Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Parte 2

    Enviado por

    abrahamfdzc
    55 visualizações70 páginas

    Título original

    PARTE 2

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    55 visualizações70 páginas

    Parte 2

    Enviado por

    abrahamfdzc

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 70

    PARTE 2. Respondiendo a los Riesgos 2.1.

    Respondiendo a los riesgos: Opciones de Direccin, Encuentre el Equilibrio, Creando palancas operaciones Ciclo de operaciones para la gestin de riesgo

    Figura 17 "Yo veo a la gestin del riesgo operacional en la mayor parte de la misma luz ah veo el control de calidad. Si se trata de una actuacin posterior a los hechos, el componente defensivo de este proceso, entonces es menos eficaz que si se trata de un componente importante de la forma en que la organizacin hace negocios y est integrada en el proceso en el extremo delantero. En otras palabras, la gestin del riesgo operacional debe ser una parte de cmo una organizacin define su filosofa de funcionamiento. " - Mark Olson En la evaluacin de riesgos, atento a las advertencias iluminado el estado de la empresa en trminos de medio ambiente y las capacidades. La observacin fue en el contexto de escenarios para la comprensin de los posibles riesgos. Esta es la respuesta del punto de lanzamiento para el riesgo. Ahora, pasamos a la respuesta al riesgo, la segunda mitad del ciclo que hemos estado usando. Esta parte del ciclo al menos para ayudar a una institucin de dar prioridad a las

    mejoras, la capacidad de construir, colocar en el medio ambiente, y, cuando sea necesario, utilice un plan B para reaccionar y recuperarse. En los debates pblicos y privados, los lderes de riesgo operacional que reportan avances en la bsqueda y evaluacin de los riesgos siguen luchando con la respuesta a los riesgos. Aunque las razones pueden variar, se describen los sntomas similares en una organizacin: Una acumulacin de riesgos para fijar La dificultad de los casos de negocios para el montaje de las respuestas propuestas Las respuestas lentas a una cadena de desarrollo de los acontecimientos La reaparicin de 'cosas malas' que no se hayan resuelto completamente Suficiente capacidad para aprovechar los cambios de entorno para aprovechar las oportunidades de negocio

    Enfocarse en lo bsico para evitar tropiezos En el captulo sobre la observacin de las advertencias (1.10), el ejemplo de un barco en una tormenta ayud a hacer la distincin entre las advertencias sobre el medio ambiente y las advertencias acerca de las capacidades. En este ejemplo se sigue ayudando a medida que aadimos las implicaciones de la calidad de la planificacin y el tiempo disponible. El tiempo crea y excluye las opciones para la accin En el corto plazo, la planificacin puede llevarse a cabo para hacer frente a los factores del entorno, por ejemplo, para regresar al puerto Si el clima empieza a volverse mala. Y lo mismo para los factores de capacidad, por ejemplo, poner un balde en el barco en caso de que necesitemos baln fuera del agua. A ms largo plazo, la planificacin se puede hacer para agregar capacidades (en la supervisin, la gestin, controles y procesos bsicos) para hacer el mejor barco capaz de navegar en mares ms agitados o la posicin en el medio ambiente (puertos y rutas) para que el barco puede navegar en mares suaves en otros lugares en su lugar. Esto tambin se aplica a riesgos tales como la continuidad de fraude, el comercio y los negocios. Por ejemplo, como se ver en el captulo 2.5 en la gestin de productos y la prevencin del fraude, una mejor planificacin de escenarios relacionados con el fraude en gestin de productos es un camino slido a la prevencin. Es clave reconocer explcitamente que:

    Los diferentes horizontes de tiempo diferentes opciones de respuesta en la planificacin, medio ambiente y las capacidades Existen ventajas y desventajas entre la planificacin, medio ambiente y las capacidades.

    Para aplicar estos conceptos bsicos para desplazar ms fcilmente de cumplimiento a una basada en el rendimiento, enfoque sistemtico, empezar por centrarse en los objetivos de negocio. Acciones claves para manejar los objetivos del negocio En respuesta al riesgo, nuestro objetivo de negocio es mejorar la rentabilidad ajustada al riesgo al reducir el riesgo de volver. En cierto sentido, las mtricas, esto es la mejora de rentabilidad ajustada al riesgo. En la prctica, la prueba es si se toman medidas sobre los problemas previamente identificados. Tomar una accin ms eficaz y eficiente es ms fcil con un enfoque en los puntos clave. En respuesta al riesgo, entender su amplia gama de opciones, el costo de las opciones y el valor de mantenerlas abiertas para responder a los riesgos. Examine las decisiones que puedan excluir las opciones para prevenir o reaccionar ante los riesgos. Tiempo asuntos de entender las implicaciones en cada paso del ciclo. Disfruta de la amplia gama de enfoques de eficacia comprobada para reducir el riesgo de disciplinas como la mejora de procesos / reingeniera, control de calidad, desarrollo de aplicaciones de software, continuidad de negocio, gestin de crisis, la planificacin estratgica y gestin financiera. Seleccione entre la gama de herramientas y tcnicas para ayudar a aclarar la respuesta al riesgo prioridades para la accin. Las herramientas son maneras de hacer ms fcil mejora de la capacidad. Mejoras de capacidad son palancas (tanto en la gestin de los riesgos y los sentidos de estrategia competitiva) para la mejora de resultados. Crear palancas Hacer una distincin entre la respuesta a los riesgos que estn relacionados con el ambiente (por lo general externa e impulsada no el proceso), y los que son inherentes al proceso. Hacer una distincin entre las capacidades de fortalecimiento de la supervisin, gestin, control y el proceso de negocio de productos (analizar, desarrollar, comercializar, vender, entregar, soportar). Asociarse con otros equipos de la institucin con los objetivos para mejorar el proceso, aumentar los ingresos rentables y / o proteger contra el riesgo. Eficiente y eficaz de "mando y control" capacidades son fundamentales para poder reaccionar lo suficientemente rpido como para reducir al mnimo la prdida o tomar ventaja de las oportunidades. Una vez que surge un problema, la atencin se centra en retrasar o detener la cascada de eventos para reducir el impacto y los efectos. El xito de esta reduccin depende de la capacidad subyacente de procesos de negocio,

    preparacin, control y toma de conciencia de la situacin de alerta temprana. Recuperacin rpida en gran medida depende de encontrar rpidamente la causa raz del cambio, la comprensin del medio ambiente y / o proceso, y los preparativos avanzados para la recuperacin. Mejoras en el largo plazo son el nico camino verdadero para la reduccin de riesgos. Heroicas, a corto plazo correcciones son necesarias para mantenerse en el negocio, pero la respuesta eficaz de los riesgos depende de mejoras en las capacidades y el posicionamiento dentro o remodelando el medio ambiente. Comprensin de los controles En trminos bsicos hace que sea ms fcil de hacer controles ms eficaces en la bsqueda y solucin de problemas, as como ayudar en la prestacin de hacerlos ms eficientes para implementar, mantener y poner a prueba. El producto de gestin de la disciplina puede ayudar a conseguir una institucin para reducir una serie de riesgos, como el fraude, adems de mejorar los resultados del negocio. La informacin de riesgos de tecnologa crece a medida que las instituciones se vuelven ms dependientes de la tecnologa. Herramientas establecidas pueden ayudarle a trazar las dependencias, y evitar problemas de productos y procesos. Su oportunidad como lder del riesgo operacional es aprovechar la amplia gama de herramientas de probada eficacia e involucrar a personas bien formadas para: 1) uso de conocimiento de gestin de riesgos para aplicar esta capacidad a las principales prioridades para la reduccin del riesgo y 2) llevar al equipo a soluciones que son ms rpidos, mejor y ms barato que habra ocurrido lo contrario. Esto crea valor para el accionista.

    La aplicacin de estos puntos clave es nuestro foco en el resto de este captulo en el siguiente y varios: 2.2 Priorizar las mejoras 2.3 Fortalecimiento de la institucin en su entorno 2.4 Mejora de la capacidad de control 2.5 Mejorar la gestin de productos y la Lucha contra el Fraude 2.6 Mejora de IT relacionados con la Gestin de Riesgos de Empresas 2.7 Reaccin y la recuperacin-derecho de accin en el momento adecuado 2.8 Perspectivas clave para responder a los riesgos

    En respuesta a lo esencial de riesgo Como un adelanto, recordar los dos bucles en el ciclo de gestin del riesgo: 1. El ciclo de estado estacionario incluye mejoras en la capacidad de priorizar y / o posicionamiento en el medio ambiente. Esto incluye la planificacin por

    adelantado para reducir la probabilidad de una cadena de eventos que se abra y para mitigar su impacto si se produce. 2. El ciclo de excepcin reacciona a una situacin y luego se recupera. Los dos bucles se recomiendan, ya que han demostrado la historia en una variedad de configuraciones y puede ayudarle a colaborar con los profesionales de las disciplinas de riesgo. Por ejemplo, el ciclo de estado estacionario es ms familiar para los profesionales de la mejora de procesos. El ciclo de reaccin es ms familiar para los profesionales de riesgo para la seguridad, continuidad y peligro. Clsico de respuesta al riesgo categoras son: evitar por completo; share / transferencia; mitigar / reducir / tratamiento, y aceptar / tolerar por completo. Evitar por completo y aceptar / tolerar por completo son sencillas. Compartir / transferencia incluye varias disposiciones: Compartir financiera: el seguro Intercambio de funcionamiento: contrato a un tercero (por ejemplo la subcontratacin) Compartir financiera y operativa: contrato a un tercero con el recurso financiero / indemnizacin. En todos estos casos, la parte primordial es legalmente responsable por el riesgo y se puede sentir las repercusiones financieras a travs de sanciones contractuales de los clientes, multas reglamentarias y sentencias judiciales. Mitigar / reducir es el foco de nuestra discusin sobre la reduccin del riesgo. En particular, para ayudar a reducir el riesgo en una forma que: a) impulsa el rendimiento del negocio, b) Es eficiente?, y c) se muestra el beneficio del negocio de la funcin de gestin del riesgo operacional. Cada uno incluye reposicionar o la remodelacin (evitar ser el caso extremo), o de lo contrario Aumento de la capacidad. O bien, de hecho, ambos. Uso de herramientas de probada eficacia Adems de estos clsicos de riesgo-respuesta (a veces llamado "tratamiento de riesgos) categoras, tambin hay un conjunto de herramientas de probada eficacia y enfoques para reducir el riesgo de volver. Estas herramientas y enfoques de disciplinas tales como la investigacin de operaciones; reingeniera de procesos de negocio / mejora, control de calidad / mejora, gestin de tecnologa de la informacin, continuidad del negocio, gestin de proyectos, gestin de instalaciones, estrategia, gestin de productos, y las finanzas. Muchos, si no todos, se puede encontrar dentro de las instituciones financieras y (en otras versiones) En una amplia gama de industrias. Estas herramientas y enfoques son muy similares a las encontradas en la evaluacin del riesgo. Aqu los aspectos aplicables a responder al riesgo se utilizan. Usando la herramienta adecuada para el riesgo

    En esta discusin de la respuesta al riesgo, la atencin se centra en el papel del lder del riesgo operacional en el aprovechamiento de estas herramientas de probada eficacia y enfoques, sobre todo en el contexto de una extendida (matricial) equipo de gestin del riesgo operacional. Y, para ello dentro de una institucin para mejorar el rendimiento y el cumplimiento. A medida que estas herramientas tienen mltiples aplicaciones, lo que es importante para el lder del riesgo operacional es ser capaz de asociar una situacin de riesgo particular, con una herramienta para ofrecer un enfoque inicial a un equipo de riesgo y respuesta a la planificacin. Esto es ms sencillo si las situaciones de riesgo se pueden agrupar en formas que apuntan a las categoras de los enfoques de respuesta al riesgo. Para ello, podemos pensar en las fuentes de cambio (para bien o para mal) en dos grandes categoras: 1. Medio Ambiente. Algunos ejemplos son econmicos, polticos, sociales, de mercado competitivo, y las condiciones naturales, y actividades maliciosas tales como cyber o ataques fsicos. Estas son las amenazas ms dinmicas que requieren disposicin a reaccionar cuando una cascada de acontecimientos que se desataron. 3. Empresa capacidad. Esto incluye cambios en las capacidades del proceso de supervisin, gestin, control y el ncleo que (como los cambios lo hacen) las brechas abiertas que debilitan la capacidad de actuar / reaccionar como los cambios del entorno. Ejemplos incluyen problemas en el proceso de los productos (incluidos los procesos empresariales que se conectan con socios y clientes), procesos comerciales (la mecnica, pero no cambios en los precios) y los fraudes que se aprovechan de las debilidades del proceso.
    Tipos de respuesta al riesgo vara con la fuente de cambio y el impacto

    2.

    Figura 18

    Hacer esta distincin significa que puede llegar a la caja de herramientas para dibujar en las herramientas ms adecuadas para el trabajo. Esto ayuda a ahorrar tiempo y dinero. Corregir las debilidades en los procesos de negocio suele ser ms econmico, fiable y efectivo en la cara de una serie de amenazas que slo capas de ms controles y auditoras.

    Con esto como punto de partida, la prxima vez que los pasos del proceso de riesgo-respuesta, a partir de las mejoras prioritarias. El riesgo operacional diferencia de lder Su oportunidad personal es: Administrar las opciones de Comprender el valor empresarial de sus opciones para actuar. El valor de saber ahora, en lugar de ms tarde. El valor de actuar ahora, en lugar de ms tarde, tener ms tiempo para actuar. El valor de tener varias opciones de respuesta, en lugar de ser forzados a una. La teora de opciones financieras se aplica aqu. Cunto pagara usted para obtener ms informacin sobre la situacin? Cunto pagara usted para ser capaz de contener el riesgo en un punto particular en una cascada, como un fraude, la interrupcin de la cadena de suministro de terremoto o una inundacin, la falta de sistemas de informacin robticas- slgnlngs de los documentos de ejecucin hipotecaria? En particular, centrar el anlisis y recursos sobre las decisiones irreversibles, especialmente cuando el tiempo lo ms importante. Esta es una de las muchas ideas estresados por Peter Bernstein en su libro, Contra los Dioses: La historia notable de Riesgo 1231. Esta es una distincin clave. Confundir estos dos tipos de planes puede hacer que una situacin peor a la hora de actuar. Encuentra el equilibrio Con las herramientas conocidas, su diferencia personal es encontrar el equilibrio adecuado entre la respuesta y la espera. Esto viene a colacin a cada paso en el proceso de respuesta al riesgo. Por ejemplo, la cantidad correcta de preparacin, capacitacin, controles, el momento adecuado para reaccionar (la cantidad de "esperar y ver), o el orden correcto de raz las causas de riesgo para solucionarlo. Su liderazgo es importante en ayudar a la organizacin a tomar mejores decisiones gracias a las personas que se dedican, y la informacin que enmarca y se realice sin demora. Crear palancas Herramientas hacen ms fcil la creacin de capacidades (no slo para la gestin del riesgo, sino tambin para la estrategia competitiva y de otras reas). Estas capacidades son palancas para empujar para reducir el riesgo real de volver en el negocio. Palancas ms eficaces y eficientes son clave para el xito. Utilice estas herramientas para ayudar a su equipo de diseo de extendida y poner en prctica las mejores soluciones que reduzcan el riesgo a los objetivos de rendimiento de negocio.

