administración del riesgo operacional
DESCRIPTION
Administración Del Riesgo OperacionalTRANSCRIPT
![Page 1: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/1.jpg)
Peace of Mind
El Riesgo Operacional y su apropiada administración.
Continuidad del Negocio - PCN(Business Continuity Management – BCM)
LA GARANTIA DE UN NEGOCIO CONTINUO
Preparado por: Jorge Hernán Jaramillo Ossa
![Page 2: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/2.jpg)
Pág 2
El interés creciente por el manejo del riesgo operacional
Crisis Financieras
Administración del Riesgo operacional -Continuidad integral
de los negocios
CrisisReputacional“Pérdida de Confianza”
ImpactoEconómico
Impacto en la Infraestructura del
mercado
Impacto en Otros Mercados
Globalización
ImpactoSistémico -Colapso del
Mercado
![Page 3: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/3.jpg)
Pág 3
Quienes tienen un interés principal por esta temática ?
Grupo de los 30
RecomendacionesSobre Administración
Del riesgo Operacional
ISSA
Autoridades locales
Asociaciones De la
Industria
Basilea II
IOSCO-CPSS
![Page 4: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/4.jpg)
Pág 4
Estratégico
Operacional
Procesos deSoporte
InternosEstratégicos
Operacionales
Criterios deaceptación
Probabilidad ocurrencia
Efectos/impacto
Aceptar el riesgo
Controlarlo
Transferirlo
Efectividad
Potencialidad
Control
ExternosPolíticos – RegulatoriosAmbientales/naturales
TecnológicosEconómicos/mercado
El Control y mitigación del riesgo operacional
Identifique los Principales Objetivos,
procesos y recursos de
negocio
Identifiquelos
riesgos
Analice yEvalúe
Los riesgos
Determine, diseñe e implemente Medidas de Mitigación y control
Monitoree
y Revise de manera permanente
![Page 5: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/5.jpg)
Pág 5
El proceso de contingencia de negocios
Identifique los Principales Objetivos,
procesos y recursos de
negocio
Desarrolle un Análisis de Impacto de
negocio
Determine las
estrategias y acciones
de continuidad
Implemente las acciones y medidas
de continuidad
Prueba
y Mantenimiento
del plan
Estratégico
Operacional
Procesos deSoporte
Determinación del MAO y continuidadDe procesos críticos
Sistemas alternos y Redundantes, backup
Y recuperación
Reducir la exposición,Impacto y pérdida deRecursos y procesos
Procesos de backup
Administración De los datos
y registros
Acuerdos con Entidades ExternasManejo continuidad
Sistemático
Robusto yplaneado
Recursos yCompromisoClasifique por
importancia
ImpactoOperacional
ImpactoFinanciero
RiesgosOperacionales
Riesgosfinancieros
Gente, infraestructura,Telecomunicaciones,Sist. De Informaciòn
![Page 6: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/6.jpg)
Pág 6
Tipos de planes involucrados en el BCM
Fuente: National Institute of Standards and Technology (NIST) - USA
![Page 7: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/7.jpg)
Pág 7
PCN – No es un documento, es un proceso de negocio
Planificación de Recuperación de
Instalaciones
Business Continuity
Management
Compromiso de la Alta Gerencia
Planificaciónde la Continuidad
del Negocio
Planificacióndel Sitio Alterno
de Trabajo
Planificaciónde Recursos
Humanos
Planificación de la Recuperaciónde la Tecnología
Planificacióndel Manejo
de Crisis
Respuesta a emergencia y restauración de
instalaciones
Restauración de los Procesos críticos
Reubicación del personal Personal Crítico
Restauración de las Aplicaciones
críticas
Administración y Manejo de Crisis
Fuente: Business Continuity Institute (BCI)
![Page 8: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/8.jpg)
Pág 8
Pilares del PCN - BCM
Compromiso de la alta dirección y del mercado
Gerencia de Riesgos y Administración de incidentes
Desarrollo de la estrategia de negocio y reconocimiento de la importancia del Depósito en los procesos del mercado
Disminución del tiempo de recuperación de los procesos críticos de negocio
Capacitación y entrenamiento para asumir la contingenciaInterna y Externa
![Page 9: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/9.jpg)
Pág 9
Mapa de procesos Críticos
CONTINGENCIA
Solicitud deInformación del
Sistema de Saldoso del Sistema de
Referencias
Cliente
Custodia deValores
Análisis deValores
AdministraciónCustodio
Internacional
Ejercicio de Derechos
