Gestión de riesgo operacional

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Gestión de riesgo operacional"

María Josefa Escobar Lucero
hace 8 años
Vistas:

1 Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012

Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y

2 Temario Riesgo operacional Qué es? Principio 17 Infraestructuras del Mercado Financiero Estándares y mejores prácticas Riesgo y gestión de tecnología Disponibilidad, desempeño y capacidad COBIT ITIL ISO Continuidad operacional o de negocios Situación en Iberoamérica

mejores prácticas Riesgo y gestión de tecnología Disponibilidad,

3 Riesgo operacional. Qué es? Falla en los procesos Riesgo sistémico Falla en los sistemas internos Reputación Falla en el personal Servicio perjudicado Riesgo de pérdida Consecuencias legales Falla en los controles internos Consecuencias financieras

internos Reputación Falla en el personal Servicio perjudicado

4 Riesgo operacional Principios para las Infraestructuras del Mercado Financiero (IMF). Principio 17: Riesgo Operacional Una IMF deberá identificar todas las fuentes plausibles de riesgo operativo, tanto internas como externas, y minimizar su impacto a través del uso de sistemas, controles y procedimientos adecuados. Los sistemas deberán disponer de un alto grado de seguridad y fiabilidad operativa, y tendrán una capacidad adecuada y versátil. Los planes de continuidad del servicio deberán tener como objetivo la recuperación oportuna de las operaciones y el cumplimiento de las obligaciones de la IMF, incluso en caso de que se produzcan alteraciones a gran escala.

través del uso de sistemas, controles y procedimientos adecuados.

5 Riesgo operacional Principio 17: Consideraciones clave Marco de gestión Riesgo asociado a entidades relacionadas. Funciones y responsabilidades Plan de capacidad y continuidad de servicio Riesgo operativo Objetivos de fiabilidad operativa y políticas Políticas de seguridad física y de la información Herramientas, procedimientos y versatilidad.

Funciones y responsabilidades Plan de capacidad y continuidad de servicio Riesgo

Práctica: Riesgo operacional Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado.

6 Práctica: Riesgo operacional Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado. Objetivos 1. Efectividad y eficiencia en las operaciones 2. Confiabilidad de la información financiera 3. Cumplimiento de políticas, leyes y normas

Objetivos 1. Efectividad y eficiencia en las operaciones 2.

automatizada Invierten fuertemente en tecnología Los sistemas de tecnologías de

7 Práctica: Riesgo tecnológico Las IMF son altamente intensivas en el uso de sistemas tecnológicos Manejan grandes volúmenes de información Cada transacción es altamente automatizada Invierten fuertemente en tecnología Los sistemas de tecnologías de información están compuestos por: Aplicaciones Información Infraestructura Personas (que operan estos recursos)

8 Práctica: Riesgo tecnológico. Disponibilidad, desempeño y capacidad Existe una estrecha relación entre los conceptos de disponibilidad, desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia, compensación y liquidación. Esta interconexión de los tres elementos es esencial para desarrollar la estrategia y determinar la adecuación de las entidades a los objetivos que les impone el mercado. Tiempo máximo que puede tomar el procesamiento de una operación Objetivo de desempeño Objetivo de disponibilidad Porcentaje del tiempo que el servicio tiene que estar disponible con un cierto nivel de desempeño Carga que el sistema puede procesar al menos durante el tiempo de disponibilidad con un cierto nivel de desempeño Objetivo de capacidad

Entrega un marco de buenas prácticas para definir y alinear los

9 Práctica: Riesgo tecnológico. COBIT Marco de trabajo de control interno de TI para las empresas. Entrega un marco de buenas prácticas para definir y alinear los objetivos de TI con los requerimientos y objetivos del negocio, básicamente desde la perspectiva del control.

10 Práctica: Riesgo tecnológico. COBIT COBIT define los siguientes aspectos en el contexto de riesgo tecnológico: Integrar la organización en el marco de trabajo Establecer el contexto de aplicación del marco de trabajo Identificar eventos con un impacto potencial Evaluar la posibilidad e impacto de todos los riesgos identificados Identificar a los responsables de controlar los riesgos y a los dueños de procesos afectados Elaborar y mantener respuestas que permitan la mitigación continua de los riesgos Mantener y monitorear un plan de acción de riesgos

Establecer el contexto de aplicación del marco de trabajo Identificar eventos con un impacto potencial Evaluar la posibilidad e impacto de

medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente.

