pablo a. malagón t.52.0.140.184/typo43/fileadmin/base_de_conocimiento/... · desventajas se puede...

50
Pablo A. Malagón T. Pablo A. Malagón T. [email protected]

Upload: others

Post on 16-Mar-2020

0 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Pablo A. Malagón [email protected]

Page 2: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

AAGENDAGENDA

ETAPA 1ETAPA 1

Proyecto Seguridad InformáticaProyecto Seguridad Informática

�Diseño: Fases I, II

�Implementación: Fases III, IV

ETAPA 2ETAPA 2

El Riesgo Operativo como herramienta El Riesgo Operativo como herramienta estratégicaestratégica

�Administración del Riesgo

�RO a Nivel Internacional

�RO en Colombia

Page 3: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Plan estratégico con proyección de 4 años Plan estratégico con proyección de 4 años

Definición y AlcanceDefinición y AlcanceETAPA 1ETAPA 1

�Obliga hacer el ejercicio a largo plazo

�En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos

Ventajas

Desventajas

�Se puede quedar corto el presupuesto y alcance por la evolución de la TI

�Cotizar herramientas que no se requieran en un futuro o varié la funcionalidad

�Cambios del personal gerencial y administrativo

Page 4: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

RED DE DATOSRED DE DATOS

CONVENCIONES

F.O OC12F.O OC3UTP FE

Antecedente (1)Antecedente (1)

12x1x

S witch3000

green= enabled, l ink O KFlashing green= disabled, l ink O K

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STAT US MO DULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

12x1x

S witch3000

green= enabled, link OKFlashing green= disabled, link OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STAT US MO DULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

12x1x

S witch3000

green= enabled, l ink OKFlashing green= disabled, l ink OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STATUS MO DULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

12x1x

S witch3000

green= enabled, l ink OKFlashing green= disabled, l ink OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STATUS MO DULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

12x1x

S witch3000

green= enabled, l ink OKFlashing green= disabled, l ink OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

S TA T U S MO D U LE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

Switch 3300

DOWNLINK

Switch 3300

DOWNLINK

Switch 3300

DOWNLINK

Switch 3300

DOWNLINK

Switch 3300

DOWNLINK

HUB 24P.

HUB 24P.HUB 24P.HUB 24P.

HUB 12P.HUB 24P.HUB 24P.HUB 24P.

HUB 24P.HUB 24P.HUB 24P.

HUB 8P.HUB 24P.HUB 24P.HUB 12P

P1

P2

P3

P4

P5

SWITCH 12P.SWITCH 24P.

SWITCH 24P.

SWITCH 24P.

SWITCH 12P.SWITCH 24P.

SWITCH 12P.SWITCH 24P.

SWITCH 12P.

Switch core ATM 6P. FIBRA OPTICA

Consola

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Page 5: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Antecedente (2)Antecedente (2)

RouterRouterFirewallFirewall

Red local 1Red local 1

Red local 2Red local 2

Servidor Servidor

Usuario Remoto Usuario Remoto Usuarios RemotosUsuarios Remotos

RDSI y RTPCRDSI y RTPCSwitchSwitch ATMATM

RASRAS

HUB HUB

12x1x

Switch3000

green= enabled, link OKFlashing green= disabled, link OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STATUS MODULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

SWITCHSWITCH

RDSI: Red Digital de Servicios IntegradaRDSI: Red Digital de Servicios IntegradaRTPC: Red Telefónica Publica ConmutadaRTPC: Red Telefónica Publica ConmutadaATM: Modo de Transferencia Asíncrono ATM: Modo de Transferencia Asíncrono

Servidor WEBServidor WEB

InternetInternet

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Page 6: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Fase I Fase I

•Diagnostico y diseño del modelo de seguridad de la infraestructura garantizando la funcionalidad de los servicios que tiene la organización.

•Definición de las políticas organizacionales entorno a la seguridad

•Adquirir herramientas básicas de seguridad informática y capacitación en las mismas.

•Identificar y corregir vulnerabilidades (Hardening) de sistemas operaciones de red

•Diagnostico y definición de los respaldos y la recuperación de la información .

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 7: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

•Contratos de servicios y conexiones con terceros.

