Principios de Administración de Riesgos para Banca Electrónica. Comité de Basilea sobre Supervisión Bancaria

Transcripción

1 Principios de Administración de Riesgos para Banca Electrónica Comité de Basilea sobre Supervisión Bancaria Basilea Mayo 2001

2 Tabla de Contenido Página I. Introducción A. Retos de la Administración de Riesgos B. Principios de Administración de Riesgos II. Principios de Administración de Riesgos para Banca Electrónica A. Vigilancia de Junta Directiva y de la Administración Superior B. Controles de Seguridad C. Administración de Riesgos Legales y de Reputación Apéndice I: Apéndice II: Apéndice III: Sólidas Prácticas de Control de Seguridad para Banca Electrónica Sólidas Prácticas para Administración de Servicios y Sistemas de Banca Electrónica contratados externamente Sólidas Prácticas de Autorización para Aplicaciones de Banca Electrónica Apéndice IV: Sólidas Prácticas de Pistas de Auditoria para Sistemas de Banca Electrónica Apéndice V: Sólidas Prácticas para ayudar a Mantener la Privacidad de Información de Clientes de Banca Electrónica Apéndice VI: Sólida Capacidad, Continuidad de Negocios y Prácticas de Planificación de Contingencia para Banca Electrónica Página 2 de 35

3 Principios de Administración de Riegos para Banca Electrónica Resumen Ejecutivo Siguiente a la innovación tecnológica y la competición entre las organizaciones bancarias existentes y nuevos participantes, se ha permitido un grupo más amplio de productos y servicios bancarios para tornarse accesibles y entregados a clientes minoristas y mayoristas a través de un canal electrónico de distribución al que colectivamente se le ha llamado e- banking (banca electrónica). Sin embargo, el rápido desarrollo de las capacidades de la banca electrónica conlleva riesgos así como beneficios. El Comité de Basilea sobre Supervisión Bancaria espera que tales riesgos sean reconocidos, considerados y manejados por las instituciones bancarias en una manera prudente, de acuerdo con las características fundamentales y los retos de los servicios de banca electrónica. Estas características incluyen la velocidad de cambio sin precedente, relacionada con la innovación tecnológica y de servicio al cliente, la naturaleza omnipresente y global de las redes electrónicas abiertas, la integración de las aplicaciones de banca electrónica con el legado de sistemas de computación y la creciente dependencia de los bancos en terceras partes que proporcionan la tecnología de información necesaria. En tanto que no crea inherentemente nuevos riesgos, el Comité ha notado que estas características han incrementado y modificado algunos de los riesgos tradicionales asociados con las actividades bancarias, en particular los riesgos estratégicos, operacionales, legales y de reputación, influenciando así el perfil general de riesgos de la banca. Basado en estas conclusiones, el Comité considera que mientras existan principios de administración de riesgos estos permanecen aplicables a las actividades de la banca electrónica, tales principios deben ser a la medida, adaptados y, en algunos casos, expandidos para abordar los retos específicos de administración de riesgos creados por las características de las actividades de la banca electrónica. Para este fin, el Comité piensa que es de incumbencia de la Junta Directiva y de la administración superior de los bancos el dar los pasos para asegurarse que sus instituciones hayan revisado y modificado, cuando sea necesario, sus procesos y políticas existentes de administración de riesgos para cubrir sus actividades actuales o futuras de banca electrónica. El Comité también cree que la integración de las aplicaciones de banca electrónica con los sistemas legados implica un enfoque integrado de administración de riesgos para todas las actividades bancarias de una institución. Para facilitar estos avances, el Comité ha identificado catorce Principios de Administración de Riesgos para Banca Electrónica para ayudar a las instituciones bancarias a expandir sus procesos y políticas existentes de vigilancia de riesgos para cubrir las actividades de banca electrónica. Estos Principios de Administración de Riesgos no se dan como requerimientos absolutos o inclusive como mejores prácticas. El Comité cree que el fijar requerimientos detallados de administración de riesgos en el área de banca electrónica puede ser contraproducente, debido a que sería posible que quedara obsoleto rápidamente a causa de la velocidad Página 1 de 35

