Nombre de la Conferencia - clai2017.com³n-de... · marco de Gobierno de las TI Q3: Usted domina el...

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina

José Esposito


José Esposito Li-Carrillo

MA en Economía, CIA, CRMA, CRISC, AMLCA

Auditor Corporativo

Credicorp Ltd

2


Licenciado en Economía por la Universidad del Pacífico, Peru; Master of Arts

in Economics in the field of Econometrics, University os Wisconsin-Milwaukee,

EE.UU.; CIA y CRMA por el Institute of Internal Auditors (IIA Global), CRISC

por ISACA, AMLCA por Florida International Bankers Assoc. (FIBA) y Florida

International University (FIU), EE.UU. Level 3 Certificate in Insurance por el

Chartered Insurance Institute, Reino Unido. Auditor Corporativo del Banco de

Crédito del Perú y Credicorp Ltd desde el 2010. Actualmente es Miembro del

Financial Services Advisory Group (FSAG) del IIA Global. Past Presidente del

Comité de Auditores Internos CLAIN de FELABAN, Past Presidente del

Comité de Auditores Internos de la Asociación de Bancos del Perú, Past

Presidente del Comité de Auditoría de Visanet Perú. Anteriormente ha sido

Chief Financial Officer y Chief Risk Officer de Pacífico Seguros; Chairman y

CEO de Credibolsa SAB del Grupo Credicorp, Vicepresidente del Directorio

de la Bolsa de Valores de Lima, Vicepresidente del Directorio de Pacífico

Salud EPS y miembro del Directorio de Caja de Valores y Liquidaciones

CAVALI ICLV y de la Bolsa de Productos de Lima. Actualmente es profesor de

la Maestría en Finanzas de la Escuela de Post Grado de la Universidad del

Pacífico en Lima.

3

José Esposito

MA, CIA, CRMA, CRISC,

AMLCA

Auditor Corporativo

Credicorp y subsidiarias

<Su foto>

1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 4


Q1: Su organización ha definido formalmente un marco de Gobierno de las TI

Q3: Usted domina el marco COBIT 5.0 de ISACA?

Q4: Su unidad de Auditoría Interna utiliza las herramientas del COBIT 5.0 para realizar su trabajo?

Q7: Su organización ha definido un marco de gobierno para el riesgo de ciberseguridad

Fuente: Encuesta a participantes del CLAI 2017, n=46


¿Qué es valor?

Generando Valor a través

del COBIT 5.0, una mirada

no especialista


¿Vemos lo mismo?

¿Queremos ver lo mismo?

¿Debemos ver los mismo?

8


Mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y análisis en base a riesgos

To enhance and protect organizational value by providing risk-based and objective assurance, advice, and insight

Principio 9 › Hace análisis profundos, es proactiva y está

orientada al futuro

› Is insightful, proactive, and future-focused

9


Visión y misión

Generando Valor a través

del COBIT 5.0, una mirada

no especialista

10


Modelo de maximización del valor al accionista › (Max) la suma de ganancias de capital y dividendos

dado un nivel de riesgo

› Capitalismo “trimestral”

› Mercados eficientes: (Max) precio de la acción

Modelo del capitalismo de los grupos de interés

› Mayor poder de sindicatos y de los estados

› Riesgo total: financiero y operativo

› Capitalismo de largo plazo

› Cumplir varios objetivos simultáneos complica la

gestión 11


Fuente: Multinational Business Finance, Eitman, Stonehill y Moffet, pag. 35, Pearson , 2013.

12


“Nuestra evidencia empírica muestra que las empresas familiares generalmente superan a las empresas no familiares

y, como resultado, la propiedad familiar puede ser beneficiosa para los accionistas minoritarios. Este efecto positivo de

la propiedad familiar se debe principalmente a aquellas empresas familiares en las que los miembros de la familia

forman parte del consejo de administración y de los negocios familiares controlados por la primera generación ". ¿El

tipo de control familiar afecta la relación entre la estructura de propiedad y el valor de la empresa?, Martinez y

Requejo,; International Review of Finance, 17:1; 2017

13


+ 47%

$22.6

$15.4

R. Eccles, I. Oannis y G. Serafeim (Harvard y London Business School) SSRN, 2011

http://ssrn.com/abstract=1964011; página 44

14


La sostenibilidad corporativa es un enfoque de

negocios que crea un valor para el accionista a largo

plazo mediante el aprovechamiento de oportunidades y

la gestión de los riesgos derivados de los desarrollos

económicos, ambientales y sociales.

Nuestro enfoque en la sostenibilidad corporativa se

basa en dos principios rectores:

› Las prácticas empresariales sostenibles son fundamentales

para la creación de valor a largo plazo para los accionistas en

un mundo cada vez más limitado de recursos

› Los factores de sostenibilidad representan oportunidades y

riesgos que las empresas competitivas deben abordar

http://www.sustainability-indices.com/sustainability-assessment/corporate-sustainability.jsp

15


Cantidad de basura desechada de las áreas de su empresa donde está data sea verificable y auditable

Los reportes sobre temas ambientales son públicos y altamente visibles en sus informes?

Proveer información detallada según tablas del consumo de energía

Indique cómo es auditado, verificado, su sistema de gestión ambiental

Su empresa hace pública la remuneración de su Directorio así como la de sus principales ejecutivos?

Su empresa establece y monitorea objetivos cuantitativos para mejorar la satisfacción de sus clientes y estos objetivos son públicos?

Qué políticas pone en práctica para asegurar una cultura anti lavado de activos y anti financiamiento del terrorismo?

16


Fuente: http://www.robecosam.com/en/sustainability-insights/about-

sustainability/corporate-sustainability-assessment/industry-group-leaders.jsp

27 bancos y 17

empresas de

seguros

Banco do Brasil

Banco Itaú

Bancolombia

17


Las empresas listadas en bolsa tienen una

referencia: precio de la acción

› 20%-30% por dividendos (normalmente la gerencia)

70%-80% (otros factores)

¿Pero las empresas no listadas?

› En SUS empresas, ¿quién general valor y cómo

se mide?

› ¿Cómo auditoría genera valor?

21


Visión y Misión

¿Qué es valor?

22


COBIT: creación de valor significa conseguir beneficios a un costo

óptimo de los recursos mientras se optimiza el riesgo

24


Obje

tivo 3

: Gestio

nar rie

sgos d

el n

egocio

Objetivo TI 04:

Gestionar riesgos

relacionados TI

Objetivo TI 10:

Seguridad de informa-

ción, infraestr y apps


Obje

tivo T

I04: G

estio

nar rie

sgo re

lacio

nados c

on T

I

Obje

tivo T

I 10: S

egurid

ad in

form

ació

n, in

fraest. a

pps

EDM 03:

Asegurar optimización

del riesgo

APO 12:

Gestionar el Riesgo


• Determinar nivel de riesgo TI aceptable en función del apetito de riesgos

• Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo

EDM03.01 Evaluar la Gestón de Riesgos

• Promover una cultura consciente de riesgos de TI e impulsar a la empresa a identificarlos proactivamente

• Orientar la elaboración de planes de comunicación de riesgos y planes de acción

EDM03.02 Orientar la Gestión de riesgos

• Supervisar las métricas clave de la gestión de riesgos, analizar desviaciones y recomendar

• Informar cualquier problema de gestión de riesgos al Consejo

EDM03.03 Supervisar la Gestión de riesgos


Asegura- miento

Riesgos

EDM03.1 - Determinar el

nivel del riesgo TI que la

empresa está dispuesta a

aceptar en función al

apetito de riesgos

EDM03.01 – Evaluar la

Gestión del Riesgo

3.1.1 Realizar una evaluación integral

de riesgos IT nivel empresa

3.1.2 Patrocinar talleres de trabajo

con la Gerencia para discutir de

manera general la cantidad de riesgo

que la empresa desea asumir para

cumplir sus objetivos

3.1.4 Ejecutar una revisión top-down

y end-to-end de los servicios y

procesos de negocio, e identificar

los puntos más importantes de

soporte de TI.

3.1.5 Identificar eventos relacionados

TI y condiciones que puedan poner

en peligro el valor, afectar el

desempeño y la ejecución de

actividades críticas

1 La función de aseguramiento está

gestionando el riesgo empresarial

mediante metodologías efectivas y

la supervisión de las actividades de

aseguramiento

2. Integrar la función de

aseguramiento de la gestión de

riesgos con el modelo general de

Gestión Integral de Riesgos

3.1.9 Identificar áreas de enfoque de

riesgo, escenarios, factores y

medidas de riesgo que requieran la

atención de la Gerencia

EDM03.03 – Monitorear la

Gestión del Riesgo

3. Monitorear el perfil de riesgos de

la empresa para asegurar que los

procesos de evaluación de riesgos

reflejen el perfil actual y real de

riesgos


Asegura- miento

Riesgos





apetito de riesgos


Gestión del Riesgo












soporte de TI.










aseguramiento










Gestión del Riesgo





riesgos


• Medir y analizar datos históricos de riesgos de TI y de pérdidas tomadas internamente y de fuentes externas

APO12.01 Recopilar Datos

• Construir y actualizar regularmente escenarios de riesgo

• Validar los resultados de los análisis de riesgos antes que sean utilizados en toma decisiones

APO 12.02 Analizar el Riesgo

• Determinar los recursos Ti e infraestructura TI necesarios par mantener la operación

APO12.03 Mantener un perfil de riesgos

• Informar los resultados del análisis de riesgos a todas las partes interesadas

• Revisar los resultados de evaluaciones de terceros, auditoría interna y QA, y mapearlos contra el perfil de riesgos

APO12.04 Expresar el riesgo

• Mantener un inventario de actividades de control APO12.05 Definir un

portafolio de acciones

• Preparar, mantener y probar planes

• Categorizar los incidentes y comparar las exposiciones reales con los umbrales de tolerancia al riesgo

APO12.06 Responder al Riesgo


Riesgos

Riesgos

APO12.01 Identificar y

recolectar data relevante

para permitir una

identificación de riesgos TI,

análisis,reporte

APO12.03 Mantener un

inventarios de riesgos

conocidos y de atributos de

riesgo

1.1 Establecer y mantener un método

para la colección, clasificación y

análisis de la data relacionada a TI,

1.3 Inspeccionar y analizar la data

histórica de riesgos TI y la

experiencia de pérdidas de data

externa disponible y tendencias,

pares de la industria, a través de

bases de datos, acuerdos inter

empresariales y otros.

3.2 Determinar y acordar en qué

servicios de TI y recursos de

infraestructura TI son esenciales

para mantenerlas operaciones

3.6 Capturar información de eventos

de riesgo TI que se hayan

materializado, para su inclusión en

el registro de riesgos de la empresa

2.2 Construir y regularmente

actualizar escenarios de riesgos TI, y

desarrollar expectativas para

actividades de control específicas

4.1 Reportar los resultados del

análisis de riesgos a todas las

partes afectadas en terminología y

formatos útiles para la toma de

decisiones

4.3 Reportar el perfil de riesgo

actual a todos los grupos de interés,

incluyendo la efectividad del

proceso de gestión de riesgos

APO12.02 Desarrollar

información útil para

soportar que las decisiones

de riesgo tomen en cuenta

a relevancia de los factores

de riesgos

APO12.04 Articular

Riesgos: Proveer

información del estado de

las exposiciones

relacionadas a TI


Riesgos

Riesgos



para permitir una


análisis,reporte




riesgo








parees de la industria, a través de



















decisiones









la relevancia de los factores

de riesgos

APO12.04 Articular

Riesgos: Proveer


las exposiciones

relacionadas a TI


Riesgos

Riesgos



para permitir una


análisis,reporte




riesgo



























decisiones










de riesgos

APO12.04 Articular

Riesgos: Proveer


las exposiciones

relacionadas a TI


Asegura- miento

Riesgos

APO12.05

Definir un portafolio de

actividades de gestión de

riesgos

APO12.01- Recopilar data

APO12-02 – Analizar riesgos

APO12.03 – Mantener un

perfil de riesgos

APO12.04-ArticularRiesgos

APO12.05 – Definir un

portafolio de actividades de

gestión de riesgo

APO12.06- Responder

5.1 mantener un inventario de

actividades de control existentes

para gestionar riesgos y que permita

que los riesgos aceptados estén en

línea con el apetito y la tolerancia

5.2 Determinar si cada entidad

organizativa monitorea los riesgos y

acepta su responsabilidad por

operarlos dentro de sus niveles

individuales de tolerancia

1 Identificar y recolectar

información relevante para permitir

un identificación efectiva de riesgos,

su análisis y reporte

2. La función de aseguramiento

identifica, analiza y evalúa riesgo en

la empresa

3. Crear un perfil empresarial de

riesgos que incluya aspecto de

aseguramiento

4. Definir e implementar la

evaluación de riesgos y estrategias

e aseguramiento


continuamente monitorea los

niveles de riesgo

6. Incluir los niveles de riesgo como

insumo para el plan de

aseguramiento

6.2 Categorizar incidentes, y

comparar sus exposiciones contra

límites de tolerancia al riesgo.

Comunicarlo a las partes interesadas

APO12.06

Respuesta al Riesgo


Asegura- miento

Riesgos

APO12.05



riesgos




perfil de riesgos




gestión de riesgo

APO12.06- Responder

















la empresa



aseguramiento



e aseguramiento



niveles de riesgo



aseguramiento





APO12.06

Respuesta al Riesgo


7 principios para la gestión del riesgo

(CfR30)

Listado General de políticas de riesgo (CfR31)

Estándares y Códigos de ética (CfA35)

46


Procesos (12) que soportan la función de

riesgos (CfR35)

Procesos (11) que soportan la función de aseguramiento (CfA41)

EDM01, EDM02, EDM05, APO02, APO06, APO07, APO08, APO11, BAI08, MEA01, MEA02, MEA03

47

EDM01, EDM02, EDM03, EDM05, APO02, APO08, APO11. APO12, APO06, APO07, BAI08


Estructuras Organizativas Clave

(3LD) y otras relevantes a Riesgos (CfR38)

Roles clave del Directorio, Auditoría, Cumplimiento y Auditores Externos (CfA46)

Roles adicionales del CEO, Comité de estrategias TI, CRO, CIO, CISO, CFO (CfA 49)

48


Objetivos clave, criterios de medición y producto esperado del

comportamiento general, profesionales

de riesgo y Gerencia (CfR42)

8 Competencias Especiales de equipos de Aseguramiento (CfA53)

Competencia generales y de la Gerencia para un nivel deseado de Aseguramiento (CfA 53)

49


El Modelo Completo para el soporte del

Gobierno y la Gestión de la Información

(CfR48)

18 objetos – objetivos de información necesarios para un buen gobierno de aseguramiento (CfA59) y Anexo B5

50


Listado de servicios y aplicaciones de soporte

para apoyar una adecuada gestión de

riesgos (CfR 52)

16 servicios y aplicaciones de soporte para la función de aseguramiento (CfA63) y Anexo B6

51


Listado del conjunto de habilidades y

competencias para la Gestión de Riesgos –

11 perfiles (CfR56) Listado del conjunto de habilidades y competencias para el Aseguramiento – 16 perfiles (CfA210)

52


Cod

ProcesoProceso Descripción del Proceso Ejemplos de controles establecidos Subcategory NIST Cybersecurity Framework

EDM03Direccionar la Gestión

de Riesgos

El establecimiento de prácticas para la gestión de

riesgos que permita brindar aseguramiento

razonable que el Riesgo de TI no exceda el

apetito de riesgos del Directorio

Se han definido Comités e instancias que definen el apetito de riesgo

de la organización, como: El Comité de Riesgo, el Comité de Riesgo

Operativo y el Comité de Nuevos Productos o Cambios Significativos.

RC.CO-1: Public relations are managed

ID.AM-6: Cybersecurity roles and responsibilities for the entire workforce

and third-party stakeholders (e.g., suppliers, customers, partners) are

established

ID.GV-1: Organizational information security policy is established

PR.DS-1: Data-at-rest is protected

PR.DS-2: Data-in-transit is protected

PR.DS-5: Protections against data leaks are implemented

ID.BE-5: Resilience requirements to support delivery of critical services are

established

ID.GV-4: Governance and risk management processes address

cybersecurity risks

ID.RA-4: Potential business impacts and likelihoods are identified

PR.IP-9: Response plans (Incident Response and Business Continuity)

and recovery plans (Incident Recovery and Disaster Recovery) are in place

and managed

DE.CM-1: The network is monitored to detect potential cybersecurity events

DE.CM-4: Malicious code is detected

DE.DP-1: Roles and responsibilities for detection are well defined to

ensure accountability

ID.AM-3: Organizational communication and data flows are mapped

PR.AC-1: Identities and credentials are managed for authorized devices

and users

PR.MA-2: Remote maintenance of organizational assets is approved,

logged, and performed in a manner that prevents unauthorized access

PR.PT-2: Removable media is protected and its use restricted according to

policy

ID.GV-3: Legal and regulatory requirements regarding cybersecurity,

including privacy and civil liberties obligations, are understood and

managed

RC.CO-2: Reputation after an event is repaired

APO01Gestionar el Marco de

Gestión de TI

Establecer, acordar y comunicar roles y

responsabilidades del personal de TI y personal

con responsabilidades corporativas de Gestión de

TI

Se ha nombrado a un Asesor de alto nivel encargada de brindar

apoyo en los temas vinculados a Ciberseguridad a las Gerencia

General y al Directorio. Asimismo, se han articulado Unidades, a

nivel de Áreas de Arquitectura, Seguridad Informática, Seguridad

para Gestión que apoyan en la mitigación de riesgos de

Ciberseguridad.

DSS04Gestionar la

Continuidad

Enfocada en el mantenimiento de una estrategia

de continuidad y del desarrollo e implementación

de un plan de respuesta a la continuidad de

información

El banco ha definido procedimientos de contingencia de los servicios

críticos de TI, el cual se prueba, bajo diversos escenarios de riesgo y

que se realiza anualmente. A nivel de tecnología, se ha establecido

planes de respuesta y recuperación. Asimismo, la organización ha

establecido procedimientos de contingencia operativa producto de

una evaluación de riesgos y enfocandose a los procesos críticos de la

organización.

DSS05Gestionar los servicios

de seguridad

Enfatizando en los controles para la protección

contra software malicioso (Malware), seguridad de

la red y las conexiones, identificación de usuarios

y acceso lógico, monitoreo de la infraestructra

para la detección de eventos relacionados con la

seguridad.

El banco mantiene el proceso de gestión de credenciales basado en

un esquema de roles con los accesos requeridos de acuerdo a las

funciones que realiza cada usuario. Mecanismos de protección para

el uso de la lectora USB para evitar la infección por virus y malware.

Se han instalado antivirus a nivel de toda la red, con procedimientos

de actualización periodico, así como, estandares de configuración de

linea base de seguridad para las plataformas utilizadas en la

organización y bases de datos

MEA03

Supervisar, Evaluar y

Valorar la conformidad

con los requerimientos

externos

Identificar los requerimientos externos para el

cumplimiento legal y regulatorio del

establecimiento de controles de ciberseguridad.

Así como el establecimiento eficaz para el

cumplimiento de estos requerimientos.

A nivel bancario las regulaciones correspondientes a la G-140-2009, G-

139-2009, G-167-2012, así como regulaciones de US como GLBA

section 501b. El Banco a través de Evaluaciones de Auditoría, la

evaluación del cumplimiento del Programa de Seguridad de

Informació, las evaluaciones de Ethical Hacking cumple con la

normatividad vigente.


https://www.ffiec.gov/cyberassessmenttool.htm


Factores de éxito

› Alineamiento sobre las estrategias y objetivos

organizacionales; pero sobre todo sobre los

KRIs, KPIs, ¿qué es valor?

› Entendimiento de todos de las metas del

negocio y de las TI: precio o sostenibilidad?

› Asegurar comunicación efectiva

› Traducir > Hablar en fácil

55


Áreas sensibles

› Manejo de la frustración por iniciativas fallidas,

altos costos de TI o baja percepción de valor

› Incidentes de TI, pérdida de información

› Problemas en la tercerización

› Poco involucramiento de la alta dirección en TI

› No aceptar los inminentes cambios en el entorno

56

#ProgresarCompartiendo #CLAI2017

Los invitamos a compartir sus comentarios en twitter e Instagram:

Nombre de la Conferencia - clai2017.com³n-de... · marco de Gobierno de las TI Q3: Usted domina el...

Documents

Transcript of Nombre de la Conferencia - clai2017.com³n-de... · marco de Gobierno de las TI Q3: Usted domina el...