CAPÍTULO V.- NORMA DE CONTROL PARA LA GESTIÓN DEL RIESGO OPERATIVO

Aplicables a entidades del sector financiero y controladas por Superintendencia de Bancos
1. Entidades controladas
2. La posibilidad de que se ocasionen pérdidas por eventos derivados de fallas o insuficiencias en los factores de:
  1. -Procesos -Personas -Tecnología de la información -Eventos externos.
  2. Riesgo Legal
    1. Excluye los riesgos sistemáticos
    2. Entidades controladas sufran pérdidas
      1. Activos en situaciones de vulnerabilidad. Pasivos puedan verse incrementados.
      2. Desarrollo de sus operaciones por la incorrecta aplicación de disposiciones legales, así como de instrucciones de carácter general o particular de los organismos de control
  3. Administración del Riesgo
    1. Permite a las entidades controladas crear
      1. Políticas, procesos, procedimientos metodologías
        Identificar los riesgos operativos por línea de negocio
        Tipos de eventos de riesgo
        Fraude interno y externo
        Prácticas laborales y seguridad del ambiente de trabajo
        Prácticas relacionadas con los clientes, los productos y el negocio
        Daños a los activos físicos
        Fallas en la tecnología de la información
        Deficiencias en el diseño y/o la ejecución de procesos
        Medir el riesgo
        Determinando su probabilidad de ocurrencia e impacto para la entidad
        Permitiendo al directorio y a la alta gerencia contar con una visión clara de la exposición al riesgo operativo
        Control
        Entidades controladas
        Planes de mitigación formalmente establecidos y validados periódicamente
        Implementación o modificación de límites de riesgo
        Revisión de términos de pólizas de seguro contratadas
        Monitoreo
        Indicadores claves de riesgo operativo
        Grado de cumplimiento de los planes de mitigación
        Matriz y mapas de riesgos operativos
        Reporte
Factores de riesgo operativo
1. Minimiza la probabilidad de incurrir pérdidas al riesgo operativo
  1. Factores
    1. Procesos
      1. Procesos Gobernantes
        Proporcionan directrices y políticas a los demás
      2. Procesos productivos
        Son los procesos de la entidad
      3. Procesos habilitantes
        Apoyan a los procesos estratégicos y productivo
    2. Personas
      1. Las entidades deben administrar el capital humano
        Políticas
        Incorporación
        Reclutamiento e incorporación del personal
        Permanencia
        Creación de condiciones laborales optimas
        Desvinculación
        Planificación de salida del personal
    3. Tecnología de la información
      1. Las entidades controladas deben garantizar el procesamiento, almacenamiento y transmisión de la información
        Gestión del riesgo tecnológico
        Contar con área tecnológica
        Garantiza el soporte de operación actuales y futuros
        Establece los procedimientos de gestión y respaldo de datos
    4. Eventos externos
      1. Plan de continuidad del negocio
        Las entidades deben contar con plan de continuidad
        Escenarios de riesgos
        Estrategias de continuidad
        Objetivos
      2. Administración de la continuidad del negocio
        Deben establecer un proceso de administración continuidad del negocio que permita
        Planificar
        Mantener
        Mejorar
Seguridad en canales electrónicos
1. Cumplir con parámetros para evitar eventos fraudulentos
  1. Implementar buenas prácticas de seguridad
  2. Mecanismos para monitorear periódicamente
  3. Utilizar técnicas de cifrado
  4. Contar con software antimalware
  5. Renovar por lo menos una vez al año las claves de acceso
  6. Incorporar el bloqueo de los canales electrónicos cuando se presenten eventos inusuales.
  7. Mantener mínimo 12 meses el registro histórico
  8. Que los clientes puedan reportar emergencias bancarias y funcione 24/7
  9. Mantener mínimo 12 meses la grabación de llamadas de los clientes
  10. Informar y capacitar permanentemente a los clientes
2. Cajeros automáticos
  1. Garantizar la seguridad de transacciones en cajero automático.
    1. Las claves no deben ser almacenadas
    2. Ejecutar procedimientos de auditoría de seguridad
    3. Mecanismos de autentificación en transacciones.
3. Puntos de venta
  1. Los establecimientos comerciales confirmen su identidad y cuenten con la debida autorización
  2. Establecer comunicaciones inalámbrica y procesar la información
4. Banca electrónica
  1. Implementar los algoritmos y protocolos en páginas web
  2. Mecanismos para que los clientes no accedan a páginas web falsas.
  3. Establecer un tiempo máximo de inactividad
5. Banca móvil
  1. Mecanismos para la ejecución de transacciones desde dispositivos autorizados únicamente
6. Disposiciones generales
  1. Contratar anualmente compañías de seguro privado, ante los siguientes riesgos:
    1. Revelación ilegal de bases de datos
    2. Interceptación ilegal de datos
    3. Transferencia electrónica del activo patrimonial
    4. Ataque a la integridad a los sistemas informáticos
Riesgo legal
1. Las entidades controladas
  1. Identificarán, medirán, controlarán, mitigarán y monitorearán
  2. Atribuciones formales, y contarán con el personal capcitado
Administración de proyectos
1. Funciones y responsables
  1. Políticas, procesos, procedimientos y metodología
2. Metodología acorde a las mejores prácticas internacionales
  1. Acta de constitución, alcance, costos y adquisiciones
  2. RRHH, comunicación, monitoreo y acta de cierre
3. Repositorio con las seguridades para almancenar la documentación
Servicios provistos por terceros
1. Implementar un proceso integral para la administración de proveedores
  1. Establecer políticas, procesos y procedimientospara asegurar la contratación
    1. Niveles mínimos de calida
    2. Garantías financieras y técnicas
    3. Multas y penalizaciones
    4. Confidencialidad de la información
    5. Derechos de propiedad intelectual
  2. Administrar los riesgos a los que se exponen al contratar servicios provistos por terceros
  3. Establecer políticas, procesos y procedimientos
    1. Evaluación experiencia de la empresa, personal, financiera y capacidad logística
  4. Contratación de servicios de infraestructura, plataforma y/o software
    1. Informar a la Superintendencia de Bancos
    2. El proveedor de servicios debe contar con la certificación ISO 27001
Seguridad de la información
1. Las entidades controladas deben tener como referencia la ISO 27000
  1. Funciones y responsabilidades
  2. Formar un comité de seguridad de la información
  3. Un área independiente y especializada con peronal capacitado
2. Deben establecer, implementar, operar, monitorear, mantener y mejorar un sistema de gestión de seguridad de la información
  1. Alcance del sistema
  2. Políticas, objetivos, procesos, procedimientos y metodologías
  3. Inventario de activos de información, con su clasificación
    1. Valor, requerimientos legales, sensibilidad y criticidad para la entidad, propietario, custodio y ubicación
  4. La designación de los propietarios de los activos de información
  5. Identificación y documentación de los requerimientos y controles
  6. Plan de seguridad de la información
  7. Información para verificar el cumplimiento de las políticas, procesos, procedimientos y controles
  8. Monitoreo de cumplimiento y efectividad
  9. Evaluación del desepeño del sistema de gestión
  10. La unidad responsable de la seguridad de la información debe implementar:
    1. Procedimientos de eliminacion de la informacón crítica
    2. Medidas para proteger la información contenida
    3. Políticas y controles para detectar y evitar la instalación del software no autorizado

Next up

CAPÍTULO V.- NORMA DE CONTROL PARA LA GESTIÓN DEL RIESGO OPERATIVO

Description

Resource summary

Similar

	Created by RAMIREZ CAMPOVERDE KATHERINE ESTEFANIA about 4 years ago