Riesgo Operacional y Seguridad de la Informacióncentrodedesarrolloyliderazgo.celeris.cl/cursos/123/vd01md03.pdf · El objetivo final de la metodología propuesta por la norma es

Riesgo Operacional y Seguridad de la Información

Informe de Análisis de Impacto al Negocio

1. Introducción.

Actualmente, los modelos de negocios de las instituciones financieras, principalmente la Banca, están soportados por entornos tecnológicos robustos y complejos, donde las nuevas tecnologías, los altos niveles de competencia y la necesidad de un servicio oportuno y de calidad, han hecho que las organizaciones estén expuestas a mayores exigencias y consecuentemente a mayores riesgos.

Ataques de virus, vulnerabilidades de la tecnología, baja calidad de Software, almacenamiento inapropiado de datos, arquitecturas tecnológicas complejas, políticas poco efectivas de administración de recursos, incendios, terremotos, falta de personal clave, entre muchas otras, pueden resultar en la materialización de una crisis o desastre, lo cual podría impactar fuerte y negativamente al negocio.

Para mitigar estos riesgos, uno de los factores que debe ser cubierto es la Continuidad de las operaciones o funciones críticas de Negocio. Es necesario implementar estrategias integradas y probadas tanto de continuidad operativa como de recuperación de desastres, permitiendo que las organizaciones puedan incorporar resiliencia dentro de su cultura, habilitando capacidades de respuestas efectivas para proteger los intereses de los accionistas, partes interesadas, la imagen o las actividades de valor.

Un Plan de Continuidad de Negocio (PCN) contempla acciones precisas, documentadas y actualizadas, que van orientadas a recuperar las funciones críticas definidas por el Negocio en el menor tiempo posible, frente a la materialización u ocurrencia de una crisis o desastre, que afecte o pueda afectar directamente el normal funcionamiento del Banco.

Los principales objetivos de un PCN son:

- Minimizar el número de decisiones que deben ser tomadas durante un evento de crisis o desastre, con el propósito de garantizar la correcta recuperación de los procesos críticos de negocio.

- Reanudar tan rápidamente como sea posible, las funciones más críticas del Banco, minimizando así el impacto sobre el negocio.

- Minimizar las pérdidas económicas y de información, y en general, preservar los objetivos estratégicos de la Organización.

- Restaurar rápidamente un ambiente de operación normal para los procesos críticos de negocio afectados.

También es un objetivo primordial de las metodologías modernas de PCN la evaluación tanto del impacto de los riesgos, como de los costos de las medidas de contingencia, de forma que sólo se invierta lo necesario, con un objetivo claro de rentabilidad. En ocasiones, un PCN mal diseñado, podría ser causante que una organización incurra en gastos superiores a los daños a los que se está expuesta.

Si el riesgo queda caracterizado por las dos variables, probabilidad de ocurrencia e impacto, se debe entender que los sistemas de seguridad y procedimientos de control interno, tienen como objetivo reducir la probabilidad de ocurrencia, mientras que los planes de continuidad de negocio se centran en disminuir el impacto.

1

1.1. Metodología para el desarrollo de un Plan de Continuidad de Negocio.

El enfoque usado para el desarrollo del Plan de Continuidad de Negocio, considera como base lo especificado en la norma BS 25999, la que define el ciclo de vida y los elementos que constituyen un Sistema de Gestión de la Continuidad de Negocio, de acuerdo al siguiente esquema:

Ilustración 1: Diagrama Modelo de Gestión de Continuidad de Negocios BS-25999.

a. Política y Programa de Continuidad de Negocio.

Se establece el enfoque de la organización y las iniciativas que realizará para desarrollar continuidad del negocio. Adicionalmente, establece la importancia de la participación activa de la alta administración.

b. Entendimiento de la organización.

El objetivo es ayudar en el conocimiento de la organización mediante la identificación de sus productos y servicios fundamentales, las actividades críticas y los recursos que los apoyan. Este elemento asegura el alineamiento del programa de continuidad con los objetivos, obligaciones y requerimientos legales de la organización.

c. Determinación de estrategias de continuidad.

Como resultado del análisis de la etapa anterior, se pueden definir las estrategias de continuidad apropiadas, para permitir el cumplimiento de los objetivos del programa de continuidad.

d. Desarrollo e implementación. Etapa cuyo objetivo está referido a desarrollar y poner en producción los planes para asegurar la continuidad de los procesos críticos, además de gestionar eventualidades.

e. Ejercicio, mantenimiento y revisión del programa.

Etapa asegura que los planes desarrollados sean validados mediante las pruebas, revisiones periódicas y se mantengan actualizados.

f. Embebiendo Continuidad de Negocio en la cultura de la Organización.

El objetivo final de la metodología propuesta por la norma es lograr que las actividades de continuidad de negocio se integren a la operación normal de la empresa y que pasen a formar parte de las acciones, incluidos en los nuevos desarrollos e iniciativas.

2

El presente informe documenta el punto b de esta metodología, entendimiento de la organización. Las principales actividades que fueron realizadas e incluidas en el presente informe son:

- Evaluación de riesgos y amenazas. - Identificación de principales procesos del Banco. - Determinación de los procesos críticos.

El objetivo es obtener un conocimiento acabado de la organización tanto respecto de su forma de operar en condiciones normales como de los potenciales riesgos que podrían afectar la normalidad de estas operaciones. El resultado de esta etapa es la definición de los procesos de mayor criticidad para el Banco, sobre los cuales en una segunda etapa se llevará a cabo una selección de estrategias para enfrentar los diversos escenarios de continuidad de negocios planteados por los diferentes riesgos y amenazas identificados.

2. Visión Global de CorpBanca.

Acorde con una estrategia previamente definida, la extensión territorial del Banco y sus operaciones para satisfacer las necesidades de los clientes no se detiene. En 2012 se adquiere y toma control del Banco Santander Colombia S.A., hoy Banco Corpbanca Colombia S.A.

Durante agosto de 2013, luego de cumplidos los requisitos establecidos por las respectivas superintendencias de Chile, Colombia, Panamá e Islas Caimán y el Banco Central de Chile, se procede a la adquisición y toma de control de Helm Bank S.A. y sus filiales. Helm Bank tenía una participación de mercado de 4%, activos totales de US$ 6.643 millones, colocaciones por US$ 4.610 millones, depósitos totales por US$ 4.510 millones y un patrimonio neto de US$ 739 millones, en tanto, CorpBanca Colombia posee el 3% de participación de mercado.

Con posterioridad, se inició el proceso de fusión de Corpbanca Colombia con Helm Bank, que permitirá situar al banco fusionado como el quinto banco más importante de Colombia con presencia relevante en todos los segmentos y en divisiones de ingresos altos y medios de la banca de personas. El nuevo banco tendrá una participación de mercado cercana al 7% en activos y con colocaciones de unos US$ 8.000 millones.

Todas las acciones que el Banco ha desarrollado y desarrollará en el futuro tienen por eje central crear un vínculo de confianza con nuestros clientes. Esto ha sido nuestro desafío por los 142 años de existencia y lo seguirá siendo, ahora tanto en Chile como en los países donde el Banco ha expandido su operación.

Con posterioridad al cierre del ejercicio, se da cuenta de un trascendental hecho que ciertamente permitirá finalmente consolidar al Banco como banca regional: con fecha 29 de enero de 2014, se suscribe un acuerdo con Itaú-Unibanco e Itaú Chile por el cual se acuerda la fusión de las operaciones en Chile y Colombia, lo que implicará la fusión entre Corpbanca e Itaú Chile. Lo anterior, sujeto a las aprobaciones regulatorias en Chile, Brasil, Colombia, Panamá y Estados Unidos.

3. Evaluación de Riesgos y Amenazas.

La ejecución del presente proyecto de Revisión y Actualización del Plan de Continuidad de Negocios corporativo, incorporó una actualización de la base de riesgos operacionales asociados a Continuidad de Negocio.

Para la revisión de los riesgos, fue tomada como información inicial los antecedentes levantados el año 2011, actualizando esta información en base a los eventos de mayor relevancia ocurridos en el último año en materia de Continuidad de Negocio. La actividad de actualización se realizó por medio del envío de cuestionarios de auto- evaluación a colaboradores clave del Banco, diferenciando riesgos asociados, al Edificio Corporativo y Casa Matriz y, a las Sucursales.

