JB-2005-834 (Emitida por la SBS el 20 de Octubre del 2005)

Estándar de Control Interno

JB-2005-834(Emitida por la SBS el 20 de Octubre del

2005)

En octubre del 2005, la Junta Bancaria expidió la Resolución JB-2005-834, relativa a la Gestión del Riesgo Operativo.

En la cual se imparte una serie de disposiciones para propender a que las instituciones del sistema financiero cuenten con un sistema para la gestión del riesgo operativo que les permita identificar, medir, controlar / mitigar y monitorear los riesgos derivados de fallas o insuficiencias en los procesos, personas, tecnologías de información y eventos externos incluyendo el riesgo legal.

Antecedentes

Esta norma determina que los plazos para que las instituciones del sistema financiero tengan implantados sus sistemas de gestión del riesgo operativo son:

31 de octubre del 2008 para grupos financieros, bancos:◦ sociedades financieras, emisoras y

administradoras de tarjetas de crédito y otras. 31 de octubre del 2009 para

cooperativas de ahorro y mutualistas.

Antecedentes

• La SBS emprendió una campaña masiva de capacitación y difusión

• En el mes de Julio del 2009 emprendieron una revisión de monitoreo.

• Dificultades para la implementación del riesgo operativo: Falta de recursos financieros, tecnológicos y de personas.

• Resistencia al cambio o poco entendimiento de los beneficios de implementación

• Necesidad de que los sistemas de información incorporen mejores mecanismos de seguridad y sean flexibles para la incorporación de los lineamientos de la administración del riesgo operativo.

Antecedentes

• El Consejo de Administración y los diferentes comités de apoyo administrativo tienen una alta responsabilidad en la administración del riesgo operativo.

• Responsabilidades del Comité de Riesgos.

• Mayor enfoque de auditoria orientado hacia el riesgo de Auditores Externos y Calificadoras de Riesgo.

• Pilares para la gestión del riesgo en las COAC’s: Gobierno Corporativo, Administración del Riesgo y Cumplimiento.

Antecedentes

Establecer los lineamientos de control para la Gestión Integral de Riesgos tecnológicos en el Ecuador bajo las normas internacionales vigentes y aquellas establecidas por la Superintendencia de Bancos y Seguros del Ecuador.

Determinar la factibilidad de implementación a la que se enfrentan las entidades financieras ecuatorianas para la implementación de los controles de la gestión tecnológica bajo el marco de regulación gubernamental existente.

Presentar la visión gerencial sobre la forma en que se implementa un adecuado gobierno de tecnología de información que agrega valor a los procesos de los diferentes niveles en la pirámide organizacional de las entidades financieras.

Objetivos Generales

Analizar el impacto que tienen los sistemas de información en el Sistema Financiero y su aprovechamiento dentro de sus operaciones así como en la toma de decisiones a nivel gerencial.

Analizar la forma en que el control interno interviene dentro de la gestión de tecnología de información.

Identificar los estándares, lineamientos y mejores prácticas relacionadas con una gestión de tecnología de información exitosa enfocada en la mitigación de los riesgos relacionados.

Analizar la evolución y aplicación de las normas y lineamientos sobre la gestión del riesgo operativo por parte del Sistema Financiero.

Objetivos Específicos

Establecer las diferentes variables que debe considerar una entidad financiera, para la implementación de los controles tecnológicos.

Determinar la forma en que el control interno interviene dentro de la cadena de valor de una entidad financiera y el impacto que ésta genera.

Analizar la forma en que las herramientas informáticas apoyan en la gestión del riesgo operativo tecnológico.

Definir un Marco de Control Integral para la gestión del riesgo tecnológico dentro de las Instituciones Financieras del sector de cooperativas.

Objetivos Específicos

En la norma 834 de Riesgo Operativo se establecieron los lineamientos mínimos que deben seguir las entidades financieras para garantizar la continuidad del negocio frente a posibles riesgos a los que pudiera estar expuesta la entidad. Para ello, establece que se deben administrar en forma apropiada los procesos, personas, tecnología de información y los eventos externos.

Marco Conceptual

Norma 834

La norma señala que riesgo operativo es la posibilidad de que se presenten eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologías de información, factores externos y riesgo legal, a los cuales se los denomina factores de riesgo.

Marco Conceptual

Riesgos de Tecnologías de Información

• Primero, a que las tecnologías de información se extienden por todos los procesos y niveles de decisión de la institución y segundo, porque las tecnologías de información siguen siendo un tema muy complejo y técnico, manejadas por especialistas y presionados cada vez más por la entrega de servicios oportunos y de calidad.

Riesgo de Procesos •Para esta actividad es muy importante contar con un mapa de procesos y la cadena de valor de la institución.

Riesgo de Personas •Para cubrir este ámbito, se deben identificar las fallas o insuficiencias asociadas al factor humano, también conocido como ingeniería social

Riesgos de Eventos Externos •Consiste en identificar, analizar y cuantificar riesgos derivados de fallas en servicios públicos, desastres naturales, atentados y otros actos delictivos que pudieran afectar la operación normal de la institución.

Factores de Riesgo

Puna adecuada gestión de riesgos es necesario que se cumplan con los siguientes lineamientos:

◦ Establecer un adecuado ambiente de administración de Riesgos.