4 de cambio relativa a la innovación tecnológica y de servicio al cliente. Por lo tanto, el Comité ha preferido esperar lineamientos y expectativas de supervisión en forma de Principios de Administración de Riesgos, en orden para promover seguridad y solidez para las actividades de banca electrónica, a la vez de preservar la flexibilidad necesaria en la implementación que derive, en parte, de la velocidad de cambio en esta área. Además, el Comité reconoce que el perfil de riesgo de cada banco es diferente y requiere un enfoque de mitigación de riesgos confeccionado a la medida y apropiado a la escala de las operaciones de banca electrónica, a la materialidad de los riesgos presentes, y a la voluntad y capacidad de la institución para manejar estos riesgos. Esto implica que el enfoque de uno es suficiente para todos para los puntos de la administración de riesgos de banca electrónica puede no ser apropiado. Por una razón similar, los Principios de Administración de Riesgos emitidos por el comité no intentan establecer o fijar estándares o soluciones técnicas específicas relativas a la banca electrónica. Las soluciones técnicas serán abordadas por instituciones y otros cuerpos de fijación de estándares conforme evolucione la tecnología. Sin embargo, este Reporte contiene apéndices que listan algunos ejemplos de prácticas actuales y de gran difusión de mitigación de riegos en el área de banca electrónica, que son de apoyo de los Principios de Administración de Riesgos. Consecuentemente, los Principios de Administración de Riesgos y las sólidas prácticas identificadas en este Reporte se espera que sean utilizados como herramientas por los supervisores locales y sean implementadas con adaptaciones para reflejar requerimientos locales específicos y perfiles de riesgos donde sea necesario. En algunas áreas, los Principios han sido expresados por el Comité o por supervisores nacionales en lineamientos previos de supervisión bancaria. Sin embargo, algunos aspectos, tales como el manejo de las relaciones de contrataciones externas, los controles de seguridad y la administración de los riesgos legal y de reputación, obligan a principios más detallados que aquellos expresados a la fecha debido a las únicas características e implicaciones del canal de distribución de Internet. Los Principios de Administración de Riesgos caen en tres amplias y a menudo traslapadas categorías de aspectos que están agrupados para proporcionar claridad: Vigilancia de la Junta Directiva y de la Administración; Controles de Seguridad; y Administración de los Riesgos Legales y de Reputación. Vigilancia de la Junta Directiva y de la Administración Debido a que la Junta Directiva y la Administración Superior son responsables de desarrollar la estrategia de negocios de la institución y de establecer una vigilancia efectiva de administración sobre los riesgos, se espera que tomen una decisión estratégica, explícita, informada y documentada de si la institución va a proporcionar servicios de banca electrónica y de cómo los va a proporcionar. La decisión inicial debe incluir las responsabilidades, políticas y controles específicos para abordar los riesgos, incluyendo aquellos resultantes de un contexto transfronterizo. La vigilancia efectiva de administración se espera que acompañe la revisión y la aprobación de los aspectos claves del proceso de control de seguridad del banco, tales como el desarrollo y el mantenimiento de una infraestructura de control de seguridad que apropiadamente Página 2 de 35

5 salvaguarde los datos y sistemas de banca electrónica tanto de amenazas internas como externas. También debe incluir un amplio proceso para manejar los riesgos asociados con la creciente complejidad y dependencia de relaciones de contratación externa y dependencia de terceras partes para llevar a cabo las funciones críticas de banca electrónica. Controles de Seguridad En tanto que la Junta Directiva tiene la responsabilidad de asegurar que existan procesos apropiados de control de seguridad para la banca electrónica, la sustancia de estos procesos necesita especial atención de parte de la administración debido a los retos de mejoramiento de la seguridad impuestos por la banca electrónica. Esto debe incluir el establecimiento de privilegios apropiados de autorización y medidas de autenticación, controles de acceso lógico y físico, de una infraestructura adecuada de seguridad para mantener límites y restricciones apropiados, tanto para las actividades de usuarios internos como externos y la integridad de los datos de las transacciones, los registros y la información. En adición, la existencia de pistas claras de auditoria para todas las transacciones de banca electrónica debe estar asegurada y las medidas para preservar la confidencialidad de información clave de banca electrónica deben ser apropiadas a la sensibilidad de tal información. Aunque las regulaciones de protección al cliente y de privacidad varían de jurisdicción a jurisdicción, generalmente los bancos tienen una clara responsabilidad en proporcionar a sus clientes un nivel de comodidad relativa a las divulgaciones de información, a la protección de datos de los clientes y a la disponibilidad de negocios que se acerque al nivel que podrían esperar cuando utilizan los canales tradicionales de la banca. Para minimizar los riegos legales y de reputación asociados con las actividades conducidas de banca electrónica, tanto local como fuera del país, los bancos deben hacer divulgaciones adecuadas de información en sus sitios web y tomar las medidas apropiadas para asegurar la adherencia a los requerimientos aplicables sobre la privacidad del cliente en las jurisdicciones en las que el banco esté proporcionando servicios de banca electrónica. Administración de los Riesgos Legales y de Reputación Para proteger a los bancos contra los riesgos de negocios, legal y de reputación, los servicios de banca electrónica deben ser prestados sobre una base consistente y oportuna de acuerdo con las altas expectativas del cliente de una constante y rápida disponibilidad y una demanda potencialmente alta de transacciones. El banco debe tener la capacidad de prestar servicios de banca electrónica a todos los usuarios finales y ser capaz de mantener tal disponibilidad en todas las circunstancias. Los mecanismos efectivos de respuesta a los incidentes también son críticos para minimizar los riesgos de operación, legal y de reputación resultantes de eventos inesperados, incluyendo ataques internos y externos, que pudieran afectar la provisión de los servicios y sistemas de banca electrónica. Para llenar las expectativas del cliente, los bancos deben, por lo tanto, tener una capacidad efectiva, continuidad de negocios y planificación de contingencia. Los bancos también deben desarrollar planes apropiados de respuesta a los incidentes, incluyendo estrategias de comunicación, que aseguren la continuidad de negocios, el control del Página 3 de 35

6 riesgo de reputación y limitar la obligación asociada con interrupciones en sus servicios de banca electrónica. Este reporte sobre Principios de Administración de Riesgos para Banca Electrónica está siendo puesto a disposición del público en general. Los comentarios de organizaciones bancarias y supervisores bancarios son bienvenidos y pueden ser dirigidos al Comité de Basilea sobre Supervisión Bancaria vía fax ( ) o por correo electrónico a jean-philippe.svoronos@bis.org. Los comentarios de las organizaciones bancarias también deben enviarse a las autoridades locales de supervisión cuando sea apropiado. Página 4 de 35

