- Anualmente, el área de Auditoría interna realizará, al menos, parcialmente de la gestión de la continuidad del negocio.
- El ciclo de revisión de toda la gestión de la continuidad del negocio es de 03 años como mínimo. En dicho periodo se revisarán la totalidad de aspectos relacionados a la gestión.
- La revisión de la efectividad de los controles asociados a riesgos que podrían causar la interrupción de procesos serán ejecutados por al área de Auditoría Interna. Los resultados de dicha revisión serán alcanzados al Departamento de Riesgo Operacional de la Caja.
- Anualmente, se desarrollará un Plan de Trabajo de Auditoría de Continuidad del Negocio que incluya el alcance para la revisión del periodo.
6.8.2. Plan de auditoría
Para la revisión de auditoría interna se propone la siguiente Plan de revisión de Auditoría que contiene una serie de preguntas que direccionarán las revisiones a realizar.
Tabla N° 49: Propuesta de guía de auditoría
Aspecto Sustento
Políticas de continuidad del negocio
1. ¿Cuenta con políticas de Continuidad del negocio aprobadas por el Directorio?
- Políticas de continuidad del negocio
- Actas de Directorio donde se aprueben las políticas de continuidad del negocio vigentes. 2. ¿El Directorio asigna recursos
(presupuesto: personas, capacitación, equipos, sistemas, etc.) para una adecuada gestión de continuidad del negocio?
- Presupuesto anual para la gestión de continuidad del negocio y evidencia de su ejecución.
Aspecto Sustento 3. ¿El Directorio está al tanto de las
actividades relacionadas a la gestión de la continuidad, incluidas las observaciones de Auditoría Interna, Externa y reguladores?
- Actas del Directorio donde se evidencie que se informa sobre la gestión y no conformidades, y en base a ello se toman decisiones.
4. ¿Se han definido políticas asociadas a la información que será compartida con el Directorio y la periodicidad en la que se realizará?
- Políticas asociadas a la información compartida con el Directorio y su periodicidad.
5. ¿Se han definido formalmente cada una de las responsabilidades para la gestión de continuidad del negocio?
- Manual de organización y funciones.
6. ¿La gestión de continuidad del negocio ha sido desplegada en toda la organización?
- Listado de líderes de continuidad del negocio
7. ¿El área especializada cuenta con un plan de trabajo anual formalmente aprobado y este es ejecutado?
- Plan de trabajo anual para la continuidad del negocio y evidencia de su ejecución. 8. ¿Se han definido políticas para
evaluar la gestión de la continuidad del negocio de proveedores de subcontratación significativa6?¿Se ha ejecutado esta política?
- Política de revisión de continuidad de negocios de proveedores y evidencia de su ejecución.
Entendimiento de la organización
9. ¿La empresa cuenta con una metodología para ejecutar un análisis de impacto del negocio? ¿es ejecutada periódicamente?
- Metodología BIA
- Análisis de impacto del negocio, con procesos críticos, RTO y MTPD. Recursos y personal críticos identificados.
6 Según el Artículo N° 36 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado
mediante Resolución S.B.S. Nº 272-2017, Se entiende por significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa.
Aspecto Sustento 10. ¿La empresa cuenta con una
metodología para ejecutar la evaluación de riesgos de interrupción en la organización? ¿es ejecutada periódicamente?
1.
- Metodología RA.
- Resultados de la evaluación de riesgos de interrupción.
Desarrollo e implementación de la estrategia de continuidad
11. ¿La Caja ha desarrollado un plan de gestión de crisis? Dicho plan incluye: contar con un Comité de Crisis, roles y mecanismos de comunicación en crisis, implementación de un centro de comando principal y alternos
- Plan de gestión de crisis (incluye esquema de comunicación en crisis)
12. ¿La empresa cuenta con planes de continuidad del negocio para la recuperación de sus procesos críticos? Estos planes incluyen los recursos y sitios alternos de negocio necesarios para la reanudación de los procesos de negocio.
- Planes de continuidad del negocio de procesos críticos.
13. ¿Se ha implementado un plan de recuperación de servicios de tecnología? Dicho plan incluye el contar con un centro de procesamiento de datos alterno.
- Planes de recuperación de servicios de TI (DRP)
- Procedimientos detallados para la activación del centro de procesamiento de datos alterno.
14. ¿Se han implementado planes de emergencia en todas las sedes, agencias y oficinas de la caja?
- Planes de emergencia implementados para la sede y oficinas y agencias.
Aspecto Sustento
Pruebas y actualización del sistema
15. ¿Se programan y ejecutan pruebas de los planes: Plan de gestión de crisis, planes de continuidad de los procesos críticos, plan de recuperación de servicios de TI y planes de emergencia?
- Informes de pruebas de continuidad del negocio.
16. ¿La empresa programa y ejecuta pruebas con proveedores de subcontratación significativa?
- Informes de pruebas con proveedores.
Integrar la gestión de la continuidad del negocio a la cultura organizacional
17. ¿La empresa ha identificado las necesidades de capacitación y ha ejecutado un programa orientado al personal que desempeña funciones relacionadas a la gestión de continuidad del negocio?
- Programa anual de capacitación para el personal especializado y evidencia de su ejecución.
18. ¿La empresa realiza actividades periódicas de difusión en temas relacionados a continuidad del negocio, orientadas a todo el personal, incluyendo a los niveles gerenciales?
- Material utilizado para las actividades de difusión relacionada a la gestión de continuidad del negocio
- Documentos que acrediten el alcance de las actividades de difusión
- Resultado de las actividades de difusión
VII CAPITULO:
EVALUACIÓN ECONÓMICA
El objetivo de este capítulo es realizar una valoración económica respecto a la factibilidad de implementar la gestión de la continuidad del negocio en CRAC Modelo.
La metodología que utilizaremos para realizar dicho análisis incluirá el cálculo de la inversión monetaria necesaria para diseñar, implementar y mantener el sistema de gestión para la continuidad del negocio; comparándolo con los ingresos que no percibiera la CRAC Modelo al no contar con dicho sistema implementado, el cual incluye, principalmente, no ofrecer los productos de ahorro y créditos.
Una vez obtenido los costos y beneficios (por ingresos que sí se percibirían) dada la implementación del sistema de gestión de continuidad del negocio, se realizará una comparación de ambos montos, con la obtención de resultados que justificarán o no la implementación del presente proyecto.
Es importante señalar que los valores asociados tanto a los costos e ingresos que se percibirían en caso de implementar el sistema de gestión de continuidad del negocio en CRAC Modelo, son importes aproximados y referenciales, basados en precios y valores de mercado reales.