El objetivo de los cuestionarios de auto-evaluación fue determinar el nivel del riesgo que representaba la interrupción sobre la continuidad de las operaciones de CorpBanca, para lo cual se realizaron las siguientes actividades:

- Se identificaron los principales riesgos y amenazas relacionadas con interrupción de las operaciones del banco. - A través de auto-evaluaciones, realizada por los colaboradores responsables, se calificó cada riesgo en los

siguientes ámbitos: -

- Probabilidad de ocurrencia de cada riesgo o amenaza.

3

- Impacto que tendría sobre los procesos del área la materialización del evento. - Controles existentes en el Banco para mitigar su probabilidad de ocurrencia.

La fórmula utilizada para calcular el nivel de riesgo inherente (RI), fue la siguiente:

RI= PROBABILIDAD x IMPACTO

La fórmula utilizada para calcular el nivel de riesgo residual (RR), fue la siguiente:

RR= PROBABILIDAD x IMPACTO x CONTROL

Las escalas utilizadas para valorizar la frecuencia, impacto y controles se presentan a continuación:

En base a las tablas de ponderación presentadas, se procedió a realizar la evaluación de las amenazas y cuantificación de los riesgos de continuidad de negocios presentes. Los resultados obtenidos fueron organizados en las siguientes categorías:

4

Probabilidad Impacto Riesgo Probabilidad Impacto Riesgo

MUY BAJO MUY BAJO MUY BAJO MEDIO ALTO ALTO

MUY BAJO BAJO BAJO MEDIO MUY ALTO ALTO

MUY BAJO MEDIO BAJO ALTO MUY BAJO BAJO

MUY BAJO ALTO BAJO ALTO BAJO MEDIO

MUY BAJO MUY ALTO MEDIO ALTO MEDIO ALTO

BAJO MUY BAJO BAJO ALTO ALTO ALTO

BAJO BAJO BAJO ALTO MUY ALTO MUY ALTO

BAJO MEDIO MEDIO MUY ALTO MUY BAJO MEDIO

BAJO ALTO MEDIO MUY ALTO BAJO ALTO

BAJO MUY ALTO ALTO MUY ALTO MEDIO ALTO

MEDIO MUY BAJO BAJO MUY ALTO ALTO MUY ALTO

MEDIO BAJO MEDIO MUY ALTO MUY ALTO MUY ALTO

MEDIO MEDIO MEDIO

Al realizar un análisis detallado, tanto de la aplicación de la tabla anteriormente definida, como de los resultados obtenidos, se observa el siguiente comportamiento de los riesgos residuales:

Será mayor mientras:

- Mayor sea la probabilidad de ocurrencia; - Mayor sea el impacto que ocasionaría si se materializará, y - Menor sea la efectividad de los controles implementados para su mitigación.

Será menor mientras:

- Menor sea la probabilidad de ocurrencia; - Menor sea el impacto que produciría si se materializará, y - Mayor sea la efectividad de los controles implementados para su mitigación.

5

3.1. Riesgos y Amenazas para Sucursales.

6

PAC – Plan de Administración de Crisis PCO – Plan Continuidad Operacional DRP – Plan de Recuperación de Desastres PEE – Plan de Evacuación y Emergencias

7

3.1.1. Conclusiones: riesgos y amenazas para Sucursales.

Del análisis y revisión realizada, se concluye, que los riesgos residuales que afectan a las sucursales son menores en términos de impacto sobre la continuidad de los negocios de CorpBanca. Este resultado se debe a la alta centralización de funciones y a que existen procedimientos alternativos eficientes para tratar buena parte de los eventos amenazantes.

Adicionalmente, se puede observar que los desastres naturales (específicamente lo referido a Sismo/Terremoto y Tsunami) son considerados críticos a la hora de definir las principales amenazas. Adicionalmente, la extorsión a personal clave de la sucursal, fue declarada como un riesgo alto, sin embargo con la aplicación de controles su riesgo residual es catalogado “Bajo”.

En el proceso de actualización de evaluación de riesgo, se incorporaron los riesgos de Falla o Indisponibilidad de equipos de Telefonía Fija y Móvil, los cuales fueron declarados con riesgo “Alto” y “Medio” respectivamente, resultando con riesgos “Bajo” una vez aplicados los controles respectivos, para el riesgo de el cual afecta a equipos de telefonía fija, se encuentran los monitoreo en tiempo de real de temperatura, humeada e incendio, así como también enlaces redundantes de voz y datos, y por último el cambio de estado de contingencia de las centrales. Para el riesgo ante falla o indisponibilidad de equipos de telefonía móvil, el control aplicado es la existencia de equipos de contingencia telefónica existentes en las sucursales Banco y las pruebas realizadas a este último.

En base a los resultados obtenidos, se determinó que los riesgos relativos a sucursales que serán tratados en el transcurso del trabajo, dicen relación con los principales efectos derivados de los escenarios de eventos amenazantes identificados. Entre los cuales se encuentran:

- Destrucción o imposibilidad de acceso a oficinas de sucursal (como efecto de desastres naturales o atentados terroristas).

- Destrucción o imposibilidad de utilizar sistemas e instalaciones (como consecuencia de desastres naturales, robo o atentados terroristas).

- Pérdida de energía eléctrica (por efecto de desastres naturales o atentados terroristas). - Ausencia de personal clave en sucursales (como consecuencia de lesiones, pandemias u otras ausencias

obligadas).

8

3.2. Riesgos y Amenazas Edificio Corporativo y Casa Matriz.

9

PAC – Plan de Administración de Crisis PCO – Plan Continuidad Operacional DRP – Plan de Recuperación de Desastres PEE – Plan de Evacuación y Emergencias

10

3.2.1. Conclusiones riesgos y amenazas para Edificio Corporativo y Casa Matriz.

Del análisis y revisión realizada, se concluye, al igual que el año anterior, que los riesgos residuales de cada una de las potenciales contingencias presentadas son bajos, aún cuando en las oficinas centrales se concentra la mayoría de los procesos críticos para las operaciones del Banco.

Se ha podido observar que la evaluación de los riesgos muestra una tendencia muy similar a la de las sucursales. Al igual que en éstas, sin embargo la amenaza de desastres naturales la evaluación de criticidad menor, esto último debido a las ubicaciones privilegiadas que en las cuales se encuentran nuestros Edificios Corporativos. En otro plano, la caída de los sistemas informáticos de apoyo a los procesos críticos de negocio, son vistos como una amenaza importante, ya que afecta las operaciones de prácticamente todas las unidades del Banco, sin embargo con los controles aplicados como pruebas constantes al DRP (Plan de Recuperación de Desastres) este riesgo es evaluado como “Bajo”.

De manera similar al proceso realizado para los Riesgos de sucursales en el proceso de evaluación de Riesgos para Edificios Corporativos, se incorporaron los riesgos de Falla o Indisponibilidad de equipos de Telefonía Fija y Móvil, los cuales fueron declarados con riesgo “Alto” y “Medio” respectivamente, resultando con riesgos “Bajo” una vez aplicados los controles respectivos, para el riesgo de el cual afecta a equipos de telefonía fija, se encuentran los monitoreo en tiempo de real de temperatura, humeada e incendio, así como también enlaces redundantes de voz y datos, y por último el cambio de estado de contingencia de las centrales. Para el riesgo ante falla o indisponibilidad de equipos de telefonía móvil, el control aplicado es la existencia de equipos de contingencia telefónica existentes en las sucursales Banco y las pruebas realizadas a este último. De manera anexa ambos riesgos son apoyados con la gestión realizada a proveedores críticos.

En base a los resultados obtenidos, se determinó que los riesgos relativos a Edificios Corporativos que serán tratados en el transcurso del trabajo, dicen relación con los principales efectos derivados de los escenarios de eventos amenazantes identificados. Entre los cuales se encuentran:

- Destrucción o imposibilidad de acceso a oficinas centrales (como efecto de desastres naturales, vandalismo o

atentados). - Destrucción o imposibilidad de utilizar sistemas e instalaciones (como consecuencia de desastres naturales,

robo o atentados terroristas). - Fallas o caídas de los Sistemas Informáticos que apoyan los procesos críticos de negocio. - Ausencia de personal clave (como consecuencia de lesiones, pandemia u otras ausencias obligadas).

Estos riesgos y sus efectos deben ser vistos a la luz de los procesos críticos de negocio que pueden ser afectados. La definición de los procesos que resultan de mayor criticidad para las operaciones de CorpBanca es tema del próximo capítulo.

11

4. Procesos de negocio.

La identificación de procesos de negocio y su categorización son pasos fundamentales que deben ser desarrollados al Planificar la Continuidad de Negocio de un Organización. La correcta ejecución de esta actividad permite focalizar los esfuerzos de continuidad en aquellos procesos que resultan más relevantes para la operación del Negocio, permitiendo cuidar los costos financieros que representan estas actividades.

Las tareas de identificación y categorización de procesos se llevaron a cabo en varias etapas, las que son descritas a continuación.

4.1. Diagrama Organizacional.

Con el propósito de organizar las actividades de identificación y categorización de procesos de negocio, se procedió con la actualización del Diagrama Organizacional, por medio del cual se identificaron las principales áreas de CorpBanca y como se organizan. Para realizar este diagrama se utilizó el conocimiento adquirido durante la etapa de levantamiento realizada y la memoria de CorpBanca al año 2011; adicionalmente, se contó con la colaboración de la Gerencia de Riesgo Operacional y Seguridad de la Información y del Administrador de Continuidad de Negocio de CorpBanca.

El diagrama busca graficar, de manera general, la cadena de valor del Banco y la organización de sus principales líneas de negocio. A partir de este diagrama se obtuvo una visión global acerca del funcionamiento del Banco, lo que permitió enfocar nuestros esfuerzos con mayor propiedad. El Diagrama Organizacional se puede observar en la ilustración 2.

Ilustración 2: Diagrama Organizacional.

12

4.2. Identificación y categorización de procesos.

4.2.1 Listado de procesos

A partir del diagrama realizado, se planificó y ejecutó un trabajo de levantamiento que permitió identificar y listar los procesos de cada una de las áreas evaluadas. Esto se llevó a cabo a través de una serie de entrevistas con colaboradores de CorpBanca, responsables de los procesos críticos, de manera adicional se realizó un levantamiento de información a partir del Mapa de Procesos de Corpbanca IFW. A continuación se presentan los 36 procesos críticos, indicando a que área de negocios pertenecen.

Recursos Humanos y Desarrollo 1. Pago de Remuneraciones y Beneficios.

Gerencia Contact Center y Servicio al Cliente: 2. Emergencias bancarias.

Banca Personas 3. Pago y Captación.

Agencia de Valores S.A.:

4. Manejo de cartera discrecional. 5. Manejo de cartera no discrecional.

Finanzas:

6. Inversiones largo plazo. 7. Front distribución. 8. Front liquidez. 9. Front gestión financiera. 10. Market Making y Trading propietario. 11. Institucionales.

Riesgo Financiero: 12. Middle office. 13. Middle office filiales. 14. Generación de tasas.

CorpBanca Administradora General de Fondos S.A.:

15. Proceso de rescate. 16. Mesa de dinero.

CorpBanca Corredores de Bolsa S.A.:

17. Venta y liquidación de valores – Compra y venta de acciones / Mesa renta variable. Compra y venta de IRF e IIF / Mesa renta fija. Trading FX.

Gerencia División Operaciones y Sistemas: 18. Departamento de Informes - Informes regulatorios. 19. Departamento Cash – Pagos masivos o de nóminas. 20. Departamento Cash – Pago en Línea. 21. Departamento Cash – Transferencias. 22. Departamento Canje - Procesamiento de Cheques. 23. BackOffice Operaciones Financieras - Tesorería Banco. 24. BackOffice Operaciones Financieras - Tesorería Filiales. 25. BackOffice Operaciones Financieras - Mesa de Dinero Banco. 26. BackOffice Operaciones Financieras - Control Operativo. 27. BackOffice Operaciones Financieras - Clientes Banco y Filiales. 28. BackOffice Operaciones Financieras – Calculo Hedge. 29. BackOffice Operaciones Financieras - Fondos Mutuos. 30. BackOffice Operaciones Financieras - Corredora. 31. BackOffice Operaciones Financieras - Valores Filiales. 32. BackOffice Operaciones Financieras - Agencia de Valores. 33. Operaciones Sucursales – Administración. 34. Operaciones Sucursales – Recepción y Validación. 35. Operaciones Sucursales – Monitoreo y Pago. 36. Operaciones Sucursales – Transporte de Valores.

13

4.2.2. Identificación de procesos críticos.

Una vez realizada la identificación y actualización de los procesos críticos, el siguiente paso metodológico fue realizar un análisis a la totalidad de procesos identificados en Corpbanca, para dicha tarea fueron realizadas las siguientes actividades, Encuesta de procesos Críticos, cuyo objetivo es realizar una revisión preliminar para realizar una pre- clasificación de procesos, en la actividad de encuesta se presentaron 547 procesos de nivel 3 existentes en el IFW del Banco, el resultado de la Encuesta de proceso críticos fue el de 111 procesos de nivel 3, representados en 26 macro procesos. La actividad de encuesta fue presentada ante un comité creado para validar la selección de procesos críticos, dicha actividad consistió en una votación electrónica presencial de la cual participaron:

- Fernando Massu Tare - Gerente General - Jose Brito Figari - Gerente División Riesgo Crédito Empresas - Eugenio Gigogne Miqueles - Gerente División Financiera y Riesgos Basilea - Jorge Hechenleitner Adams - Gerente División Altos Patrimonios - Americo Becerra Morales - Gerente División Operaciones y Procesos - Oscar Cerda Urrutia - Gerente División Comercial Empresas y Personas - Patricia Retamal Bustos - Gerente División Sinergias - Jorge Garrao Fortes - Gerente División Riesgos Banca Personas - Rodrigo Oyarzo Brncic - Gerente División Grandes Empresas y Corporativas - Rodrigo Arroyo Pardo - Gerente División Tesorería - Andres Garcia Lagos Gerente División Administración de Activos - Gerardo Schlotfeldt Leighton - Gerente División Banco Condell - Gabriela Salvador Broussaingaray - Gerente División Productos y Canales - Maria Eugenia De La Fuente Nuñez - Gerente División Calidad y Servicios al Cliente - Guerra Bahamondes - Gerente Riesgos Operacional y Seguridad de la Información - Diego Gonzalez Marchant - Oficial de Seguridad de la Información

A la actividad de votación se presentaron los siguientes 26 Procesos

Comex

1. Activación y Mantención 2. Gestión Post Venta y Comunicación 3. Pago – Cobertura

Apertura y Administración de Cuentas / Cta. Cte. Empresas

4. Activación 5. Administración

Apertura y Administración de Cuentas / Cta. Cte. Personas 6. Activación

Ahorro, Inversiones y DAP / Derivados

7. Ofrecimiento 8. Activación 9. Administración 10. Vencimiento

Ahorro, Inversiones y DAP / Inversión Nacional

11. Administración

Préstamos Comerciales y Sindicados / Créditos Comerciales 12. Activación 13. Administración 14. Término

Préstamos Comerciales y Sindicados / Factoring

15. Activación y Administración 16. Término

Administración de Tarjetas de Crédito / Bca. Empresas

17. Activación

14

Riesgo de Crédito / Bca. Personas Corpbanca

18. Administración

Préstamos Personas / Corpbanca

19. Activación y Administración

Préstamos Personas / Corpbanca

20. Término

Préstamos Personas / Condell 21. Activación y Administración 22. Término

Pagos-Retiros-Transferencias / Canal Presencial

23. Recepción y Verificación 24. Administración 25. Monitoreo y Pago

Pagos-Retiros-Transferencias / Canal Remoto

26. Recepción y Verificación

La votación consistió en identificar si el proceso es o no crítico para la Continuidad de Negocio del Banco, considerando que de no ser ejecutado en un plazo de 0 a 4 genera altos impactos considerando por lo menos uno de las siguientes perspectivas o visiones de impacto:

- Servicio al Cliente / Necesidades Externas, - Servicio al Cliente / Necesidades Internas, - Eficiencia Operativa, Requerimientos Legales y Regulatorios y, por último, - Reputación frente a la Industria e Imagen del Banco.