7 Principios de Administración de Riesgos para la Banca Electrónica I. Introducción Las organizaciones bancarias han estado proporcionando servicios electrónicos vía remota a los clientes y negocios desde hace años. La transferencia electrónica de fondos, incluyendo pagos pequeños y sistemas de administración corporativa de efectivo, así como máquinas automatizadas accesibles al público para el retiro de dinero y manejo de cuentas minoristas, son artefactos globales. Sin embargo, la creciente aceptación mundial de Internet 1 como un canal de entrega de productos y servicios bancarios proporciona nuevas oportunidades de negocios para los bancos así como beneficios de servicio para sus clientes. Siguiente a la innovación tecnológica y a la competición entre las organizaciones bancarias existentes y los nuevos participantes del mercado, se ha permitido un grupo más amplio de servicios y productos de banca electrónica 2 para clientes bancarios minoristas y mayoristas. Estos incluyen actividades tradicionales tales como el acceso a la información financiera, la obtención de préstamos y de cuentas abiertas de depósitos, así como productos y servicios relativamente nuevos tales como servicios de pagos electrónicos de facturas, portales financieros personalizados, agregación 3 de cuentas y plazas de mercado de negocio-a-negocio y bolsas de valores. A pesar de los significativos beneficios de la innovación tecnológica, el rápido desarrollo de las capacidades de la banca electrónica conlleva riesgos así como beneficios y es importante que estos riesgos sean reconocidos y administrados por las instituciones bancarias en una manera prudente. 4 Estos avances llevaron al Comité de Basilea sobre Supervisión Bancaria a conducir un estudio preliminar de las implicaciones de Para los propósitos de este Reporte, Internet se define que incluye todo lo relacionado con la red que permite tecnologías y redes abiertas de telecomunicaciones en el rango de conexiones directas telefónicas, la web pública y redes virtuales. Para los propósitos de este Reporte, la banca electrónica o e-banking, incluye la provisión de productos y servicios minoristas y de pequeño valor a través de canales electrónicos, así como pagos electrónicos de gran valor y otros servicios bancarios mayoristas proporcionados electrónicamente. Los servicios de agregación de cuentas le permite a los clientes obtener información consolidada acerca de sus cuentas financieras y no financieras en un lugar. Un agregador esencialmente actúa como un agente de clientes para proporcionar información consolidada sobre las cuentas de los clientes en diferentes instituciones financieras. Los clientes le proporcionan al agregador la palabra clave de seguridad necesaria o número de identificación personal para tener acceso e información de cuentas consolidadas, primariamente a través de pantallas (screen scraping), un proceso que involucra seleccionar datos de sitios web de otras instituciones, a menudo sin su conocimiento, o a través de suministro de datos directos acordados contractualmente entre instituciones financieras. Debido a los rápidos cambios en la tecnología de información, ninguna descripción de tales riesgos puede ser exhaustiva. Sin embargo, los riesgos que enfrentan los bancos involucrados en banca electrónica no son generalmente nuevos y están acompañados por categorías de riesgos identificadas en los Principios Básicos para una Supervisión Bancaria Efectiva del Comité de Basilea, de septiembre de Ese lineamiento identificó ocho categorías de riesgos incluyendo el riesgo de crédito, el de país y de transferencia, de mercado, de tasa de interés, de liquidez, operacional y de reputación. Los Principios Básicos están disponibles en el sitio web del BIS Página 5 de 35

8 administración de riesgos de la banca y de dinero electrónico en Este estudio previo demostró una clara necesidad de trabajo adicional en el área de la administración de riesgos de banca electrónica y esa misión fue confiada a un grupo de trabajo compuesto de supervisores bancarios y bancos centrales, el Grupo de Banca Electrónica (EBG), que fue formado en noviembre de El Comité de Basilea publicó el Reporte del EBG sobre administración de riesgos y aspectos de supervisión, resultantes de los avances de la banca electrónica, en octubre de Este reporte hizo un inventario y evaluó los mayores riesgos asociados con la banca electrónica, es decir, riesgo estratégico, de reputación y operaciones (incluyendo los riesgos legales y de seguridad) 7, y los riesgos de crédito, de mercado y de liquidez. El EBG concluyó que las actividades de banca electrónica no produjeron riesgos que no hayan sido ya identificados por el trabajo previo del Comité de Basilea. Sin embargo, hizo notar que la banca electrónica incrementa y modifica algunos de estos riesgos tradicionales, influenciando por ello el perfil general de riesgos de la banca. En particular, el riesgo estratégico, el operacional y el de reputación son ciertamente aumentados por la rápida introducción y por la complejidad tecnológica subyacente de las actividades de banca electrónica. A. Retos de la Administración de Riesgos El EBG hizo notar que las características fundamentales de la banca electrónica (y más generalmente, el comercio electrónico) imponen varios retos de administración de riesgos: La velocidad de cambio, relativa a la innovación tecnológica y de servicio al cliente en la banca electrónica es sin precedente. Históricamente, las nuevas aplicaciones bancarias fueron implementadas en períodos de tiempo relativamente largos y únicamente después de profundas pruebas. Ahora, sin embargo, los bancos están experimentando presiones competitivas para extender nuevas aplicaciones de negocios en marcos de tiempo muy comprimidos a menudo únicamente unos pocos meses desde el concepto hasta la producción. Esta competencia intensifica el reto de la administración para asegurar que se conduzcan evaluaciones estratégicas adecuadas, análisis de riesgos y revisiones de seguridad, previo a implementar nuevas aplicaciones de banca electrónica. Los sitios web transaccionales de banca electrónica y aplicaciones de negocios asociados, minoristas y mayoristas, están típicamente integrados tanto como es posible con el legado de sistemas computarizados para permitir un procesamiento electrónico de transacciones de principio a fin. Tal proceso automatizado de principio a fin reduce las oportunidades errores humanos y fraudes inherentes en procesos manuales, pero también incrementa la dependencia en el diseño de Administración de Riesgos para las actividades de Banca Electrónica y Dinero Electrónico. Marzo 1998, disponible en el sitio web del BIS Documentos Blancos e Iniciativas del Grupo de Banca Electrónica, octubre de 2000, disponible en sitio web del BIS Este reporte utiliza la definición del Riesgo Operacional, que incluye a los riesgos de seguridad y legal, definido por el Grupo de Administración de Riesgos del Comité de Basilea. Página 6 de 35

