestructuración corporativa y Operaciones en el exterior Las entidades deben identificar los cambios que se deban realizar o que ocurrirán, de tal forma que le permitan a la administración anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos. Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

44 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 3. Control de Actividades El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades. Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinación y prevención de los riesgos (Potenciales o reales) en beneficio de la entidad Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

45 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 4. Monitoreo Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automáticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeño del sistema, pues ello equivale a una actividad de supervisión y administración. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

46 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijación de límites para la toma de riesgos en dichas actividades y el adoptar las medidas REQUISITOS Y CARACTERÍSTICAS DE LA GESTIÓN DE RIESGOS: Deben existir estrategias, políticas y mecanismos de medición y control para los riesgos de crédito y/o contraparte, mercado, liquidez, operacionales y legales. RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los niveles de riesgo y el desempeño del área de tesorería. De manera inmediata si se presentan violaciones importantes o sistemáticas a las políticas y límites internos REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automático de medición y control de los riesgos inherentes al negocio de tesorería Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

47 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia CARACTERÍSTICAS MÍNIMAS DE LOS ANÁLISIS POR TIPO DE RIESGO Riesgo Operacional: c) Los equipos computacionales y las aplicaciones informáticas empleadas, tanto en la negociación como en las actividades de control y la función operacional de las tesorerías, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorería. f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociación o de una falla en los sistemas automáticos utilizados por el Middle Office y el Back Office. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería g)exista un plan de contingencia en la entidad que indique qué hacer en caso de que se aumenten las exposiciones por encima de los límites establecidos a cualquier tipo de riesgo.

48 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia Riesgo Operacional: h) Los parámetros utilizados en las aplicaciones informáticas de medición y control de riesgos estén dentro de los rangos de mercado y sean revisados periódicamente, al menos de forma mensual. Riesgo legal Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las políticas y estándares de la entidad. Los términos establecidos en los contratos deben encontrarse adecuadamente documentados. La participación en nuevos mercados o productos debe contar con el visto bueno del área jurídica, en lo que respecta a los contratos empleados y el régimen de inversiones y operaciones aplicable a cada entidad. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

49 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia POLÍTICAS DE PERSONAL a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditoría de las operaciones de tesorería tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados. b. En particular, el personal del área de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las técnicas de valoración y de medición de riesgos, así como un buen manejo tecnológico. c. Las políticas de remuneración del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

50