Diseño de un prototipo de software para el control...

Diseño de un prototipo de software para el control estratégico de riesgos operacionales en una entidad financiera.

UNIVERSIDAD TECNOLOGICA DEL PERUFACULTAD DE INGENIERIA INDUSTRIAL Y SISTEMASEscuela Académico Profesional de Ingeniería de Sistemas

“Diseño de software para el control estratégico de riesgos operacionales en cajas o financieras”

Tesis de pre - grado:“Proyectos de Ingeniería Sistemas I”

Alumno:Acosta Guillen Víctor Raúl

Docente Asesor:

Carlos Zorrilla V.

LIMA – PERU2012

Proyectos de Ingeniería Sistemas I Página 1


INDICE

1. Formulación del problema….……………...……….…..........................3

1.1. Planteamiento de Problema………………………………....….3

1.2. Antecedentes de Solución………………………………………5

1.3. Propuesta de Solución………………………………………......7

1.4. Alcance de la Propuesta……………………………………...…8

1.5. Justificación ………………………………………………….....8

1.6. Objetivos……………………………………………..………......9

1.6.1. Objetivo General……………………………………......9

1.6.2. Objetivos Específicas………………………………........9

2. Marco Teórico………………………………………………………………..10

3. Marco Metodológico………………………………………………………….23

4. Aspectos Administrativos…………………………………………………….40

5. Bibliografía…………………………………………………………………….50

6. Anexos…………………………………………………………………………..54



1. Formulación del problema.

1.1 Planteamiento del problema.

En la actualidad nos damos cuenta que las cajas y financieras tienen pérdidas directas e

indirectas debido a que no administran o gestionan adecuadamente los riesgos

operacionales relacionados a procesos internos inadecuados, sistemas tecnológicos no

actualizados, errores humanos y eventos externos, etc.

A: Recursos.

1.- Acceso difícil o moderado a las TIC.

2.- Poco tiempo para revisar los procesos.

3.-Bajos recursos financieros.


1

2

3

6

5

4

10

8

9

7

11

12

14

13

F

A B

C D E

DIAGRAMA DE ISHIKAWA


B: Entidades reguladoras.

4.-Falta de adecuación a la normativa de la SBS(037 – 08).

5.-En caso de fraude (INDECOPI).

6.-Falta de adecuación a la normativa de la SBS (2116 – 09).

C: RECURSOS HUMANOS.

7.-Falta de personal especializado en esta área.

8.-Poca capacitación a los integrantes de la organización.

9.-Baja descentralización.

10.-Falta de establecimiento de roles.

D: METODOLOGIA.

11.-Inadecuado manejo de las técnicas y métodos para evaluar procesos.

12.-Falta de un modelo organizativo y estratégico.

E: PERDIDAS ECONOMICAS.

13.-Falta de un registro de pérdidas.

14.-Falta de reportes para administrar esta información.

F: INADECUADA ADMINISTRACION DEL RIESGO OPERACIONAL EN

CAJAS O FINANCIERAS.



1.2 Antecedentes de solución.

El Comité de Basilea fue establecido en 1975 por los presidentes de los bancos centrales de

los once países miembros del Grupo de los Diez (G-10) y desde un inicio se constituyó en

un foro de discusión para fomentar la mejora y la convergencia de las prácticas y

normativas de supervisión bancaria(cajas y financieras), buscando perfeccionar las

herramientas de fiscalización internacional, a través de acercamientos y de estándares

comunes.

En 1988, el Comité aprobó el denominado Acuerdo de Capital de Basilea (Basilea I), que

introducía un requerimiento de patrimonio (recursos propios) del 8% en función de los

riesgos asumidos, principalmente de crédito.

En junio de 2004 se publica los acuerdos de Basilea II cuyo principal propósito es la

creación de un estándar internacional que sirva de referencia a los reguladores bancarios

(cajas y financieras), con objeto de establecer los requerimientos de capital necesarios, para

asegurar la protección de las entidades frente a los riesgos financieros y operativos.

Posteriormente como se señala en la siguiente cronología los países a través de sus entes

reguladores del sistema financiero empiezan a adoptar los acuerdos y recomendaciones

propuestos en Basilea II.



Figura 1.1. Cronología de Avances en la Implementación de Acuerdos de Basilea II

En el Perú, la Superintendencia de Banca y Seguros (SBS), ha implementado un proceso

de estandarización de procesos de control que las entidades del sistema financiero deben

cumplir para adecuarse a los estándares internacionales y a las mejores prácticas con

relación a la administración de estos riesgos.

La Superintendencia, emitió el año 2002, la Circular Nº G-105-2002 la misma que estipula

los puntos de partida que se debe considerar para la adecuada administración de los riesgos

de tecnología de información y la elaboración de los respectivos documentos de apoyo el

plan de seguridad de información y el plan de continuidad de negocio, a esto se suma la

reciente Circular Nº 37-2008 la cual establece la adecuación al nuevo enfoque de

Administración Integral de Riesgos.

En junio de 2004, se aprobó un Nuevo Acuerdo de Capital, el cual establece una serie de

principios y recomendaciones sobre Supervisión Bancaria, cuyo objetivo es propiciar la

convergencia regulatoria hacia los estándares más eficaces y avanzados sobre medición y



gestión de los principales riesgos en la industria bancaria. Cabe señalar que uno de los

puntos que se desprende de los principios propuestos por el Comité de Basilea II (Nuevo

Acuerdo de Capital - NAC), es que las entidades financieras deberán de establecer y

asignar el capital necesario a posible materialización de los eventos de riesgos que

pudieran generar una crisis bancaria.

Finalmente, en abril del 2009 se emitió la Resolución Nº 2116-2009, Reglamento de la

Gestión Integral de Riesgos, que establece que las empresas supervisadas deben contar con

una gestión integral de riesgos adecuada a su tamaño y a la complejidad de sus operaciones

y servicios. Esta resolución se complementa con la circular Nº G-140-2009, Gestión de la

seguridad de la información, con la finalidad de establecer criterios mínimos para una

adecuada gestión de la seguridad de la información.

1.3 Propuesta de solución.

Las cajas y financieras requieren un diseño de un prototipo de software para el control

estratégico de riesgos operacionales en una entidad financiera (aplicación tecnológica)

consistente, integrado y flexible que facilite la adopción de un proceso eficiente de

Administración de Riesgos Operativos, con la finalidad de registrar, monitorear estos

riesgos para facilitar la toma de decisiones, minimizando las pérdidas económicas.

Además, este diseño de un prototipo de software para el control estratégico de riesgos

operacionales en una entidad financiera permitirá identificar/calificar, definir estrategias,

medir y hacer seguimiento a estos que son inmersos en los procesos del banco.

1.4 Alcance de la propuesta



Lo establecido en el presente software, debe ser cumplido por todas las unidades orgánicas

y colaboradores de las entidades financieras que intervienen en los procesos.

Este sistema comprenderá los siguientes módulos.

Registro de riesgos (colaboradores).

Identificar y reportar todo evento de riesgo o evento de pérdida.

Registro de controles (analista).

Proponer acciones para el tratamiento de los eventos de riesgo operacional.

Registro de planes de acción (gestor).

Identificar, documentar, proponer opciones de mitigación (control) y monitorear los

riesgos operacionales en la unidad de negocio.

Generación de reportes personalizados y gráficos (líder).

Supervisar que la información de los reportes internos enviada desde / hacia el

Departamento de Riesgo Operacional sea efectivamente evaluada y que sean tomadas las

acciones adecuadas.

Alertas de recordatorios a los usuarios de las acciones próximas a vencer (vencimientos

de planes de acción).

1.5 Justificación

Es ofrecer un verdadero retorno de la inversión, al ofrecer información valiosa para la toma

de decisiones y acompañamiento para la optimización del software de gestión de riesgos.

En este contexto, a nivel internacional se han desarrollado algunos sistemas relacionados a

la administración de riesgos operacional como son el ObjectRisk, sistema de

Administración de Riesgo Operativo que posibilita la creación de programas integrados de

Gestión de Riesgo para cumplir el Nuevo Acuerdo de Basilea II, de la empresa Microsoft.

Así también, el sistema Accelerate de la empresa Chase Cooper, que permite facilitar la

labor de análisis, evaluación, registro y comunicación de riesgos identificados. Cabe



mencionar que ambos sistemas utilizan una arquitectura cliente servidor lo que genera

grandes costos operativos (licencias, soporte, instalación, hardware) y dependencia de la

empresa propietaria del software.

1.6 Objetivos

1.6.1 Objetivo General

Minimizar los riesgos Operacionales en las Cajas o Financieras para que estas se

mantengan de manera sólida en el tiempo..

Diseñar un software para el control estratégico de riesgos operacionales en cajas o

financieras, este diseño permitirá la identificación, evaluación, tratamiento y

monitoreo de eventos de riesgo, registro de eventos de pérdida, definición y monitoreo

de indicadores de riesgo operacional posibilitando la consolidación de eventos de

riesgos por unidad de negocio, y aquellos riesgos materializados presentados en los

diferentes procesos que soporta la institución financiera.