9 sólidos sistemas y arquitectura así como la interoperabilidad y la escala operacional. La banca electrónica incrementa la dependencia de los bancos en la tecnología de información, incrementando por ello la complejidad técnica de muchos aspectos operacionales y de seguridad y agregando una tendencia hacia más sociedades, alianzas y convenios de contratación externa con terceras partes, muchos de los cuales no están regulados. Este avance ha estado conduciendo a la creación de nuevos modelos de negocios involucrando entidades bancarias y no bancarias, tales como proveedores de servicios de Internet, compañías de telecomunicaciones y otras firmas de tecnología. La Internet está presente en todos lados y es global por naturaleza. Es una red abierta accesible desde cualquier parte en el mundo por partes desconocidas, con una ruta de mensajes a través de locaciones desconocidas y vía dispositivos inalámbricos de rápida evolución. Por lo tanto, incrementa significativamente la importancia de controles de seguridad, de técnicas de autenticación de clientes, de protección de datos, de procedimientos de pistas de auditoria, y de estándares de privacidad del cliente. B. Principios de Administración de Riesgos Basado en el trabajo previo del EBG, el Comité concluyó que, en tanto que los principios de administración de riesgos de la banca tradicional son aplicables a las actividades de banca electrónica, las complejas características del canal de entrega de Internet dicta que la aplicación de estos principios debe ser confeccionada a la medida para que incluya muchas actividades bancarias en línea y sus retos presentes de administración de riesgos. Para este fin, el Comité cree que es incumbencia de la Junta Directiva y de la administración superior de los bancos tomar los pasos para asegurar que sus instituciones hayan revisado y modificado, cuando sea necesario, sus procesos y políticas existentes de administración de riesgos para cubrir sus actividades actuales y futuras de banca electrónica. Además, conforme el Comité crea que los bancos deban adoptar un enfoque integrado de administración de riesgos para todas las actividades bancarias, es crítico que la vigilancia de administración de riesgos afrontada por las actividades de banca electrónica se vuelva una parte integral del marco de referencia general de administración de riesgos de las instituciones bancarias. Para facilitar estos avances, el Comité solicitó al EBG que identificara los principios claves de administración de riesgos que ayudarían a las instituciones bancarias a expandir sus procesos y políticas existentes de vigilancia de riesgos para cubrir actividades de banca electrónica y, por otra parte, promover una entrega sólida y segura de los servicios y productos bancarios. Estos Principios de Administración de Riesgos para Banca Electrónica, que se identifican en este Reporte, no se dan como requerimientos absolutos o inclusive como mejores prácticas sino como lineamientos para promover sólidas y seguras actividades de banca electrónica. El Comité cree que el establecer requerimientos detallados de administración de riesgos en el área de banca electrónica puede ser contraproducente, debido a que Página 7 de 35

10 posiblemente esto se tornaría obsoleto rápidamente debido a la velocidad del cambio relativo a la innovación tecnológica y de productos. Por lo tanto, los principios incluidos en el presente Reporte expresan las expectativas del supervisor relativas al objetivo general de la supervisión bancaria para asegurar solidez y seguridad en el sistema financiero, en lugar de regulaciones estrictas. El punto de vista del Comité es que tales expectativas de supervisión deben ser confeccionadas a la medida y adaptadas al canal de distribución de banca electrónica, pero no deben ser fundamentalmente diferentes a aquellas aplicadas a las actividades bancarias proporcionadas a través de otros canales de distribución. Consecuentemente, los principios presentados a continuación se derivan grandemente y se adaptan de los principios de supervisión que ya han sido expresados por el Comité o por supervisores locales durante varios años. En algunas áreas, tales como la administración de relaciones de contrataciones externas, controles de seguridad y la administración de riesgos legales y de reputación, las características e implicaciones del canal de distribución de Internet introduce una necesidad de principios más detallados que aquellos que se han expresado hasta la fecha. El Comité reconoce que los bancos necesitarán desarrollar procesos apropiados de administración de riesgos para su perfil individual de riesgos, su estructura operacional y la cultura de gobierno corporativo, así como en acuerdo con los requerimientos específicos de administración de riesgos y políticas fijadas por los supervisores bancarios en sus jurisdicciones en particular. Además, los numerosas prácticas de administración de riesgos de banca electrónica identificadas en este Reporte, en tanto que son representativas de las actuales sólidas prácticas de la industria, no deben ser consideradas que incluyen todo o que son definitivas, considerando que muchos controles de seguridad y otras técnicas de administración de riesgos continúan evolucionando rápidamente para mantener el paso con las nuevas tecnologías y aplicaciones de negocios. El Reporte no intenta dictar soluciones técnicas específicas para abordar riesgos particulares o establecer estándares técnicos relativos a la banca electrónica. Los aspectos técnicos necesitarán ser abordados sobre una base permanente tanto por las instituciones bancarias y los diferentes cuerpos de fijación de estándares conforme evolucione la tecnología. Además, conforme la industria continúe abordando los aspectos técnicos de la banca electrónica, incluyendo los retos de seguridad, una variedad de soluciones de administración de riesgos que sean innovadores y eficientes en cuanto al costo surgirá posiblemente. Estas soluciones posiblemente abordarán aspectos relativos al hecho de que los bancos difieren en tamaño, complejidad y cultura de administración de riesgos y que las jurisdicciones difieren en sus marcos de referencia legales y de regulación. Por estas razones, el Comité no cree que el enfoque en uno caben todos sea apropiado para la administración de riesgos de banca electrónica, y alienta el intercambio de buenas prácticas y estándares para abordar las dimensiones de riesgo adicional impuestos por el canal de entrega de banca electrónica. Al mantener esta filosofía de supervisión, los principios de administración de riesgos y las sólidas prácticas identificadas en este Reporte se esperan que sean utilizadas como herramientas por los supervisores locales e implementadas con adaptaciones para reflejar requerimientos locales específicos cuando sea necesario, para promover operaciones y actividades sólidas y seguras de banca electrónica. Página 8 de 35

