Logo Superintendencia De Bancos
Icono de menu mobil blanco Icono de circulo con X dentro, blanco
Escudo de la República Dominicana
Inicio
icono de mayor que gris
Publicaciones
icono de mayor que gris
Blog institucional
icono de mayor que gris
Impacto del diseño y la efectividad operativa de los controles en la gestión de riesgo TI
Icono de flecha hacia arriba blanco
Otros artículos que te pueden interesar
Icono de calendario azul Icono de calendario blanco 18 / 04 / 2024 Icono de usuario azul Icono de usuario blanco Erika Ventura

Importancia de la auditoría interna como apoyo en la gestión de Gobierno

En este artículo se repasa la visión del auditado y su percepción sobre los trabajos desempeñados por auditoría interna, hasta dimensionar el apoyo del área a la gestión de Gobierno para el cumplimiento de los objetivos de la Institución. Adicionalmente, presenta las principales inquietudes que pueden surgir cuando se analiza el valor agregado de auditoría interna a una organización.

Blog institucional
Flecha hacia arriba naranja Flecha hacia la derecha naranja Leer más
Icono de calendario azul Icono de calendario blanco 04 / 04 / 2024 Icono de usuario azul Icono de usuario blanco Yamilet Cruz Arismendy

Regresemos al origen: La ingeniería social como piedra angular en la ciberseguridad

En este artículo se ofrecen consejos prácticos para el personal bancario y sus clientes, para fortalecer la seguridad cibernética, prevenir fraudes financieros y salvaguardar la integridad de datos financieros sensibles.

Blog institucional
Flecha hacia arriba naranja Flecha hacia la derecha naranja Leer más
Icono de calendario azul Icono de calendario blanco 19 / 02 / 2024 Icono de usuario azul Icono de usuario blanco Priscilla Camila Polanco y Miguel Ernesto Marte

El principio de separación de funciones en el procedimiento administrativo sancionador de la Superintendencia de Bancos

Las garantías constitucionales del debido proceso son aplicables en cualquier ámbito en que se manifieste la facultad represiva del Estado, incluyendo en el ejercicio de la potestad sancionadora de la Administración. En ese contexto, en materia administrativa sancionadora, uno de los pilares del debido proceso es el principio de separación de las funciones de instrucción del procedimiento y la función decisoria, aspecto que con mayor intensidad diferencia al procedimiento administrativo sancionador de los demás tipos de procedimientos administrativos.

Blog institucional
Flecha hacia arriba naranja Flecha hacia la derecha naranja Leer más

La Tecnología de la Información (TI) ha sido determinante en el desarrollo de la intermediación financiera, definitivamente constituye uno de los pilares en los que se fundamentan las estrategias de las entidades del sector financiero. Con el uso de esta tecnología, se hace necesario garantizar los objetivos de la seguridad de la información (confidencialidad, integridad y disponibilidad), ante los diversos riesgos a los que se exponen las entidades, según sus estrategias, plataformas, equipos, servicios, proveedores y otros aspectos relacionados con la tecnología de la información.

Un control es lo que utilizamos para mantener los riesgos en niveles aceptables para la entidad. En un enfoque basado en riesgo, la gestión deberá procurar que los seleccionados sean los justos para los riesgos identificados. En ningún caso debe tratarse de cantidad (no aplica la expresión de “mientras más, mejor”), sino de qué tan efectivos deben ser los controles, partiendo de la base del apetito de riesgo que ha definido la entidad.

Diseño del control

El costo de un control es uno de los aspectos para considerar en el proceso de su diseño. La implementación, gestión y evaluación de los controles requieren, de manera directa o indirecta, el uso de recursos económicos. En ese sentido, es apropiado señalar que los costos de un control no deberían ser mayores al costo de la potencial pérdida que provocaría la materialización del riesgo que se pretende mitigar, pues “sería más la sal que el chivo”. No obstante, cuando la potencial pérdida atenta contra aspectos fundamentales para la existencia de una entidad de intermediación financiera, como es el caso de la reputación, es difícil poder establecer un tope a los recursos económicos destinados a mitigar esta clase de riesgos.

