RIESGO OPERACIONAL.
Enviado por Ninoka • 26 de Octubre de 2017 • 5.499 Palabras (22 Páginas) • 412 Visitas
...
-
Marco para la gestión integral de riesgos.
En el Perú, el marco regulatorio sobre Gestión de Riesgo Operacional está constituido por las siguientes normas, las cuales tomamos como referenciales al no existir para el sector cooperativo regulación propia:
- Resolución SBS Nº 2116-2009, “Reglamento para la Gestión del Riesgo Operacional” del 2 de Abril de 2009.
Esta resolución establece que las entidades financieras deben realizar una gestión adecuada del riesgo operacional que enfrentan, para lo cual observarán los criterios mínimos indicados en la misma. Asimismo, delimita las funciones, responsabilidades y perfil de puestos para los integrantes y responsables en todo nivel, así:
- El Directorio es responsable de definir la política general para la gestión del riesgo operacional.
- La Gerencia General es responsable de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio.
- Las funciones del Comité de Riesgos, señaladas en el Reglamento de la Gestión Integral de Riesgos, son de aplicación a la gestión del riesgo operacional.
- El Área de Riesgos recibe el encargo de administrar el riesgo operacional, incorporando, de ser necesario, a alguna unidad especializada adicional. La norma enfatiza la necesidad de mantener independencia entre el Área de Riesgos de aquellas otras unidades de negocio o de apoyo.
La norma exige la presentación de informes anuales referidos a la gestión del riesgo operacional, a través del software IG-ROp, los cuales deberán ser remitidos a más tardar el 31 de enero del año siguiente al año de reporte. El contenido mínimo del referido informe, así como los aspectos operativos del IG-ROp, relacionado con las instrucciones, responsables y demás aspectos necesarios para su adecuado funcionamiento, se establecen en el “Manual del IG-ROp.
La norma presenta la gestión del riesgo operacional considerando los siguientes aspectos:
- El Manual de gestión del riesgo operacional
- La metodología para la gestión del riesgo operacional
- Las instituciones deberán contar con una base de datos de los eventos de pérdida por riesgo operacional.
- Las instituciones deben implementar un sistema de gestión de la continuidad del negocio; así como un sistema de gestión de la seguridad de la información.
- Las instituciones deberán establecer políticas y procedimientos apropiados para evaluar, administrar y monitorear los procesos subcontratados.
- Circular Nº G-140-2009, “Gestión de la seguridad de la información” del 2 de Abril de 2009.
Las instituciones deberán establecer, mantener y documentar un sistema de gestión de la seguridad de la información (SGSI). Las actividades mínimas que deben desarrollarse para implementar el SGSI, son las siguientes:
- Definición de una política de seguridad de información aprobada por el Directorio.
- Definición e implementación de una metodología de gestión de riesgos, que guarde consistencia con la gestión de riesgos operacionales de la institución.
- Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estándares, políticas, procedimientos y otros definidos por la institución, así como mantener pistas adecuadas de auditoría.
Como parte de su sistema de gestión de la seguridad de información, las instituciones deberán considerar, como mínimo, la implementación de los controles generales que se indican a continuación:
- Seguridad lógica.
- Seguridad de personal.
- Seguridad física y ambiental.
- Inventario de activos y clasificación de la información.
- Administración de las operaciones y comunicaciones.
- Adquisición, desarrollo y mantenimiento de sistemas informáticos.
- Procedimientos de respaldo.
- Gestión de incidentes de seguridad de información.
- Privacidad de la información.
- Cumplimiento normativo.
Las instituciones son responsables y deben verificar que se mantengan las características de seguridad de la información contempladas en la norma, incluso cuando ciertas funciones o procesos puedan ser objeto de una subcontratación. Asimismo, deben asegurarse que el procesamiento y la información objeto de la subcontratación, se encuentre efectivamente aislada en todo momento.
Como parte de los informes periódicos sobre gestión del riesgo operacional, las instituciones deberán incluir información sobre la gestión de la seguridad de la información.
- Circular Nº G-139-2009, “Gestión de la Continuidad del Negocio”, del 2 de Abril de 2009.
La gestión de la continuidad del negocio es un proceso, efectuado por el Directorio, la Gerencia y el personal, que implementa respuestas efectivas para que la operatividad del negocio de la institución continúe de una manera razonable, con el fin de salvaguardar los intereses de sus principales grupos de interés, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la institución.
Las instituciones deberán contar con una función de continuidad del negocio, la cual tendrá a su cargo las siguientes responsabilidades.
- Proponer las políticas, procedimientos y metodología apropiados para la gestión de la continuidad del negocio en la institución, incluyendo la asignación de roles y responsabilidades;
- Velar por una gestión de la continuidad del negocio competente;
- Informar a la gerencia general y al comité de riesgos los aspectos relevantes de la gestión de la continuidad del negocio para una oportuna toma de decisiones.
En función a su tamaño y complejidad de operaciones y servicios, esta función será desempeñada por una unidad especializada o asignada a otra unidad de la institución.
- Las instituciones deberán desarrollar
...