Gerente Regional de Riesgo Operativo BAC Credomatic Network Octubre, 2011

Transcripción

1 MARCOS DE GESTIÓN DE RIESGO Y REGULACIÓN: ES ADECUADA NUESTRA IMPLEMENTACIÓN Nidia Ivankovich Guillén Gerente Regional de Riesgo Operativo BAC Credomatic Network Octubre, 2011

2 CONTENIDO Requerimientos regulatorios para la Gestión de TI y sus tendencias Comparativo de metodologías para la gestión de riesgo Identificación ió de las necesidades d y características propias Valorar la implementación de la gestión de riesgo existente

3 CONTENIDO Requerimientos regulatorios para la Gestión de TI y sus tendencias Comparativo de metodologías para la gestión de riesgo Identificación de las necesidades y características propias Valorar la implementación de la gestión de riesgo existente

4 NORMATIVAS DE RIESGO Y GOBIERNO País/ Riesgo Riesgo Integral Riesgo Operativo Riesgo Tecnológico Gobierno Corporativo SARO CE CE JM Proyecto Borrador Versión ) Borrador Versión ) 1301/ CNBS No.016/2005 NPB4 47 Aprobado Julio 11 NPB4 48 CD SIBOIF MAY CD SIBOIF ENE CD SIBOIF SEP SUGEF 2 10 SUGEF SUGEF No No

5 ENFOQUE DE NORMATIVAS País Nombre Sector Objetivo Criterios Contenido Argentina BCRA COMUNICACIÓN A 4609 Financiero Establecer los requisitos Eficacia Organización y Gestión mínimos de gestión, Eficiencia Protección de Activos implementación y Confidencialidad Continuidad del Procesamiento Integridad Operación control de los riesgos Disponibilidad Banca Electrónica relacionados con Cumplimiento Tercero Tecnología, Sistemas y Confiabiliad Aplicaciones recursos asociados Nicaragua a ResoluciónNº CD Financiero Controlar los riesgos Confidencialidad Gobierno SIBOIF RO TI SEP Especificaciones m ínimas Disponibilidad Efectividad Eficiencia Integridd Cumplimiento Procesos de planificación, desarrollo, implementación, Operaciones, SI y Adm. Integral de RT. Normativas BCRA COMUNICACIÓN A 4609 Resolución Nº CD SIBOIF SEP Gestión y Control Detalla Controles Continuidad SI Riesgo si No específicos si si requerimiento pero no detalla el cómo Ciclo de Vida SW Cambios Proyectos Segregación, Accesos, Pruebas Requerimientos mínimos RT

6 Riesgos Gestionados en normativa integral: GUATEMALA Cuenta con Normativa Integral lde Riesgos Implementación 1 año 27 May May 12 Riesgo de Mercado incluye el Riesgo de precio, de tasa de interés y de tipo de cambio Riesgo Operativo incluye el Riesgo de TI y Legal Riesgo de Reputación incluye el riesgo de legitimación de capitales Riesgo País incluye el riesgo de transferencia, político y soberano Elementos incluidos en normativa local: Capacitación: No incluye capacitación Estructura según normativa local: Junta Directiva Comité de Riesgos Normativa establece la composición, los requisitos para el miembro externo y la responsabilidad de sesionar por lo menos mensualmente Informes requeridos sobre AIR según normativa integral: UAIR

7 Riesgos Gestionados en normativa integral: EL SALVADOR Cuenta con Normativa Integral lde Riesgos Implementación 1 año 01 Mar Mar 12 Riesgo Operativo incluye el riesgo Legal Riesgo de Reputación incluye el riesgo de legitimación de capitales Elementos incluidos en normativa local: *Se incluye además como elementos, Procesos, Límites y Plan de Capacitación Auditoria Interna Estructura según normativa local: Junta Directiva Gerencia General Comité de Riesgos Capacitación: Se debe contar un plan de capacitación al personal involucrado en la gestión de riesgos y a todo el personal en general Remitir a la Superintendencia anualmente un Informe de Evaluación Técnica de la Gestión Integral de Riesgos aprobado por la Junta Directiva. Divulgar de manera resumida en su sitio Web cada año, la Normativa hace información relativa a las políticas, metodologías y demás referencia al Código de medidas relevantes adoptadas para la gestión de cada tipo Gobierno Corporativo de riesgos para la composición Informes requeridos sobre AIR según normativa integral: UAIR