El impacto sobre las variables medidas puede ser cuantificado por medio de una pérdida financiera importante, pero también puede estar asociado a pérdidas de imagen, pérdidas oportunidad, problemas legales, entre otros; los cuales no necesariamente generan impactos financieros significativos inmediatos, pero que si son relevantes para la continuidad, desarrollo y sustentabilidad de la Organización.

Resultado de procesos de votación procesos críticos

Pagos-Retiros-Transferencias / Canal Presencial

1. Recepción y Verificación 2. Administración 3. Monitoreo y Pago

Adicionalmente, es importante destacar que la selección de las Estrategias de continuidad y/o recuperación de los procesos críticos no se realiza tan sólo con la identificación de los mencionados procesos. La estrategia debe estar acorde a otras variables de análisis posterior a la identificación de dichos procesos, como por ejemplo, la identificación de alternativas de estrategias de recuperación y/o continuidad, de acuerdo a la naturaleza de cada proceso (volumen de transacciones, impacto financiero, tiempo de recuperación objetivo, entre otros), y al análisis costo / beneficio de cada una de las alternativas.

La actividad de actualización se realizó por medio del envío de cuestionarios de auto-evaluación a colaboradores dueño de los procesos críticos del Banco, siendo los líderes de cada una de éstas áreas los responsables de designar los colaboradores a quienes el Administrador de Continuidad de Negocio debió entrevistar. Por medio del mencionado cuestionario no sólo se pudo documentar las áreas, procesos y dueños de procesos, sino además, los objetivos, necesidades de recuperación e impactos asociados a la interrupción de los procesos de negocio.

El objetivo del cuestionario fue entender las principales características de cada proceso, su nivel de criticidad y el impacto que generaría la interrupción de cada uno de ellos. Para obtener la información requerida, se hicieron preguntas enfocadas a evaluar variables cualitativas, destinadas a una mejor comprensión del proceso, cuya misión fue entregar un mecanismo de medición o comparación entre los distintos procesos, lo que a posterior, permitiría su categorización.

15

4.2.2.1. Variables medidas para la identificación de procesos críticos.

Las variables que fueron tomadas en cuenta para esta etapa del proyecto fueron las siguientes:

A. RTO: El Tiempo Objetivo de Recuperación (RTO) o Necesidades de recuperación, corresponde al máximo tiempo que puede esperar un dueño de proceso para recuperar el proceso que ha sufrido una interrupción, sin impactar en forma significativa al negocio. Las Necesidades de Recuperación fueron expresadas en horas; esto implica que mientras menor sean estas necesidades, mayor será la premura de retornar a un estado de ejecución normal del proceso interrumpido. Para la ejecución de cálculos referidos al RTO se realizo una ponderación en relación al rango de tiempo del RTO asignando un nivel de criticidad y una ponderación.

Ponderación Criticidad RTO (Horas)

1 Muy Alto 0 - 4

2 Alto 4 - 12

3 Medio 12 - 24

4 Bajo 24 - 72

5 Muy Bajo 72 ó Mas

B. Impacto: Se evalúo el impacto que provocaría la interrupción de un proceso considerando 5 visiones: Servicio al Cliente / Necesidades Externas, Servicio al Cliente / Necesidades Internas, Eficiencia Operativa, Requerimientos Legales y Regulatorios y Reputación en la Industria e Imagen del Banco. Este ítem buscaba evaluar cuanto se afectará cada una de estas variables ante la interrupción de un proceso determinado. El impacto puede variar de acuerdo a la cantidad de tiempo en que un proceso esté fuera de servicio. Por ejemplo, es posible que los clientes de una sucursal no noten que el sistema de caja no está funcionado por unos minutos, ya que se podrán usar los procedimientos alternativos, pero si el problema persiste por horas, la calidad del servicio disminuirá y los tiempos de ejecución de las operaciones aumentarán drásticamente. Por ello, para evaluar adecuadamente cada una de las variables, se establecieron categorías de impacto (de 1 a 5, siendo 1 Ningún impacto y 5 Gran Impacto) para diferentes lapsos de tiempo. A continuación se muestra un ejemplo con las respuestas que pueden ser entregadas sobre un proceso en la evaluación de una de las visiones de Impacto medidas:

Proceso: Ejemplo

Ningún Impacto Gran Impacto

Tiempo/Impacto 1 2 3 4 5

4 horas X 1 día X

3 días X

1 semana X

Más de 1 semana X

Debido a que un proceso será más crítico mientras más impacto provoque en un menor tiempo, la forma de tabular esta variable fue asignándole un peso relativo acorde con la relación impacto-tiempo a cada respuesta de la siguiente forma:

Tiempo 1

4 horas 40%

1 día 30%

3 días 20%

1 semana 7%

Más de 1 semana 3%

De esta forma, el impacto para el proceso ejemplo será de 4,2, obteniendo el resultado en base al siguiente cálculo:

(3*40%) + (5*30%) + (5*20%) + (5*7%) + (5*3%) = 4,2.

Tanto el formato como la forma de tabulación se repitieron para las 5 variables mencionadas.

16

C. Criticidad Interna: Esta variable es considerada fue el nivel de criticidad que representa el proceso para el área

dueña del proceso. Ésta fue medida por los dueños de proceso en una escala de 1 a 5 (donde 1 representa una criticidad baja y 5 una criticidad alta).

D. Criticidad para él Banco: La cuarta variable considerada fue el nivel de criticidad que representa el proceso para él Banco, desde una perspectiva global. Ésta fue medida por la Gerencia de Riesgo Operacional y Seguridad de la Información, y aprobada por el Comité de Riesgo Operacional y Seguridad de la Información, en una escala de 1 a 5 (donde 1 representa una criticidad baja y 5 una criticidad alta).

E. Como determinar el cálculo de la matriz impacto - criticidad:

Inicio

Entrada Impactos

Cliente Externo

Cliente Interno

Legal

Imagen

Eficiencia

L = Legal * 30%

I= Imagen * 30%

CE = Cliente Externo * 20%

CI = Cliente Interno * 10%

E = Eficiencia * 10%

Impacto Total (IT) =

L + I + CE + CI + E

Criticidad Total Calculada (CTC)

CTC = (IT*40%)+(Criticidad interna*20%)+(Criticidad Banco*40%)

Impacto

Total (IT)

RTO Ponderado (PRTO)

RTO ingresado por usuario

IF RTO >= 0 and RTO <= 4 then PRTO = 5

IF RTO > 4 and RTO <= 12 then PRTO = 4



IF RTO > 72 then PRTO = 1

Nivel de Criticidad (NC)

NC = PROMEDIO (CTC;PRTO)

IF NC >= 1 and NC <= 1.8

IF NC > 1.8 and NC <= 2.6

IF NC > 2.6 and NC <= 3.4

IF NC > 3.4 and NC <= 4.2

IF NC > 4.2 and NC <= 5

then NCfinal = MUY BAJA

then NCfinal = BAJA

then NCfinal = MEDIA

then NCfinal = ALTA

then NCfinal = MUY ALTA

Nivel Criticidad

FIN

17

4.2.3. Evaluación de los principales procesos de negocio

A continuación se presentan el resultado de la evaluación de los principales procesos de negocio, los que son presentados en concordancia con el listado principal de procesos entregados y detallando al área de negocio que pertenece. En cada cuadro, junto con identificar los dueños de proceso, se presentan los resultados obtenidos de la tabulación de las variables medidas, junto a comentarios y conclusiones respecto de los resultados.

Finanzas - Gerencia División Tesorería

Comentarios El proceso de Finanzas, involucra todas las operaciones relacionadas al Front de la Mesa de Dinero del Banco, los procesos fueron calificados entre las criticidades de "Medio" y " Alto". Los tiempos de recuperación fijados por los dueños de los procesos son de 2 y 24 horas. Los procesos asociados a las Mesas de Dinero realizan operaciones en tiempo real y continuo, moviendo grandes sumas de dinero en cuestión de minutos. Una interrupción de los procesos puede acarrear fuertes pérdidas financieras o afectar el nivel de liquidez del Banco. Además se pueden tener problemas de carácter normativo y de servicio a clientes importantes. La información que se maneja en estas áreas es clave para la gestión del Banco, y en ausencia de respaldos adecuados la pérdida puede ser irreparable.

Gerencia Operaciones Financieras

18

Comentarios

Los procesos fueron clasificados entre las criticidades “Bajo”, “Alto” y “Muy Alto”, para esta actualización los rangos de criticidad figuran entre “Medio”, “Alto” y “Muy Alto” . Las necesidades de recuperación fueron fijadas por los dueños de los procesos en 1, 2 y 4 horas.

CorpBanca Administradora General de Fondos S.A.

Comentarios

Los procesos realizados por la Administradora de Fondos Mutuos sufrieron modificación incorporándose el proceso de Manejo de Cartera Discrecional, el cual pertenecía a la Agencia de Valores, debido a modificaciones, este proceso paso a ser parte de la Administradora General de Fondos. El tiempo de recuperación se ha definido entre 0 a 4 horas. Entre las consecuencias de una interrupción, se pueden contar las pérdidas financieras, problemas de requerimientos legales (las fallas en los procesos de las operaciones pueden generar el incumplimiento de la normativa de la SVS), razón por los procesos identificados por la Administradora General de Fondos, son considerados de criticidad interna y Banco Altos.

Recursos Humanos

Comentarios El proceso de Recursos Humanos no sufre cambios en su evaluación final, manteniendo su evaluación final “Alto”, esto se da por el nivel de criticidad interna y banco identificado como "Criticidad Alta" y un RTO identificado por los dueños del proceso de 1 hora. Para este año es posible identificar un cambio en el organigrama de la División de Recursos Humanos, el proceso pertenece a la Gerencia de Compensaciones y Gestión.

19

Canje - Gerencia División Operaciones y Sistemas

Comentarios

Se validan los Subprocesos identificados para Canje, en donde 3 de los 7 son considerados como "Muy Alto" y 2 son evaluados "Alto" y 2 últimos considerados “Medio”, destacando que los considerados “Muy Alto” pertenecen a procesos de Canje Nacional. Su interrupción genera graves consecuencias no sólo en cuanto a requerimientos legales sino en términos de eficiencia e imagen (la no concurrencia a las distintas cámaras que se realizan a diario provocará problemas a toda la Banca). Las necesidades de recuperación fijadas por los dueños de los procesos son de 1, 4 y 24 horas respectivamente, lo cual genera la necesidad de minimizar los riesgos asociados a estas actividades y establecer medidas que permitan evaluar y controlar los servicios entregados por el proveedor Tata, quien cobra un rol crítico.

Departamento de Informes - Gerencia División Operaciones y Sistemas

20

Proceso

Sub Proceso

Dueño de proceso

RTO (horas)

Impacto Criticidad Evaluación

Cliente

externo

Cliente

interno Eficiencia Req. Legal Imagen Interna Banco

Informes

regulatorio

s

Generación y

Soporte Informes

SBIF, BCCh y UAF

Jefe Depto. Informes

Normativos

4 horas

3,1

1,1

2,7

3,1

2,0

5,0

5,0

Alto

Corrección de

Informes SBIF,

BCCh y UAF


Normativos

4 horas

3,0

1,1

3,7

3,0

2,0

5,0

5,0

Alto

Validación y

corrección de

Informes SBIF,

BCCh y UAF


Normativos

4 horas

3,5

1,1

3,7

3,5

2,0

5,0

5,0

Alto

Transmisión de

Informes SBIF,

BCCh y UAF


Normativos

4 horas

3,5

1,1

3,7

3,5

2,0

5,0

5,0

Alto

Validación

datos del

boletin de

información

comercial de la

Camara de

Comercio de

Santiago


Normativos

24 horas

1,0

1,1

1,4

1,0

1,0

1,0

1,0

Muy Bajo

Bloqueo de

operaciones


Normativos 4 horas 4,1 4,1 4,1 4,1 2,0 3,0 3,0 Medio

fe de erratas Jefe Depto. Informes

Normativos 4 horas 1,2 1,0 1,2 1,2 1,2 3,0 3,0 Bajo

Investigación de

informes emitidos


Normativos 4 horas 2,9 2,9 1,7 2,9 1,7 3,0 3,0 Medio

Informe Semestral de Contabilidad

Jefe Depto. Informes Normativos 4 horas 2,9 2,9 1,9 2,9 1,7 5,0 5,0 Alto

Comentarios

La SBIF es el principal órgano rector de la Banca, por lo que el proceso de generación de informes obligatorios para esta institución es de gran relevancia. Los diferentes informes son requeridos de forma diaria, mensual o anual y tienen establecidos tiempos máximos de gran rigurosidad. Una interrupción de los procesos puede acarrear problemas de carácter normativo. El proceso de Informes Regulatorios fue evaluado como un único proceso, siendo identificado como “Alto”, con un tiempo de recuperación de 2 horas, sin embargo se realiza su actualización a los subprocesos identificados.

Corredores de Bolsa

Comentarios

Los procesos que realiza la Corredora de Bolsa se encuentran ligados a las transacciones de la Mesa de Dinero. En este caso, la Mesa de Dinero también es muy sensible a las interrupciones en los distintos procesos, aún cuando las necesidades de recuperación han sido fijadas en 0 y 1 hora. Suben su criticidad desde los niveles "Medio" hasta "Muy Alto" a ser clasificados con evaluaciones “Muy Alto” y “Alto”, lo anterior en base a las respuestas otorgadas por los dueños de los procesos.

Gerencia Contact Center y Servicio al Cliente

21

Comentarios

Su evaluación lo clasifica como un proceso de nivel "Muy Alto". Entre las consecuencias de una interrupción, se pueden contar problemas de requerimientos legales, daño de imagen e impacto en los clientes externos (una detención del proceso puede tener importantes repercusiones en la calidad de servicio entregado a los clientes externos, que requieren el bloqueo de sus tarjetas de crédito o débito y la orden de no pago de cheques).

Banca Personas

Comentarios

Podemos señalar que el proceso "Pago y Captación" fue categorizado según su criticidad como "Alto", el tiempo objetivo de recuperación fue fijado en 4 horas por los usuarios dueños del proceso. Los procesos de esta área, dan servicio a empresas pequeñas, medias y grandes, como a negocios inmobiliarios que están destinados a empresas, por lo que los montos de las operaciones, si bien varían en envergadura, pueden llegar a ser muy importantes individualmente en términos financieros. Por lo mismo, las fallas en la calidad de servicio deberían ser mitigadas al máximo para evitar pérdida de negocios o clientes. Adicionalmente el proceso “Pago y Captación” se encuentra relacionado con el proceso “Rescate” de Corpbanca Administradora General de Fondos.

Departamento Cash - Gerencia División Operaciones y Sistemas

Comentarios

El proceso "Pagos Masivos” era identificado con anterioridad como “Pago de Nóminas”, adicionalmente y según Plan de Saldos Vistas se incorporan los procesos de “Transferencia y Pago en Línea”, ambos pertenecientes al área de Servicios Cash Management, los tres procesos nombrados de manera anterior son categorizados con nivel "Muy Alto". Para el proceso "Pago de Nóminas", las necesidades de recuperación fueron fijadas por los dueños del proceso en 4 horas, con altos impactos para Clientes Externos e Imagen, por lo tanto una interrupción en el proceso es de alta criticidad. Los procesos de “Transferencia” y “Pago en Línea” reciben evaluaciones similares al del proceso “Pago de Nóminas” destacando sus RTO bajo a 4 Horas, estos procesos se encuentran ligados a servicios y plataformas tecnológicas críticas del Banco.

Agencia de Valores

22

Comentarios

Para la versión el proceso de la Agencia de Valores fue categorizado según su criticidad como "Medio", con un tiempo objetivo de recuperación fue fijada en 3 horas por los usuarios dueños del proceso. En relación a los cambios que ha presentado la Agencia de Valores, el proceso de Manejo de Cartera Discrecional pasó a Corpbanca Administradora General de Fondos y solo se mantiene el proceso de Manejo de Cartera no Discrecional, no se identifican nuevos procesos

Riesgo Financiero

Comentarios

Es posible señalar que dicha área mantiene sus 3 procesos críticos los cuales no presentan cambios en su evaluación final encontrándose dos procesos clasificados como “Alto” y un proceso considerado “Medio. Para el área de Riesgo Financiero no se presentan nuevos procesos a evaluar.