1.6.2 Objetivos Específicos

Diseñar un Sistema de Control de riesgos operacionales en cajas o financieras

Brindar a la alta dirección información clara y fácil de comprender mediante una

visión consolidada de los riesgos operacionales

CAPITULO II2. MARCO TEORICO



2.1. Sistema Financiero.El sistema financiero está conformado por el conjunto de Instituciones bancarias, financieras y demás empresas e instituciones de derecho público o privado, debidamente autorizadas por la Superintendencia de Banca y Seguro, que operan en la intermediación financiera, como son: El sistema bancario, el sistema no bancario y el mercado de valores. El estado participa en el sistema financiero en las inversiones que posee en COFIDE como banco de desarrollo de segundo piso, actividad habitual desarrollada por empresas e instituciones autorizada a captar fondos del público y colocarlos en forma de créditos e inversiones. Es el conjunto de instituciones encargadas de la circulación del flujo monetario y cuya tarea principal es canalizar el dinero de los ahorristas hacia quienes desean hacer inversiones productivas. Las instituciones que cumplen con este papel se llaman “Intermediarios Financieros” o “Mercados Financieros”. La eficiencia de esta transformación será mayor cuanto mayor sea el flujo de recursos de ahorro dirigidos hacia la inversión.El que las distintas unidades económicas se posicionen como excedentarios deficitarias podrá ser debido a razones como: la riqueza, la renta actual y la esperada, la posición social, si son unidades familiares o no lo son, la situación económica general del país y los tipos de interés (las variaciones de estos puede dar lugar a cambios en los comportamientos en las unidades de gasto).El concepto "sistemas financieros" hace referencia a las diversas formas de ahorro y préstamo y a las transacciones de paga bancarias. Cuando se habla de mercado financiero debe entenderse que se trata de la oferta y demanda de servicios financieros. En una misma sociedad pueden coexistir tres tipos de agentes económicos que ofrecen servicios financieros.

2.1.1. Servicios financieros formales: Son ofrecidos por agentes institucionales bajo la supervisión de las autoridades monetarias. Se ubican en este sector los bancos privados, estatales, comerciales e instituciones financieras especializadas.

2.1.2. Servicios financieros semi-formales: Son agentes institucionales pero no pertenecen al sector bancario. Se ubican en este sector cajas rurales, cooperativas de ahorro y crédito y programas de ONGs.

2.1.3. Servicios financieros informales: Los agentes y las motivaciones son muy diversas. Pertenecen a este sector una red familiar o comunal que facilita el acceso a dinero, bienes y servicios. En este sector se ubican usureros, prestamistas, familiares y amigos.

2.2. ImportanciaEl sector financiero es un sector de servicios, intermedio entre la oferta y demanda de servicios financieros y ofrece a las partes del mercado involucradas la posibilidad de tramitar sus transacciones financieras, de tal forma que un sector financiero bien desarrollado es prioritario para el desarrollo de la economía. En muchos países en vías de desarrollo la prestación de servicios financieros se limita a ciertos factores y a determinados grupos de clientes. La importancia del sector en el ámbito de la economía y en el ámbito político. Las intervenciones del gobierno o del banco central pueden adoptar diferentes formas y conciernen asuntos como: la estabilización o ajuste del tipo de cambio, la influenciarían del clima de las inversiones y la tramitación de las finanzas gubernamentales. Si bien los países difieren en la escala de intervención de gobierno y en el grado hasta el cual han estabilizado y reestructurado sus economías, la tendencia es a confiar más en el sector privado y en las señales del mercado para la asignación de recursos. Para obtener todos los beneficios de la confianza en las decisiones voluntarias del



mercado, se necesitan sistemas financieros eficientes. Un sistema financiero ofrece servicios que son esenciales en una economía moderna. El empleo de un medio de intercambio estable y ampliamente aceptado reduce los costos de las transacciones, facilita el comercio y, por lo tanto, la especialización en la producción. Los activos financieros con rendimiento atractivo, liquidez y características de riesgo atractivas estimulan el ahorro en forma financiera. Al evaluar las opciones de inversión y supervisar las actividades de los prestatarios, los intermediarios financieros aumentan la eficiencia del uso de los recursos. El acceso a una variedad de instrumentos financieros permite a los agentes económicos mancomunar el riesgo de los precios y del comercio. El comercio, el uso eficiente de los recursos, el ahorro y el asumir riesgos son la base de una economía en crecimiento. La importancia del sector financiero como promotor de la innovación tecnológica y el crecimiento económico en el largo plazo, mediante su función de intermediación (transformación del ahorro en inversión) ha llevado a que diversos autores desde el siglo XIX estudien la relación entre el grado de desarrollo financiero y el crecimiento económico en los países, buscando determinar la relación de causalidad existente. Esta sección presenta la estructura del sistema financiero, su importancia en la economía y la evidencia empírica que sustenta como condición necesaria, para la existencia de crecimiento económico en el largo plazo, una mayor profundización financiera.

2.3. La Intermediación FinancieraEs el Proceso por el cual las instituciones financieras trasladan recursos de los agentes superavitarias hacia los agentes deficitarios. La intermediación Financiera puede ser de dos clases:

2.3.1. Intermediación Financiera Directa: Es aquella donde existe un contacto directo entre los agentes superavitarios y loa agentes deficitarios. La intermediación directa se realiza en el “ Mercado de valores” ,donde concurren los agentes deficitarios emitiendo acciones y bonos ,para venderlos a los agentes superavitarios y captar recursos de ellos, que será invertido en actividades productivas .Esta regulada y supervisados por la comisión Nacional Supervisora de empresas y valores (conacev).2.3.2. Intermediación Financiero Indirecta: Es aquella donde el agente superavitarios no logra identificar al agente deficitario .Por ejemplo: Un ahorrista que ha depositado su dinero en el banco .No logra identificar a a la persona que solicitara su dinero del préstamo. Se realiza en el sistema bancario y el sistema no bancario, son regulados y supervisados por la superintendencia de Banca y Seguros (SBS).

2.4. Instituciones que conforman el sistema financiero Bancos.

Financieras.

Compañía de Seguros.

AFP.

Banco de la Nación.

COFIDE.

Bolsa de Valores.


http://www.monografias.com/trabajos14/nuevmicro/nuevmicro.shtml

http://www.monografias.com/trabajos901/debate-multicultural-etnia-clase-nacion/debate-multicultural-etnia-clase-nacion.shtml

http://www.monografias.com/trabajos5/segu/segu.shtml


Bancos de Inversiones.

Sociedad Nacional de Agentes de Bolsa

2.5. Entes reguladores y de control del sistema financiero

2.5.1. Banco Central de Reserva del Perú

Encargado de regular la moneda y el crédito del sistema financiero. Sus funciones principales son:

Propiciar que las tasas de interés de las operaciones del sistema financiero, sean determinadas por la libre competencia, regulando el mercado.

La regulación de la oferta monetaria

La administración de las reservas internacionales (RIN)

La emisión de billetes y monedas.

2.5.2. Superintendencia de Banca y Seguro (SBS)

Organismo de control del sistema financiero nacional, controla en representación del estado a las empresas bancarias, financieras, de seguros y a las demás personas naturales y jurídicas que operan con fondos públicos.La Superintendencia de Banca y Seguros es un órgano autónomo, cuyo objetivo es fiscalizar al Banco Central de Reserva del Perú, Banco de la Nación e instituciones financieras de cualquier naturaleza. La función fiscalizadora de la superintendencia puede ser ejercida en forma amplia sobre cualquier operación o negocio.

2.5.3. Comisión Nacional Supervisora de Empresas y Valores (CONASEV).Institución Pública del sector Economía y Finanzas, cuya finalidad es promover el mercado de valores, velar por el adecuado manejo de las empresas y normar la contabilidad de las mismas. Tiene personería jurídica de derecho público y goza de autonomía funcional administrativa y económica.

2.5.4. Superintendencia de Administración de Fondos de Pensiones (SAFP).Al igual que la SBS, es el organismo de Control del Sistema Nacional de AFP.


http://www.monografias.com/Administracion_y_Finanzas/index.shtml

http://www.monografias.com/Administracion_y_Finanzas/Contabilidad/

http://www.monografias.com/trabajos16/finanzas-operativas/finanzas-operativas.shtml

http://www.monografias.com/trabajos54/resumen-economia/resumen-economia.shtml

http://www.monografias.com/trabajos7/mafu/mafu.shtml

http://www.monografias.com/trabajos36/naturaleza/naturaleza.shtml

http://www.monografias.com/trabajos16/objetivos-educacion/objetivos-educacion.shtml

http://www.monografias.com/trabajos36/administracion-y-gerencia/administracion-y-gerencia.shtml

http://www.monografias.com/trabajos/ofertaydemanda/ofertaydemanda.shtml

http://www.monografias.com/trabajos13/mercado/mercado.shtml

http://www.monografias.com/trabajos7/compro/compro.shtml

http://www.monografias.com/trabajos7/tain/tain.shtml

http://www.monografias.com/trabajos7/mafu/mafu.shtml

http://www.monografias.com/trabajos14/control/control.shtml


Fuente: http://es.scribd.com/doc/36065350/EL-SISTEMA-FINANCIERO-PERUANO

2.5. Clases.

2.5.1. Sistema Financiero Bancario

Este sistema está constituido por el conjunto de instituciones bancarias del país. En la actualidad el sistema financiero Bancario está integrado por el Banco Central de Reserva, el Banco de la Nación y la Banca Comercial y de Ahorros. A continuación examinaremos cada una de éstas instituciones.

2.5.2. Banco Central De Reserva Del Perú (BCRP)Autoridad monetaria encargada de emitir la moneda nacional, administrar las reservas internacionales del país y regular las operaciones del sistema financiero nacional.Es una entidad estatal autónoma, tiene a su cargo la política monetaria y cambiaria de nuestro país .Es conocida también como la autoridad monetaria, fue fundada en 1931 por recomendación de la misión Kemmerer. Su finalidad es preservar la estabilidad monetaria.Sus Funciones Son:

Regular la cantidad de dinero.

Administrar las reservas internacionales.

Emitir billetes y monedas.