    Negocios, funciones, unidades regionales/silos LE IT il ir Empresa de procesos y equipos de mejora. il il Empresa de procesos de Ti y las dependencias

    >

    IT La gestin de procesos

    Figura 19 El diseo de mejores soluciones ayuda a superar las objeciones de que la reduccin de riesgos es demasiado costosa. Su habilidad para invitar a las personas adecuadas (que tambin se preocupan por mejorar los procesos de negocio de productos) para la discusin es de gran alcance. De esta manera no slo crear una solucin ms viable para el riesgo inmediato, sino tambin resolver otros problemas que surgen de las mismas causas. Por supuesto, el peligro al tratar de resolver demasiados problemas a la vez es el sndrome de "hervir el ocano". Para evitar esto, cree varias costo / beneficio de los asuntos financieros (por supuesto, el riesgo ajustar estos costos y beneficios). Esto ayudar al equipo bajan a un consenso y ofrecer un modelo de negocio ms potente. Consejo: Recuerde que la gestin del riesgo operativo es propietario. Sin embargo, usted es el uno con el panorama de los riesgos y las opciones. Su funcin es facilitar una discusin ms grande que trae el riesgo-retomo el valor del negocio. Puntos clave Hay dos circuitos para el riesgo de respuesta del ciclo de estado estacionario y la reaccin inmediata. Ambos son sensibles al tiempo. Respuesta de riesgo-acciones son ms eficientes y eficaces cuando se centra en los objetivos empresariales. Como lder, comprender el valor de negocio de sus opciones para actuar, y hacerlo ms temprano que tarde. Nota 23 Bernstein, Peter L. (1996), Contra los Dioses: La historia notable de riesgo. (Hoboken: Wiley & Sons), [para volver al TEXTIL

    2,2. Dar prioridad a las mejoras


    Riesgo para la gestin del ciclo de operaciones

    Figura 20

    "No hay soluciones rpidas que deben centrarse en soluciones estructurales y cambios de tratar de transformar su organizacin de manera significativa Dos claves para ello son, en primer lugar, la comprensin profunda del sistema que es su banco, la forma en que mrks;... Y el segundo, las causas que puedan daar su sistema. Si usted sabe esto, puede apuntar su anlisis en los datos correctos. Esto es lo que espero que mis lderes de gestin de riesgos para entender el negocio. " - Humphrey Polanen En nuestra discusin de la evaluacin de riesgos, un enfoque sistemtico, basado en escenarios se tom para evitar sorpresas desagradables. Sin embargo, tras una serie de talleres de anlisis de escenarios, los gerentes suelen preguntar: 'Qu hacemos primero? Despus de pensar acerca de las opciones, agregan: "Y, cmo decidimos, tanto en vista de la evaluacin y la posible respuesta (s)? 'No todos los riesgos requieren una accin. Hay una relacin coste / beneficio. Al mismo tiempo, la visin de los sistemas de riesgos emite una luz en la frecuencia plena y magnitud de las prdidas asociadas con un riesgo. Este punto de vista "costo total" puede hacer una ms convincente de costo / beneficio caso a actuar.
    Priorizar la mejora de capacidades, las reas y los criterios

    Se pueden conseguir mejoras en cada una de las cuatro reas que trabajan en conjunto para el negocio para hacer informadas y de riesgo-rendimiento decisiones equilibradas para crear valor para los accionistas: 1. negocio principal producto del proceso 2. controles 3. administracin 4. de supervisin (el gobierno).
    Hay equilibrio entre lo que las mejoras en cada rea. Por ejemplo, los controles pueden compensar proceso de pobres, pero a menudo a un costo excesivo en comparacin con la fijacin del proceso. Cada uno tiene que trabajar razonablemente bien o la empresa se

    ver afectada. Por ejemplo, una institucin es altamente eficiente en tecnologa de la informacin. Sin embargo, los lderes empresariales se quejaron de que las prioridades de gasto se equivocaron, la supervisin fue inadecuada. Ajustes de Medio Ambiente se encuentran en las categoras de supervisin y de gestin, las decisiones se toman all para entrar y salir de los mercados, productos y reas geogrficas.

    Hay equilibrio entre lo que las mejoras en cada rea. Por ejemplo, los controles pueden compensar proceso de pobres, pero a menudo a un costo excesivo en comparacin con la fijacin del proceso. Cada uno tiene que trabajar razonablemente bien o la empresa se ver afectada. Por ejemplo, una institucin es altamente eficiente en tecnologa de la informacin. Sin embargo, los lderes empresariales se quejaron de que las prioridades de gasto se equivocaron, la supervisin fue inadecuada. Ajustes de Medio Ambiente se encuentran en las categoras de supervisin y de gestin, las decisiones se toman all para entrar y salir de los mercados, productos y reas geogrficas. En general, existen tres criterios para dar prioridad: Requisitos de los mandatos-jurdico, normativo, de contratos y la poltica La importancia (frecuencia multiplicada por impacto) de los riesgos no suficientemente abordado en un punto La eficiencia y la eficacia en dos sentidos-la gestin del riesgo como un proceso global y la gestin de un riesgo especfico.

    Sugerencia: Establecimiento de prioridades puede ser complicado cuando las organizaciones a menudo se encuentran confundidas sobre lo que dar prioridad en el encaje de diferentes tipos de mejoras y las razones para hacerlo. Don t caer en esta trampa. Que sea ms simple: evaluar posibles mejoras con una matriz de tres por tres. Las filas son las cuatro reas y las columnas son los tres criterios.
    MANDATOS IMPORTANCIA EFICIENCIA Y EFICACIA

    Principal proceso Control Administracin Vigilancia

    Establecer prioridades con el equilibrio en cada una de las cuatro reas. Sin equilibrio, los recursos sern en vano. Por ejemplo, demasiado nfasis en la fijacin del ciclo de producto principal tiende a ser mal dirigido, porque no hay suficientes de los faros, de supervisin y gestin de riesgos para dar prioridad a las mejoras en los procesos principales. O exceso de nfasis en la gestin del riesgo (es decir, por el equipo de gestin del riesgo, sin la participacin de otros expertos en el negocio) tiende a generar ya sea a) los riesgos identificados en los ms 'conocidos' reas de proceso central con lagunas en los menos conocidos de

    los mbitos; o b) una larga lista de resultados sin correcciones para reducir realmente el riesgo de compartir valor. Visualizacin de las prioridades de las herramientas para hacer ms fcil Pasamos ahora a una gira de herramientas para que sea ms fcil de visualizar las prioridades. Tenga en cuenta que a) no hay variaciones en cada una de estas herramientas y, b) que se puede aplicar en mltiples puntos en el ciclo de gestin del riesgo (despus de una vista aproximada de un riesgo, una visin ms cuidadosamente analizada de riesgo, un esbozo de respuesta rpida solucin o una solucin de respuesta ms cuidadosamente diseado). Anlisis de riesgos de tolerancia Cuando el tablero define la voluntad (a veces llamado un "apetito") a asumir riesgos en la bsqueda de rentabilidad a travs de una empresa, o por lnea de negocio, producto, rea funcional o regin geogrfica, especifican algunos criterios. J25LThen las cantidades de riesgo se asignan a los riesgos secundarios dentro de esas reas. Los lmites de riesgo se pueden especificar en una de dos maneras: 1. Un lmite absoluto, con una o ms zonas de alerta que conducen hasta el punto de parada. 2. Un riesgo de destino con una o ms zonas de advertencia. Esto es ms frecuente cuando una sola direccin es "malo" (lesiones personales siempre es malo). Cuando se desva de riesgo de la meta hasta el lmite de la zona de advertencia de que es el lmite absoluto. Esto se puede utilizar cuando las dos direcciones son 'malas' (como en el registro de las preferencias de un cliente de inversin, ya sea demasiado conservador o agresivo tambin). Cualquiera produce el mismo enfoque en el lmite absoluto. El uso y la comunicacin de un enfoque coherente son tiles. Un anlisis de la tolerancia al riesgo da prioridad a aquellos temas que son la mayora en peligro de que se rebase el lmite. La limitacin de esta herramienta es que la magnitud del impacto (incluyendo cascadas y las consecuencias) del flujo del evento no es fcil de saltar fuera del anlisis. La tcnica es generalmente ms til para el enfoque sobre la probabilidad de incumplimiento cuando el impacto es ms claro, como el rendimiento de los sistemas de procesamiento de transacciones.

    Frecuencia de impacto-mapas de calor Probablemente, el ms bsico de la gestin del riesgo de herramientas grficas es el mapa-un calor solar de la frecuencia de los golpes. Los acontecimientos ms importantes, flotan en la esquina superior derecha de la parcela. Ellos se escalan de varias maneras, tales como impacto est ampliando por la prdida de un ao de los ingresos netos. Los grficos son a menudo un cdigo de colores movindose hacia tonos ms oscuros de rojo hacia la esquina superior derecha para reforzar el "calor" concepto. El tamao y la forma de las bandas de reflejar la voluntad de una institucin para tener preocupaciones sobre el riesgo y la relacin sobre la frecuencia en comparacin con el impacto. Por ejemplo, el siguiente diagrama se dibuja para reflejar una institucin que es sensible a las situaciones de alto impacto. Figura 21 Limitaciones Cualquier grfico de dos factores se limita a esa informacin. Adems, hay otras limitaciones: En primer lugar, los 'riesgos' traza necesita una definicin comn sobre la base de los escenarios de riesgo reales creados anteriormente. Con demasiada frecuencia, los puntos de datos son una mezcla de actores, objetos, acciones, sus impactos y consecuencias. En segundo lugar, una vez que los puntos son comparables, es necesario que se declar comparable en trminos de la frecuencia y el impacto que reflejan. Esto es no slo con las escalas comunes o descripcin cualitativa, sino tambin medido en una etapa comparable de una cadena desarrollo de los acontecimientos, de lo contrario los costes no sern comparables. En tercer lugar, como una herramienta de resumen rpido, la carta oculta informacin crtica de la distribucin de la frecuencia y el impacto de cada punto de datos. nicamente considera que las parcelas de frecuencia media en contra de impacto medio-que no refleja la distribucin. Los promedios son por el "peor caso" la definicin ms abajo. Cuando los promedios slo se representan, en lugar de las distribuciones, las organizaciones a menudo se sorprenden cuando sucede algo malo, y que debera ser una sorpresa. Para ver el detalle, la frecuencia, impacto y probabilidad conjunta, las distribuciones deben ser revisadas para ver visualmente que las prdidas para un tipo de riesgo de comportamiento y compararlo con otros. Busque los valores atpicos-preguntar por qu Causas atpicas puede apuntar a Kris y costo-efectivas respuestas a los riesgos.

    Figura 22

    Para nuestros propsitos de una herramienta sencilla para que sea ms fcil de visualizar las prioridades, una mejora sencilla ayuda a superar esta limitacin. Para cada punto de datos de riesgo, aadir un rea sombreada como un reflejo aproximado de una porcin de la distribucin de probabilidad y el impacto. Los puntos son los promedios. Las reas sombreadas que sea ms fcil ver la naturaleza de cada elemento. Si se dispone de datos, la forma de la superficie se puede hacer ms precisa. Por ejemplo, los crculos sugieren distribuciones normales. Tringulos rectngulos indican las distribuciones de cola larga. Los rectngulos indican, la incertidumbre y / o artculos definidos de manera amplia. Dentro de las limitaciones de la herramienta, la clave de la utilidad es la reflexin comparable de los comportamientos de riesgo real. Por ejemplo, a menudo se pone de manifiesto que son pocas las situaciones de alta frecuencia y de alto impacto (si los hay, la institucin est en serios problemas). Esto ayuda a fomentar la conversacin se centra en las causas y las prioridades. nicamente son ejemplos de ilustraciones en bruto.

    Otra limitacin es a menudo en la interpretacin. Ms de un gestor de riesgos se ha descarrilado en una reunin ejecutiva, cuando un ejecutivo de negocios se ve en el cuadrante superior derecho del grfico (el rea de mayor impacto y frecuencia) y exclama: Ya pagamos por eso, ya no es un problema Mejoras Un mtodo para evitar ese tipo de crticas ejecutivos, a menudo ya seguidos por los gestores de riesgos diligentes, es mostrar la frecuencia y el impacto en el estado actual despus de la aplicacin de las mejoras identificadas anteriormente.

    Sin embargo, esto no visual 'saltar' bien o expresar enfoque de la organizacin. Un mejor enfoque a veces es la combinacin de frecuencia y el impacto en el eje vertical y el nombre de 'importancia'. En el eje horizontal ahora disponible, trazar la brecha entre el estado actual y el estado deseado. Aqu, los estados estn numerados, por ejemplo, de 0 a 5 (siendo 5 la mejor) y el nmero actual se le resta el nmero deseado, dejando el espacio-que es lo que traman en el grfico. A continuacin, los de alta prioridad alta brecha elementos se destacan en la parte superior derecha. Pensando acerca de las capacidades es til porque obliga a la consideracin de las causas fundamentales que afectan a las capacidades. Mayores riesgos y los acuerdos sobre una mayor cantidad de necesidad de mejora. Brecha Figura 24 Consejo: Haga esto con su equipo de taller entre las unidades y los ejecutivos clave de forma individual y luego compartir el punto de vista combinado de la organizacin en una reunin ejecutiva de toda la organizacin. Esto puede ayudar a involucrar a la organizacin con mayor profundidad, la superficie las diferencias, y la construccin de prioridades comunes y la accin. Anlisis costo / beneficio Esta herramienta se utiliza en muchas reas. En su aplicacin a la gestin de riesgos, algunos ajustes se hacen. En los beneficios de incluir tanto la prdida evitada y la oportunidad de ganado. Frecuencia de utilizacin multiplicada por el impacto de cuantificar y contar con la gama de beneficios a partir de la respuesta (por ejemplo, producto del negocio de mejora de procesos para reducir el fraude o conoce a su cliente el cumplimiento de la mejora tambin puede mejorar la eficiencia del proceso y cruzar - vende / a venta a los clientes). Revisar el flujo de procesos de negocio y anlisis de la dependencia llev a cabo en los pasos de la evaluacin de riesgo para detectar rpidamente los beneficios que pueden perderse. En los 'costos' incluye los costos necesarios para lograr beneficios, pero que podran aparecer en los presupuestos de diferentes dentro de una institucin, tales como los costos de tecnologa de la informacin. Al contar los costos, siga su poltica financiera existente para los gastos que generen beneficios en otros proyectos (como por ejemplo un sistema de mejora de la gestin de acceso de usuario). Si los beneficios o costos de extenderse ms all del perodo contable en curso, aplicar el valor actual neto. Dar prioridad basado en el exceso de beneficios sobre el costo. Limitaciones A pesar de estos ajustes, las mejoras obligatorias (por ley, reglamento, contrato o

    pliza) que deben ser implementadas a comer en el presupuesto disponible para priorizar el concepto de costo / beneficio. Es difcil de visualizar las implicaciones de riesgo en los grficos tradicionales con un coste en un eje y el beneficio por el otro. Mejoras Adems de los ajustes anteriores, los grficos pueden ser mejorados para mostrar el resultado de beneficio / costo sobre un eje y la importancia (frecuencia multiplicado por Impacto) por el otro. Esto permite que las respuestas al riesgo fuerte en las dos dimensiones que flotan en la parte superior derecha del diagrama.
    Mayores riesgos y mayor rentabilidad de la respuesta.

    Costo / beneficio erf respuesta fresfrisk Figura 25 Sugerencia: Sea claro en si el costo / beneficio es antes o despus de examinar el diseo de los riesgos solucin de respuesta. Con demasiada frecuencia, los diseos de los pobres son la solucin excesivamente costosa o producir beneficios suficientes. En tales casos, una institucin saldr de una actividad o simplemente aceptar el riesgo no se toman medidas. Ambos son sub-ptimos. / \ s discuten a continuacin el enfoque preferido es el diseo de la solucin ms inteligente basado en el anlisis de escenarios slido. Deteccin de impacto-el anlisis de frecuencias Esta herramienta se encuentra frecuentemente en el mundo de control de calidad. Puede ser referido como una 'tabla de lado ciego "porque pone de relieve los riesgos que podran lado ciego de la organizacin debido a la falta de capacidad para ver los eventos de riesgo que se desarrollan. Va ms all del mapa de calor de base de la frecuencia multiplicada por el impacto de agregar otra dimensin-la capacidad de detectar un problema. Industrias como la aeronutica, la fabricacin y la asistencia sanitaria siempre quieren "encender las luces" de esta manera. Ellos saben que si ellos no pueden ver (es decir, detectar) un problema, no pueden tomar medidas para prevenir o reducir la misma. Para crear el grfico, ya sea en una tabla de nmeros o un grfico visual, la capacidad de detectar, se aade. En un grfico, un eje es importancia (frecuencia multiplicada por impacto). El otro eje es la falta de capacidad para detectar (de modo que la capacidad para detectar peor est lejos del origen grfico). De este modo, el cuadrante superior derecho del diagrama da prioridad a los elementos ms claros e importantes.
    Mayores riesgos y mayor la ceguera a la cascada de riesgo que ocurren

    Figura 26 del presupuesto de Riesgo Presupuesto de riesgos es una herramienta simple pero poderosa que funciona especialmente bien en la comunicacin con la organizacin de finanzas y los ejecutivos que participan responsables de los riesgos. Esto es parcialmente

    debido a que comienza con una herramienta habitual en las hojas de trabajo de aprobacin de la organizacin de nuevos proyectos. Para crear un presupuesto de riesgo, el gerente de riesgo operativo trabaja con el equipo de planificacin financiera simplemente agregar cuatro columnas de la hoja de clculo del presupuesto del proyecto tpico: 1. Columna 1: Frecuencia multiplicado por el impacto del riesgo de que la lnea de proyecto (por ejemplo, los clientes tomar ritmo, la repeticin de ventas, tasa de rotacin de clientes, la disponibilidad de TI los sistemas, el fraude se esperaba, o los gastos de apoyo al canal de soporte [rama, tele servicios, web, mvil]). 2. Por el impacto, tenga en cuenta los casos promedio y ms graves, como se refleja en una distribucin de la prdida (en cualquier medida que est disponible). 3. Columna 2: Evaluacin de la comprensin del riesgo. Esto podra ser tan simple como 'alto', 'medio' o 'bajo' o puede ser un resultado ms cuantitativo. 4. Columna 3: Costos previstos de reduccin de ese riesgo (por ejemplo, mejorar la comercializacin, los sistemas de TI ms fiables, aadiendo ms caractersticas a una aplicacin de software, o mejor formacin de los empleados). 5. Columna 4: Evaluacin de la comprensin de la respuesta al riesgo. Qu tan seguro estamos que es la respuesta adecuada, diseada de manera correcta y se llevar a cabo como se esperaba? Esto podra ser tan simple como 'alto', 'medio' o 'bajo' o puede ser un resultado ms cuantitativo. El riesgo y los equipos de finanzas conducir un debate con todas las partes para determinar si la organizacin entiende el riesgo y la respuesta, si el riesgo es aceptable, y si se debe asignar recursos para reducir el riesgo. Por ejemplo, el equipo podra mejorar la experiencia del usuario de una aplicacin de software para retener a los clientes, ya que el beneficio de reduccin de riesgos de todo esto es ms cierto que desde el marketing adicional. Esta discusin debe ser significativa, no debe ser simplemente una discusin superficial de riesgo de los sospechosos habituales. Riesgo de respuesta a los conocimientos de matriz Esta es una herramienta que forma parte del presupuesto de riesgo, pero tambin puede ser utilizado por s solo. Se trata simplemente de un grfico de dos dimensiones con el conocimiento de la naturaleza del riesgo ("Qu podra pasar?"-Lo importante, grande, con frecuencia, bien entendido que es) En un eje y el conocimiento de la respuesta (Qu haramos? '-es nuestra solucin bien entendido, de buena calidad y no sabemos cunta habilidad, tiempo y costo que se necesita para poner en prctica) Por el otro. En una entrevista ejecutiva o un taller de riesgo con los representantes de diversas reas de la institucin, los miembros del equipo se les pide a los riesgos de la trama en la tabla.

    Nivel de conocimiento se puede utilizar para priorizar las oportunidades de Menos de conocimiento del tipo de riesgo
    Which way do we go?

    Menos conocimiento de la respuesta Figura 27 Estas dos dimensiones son mucho ms poderosos que los ejecutivos de preguntar: "Cules son sus tres principales riesgos? En los talleres que participan personas con diferentes perspectivas, se crea una discusin fascinante cuando lo que es obvio para una persona es un misterio a otro. Con muchas prdidas importantes, a menudo hay voces solitarias que fueron sonar una alarma en avance. Esta herramienta puede ayudar a que esas voces sean escuchadas. Peligro a temperatura polo Desarrollado a partir de las disciplinas de gestin de seguridad y de peligro de riesgo, el peligro de ttem es otro diagrama potente y sencillo. Cada riesgo es una capa en un grfico pirmide. Los riesgos mayores son en la parte superior. A partir de la parte superior, se asignan los recursos para eliminar o controlar los riesgos, Detenerse en cualquiera de evaluacin de un "suficientemente seguro" o un punto de equilibrio costo / beneficio. ^ 61 Riesgo de respuesta de tipo matriz Esta sencilla herramienta se centra en la eficiencia en la respuesta al riesgo. Las filas de los riesgos de lista de matriz. Las respuestas de las columnas de la lista. "X" marca el punto para cada respuesta apropiada para un tipo de riesgo. Visualmente, las columnas con ms 'X tienden a ser los ms eficientes. Limitaciones La matriz bsica de no sopesar los riesgos o los costos de las respuestas. Mejoras Los riesgos pueden ser listados en filas sobre la base de importancia. El X 'puede ser remplazado con valores de costo o cdigos de colores. Simple respuesta de la matriz de riesgos

    f j
    Riesgo 2

    !
    t

    j l1 3 Ti

    Figura 28 De respuesta al riesgo ejercicios, pruebas o auditoras Toda una categora de herramientas proporciona ms realismo a las evaluaciones de estilo taller. Estas pruebas incluyen exmenes de auto-gestin de pruebas, auditoras o reglamentarias. La prueba puede ser tan simple como una revisin de las simulaciones de trmites o de la mesa, o puede ser de hasta burlarse de la planificacin de desastres, ejercicios. Algunos excelente direccin (incluidos los materiales de la muestra detalladas) es atwww.fema.gov disponible. La pgina web de la Agencia Federal de los EE.UU. Administracin de Emergencias. Para los propsitos de continuidad de negocio, los EE.UU. Federal de Examen de Instituciones Financieras del Consejo se establece el uso de los ejercicios ms rigurosos en su Manual de Examen fwww.ffiec.gov).
    W
    S

    Riesgo 3

    Riesgo 4

    Riesgo Riesgo G Riesgo

    Reflexiones finales Herramientas de priorizacin combinar una comprensin de la causa raz con las soluciones necesarias para que apunten a las reas principales de accin. Diferentes herramientas hincapi en criterios diferentes. Seleccione la herramienta apropiada para las circunstancias. El objetivo es invertir sabiamente en las mejoras que permiten a la Institucin para perseguir de manera ms segura de retorno. Puntos clave Respuesta al riesgo cartas de conocimiento crear discusiones fascinantes cuando lo que es obvio para una persona es un misterio para los dems. Los mapas de calor mejora de ayudar a involucrar a la organizacin, surgiendo las diferencias y la construccin de las prioridades compartidas. Discusiones de riesgo del proyecto debe ser significativa, las discusiones no superficiales de los 'sospechosos habituales'

    Notas finales 24 Los miembros del equipo con experiencia de control de calidad puede multiplicar este por un marcador de la capacidad de detectar. Esto se conoce como un "nmero de riesgo priorizacin ', [volver al texto] 25 Dado que el uso de terminologa de riesgo vara entre disciplinas profesionales, por favor, tenga en cuenta que en este libro, "el apetito de riesgo" se refiere a la cantidad de riesgo de una empresa est dispuesta a aceptar en el cumplimiento de sus objetivos. "La tolerancia al riesgo" se refiere a la variacin aceptable en torno a la cantidad deseada de riesgo (el apetito). Superacin del margen que se conoce como "fuera de tolerancia", [para volver al texto] 26 El peligro de ttem es una de varias tcnicas desarrolladas por \ Grose / fernon y publicado en su libro de 1987 Gestin de Riesgos: Prevencin de Prdidas sistemtica para Ejecutivos (Prentice Hall), [para volver al texto]

    2,3. Fortalecimiento de la Institucin en su entorno


    Riesgo para la gestin del ciclo de operaciones

    Figura 29 "Si usted quiere hacer mejoras reales en el rendimiento del negocio, debe abordar la calidad de los procesos de negocio, incluyendo el talento y la organizacin de las personas que hacen el trabajo. Por lo tanto, entender la calidad de los procesos clave y los controles en cada unidad organizativa, incluida la formacin, la calidad del personal, calidad de la gestin, la adecuacin de los controles financieros, y otras medidas de capacidad. Cuanto mejor sea la calidad de sus procesos y controles, menor ser su riesgo operativo en cualquier rea. - Ron Dietz

    Conocimiento del entorno y las capacidades de la empresa nos ha permitido crear realista, sistemtico "Qu pasa si?" escenarios con una visin integrada a travs de los riesgos. El conocimiento de causa raz real en situaciones en cascada nos permiti saber lo que quiere ver las advertencias. El conocimiento de los escenarios, seales de advertencia, y las herramientas adecuadas nos permite elegir las prioridades adecuadas para la mejora. Finalizacin de las prioridades se refiere tanto a la frecuencia y el impacto de un riesgo, y los costos de la solucin. Debido a que las soluciones bien diseadas proporcionan muchos beneficios mediante la fijacin de unos pocos las causas fundamentales, la importancia de los casos de negocios inclusivos se discuti, para ver todos los beneficios y repartir los costos entre las reas que se benefician. De esta manera, los beneficios incluyen una mejor prevencin y preparacin, bajo costo, mejor servicio y una mayor flexibilidad para el ingreso, en otras palabras, mejorar el rendimiento comercial. En los talleres, es en este punto cuando un directivo que normalmente me pregunta: 'Estamos fortaleciendo nuestra evaluacin. Pero, cmo agregar valor en mejoras sustantivas? La respuesta est en la pregunta. El equipo de riesgo operacional ha reunido a una amplia gama de ideas en el anlisis de escenarios y se centr en las prioridades: Esto puede ayudar al equipo a facilitar las mejores soluciones. Por supuesto, siempre es la mejor manera de construir un equipo de gestin del riesgo operacional con personas que conocen la empresa. La base de la evaluacin de riesgos fue la comprensin del entorno y de la empresa. Estas son tambin las dos reas de mejora. De cara al medio ambiente, una empresa puede cambiar la posicin para lograr una mejor rentabilidad / riesgo el equilibrio (por ejemplo, salir de una lnea de productos, entrar en ciertos mercados geogrficos, reducir la dependencia de la cadena de suministro en las zonas propensas a los terremotos, o mover un centro de datos de un zona de inundacin) o tratar de formar de nuevo el medio ambiente (por ejemplo, participar en coaliciones para mejorar el uso de la tecnologa, estimular el desarrollo econmico local o de los responsables de presin poltica). Estas son excelentes oportunidades para asociarse con la estrategia, la gestin de productos, y sus colegas de continuidad del negocio. En el fortalecimiento de capacidades, mejoras para mejorar la robustez, la resistencia o el margen de los problemas con capacidad se puede hacer en la supervisin, la gestin, controles y procesos bsicos:

    Supervisin / Gobierno: Supervisin / gobierno trata de obtener la informacin correcta a las personas adecuadas en el momento adecuado para hacer la derecha (o al menos mejor) las decisiones y hacerlo con la rendicin de cuentas. En el sentido de los negocios corporativos o amplios, esto es ms all del alcance de este libro. Sin embargo, las cuestiones clave en la supervisin del riesgo se abordarn.

    Gestin: Gestin de aqu se aplica a todos la capacidad de gestin en la institucin. Este libro aborda la interseccin de la gestin de riesgos y operaciones. Controles: Para muchos, los controles son slo un aspecto de la gestin. Aqu, por el enfoque regulatorio y la importante oportunidad de mejora, que ser el tema central del captulo 2.4. Los procesos bsicos: Instituciones obtener un beneficio de los clientes, ofreciendo productos y servicios. Ellos son el motor de la empresa.

    Dos ejemplos: En los captulos 2.5 y 2.6, sobre la base de las necesidades apremiantes de los directores con los que hablo. El primero se refiere al proceso de gestin de producto, ya que impulsa los ingresos y es una oportunidad clave para reducir el fraude. El segundo abarca las dependencias de tecnologa de la informacin. Dos puntos han ayudado a otros: 1. Sea claro sobre el equilibrio entre las mejoras. Por ejemplo, podra FX sucursales bancarias de depsito automtico del sistema o en la capa de ms controles humanos. En el corto plazo, que podra estar dispuesto a tolerar el coste de las capas de los controles, pero una solucin automatizada a largo plazo es menos costoso de operar y supervisar de forma continua los controles. Es importante destacar que los procesos no pueden ser rotos con los controles o investigaciones. Por lo tanto, la causa raz en el proceso ltima instancia debe ser. 2. No se dejen atrapar por el tnel de la visin-ver slo las limitadas opciones de mejora. Haga su vida ms fcil y seguir utilizando los escenarios. Si una cadena de acontecimiento est relacionado con el medio ambiente (por ejemplo, huracanes) o proceso (por ejemplo, el fraude o la falla del producto), las respuestas pueden ser mejor entendidas en el contexto de por qu y con qu rapidez puede surgir un problema.

    2,4. Mejora de la capacidad de control


    El primer paso para controlar la eficiencia, la claridad Un control tiene una serie de definiciones de diferentes disciplinas, incluyendo la gama cubierta por riesgo operacional. Algunos afirman que el control lo hace. Otros indican que los beneficios. En un intento de salvar algunas de las diferencias, esta definicin funcional se ofrece: Un control de las medidas de

    conformidad con las especificaciones, y luego acta sobre esa informacin (informes, protege, altera, corrige). An ms sencillo, controles se puede decir que detectar y actuar o sentir y responder. Algunos controles slo informarn de un estado, mientras que otros son ms inteligentes y tener el estado impulsados por las acciones basadas en una poltica. ^ 3-Para hacerlo ms fcil para solucionar los problemas y simplificar los controles, es til para distinguir los controles de las polticas (principios y objetivos), los procedimientos y normas-en especial los que se ocupan de los procesos no las causas. Por ejemplo, una declaracin de poltica sobre el soborno a los empleados es muy diferente de reglas en el software que estn validados por los beneficiarios y los propsitos de los pagos. El beneficio de un control es mayor cuando se encuentra en un nivel que le permita sealar el problema, deje de ella o por lo menos proporcionar un comienzo en la revisin. Los controles se describen a menudo como 'preventiva', 'prediccin', de "detective", o "correctivo". Sin embargo, esto se simplifica indicando donde un control se encuentra en un flujo de proceso de negocios relativo a un problema y su capacidad de toma de regla. Controles en curso de los acontecimientos...
    Cuanto antes el control en el flujo, ms se puede prevenir y reducir la frecuencia de Cuanto antes el control en el flujo, ms rpido se puede solucionar Jielp y reducir la magnitud del impacto

    Deteccin de control

    correccin de control

    1
    >

    La mejora de procesos Corregir la causa raz, mejorar la eficiencia, reducir la necesidad de volver a justo en los controles

    |% = Objetivo ^ ^ B = Malo (3HE dcfkfr 1HE ojFour El ms problemtico) Nota: Los flujos reales de eventos tienen muchas ramas y las complicaciones. Figura 30 En el diagrama-muy simplificado-el problema est en el medio del flujo del proceso. Si un control est ante el problema, es detective en relacin con el problema. Tambin podra ser relativa correctivo a un hecho previo. Como se ha indicado por las flechas, cuanto ms lejos en frente del problema (y ms a causar), entonces la ms preventivo el control es del problema. Estos son conceptos relativos. Hacer un control ms eficiente y eficaz tiene mucho que ver con la colocacin del control para poder identificar rpidamente la causa raz y solucionarlo. Pruebas de los controles, quin hace qu? Los controles se prueban desde varias perspectivas de la organizacin. Cuando estos no estn claras, los residuos y la confusin se derivan de varios equipos de pruebas en varias veces y con mltiples criterios. La claridad en dos puntos bsicos de ayuda.

    En primer lugar, seis puntos de vista de la organizacin son de uso comn: el negocio de gestin de la evaluacin, la gestin de la evaluacin de riesgos de equipo; de control interno de revisin, auditora interna, auditora externa, y el examen reglamentario. Dependiendo de la organizacin, los primeros dos o tres se consideran de gestin. Los otros son la garanta. Sugerencia: hacer el proceso ms eficiente y eficaz 1. Fomentar una cultura que hace hincapi en las revisiones de gestin. Esto promueve la propiedad del directivo, conduce a las mejoras realizadas ms rpido y reduce sorpresas negativas en los estudios de control. 2. Crear claridad en los puntos de referencia para evitar la confusin a travs de comentarios. Esto tambin proporciona una oportunidad para evaluar a un nivel superior En las revisiones de gestin con el fin de impulsar la mejora. En segundo lugar, el diseo, implementacin y operacin mantenimiento) de los controles es la prueba. (incluido el

    El diseo del control tiene que ser adecuada para la posicin del control con respecto al proceso de negocios est siendo controlado. Se puede detectar el caso de la raz? Proporciona una alerta temprana? Reducir o disminuir el impacto de un evento adverso? Entonces se necesita para la correcta aplicacin para funcionar como fue diseado. El funcionamiento del control necesita para alcanzar el objetivo de rendimiento o el cumplimiento definido en el diseo de manera eficiente y eficazmente. Esto tambin se probaron con preguntas como: Es fiable? Se utiliza, o es eludido informal, o con frecuencia remplaza formalmente? Es el costo / beneficio-efectiva? Se mantiene adecuadamente? Para hacer pruebas de funcionamiento ms eficiente, la supervisin continua de los controles est dando que hablar. Las dos principales fuentes de orientacin sobre este tema son de The Institute of Internal Auditors y de ISACA. J ^ S-Esta gua incluye la eficiencia y eficacia, evitando lagunas y distinciones comprensin en varios niveles de seguridad (tanto en calidad de prueba y en la profundidad de lo que realmente est probado en las capas de la red IT). Ambas organizaciones ofrecen una amplia orientacin sobre los controles en general. Hacia ms eficaz de auto-evaluaciones Cuando la administracin lleva a cabo la evaluacin de sus propios controles, se trata de una auto-evaluacin (en oposicin a una evaluacin independiente). RCSAs son una de las herramientas bsicas de riesgo operacional. Todo el mundo los usa y la mayora lucha con ellos. Pregunte a cinco personas en una conferencia y te dars cuenta de que incluso el nombre no es uniforme en situacin de riesgo y el control de auto-evaluacin, el control del riesgo de autoevaluacin, el control de auto-evaluacin. Un anlisis de los documentos

    normativos tambin revela definiciones diferentes. A pesar de estos desafos, RCSAs puede convertirse rpidamente en ms eficiente y eficaz cuando se les ve como un paso en un ciclo de gestin de riesgos. Esto es especialmente importante para aquellas entidades que utilicen RCSAs en la compensacin de incentivos. Para evitar problemas, pregntate a ti mismo FVE preguntas clave: 1. 1. Es lo primero que 'saben del negocio? Muchas evaluaciones se centran exclusivamente en los riesgos conocidos, los controles y los puntos dbiles. Pasan por alto las debilidades que son menos evidentes y los que en el proceso subyacente. 2. Qu tan firme es la evaluacin del riesgo que llev a los controles que se estn diseadas e implementadas? Las evaluaciones dependen debidamente cumplimentados los pasos anteriores en la evaluacin de riesgos y de respuesta, incluyendo el medio ambiente y la evaluacin de la capacidad de la empresa, anlisis de escenarios, anlisis de causa raz, anlisis de la dependencia, el diseo del control y la aplicacin de control. Si nada de eso era errneo, entonces es probable que los controles estn mal evaluados y los resultados tienen poco valor. 2. La evaluacin del ciclo de seguir el ritmo de cambio en el mundo real? Si el cambio en los riesgos (medio ambiente y el proceso, o los controles) es ms frecuente que el perodo de evaluacin, a continuacin, las evaluaciones se perder el riesgo real. Por ejemplo, si su entorno de TI cambia cada pocos meses, entonces la continuidad del negocio, los ciclos de prueba debe coincidir con el ciclo de cualquier otra cosa da un falso sentido de confianza. 3. Realizar evaluaciones de control se han centrado en los controles o que se mezclan en las polticas, procedimientos o reglas La existencia de polticas es un largo camino desde el examen de un control que puede detectar fuera de la cancha las condiciones y actuar sobre esa informacin. 4. No desviar la atencin de las evaluaciones de uso diario de la gestin del riesgo? Tanto el tiempo de retraso y el nfasis en el control (en lugar de las capacidades del entorno o de negocios) tienen una tendencia a hacer que las organizaciones para ver la gestin de riesgos, ya que slo un vendaje, la funcin de garanta, en lugar de una funcin de gestin de valor que fija las causas fundamentales. Si caen en las trampas anteriores, entonces ese riesgo o las evaluaciones de control, probablemente, tambin desviar recursos de las actividades ms tiles de gestin de riesgos y crear una falsa sensacin de seguridad. Estas trampas han dado lugar a un dao grave. Considere la posibilidad de fugas de datos, fraudes, interrupciones en la red, robo-slgnlngs y otros problemas que se produjeron cuando los controles eran - en un papel aceptable. SSS Otra clave del xito es el rigor con que las pruebas se aplican tanto al diseo y operacin de los controles, la vista de los riesgos en el entorno y las capacidades de la empresa. Su carro se descompone en sus vacaciones en familia? Cmo de cerca se mira el estado del coche?

    Poner aire en los neumticos? Revise los lquidos Equipo de diagnstico Obtener una puesta a punto Llevar a cabo el mantenimiento programado Para evitar trampas, cinco preguntas de evaluacin tiles son: La gestin realmente dueo de la evaluacin y quieren mejorar? Si un tercero (por ejemplo, el control interno) lleva a cabo la evaluacin (sin tener en cuenta las otras trampas y supuestos) y la gestin tiene poca participacin o uso, a continuacin, los documentos que proporcionan un valor poco rendimiento para los accionistas. A quin se le pide? Pregunte a las personas cercanas al proceso de negocio est siendo controlado. Comentarios de los muchos incidentes revelan que alguien, en algn lugar, lo saba. Su trabajo-antes de que algo malo le sucede, es preguntar a la persona que ms sabe (s) a fin de encontrar esa voz. El anlisis de escenarios debe ayudar a identificar a las personas adecuadas. Qu se le pide? Pruebe con las preguntas que fluyen desde el documento de diseo del control. Concntrese en los objetivos de control en apoyo de los objetivos de negocio especficos (ingresos, costos, eficiencia, eficacia, satisfaccin del cliente, el cumplimiento). Qu referencia se utiliza? Numricos 1-5, 1-7 o 1-10 escalas puede ser subjetiva. Fijar los valores numricos (por lo menos la mayora de ellos) con alguna declaracin de lo que significa ese nmero. Asegrese de que est claro para todos los participantes. No evitar el sesgo de las preguntas Utilizando tanto los objetivos especficos del negocio y las calificaciones numricas con las explicaciones, la estructura de las preguntas para ayudar a evitar el sesgo, por ejemplo, la vinculacin preguntas acerca de los controles sobre lanzamientos de nuevos productos directamente a los pasos en el proceso de nuevos productos. El primer conjunto de preguntas hizo hincapi en los requisitos previos que deben estar en su lugar por un RCSA para ofrecer resultados significativos. El segundo conjunto de preguntas hizo hincapi en la necesidad de vincular a los objetivos de control, que luego atan a los resultados del negocio. El fracaso sencilla y fcil de ver lo que viene antes y despus RCSA en un ciclo de gestin de riesgos ha perdido mucho en el camino de los recursos y teniendo en cuenta que muchas instituciones un sentido totalmente falsa de seguridad. La buena noticia es que es relativamente fcil de solucionar. Fijacin hace que sea una entrada ms confiable para la compensacin de incentivos. Un montn de orientacin sobre el tema del auto-evaluacin est disponible. Entre ellas, la garanta de colaboracin y diseo de Riesgos (tarjeta) es uno de los ms robustos. Fue creada por Tim Leech, uno de los compaeros distinguidos OCEG y escritor frecuente en las evaluaciones. Este enfoque es til porque, si bien se centr en la informacin financiera,

    que abarca de tipo industrial de evaluacin de control para crear una visin ms clara del tiempo y el esfuerzo en las evaluaciones. 1301
    Mejorar mediante la automatizacin Una vez que el RCSA es ref. NED en el contexto de su posicin en el ciclo de gestin de riesgos, controles de pruebas se puede mejorar mediante la automatizacin. Esta automatizacin se puede utilizar para las pruebas peridicas de los controles y las operaciones subyacentes (a menudo llamados 'con ayuda de computadora de las herramientas de auditora) o para el seguimiento continuo de los controles y las operaciones subyacentes (a menudo llamado "monitoreo continuo de controles", "monitoreo de transacciones continua", operacin de vigilancia" o "monitoreo continuo). Adems, la auditora continua (CA) se utiliza para cumplir con los requisitos de garanta. Anteriormente se seal que los recursos pueden ser dedicados a las operaciones subyacentes a fxing capas orto sobre los controles y seguimiento. Generalmente, es ms eficiente a slo fx el proceso de transaccin. Para proporcionar ms frecuentes (y esperemos que efectivo) y eficiente seguridad, apoyo a la automatizacin continua se utiliza. Tres capas de apoyo a la automatizacin continua

    Auditora Controles Las transacciones de procesos de negocio Figura 31 Esta automatizacin se presenta en tres capas: 1. En la base es el seguimiento continuo de las transacciones. Este anlisis es de la calidad de las transacciones correctas proceso insumos (incluidos cheques con el proceso), el proceso y los resultados de una especificacin de tiempo (como el comercio de baja latencia). El punto es que el software est controlando la operacin de fijar la transaccin individual y evitar un problema de cascada. 2. La siguiente capa son los controles. En este sentido, una herramienta de software analiza la seguridad de los controles en capas sobre el proceso para ver lo que ha sido detectada y / o corregido. Estos datos se utiliza para marcar los errores tanto en un sentido importante, el cumplimiento y para cuantificar el mejoramiento mediante la comprensin de los problemas que estn causando costo retrocesos, demoras y / o prdida de ingresos. 3. La capa superior es la auditora. Esto puede ser ya sea para el ensayo de los controles o la operacin subyacente. Las auditoras deben proporcionar basado en el riesgo de garanta. Automatizacin es una forma de mejorar la eficiencia se centran en las reas de mayor riesgo.

    4. El punto importante es que cada capa puede construir en los que a continuacin, tomando ventaja de la automatizacin en las capas inferiores para reducir el costo De su propia actividad. Esto ayuda a un gestor de riesgo operacional en menos de dos maneras. En primer lugar, seala la propiedad hacia el proceso central en la capa inferior y el lder empresarial responsable. Esta es la persona que tiene la perspectiva de la "gran cuadro" del proceso y que puede tomar la decisin de mejorar el proceso de base en oposicin a la estratificacin en los controles. En segundo lugar, apunta a hacer un mejor caso de negocios para la automatizacin de si las partes interesadas en cada capa (procesos de negocio, mejora de la calidad, mejora de procesos, gestin de riesgos, control interno y auditora) cooperar en la participacin en los costos y beneficios. Hoy en da, los fondos son demasiado a menudo se desperdicia (ya veces las herramientas redundantes comprado) cuando los interesados se pierda el beneficio comn de una herramienta de monitoreo compartido. Orientacin sobre este tema se ha publicado: Ver COSO, el Instituto de Auditores Internos y de ISACA. Un artculo muy til con un enfoque en la mejora de las operaciones es "El papel de Auditora Interna de la supervisin continua", escrito por Michael Cangemi y publicado en la edicin de abril de 2010 de la Auditora EDP, Control y Seguridad (EDPACS) Boletn de noticias. Sr. Cangemi es un ex ejecutivo de Auditora Interna y Director de Finanzas, y miembro del directorio de COSO. Llenar Optimizacin Perjudicial de los controles-los efectos nocivos y tiles de la

    Algunas organizaciones tratan de "simplificar" sus controles con slo reducir el nmero de sus controles. A veces esto se hace rodar los controles, a veces se hace una prueba de significacin. Ambos tienen limitaciones. El primer mtodo se arriesga a perder puntos de vista oportunamente a los problemas y permitir que las cascadas que fluyen, aumentando el dao. El segundo enfoque podra proporcionar una clasificacin razonable de los controles, pero slo / / significado se juzga en ms que el control individual. Para ser eficaz, tendra que examinar el impacto de la evolucin de los acontecimientos, tanto antes y despus del control. Si no lo hace, se perder todo el impacto de una cascada a travs del sistema. Por ejemplo, pensar en un control individual en un fraude, accidente de trabajo o de la sub-prime lo. Es difcil encontrar el control de uno de antemano que tendr tanta informacin predictiva y estar lo suficientemente cerca de causa raz. As, en la prctica, ninguno de los dos enfoques es aceptable para los controles que estn previstos para interceptar los problemas temprano, estar tan cerca como sea posible causa raz, y prevenir o reducir la magnitud de la prdida. Qu es un gestor de riesgo operacional que hacer?

    til En lugar de recortar el nmero de controles, junto con la alerta temprana, y la capacidad para prevenir y reducir, un mejor enfoque es el de simplificar mediante la estandarizacin del diseo y la implementacin de los controles. Al igual que el efecto de la normalizacin de los controles de luz (interruptores de luz) en su casa a unos pocos tipos, normalizacin de los controles de negocios los hace ms fciles de implementar, probar y usar por una gama ms amplia de la gente y ms rpidamente. Una vez normalizada, buscar puntos de 'naturales' de control para insertarlos en los procesos de negocio. Esto se hace ms fcil mediante el uso de diagramas de flujo de procesos de negocio, diagramas de uso de software y mapas relacionados con el proceso que se trajeron en sus anlisis de escenarios, talleres.

    Los ahorros en el diseo, implementacin y pruebas, incluso se podra utilizar para implementar ms controles para mejorar la prevencin y / o reducir el impacto. En todos los sectores y disciplinas, este es un mtodo de probada eficacia para hacer la gestin del riesgo ms eficiente y eficaz. Los ejemplos citados en los hospitales, energa elctrica, productos qumicos y derivados del petrleo y el transporte todos se aplican aqu. O bien, se acercan a su piso de negociacin y consulta a un operador (o el gerente de riesgo de mercado) por informacin normalizada sobre pantallas de negociacin es muy valioso.