Operación Sucursales

Comentarios El proceso de Transporte de Valores resulta evaluado con una criticidad “Muy Alto” y con un tiempo de recuperación fijado en 1 hora. Es importante señalar la importante relación que posee el proceso con los proveedores de Transporte de Valores, entre los podemos descartar Prosegur, Brink’s y Wagner los cuales concentran gran cantidad de los servicios relacionados a dicho proceso, adicionalmente existen en la nomina de proveedores críticos, otras empresas que realizan las mismas actividades pero con menor cantidad de clientes o servicios Dumbar, Chile Valores e Intertecno, dicho stock de proveedores permite al Banco optar por medidas de contingencia ante la falla o ausencia de alguno.

23


Comentarios

Es posible señalar que dicha área mantiene sus 3 procesos críticos los cuales no presentan cambios en su evaluación final encontrándose dos procesos clasificados como “Alto” y un proceso considerado “Muy Alto”. Para el área de Operaciones Sucursales no se presentan nuevos procesos a evaluar.

4.3. Selección de procesos críticos.

4.3.1. Selección de procesos críticos en base a resultados encuestas.

En base al análisis precedente se agruparon los principales procesos en 5 categorías según el nivel de criticidad y necesidad de establecer planes de continuidad de negocios (Muy Alto, Alto, Medio, Bajo y Muy Bajo). De acuerdo a esta agrupación, se determinó que el resto del trabajo a realizar se enfocará en aquellos procesos definidos como de criticidad Muy Alto, Alto y Medio, ya que estos – de acuerdo al análisis realizado – justificarían la elaboración de estrategias de continuidad por el nivel de impacto que tendría una interrupción en sus operaciones.

La categorización inicial entrego el siguiente resultado preliminar de procesos y subprocesos:

- Procesos de criticidad Muy Alto 14 - Procesos de criticidad Alto 16 - Procesos de criticidad Medio 10 - Procesos de criticidad Bajo 1 - Procesos de criticidad Muy Bajo 1

A continuación se presenta un listado detallado con los resultados preliminares obtenidos de la clasificación de los diferentes procesos:

Procesos de Criticidad Muy Alto

1. Operaciones Financieras - Procesos Corredora 2. Operaciones Financieras - Tesorería Filiales 3. Operaciones Financieras - Tesorería Banco 4. Canje - Canje Región Metropolitana y Ciudad de Concepción Procesado por Tata 5. Canje - Canje Sucursales con Plataforma Atril y sin Canje Tata 6. Canje - Canje Sucursales sin sistema Atril y sin Canje Tata 7. CorpBanca Corredores de Bolsa - Mesa Renta Variable 8. CorpBanca Corredores de Bolsa - Compra y Venta de Acciones 9. CorpBanca Corredores de Bolsa - Trading FX 10. Servicios Cash Management - Pago Masivos 11. Servicios Cash Management - Transferencias 12. Servicios Cash Management - Pago en Línea 13. Operación Sucursales – Transporte de Valores

24

14. Operación Sucursales – Monitoreo y Pago

Procesos de Critidad Alto

15. Finanzas - Front Liquidez 16. Finanzas - Institucionales 17. Finanzas - Market Making y Tradinng Propietario 18. Operaciones Financieras – Calculo de Hedge 19. Operaciones Financieras - Procesos Clientes Banco y Filiales 20. Operaciones Financieras – Procesos Mesa de Dinero Banco 21. Operaciones Financieras – Procesos Agencia de Valores 22. Operaciones Financieras – Procesos de Valores Filiales 23. CorpBanca Administradora General de Fondos – Proceso de Rescate (Ventas) 24. CorpBanca Administradora General de Fondos – Front Office (Mesa de Dinero) 25. CorpBanca Administradora General de Fondos – Manejo de Carteras Discrecional 26. Recursos Humanos - Pago de Remuneraciones y Beneficios 27. Canje - Canje Moneda Extranjera Cámara Local (Dólares) 28. Canje - Canje Moneda Extranjera Corpbanca NY (Dólares) 29. Informes - Generación y Soporte Informes SBIF, BCCh y UAF 30. Informes - Corrección de Informes SBIF, BCCh y UAF 31. Informes - Validación y Corrección de Informes SBIF, BCCh y UAF 32. Informes - Tratamiento de Informes SBIF, BCCh y UAF 33. Informes - Informe Semestral de Contabilidad 34. CorpBanca Corredores de Bolsa - Mesa Renta Fija 35. CorpBanca Corredores de Bolsa - Compra y Venta de IRF e IIF 36. Contact Center - Emergencias Bancarias 37. Banca Personas - Pago y Captación 38. Riesgo Financiero - Middle Office 39. Riesgo Financiero - Generación de Tasas 40. Operación Sucursales – Recepción y Verificación 41. Operación Sucursales - Administración

Procesos de Criticidad Medio

42. Finanzas - Front Distribución 43. Finanzas – Inversiones a Largo Plazo 44. Operaciones Finacieras – Procesos Fondos Mutuos 45. Operaciones Finacieras – Agencia de Valores 46. Canje - Canje Moneda Extranjera otras plazas a USA (Dólares) 47. Canje - Canje Moneda Extranjera (Euros y Libras Esterlinas) 48. Informes - Bloqueo de Operaciones 49. Informes - Investigación de Informes Emitidos 50. Agencia de Valores - Manejo de carteras no Discrecional 51. Riesgo Financiero - Middle Office Filiales

Procesos de Criticidad Bajo

52. Informes - Fe de Erratas

Procesos de Criticidad Muy Bajo

53. Informes - Validación Datos del Boletín de Información de la Camara de Comercio de Santiag

25

4.3.2. Selección de procesos críticos

Una vez que se seleccionaron los procesos críticos en base a la metodología definida, el resultado preliminar de categorización de procesos fue presentado al Comité de Riesgo Operacional, para aprobar y validar la incorporación de 4 nuevos procesos. El listado final de procesos de negocio considerados críticos para CorpBanca, es el que se presenta a continuación:

Recursos Humanos y Desarrollo:

1. Pago de Remuneraciones y Beneficios.

Gerencia Contact Center y Servicio al Cliente: 2. Emergencias bancarias.

Banca Personas:

3. Pago y Captación.

Agencia de Valores S.A.:

4. Manejo de cartera no discrecional.

Finanzas:

5. Inversiones largo plazo. 6. Front distribución. 7. Front liquidez. 8. Front gestión financiera. 9. Institucionales. 10. Market Making y Trading Propietario

CorpBanca Administradora General de Fondos S.A.: 11. Proceso de rescate. 12. Mesa de dinero. 13. Manejo de cartera discrecional.

CorpBanca Corredores de Bolsa S.A.: 14. Venta y liquidación de valores – Compra y venta de acciones / Mesa renta variable. 14. Venta y liquidación de valores – Compra y venta de IRF e IIF / Mesa renta fija. 14. Venta y liquidación de valores – Trading FX.

Gerencia División Operaciones y Sistemas: 15. Departamento de Informes - Informes regulatorios. 16. Departamento Cash - Pago Masivos. 17. Departamento Cash – Pago en Línea. 18. Departamento Cash - Transferencias. 19. Departamento Canje - Procesamiento de Cheques. 20. BackOffice Operaciones Financieras - Tesorería Banco. 21. BackOffice Operaciones Financieras - Mesa de Dinero Banco. 22. BackOffice Operaciones Financieras – Calculo de Hedge. 23. BackOffice Operaciones Financieras - Clientes Banco y Filiales. 24. BackOffice Operaciones Financieras - Fondos Mutuos. 25. BackOffice Operaciones Financieras - Corredora. 26. BackOffice Operaciones Financieras - Tesorería Filiales. 27. BackOffice Operaciones Financieras - Valores Filiales. 28. BackOffice Operaciones Financieras - Agencia de Valores. 29. BackOffice Operaciones Financieras - Agencia de Valores Filiales 30. Sucursales – Transporte de Valores 31. Sucursales – Recepción y Verificación 32. Sucursales – Administración 33. Sucursales – Monitoreo y Pago

26

Riesgo Financiero

34. Middle Office 35. Middle Office Filiales 36. Generación de Tasas

Resultado de proceso de validación (a la espera de confirmación)

- Procesos sobre los cuales se realizará Continuidad de Negocios: 32, en la ilustración 3 se puede observar el Diagrama Organizacional y la cantidad de procesos críticos seleccionados.

36

Corp Banca

7 3 21 5

Áreas Directas Comerciales

División Banco Condell

Áreas Directas Apoyo

Gerente Planificación

Áreas Staff

División Sinergías

Filiales

CorpBanca Corredores de Seguros

División Comercial Banca Empresas y

Personas

Banca Mayorista

División Financiera y Riesgos Basilea

3

Gerente División Riesgo Empresas

Director de Operaciones, Calidad y

Servicio

Gerente Administración

Corpbanca Corredores de Bolsa

1

División Inmobiliaria

Gerente Banker Internacional

División Riesgo Banca Personas

Director Legal y Control

Gerente División Operaciones y

Procesos

Gerente Proyectos

CorpBanca Administradora General de Fondos

19

CorpBanca Asesorías Financieras

División GG.EE y Corporativas

Gerente División Contraloría (*)

Gerente División Recursos Humanos 1

CorpBanca Agencia de Valores 1

Gerente Comercial

Gerente División Cumplimiento (*)

Gerente Asuntos Corporativos

SMU Corp

División Tesorería

Gerente División Servicios Legales

Gerente Calidad y servicio al cliente

1

Producción y Tecnología

CorpLegal

División Adm. de Activos

División Finanzas Internacional

7

Gerente Marketing

División Altos Patrimonios

División Productos y Canales

Ilustración 3: Diagrama Organizacional y cantidad de procesos críticos.

3

Pro

vee

do

re

s asociad

os

a pro

ceso

s o

servicio

s

críticos

15

14

13

12

11

10 9 8 7 6 5 4 3 2 1

Procesos Críticos

Áreas

WA

GN

ER

TRA

NSB

AN

K S.A

.

TATA

Co

nsu

ltancy Se

rvices C

hile

S.A. (*)

SWIFT (TA

S Am

ericas S.A

.)

SINA

CO

FI S.A.

RED

BA

NC

PR

OSEG

UR

NEX

US S.A

.

INTER

TECNO

IND

EXA

S.A.

DEP

OSITO

CENTR

AL D

E VA

LOR

ES S.A

C.C

.A. - C

.E.T.

BR

INK

S

BO

LSA D

E CO

MER

CIO

ASIC

OM

X X X Emergencias Bancarias Contact Center

Pago de Remuneraciones y Beneficios RRHH

X Pago y Captación Mercados de Capitales

X Manejo de Cartera No Discrecional Wealth Management

X Manejo de Cartera Discrecional

CorpBanca Administradora

General de Fondos S.A. X Front Office Mesa de Dinero

X X Proceso de Rescate

X Inversiones a Largo Plazo

Mesa de Dinero Banco

(Finanzas e Internacional)

X Front Distribución

X Front Liquidez

X Front Gestión Financiera

X Institucionales

X Market Making y Trading Propietario

X Venta y Liquidación de Valores CB Corredores de Bolsa S.A.

X X X Informes Regulatorios Depto. Operaciones

X X Pagos Masivos

Cash Management X X Pagos en Línea

X X Transferencias

X Procesamiento de Cheques Canje

X X X Back Office - Operaciones Financieras * Operaciones Financieras

X X X X Transporte de Valores

Depto. Operaciones Red de

Sucursales

Recepción y Verificación

Administración

Monitoreo y Pago

X Middle Office

Riesgo Financiero X Middle Office Filiales

X Generación de Tasas

5. P

rov

ee

do

res c

rítico

s p

ara

la C

on

tinu

ida

d d

el N

eg

oc

io. (*)

Lo

s P

rove

ed

ore

s c

ate

go

riza

do

s c

om

o c

rítico

s p

ara

Co

rpB

an

ca s

on

:

27

28

Anexo A: Descripción de los procesos críticos de negocio.

N°

Gerencia/Filial Procesos validados por el Comité RO

Descripción del Proceso RTO

(Horas)

1 Recursos Humanos Pago de Remuneraciones y Beneficios

Proceso de pago mensual del sueldo incorporando las novedades de cada mes.

1

2

Gerencia Contact Center y Servicio al Cliente

Emergencias Bancarias

Cliente llama al Contact Center para solicitar el bloqueo de su tarjeta de crédito, débito o de coordenadas por robo o extravío. Además puede llamar para dar Órdenes de No pagos a cheques por robo o extravío.

1

3

Banca Personas

Procesos de Pago y Captación

El proceso involucra la administración de la relación con el cliente y la gestión operativa de los productos (renovaciones, comisiones).

4

5

CorpBanca Agencia de Valores

Manejo de Cartera No Discrecional

Este proceso consiste en el manejo no discrecional del patrimonio de nuestros clientes. Esto incluye la compra y venta de instrumentos financieros. Este proceso es gestionado por los bankers.

3

6

Finanzas

Inversiones Largo Plazo

Realiza diferentes transacciones de compra y venta de instrumentos de renta fija nacionales y/o extranjeros y/o instrumentos de cobertura.

2

7 Finanzas

Front Distribución

Comercializa los productos de Tesorería con Clientes Empresas.

24

8

Finanzas

Front Liquidez

Proveer de fondos a las distintas áreas del banco sujeto a la normativa vigente interna del banco y de la industria bancaria.

2

9 Finanzas

Front Gestión Financiera

Manejar la estructura de tasas del balance del banco.

2

10 Finanzas

Front Trading Propietario

Puede realizar todas las transacciones que el Banco está habilitado para hacer.

2

10

Finanzas

Market Making

Realiza diferentes transacciones de compra y venta de divisas, derivados flow y no flow, instrumentos de renta fija en moneda local y/u opciones.

2

11 Finanzas Institucionales Comercializa los productos de Tesorería con Clientes Institucionales.

24

12 CorpBanca Administradora General de Fondos

Proceso de Rescate

Proceso en el cual se detallan las áreas y colaboradores involucrados en la venta de nuestros productos en la red y en la Administradora.

4

14 CorpBanca Administradora General de Fondos

Mesa de Dinero

Inversiones: compra y venta de activos financieros de acuerdo a la disponibilidad de caja de cada uno de los fondos administrados y Cartera Propietaria.

0

15

CorpBanca Administradora General de Fondos

Manejo de Cartera Discrecional

Este proceso consiste en el manejo discrecional del patrimonio de nuestros clientes. Esto incluye la compra y venta de instrumentos financieros. Este proceso es gestionado por la Subgerencia de Inversiones.

4

29

15

CorpBanca Corredores de Bolsa

Venta y liquidación de valores

Compra y Venta de Acciones: Este proceso consiste en comprar y vender acciones tanto en los sistemas electrónicos de la bolsa de comercio. Estas transacciones se realizan tanto a nombre de clientes como a nombre de la corredora (cartera propia). Problemas o errores.

0

Mesa Renta Variable: Este proceso consiste en ejecutar las órdenes de compra y de venta de acciones utilizando los distintos sistemas tanto de gestión como de negociación que nos provee la Bolsa de Comercio de Santiago y la Corredora de Bolsa.

1

15

CorpBanca Corredores de Bolsa

Venta y liquidación de valores

Compra y Venta de IRF e IIF: Este proceso consiste en comprar y vender papeles de renta fija e intermediación financiera tanto en los remates electrónicos de la bolsa de comercio como en el sistema llamado tele renta. Estas transacciones se realizan tanto a nombre de clientes como a nombre de la corredora (cartera propia).

0

Mesa Renta Fija: Este proceso consiste en el manejo de la caja de la corredora a través de compras y ventas con pacto y además se realizan las compras y ventas a término de papeles fuera de rueda.