11 El Comité reconoce que el perfil de riesgos de cada banco es diferente y que requiere un enfoque apropiado de mitigación de riesgos para la escala de las operaciones de banca electrónica, la materialidad de los riesgos presentes, y la voluntad y capacidad de la institución para manejar estos riesgos. Estas diferencias implican que los principios de administración de riesgo presentados en este Reporte deben entenderse que son lo suficientemente flexibles para que sean implementados por todas las instituciones relevantes en las jurisdicciones. Los supervisores locales evaluarán la materialidad de los riesgos relativos a las actividades de banca electrónica presente en un banco dado y si los principios de administración de riesgos para la banca electrónica han sido adecuadamente cumplidos por el marco de referencia de administración de riesgos del banco (y con qué profundidad). II. Principios de Administración de Riesgos para Banca Electrónica Los principios de administración de riesgos para la banca electrónica identificados en este Reporte caen en tres amplias categorías de aspectos y a veces se traslapan. Sin embargo, estos principios no son ponderados en orden de preferencia o importancia. Si solamente tales ponderaciones pueden cambiar en el tiempo, es preferible que permanezcan neutrales y eviten que se les dé tal prioridad. A. Vigilancia de la Junta Directiva y de la Administración 8 (Principios 1 a 3): 1. Vigilancia efectiva de la administración de las actividades de banca electrónica. 2. Establecimiento de un proceso amplio de control de seguridad. 3. Amplio proceso de vigilancia de administración y debida diligencia para las relaciones de contratación externa y otras dependencias de terceras partes. B. Controles de Seguridad (Principios 4 a 10): 4. Autenticación de los clientes de banca electrónica 5. No rechazo y responsabilidad de transacciones para banca electrónica. 6. Medidas apropiadas para asegurar la segregación de funciones. 7. Autorización apropiada de controles dentro de los sistemas de banca electrónica, bases de datos y aplicaciones. 8. Integridad de los datos de las transacciones, los registros y la información de banca electrónica. 8 Este Reporte se refiere a una estructura de administración compuesta de una junta directiva y de administración superior. El Comité está consciente de que existen diferencias significativas en los marcos de referencia de regulación y legislativos entre los países así como las funciones de la junta directiva y de la administración superior. En algunos países, la junta tiene la principal función, sino exclusiva, de supervisar al cuerpo ejecutivo (la administración superior, la administración general) para asegurarse de que ésta última cumpla con sus tareas. Por esta razón, algunas veces se le conoce como la junta de supervisión. En tales casos, la junta no tiene poderes ejecutivos. En contraste, en otros países, la junta tiene una competencia más amplia incluyendo la definición del marco de referencia de la administración general del banco. Debido a estas diferencias, los términos junta directiva o administración superior se utilizan en este reporte para identificar dos funciones de toma de decisiones dentro del banco pero no para identificar construcciones legales. Página 9 de 35

12 9. Establecimiento de pistas claras de auditoría para las transacciones de banca electrónica. 10. Confidencialidad de información bancaria clave. C. Administración de los Riesgos Legal y de Reputación (Principios 11 a 14): 11. Divulgaciones apropiadas de los servicios de banca electrónica. 12. Privacidad de la información de los clientes. 13. Capacidad, continuidad de negocios y planes de contingencia para asegurar la disponibilidad de los servicios y sistemas de banca electrónica. 14. Planificación de respuesta a incidentes. Cada uno de los aspectos anteriores se discute más específicamente en las siguientes secciones, conforme se relacionan con la banca electrónica y los principios subyacentes de administración de riesgos que deben ser considerados por los bancos para abordar estos aspectos. Cuando sea apropiado, las sólidas prácticas que pueden ser consideradas como formas efectivas para abordar estos riesgos también son ofrecidas en un apéndice referenciado. A. Vigilancia de la Junta Directiva y de la Administración (Principios 1 a 3) La Junta Directiva y la administración superior son responsables de desarrollar la estrategia de negocios de la institución bancaria. Una decisión estratégica explícita debe ser efectuada de si la Junta desea que el banco proporcione servicios de transacciones de banca electrónica antes de comenzar a ofrecer tales servicios. Específicamente, la Junta debe asegurarse que los planes de banca electrónica estén claramente integrados dentro de las metas estratégicas corporativas, que se lleve a cabo un análisis de riesgos de las actividades propuestas de banca electrónica, que se establezcan procesos apropiados de mitigación y monitoreo de riesgos para los riesgos identificados, y que se conduzcan revisiones permanentes para evaluar los resultados de las actividades de banca electrónica contra los planes y objetivos de negocios de la institución. En adición, la Junta y la administración superior deben asegurarse que las dimensiones de riesgos de seguridad y operacionales de las estrategias de negocios de la institución bancaria sean apropiadamente consideradas y abordadas. La provisión de los servicios financieros en Internet puede modificarse e inclusive incrementar significativamente los tradicionales riesgos bancarios (por ejemplo, los riesgos estratégicos, de reputación, operacional, de crédito y de liquidez). Por lo tanto, deben darse los pasos para asegurarse que los procesos existentes de administración de riesgos del banco, que los procesos de control de seguridad, los de vigilancia y debida diligencia para las relaciones de contratación externa sean apropiadamente evaluados y modificados para acomodar los servicios de banca electrónica. Página 10 de 35