    Para que tenga sentido, los controles deben proporcionar informacin para la accin si el umbral se rompe. Te gustara que el prximo avin que vuele a estar equipados con slo la luz " revisar el motor " el sencillo que est en su salpicadero de un coche? Obtener el detalle necesario para concentrar la accin.

    La diferencia de riesgo operacional lder

    Administrar las opciones de comprender el valor empresarial de sus opciones para actuar, el valor de saber ahora, en lugar de ms tarde, el valor de actuar ahora, en lugar de ms tarde, tener ms tiempo para actuar, y el valor de contar con varias opciones de respuesta, en lugar de ser forzados a una. Encuentra el equilibrio Velar por el equilibrio:

    Entre los controles y la mejora de procesos a fin de mitigar los acontecimientos en cascada en mayores prdidas. En el nmero, la colocacin y el diseo de los controles para equilibrar la eficiencia y efectividad Las pruebas por las dos funciones de gestin y auditora. Crear palancas Los controles pueden ser ambos parte de un proceso de negocio y puede monitorear (sin cambiarlo). Ya sea como parte del proceso o la vigilancia, los controles de fortalecer la capacidad de proteger contra las cosas malas y aprovechar las cosas buenas. Soluciones de diseo Diseo de control es un deporte de equipo, donde la participacin de la gestin de riesgos, control interno, auditora interna, control de calidad, gestin de operaciones, la lnea de negocio, rea funcional, las regiones, la mejora de los procesos de negocio, diseo de aplicaciones y otros equipos pueden mejorar significativamente la eficiencia y la eficacia. Llevar a estas personas en conjunto para ayudar a los propietarios de riesgo implementar mejores soluciones. Aproveche la salida de los talleres de anlisis de escenarios. Puntos clave A las medidas de control de conformidad con las especificaciones y los actos de esa informacin. El costo / beneficio de un control depende en gran medida de cmo se disea en un flujo de procesos de negocio. El coste / beneficio de una estructura de control se puede mejorar con la monitorizacin continua y simplificando el diseo de los controles. Notas finales 27 Esta definicin proviene de las operaciones y disciplinas generales de gestin. Como Su ran perspectivas tienden a ser ms amplia: "Cualquier accin tomada por la gerencia, la junta directiva, y otras partes..." [para volver al texto] 28 'Gua 3: Continua la ayuda iti ng: Implicaciones para la Garanta, IVbnitoring, y el riesgo como ess cin' El GTAG AII es sin cargo para los miembros (www.theiia.org/guidance/technology/gtag3). El hombre Isadas 'tara Sistemas de Control Interno y de TI (bit.ly/d8ll55) es sin cargo para los miembros, [para volver al texto] 29 Un comentario sobre la heipiul RCSA se proporciona en un nuevo enfoque para

    la gestin del riesgo operacional, la Sociedad de Actuarios, Revisado de 2010. [Para volver al texto]
    30 Informacin Mjre se puede encontrar en bit.ly/9hzhfya. Busque artculos sobre la autoevaluacin. [Para volver al texto]

    31 COSO (enero 2009). 'Gua sobre IVbn Los sistemas de control de tara interior . El Instituto de Ayuda Interna Los Trminos de Referencia, ^ Resortes tamonte. (2005), La ayuda continua tinge: Implicaciones Thor Un Ranee su, IVbnitoring y Evaluacin de Riesgos", que ayuda Tecnologa Global Series Gua. ISADA de Rolling Msadows (2010). Los sistemas de monitoreo del control interno y de TI: A Primer tour Ejecutivos de negocios, gerentes y ad Los trminos de referencia sobre cmo adoptar las mejores prcticas y la avaricia. Cangemi, Mchael. (Abril de 2010), "El papel de Auditora Interna en IVbnitoring Continuo", el socavn de EDP, Control y Boletn de Seguridad, (Taylor & Francis), [para volver al texto]

    2,5. Mejora de la gestin del producto y la Prevencin de Fraude "Es importante entender cmo un producto trabaja para prevenir las prdidas operacionales. Por ejemplo, en un banco de la comunidad (o cualquier otro banco), considere un producto de crdito y el potencial de las prdidas operacionales de fraude. El mejor ejemplo que me viene a la mente es en la cartera de bonos si los bancos aceptan ciertas exposiciones a riesgos adicionales, a cambio de unos rendimientos ligeramente ms altos. Por ejemplo, a fines de 1990 los instrumentos de deuda fueron emitidos con muchas caractersticas de 'mejora del crdito "que les permiti ser objeto de comercio con rendimientos ligeramente ms altos. La mejora del crdito caractersticas pareca relativamente benigno, hasta que el mercado se volvi y los banqueros estn obligados a reconocer las prdidas significativas de los activos que se cree que estn en gran medida libre de riesgos. Un anlisis de las causas de producto habra requerido un entendimiento ms profundo de los riesgos asociados con ese instrumento de inversin y de ese instrumento probablemente habra sido rechazada por ser incompatible con los parmetros de inversin del banco. Las variaciones sobre este problema de larga data continan hoy en da. " - Mark Olson "Cuando yo estaba en el Chase, que tena el foco significativo en la reduccin de riesgos en los productos, por desgracia, debido a varias bajas. Esto nos ensea a llegar a los detalles de los productos del proceso. Por ejemplo, que una vez funcion una lnea de negocio responsable de las cartas de crdito. Parte del proceso era una unidad de 20 mensajeros en bicicleta. En una situacin, un fabricante de perfumes importados esencia de perfume en tambores de Francia. Los tambores no sera puesto en libertad por la compaa naviera hasta que los documentos fueron presentados para demostrar que el pago se haba hecho a los franceses vendedor.

    "Ahora me gustara ver los vales de los mensajeros en bicicleta estampados" se llame. Le pregunt al Mensajero jefe de lo que esto significaba. Dijo que entiende que el cliente nos va a llamar cuando y est dispuesta a pagar. Por lo tanto, el mensajero en bicicleta se convirti en un oficial de prstamo Tienes que hacer el anlisis de la cadena alimentaria para llegar a los detalles del proceso. Esto era un riesgo operacional que en cascada en un riesgo de crdito. Los riesgos pueden reducirse mediante la comprensin de cmo el proceso de produccin realidad mrks para prevenir fraudes y errores. Para comprender los riesgos de los productos existentes, caminar a travs de algo as como una transaccin con tarjeta de crdito en detalle. Los grandes cambios del producto deben venir a la junta. Por ejemplo, si un banco tiene un acuerdo con MasterCard y luego quieren aadir Visa. En general, un director general debe venir a la mesa y decir que aqu hay un nuevo producto grande, los riesgos, por qu y qu se est haciendo para gestionar el riesgo. " - Marsh Carter Gestin de productos y el fraude Gestin de productos que importa correr el riesgo de las operaciones. Gestin de producto crea los productos que se venden para generar ingresos rentables. Estos productos son concebidos, desarrollados, comercializados, vendidos, entregados y el apoyo en el ciclo de bsica en el producto comercial que se ha mencionado anteriormente. Las deficiencias en la gestin de productos puede conducir a por lo menos tres tipos de dao al rendimiento del negocio: 1. prdida de ingresos o gastos debido a la demora de tiempo y otras ineficiencias en el proceso del producto en s (programa de gestin de riesgos) 2. Prdida de ingresos o gastos, debido al riesgo de diseo de producto 3. Prdida de ingresos o gastos debido a las ventas diarias y el riesgo de parto (especialmente de productos mal diseados, con ms riesgo). En una institucin financiera, con sus complejos sistemas y operaciones, estas debilidades causar daos especficos de rendimiento. Por ejemplo: llegar tarde al mercado, no responde a las necesidades de los clientes en segmentos clave del mercado (en virtud de los consumidores no bancarizados, los individuos de alto valor, o mediados de mercado de los servicios de tesorera), y errores en las ofertas de los principales (banca mvil y productos generadores de pago). Estos pueden ser grandes problemas en una economa difcil y en vista de los recientes cambios normativos. Nota: Estas disminuciones de ingresos son las prdidas a los accionistas y tenedores de deuda, pero no son por lo general los fines losses'for informes normativos. Adems de la prdida de ingresos, las debilidades en el diseo de productos ocasionan prdidas de notificacin obligatoria en los clientes, productos y prcticas comerciales, fraude, y las categoras de ejecucin, entrega y gestin de

    procesos (donde las lagunas tambin son un factor de causa de origen) de los acuerdos de Basilea. En el ejercicio de recopilacin de 2008 la prdida de datos, estos puntos de datos se destacan: Los clientes, productos y prcticas empresariales Finanzas corporativas 47,0% de las prdidas totales Corretaje minorista, el 66,9% Fraude externo 40,3% de la banca minorista 26,5% de la banca comercial El pago y la liquidacin del 25,6%. Como se ha advertido anteriormente, las cifras de 2008 son un punto en el tiempo basado en la calidad de los mtodos en ese momento, y que no incluyen las prdidas de ingresos. Adems, existe una preocupacin acerca de las sanciones reglamentarias en virtud de normas de conducta del mercado, debido a las deficiencias en el diseo de productos, ventas o entrega. J32] Fraudes Fraudes merecen una atencin especial aqu por lo menos cuatro razones. En primer lugar, debido a su prominencia entre las prdidas totales. En segundo lugar, porque son un buen ejemplo de la discusin anterior sobre los eventos en cascada y sus efectos en la prdida. Cascadas ms all de la institucin incluyen los costos de investigacin y el enjuiciamiento, y para garantizar los fondos. En tercer lugar, debido a los esfuerzos de lucha contra el fraude son un ejemplo de que los procesos de negocio mejorados son vistos como la reduccin del costo de la lucha contra el fraude. Por ejemplo, los EE.UU. la Oficina Federal de (FBIS) el informe financiero de Investigacin de la Seccin de Delitos al Pblico para el Ao Fiscal 2009 cita la iniciativa del Banco de registro electrnico (EBRI), con la expectativa de que va a "aumentar en gran medida la eficiencia del proceso de produccin de los registros financieros y proporcionar un ahorro significativo de costos para el gobierno y la industria privada. " En cuarto lugar, porque son acciones criminales que consumen tiempo y recursos (incluyendo el dao a la reputacin) ms all de simplemente 'tomar la prdida. " En los EE.UU., la Oficina Federal de la seccin financiera de Investigacin de delitos clasifica los delitos como: Fraude corporativo Valores y materias primas el fraude Fraude en el cuidado de la salud Fraude hipotecario Fraude de Seguros Fraude de comercializacin a gran escala lavado de dinero.

    Cada categora de fraude se cruza con una institucin financiera de una manera diferente. Abreviacin tanto, es til observar algunas de las categoras de investigacin utilizados por el FBI con ms detalle. El fraude corporativo La falsificacin de informacin financiera: Los asientos contables falsos Las operaciones fraudulentas diseadas para inflar los beneficios u ocultar las prdidas Las transacciones falsas diseadas para evadir la supervisin reguladora. Auto-trato por los internos de las empresas: Abuso de informacin privilegiada Los sobornos Retroactividad de las opciones sobre acciones ejecutivas Mal uso de los bienes de la empresa para obtener beneficios personales Las violaciones de impuestos individuales relacionados con la auto-tratamiento. Obstruccin de la justicia diseada para ocultar cualquiera de los tipos ya mencionados de la conducta criminal. Valores y bienes de fraude Manipulacin del mercado (creando una presin artificial para la compra de un objetivo de seguridad) inversin de alto retorno el fraude (las ofertas de inversiones de bajo o ningn riesgo, que garantizan un alto ndice de retorno, como Ponzi, una pirmide, y los sistemas principales del banco [a las vctimas que se ofrecen los instrumentos de las fuentes preferidas supuestamente]) fraude del pago anticipado Fraude del fondo de cobertura (una serie de fraudes en un entorno de fondos de cobertura) Productos contra el fraude (las prcticas de ventas falsas o engaosas) El fraude de cambio extranjero (prcticas de ventas falsas o engaosas) Corredor de malversacin de fondos (a menudo a travs de documentacin falsificada o de comercio no autorizado) Al final del da de negociacin. Fraude hipotecario Las valoraciones infladas Los ficticios / robado las identidades Los nominados / paja de los compradores Las solicitudes de crdito falsas Prstamo de la documentacin fraudulenta Sobornos.

    Seguros contra el fraude Seguro de fraudes relacionados con las empresas La prima de desviacin / no autorizados le da derecho (por parte de agentes y corredores para su propio beneficio) Fraude de acuerdos viticos (un acuerdo vitico es un descuento, antes de la muerte de venta de una pliza de seguro de vida existente en la vida de una persona que padece una enfermedad terminal. Esta categora incluye tanto el fraude declaracin falsa hecha en las aplicaciones de polticas y, por los vendedores, engaosas expectativas beneficios) Los trabajadores de compensacin para el fraude (la venta no autorizada y no admitidos de los trabajadores la cobertura de compensacin a las empresas) Desastres fraude (incluye solicitud falsa de las contribuciones de caridad, afirma el fraude por las aseguradoras y los fraudes por parte de los contratistas) Accidentes falsos de autos. El lavado de dinero es una gran preocupacin para las instituciones financieras, y puede ser considerado como una explotacin de los sistemas de una institucin financiera de procesamiento de transacciones. Esto es especialmente preocupante en las zonas del mundo donde otros sistemas (por ejemplo, la transferencia de dinero de terceros, especialmente de telefona mvil basado en) puede insertar un gran nmero de transacciones en los sistemas de instituciones financieras. Al revisar esta lista, se hace evidente que muchos fraudes son simplemente una debilidad explotada en un proceso de producto. Si no hubiera lagunas en diseo, venta o entrega, habra menos fraudes. Y menos problemas en otras reas, como por ejemplo conocer a su cliente. (El demandante siempre puede demandar, pero es mucho ms difcil ganar un caso en que el acusado tiene procesos slidos de productos.) La Asociacin de Ejecutivos de Fraude Certificados (ACFE) informa que el mtodo ms frecuente para la deteccin inicial de fraude es una lnea de punta. Consejos de sin fines de lucro, empresas pblicas y los gobiernos detectar ms del 40% de los fraudes. Una variedad de revisiones y auditoras encontrar a otras personas. Aproximadamente el 10% no se encuentran hasta por accidente, confesin o cuando la polica notifique a la compaa. I34] _Los fraudes en este informe son intersectorial composicin, no es exactamente igual que los de las instituciones financieras. Sin embargo, tiende a reforzar los datos del FBI y sugiere posibilidades de mejora en la deteccin del fraude y la necesidad de una nueva herramienta, como la disciplina de gestin de producto, en la caja de herramientas contra el fraude. Por lo tanto, para proteger a la generacin de ingresos y evitar la prdida, con la participacin de la disciplina de gestin de producto es una oportunidad superior para los gestores de riesgos que buscan reducir el riesgo de las operaciones. Esto es especialmente importante cuando el caso de negocios para la reduccin del riesgo / proceso de mejora puede incluir la reduccin de las prdidas por fraude, la reduccin de las ineficiencias y, en algunos casos, los ingresos aumentaron de