1

Trading FX: El manejo de descalce de

activos y pasivos en dólares de la Corredora en lo referente a las variaciones de tipo de cambio.

0

16

Operaciones y Sistemas

Departamento de Informes - Informes Regulatorios

Los informes regulatorios se clasifican en Contables, Deudores, de Productos, Institucionales y Estadísticos, los cuales poseen distinta periodicidad (diaria, semanal, mensual, trimestral, semestral y anual).

2

17


Departamento Cash - Pagos Masivos

Clientes Banca Empresa efectúan proceso de pago de remuneraciones y/o proveedores a través de internet Banking, generando pagos en las siguientes modalidades: vales vistas virtuales, vales vistas masivos, abonos en cuenta corriente y órdenes de pago.

4

18


Departamento Cash - Transferencias

Permite realizar transferencias entre cuentas Corpbanca, cuentas de otros bancos o entre sus propias cuentas. Ademas genera información relevante (avisos y registros) tanto para su empresa como para los beneficiarios de la transferencia. Teniendo como monto máximo de 5 millones.

0

30

19


Departamento Cash - Pago en Línea

Clientes Banca Empresa y Persona, efectúan proceso de pago de impuestos o Cotizaciones Previsionales a través delas páginas del Servicio de Impuestos Internos, Tesorería General de la República y Previred, autorizando el pago y débito en cuenta corriente con su clave de acceso a Internet de Corpbanca.

0

20


Departamento Canje - Procesamiento de Cheques

En las sucursales que no se encuentran en las ciudades antes mencionadas, el proceso de canje es realizado por personal del mismo banco en atención al menor nivel de transacciones, que hacen posible su procesamiento en forma manual. Las sucursales que no tienen implementada la aplicación Atril o Mecanizado, procesan manualmente su canje digitándolo por aplicación eIBS, luego, clasifican los documentos para ser presentado en 1era reunión.

1

21 Operaciones y Sistemas

Back Office -Operaciones financieras / Tesorería Banco

Cobranza y el pago de los movimientos de las mesas de dinero Banco.

2

22


Back Office -Operaciones financieras / Mesa de Dinero Banco

Procesamiento de los movimientos de la mesa de dinero del banco en renta fija, en derivados, financiamientos, moneda extranjera (productos mercantiles de transacción) algún tipo de producto estructura que se pueda tener (derivados para crédito hipotecario).

1

23


Back Office -Operaciones financieras / Calculo Hedge

- Dpto. de Control Contables: realiza cuadratura de los saldos en DCV y las carteras de innversiones de la gerenicade acciones de los clientes que se transan en base a mandato. - Cuadraturas entre la Cartera de Inversiones y la Contabilidad. BANCO Y FILIALES - Contabilización de Operaciones desde la Corredora de Bolsa - Cuadratura Saldo DCV - Cuadratura inversiones con custodios nacionales y extranjeros

1

22


Back Office -Operaciones financieras / Procesos Clientes Banco y Filiales

- Certificación de documentación de los clientes (firmas, informes legales, contratos firmados, seguimiento) - Control de documentación de despacho y recepción de clientes. - Ingreso de datos iniciales de clientes a los sistemas productos.

4

24


Back Office -Operaciones financieras / Procesos Fondos Mutuos

Procesamiento de las operaciones de aporte y rescate de fondos mutuos, más inversiones y movimientos de la mesa de dinero, más proceso cálculo de cuota.

2

31

25


Back Office -Operaciones financieras / Procesos Corredores de Bolsa

Procesamiento de las operaciones que realice la mesa de dinero y área comercial de la corredora de bolsa, corretaje de acciones, intermediación financiera, derivados, simultaneas, financiamiento.

1

26


Back Office -Operaciones financieras / Tesorería Filiales

Cobranza y el pago de los movimientos de las mesas de dinero de la corredora, de la agencia de valores y de la administradora general de fondos. Así también, la materialización de transacciones de sus clientes.

2

27


Back Office -Operaciones financieras / Procesos Agencia de Valores Filiales

Transacción de las operaciones del área comercial y de la mesa de dinero de la agencia de valores (ingresos de aportes, ingreso de transacciones, creación de clientes, modificación de clientes, cuadratura, cobros y pagos).

1

28


Back Office -Operaciones financieras / Procesos de Valores Filiales

Ejecución de traspaso de posiciones en virtud de transacciones realizadas por el area de negocio.

2

29


Back Office -Operaciones financieras / Procesos Agencia de Valores

Procesamiento de operaciones correspondientes a clientes de la Agencia a los cueles les administramos sus fondos en forma discrecional y no discrecional.

1

30

Riesgo Financiero

Middle Office

Evalúa y genera informes diariamente respecto de la posición financiera del banco como resultado de las operaciones realizadas por la Mesa de Dinero en términos de riesgo de tasa de interés, liquidez y de moneda. En base a esta evaluación entrega un marco a la Mesa para que realice sus operaciones dentro de ciertos límites. Ingresa al sistema algunas operaciones.

0

31

Riesgo Financiero

Middle Office Filiales

Evalúa y genera informes diariamente respecto de la posición financiera de filiales tal como AGV, AGF, CCBB como resultado de las operaciones realizadas por la Mesa de Dinero en términos de riesgo de tasa de interés, liquidez y de moneda

0

32

Riesgo Financiero

Generación de Tasas

Generación diaria de tasas para la valorización de instrumentos de renta fija y derivados

0

33


Transporte de Valores

Gestion de efectivo Retiro entre Sucursales ATM Transporte de dinero a Clientes Banco

1

34


Recepción y Verificación

Recibir pago de obligaciones de clientes Recibir depósitos Generar vales vistas Gestionar recepción por Caja Buzón Recaudar Convenio

4

32

35


Administración

Enviar efectivo a sucursal Recibir efectivo de sucursales Provicionar Caja Retirar dinero de Caja Cuadrar Sucursal

4

36


Monitoreo y Pago

Pagar orden de pago Pagar cheque Corpbanca Retirar Vale Vista Pagar Vale Vista Emitir LBTR Generar informe por denominación a Banco Central

4

33

Control del Documento Esta sección contiene el control del documento y su historia. El objetivo es controlar su propiedad, su revisión y el contenido de este documento.

Elaborado por Fecha Revisado por Fecha Aprobado por Fecha

Gerencia de Riesgo 31/03/2008 Gerencia de Riesgo 31/03/2008 Gerente División 31/03/2008 Operacional y SOX Operacional y SOX Planificación y

Control de Gestión

Corpbanca Totalidad

Propietario Capítulo / Sección

Revisiones y Responsabilidad

Totalidad

Historia

Versión Descripción Fecha Autor

V13 Evaluación anual de procesos críticos y riesgos de sucursales. Revisión de totalidad de procesos IFW del Banco.

22/12/2014 Oficial de Continuidad de Negocio

V12 Actualización anual de la evaluación de los procesos críticos y riesgos de sucursales. Actualización y revisión de procesos identificados el año 2012. Revisión de totalidad de procesos IFW del Banco.

20/12/2013 Oficial de Continuidad de Negocio

V11 Actualización anual de la evaluación de los procesos críticos y riesgos de sucursales, en proceso de aprobación por comité de riesgo operacional y seguridad de la información,

11/06/2012 Administrador de Continuidad de Negocio

V10 Se incorporan las empresas de transporte de valores como proveedores críticos.

23/09/2011 Analista de Riesgo Operacional y SOX

V9 Se define ASICOM como proveedor crítico. Comité RO y SI. Se cambia los nombres por cargos de los dueños de los procesos críticos que respondieron la evaluación.

08/09/2011 Administrador de Continuidad de Negocio

V8 Actualización del Plan de Continuidad de Negocio 31/03/2011 Administrador de Continuidad de Negocio Consultor Senior Neosecure

V7 Actualización de cargos responsables de revisar el documento y actualización de nombres de dueños de procesos.

28/05/2010 Analista de Continuidad de Negocio

V6 Cambio de Finesse por IBS Branch. 30/04/2010 Analista de Continuidad de Negocio

Documents

Riesgo Operacional y Seguridad de la Informacióncentrodedesarrolloyliderazgo.celeris.cl/cursos/123/vd01md03.pdf · El objetivo final de la metodología propuesta por la norma es