8 HONDURAS Normativa Integral de Riesgos en borrador Riesgos Gestionados en normativa integral: Riesgo de Mercado incluye el Riesgo de precio, de tasa de interés y de tipo de cambio Riesgo Legal incluye el riesgo de legitimación de capitales Riesgo País incluye el riesgo de transferencia, político y soberano Elementos incluidos en normativa local: Auditoria Interna Estructura según normativa local: Junta Directiva Gerencia General (Directorio) Comité de Riesgos Capacitación: Se debe contar un plan de capacitación al personal involucrado en la gestión de riesgos Normativa establece la composición, losrequisitosparasusmiembrosyla responsabilidad de sesionar por lo menos cadados meses Auditoría Externa del Proceso de Administración Integral de Riesgo no indica periodicidad Informes requeridos sobre AIR según normativa integral: UAIR Riesgo Operativo Regional

9 NICARAGUA Cuenta con Normativa Integral de Riesgos Dic 07 Implementación 1 año y medio Jun 09 Riesgos Gestionados en normativa integral: Riesgo de Mercado incluye el Riesgo de precio, de tasa de interés y de tipo de cambio Riesgo Operativo incluye el riesgo de TI, Legal y de Legitimación de capitales Elementos incluidos en normativa local: Capacitación: No incluye capacitación Comité de Activos y Pasivos Estructura según normativa local: Junta Directiva Gerencia Comité itéde General Riesgos Normativa establece la composición, los requisitos para el miembro externo y la responsabilidad de sesionar porlo menos cadadosmeses Divulgar de manera resumida en su sitio Web trimestralmente, la información relativa a las políticas, metodologías y demás medidas relevantes adoptadas para la gestión de cada tipo de riesgos Informes requeridos sobre AIR según normativa integral: UF UAIR

10 COSTA RICA Cuenta con Normativa Integral de Riesgos Implementación 9 meses 15 Jul Abr 11 Riesgos definidos en normativa integral: Elementos incluidos en normativa local: Estructura según normativa local: Capacitación: Se debe contar un plan de capacitación al personal involucrado en la gestión de riesgos Órganos de Control Junta Directiva Gerencia General Comité de Riesgos Normativa establece la composición, los requisitos para el miembro externo y deja a conveniencia la periodicidad de sesionar Informes requeridos según normativa local: Auditoría Externa del Proceso de Administración Integral de Riesgo anual UAIR

11 TENDENCIAS Normar riesgos específicos Consumidor Privacidad Seguridad Gestión integral de riesgo Tomado: IT Risk

12 QUÉ HACER? Conocer la normativa aplicable Conocer estándares, buenas prácticas y metodologías Revisión de condiciones propias Inventariar normativa aplicable y normativa relacionada Analizar requerimientos Identificar brechas Realizar cronograma Inventariar estándares y metodologías aplicables de acuerdo a normativa Identificar brecha de conocimientos en la organización Cerrar brechas de conocimiento Actualizar cronograma Identificar factores críticos de éxito en los estándares y metodologías: Gobernabilidad Gestión de procesos Gestión documental Ei Existencia i de Silos Otros Analizar condiciones organizacionales Identificar esfuerzos adicionales Actualizar cronograma 1 Análisis de requerimiento 2 Modelos de referencia 3 Ambiente para implementación

13 CONTENIDO Requerimientos regulatorios para la Gestión de TI y sus tendencias Comparativo de metodologías para la gestión de riesgo Identificación de las necesidades y características propias Valorar la implementación de la gestión de riesgo existente