◦ Realizar una gestión proactiva de los riesgos.◦ Asumir e implementar las observaciones y

recomendaciones de las entidades de control.◦ Transparencia de la información financiera y de la

gestión de riesgos realizada.◦ El rol de la Unidad de Riesgos◦ El rol de Auditoria Interna

Campo de Aplicación

DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION

PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008

Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco

Proyecto de implementacionCumplimiento SI NO

PARCIAL

Artículo 1

1.1Procesos

Las Instituciones controladas deberán contar con procesos definidos de conformidad con la estrategia y políticas adoptadas

1.1.1Los procesos deberán estar segregados por: Actualmente el Banco x Segregar los procesos por Productivos y habilitantesaProcesos Gobernantes cuenta con los proce Fecha de implementacion: 01-Sep-06bProcesos Productivos sos Gobernantes Responsables: Departamento de Organización cProcesos habilitantes o apoyo definidos y Métodos por implementarse Definido por: Comité Integral de Riesgos

1.1.2Implementar mecanismos o alternativas que ayuden El Banco cuenta con x Revisar el funcionamiento de los controles existente a la entidad a evitar incurrir en pérdidas o poner controles en los Comentario: Fecha de implementacion: 01-Nov-06

en riesgo la continuidad del negocio y sus operaciones procesos de riesgoActualmente existen con- Responsables: Departamento de Organización

troles en los procesos y Métodos por implementarse

críticos los cuales deberán Definido por: Comité Integral de Riesgos

ser revisados

Campo de Aplicación – Banco del Litoral

DIAGNOSTICO DEL BANCO DEL LITORAL

PROYECTO DE IMPLEMENTACION



Proyecto de implementacionCumplimiento SI NO PARCIA

L

x Definir formalmente las políticas para un adecuado

1.1.3Definir formalmente las políticas para un adecuado diseño diseño, control, actualización y seguimiento de los

control, actualización y seguimiento de los procesos procesos

Fecha de implementacion: 31-Dic-07

Responsables: Departamento de Organización

y Métodos por implementarse

Definido por: Comité Integral de Riesgos

1.1.4Deberá existir una adecuada separación de funciones que Despues de realizar x Realizar una adecuada separacion de funciones

evite concentraciones de carácter incompatible una revision de fun- Fecha de implementacion: 31-Dic-07

ciones determinamos Responsables: Departamento de Organización

que no existe una y Métodos por implementarse

adecuada separación Definido por: Comité Integral de Riesgos

de funciones

1.1.5Deberán mantener inventarios actualizados de los procesos No existe actualmente x Elaborar inventario de procesos que cuente con Tipo

existentes que cuenten como mínimo con: inventario de procesos de proceso, nombre de proceso, responsable,

Tipo de proceso-Nombre de proceso-responsable-producto producto o servicio que genera, cliente interno o

y servicio que genera el proceso-clientes internos y externos externo, fecha de aprobación, actualización y

fecha de aprobación-actualización-señalar proceso crítico señalar procesos críticos

Fecha de implementacion: 31-Dic-07

Responsables: Departamento de Organización

y Métodos por implementarse

Definido por: Comité Integral de Riesgos







PARCIAL

1.2Personas

1.2.1Administrar el capital humano de forma adecuada e identificar

las fallas asociadas al factor persona

1.2.2Definir formalmente políticas, procesos y procedimientos que Existe en la actualidad x Definir formalmente políticas, procesos y procedimien-

aseguren una apropiada planificación y administración del un manual de proce- Comentario: tos apropiados para la buena administración del capi-

capital humano los cuales consideran los procesos de incorpo- dimientosNo existe definidas formal- tal humano

ración, permanencia y desvinculación del personal mente las politicas y pro- Fecha de implementacion: 01-Oct-08

cesos para una apropiada Responsables: Sergio León-Subgerente Administrativo

administración del capital Jessica Andrade-Recursos Humanos

Humano Enrique Noboa-proveduría

Definido por: Sergio Leon-Subgerente Administrativo

1.2.3Se deben considerar los procesos x Manual de Recursos Humanos que contenga:

aProcesos de incorporación Procesos de Incorporación:

bProcesos de permanencia Inducción-Reclutamiento-Selección

cProcesos de desvinculación Procesos de Permanencia:

Clasificación de puesto-Medición y evaluación de re-

sultados-Optimización de Recursos-Capacitación-Re-

muneraciones

Procesos de Desviculación:

Determinación de tamaño poblacional-Salida de perso-

nal-supresión de puestos-jubilación

Fecha de implementacion: 01-Oct-08

Responsables: Sergio León-Subgerente Administrativo

Jessica Andrade-Recursos Humanos

Enrique Noboa-proveduría

Definido por: Sergio Leon-Subgerente Administrativo






PARCIAL

Se ha revisado el área x Definir formalmente la clasificación de puesto

1.2.4Deberán analizar su organización con el objeto de evaluar si han de Recuros Humanos Definir formalmente la técnica de Medición y evalua- definido el personal necesario y las competencias idóneas para el para determinar que ción de Resultados a emplearse desempeño de cada puesto no existe una defini- Fecha de implementacion: 01-jul-08 ción de puesto Responsable: Jessica Andrade-Recursos Humanos Definido por: Sergio León -Subgerente Administrativo

1.2.5mantendrán información actualizada del capital humano, que Existe actualmente un x Diseño de las bases de Datos de Recursos Humanos

permita una adecuada toma de decisiones por parte de los niveles archivo de información Comentario: Fecha de implementacion: 01-abril-08

directivos y la realización de análisis cualitativos y cuantitativos de del personal No se han actualizado las Responsable: Jessica Andrade-Recursos Humanos

acuerdo con sus necesidades carpetas del personal Definido por: Sergio León -Subgerente Administrativo






PARCIAL

1.3Tecnología de Información

1.3.1Con el objeto de garantizar que la administración de la tecnología de

información soporte adecuadamente los requerimientos de opera- ción actuales y futuros de la entidad las instituciones controladas deben contar al menos con lo siguiente:

1.3.1.1El apoyo y compromiso formal del directorio u organismo que haga x sus veces y la alta gerencia

1.3.1.2Un plan funcional de tecnología de información alineado con el plan x estratégico institucional y un plan operativo que establezca las actividades a ejecutar en el corto plazo (un año) de manera que se asegure el logro de los objetivos institucionales propuestos

1.3.1.3Tecnología de información acorde a las operaciones del negocio x y al volumen de transacciones, monitoreadas y proyectadas según las necesidades y crecimiento de la institución







PARCIAL

1.3.1.4Un responsable de la información que se encargue principalmente x

de definir y autorizar de manero formal los accesos y cambios

funcionales a las aplicaciones y monitorear el cumplimiento de los

controles establecidos

1.3.1.5Políticas, procesos y procedimientos de tecnología de información El Banco actualmente x Se culminará este proyecto a finales de Abril para luego

definidos bajo estándares de general aceptación que garanticen la esta diseñando las someterlo a la aprobación del Directorio

ejecución de criterios de control interno de eficacia, eficiencia y Políticas de Tecnología Fecha de implementacion: 01-Jul-06

cumplimiento debidamente aprobados por el directorio u organismos de Información Responsable: Raul Ortega-Subgerente de Sistemas

que haga sus veces alineados a los objetivos y actividades de la Definido por: Raul Ortega

institución

1.3.1.6Difusión y comunicación a todo el personal involucrado de las x Difusión y comunicación a todo el personal del Banco del

mencionadas políticas, procesos y procedimientos de tal forma que Litoral sobre la políticas y procedimientos de Tecnología

se asegure su implementación de Información

Fecha de implementacion: 15-Sep-06

Responsable: Raul Ortega-Subgerente de Sistemas

Definido por: Raul Ortega

1.3.1.7Capacitación y entrenamiento técnico al personal del área de Actualmente el Banco x Capacitación al usuario sobre Tecnología de Información

tecnología de información y de los usuarios de la misma esta capacitando al Manejo de la PC, cultura de respaldos periodicos, claves

personal de Sistemas de pantalla manejo de archivos compartidos, etc.

En Linux y Oracle Fecha de implementacion: 01-Ene-07

Responsable: Raul Ortega-Subgerente de Sistemas







PARCIAL

1.3.2Con el objetivo de garantizar que las operaciones de tecnología de

información satisfagan los requerimientos de la entidad, las institu-

ciones controladas deben contar al menos con lo siguiente:

1.3.2.1Manuales o reglamentos internos, debidamente aprobados por el x directorio u organismo que haga sus veces, que establezcan como mínimo las responsabilidades y procedimientos para la operación, el uso de las instalaciones de procesamiento de información y respuestas a incidentes de tecnología de información

1.3.2.2Un procedimiento de clasificación y control de activos de tecnología x Procedimiento de clasificación y control de activos de de información , que considere por lo menos, su registro e identifi- Tecnología de Información cación así como los responsables de sus uso y mantenimiento, Fecha de implementacion: 30-Jun-06 especialmente de lo mas importante Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega

1.3.3Con el objetivo de garantizar que los recursos y servicios provistos

por terceros se administren con base en responsabilidades clara- mente definidas y esten sometidas a un monitoreo de su eficiencia y efectividad las instituciones controladas deben contar al menos con lo siguiente:






PARCIAL

1.3.3.1Requerimientos contractuales convenidos que definan la propiedad x de la información y de las aplicaciones; y, la responsabilidad de la empresa proveedora de la tecnología en caso de ser vulnerables sus sistemas, a fin de mantener la integridad, disponibilidad y confidencialidad de la información; y,

1.3.3.2Requerimientos contractuales convenidos que establezcan que las x aplicaciones sean parametrizables, que exista una transferencia del conocimiento y que se entregue documentación técnica y de usuario a fin de reducir la dependencia de las instituciones controladas con proveedores externos y los eventos de riesgo operativo que esto origina.

1.3.4Con el objeto de garantizar que el sistema de administración de

seguridad satisfaga las necesidades de la entidad para salvaguardar

la información contra el uso, revelación y modificación no autorizados así como daños y perdidas, las instituciones controladas deben contar al menos con lo siguiente

1.3.4.1Políticas y procedimientos de seguridad de la información que Se ha elaborado un x Se culminará el proyecto a finales de abril paraluego establezcan sus objetivos, importancia, normas, principios, requisitos manual que continen someterlo a la aprobación del Directorio de cumplimiento, responsabilidades y comunicación de los incidentes las políticas y proce- Fecha de implementacion: 01-Jul-06

relativos a la seguridad; considerando los aspectos legales, así comodiminetos de seguridad Responsable: Raul Ortega-Subgerente de Sistemas

las consecuencias de violación de estas políticas; de información Definido por: Raul Ortega






PARCIAL

1.3.4.2La identificación de los requerimientos de seguridad relacionados con Una vez aprobado el x Evaluación de riesgos que enfrenta la institución relacio- tecnología de información, considerando principalmente: la evaluación manual de seguridad nados con Tegnología de Información

de los riesgos que enfrenta la institución; los requisitos legales,de Información se eva- Fecha de implementacion: 01-Jul-06

normativos, reglamentarios y contractuales; y, el conjunto específico luaran los riesgos Responsable: Raul Ortega-Subgerente de Sistemas de principios, objetivos y condiciones para el procesamiento de la Silvia Villalobos.- Unidad de Riesgo información que respalda sus operaciones; Operativo


