Riesgo Operativo - Com. A 4609

Documentos relacionados
República de Panamá Superintendencia de Bancos

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Gestión del riesgo operacional

Sistemas de Información para la Gestión

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Contenido. Definición Fuentes de riesgo operacional Principios para el manejo y supervisión. Conclusiones

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

ISO GAP ANALYSIS

LINEAMIENTOS PARA LA GESTIÓN DEL RIESGO OPERACIONAL EN LAS ENTIDADES FINANCIERAS. -Última comunicación incorporada: A 4854

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

MANUAL PARA LA GESTIÓN DEL RIESGO OPERATIVO

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

PROYECTO ISO SISTESEG

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Dirección y Gerencia

Disposiciones de Riesgo

Norma IRAM-ISO/IEC 27001

Especialistas en Auditoría de TI, Gestión de Riesgos, Control Interno, Gobierno de TI

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Lista de la Verificación de la Gestión Ambiental 1

Análisis de riesgos y Evaluación del Control Interno

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS


Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

Administración del riesgo en las AFP

INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Las Cooperativas en el Sistema Financiero Ecuatoriano. Las Cooperativas frente a los Organismos de Control

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

Auditoría» ISO/IEC 27001» Requerimientos

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

SISTEMA INTEGRAL DE RIESGOS

SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO

El paquete completo de COBIT consiste en:

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Políticas Corporativas

POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN EMPRESAS COPEC S.A.

REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

POLÍTICA DE GESTIÓN DE RIESGOS

NORMATIVA SOBRE LA FUNCION DE AUDITORIA INTERNA Circular SB No. 09/ al 27 de julio de 2014 Punta Cana, R. D.

POLÍTICAS GENERALES. 4.- Política General de. Control y Gestión de. Riesgos de Acerinox, S.A. y de su Grupo de Empresas

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Sesión 3 Procesos Productivos, de Apoyo y Evaluación Revisión de los Requisitos 7, 8 y 9 ISO 9001:2015

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

AUDITORÍA INTERNA La visión de los reguladores

Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete

GOBIERNO CORPORATIVO La visión del Supervisor

POLÍTICA DE GESTIÓN DE RIESGOS

Art. 7 de la Ley Orgánica de Transparencia y Acceso a la Información Pública - LOTAIP

SISTEMA DE CONTROL INTERNO GENERALIDADES.

FORTALECIENDO EL GOBIERNO CORPORATIVO BANCARIO UNA VISION DEL REGULADOR

RIESGO OPERACIONAL UN CASO APLICADO EN EL MERCADO DE VALORES

Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia

ANALISIS DE RIESGO RESPECTO A LA SEGURIDAD INFORMATICA DE UNA ORGANIZACIÓN CORRESPONDIENTE AL SECTOR PÚBLICO 1RA. PARTE

Informe de la Administración integral de riesgos. Administración de Riesgos. Riesgo de crédito

Informe Anual de la Gestión Integral de Riesgos

Normas Riesgo Operativo - Colombia

Nuevas Tecnologías: Riesgos y Amenazas

COMITES DEL BANCO DE FORMOSA S.A.

Seguridad de la Información en Instituciones Financieras: una perspectiva de riesgo Congreso Internacional de Finanzas y Auditoría

370 informe de auditoría y Cuentas anuales 2013 modelo de control interno

Informe de actividades ejercicio 2015

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

Septiembre Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas

PBS 8 Gestión de Riesgos y Controles Internos

REPÚBLICA DE PANAMÁ SUPERINTENDENCIA DE BANCOS

IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008

INFORMACIÓN RESPECTO A LA ADOPCIÓN DE PRÁCTICAS DE GOBIERNO CORPORATIVO 31 DE DICIEMBRE DE 2014 PRÁCTICA

Charla de Preparación para la Pre-Auditoría del SGSI

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Planificar Auditorías Internas

