jb-2005-834 (emitida por la sbs el 20 de octubre del 2005)
TRANSCRIPT
Estándar de Control Interno
JB-2005-834(Emitida por la SBS el 20 de Octubre del
2005)
En octubre del 2005, la Junta Bancaria expidió la Resolución JB-2005-834, relativa a la Gestión del Riesgo Operativo.
En la cual se imparte una serie de disposiciones para propender a que las instituciones del sistema financiero cuenten con un sistema para la gestión del riesgo operativo que les permita identificar, medir, controlar / mitigar y monitorear los riesgos derivados de fallas o insuficiencias en los procesos, personas, tecnologías de información y eventos externos incluyendo el riesgo legal.
Antecedentes
Esta norma determina que los plazos para que las instituciones del sistema financiero tengan implantados sus sistemas de gestión del riesgo operativo son:
31 de octubre del 2008 para grupos financieros, bancos:◦ sociedades financieras, emisoras y
administradoras de tarjetas de crédito y otras. 31 de octubre del 2009 para
cooperativas de ahorro y mutualistas.
Antecedentes
• La SBS emprendió una campaña masiva de capacitación y difusión
• En el mes de Julio del 2009 emprendieron una revisión de monitoreo.
• Dificultades para la implementación del riesgo operativo: Falta de recursos financieros, tecnológicos y de personas.
• Resistencia al cambio o poco entendimiento de los beneficios de implementación
• Necesidad de que los sistemas de información incorporen mejores mecanismos de seguridad y sean flexibles para la incorporación de los lineamientos de la administración del riesgo operativo.
Antecedentes
• El Consejo de Administración y los diferentes comités de apoyo administrativo tienen una alta responsabilidad en la administración del riesgo operativo.
• Responsabilidades del Comité de Riesgos.
• Mayor enfoque de auditoria orientado hacia el riesgo de Auditores Externos y Calificadoras de Riesgo.
• Pilares para la gestión del riesgo en las COAC’s: Gobierno Corporativo, Administración del Riesgo y Cumplimiento.
Antecedentes
Establecer los lineamientos de control para la Gestión Integral de Riesgos tecnológicos en el Ecuador bajo las normas internacionales vigentes y aquellas establecidas por la Superintendencia de Bancos y Seguros del Ecuador.
Determinar la factibilidad de implementación a la que se enfrentan las entidades financieras ecuatorianas para la implementación de los controles de la gestión tecnológica bajo el marco de regulación gubernamental existente.
Presentar la visión gerencial sobre la forma en que se implementa un adecuado gobierno de tecnología de información que agrega valor a los procesos de los diferentes niveles en la pirámide organizacional de las entidades financieras.
Objetivos Generales
Analizar el impacto que tienen los sistemas de información en el Sistema Financiero y su aprovechamiento dentro de sus operaciones así como en la toma de decisiones a nivel gerencial.
Analizar la forma en que el control interno interviene dentro de la gestión de tecnología de información.
Identificar los estándares, lineamientos y mejores prácticas relacionadas con una gestión de tecnología de información exitosa enfocada en la mitigación de los riesgos relacionados.
Analizar la evolución y aplicación de las normas y lineamientos sobre la gestión del riesgo operativo por parte del Sistema Financiero.
Objetivos Específicos
Establecer las diferentes variables que debe considerar una entidad financiera, para la implementación de los controles tecnológicos.
Determinar la forma en que el control interno interviene dentro de la cadena de valor de una entidad financiera y el impacto que ésta genera.
Analizar la forma en que las herramientas informáticas apoyan en la gestión del riesgo operativo tecnológico.
Definir un Marco de Control Integral para la gestión del riesgo tecnológico dentro de las Instituciones Financieras del sector de cooperativas.
Objetivos Específicos
En la norma 834 de Riesgo Operativo se establecieron los lineamientos mínimos que deben seguir las entidades financieras para garantizar la continuidad del negocio frente a posibles riesgos a los que pudiera estar expuesta la entidad. Para ello, establece que se deben administrar en forma apropiada los procesos, personas, tecnología de información y los eventos externos.
Marco Conceptual
Norma 834
La norma señala que riesgo operativo es la posibilidad de que se presenten eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologías de información, factores externos y riesgo legal, a los cuales se los denomina factores de riesgo.
Marco Conceptual
Riesgos de Tecnologías de Información
• Primero, a que las tecnologías de información se extienden por todos los procesos y niveles de decisión de la institución y segundo, porque las tecnologías de información siguen siendo un tema muy complejo y técnico, manejadas por especialistas y presionados cada vez más por la entrega de servicios oportunos y de calidad.
Riesgo de Procesos •Para esta actividad es muy importante contar con un mapa de procesos y la cadena de valor de la institución.
Riesgo de Personas •Para cubrir este ámbito, se deben identificar las fallas o insuficiencias asociadas al factor humano, también conocido como ingeniería social
Riesgos de Eventos Externos •Consiste en identificar, analizar y cuantificar riesgos derivados de fallas en servicios públicos, desastres naturales, atentados y otros actos delictivos que pudieran afectar la operación normal de la institución.
Factores de Riesgo
Puna adecuada gestión de riesgos es necesario que se cumplan con los siguientes lineamientos:
◦ Establecer un adecuado ambiente de administración de Riesgos.
◦ Realizar una gestión proactiva de los riesgos.◦ Asumir e implementar las observaciones y
recomendaciones de las entidades de control.◦ Transparencia de la información financiera y de la
gestión de riesgos realizada.◦ El rol de la Unidad de Riesgos◦ El rol de Auditoria Interna
Campo de Aplicación
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
Artículo 1
1.1Procesos
Las Instituciones controladas deberán contar con procesos definidos de conformidad con la estrategia y políticas adoptadas
1.1.1Los procesos deberán estar segregados por: Actualmente el Banco x Segregar los procesos por Productivos y habilitantesaProcesos Gobernantes cuenta con los proce Fecha de implementacion: 01-Sep-06bProcesos Productivos sos Gobernantes Responsables: Departamento de Organización cProcesos habilitantes o apoyo definidos y Métodos por implementarse Definido por: Comité Integral de Riesgos
1.1.2Implementar mecanismos o alternativas que ayuden El Banco cuenta con x Revisar el funcionamiento de los controles existente a la entidad a evitar incurrir en pérdidas o poner controles en los Comentario: Fecha de implementacion: 01-Nov-06
en riesgo la continuidad del negocio y sus operaciones procesos de riesgoActualmente existen con- Responsables: Departamento de Organización
troles en los procesos y Métodos por implementarse
críticos los cuales deberán Definido por: Comité Integral de Riesgos
ser revisados
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO PARCIA
L
x Definir formalmente las políticas para un adecuado
1.1.3Definir formalmente las políticas para un adecuado diseño diseño, control, actualización y seguimiento de los
control, actualización y seguimiento de los procesos procesos
Fecha de implementacion: 31-Dic-07
Responsables: Departamento de Organización
y Métodos por implementarse
Definido por: Comité Integral de Riesgos
1.1.4Deberá existir una adecuada separación de funciones que Despues de realizar x Realizar una adecuada separacion de funciones
evite concentraciones de carácter incompatible una revision de fun- Fecha de implementacion: 31-Dic-07
ciones determinamos Responsables: Departamento de Organización
que no existe una y Métodos por implementarse
adecuada separación Definido por: Comité Integral de Riesgos
de funciones
1.1.5Deberán mantener inventarios actualizados de los procesos No existe actualmente x Elaborar inventario de procesos que cuente con Tipo
existentes que cuenten como mínimo con: inventario de procesos de proceso, nombre de proceso, responsable,
Tipo de proceso-Nombre de proceso-responsable-producto producto o servicio que genera, cliente interno o
y servicio que genera el proceso-clientes internos y externos externo, fecha de aprobación, actualización y
fecha de aprobación-actualización-señalar proceso crítico señalar procesos críticos
Fecha de implementacion: 31-Dic-07
Responsables: Departamento de Organización
y Métodos por implementarse
Definido por: Comité Integral de Riesgos
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.2Personas
1.2.1Administrar el capital humano de forma adecuada e identificar
las fallas asociadas al factor persona
1.2.2Definir formalmente políticas, procesos y procedimientos que Existe en la actualidad x Definir formalmente políticas, procesos y procedimien-
aseguren una apropiada planificación y administración del un manual de proce- Comentario: tos apropiados para la buena administración del capi-
capital humano los cuales consideran los procesos de incorpo- dimientosNo existe definidas formal- tal humano
ración, permanencia y desvinculación del personal mente las politicas y pro- Fecha de implementacion: 01-Oct-08
cesos para una apropiada Responsables: Sergio León-Subgerente Administrativo
administración del capital Jessica Andrade-Recursos Humanos
Humano Enrique Noboa-proveduría
Definido por: Sergio Leon-Subgerente Administrativo
1.2.3Se deben considerar los procesos x Manual de Recursos Humanos que contenga:
aProcesos de incorporación Procesos de Incorporación:
bProcesos de permanencia Inducción-Reclutamiento-Selección
cProcesos de desvinculación Procesos de Permanencia:
Clasificación de puesto-Medición y evaluación de re-
sultados-Optimización de Recursos-Capacitación-Re-
muneraciones
Procesos de Desviculación:
Determinación de tamaño poblacional-Salida de perso-
nal-supresión de puestos-jubilación
Fecha de implementacion: 01-Oct-08
Responsables: Sergio León-Subgerente Administrativo
Jessica Andrade-Recursos Humanos
Enrique Noboa-proveduría
Definido por: Sergio Leon-Subgerente Administrativo
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
Se ha revisado el área x Definir formalmente la clasificación de puesto
1.2.4Deberán analizar su organización con el objeto de evaluar si han de Recuros Humanos Definir formalmente la técnica de Medición y evalua- definido el personal necesario y las competencias idóneas para el para determinar que ción de Resultados a emplearse desempeño de cada puesto no existe una defini- Fecha de implementacion: 01-jul-08 ción de puesto Responsable: Jessica Andrade-Recursos Humanos Definido por: Sergio León -Subgerente Administrativo
1.2.5mantendrán información actualizada del capital humano, que Existe actualmente un x Diseño de las bases de Datos de Recursos Humanos
permita una adecuada toma de decisiones por parte de los niveles archivo de información Comentario: Fecha de implementacion: 01-abril-08
directivos y la realización de análisis cualitativos y cuantitativos de del personal No se han actualizado las Responsable: Jessica Andrade-Recursos Humanos
acuerdo con sus necesidades carpetas del personal Definido por: Sergio León -Subgerente Administrativo
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3Tecnología de Información
1.3.1Con el objeto de garantizar que la administración de la tecnología de
información soporte adecuadamente los requerimientos de opera- ción actuales y futuros de la entidad las instituciones controladas deben contar al menos con lo siguiente:
1.3.1.1El apoyo y compromiso formal del directorio u organismo que haga x sus veces y la alta gerencia
1.3.1.2Un plan funcional de tecnología de información alineado con el plan x estratégico institucional y un plan operativo que establezca las actividades a ejecutar en el corto plazo (un año) de manera que se asegure el logro de los objetivos institucionales propuestos
1.3.1.3Tecnología de información acorde a las operaciones del negocio x y al volumen de transacciones, monitoreadas y proyectadas según las necesidades y crecimiento de la institución
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.1.4Un responsable de la información que se encargue principalmente x
de definir y autorizar de manero formal los accesos y cambios
funcionales a las aplicaciones y monitorear el cumplimiento de los
controles establecidos
1.3.1.5Políticas, procesos y procedimientos de tecnología de información El Banco actualmente x Se culminará este proyecto a finales de Abril para luego
definidos bajo estándares de general aceptación que garanticen la esta diseñando las someterlo a la aprobación del Directorio
ejecución de criterios de control interno de eficacia, eficiencia y Políticas de Tecnología Fecha de implementacion: 01-Jul-06
cumplimiento debidamente aprobados por el directorio u organismos de Información Responsable: Raul Ortega-Subgerente de Sistemas
que haga sus veces alineados a los objetivos y actividades de la Definido por: Raul Ortega
institución
1.3.1.6Difusión y comunicación a todo el personal involucrado de las x Difusión y comunicación a todo el personal del Banco del
mencionadas políticas, procesos y procedimientos de tal forma que Litoral sobre la políticas y procedimientos de Tecnología
se asegure su implementación de Información
Fecha de implementacion: 15-Sep-06
Responsable: Raul Ortega-Subgerente de Sistemas
Definido por: Raul Ortega
1.3.1.7Capacitación y entrenamiento técnico al personal del área de Actualmente el Banco x Capacitación al usuario sobre Tecnología de Información
tecnología de información y de los usuarios de la misma esta capacitando al Manejo de la PC, cultura de respaldos periodicos, claves
personal de Sistemas de pantalla manejo de archivos compartidos, etc.
En Linux y Oracle Fecha de implementacion: 01-Ene-07
Responsable: Raul Ortega-Subgerente de Sistemas
Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.2Con el objetivo de garantizar que las operaciones de tecnología de
información satisfagan los requerimientos de la entidad, las institu-
ciones controladas deben contar al menos con lo siguiente:
1.3.2.1Manuales o reglamentos internos, debidamente aprobados por el x directorio u organismo que haga sus veces, que establezcan como mínimo las responsabilidades y procedimientos para la operación, el uso de las instalaciones de procesamiento de información y respuestas a incidentes de tecnología de información
1.3.2.2Un procedimiento de clasificación y control de activos de tecnología x Procedimiento de clasificación y control de activos de de información , que considere por lo menos, su registro e identifi- Tecnología de Información cación así como los responsables de sus uso y mantenimiento, Fecha de implementacion: 30-Jun-06 especialmente de lo mas importante Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega
1.3.3Con el objetivo de garantizar que los recursos y servicios provistos
por terceros se administren con base en responsabilidades clara- mente definidas y esten sometidas a un monitoreo de su eficiencia y efectividad las instituciones controladas deben contar al menos con lo siguiente:
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.3.1Requerimientos contractuales convenidos que definan la propiedad x de la información y de las aplicaciones; y, la responsabilidad de la empresa proveedora de la tecnología en caso de ser vulnerables sus sistemas, a fin de mantener la integridad, disponibilidad y confidencialidad de la información; y,
1.3.3.2Requerimientos contractuales convenidos que establezcan que las x aplicaciones sean parametrizables, que exista una transferencia del conocimiento y que se entregue documentación técnica y de usuario a fin de reducir la dependencia de las instituciones controladas con proveedores externos y los eventos de riesgo operativo que esto origina.
1.3.4Con el objeto de garantizar que el sistema de administración de
seguridad satisfaga las necesidades de la entidad para salvaguardar
la información contra el uso, revelación y modificación no autoriza- dos así como daños y perdidas, las instituciones controladas de- ben contar al menos con lo siguiente
1.3.4.1Políticas y procedimientos de seguridad de la información que Se ha elaborado un x Se culminará el proyecto a finales de abril paraluego establezcan sus objetivos, importancia, normas, principios, requisitos manual que continen someterlo a la aprobación del Directorio de cumplimiento, responsabilidades y comunicación de los incidentes las políticas y proce- Fecha de implementacion: 01-Jul-06
relativos a la seguridad; considerando los aspectos legales, así comodiminetos de seguridad Responsable: Raul Ortega-Subgerente de Sistemas
las consecuencias de violación de estas políticas; de información Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.4.2La identificación de los requerimientos de seguridad relacionados con Una vez aprobado el x Evaluación de riesgos que enfrenta la institución relacio- tecnología de información, considerando principalmente: la evaluación manual de seguridad nados con Tegnología de Información
de los riesgos que enfrenta la institución; los requisitos legales,de Información se eva- Fecha de implementacion: 01-Jul-06
normativos, reglamentarios y contractuales; y, el conjunto específico luaran los riesgos Responsable: Raul Ortega-Subgerente de Sistemas de principios, objetivos y condiciones para el procesamiento de la Silvia Villalobos.- Unidad de Riesgo información que respalda sus operaciones; Operativo
Definido por: Raul Ortega
1.3.4.3Los controles necesarios para asegurar la integridad, disponibilidad y Se han definido los x Se someterá a la aprobación del Directorio los controles confidencialidad de la información administrada; controles para asegu- ya definidos rar la integridad dispo Fecha de implementacion: 01-Jul-06 Responsable: Raul Ortega-Subgerente de Sistemas
nibilidad y confidencia- Definido por: Raul Ortega
lidad de la información
1.3.4.4Un sistema de administración de las seguridades de acceso a laEl Banco no cuenta con x Diseño de sistema de administración de seguridades de
información, que defina las facultades y atributos de los usuarios,un sistema de adminis- acceso a la información
desde el registro, eliminación y modificación, pistas de auditoría; tración de seguridad Fecha de implementacion: 01-Dic-07
además de los controles necesarios que permitan verificar su cumpli-de acceso a la informa Responsable: Raul Ortega-Subgerente de Sistemas
miento de todos los ambientes de procesamiento; ción Definido por: Raul Ortega
1.3.4.5Niveles de autorización de accesos y ejecución de las funciones de x Diseñar dentro del sistema de administració de procesamiento de las aplicaciones, formalmente establecidos, que acceso los niveles de acceso garanticen una adecuada segregación de funciones y reduzcan el Fecha de implementacion: 01-Dic-07 riesgo de error o fraude; Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.4.6Adecuados sistemas de control y autenticación para evitar accesosEl Banco no cuenta aun x Diseño de sistema de control y autenticación para evitar
no autorizados, inclusive de terceros; y, ataques externos especial- con este sistema de accesos no autorizados mente a la información crítica y a las instalaciones de procesamiento; control Fecha de implementacion: 01-Dic-07 Responsable: Raul Ortega-Subgerente de Sistemas
Definido por: Raul Ortega
1.3.4.7Controles adecuados para detectar y evitar la instalación de software Se estan diseñando x Finalizacion de proyecto de controles de para detectar no autorizado o sin la respectiva licencia, así como instalar y actualizar los controles para y evitar la instalación de software no autorizados periódicamente aplicaciones de detección y desinfección de virus detectar y evitar la Fecha de implementacion: 01-Dic-07
informáticos y demás software maliciosos;instalación de software Responsable: Raul Ortega-Subgerente de Sistemas
no autorizados Definido por: Raul Ortega
1.3.4.8Controles formales para proteger la información contenida en Existe dentro del ma- xSometerno a la aprobación del Directorio e implementarlo
documentos; medios de almacenamiento u otros dispositivos externos; nual de Tecnología de Fecha de implementacion: 01-Jul-06 el uso e intercambio electrónico de datos contra daño, robo, accesos, Información controles Responsable: Raul Ortega-Subgerente de Sistemas
utilización o divulgación no autorizada de información para finesformales para proteger Definido por: Raul Ortega
contrarios a los intereses de la entidad, por parte de todo su personal la información y de sus proveedores;
1.3.4.9Instalaciones de procesamiento de información crítica en áreas Existe dentro del ma- xSometerlo a la aprobación del Directorio e implementarlo
protegidas con los suficientes controles que eviten el acceso de nual de Tecnología de Fecha de implementacion: 01-Jul-06
personal no autorizado y daños a los equipos de computación y a laInformación los contro- Responsable: Raul Ortega-Subgerente de Sistemas
información en ellos procesada, almacenada o distribuida; les definidos para evi- Definido por: Raul Ortega
tar el acceso no autori-
zado al área de Sistemas
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.4.10Las condiciones físicas y ambientales necesarias para garantizar el
Se esta implemantado x
Finalizar el acondicionamiento físico y ambiental para ga-
correcto funcionamiento del entorno de la infraestructura de tecnología rantizar el correcto funcionamiento de la Tegnología de de información; Información Fecha de implementacion: 15-Ago-06 Responsable: Raul Ortega-Subgerente de Sistemas
Definido por: Raul Ortega1.3.4.1
1Un plan para evaluar el desempeño del sistema de administración de la x Elaborar un plan de evaluzación de desempeño de Sistema
seguridad de la información, que permita tomar acciones orientadas a de seguridad mejorarlo; y, Fecha de implementacion: 01-Ene-08 Responsable: Raul Ortega-Subgerente de Sistemas Silvia Villalobos.-Unidad de Riesgo
Operativo 1.3.4.1
2Las instituciones controladas que ofrezcan los servicios de x transferencias y transacciones electrónicas deberán contar con polí- Comentario:
ticas y procedimientos de seguridad de la información que garanticen No aplica para el Banco
que las operaciones sólo pueden ser realizadas por personas debida-
mente autorizadas; que el canal de comunicaciones utilizado sea seguro
mediante técnicas de encriptación de información; que existan mecanismos alternos que garanticen la continuidad del servicio ofrecido; y, que aseguren la existencia de pistas de auditoría.
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.5Con el objeto de garantizar la continuidad de las operaciones, las instituciones controladas deben contar al menos con lo
siguiente:
1.3.5.1Controles para minimizar riesgos potenciales de sus equipos de x computación ante eventos imprevistos, tales como: fallas, daños o insuficiencia de los recursos de tecnología de información; robo; incendio; humo; inundaciones; polvo; interrupciones en el fluido eléctrico, desastres naturales; entre otros;
1.3.5.2Políticas y procedimientos de respaldo de información periódicos, que Esiste actualmente el x Someterlo a la aprobación del Directorio aseguren al menos que la información crítica pueda ser recuperada manual de Políticas y Fecha de implementacion: 01-Jul-06
en caso de falla de la tecnología de información o con posterioridad aProcedimientos de Con- Responsable: Raul Ortega-Subgerente de Sistemas
un evento inesperado; tingencia Definido por: Raul Ortega
1.3.5.3Mantener los sistemas de comunicación y redundancia de los mismos dentro del manual de x Someterlo a la aprobación del Directorio
que permitan garantizar la continuidad de sus servicios; y,contingencia esta defi- Fecha de implementacion: 01-Jul-06
nido este punto Responsable: Raul Ortega-Subgerente de Sistemas
Definido por: Raul Ortega
1.3.5.4Información de respaldo y procedimientos de restauración en unaEste punto se encuen- x Se implementará un centro de computo alterno
ubicación remota, a una distancia adecuada que garantice su tra dentro de la estra- Fecha de implementacion: Octubre-08
disponibilidad ante eventos de desastre en el centro principal detegis de Tecnología de Responsable: Raul Ortega-Subgerente de Sistemas
procesamiento. Información Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.6Con el objeto de garantizar que el proceso de adquisición, desarro llo implementación y mantenimiento de las aplicaciones satisfagan los objetivos del negocio, las instituciones controladas deben
contar al menos con lo siguiente:
1.3.6.1Una metodología que permita la adecuada administración y control del x Definir metodología para la adecuada administración y proceso de compra de software y del ciclo de vida de desarrollo y control en compras de software mantenimiento de aplicaciones, con la aceptación de los usuarios Fecha de implementacion: 01-Jun-06 involucrados; Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega
1.3.6.2Documentación técnica y de usuario permanentemente actualizada de x las aplicaciones de la institución;
1.3.6.3Controles que permitan asegurar la adecuada administración de x versiones de las aplicaciones puestas en producción; y,
1.3.6.4Controles que permitan asegurar que la calidad de la información Se han definido los x Someterlos a la aprobación del Directorio sometida a migración, cumple con las características de integridad, controles Fecha de implementacion: 01-Jul-06 disponibilidad y confidencialidad. Responsable: Raul Ortega-Subgerente de Sistemas Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.3.7Con el objeto de garantizar que la infraestructura tecnológica que soporta
Se esta implementando x Finalización del proyecto de Administración de la insfra-
las operaciones, sea administrada, monitoreada y documentada de forma actualmente estructura de tegnología
adecuada, las instituciones controladas deberán contar con políticas y Fecha de implementacion: 15-Jul-06 procedimientos que permitan la adecuada administración, monitoreo y Responsable: Raul Ortega-Subgerente de Sistemas
documentación de las bases de datos, redes de datos, software de base Definido por: Raul Ortega
y hardware.
1.4Eventos externos.- En la administración del riesgo operativo, las insti- x tuciones controladas deben considerar la posibilidad de pérdidas
derivadas de las ocurrencias de eventos ajenos a su control, tales como:
fallas en los servicios públicos, ocurrencia de desastres naturales, atentados y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
SECCIÓN III.- ADMINISTRACIÓN DEL RIESGO OPERATIVO
1Artículo 1
El diseño del proceso de administración de riesgo operativo deberá
permitir a las instituciones controladas identificar, medir, controlar
mitigar y monitorear sus exposiciones a este riesgo al que se
encuentran expuestas en el desarrollo de sus negocios y opera-
ciones. Cada institución desarrollará sus propias técnicas o esque-
mas de administración, considerando su objeto social, tamaño,
naturaleza, complejidad y demás características propias.
2Artículo 2
Para una adecuada administración del riesgo operativo las institu-
ciones controladas deberán cumplir las disposiciones del artículo 1
de la sección II del presente capítulo y adicionalmente, deberán
contar con códigos de ética y de conducta formalmente estableci-
dos con la supervisión del directorio u organismo que haga sus
veces y de la alta gerencia, con una sólida cultura de control interno
con panes de contingencias y continuidad del negocio debidamente
probados y con tecnología de información adecuada
3Artículo 3
Con la finalidad de que las instituciones controladas administren
adecuadamente el riesgo operativo es necesario que agrupen sus
procesos por líneas de negocio, de acuerdo con una metodología
establecida de manera formal y por escrito, para lo cual deberán
observar los siguientes lineamientos:
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO PARCI
AL
3.1Los procesos productivos deberán asignarse a las líneas de negocio de x Agrupar los procesos productivos por Líneas de acuerdo con los productos y servicios que generan, de forma que a cada Negocio deacuerdo a los productos y servicios que uno de los procesos le corresponda una sola línea de negocio y que genera ningún proceso permanezca sin asignar; y, Fecha de implementacion: 01-Jul-06 Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
3.2Las líneas de negocio también deberán agrupar los procesos gobernantes x Agregar a las Líneas de Negocio los procesos y los procesos habilitantes que intervienen en las mismas. Si algún Gobernantes y los Habilitantes según corresponda proceso gobernante o proceso habilitante interviene en más de una Fecha de implementacion: 01-Jul-06 línea de negocio, la entidad deberá utilizar un criterio de asignación Responsable: Silvia Villalobos.-Unidad de Riesgo
objetivo. Operativo
4Artículo 4 x Identificar los eventos de riesgo según sea el tipo en Las instituciones controladas deberán identificar, por línea de negocio, los cada Línea de Negocio eventos de riesgo operativo, agrupados por tipo de evento, y, las fallas o insuficiencia en los procesos, las personas, la tecnología de información Identificar las Fallas o insuficiencias en los procesos y los eventos externos; personas, tecnología de Información y eventos
4.1Fraude interno; externos4.2Fraude externo; Fecha de implementacion: 01-Sep-064.3Prácticas laborales y seguridad del ambiente de trabajo; Responsable: Silvia Villalobos.-Unidad de Riesgo4.4Prácticas relacionadas con los clientes, los productos y el negocio; Operativo4.5Daños a los activos físicos; 4.6Interrupción del negocio por fallas en la tecnología de información; y, 4.7Deficiencias en la ejecución de procesos, en el procesamiento de ope-
raciones en las relaciones con proveedores y terceros. Los eventos de riesgo operativo y las fallas o insuficiencias serán iden- tificados en relación con los factores de este riesgo a través de una metodología formal, debidamente documentada y aprobada. Dicha meto- dología podrá incorporar la utilización de las herramientas que más se ajusten a las necesidades de la institución, entre las cuales podrían estar autoevaluacón, mapas de riesgos, indicadores, tablas de control
(scorecards), bases de datos u otras.
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO PARCIA
L
5Artículo 5 x Una vez culminado el proyecto de Identificación de even-
Una vez identificados los eventos de riesgo operativo y las fallas o tos de Riesgo Operativo se someterá a la aprobación del
insuficiencias en relación con los factores de este riesgo y su incidencia Directorio
para la institución los niveles directivos están en capacidad de decidir Fecha de implementacion: Sep-06
si el riesgo se debe asumir, compartirlo, evitarlo o transferirlo, Responsable: Silvia Villalobos.-Unidad de Riesgo
reduciendo sus consecuencias y efectos. Operativo
6Artículo 6 x Conformación de las bases de Datos para la Administra-
En razón de que la administración del riesgo operativo constituye un ción de Riesgo Operativo
proceso continuo y permanente, será necesario que adicionalmente las Fecha de implementacion: 01-Jul-08
instituciones controladas conformen bases de datos centralizadas, Responsable: Silvia Villalobos.-Unidad de Riesgo
suficientes y de calidad, que permitan registrar, ordenar, clasificar y Operativo
disponer de información sobre los eventos de riesgo operativo; fallas o
insuficiencias; y, factores de riesgo operativo clasificados por línea de
negocio, determinando la frecuencia con que se repite cada evento y el
efecto cuantitativo de pérdida producida y otra información que las
instituciones controladas consideren necesaria y oportuna, para que a
futuro se pueda estimar las pérdidas esperadas e inesperadas atribuibles
a este riesgo
7Artículo 7
Aspecto importante de la administración del riesgo operativo es el
control el cual requerirá que las instituciones controladas cuenten
con sistemas de control interno adecuados, esto es, políticas, pro-
cesos, procedimientos y niveles de control formalmente estable-
cidos y validados periódicamente.
Los controles deben formar parte integral de las actividades
regulares de la entidad para generar respuestas oportunas ante
diversos eventos de riesgo operativo y fallas o insuficiencias que
los ocasionaron
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
8Artículo 8 El esquema de administración del riesgo operativo de las instituciones controladas debe estar sujeto a una auditoría interna efectiva e integral, por parte de personal competente, debidamente capacitado y
operativamente independiente.
9Artículo 9 x Elaboración de esquemas de reportes para la Gestión Las instituciones controladas deben contar permanentemente con un del Riesgo Operativo esquema organizado de reportes que permitan disponer de información Fecha de implementacion: 01-Sep-08 suficiente y adecuada para gestionar el riesgo operativo en forma Responsable: Silvia Villalobos.-Unidad de Riesgo
continua y oportuna. Operativo
9.1Detalle de los eventos de riesgo operativo, agrupados por tipo de evento; x Dentro del proyecto de esquema de reportes incluye el
las fallas o insuficiencias que los originaron relacionados con los factores detalle de los eventos de riesgos
de riesgo operativo y clasificados por líneas de negocio; niveles directivos
están en capacidad de decidir si el riesgo se debe asumir, compartirlo, Fecha de implementacion: 01-Sep-08 evitarlo o transferirlo, reduciendo sus consecuencias y efectos. Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
9.2Informes de evaluación del grado de cumplimiento de las políticas relacio- x
Dentro del proyecto de esquemas de reportes se incluirá
nadas con factores de riesgo operativo y los procesos y procedimientos evaluaciones de grado de cumplimiento de las políticas establecidos por la institución; de la gestión de riesgo operativo Fecha de implementacion: 01-Sep-08 Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
9.3Indicadores de gestión que permitan evaluar la eficiencia y eficacia de las x
Dentro del proyecto de esquemas de reportes se incluirá
políticas, procesos y procedimientos aplicados. evaluaciones de grado de cumplimiento de las políticas Fecha de implementacion: 01-Sep-08 Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
SECCIÓN IV.- CONTINUIDAD DEL NEGOCIO
1Artículo 1
Las instituciones controladas deben implementar planes de contingencia
y de continuidad, a fin de garantizar su capacidad para operar en forma
continua y minimizar las pérdidas en caso de una interrupción severa del
negocio. Las instituciones controladas deberán establecer un proceso de
administración de continuidad de los negocios, que comprenda los
siguientes aspectos claves:
1.1Definición de una estrategia de continuidad de los negocios en línea con x los objetivos institucionales;
1.2Identificación de los procesos críticos del negocio, aún en los provistos x Identificación de procesos críticos propios por terceros Identificación de procesos críticos provistos por terceros Fecha de implementacion: 01-Nov-06
Responsable: Departamento de Organización y Metodos
1.3Identificación de los riesgos por fallas en la tecnología de información; x Identificación de riesgos por fallas tegnológicas Fecha de implementacion: 01-Mar-07 Responsable: Silvia Villalobos.-Unidad de Riesgo Operativo
Raúl Ortega.-Subgerente de Sistemas
1.4Análisis que identifique los principales escenarios de contingencia x tomando en cuenta impacto y la probabilidad de que sucedan;
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
1.5Evaluación de los riesgos para determinar el impacto en términos de x Evaluación de riesgos para determinar el impacto de magnitud de daños, el período de recuperación y tiempos máximos de magnitud de daños nterrupción que puedan ocasionar los siniestros Periodos de recuperación y tiempos máximos de inte- rupción que puedan ocasionar los siniestros Fecha de implementacion: 01-May-07 Responsable: Silvia Villalobos.-Unidad de Riesgo Raúl Ortega.- Subgerente de Sistemas
1.6Elaboración del plan de continuidad del negocio para someterlo a la x aprobación del directorio u organismo que haga sus veces;
1.7Realización de pruebas periódicas del plan y los procesos implantados x Políticas y procedimientos para la realización de pruebas
que permitan comprobar su aplicabilidad y realizar los ajustes necesarios; y, periódicas del plan de continuidad
Fecha de implementacion: 01-May-07 Responsable: Raul Ortega.- Subgerente de Sistemas
Definido por: Raul Ortega
1.8Incorporación del proceso de administración del plan de continuidad del x Incorporación del procesos de administración del plan de
negocio al proceso de administración integral de riesgos. negocio al proceso de administración integral de riesgos Fecha de implementacion: Ene-08 Responsable: Silvia Villalobos.- Unidad de Riesgo
Operativo
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
2Artículo 2 Los planes de contingencia y de continuidad de los negocios debe comprender las previsiones para la reanudación y recuperación de las operaciones. Los planes de contingencia y de continuidad de-
beran incluir al menos, lo siguiente:
2.1Las personas responsables de ejecutar cada actividad y la información x Definir las personas responsables de ejecutar las diver- (direcciones, teléfonos, correos electrónicos, entre otros) necesaria para sas actividades del plan de contingencia y registrar los contactarlos oportunamente datos personales como telefono, direccion correo etc. Fecha de implementacion: 01-Jun-06 Responsable: Raúl Ortega.-Subgerente de Sistemas
Definido por: Raul Ortega
2.2Acciones a ejecutar antes, durante y una vez ocurrido el incidente que x pongan en peligro la operatividad de la institución;
2.3Acciones a realizar para trasladar las actividades de la institución a x Definición de los procedimientos para aplicar el plan de ubicaciones transitorias alternativas y para el restablecimiento de los Contingencia de Tecnología de Información negocios de manera urgente; Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas
Definido por: Raul Ortega
2.4Cronograma y procedimientos de prueba y mantenimiento del plan; y, x Elaboración de cronograma para la ejecución de pruebas y mantenimiento del plan Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas
Definido por: Raul Ortega
2.5Procedimientos de difusión, comunicación y concienciación del plan y su x Plan de difusión y comunicación del plande contingencia cumplimiento de Tecnología de Información Fecha de implementacion: 01-Oct-08 Responsable: Raúl Ortega.-Subgerente de Sistemas
Definido por: Raul Ortega
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
SECCIÓN V.- RESPONSABILIDADES EN LA ADMINISTRACIÓN DEL
RIESGO OPERATIVO
1Artículo 1
Las responsabilidades del directorio u organismo que haga sus veces,
en cuanto a la administración del riesgo operativo, se regirán por lo
dispuesto en la sección III "Responsabilidad en la administración de riesgos"
del capítulo I "De la gestión integral y control de riesgos" de este subtitulo
Adicionalmente, el directorio u organismo que haga sus veces tendrá las
siguientes responsabilidades en relación con la administración del riesgo
operativo
1.1Crear una cultura organizacional con principios y valores de comportamiento x
ético que priorice la gestión eficaz del riesgo operativo;
1.2Aprobar las disposiciones relativas a los procesos establecidos en el x Formalizar los procesos Gobernantes, Productivos y Habili-
numeral 1.1 del artículo 1, de la sección II de este capítulo; tantes y someterlos a aprobación del Directorio
Fecha de implementacion: Oct-06
Responsable: Directorio
1.3Aprobar las políticas, procesos y procedimientos para la administración del x Formalizar y someter a aprobación de Directorio el manual
capital humano conforme con los lineamientos establecidos en el numeral de administración del capital Humano
1.2 del artículo 1 de la sección II de este capítulo; Fecha de implementacion: Nov-07
Responsable: Directorio
1.4Aprobar las políticas y procedimientos de tecnología de información esta- x Formalizar y someter a aprobación de Directorio las polí-
blecidos en el numeral 1.3 del artículo 1, de la sección II de este capítulo; y, ticas, procesos y procedimientos de Tegnología de Infor-
mación
Fecha de implementacion: Ene-08
Responsable: Directorio
1.5Aprobar los planes de contingencia y de continuidad del negocio a los que x Formalizary aprobar planes de contingencia y continuidad
se refiere la sección IV de este capítulo. de negocio
Fecha de implementacion: Ene-08
Responsable: Directorio
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
2Artículo 2 Las funciones y responsabilidades del comité de administración Integral de riesgos se regirán por lo dispuesto en la sección III Responsabilidad en la administración de riesgos", del capítulo I "De la gestión integral y control de riesgos" de este subtítulo Adicionalmente, el comité de administración integral de riesgos tendrán las siguientes responsabilidades en relación con la con la administración del riesgo operativo:
2.1Evaluar y proponer al directorio u organismo que haga sus veces las x Revisión del Manual de Políticas procesos y procedimientos
políticas y el proceso de administración del riesgo operativo y asegurarse para la administración de riesgo operativo que sean implementados en toda la institución y que todos los niveles del Fecha de implementacion: Sep-08 personal entiendan sus responsabilidades con Responsable: Comité Integral de Riesgos
relación al riesgo operativo;
2.2Evaluar las políticas y procedimientos de procesos, personas y tecnología x Revisión del Manual de Políticas procesos y procedimientos
de información y someterlas a aprobación del directorio u organismo que para la administración de Procesos, Recurso Humano y haga sus veces Tecnología de Información Fecha de implementacion: Sep-08
Responsable: Comité Integral de Riesgos
2.3Definir los mecanismos para monitorear y evaluar los cambios significativos x Definir mecanismos para evaluar y monitorear cambios y la exposición a riesgos; significativos y exposición a riesgos Fecha de implementacion: Ene-07
Responsable: Comité Integral de Riesgos
2.4Evaluar y someter a aprobación del directorio u organismo que haga sus x Revisar planes de contingencia de Tecnología de Informa- veces los planes de contingencia y de continuidad del negocio a los que se ción y de Eventos externos refiere la sección IV del este Fecha de implementacion: Ene-08
capítulo; asegurar la aplicabilidad; y, cumplimiento de los mismos; y, Responsable: Comité Integral de Riesgos
2.5Analizar y aprobar la designación de líderes encargados de llevar a cabo x Definir los responsables de liderar los planes de contingen-
las actividades previstas en el plan de contingencia y de continuidad del cia negocio Fecha de implementacion: Ene-08
Responsable: Comité Integral de Riesgos
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO PARCIA
L
3Artículo 3
Las funciones y responsabilidades de la unidad de riesgos se
regiran por lo dispuesto en la sección III "Responsabilidad en la
administración del riesgos", del capítulo I De la gestión integral y
control de riesgos", de este subtítulo.
Adicionalmente, la unidad de riesgos tendrán las siguientes res-
ponsabilidades en relación con la administración del riesgo
operativo:
3.1Diseñar las políticas y el proceso de administración del riesgo operativo; x Elaboración del manual de políticas, procesos y procedi-
mientos para la administración del riesgo operativo
Fecha de implementacion: Sep-08
Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
3.2Monitorear y evaluar los cambios significativos y la exposición a riesgos x Monitorear y evaluar los cambios significativos y la exposi-
provinientes de los procesos, las personas, la tecnología de información y ción a riesgos
los eventos externos; Fecha de implementacion: Oct-08
Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
3.3Analizar las políticas y procedimientos de tecnología de información, pro- x Analisis de las políticas de Tecnología de Información
puestas por el área respectiva, especialmente aquellas relacionadas con la Fecha de implementacion: Oct-07
seguridad de la información; Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
3.4Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de x Liderar el desarrollo del plan de contingencia de Tecnología
coningencia y de continuidad del negocio, al que se refiere la sección IV de de Información
este capítulo; así como proponer los líderes de las áreas que deban cubrir Fecha de implementacion: Mar-08
el plan de contingencias y de continuidad del negocio Responsable: Silvia Villalobos.-Unidad de Riesgo
Operativo
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORALPROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO
PARCIAL
SECCIÓN VI.- DISPOSICIONES GENERALES
1ARTÍCULO 1
Para mantener un adecuado control de los servicios provistos por terceros,
incluidas las integrantes de un grupo financiero, las instituciones controladas
deberán observar lo siguiente:
1.1Contar con políticas, procesos y procedimientos efectivos que aseguren El Banco actualmente x Elaborar el manual de Políticas, procesos y procedimientos
una adecuada selección y calificación de los proveedores, tales como: no cuenta con un para la calificación de proveedores manual de proveedo- Fecha de implementacion: 01-May-07
res Responsable: Departamento de Organización y Métodos
1.1.1Evaluación de la experiencia pertinente; x Elaborar el manual de Políticas, procesos y procedimientos
para la calificación de proveedores Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.1.2Desempeño de los proveedores en relación con los competidores; x Elaborar el manual de Políticas, procesos y procedimientos
para la calificación de proveedores Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.1.3Evaluación financiera para asegurar la viabilidad del proveedor durante x Elaborar el manual de Políticas, procesos y procedimientos
todo el período de suministro y cooperación previsto; para la calificación de proveedores Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
Campo de Aplicación – Banco del Litoral
DIAGNOSTICO DEL BANCO DEL LITORAL
PROYECTO DE IMPLEMENTACION
PERIODO MAYO DEL 2006 HASTA OCTUBRE DEL 2008
Nº Resolucion JB-2005-834Criterio de Situación Actual del Banco
Proyecto de implementacionCumplimiento SI NO PARCIA
L
1.1.4Respuesta del proveedor a consultas, solicitudes de presupuesto y de x Elaborar el manual de Políticas, procesos y procedimientos
ofertas para la calificación de proveedores
Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.1.5Capacidad del servicio, instalación y apoyo e historial del desempeño en x Elaborar el manual de Políticas, procesos y procedimientos
base a los requisitos; para la calificación de proveedores
Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.1.6Capacidad logística del proveedor incluyendo las instalaciones y recursos x Elaborar el manual de Políticas, procesos y procedimientos
para la calificación de proveedores
Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.1.7La reputación comercial del proveedor en la sociedad. x Elaborar el manual de Políticas, procesos y procedimientos
para la calificación de proveedores
Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
1.2Contratos debidamente suscritos y legalizados que contengan cláusulas que x Elaborar el manual de Políticas, procesos y procedimientos
detallen entre otros, los niveles mínimos de servicio acordado; las para la calificación de proveedores
penalizaciones por incumplimiento; y, que prevean facilidades para la re- Fecha de implementacion: 01-May-07
visión y seguimiento del servicio prestado, ya sea, por la unidad de auditoría Responsable: Departamento de Organización y Métodos
interna u otra área que la entidad designe, así como, por parte de los audi-
tores externos o de la Superintendencia de Bancos y Seguros; y;
1.3Contar con proveedores alternos que tengan la capacidad de prestar el x Elaborar el manual de Políticas, procesos y procedimientos
servicio para la calificación de proveedores
Fecha de implementacion: 01-May-07
Responsable: Departamento de Organización y Métodos
Campo de Aplicación – Banco del Litoral