Menú
Comienza gratis
header_academy_v2

Nueva norma de la Comisión para el Mercado Financiero de Chile

by Daniela Santos Borja, on junio 04, 2021

h_cumplimiento_cmf_pirani

La Norma de Carácter General N° 454, publicada el 18 de mayo de 2021, imparte instrucciones relacionadas con la gestión de Riesgo Operacional y Ciberseguridad, así como de la realización periódica de autoevaluaciones en ambas materias en entidades aseguradoras y reaseguradoras. 

A continuación te contamos qué dice la norma sobre estos temas y cómo el uso de una herramienta tecnológica como Pirani Riskment Suite o Pirani ISMS Suite ayuda a las empresas obligadas a su cumplimiento. 

Sobre la gestión de Riesgo Operacional

Norma N° 454 de la Comisión para el Mercado Financiero (CMF)  Cumplimiento con Pirani Riskment Suite

1. Marco de gestión de Riesgo Operacional

Principio 1: La gestión del riesgo operacional debe integrarse completamente en el sistema de gestión de riesgos de las compañías y documentarse adecuadamente.

El riesgo operacional es inherente a todos los productos, actividades, procesos y sistemas. Como  tal, la gestión efectiva del riesgo operacional debe ser un elemento fundamental del sistema de  gestión de riesgos de una compañía.

La completa recopilación de datos, que soporta el marco, permite el análisis de problemas complejos a nivel corporativo y facilita las acciones de mitigación de riesgo.

El análisis de eventos externos y el análisis de  escenarios, pueden aportar valor al proceso de gestión de riesgos y desalentar la complacencia  en la gestión de riesgos operacionales.

Pirani Riskment Suite fue creada para cubrir la necesidad de gestionar los riesgos de una manera estructurada y sistematizada, así como apoyar todos los procesos que se ejecutan alrededor de esta gestión en las organizaciones.

En Latinoamérica, Pirani Riskment Suite busca ayudar cada vez a más compañías a cumplir con las exigencias de los diferentes entes reguladores, por ejemplo, con aquellas reglamentaciones que las obligan a contar con un sistema efectivo de gestión o administración de riesgos tanto operativos como de seguridad de la información.

2. Declaración de apetito de Riesgo Operacional

Principio 2: La gestión del riesgo operacional debe servir para respaldar la estructura general de gobierno corporativo de las compañías. Como parte de esto, las compañías deben desarrollar y utilizar una declaración de apetito de riesgo operacional.

Las compañías de seguros deben desarrollar y mantener una declaración de riesgo operacional,  como parte del Marco de Apetito de Riesgo general de las compañías, según lo define la NCG N°  309 de 2011. La declaración de apetito de riesgo operacional debe comprender la naturaleza y los tipos de riesgo operacional que la compañía está dispuesta o espera asumir. La declaración  de apetito de riesgo operacional debe ser sucinta, clara e incluir un componente medible (límites o umbrales).

La declaración de apetito de riesgo operacional y / o el umbral de reporte para eventos de riesgo operacional materiales deben revisarse periódicamente para asegurar que siga siendo apropiado. Deben implementarse procesos de escalamiento e informe de violaciones, o posibles violaciones.

Con Pirani Riskment Suite las compañías pueden calificar la frecuencia o probabilidad y el impacto de sus riesgos, así como seleccionar los criterios de calificación y dar una justificación.

Adicionalmente, la herramienta tiene reductores de subjetividad para mejorar el proceso de la calificación inherente y permite añadir archivos adjuntos o enlaces para mejorar la documentación del riesgo, asociarlo a los procesos en los que se presenta y a los planes de mitigación que están impactando al riesgo.

 

3. Tres líneas de defensa 

Principio 3: Las compañías deben garantizar la rendición de cuentas efectiva para la gestión del riesgo operacional. Un enfoque de “tres líneas de defensa”, o una estructura  apropiadamente robusta, debe servir para delinear las prácticas clave de la gestión del riesgo operacional y proporcionar una visión objetiva adecuada y que trate de desafiar su validez.