Informar sobre las finanzas nacionales


http://es.scribd.com/doc/36065350/EL-SISTEMA-FINANCIERO-PERUANO


2.5.3. Banco De La Nación

Es el agente financiero del estado, encargado de las operaciones bancarias del público. Creado en 1996, tiene como finalidad principal proporcionar a todos los órganos del sector público nacional servicios bancarios. Sus funciones son:

Recauda los tributos y consignatario Es depositario de los fondos de las empresas estatales.

Garante y mediador de las operaciones de contratación y servicios de la deuda pública.

Realiza pagos de deuda externa

Agente financiero del estado

2.5.4. Banca Comercial

Instituciones financieras cuyo negocio principal consiste en recibir dinero del público en depósito o bajo cualquier otra modalidad contractual, y en utilizar ese dinero, su propio capital y el que obtenga de otras cuentas de financiación en conceder créditos en las diversas modalidades, o a aplicarlos a operaciones sujetas a riesgos de mercado.Entre estos bancos tenemos:

Banco de Crédito

Banco Internacional del Perú – INTERBANK

Banco Continental

Banco Financiero del Perú

Banco del comercio

HSBC

Scotiabank

Banco falabella

Banco ripley

2.6. El sistema no bancario

Es el conjunto de instituciones que realizan intermediación indirecta que cap t an y cana l i z an r e cu r sos , pe ro no ca l i f i c an c omo ba ncos , en t r e e s to s tenemos a:

2.6.1. Financieras:


http://www.monografias.com/trabajos35/tipos-riesgos/tipos-riesgos.shtml

http://www.monografias.com/trabajos5/cuentas/cuentas.shtml

http://www.monografias.com/trabajos13/capintel/capintel.shtml

http://www.monografias.com/trabajos16/marx-y-dinero/marx-y-dinero.shtml


Instituciones que pueden realizar diversas operaciones de financiamiento y captar recursos financieros del público según modalidades, a exc epc ión de l o s depós i to s a l a v i s t a . A demá s f a c i l i t a l a co l ocac i ón de primeras emisiones de valores y operan con valores mobiliarios.

2 . 6 . 2 C o f i d e ( C o r p o r a c i ó n F i n a n c i e r a d e D e s a r r o l l o )

Institución administrada por el estado que capta y Canaliza, orientada a fomentar el de s a r ro l l o p roduc t i vo de l a s peque ñas y m ed ia nas empres a s de l s ec to r empresas del sector industrial.

2.6.3. Compañías de Seguro

Empresas que cubren diversos riesgos: robos, pérdidas, quiebras, siniestros. Se aseguran todo tipo de negocios, empresas, automóviles, casas, etc. Estas compañías se comprometen a indemnizar a los afectados asegurados a cambio del pago de una prima.

2.6.4. Comparativas de Ahorro y Crédito

Son asociaciones que auguran a sus mie mbros e l m e jo r s e rv i c io a l más ba jo p r ec i o . Ex i s t en muchos t i pos de c o o p e r a t i v a s , p e r o s o l o l a s d e a h o r r o y c e r d i t o p e r t e n e c e n a l s i s t e m a financiero.

2.6.5. Caja Rurales

Se organizan bajo la forma de asociaciones, con el objeto d e c a p t a r d i n e r o d e s u s a s o c i a d o s y d e t e r c e r o s p a r a p r o p o r c i o n a r y desarrollar actividades económicas ligadas al agro de la región.

2 . 6 . 6 . A F P

Empre sa s que cap t a n r ecu r s os de l o s t r aba j ado re s , me d ian t e e l de s cuen t o de un po rcen t a j e o s ue l dos , que van a cons t i t u i r un fondo de previsión individual.

2.7. Indicadores financieros

La Superintendencia de Banca y Seguros (SBS) presenta unos indicadores sobre la banca múltiple, para mostrar como sigue su comportamiento en determinados niveles, como liquidez, solvencia, eficiencia, etc.

2.7.1. Indicadores de liquidez

Son hallados dividiendo los activos líquidos de la banca múltiple entre los pasivos de corto plazo. Estos indicadores tratan de medir que tan propensa está la banca múltiple ante problemas de riesgos de liquidez, por eso usa sus activos más disponibles en el momento para cubrir la salida de los depósitos que son retirados de los bancos cada día. La SBS pone unos límites para este indicador, estos tienen que estar por encima del 8% en moneda nacional y 20% para moneda extranjera.



2.7.2 El indicador de riesgo de solvencia

Son los activos y créditos ponderados por riesgo versus el patrimonio efectivo (en número de veces); quiere decir, que los créditos que tienen cierto nivel de riesgo, podrían ser cubiertos por el patrimonio de la entidad bancaria ante posibles problemas de riesgos de solvencia; mientras menor sea el ratio cabe la posibilidad de que la banca tenga menos problemas de solvencia.

2.7.3. El indicador de riesgo de crédito

Es el ratio de cartera atrasada entre colocaciones directas (la cartera atrasada está definida como los créditos pendientes a partir de 4 meses de su vencimiento, créditos vencidos por mayor tiempo y los que se encuentran en cobranza judicial, ya que es el ratio más cercano que es usado por otros bancos extranjeros para ver niveles de morosidad).

2.7.4. El ratio que ve los niveles de cobertura

Que es provisiones entre la cartera atrasada. Podemos observar que las provisiones dadas por la banca múltiple para cubrir las colocaciones atrasadas comienza con un 83% de cobertura para terminar en 127% donde se cubre totalmente cualquier problema que hubiera en la calidad de cartera (el período de análisis va de nuevo de Marzo de 1998 a Junio de 2003). Observamos que los niveles de cobertura son totales respecto a la cartera atrasada a partir de Junio del 2001 sobrepasando a partir de allí del 100 % de cobertura (debido a que la cartera atrasada muestra cierta tendencia decreciente, mientras que las provisiones tienen tendencia creciente).

2.8. Riesgo operacional.

Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.Las empresas deben realizar una gestión adecuada del riesgo operacional que enfrentan, para lo cual observarán los criterios mínimos indicados en el presente Reglamento.

2.8.1. Gestión Integral de Riesgos

Según el avance en las buenas prácticas para la administración de riesgos, este se ha ido incrementando en el alcance de su evaluación. En primer lugar, el riesgo tradicional que evaluaban las empresas financieras, se basó en el riesgo de créditos. El 15 de Julio de 1988 el Comité de Basilea publica el ACB ó Basilea I, el cual establecía el acuerdo de convergencia que uniforma medir la adecuación del capital en los bancos para asegurar su solvencia. Este ACB sólo tenía en cuenta el riesgo de crédito y no hacía ninguna referencia al riesgo de mercado.En Enero de 1996 se efectuó la enmienda al ACB88 que incorpora el Riesgo de Mercado con lo cual la gestión de riesgos adopta un esquema financiero, de créditos y de mercado.Posteriormente, a finales de la década de los noventa, Basilea II introduce novedades en el Riesgo Crediticio y además por primera vez tiene en cuenta el Riesgo de Operación que incluye los Riesgos de tecnología de información, aspecto que cada día tiene más



importancia en la operatoria de los Instituciones Financieras. A partir de esa fecha, se inicia el tratamiento integral de Riesgos y su administración da origen a la Gestión Integral de Riesgos. La Gestión Integral de Riesgos, ha dado origen al tratamiento de los riesgos estratégicos, los riesgos legales y morales que las empresas deben considerar.

2.8.1. Factores que originan el riesgo operacional

2.8.1.1 Procesos internos

Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, relacionados al diseño inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.

2.8.1.2. Personal

Las empresas deben gestionar apropiadamente los riesgos asociados al personal de la empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, entre otros.

2.8.1.3. Tecnología de información

Las empresas deben gestionar los riesgos asociados a la tecnología de información, relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología, entre otros aspectos.

2.8.1.4. Eventos externos

Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, entre otros factores.

2.8.2. Eventos de pérdida por riesgo operacional

Los eventos de pérdida por riesgo operacional pueden ser agrupados de la manera descrita a continuación:

2.8.2.1. Fraude interno

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilícito.

2.8.2.2. Fraude externo



Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito.

2.8.2.3. Relaciones laborales y seguridad en el puesto de trabajo

Pérdidas derivadas de .Actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados con la diversidad o discriminación.

2.8.2.4 Clientes, productos y prácticas empresariales

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

2.8.2.5. Daños a activos materiales

Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

2.8.2.6. Interrupción del negocio y fallos en los sistemas

Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas.

2.8.2.7. Ejecución, entrega y gestión de procesos

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

2.9. Conceptos técnicos.

Los conceptos técnicos que serán utilizados en la presente investigación serán: Uml(Lenguaje Unificado de Modelado)

Base de datos

Lenguaje de programación

2.9.1 Lenguaje Unificado de Modelado (UML):

Por sus siglas en inglés, Unified Modeling Language) es el lenguaje de modelado de sistemas software más conocido y utilizado en la actualidad; está respaldado por el OMG (Object Management Group). Es un lenguaje gráfico para visualizar, especificar, construir y documentar un sistema. UML ofrece un estándar para describir un "plano" del sistema (modelo), incluyendo aspectos conceptuales tales como procesos de negocio, funciones del sistema, y aspectos concretos como expresiones de lenguajes de programación, esquemas de bases de datos y compuestos reciclados.Es importante remarcar que UML es un "lenguaje de modelado" para especificar o para describir métodos o procesos. Se utiliza para definir un sistema, para detallar los artefactos


http://es.wikipedia.org/wiki/Object_Management_Group

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Modelado


en el sistema y para documentar y construir. En otras palabras, es el lenguaje en el que está descrito el modelo.

