Descargar la presentación
La descarga está en progreso. Por favor, espere
1
“La gestión del riesgo de la información entendida como una auditoría continua” Ciclo de conferencias sobre Auditoría Informática Universidad Politécnica de Madrid Íñigo García de Amézaga 24 de noviembre de 2014
2
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Presentación Agradecimiento a la Universidad Politécnica de Madrid y a Dintel. Ciclo de conferencias, la tercera. Perspectiva desde una empresa. Permisos.
3
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Objetivos de la sesión Mostrar diferentes posibilidades profesionales que tengan sinergias con la auditoría informática. Compartir mis experiencias clave para que puedas diseñar tu trayectoria profesional. Entender la gestión del riesgo de la información como auditoría continua al servicio de los objetivos de la compañía.
4
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Íñigo García de Amézaga Desde 2008 desarrollo mi labor como responsable del riesgo de la información en la división de banca mayorista de ING actividad que compatibilizo desde hace algo más de dos con la de coach profesional a tiempo parcial, ejerciendo por cuenta propia. Soy ingeniero de telecomunicación y mi trayectoria profesional siempre ha estado ligada a la seguridad de la información previamente trabajé en compañías como Siemens, SIA o Indra. Poseo las certificaciones CISA, CISM y CRISC de ISACA además de la ISO 27001 Lead auditor e ISO 22301, todas ellas relacionadas con la auditoria de sistemas, seguridad de la información, gestión del riesgo y continuidad de negocio. Permíteme que me presente …
5
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Es una buena pregunta que me hizo una niña de 8 años hace unos días. Voy a intentar responderla a lo largo de la presentación. No es tan importante que yo os cuente lo que hago y cómo, sino que suscite en vosotros actitudes y una forma de enfocar vuestro futuro profesional. Si, ya …. pero…. ¿en qué trabajas?
6
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Estáis en un buen sector profesional. La crisis y el desempleo juegan en vuestra contra. La capacitación profesional en un sector demandado lo hacen a vuestro favor. Idiomas y experiencia internacional. La formación continua y cuidar la red de contactos profesionales es una responsabilidad professional. Que mi actividad, sea cual sea, esté alineada con el negocio. Algunas ideas
7
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Perfiles: especialista de producto, 'controller' financiero, 'senior account manager', especialista de SEO/SEM, ingeniero comercial, diseñador senior Textil, 'key account manager' de logística y programador en java. Puestos: 'market access'; analista de cartera de riesgos crediticios, key account manager' de nuevas tecnologías; director de marketing on line, ingeniero de planta, responsable de 'business intelligence', 'retail manager' y director de operaciones Algunas ideas, las profesiones con más futuro
8
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Algunas ideas, idiomas y experiencia internacional
9
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Algunas ideas, red de contactos profesionales
10
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet La gestión del riesgo de la información es una herramienta para satisfacer las necesidades de negocio. Mientras que el gobierno de la seguridad de la información define los vínculos que existen entre las metas y objetivos de negocio y el programa de seguridad de la información, la gestión de riesgos de la seguridad de la información define el grado de protección que es prudente con base en los requerimientos, objetivos y prioridades del negocio ISACA, manual de preparación al examen CISM 2014 Algunas ideas, actividad alineada con el negocio
11
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Productos de ahorro. El cliente pone dinero y el banco le devuelve intereses. Hace falta licencia bancaria y existe un fondo de garantía de los bancos centrales (BDE, DNB) Financiación. El cliente pide dinero y debe devolverlo con intereses. No solo los bancos hacen préstamos. Medios de pago. Para mover dinero y hacer pagos. No solo los bancos facilitan esta operative (Paypal, Amazon, Google) Otros servicios: asesoramiento, cambio de divisas, acciones, etc. No son servicios exclusivos de un banco Entendiendo el negocio, ¿qué hace un banco?
12
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Video: we are ING http://www.youtube.com/watch?v=OqfjmhjBQ6I Entendiendo el negocio, ¿qué hace ING?
13
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Entendiendo el negocio, ¿qué hace ING?
14
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet “Banking is make things happen” (la actividad de banca es hacer que las cosas ocurran) “Our purpose is empowering people to stay a step ahead in life and in business” (Nuestro propósito es empoderar a la gente para que esté un paso por delante en la vida y en los negocios” Entendiendo el negocio, ¿qué hace ING?
