Upload
juana-acosta-acuna
View
234
Download
0
Embed Size (px)
Citation preview
Administración de Riesgos y Continuidad de Negocio
Costa Rica
Presentación III Seminario Gestión de Tesorerías Nacionales
Agosto 2012
José Adrián Vargas B.
CONTENIDO
1. Aspectos generales y normativos2. Acciones y resultados3. Consideraciones finales
1. Aspectos generales y normativos
Valoración del Riesgos se establece como uno de los componentes del sistema de control interno, en la Ley General de Control Interno. (LGCI).
Aspectos generales y normativos
La LGCI ( No. 8292)fue aprobada en el año 2002. Complemento Normas Generales de Control Interno La Contraloría General de la República emitió las Directrices para el Sistema
Específico de Valoración de Riesgo en el año 2005, señalando obligatoriedad de aplicación a partir del 1 de junio de 2006.
Conforme las Directrices , cada institución debe conformar su SEVRI, como responsabilidad de jerarca institucional.
La Tesorería Nacional estableció metodología e instrumento para valoración de riesgo en al año 2006.
El Ministerio de Hacienda estableció las orientaciones estratégicas para el SEVRI institucional en el año 2006, tomando como base el desarrollo metodológico de la TN.
Ley General de Control InternoDeberes del Jerarca y los Titulares Subordinados sobre
VALORACIÓN DEL RIESGOc) Adoptar las medidas necesarias para el funcionamiento
adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.
d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones a ejecutar.
VALORACIÓN DEL RIESGO
Sistema Específico de Valoración del Riesgo Institucional
VALORACIÓN DEL RIESGO
Se entenderá como Sistema Específico de Valoración del Riesgo Institucional al conjunto organizado de componentes de la Institución que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales relevantes.
.
2. Acciones y resultados
8
2.1 Definición de la metodología
Basada en el método DELPHY (criterio experto)
1. Revisión de riesgos por: Objetivos, áreas, sectores, actividades o tareas.. (procesos).
2. Identificación Riesgos involucrados3. Nivel de Riesgo = Impacto x probabilidad4. Evaluación de controles existentes5. Adoptar medidas y concretar acciones para
minimizar los riesgos.6. Seguimiento.
9
Valoración de Riesgo
Matriz 1:Identificación de Riesgos
Matriz 2: Evaluación de factores de riesgo
Factores de Riesgos
Probabilidad
Impacto Nivel Riesgo
ControlesExistentes
Acción Responsable
Fecha cumplimie
nto
Producto final
10
Valoración de Riesgo3.- Completar la Matriz # 3 “Identificación y Seguimiento
de Acciones ”Factores Riesgo
Nivel Riesgo
Acciones para
minimizar riesgo
Resultado esperado
Estado de cumplimiento
Responsable Justificación sobre el
Estado de cumplimiento
Fecha Cumplimiento
11
1 2 3 4 5experto 1 1 1 1 1 1,00 bajo
experto 3 3 3 3 3 3,00 ALTO
Nivel de Riesgo( probabilidad X impacto) 3,00 3,00 3,00 3,00 3,00 BAJO 3,00
CRITERIOS PARA IMPACTO Y PROBABILIDAD.
1 - BajoNivel Nivel
2 - Medio 1 1,99 Bajo 1 3,00 Bajo3 - Alto 2,00 2,99 Medio 3,01 6,00 Medio
3,00 Alto 6,01 9,00 Alto
TABLA PARA VALORAR NIVEL DE RIESGO
TABLA CALCULO PARA EL NIVEL
DE RIESGO
ESTRATO
Probabilidad
Impacto
TABLA CALCULO PARA IMPACTO Y
PROBABILIDAD
EXPERTOS
Medición
ESTRATO
Un ejemplo
RiesgosN
ive
l de
Rie
sg
o Acciones para minimizar el Riesgo
Resultado esperado
Estado Cumplimiento
Justificación sobre el Estado
de cumplimiento
Acciones pendientes para alcanzar el
resultado esperado
Responsable Fecha de cumplimiento
Pérdida total de la información enlos sistemas
Modera
do
Elaborar plan de contingencias
Plan de contingencia aprobado y divulgado
En proceso Se definió polìtica de respaldos de informaciòn. Pendiente integraciòn con plan de contingencia DGI
Coordinar con DGI traslado de servidor e incorporaciòn a plan de contingencia general
Direcciòn dic-09
Colapso en los sistemas
Consid
era
ble Aprovechar el
conocimiento desarrollado en Hacienda, por ejemplo TICA y sitios VAN
Conocimiento y actualización permanentede los sitemas existentes.
100% Se incorporó utilizaciòn de VAN
en caja ùnica
Desactualización de los sitemas y equipos
Medio 1-Contratar el personal
idóneo para realizar los ajustes necesarios a los sistemas y capacitar a los informáticos de la Tesorería Nacional.
1-Sistemas adecuados a los requerimientos de la operativa.
80% Se contrató empresa
desarrolladora del proyecto, la cual ha realizado mejoras a los sistemas. Falta migración a nueva
plataforma
Gerente de Programaciòn y Gestiòn de Caja
oct-09
Alteración de la información
Medio 1-Contratar el personal idóneo para realizar los ajustes necesarios a los sistemas y capacitar a los informáticos de la Tesorería Nacional.
Sistemas enlazados entre sí, que permita la agilidad y eficiencia requerida.
80% Se están realizando pruebas en los sistemas GTE y
SCCF
Terminar las pruebas Coordinadora Operaciones Bancarias
oct-09
Debilitamiento del control y del seguimiento sobre las operaciones de las entidades en Caja Unica.
Consid
era
ble Especializar al personal
en labores concretas, orientadas al control y evaluación del cumplimiento del reglamento de Caja Unica por parte de las instituciones.
Plan de seguimiento y control de las entidades en Caja Unica.
75% Falta de Personal para dar el seguimiento necesario a algunos temas importantes como el de la Programación y otros afines
Dedicarse al análisis de las programaciones , verificación estados de cuentas, entre otros
Coordinadora Unidad Operaciones Bancarias
Matriz # 3 IDENTIFICACIÓN Y SEGUIMIENTO DE LAS ACCIONES
Proceso : PA-014 CAJA UNICAObjetivo: Administrar eficientemente los recursos de las entidades en Caja UnicaSeguimiento al julio 2009 de
Expertos: Rosibel Rodriguez
2.1 Metodología: Resultados
A partir de la evaluación se identifican acciones que conforman plan de acción o de administración de riesgos
Revisión periódica de la evaluación para actualizar valoraciones y eventualmente establecer nuevas acciones.
Seguimiento a nivel institucional de las acciones.
2.2. Oficialización de Política Institucional para la Planificación y la Administración de los riesgos en procesos de TI. Junio 2011
2.3 Definición de mecanismo de evaluación periódico de la política institucional de riesgos TI Junio 2011
1. Objetivo2. Definiciones3. Ámbito de aplicación4. Roles y responsabilidades5. Operación6. Disposiciones finales
3. Resultados y acciones específicas
1. Desarrollo de metodología de valoración de riesgo a partir de la investigación sobre experiencias en otras instituciones .
2. Adopción de la metodología a nivel institucional MH.3. Aplicación de la metodología a nivel de la TN. ( base procesos sustantivos)4. Elaboración de plan de acción para los riesgos pertinentes.5. Ejecución de acciones establecidas en el plan: destacando adopción de sitio
alterno para sistemas de información con garantía de continuidad 99.9%, definición de política de respaldo de la información, capacitación de funcionarios.
6. Se migraron sistemas a centro de procesamiento de datos privado de clase mundial, certificado TIER 4
7. Actualización periódica de la evaluación de riesgos.8. Elaboración de Plan de Continuidad de Negocio para la DGI del MH.9. Plan de Continuidad de Negocio por parte del BCR y de los bancos cajeros
auxiliares.10. Todos los bancos cajeros auxiliares disponen de sitios alternos y de un PCN.
3. Consideraciones Finales
1. Se ha consolidado un enfoque conceptual de general aplicación debidamente formalizado en normativa y alineado con prácticas internacionales
2. Complementariamente a la normativa general , con enfoque institucional en el MH se ha establecido una política formal debidamente estructurada.
3. El instrumento de evaluación es una herramienta fundamental para que la política se operacionalice.
4. Se han concretado acciones específicas de impacto que disminuyen riesgos operativos.
5. El proceso está en desarrollo, aún tenemos retos importantes por delante y creemos que el enfoque institucional que se ha dado no solo es consecuencia del enfoque organizacional de la TI sino que genera importantes beneficios.
6. Se valora el desarrollo o adquisición de una herramienta computadorizada más elaborada para realizar la valoración
Muchas gracias