REGLAMENTO DE GESTIÓN DEL RIESGO DE LIQUIDEZ TÍTULO I DISPOSICIONES GENERALES

INFORMACIÓN RESPECTO DE LOS ESTÁNDARES DE GOBIERNO CORPORATIVO ADOPTADOS POR LAS SOCIEDADES ANÓNIMAS ABIERTAS (NCG 341 SVS) Práctica

NORMAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS ENTIDADES FINANCIERAS

POLITICA GENERAL DE CONTINUIDAD DE NEGOCIOS (NIVEL 1)

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

Operadora de Pensiones Complementarias de la CCSS POLÍTICA DE RIESGO OPERATIVO OPC-CCSS

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

Daniel Dominguez. 1, 2, 3 y 4 de octubre de 2017 Buenos Aires Argentina

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

RIESGO OPERACIONAL La crisis económica aumenta el riesgo de fraude. Lic. Yanio Concepción

Caminos y Puentes Federales de Ingresos y Servicios Conexos

MANUAL DE ORGANIZACIÓN. DIRECCIÓN GENERAL Fecha: JUN 15 DESCRIPCIÓN Y PERFIL DE PUESTOS

Proyecto de Acuerdo SUGEF Reglamento sobre Gestión del Riesgo Operacional. En consulta (28/4/2015 al 26/5/2015)

Estandarización y efectividad en el desarrollo de normas para los comités técnicos de ISO. Mayor alineamiento y compatibilidad entre normas.

POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Un acercamiento a las mejores prácticas de seguridad de información internacionalmente reconocidas en el estándar ISO 17799:2005

Comité de Indice Basilea Marco Institucional

MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

Gerenciamiento de la Seguridad

MARCO DE REFERENCIA SERVICIOS TECNOLÓGICOS PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

Nuevo enfoque de la administración del riesgo y su impacto en la auditoría interna. Paula Alvarez Agosto 2011

EXPERIENCIA EN LA PROMULGACIÓN DE LAS NORMAS SOBRE LA GESTIÓN INTEGRAL DE RIESGO

Dirección de Prevención y Control de Operaciones Ilícitas

NIA 315 Identificación y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entorno

Gobierno Corporativo: Experiencias desde la industria financiera

Transcripción:

Riesgo Operativo - Com. A 4609 Lic. Marcelo H. González Gerencia de Auditoría Externa de Sistemas Superintendencia de Entidades Financieras y Cambiarias Banco Central de la República Argentina

Principales Carencias Com. A 3198 Fue desarrollada en 1996; ha alcanzado un grado crítico de obsolescencia; Se basa en controles generales, y mezcla requerimientos tecnológicamente específicos; No es flexible a los cambios tecnológicos; Está orientada a cumplimiento más que a la administración del riesgo. 2

Principales Carencias (continuación) No contempla exigencias relacionadas con actividades de riesgo tecnológico : Responsabilidad vs. Riesgo; Banca por Internet; Instrumentos de débito y pago; Banca Móvil (basada en la telefonía móvil); No requiere prácticas de: Detección de Intrusos, Security Awareness, Gestión Integral de la seguridad, Administración de Riesgo de la Continuidad,... 3

Razones Básicas de Modificación Surge como una necesidad para adecuar la normativa vigente a la realidad del sistema financiero; Contempla la gestión y el control para la protección de los activos informáticos, Brinda mejores prácticas a efectos de lograr un equilibrio en la administración de los riegos y la eficiencia en la administración de los datos; Considera las amenazas y vulnerabilidades asociadas a cada entorno tecnológico; 4

Basada en Estándares Internacionales Cuenta con un conjunto de requisitos de sana gestión que han sido tomados de: Normas ISO ( 17799, 27001, 15408); COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática; Sanas Prácticas de BASILEA; Experiencia de más de 10 años en el control de las entidades financieras. 5