Primera línea de defensa

Tiene la propiedad del riesgo. Es responsable de planificar, dirigir y controlar las operaciones diarias de una actividad significativa y/o proceso de toda la empresa y de identificar y gestionar los riesgos operacionales inherentes en los productos, actividades, procesos y sistemas asociados a dichas líneas de negocio.  

Segunda línea de defensa

Son las actividades de supervisión que identifican, miden, monitorean y reportan objetivamente el riesgo operacional. La segunda línea de defensa es la mejor situada para proporcionar revisiones especializadas relacionadas con la gestión del riesgo operacional de la compañía.

Tercera línea de defensa

La auditoría interna se encarga de esta tercera línea de defensa. Debe proporcionar una revisión adecuada y pruebas objetivas de los controles, procesos y sistemas de gestión de riesgo operacional de la compañía y de la efectividad de las funciones de primera y segunda línea de defensa.

El uso de Pirani Riskment Suite permite a las compañías involucrar de manera fácil y eficiente a todas las áreas de la organización y crear una cultura alrededor de la gestión de riesgos.

4. Identificación y evaluación del riesgo operacional

Principio 4: Las compañías deben garantizar una identificación y evaluación integral del riesgo operacional mediante el uso de herramientas de gestión adecuadas.

La CMF solicita a las compañías que deban continuar desarrollando y mejorando las herramientas que utilizan para administrar su riesgo operacional y monitorear y adoptar las mejores prácticas en esta área. 

Las herramientas específicas utilizadas  para identificar, evaluar y analizar el riesgo operacional dependerán de una serie de factores relevantes, en particular la naturaleza (incluido el modelo de negocio), el tamaño, la complejidad  y el perfil de riesgo de la compañía.

Pirani Riskment Suite permite a las organizaciones identificar y evaluar sus riesgos operacionales, así como asociarlos a procesos, causas, consecuencias, controles, responsables, planes de acción y adjuntos.

En lo relacionado con los riesgos de seguridad de la información, permite asociar los activos correspondientes y amenazas o vulnerabilidades que se puedan presentar.

5. Prácticas emergentes de gestión de riesgo operacional

Una de las prácticas en gestión de riesgo operacional que se incluye en esta Norma es recopilar información sobre si los eventos o patrones similares están ocurriendo en otras áreas, es decir, si hay indicios de riesgos operacionales más ampliamente difundidos dentro de la compañía.

Sobre esto menciona que los marcos de gestión de riesgo operacional deben estar diseñados para permitir la recopilación de información en áreas específicas a través de las líneas de negocios en toda la empresa.



A través de Piran Riskment Suite se pueden registrar los diferentes eventos e incidentes que ocurran y cumplir con los requerimientos exigidos por las normativas en cuanto a campos a diligenciar, además, permite identificar cuál fue el riesgo que se materializó, cuál fue la causa generadora del evento, qué control falló y generar monitoreo por causas, fallas de controles, así como el ingreso de subeventos asociados a un evento que puede generar pérdidas. 

Adicionalmente, la herramienta cuenta con un módulo de estados que permite definir flujos de estados para mejorar el control del proceso de análisis y aprobación de eventos.

Herramientas de gestión de riesgos operacionales que pueden ser útiles

a) Taxonomía de riesgo operacional.

b) Evaluaciones de riesgo y control.

c) Cambios en la gestión de riesgos y evaluaciones de control.

d) Recopilación y análisis interno de eventos de riesgo operacional.

e) Recopilación y análisis externo de eventos de riesgo operacional.

f) Indicadores de riesgo y desempeño.

g) Mapeo de procesos de negocios materiales.

h) Análisis de escenarios.

i) Cuantificación y/o estimación de la exposición al riesgo operacional.

j) Análisis comparativo.