15
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet 15
16
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Actitud y forma de comunicar ¿Aprendizajes ?
17
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Contribuyo a mejorar la cuenta de resultados del banco minimizando el riesgo de pérdidas por incidentes tecnológicos. En ING, mi principal responsabilidad es la de asesorar a la dirección en materia de seguridad y gestión del riesgo de la información así como de la continuidad del negocio, para que puedan tomar las decisiones gerenciales y estratégicas de una forma informada y pro-activa. Me aseguro de que las normas de la multinacional y las buenas prácticas en materia de seguridad de la información y gestión del riesgo son conocidas por el personal y están bien aplicadas. Identifico y evalúo el riesgo tecnológico y su impacto en el negocio. Monitorizo e informo. Defino controles y propongo medidas que mitiguen el riesgo hasta niveles aceptables con un coste-beneficio optimo. Voviendo a lo que hago en ING…
18
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet IIA, Instituto de Auditores Internos (USA)
19
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet El modelo de tres líneas de defensa.
20
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Responsabilidades de cada línea de defensa ING implementa el modelo de tres líneas de defensa
21
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Marco de Gobierno de Gestión del Riesgo en ING Business Lines Corporate Audit Services (CAS) 1 st Line2 nd Line 3 rd Line Have primary responsibility for day to day risk management Bear consequences of Loss Help formulate the strategies, policies and structures for managing non financial risk Monitors execution … and overall integrity Improves Risk Management to make it easier and more effective Provides independent and objective assurance on overall effectiveness of internal controls Provides specific recommendations for improving governance, risk and control Framework Compliance Risk Management Operational Risk Management Legal Credit Risk Management Market Risk Management Finance & Control
22
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet ¿Tres o cinco líneas de defensa ? Business Lines Corporate Audit Services (CAS) External Auditor Regulator Independent/Partnership Compliance Risk Management Operational Risk Management Legal Credit Risk Management Market Risk Management Finance & Control ING Bank’s Risk Governance Framework Independent 1 st Line 2 nd Line 3 rd Line 4 th 5 th
23
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Funciones de la Gestión de Riesgos en ING Credit potential loss due to default by ING Bank’s debtors or trading counterparties Market potential loss due to adverse movements in market variables. Market risks include interest rate, and FX Operational direct or indirect loss resulting from inadequate or failed internal processes, people and systems or from external events, includes reputational and legal Compliance risk of impairment of ING Bank’s integrity as a result of failure (or perceived failure) to comply with relevant laws, regulations, ING Bank policies and standards Legal risk related to a failure (or perceived failure) to adhere to applicable laws, regulations and standards; contractual liabilities or contractual obligations and liability (tort) towards third parties
24
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Gestión del riesgo operacional
25
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Gestión del riesgo de la información
26
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Capital Operacional Advanced Measurement Approach (AMA) Regulaciones de Basilea (Basel II & Basel III) El modelo avanzado AMA permite a los bancos utilizar modelos matemáticos para calcular y reportar sus necesidades de capital operacional Está sujeto a supervisión basada en test muy rigurosos Datos de entrada: 1.Pérdida interna de datos. 2.Entorno del negocio / Análisis de riesgos. 3.Análisis de escenarios. 4.Pérdida externa de datos.
27
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Importancia del cálculo de capital operacional Bank resources Client Bank Resources Capital Client Bank Resources Capital Risk Capital Client More risk more capital
28
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet ¿Cuánto capital? Bank resources Bank Resources Capital Bank Resources Capital Risk Capital Client More risk More capital
29
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Una buena gestión del riesgo de la información, que es parte del riesgo operacional, lleva consigo una menor provisión de fondos. Por tanto la gestión del riesgo de la información tiene un efecto directo en la cuenta de resultados del banco por dos motivos Reduce la provisión de capital Reduce las pérdidas por incidentes ¿Aprendizajes ?
