Post on 09-Feb-2017
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Gestión de riesgo operacional
Vicente Lazen J.
Jefe División Custodia y Liquidación de ValoresSuperintendencia de Valores y SegurosChile
“Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica “Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
• Riesgo operacional– ¿Qué es?– Principio 17 Infraestructuras del Mercado Financiero– Estándares y mejores prácticas
• Riesgo y gestión de tecnología – Disponibilidad, desempeño y capacidad– COBIT– ITIL– ISO 27.001
• Continuidad operacional o de negocios
• Situación en Iberoamérica
Temario
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Riesgo operacional. ¿Qué es?
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Principios para las Infraestructuras del Mercado Financiero (IMF).
Principio 17: Riesgo Operacional
“Una IMF deberá identificar todas las fuentes plausibles de riesgo operativo, tanto internas como externas, y minimizar su impacto a través del uso de sistemas, controles y procedimientos adecuados. Los sistemas deberán disponer de un alto grado de seguridad y fiabilidad operativa, y tendrán una capacidad adecuada y versátil. Los planes de continuidad del servicio deberán tener como objetivo la recuperación oportuna de las operaciones y el cumplimiento de las obligaciones de la IMF, incluso en caso de que se produzcan alteraciones a gran escala.“
Riesgo operacional
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Riesgo operacional
Principio 17: Consideraciones clave
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo operacional
Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado.
Objetivos
1.Efectividad y eficiencia en las operaciones2.Confiabilidad de la información financiera3.Cumplimiento de políticas, leyes y normas
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico
• Las IMF son altamente intensivas en el uso de sistemas tecnológicos– Manejan grandes volúmenes de información– Cada transacción es altamente automatizada– Invierten fuertemente en tecnología
• Los sistemas de tecnologías de información están compuestos por:
– Aplicaciones – Información– Infraestructura– Personas (que operan estos recursos)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. Disponibilidad, desempeño y capacidad
Existe una estrecha relación entre los conceptos de disponibilidad, desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia, compensación y liquidación. Esta interconexión de los tres elementos es esencial para desarrollar la estrategia y determinar la adecuación de las entidades a los objetivos que les impone el mercado.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. COBIT
• Marco de trabajo de control interno de TI para las empresas.
• Entrega un marco de buenas prácticas para definir y alinear los objetivos de TI con los requerimientos y objetivos del negocio, básicamente desde la perspectiva del control.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. COBIT
COBIT define los siguientes aspectos en el contexto de riesgo tecnológico:
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. ITIL
• ITIL provee un marco de trabajo de mejores prácticas para la gestión de servicios de TI y se enfoca en la medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente.
• ITIL divide las actividades en procesos, proporcionando un marco eficaz para lograr una gestión de servicios TI más madura, de modo de optimizar y mejorar la coordinación de los procesos.
• Concepto de mejora continua
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. ISO 27.001.
• ISO 27.001 es un estándar de seguridad de la información
• Especifica los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información, para así preservar la integridad, confidencialidad y disponibilidad de la información.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo Tecnológico. ISO 27.001
ISO 27.001 establece como requerimientos para gestionar la seguridad de la información lo siguiente:
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios
• Se define como gestión de continuidad de negocios a la actividad que se lleva a cabo en una organización para garantizar la continuidad de un proceso ante un evento que afecte o interrumpa su normal funcionamiento, producto de terremoto, pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad.
• En el caso de las IMF, el atraso o suspensión de su funcionamiento implica consecuencias operacionales y financieras, las que incluso pueden ser de carácter sistémico.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios. Estándar BS 25999
Estándar BS 25999:– Identificar los servicios críticos.– Desarrollar un plan de gestión de crisis.
Definir un tiempo de recuperación objetivo para los servicios críticos
– Plan de continuidad de negocios cuyo fin es documentar las estrategias de respuesta y sus planes de recuperación de los servicios para reducir el impacto de una amenaza
– Plan de recuperación de mediano plazo.
– Pruebas periódicas de los planes mencionados
– Sistemas de comunicación alternativos
– ¿Qué servicios recuperar?– ¿Qué hacer cuando se produce la crisis?– ¿Cuánto puede tardar la recuperación?
– ¿Cómo recuperar los servicios? ¿Dónde se realiza el respaldo?
– ¿Cómo reponer la infraestructura?
– ¿Son efectivos los planes en un escenario de crisis?
– ¿Cómo contactar a los usuarios y las autoridades?
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Situación en Iberoamérica
• Prácticas presentes en Iberoamérica
– En algunos países se establecieron responsabilidades en el organigrama• Unidad de gestión de riesgos• Unidad de auditoría• Comité de riesgo operacional• Oficial de cumplimiento
– En otros se definieron las políticas, roles y normas fuera de un organigrama• Normas de seguridad, políticas, procedimientos, roles y manuales definidos en gran
parte de la región.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Situación en Iberoamérica
• Estándares más empleados: COBIT e ISO 27.001
• Continuidad de negocios– Políticas y procedimientos de contingencia,– Pruebas periódicas – Disponibilidad de sitios alternativos y de respaldo– Sitios de respaldo actualizados en tiempo real, generadores, grupos
electrógenos y planes de contingencia.
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Gestión de riesgo operacional
Vicente Lazen J.
Jefe División Custodia y Liquidación de ValoresSuperintendencia de Valores y SegurosChile
“Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica “Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012