4
Paolillo Luis Alberto
Proyecto de prevención y protección en
materia de Seguridad Bancaria y en
Entidades Financieras
Curso intensivo de Capacitación en
Seguridad Bancaria 2013/4
INSTITUTO UNIVERSITARIO DE
LA
POLICÍA FEDERAL ARGENTINA
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.2
ÍNDICE
1.
Introducción
1.1.
Objetivo
1.2.
Alcance
1.3.
Definiciones
1.3.1. Análisis de factores de riesgo
1.3.2. Modelo de Factores de riesgo Seguridad Bancaria:
2.
Mecanismo/Metodología
2.1.
Evaluación de Factores de Riesgos
2.1.1. Conceptos de valorización
2.1.2. Proceso de Evaluación de Riesgos
2.1.3. Evaluación de riesgos de activos
3
Gestión de Factores de Riesgos
4
Gestión de Controles Normativos.
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.3
1. Introducción
1.1. Objetivo
El objetivo de la presente trabajo, es contribuir con el descubrimiento y planificación de las medidas oportunas para administrar los controles y gestión del riesgo en el marco de la Seguridad Bancaria, acorde a las normativas y comunicados del Banco Central de la Republica Argentina, mediante la implementación de un método sistemático que permita identificar el cumplimiento y el nivel de impacto que pueda afectar al negocio en cada sucursales de las entidades Financieras.
1.2. Alcance
El alcance de este documento incluye el control y grado de cumplimiento normativo del BCRA a nivel Casa Central, y un relevamiento y análisis de factores de riesgo en las sucursales Bancarias.
1.3. Definiciones
1.3.1. Análisis de factores de riesgo
El objetivo es determinar cuáles serían los factores de riesgo que puedan sufrir alguna vulnerabilidad y/o amenaza en los diversos rubros que impacten al negocio. El mismo consiste en armar un esquema para que posteriormente se realice un análisis de riesgo incluyendo los mitigantes o salvaguardas que reduzcan la probabilidad de cada riesgo en sí, en todo lo referente a Seguridad Bancaria
1.3.2. Modelo de Factores de riesgo Seguridad Bancaria:
Son aquellos recursos que pudieran verse afectados se utilizan como Servicio de la vigilancia y custodia, necesarios para que la Compañía funcione correctamente, para esta presentación en si se tomaron los que más abajo se detallan, al modo de ejemplo, el cual permita en lo sucesivo ir agregando los que cada entidad
Cajas de seguridad Infraestructura Edilicia Movimiento de personas Movimiento de valores Rango de actividades Servicios automatizados Tesoro
2. Mecanismo/Metodología
EL mecanismo/metodología utilizada está orientada bajo la determinación que cada factor se expone a un 100% de exposición de probables riesgos el cual requiera mejores medidas de seguridad a aplicar como mitigantes de cada uno de ellos. Los cuales corresponden al Marco de gestión de análisis de riesgo.
Por ejemplo: Tomando exclusivamente el factor de riesgo de las actividades laborales en una sucursal cuyo personal propio o tercerizados (que no corresponden a la actividad de Seguridad
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.4
Bancaria) permanece un promedio de 12 hs diarias en días laborables, consideramos que el mismo se convierte en el 100% del factor de riesgo.
2.1. Evaluación de Factores de Riesgos
La evaluación de factores de riesgo determina el valor nominal de componentes que nuclean variables de que pueden tener algún grado de Impacto en todo lo referente a la Seguridad Bancaria a los cuales posteriormente los identifica sobre posibles amenazas y vulnerabilidades aplicables que existen (o pueden existir), identifica los controles existentes y su efecto sobre el riesgo identificado, determina las posibles consecuencias y, finalmente, da prioridad a los riesgos derivados y los ordena en contra la criterios establecidos en el establecimiento de contexto.
2.1.1. Conceptos de valorización
La valoración no está relacionada con el costo de la posesión de un bien, cada activo se somete a una valoración para evaluar el impacto en el negocio de ese activo, que está comprometido en integridad y disponibilidad. La evaluación se realiza en una escala de numérica de 1 a n (leyendas se dan a continuación).
Esta valoración se lleva a cabo basándose en el valor máximo de cualquiera de las dos dimensiones Integridad y Disponibilidad de los servicios. Bajo ningún aspecto se toma el criterio de riesgo hechos que deriven sobre las personas
Se consideran crítico los valores más altos acorde a las escalas que se determinen sobre cada uno de los rubros.
2.1.2. Proceso de Evaluación de Riesgos
El proceso de evaluación de riesgos para un determinado activo se compone de tres etapas, como se explica a continuación:
► Definición de Rubros
Se mantiene un listado de activos y servicios que mantienen la integridad y disponibilidad de los servicios
► Valoración del Impacto
En cada una de las dependencias se llevara cada activos lleva a cabo una valoración del impacto
► Valoración del Factor de Riesgo
Los activos/servicios con un valor de 2 (Muy Alto)
2.1.3. Evaluación de riesgos de activos
Una vez que los activos críticos se identifican en base a los criterios definidos anteriormente, una evaluación detallada del factor del riesgo se lleva a cabo para el mismo.