30
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Incidentes y cibercrimen Los incidentes reales existen. Tras el cibercrimen está el crimer organizado a nivel mundial. Es una preocupación que afecta incluso a la seguridad nacional de los distintos países
31
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet ING y cibercrimen
32
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Volviendo a mi trabajo….cuáles son mis tareas del día a día 1.RISK IDENTIFICATION & ASSESSMENT 2.CHALLENGING & ADVISING 3.REGISTRATION (in a corporate tool) 4.WRITING POLICIES & PROCEDURES 5.MONITORING & QUALITY ASSURANCE 6.REPORTING 7.TRAINING & AWARENESS 8.OTHER
33
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Clasificar los activos, las medidas para protegerlos deben ser proporcionales a su valor comercial. Identificar los requisitos legales, reglamentarios (regulatorios), organizativos y otros para gestionar el riesgo de su incumplimiento a niveles aceptables. La evaluación de riesgos, vulnerabilidades y amenazas debe hacerse de forma periódica. Determinar las opciones para reducir el riesgo a niveles aceptables. Evaluar los controles de seguridad tanto en su diseño como en su efectividad. Identificar el riesgo tal y como está y el riesgo deseado para ver las diferencias. Tareas de un responsible de seguridad.
34
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Integrar la gestión del riesgo de la información en los procesos de la organización. Supervisar el riesgo existente para asegurar que los cambios son identificados y gestionados adecuadamente. Informar del incumplimiento y de los cambios en el riesgo para la adecuada toma de decisiones en materia de gestión de riesgos de la información. Tareas de un responsible de seguridad II
35
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Objective & Obligations Setting Business Environment Assessment & Events Risk Assessment Risk Response Control Activities Monitoring Information & Communi- cations Non Financial Risk Governance Non Financial Risk Committee (NFRC) Business Strategy Risk Appetite Policies and Standards Compliance Chart Process & Risk Landscape Business Environment Internal Control Factors (BEICF) Internal / External Events Scenario topics First line monitoring (FLM) Key Risk Indicator (KRI) Key Control Testing (KCT) Second Line Monitoring (SLM) Test of Design (TOD) Test of Effectiveness (TOE) Sign Off Key Controls (KC) Manage(d) Risk level Control activities Training & Awareness Non Financial Risk Dashboard (NFRD) Issue & Action Tracking on mitigation Risk Reduction Risk Avoidance Risk Transfer Risk Acceptance Risk and Control Self (re) Assessment (RCSA) probability < 10 years Scenario Analysis (SA) probability > 10 years Risk Profile (Inherent, Managed, Residual) Lessons Learned Advanced Measurement Approach (AMA) (Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data) Non Financial Risk Process Enterprise Risk Management (ERM) 1 st LoD Risk Owner 2 nd LoD Challenge & Advice 3 d LoD Audit Business Unit Operational Risk Profile Obligations, Risks & Controls
36
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la vulnerabilidad. RIESGO = AMENAZA x VULNERABILIDAD Riesgo
37
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar impactos al negocio, la salud (empleados), al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia. Amenaza
38
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Desastres Naturales Incendio Inundación Terremotos Huelgas Fraudes Sabotajes Errores y negligencias Averías en el hardware Fallos del software Líneas de comunicación Fallos en las instalaciones PersonasTecnología Organización Falta de políticas Procedimientos inadecuados Amenazas
39
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Vulnerabilidad Vulnerabilidad, son las características y las circunstancias de un negocio, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza.
40
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet La Vulnerabilidad de un Activo es la posibilidad ( probabilidad) de ocurrencia de la materialización de una Amenaza sobre el Activo. Amenaza Activo Vulnerabilidad Agresión Vulnerabilidad
41
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Para estimar las perdidas potenciales incurridas por una amenaza se debe valorar los activos mediante cualquiera de las técnicas de valoración posibles. Este proceso da como resultado la posibilidad de asignar a cada activo un valor financiero para el calculo del EF* y el SLE* * ver diapositivas siguientes. Estimación Potencial de Perdidas
42
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Exposure factor (EF) representa el porcentaje de perdida que una amenaza provocará sobre un activo concreto. Es necesario para el cálculo del Single Loss Expectancy (SLE), que es necesario para el cálculo del Annualized Loss Expectancy (ALE). Facto de exposición EF
43