11 Práctica: Riesgo tecnológico. ITIL ITIL provee un marco de trabajo de mejores prácticas para la gestión de servicios de TI y se enfoca en la medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente. ITIL divide las actividades en procesos, proporcionando un marco eficaz para lograr una gestión de servicios TI más madura, de modo de optimizar y mejorar la coordinación de los procesos. Concepto de mejora continua

12 Práctica: Riesgo tecnológico. ISO ISO es un estándar de seguridad de la información Especifica los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información, para así preservar la integridad, confidencialidad y disponibilidad de la información.

001 es un estándar de seguridad de la información Especifica los requerimientos necesarios

13 Práctica: Riesgo Tecnológico. ISO ISO establece como requerimientos para gestionar la seguridad de la información lo siguiente: Política de seguridad de la información, indicando roles y responsabilidades Efectuar la identificación, análisis y evaluación de riesgos Desarrollar un plan de tratamiento de riesgos, además de implementar controles Ejecutar un monitoreo y revisión regular de los niveles de riesgo residual y aceptado y conducir auditorías internas con periodicidad Implementar las mejoras identificadas en un proceso de mejora continua Realizar auditorías internas para evaluar la conformidad respecto a los estándares y la regulación

responsabilidades Efectuar la identificación, análisis y evaluación de riesgos Desarrollar un plan de tratamiento de riesgos, además de implementar controles

14 Práctica: Continuidad de negocios Se define como gestión de continuidad de negocios a la actividad que se lleva a cabo en una organización para garantizar la continuidad de un proceso ante un evento que afecte o interrumpa su normal funcionamiento, producto de terremoto, pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad. En el caso de las IMF, el atraso o suspensión de su funcionamiento implica consecuencias operacionales y financieras, las que incluso pueden ser de carácter sistémico.

pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad.

15 Práctica: Continuidad de negocios. Estándar BS Estándar BS 25999: Identificar los servicios críticos. Desarrollar un plan de gestión de crisis. Definir un tiempo de recuperación objetivo para los servicios críticos Plan de continuidad de negocios cuyo fin es documentar las estrategias de respuesta y sus planes de recuperación de los servicios para reducir el impacto de una amenaza Plan de recuperación de mediano plazo. Pruebas periódicas de los planes mencionados Sistemas de comunicación alternativos Qué servicios recuperar? Qué hacer cuando se produce la crisis? Cuánto puede tardar la recuperación? Cómo recuperar los servicios? Dónde se realiza el respaldo? Cómo reponer la infraestructura? Son efectivos los planes en un escenario de crisis? Cómo contactar a los usuarios y las autoridades?

servicios para reducir el impacto de una amenaza Plan de recuperación de mediano plazo. Pruebas periódicas de los planes mencionados Sistemas de comunicación alternativos Qué servicios recuperar?

16 Práctica: Continuidad de negocios S U P E R I N T E N D E N C I A D E V A L O R E S Y S E G U R O S C H I L E

17 Situación en Iberoamérica Prácticas presentes en Iberoamérica En algunos países se establecieron responsabilidades en el organigrama Unidad de gestión de riesgos Unidad de auditoría Comité de riesgo operacional Oficial de cumplimiento En otros se definieron las políticas, roles y normas fuera de un organigrama Normas de seguridad, políticas, procedimientos, roles y manuales definidos en gran parte de la región.

operacional Oficial de cumplimiento En otros se definieron las políticas, roles y normas fuera de un

18 Situación en Iberoamérica Estándares más empleados: COBIT e ISO Continuidad de negocios Políticas y procedimientos de contingencia, Pruebas periódicas Disponibilidad de sitios alternativos y de respaldo Sitios de respaldo actualizados en tiempo real, generadores, grupos electrógenos y planes de contingencia.

Pruebas periódicas Disponibilidad de sitios alternativos y de respaldo Sitios

19 Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012

Documentos relacionados

Gestión de riesgo operacional

Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación