14º Aniversario de Vida Constitucional
Econ. Ramiro Estrella Agosto 2013
Administración de Riesgos
¿Qué es el riesgo?
Es la condición en que existe la posibilidad que ocurra un evento que impacte negativamente en el valor de la empresa.
La normativa ecuatoriana lo define como la
posibilidad de que se produzca un hecho
generador de pérdidas que afecten el valor
económico de las instituciones.
El negocio financiero
Las IFIS son exitosas cuando administran de forma eficaz y eficiente los riesgos, lo cual debería reflejarse en los balances de la institución, la imagen ante los clientes y los entes de supervisión.
Si una institución financiera asume mayores riesgos debe esperar mayores retornos, pero a mayor riesgo también se incrementa la posibilidad de que la institución presente mayores pérdidas y enfrente un problema de solvencia en el futuro.
Gestión de Riesgos
Econ. Ramiro Estrella
La administración de riesgos
Asegurarse que la exposición total de riesgo esté relacionada con la capacidad de la institución financiera para absorber las posibles pérdidas que se presenten.
OBJETIVO
Generar rentabilidad
Asegurar la solvencia de la institución
La administración de riesgos es un proceso
Identificación Medición Control /
Mitigación Monitoreo
• Definir perfil de riesgo
• Grado de exposición que la Institución esta
dispuesta a asumir en el desarrollo del negocio.
• Mecanismos de cobertura para proteger los
propios recursos y de tercero que están bajo su control.
Econ. Ramiro Estrella
Proceso
ADMINISTRACION INTEGRAL DE RIESGOS
PROCESO
IDENTIFICAR MEDIR CONTROLAR MONITOREAR
POLITICAS METODOLOGIAS
GENERALES SE DEBEN DEFINIR
LA EXPOSICION AL RIESGO QUE PERMITE:
Responsabilidades en la gestión riesgos
DIRECTORIO
Selecciona la estrategia y las políticas de Administración Integral de Riesgos - AIR
COMITÉ DE ADMINISTRACION INTEGRAL DE RIESGOS Y GERENCIA GENERAL
Lidera la ejecución de la estrategia definida para la AIR
COMITES DE RIESGOS
Ejecuta la estrategia y el cumplimiento de las políticas de AIR
COMITÉ DE RIESGO INTEGRAL Y UNIDAD DE RIESGOS INTEGRALES
Administra los riesgos de: crédito, liquidez, mercado y operacional
Relación funcional
Flujos de comunicación
Econ. Ramiro Estrella
Principios de la gestión integral de riesgos
Independencia de la función de riesgos en la
toma de decisiones.
El área de riesgos será independiente
del área de negocios reportando directamente
a la Alta Dirección.
Homogeneidad en los sistemas de medición y
métodos de evaluación del
riesgo.
Existencia de una medida común y
métodos estandarizadas de cuantificación
y evaluación del riesgo.
Uniformidad de estructuras,
procesos y funcionamiento
de las unidades responsables de la
gestión.
Centrado en el establecimiento de
criterios
corporativos para la gestión del riesgo, en lo que se refiere
a políticas, procedimientos,
estructuras y
Globalidad en el proceso de
gestión del riesgo.
Implica una visión global e
integral del riesgo (riesgo
de crédito, liquidez, mercado,
legal, operativo).
Para qué sirve la gestión del riesgo
Permite gestionar el negocio maximizando nuestro esfuerzo en la creación de valor, sin distraernos en arreglar problemas previsibles.
Nos permite ser
conscientes del nivel de rentabilidad que debemos exigir, eliminando
actividades que no generen el adecuado valor.
Permite tener un grado adecuado de transparencia respecto al verdadero valor del negocio, tema de
relevancia para los accionistas.
Permite a la alta dirección de una empresa tomar decisiones con
conocimiento del riesgo y no basados en el azar de los eventos (“Taking Risks by Choice Not Taking Risks by Choice Not by Chance”).
Econ. Ramiro Estrella
Decisiones en la gestión de riesgos
Evolución del concepto de gestión de riesgo integral
NEGOCIOS ORGANIZACIONAL
OPERACIONAL
MERCADO MERCADO
CREDITO CREDITO CREDITO
Gestión de Riesgo De Crédito
Gestión de Riesgo Financiero
Gestión de Riesgo Integral
Década de los 80 Década de los 90 Presente década
Econ. Ramiro Estrella
Nuevo Acuerdo de Capital de Basilea
Basilea = BIS = Bank for International Settlements (situado en Basiléia)
“Banco Central de los Bancos Centrales”
• Los Principios Esenciales de Basilea constituyen los
elementos básicos de un sistema eficaz de control.