 

Con el uso de Pirani Riskment Suite las compañías pueden:

a) Identificar el riesgo operacional, relacionar un riesgo a varios procesos, un control a varios riesgos, una causa o consecuencia a varios riesgos y generar reportes y matrices de riesgo por diferentes filtros (procesos, líneas de negocio, objetivos estratégicos, áreas, tipo de riesgo, entre otros).

b) Relacionar al control uno o varios riesgos y asignar un porcentaje de mitigación del control al riesgo para frecuencia e impacto, así como asociar procesos, planes de acción, indicadores, usuarios encargados de los controles, entre otros.

c) Tener el consolidado de la gestión de riesgos e incluir variables para la calificación del diseño y efectividad del control. Con base en el resultado de la calificación del control, el aplicativo asigna la calificación de eficiencia del mismo.

d) Contar con todos los campos mínimos requeridos a nivel normativo para el registro de eventos internos de riesgo operacional.

e) Tener todos los campos mínimos requeridos a nivel normativo para el registro de eventos internos de riesgo operacional.

f) Monitorear los procesos, riesgos y controles a través de indicadores.

g) Apoyar los procesos que se ejecutan alrededor de la gestión de riesgos de la organización.

h) Análisis de escenarios***.

i) Tener una matriz consolidada de riesgos de cualquier parte de la organización, incluyendo el porcentaje de exposición inherente y residual.

j) Contar con un reporte de matriz comparativo en el que se puede contrastar la matriz actual contra una matriz de fecha anterior. Todos los reportes del aplicativo permiten ser filtrados por rango de fechas históricos.

 

Contacta a un asesor para más información

h_cumplimiento_norma_cmf_pirani

Sobre el Marco de Gestión de Riesgo de Ciberseguridad

Esta norma de la Comisión para el Mercado Financiero (CMF) está basada en las mejores prácticas reconocidas internacionalmente sobre la prevención de los riesgos de ciberseguridad. En particular, se basa en los ocho elementos fundamentales de alto nivel de la ciberseguridad establecidos por el G7FE:

1. Estrategia y Marco de Ciberseguridad

Entre las prácticas recomendadas se destaca que esta estrategia esté alineada con el marco de gestión del riesgo de ciberseguridad y de gestión de riesgo operacional, que respalde y promueva tanto la seguridad operativa como la protección de los datos y que defina claramente tanto los objetivos, los requerimientos necesarios así como las funciones y responsabilidades.

2. Gobierno

Algunas de las funciones que debe cumplir son evaluar regularmente el perfil de riesgo para garantizar que sea consistente con la tolerancia al riesgo y con los objetivos comerciales, igualmente, debe estar involucrado en la implementación del marco de ciberseguridad y en las políticas y procedimientos, y debe fomentar el conocimiento y el compromiso con este tema entre los empleados.

Norma N° 454 de la Comisión para el Mercado Financiero (CMF)  Cumplimiento con Pirani ISMS Suite

3. Evaluación de Riesgo y Control

Algunas de las prácticas que deben implementar las aseguradoras son:

a) Tener en cuenta de forma adecuada los riesgos cibernéticos en su sistema general de gestión de riesgos, identificando las funciones y procesos de soporte del negocio.

b) Realizar una evaluación de riesgo de los recursos/activos y clasificarlos en términos de criticidad.

c) Clasificar los activos críticos desde una perspectiva de confidencialidad, integridad y disponibilidad.

d) El inventario debe abarcar hardware, plataformas de software y aplicaciones,  dispositivos, sistemas, datos, personal, sistemas de información externos, procesos críticos y documentación sobre los flujos de datos esperados.

e) Coordinar los esfuerzos de identificación con otros procesos relevantes, como la gestión de adquisiciones y cambios, a fin de facilitar una revisión  periódica de su lista de procesos críticos del negocio.

f) Incluir las amenazas externas, en particular el volumen y el tipo de ataques  (intentados o exitosos) que reflejan y afectan la exposición al riesgo cibernético de la aseguradora.

g) Tener un conocimiento adecuado de la situación de los riesgos cibernéticos que enfrenta.