•Diagnostico de las practicas en el desarrollo y mantenimiento de sistemas de información.

•Conservar el personal especializado

•Las herramientas adquiridas queden en total funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido.

•Que este alineado con el estándar de seguridad Internacional – ISO 17799

Fase I Fase I

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 8: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

RouterDel ISP

Firewall

ApplianceAntivirus

Red local 1

Red local 2

Servidor Usuarios RDSIRDSI y RTPCSwitch ATM

RAS FIREWALL

HUB

SWITCH

FirewallCorreoExterno

DMZ

Usuarios Remotos

ReplicaUsuarios RDSI

Servidor WEB

IDSSin enrutamientoS.O. Hardening

Usuario InternoRemoto

Fase I Fase I

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

12x1x

Switch3000

green= enabled, link OKFlashing green= disabled, link OK

off = link OK fail

Packet

Status

1 2 3 4 5 6

7

1 2 3 4 5 6

7

8 9 10 11 12

8 9 10 11 12

STATUS MODULE

Status

Packet Packet

Status

Power

MGMT

SuperStack II Switch 3000

R

Page 9: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Servidor WEBRouter

del ISP

Firewall

Antivirus

Usuarios

Remotos

RDSI y RTPC

RAS FIREWALL

Firewall

CorreoExterno

DMZ

Usuarios

Remotos

VLAN 2

Switch Giga

VLAN 1

IDS

RDSI y RTPC

Usuarios InternosRemotos

Antecedente Antecedente Fase II Fase II

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 10: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Certificados digitalesCertificados digitales

• Modulo de verificación de firmas para la comunicación entre la organización y los usuarios remotos

• Certificado de Servidor Seguro

• Capacitación

Fase II (A)Fase II (A)

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 11: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

UtilizaciUtilizacióón del Certificado n del Certificado Digital: Firma DigitalDigital: Firma Digital

CertificadoCertificado

Mensaje de Mensaje de DatosDatos

Firma DigitalFirma Digital Parte Parte ConfianteConfiante

OkOk!!

Fase II (A)Fase II (A)

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 12: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Fase II (A)Fase II (A)

Servidor Servidor WEBWEB

RouterRouterDel ISPDel ISP

FirewallFirewall

AntivirusAntivirus

Directorio Directorio Usuarios RemotosUsuarios Remotos

RDSI y RTPCRDSI y RTPC

RAS FIREWALLRAS FIREWALL

FirewallFirewallCorreoCorreo ExternoExterno

DMZDMZ

UsuarioUsuarioRemotoRemoto

VLAN 2VLAN 2

VLAN 1VLAN 1

IDSIDS

RDSI y RTPCRDSI y RTPC

ComunicacionesComunicaciones

EntidadEntidadCertificadora Certificadora

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Certificados DigitalesCertificados Digitales

Page 13: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Fase II (B)Fase II (B)

•Mapas de Procesos ••Matriz de RiesgosMatriz de Riesgos

•BIA (Análisis de impacto del negocio)

•Plan de acciones

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

�� DiagnDiagnóóstico de la Situacistico de la Situacióón Actualn Actual

�� DefiniciDefinicióón de requerimientos para el retorno a n de requerimientos para el retorno a la normalidad de las operacionesla normalidad de las operaciones

�� Estrategias de RecuperaciEstrategias de Recuperacióón de Contingencias n de Contingencias de TIde TI. P. Probar, capacitar y ejercitar el plan.robar, capacitar y ejercitar el plan.

Plan de Contingencia Plan de Contingencia

Page 14: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Esquema de Contingencia Esquema de Contingencia

Servidor WEBRouterDel ISP

Firewall

Antivirus /Anti spam

RAS FIREWALL

Firewall

Correo externoVLAN DMZ

Usuario Remoto

RDSI y RTPC

Comunicaciones

VLAN INTERNET

Carrier

PSTN

1

2

30

Usuarios RemotosSwitch

Router Sitio Alterno

RAS

1 2

1

2

5

Puestos de trabajo

Sistema critico 1

Sistema critico 2

Sistema critico 3

IPS

1

2

3

3

1

3

2

EntidadCertificadora

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Usuarios RDSI

VLAN 2

VLAN 1

Page 15: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Adquisición de Herramientas Adquisición de Herramientas

Fase III Fase III

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

•Control de contenido y direcciones de Internet

•Proxy

•Autenticación fuerte de usuarios Internos

�Certificados Digitales�Token

•Firewalls personales

Page 16: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Servidor WEB

Routerdel ISP

Firewall

Antivirus /Antispam

Usuarios RemotosI

RAS FIREWALL

Firewall

CorreoExterno

VLAN DMZ

UsuariosRemotos

VLAN 2

VLAN 1

RDSI y RTPC

Comunicaciones

ServidorControl de URL /

Proxy

Servidor de Certificados

DigitalesUsuario Interno Remoto•Desktop Firewall,•Certificado Digital •Token

Certificado ente externo

Certificado Interno

Documento con Firma Electrónica

IPSFirewall

VLAN INTERNET

Fase III Fase III

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1

Page 17: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Proyecto Seguridad InformáticaProyecto Seguridad Informática

2

1

3

4

5

1 2 3 4 5Vulnerabilidad Explotar Arreglo

(Patch / Hardening)Aplicar Retorno

Normalidad

Riesgo

Tiempo

Fase IV Fase IV ETAPA 1ETAPA 1

Sistema dePrevención

Administrador de Vulnerabilidades

Page 18: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Fase IV Fase IV

Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

Proyecto Seguridad InformáticaProyecto Seguridad Informática

• Descubrir en línea dispositivos y realizar el mapa de manera automática de la infraestructura tecnológica

•Priorizar activos de acuerdo con el nivel de seguridad requerido.

• Verificar las vulnerabilidades de las plataformas y determinar el nivel de exposición al riesgo

•Facilitar la protección de los activos críticos, de acuerdo con los requerimientos y políticas del negocio.

ETAPA 1ETAPA 1

Page 19: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

•Asignar, controlar y validar la remediación de forma autónoma.

•Capacitar en la configuración, administración y mantenimiento de la solución

•Acompañar la remediación con personal experto

ETAPA 1ETAPA 1 Fase IV Fase IV

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Page 20: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

•Fase de aprendizaje, se analiza por aplicación •Identificación de los servicios a cerrar, entre más bloqueos más latencia •Modo oculto, no muestra una dirección IP y tampoco una MAC.

Proyecto Seguridad InformáticaProyecto Seguridad Informática

ETAPA 1ETAPA 1 Fase IV Fase IV

SoluciónSolución

Page 21: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Fase IVFase IV

ResultadosResultados: :

•Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa)

•Criticidad por importancia del activo

•Gestión mediante tikes

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Solución para mitigar el RiesgoSolución para mitigar el Riesgo

ETAPA 1ETAPA 1

Remediación

Page 22: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

•Reducir y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas

•Focalizándose en los activos más importante

•Tomando medidas para dar continuidad a la organización

•Definiendo responsables de los sistemas de información

•Midiendo el progreso o evolución del riesgo de la infraestructura tecnológica

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

ETAPA 1ETAPA 1 Fase IV Fase IV

Page 23: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

•Identificación proactiva de las nuevas amenazas sobre los activos críticos

•Técnicamente mediante:

• Patch y/o actualización de S.O. y aplicaciones comerciales.

� Antivirus� Software de automatización de oficina � Bases de datos � Correo electrónico

• Identificando software no autorizado o necesario

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

ETAPA 1ETAPA 1 Fase IV Fase IV

Page 24: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Preparación del recurso humanoPreparación del recurso humano

•• Herramientas de seguridadHerramientas de seguridad

•• Sensibilización Sensibilización –– ConcientizaciónConcientización

1. Definición de Políticas de seguridad

2. Difusión – Audiencia acorde a su interés

3. Segmentación de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnología.

a. Administradores de TI b. Gerencia y “Gobierno

Corporativo”c. Funcionarios generales

•• Metodologías y Normas:Metodologías y Normas:

1. ISO 9001:20002. ISO 17799 3. Cobit4.4. NTC 5254NTC 52545. ISO 27001

Fase I a IVFase I a IVETAPA 1ETAPA 1

Proyecto Seguridad InformáticaProyecto Seguridad Informática

Page 25: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

El Riesgo Operativo se define como:

“El riesgo de pérdida debido a la inadecuación o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el estratégico y el de reputación.”