Publicación del Primer Acuerdo de
Capital
Introducción de las recomendaciones
para el requerimiento patrimonial por riesgos de mercado.
Segundo documento consultivo. El comité recibió más de 200
comentarios.
Primer documento consultivo centrado
en la presentación de un nuevo marco
conceptual más sensible al riesgo.
Tercer Documento Consultivo.
Se realizaron estudios de impacto
cuantitativo (QIS).
Antecedentes: Comité de Basilea
Mantener el capital equivalente al 8% de los activos ponderados
por riesgo.
Econ. Ramiro Estrella
BIS publica la versión final del
Nuevo Acuerdo de Capital.
Versión actualizada del NAC incluyendo versión
actualizada de Amendment to the
Capital Accord to incorporate market
risks .
Acuerdo entra en vigencia para los países G-10 en el caso del Método Estandarizado e IRBF.
Antecedentes:
Resultados del último estudio de impacto realizado
(QIS 5).
Participación de 31 países.
Caso del IRBA
NAC: (International Convergence of Capital Measurement and Capital Standards: A Revised ramework).
Basilea III.
Garantizar la solvencia y la liquidez de las entidades financieras,
evitando la prociclicidad.
Antecedentes: Basilea III
……
Principios para la adecuada gestión
y supervisión del riesgo de liquidez
(«Sound Principles»)
Econ. Ramiro Estrella
1. Aumento de la calidad, consistencia y transparencia del capital:
incorpora un buffer de conservación del capital del 2,5%.
2. Requerimientos a entidades sistémicas: requerimiento adicional de capital entre un 1% y un 2,5%.
3. Ampliación de la cobertura de riesgos: introduce el riesgo por deterioro vinculado, incrementa los requerimientos de capital a exposiciones con derivados y repos, y medidas para incentivar la contratación de derivados OTC.
4. Límite al apalancamiento: control del apalancamiento del sistema financiero, ratio de capital tier 1 sobre exposición mínimo de un 3%
5. Mitigación de la prociclicidad: un buffer de capital contracíclico de entre un 0% y un 2,5%.
6. Medición y control de la liquidez: dos ratios de liquidez: el liquidity coverage ratio (LCR), a corto plazo, y el net stable funding ratio (NSFR), a largo plazo. Ambos deben ser mayores que 100%.
2 0 1 2
2
0
1
8
Beneficios:
Prevención de nuevas crisis sistémicas
Mitigación de la prociclicidad del mercado
Aumento de la transparencia y el refuerzo de la confianza Mejora del modelo de medición, control y gestión de la solvencia, la liquidez y el apalancamiento.
Integración del riesgo de mercado y el riesgo de crédito en el ámbito mayorista
Riesgos que conllevará:
Encarecimiento del crédito
Posible disminución de la actividad crediticia
Contracción a corto plazo de la liquidez en el sistema y el riesgo de que la información pública sobre liquidez conlleve una elevada volatilidad en los mercados.
Posible desincentivo o encarecimiento de ciertos negocios Desincentivo a las participaciones en entidades financieras y aseguradoras
Antecedentes: Basilea III
Tres pilares Basilea se
mantienen
Clasificación de los riesgos
Econ. Ramiro Estrella
RIESGO DE LIQUIDEZ
La administración del riesgo de liquidez varia según las economías, pues las principales variables económico- financieras se encuentren sujetas a diferentes entornos de volatilidad
Liquidez es la habilidad de obtener fondos a tasas razonables de mercado
Liquidez es la habilidad de acceder a fondos suficientes para mantener el negocio en su senda normal
Liquidez compra tiempo para trabajar sobre los problemas
RIESGO DE LIQUIDEZ
Variables económicas y
financieras inciertas en el corto plazo…
Falta de políticas claras en lo referente a lo económico, fiscal y social en el mediano y largo plazo
Economías denominadas por los inversionistas como emergentes
ECONOMIA DE ALTA VOLATILIDAD
Econ. Ramiro Estrella
La administración de liquidez difiere en las situaciones normales y en las crisis
Riesgo de liquidez en
entorno normal
<>
Riesgo de liquidez en entorno de crisis-6%
-4%
-2%
0%
2%
4%
6%
8%
10%
12%
1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001
CRISIS
POLITICAS EN ENTORNO ESTABLE
POLITICAS EN ENTORNO DE CRISIS
2005 2007
PIB ECUADOR
Riesgo de Liquidez
• Es el riesgo que representa cuando una institución financiera presenta incapacidad para cumplir con sus obligaciones al momento que éstas se vencen, pudiendo incurrir en
pérdidas significativas.