1.3.4.3Los controles necesarios para asegurar la integridad, disponibilidad y Se han definido los x Se someterá a la aprobación del Directorio los controles confidencialidad de la información administrada; controles para asegu- ya definidos rar la integridad dispo Fecha de implementacion: 01-Jul-06 Responsable: Raul Ortega-Subgerente de Sistemas

nibilidad y confidencia- Definido por: Raul Ortega

lidad de la información

1.3.4.4Un sistema de administración de las seguridades de acceso a laEl Banco no cuenta con x Diseño de sistema de administración de seguridades de

información, que defina las facultades y atributos de los usuarios,un sistema de adminis- acceso a la información

desde el registro, eliminación y modificación, pistas de auditoría; tración de seguridad Fecha de implementacion: 01-Dic-07

además de los controles necesarios que permitan verificar su cumpli-de acceso a la informa Responsable: Raul Ortega-Subgerente de Sistemas

miento de todos los ambientes de procesamiento; ción Definido por: Raul Ortega

1.3.4.5Niveles de autorización de accesos y ejecución de las funciones de x Diseñar dentro del sistema de administració de procesamiento de las aplicaciones, formalmente establecidos, que acceso los niveles de acceso garanticen una adecuada segregación de funciones y reduzcan el Fecha de implementacion: 01-Dic-07 riesgo de error o fraude; Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega






PARCIAL

1.3.4.6Adecuados sistemas de control y autenticación para evitar accesosEl Banco no cuenta aun x Diseño de sistema de control y autenticación para evitar

no autorizados, inclusive de terceros; y, ataques externos especial- con este sistema de accesos no autorizados mente a la información crítica y a las instalaciones de procesamiento; control Fecha de implementacion: 01-Dic-07 Responsable: Raul Ortega-Subgerente de Sistemas


1.3.4.7Controles adecuados para detectar y evitar la instalación de software Se estan diseñando x Finalizacion de proyecto de controles de para detectar no autorizado o sin la respectiva licencia, así como instalar y actualizar los controles para y evitar la instalación de software no autorizados periódicamente aplicaciones de detección y desinfección de virus detectar y evitar la Fecha de implementacion: 01-Dic-07

informáticos y demás software maliciosos;instalación de software Responsable: Raul Ortega-Subgerente de Sistemas

no autorizados Definido por: Raul Ortega

1.3.4.8Controles formales para proteger la información contenida en Existe dentro del ma- xSometerno a la aprobación del Directorio e implementarlo

documentos; medios de almacenamiento u otros dispositivos externos; nual de Tecnología de Fecha de implementacion: 01-Jul-06 el uso e intercambio electrónico de datos contra daño, robo, accesos, Información controles Responsable: Raul Ortega-Subgerente de Sistemas

utilización o divulgación no autorizada de información para finesformales para proteger Definido por: Raul Ortega

contrarios a los intereses de la entidad, por parte de todo su personal la información y de sus proveedores;

1.3.4.9Instalaciones de procesamiento de información crítica en áreas Existe dentro del ma- xSometerlo a la aprobación del Directorio e implementarlo

protegidas con los suficientes controles que eviten el acceso de nual de Tecnología de Fecha de implementacion: 01-Jul-06

personal no autorizado y daños a los equipos de computación y a laInformación los contro- Responsable: Raul Ortega-Subgerente de Sistemas

información en ellos procesada, almacenada o distribuida; les definidos para evi- Definido por: Raul Ortega

tar el acceso no autori-

zado al área de Sistemas






PARCIAL

1.3.4.10Las condiciones físicas y ambientales necesarias para garantizar el

Se esta implemantado x

Finalizar el acondicionamiento físico y ambiental para ga-

correcto funcionamiento del entorno de la infraestructura de tecnología rantizar el correcto funcionamiento de la Tegnología de de información; Información Fecha de implementacion: 15-Ago-06 Responsable: Raul Ortega-Subgerente de Sistemas

Definido por: Raul Ortega1.3.4.1

1Un plan para evaluar el desempeño del sistema de administración de la x Elaborar un plan de evaluzación de desempeño de Sistema

seguridad de la información, que permita tomar acciones orientadas a de seguridad mejorarlo; y, Fecha de implementacion: 01-Ene-08 Responsable: Raul Ortega-Subgerente de Sistemas Silvia Villalobos.-Unidad de Riesgo

Operativo 1.3.4.1

2Las instituciones controladas que ofrezcan los servicios de x transferencias y transacciones electrónicas deberán contar con polí- Comentario:

ticas y procedimientos de seguridad de la información que garanticen No aplica para el Banco

que las operaciones sólo pueden ser realizadas por personas debida-

mente autorizadas; que el canal de comunicaciones utilizado sea seguro

mediante técnicas de encriptación de información; que existan mecanismos alternos que garanticen la continuidad del servicio ofrecido; y, que aseguren la existencia de pistas de auditoría.