Patrimonialesy Sociales
Administraciónde Emisiones
Desmaterializadas
Administraciónde Cuentas
para Admón. Valoresy CYL
OperacionesEntrega contra
Pago
Administraciónde hardwarey software
Mantenimiento yActualización del
Sistema de Saldos
Administraciónde la Base de
Datos
01 A
02 B
04 B
05 B
03 B
06 B
07 B
08 B9 B
10 B
11 B
12 B
![Page 10: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/10.jpg)
Pág 10
CONTINGENCIA
SoporteTécnico Telecomunicaciones
Cierre deOperaciones
Administración de Seguridad
de Riesgo Físico
Gastos
Compras Administración de
Activos, Suministrose Instalaciones
Correspondencia
Nómina
13 B
15 B
14 B
16 B
17 B
18 B19 B
20 B
21 B
Auditoría
22 B
Sistemas de Soporte
![Page 11: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/11.jpg)
Pág 11
Metodología PR4
RR ECUPERACIONECUPERACION
RREANUDACIONEANUDACION
RR ESPUESTAESPUESTA
PPREVENCIONREVENCION
RR ESTAURACIONESTAURACION Reparar/Restaurar facilidades y contenidos“Regreso a casa”
Recuperar Todas las Demás Operaciones
Reanudar las Operaciones Sensibles alTiempo en la Localidad Alterna
Manejo de Crisis Contener el DañoActivar Organización de Recuperación
Protección de los Activos CorporativosManejo de riesgos
PR4
![Page 12: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/12.jpg)
Pág 12
El antes, el durante y el después
Prevención
Respuesta
Restauración
ANTES DURANTE DESPUES
PROCESOS
INSTALACIONES
Reanudación
Vuelta a la Normalidad
Recuperación Decisión
MetodologíaPR4
![Page 13: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/13.jpg)
Pág 13
Sitios de respaldo en caso de contingencia total
![Page 14: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/14.jpg)
Pág 14
➜ Permite que el Depósito pueda funcionar humana y tecnológicamente respondiendo por la operatividad del mercado
➜Cuenta con 43 puestos de trabajo para atender las principales operaciones del negocio y a clientes.
➜10 de los cuales están destinados a nuestros clientes en caso de que ellos no puedan realizar sus operaciones en sus instalaciones.
SEDE ALTERNA OPERATIVA - S.A.O.SEDE ALTERNA OPERATIVA - S.A.O.
![Page 15: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/15.jpg)
Pág 15
DATA CENTER – D.C. DATA CENTER – D.C. •Cuenta con la infraestructura para soportar el equipamiento y aplicaciones críticas del Depósito.
•Permite el enrutamiento de los clientes a un centro que cumpla con los elementos de hardware, software, seguridad y telecomunicaciones, enmarcados dentro de los requerimientos tecnológicos y operativos definidos por Deceval.
•Componentes físicos → Seguridad física.→ Sistema anti-incendio.→ Sistema de climatización de ambiente.→ Energía eléctrica.→ Sala de trabajo.→ Desastre natural.→ Mantenimiento y soporte.
![Page 16: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/16.jpg)
Pág 16
Centros de Contingencia
![Page 17: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/17.jpg)
Pág 17
Otras medidas de protección
• Replicación de datos a centro alterno. • Backup de datos almacenado en custodio y centro alterno. • Sistemas críticos redundantes : comunicaciones, seguridad, certificador
digital • Configuración de todos los sistemas críticos guardados en sitio alterno• Documentos principales del negocio guardado en custodio y en centro
alterno. • Replica de todos los principales documentos del negocio : información
principal de clientes, tarjeta de firmas autorizadas, tarjeta de mensajeros• Especificaciones técnicas de seguridad de hardware y software• Manual del plan de contingencia en el centro alterno. • Lista del recursos humano - Direcciones, teléfonos. • Sistemas críticos de operación en sede alterna operativa.
![Page 18: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/18.jpg)
Pág 18
Matriz de Riesgos: Evaluación del Business Impact Analysis - BIA
ESCENARIO DEFALLA O PÉRDIDA
CAUSAS EFECTOS I P R ACCIÓN CONTROL DE RIESGO
EVALUACIÓN DE RIESGOS
Describa el escenario a
analizarDescriba las
causas que puede generar el
escenario de falla Describa los efectos que
derivan de las causas
Describa la acción inmediata a realizar una
vez se presenta el evento
Describa los tipos de controles que
considera para mitigar dicho riesgo
Califique el impacto, la probabilidad y el riesgo de
ocurrencia según las definiciones previamente
dadas.