UML cuenta con varios tipos de diagramas, los cuales muestran diferentes aspectos de las entidades representadas.

2.9.1.1. Diagrama de casos de uso

Que muestra a los actores (otros usuarios del sistema), los casos de uso (las situaciones que se producen cuando utilizan el sistema) y sus relaciones.

2.9.1.2. Diagrama de clases

Que muestra las clases y la relaciones entre ellas.

2.9.1.3. Diagrama de secuencia

Muestra los objetos y sus múltiples relaciones entre ellos.

2.9.1.4. Diagrama de colaboración

Que muestra objetos y sus relaciones, destacando los objetos que participan en el intercambio de mensajes.

2.9.1.5. Diagrama de estado

Muestra estados, cambios de estado y eventos en un objeto o en parte del sistema.

2.9.1.6. Diagrama de actividad

Que muestra actividades, así como los cambios de una a otra actividad junto con los eventos que ocurren en ciertas partes del sistema.

2.9.1.7. Diagrama de componentes

Que muestra los componentes de mayor nivel de la programación (cosas como Kparts o Java Beans).

2.9.1.8. Diagrama de implementación

Que muestra las instancias de los componentes y sus relaciones.

2.9.1.9. Diagrama de relaciones de entidad

Que muestra los datos y las relaciones y restricciones entre ellos.


http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#entity-relationship-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#class-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#state-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#activity-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#state-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#collaboration-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#sequence-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#class-diagram

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-elements.html#use-case-diagram


Figura: Esquemas en Uml

2.9.1.10. Fases.



2.9.2. Base de datos

Para el desarrollo de la Base de datos se recomienda utilizar el Ms. Sql Server 2005 puesto que es un sistema de gestión de base de datos relacional, multihilo y multiusuario.

2.9.3. Lenguaje de programación

Se recomienda que el desarrollo del sistema sea con Microsoft ASP.NET.puesto que nos facilitara el desarrollo de aplicaciones con herramientas modernas.

2.10. Nuevo Acuerdo de Capital (NAC) - BASILEA II

A mediados de los años 90 y finalmente, en junio de 2004, se aprobó un Nuevo Acuerdo de Capital (Basilea II), cuyo objetivo es propiciar la convergencia regulatoria hacia los estándares más eficaces y avanzados sobre medición y gestión de los principales riesgos en la industria bancaria. El Comité de Basilea forma parte del Banco Internacional de Pagos (BIS) y fue creado por acuerdo de los representantes de los Bancos Centrales de los 10 países más industrializados con el propósito de formular una serie principios y estándares de supervisión bancaria, los que han sido acogidos no solo por los países miembros, sino por la mayoría de países en el mundo. Se indica que los países pertenecientes al G10, deberán de comenzar a implementar a partir del 2007 todo lo definido en Basilea II en sus versiones más simples y a partir de 2008 en sus versiones más avanzadas.Más allá de proponer metodologías más sensibles al riesgo para el cálculo del capital regulatorio, Basilea II plantea reglas prudenciales específicas para las instituciones de crédito, apuntando a incentivar la estabilidad del sistema financiero dando mayor importancia a los sistemas de control interno, a la administración de los bancos y a la disciplina de mercado. Es así que Basilea II se puede definir como un marco global de supervisión bancaria, basado en tres pilares:

Los Requerimientos Mínimos de Capital



El Proceso de Examen del Supervisor

La Disciplina de Mercado.

Cabe señalar que uno de los puntos que se desprende de los principios propuestos por el Comité de Basilea II (Nuevo Acuerdo de Capital - NAC), es que las entidades financieras deberán de establecer y asignar el capital necesario a la protección de los activos de Tecnología que pudieran generar una crisis bancaria.En abril de 2003, la SBS decidió asumir el reto de la implementación y adecuación de lo propuesto por el comité de Basilea y estableció el Comité Especial Basilea II (CEB), en el cual se encuentran representadas las diversas áreas de la Superintendencia involucradas en este proyecto. Entre las principales labores que viene realizando este Comité se encuentran las siguientes:

Diseño de la supervisión según los principios de Basilea II.

Adecuación estructura orgánica.

Acceso a información nivel de operación: Nueva Central de Riesgos.

El establecimiento de procedimientos de supervisión y mecanismos de alerta.

Evaluación cuantitativa del impacto de la implementación del NAC en el sistema financiero peruano.

Identificación de los principales cambios en la regulación y estudio de nuevas normas.

Diseño del marco de transparencia ajustado a Basilea II.

Como se podrá apreciar los objetivos de la emisión de los documentos (normas, resoluciones, circulares, buenas prácticas, etc.) son:

Las empresas supervisadas cuenten con un sistema de control de riesgos que les permita identificar, medir, controlar y reportar los riesgos de tecnología de información que estas enfrentan.

Incidir en la identificación de riesgos de tecnología, de los Procesos Críticos de la entidad financiera.

Tener un control adecuado de los Activos de TI.

Asignar el capital necesario, para la protección de los activos, ante el posible desenlace de un riesgo.

CAPITULO III3. Marco Metodológico.Situación Actual



Definir y desplegar la metodología de evaluación de riesgos operacionales para los cambios significativos, nuevos productos, y pruebas de efectividad de controles.

Situación Con La Propuesta

Fortalecimiento de la gestión del riesgo operacional en la Financieras universal con quienes deseemos mejorar el control interno de este tipo de riesgos y que tenga planificado la obtención de la autorización del método estándar alternativo (Menor capital para provisionar por este tipo de riesgo).

3.1. Metodología para el análisis y diseño de la solución

3.1.1. Nivel de investigación

Esta investigación es de carácter descriptivo ya que se pretende a través de esta la identificación de los fundamentos teóricos del modelo del riesgo operativo, se utilizara la metodología coso – erm en la evaluación de los riesgos operativos.

3.1.2 Diseño de la investigación

Es más bien toda la información, que recopilamos de una investigación realizada, el producto final de un estudio (sus resultados) así tenemos mayores posibilidades de éxito para generar conocimientos.Lo cual indica que el diseño es de tipo experimental y este tipo de diseño permite lograr una perspectiva general de la situación objeto de estudio.

3.1.3 Metodologías para la Gestión del Riesgo Operacional

3.1.3.1. Metodología Magerit

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Magerit es una metodología promovida por el CSAE (Consejo Superior de Administración Electrónica), cuya finalidad es sistematizar el análisis de los riesgos a los que están sometidos los sistemas de información. Conocer los riesgos a los que están sometidos los activos de una empresa es el primer paso para poder protegerlos. Magerit no propone un método milagroso para eliminar los fallos sino una aproximación metódica que no dependa de la pericia del técnico que realiza el análisis de riesgos. Para la dirección de una empresa el temor a lo desconocido es lo peor y es el origen de la desconfianza en los sistemas de información. Magerit es una metodología que nos permite tener bajo control los posibles fallos de los sistemas de información: es decir sabemos lo que pueden pasar (con mucha, bastante o poca probabilidad) y sabemos que hacer cuando esto ocurra para recuperar lo antes posible la actividad empresarial.Esta metodología está enfocada a las Administraciones Públicas fue emitida el año de 1997 y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, Actualizada en 2012 en su versión 3.La razón de ser de Magerit está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.Magerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.



Magerit interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

Figura. ISO 31000 - Marco de trabajo para la gestión de riesgos

3.1.3.1.1 Objetivos de MAGERIT:

3.1.3.1.1.1. Directos: Concienciar a todos los usuarios de los sistemas de información de la

existencia de riesgos y de cómo poder controlarlos cuanto antes. Los usuarios de los sistemas de información son todos los empleados de una empresa, desde el director general al último becario. Todos usan los sistemas de información, todos deben de estar implicados.

Magerit nos presenta un método sistematizado para el análisis de los riesgos de los sistemas de información. Al darnos un marco de trabajo fomenta las buenas prácticas y asegura, a la empresa que lo utiliza, que no está a merced de la pericia del consultor de turno.

Una vez que el análisis a descubierto los riesgos, a los que nuestro sistema de información está expuesto, Magerit nos ayuda a planificar las medidas oportunas para controlarlos.

3.1.3.1.1.2. Indirectos:



Una vez que tenemos los riesgos analizados y controlados y nuestro personal formado, Magerit ayuda a la empresa a prepararse para el proceso de certificación, interna o externa.

Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

3.1.3.2. Metodología Octave

Es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation“. Es una técnica efectiva de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001 y fue creada por la oficina de patentes y negocios de los Estados Unidos.Además es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo, esta técnica está en contra de la consultoría enfocada en el campo tecnológico, que tiene como objetivo los riesgos tecnológicos y en los temas tácticos, se enfoca en el riesgo organizacional y su objetivo principal son los temas relativos a la estrategia y a la práctica.Octave equilibra los siguientes aspectos:

Riesgos operativos

Prácticas de seguridad

Tecnología.

Lo cual permite a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica.

3.1.3.2.1. Características:

Es diferente de los análisis tradicionales enfocados a la tecnología

Es Auto dirigido

Flexible

3.1.3.2.2. Objetivos De Octave:

Permitir la comprensión del manejo de los recursos.

Identificación y evaluación de los riesgos que afectan la seguridad dentro de una organización.

Exige llevar la evaluación de la organización y del personal de la tecnología de información.

