gestión de riesgo operacional
TRANSCRIPT
![Page 1: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/1.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Gestión de riesgo operacional
Vicente Lazen J.
Jefe División Custodia y Liquidación de ValoresSuperintendencia de Valores y SegurosChile
“Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica “Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012
![Page 2: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/2.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
• Riesgo operacional– ¿Qué es?– Principio 17 Infraestructuras del Mercado Financiero– Estándares y mejores prácticas
• Riesgo y gestión de tecnología – Disponibilidad, desempeño y capacidad– COBIT– ITIL– ISO 27.001
• Continuidad operacional o de negocios
• Situación en Iberoamérica
Temario
![Page 3: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/3.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Riesgo operacional. ¿Qué es?
![Page 4: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/4.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Principios para las Infraestructuras del Mercado Financiero (IMF).
Principio 17: Riesgo Operacional
“Una IMF deberá identificar todas las fuentes plausibles de riesgo operativo, tanto internas como externas, y minimizar su impacto a través del uso de sistemas, controles y procedimientos adecuados. Los sistemas deberán disponer de un alto grado de seguridad y fiabilidad operativa, y tendrán una capacidad adecuada y versátil. Los planes de continuidad del servicio deberán tener como objetivo la recuperación oportuna de las operaciones y el cumplimiento de las obligaciones de la IMF, incluso en caso de que se produzcan alteraciones a gran escala.“
Riesgo operacional
![Page 5: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/5.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Riesgo operacional
Principio 17: Consideraciones clave
![Page 6: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/6.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo operacional
Estándar COSO modelo integrado de control interno que permite a las entidades un tratamiento de riesgos apropiado.
Objetivos
1.Efectividad y eficiencia en las operaciones2.Confiabilidad de la información financiera3.Cumplimiento de políticas, leyes y normas
![Page 7: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/7.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico
• Las IMF son altamente intensivas en el uso de sistemas tecnológicos– Manejan grandes volúmenes de información– Cada transacción es altamente automatizada– Invierten fuertemente en tecnología
• Los sistemas de tecnologías de información están compuestos por:
– Aplicaciones – Información– Infraestructura– Personas (que operan estos recursos)
![Page 8: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/8.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. Disponibilidad, desempeño y capacidad
Existe una estrecha relación entre los conceptos de disponibilidad, desempeño y capacidad de los sistemas tecnológicos, particularmente en las entidades de custodia, compensación y liquidación. Esta interconexión de los tres elementos es esencial para desarrollar la estrategia y determinar la adecuación de las entidades a los objetivos que les impone el mercado.
![Page 9: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/9.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. COBIT
• Marco de trabajo de control interno de TI para las empresas.
• Entrega un marco de buenas prácticas para definir y alinear los objetivos de TI con los requerimientos y objetivos del negocio, básicamente desde la perspectiva del control.
![Page 10: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/10.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. COBIT
COBIT define los siguientes aspectos en el contexto de riesgo tecnológico:
![Page 11: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/11.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. ITIL
• ITIL provee un marco de trabajo de mejores prácticas para la gestión de servicios de TI y se enfoca en la medición y mejoramiento continuo de la calidad del servicio entregado desde la perspectiva del negocio y del cliente.
• ITIL divide las actividades en procesos, proporcionando un marco eficaz para lograr una gestión de servicios TI más madura, de modo de optimizar y mejorar la coordinación de los procesos.
• Concepto de mejora continua
![Page 12: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/12.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo tecnológico. ISO 27.001.
• ISO 27.001 es un estándar de seguridad de la información
• Especifica los requerimientos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información, para así preservar la integridad, confidencialidad y disponibilidad de la información.
![Page 13: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/13.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Riesgo Tecnológico. ISO 27.001
ISO 27.001 establece como requerimientos para gestionar la seguridad de la información lo siguiente:
![Page 14: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/14.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios
• Se define como gestión de continuidad de negocios a la actividad que se lleva a cabo en una organización para garantizar la continuidad de un proceso ante un evento que afecte o interrumpa su normal funcionamiento, producto de terremoto, pandemias, etc., en la que existe pérdida temporal o permanente de la infraestructura o de recursos de la entidad.
• En el caso de las IMF, el atraso o suspensión de su funcionamiento implica consecuencias operacionales y financieras, las que incluso pueden ser de carácter sistémico.
![Page 15: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/15.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios. Estándar BS 25999
Estándar BS 25999:– Identificar los servicios críticos.– Desarrollar un plan de gestión de crisis.
Definir un tiempo de recuperación objetivo para los servicios críticos
– Plan de continuidad de negocios cuyo fin es documentar las estrategias de respuesta y sus planes de recuperación de los servicios para reducir el impacto de una amenaza
– Plan de recuperación de mediano plazo.
– Pruebas periódicas de los planes mencionados
– Sistemas de comunicación alternativos
– ¿Qué servicios recuperar?– ¿Qué hacer cuando se produce la crisis?– ¿Cuánto puede tardar la recuperación?
– ¿Cómo recuperar los servicios? ¿Dónde se realiza el respaldo?
– ¿Cómo reponer la infraestructura?
– ¿Son efectivos los planes en un escenario de crisis?
– ¿Cómo contactar a los usuarios y las autoridades?
![Page 16: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/16.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Práctica: Continuidad de negocios
![Page 17: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/17.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Situación en Iberoamérica
• Prácticas presentes en Iberoamérica
– En algunos países se establecieron responsabilidades en el organigrama• Unidad de gestión de riesgos• Unidad de auditoría• Comité de riesgo operacional• Oficial de cumplimiento
– En otros se definieron las políticas, roles y normas fuera de un organigrama• Normas de seguridad, políticas, procedimientos, roles y manuales definidos en gran
parte de la región.
![Page 18: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/18.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Situación en Iberoamérica
• Estándares más empleados: COBIT e ISO 27.001
• Continuidad de negocios– Políticas y procedimientos de contingencia,– Pruebas periódicas – Disponibilidad de sitios alternativos y de respaldo– Sitios de respaldo actualizados en tiempo real, generadores, grupos
electrógenos y planes de contingencia.
![Page 19: Gestión de riesgo operacional](https://reader033.vdocuments.net/reader033/viewer/2022050901/589c3e9a1a28abe5498b58c9/html5/thumbnails/19.jpg)
S U
P E
R I
N T
E N
D E
N C
I A
D E
V A
L O
R E
S Y
S E
G U
R O
S –
C H
I L E
Gestión de riesgo operacional
Vicente Lazen J.
Jefe División Custodia y Liquidación de ValoresSuperintendencia de Valores y SegurosChile
“Presentación y Taller sobre el Estudio del Registro, Compensación y Liquidación de Valores en Iberoamérica “Instituto Iberoamericano del Mercado de Valores, IIMV San José de Costa Rica Mayo 2012