PARCIAL

1.3.5Con el objeto de garantizar la continuidad de las operaciones, las instituciones controladas deben contar al menos con lo

siguiente:

1.3.5.1Controles para minimizar riesgos potenciales de sus equipos de x computación ante eventos imprevistos, tales como: fallas, daños o insuficiencia de los recursos de tecnología de información; robo; incendio; humo; inundaciones; polvo; interrupciones en el fluido eléctrico, desastres naturales; entre otros;

1.3.5.2Políticas y procedimientos de respaldo de información periódicos, que Esiste actualmente el x Someterlo a la aprobación del Directorio aseguren al menos que la información crítica pueda ser recuperada manual de Políticas y Fecha de implementacion: 01-Jul-06

en caso de falla de la tecnología de información o con posterioridad aProcedimientos de Con- Responsable: Raul Ortega-Subgerente de Sistemas

un evento inesperado; tingencia Definido por: Raul Ortega

1.3.5.3Mantener los sistemas de comunicación y redundancia de los mismos dentro del manual de x Someterlo a la aprobación del Directorio

que permitan garantizar la continuidad de sus servicios; y,contingencia esta defi- Fecha de implementacion: 01-Jul-06

nido este punto Responsable: Raul Ortega-Subgerente de Sistemas


1.3.5.4Información de respaldo y procedimientos de restauración en unaEste punto se encuen- x Se implementará un centro de computo alterno

ubicación remota, a una distancia adecuada que garantice su tra dentro de la estra- Fecha de implementacion: Octubre-08

disponibilidad ante eventos de desastre en el centro principal detegis de Tecnología de Responsable: Raul Ortega-Subgerente de Sistemas

procesamiento. Información Definido por: Raul Ortega






PARCIAL

1.3.6Con el objeto de garantizar que el proceso de adquisición, desarro llo implementación y mantenimiento de las aplicaciones satisfagan los objetivos del negocio, las instituciones controladas deben

contar al menos con lo siguiente:

1.3.6.1Una metodología que permita la adecuada administración y control del x Definir metodología para la adecuada administración y proceso de compra de software y del ciclo de vida de desarrollo y control en compras de software mantenimiento de aplicaciones, con la aceptación de los usuarios Fecha de implementacion: 01-Jun-06 involucrados; Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega

1.3.6.2Documentación técnica y de usuario permanentemente actualizada de x las aplicaciones de la institución;

1.3.6.3Controles que permitan asegurar la adecuada administración de x versiones de las aplicaciones puestas en producción; y,

1.3.6.4Controles que permitan asegurar que la calidad de la información Se han definido los x Someterlos a la aprobación del Directorio sometida a migración, cumple con las características de integridad, controles Fecha de implementacion: 01-Jul-06 disponibilidad y confidencialidad. Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega







PARCIAL

1.3.7Con el objeto de garantizar que la infraestructura tecnológica que soporta

Se esta implementando x Finalización del proyecto de Administración de la insfra-

las operaciones, sea administrada, monitoreada y documentada de forma actualmente estructura de tegnología

adecuada, las instituciones controladas deberán contar con políticas y Fecha de implementacion: 15-Jul-06 procedimientos que permitan la adecuada administración, monitoreo y Responsable: Raul Ortega-Subgerente de Sistemas

documentación de las bases de datos, redes de datos, software de base Definido por: Raul Ortega

y hardware.

1.4Eventos externos.- En la administración del riesgo operativo, las insti- x tuciones controladas deben considerar la posibilidad de pérdidas

derivadas de las ocurrencias de eventos ajenos a su control, tales como:

fallas en los servicios públicos, ocurrencia de desastres naturales, atentados y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.







PARCIAL

SECCIÓN III.- ADMINISTRACIÓN DEL RIESGO OPERATIVO

1Artículo 1

El diseño del proceso de administración de riesgo operativo deberá

permitir a las instituciones controladas identificar, medir, controlar

mitigar y monitorear sus exposiciones a este riesgo al que se

encuentran expuestas en el desarrollo de sus negocios y opera-

ciones. Cada institución desarrollará sus propias técnicas o esque-

mas de administración, considerando su objeto social, tamaño,

naturaleza, complejidad y demás características propias.

2Artículo 2

Para una adecuada administración del riesgo operativo las institu-

ciones controladas deberán cumplir las disposiciones del artículo 1

de la sección II del presente capítulo y adicionalmente, deberán

contar con códigos de ética y de conducta formalmente estableci-

dos con la supervisión del directorio u organismo que haga sus

veces y de la alta gerencia, con una sólida cultura de control interno

con panes de contingencias y continuidad del negocio debidamente

probados y con tecnología de información adecuada

3Artículo 3

Con la finalidad de que las instituciones controladas administren

adecuadamente el riesgo operativo es necesario que agrupen sus

procesos por líneas de negocio, de acuerdo con una metodología

establecida de manera formal y por escrito, para lo cual deberán

observar los siguientes lineamientos:





Proyecto de implementacionCumplimiento SI NO PARCI

AL

3.1Los procesos productivos deberán asignarse a las líneas de negocio de x Agrupar los procesos productivos por Líneas de acuerdo con los productos y servicios que generan, de forma que a cada Negocio deacuerdo a los productos y servicios que uno de los procesos le corresponda una sola línea de negocio y que genera ningún proceso permanezca sin asignar; y, Fecha de implementacion: 01-Jul-06 Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

3.2Las líneas de negocio también deberán agrupar los procesos gobernantes x Agregar a las Líneas de Negocio los procesos y los procesos habilitantes que intervienen en las mismas. Si algún Gobernantes y los Habilitantes según corresponda proceso gobernante o proceso habilitante interviene en más de una Fecha de implementacion: 01-Jul-06 línea de negocio, la entidad deberá utilizar un criterio de asignación Responsable: Silvia Villalobos.-Unidad de Riesgo

objetivo. Operativo

4Artículo 4 x Identificar los eventos de riesgo según sea el tipo en Las instituciones controladas deberán identificar, por línea de negocio, los cada Línea de Negocio eventos de riesgo operativo, agrupados por tipo de evento, y, las fallas o insuficiencia en los procesos, las personas, la tecnología de información Identificar las Fallas o insuficiencias en los procesos y los eventos externos; personas, tecnología de Información y eventos

4.1Fraude interno; externos4.2Fraude externo; Fecha de implementacion: 01-Sep-064.3Prácticas laborales y seguridad del ambiente de trabajo; Responsable: Silvia Villalobos.-Unidad de Riesgo4.4Prácticas relacionadas con los clientes, los productos y el negocio; Operativo4.5Daños a los activos físicos; 4.6Interrupción del negocio por fallas en la tecnología de información; y, 4.7Deficiencias en la ejecución de procesos, en el procesamiento de ope-

raciones en las relaciones con proveedores y terceros. Los eventos de riesgo operativo y las fallas o insuficiencias serán identificados en relación con los factores de este riesgo a través de una metodología formal, debidamente documentada y aprobada. Dicha meto- dología podrá incorporar la utilización de las herramientas que más se ajusten a las necesidades de la institución, entre las cuales podrían estar autoevaluacón, mapas de riesgos, indicadores, tablas de control

(scorecards), bases de datos u otras.