Fomentar el trabajo en equipo desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT), trabajaran juntos direccionados



a las necesidades de seguridad, balanceando los tres aspectos: RIESGOS OPERATIVOS, PRACTICAS DE SEGURIDAD Y TECNOLOGIA(ver figura )

El método Octave se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos:

3.1.3.2.3. Fases

3.1.3.2.3.1. Fase 1

Durante esta fase se identifica la información de la organización. Los procesos que se realizan en esta fase son:

Establecer criterios de evaluación de impacto

Identificar sus criterios de seguridad

Identificar sus amenazas

Analizar los procesos tecnológicos relacionados

3.1.3.2.3.2. Fase 2

En esta fase se examina la infraestructura tecnológica y se realizan los siguientes procesos: Examinar rutas de acceso

Analizar procesos tecnológicos

3.1.3.2.3.3. Fase 3



Durante esta fase se realiza la identificación de los riesgos, así como también se realizan estrategias de mitigación y planes de protección. Los procesos que intervienen en esta fase son:

Evaluar el impacto de las amenazas

Evaluar la probabilidad de ocurrencia de amenazas

Seleccionar formas de mitigación de riesgos

Desarrollar planes de mitigación de riesgos

3.1.3.3. Metodología Cramm

Cramm es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA) del gobierno del Reino Unido.El significado del acrónimo proviene de CCTA Risk Analysis and Management Method. Su versión inicial se comenzó a desarrollar en 1987 y la versión vigente es la 5.2.Esta metodología que utiliza técnicas cualitativas para el análisis y gestión de riesgos, se desarrolla en tres etapas distintas, a las que se asocian una serie de cuestionarios, objetivos y guías.

Identificación de Riesgos.

Análisis de Riesgos.

Evaluación de Riesgos.

El modelo de análisis y gestión de riesgos de CRAMM puede resumirse en la siguiente figura.

3.1.3.3.1. Objetivos:

Proveer un marco conceptual genérico para el establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación del riesgo.



Especificar los elementos del proceso de administración de riesgos, sin forzar a la uniformidad en el sistema de administración del riesgo. Cabe señalar que este sistema de administración es influenciada necesariamente por las necesidades de la organización, sus objetivos particulares, sus productos y servicios, y los procesos y prácticas específicas empleadas.

3.1.3.4. Metodología Coso

En el contexto internacional quien regula las normas y medidas internacionales es el Comité de Supervisión Bancaria de Basilea BCBS.El tema de los riesgos no es nuevo, data desde 1949 con la definición de control interno, en 1987 la emisión de Basilea I, en 1992 se publicó un informe denominado Internal Control – Integrated Framework (IC-IF), conocido también como COSO I,debido a la preocupación y al aumento del interés en la gestión de riesgo durante la segunda mitad de los años 90,el comité de las organizaciones que patrocinaban la comisión de treadway(coso)determino que había una necesidad de un marco común de gestión integral de riesgo. En el 2001 la comisión contrato a Pricewaterhouse Coopers para desarrollar un marco para evaluar y mejorar la gestión de riesgo en las organizaciones,es es allí donde se crea COSO – ERM este es una ampliación de COSO I para la gestión integral de riesgo pero no para sustituir el marco de control interno. En setiembre del 2004 se publico el estudio ERM(Enterprise Risk Management) integrated frameworken.

3.1.3.4.1. Metodología Coso Erm.

Es una metodología para gestionar los riesgos corporativos, décimos que riesgo es todo evento o posible evento que de materializarse podría causar pérdidas a la empresa, entre ellas, financieras, de imagen, etc. Es responsabilidad de la dirección de las empresas y de la gerencia general el gestionar los riesgos y niveles de apetito a los mismos.Como vemos en el concepto de riesgo, todo tipo de empresa afronta riesgos, desde los riesgos con el contexto externo como la competencia, nuevos entrantes el sector, conocimiento de los clientes, hasta los riesgos internos a la empresa como son procesos no eficientes ni efectivos, problemas con las personas, problemas con servicios de las tecnologías de información, etc. Los etapas de esta metodología, están basadas en componentes del modelo COSO-ERM, documento marco utilizado como mejores prácticas para la gestión de riesgos empresariales.



En adelante explicaremos esta metodología COSO II – ERM en una forma más detallada:



3.1.3.4.1.1. Los Objetivos.

3.1.3.4.1.1.1. Estratégicos: Relacionados con las metas de alto nivel, alineadas y dando soporte a la misión / visión del negocio.

3.1.3.4.1.1.2. Operativos: Referidos a la eficiencia y eficacia de las operaciones de la organización, incluyendo su rendimiento y rentabilidad. Lo cual varían según las opciones adoptadas por la gerencia en cuanto a estructura y rendimiento.

3.1.3.4.1.1.3. Reporte (presentación de resultados): referidos a la fiabilidad de la información suministrada por la organización, que incluye datos internos y externos, así como información financiera y no financiera.

3.1.3.4.1.1.4. Cumplimiento: Referidos al cumplimiento de las leyes y normas de la organización.

3.1.3.4.1.2. Los Componentes:



3.1.3.4.1.2.1. Actividades Primarias De La Gestión De Riesgos

3.1.3.4.1.2.1.1. Actividades De Control Políticas y procedimientos

Preventivos

Detectivos

Correctivos

Manuales

Automáticos

3.1.3.4.1.2.1.2. Respuesta Al Riesgo Evitar

Reducir

Compartir

Aceptar



3.1.3.4.1.2.1.3. Evaluación De Riesgos Técnicas cualitativas

Técnicas cuantitativas

3.1.3.4.1.2.1.4. Identificación De Riesgos

3.1.3.4.1.2.1.4.1. Fuente Interna Proceso

Personas

Sistemas

Infraestructura

3.1.3.4.1.2.1.4.2. Fuente Externa Económicos

Negocio

Tecnológicos

Políticos

Sociales

3.1.3.4.1.2.1.5. Establecimiento De Objetivos Estratégico

Operacionales

Reporte

Cumplimiento

3.1.3.4.1.2.2. Dirección Y Soporte

3.1.3.4.1.2.2.1. Monitoreo Actividades Continuas (Kri)

Actividades Esporádicas

3.1.3.4.1.2.2.2 Información Y Comunicación Identificación y capturacion de datos

Datos internos y externos

Datos históricos

Esquemas de reportes



3.1.3.4.1.2.2.3. Ambiente De Control Administración de riesgo

apetito de control

Supervisión de directorio

Integridad, valores éticos y competencia del personal

Autoridad, roles y responsabilidades y estructura

3.1.3.4.1.3. Ámbito De Aplicación

3.1.3.4.1.3.1. Nivel De Entidad

Relativo a una organización concreta en su conjunto siendo el más alto nivel.

3.1.3.4.1.3.2 División

Comprende un conjunto de actividades relacionadas como negocios, líneas de producto,etc.

3.1.3.4.1.3.3 Unidad De Negocio

Elemento considerado unitario en la organización principal

3.1.3.4.1.3.4 Subsidiaria

Organización dependiente de la organización principal.

3.1.3.4.1.4. Beneficios De Coso ERM.

• Alinear las estrategias y el apetito del riesgo de la organización.• Interrelacionar crecimiento, riesgo y rentabilidad.• Mejorar la toma de decisiones sobre respuestas al riesgo.• Reducir sorpresas y pérdidas operacionales.• Identificar y gestionar la diversidad de riesgos por compañía y grupo agregado.•Proveer respuesta integral ante múltiples riesgos.• Aprovechar las oportunidades derivadas de eventos potenciales de riesgos.• Mejorar la asignación de capital.

3.1.3.4.1.5. LimitacionesSi bien el ERM proporciona importantes beneficios, existen también limitaciones.Además de los factores antes mencionados, las limitaciones se derivan de temas que involucran el factor humano como el buen o mal juicio que un directivo tenga en la toma de decisiones en torno al tratamiento de riesgos y la definición de controles donde es necesario considerar la relación costo/beneficio, muchas desviaciones pueden producirse a



causa de fallos humanos, como simples errores u omisiones, los mismos controles pueden ser evitados por la colusión de dos o más personas, y por último es la misma dirección la que tiene la decisión final con respecto al desarrollo del ERM. Estas limitaciones pueden causar que el Consejo de Administración y la dirección no tengan una certeza absoluta de la consecución de los objetivos de la entidad.Otras limitaciones pueden ser las enumeradas a continuación:

Escasos recursos

Responsabilidades Indefinidas

Ausencia de beneficios tangibles

Falta de capacidad aptitudes

Plan de Implementación difuso

3.1.3.4.1.6. Etapas de la Metodología para la Evaluación de Riesgos OperacionalesLa estructura de la metodología comprende las siguientes etapas:

Figura Etapas de la Metodología

3.1.3.4.1.6. Identificación de Riesgos

Figura Pasos para identificar los riesgos.

Luego del estudio de las metodologías para el riesgo operacional (Magerit, Octave, Cramm, Coso-ERM), la metodología que propongo es COSO – ERM porque es la que más se adecua al tema en estudio (riesgo operacional).La metodología propuesta comprende las etapas de identificación, evaluación y tratamiento de los riesgos. La evaluación del riesgo comprende la determinación del impacto y la probabilidad de ocurrencia de cada uno de los riesgos identificados. El tratamiento se refiere a aquellas medidas o acciones que se toman con la finalidad de prevenir la ocurrencia o minimizar el impacto del riesgo.

3.2. Metodología para el estudio de factibilidad (viabilidad) de la solución

3.2.1. Factibilidad

3.2.1.1. Leyes y Normas



En el presente proyecto se tomara como base la resolución 2116 - 2009 de la SBS, además del comité de Basilea esta evidenció la necesidad de fortalecer la regulación, supervisión y gestión de riesgos del sector bancario, el Comité de Basilea inició en el 2009 la reforma de Basilea Inactualmente llamada Basilea III. En este sentido, la SBS actualmente está evaluando la implementación de estos cambios de acuerdo a la realidad peruana1. Para lo cual se ha normado mediante la Resolución SBS Nº 2116 – 2009 para la Gestión del Riesgo Operacional y la Circular SBS Nº 140 – 2009 para la Gestión de la Seguridad de la Información.Esto también nos permitirá brindar un mejor servicio a nuestros clientes de nuestra financiera universal, porqué le brindaremos diversas soluciones a menor tiempo.