• Sucede cuando los activos de corto plazo no pueden “cubrir”
los pasivos de corto plazo o egresos inesperados de caja.
Cuando esta “insuficiencia” no puede ser solucionada
rápidamente se produce un problema de iliquidez extrema
• Es uno de los mayores riesgos, ya que la iliquidez extrema puede conducir a la quiebra de la institución
• Por esa causa es uno de los riesgos que más preocupan a la Gerencia de los bancos, y en el día a día se presenta como la disyuntiva entre liquidez vs. rentabilidad
Econ. Ramiro Estrella
Riesgo de liquidez
De acuerdo a la normativa ecuatoriana, se
entiende por riesgo de liquidez, cuando la
institución enfrenta una escasez de fondos para
cumplir sus obligaciones y que por ello, tiene la
necesidad de conseguir recursos alternativos o
vender activos en condiciones desfavorables,
esto es, asumiendo un alto costo financiero o
una elevada tasa de descuento, incurriendo en
pérdidas de valorización.
El riesgo de liquidez, reconoce distintos orígenes que potencialmente generan una mayor exposición a este riesgo
Gestión de Tesorería
Excesivo otorgamiento de
créditos
Débil supervisión (interna y externa)
Volatilidad de los recursos captados
Descalce de plazos y tasas
Concentración de captaciones
Fuentes del Riesgo de Liquidez
… y otros factores internos o externos que pueden provocar problemas de liquidez para
una institución
Econ. Ramiro Estrella
Crisis económicas /
Diferentes crisis de liquidez
1. Crisis sistémica 2. Crisis del país 3. Crisis Regional
1. Rumores de crisis interna
2. Baja de la calificación de la entidad
3. Disminución de las ganancias esperadas
Causas Externas
Causas Propias
Flight to Quality
Pérdida de credibilidad Las crisis que pueden impactar la liquidez de una Institución, se
pueden dividir en dos tipos de fuentes bien diferenciadas…
Aun cuando la Entidad Financiera es solvente pero carece de liquidez, los clientes reaccionarán ante el incumplimiento de obligaciones tratando de retirar sus depósitos. Esto agravará el problema de iliquidez, y posiblemente la Entidad tenga que vender sus activos incurriendo en pérdidas para hacer frente a sus compromisos.
Aunque la mayoría de las crisis bancarias han estado influenciadas por la calidad de sus activos, sean préstamos o inversiones, lo que verdaderamente acaba con una Entidad Financiera, es una crisis de liquidez, pues en pocos días la pérdida de confianza de sus depositantes, origina retiros masivos de fondos.
La crisis de liquidez son contagiosas a otras entidades financieras.
Por qué las instituciones financieras cuidan este riesgo prioritariamente.
Econ. Ramiro Estrella
Administración del Riesgo de Liquidez
Una adecuada administración del riesgo de liquidez debe incluir el establecimiento de políticas relacionadas con:
– Seguimiento constante a la situación de liquidez del Banco y definir los lineamientos de la gestión de activos y pasivos a través de un Comité de Liquidez (ALCO)
– Medir y fijar límites a las brechas de vencimiento entre activos y pasivos por plazos y grado de liquidez
– Propender a la diversificación de las fuentes de fondeo
– Mantener un portafolio de inversiones diversificado y de alta liquidez
– Mantener un plan de contingencia de liquidez
Evidenciar ante el mercado, que se es adverso al riesgo en términos globales, que la entidad es “segura” y por lo tanto capaz de hacer frente a sus obligaciones.
Permitir a la Entidad Financiera cumplir los compromisos con sus clientes.
Evitar una venta precipitada de activos.
Reducir la prima de riesgo crediticio que el Entidad Financiera debe pagar por sus fondos.
•Evitar los costos de recurrir excesivamente al mercado inter- bancario y a las facilidades crediticias del Banco Central.
