Gestión de riesgo operacional

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Gestión de riesgo operacional"

Rodrigo Bustos Martin
hace 8 años
Vistas:

1 Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012

Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y

2 Temario Riesgo operacional Qué es? Principio 17 Infraestructuras del Mercado Financiero Estándares y mejores prácticas Riesgo y gestión de tecnología Disponibilidad, desempeño y capacidad COBIT ITIL ISO Continuidad operacional o de negocios Situación en Iberoamérica

mejores prácticas Riesgo y gestión de tecnología Disponibilidad,

3 Riesgo operacional. Qué es?

4 Riesgo operacional Principios para las Infraestructuras del Mercado Financiero (IMF). Principio 17: Riesgo Operacional Una IMF deberá identificar todas las fuentes plausibles de riesgo operativo, tanto internas como externas, y minimizar su impacto a través del uso de sistemas, controles y procedimientos adecuados. Los sistemas deberán disponer de un alto grado de seguridad y fiabilidad operativa, y tendrán una capacidad adecuada y versátil. Los planes de continuidad del servicio deberán tener como objetivo la recuperación oportuna de las operaciones y el cumplimiento de las obligaciones de la IMF, incluso en caso de que se produzcan alteraciones a gran escala.

través del uso de sistemas, controles y procedimientos adecuados.

5 Riesgo operacional Principio 17: Consideraciones clave

6 Práctica: Riesgo operacional Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado. Objetivos 1.Efectividad y eficiencia en las operaciones 2.Confiabilidad de la información financiera 3.Cumplimiento de políticas, leyes y normas

Objetivos 1.Efectividad y eficiencia en las operaciones 2.

7 Práctica: Riesgo tecnológico Las IMF son altamente intensivas en el uso de sistemas tecnológicos Manejan grandes volúmenes de información Cada transacción es altamente automatizada Invierten fuertemente en tecnología Los sistemas de tecnologías de información están compuestos por: Aplicaciones Información Infraestructura Personas (que operan estos recursos)

automatizada Invierten fuertemente en tecnología Los sistemas de tecnologías de

8 Práctica: Riesgo tecnológico. Disponibilidad, desempeño y capacidad Existe una estrecha relación entre los conceptos de disponibilidad, desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia, compensación y liquidación. Esta interconexión de los tres elementos es esencial para desarrollar la estrategia y determinar la adecuación de las entidades a los objetivos que les impone el mercado.

desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia,

9 Práctica: Riesgo tecnológico. COBIT Marco de trabajo de control interno de TI para las empresas. Entrega un marco de buenas prácticas para definir y alinear los objetivos de TI con los requerimientos y objetivos del negocio, básicamente desde la perspectiva del control.

Entrega un marco de buenas prácticas para definir y alinear los

10 Práctica: Riesgo tecnológico. COBIT COBIT define los siguientes aspectos en el contexto de riesgo tecnológico:

11 Práctica: Riesgo tecnológico. ITIL ITIL provee un marco de trabajo de mejores prácticas para la gestión de servicios de TI y se enfoca en la medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente. ITIL divide las actividades en procesos, proporcionando un marco eficaz para lograr una gestión de servicios TI más madura, de modo de optimizar y mejorar la coordinación de los procesos. Concepto de mejora continua

medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente.

12 Práctica: Riesgo tecnológico. ISO ISO es un estándar de seguridad de la información Especifica los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información, para así preservar la integridad, confidencialidad y disponibilidad de la información.

001 es un estándar de seguridad de la información Especifica los requerimientos necesarios

13 Práctica: Riesgo Tecnológico. ISO ISO establece como requerimientos para gestionar la seguridad de la información lo siguiente:

14 Práctica: Continuidad de negocios Se define como gestión de continuidad de negocios a la actividad que se lleva a cabo en una organización para garantizar la continuidad de un proceso ante un evento que afecte o interrumpa su normal funcionamiento, producto de terremoto, pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad. En el caso de las IMF, el atraso o suspensión de su funcionamiento implica consecuencias operacionales y financieras, las que incluso pueden ser de carácter sistémico.

pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad.

15 Práctica: Continuidad de negocios. Estándar BS Estándar BS 25999: Identificar los servicios críticos. Desarrollar un plan de gestión de crisis. Definir un tiempo de recuperación objetivo para los servicios críticos Plan de continuidad de negocios cuyo fin es documentar las estrategias de respuesta y sus planes de recuperación de los servicios para reducir el impacto de una amenaza Plan de recuperación de mediano plazo. Pruebas periódicas de los planes mencionados Sistemas de comunicación alternativos Qué servicios recuperar? Qué hacer cuando se produce la crisis? Cuánto puede tardar la recuperación? Cómo recuperar los servicios? Dónde se realiza el respaldo? Cómo reponer la infraestructura? Son efectivos los planes en un escenario de crisis? Cómo contactar a los usuarios y las autoridades?

servicios para reducir el impacto de una amenaza Plan de recuperación de mediano plazo. Pruebas periódicas de los planes mencionados Sistemas de comunicación alternativos Qué servicios recuperar?

16 Práctica: Continuidad de negocios

17 Situación en Iberoamérica Prácticas presentes en Iberoamérica En algunos países se establecieron responsabilidades en el organigrama Unidad de gestión de riesgos Unidad de auditoría Comité de riesgo operacional Oficial de cumplimiento En otros se definieron las políticas, roles y normas fuera de un organigrama Normas de seguridad, políticas, procedimientos, roles y manuales definidos en gran parte de la región.

operacional Oficial de cumplimiento En otros se definieron las políticas, roles y normas fuera de un

18 Situación en Iberoamérica Estándares más empleados: COBIT e ISO Continuidad de negocios Políticas y procedimientos de contingencia, Pruebas periódicas Disponibilidad de sitios alternativos y de respaldo Sitios de respaldo actualizados en tiempo real, generadores, grupos electrógenos y planes de contingencia.

Pruebas periódicas Disponibilidad de sitios alternativos y de respaldo Sitios

19 Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012

Documentos relacionados

Gestión de riesgo operacional

Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación