Riesgo Operativo - Com. “A” 4609 A 4609 - ROperativo.pdf · • COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática; ... • Mantener una clara

Riesgo Operativo - Com. “A” 4609

Lic. Marcelo H. GonzálezGerencia de Auditoría Externa de Sistemas

Superintendencia de Entidades Financieras y Cambiarias

Banco Central de la República Argentina

2

Principales Carencias Com. “A” 3198

– Fue desarrollada en 1996; ha alcanzado un grado

crítico de obsolescencia;

– Se basa en controles generales, y mezcla

requerimientos tecnológicamente específicos;

– No es flexible a los cambios tecnológicos;

– Está orientada a cumplimiento más que a la

administración del riesgo.

3

Principales Carencias (continuación)

– No contempla exigencias relacionadas con

actividades de riesgo tecnológico :

Responsabilidad vs. Riesgo;

• Banca por Internet;

• Instrumentos de débito y pago;

• Banca Móvil (basada en la telefonía móvil);

• No requiere prácticas de:

– Detección de Intrusos,– Security Awareness,– Gestión Integral de la seguridad,– Administración de Riesgo de la Continuidad, ...

4

Razones Básicas de Modificación

• Surge como una necesidad para adecuar la normativa

vigente a la realidad del sistema financiero;

• Contempla la gestión y el control para la protección de

los activos informáticos,

• Brinda mejores prácticas a efectos de lograr un

equilibrio en la administración de los riegos y la

eficiencia en la administración de los datos;

• Considera las amenazas y vulnerabilidades asociadas

a cada entorno tecnológico;

5

• Cuenta con un conjunto de requisitos de sana gestión que han sido tomados de:

• Normas ISO ( 17799, 27001, 15408);

• COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática;

• Sanas Prácticas de BASILEA;

• Experiencia de más de 10 años en el control de las entidades financieras.

Basada en Estándares Internacionales

“REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS”

RIESGO OPERATIVO

7

Tendencia de la Gestión del Riesgo

1980s 1990s 2000s

Crédito

Mercado

Operaciones

Negocios

Organizacional

Crédito Crédito

Mercado

Foco en Riesgo de

Crédito

Foco en

RiesgoFinanciero

Foco en

Riesgo Integrado

Operativo

8

Relevancia del Riesgo Operativo

Menú de Enfoques para medir Riesgo Operativo

� Enfoque del indicador básico (Actividad Bancaria Total)

� Enfoque Estandarizado (por línea de negocio)

� Enfoque de medición interna (pérdidas)

Riesgo de Crédito

CAPITAL TOTAL

Riesgo de Mercado Riesgo Operativo

Relación de Capital del Banco (mínimo

8%)

El Comité de Basilea ha estado trabajando con el sector para desarrollar un cargo de capital por riesgo operativo (por ejemplo, el riesgo de pérdida por fallas en las computadoras, documentación insuficiente o de mala calidad o fraudes). Muchos de los bancos más grandes asignan 20% o más de su capital interno al riesgo operativo.

“El riesgo resultante de inadecuados o fallidos procesos

internos, personas o sistemas o de un evento externo”

Comité de Basilea

9

Controlar el Riesgo Operativo

Control se define como:

Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.

PRÁCTICAS DE CONTROL

Regulaciones BCRA

25 Principios de Basilea

12 Principios de Riesgo Operativo

Normas ISO-IEEE

Principios OCC

Principios FSA

Estándares ISACA

10

Desarrollo de un marco adecuado para la gestión del riesgo.Principios 1, 2 y 3

Gestión del riesgo: identificación, evaluación, seguimiento y

cobertura/control.Principios 4, 5, 6 y 7

La función de los supervisores.Principios 8 y 9

La función de la divulgación de información.Principio 10


Principios que

gobiernan una

buena practica de

gestión del riesgo

operativo en

Basilea II.

11


• Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos

de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá

aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo.

Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y

establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.

• Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del

riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por

parte de personal independiente, capacitado y competente. La función de auditoría interna no

deberá ser directamente responsable de la gestión del riesgo operativo.

• Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la

gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser

aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales

deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser

responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de

estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el

banco.

12


• Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.

• Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.

• Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.

• Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.

13


• Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.

• Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.

• Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.

Buenas prácticas para la gestión y supervisión del riesgo operativo. http://www.bis.org/publ/bcbs96.htm

14

Principios para a la Banca Electrónica

• Fijar políticas y mecanismos de seguimiento de los riesgos asociados con las actividades de la

banca electrónica.

• Revisar y aprobar los aspectos claves del proceso de control de la seguridad.

• Aplicar criterios de due diligence sobre el manejo de tercerización de actividades propias

(outsourcing).

• Establecer formas apropiadas de autenticar a los clientes.

• Proveer mecanismos para el no repudio y responsabilidad de las transacciones.

• Mantener una clara segregación de funciones de las tareas criticas.

• Asegurar control de acceso a las aplicaciones y datos.

• Contar con mecanismos para proteger de integridad de las transacciones y los datos.

• Asegurar la existencia de pistas de auditoría.

• Preservar la confidencialidad de la información.

• Informar adecuadamente en las canales electrónicos todos los aspectos legales.

• Asegurar la adherencia a los requisitos de confidencialidad del cliente según las leyes aplicables.

• Asegurar la disponibilidad permanente de los sistemas de banca electrónica.

• Establecer un adecuado proceso de atención de reclamos y atención de incidentes.

Risk management principles for electronic banking. http://www.bis.org/publ/bcbs98.htm

15

Tipificación de Riesgos Operativos

• Fraude interno: Errores intencionados en la información sobre posiciones, robos por parte de

empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc.

• Fraude externo: Atraco, falsificación, circulación de cheques en descubierto, daños por intrusión

en los sistemas informáticos, etc.

• Relaciones laborales y seguridad en el puesto de trabajo: Solicitud de indemnizaciones por

parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización

de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc.

• Daños a activos materiales: Terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.

• Prácticas con los clientes, productos y negocios: Abusos de confianza, abuso de

información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco,

blanqueo de capitales, venta de productos no autorizados, etc.

• Alteraciones en la actividad y fallos en los sistemas: Fallos del hardware o del software,

problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc.

• Ejecución, entrega y procesamiento: Errores en la introducción de datos, fallos en la

administración del colateral, documentación jurídica incompleta, concesión de acceso no

autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de

clientes, litigios con distribuidores, etc.

Según Basilea II

16

Riesgo Operativo

Mayor riesgo operativo puede existir en los

productos que se manejas por medios

automatizados, especialmente en aquellas

líneas de negocios que no hayan sido adecuada

y oportunamente planeadas, analizadas,

implementadas y controladas.

Fallas en los controles internos y en la administración corporativa, que pueden llevar a pérdidas financieras a través de error, fraude, o ejecuciones inoportunas que comprometan los intereses de la entidad. Incluye fallas importantes de TI/SI y eventos contingentes operativos. “Es el riesgo resultante de inadecuados o fallidos procesos internos; personas o sistemas, o de un evento externo”

Crédito

Mercado

Liquidez

Reputacional

Estratégico

Legal

Tasa de Interés

Transferencia

Operativo

“La banca, por su naturaleza, corre una considerable cantidad de riesgos. Es muy importante entender estos riesgos y considerar adecuado su medición y que se manejen de manera apropiada.”

17

Universo del Riesgo Operativo

Aplicación

Seguridad de la AplicaciónAdministración del

Contenido

Transformación de los datos

- Integridad

Integridad de las interfases

Proveedores

Mercado

Internet

intranet

Extranet

Acceso FísicoSeguridad del sistema operativo, Base

de datos, etc.

Encripción

Disponibilidad 24x7

Test de Penetración

Infraestructura Técnica

ExactitudIntegridad

Workflow de

aprobación y

revisión.

Controles de los Proc. de Neg.

Core

System

Aplicaciónes

Infraestructura de IT

Procesos de NegocioSeguridad de la Aplicación

Confidencialidad

Integridad

Segregación de Tareas

Aplicación

Riesgos propios

de la industria

Riesgos

vinculados con las

regulaciones y su cumplimiento

Riesgos

estratégicos

Ambiente de Riesgo

18

Riesgo Operativo y la Com. “A” 4609

Crédito

Mercado

Liquidez

Reputacional

Estratégico

Legal

Tasa de Interés

Transferencia

Operativo

Gestión de TI

Seguridad Infor. TI/SI

Continuidad

Integridad de datos

Delegación

Opereraciones

Infraestructura - canales

Alineación a la Com. “A” 4609

Ba

nca

Ele

ctró

nic

a

Este riesgo es muy importante por la naturaleza tecnológica de muchos de los procesos de negocio.

19


Comité de Tecnología Informática.

Integración y funciones.

Políticas y procedimientos.

Análisis de Riesgos.

Dependencia del área de Tecnología

Informática y Sistemas.

Gestión de Tecnología Informática y

Sistemas.

Planificación.

Control de gestión.

Segregación de funciones.

Objetivos de control interno

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones


20


Gestión de la seguridad.

Dependencia del área.

Estrategia de seguridad.

Planeamiento de los recursos.

Política de protección.

Clasificación de los activos de información.

Estándares de acceso.

Control de utilidades especiales.

