Zusammenfassung der Ressource
CAPÍTULO V.- NORMA DE CONTROL PARA LA GESTIÓN DEL RIESGO OPERATIVO
- Aplicables a entidades del sector financiero y controladas por Superintendencia de Bancos
- Entidades
controladas
- La posibilidad de que se ocasionen pérdidas por eventos derivados de fallas o
insuficiencias en los factores de:
- -Procesos
-Personas
-Tecnología de la
información
-Eventos externos.
- Riesgo Legal
- Excluye los riesgos
sistemáticos
- Entidades controladas sufran
pérdidas
- Activos en situaciones de vulnerabilidad.
Pasivos puedan verse incrementados.
- Desarrollo de sus operaciones por la incorrecta aplicación de disposiciones
legales, así como de instrucciones de carácter general o particular de los
organismos de control
- Administración del Riesgo
- Permite a las entidades controladas
crear
- Políticas, procesos,
procedimientos
metodologías
- Identificar los riesgos operativos por línea de
negocio
- Tipos de eventos de riesgo
- Fraude interno y externo
- Prácticas laborales y seguridad del ambiente de trabajo
- Prácticas relacionadas con los clientes, los
productos y el negocio
- Daños a los activos físicos
- Fallas en la tecnología de la información
- Deficiencias en el diseño y/o la ejecución de procesos
- Medir el riesgo
- Determinando su probabilidad de ocurrencia e impacto
para la entidad
- Permitiendo al directorio y a la alta gerencia contar
con una visión clara de la exposición al riesgo
operativo
- Control
- Entidades controladas
- Planes de mitigación formalmente establecidos y
validados periódicamente
- Implementación o modificación de límites de
riesgo
- Revisión de términos de pólizas de seguro
contratadas
- Monitoreo
- Indicadores claves de riesgo operativo
- Grado de cumplimiento de los planes de
mitigación
- Matriz y mapas de riesgos
operativos
- Reporte
- Factores de riesgo
operativo
- Minimiza la probabilidad de incurrir pérdidas al riesgo operativo
- Factores
- Procesos
- Procesos
Gobernantes
- Proporcionan directrices y políticas a los
demás
- Procesos
productivos
- Son los procesos de la entidad
- Procesos habilitantes
- Apoyan a los procesos estratégicos y
productivo
- Personas
- Las entidades deben administrar el
capital humano
- Políticas
- Incorporación
- Reclutamiento e
incorporación del
personal
- Permanencia
- Creación de
condiciones
laborales optimas
- Desvinculación
- Planificación de
salida del
personal
- Tecnología de
la
información
- Las entidades controladas deben garantizar
el procesamiento, almacenamiento y
transmisión de la información
- Gestión del riesgo
tecnológico
- Contar con área
tecnológica
- Garantiza el soporte de
operación actuales y futuros
- Establece los procedimientos de
gestión y respaldo de datos
- Eventos externos
- Plan de
continuidad del
negocio
- Las entidades deben contar con plan de
continuidad
- Escenarios de
riesgos
- Estrategias de
continuidad
- Objetivos
- Administración de la continuidad
del negocio
- Deben establecer un proceso de administración continuidad
del negocio que permita
- Planificar
- Mantener
- Mejorar
- Seguridad en canales
electrónicos
- Cumplir con parámetros para evitar eventos
fraudulentos
- Implementar buenas prácticas de seguridad
- Mecanismos para
monitorear periódicamente
- Utilizar técnicas de cifrado
- Contar con software
antimalware
- Renovar por lo menos una vez al año las claves de acceso
- Incorporar el bloqueo de los canales electrónicos cuando se presenten
eventos inusuales.
- Mantener mínimo 12 meses el registro histórico
- Que los clientes puedan reportar emergencias bancarias y funcione
24/7
- Mantener mínimo 12 meses la grabación de
llamadas de los clientes
- Informar y capacitar
permanentemente a los
clientes
- Cajeros
automáticos
- Garantizar la seguridad de
transacciones en cajero
automático.
- Las claves no deben ser almacenadas
- Ejecutar procedimientos de auditoría de
seguridad
- Mecanismos de autentificación en
transacciones.
- Puntos de
venta
- Los establecimientos comerciales confirmen su identidad y
cuenten con la debida autorización
- Establecer comunicaciones inalámbrica y
procesar la información
- Banca
electrónica
- Implementar los algoritmos y protocolos en
páginas web
- Mecanismos para que los clientes no accedan
a páginas web falsas.
- Establecer un tiempo máximo de
inactividad
- Banca
móvil
- Mecanismos para la ejecución de transacciones desde
dispositivos autorizados únicamente
- Disposiciones
generales
- Contratar anualmente compañías de seguro
privado, ante los siguientes riesgos:
- Revelación ilegal de bases de datos
- Interceptación ilegal de datos
- Transferencia electrónica del
activo patrimonial
- Ataque a la integridad a los
sistemas informáticos
- Riesgo legal
- Las entidades
controladas
- Identificarán, medirán,
controlarán, mitigarán y
monitorearán
- Atribuciones formales, y
contarán con el personal
capcitado
- Administración
de proyectos
- Funciones y
responsables
- Políticas, procesos,
procedimientos y metodología
- Metodología acorde a las
mejores prácticas
internacionales
- Acta de constitución,
alcance, costos y
adquisiciones
- RRHH, comunicación,
monitoreo y acta de
cierre
- Repositorio con las
seguridades para
almancenar la
documentación
- Servicios provistos por
terceros
- Implementar un proceso integral para la
administración de proveedores
- Establecer políticas, procesos y
procedimientospara asegurar
la contratación
- Niveles mínimos de calida
- Garantías financieras y técnicas
- Multas y penalizaciones
- Confidencialidad de la
información
- Derechos de propiedad
intelectual
- Administrar los riesgos a los que se exponen al
contratar servicios provistos por terceros
- Establecer políticas, procesos
y procedimientos
- Evaluación experiencia de la empresa,
personal, financiera y capacidad logística
- Contratación de servicios de
infraestructura, plataforma y/o
software
- Informar a la
Superintendencia de
Bancos
- El proveedor de servicios
debe contar con la
certificación ISO 27001
- Seguridad de la información
- Las entidades controladas
deben tener como
referencia la ISO 27000
- Funciones y responsabilidades
- Formar un comité de seguridad
de la información
- Un área independiente y
especializada con peronal
capacitado
- Deben establecer, implementar, operar,
monitorear, mantener y mejorar un
sistema de gestión de seguridad de la
información
- Alcance del sistema
- Políticas, objetivos, procesos,
procedimientos y metodologías
- Inventario de activos de información, con su
clasificación
- Valor, requerimientos legales, sensibilidad y
criticidad para la entidad, propietario,
custodio y ubicación
- La designación de los propietarios de los
activos de información
- Identificación y documentación de los
requerimientos y controles
- Plan de seguridad de la
información
- Información para verificar el
cumplimiento de las políticas,
procesos, procedimientos y
controles
- Monitoreo de
cumplimiento y
efectividad
- Evaluación del
desepeño del sistema
de gestión
- La unidad responsable de la seguridad
de la información debe implementar:
- Procedimientos de
eliminacion de la
informacón crítica
- Medidas para proteger
la información
contenida
- Políticas y controles para
detectar y evitar la
instalación del software no
autorizado