Por la acción sobre el riesgo, los controles pueden ser clasificados en preventivos, detectivos, disuasivos, correctivos y compensatorios. La naturaleza humana nos motiva, por lo general, a considerar que los de acción preventiva deben ser la mayoría en nuestro ambiente de control. Sin embargo, la buena gestión del riesgo tiene como característica que, aun sin desconocer las lecciones aprendidas de experiencias previas, siempre se debe evaluar el contexto. Ese contexto incluye los aspectos legales, normativos, contractuales, estratégicos, operacionales, financieros, del entorno (social, físico, económico) de la entidad, así como las amenazas (internas y externas) a las que puede estar expuesta.

En un determinado contexto, aspectos operacionales de la entidad podrían limitar su capacidad o disposición de implementar un control preventivo sobre un riesgo específico, (para reducir su probabilidad de ocurrencia) o de elegir uno correctivo (a los fines de reducir el impacto derivado de la materialización del riesgo). De igual manera, el costo de prevenir un determinado riesgo puede ser alto, y considerando que haya sido estimado con poca probabilidad de ocurrencia, la entidad podría preferir un control detectivo, en lugar de tratar de disminuir su ocurrencia. El control detectivo deberá procurar la notificación oportuna a uno o varios recursos (humano, tecnológico -un sistema de información, etc.) con la finalidad de que sean ejecutadas acciones correctivas sobre el proceso de materialización del riesgo. Por su lado, los controles disuasivos tienden a persuadir a los humanos de no ejecutar una acción que se considera de impacto negativo para un objetivo. No obstante, podrían considerarse como poco utilizados en la gestión de riesgo tecnológico. Sin embargo, cuando forman parte de un entorno de control que incluye la concienciación de los colaborades de la entidad, los controles disuasivos alcanzan su objetivo con más facilidad.

Algunos marcos de trabajo incluyen el concepto de controles compensatorios. El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST, por sus siglas en inglés) define este tipo de control como aquellos que son alternativos y están diseñados para lograr, lo más cerca posible, el objetivo de otros controles que por alguna limitación del entorno no pueden ser ejecutados.

Por la naturaleza de su ejecución, los controles pueden ser clasificados en manuales, automáticos y semiautomáticos. El control de naturaleza manual tiene su fortaleza en lo competente que sea el recurso humano que lo ejecuta, tienden a una mayor probabilidad de no lograr su objetivo (riesgo de control) que los de naturaleza automático. Sin embargo, suelen ser de menor impacto que estos últimos. La fortaleza de los de naturaleza automática está en un diseño e implementación adecuada, permitiendo que sea menos probable que presenten riesgo de control. Sin embargo, su impacto tiende a ser significativo para la entidad. Por ejemplo: durante la ejecución de un control manual, el colaborador con buenas competencias tendrá mayor probabilidad de cometer errores que un sistema de información con un control automático adecuadamente diseñado e implementado. No obstante, el riesgo del control sobre el automático afectaría a toda la población evaluada desde el inicio de la falla del control provocando un impacto mayor al resultante de una falla de un control manual.

Los controles semiautomáticos incluyen las ventajas y desventajas de los otros dos tipos de control; de manera que de no ser gestionados adecuadamente (capacitación para los recursos humanos que participan en ellos, buen diseño e implementación, y una adecuada y oportuna evaluación), estos pueden generar una falsa sensación de buena gestión de los riesgos, que daría como resultado una mayor probabilidad de ocurrencia e impactos significativos para la entidad.

En adición a los costos, tipo de acción sobre el riesgo, la naturaleza de su ejecución y demás aspectos presentados previamente, para el diseño de un control es importante determinar la frecuencia con que deberá ejecutarse. Esta frecuencia debe considerar la oportunidad (tiempo real, una vez por día, semanal, quincenal, mensual, etc.) con que puede materializarse el riesgo. Por ejemplo: el proceso de autenticación de los usuarios para acceder a un sistema de información se ejecuta en línea, cada vez que un usuario intenta acceder al sistema de información.

Evaluación de la efectividad operativa de un control

Luego de haber agotado un riguroso proceso de diseño de esos controles y lograr su exitosa implementación, la entidad debe establecer mecanismos robustos para evaluar si estos se mantienen operando sobre los riesgos con la efectividad esperada, y según los criterios que motivaron su elección como control. 

Sin un adecuado esquema de evaluación de los controles es posible caer en la errónea percepción de que con su implementación los riesgos dejaron de existir y los objetivos y metas de la entidad están garantizados, sin embargo, nada menos cierto que eso. Los controles no eliminan riesgos.

La evaluación de la efectividad operativa de los controles debe considerar la identificación de todos los controles con que cuenta la entidad. En el ambiente tecnológico estará distribuido entre controles de aplicación físicos, lógicos, administrativos (p.ej.: políticas, procedimientos), entre otros. La entidad deberá relacionar cada control con los riesgos (uno o varios) sobre los que tiene una expectativa de mitigación. Por ejemplo: el Control-1 está relacionado con los riesgos siguientes: Riesgo-19, Riesgo-23 y Riesgo-27, y el Control-15 con el Riesgo-10 y el Riesgo-23. En un determinado escenario, la intención de probar la efectividad operativa de Control-1 y Control-15 está motivada por conocer el nivel de riesgo residual del Riesgo-23. Supongamos que el resultado de la prueba de efectividad arroja que el Control-15 funciona satisfactoriamente y el Control-1 no. El resultado de la evaluación del Control-1 afectará el nivel de riesgo residual del Riesgo-23 y deberá motivar la evaluación del efecto en los niveles residuales en el Riesgo-19 y Riesgo-27.

La frecuencia con que se ejecuta la actividad que genera el riesgo es uno de los factores importantes para determinar la frecuencia con que debe evaluarse la efectividad de sus controles. Un riesgo relacionado a una actividad que se ejecuta decenas de veces durante un día de operaciones de la entidad requerirá de controles rigurosamente diseñados y de ejecución automática para que la entidad pueda tener un nivel razonable de confianza sobre los resultados de esa actividad. Al igual que para todos, este escenario requiere de controles administrativos claramente definidos y socializados con todas las partes interesadas, pero es necesario entender que este tipo de controles, por lo general, tiene su fortaleza en la buena intención de las personas que están llamados a cumplirlos y supervisarlos. En tal sentido, los controles administrativos por si solos pudieran no ser suficientes para lograr un nivel de confianza razonable sobre el nivel de riesgo en que está operando un determinado proceso o actividad en la entidad.

Podemos concluir resaltando que la gestión de riesgo y la tecnología de la información tienen una constante en común: el entorno dinámico en el cual se desarrollan. Los riesgos no son estáticos y las variables que se incorporan al uso de la TI, tales como vulnerabilidades inherentes a la tecnología que utiliza la entidad, así como nuevas amenazas sobre las cuales cada día son menos efectivos los controles tradicionales, obligan a establecer y gestionar un adecuado esquema de evaluación del diseño y efectividad operativa de los controles de TI, como parte de un buen ambiente de control en la entidad.

La relación actualizada de los riesgos de la entidad con sus respectivos controles, ya implementados, puede utilizarse como base para la planificación de las pruebas de evaluación de diseño y eficacia operativa de los controles. Recordemos que los controles no eliminan el riesgo, por lo que debe mantenerse el monitoreo constante del contexto de la entidad y sus riesgos. Conocer las capacidades de cada tipo de control, según su acción sobre la probabilidad e impacto que definen los niveles (inherente y residual) del riesgo y la frecuencia con que cada control debe operar, debe brindar garantía de que la entidad se encuentra en un ambiente de control razonable.

Por último, y no menos importante, el adecuado ambiente de control debe ser aprovechado por la entidad para identificar cuáles estrategias e iniciativas pueden desarrollar, considerando que tienen controles que desde ya contribuyen a la mitigación de riesgos inherentes.

 

Referencias:

  • FSI Insights on policy implementation No 50 Banks’ cyber security, FSB (2023)
  • Comité de Basilea sobre Supervisión Bancaria - Revisiones a los principios para buenas prácticas de la administración de Riesgo Operacional (2020)
  • Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) - Programa de Auditoría de Sistemas de Información – Marco de Trabajo de Ciberseguridad.
Blog institucional
Icono de calendario blanco 15 / 08 / 2023 Icono de usuario blanco Edgar Morrobert

Impacto del diseño y la efectividad operativa de los controles en la gestión de riesgo TI

Suscribete
Icono de Circulo con X en el medio azul Icono de Circulo con X en el medio relleno de azul
El correo electrónico es requerido
Temas de interés

Regulación

Protección al usuario

Estudios económicos
¡Éxito!Error...
Icono de Circulo con X en el medio azul Icono de Circulo con X en el medio relleno de azul
Muchas gracias por suscribirte a nuestro boletín, pronto estaremos enviando contenido a tu correo electrónico relacionado a los temas de interés que seleccionaste.Ha sucedido un error... favor de volver a intentar.