L

5Artículo 5 x Una vez culminado el proyecto de Identificación de even-

Una vez identificados los eventos de riesgo operativo y las fallas o tos de Riesgo Operativo se someterá a la aprobación del

insuficiencias en relación con los factores de este riesgo y su incidencia Directorio

para la institución los niveles directivos están en capacidad de decidir Fecha de implementacion: Sep-06

si el riesgo se debe asumir, compartirlo, evitarlo o transferirlo, Responsable: Silvia Villalobos.-Unidad de Riesgo

reduciendo sus consecuencias y efectos. Operativo

6Artículo 6 x Conformación de las bases de Datos para la Administra-

En razón de que la administración del riesgo operativo constituye un ción de Riesgo Operativo

proceso continuo y permanente, será necesario que adicionalmente las Fecha de implementacion: 01-Jul-08

instituciones controladas conformen bases de datos centralizadas, Responsable: Silvia Villalobos.-Unidad de Riesgo

suficientes y de calidad, que permitan registrar, ordenar, clasificar y Operativo

disponer de información sobre los eventos de riesgo operativo; fallas o

insuficiencias; y, factores de riesgo operativo clasificados por línea de

negocio, determinando la frecuencia con que se repite cada evento y el

efecto cuantitativo de pérdida producida y otra información que las

instituciones controladas consideren necesaria y oportuna, para que a

futuro se pueda estimar las pérdidas esperadas e inesperadas atribuibles

a este riesgo

7Artículo 7

Aspecto importante de la administración del riesgo operativo es el

control el cual requerirá que las instituciones controladas cuenten

con sistemas de control interno adecuados, esto es, políticas, pro-

cesos, procedimientos y niveles de control formalmente estable-

cidos y validados periódicamente.

Los controles deben formar parte integral de las actividades

regulares de la entidad para generar respuestas oportunas ante

diversos eventos de riesgo operativo y fallas o insuficiencias que

los ocasionaron






PARCIAL

8Artículo 8 El esquema de administración del riesgo operativo de las instituciones controladas debe estar sujeto a una auditoría interna efectiva e integral, por parte de personal competente, debidamente capacitado y

operativamente independiente.

9Artículo 9 x Elaboración de esquemas de reportes para la Gestión Las instituciones controladas deben contar permanentemente con un del Riesgo Operativo esquema organizado de reportes que permitan disponer de información Fecha de implementacion: 01-Sep-08 suficiente y adecuada para gestionar el riesgo operativo en forma Responsable: Silvia Villalobos.-Unidad de Riesgo

continua y oportuna. Operativo

9.1Detalle de los eventos de riesgo operativo, agrupados por tipo de evento; x Dentro del proyecto de esquema de reportes incluye el

las fallas o insuficiencias que los originaron relacionados con los factores detalle de los eventos de riesgos

de riesgo operativo y clasificados por líneas de negocio; niveles directivos

están en capacidad de decidir si el riesgo se debe asumir, compartirlo, Fecha de implementacion: 01-Sep-08 evitarlo o transferirlo, reduciendo sus consecuencias y efectos. Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

9.2Informes de evaluación del grado de cumplimiento de las políticas relacio- x

Dentro del proyecto de esquemas de reportes se incluirá

nadas con factores de riesgo operativo y los procesos y procedimientos evaluaciones de grado de cumplimiento de las políticas establecidos por la institución; de la gestión de riesgo operativo Fecha de implementacion: 01-Sep-08 Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

9.3Indicadores de gestión que permitan evaluar la eficiencia y eficacia de las x

Dentro del proyecto de esquemas de reportes se incluirá

políticas, procesos y procedimientos aplicados. evaluaciones de grado de cumplimiento de las políticas Fecha de implementacion: 01-Sep-08 Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo






PARCIAL

SECCIÓN IV.- CONTINUIDAD DEL NEGOCIO

1Artículo 1

Las instituciones controladas deben implementar planes de contingencia

y de continuidad, a fin de garantizar su capacidad para operar en forma

continua y minimizar las pérdidas en caso de una interrupción severa del

negocio. Las instituciones controladas deberán establecer un proceso de

administración de continuidad de los negocios, que comprenda los

siguientes aspectos claves:

1.1Definición de una estrategia de continuidad de los negocios en línea con x los objetivos institucionales;

1.2Identificación de los procesos críticos del negocio, aún en los provistos x Identificación de procesos críticos propios por terceros Identificación de procesos críticos provistos por terceros Fecha de implementacion: 01-Nov-06

Responsable: Departamento de Organización y Metodos

1.3Identificación de los riesgos por fallas en la tecnología de información; x Identificación de riesgos por fallas tegnológicas Fecha de implementacion: 01-Mar-07 Responsable: Silvia Villalobos.-Unidad de Riesgo Operativo