Por qué es necesario tener un buen nivel de liquidez
Econ. Ramiro Estrella
Mitigantes de Riesgo de Liquidez
Diversificación de fuentes de
fondeo
Mantener un porcentaje adecuado de
activos líquidos
Contar con un buen plan de
contingencia Límites y
controles Gozar de la CONFIANZA del mercado
Herramientas para el
seguimiento del riesgo de liquidez
Posición deliquidez diaria
Uso de índices de liquidez objetivos
Determinación de escenarios y uno especial de stress Establecimiento
de planes de contingencia
Econ. Ramiro Estrella
Control diario de la liquidez y proyecciones mensuales y trimestrales de liquidez en base a información cierta y estimaciones en base de
modelos de comportamiento.
Conducir mirando el parabrisas no el retrovisor
Fijación de índices objetivo (propios y regulatorios) en materia de liquidez,
diferenciando de stock
(liquidez operativa y liquidez adicional: para afrontar una crisis) y liquidez de flujo (gap).
Análisis de reportes relativos a estructura de vencimientos bajo diversos escenarios, construcción un plan de necesidades contingencia de fondos.
Preservar una base de depósitos core y una base amplia de clientes.
Diversificación
Financiar con recursos estables los créditos a largo plazo y con fondos volátiles solo
operaciones de corto plazo.
Contar con un nivel de activos que permita atender los retiros de fondos, tomando en
consideración la experiencia histórica.
Cómo gestionar el Riesgo de Liquidez
Titularización de activos como herramienta de liquidez para ajustar descalces de plazo.
Aplicar excesos de liquidez en instrumentos de rápida realización.
Diversificación de las fuentes de fondeo.
Mantener un porcentaje de los depósitos en activos con niveles de liquidez elevada.
Evitar la concentración de activos y pasivos en pocos clientes.
Establecer prioridades para la captación de pasivos.
Evitar el incentivo de la tasa de interés a fin de no atraer inversores especulativos.
Algunas estrategias aplicables en la administración del riesgo de liquidez
Econ. Ramiro Estrella
Riesgo de Liquidez
Valor al 31-01-2011 Límite en política
Inversiones Sector Privado 5,83% <50%
Emisores Privados 1,53% <15%
Inversiones Puesto de Bolsa 25,82% <50%
Reserva adicional de liquidez Sí >=10%
Calce a 1 mes (Noviembre) 1,75 >0,8 veces
Calce a 2 meses (diciembre) 1,72 >0,7 veces
Calce a 3 meses (enero) 1,55 > 0,6 veces
Suficiencia Patrimonial 23,90% >17%
Límites del riesgo de liquidez
1. Análisis de escenarios 1. Riesgo de Normativa 2. Riesgo Especifico
3. Riesgo Sistémico: Peor escenario de crisis
2. Identificación / Clasificación de crisis 1. Corto plazo vs largo plazo
2. Riesgo sistémico vs riesgo propio de la entidad 3. Impacto: alto / bajo / medio
3. Acciones y medidas de gestión pre-definidas
1. Logística de efectivo: Situaciones normales y escenarios de stress 2. Rol del Comité de Riesgos y/o ALCO con responsabilidades definidos 3. Plan interno y externo de comunicación
4. Estrategia de liquidaciòn de activos claramente definidas y acciones de Balance.
5. Utilización de líneas de contingencias
Plan de contingencias
Requisito indispensable en la administración del riesgo de liquidez, contar con un Plan para Manejo de Crisis de Liquidez, el mismo que debe estar definido paso a paso.
Fuentes de Fondeo
BANCOS Activo
+ Activos Líquidos
Carteras Comercial Carteras de Consumo
Carteras de Vivienda Micro-crédito
Pasivos
Cuentas Corrientes Cuentas de Ahorro Depósitos a plazo
Líneas locales Líneas del exterior
Cuasi-patrimonio
Mutualistas
Entidades especializadas Hipotecarios
Activo
+ Activos Líquidos
Carteras de Vivienda
Carteras comerciales
Proyectos inmobiliarios
Pasivos
Cuentas de Ahorro Depósitos a plazo
Líneas locales Líneas del exterior Cooperativas
reguladas Activos
+ Activos Líquidos
Cartera Comercial Cartera Consumo Cartera Microcredito
Pasivos
Depósitos de ahorro Depósitos a plazo
Líneas locales Líneas del exterior
Financieras Activo
+ Activos Líquidos
Ciertas Carteras Tarjetas de Crédito
Leasing
Cartera automotriz Microcrédito y consumo
Pasivos
Depósitos a plazo Líneas locales Líneas del exterior
Señales de iliquidez en la Entidad
• Aumentos rápidos de Fondeo de Activos con Pasivos Volátiles
• Publicidad Real o Rumores Negativos.
• Disminución en la calidad del Activo
• Disminución en el comportamiento y proyección de utilidades
• Anuncios y/o Disminución de las Calificaciones de las Agencias Int´ls.
• Incumplimiento de Obligaciones y/o cero renovación de prestamos.
• Incremento de costos en el valor de la nueva deuda de la institución.
• Las contrapartes incrementan los requerimientos de garantías o exigen garantías por las exposiciones de las instituciones.
• Bancos colegas disminuyen o eliminan la disponibilidad de las líneas de crédito.
• Las contrapartes o intermediarios no están dispuestos a hacer transacciones no aseguradas y solo a corto plazo.
RIESGO DE CRÉDITO
Riesgo de crédito
• Definición 1: Posibilidad de sufrir una pérdida económica como consecuencia del incumplimiento en las obligaciones contractuales de una de las partes. Este efecto se mide como el costo de restituir los flujos de efectivo si la contraparte incumple con sus obligaciones.
• Definición 2: Es la posibilidad de que una entidad incurra en perdidas por disminución del valor de sus activos, como consecuencia de que sus deudores probablemente fallarán en el cumplimiento oportuno o incumplan los términos acordados en los contratos de crédito. ( concepto de valor de mercado de carteras).
Econ. Ramiro Estrella
Riesgo de crédito
Existen dos tipos de afectaciones:
– Riesgo de incumplimiento: que se refiere a la pérdida potencial derivada de que la contraparte no pueda cumplir con sus obligaciones financieras en las condiciones definidas contractualmente.
– Riesgo de mercado: que se define como la pérdida potencial que podría sufrir un tenedor de un portafolio de préstamos con instrumentos financieros o derivados, como consecuencia de que el valor de mercado de los activos principales disminuya.
La segunda definición plantea exposición al riesgo de crédito aún en el caso de que la contraparte no sufra quebranto alguno
Identificación de las fuentes de
exposición de riesgo de crédito en el Balance de una IFI
Activos
Inversiones Créditos
Fondos disponibles Bonos
Acciones
Papel Bancario Derivados
Cartera Comercial Cartera Hipotecaria Cartera de Consumo Otros Activos
Riesgos
Mercado Contraparte
Crédito incumplimiento
Econ. Ramiro Estrella
Gestión de riesgo de crédito
Principalmente gestionamos la “cantidad” de riesgo y la
“calidad” de riesgo:
- La cantidad refiere al monto prestado a los deudores (exposición).
- La calidad del riesgo depende a su vez de dos factores: la probabilidad de incumplimiento del deudor y las garantías o colaterales que reducen la pérdida en caso de que no se nos pague (recuperación)
La cantidad de riesgo de crédito asumido difiere de la pérdida en caso de incumplimiento, ya que ésta última puede ser
menor como consecuencia de la posible recuperación a través de la ejecución de las garantías.
Estas dos variables, cantidad y calidad están fuertemente
Componentes del riesgo de crédito
Incumplimiento
Exposición Recuperación
Riesgo de la custodia y ejecución de
garantías aumenta en épocas de volatilidad de la economía pues baja el valor de
liquidación de los activos ejecutados.
Riesgo de garantía de 3eras. partes aumenta como consecuencia de cambios en la tasa de incumplimiento de los clientes.
El monto de créditos otorgados
Créditos a largo plazo para financiamiento de proyectos depende de líneas especificas
locales o del exterior.
Crédito de corto plazo y Líneas de crédito
comprometidas,
Sobregiros, Cupos de T/C requieren reservas de liquidez.
Asociado a la situación financiera del deudor depende de su flujo disponible para el pago y/o tomar nueva
deuda; depende
fuertemente del ciclo económico pues…
Probabilidad de incumplimiento del
cliente aumenta si esta mas expuesto al riesgo de la economía o
entorno.
RIESGO OPERATIVO
• Según lo establece “Basilea 2”, se entiende por riesgo operacional:
Riesgo de pérdidas resultantes de procesos internos inadecuados o defectuosos, personal, sistemas, o
como resultado de acontecimientos externos
• En el nuevo Acuerdo-Basilea 2, por primera vez el riesgo operacional ha sido identificado como un área separada de riesgo y se debe realizar una previsión de capital para cubrirlo.
Riesgo operativo
Econ. Ramiro Estrella
Componentes del riesgo operativo
GESTION DE RO
GESTION DE SEGURIDAD DE LA NFORMACIÓN
GESTION DE CONTINUIDAD DEL
NEGOCIO RIESGO
OPERATIVO
Clasificación del riesgo operativo
Podemos clasificar al riesgo operacional por sus cuatro factores más importantes:
Estructura Organizacional del Riesgo Operativo
AREAS ESTRATEGICAS
AREAS DE APOYO AREA DE RIESGOS – UNIDAD DE
RIESGO OPERATIVO COMITÉ INTEGRAL DE
RIESGO DIRECTORIO
• La administración del Riesgo Operativo debe ser considerado como un proceso específico dentro de la institución, por lo tanto sujeto de medición control y monitoreo.
• La instituciones deben desarrollar una propia metodología para la gestión del riesgo operativo, en función de sus propias características, esto es tamaño, complejidad de las operaciones y otras características especiales.
• La implementación de la administración del riesgo operativo debe considerar todas las etapas de gestión de riesgo, esto es identificación, evaluación, medición, monitoreo y control.
Gestión del riesgo operativo
Econ. Ramiro Estrella
El proceso de Gestión de Riesgo Operativo
Mejoramiento Continuo del Esquema de
Gestión del RO
Establecimiento deObjetivos
Identificación
de Riesgos Valoración
del Riesgo Respuesta
al Riesgo Actividades
de Control Información y
Comunicación Supervisión
Definir el Alcance del
Proyecto
Gestionar Riesgo el Operativo Crear la
Visión de la Gestión del
RO
Ambiente Interno
1. Establecer Marco Adecuado
2. Identificar Riesgos 3. Valoración de Riesgos
4. Priorizar Riesgos 5. Gestión del Riesgo
6.
Seguimiento
Ciclo de gestión del riesgo operativo
Econ. Ramiro Estrella
Esquema de gestión del riesgo operativo
LOS PROCESOS: Elemento fundamental en identificación de riesgos operativos
Desarrollo de la visión y estrategias
Gestión de tecnología de información y conocimiento
Diseño y desarrollo de productos y/o
servicios
Marketing, ventas y
entrega
Servicios
Gestión de recursos financieros
Adquisición, construcción y manejo de la propiedad Gestión de la seguridad y salud ambiental
Gestión de relaciones externas Gestión de cambios y mejoras
Administració n de Servicio
al Cliente
Procesos OperativosProcesos de Gestión y Soporte
Depósitos
Fondeo
Créditos
Inversiones
Desarrollo y Gestión del capital humano
La Unidad de Riesgo Operativo será la que defina el marco de gestión de RO a aplicarse en el banco.
Este marco estratégico será conocido y aprobado por el Comité de Riesgo Integral, asegurando que el modelo sea aplicado en todos los procesos del Banco.
El marco de gestión estará sujeto a un proceso de auditoría interna.
1. Establecer Marco Adecuado
Econ. Ramiro Estrella
Métodos cualitativos
Herramientas
EX – ANTE: Identificando y analizando factores de riesgo sin que necesariamente se produzcan eventos
•Talleres de identificación de riesgos
•Encuestas internas de autodiagnóstico
•Evaluaciones de Auditoría Interna
FUENTES DE APOYO A LA AUTOEVALUACIÓN
•Evaluaciones de Auditoría Externa
•Informes Superintendencia de Bancos
Auto- evaluación
Identificación de riesgos en los procesos, en base a información de auto evaluación.
Mapa de riesgos
2 -3. Identificar y valorar los riesgos
KRI
BDD Eventos
Indicadores de Riesgo Operacional (KRI)
Cálculos sobre la base de datos de eventos (interna y externa)
EX – POST: Identificando y analizando factores de riesgo en base a los eventos ocurridos en el pasado
Métodos Cuantitativos
H e rr ami e n ta s
2 -3. Identificar y valorar los riesgos
Econ. Ramiro Estrella
Una vez identificados los riesgos dentro de los diferentes procesos y valorados en base a medidas de frecuencia e impacto, ya se tiene una idea clara de cuales riesgos hay que priorizar en cuanto a su tratamiento.