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.5
Matriz de Factores de Riesgo para completar:
Cuantas plantas tiene Cuantos m2 total M2 por planta principal
Su infraestructura edilicia es parte de una alguna dependencia operativa o administrativa del banco
Tienen acceso directo entre ambos
Cuantos puertas de acceso tiene la sucursal o dependencia
Infraestructura Edilicia
Lugar de estacionamiento para blindados A qué hora inicia la actividad laboral A qué hora finaliza la actividad laboral Ingresan empleados en días no laborables
A qué hora inicia la actividad del personal de limpieza A qué hora finaliza la actividad del personal de limpieza El personal de limpieza trabaja días no hábiles
El movimiento de ingreso y egreso de caudales, a partir de qué hora
Rango de actividades
El movimiento de ingreso y egreso de caudales, hasta que hora Con cuántos empleados opera normalmente
Cuantas personas de mantenimientos de limpieza trabajan habitualmente Cuantas personas de Seguridad bancaria tienen en el horario de atención al publico
Que promedio de personas acceden al banco diariamente (publico) Cuál es el pico máximo de personas que acceden al banco.
Que promedio de personal de mantenimiento acceden al Banco
Llevan algún tipo de registro de acceso a las instalaciones privadas del Banco
Movimiento de personas
Mantienen un registro de control del personal de proveedores que trabajan para el banco.
Que monto promedio opera el banco diariamente.
Movimiento de valores
Cuál es el pico máximo del monto con el cual opera el banco. Tiene Cajeros automáticos
· En salón del banco · Fuera del recinto del salón Tiene terminales auto-consulta · En salón del banco
Servicios automatizados
· Fuera del recinto del salón
Caja tesoro móvil para cajas de seguridad
Cajas de seguridad
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.6
Tesoro blindado (Bóveda de cemento y acero) para cajas de seguridad Cantidad de caja de Seguridad
Actividad promedio de clientes
Cantidad máxima de clientes en un día
Tesoro Blindado (Bóveda de cemento y acero) para atesoramiento Caja tesoro móvil para atesoramiento
Tesoro
Tesoro Modular para atesoramiento
3 Gestión de Factores de Riesgos
En base a la Interpretación de Resultados, es factible desarrollar un Plan de Control con todos los elementos de seguridad a través del cual los riesgos e impactos puedan ser gestionados de acuerdo a las necesidades del negocio ya sean económicas u operativas.
La gestión de factores de riesgos comprende las tareas de priorización, presupuestado, implementación y mantenimiento de las medidas seleccionadas para la mitigación de riesgos. Al momento de analizar las contramedidas o controles, es de suma importancia observar si su relación costo beneficio es aceptable. Habiendo valuado los activos y conociendo el coste de un control determinado deberíamos ser capaces de asegurar que el costo del control no supera el costo del activo que se intenta proteger.
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.7
Una vez identificado, el riesgo puede ser:
• Evitado, eliminando la exposición del activo al riesgo.
• Mitigado, por medio de la implementación de contramedidas, controles o salvaguardas. • Transferido, mediante la adquisición de pólizas de seguro.
• Aceptado, si el riesgo se considera aceptable para la organización.
Cada una de las acciones previamente mencionadas se encuentra asociada a acciones de distinto tipo de impacto a la hora de optimizar el riesgo.
a) Etapas de la Gestión de los Riesgos Identificados (Plan-Do-Check-Act): Planificar una estrategia para mitigar el impacto y los riesgos
o Planificar una estrategia de seguridad que mitigue los riesgos identificados con el fin de reducir el impacto de las amenazas que afectan a los activos que soportan a los procesos de negocio.
Desarrollar un plan de remediación
o Desarrollar un plan de remediación que establezca acciones concretas sobre el riesgo identificado, basándose en el informe de Insuficiencias.
Verificar la eficacia del plan de remediación
Se deberá verificar la eficacia del plan de remediación frente a los riesgos identificados y analizar el resultado de los nuevos
Hay ciertos factores que no fueron considerados en esta primer etapa, como por ejemplo las CCTV, dado que el mismo en si es mitigante y parte del proceso de gestión de riesgos propiamente dicho, que llevan un costo de hardware, comunicación y operaciones que tienen que ser evaluados en resumen final.
Paolillo Luis A.J. Curso intensivo de Capacitación en Seguridad Bancaria Pag.8
Se adjunta un modelo de gestión de factores de riesgos, con los indicativos y preponderancia de evaluación final. Y se aclara que tanto los valores como los cálculos resultantes pueden no reflejar la exactitud en los porcentajes, ya que deben ser definidos por personal experto en Seguridad y riesgos.
Analisis de Impacto en Sucursales Bancarias.pdf Ponderacion.pdf
4 Gestión de Controles Normativos.
Simultáneamente a los análisis de los factores de riesgos expuestos, está el cumplimiento de las normativas y/o procedimientos del ente regulador de Banco y Financieras. Para este modelo se tomó la comunicación del BCRA vigente y se evaluaron punto x punto bajo las siguientes probabilidades:
• No aplica • Cumple • No cumple • Procedimiento • Mitigado
A cada uno de estos se le aplico un supuesto valor agrupado por cada punto relevante del control de Normativo, que se debe considerar en la Casa Central y Sucursales/Dependencias, En la planilla general se tomó la misma en su cuadro resultante como un Modelo Total a evaluar, a los efectos de que cada entidad lo desarrolle parcial en cada una de los sitios que corresponda.
Finalmente se presenta un cuadro porcentual de cómo análisis de la Seguridad Bancaria frente a los puntos de la normativa del BCRA. Se adjunte el siguiente modelo
Cumplimiento Normativa del BCRA.pdf