Gestión del riesgo operacional Israel Fainboim (FMI)

Slides:



Advertisements
Presentaciones similares
Metodologías existentes para mitigar el Riesgo Operacional
Advertisements

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
ANALISIS DE RIESGOS.
Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
ADMINISTRACIÓN DE RIESGOS
GESTIÓN INTEGRAL DE RIESGOS
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
SISTEMA ADMINISTRACIÓN
Administración de los riesgos desde la perspectiva del Control Interno
Medición, Análisis y Mejora
ESCUELA POLITÉCNICA DEL EJÉRCITO
MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Metodología Administración Riesgos
AREA DE SEGURIDAD DE LA INFORMACION
Plan Nacional de Contingencia
UNA HERRAMIENTA PARA AGREGAR VALOR
UTP – FACULTAD INGENIERIA INDUSTRIAL Y SISTEMAS AlumnoAcosta Guillen Víctor Raúl ProfesorCarlos Zorrilla V. Proyectos de ingeniería sistemas I.
La Gestión de Riesgo Bajo Solvencia II
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Los Seguros contra riesgos de desastres
PAUTAS PARA UNA BUENA ADMINISTRACIÓN DE LA LIQUIDEZ
Administración del riesgo en las AFP
LA SEGURIDAD Y LA SALUD EN EL TRABAJO
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Función de Auditoría Interna
Administración Proyectos Jorge Baracaldo Robin Ochoa.
Gestión de la Continuidad del negocio BS BCI
Modulo 7: Gestión de la Calidad Tema 4: ISO20000
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
Administración de Riesgos y Continuidad de Negocio Costa Rica
©Copyright 2013 ISACA. Todos los derechos reservados Documentación Para gestionar efectivamente los riesgos, se requiere de una documentación adecuada.
EMPRESA SOCIAL DEL ESTADO HOSPITAL EL CARMEN DEL MUNICIPIO DE AMALFI POLÍTICA DE ADMINISTRACIÓN DEL RIESGO (Resolución 182 de 2008) EMPRESA SOCIAL DEL.
1.8.3 Métricas de Alineación Estratégica
“Reglamento sobre Administración Integral de Riesgos”
SGSI y MAS Implantación en el M.H..
ELABORACION DE UN MANUAL PARA LA INTEGRACIÓN DE LOS SISTEMAS DE GESTION DE CALIDAD, MEDIO AMBIENTE Y SEGURIDAD BASADO EN LA NORMA ISO 9001:2000, NORMA.
TECNIFICON Tecnología Y Finanzas Contables Unidas Sas _________________________________________ Tecnología Y Finanzas Contables Unidas Sas _________________________________________.
ACTUALIZACION DEL MODELO ESTANDAR DE CONTROL INTERNO - MECI
CONTROL INTERNO CONTABLE CONTADURÍA GENERAL DE LA NACIÓN
Programa de Auditoría Interna
NCH2777 Gestión de la Continuidad del Negocio Alumno: Patricia Linconao Fecha:
Control Interno – Factor Crítico
Seguridad y Auditoria de Sistemas Ciclo
SGSI: Sistemas de Gestión de la Seguridad de la Información
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
Proveedores de servicios externos
FUNDAMENTOS BASICOS DE SALUD Y SEGURIDAD EN EL TRABAJO DEIBY OJEDA AMAYA ING. INDUSTRIAL – CONTADOR PUBLICO INSTRUCTOR Barranquilla, 2013.
Riesgos – Control Interno
Procesos itil Equipo 8.
ADMINISTRACION DEL RIESGO OPERACIONAL Y BASILEA II
ROL DE FORTALECIMIENTO DE LA CULTURA DEL CONTROL.
Riesgo de Lavado de Activos
ARNULFO CIFUENTES OLARTE Abogado
Riesgos de Corrupción Dirección Nacional de Planeación y Estadística Apoyo-Vicerrectoría General-Sistema Integrado de Gestión Bogotá, abril de 2015.
ANALISIS SEGURO DE TRABAJO (AST)
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
PLAN DE CONTINGENCIA Y EMERGENCIA
Ingeniería del Software
Marco Integrado de Control Interno, con enfoque COSO III, 2013
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
GESTIÓN DE PROYECTOS.
Transcripción de la presentación:

Gestión del riesgo operacional Israel Fainboim (FMI) Seminario Internacional de Gestión de Tesorería (FOTEGAL) Colombia, Agosto 22-23

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos Los Ministerios de Finanzas tienen la responsabilidad por el manejo de un volumen considerable de activos, pasivos y transacciones. Exposiciones a riesgos operacionales pueden generar consecuencias financieras, políticas y reputacionales negativas de importancia considerable. Los riesgos operacionales incluyen riesgos de perdida de personal critico, fallas en liquidación de transacciones, fraude, fallas en los sistemas, fallas de proveedores de servicios, errores humanos, daños en edificaciones y otros danos por desastres naturales, etc. Para su gestión se requiere una variedad de herramientas, incluyendo: auditorias, políticas de personal, controles de sistemas y planes de continuidad de operación. Desarrollar y mantener un marco de gestión del riesgo operacional (incluyendo un PCO) es por lo tanto urgente, mas no se considera una prioridad en muchos países de AL, o se delega a las unidades de IT, aunque la situación ha venido cambiando lentamente (Brasil, Chile, los primeros; le ha seguido México; Colombia y Perú empezando). Quizás establecer la obligación legal de adoptar medidas para monitorear y controlar estos riesgos, como es el caso para los bancos centrales, pueda contribuir a la adopción de estos marcos en algunos países.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos El marco de gestión de riesgos operacionales (MGRO) debe proveer una definición de riesgo operacional, y establecer los principios de cómo los riesgos operacionales se van a identificar, evaluar, monitorear y controlar o mitigar. Puede desarrollarse y aplicarse de manera gradual. La tesorería debe considerar el uso de auditores internos y/o externos para examinar y evaluar de manera independiente el marco. Un MGRO usualmente incluye un Plan de Continuidad de Operaciones y de Recuperación de Desastres (PCO/PRD). Desarrollar un PCO usualmente implica adoptar medidas que busquen prevenir la ocurrencia de eventos interrupción de las operaciones y establecer respuestas apropiadas si estos eventos ocurren. Un PCO/DRP se concentran en mejorar la resistencia a estos eventos y en asegurar que se adopten técnicas de mitigación especialmente para aquellas áreas que tienen una combinación de probabilidad de ocurrencia muy alta/alta e impacto catastrófico.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos La tesorería debe seleccionar la intervención mas costo/efectiva y apropiada para actividad, entre las siguientes: Prevenir o evitar (eliminar) la ocurrencia del evento Transferir los riesgos a un tercero mediante aseguramiento o outsourcing Contener o limitar el impacto potencial de un evento Aceptar el evento y recuperarse utilizando un PRD, que se debe probar regularmente en el lugar de recuperación (sitio alterno) Existe usualmente un trade-off entre el costo de prevenir o recuperar y el tiempo de recuperación requerido por el tesoro. Si el tiempo para recuperar actividades criticas/procesos/sistemas es muy corto, se requerirán inversiones significativas en replicar sistemas, establecer espejos para los datos, establecer redundancia en comunicaciones e infraestructura y un sitio alterno que pueda activarse rápidamente. El costo de establecer este sitio puede ser alto; y debe ubicarse lejos del sitio primario para evitar que ambos se afecten por el mismo evento.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos Para desarrrollar un PCO/PRC se recomienda seguir un proceso de seis etapas: Entender y documentar los procesos de negocio y sistemas y procesos críticos Identificar, evaluar y medir los riesgos (análisis de impacto sobre los negocios). Para cada categoría de riesgo operacional e incidente que pueda afectar las operaciones, se deben evaluar las exposiciones al riesgo (probabilidades e impactos) Desarrollar estrategias de gestión de riesgo (un PCO/PRD, que incluya terceros, como el banco central) Implementar o actualizar el PCO/PRD (implementar políticas de gestión de riesgos, limites y controles). Monitorear el desempeño y cumplimiento de políticas, limites y controles. Proveer entrenamiento al staff para que entienda sus roles y responsabilidades en relación con el PCO/PRD y para la asunción de responsabilidades en introducir o mantener estrategias de reducción o mitigación de riesgos en su área respectiva Realizar pruebas (tests) periódicas (anuales) de los sistemas y procesos críticos y actualizar el PCO/PRD con base en los resultados de las pruebas.