• Aceptar el riesgo
• Transferir el riesgo
• Controlar el riesgo
• Evitar el riesgo
4. Priorizar riesgos
5. Gestión del riesgos
Verificar, supervisar o medir el progreso de una actividad, acción o sistema encaminado a controlar de alguna forma el nivel de riesgo operativo, a fin de identificar cambios que puedan afectar al nivel de desempeño o los resultados requeridos o esperados. Son de utilidad los siguientes mecanismos:
• Autoevaluación
• Base de datos de eventos
• Indicadores
• Evaluaciones de auditorías externas o internas
6. Seguimiento
Econ. Ramiro Estrella
Riesgo de Seguridad de la Información
RECURSOS HUMANOS Y TECNOLOGICOSGESTION DE RIESGOS DE TI ENFOQUE PLAN DE SEGURIDAD DE INFORMACION
ADMINISTRACION DE LAS OPERACIONES PLAN DE CONTINUIDAD DE NEGOCIOS
SEGURIDAD LOGICA - SEGURIDAD FISICA - SEGURIDAD DEL PERSONAL ORGANIZACIÓN, POLITICAS Y PROCEDIMIENTOS
PLANEAR Y
ORGANIZAR ADQUIRIR E
IMPLANTAR ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
Entender Infraestructura
de TI
Identificar y Evaluar los Riesgos de TI
Desarrollar Plan de Seguridad de
Información
Implementar el Plan de Seguridad de
Información CICLO DE
VIDA DE TECNOLOGIA
DE
INFORMACION
OBJETIVOS DE CONTROL DE TI
Confiabilidad
COMPONENTES DE LA GESTION DE RIESGOS DE TI
Cumplimiento normativo Confidencialidad
Integridad Disponibilidad
Eficacia y Eficiencia
RECURSOS HUMANOS Y TECNOLOGICOS
GESTION DE RIESGOS DE TI ENFOQUE PLAN DE SEGURIDAD DE INFORMACION
ADMINISTRACION DE LAS OPERACIONES PLAN DE CONTINUIDAD DE NEGOCIOS
SEGURIDAD LOGICA - SEGURIDAD FISICA - SEGURIDAD DEL PERSONAL ORGANIZACIÓN, POLITICAS Y PROCEDIMIENTOS
PLANEAR Y
ORGANIZAR ADQUIRIR E
IMPLANTAR ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
Entender Infraestructura
de TI
Identificar y Evaluar los Riesgos de TI
Desarrollar Plan de Seguridad de
Información
Implementar el Plan de Seguridad de
Información CICLO DE
VIDA DE TECNOLOGIA
DE
INFORMACION
OBJETIVOS DE CONTROL DE TI
Confiabilidad
COMPONENTES DE LA GESTION DE RIESGOS DE TI
Cumplimiento normativo Confidencialidad
Integridad Disponibilidad
Eficacia y Eficiencia
Evaluación del riesgo de S.I.
• La metodología de Evaluación de Riesgos de Tecnología se basa en la misma Metodología que se usa en la Gestión de Riesgo Operativo, con el objeto de uniformizar los criterios de evaluación cualitativa del “Manual de Gestión de Riesgos Operativos”
• Se aplica esta metodología conjuntamente con el proceso de clasificación de la información, para identificar controles y riesgos residuales, y para identificar dueños de la información
Econ. Ramiro Estrella
Plan de Continuidad del Negocio (BCP)
Es un conjunto de acciones a ser llevadas a cabo ante distintos escenarios de desastres que pudieran afectar al funcionamiento de los negocios.
Permite desarrollar la capacidad de responder
apropiadamente ante contingencias y desastres
mayores inesperados, naturales o provocados,
que afecten a la operatividad normal, imagen y
calidad de los servicios brindados a los clientes.
Plan de Continuidad del Negocio (BCP)
Amenazas Menores /Disponibilidad
Amenazas Mayores / Catastróficas
Planes de Contingencia
Planes de Continuidad
GESTION DE CONTINUIDAD
Acciones para mitigar el Riesgo
Econ. Ramiro Estrella
Componentes de un BCP
Esquema de gestión de continuidad
Unidad de Riesgos
Coordinador BCP ASESOR METODOLOGIC
O
Líderes de Continuidad
Procesos críticos
Talleres Plan de Continuidad
Negocio
Aplicación de la metodología
Validación de estrategias y de planes
Tecnología Auditoria Interna
Reportes de Evaluación de Controles
Econ. Ramiro Estrella