14 REFERENCIAS GLOBALES Y GENERALES Basilea II Recomendaciones sobre la legislación y regulación bancaria, con el propósito de crear un estándar internacional que sirva de referencia a los reguladores bancarios para establecer los requerimientos de capital y la protección de las entidades frente a los riesgos financieros y operativos. COSO ERM Enfoque basado en riesgo para la gestión de una empresa, la integración de conceptos de control interno y la planificación estratégica AS/NZ 4360 Estándar para el establecimiento e implementación del proceso de administración i ió de riesgos involucrando el establecimiento tbl i t del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. ISO Norma emitida por la Organización Internacional de Normalización, con el propósito de proporcionar principios y directrices generales sobre gestión de riesgos

15 REFERENCIAS GLOBALES Y GENERALES Ambiente de control Fijación de objetivos j Identificación de riesgos g EEvaluación de l ió d riesgos Respuesta al R t l riesgo Control y C t l mitigación Monitoreo Información y comunicación i ió Manejo de i id incidentes

16 REFERENCIAS GLOBALES Y GENERALES Establecer contexto Comun nicar y consultar Identificar riesgos Analizar riesgos Evaluar y priorizar i Valoración de Riesgo Monit toreo y re evisión Tratamiento Tomado: AS/NZS 4360:

17 IT RISK Tomado: ISACA. Risk IT Overview Tomado:

18 GESTIÓN Y CONTROL Estratégico COBIT Control de Proceso ITIL Ejecución del Proceso Instrucciones de Trabajo 18

19 COBIT: GESTIÓN Y CONTROL Fuente:

20 PO9 EVALUAR Y ADMINISTRAR RIESGOS Fuente:

21 ITIL Estrategia de Servicios (Service Strategy) Planeamiento y Soporte de Transición Definir del mercado Gestión de Cambios Desarollar las ofertas Gestión de Bienes de Servicio y Desarollar bienes económicos Configuración estratégicos (strategic Gestión de Lanzamientos y Entrega assets) Validación y prueba de servicios Preparar la ejecución Gestión del Conocimiento Economía de Servicios (Service Economics) Gestión de Eventos Gestión Financiera Gestión de Incidentes Retorno de inversión Cumplimiento con Solicitudes Gestión de cartera de Servicios Gestión de Problemas Métodos de la Gestión cartera de Servicios Gestión de acceso Gestión de Demanda Catálogo de Servicios Gestión de Nivel de Servicio Gestión de Capacidad Gestión de Disponibilidad Gestión de Continuación ió de Servicio i Gestión de Seguridad de Información Gestión de Proveedores Fuente: ITIL V3 Service Transition. Pag 25. El proceso de las 7 etapas de mejora Informes sobre Servicios Medición de Servicios Retorno de inversión ió para CSI La preguntas comerciales para CSI Gestión de Nivel de Servicio

22 GESTIÓN DE SERVICIOS DE TI Consiste de dos documentos, bajo el título ttuogeneral e Information ato technology Service management Fuente: Norma ISO/IEC Es una especificación que contiene un modelo de gestión de servicios basado en procesos y en las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de servicios de TI.

23 CONTINUIDAD DE NEGOCIO Estratégico Control del Proceso Continuidad de Negocio TI DS4 Control del Proceso TI Ejecución del Proceso Ejecución del Proceso TI 23

24 SEGURIDAD DE LA INFORMACIÓN Estratégico Control del Proceso ISO ISO TI DS5 Control del Proceso TI Ejecución del Proceso Ejecución del Proceso TI 24

25 ESTRUCTURA ISO/IEC 27002:2005 DÓNDE? Marco de Gestión de la Continuidad del Negocio Gestión Política de Seguridad Análisis de Riesgo Seguridad Física y Ambiental Administración de activos Controles Organización de la seguridad Administración de Incidentes Cumplimiento Seguridad del RH Control de Acceso Adquisición, Des y Mto de Sist.Inf. Gestión de Comunicaciones y Operaciones