3.2.2 Determinación de la viabilidad

El estudio de viabilidad no consiste en un estudio completo de los sistemas.se trata de recopilar suficientes datos para que los directivos a su vez, tengan los elementos necesarios para decidir si debe procederse a realizar un estudio de sistemas. Los datos para el estudio de viabilidad se “pueden” recopilar mediante las entrevistas, sin dejar de abordar el problema correcto.El tipo de entrevista apropiado se relaciona directamente con el problema o la oportunidad bajo análisis.

3.2.3. Determinación de los recursos

Los recursos se analizan desde la perspectiva de tres áreas de viabilidad.Viabilidad técnica Viabilidad económicaViabilidad operativa

3.2.3.1 Viabilidad técnica

Se analiza ante un determinado requerimiento o idea para determinar si es posible llevarlo a cabo satisfactoriamente y en condiciones de seguridad con la tecnología disponible, verificando factores diversos como resistencia estructural, durabilidad, operatividad, implicaciones energéticas, mecanismos de control, según el campo del que se trate.Ventaja

En este punto es beneficioso el conocimiento de los analistas de sistemas sus experiencias y contactos.Desventaja

Es ocasiones son costosos y no redituibles.Pues no cumplen las necesidades con eficiencia.Hardware

3.2.3.1.1 Servidor Web IIS (Internet Information Services)

Los servicios que ofrece son: FTP, SMTP, NNTP y HTTP/HTTPS.

1


http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol

http://es.wikipedia.org/wiki/Network_News_Transport_Protocol

http://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

http://es.wikipedia.org/wiki/File_Transfer_Protocol

http://es.wikipedia.org/wiki/Tecnolog%C3%ADa


Los servicios de Internet Information Services proporcionan las herramientas y funciones necesarias para administrar de forma sencilla un servidor web seguro.

El servidor web se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo, Microsoft incluye los de Active Server Pagés (ASP) y ASP.NET. También pueden ser incluidos los de otros fabricantes, como PHP o Perl.

3.2.3.1.2. Servidor De Aplicaciones

Es un servidor en una red de computadores que ejecuta ciertas aplicaciones. Usualmente se trata de un dispositivo de software que proporciona servicios de aplicación a las computadoras cliente. Un servidor de aplicaciones generalmente gestiona la mayor parte (o la totalidad) de las funciones de lógica de negocio y de acceso a los datos de la aplicación. Los principales beneficios de la aplicación de la tecnología de servidores de aplicación son la centralización y la disminución de la complejidad en el desarrollo de aplicaciones

Software

3.2.3.1.3. Microsoft ASP.NET.


http://es.wikipedia.org/wiki/Red_de_computadoras

http://es.wikipedia.org/wiki/Servidor

http://es.wikipedia.org/wiki/Perl

http://es.wikipedia.org/wiki/PHP

http://es.wikipedia.org/wiki/ASP.NET

http://es.wikipedia.org/wiki/Active_Server_Pages

http://es.wikipedia.org/wiki/Active_Server_Pages

http://es.wikipedia.org/wiki/Servidor_web


Puesto que nos facilitara el desarrollo de aplicaciones con herramientas modernas y es el más adecuado para tener uniformidad con nuestro servidor web (internet information services o iis) ya que será utilizado en este proyecto3.2.3.1.3. Ms. Sql Server 2005

Puesto que es un sistema de gestión de base de datos relacional, multihilo y multiusuario.

3.2.3.2 Viabilidad Económica:

Determina si el tiempo y el dinero están disponibles para desarrollar el sistema, incluye lo siguiente.

Tiempo de los analistas de los sistemas

Costo del estudio de sistemas

Costo estimado del hardware

Costo del software comercial o del desarrollo de software.

Costo Beneficio.

El análisis de costo-beneficio es una técnica importante dentro del ámbito de la teoría de la decisión. Pretende determinar la conveniencia de proyecto mediante la enumeración y valoración posterior en términos monetarios de todos los costos y beneficios derivados directa e indirectamente de dicho proyecto. Este método se aplica a obras sociales, proyectos colectivos o individuales, empresas privadas, planes de negocios, etc., prestando atención a la importancia y cuantificación de sus consecuencias sociales y/o económicas.

Estimación de Costo – Beneficio (egresos)

Recursos Can

tC/u (S/.) CT(S/.)


http://es.wikipedia.org/w/index.php?title=Costo_indirecto&action=edit&redlink=1

http://es.wikipedia.org/w/index.php?title=Costo_directo&action=edit&redlink=1

http://es.wikipedia.org/wiki/Proyecto

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_la_decisi%C3%B3n

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_la_decisi%C3%B3n


Hardware Servidor Web IIS (Internet Information Services) 1 2500 2500Servidor De Aplicaciones 1 2500 2500Laptop i5 4 0 0impresora 1 0 0

5000Recursos de Software

Ms. Sql Server 2005 1 200 200Microsoft ASP.NET. 1 350 350office 4 0 0sistema operativo server 4 0 0licencia server 4 0 0

550Personal

Jefe de Proyecto 1 6000 6000Analista de Sistemas. 1 4000 4000Ingeniero de Software 1 3000 3000Programadores. 1 2500 2500

15500Infraestructura

Oficina 1 0 0escritorio para laptop 4 0 0Sillas 4 0 0Internet 0 0Papel,lapiceros,etc 0 0 0 21050

Estimación de Costo – Beneficio (egresos)Venta de software 1 25000 25000

Estimación de Costo – Beneficio (utilidad)

IngresoEgresos utilidad

Venta de software 25000



Hardware 5000 Software 550

Infraestructura 0

Personal 15500

25000 21050 3950

TirLa TIR puede utilizarse como indicador de la rentabilidad de un proyecto: a mayor TIR, mayor rentabilidad; así, se utiliza como uno de los criterios para decidir sobre la aceptación o rechazo de un proyecto de inversión. Para ello, la TIR se compara con una tasa mínima o tasa de corte, el coste de oportunidad de la inversión (si la inversión no tiene riesgo, el coste de oportunidad utilizado para comparar la TIR será la tasa de rentabilidad libre de riesgo). Si la tasa de rendimiento del proyecto - expresada por la TIR- supera la tasa de corte, se acepta la inversión; en caso contrario, se rechaza.

Van

El VAN es un indicador financiero que mide los flujos de los futuros ingresos y egresos que tendrá un proyecto, para determinar, si luego de descontar la inversión inicial, nos quedaría alguna ganancia. Si el resultado es positivo, el proyecto es viable.

Basta con hallar VAN de un proyecto de inversión para saber si dicho proyecto es viable o no. El VAN también nos permite determinar cuál proyecto es el más rentable entre varias opciones de inversión. Incluso, si alguien nos ofrece comprar nuestro negocio, con este indicador podemos determinar si el precio ofrecido está por encima o por debajo de lo que ganaríamos de no venderlo.

3.2.3.3 Viabilidad Operacional:

Si el sistema se usará cuando se instale, si el sistema será utilizado, quién utilizará el sistema, qué capacidades se requieren.

instalación del Software okutilización del sistema okcapacitación de personal ok

CAPITULO IV4. Aspectos Administrativos.4.1. Índice preliminar de la tesis


http://es.wikipedia.org/wiki/Coste_de_oportunidad

http://es.wikipedia.org/wiki/Coste_de_oportunidad


INTRODUCCION1 CAPITULO I. PLANTEAMIENTO METODOLÓGICO 1.1 Antecedentes 1.2 Definición del problema 1.3 Objetivos 1.3.1 Objetivo General 1.3.2 Objetivos Específicos 1.4 Justificación 1.4.1 Justificación de carácter Teórico 1.4.2 Justificación de carácter Práctico 1.5 Propuesta Metodológica 1.6 Organización de la tesina2 CAPITULO II.- MARCO TEORICO 2.1 Conceptos Inmersos en los Riesgos de Tecnología 2.1.1 Metodología 2.1.2 Riesgo 2.1.3 Calificación y cuantificación de un riesgo 2.1.4 Concepto de Riesgo de Tecnología de Información 2.1.5 Gestión Integral de Riesgos 2.1.6 Seguridad de Información 2.1.7 Plan de Continuidad de Negocios 2.1.8 Orígenes de la Administración de los Riesgos de Tecnología 2.1.9 Nuevo Acuerdo de Capital (NAC) - BASILEA II 2.1.10 Información y Sistema Informático 2.1.11 Confidencialidad 2.1.12 Integridad 2.1.13 Disponibilidad 2.1.14 Amenazas a la Información 2.1.15 Ataques Pasivos 2.1.16 Ataques Activos 2.1.17 Otros Aspectos Relacionados3 CAPITULO III. ESTADO DEL ARTE METODOLÓGICO 3.1 Metodologías Similares 3.1.1 Metodología MAGERIT 3.1.2 Metodología OCTAVE 3.1.3 Metodología CRAMM4 CAPITULO IV. DESARROLLO DE LA SOLUCIÓN O DEL ESTUDIO 4.1 Introducción 4.2 Objetivo General 4.3 Alcance 4.4 Base Legal o Administrativa 4.5 Definición de Términos 4.6 Disposiciones Generales 4.7 Disposiciones Específicas 4.7.1 Metodologías para la Gestión del Riesgo Operacional 4.7.2 Etapas de la Metodología para la Evaluación de Riesgos Operacionales 4.7.2.1 Identificación de Riesgos 4.7.2.1.1 Analizar el Contexto 4.7.2.1.2 Identificar Riesgos 4.7.2.2 Evaluación de Riesgos



4.7.2.2.1 Evaluar Riesgos 4.7.2.2.2 Identificar Controles 4.7.2.2.3 Evaluar la Efectividad de los Controles 4.7.2.3 Tratamiento de riesgos 4.7.2.3.1 Definir Tratamiento 4.7.2.3.2 Monitorear Planes de Acción 4.8 Responsabilidades 4.8.1 De la División Riesgos De Operación 4.8.2 De las Jefaturas de Departamento 4.8.3 De la División de Soporte Regional y Zonal Lima 4.8.4 Del Analista de Riesgos de Operación 4.8.5 Del Coordinador de Riesgos 4.8.6 Del Administrador de Sucursales y Agencias de Lima y Provincias 4.8.7 El Coordinador de Eventos de Perdida 4.8.8 Del Departamento de Auditoria5 CAPÍTULO V. DESCRIPCIÓN DE LA SOLUCIÓN TECNOLÓGICA 5.1 Especificación de Requerimientos del Software (SRS) 5.1.1 Introducción 5.1.2 Propósito 5.1.3 Alcance 5.1.4 Definiciones 5.1.5 Referencias 5.1.6 Generalidades 5.1.7 Consideraciones y Dependencias 5.2 Requerimientos Funcionales 5.2.1 Funcionalidad 5.2.1.1 Registro de las cuentas Contables 5.2.1.2 Reporte Requerimiento de Pérdida por Riesgo Operacional por Riesgo Operacional 5.2.1.3 Almacenar Histórico del Requerimiento de Eventos de Pérdida por Riesgo Operacional 5.2.1.4 Reportes Estadísticos 5.2.1.5 Seguridad 5.2.1.6 Configuración y Mantenimiento 5.3 Modelo de Paquetes / Módulos 5.3.1 Paquete Configuración y Mantenimiento 5.3.2 Paquete Ingreso de Datos 5.3.3 Reportes y Estadísticas 5.4 Modelo de Casos de Uso 5.5 Resumen de Actores y Casos de Uso 5.6 Reporte de Requerimientos 5.6.1 Sistemas Operativos 5.6.2 Sistema de Gestión de Base de Datos 5.6.3 Servidor de Aplicaciones 5.6.4 Servidor Web 5.6.5 Otras Aplicaciones 5.7 Requerimientos No Funcionales 5.7.1 Facilidad de Uso 5.7.1.2 Facilidad de ingreso 5.7.1.3 Minimización del Error



5.7.1.4 Navegación 5.7.1.5 Entendimiento del aplicativo 5.8 Confiabilidad 5.8.1 Tiempo de Duración de Sesión del Usuario 5.9 Desempeño 5.9.1 Tiempo de Respuesta 5.9.2 Tiempo de espera 5.10 Facilidad de Soporte 5.10.1 Sobre el estándar para la codificación de los programas. 5.10.2 Sobre el estándar para Diseño de la Base de Datos 5.11 Restricciones de Diseño 5.11.1 Restricciones sobre la Arquitectura 5.11.2 Estructura en Capas de la Arquitectura 5.11.2.2 Sobre el Lenguaje de Programación 5.11.3 Restricciones sobre los Componentes 5.12 Interfaces 5.12.1 Interfaces de Usuarios 5.12.2 Interfaces de Hardware 5.12.3 Interfaces de Software 5.12.4 Interfaces de Comunicación 5.13 Documentación en Línea y Requerimientos de Ayuda del Sistema 5.14 Requerimientos de Licencia 5.15 Metodología de Desarrollo 5.16 Componentes Adquiridos 5.17 Otros Estándares Aplicables6. CONCLUSIONES Y RECOMENDACIONES7. REFERENCIAS BIBLIOGRÁFICAS8. ANEXOS

4.2. Presupuesto y cronograma de actividades

Tesis I:



Tesis II.



Explicación del diagrama Gantt:



dias laborados lunes a vierneshoras laboradas diarias 8horas laboradas por semana 40horas laboradas por mes(4 semanas)(hlm) 160

salario personal promedio(s.p) 8000costo por hora(s.p)/(hlm) 50horas laboradas por semana en el proyecto 8

DIAS HORA p/ total



S hPROYECTO DE TESIS 195

TESIS I90 días

CAPITULO 1:Formulacion del Problema30 días

Planteamiento del Problema 5 días 8 50 400Antecedentes de Solucion 5 días 8 50 400Propuesta de Solucion 5 días 8 50 400Alcance de la Propuesta 5 días 8 50 400Justificacion 5 días 8 50 400Objetivos 5 días 8 50 400Objetovo General 2 días Objetivo Especifico 3 días

CAPITULO 2:Marco Teorico15 días

UML 5 días 8 50 400Base de Datos 5 días 8 50 400Lenguaje de Programacion 5 días 8 50 400

CAPITULO 3:Marco Metodologico40 días

Metodología para el análisis y diseño de la solución30 días 48 50 2400

Metodología para el estudio de factibilidad (viabilidad) de la solución

10 días 16 50 800

CAPITULO 4:Aspectos Administrativos 5 días 8 50 400Indice preliminar de la tesis 1 día Presupuesto y cronograma de actividades 4 días TESIS II 105

CAPITULO 1:Introduccion20 días 32 50 1600

Motivacion y justificacion 5 días 8 50 400Antecedentes de la investigacion 5 días 8 50 400Objetivos 5 días 8 50 400Contribuciones del trabajo 5 días 8 50 400

CAPITULO 2:Marco Teorico25 días

Marco Metodologico 5 días 8 50 400

Marco Tecnologico10 días 16 50 800

Marco Metodologicodel modelo de validacion10 días 16 50 800

CAPITULO 3:Diseño de la solucion45 días

Metodologia a aplicar 5 días 8 50 400Analisis del problema 20 32 50 1600



días

Diseño de la Propuesta20 días 32 50 1600

CAPITULO 4:Validacion del modelo10 días 16 50 800

Instrumentos y tecnicas 5 días 8 50 400Diseño del Prototipo 5 días 8 50 400CAPITULO 5:Concluciones yRecomendaciones 5 días 8 50 400Conclusiones 3 días Recomendaciones 2 días

360 501800

0

4.2.1. Presupuesto

Aquí explicaremos todo lo relacionado a los recursos requeridos para el presente proyecto como el costo de estos.Para el cálculo de los costos se tomo en consideración lo siguiente:

- Duración de ambos cursos (09 meses en total):

Duración total del proyecto de tesis:195 días(tesis I:90 días y tesis II:105 días)

- Horas semanales : 40 horas

Recursos Tipo Cant C/u (S/.) Duración CT(S/.)



Hardware Servidor Web IIS (Internet Information Services)

Material 1 2500 2500

Servidor De AplicacionesMaterial 1 2500 2500

Laptop i5Material 4 0 0

impresora Servicio 1 0 0 5000Software

Ms. Sql Server 2005Material 1 200 200

Microsoft ASP.NET.Material 1 350 350

officeMaterial 4 0 0

sistema operativo serverMaterial 4 0 0

licencia serverMaterial 4 0 0

550Personal

Jefe de ProyectoPersonal 1 6000 9 54000

Analista de Sistemas. Personal 1 4000 9 36000

Ingeniero de SoftwarePersonal 1 3000 9 27000

Programadores. Personal 1 2500 9 22500

139500Infraestructura Oficina Servicio 1 0 0

escritorio para laptopMaterial 4 0 0

SillasMaterial 4 0 0

Internet Servicio 0 0

Papel,lapiceros,etcMaterial 0 0

0

145050

c/u costo unitario



ct costo totalhardware costo fijo(en duracion del proyecto)software costo fijo(en duracion del proyecto)

personalcosto varable(sueldo mensual se multiplica por nueve)

infraestructura costo cero porque proporcionara la empresac/u costo unitarioct costo totalhardware costo fijo(en duración del proyecto)software costo fijo(en duración del proyecto)

personalcosto varable(sueldo mensual se multiplica por nueve)



5. REFERENCIAS BIBLIOGRÁFICAS

http://es.wikipedia.org/wiki/Viabilidad_t%C3%A9cnica

http://es.scribd.com/doc/25589271/Viabilidad-del-proyecto-Kendall

http://www.slideshare.net/ligtningfleeting/etapa-de-estudio-de-viabilidad-de-un-proyecto-informtico-c4#btnNext

http://www.classrating.com/sisfin2011.pdf


http://www.monografias.com/trabajos82/el-sistema-financiero/el-sistema-financiero.shtml

http://www.biblioteca.udep.edu.pe/BibVirUDEP/tesis/pdf/1_104_43_64_964.pdf

http://es.wikipedia.org/wiki/Riesgo_financiero

www.sbs.gob.pe/.../Riesgo%20Operacional%2021..