Administración del Riesgo

• Identificar el riesgo operacional implícito, en todos los productos, actividades, procesos y sistemas

• Política, procesos y procedimientos para la mitigación de RO • Planes de contingencia y continuidad del negocio

BASILEA IIBASILEA II

Se puede administrar?Se puede administrar?

Page 26: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Administración corporativa Administración corporativa del riesgo (ERM)del riesgo (ERM)

Conceptos fundamentales :

Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Rie sgo

ETAPA 2ETAPA 2

• Es un proceso

• Efectuado por personas

• Aplicado en la definición de la estrategia

• A través de toda la organización

• Identifica los eventos que potencialmente

pueden afectar a la entidad

• Proveer seguridad razonable a la

administración y a la junta directiva

• Orientado al logro de los objetivos

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 27: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Establecer el contexto

Identificar riesgos

Analizar riesgos

Evaluar riesgos

Tratar los riesgos

Mon

itore

o y

revi

sión

Com

unic

ar y

con

sulta

r

Aceptar riesgos

No

Si

ETAPA 2ETAPA 2

Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

ADMINISTRAR EL RIESGOSADMINISTRAR EL RIESGOS

Page 28: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Probabilidad Impacto

Nivel de riesgo

ETAPA 2ETAPA 2

ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS

Improbable2

Posible3

Casi Seguro5

Probable4

Raro1

RangoNivel

Menor2

Moderado3

Catastrofico5

Mayor4

Insignificante1

RangoNivel

MEDIO

BAJO

ALTO

EXTREMO

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 29: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Probabilidad Impacto

Nivel de riesgo

Representa la posibilidad de ocurrencia de un evento

Consecuencia que puede ocasionar en la organización la materialización de un riesgo

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS

Page 30: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

• Elimina

• Reduce o Mitiga

• Acepta

• Traslada

ETAPA 2ETAPA 2

TRATAMIENTO DEL RIESGOSTRATAMIENTO DEL RIESGOS

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 31: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

•Herramienta metodológica para

realizar un inventario de los riesgos de

una manera sistemática y ordenada.

•Representación o descripción de los aspectos considerados en la valoración y

tratamiento de los riesgos.

•Medio para reportar los riesgos a

múltiples niveles (organizacional,

proceso o función)

ETAPA 2ETAPA 2

MAPA DE RIESGOSMAPA DE RIESGOS

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 32: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

• Soportar la metodología de

administración de riesgos.

• Documentar las fases del proceso

de administración de riesgos.

• Comunicar los resultados del

proceso.

ETAPA 2ETAPA 2

MAPA DE RIESGOSMAPA DE RIESGOS

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 33: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

RIESGO DESCRIPCION POSIBLES CONSECUENCIAS

1. Identificación de riesgos

2. Identificación, valoración y tratamiento de ries gos

RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE

NIVEL DE RIESGO

ACCIONES RESPONSABLES CRONOGRAMA INDICADOR

Guía Administración del Riesgo - DAFP

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

MAPA DE RIESGOSMAPA DE RIESGOS

Page 34: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

3. Identificación, valoración y tratamiento de ries gos

Manual del Usuario – Software Methodware

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

MAPA DE RIESGOSMAPA DE RIESGOS

Page 35: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

RO a Nivel InternacionalRO a Nivel Internacional

ECUADORMEXICO PERU

Según la Superintendencia de Banca, Seguros y AFP:

“Las empresas deben administrar adecuadamente los riesgos de operación que enfrentan. Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

Según la Superintendencia de Bancos y Seguros (ECUADOR):

La posibilidad de que se ocasionen pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. Incluye el riesgo legal.

Según la Comisión Nacional Bancaria y de Valores:

“(…) como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información , así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnológico y al riesgo legal, en el entendido que:

El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software ,sistemas, aplicaciones, redesy cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 36: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

ECUADORMEXICO PERU

Según la Superintendencia de Banca, Seguros y AFP:

Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros.”

Según la Superintendencia de Bancos y Seguros (ECUADOR):

Riesgo legal: Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal surge también de incumplimientos de las leyes o normas aplicables.

Según la Comisión Nacional Bancaria y de Valores:

El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo.”

ETAPA 2ETAPA 2

RO a Nivel InternacionalRO a Nivel Internacional

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 37: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

ECUADOR

1.Objetivo : Impulsar la cultura de la administración de riesgos

2. Parte de una serie de Definiciones

3. Responsabilidad del Consejo y del Director General

4. Comité de Riesgo y Unidad parala administración integral de riesgos

5. Manuales para la administraciónIntegral de Riesgos

6. Requerimientos de información, Supervisión

7. La auditoría interna

MEXICO PERU1.Objetivo : Propender a que las empresas supervisadas cuenten con un sistema de control

2. Parte de una serie de definiciones

3. Responsabilidad del Directorio y la Gerencia

4. Unidad de Riesgos:

5. Creación de Manuales: de Organización y Funciones, de Políticas y Procedimientos, de Control de Riesgos.

6. Requerimientos de información

7. Auditoría interna y externa

1.Objetivo : Propender a que las instituciones del sistema financiero cuenten con un sistema de administración del riesgo operativo

2. Parte de unas definiciones

3. Responsabilidades en la Administración del R.O.Directorio u Organismo que haga sus veces

4. Comité de Administración Integral de Riesgos y Unidad de Riesgos

5. Procesos y Códigos de Conducta

6. Reportes

7. Sistema de control interno

ETAPA 2ETAPA 2

RO a Nivel InternacionalRO a Nivel Internacional

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 38: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

ECUADORPERUAspectos que Originan R.O:

Procesos Internos: Riesgos asociados a:-Fallas modelos utilizados-Errores en transacciones-Evaluación inadecuada de contratos-Errores información contable-Inadecuada compensación, liquidación o pago-Insuficiencia recursos para el volumen de operaciones-Inadecuada documentación de transacciones-Incumplimiento de plazos y costos planeados.

Tecnología de Información:Minimizar posibilidad de pérdidas financieras por uso inadecuado de sistemas informáticos y tecnologías que afectan operaciones y servicios de la empresa:

•Fallas en la seguridad y continuidad operativa de los sistemas informáticos•Errores en el desarrollo e implementación de los mismos.•Problemas calidad de información•Inadecuada inversión de tecnología•Fallas adecuación objetivo del negocio.

Personas: Eventos Externos:

•Inadecuada capacitación -Contingencias legales•Negligencia -Fallas en los servicios públicos•Error Humano -Ocurrencia en los desastres•Sabotaje naturales•Fraude, robo -Atentados y actos delictivos•Apropiación información sensible -Fallas en servicios críticos •Similares provistos por terceros.

Identificación Eventos que Originan RO:

Las entidades deberán identificar por línea de negocio, los eventos de RO, agrupados por tipo de evento, así:-Fraude interno-Fraude externo-Prácticas laborales y seguridad del ambiente de trabajo.-Prácticas relacionadas con los clientes, los productos y el negocio.-Daños a los activos físicos.-interrupción del negocio por fallas en la tecnología de información.-Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.

Los eventos de RO y las fallas e insuficiencias serán identificados con los factores de riesgo a través de una metodología formal, debidamente documentada y aprobada, la cual puede incorporar utilización de herramientas como :

Auto evaluación, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc.

Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si:

El riesgo se asume, se comparte, se evita, o se transfiere. Con el propósito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar límites de riesgo, etc.

ETAPA 2ETAPA 2

RO a Nivel InternacionalRO a Nivel Internacional

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 39: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

ETAPA 2ETAPA 2

Que de acuerdo con el artículo 325, numeral 2, parágrafo 1º del Estatuto Orgánico del Sistema Financiero, podrán ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crédito o de débito, así como las que administren sistemas de pago y compensación

El riesgo operativo es: “El riesgo de errores humanos o de falla en los equipos, los programas de computación o los sistemas y canales de comunicación que se requieran para el adecuado y continuo funcionamiento de un sistema de pago”.

La misma disposición definió el riesgo legal así: “ Riesgo de que un participante incumpla definitivamente con la obligación resultante de la compensación y/o liquidación a su cargo por causas imputables a debilidades o vacíos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos últimos”.

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 40: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Articulo 4º:

a) Criterios de acceso. Tales criterios deberán ser objetivos y basarse en adecuadas consideraciones de prevención y mitigación de los riesgos a que se refiere el literal c) del presente artículo;

c) Reglas y procedimientos con que contará la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crédito, legal, liquidez, operativo, sistémico, y de lavado de activos; Decreto 1400 de 2005

Ministerio de Hacienda y Crédito Público

ETAPA 2ETAPA 2

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 41: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Artículo 5°.

h) El deber de los participantes de contar con planes de contingencia y de seguridad informática, para garantizar la continuidad de su operación en el Sistema de Pago de Bajo Valor;

o) El manejo de la confidencialidad y la provisión de información a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la información y prevenir su modificación, daño o pérdida;

Publíquese y cúmplase, dado en Bogotá, D. C., 4 de mayo de 2005. ÁLVARO URIBE VÉLEZ

Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público

ETAPA 2ETAPA 2

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Page 42: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

2. Medición, Evaluación y limitación de Riesgos

En la evaluación de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operación, De información financiera y contable y De manejo del cambio) y limites, igualmente ante los cambioseconómicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administración también debe establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO.

Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Page 43: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

2. Medición, Evaluación y limitación de Riesgos

Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.

Cambio en el ambiente de operación Personal NuevoSistemas nuevos o reconstruidos Tecnología nuevaLínea, productos y actividades nuevasReestructuración corporativa y Operaciones en el exterior

Las entidades deben identificar los cambios que se deban realizar o que ocurrirán, de tal forma que le permitan a la administración anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos.

ETAPA 2ETAPA 2

Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Page 44: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

3. Control de Actividades

El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades.

Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinación y prevención de los riesgos (Potenciales o reales) en beneficio de la entidad

ETAPA 2ETAPA 2

Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Page 45: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

4. Monitoreo

Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automáticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeño del sistema, pues ello equivale a una actividad de supervisión y administración. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones

ETAPA 2ETAPA 2

Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Page 46: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

• RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijación de límites para la toma de riesgos en dichas actividades y el adoptar las medidas

• REQUISITOS Y CARACTERÍSTICAS DE LA GESTIÓN DE RIESGOS: Deben existir estrategias, políticas y mecanismos de medición y control para los riesgos de crédito y/o contraparte, mercado, liquidez, operacionales y legales.

• RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los niveles de riesgo y el desempeño del área de tesorería. De manera inmediata si se presentan violaciones importantes o sistemáticas a las políticas y límites internos

• REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automático de medición y control de los riesgos inherentes al negocio de tesorería

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Page 47: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Riesgo Operacional:

c) Los equipos computacionales y las aplicaciones informáticas empleadas, tanto en la negociación como en las actividades de control y la función operacional de las tesorerías, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorería.

f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociación o de una falla en los sistemas automáticos utilizados por el Middle Office y el Back Office.

g)Exista un plan de contingencia en la entidad que indique qué hacer en caso de que se aumenten las exposiciones por encima de los límites establecidos a cualquier tipo de riesgo.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

• CARACTERÍSTICAS MÍNIMAS DE LOS ANÁLISIS POR TIPO DE RIESGO

Page 48: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

Riesgo Operacional:

h) Los parámetros utilizados en las aplicaciones informáticas de medición y control de riesgos estén dentro de los rangos de mercado y sean revisados periódicamente, al menos de forma mensual.

Riesgo legal

Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las políticas y estándares de la entidad. Los términos establecidos en los contratos deben encontrarse adecuadamente documentados.

La participación en nuevos mercados o productos debe contar con el visto bueno del área jurídica, en lo que respecta a los contratos empleados y el régimen de inversiones y operaciones aplicable a cada entidad.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

Page 49: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.

• POLÍTICAS DE PERSONAL

a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditoría de las operaciones de tesorería tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados.

b. En particular, el personal del área de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las técnicas de valoración y de medición de riesgos, asícomo un buen manejo tecnológico.

c. Las políticas de remuneración del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading.

ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

Page 50: Pablo A. Malagón T.52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/... · Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas

Pablo A. Malagón T.