Administración de Riesgos y Continuidad de Negocio

Costa Rica

Presentación III Seminario Gestión de Tesorerías Nacionales

Agosto 2012

José Adrián Vargas B.

CONTENIDO

1. Aspectos generales y normativos2. Acciones y resultados3. Consideraciones finales

1. Aspectos generales y normativos

Valoración del Riesgos se establece como uno de los componentes del sistema de control interno, en la Ley General de Control Interno. (LGCI).

Aspectos generales y normativos

La LGCI ( No. 8292)fue aprobada en el año 2002. Complemento Normas Generales de Control Interno La Contraloría General de la República emitió las Directrices para el Sistema

Específico de Valoración de Riesgo en el año 2005, señalando obligatoriedad de aplicación a partir del 1 de junio de 2006.

Conforme las Directrices , cada institución debe conformar su SEVRI, como responsabilidad de jerarca institucional.

La Tesorería Nacional estableció metodología e instrumento para valoración de riesgo en al año 2006.

El Ministerio de Hacienda estableció las orientaciones estratégicas para el SEVRI institucional en el año 2006, tomando como base el desarrollo metodológico de la TN.

Ley General de Control InternoDeberes del Jerarca y los Titulares Subordinados sobre

VALORACIÓN DEL RIESGOc) Adoptar las medidas necesarias para el funcionamiento

adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.

d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones a ejecutar.

VALORACIÓN DEL RIESGO

Sistema Específico de Valoración del Riesgo Institucional

VALORACIÓN DEL RIESGO

Se entenderá como Sistema Específico de Valoración del Riesgo Institucional al conjunto organizado de componentes de la Institución que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales relevantes.

.

2. Acciones y resultados

8

2.1 Definición de la metodología

Basada en el método DELPHY (criterio experto)

1. Revisión de riesgos por: Objetivos, áreas, sectores, actividades o tareas.. (procesos).

2. Identificación Riesgos involucrados3. Nivel de Riesgo = Impacto x probabilidad4. Evaluación de controles existentes5. Adoptar medidas y concretar acciones para

minimizar los riesgos.6. Seguimiento.

9

Valoración de Riesgo

Matriz 1:Identificación de Riesgos

Matriz 2: Evaluación de factores de riesgo

Factores de Riesgos

Probabilidad

Impacto Nivel Riesgo

ControlesExistentes

Acción Responsable

Fecha cumplimie

nto

Producto final

10

Valoración de Riesgo3.- Completar la Matriz # 3 “Identificación y Seguimiento

de Acciones ”Factores Riesgo

Nivel Riesgo

Acciones para

minimizar riesgo

Resultado esperado

Estado de cumplimiento

Responsable Justificación sobre el

Estado de cumplimiento

Fecha Cumplimiento

11

1 2 3 4 5experto 1 1 1 1 1 1,00 bajo

experto 3 3 3 3 3 3,00 ALTO

Nivel de Riesgo( probabilidad X impacto) 3,00 3,00 3,00 3,00 3,00 BAJO 3,00

CRITERIOS PARA IMPACTO Y PROBABILIDAD.

1 - BajoNivel Nivel

2 - Medio 1 1,99 Bajo 1 3,00 Bajo3 - Alto 2,00 2,99 Medio 3,01 6,00 Medio

3,00 Alto 6,01 9,00 Alto

TABLA PARA VALORAR NIVEL DE RIESGO

TABLA CALCULO PARA EL NIVEL

DE RIESGO

ESTRATO

Probabilidad

Impacto

TABLA CALCULO PARA IMPACTO Y

PROBABILIDAD

EXPERTOS

Medición

ESTRATO

Un ejemplo

RiesgosN

ive

l de

Rie

sg

o Acciones para minimizar el Riesgo

Resultado esperado

Estado Cumplimiento

Justificación sobre el Estado

de cumplimiento

Acciones pendientes para alcanzar el

resultado esperado

Responsable Fecha de cumplimiento

Pérdida total de la información enlos sistemas

Modera

do

Elaborar plan de contingencias

Plan de contingencia aprobado y divulgado

En proceso Se definió polìtica de respaldos de informaciòn. Pendiente integraciòn con plan de contingencia DGI

Coordinar con DGI traslado de servidor e incorporaciòn a plan de contingencia general

Direcciòn dic-09

Colapso en los sistemas

Consid

era

ble Aprovechar el

conocimiento desarrollado en Hacienda, por ejemplo TICA y sitios VAN

Conocimiento y actualización permanentede los sitemas existentes.

100% Se incorporó utilizaciòn de VAN

en caja ùnica

Desactualización de los sitemas y equipos

Medio 1-Contratar el personal

idóneo para realizar los ajustes necesarios a los sistemas y capacitar a los informáticos de la Tesorería Nacional.

1-Sistemas adecuados a los requerimientos de la operativa.

80% Se contrató empresa

desarrolladora del proyecto, la cual ha realizado mejoras a los sistemas. Falta migración a nueva

plataforma

Gerente de Programaciòn y Gestiòn de Caja

oct-09

Alteración de la información

Medio 1-Contratar el personal idóneo para realizar los ajustes necesarios a los sistemas y capacitar a los informáticos de la Tesorería Nacional.

Sistemas enlazados entre sí, que permita la agilidad y eficiencia requerida.

80% Se están realizando pruebas en los sistemas GTE y

SCCF

Terminar las pruebas Coordinadora Operaciones Bancarias

oct-09

Debilitamiento del control y del seguimiento sobre las operaciones de las entidades en Caja Unica.

Consid

era

ble Especializar al personal

en labores concretas, orientadas al control y evaluación del cumplimiento del reglamento de Caja Unica por parte de las instituciones.

Plan de seguimiento y control de las entidades en Caja Unica.

75% Falta de Personal para dar el seguimiento necesario a algunos temas importantes como el de la Programación y otros afines

Dedicarse al análisis de las programaciones , verificación estados de cuentas, entre otros

Coordinadora Unidad Operaciones Bancarias

Matriz # 3 IDENTIFICACIÓN Y SEGUIMIENTO DE LAS ACCIONES

Proceso : PA-014 CAJA UNICAObjetivo: Administrar eficientemente los recursos de las entidades en Caja UnicaSeguimiento al julio 2009 de

Expertos: Rosibel Rodriguez

2.1 Metodología: Resultados

A partir de la evaluación se identifican acciones que conforman plan de acción o de administración de riesgos

Revisión periódica de la evaluación para actualizar valoraciones y eventualmente establecer nuevas acciones.

Seguimiento a nivel institucional de las acciones.

2.2. Oficialización de Política Institucional para la Planificación y la Administración de los riesgos en procesos de TI. Junio 2011

2.3 Definición de mecanismo de evaluación periódico de la política institucional de riesgos TI Junio 2011

1. Objetivo2. Definiciones3. Ámbito de aplicación4. Roles y responsabilidades5. Operación6. Disposiciones finales

3. Resultados y acciones específicas

1. Desarrollo de metodología de valoración de riesgo a partir de la investigación sobre experiencias en otras instituciones .

2. Adopción de la metodología a nivel institucional MH.3. Aplicación de la metodología a nivel de la TN. ( base procesos sustantivos)4. Elaboración de plan de acción para los riesgos pertinentes.5. Ejecución de acciones establecidas en el plan: destacando adopción de sitio

alterno para sistemas de información con garantía de continuidad 99.9%, definición de política de respaldo de la información, capacitación de funcionarios.

6. Se migraron sistemas a centro de procesamiento de datos privado de clase mundial, certificado TIER 4

7. Actualización periódica de la evaluación de riesgos.8. Elaboración de Plan de Continuidad de Negocio para la DGI del MH.9. Plan de Continuidad de Negocio por parte del BCR y de los bancos cajeros

auxiliares.10. Todos los bancos cajeros auxiliares disponen de sitios alternos y de un PCN.

3. Consideraciones Finales

1. Se ha consolidado un enfoque conceptual de general aplicación debidamente formalizado en normativa y alineado con prácticas internacionales

2. Complementariamente a la normativa general , con enfoque institucional en el MH se ha establecido una política formal debidamente estructurada.

3. El instrumento de evaluación es una herramienta fundamental para que la política se operacionalice.

4. Se han concretado acciones específicas de impacto que disminuyen riesgos operativos.

5. El proceso está en desarrollo, aún tenemos retos importantes por delante y creemos que el enfoque institucional que se ha dado no solo es consecuencia del enfoque organizacional de la TI sino que genera importantes beneficios.

6. Se valora el desarrollo o adquisición de una herramienta computadorizada más elaborada para realizar la valoración

Muchas gracias