Importancia de la gestión de los Riesgos Operacionales y mecanismos de gestión de estos La gestión de los riesgos operacionales requiere de una adecuada distribución de funciones entre los actores y la creación de una institucionalidad: El tesorero debe aprobar y revisar periódicamente el MGRO Un comité de riesgos puede supervisar el proceso de definir un MGRO La alta dirección de la tesorería debe ser responsable de implementar el MGRO Un “risk champion” debe dirigir y guiar el proceso de preparación del MGRO, coordinar el reporte al tesorero y la alta dirección y desarrollar las políticas y procedimientos apropiados de gestión de riesgos operacionales. Este “champion” debería ubicarse en una unidad de gestión de riesgos. La unidad dirige el desarrollo del proceso de gestión de riesgos, monitorea el desempeño y la ejecución, reporta al tesorero y actúa como asesora de los subdirectores (senior managers) en identificar riesgos y planear actividades de control Los gerentes o subdirectores deben ser responsables de identificar y monitorear los riesgos en sus propias unidades y asegurar que las actividades de control operan como se deseaba. El staff debe estar enterado de los riesgos operacionales en su respectiva área y como pueden afectar la continuidad de las operaciones y tener la responsabilidad de manejar las exposiciones bajo su control

Identificación de actividades criticas que pueden generar mayores riesgos operacionales

Adopcion de políticas y procedimientos de mitigación/control Sólo 4 de los encuestados en estas dos preguntas son los mismos. (Dos de 6 los países que contestó sí a Q31, 2 sólo contestaron una de las preguntas siguientes.) Otra incluye: 1) con la Coordinación de Seguridad Informática y también con asesorías del Banco Mundial, FMI y apoyo del Banco Central. 2) Programación Financiera y Dirección de Política Económica y Fiscal

Actividades y las correspondientes políticas y procedimientos para mitigar y/o controlar riesgos Manuales de Procedimientos, Plan de Continuidad de Negocio y Sitio Alterno Inversiones, Deuda, Pagos Municipales, Aporte Fiscal e Información Contable Elaboración de plan de contingencia, Actualización de procedimientos, Estructuración de sistema de calidad Mesa de Ayuda de la Unidad Informática Definición de destino de fondos—Ubicación en cuenta especial restringida; Atención de requerimientos de fondos—Conciliación de cuentas; Mejoramiento de los aplicativos de administración de portafolios; mejoramiento de planillas que se entregan a la Subdirección de pagos y para el cumplimiento de las operaciones

Política para identificar, monitorear y reportar riesgos operacionales Reporte anual del PCN y reporte periódico a la Secretaría de la Función Pública Reporte semestral Evaluación anual de riesgos Documentos Específicos En desarrollo

Auditorias de desempeño basadas en enfoque de análisis de riesgos Un país que contestó no a la primera pregunta contestó la segunda. No he incluído su respuesta a la segunda aquí.

Auditorias de los sistemas de información Un país que contestó no a la primera pregunta contestó la segunda. No he incluído su respuesta a la segunda aquí. Respuestas: 8

Sitio alterno para desarrollar actividades criticas En el 69% de los países (9) el Ministerio de Hacienda (y la Tesorería en particular) dispone de un sitio alterno desde donde desarrollar sus actividades críticas en caso de ocurrencia de eventos que impidan desarrollarlas en el sitio tradicional 8 de estos sitios están a menos de 50 km de las oficinas de la Tesorería 1 está más de 100 km 6 de ellos han sido utilizados para realizar pruebas o durante un incidente