El Riesgo Operativo y Tecnológico.

https://gestionyauditoriati.com/2012/08/27/el-riesgo-operativo-y-tecnologico/

Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar.
Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón
más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una
humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando
a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto
tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria,
pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho
histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.

El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras
por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas
naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las
operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan
en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar,
implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de
sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su
materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a
funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en
los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos
mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del
Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional
De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas
en El Salvador a considerar el Riesgo Operativo dentro de su gestión.

El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles
de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados.
Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que
el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los
sistemas de información. Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo
tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de
operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar
cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes
componentes de la infraestructura tecnológica, tales como la administración de la configuración, la
administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con
proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el
cese de operaciones impacta en la organización. Cosas como comprometer la información de la
organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me
indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la
información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen
ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de
monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan
tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico
tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.

2.- El riesgo operacional y tecnológico en la banca

https://www.pressreader.com/

La incorporación de la tecnología tiene múltiples beneficios para la banca. Sin embargo, es clave
conocer los factores que pueden constituir un riesgo operacional y tecnológico, a fin de prevenir o
reducir sus efectos. Estos son los principales desafíos,

Especiales24 Jul 2017Por: Hortencia Fritz A.

El desarrollo sin precedente de las tecnologías de la información está impactando en forma

creciente el proceso productivo y comercial de la actividad bancaria.

Según el Informe Anual 2016 de la Superintendencia de Bancos e Instituciones Financieras (SBIF),

el impacto se da en dos principales ejes. En la parte productiva, las nuevas tecnologías representan
una oportunidad para hacer más eficientes los procesos y, del mismo modo, obtener
disminuciones en los costos operativos del negocio.

En la parte comercial, el surgimiento de nuevos hábitos y preferencias de los con- sumidores, cada
vez más demandantes a interactuar a través de medios digitales, está produciendo cambios en los
servicios ofrecidos por las entidades financieras, las que han debido orientarse a una banca de
naturaleza cada vez más digital.

Este nuevo entorno también trae consigo cambios en los riesgos operacionales a que se exponen
las entidades, particularmente los riesgos tecnológicos y de ciberseguridad, por lo que la adecuada
identificación, cuantificación y gestión de los riesgos operacionales constituye un elemento central
para el adecuado funcionamiento del sector. La Superintendencia de Bancos e Instituciones
Financieras, SBIF, ha puesto especial énfasis en la gestión de los riesgos operacionales en sus
revisiones periódicas a las entidades financieras, con una mirada particular en aquellos que tienen
relación con la continuidad del negocio, los servicios externalizados, la seguridad de la información
y ciberseguridad, la gestión de fraudes y las tecnologías de la información.

En forma adicional a estas revisiones, este organismo cuenta con un sistema de detección y alertas
de incrementos en las exposiciones a los riesgos de las entidades bajo fis- calización, que
monitorea permanentemente. Estos son algunos de estos indicadores.

Pérdidas operacionales

Según consigna el Informe de la SBIF, las pérdidas operacionales totales netas de la banca,
acumuladas a diciembre de 2016, alcanzaron 44.804 millones de pesos. De acuerdo a las
categorías existentes, las mayores pérdidas se observaron en el ítem “Fraude Externo”, con un
monto de 19.643 millones de pesos, que corresponde al 44% de las pérdidas totales informadas.

Incidentes operacionales

En el mismo documento se presentan los datos relacionados con esta materia. Es así como los
incidentes operacionales notificados por la banca desde la fecha de emisión de la norma (Circular
N° 3579 sobre la obligación de reportar incidentes operacionales), han tenido su origen
principalmente en problemas con infraestructura tecnológica (45%) e infraestructura física (31%).
El resto de categorías (desastres naturales, fallas en procesos, seguridad de la información y
ausencia del personal) representan un porcentaje menor de incidencias.

44% de las pérdidas operacionales totales netas de la banca, acumuladas a diciembre de 2016,
corresponden al ítem “Fraude Externo”, con un monto de 19.643 millones de pesos, según datos
de SBIF.