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS RIESGO OPERATIVO

Tendencia de la Gestión del Riesgo Foco en Riesgo Integrado Organizacional Foco en Riesgo Financiero Negocios Operativo Foco en Riesgo de Crédito Mercado Operaciones Mercado Crédito Crédito Crédito 1980s 1990s 2000s 7

Relevancia del Riesgo Operativo El riesgo resultante de inadecuados o fallidos procesos internos, personas o sistemas o de un evento externo Comité de Basilea Riesgo de Crédito CAPITAL TOTAL Riesgo de Mercado Riesgo Operativo Relación de Capital del Banco (mínimo 8%) Menú de Enfoques para medir Riesgo Operativo Enfoque del indicador básico (Actividad Bancaria Total) Enfoque Estandarizado (por línea de negocio) Enfoque de medición interna (pérdidas) El Comité de Basilea ha estado trabajando con el sector para desarrollar un cargo de capital por riesgo operativo (por ejemplo, el riesgo de pérdida por fallas en las computadoras, documentación insuficiente o de mala calidad o fraudes). Muchos de los bancos más grandes asignan 20% o más de su capital interno al riesgo operativo. 8

Controlar el Riesgo Operativo Control se define como: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. PRÁCTICAS DE CONTROL Regulaciones BCRA 25 Principios de Basilea 12 Principios de Riesgo Operativo Normas ISO-IEEE Principios OCC Principios FSA Estándares ISACA 9

10 Principios de Riesgo Operativo Desarrollo de un marco adecuado para la gestión del riesgo. Principios 1, 2 y 3 Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control. Principios 4, 5, 6 y 7 La función de los supervisores. Principios 8 y 9 Principios que gobiernan una buena practica de gestión del riesgo operativo en Basilea II. La función de la divulgación de información. Principio 10 10

10 Principios de Riesgo Operativo Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos. Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo. Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco. 11

10 Principios de Riesgo Operativo Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente. Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo. Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo. Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad. 12

10 Principios de Riesgo Operativo Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos. Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco. Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo. Buenas prácticas para la gestión y supervisión del riesgo operativo. http://www.bis.org/publ/bcbs96.htm 13

Principios para a la Banca Electrónica Fijar políticas y mecanismos de seguimiento de los riesgos asociados con las actividades de la banca electrónica. Revisar y aprobar los aspectos claves del proceso de control de la seguridad. Aplicar criterios de due diligence sobre el manejo de tercerización de actividades propias (outsourcing). Establecer formas apropiadas de autenticar a los clientes. Proveer mecanismos para el no repudio y responsabilidad de las transacciones. Mantener una clara segregación de funciones de las tareas criticas. Asegurar control de acceso a las aplicaciones y datos. Contar con mecanismos para proteger de integridad de las transacciones y los datos. Asegurar la existencia de pistas de auditoría. Preservar la confidencialidad de la información. Informar adecuadamente en las canales electrónicos todos los aspectos legales. Asegurar la adherencia a los requisitos de confidencialidad del cliente según las leyes aplicables. Asegurar la disponibilidad permanente de los sistemas de banca electrónica. Establecer un adecuado proceso de atención de reclamos y atención de incidentes. Risk management principles for electronic banking. http://www.bis.org/publ/bcbs98.htm 14

Tipificación de Riesgos Operativos Según Basilea II Fraude interno: Errores intencionados en la información sobre posiciones, robos por parte de empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc. Fraude externo: Atraco, falsificación, circulación de cheques en descubierto, daños por intrusión en los sistemas informáticos, etc. Relaciones laborales y seguridad en el puesto de trabajo: Solicitud de indemnizaciones por parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc. Daños a activos materiales: Terrorismo, vandalismo, terremotos, incendios, inundaciones, etc. Prácticas con los clientes, productos y negocios: Abusos de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco, blanqueo de capitales, venta de productos no autorizados, etc. Alteraciones en la actividad y fallos en los sistemas: Fallos del hardware o del software, problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc. Ejecución, entrega y procesamiento: Errores en la introducción de datos, fallos en la administración del colateral, documentación jurídica incompleta, concesión de acceso no autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de clientes, litigios con distribuidores, etc. 15