    forma ms rpida diseados, modificados o los productos liberados. El punto de la eficiencia tiene un valor doble, porque este enfoque para la bsqueda de los fraudes tambin se expande el beneficio del tiempo y el esfuerzo empleados en la gestin de producto. Desde un punto de vista normativo, el Comit de Supervisores Bancarios Europeos (CEBS) ha reconocido este aspecto importante de la gestin de nuevos productos. Principio 20-Nuevos Productos afirma: "Una institucin debe contar con un bien documentado nueva poltica de la aprobacin del producto ('PNAP), aprobado por el rgano de gestin, que aborda el desarrollo de nuevos mercados, productos y servicios y cambios significativos a los actuales los ". El CEBS se conecta de nuevo a este anlisis de escenarios en el artculo 115, en el que afirman: "... su entrada debe incluir una evaluacin completa y objetiva de los riesgos derivados de las nuevas actividades bajo una variedad de escenarios, de las posibles deficiencias en la gestin de riesgos de la institucin e internos control de los marcos, y de la capacidad de la entidad para gestionar los nuevos riesgos con eficacia. " Los reguladores tambin estn preocupados por el impacto de las consideraciones de diseo de productos en lo que respecta a la comercializacin de las cuestiones de conducta. Esto ha sido durante mucho tiempo una consideracin de alto perfil en el seguro. En el sector bancario y los mercados financieros, las cuestiones de diseo de productos estn recibiendo ms atencin a travs de la EE.UU. dispuesto en la Ley Dodd-Frank relativas a la proteccin de los consumidores, la revisin de la UE de las disposiciones de la Directiva sobre Mercados de Instrumentos Financieros y el enfoque ampliado de la Autoridad de Servicios Financieros del Reino Unido sobre la intervencin del producto. I3S1a ms conscientes rjsk proceso de gestin de producto puede ser utilizado para ms rentable frente a rendimiento y problemas de cumplimiento. Equipo de gestin de productos, procesos y tcnicas La importancia de la gestin de productos debera ser evidente para nosotros como consumidores de productos financieros-Con qu facilidad lo hace el nuevo trabajo de aplicaciones mviles? Pueden los fondos realmente ser transferido entre dos cuentas? Los productos bancarios se integran completamente con las empresas y los consumidores de software de gestin financiera? Quin dise este proceso hipotecas de alto riesgo la aprobacin? Cmo podra "robo-fichajes 'de la documentacin de inicio de ejecucin hipotecaria se han sucedido? Para llevar los beneficios de cada tipo de reduccin del riesgo en la gestin de producto para la institucin, el gerente de riesgo operativo necesita saber sobre el negocio de gestin de productos. Procesos de gestin del producto varan segn las instituciones, debido a factores como el tamao, las lneas de negocios, lneas de producto y diseo organizacional. Sin embargo, todos los procesos de gestin de productos comparten elementos comunes de un cuerpo comn de conocimientos profesionales en todas las industrias. Un estndar de oro en el campo de la gestin de productos es la Gestin de nuevos productos, novena edicin, por Merle Crawford y Anthony Di Benedetto (McGraw-Hill Irwin, 2008).

    A partir de ese libro, la siguiente seccin es un breve resumen de lo que un gerente de riesgo operativo debe esperar encontrar en un proceso producto de una buena gestin. Esto incluye los roles involucrados, las fases de gestin de productos y tcnicas ms relevantes para la gestin de riesgo. Equipo El equipo de gestin de productos tpicos est dirigido por un gerente de producto. El jefe de producto podr informar al ejecutivo de la lnea de negocio o de un equipo de producto de gestin central asignado a una lnea de negocio. Los otros miembros del equipo de producto de incluir a representantes de cada una de las reas funcionales necesarias para concebir, disear, crear, iniciar, perfeccionar y retirar la oferta de productos. Estos representantes son la estrategia, anlisis de la competencia, anlisis de mercado, marketing, operaciones, TI (a menudo mltiples reas como la arquitectura, las aplicaciones, la infraestructura, la seguridad y la recuperacin), la continuidad del negocio, las ventas, las ventas del canal de distribucin (si un producto se vende a travs de agentes independientes, los distribuidores o agentes), legal, financiero y recursos humanos. Adems, el equipo podra incluir a un director de proyecto asignado, as como asesores internos de la mejora de los procesos de negocio o de control de calidad. Dependiendo de la naturaleza de un riesgo producto, mercado o de crdito sera en la mesa. Y, si no est ya all, el riesgo operacional. Para el gerente de riesgo operativo se trata de un excelente "cumplir con el punto" a travs del cual realizar el negocio. Mejor an, esto es una forma alrededor de los ingresos y el rendimiento empresarial que permite, no slo el cumplimiento. Procesos y tcnicas Un producto tpico proceso de gestin consta de cinco fases: identificacin de oportunidades y de seleccin, la generacin de conceptos, concepto / evaluacin de proyectos, desarrollo y puesta en marcha. El proceso puede ser visto como iterativo, de modo que tras el lanzamiento de evaluacin retroalimenta refinamientos del producto. Esto se ilustra en el diagrama siguiente.

    Los nuevos procesos de productos bsicos

    Figure 32

    La figura de la Gerencia nuevos productos, novena edicin, por Merle Crawford y Antonio Di Benedetto (McGraw-Hill Irwin, 2008). Usado con permiso. Copyright 2008 The McGraw-Hill Companies, Inc. Para los productos con los procesos de venta complejos, un proceso de venta puede ser aadido al proceso de gestin de producto con los pasos para la identificacin de oportunidades de venta, la evaluacin de las necesidades del cliente, adaptando una solucin para el cliente y el cierre de la venta. Esto es a menudo el caso con las ofertas de las finanzas corporativas, banca privada o de gestin de patrimonio, en contraposicin a la oferta del mercado de masas de banca minorista. Entre cada fase del proceso de producto, se toma una decisin para avanzar en la oferta propuesta para el siguiente paso. Estos pasos se denominan a veces "fase puertas '. El ms costoso es una oferta de productos a desarrollar, lo ms probable es que las puertas de la etapa se aadirn en los puntos donde los recursos adicionales deben ser puestos en libertad. La cautela en la aplicacin de las puertas de teatro, puestos de control u otros mtodos para evitar la sobrecarga es excesiva o frenar la innovacin. Al igual que en cualquier cosa, hay un balance riesgo-retorno. Como gerente de riesgo operativo, usted tiene la oportunidad de compartir el punto de vista con el equipo. Ejemplos de tareas de evaluacin se ilustran en el diagrama siguiente.

    The evaluation tasks in the new products process


    New product process phase Evaluation task

    Figura 33 La figura de la Gerencia nuevos productos novena edicin, por Merla Crawford y Antonio Di Benedetto (McGraw-Hill Irwin, 2008). Usado con permiso. Copyright 2008 The McGraw-Hill Companies, Inc. Desde la perspectiva de riesgo para las operaciones, el gestor de riesgos puede aadir un conjunto adicional de preguntas para ayudar al equipo a reflexionar sobre los riesgos que deben ser aceptados debido a la naturaleza de la combinacin de producto / cliente y las que pueden reducirse mediante ajustes en las caractersticas del producto o el apoyo a las empresas-los procesos de TI. Mirando en cada fase del proceso, las preguntas ejemplo son los siguientes. Oportunidad identificacin y seleccin Las operaciones del equipo Ha sido un director de proyecto asignado para administrar el riesgo dentro del equipo de producto? El equipo tiene los miembros correspondientes con el conocimiento de las distintas reas operativas de una institucin en orden, desarrollar y lanzar productos potenciales? Quin se ha quedado fuera? Los ejemplos incluyen operativo y representantes de otras lneas de negocio que van a suministrar las capacidades clave, un representante regional correspondiente a las condiciones locales, y una persona de asuntos regulatorios apropiados para nuevas jurisdicciones o tipos de clientes. Las reas de oportunidad en consonancia con las plataformas de productos disponibles (lo que implica un menor costo de desarrollar y ms rpida al mercado)? Por ejemplo, una institucin financiera tena tres plataformas de banca al por menor de tres adquisiciones. Uno de ellos fue elegido inicialmente basado

    en la caracterstica de fuerza / funcin, pero ms tarde tuvo problemas de escala. Se tuvo que ser sustituido. El equipo que opera con una clara carta de la innovacin de productos (PIC)? El PIC debe incluir declaraciones sobre: la situacin del mercado, estrategia de negocios, la tecnologa o de un enfoque de mercado dimensin (por ejemplo, la banca mvil o los consumidores no bancarizados en); objetivos y medidas, y "reglas del camino" (a menudo la orientacin del ejecutivo de patrocinadores como soporte para mltiples idiomas en el mercado objetivo, la venta cruzada de embalaje para productos de administracin de riqueza, los requisitos para la distribucin de agente de canal, o la sensibilidad de cumplimiento). Generacin del concepto Es el concepto de producto que vale la pena? En esta etapa, el equipo ha generado una serie de conceptos de productos posibles a seguir. La tarea de evaluacin consiste en reducir la lista a los que tienen el mayor potencial de ingresos y el menor costo y el riesgo (tanto en la aplicacin y el mercado). Este es un anlisis en bruto antes de pasar del concepto a la siguiente fase para una evaluacin ms seria. Al considerar los riesgos de las operaciones para el xito de un producto, el valor de un gestor de riesgos es elevar los primeros riesgos potenciales para el equipo. Parte de esto depende de la garanta de los expertos en la materia son correctos en la mesa para compartir sus ideas. Entendimiento tambin a continuacin provienen de compartir los anlisis de riesgos de productos similares para poner los riesgos del producto nuevo punto de vista. Muchas veces un equipo se dar cuenta de un problema general, pero la magnitud o la probabilidad de que el problema no es claro. Estos son los beneficios de la Participacin de la gestin del riesgo, pero slo se protege contra la prdida, ya que no estn permitiendo a los ingresos. Una manera para que el gestor de riesgos para aportar ms valor a la discusin Es para compartir anlisis sobre cmo los problemas fueron superados en otras situaciones? Por ejemplo, un procedimiento alternativo plataforma de productos de tecnologa y comercial ha sido utilizado en otros lugares que reduce el riesgo para el xito del producto. O bien, el gestor de riesgos puede mejorar las comunicaciones. Por ejemplo, los lderes de la estrategia y la regulacin estn considerando una salida de algunos mercados debido a los riesgos del negocio excesivo. Si es as, el lder de riesgos puede compartir esta informacin para que el equipo pueda detectar a los conceptos de este riesgo excesivo. En este punto de desbastada anlisis, el objetivo es asegurar que el equipo tiene una base slida en el medio ambiente y la empresa la capacidad de evaluacin de riesgos para que puedan filtrar los conceptos ms apropiada. Concepto / Evaluacin de proyectos En esta etapa unos pocos (tal vez slo uno) el concepto del producto se est considerando. Las preguntas clave incluyen: Cul es la probabilidad de este concepto de producto ser un xito dados los requisitos operacionales de la empresa?

    Qu cambios tendrn que hacerse para reducir el riesgo para el xito? Cul es el riesgo de hacer esos cambios? Despus de que se hace, cul es el riesgo seguir siendo para el xito del producto? Una vez ms, el gestor de riesgos se basa en un anlisis transversal del silo y llevar a las personas adecuadas a la mesa para ayudar al equipo a responder a estas preguntas. Dos herramientas son especialmente tiles en la comprensin de riesgo para las operaciones (y estrategia): 1. El enfoque de anlisis de ATAR refiere a la conciencia, el juicio, la disponibilidad y la repeticin. Se pregunta qu tan probable es que un nmero de posibles clientes estarn al tanto de la oferta de productos, lo intentar, podr fcilmente acceder a l a travs de un canal de distribucin (mvil, web, sucursal, agente / corredor), y luego se la compra de nuevo? La lgica real vara segn el producto / tipo de consumo. Por ejemplo, algunos consumidores son ms rpidos que otros a cambiar las cuentas de cheques, la propiedad y el seguro de daos se cambia con ms frecuencia que los seguros de vida, algunos clientes consolidar las cuentas de inversin en un corredor, mientras que otras tienen varios. 2. El protocolo de producto tambin se conoce como "la definicin del producto 'o' de los requisitos del producto. En l se describe el concepto de producto de varias maneras. Estos incluyen: mercado objetivo y el posicionamiento, los atributos especficos (caractersticas y funciones, incluyendo la facilidad de uso en las aplicaciones web); problemas de competencia, las expectativas de venta cruzada; necesidades de marketing y ventas de canal, las expectativas financieras, los requisitos operacionales (tales como disponibilidad de los sistemas para descargar las transacciones y las necesidades de datos de localizacin), las consideraciones legales y reglamentarias (solvencia y conducta de mercado, tales como los requisitos de privacidad de datos y conozca a su cliente), y otros riesgos en el desarrollo, implementacin y entrega. El gestor de riesgos puede utilizar ambas herramientas y otros para ayudar al equipo a responder a las cuestiones operativas clave. La contribucin del gestor de riesgos de valor proviene de ayudar al equipo a considerar estos riesgos temprana y que rene los conocimientos adecuados para reducir el riesgo. Por ejemplo, tienen los equipos de proceso de la arquitectura tecnolgica y de negocios de mejoramiento estado cooperando en un proyecto para mejorar los procesos empresariales en los que esta nueva oferta depende Si es as, poner sobre la mesa. Esto podra reducir los riesgos y el costo de una nueva oferta. Desarrollo En esta etapa, un concepto de producto ha sido aprobado y se est moviendo en el desarrollo. Tres aspectos del proceso de desarrollo son importantes para el administrador del riesgo operacional: 1. Que el equipo de la derecha se reuni para reflejar el rango de los riesgos identificados y las formas de responder a ellos. 2. Que una prueba de producto, se llev a cabo el uso que los riesgos considerados cuidadosamente, incluidas las deficiencias que podran ser explotadas por fraude, conducta en el mercado el cumplimiento (incluyendo

    la ejecucin de una hipoteca en casa robo de firma de un problema) o las implicaciones de solvencia. La prueba de productos de uso es una forma de anlisis de escenarios descritos anteriormente. Para hacer ms fcil esta prueba, el producto modificado o nuevo, simplemente se puede colocar en el contexto de un escenario existente, describiendo lo que podra poner en peligro el proceso y la forma en que podra romperse. La aplicacin de software de equipo de desarrollo es un aliado til en este caso, ya que tienen experiencia en las pruebas de los diferentes escenarios "de casos de uso" en contra del diseo de la aplicacin para ver lo que podra causar una condicin de error en la solicitud, o de otros problemas tales como la vulnerabilidad al fraude. 3. Los controles se construy en los procesos de produccin. El desarrollo tambin debe incluir las medidas de preparacin y los indicadores de alerta temprana para reflejar todas las caractersticas nuevas de la gama de productos al cliente, o la jurisdiccin. Cuanto ms el nuevo producto / cliente / mercado / competencia combinacin es diferente de los productos existentes, ms que los controles adicionales y los indicadores de alerta temprana podra ser apropiado hasta que el producto se considera estable. Recuerde, la madurez del producto y el ncleo de organizacin puede ser objeto de comercio en contra de los controles. La ms slida de la organizacin y los procesos bsicos del producto, los controles menos se necesitan. Por lo tanto, los controles de algo nuevo o modificado puede ser cnico en el tiempo para encontrar el precio adecuado / beneficio. El gestor de riesgos debe investigar cada rea. Los puntos primero y tercero se han abordado ya. La consideracin de nuevo aqu es la prueba de productos de uso. Estas pruebas de uso del producto-puede ser ms o menos formal. Para mejor ayuda a anticipar y reducir el riesgo de las operaciones, dos se ofrecen sugerencias: Tenga en cuenta los procesos de venta y la entrega a la luz de los escenarios desarrollados anteriormente en la seccin de los escenarios de bsqueda. El nuevo producto se aplique cualquier tipo de evento de los flujos se ilustra en los escenarios? Si es as, actuar para hacer frente ahora. En segundo lugar, realizar un recorrido directo del producto con el realismo tanto como posibles. Como se ha sealado por nuestro miembro de la junta los puntos de vista-y como veremos en una extensa conversacin con todos ellos ms adelante en este libro, esta es la clave. Por ejemplo, considere el entrenamiento de ventas que se ofrecen con el lanzamiento del producto. Prctica que ahora dentro del equipo. Para evitar sesgos, probar con las personas que no han sido parte del equipo y por tanto son menos propensos a asumir la respuesta correcta. Si la oferta implica una aplicacin de software para clientes o empleados, el equipo de desarrollo es probable que tenga una maqueta o prototipo. Probarlo a fondo (de nuevo, con gente de fuera del equipo) para ver si provoca riesgos de las operaciones y encontrar la manera de los fx. Puedes buscar las brechas que podran ser explotados para el fraude, la conducta del mercado de residuos u otros problemas operativos. Por ltimo, continuar con este tutorial de los nuevos

