Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012
Temario Riesgo operacional Qué es? Principio 17 Infraestructuras del Mercado Financiero Estándares y mejores prácticas Riesgo y gestión de tecnología Disponibilidad, desempeño y capacidad COBIT ITIL ISO 27.001 Continuidad operacional o de negocios Situación en Iberoamérica
Riesgo operacional. Qué es? Falla en los procesos Riesgo sistémico Falla en los sistemas internos Reputación Falla en el personal Servicio perjudicado Riesgo de pérdida Consecuencias legales Falla en los controles internos Consecuencias financieras
Riesgo operacional Principios para las Infraestructuras del Mercado Financiero (IMF). Principio 17: Riesgo Operacional Una IMF deberá identificar todas las fuentes plausibles de riesgo operativo, tanto internas como externas, y minimizar su impacto a través del uso de sistemas, controles y procedimientos adecuados. Los sistemas deberán disponer de un alto grado de seguridad y fiabilidad operativa, y tendrán una capacidad adecuada y versátil. Los planes de continuidad del servicio deberán tener como objetivo la recuperación oportuna de las operaciones y el cumplimiento de las obligaciones de la IMF, incluso en caso de que se produzcan alteraciones a gran escala.
Riesgo operacional Principio 17: Consideraciones clave Marco de gestión Riesgo asociado a entidades relacionadas. Funciones y responsabilidades Plan de capacidad y continuidad de servicio Riesgo operativo Objetivos de fiabilidad operativa y políticas Políticas de seguridad física y de la información Herramientas, procedimientos y versatilidad.
Práctica: Riesgo operacional Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado. Objetivos 1. Efectividad y eficiencia en las operaciones 2. Confiabilidad de la información financiera 3. Cumplimiento de políticas, leyes y normas
Práctica: Riesgo tecnológico Las IMF son altamente intensivas en el uso de sistemas tecnológicos Manejan grandes volúmenes de información Cada transacción es altamente automatizada Invierten fuertemente en tecnología Los sistemas de tecnologías de información están compuestos por: Aplicaciones Información Infraestructura Personas (que operan estos recursos)
Práctica: Riesgo tecnológico. Disponibilidad, desempeño y capacidad Existe una estrecha relación entre los conceptos de disponibilidad, desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia, compensación y liquidación. Esta interconexión de los tres elementos es esencial para desarrollar la estrategia y determinar la adecuación de las entidades a los objetivos que les impone el mercado. Tiempo máximo que puede tomar el procesamiento de una operación Objetivo de desempeño Objetivo de disponibilidad Porcentaje del tiempo que el servicio tiene que estar disponible con un cierto nivel de desempeño Carga que el sistema puede procesar al menos durante el tiempo de disponibilidad con un cierto nivel de desempeño Objetivo de capacidad
Práctica: Riesgo tecnológico. COBIT Marco de trabajo de control interno de TI para las empresas. Entrega un marco de buenas prácticas para definir y alinear los objetivos de TI con los requerimientos y objetivos del negocio, básicamente desde la perspectiva del control.
Práctica: Riesgo tecnológico. COBIT COBIT define los siguientes aspectos en el contexto de riesgo tecnológico: Integrar la organización en el marco de trabajo Establecer el contexto de aplicación del marco de trabajo Identificar eventos con un impacto potencial Evaluar la posibilidad e impacto de todos los riesgos identificados Identificar a los responsables de controlar los riesgos y a los dueños de procesos afectados Elaborar y mantener respuestas que permitan la mitigación continua de los riesgos Mantener y monitorear un plan de acción de riesgos
Práctica: Riesgo tecnológico. ITIL ITIL provee un marco de trabajo de mejores prácticas para la gestión de servicios de TI y se enfoca en la medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente. ITIL divide las actividades en procesos, proporcionando un marco eficaz para lograr una gestión de servicios TI más madura, de modo de optimizar y mejorar la coordinación de los procesos. Concepto de mejora continua
Práctica: Riesgo tecnológico. ISO 27.001. ISO 27.001 es un estándar de seguridad de la información Especifica los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información, para así preservar la integridad, confidencialidad y disponibilidad de la información.
Práctica: Riesgo Tecnológico. ISO 27.001 ISO 27.001 establece como requerimientos para gestionar la seguridad de la información lo siguiente: Política de seguridad de la información, indicando roles y responsabilidades Efectuar la identificación, análisis y evaluación de riesgos Desarrollar un plan de tratamiento de riesgos, además de implementar controles Ejecutar un monitoreo y revisión regular de los niveles de riesgo residual y aceptado y conducir auditorías internas con periodicidad Implementar las mejoras identificadas en un proceso de mejora continua Realizar auditorías internas para evaluar la conformidad respecto a los estándares y la regulación
Práctica: Continuidad de negocios Se define como gestión de continuidad de negocios a la actividad que se lleva a cabo en una organización para garantizar la continuidad de un proceso ante un evento que afecte o interrumpa su normal funcionamiento, producto de terremoto, pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad. En el caso de las IMF, el atraso o suspensión de su funcionamiento implica consecuencias operacionales y financieras, las que incluso pueden ser de carácter sistémico.
Práctica: Continuidad de negocios. Estándar BS 25999 Estándar BS 25999: Identificar los servicios críticos. Desarrollar un plan de gestión de crisis. Definir un tiempo de recuperación objetivo para los servicios críticos Plan de continuidad de negocios cuyo fin es documentar las estrategias de respuesta y sus planes de recuperación de los servicios para reducir el impacto de una amenaza Plan de recuperación de mediano plazo. Pruebas periódicas de los planes mencionados Sistemas de comunicación alternativos Qué servicios recuperar? Qué hacer cuando se produce la crisis? Cuánto puede tardar la recuperación? Cómo recuperar los servicios? Dónde se realiza el respaldo? Cómo reponer la infraestructura? Son efectivos los planes en un escenario de crisis? Cómo contactar a los usuarios y las autoridades?
Práctica: Continuidad de negocios S U P E R I N T E N D E N C I A D E V A L O R E S Y S E G U R O S C H I L E
Situación en Iberoamérica Prácticas presentes en Iberoamérica En algunos países se establecieron responsabilidades en el organigrama Unidad de gestión de riesgos Unidad de auditoría Comité de riesgo operacional Oficial de cumplimiento En otros se definieron las políticas, roles y normas fuera de un organigrama Normas de seguridad, políticas, procedimientos, roles y manuales definidos en gran parte de la región.
Situación en Iberoamérica Estándares más empleados: COBIT e ISO 27.001 Continuidad de negocios Políticas y procedimientos de contingencia, Pruebas periódicas Disponibilidad de sitios alternativos y de respaldo Sitios de respaldo actualizados en tiempo real, generadores, grupos electrógenos y planes de contingencia.
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012