Riesgo Operativo La banca, por su naturaleza, corre una considerable cantidad de riesgos. Es muy importante entender estos riesgos y considerar adecuado su medición y que se manejen de manera apropiada. Crédito Mercado Liquidez Tasa de Interés Transferencia Legal Reputacional Estratégico Operativo Fallas en los controles internos y en la administración corporativa, que pueden llevar a pérdidas financieras a través de error, fraude, o ejecuciones inoportunas que comprometan los intereses de la entidad. Incluye fallas importantes de TI/SI y eventos contingentes operativos. Es el riesgo resultante de inadecuados o fallidos procesos internos; personas o sistemas, o de un evento externo Mayor riesgo operativo puede existir en los productos que se manejas por medios automatizados, especialmente en aquellas líneas de negocios que no hayan sido adecuada y oportunamente planeadas, analizadas, implementadas y controladas. 16

Universo del Riesgo Operativo Ambiente de Riesgo Riesgos propios de la industria Riesgos vinculados con las regulaciones y su cumplimiento Riesgos estratégicos Aplicación Seguridad de la Aplicación Confidencialidad Integridad Segregación de Tareas Controles de los Proc. de Neg. Exactitud Integridad Workflow de aprobación y revisión. Core System Aplicaciónes Infraestructura de IT Procesos de Negocio Aplicación Seguridad de la Aplicación Administración del Contenido Transformación de los datos - Integridad Integridad de las interfases Internet intranet Extranet Infraestructura Técnica Proveedores Mercado Acceso Físico Seguridad del sistema operativo, Base de datos, etc. Encripción Disponibilidad 24x7 Test de Penetración 17

Riesgo Operativo y la Com. A 4609 Este riesgo es muy importante por la naturaleza tecnológica de muchos de los procesos de negocio. Alineación a la Com. A 4609 Crédito Mercado Liquidez Tasa de Interés Transferencia Legal Reputacional Estratégico Operativo Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Banca Electrónica 18

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Comité de Tecnología Informática. Integración y funciones. Políticas y procedimientos. Análisis de Riesgos. Dependencia del área de Tecnología Informática y Sistemas. Gestión de Tecnología Informática y Sistemas. Planificación. Control de gestión. Segregación de funciones. 19

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Gestión de la seguridad. Dependencia del área. Estrategia de seguridad. Planeamiento de los recursos. Política de protección. Clasificación de los activos de información. Estándares de acceso. Control de utilidades especiales. Registros de seguridad y pistas de auditoría. Alertas de seguridad y software de análisis. Software malicioso. Responsabilidades del área. Control y monitoreo. Implementación de los controles de seguridad física aplicados a los activos de información. 20

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. Análisis de impacto. Instalaciones alternativas de procesamiento de datos. Plan de continuidad del procesamiento de datos. Mantenimiento y actualización del plan de continuidad de procesamiento de datos. Pruebas de continuidad del procesamiento de datos. Integridad de datos 21

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Responsabilidad del área. Inventario tecnológico. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos. Procedimientos de resguardos de información, sistemas productivos y sistemas de base. Mantenimiento preventivo de los recursos tecnológicos. Administración de las bases de datos. Gestión de cambios al software de base. Control de cambios a los sistemas productivos. Mecanismos de distribución de información. Manejo de incidentes. Medición y planeamiento de la capacidad. Soporte a usuarios. 22

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Controles generales. Controles particulares para cada canal donde se cursen transacciones - cajeros automáticos (ATM s), puntos de venta (POS), Internet (ebanking), dispositivos móviles, atención telefónica (Phone Banking), y otros -. Integridad de datos 23