    procesos de gestin de TI, en busca de espacios similares que podran poner en peligro la estabilidad operativa, disponibilidad, proteccin o recuperacin. Por ejemplo, los procesos de "nuevos" se han creado en los centros de datos ms pequeas, ms flexibles. Esto es bueno para la velocidad, pero los centros ms pequeos tambin podran ser menos protegidos y recuperables. Lanzar Para la fase de lanzamiento, el gestor de riesgos se encuentra en un papel similar al de un gerente de riesgo de mercado o controlador de vuelos espaciales de observacin de las alertas tempranas y estar preparados para ayudar al equipo acta como la puesta en marcha se desarrolla. Dependiendo de la institucin y el alcance del gestor de riesgos, este seguimiento de los riesgos puede o no incluir los riesgos de los ingresos por ventas, y el presupuesto y el calendario del equipo de producto. En funcin del riesgo (ya sea del mercado o la tecnologa) en la nueva oferta, la puesta en marcha puede seguir un nmero limitado de plan de despliegue en ciertas regiones geogrficas o tipos de clientes. Estas precauciones pueden ayudar a "sacudir" de productos, procesos de negocio y las debilidades de tecnologa de proceso antes de que experimenten todo el volumen de transacciones. Consejo: En los informes de riesgo, el flujo de informacin podra seguir un camino de doble. Un camino que se integra con el equipo de producto a los ejecutivos patrocinadores, el segundo camino a travs de canales de gestin de riesgos. Para ahorrar costes en la informacin, tenga en cuenta al pblico por adelantado y se combinan los esfuerzos de recopilacin de datos. Por ejemplo, los informes especiales que se requieran en cuestiones de conducta del mercado de las jurisdicciones involucradas. La disciplina de gestin de producto ofrece una gran cantidad de conocimientos a la institucin financiera, incluyendo los libros, como Crawford y DiBenetto recomienda aqu y las publicaciones y la educacin desde el desarrollo de productos y la Asociacin de Gestin (www.pdma.org). Puede utilizar este cuerpo de conocimiento: a) evaluar mejor el riesgo en productos y procesos, y b) contribuir a la gestin de productos, aceleran la respuesta de los equipos de riesgo para reducir las prdidas y mejorar las oportunidades de ingresos. En resumen, para mejorar el rendimiento empresarial dentro del sistema de un producto, y sus clientes, competidores y amenazas maliciosas. Puntos clave Gestin de producto crea los productos que se venden para generar ingresos rentables. Fraudes Muchos son simplemente una debilidad explotada en un proceso de producto. La contribucin del gestor de riesgos de valor proviene de ayudar al equipo a considerar estos riesgos temprana y llevar el conocimiento derecho juntos para reducir el riesgo.

    Notas finales 32 Tabla 4A IDL Los resultados del ejercicio de prdida de la coleccin '2008 de Riesgo Operacional ", del Comit de Basilea de Supervisin Bancaria, el Banco de Pagos Internacionales ijulv2009) [para volver al texto 33 'Crmenes Financieros informar al pblico Fiscal Ye r 2009', la Oficina Federal de Investigaciones, de Estados Unidos Go \ firnment. [Para volver al texto] 34 Asociacin de Fraude Certificado Ejecuta. (2010), De las Naciones informe sobre el Fraude Ocupacional y Abuso ", (Austin, Te) s), p.19. [Para volver al texto] 35 CEBS (13 de octubre de 2010), "documento de consulta sobre la Gua de Seguridad Interior de Gobierno (CP 44). [Regresar a TEXTIL 36 Autoridad de Servicios Financieros (2011), de productos de intervencin, Discussion Paper 11/1 (DP11 / 1). [Para volver al texto] 2,6. Mejora de TI relacionados con la Gestin de Riesgos de Empresas "Los procesos de los productos son cada vez implementado a travs de tecnologa de la informacin que existe un mayor riesgo de fracaso y una mayor necesidad de encontrar la causa raz. Esto incluye tanto los fallos en los sistemas completos y los problemas de rendimiento, tales como aumento de latencia de las transacciones que pueden causar la prdida de los oficios, porque no se han efectuado en el mejor precio. Hemos visto fallos importantes en la institucin financiera los sistemas de TI. Esto nos recuerda que slo tenemos que seguir empujando nuestros anlisis de dependencia para ver qu problemas pueden surgir y cmo la tecnologa nos puede ayudar (por ejemplo, monitoreo de transacciones para verificar mejor los errores). Tambin tenemos que estar disciplinado en medidas preventivas, tales como sistemas paralelos totalmente antes de cambiar al nuevo sistema. " - Marsh Carter "En el caso de TI relacionados con el riesgo operacional, nos fijamos en los detalles que son importantes para nuestros clientes y los reguladores. Por ejemplo, podemos contratar a" sombrero blanco "(buen chico) los hackers para llevar a cabo las pruebas de penetracin en nuestra red. En la sala de alambre, se revisan los procedimientos de aprobacin para evitar el fraude en transferencias de dinero al exterior. Adems, nos fijamos en howwe puede utilizar anlisis para evaluar con mayor rapidez y claridad los riesgos para nuestras operaciones bancarias. - Humphrey Polanen Los servicios financieros dependen de tecnologa de la informacin Las instituciones financieras de todos los tamaos se estn convirtiendo cada vez ms sistemas que dependen de ella para entregar los resultados de rendimiento

    empresarial. Los captulos sobre la asignacin de la dependencia y el anlisis de escenarios ya han planteado esta dependencia cada vez mayor. Considere la posibilidad de intercambios de valores enteros, donde anteriormente los seres humanos que participan en el mercado de corros, que son ahora slo una "caja en el stano". La banca online y banca mvil son totalmente dependientes de TI. Incluso la rama de la llamada del futuro es altamente automatizado, reservando la interaccin humana para la actividad de ventas y servicio al cliente personalizado. Relaciones con los agentes de seguros de transporte y las ventajas competitivas dependen en gran medida la facilidad de uso y la calidad de la informacin proporcionada a travs de los sistemas de informacin. En una conferencia, varios gerentes de riesgo estaban disfrutando del almuerzo. Uno cont la historia de un pequeo fuego en un centro de datos aparentemente insignificante en Nueva Inglaterra. El fuego se detuvo operaciones en el centro, pero como un centro pequeo y viejo no haba ninguna preocupacin adicional. Pero muy pronto, empez a recibir llamadas telefnicas de toda la compaa dice de las interrupciones de los sistemas crticos. Nadie saba realmente lo que los procesos de negocio en realidad dependa de esa "insignificante" el centro Para una persona, cada uno de nosotros alrededor de la mesa tena una historia similar.

    Figura 34 En la gestin de riesgos, hay tres interacciones con el mismo primer lugar, las operaciones de la tecnologa y los componentes pueden sufrir problemas que causan la prdida en las actividades comerciales, productos y procesos que dependen de ella En segundo lugar, la tecnologa puede reducir el riesgo en las actividades comerciales, productos y procesos aportando una nueva eficiencia y la eficacia mediante la automatizacin y la integracin. La tecnologa En tercer lugar, puede mejorar la gestin de riesgo a travs de la recopilacin de informacin mejorada, anlisis, presentacin y seguimiento. Humphrey Plaen es particularmente enftico en este tercer uso de la tecnologa para mejorar la gestin de riesgos: "Es vital para ser ms predictivo con alertas tempranas. En mi experiencia, tanto en la industria de la computacin y la banca estamos continuamente sorprendidos por lo rpido que puede deteriorarse. Nos gustara que nos pudiera haber actuado antes para encontrar la causa raz de los problemas y evitar dichas prcticas.

    Necesitamos de extremo a extremo la visibilidad en nuestros sistemas operativos. Por ejemplo, el riesgo de crdito est ah todo el tiempo. La pregunta es qu tan rpido podemos ver a un crdito (o mercado) problema y reaccionar ante ella. Eso viene a travs de la visibilidad sistemas operativos y anlisis de los puntos de datos para activar las advertencias tempranas. De datos que llegan a la comisin delegada de riesgos de gestin de la direccin o la Mesa Directiva de 30 a 60 das despus de que el hecho no es una alerta temprana. Por lo tanto los datos es el mayor impedimento para la mejor gestin del riesgo en un nivel operativo. Esto puede ser abordado a travs de la mejora de los sistemas centrales (donde se registran valores de los activos) y luego en los sistemas de gestin de riesgos y cuadros de mando". TI y gestin de riesgos Para el dirigente del riesgo operacional, las necesidades de gestin son los siguientes: 1. asegurar que la gestin del riesgo del negocio relacionado con TI se conecta a la funcin de gestin del riesgo operacional de la institucin (inters de las estructuras, los procesos y la comunicacin) 2. garantizar que la TI relacionados con el riesgo empresarial funcin de gestin est haciendo su trabajo de reunir a todos los silos individuales de riesgo de negocio relacionado con la TI. Estos silos son: la inversin en TI de gestin de cartera (que tambin est relacionada con el riesgo estratgico); la empresa y TI del programa / proyecto de gestin, y luego los silos en las operaciones de TI o la prestacin de servicios (por ejemplo, desarrollo de aplicaciones, el cambio, la disponibilidad, el permetro y seguridad de los datos; una copia de seguridad / recuperacin, instalaciones, y la energa). El lder de gestin del riesgo operacional tiene confianza en que un proceso de gestin de riesgo est en el lugar para gestionar esta gran cantidad de riesgos en los que la capacidad de generacin de ingresos de la institucin es dependiente. Adems, estos riesgos de negocio relacionados con las TI deben ser evaluados, inform y gestionado de una manera que est explcitamente vinculado a una unidad de negocio, la actividad de la lnea, producto u otro. Un lder de la unidad de negocios no debe ser sometido a un desfile de los gestores de riesgos diciendo: "Aqu estn sus problemas, corregirlos" sin un contexto de cmo se relacionan con el negocio o para hacer frente a las prioridades. Por ejemplo, es la brecha en la gestin del cambio, gestin de proyectos o la gestin de la disponibilidad de ms urgente para hacer frente. Los problemas en la informacin de rendimiento de negocio y sistemas de daos reciben adecuada atencin.

    Despus del terremoto de marzo 2011 Japn, Mizuho Bank sufri un fallo en cascada de sistemas. De acuerdo con un 31 05 2011 Comit de Revisin Independiente informe, un gran volumen de las transacciones relacionadas con el terremoto en combinacin con sistemas obsoletos llev a un fallo de proceso por lotes. Esto dio lugar a una cadena de acontecimientos agravados por los errores en las respuestas de manual. Esto incluy el fallo de la red ATM, especialmente preocupante en la necesidad tras el terremoto de dinero en efectivo. Las fallas tambin se complican fiscales de fin de ao el cierre. Entre los factores causales identificados fueron las debilidades en la evaluacin del riesgo en general (anlisis de escenarios, en particular), la evaluacin del riesgo de nuevos productos, gestin de crisis y de formacin. Desde el Reino Unido Financial Services Authority (FSA): "25 de agosto de 2010: La Autoridad de Servicios Financieros (FSA) ha multado a la sucursal de Londres de Socit Gnrale (SocGen) 1.575.000 por no proporcionar informes precisos de transacciones a la FSA, la multa refleja la gravedad de la insuficiencia de SocGen a que presenten informes precisos para. Aproximadamente el 80% de sus transacciones reportables, a travs de todas sus clases de activos, por un perodo de ms de dos aos "123. "24 de agosto de 2010. La Autoridad de Servicios Financieros (FSA) ha multado a la sucursal del Reino Unido de Zurich Seguros Pic (Zurich Reino Unido) 2.275.000 por no contar con sistemas y controles adecuados en el lugar para evitar la prdida de informacin confidencial de los clientes. La multa es el ms alto recaudado hasta la fecha en una sola empresa por los fallos de seguridad de datos. ! Desde la Autoridad Monetaria de Singapur (MAS): "4 de agosto de 2010: MAS censurado DBS Bank de las deficiencias y supervisin de la gestin inadecuada por parte del banco de sus subcontratados sistemas informticos, redes, operaciones e infraestructura que resultaron en la interrupcin del sistema generalizado el 5 de julio 2010 Este incidente puso de manifiesto debilidades en DBS Bank. MS tecnologa y controles de gestin de riesgos operacionales. Ha requerido de DBS Bank de aplicar un coeficiente multiplicador de 1,2 veces a sus activos ponderados por riesgo para el riesgo operacional, que se traduce en el banco dejando de lado una cantidad adicional de aproximadamente EUR 230 millones (aproximadamente USD 170 millones) en el capital regulatorio a nivel de grupo basado en los nmeros al 30 de junio de 2010. El requerimiento de capital adicional ser revisado cuando el MS est convencido de que el banco ha puesto en marcha medidas adecuadas de control

    de riesgo para hacer frente a las deficiencias detectadas. El requisito de capital adicional tendra DBS de Tener un capital de alrededor del 13% y el capital total en riesgo a poco ms. ATENCIN: Al revisar las noticias como stas y otros, los lderes de riesgo operacional, se advierte a recordar el mtodo utilizado en los informes de cumplimiento con sede en Basilea. Con la presentacin de informes sobre una base aproximada-causa muchas prdidas, que son la raz-causa-con base en los sistemas de informacin se presentan en otras categoras. Considere la posibilidad de eventos de comercio de pcaro a la sub-prime lo, donde mejor sus sistemas de TI o de gestin (por ejemplo, controles de acceso) podra haber evitado, una mejor deteccin o reducir la gravedad de un evento adverso. Al considerar las prdidas que podran haberse evitado con medidas relacionadas con las TI, el porcentaje de las prdidas relacionadas con TI crece an ms.

    Figura 35 [Y gracias a Gabriel David.] As pues, la relacionada con el riesgo operacional sobre una base de causa de origen es mayor que la que aparece en la interrupcin de la actividad y los informes de error del sistema de categoras. Las buenas instituciones, la realizacin de escenarios y anlisis de las causas, buscar la manera de poner de relieve mejor los riesgos relacionados con negocios. Sabiendo esto, una herramienta sencilla y til es el anlisis del cambio. En particular, realizar un seguimiento de la magnitud y la velocidad del cambio. Cuando se hace esto, las causas fundamentales parecen caer en algunas categoras relativamente viables J ^ SL Cambios en el negocio significativo Medio ambiente: los competidores, mercado, regulacin social. Gestin: organizacin de diseo, cambio de ejecutivo. Actividad: adquisicin, consolidacin, expansin de nuevos productos, nueva jurisdiccin.