Raúl Ortega.-Subgerente de Sistemas

1.4Análisis que identifique los principales escenarios de contingencia x tomando en cuenta impacto y la probabilidad de que sucedan;






PARCIAL

1.5Evaluación de los riesgos para determinar el impacto en términos de x Evaluación de riesgos para determinar el impacto de magnitud de daños, el período de recuperación y tiempos máximos de magnitud de daños nterrupción que puedan ocasionar los siniestros Periodos de recuperación y tiempos máximos de inte- rupción que puedan ocasionar los siniestros Fecha de implementacion: 01-May-07 Responsable: Silvia Villalobos.-Unidad de Riesgo Raúl Ortega.- Subgerente de Sistemas

1.6Elaboración del plan de continuidad del negocio para someterlo a la x aprobación del directorio u organismo que haga sus veces;

1.7Realización de pruebas periódicas del plan y los procesos implantados x Políticas y procedimientos para la realización de pruebas

que permitan comprobar su aplicabilidad y realizar los ajustes necesarios; y, periódicas del plan de continuidad

Fecha de implementacion: 01-May-07 Responsable: Raul Ortega.- Subgerente de Sistemas


1.8Incorporación del proceso de administración del plan de continuidad del x Incorporación del procesos de administración del plan de

negocio al proceso de administración integral de riesgos. negocio al proceso de administración integral de riesgos Fecha de implementacion: Ene-08 Responsable: Silvia Villalobos.- Unidad de Riesgo

Operativo






PARCIAL

2Artículo 2 Los planes de contingencia y de continuidad de los negocios debe comprender las previsiones para la reanudación y recuperación de las operaciones. Los planes de contingencia y de continuidad de-

beran incluir al menos, lo siguiente:

2.1Las personas responsables de ejecutar cada actividad y la información x Definir las personas responsables de ejecutar las diver- (direcciones, teléfonos, correos electrónicos, entre otros) necesaria para sas actividades del plan de contingencia y registrar los contactarlos oportunamente datos personales como telefono, direccion correo etc. Fecha de implementacion: 01-Jun-06 Responsable: Raúl Ortega.-Subgerente de Sistemas


2.2Acciones a ejecutar antes, durante y una vez ocurrido el incidente que x pongan en peligro la operatividad de la institución;

2.3Acciones a realizar para trasladar las actividades de la institución a x Definición de los procedimientos para aplicar el plan de ubicaciones transitorias alternativas y para el restablecimiento de los Contingencia de Tecnología de Información negocios de manera urgente; Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas


2.4Cronograma y procedimientos de prueba y mantenimiento del plan; y, x Elaboración de cronograma para la ejecución de pruebas y mantenimiento del plan Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas


2.5Procedimientos de difusión, comunicación y concienciación del plan y su x Plan de difusión y comunicación del plande contingencia cumplimiento de Tecnología de Información Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas








PARCIAL

SECCIÓN V.- RESPONSABILIDADES EN LA ADMINISTRACIÓN DEL

RIESGO OPERATIVO

1Artículo 1

Las responsabilidades del directorio u organismo que haga sus veces,

en cuanto a la administración del riesgo operativo, se regirán por lo

dispuesto en la sección III "Responsabilidad en la administración de riesgos"

del capítulo I "De la gestión integral y control de riesgos" de este subtitulo

Adicionalmente, el directorio u organismo que haga sus veces tendrá las

siguientes responsabilidades en relación con la administración del riesgo

operativo

1.1Crear una cultura organizacional con principios y valores de comportamiento x

ético que priorice la gestión eficaz del riesgo operativo;

1.2Aprobar las disposiciones relativas a los procesos establecidos en el x Formalizar los procesos Gobernantes, Productivos y Habili-

numeral 1.1 del artículo 1, de la sección II de este capítulo; tantes y someterlos a aprobación del Directorio

Fecha de implementacion: Oct-06

Responsable: Directorio

1.3Aprobar las políticas, procesos y procedimientos para la administración del x Formalizar y someter a aprobación de Directorio el manual

capital humano conforme con los lineamientos establecidos en el numeral de administración del capital Humano

1.2 del artículo 1 de la sección II de este capítulo; Fecha de implementacion: Nov-07


1.4Aprobar las políticas y procedimientos de tecnología de información esta- x Formalizar y someter a aprobación de Directorio las polí-

blecidos en el numeral 1.3 del artículo 1, de la sección II de este capítulo; y, ticas, procesos y procedimientos de Tegnología de Infor-

mación

Fecha de implementacion: Ene-08


1.5Aprobar los planes de contingencia y de continuidad del negocio a los que x Formalizary aprobar planes de contingencia y continuidad

se refiere la sección IV de este capítulo. de negocio

Fecha de implementacion: Ene-08







PARCIAL

2Artículo 2 Las funciones y responsabilidades del comité de administración Integral de riesgos se regirán por lo dispuesto en la sección III Responsabilidad en la administración de riesgos", del capítulo I "De la gestión integral y control de riesgos" de este subtítulo Adicionalmente, el comité de administración integral de riesgos tendrán las siguientes responsabilidades en relación con la con la administración del riesgo operativo:

2.1Evaluar y proponer al directorio u organismo que haga sus veces las x Revisión del Manual de Políticas procesos y procedimientos

políticas y el proceso de administración del riesgo operativo y asegurarse para la administración de riesgo operativo que sean implementados en toda la institución y que todos los niveles del Fecha de implementacion: Sep-08 personal entiendan sus responsabilidades con Responsable: Comité Integral de Riesgos

relación al riesgo operativo;