13 Principio 1: La Junta Directiva y la administración superior deben establecer una vigilancia efectiva de la administración sobre los riesgos asociados con las actividades de banca electrónica, incluyendo el establecimiento de responsabilidad específica, de políticas y controles para manejar estos riesgos. La vigilancia administrativa es esencial para la provisión de controles internos efectivos de las actividades de banca electrónica. En adición a las características específicas del canal de distribución de Internet discutidas en la Introducción, los siguientes aspectos de la banca electrónica pueden imponer un reto considerable a los procesos tradicionales de administración de riesgos: Los elementos mayores del canal de entrega (Internet y tecnologías relacionadas) están fuera del control directo del banco. Internet facilita la entrega de servicios entre múltiples jurisdicciones locales, incluyendo aquellas a las cuales no da servicio actualmente la institución a través de localidades físicas. La complejidad de los aspectos que están asociados con la banca electrónica y que involucran un lenguaje altamente técnico y los conceptos están en muchos casos fuera de la experiencia tradicional de la Junta y la administración superior. A la luz de las características únicas de la banca electrónica, los nuevos proyectos de banca electrónica que pueden tener un impacto significativo en el perfil y estrategia de riesgos de la institución deben ser revisados por la Junta Directiva y la administración superior y emprender un análisis estratégico apropiado de costo beneficio. Sin una revisión estratégica frontal adecuada y un desempeño permanente para planificar evaluaciones, los bancos están en riesgo de subestimar el costo y de sobreestimar la recompensa de sus iniciativas de banca electrónica. En adición, la Junta y la administración superior deben asegurarse que el banco no efectúe nuevos negocios de banca electrónica o adopte nuevas tecnologías a menos que tenga el suficiente conocimiento para proporcionar una vigilancia competente de administración de riesgos. El conocimiento de la administración y del personal debe ser conmensurado con la naturaleza y complejidad técnica de las aplicaciones y tecnologías subyacentes de la banca electrónica del banco. Un conocimiento adecuado es esencial sin importar si los sistemas y servicios de banca electrónica del banco son manejados internamente o externamente por terceras partes. Los procesos de vigilancia de la administración superior deben operar sobre una base dinámica, en orden para intervenir y corregir efectivamente cualesquiera problemas o violaciones materiales de los sistemas de banca electrónica que pudieran presentarse. El creciente riesgo de reputación asociado con la banca electrónica necesita un monitoreo vigilante de la operabilidad de los sistemas y la satisfacción del cliente, así como un reporte apropiado de incidentes para la Junta Directiva y la administración superior. Finalmente, la Junta y la administración superior deben asegurarse que sus procesos de administración de riesgos para sus actividades de banca electrónica estén integrados en el enfoque general de administración de riesgos del banco. Las políticas y procesos existentes de administración de riesgos del banco deben ser evaluados para asegurar que sean lo suficientemente fuertes para cubrir los nuevos riesgos impuestos por las actividades Página 11 de 35

14 actuales o futuras de la banca electrónica. Los pasos adicionales de vigilancia de administración de riesgos que la Junta y la administración superior deben considerar tomar incluyen: Establecer claramente el apetito de riesgo de la organización bancaria con relación a la banca electrónica. El establecimiento de delegaciones claves y mecanismos de reporte, incluyendo los procedimientos necesarios de escalas para incidentes que impacten en la seguridad, solidez o reputación del banco (por ejemplo, penetración en las redes, infracciones de seguridad de los empleados y cualquier uso importante equivocado de las instalaciones de computación). 9 Abordar cualquier factor único de riesgos asociado con el aseguramiento de la seguridad, la integridad y la disponibilidad de los servicios y productos de banca electrónica, y requerir que las terceras partes a quienes el banco haya contratado sistemas o aplicaciones claves tomen medidas similares. Asegurarse que sea llevado a cabo un análisis apropiado de riesgo y debida diligencia antes que el banco conduzca actividades transfronterizas de banca electrónica. La Internet facilita grandemente la capacidad del banco para distribuir productos y servicios sobre un territorio geográfico virtualmente sin límite, incluyendo el territorio nacional. Tal actividad transfronteriza de actividades de banca electrónica, particularmente si es conducida sin una licencia existente de presencia física en el país anfitrión, sujeta potencialmente a los bancos a un creciente riesgo legal, regulativo y de reputación debido a las diferencias substanciales que pudieran existir entre las jurisdicciones con respecto a los requerimientos de autorizaciones bancarias, de supervisión y de protección al cliente. Debido a la necesidad de evitar un incumplimiento no advertido con las leyes o regulaciones del otro país, así como para manejar factores relevantes del riesgo país, los bancos que contemplen operaciones transfronterizas de banca electrónica necesitan explorar totalmente estos riesgos antes de emprender tales operaciones y manejarlos efectivamente. Dependiendo del alcance y la complejidad de las actividades de banca electrónica, el alcance y la estructura de los programas de administración de riesgos variarán entre las organizaciones bancarias. Los recursos requeridos para vigilar los servicios de banca electrónica deben ser conmensurados con la funcionalidad transaccional y lo crítico de los sistemas, la vulnerabilidad de las redes y la sensibilidad de la información que esté siendo transmitida. 9 En adición a los requerimientos internos de reportes, también deben establecerse procedimientos de escalas de reportes de incidentes para el reporte necesario a las autoridades apropiadas de supervisión. Página 12 de 35