(BUSCAR COMO RESOLUCION 2116 SBS)

www.sbs.gob.pe/.../0/0/.../Riesgo%20Operacional%202116-2009_r.doc

http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P800292251293651550991&langPae=es&detalleLista=PAE_1276529683497133

http://www.belt.es/expertos/HOME2_experto.asp?id=5374

http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-%E2%80%93-metodologias-ii/

http://seguridadenlasredes.wordpress.com/2010/08/12/metodologias-de-analisis-de-riesgos-magerit-y-octave/

http://dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf


http://es.wikipedia.org/wiki/Viabilidad_t%C3%A9cnica

http://es.scribd.com/doc/25589271/Viabilidad-del-proyecto-Kendall



http://www.classrating.com/sisfin2011.pdf


http://www.monografias.com/trabajos82/el-sistema-financiero/el-sistema-financiero.shtml

http://www.biblioteca.udep.edu.pe/BibVirUDEP/tesis/pdf/1_104_43_64_964.pdf

http://es.wikipedia.org/wiki/Riesgo_financiero

http://www.sbs.gob.pe/.../0/0/.../Riesgo%20Operacional%202116-2009_r.doc

http://es.wikipedia.org/wiki/Magerit_(metodolog%C3%ADa)




http://www.belt.es/expertos/HOME2_experto.asp?id=5374



http://dspace.ups.edu.ec/bitstream/123456789/573/4/CAPITULO2.pdf



http://www.sbs.gob.pe/.../Riesgo%20Operacional%2021..


http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf

http://www.buenastareas.com/ensayos/Control-Interno-y-Coso-Erm/2516670.html

http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO---Control-Interno-en-Organizaciones.htmlhttp://gubernamental-salinas.blogspot.com/2008/04/informe-coso-coso-erm.html

http://empresa-lider.blogspot.com/2008/11/metodologa-de-riesgos-coso-erm.html

http://auditor2006.comunidadcoomeva.com/blog/uploads/1-PresentacinRafaelRuano-PriceWaterHouseCoopers-COSOII-ERMyelRoldelAuditorInterno.pdfiphone.elmayorportaldegerencia.com/.../%5BPD%... –(Aplicación práctica de la implantación de la Gestión Integral de Riesgos (ERM) - COSO II- en una empresa y el rol de Auditoría Interna).

http://www.agers.es/pdf/estudios/XIX_CONGRESO_DE_AGERS_-_ENTERPRISE_RISK_MANAGEMENT.pdf

http://es.wikipedia.org/wiki/Lenguaje_Unificado_de_Modelado

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-basics.html

http://www.google.com.pe/imgres?q=GRAFICOS+DE+FASES+UML&um=1&hl=en&sa=N&tbo=d&biw=911&bih=433&tbm=isch&tbnid=IxeRB9HV-yGZ5M:&imgrefurl=http://bustamantegonzalez.wordpress.com/2012/01/31/unidad-ii-aseguramiento-de-la-calidad-del-software-sqa/&docid=rtYfu1-BCPrnFM&imgurl=http://bustamantegonzalez.files.wordpress.com/2012/01/grafico1-2.jpg&w=549&h=385&ei=s1PhUIi8MY6W8gS3uIHYAw&zoom=1&iact=hc&vpx=2&vpy=87&dur=105&hovh=188&hovw=268&tx=63&ty=86&sig=108385235721652018690&page=3&tbnh=115&tbnw=135&start=26&ndsp=14&ved=1t:429,r:26,s:0,i:169

http://es.wikipedia.org/wiki/Internet_Information_Services

http://es.wikipedia.org/wiki/.NET

http://es.wikipedia.org/wiki/Tasa_interna_de_retorno

http://www.crecenegocios.com/el-van-y-el-tir/

www.sbs.gob.pe/.../0/0/.../Riesgo%20Operacional%202116-2009_r.doc




http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf

http://www.buenastareas.com/ensayos/Control-Interno-y-Coso-Erm/2516670.html

http://gubernamental-salinas.blogspot.com/2008/04/informe-coso-coso-erm.html

http://empresa-lider.blogspot.com/2008/11/metodologa-de-riesgos-coso-erm.html



http://es.wikipedia.org/wiki/Lenguaje_Unificado_de_Modelado

http://docs.kde.org/stable/es/kdesdk/umbrello/uml-basics.html




http://es.wikipedia.org/wiki/Internet_Information_Services

http://es.wikipedia.org/wiki/.NET

http://www.crecenegocios.com/el-van-y-el-tir/

http://es.wikipedia.org/wiki/Tasa_interna_de_retorno

http://www.sbs.gob.pe/.../0/0/.../Riesgo%20Operacional%202116-2009_r.doc

http://auditor2006.comunidadcoomeva.com/blog/uploads/1-PresentacinRafaelRuano-PriceWaterHouseCoopers-COSOII-ERMyelRoldelAuditorInterno.pdf

http://auditor2006.comunidadcoomeva.com/blog/uploads/1-PresentacinRafaelRuano-PriceWaterHouseCoopers-COSOII-ERMyelRoldelAuditorInterno.pdf

http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO---Control-Interno-en-Organizaciones.html

http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO---Control-Interno-en-Organizaciones.html


6. ANEXOS


ANEXO N° 2

LINEAS DE NEGOCIO GENÉRICAS PARA EMPRESAS DEL SISTEMA FINANCIERO Nivel 1 Nivel 2 DefiniciónFinanzas corporativas

Finanzas corporativas Realización de operaciones de financiamiento estructurado y participación en procesos de titulización; underwriting; asesoramiento financiero a empresas corporativas, grandes y medianas empresas, así como al gobierno central y entidades del sector público; entre otras actividades de naturaleza similar.

Finanzas de administraciones públicasBanca de inversiónServicios de asesoramiento

Negociación y ventas

Ventas Operaciones de tesorería; compra y venta de títulos, monedas y commodities por cuenta propia; entre otras actividades de naturaleza similar.

Creación de mercadoPosiciones propiasTesorería

Banca minorista Banca minorista Financiamiento a clientes minoristas incluyendo tarjetas de crédito, préstamo automotriz, entre otros.

Banca comercial Banca comercial Financiamiento a clientes no minoristas, incluyendo: factoring, descuento, arrendamiento financiero, entre otros.

Liquidación y pagos

Clientes externos Actividades relacionadas con pagos y cobranzas, transferencia interbancaria de fondos, compensación y liquidación, entre otras actividades de naturaleza similar.

Otros servicios Custodia Servicios de custodia, fideicomisos, comisiones de confianza y otros servicios.Encargos de confianza

FideicomisosOtros servicios


ANEXO N° 3

TIPOS DE EVENTOS DE PÉRDIDA POR RIESGO OPERACIONALTipo de evento (Nivel 1)

DefiniciónTipo de evento (Nivel 2)

Ejemplos

Fraude interno

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicado, al menos, un miembro de la empresa.

Actividades no autorizadas

Operaciones no reveladas (intencionalmente), operaciones no autorizadas (con pérdidas pecuniarias), valoración errónea de posiciones (intencional).

Robo y fraude Robo, malversación, falsificación, soborno, apropiación de cuentas, contrabando, evasión de impuestos (intencional).

Fraude externo

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte de un tercero.

Robo y fraude Robo, falsificación.

Seguridad de los sistemas

Daños por ataques informáticos, robo de información.

Relaciones laborales y seguridad en el puesto de trabajo

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con la diversidad o discriminación.

Relaciones laborales

Cuestiones relativas a remuneración, prestaciones sociales, extinción de contratos.

Higiene y seguridad en el trabajo

Casos relacionados con las normas de higiene y seguridad en el trabajo; indemnización a los trabajadores.

Diversidad y discriminación

Todo tipo de discriminación.

Clientes, productos y prácticas empresariales

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un

Adecuación, divulgación de información y confianza

Abusos de confianza / incumplimiento de pautas, aspectos de adecuación / divulgación de información (conocimiento del cliente, etc.), quebrantamiento de la privacidad de información sobre clientes minoristas, quebrantamiento de privacidad, ventas agresivas, abuso de información confidencial.



producto. Prácticas empresariales o de mercado improcedentes

Prácticas restrictivas de la competencia, prácticas comerciales / de mercado improcedentes, manipulación del mercado, abuso de información privilegiada (en favor de la empresa), lavado de dinero.

Productosdefectuosos

Defectos del producto (no autorizado,etc.), error de los modelos.

Selección,patrocinio yriesgos

Ausencia de investigación a clientes conforme a las directrices, exceso de los límites de riesgo frente a clientes.

Actividades deasesoramiento

Litigios sobre resultados de lasactividades de asesoramiento.

Daños aactivosmateriales

Pérdidas derivadas de daños o perjuicios a activos materialescomo consecuencia de desastres naturales u otros acontecimientos

Desastres yotrosacontecimientos

Pérdidas por desastres naturales,pérdidas humanas por causasexternas (terrorismo, vandalismo).

Interrupcióndel negocio yfallos en lossistemas

Pérdidas derivadas deinterrupciones en el negocio y de fallos en los sistemas

Sistemas Pérdidas por fallas en equipos dehardware, software otelecomunicaciones; falla en energía eléctrica.

Ejecución,entrega ygestión deprocesos

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, asícomo de relaciones concontrapartes comerciales y proveedores

Recepción,ejecución ymantenimientode operaciones

Errores de introducción de datos,mantenimiento o descarga,incumplimiento de plazos o deresponsabilidades, ejecución errónea de modelos / sistemas, errores contables. Errores en el proceso de compensación de valores y liquidación de efectivo (p.ej. en el Delivery vs. Payment).

Seguimiento ypresentación deinformes

Incumplimiento de la obligación deinformar, inexactitud de informesexternos (con generación depérdidas).

Aceptación declientes ydocumentación

Inexistencia de autorizaciones /rechazos de clientes, documentosjurídicos inexistentes / incompletos.

Gestión de cuentas de clientes

Acceso no autorizado a cuentas,registros incorrectos de clientes (con generación de pérdidas), pérdida o daño de activos de clientes por negligencia.

Contrapartescomerciales

Fallos de contrapartes distintas declientes, otros litigios con contrapartes distintas de clientes.



Distribuidores yproveedores

Subcontratación, litigios conproveedores.


Diseño de un prototipo de software para el control...

Documents

Transcript of Diseño de un prototipo de software para el control...