2.2Evaluar las políticas y procedimientos de procesos, personas y tecnología x Revisión del Manual de Políticas procesos y procedimientos

de información y someterlas a aprobación del directorio u organismo que para la administración de Procesos, Recurso Humano y haga sus veces Tecnología de Información Fecha de implementacion: Sep-08

Responsable: Comité Integral de Riesgos

2.3Definir los mecanismos para monitorear y evaluar los cambios significativos x Definir mecanismos para evaluar y monitorear cambios y la exposición a riesgos; significativos y exposición a riesgos Fecha de implementacion: Ene-07


2.4Evaluar y someter a aprobación del directorio u organismo que haga sus x Revisar planes de contingencia de Tecnología de Informa- veces los planes de contingencia y de continuidad del negocio a los que se ción y de Eventos externos refiere la sección IV del este Fecha de implementacion: Ene-08

capítulo; asegurar la aplicabilidad; y, cumplimiento de los mismos; y, Responsable: Comité Integral de Riesgos

2.5Analizar y aprobar la designación de líderes encargados de llevar a cabo x Definir los responsables de liderar los planes de contingen-

las actividades previstas en el plan de contingencia y de continuidad del cia negocio Fecha de implementacion: Ene-08








L

3Artículo 3

Las funciones y responsabilidades de la unidad de riesgos se

regiran por lo dispuesto en la sección III "Responsabilidad en la

administración del riesgos", del capítulo I De la gestión integral y

control de riesgos", de este subtítulo.

Adicionalmente, la unidad de riesgos tendrán las siguientes res-

ponsabilidades en relación con la administración del riesgo

operativo:

3.1Diseñar las políticas y el proceso de administración del riesgo operativo; x Elaboración del manual de políticas, procesos y procedi-

mientos para la administración del riesgo operativo

Fecha de implementacion: Sep-08

Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

3.2Monitorear y evaluar los cambios significativos y la exposición a riesgos x Monitorear y evaluar los cambios significativos y la exposi-

provinientes de los procesos, las personas, la tecnología de información y ción a riesgos

los eventos externos; Fecha de implementacion: Oct-08

Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

3.3Analizar las políticas y procedimientos de tecnología de información, pro- x Analisis de las políticas de Tecnología de Información

puestas por el área respectiva, especialmente aquellas relacionadas con la Fecha de implementacion: Oct-07

seguridad de la información; Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo

3.4Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de x Liderar el desarrollo del plan de contingencia de Tecnología

coningencia y de continuidad del negocio, al que se refiere la sección IV de de Información

este capítulo; así como proponer los líderes de las áreas que deban cubrir Fecha de implementacion: Mar-08

el plan de contingencias y de continuidad del negocio Responsable: Silvia Villalobos.-Unidad de Riesgo

Operativo






PARCIAL

SECCIÓN VI.- DISPOSICIONES GENERALES

1ARTÍCULO 1

Para mantener un adecuado control de los servicios provistos por terceros,

incluidas las integrantes de un grupo financiero, las instituciones controladas

deberán observar lo siguiente:

1.1Contar con políticas, procesos y procedimientos efectivos que aseguren El Banco actualmente x Elaborar el manual de Políticas, procesos y procedimientos

una adecuada selección y calificación de los proveedores, tales como: no cuenta con un para la calificación de proveedores manual de proveedo- Fecha de implementacion: 01-May-07

res Responsable: Departamento de Organización y Métodos

1.1.1Evaluación de la experiencia pertinente; x Elaborar el manual de Políticas, procesos y procedimientos

para la calificación de proveedores Fecha de implementacion: 01-May-07

Responsable: Departamento de Organización y Métodos

1.1.2Desempeño de los proveedores en relación con los competidores; x Elaborar el manual de Políticas, procesos y procedimientos

para la calificación de proveedores Fecha de implementacion: 01-May-07


1.1.3Evaluación financiera para asegurar la viabilidad del proveedor durante x Elaborar el manual de Políticas, procesos y procedimientos

todo el período de suministro y cooperación previsto; para la calificación de proveedores Fecha de implementacion: 01-May-07








L

1.1.4Respuesta del proveedor a consultas, solicitudes de presupuesto y de x Elaborar el manual de Políticas, procesos y procedimientos

ofertas para la calificación de proveedores

Fecha de implementacion: 01-May-07


1.1.5Capacidad del servicio, instalación y apoyo e historial del desempeño en x Elaborar el manual de Políticas, procesos y procedimientos

base a los requisitos; para la calificación de proveedores



1.1.6Capacidad logística del proveedor incluyendo las instalaciones y recursos x Elaborar el manual de Políticas, procesos y procedimientos

para la calificación de proveedores



1.1.7La reputación comercial del proveedor en la sociedad. x Elaborar el manual de Políticas, procesos y procedimientos

para la calificación de proveedores



1.2Contratos debidamente suscritos y legalizados que contengan cláusulas que x Elaborar el manual de Políticas, procesos y procedimientos

detallen entre otros, los niveles mínimos de servicio acordado; las para la calificación de proveedores

penalizaciones por incumplimiento; y, que prevean facilidades para la re- Fecha de implementacion: 01-May-07

visión y seguimiento del servicio prestado, ya sea, por la unidad de auditoría Responsable: Departamento de Organización y Métodos

interna u otra área que la entidad designe, así como, por parte de los audi-

tores externos o de la Superintendencia de Bancos y Seguros; y;

1.3Contar con proveedores alternos que tengan la capacidad de prestar el x Elaborar el manual de Políticas, procesos y procedimientos

servicio para la calificación de proveedores




JB-2005-834 (Emitida por la SBS el 20 de Octubre del 2005)

Documents

Transcript of JB-2005-834 (Emitida por la SBS el 20 de Octubre del 2005)