15 Principio 2: La Junta Directiva y la administración superior deben revisar y aprobar los aspectos claves de los procesos de control de seguridad de banca electrónica. La Junta Directiva y la administración superior deben vigilar el desarrollo y el mantenimiento continuado de la infraestructura de control de seguridad que salvaguarde apropiadamente los sistemas y datos de banca electrónica, tanto de amenazas externas como internas. Esto debe incluir el establecimiento de privilegios apropiados de autorización, de controles de acceso físico y lógico, y una adecuada seguridad de la infraestructura para mantener límites y restricciones apropiados tanto de actividades de usuarios internos y externos. La salvaguarda de los activos bancarios es una de las tareas fiduciarias del banco y una de las responsabilidades fundamentales de la administración superior. Sin embargo, es una tarea retadora en un ambiente de banca electrónica rápidamente evolutivo, debido a lo complejo de los riesgos de seguridad asociados con la operación en la red pública de Internet y la utilización de tecnología innovadora. Para asegurar controles apropiados de seguridad para las actividades de banca electrónica, la Junta y la administración superior necesitan verificar si el banco tiene un amplio proceso de seguridad, incluyendo políticas y procedimientos, que aborde amenazas potenciales tanto internas como externas en términos de prevención y respuesta a incidentes. Los elementos claves de un proceso efectivo de seguridad de banca electrónica incluyen: Asignación de responsabilidad explícita de la administración y del personal para vigilar el establecimiento y mantenimiento de políticas corporativas de seguridad. 10 Suficientes controles físicos para prevenir el acceso físico no autorizado al ambiente de computación. Suficientes controles físicos y procesos 11 de monitoreo para prevenir acceso interno 12 y externo no autorizado a las aplicables y bases de datos de banca electrónica. Revisión y pruebas regulares de controles y medidas de seguridad, incluyendo el continuo seguimiento de avances actuales de seguridad en la industria e instalación de actualizaciones apropiadas de software, paquetes de servicio y otras medidas requeridas. 13 El apéndice I contiene un número de sólidas prácticas adicionales como auxilio a la seguridad de la banca electrónica Normalmente, esta seguridad no debe ser parte de la función de auditoria, que tiene la responsabilidad de ver que la función de vigilancia de la seguridad sea llevada a cabo efectivamente. Incluyendo derechos y privilegios de acceso controlados, así como un monitoreo permanente de intentos de intrusión a la red. Incluyendo empleados, contratistas y aquellos con derechos de acceso a través de relaciones de contratación externa. Incluyendo medidas para monitorear la actividad de red, registros de intentos de intrusión y reportes de violaciones serias a la seguridad. Página 13 de 35

16 Principio 3: La Junta Directiva y la administración superior deben establecer un amplio y constante proceso de vigilancia y debida diligencia para manejar las relaciones de contratación externa del banco y otras dependencias de terceras partes que estén apoyando a la banca electrónica. La creciente confianza en socios y proveedores de servicios (terceras partes) para desempeñar funciones críticas de banca electrónica reduce el control directo de la administración del banco. De acuerdo con esto, es necesario un amplio proceso para el manejo de los riesgos asociados con la contratación externa y otras dependencias (terceras partes). Este proceso debe comprender las actividades de socios y proveedores de servicio (terceras partes), incluyendo la subcontratación de actividades contratadas externamente que puedan tener un impacto material en el banco. Históricamente, la contratación externa a menudo estuvo limitada a un solo proveedor de servicio para una función dada. Sin embargo, en años recientes, las relaciones de contratación externa de los bancos han crecido en escala y complejidad como resultado directo de los avances en la tecnología de información y el surgimiento de la banca electrónica. Adicionalmente a la complejidad, está el hecho que los servicios de banca electrónica contratados externamente pueden ser subcontratados a proveedores adicionales de servicio y/o pueden ser conducidos en un país extranjero. Además, conforme los servicios y aplicaciones de banca electrónica se han vuelto más avanzados tecnológicamente y han crecido en importancia estratégica, ciertas áreas funcionales de banca electrónica son dependientes de un pequeño número de vendedores y proveedores de servicios especializados (terceras partes). Estos desarrollos pueden conducir a concentraciones incrementadas de riesgo que requieren atención tanto de un banco individual así como un punto de vista sistémico de la industria. Juntos, estos factores subrayan la necesidad de una amplia y constante evaluación de las relaciones de contratación externa y otras dependencias externas, incluyendo las implicaciones asociadas para el perfil de riesgos del banco y la capacidad de vigilancia de la administración del riesgo. 14 La vigilancia de la Junta y la administración superior de las relaciones de contratación externa y las dependencias (terceras partes) deben enfocarse específicamente en asegurar que: El banco entienda completamente los riesgos asociados cuando efectúa una contratación externa o un convenio de asociación, para sus aplicaciones o sistemas de banca electrónica. Previamente a efectuar cualquier contratación de servicios para banca electrónica, se conduzca una revisión apropiada de debida diligencia de la 14 Tal evaluación también debe tomar en cuenta el grado de control ejercido sobre los terceros. Un accionista mayoritario en una coparticipación (joint venture) puede, en muchos casos, ejercer más control que en el caso de una relación contractual con un proveedor de servicio. Sin embargo, no se debe inferir a través de tales distinciones que el control del accionista en una coparticipación o una asociación necesariamente será suficiente, especialmente si las tecnologías y servicios necesarios para operar la asociación son proporcionados por los accionistas minoritarios. Tales distinciones son principalmente útiles para afirmar que las evaluaciones deben ser hechas sobre la base de caso por caso. Página 14 de 35