Registros de seguridad y pistas de auditoría.

Alertas de seguridad y software de análisis.

Software malicioso.

Responsabilidades del área.

Control y monitoreo.

Implementación de los controles de seguridad

física aplicados a los activos de información.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



21


Responsabilidades sobre la planificación de

la continuidad del procesamiento de datos.

Análisis de impacto.

Instalaciones alternativas de procesamiento

de datos.

Plan de continuidad del procesamiento de

datos.

Mantenimiento y actualización del plan de

continuidad de procesamiento de datos.

Pruebas de continuidad del procesamiento

de datos.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



22


Responsabilidad del área.

Inventario tecnológico.

Políticas y procedimientos para la operación

de los sistemas informáticos y manejadores

de datos.

Procedimientos de resguardos de información,

sistemas productivos y sistemas de base.

Mantenimiento preventivo de los recursos

tecnológicos.

Administración de las bases de datos.

Gestión de cambios al software de base.

Control de cambios a los sistemas productivos.

Mecanismos de distribución de información.

Manejo de incidentes.

Medición y planeamiento de la capacidad.

Soporte a usuarios.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



23


Controles generales.

Controles particulares para cada canal

donde se cursen transacciones - cajeros

automáticos (ATM’s), puntos de venta

(POS), Internet (ebanking), dispositivos

móviles, atención telefónica (Phone

Banking), y otros -.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



24


Actividades Factibles de Delegación.

Responsabilidades propias de la entidad.

Formalización de la delegación.

Responsabilidades del tercero.

Implementación del procesamiento de datos

en un tercero.

Control de las actividades delegadas.

Planificación de continuidad de la operatoria

delegada.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



25


Cumplimiento de requisitos normativos.

Integridad y validez de la información.

Administración y registro de las operaciones.

Sistemas de información que generan el

régimen informativo a remitir y/o a

disposición del Banco Central de la

República Argentina.

Documentación de los sistemas de

información.

Gestión de TI


Continuidad

Integridad de datos

Delegación

Opereraciones



26

Principios vs. Com. “A” 4609

Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.

El Alta Dirección es el responsable primario del establecimiento y la existencia de un área que gestione y administre los riesgos relacionados al procesamiento de datos, sistemas y tecnologías relacionadas para todos los canales electrónicos por los que la entidad financiera realiza el ofrecimiento de sus productos y servicios, dado el impacto en el riesgo operativo por fallos en los mismos.

Principios Basilea II

Relevancia vinculada a TI/SI

Gobierno del

Riesgo de TI/SI

Sección 1. Aspectos generales.

27


Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión delriesgo operativo.

La función de auditoría de TI/SI deberá estar lo suficientementepreparada de acuerdo al perfil de riesgo y automatización de losprocesos de negocio, incluyendo la provision de suficientes fondos para la contratación de especialistas, cuando sea necesario.



Control de TI/SI

2.5.2. Control de gestión.

28


Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. Laalta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco.

Las políticas como los procedimientos deben estar claramente escritos, identificar los riesgos que mitigan, ser formalmente comunicados, mantenerse actualizados, establecer la asignación de responsabilidades, y ser la base de la coordinación y realización de las tareas, como así también el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas de la entidad.



Gobierno del

Riesgo de TI/SI

2.2. Políticas y procedimientos.

29


Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.

Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y documentados sobre los sistemas de información, la tecnología informática y sus recursos asociados. Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser formalmente reportados al Directorio, que será el responsable primario de gestionar que las debilidades que expongan a la entidad financiera a niveles de riesgo operativo alto o inaceptable seancorregidas a niveles aceptables.



Gobierno del

Riesgo de TI/SI

2.3. Análisis de Riesgos.

30


Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.

Se deberá evidenciar la existencia de reportes formales, que sean el resultado del control ejercido en los procesos automatizados, que mayores riesgos implícitos posean, y los mismos reflejen los desvíos sobre los riesgos residuales y las practicas de control ejercida.



Gobierno del

Riesgo de TI/SI

2.1. Comité de Tecnología

Informática. Integración y

funciones.

31


Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.

De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben definir una estrategia de protección de activos de TI/SI, que conlleve control y reducción de los riesgos, que les permita optimizar la efectividad en la administración y el control de los mismos. Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico, su impacto en el negocio, los requerimientos y los estándares vigentes. Para ello deben asignar claramente roles y responsabilidades en materia deseguridad, comprometiendo a los máximos niveles directivos y gerenciales



Gobierno del

Riesgo de TI/SI


2.3. Análisis de Riesgos.

32


Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.

El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos. Debe asegurar la existencia y la provisión de los recursos necesarios para la creación, mantenimiento y prueba de un plan de recuperación del procesamiento electrónico de datos. El mismo deberá ser operable y funcional, acorde a los requerimientos de negocio de la entidad financiera y de los organismos de control. Deberá designarse formalmente un área o sector, que será responsable de la creación, mantenimiento y prueba satisfactoria del plan de recuperación del procesamiento electrónico de datos. La continuidad es considerada como un proceso que se inicia con la recuperación durante la contingencia, y concluye con la vuelta a la normalidad una vez controladas las causas que generaron dicha contingencia.



Gobierno de la

continuidad

Sección 4. Continuidad del

procesamiento electrónico de

datos.

33


Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.

El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos de TI/SI que impacten en el riesgo operativo de la entidad, para ello deberán tener en lugar controles internos que como mínimo satisfagan las expectativas del regulador.



Gobierno del

Riesgo de TI/SI


34


Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.

El Alta Dirección, es el responsable primario por la existencia de políticas, practicas y procedimientos que regulen las actividades y controlen los riesgos, y que los mismos, junto con los procesos que se vinculen, estén siempre en condiciones de ser auditados y permitan evidenciar sanas practicas de control.



Auditoría de

TI/SI

Verificación de adecuación

normativa y gestión del riesgo

35


Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.

El Alta Dirección, es la responsable de hacer evidente a sus clientes, y accionistas, la aplicación de sanas practicas en la mitigación de los riesgos, como por ejemplo informando en cada uno de los canales electrónicos, cuales son las políticas de seguridad de alto nivel que se aplican.



Difusión y

escalación

Verificación de adecuación

normativa y gestión del riesgo

36

Ejs. Eventos/Causas - > Com. “A” 4609

2.5.3. Segregación de funciones.

Mal uso de software, hardware y/o otros recursos,

Abusos de autoridad y/o privilegios,

Descuidos intencionales en la protección de la seguridad,

Incompetencia funcional, ...

Relaciones laborales y seguridad en el puesto de trabajo

3.1.2. Estrategia de seguridad de acceso a los activos de información.

3.1.4. Política de protección.

3.1.4.5 Alertas de seguridad y software de análisis.

3.1.4.6. Software malicioso.

Cambios indebidos a sistemas o datos por hacking,

Acceso externo a información confidencial,

Intercepción de comunicaciones en forma no autorizada,

Uso indebido de derechos en los accesos remotos,

Ataques de virus y/o malware,...

Fraude externo

2.5.3. Segregación de funciones.

3.1.2. Estrategia de seguridad de acceso a los activos de información.

3.1.4. Política de protección.

3.1.4.3. Programas de utilidad con capacidades de manejo de datos -Usuarios privilegiados y de contingencia.

Modificación indebida de programas,

Modificación de funciones o uso no autorizado,

Manejo indebido de funciones de sistema operativo,

Uso indebido de hardware,

Cambios indebidos a sistemas o datos por hacking,

Uso o copia de software violando copyrights,

Abuso de las atribuciones o privilegios, ....

Fraude interno

Com. “A” 4609Causas probables relacionadas con TI/SIBasilea II

37

Ejs. Eventos/Causas - > Com. “A” 4609

3.2. Implementación de los controles de seguridad física aplicados a los activos de información.

Daño intencional o accidental de activos de información y/o recursos de tecnología,...

Daños a activos materiales

5.3. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos.

4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos.

Errores o fallas en medios electrónicos,Estaciones de trabajo no atendidas,Errores en el control de cambios a programas,Ingreso incompleto en el ingreso de las transacciones,Errores en el ingreso o salida de datos,Errores en la programación o en las pruebas...

Ejecución, entrega y procesamiento

4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos.

4.4. Plan de continuidad del procesamiento de datos.

Fallas o malfuncionamiento de hardware / software,Fallas en las telecomunicaciones,Perdida de recursos humanos,Destrucción de software / datos,Ataques de virus,Fallas de los resguardos de información,Ataques de denegación de servicio,Errores de configuración,Eventos adversos, ...

Alteraciones en la actividad y fallos en los sistemas

3.1.5.1. Control y monitoreo.Malas practicas llevadas por terceras partes vinculadas,Divulgación de proyectos confidenciales, ...

Prácticas con los clientes, productos y negocios

Com. “A” 4609Causas probables relacionadas con TI/SIBasilea II

38

Finalmente no nos encontremos así …

“REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS – COM. “A” 4609”

Principales interpretaciones de las consultas efectuadas por las Cámaras de Entidades Financieras Asociadas

¿PREGUNTAS?

Lic. Marcelo H. González ([email protected])

Documents

Riesgo Operativo - Com. “A” 4609 A 4609 - ROperativo.pdf · • COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática; ... • Mantener una clara