26 CÓMO? Tomado: ISACA. Risk IT Overview

27 CÓMO? Métodos / Atributos Id dentificació ón Análisis valuación E Valoración Tratamiento Aceptación ón Comunicaci Cramm Ebios *** *** *** *** *** *** *** *** *** *** ISO/IEC IS / ** ** ** ** *** *** *** ISO/IEC IS / * * ISO/IEC IS * * Adaptado de: ENISA. Survey of existing Risk Managment and Risk Assessment Methods

28 QUÉ HACER? Conocer la normativa aplicable Conocer estándares, buenas prácticas y metodologías Revisión de condiciones propias Inventariar normativa aplicable y normativa relacionada Analizar requerimientos Identificar brechas Realizar cronograma Inventariar estándares y metodologías aplicables de acuerdo a normativa Identificar brecha de conocimientos en la organización Cerrar brechas de conocimiento Actualizar cronograma Identificar factores críticos de éxito en los estándares y metodologías: Gobernabilidad Gestión de procesos Gestión documental Ei Existencia i de Silos Otros Analizar condiciones organizacionales Identificar esfuerzos adicionales Actualizar cronograma 1 Análisis de requerimiento 2 Modelos de referencia 3 Ambiente para implementación

29 CONTENIDO Requerimientos regulatorios para la Gestión de TI y sus tendencias Comparativo de metodologías para la gestión de riesgo Identificación de las necesidades y características propias Valorar la implementación de la gestión de riesgo existente

30 MADUREZ DE LA ORGANIZACIÓN Gestionado Optimizado Estandarizado Ad hoc Inicial Gobierno Corporativo Planificación estratégica éi Control Interno Gestión de Riesgo Gestión de Procesos Mejora continua Gestión Documental

31 CARACTERÍSTICAS PROPIAS Soporte administrativo Riesgo crédito Riesgo mercado Servicios en línea Riesgo legal Riesgo ambiental Control y regulación TI Ventaja competitiva ii Servicios financieros Protagonismo TI Riesgos aplicables Riesgo país Riesgo Operativo Automatización comandos remotos Tipo de Negocio Tamaño Mercado Regulación Dinámica de negocio Ge eografía Nacional Global Corp porativa Fusiones Adquisiciones Absorciones Sector Financiero Industrial Servicio Salud Alimentos

32 CARACTERÍSTICAS PROPIAS QUÉ UÉ?? Y CUÁNDO UÁNDO? 1. Evaluación de Riesgo en fusiones, adquisiciones 2. Evaluación de riesgo en proyectos 3. Evaluación de riesgo de los servicios 4. Evaluación de riesgo de proveedores 5. Riesgos globales Protagonismo TI Dinámica de negocio Riesgos aplicables Geogra afía Nacional Global Corporat tiva Fusiones Adquisiciones Absorciones Sec ctor Financiero Industrial Servicio Salud Alimentos

33 CARACTERÍSTICAS PROPIAS Riesgo crédito 1. Nivel de exigencia i normativa Riesgo 2. Entendimiento del negocio por legal parte de la gerencia TI 3. Entendimiento de la relación Riesgo de las TI con los otros riesgos país 4. Dimensionamiento del impacto Protagonismo TI Riesgos aplicables Riesgo mercado Riesgo ambiental Riesgo Operativo Dinámica de negocio

34 CARACTERÍSTICAS PROPIAS Soporte administrativo Servicios en línea Control y regulación TI Ventaja competitiva Servicios financieros Automatización comandos remotos 1. Horarios de atención 2. Tiempos de respuesta en el servicio 3. Nivel de contingencia 4. Nivel de tolerancia 5. Exactitud e integridad 6. Dependencia total o parcial del negocio Procesos productivos 7. Presión de los competidores 8. Alta exigencia a los clientes 9. Buena oferta de proveedores Protagonismo TI Riesgos aplicables Dinámica de negocio

