Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COSO 2013
Socios Estratégicos
Oficial de
Cumplimiento
Supervisión Consolidada
Delega funciones en el Comité de • Reglamenta el Comité
Gestión de Riesgos de Gestión
• Política Marco de GR y
Manuales según
Comité Órgano de aplicación de políticas. Riesgo
Reuniones periódicas
de Recomendable: Director • Misiones y Funciones
Gestión independiente, Gerente General y
de Responsable de GIR
• Diseño de metodología
Comunicación eficaz
Riesgos de Pruebas de Estrés
Integral
Funcionalidades
Generación de una base de riesgos.
Asociación a procesos y productos.
Relación con controles mitigantes.
Estimación de impacto y ocurrencia.
Incorporación de planes de mitigación.
Generación de indicadores.
Relación con Normas y Políticas.
Administración Testeos y Auto-testeos.
Obtención de Reportes de Gestión.
Obtención de Reportes de Incidencias.
Planes de Acción y Seguimiento.
Emisión de Certificaciones.
Estandarización de Narrativos.
Auditoría, crítica del Modelo de GIR
Evaluación de la metodología.
• Desafío las premisas / supuestos
• Validar el soporte de los escenarios
• Analizar los resultados
• Informar aspectos relevantes y/o acuerdos de mejora
Supuestos Presentación
Diseño de las Ejecución de
para la de
pruebas las Pruebas
preparación Resultados
Acciones
AIG correctivas
Oficial de Cumplimiento
12
CRM Regulatory Complience Management
13
Modelo de “tres líneas de defensa”
Segunda línea:
Tercera línea:
Controles de
Controles Entity
supervisión área
Primera línea: Level.
independiente.
Controles en
origen.
Debe contar con procedimientos adecuados sobre la base del día a día. Incluye supervisión,
seguimiento y prueba de aseguramiento de adhesión y eficacia
Auditoría Interna independiente que valida la eficacia y adhesión al Marco RCM en base a
riesgos, en forma regular y con rotación de énfasis. Aplica al nivel 1 y 2.
14
COSO 2013
C
Componentes Principios Buenas Prácticas
O Ambiente de
Control
2.
3.
4.
Ejercitar la supervisión de manera responsable
Establecer estructura, autoridad y responsabilidad
Demostrar compromiso por ser competente
Gobierno Corporativo
S 5. Reforzar la responsabilidad
2
Actividades de
11. Seleccionar e implementar controles generales sobre TI 3 Líneas de Defensa
Control
12. Formalizar a través de políticas y procedimientos
0 Información y
Comunicaciones
13. Usar información relevante
14. Comunicar internamente Cumplimiento
1 Actividades de
15. Comunicar externamente
Puntos de
interés : 78
15
Nuevos Desafíos …
Mayor importancia de la Planificación Estratégica
Fraude IT
Desarrollo Tablero de Monitoreo del Comité
Por donde empiezo??
Auditores conocedores del negocio, contexto y
estrategia, así como de los riesgos claves y
puntos críticos de control que los mitigan.
Monitorear la Gestión de
riesgos, su interrelación
con procesos de negocios
y sus riesgos, evaluando
el grado de adhesión al
control.
SUCURSALES
SUCURSALES CON RIESGO ACUMULADO SUCURSALES CON RIESGO ACUMULADO SUCURSALES CON RIESGO ACUMULADO
ALTO Y MEDIO ALTO MEDIO MEDIO BAJO Y BAJO
TOTAL
DIVISIÓN/REGIÓN
% SOBRE EVOLUCIÓN % SOBRE EVOLUCIÓN % SOBRE EVOLUCIÓN
CANT. RANKING CANT. RANKING CANT. RANKING
TOTAL SUC CANTIDAD TOTAL SUC CANTIDAD TOTAL SUC CANTIDAD
SUC. BCO SUC. BCO SUC. BCO
REGIÓN SUC A y MA REGIÓN SUC M REGIÓN SUC MB y B
Jujuy 0 0% 14 = 1 7% 14 = 14 93% 1 = 15
Ranking Divisiones:
Pcia
División Tucumán Oeste Córdoba Patagonia Amba Santa Fe Salta Nea Jujuy
Bs As
% SUC
43% 40% 27% 20% 10% 9% 7% 7% 3% 0%
A / MA
Gestión del Ambiente de Control
RIESGO PRESTAMOS BE + BI
¿EVOLUCIÓN RIESGO?
RIESGO ACUMULADO
RIESGO ACUMULADO
RIESGO ACUMULADO
RIESGO ACUMULADO
RIESGO ACUMULADO
RIESGO OPERATIVO
(PONDERACIÓN: 45)
(PONDERACIÓN: 25)
(PONDERACIÓN: 10)
(PONDERACIÓN: 10)
(PONDERACIÓN: 10)
RIESGO CONTABLE
RANKING BANCO
SITUACIONAL
RIESGO PLD
PRESTAMOS
OPERATIVO
SUCURSAL
CONTABLE
DIC 2014
DIC 2014
DIC 2014
DIC 2014
DIC 2014
PLD
Unir con valor de riesgo de los procesos
POSADAS
MEDIO BAJO ALTO BAJO BAJO MEDIO BAJO Controles
MEDIO MEDIO ALTO MEDIO MEDIO 303 SIN CAMBIOS
OBERA
MEDIO BAJO MEDIO MEDIO BAJO MEDIO BAJO Compliance
MEDIO MEDIO MEDIO MEDIO MEDIO 334 SIN CAMBIOS
Supervisión
MEDIO BAJO MEDIO MEDIO BAJO BAJO BAJO MEDIO BAJO MEDIO MEDIO BAJO 362 DISMINUCIÓN
A. DEL VALLE
Revisiones
Online
Indicadores de Control
Lo importante es estar
preparados…
Pero cómo?
A través de un
SISTEMA DE
GESTIÓN DE LA
CONTINUIDAD DE
NEGOCIO
22
Continuidad de negocio ??…
Pudimos salir
planificadamente
del desastre…
Y ahora que
hacemos ???
23
Continuidad de negocio vs Continuidad de
procesamiento
RPO RTO
4-24 horas 1-4 horas 0-1hora 0-1hora 1-4 horas 4-24 horas
Copias de Copias de Replicación de Clustering Clustering
respaldo en respaldo datos en espejo activo-activo activo-pasivo Cold standby
cinta basadas en (mirroring) Hot standby
Envío de disco
registros Imágenes
instantáneas
Replicación con
demora
Envío de
registros
Continuidad de
negocio
Continuidad
de TI
24
AUDITORIA CONTINUA
Disponibilidad del Negocio
Riesgos claves
Procesos del Negocio
Indicadores de la
Minimizar tiempos
Gerencia de Producción
excedidos
Errores/cancelaciones en el
proceso Resolución de
errores/cancelaciones
Uso de comandos sensitivos
Tiempo de procesamiento /
Calidad
25
Ejemplo de Tableros … Combina riesgo y Debilidades
Satisfactorio 90% ≤ AC ≤ 100% Riesgo Residual
Aceptable 70% ≤ AC < 90%
[RI + (1-AC)] / 2
Ajustado 40% ≤ AC < 70%
LOGS
Gestión
Modelado
de
Generación Datos
de
Indicadores
29
“Los problemas que tenemos no pueden ser
resueltos pensando de la misma manera en que
pensamos cuando los creamos”
Albert Einstein
carmenestevez@macro.com.ar