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Actividades Factibles de Delegación. Responsabilidades propias de la entidad. Formalización de la delegación. Responsabilidades del tercero. Implementación del procesamiento de datos en un tercero. Control de las actividades delegadas. Planificación de continuidad de la operatoria delegada. Integridad de datos 24

Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Cumplimiento de requisitos normativos. Integridad y validez de la información. Administración y registro de las operaciones. Sistemas de información que generan el régimen informativo a remitir y/o a disposición del Banco Central de la República Argentina. Documentación de los sistemas de información. Integridad de datos 25

Principios vs. Com. A 4609 Principios Basilea II Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI El Alta Dirección es el responsable primario del establecimiento y la existencia de un área que gestione y administre los riesgos relacionados al procesamiento de datos, sistemas y tecnologías relacionadas para todos los canales electrónicos por los que la entidad financiera realiza el ofrecimiento de sus productos y servicios, dado el impacto en el riesgo operativo por fallos en los mismos. Sección 1. Aspectos generales. 26

Principios vs. Com. A 4609 Principios Basilea II Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo. Control de TI/SI Relevancia vinculada a TI/SI La función de auditoría de TI/SI deberá estar lo suficientemente preparada de acuerdo al perfil de riesgo y automatización de los procesos de negocio, incluyendo la provision de suficientes fondos para la contratación de especialistas, cuando sea necesario. 2.5.2. Control de gestión. 27

Principios vs. Com. A 4609 Principios Basilea II Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Las políticas como los procedimientos deben estar claramente escritos, identificar los riesgos que mitigan, ser formalmente comunicados, mantenerse actualizados, establecer la asignación de responsabilidades, y ser la base de la coordinación y realización de las tareas, como así también el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas de la entidad. 2.2. Políticas y procedimientos. 28

Principios vs. Com. A 4609 Principios Basilea II Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y documentados sobre los sistemas de información, la tecnología informática y sus recursos asociados. Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser formalmente reportados al Directorio, que será el responsable primario de gestionar que las debilidades que expongan a la entidad financiera a niveles de riesgo operativo alto o inaceptable sean corregidas a niveles aceptables. 2.3. Análisis de Riesgos. 29

Principios vs. Com. A 4609 Principios Basilea II Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Se deberá evidenciar la existencia de reportes formales, que sean el resultado del control ejercido en los procesos automatizados, que mayores riesgos implícitos posean, y los mismos reflejen los desvíos sobre los riesgos residuales y las practicas de control ejercida. 2.1. Comité de Tecnología Informática. Integración y funciones. 30

Principios vs. Com. A 4609 Principios Basilea II Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben definir una estrategia de protección de activos de TI/SI, que conlleve control y reducción de los riesgos, que les permita optimizar la efectividad en la administración y el control de los mismos. Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico, su impacto en el negocio, los requerimientos y los estándares vigentes. Para ello deben asignar claramente roles y responsabilidades en materia de seguridad, comprometiendo a los máximos niveles directivos y gerenciales Sección 1. Aspectos generales. 2.3. Análisis de Riesgos. 31

Principios vs. Com. A 4609 Principios Basilea II Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad. Gobierno de la continuidad Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos. Debe asegurar la existencia y la provisión de los recursos necesarios para la creación, mantenimiento y prueba de un plan de recuperación del procesamiento electrónico de datos. El mismo deberá ser operable y funcional, acorde a los requerimientos de negocio de la entidad financiera y de los organismos de control. Deberá designarse formalmente un área o sector, que será responsable de la creación, mantenimiento y prueba satisfactoria del plan de recuperación del procesamiento electrónico de datos. La continuidad es considerada como un proceso que se inicia con la recuperación durante la contingencia, y concluye con la vuelta a la normalidad una vez controladas las causas que generaron dicha contingencia. Sección 4. Continuidad del procesamiento electrónico de datos. 32