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Single Loss Expectancy (SLE) es la valoración económica expresada en dólares (euros) que se asigna a un determinado evento. Representa la pérdida originada por ese evento. Se calcula a partir de la fórmula: SLE= Asset Value ($) × Exposure Factor (EF) Expectativa de pérdida por un incidente SLE
44
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Annualized Rate of Occurrence (ARO) representa la frecuencia estimada por el que que puede ocurrir una amenaza. Este parámetro solo considera la posibilidad de que suceda el evento, no tiene en cuenta las perdidas que se puedan originar como consecuencia. Frecuencia anualizada de ocurrencia ARO
45
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Annualized Loss Expectancy (ALE) es un valor económico expresado en dólares (euros) calculado a partir de la formula: ALE = Single Loss Expectancy (SLE) × Annualized Rate of Occurrence (ARO) Expectativa de pérdida anualizada ALE
46
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet © FAST ControlCaracterísticasEjemplos Preventivos nImpedir problemas antes de que ocurran nVisualizar entradas y operaciones nProcurar predecir potenciales problemas antes de que ocurran nEvitar errores, omisiones y actos maliciosos nEmpleo de personal cualificado nSegregación de funciones nControl de accesos a las áreas de riesgo nUso de documentos bien diseñados nProcesos adecuados de autorización de las transacciones nControl informatizado de accesos al sistema Detectivos nDetectan cuando se ha producido un error, una omisión o un acto indebido, e informan de ello nTotales de control (hash totals) nPuntos de control en tareas de producción. (Check points) nControl de eco en las telecomunicaciones nControl duplicado de los cálculos nFunciones de auditoría interna Correctivos nMinimizan el impacto de una amenaza nRemedian problemas identificados mediante un control detectivo nIdentifican la causa de un problema nCorrigen errores surgidos como consecuencia de un problema nModifican los sistemas de proceso para evitar futuras repeticiones del mismo problema nPlanes de contingencia nProcedimientos de copias de seguridad nProcesos de re-ejecución (re-run) ¿ Qué puedo hacer?, controles, distintos tipos
47
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Aceptación del riesgo residual Identificar el riesgo residual después de la implementación del control Identificado, reconocido y aceptado Aceptable vs NO Aceptable ¿Por qué?: Imposibilidad material y financiera de tener 100% de seguridad Un activo por el alto coste de los posibles controles o el poco riesgo, se puede dejar “descubierto” Si el riesgo es No aceptable, qué presupuesto de control se necesita para llegar a “Aceptable”
48
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Evaluando el riesgo Bajo Medio Alto Critico Probabilidad Impacto € - -
49
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet 1. Riesgo inherente (sin controles) 2. Riesgo gestionado (con los controles existentes) 3. Riesgo residual (tras implementar controles nuevos) Apetito de riesgo y mitgación bajo Medio Alto Critico 3 Probabilidad impacto 2 1 Controles Planificación de nuevos controles
50
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet Objective & Obligations Setting Business Environment Assessment & Events Risk Assessment Risk Response Control Activities Monitoring Information & Communi- cations Non Financial Risk Governance Non Financial Risk Committee (NFRC) Business Strategy Risk Appetite Policies and Standards Compliance Chart Process & Risk Landscape Business Environment Internal Control Factors (BEICF) Internal / External Events Scenario topics First line monitoring (FLM) Key Risk Indicator (KRI) Key Control Testing (KCT) Second Line Monitoring (SLM) Test of Design (TOD) Test of Effectiveness (TOE) Sign Off Key Controls (KC) Manage(d) Risk level Control activities Training & Awareness Non Financial Risk Dashboard (NFRD) Issue & Action Tracking on mitigation Risk Reduction Risk Avoidance Risk Transfer Risk Acceptance Risk and Control Self (re) Assessment (RCSA) probability < 10 years Scenario Analysis (SA) probability > 10 years Risk Profile (Inherent, Managed, Residual) Lessons Learned Advanced Measurement Approach (AMA) (Internal Loss, BEA & RCSA, Scenario Analyses & External Loss data) Non Financial Risk Process Enterprise Risk Management (ERM) 1 st LoD Risk Owner 2 nd LoD Challenge & Advice 3 d LoD Audit Business Unit Operational Risk Profile Obligations, Risks & Controls
51
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet ¡Muchas gracias !
52
Do not put content on the brand signature area Orange RGB= 255,102,000 Light blue RGB= 180,195,225 Dark blue RGB= 000,000,102 Grey RGB= 150,150,150 ING colour balance Guideline www.ing-presentations.intranet ¿ Preguntas ? Íñigo García de Amézaga inigo.garcia.de.amezaga@es.ing.com igarciac@iies.es es.linkedin.com/pub/inigo-garcia-de-amezaga/8/239/49a/
Presentaciones similares