35 QUÉ HACER? Conocer la normativa aplicable Conocer estándares, buenas prácticas y metodologías Revisión de condiciones propias Inventariar normativa aplicable y normativa relacionada Analizar requerimientos Identificar brechas Realizar cronograma Inventariar estándares y metodologías aplicables de acuerdo a normativa Identificar brecha de conocimientos en la organización Cerrar brechas de conocimiento Actualizar cronograma Identificar factores críticos de éxito en los estándares y metodologías: Gobernabilidad Gestión de procesos Gestión documental Ei Existencia i de Silos Dinámica de negocio Analizar condiciones organizacionales Identificar esfuerzos adicionales Actualizar cronograma 1 Análisis de requerimiento 2 Modelos de referencia 3 Ambiente para implementación

36 CONTENIDO Requerimientos regulatorios para la Gestión de TI y sus tendencias Comparativo de metodologías para la gestión de riesgo Identificación de las necesidades y características propias Valorar la implementación de la gestión de riesgo existente

37 GESTIÓN DE RIESGO SOSTENIBLE Ambiente de control Fijación de objetivos Identificación de riesgos Evaluación de Respuesta al Control y riesgos riesgo mitigación Indicadores de efectividad id d Monitoreo Información y comunicación Manejo de incidentes Evaluación de controles I mplemen ntación de Contr roles

38 CONTROLES Marco de Gestión de Riesgo Análisis de Riesgo Controles Gobierno Plan de concientización Gestión de incidentes Monitoreo del marco de gestión Gestión de ambiente de control Evaluación de efectividad del marco de gestión Información y Comunicación Análisis de contexto Definición de alcance Metodología de análisis de riesgo Identificación de riesgos Evaluación de riesgos Definición de Planes de mitigación Indicadores de efectividad Monitoreo de controles Evaluación de controles 4 PDCA Metodología 5 aplicada 6 Mitigación

39 GESTIÓN DE RIESGO SOSTENIBLE Ambiente de Fijación ió de Identificación ió control objetivos de riesgos Evaluación de Respuesta al Control y riesgos riesgo mitigación Monitoreo Información y comunicación Manejo de incidentes Impleme entación de Con ntroles Aná álisis de R iesgo

40 CONTROLES Marco de Gestión de Riesgo Análisis de Riesgo Controles Gobierno Plan de concientización Gestión de incidentes Monitoreo del marco de gestión Gestión de ambiente de control Evaluación de efectividad del marco de gestión Información y Comunicación Análisis de contexto Definición de alcance Metodología de análisis de riesgo Identificación de riesgos Evaluación de riesgos Definición de Planes de mitigación Indicadores de efectividad Monitoreo de controles Evaluación de controles 4 PDCA Metodología 5 aplicada 6 Mitigación

41 GESTIÓN DE RIESGO SOSTENIBLE Ambiente de control Fijación de objetivos j Identificación de riesgos g Evaluación de riesgos Respuesta al riesgo Control y mitigación Monitoreo Información y comunicación Manejo de incidentes SOSTENIBILIDAD DEL VALOR Implem mentación de Co ontroles Anáálisis de R Riesgo Marco de Gestión

42 CONTROLES Marco de Gestión de Riesgo Análisis de Riesgo Controles Gobierno Plan de concientización Gestión de incidentes Monitoreo del marco de gestión Gestión de ambiente de control Evaluación de efectividad del marco de gestión Información y Comunicación Análisis de contexto Definición de alcance Metodología de análisis de riesgo Identificación de riesgos Evaluación de riesgos Definición de Planes de mitigación Indicadores de efectividad Monitoreo de controles Evaluación de controles 4 PDCA Metodología 5 aplicada 6 Mitigación

43 MARCOS DE GESTIÓN DE RIESGO Y REGULACIÓN: ES ADECUADA NUESTRA IMPLEMENTACIÓN PREGUNTAS Nidia Ivankovich Guillén Gerente Regional de Riesgo Operativo BAC Credomatic Network Octubre, 2011