Principios vs. Com. A 4609 Principios Basilea II Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos de TI/SI que impacten en el riesgo operativo de la entidad, para ello deberán tener en lugar controles internos que como mínimo satisfagan las expectativas del regulador. Sección 1. Aspectos generales. 33

Principios vs. Com. A 4609 Principios Basilea II Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco. Auditoría de TI/SI Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la existencia de políticas, practicas y procedimientos que regulen las actividades y controlen los riesgos, y que los mismos, junto con los procesos que se vinculen, estén siempre en condiciones de ser auditados y permitan evidenciar sanas practicas de control. Verificación de adecuación normativa y gestión del riesgo 34

Principios vs. Com. A 4609 Principios Basilea II Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo. Difusión y escalación Relevancia vinculada a TI/SI El Alta Dirección, es la responsable de hacer evidente a sus clientes, y accionistas, la aplicación de sanas practicas en la mitigación de los riesgos, como por ejemplo informando en cada uno de los canales electrónicos, cuales son las políticas de seguridad de alto nivel que se aplican. Verificación de adecuación normativa y gestión del riesgo 35

Ejs. Eventos/Causas - > Com. A 4609 Basilea II Fraude interno Fraude externo Relaciones laborales y seguridad en el puesto de trabajo Causas probables relacionadas con TI/SI Modificación indebida de programas, Modificación de funciones o uso no autorizado, Manejo indebido de funciones de sistema operativo, Uso indebido de hardware, Cambios indebidos a sistemas o datos por hacking, Uso o copia de software violando copyrights, Abuso de las atribuciones o privilegios,... Cambios indebidos a sistemas o datos por hacking, Acceso externo a información confidencial, Intercepción de comunicaciones en forma no autorizada, Uso indebido de derechos en los accesos remotos, Ataques de virus y/o malware,... Mal uso de software, hardware y/o otros recursos, Abusos de autoridad y/o privilegios, Descuidos intencionales en la protección de la seguridad, Incompetencia funcional,... Com. A 4609 2.5.3. Segregación de funciones. 3.1.2. Estrategia de seguridad de acceso a los activos de información. 3.1.4. Política de protección. 3.1.4.3. Programas de utilidad con capacidades de manejo de datos - Usuarios privilegiados y de contingencia. 3.1.2. Estrategia de seguridad de acceso a los activos de información. 3.1.4. Política de protección. 3.1.4.5 Alertas de seguridad y software de análisis. 3.1.4.6. Software malicioso. 2.5.3. Segregación de funciones. 36

Ejs. Eventos/Causas - > Com. A 4609 Basilea II Daños a activos materiales Prácticas con los clientes, productos y negocios Alteraciones en la actividad y fallos en los sistemas Ejecución, entrega y procesamiento Causas probables relacionadas con TI/SI Daño intencional o accidental de activos de información y/o recursos de tecnología,... Malas practicas llevadas por terceras partes vinculadas, Divulgación de proyectos confidenciales,... Fallas o malfuncionamiento de hardware / software, Fallas en las telecomunicaciones, Perdida de recursos humanos, Destrucción de software / datos, Ataques de virus, Fallas de los resguardos de información, Ataques de denegación de servicio, Errores de configuración, Eventos adversos,... Errores o fallas en medios electrónicos, Estaciones de trabajo no atendidas, Errores en el control de cambios a programas, Ingreso incompleto en el ingreso de las transacciones, Errores en el ingreso o salida de datos, Errores en la programación o en las pruebas... Com. A 4609 3.2. Implementación de los controles de seguridad física aplicados a los activos de información. 3.1.5.1. Control y monitoreo. 4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. 4.4. Plan de continuidad del procesamiento de datos. 5.3. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos. 4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. 37

Finalmente no nos encontremos así 38

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS COM. A 4609 Principales interpretaciones de las consultas efectuadas por las Cámaras de Entidades Financieras Asociadas

PREGUNTAS?

Lic. Marcelo H. González (mgonzalez@bcra.gov.ar)

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback