Embed Size (px)
Citation preview
Análisis sobre Administración de RiesgosRiesgo Operacional
2
Contenido
1. Gobierno Corporativo
2. Modelo de Evaluación de Riesgo
3. Evaluación del Riesgo
4. Modelo de Auto - Evaluación
5. Plan de Continuidad de Negocio
3
RIESGOS
FUNCIONES
Gestión de Integral de Riesgo
Identificación
Evaluación
Tratamiento
Monitoreo
Seguridad de la Información
Continuidad deNegocios
Activos de Información Procesos de Negocios Disponibilidad deServicios
RiesgoOperacional
4
INTEGRACIÓN DE FUNCIONES
Continuidad de Negocios
Riesgo Operacional
Seguridad de laInformación
Gestión Integral de
Riesgos
• Visión única de Gestión Riesgo
• Optimización de Recursos
• Mayor Cobertura
• Consolidación de Reportes
• Unificación de Criterios
Gestión de Riesgo - Visión Integral
5
Gobierno Corporativo - Estructura
Comité de Auditoría y Riesgo Operacional
Gerente de Finanzas y Planificación
Oficial de Continuidad de Negocios (BS25999)
Comité Operacionalde Gestión Riesgos
Jefe de Riesgo Operacional
Supervisor de Riesgo
Analista de Riesgo
Seguridad de la Información
Continuidad deNegocios Riesgo Operacional
Comité de Seguridad
Oficial de Seguridad(ISO 27001)
6
Gobierno Corporativo - Roles y Responsabilidades
Comité de Riesgos y Auditoría
Dueños de Procesos
Directorio
Gerencia General
Contraloría /Auditores externos
Área de Riesgo Operacional
Entregar los lineamientos de la Gestión de Riesgo a través de la definición del plan estratégico de la empresa
Implementar el Modelo de Gestión de Riesgo Operacional y sus políticas de acuerdo a los lineamientos entregados por el Directorio Delegado en el área de RO
Velar por la implementación y los acuerdos adoptados por el Directorio, relacionados con el Modelo de Gestión de Riesgo Operacional.
Desarrollar y aplicar el modelo de gestión de riesgo que permita administrar, medir, controlar y monitorear el riesgo operacional al interior de DCV.
Asegurar la aplicación, mantención y seguimiento de las distintas políticas, normas y procedimientos definidos para el cumplimiento de los objetivos de cada proceso.
Ges
tión
de
Rie
sgo
Ope
raci
onal
Roles y Responsabilidades
Visión independiente del cumplimiento de la efectividad de las políticas y procedimientos usados para la Gestión de Riesgo Operacional.
7
Gobierno Corporativo - Marco Normativo
Normativa Interna
1. Política General de Gestión de RiesgoEstablece los lineamientos y criterios de la Gestión de Riesgo Operacional en el DCV así como los roles y responsabilidades de cada uno de los partícipes en el modelo de gestión de riesgo.
2. Política de Actualización de Gestión de RiesgoTiene por objeto satisfacer las necesidades de actualización del modelo de Gestión Integral de Riesgo, mediante la comunicación de las modificaciones de los distintos elementos de las estructura de control interno de los servicios y procesosde la empresa.
3. Política de Evaluación de Riesgo para Nuevos ProyectosEl objeto de esta política es incorporar desde el inicio para las nuevas actividades que desarrolle el DCV, la evaluación de riesgo y la definición de la información necesaria para su ejecución, considerando las exigencias establecidas por la SVS en la NCG 220.
4. Política de Plazos de Solución de Brechas de DiseñoEstablece los plazos requeridos para el tratamiento y mitigación de las brechas de diseño detectadas considerando el nivel de riesgo aceptado por el DCV.
Normativa SVS
1.Circular 1939Implementación de medidas relativas a la gestión de riesgo operacional y controles internos en las entidades de depósito y custodia y en las sociedades administradoras de sistemas de compensación y liquidación de instrumentos financieros.
2. NCG 220Regula la información a remitir por parte de las entidades de depósito y custodia referente a nuevas actividades inherentes o complementarias a implementar y la autorización de estas.
8
Contenido
1. Gobierno Corporativo
2. Modelo de Evaluación de Riesgo
3. Evaluación del Riesgo
4. Modelo de Auto - Evaluación
5. Plan de Continuidad de Negocio
9
Modelo de Evaluación de Riesgo - Riesgo Operacional
Mapeo de Procesos
Levantamiento de procesos
Identificación y Evaluación de Riesgos
Evaluación de Estructura de control
Revisión de RiesgoAceptable
Documentación de procesoevaluado
Flujo-grama de ProcesoFlujograma
Matriz y Mapa de Riesgos
Identificación de riesgos de acuerdo a los factores de impacto y probabilidad
Identificación, clasificación y evaluación de los controles, considerando su diseño y la auto-evaluación de los dueños de procesos
Matriz y Mapa de Riesgos Residual
Determinación de las brechas de diseño asociado a riesgos sobre el aceptado Tratamiento de Riesgos
MonitoreoSeguimiento de Brechas de Diseño
Etapas Entregables Cobertura
27 Procesos
DCV7 Procesos - 14 Sub-procesos
CGTI11 Procesos - 16 Sup-procesos
DCV Registros9 Procesos - 18 Sup-procesosBrechas de Diseño
10
Modelo de Evaluación de Riesgo - Riesgo Operacional
La evaluación de un riesgo, corresponde a la determinación del Riesgo Inherente. En su evaluación se considera el impacto asociado al riesgo y la probabilidad de ocurrencia de este.
Criterios de Evaluación de Riesgo
ProbabilidadImpactoEsta basado en un análisis cualitativo que considera los siguientes factores.
Financieros
Daño Imagen
Normativo
Interrupción deServicio
Se consideran las consecuencias materiales y financieras asociadas a la posible materialización del riesgo
Impacto potencial de información difundida, con o sin fundamento, que pudiera llegar a afectar, en términos de opinión pública, la integridad de una Institución.
Impacto potencial del incumplimiento de las normas internas y regulatorias de la empresa.
Impacto potencial generado por la pérdida en la prestación de los servicios.
La probabilidad de ocurrencia un evento debe evaluarse para cadariesgo identificado. La frecuencia esta basada en la cantidad deveces por año que pueda materializarse el riesgo.
Es casi seguro que el riesgo ocurra en las circunstancias actualesMás de 30 veces al añoCasi Certeza
Posibilidad mayor de lo normal que ocurraEntre 11 y 30 veces al añoProbable
Podría ocurrirEntre 2 y 10 veces al añoPosible
Poca probabilidad de que ocurraEntre 1 y 2 veces al añoPoco Probable
No se espera que ocurra—el evento sería una sorpresaUna vez cada 5 añosRemota
Descripción Nivel
Descripción según nivel de probabilidad de ocurrencia
Es casi seguro que el riesgo ocurra en las circunstancias actualesMás de 30 veces al añoCasi Certeza
Posibilidad mayor de lo normal que ocurraEntre 11 y 30 veces al añoProbable
Podría ocurrirEntre 2 y 10 veces al añoPosible
Poca probabilidad de que ocurraEntre 1 y 2 veces al añoPoco Probable
No se espera que ocurra—el evento sería una sorpresaUna vez cada 5 añosRemota
Descripción Nivel
Descripción según nivel de probabilidad de ocurrencia
Escala de probabilidad
11
Modelo de Evaluación de Riesgo - Riesgo Operacional
Determinación del Riesgo InherenteUna vez obtenido el resultado de la magnitud (relación probabilidad/impacto), este es graficado en el mapa de riesgo inherente.
Insignificante Bajo Serio Muy Serio Grave
12
2 2
4
10
Probable
15
Prob
abili
dad
de O
curr
enci
a
Casi Certeza 5 5
Poco Probable
Posible
8
63 3 9
4
20
12 15
25
16 20
4 6 8 10
Remota 1 1 2
Impacto
3 4 5
1 2 3 4 5
Extremo
Alto
Moderado
Bajo
Magnitud del Riesgo
12
Modelo de Evaluación de Riesgo - Riesgo Operacional
Criterios de Evaluación de Controles
Evaluación de diseñode control
Autoevaluaciónde control
Óptimo
Efectivo
Suficiente
Débil
Insuficiente
Confía plenamente
Confía
Mejoras menores
Mejoras mayores
No confía
Evaluación Cualitativa (know-how)
Evaluación de control
Rie
sgo
Ope
raci
onal
Due
ño d
el P
roce
so
Evaluación de diseñode control
Autoevaluaciónde control
Óptimo
Efectivo
Suficiente
Débil
Insuficiente
Confía plenamente
Confía
Mejoras menores
Mejoras mayores
No confía
Evaluación Cualitativa (know-how)
Evaluación de control
Rie
sgo
Ope
raci
onal
Due
ño d
el P
roce
so
Riesgo Inherente
Riesgo Control
Riesgo Residual
16.1.R1 Procesamiento erróneo extremo óptimo moderado16.1.R2 Procesamiento de operaciones no autorizadas extremo óptimo moderado16.1.R3 No disponibilidad de servicio dependiente TI moderado efectivo bajo16.1.R4 Incumplimiento de servicio alto efectivo moderado16.1.R5 Incumplimiento normativo alto efectivo moderado16.1.R6 Pérdida de información confidencial moderado efectivo bajo
ID Riesgo Factor de RiesgoDepósitos Materiales
Riesgo Residual
13
Modelo de Gestión de Riesgo - Riesgo Operacional
Auto evaluaciónProcesos Mapeados
Catastro yseguimientode incidentes
SAS-70
AuditoríasInternas
EvaluaciónDe
Riesgo
Marco Normativo
NuevosProyectos
Mapasde
Riesgo
AuditoríasExternas
Brechas
Medición y monitoreo del riesgo
Indicadores
Medición de la evolución de la
gestión de riesgo
14
Contenido
1. Gobierno Corporativo
2. Modelo de Evaluación de Riesgo
3. Evaluación del Riesgo
4. Modelo de Auto - Evaluación
5. Plan de Continuidad de Negocio
15
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
Impa
cto
Probabilidad
Inherente
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
Impa
cto
Probabilidad
Residual (con brechas)
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
Impa
cto
Probabilidad
Residual (% de avance)
45%
38%
17%
16%49%
35%
5%60%
35%
Evaluación de Riesgo - Riesgo Operacional
Evolución de Brechas de DiseñoLa solución de brechas de diseño permite la mejora en la evolución de los riesgos sobre el nivel aceptado
Evaluación 1 Evaluación 2
16
Contenido
1. Gobierno Corporativo
2. Modelo de Evaluación de Riesgo
3. Evaluación del Riesgo
4. Modelo de autoevaluación
5. Plan de Continuidad de Negocio
17
Modelo de Auto-Evaluación - Riesgo Operacional
Es una herramienta orientada a la medición de los controles por parte de los dueños de procesos, tendiente a generar información de la efectividad y operación de estos respecto al cumplimiento de los objetivos de cada proceso, permitiendo generar las acciones de mejoras requeridas.
• Evaluar la efectividad del Control Interno en cada uno de los procesos y dependencias o áreas al interior de la entidad.
• Generación de indicadores periódicos de Riesgos.• Verificar los resultados de los procesos tomando como base el análisis de los
indicadores generados. • Definir las acciones requeridas para el mejoramiento a la eficiencia y efectividad de los
procesos y sus resultados. • Sensibilización de los dueños de procesos respecto al control y la Gestión de Riesgo.
Objetivos
Auto – Evaluación
18
Modelo de Auto-Evaluación - Implementación
AlcanceA la fecha se ha realizado evaluación de riesgo a nivel de diseño de estructura de control para 27 Procesos de negocios de DCV, DCV Registros y Controles TI.Esta evaluación ha considerado la revisión y documentación de 742 controles los cuales mitiganlos riesgos asociados a los 27 procesos levantados a la fecha.
La implementación de la auto-evaluación considera los siguientes criterios para seleccionar loscontroles que serán medidos en una primera etapa.
Se consideraran los controles claves que equivalen 65% del total de los controles.
Del total de controles claves serán evaluados, los que estén asociados a los riesgos con un nivel mayor al aceptado, es decir Riesgos Inherentes Extremos y Alto logrando una cobertura del 84% del total de controles claves. (405 controles en auto-evaluación)
19
Corresponde a la ejecución de pruebas respecto a la operación del control para un periodo de
tiempo, considerando una muestra de casos lo cual esta
determinado por la automatización del control
Modelo de Auto-Evaluación - Implementación
Elementos Evaluados
Cada control será evaluado por su responsable con una periodicidad mensual respecto a :
OperatividadIncidentes o
Eventos de Pérdida
Corresponde a eventos de pérdidas ocurridos en un periodo de tiempo,
producto de la ejecución deficiente, o su no ejecución de un control y que
genere un impacto financiero, continuidad, legal o de imagen
20
Modelo de Auto-Evaluación - Implementación
Parámetros de Evaluación por Control
Automatización Tipos de Pruebas
Automáticos: Controles que no dependen de la intervención de personas para su ejecución, generalmente son controles de aplicaciones asociados a rutinas de programas.
Manuales óDependientes de TI:Controles en los cuales existe intervención total o parcial en su ejecución generalmente asociado a procesos operativos.
Pruebas que generen evidencia que el control no ha sido cambiado y que se encuentra operativo.
Pruebas de cumplimiento asociado a una muestra de casos para los cuales se debióactivar el control
Tamaño de Muestra
1 Operación
10 Operaciones
Nivel de Cumplimiento
100%
Tipo Control
Clave >=90%
Segundario >=75%
Frecuenciade Pruebas
Mensual
Revisión de excepciones
Ejecución de chequeos de consistencia de operaciones, asociado a controles registrados en sistema
Dependiendo del nivel de
automatización
21
Responsable de la prueba Operaciones TI
Ámbito ID Ctrl. Automatización Tipo Proceso Descripción ctrl. Descripción prueba
Factor de Riesgo Muestra Excepciones Evento
Pérdida
CGTI 001-CGTI Manual Clave CC
A partir de los acuerdos alcanzados por el comité de releasese genera un mail con el acta que describe los cambios que se aprueban y los que se rechazan.
Verificar qiue los cambios de aplicativos o actualizaciones directas cuentan con la aprobación del comité.Para lo anterior tome una muestra de instalación de aplicaciones en producción y …
Que se realicen instalaciones en ambiente productivo sin autorización.
10 casos 0 Si
Modelo de Auto-Evaluación - Pauta de Evaluación
22
Modelo de Auto-Evaluación - Ponderación de Resultado
Ámbito ID Ctrl.
CGTI 001-CGTI
Responsable Control
Operaciones TI
R.1
Auto evaluación
R.2 R.3 R.n
100% 100% 100% 100%
R. Aud Int
100%
SAS-70
2007 2008 2009
100% 100% 100%
Ponderación 30% 40% 30%
Resultado Evaluación Control Ponderado
PPAE PPAI PPSAS-70
100%
Impacto en Matriz de Riesgo
Riesgo Inherente R Residual Inicial
ExtremoR1
Evaluación Diseño
Óptimo Moderado+
R Residual Final
Moderado
R2R3
EvaluaciónControl Ponderado =
23
51 2 3 4
15
2 4 6 8 10
3 6 9 12
25
4 8 12 16 20
5 10 15 20
51 2 3 4
15
2 4 6 8 10
3 6 9 12
25
4 8 12 16 20
5 10 15 20
51 2 3 4
15
2 4 6 8 10
3 6 9 12
25
4 8 12 16 20
5 10 15 20
Matriz Residual
Evaluación de Riesgo y Auto- evaluación de Controles
Evaluación de Diseño de Estructura
Optima
Riesgo Inherente Extremo
R1
R1
Riesgo Residual “Aceptado”Auto-evaluación
Resultado de evaluación de controles “óptimo”
Cumplimiento de ctrles claves >=90%
Cumplimiento de ctrles. Segundarios>=75%
Se mantiene el Riesgo Residual en nivel “Aceptado”
Cumplimiento de ctrles claves <=90%
Cumplimiento de ctrles. Segundarios<=75%
Resultado de evaluación de controles “deficiente”
Riesgo Residual Final en nivel“No Aceptado”
R1
Modelo de Auto-Evaluación - Implementación
Riesgo Residual “ NO Aceptado”
24
Generación de Reportes de Riesgo.
Modelo de Auto-Evaluación - Implementación
Reportes de Evolución de Gestión de Riesgo• Por Procesos• Por Riesgo• Por responsable de estructura de control
Reportes de eventos de pérdida y generación de indicadores deRiesgo.
25
Contenido
1. Gobierno Corporativo
2. Modelo de Evaluación de Riesgo
3. Evaluación del Riesgo
4. Modelo de autoevaluación
5. Plan de Continuidad de Negocio
26
Plan de Continuidad de Negocio - Evolución
27
Plan de Continuidad de Negocio - Metodología
BCPPlan de Continuidad
de Negocios
Prestaciones
Amenazas
BIA Componentes
Independiente de la probabilidad de la amenaza, es, si la amenaza ocurre cómo impacta al componente.
Si no disponemos del componente, en cuánto impacta a la prestación.
Recursos necesarios para satisfacer las prestaciones o servicios.
Identificación de las prestaciones y servicios junto a los responsables de los Procesos.
28
El DCV incorpora una estructura operacional y tecnológica:
Aspectos Operacionales. Incorporación de la estructura orgánica. Respaldo Oficinas administrativas. Edificios (Burgos-Huérfanos). Toda función crítica debe estar duplicada. Respaldo de RRHH.
Aspectos Tecnológicos. Distribución Sitios de producción hacia housing categoría TIIER III. Potenciamiento de Comunicación (CORE) entre sitios y edificios. Todo componente crítico debe estar duplicado.
Plan de Continuidad de Negocio - Políticas
Metodología
CIENTEC ENTEL
Burgos Huérfanos
Componentes duplicados
Como resultado de la metodología aplicada, se genera el Plan de Continuidad de Negocios, que incorpora unconjunto de Soluciones, proyectos, iniciativas y Procedimientos para dar respuesta a los escenarios de continuidad.
TI
RRHH
Oficinas
Sitios
29
Plan de Continuidad de Negocio - Indicadores
Indicadores de CumplimientoRepresentan los porcentajes logrados de la ejecución de los procedimientos de continuidad.
EVOLUCIÓN PLAN DE PRUEBA BCP
44%52% 54%
62%70%
56%48% 46%
38%30%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
may-09 jun-09 jul-09 ago-09 sep-09
% d
e C
ump
limie
nto
del
Pla
n
% Cubierto % No Cubierto
Cobertura Escenarios de Contingencia
Cubiertos; 99%
No Cubiertos;
1%
Principales pruebas desarrolladas:Alternancia de sitios (4 de 9)Plan de evacuaciónCorte de energía eléctricaRespaldo de Edificios (AH1N1)
Operación de clientes en DCVSoporte, Tecnología Operación remotaRegistro Central de EmisionesDCV Registros
30
Plan de Recuperación de Desastres - En Desarrollo
• Garantizar una reanudación oportuna y eficiente de las operaciones de la empresa, cuando se presente una interrupción mayor.
• Reducir las decisiones que se toman durante una contingencia.• Reducir los efectos negativos ocasionados por la emergencia.• Evitar la dependencia de una sola persona en el proceso de
recuperación.• Eliminar la necesidad de pensar y desarrollar nuevos procedimientos
durante la recuperación.• Minimizar el daño a las personas.• Minimizar la pérdida de información.• Minimizar el impacto negativo del incidente mayor, en la reputación e
imagen de la empresa frente a la comunidad.
Visión General del Proyecto DRP (Plan de Recuperación ante Desastres)
BCMS(Sistema de Gestión de Continuidad de Negocios
BCP(Plan de Continuidad de Negocios
DRP + CMP(Plan de Recuperación
ante Desastres y Plan de Manejo de Crisis)
Gestión del Riesgo Operacional:
Consiste en gestionar la:
CalidadSeguridadContinuidad
Objetivos