17 competencia y viabilidad financiera de cualquier proveedor de servicio (tercera parte) o socio. La responsabilidad contractual de todas las partes en la relación de contratación externa 15 o asociación esté claramente definida. Por ejemplo, las responsabilidades de proporcionar y recibir información del proveedor de servicio deben estar claramente definidas. Todos los sistemas y operaciones de banca externa contratados externamente estén sujetos a la administración de riesgos, a las políticas de seguridad y de privacidad que cumplan con los propios estándares del banco. Se conduzcan auditorias periódicas internas o externas de las operaciones contratadas externamente para, al menos, el mismo alcance requerido si tales operaciones fueran conducidas internamente. Existan planes apropiados de contingencia para las actividades de banca electrónica contratadas externamente. El apéndice II lista un numero de sólidas prácticas adicionales para el manejo de sistemas de banca electrónica contratados externamente y otras dependencias (terceras partes). B. Controles de Seguridad (Principios 4 a 10) En tanto que la Junta Directiva tiene la responsabilidad de asegurar que existan procesos apropiados de control de seguridad para banca electrónica, la sustancia de estos procesos necesitan atención especial de la administración debido a los retos de seguridad mejorada impuestos por la banca electrónica. 16 Los siguientes aspectos son particularmente pertinentes: Autenticación No rechazo Integridad de los datos y las transacciones Segregación de funciones o tareas Controles de autorización Mantenimiento de pistas de auditoria Confidencialidad de la información bancaria clave Esto también incluiría a los subcontratistas. Por ejemplo, cuando una Junta confía en vendedores (terceras partes) de servicios de banca electrónica, necesita asegurarse que el vendedor haya abordado adecuadamente estos aspectos y, como mínimo, cumpla con los propios estándares del banco. Página 15 de 35

18 Principio 4: Los bancos deben tomar las medidas apropiadas para autenticar 17 la identidad y la autorización de los clientes con quienes conduzca negocios a través de Internet. Para la banca es esencial confirmar que una comunicación particular, una transacción o un requerimiento de acceso es legítimo. De acuerdo con ello, los bancos deben utilizar métodos confiables para verificar la identidad y la autorización de nuevos clientes así como autenticar la identidad y autorización de clientes establecidos que busquen iniciar transacciones electrónicas. La verificación del cliente durante la originación de la cuenta es importante para reducir el riesgo de robo de identidad, aplicaciones fraudulentas de cuentas y lavado de dinero. El fallo por parte del banco para autenticar adecuadamente los clientes podría resultar en que individuos no autorizados tuvieran acceso a las cuentas de banca electrónica y finalmente a pérdidas financieras y daño de reputación para el banco a través del fraude, la divulgación de información confidencial o el involucramiento inadvertido en actividades criminales. El establecimiento y la autenticación de la identidad y autorización individual para tener acceso a los sistemas bancarios en un ambiente puro de red electrónica abierta puede ser una tarea difícil. La legitimación de la autorización del usuario puede estar mal representada a través de una variedad de técnicas generalmente conocidas como spoofing 18 (engaño). Los hackers en línea también pueden hacerse cargo de la sesión de un legítimo individuo autorizado a través del uso de un sniffer 19 (olfateador) y llevar a cabo actividades de naturaleza maliciosa o criminal. Los procesos de control de autenticación pueden, en adición, ser burlados a través de la alteración de bases de datos de autenticación. De acuerdo con esto, es crítico que los bancos tengan procedimientos y políticas formales que identifiquen metodologías apropiadas para asegurar que el banco autentique apropiadamente la identidad y la autorización de un individuo, un agente o un sistema 20 por medios que sean únicos y, hasta donde sea práctico, que excluyan individuos o agentes no autorizados. 21 Los bancos pueden utilizar una variedad de métodos para establecer la autenticación, incluyendo PINs, passwords, tarjetas La autenticación se utiliza en este Reporte para referirse a las técnicas, procedimientos y procesos utilizados para verificar la identidad y autorización de clientes establecidos o prospectivos. La identificación se refiere a los procedimientos, técnicas y procesos utilizados para establecer la identidad de un cliente cuando abre una cuenta. La autorización se refiere a los procedimientos, técnicas y procesos utilizados para determinar que un cliente o un empleado tiene un acceso legítimo a la cuenta bancaria o la autoridad para conducir transacciones asociadas sobre esa cuenta. Spoofing es hacerse pasar por un cliente legítimo a través del uso de su número de cuenta, de su password, de su número de identificación personal (PIN) y/o correo electrónico. Un sniffer es un dispositivo que es capaz de escuchar indiscretamente en el tráfico de telecomunicaciones, capturando passwords y datos en tránsito. Los sistemas incluyen los propios sitios web de la institución. Los sistemas deben asegurar que están tratando con un sistema, agente o individuo autenticado y con una base de datos autenticada. Página 16 de 35