EVALUACION DEL Business Impact Analysis - BIA
![Page 19: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/19.jpg)
Pág 19
Matriz de Riesgos EVALUACION DEL BIA
Unidad de negocio: Informática - Hardware Fecha: 26-Dic-05
ESCENARIO DEFALLA O PÉRDIDA
CAUSAS EFECTOSP I R ACCIÓN CONTROL DE RIESGO
1. Servidores - Deceval
Error humanoLabor preventiva
Daño físico en componentes
Medio ambiente no adecuado enel centro de cómputoPicos de potencia
Servidores Producción - DañoServidor SUN Deceval_2
Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia
Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / La base de datos de trabajo de uso interno que utiliza el operador queda fuera de línea.
A M B
Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_1, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
Monitoreo diario y laborespreventivas / BackupsActualizados
Servidores Producción - DañoServidor SUN Deceval_1 yDeceval_2
Error humano / Labor preventiva/ Daño Físico en componentes /Medio ambiente no adecuado enel centro de cómputo / Picos depotencia
Se dispara la contingencia y la operación del depósito se debe trasladar al SAO y al Datacenter.
A A A
Activar el sitio contingente (Basede Datos y Forte) / Seredireccionan los clientes al sitede contingencia para que seconecten al servidor contingente,Contactar al proveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
Monitoreo diario y laborespreventivas / BackupsActualizados
Los clientes externos e internos que accesan al SIID por este servidor quedan sin servicio del SIID / El rendimiento del SIID se ve mermado por estar funcionando al 50% de la capacidad
Servidores Producción - Daño Servidor SUN Deceval_1
Verificar estado de la consola yposibles mensajes de error; si elequipo se encuentra fuera deservicio Trasladar todos los servicios decluster y sistema de informacional Deceval_2, Contactar alproveedor, atenderoportunamente las llamadas delos usuarios para realizar loscambios de servidor.
A M M
Monitoreo diario y laborespreventivas / BackupsActualizados
![Page 20: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/20.jpg)
Pág 20
¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?
![Page 21: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/21.jpg)
Pág 21
¿Cuál quiere usted que sea su expresión la próxima vez que ocurra un desastre?
La organización debe estar preparada en los aspectos más importantes:
TECNOLOGIAORGANICE EL GRUPO HUMANO
CAPACITACION IMPLEMENTE LAS ESTRATEGIASPROBAR – PROBAR Y PROBAR
![Page 22: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/22.jpg)
Pág 22
Pruebas del plan de continuidad
➜ Las pruebas del plan de continuidad de negocios con el fin de validar los cuatro grupos de estrategias definidos:
• Estrategias preventivas• Estrategias de recuperación• Estrategias de restauración• Estrategias de manejo de crisis
➜ En la ejecución de un plan de pruebas principalmente se deberá:
• Probar el plan de evacuación.• Probar los sistemas de alerta.• Probar conectividad y telecomunicaciones.• Probar el desempeño de los equipos de respaldo destinados para
atender la contingencia.• Monitorear el porcentaje de uso de los equipos, dispositivos de red y
canales de comunicación.
![Page 23: Administración Del Riesgo Operacional](https://reader034.vdocuments.mx/reader034/viewer/2022042502/5599fdef1a28ab1b098b45f4/html5/thumbnails/23.jpg)
Pág 23
Pruebas del plan de continuidad
• Probar la habilidad de acceder a registros y recursos vitales, sistemas o software para el manejo de datos y equipos.
• Probar el desempeño del sistema en ambiente contingente.• Probar los procesos definidos para atender la contingencia.• Validar tiempos de desplazamiento y por actividad.• Probar los tiempos objetivo de recuperación.• Probar los puntos objetivo de recuperación.• Probar el conocimiento del plan de continuidad de los colaboradores.• Probar otros sistemas como servidores remotos accesador por Internet
“LA META DE PROBAR Y EJERCITAR EL PLAN DE CONTINUIDAD DE NEGOCIO NO ES ENCONTRAR SI FUNCIONA, SI NO DEMOSTRAR QUE ESTAMOS PREPARADOS PARA LAS
CONTINGENCIAS TOTALES O PARCIALES.”
RECUERDA QUE EL RECURSO HUMANO ES MUY IMPORTANTE