Pablo Caneo G.
ISACA - CHILE
Caso de éxito Cobit 5. Una
experiencia práctica.
• Pablo Caneo Gutiérrez
• Oficial de Seguridad (CISO) de Grupo Ultramar
• MBA en Gestión de Negocios
• Postítulo Docencia Universitaria
• Diplomado en RSE (Responsabilidad Social Empresarial)
• Diplomado en Seguridad de la Información
• Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL
• Presidente Isaca Capítulo Santiago de Chile
• Docente en Postgrados Universidad de Chile y Universidad Adolfo
Ibañez
Antecedentes
• Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963
• La Cooperativa tiene como objetivo único y exclusivo brindar
servicios de Intermediación financiera en beneficio de sus socios,
para mejorar sus condiciones de vida.
• La Cooperativa hoy no solo depende directamente del Ministerio de
Economía, Fomento y Reconstrucción, a través del Departamento
de Cooperativas de dicho Ministerio sino que también producto de
su posición y estructura de financiamiento y su capacidad de
manejar activos que no son propios, está siendo regulada y
controlada también por la Superintendencia de Bancos e
Instituciones Financieras (SBIF).
Objetivos
• Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus principios de liquidez, operación, atención a clientes, entre otros, se encuentra la necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnología y mejora continua en sus servicios y atención a clientes.
• La Gestión de Riesgos se basa en un proceso estructurado que comprende un conjunto de políticas, lineamientos, procesos y procedimientos, a través de las cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos riesgos a la que una Empresa puede estar expuesta.
Metodología de Trabajo
1. Identificación Proceso
2. Flujograma del Proceso
3. Matriz RACI
4. Selección Escenarios de Riesgos
1. Escenario 6 Información
2. Escenario 12 Cumplimiento Legal
5. Revisión de Cumplimiento según escenarios
6. Recomendaciones
7. Riesgos / Escenarios
8. Controles críticos asociados para mitigar riesgos
9. Matriz de riesgos y efectos de mitigación
Identificación Proceso
ISACA - CHILE
Proceso Clave Retiro de capital.
Subproceso Procedimiento de giro de Capital.
Introducción Este procedimiento forma parte del proceso de operaciones de capital.
La responsabilidad por su ejecución y validación corresponde a las áreas Comercial, Finanzas y Gerencia.
Alcance Este procedimiento será aplicable a todas las operaciones de giro de capital de la Cooperativa. Las indicaciones del procedimiento deben ser aplicadas por el área comercial y controladas por Finanzas (departamento de Tesorería y Contabilidad).
Objetivos
Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores.
Actividades descritas en el Procedimiento. 1. Ingreso de requerimiento. 2. Evaluación de Requerimiento. 3. Reconsideración de Requerimiento.
4. Autorización de requerimientos pendientes. 5. Pago de requerimientos.
6. Control de estados de requerimientos.
Objetivos
Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores.
Procesos Relacionados
Conciliaciones bancarias.
Matriz RACI
Escenarios de Riesgos
• Se procede a selección de Escenarios de Riesgos más adecuados
(de los 20 que propone COBIT), como recomendación se sugiere
elegir dos o tres escenarios que sean los más representativos de
acuerdo al proceso escogido
• Los escenarios escogidos fueron los siguientes:
– Escenario 6: Información (daños, fugas y acceso)
– Escenario 12: Cumplimiento Legal (cumplimiento normativo)
• Basado en los escenarios seleccionados se procederá a revisar
grado de cumplimiento de acuerdo a lo que este escenario señala
para cada uno de los habilitadores (catalizadores)
Escenario de Riesgo 6
Escenario de Riesgo 6
Escenario de Riesgo 6
Escenario de Riesgo 12
Escenario de Riesgo 12
Recomendaciones Escenario 6
• (1) Desde el punto de la continuidad operacional es necesario que los planes de
contingencia y continuidad de negocio, tengan un procedimiento documentado y formal, para efectuar pruebas de forma regular
• (2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios
periódicos para comprobar que los planes de continuidad de negocio, son adecuados para la recuperación frente a los resultados predeterminados, permitiendo dar
soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de continuidad operacional va a funcionar como se esperaba. Adicionalmente se
requiere evaluar el contar con un lugar alternativo de operación.
• (3) Se recomienda evaluar la conformación de un comité que sesione al menos una
vez al año para revisar el plan de continuidad. Asimismo, se recomienda establecer un plan de trabajo para realizar escenarios de prueba de dicho sistema.
• (4) En relación a la seguridad de la información es prudencialmente razonable la
Recomendaciones Escenario 6
• (5) También es necesaria la implementación de procedimientos y tecnología en los
procesos de impresión de documentos importante, ajustar los perfiles para que se imprima sólo lo necesario, claves para rescatar escáner o impresiones.
• (6) En relación al monitoreo de las actividades es recomendable la incorporación al
staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de la Información, con perfil TI separado de la función operacional que actualmente existe y que pueda analizar la lógica de los procesos, identificar errores de manera proactiva de los sistemas, además que vele por la implementación y el cumplimiento de la normativa interna y externa, además de la seguridad de la información.
• (7) Para apoyar el punto anterior es necesario que la organización cuente con una
planificación de capacitación constante de la normativa vigente interna y externa, además de una pasantía para las nuevas incorporaciones que toque los temas referentes a normativas.
• (8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso
físico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de acceso, incorporando tecnología: cámaras de seguridad, puertas con clave de acceso.
Recomendaciones Escenario 6
• (9) Desde el punto de vista de contingencia también es importante señalar que la
institución cuenta con un Site de Contingencia, que podría fallar porque se encuentra en un radio inferior a 10 kilómetros y en un evento de envergadura podría verse
afectado, adicionalmente sería adecuado que la Cooperativa cuente en la Sucursal 2 con un generador de corriente que permita aumentar los plazos para reponerse y restablecer el servicio, como por ejemplo un corte de luz que afecte la región. • (10) Finalmente para el Escenario de Información, se recomienda formalizar las
políticas de seguridad de la información, respecto a limitaciones en el intercambio y uso de la información de los Socios de la Cooperativa.
Recomendaciones Escenario 12
• (1) Se recomienda establecer charlas de capacitación de normativa y cumplimiento
aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones periódicas de conocimiento y aplicación de la normativa aplicable externa e interna.
(2) Definir mediante políticas a los responsables de la seguridad de los datos
personales de los socios, en cada área de trabajo
• (3) Informar a todos los cargos estratégicos, cual es el apetito de riesgo de la alta
dirección para establecer una cultura de administración de riesgos
• (4) Modificar los alcances de la función de auditoría interna, para que ésta se
enfoque en los objetivos de la alta dirección y base sus revisiones en los riesgos de la compañía.
• (5) Implementar una base de datos jurídica y regulatoria que sea un repositorio único
y de consulta generalizada, estableciendo un mantenedor.
• (6) Describir de manera formal, las prácticas de cumplimiento aplicables
• (7) Crear una función de control interno que monitoree el cumplimiento de los
controles definidos, que base su acción en los riesgos de la compañía.