 

Pirani ISMS Suite:

a) Permite adaptarse a la estructura de procesos de la organización (macroprocesos, procesos, subprocesos o similar) e identificar los procesos críticos para la continuidad del negocio y si pertenecen a la cadena de valor o de soporte.

b) Cuenta con un módulo para el registro de los activos de información, este es parametrizable y permite ver los rangos que indican de manera automática su criticidad según las variables de calificación.

c) Preserva la confidencialidad, integridad y disponibilidad. Bajo estos tres aspectos se realiza el análisis y la evaluación de los activos de información.

d) Permite realizar el registro de los activos de información, es parametrizable y se pueden adicionar las opciones de identificación que se deseen visualizar como software, Hardware, etc.

e) Permite relacionar los procesos (módulo de procesos) al activo de información.

f) Permite registrar y crear amenazas y vulnerabilidades con su respectiva clasificación.

g) Ayuda a la organización a soportar la identificación de los riesgos de seguridad de la información, manteniendo centralizada la información de los riesgos, además, conociendo el inventario de riesgos relacionados a los activos de información en cualquier momento y extrayendo el reporte consolidado de riesgos. 

4. Monitoreo

Las aseguradoras deben “establecer procesos de monitoreo sistemático para detectar rápidamente incidentes cibernéticos y evaluar periódicamente la efectividad de los controles identificados, incluyendo el monitoreo de red, pruebas, auditorías y ejercicios”. 

Aquí se brindan recomendaciones para el monitoreo continuo y el testeo.

5. Respuesta

De manera oportuna se debe: “evaluar la naturaleza, el alcance y el impacto de un incidente  cibernético; contener el incidente y mitigar su impacto; notificar a las partes interesadas internas y externas, como agentes de cumplimiento legal, los reguladores y otras autoridades públicas, así como los accionistas, proveedores de servicios de terceros y clientes, según corresponda); y coordinar las actividades de respuesta conjunta según sea necesario".

6. Recuperación

En este punto se recomienda “reanudar las operaciones de manera responsable, al tiempo que permite la remediación continua, incluso mediante: eliminar los restos dañinos del incidente; restaurar los sistemas y los datos a su estado normal y confirmar el estado normal; identificar y mitigar todas las vulnerabilidades que fueron explotadas; remediar las vulnerabilidades para prevenir incidentes similares; y comunicarse apropiadamente interna y externamente.

7. Intercambio de información

Aquí las aseguradoras deben "participar en el intercambio oportuno de información de ciberseguridad confiable y accionable con partes interesadas internas y externas (incluidas entidades y autoridades públicas dentro y fuera del sector financiero) sobre amenazas, vulnerabilidades, incidentes y respuestas para mejorar las defensas, limitar los daños, aumentar la conciencia de la situación y ampliar el  aprendizaje".

8. Aprendizaje continuo

Se solicita a las aseguradoras a “revisar la estrategia y el marco de ciberseguridad periódicamente y cuando los eventos lo justifiquen, incluidos su gobierno, evaluación de riesgos y controles, monitoreo, respuesta, recuperación e intercambio de información para abordar los cambios en los riesgos cibernéticos, asignar recursos, identificar y remediar las brechas e incorporar las lecciones aprendidas”.

Conoce más de Pirani ISMS Suite

Otros puntos de la norma de la CMF  

El capítulo V de esta norma establece que las compañías de seguros deben realizar cada dos años una autoevaluación del grado de cumplimiento de sus prácticas de gestión de riesgo operacional y en forma anual en lo relativo a ciberseguridad.

Y el capítulo VI dice que “deberán comunicar a la Comisión los incidentes operacionales que afecten o pongan en riesgo la continuidad del negocio, los fondos o recursos de la entidad o de sus asegurados, la calidad de los servicios o la imagen de la institución”. El envío de esta comunicación debe comenzar a informarse el 30 de septiembre de 2021.

Finalmente, a través de esta norma, la Comisión para el Mercado Financiero también reconoce la importancia del uso de herramientas para agregar mayor valor a la gestión de riesgos operacionales y de ciberseguridad, por eso, insta a las compañías a implementarlas en todo el proceso de la gestión de sus riesgos. En Pirani podemos ser el aliado de tu organización.

Contacta a un asesor para más información

 

logo_tres_lineas_de_defensa

Únete a esta gran comunidad de gestión de riesgos.

APRENDE // COMPARTE // INTERACTÚA

Logo facebook las tres líneas de defensaLogo linkedin las tres líneas de defensa
Nueva llamada a la acción

Escribe tu comentario