    Por ejemplo, la integracin de los pobres despus de las fusiones y adquisiciones puede ser particularmente daina. No slo a nivel de infraestructura, sino tambin en el rendimiento operativo de cara al cliente o internos de los sistemas financieros (son las transacciones que se registran adecuadamente). A menudo, la "simple" solucin para mantener los dos sistemas en paralelo, se vuelve compleja en las operaciones diarias. El cambio tecnolgico significativo Medio ambiente: los competidores, mercado, regulacin social. Gestin: el costo para llevar a cabo, los servicios compartidos, los datos centro de consolidacin o de iniciativas ambientales 'verdes'. Por ejemplo, la complejidad pura del medio ambiente se ha ilustrado como un factor significativo en el riesgo creciente. Para una excelente discusin sobre esto, por favor vase el captulo 2 del libro de los riesgos de TI: En cuanto Amenazas de negocios en una ventaja competitiva por George Westerman y Richard Hunter. I4U El uso inapropiado de los enfoques de reduccin de costos (por ejemplo, "Lean") aumentan el riesgo cuando se aplican con un enfoque que dice: ". Retirar recursos hasta que algo se rompe, a continuacin, detener, pausar, e intntelo de nuevo ' Este enfoque encuentra fuera del lmite por el fracaso pone en peligro el rendimiento operativo. El mtodo de caucho de banda de goma de mascar y de gestin es una variacin de la reduccin de coste apropiado. Cuando los componentes mltiples son cada uno funcionando en la zona de peligro, el riesgo de fallo del sistema de cohetes hacia arriba (para ms informacin, consulte la seccin sobre el anlisis factorial). Esto es peor cuando cada individuo sabe en riesgo sus componentes de TI son, pero no es plenamente consciente del riesgo asumido por los dems, y aumenta el riesgo cuando empujan an ms en territorio riesgoso asumir que puede recurrir a otros. Si no se alinean correctamente los objetivos empresariales y de TI, incluida la disposicin a asumir riesgos. En algunos casos, los lderes empresariales son felizmente ignorantes de los riesgos relacionados con TI con sus objetivos empresariales. En otros casos, los lderes empresariales (y los miembros de los consejos de administracin) queremos entender completamente el riesgo, sin embargo, los administradores de TI asumen errneamente que los dirigentes no les importan o simplemente presionar por la reduccin de costos mucho ms. Si bien puede sonar muy obvio, el valor de una basada en hechos, basada en el escenario del dilogo es difcil de exagerar. Outsourcing, como todo, tiene ventajas y riesgos. Tpicos de outsourcing relacionados con las fuentes de riesgo son: 1. Las prioridades se desconecta entre el cliente de negocios final, mantiene la gestin de TI, proveedor de servicios de personal de TI de proveedores de servicios de gestin y operativas. 2. Insuficiente evaluacin de la capacidad del proveedor para el proceso y sistemas de monitoreo (demasiado a menudo es slo los resultados que se evalan, falta el principal indicador de la capacidad).

    3. Rompiendo el desarrollo gil (y otras mejores prcticas) cuando las funciones se dividen entre la institucin y el proveedor de servicios. Ms informacin sobre la evaluacin de la mejora est por debajo. Plataforma: virtualizacin, nube y mviles / colaboracin / web 2.0 o arquitectura orientada a servicios. Por ejemplo, aadiendo o cambiando demasiado rpido en las tecnologas de un ritmo o sin conocimientos suficientes unidades de riesgo. Del mismo modo, la eliminacin de wtio personas estn viviendo historias de las tecnologas actualmente en vigor es una receta para problemas. Para visualizar estos cambios, colcalas en el grfico de una 'tabla de cambio "con la magnitud y la velocidad de los ejes. Tipos de cambio puede ser un cdigo de colores. Tamao de la burbuja puede reflejar el impacto potencial. Las burbujas son ejemplos slo con fines ilustrativos. Anlisis de cambio puede ser fcilmente utilizado para fortalecer el anlisis de otros asuntos. Por ejemplo, si varios proyectos estn siendo considerados para su financiacin, un indicador de riesgo de cambio se puede agregar como una fila en una hoja de clculo. Para proporcionar una visin ms clara en los proyectos, el indicador de cambio se puede aplicar a las fases de diseo, implementacin y operacin de un proyecto o el cambio ambiental (por ejemplo, nueva regulacin).
    F Liquidity "V loss Acquisition \

    Figura 36 Necesito saber, Qu hace el lder de los riesgos operativos? El lder del riesgo operacional debe saber trabajar con el director de informacin (CIO) para construir una visin empresarial basada en las actividades de TI relacionadas con el riesgo de las operaciones. Esto es similar a una planta de fabricacin del ltimo conjunto de gerente de mirar hacia atrs a travs de la lnea de montaje completa para ver el riesgo de los proveedores, productos, equipos, personas, procesos, instalaciones y como para completar con xito un producto y enviarlo a la puerta. Una 'actividad' puede ser una unidad de negocio, proceso, la lnea, producto u otro mbito de anlisis. Para lograr esto, un obstculo clave (como se mencion anteriormente) es cruzar la gama de silos de operaciones de TI. En la construccin de este punto de vista, el lder del riesgo operacional puede llegar a los colegas en la mejora de procesos de negocio, control de calidad,

    gestin de proyectos y la continuidad del negocio con objetivos similares para evaluar y mejorar los procesos de TI empresarial. Desde una perspectiva de los recursos, el lder del riesgo operacional tendr un gestor de riesgos relacionados con TI. Esta persona probablemente de lnea punteada informe del CIO. En algunas organizaciones del gestor de riesgos relacionados con TI slida lnea de informes a la CIO. Sin embargo, la lnea continua con el lder del riesgo operacional proporciona una mayor independencia, especialmente a la luz de los recientes cambios en los servicios financieros legales y reglamentarios. Si bien este es un concepto simple, en el pasado ha sido un desafo debido a la complejidad de la institucin financiera (con diversas unidades de negocio y regiones geogrficas), el rango de las reas de TI (demasiado a menudo funcionan en sus propios silos), y diferentes ( sin embargo, la orientacin bien desarrollado) el riesgo de gestin de la terminologa y el proceso para cada una de las reas de TI (por ejemplo, finanzas, gestin de proyectos, operaciones, seguridad, desarrollo de aplicaciones, y la continuidad). La tarea se hizo mucho ms sencillo cuando ISACA libertad de Riesgos de TI basados en COBIT en el ao 2009. El Riesgo IT Essentials, marco y Gua Profesional representado una acumulacin sustancial de la gestin de contenidos relacionados con la TI empresarial de riesgo en COBIT 4.1 (lanzada en 2007, COBIT fue publicado por primera vez en 1998, y COBIT 5 en el momento de la escritura estar disponible muy pronto). COBIT cubre cuatro reas de la gestin de TI: planificacin y organizacin, adquisicin e implementacin de soluciones, la entrega y apoyo, y seguimiento y evaluacin. ISACA, con sus 95.000 miembros en 160 pases, es el principal de creacin de conocimiento para la organizacin de las disciplinas de TI de supervisin, gestin y seguridad. ISACA marcos estn disponibles en varios idiomas para su uso global. De riesgos de TI se cre con base en las peticiones de los profesionales que estaban luchando con la necesidad de cruzar los silos dentro de TI y luego conectar al alza para la gestin de riesgos en toda la empresa. Durante el curso del desarrollo, cerca de 1900 se recibieron comentarios de los revisores en unos 20 pases. Es la nica gua de este tipo. Riesgo IT tiene varios beneficios para los lderes de riesgo operacional en los servicios financieros: Incorpora la larga historia de COBIT de enfoque en las metas y objetivos de negocio. Con su disponibilidad abierta y larga historia, que se recomienda o se requiere para el uso por los reguladores en muchos pases. ISACA proporciona dos documentos de orientacin especficos para los servicios financieros: Objetivos de Control para Basilea II y Cartografa de la FFIEC con COBIT4.1. Mientras que el riesgo es un documento entre la industria, que es fcilmente adaptable a las organizaciones de servicios financieros. Varios de los miembros del equipo central que cre los riesgos de TI (incluyendo su autor aqu) llegaron al equipo con experiencia en servicios financieros. Profesionales de los servicios financieros tambin son una gran parte de la comunidad de usuarios de ISACA.

    Por ejemplo, la vista genrica de las categoras de riesgo utilizados en el riesgo / ^ debe ser muy familiar a un banco.

    111J1J
    La f estratgica ^Crdito De mercado Cumplimiento Operacional Ambiental arriesga 1 arriesga Relacionados con la TI de Riesgos de Negocio IT beneficia el valorProgramas y proyectos de TI | operaciones de TI habilitacin en el riesgo y el riesgo de que la prestacin de servicios! la entrega de riesgo

    Figura 37 [Fuente: El Marco de Riesgos de TI. 2009 ISACA Todos los derechos reservados. Usado con permiso.] Con unas pocas modificaciones en la lnea media, una compaa de seguros puede sustituir en el 'riesgo de suscripcin', 'afirma el riesgo ", y" el riesgo de inversin ". Mientras que 'riesgo operacional' de la frase es utilizada por las aseguradoras en Europa y otros pases, "el riesgo empresarial" es la frase ms utilizada por las aseguradoras en pases como los EE.UU... Adaptacin de los riesgos de TI a las necesidades de su organizacin riesgos IT se ha mencionado en varias ocasiones en los captulos anteriores para proporcionar ejemplos de contenidos que se incluyen en un marco de gestin de riesgos bien (los flujos de procesos, modelos de madurez, tablas RACI y otras herramientas). En este caso, pasaremos a un breve recorrido por el riesgo que la documentacin y consejos sobre cmo adaptar a sus necesidades en una organizacin de servicios financieros. Riesgo IT, en el espritu de este libro, incluye varias herramientas. En adicin al modelo de proceso en s (ms sobre el que en un momento), stos incluyen: Las herramientas para ayudar en el anlisis de escenarios (diagrama de flujo y escenarios genricos) El calor mapas TI de la empresa de riesgo formulario de evaluacin Los ejemplos de escalas de riesgo de impacto 'Carril de natacin' Anlisis de riesgos del grfico (los roles y flujos) Las opciones de respuesta al riesgo y los parmetros de seleccin Riesgo de plantilla de registro Los flujos de comunicacin de riesgos. Riesgo IT se divide en tres secciones: Gua Esencial, Marco y Profesional. Las dos primeras secciones est empaquetado en un solo documento nuevo derecho (tal vez confusamente) el Marco. Cada uno de los documentos es un poco ms de 100 pginas de longitud. Adems, ISACA proporciona un archivo. Zip para

    descargar con imgenes de alta resolucin de algunos de los grficos clave y las herramientas clave que figuran en el .doc y. xls para hacerlos ms fciles de personalizar a sus necesidades. Ories utilizados en el riesgo / ^ debe ser muy familiar a un banco. El Marco El Marco se abre con unas 15 pginas de material resumen introductorio y el ejecutivo. Esto introduce dos ideas clave de la organizacin. En primer lugar, los tres relacionados con las TI de las categoras de riesgo: TI Beneficio / Valor (relacionado con el negocio, el portafolio de inversiones); Programa / Gestin de Proyectos y Operaciones / prestacin de servicios. Para un banco, la mayor parte de estas tres categoras se consideran de riesgo operacional en el sentido de Basilea II (con un poco de riesgo estratgico, tambin). Para una compaa de seguros, todos ellos se cay dentro de los riesgos empresariales. En segundo lugar, los tres mbitos de: Gobernanza del riesgo, evaluacin de riesgos, y la respuesta al riesgo. Los Essentials y el propio marco se organizan en torno a estos tres dominios. Esenciales El documento luego se vuelve a lo esencial. En 15 pginas, ya que atae a cada uno de los tres dominios. En la gobernanza del riesgo: apetito por el riesgo y la Tolerancia, Responsabilidad y Rendicin de Cuentas de la Gestin de Riesgos de TI, la cultura y el riesgo; Sensibilizacin y Comunicacin. Como se seal antes, el riesgo de TI incluye ms orientacin sobre la cultura que cualquier otro marco de gestin de riesgos, la prctica estndar o la mejor. En la evaluacin del riesgo: Descripcin de impacto en el negocio y escenarios de riesgo. Como se seal anteriormente, el riesgo que de orientacin sobre el anlisis de escenarios contiene una gran variedad de genricos o de 'Inicio' escenarios para estimular el pensamiento del equipo en la creacin de escenarios para su empresa. En Respuesta a los Riesgos: Indicadores Clave de Riesgo (KRI) y la definicin de Respuesta de riesgo y establecimiento de prioridades. Debido a COBITs de larga data enfoque en las metas y objetivos de negocio, Kris se utilizan para abordar el riesgo de que los indicadores de desempeo. Esta seccin es donde el lector se introduce tambin poner en riesgo su nfasis en el hecho de responder a los riesgos, no slo que la evaluacin, para ayudar al practicante de riesgo ofrecer valor a las organizaciones para resolver problemas y reducir el riesgo para los ingresos. Lo siguiente es una seccin sobre el uso de Riesgos de TI en conjunto con otras ISACA s dos marcos, COBIT y Val IT 4.1 2.0. De riesgos de TI se puede utilizar independiente. Sin embargo, organizaciones de servicios financieros tendr que hacer uso de estos marcos de otros, especialmente COBIT4.1, ya que es la base del Acuerdo de Basilea II y la de Estados Unidos documentos cartogrficos FFIEC.

    Marco El marco en s parece ahora, tambin se basa en los tres mbitos de Gobierno, Riesgo, Evaluacin de Riesgos y Atencin de Riesgos. Cada uno de estos tres mbitos se divide en tres procesos (y stas en subprocesos). Gobierno, Riesgo (RG) Incluye: RG1 Establecer y mantener una visin comn de los riesgos Integrar RG2 con ERM (Enterprise Risk Management) Haga RG3 consciente de los riesgos decisiones de negocios Evaluacin de Riesgos (ER) Incluye: Recopilar datos RE1 Analizar los riesgos RE2 RE3 Mantener perfil de riesgo Respuesta a los Riesgos (RR) incluye: Articular el riesgo RR1 Gestionar el riesgo RR2 RR3 Reaccionar a eventos Riesgo la gobernabilidad Asegrese de que los riesgos de TI prcticas de gestin estn integrados en la empresa de la TIIE, lo que le permite conseguir una ptima rentabilidad ajustada al riesgo.

    Respuesta a los Riesgos Asegrese de que se refera cuestiones de riesgo, las oportunidades y los

    acontecimientos se tratan de una manera costo-efectiva y de acuerdo con las prioridades del negocio. Evaluacin del riesgo Asegrese tailands riesgos relacionados con TI y las oportunidades de una nueva identificados, analizados y presentados en el negocio de golondrina de mar. Figura 38 [Fuente: El Marco de riesgos de TI. 2009 ISACA Todos los derechos reservados. Usado con permiso.] Para cada dominio, un conjunto de elementos de proceso estndar son cubiertos. Para cada dominio: Una visin grfica del dominio en el marco, destacando la meta de dominio (s) y mtricas (s). Un modelo de madurez en ambos puntos de vista de alto nivel y detallado. El modelo detallado proporciona 0-5 clasificaciones descriptivas en seis atributos: sensibilizacin y comunicacin, responsabilidad y rendicin de cuentas, establecimiento de metas y la medicin, las polticas, normas y procedimientos, tcnicas y conocimientos, herramientas y automatizacin. Para cada proceso de (nueve en total, tres para cada uno de los tres dominios): Descripcin del proceso: Una visin grfica del proceso en el marco, destacando el objetivo del proceso y las actividades clave. Proceso de detalles: las prcticas de administracin de claves, con entradas y salidas. Las directrices de gestin: grficos RACI, las metas y las mtricas. Para adaptar el contenido y el proceso de dominio de su organizacin, los conjuntos tursticos principales de las ediciones se requiere: 1. Ajuste a su negocio y estructura organizacional de TI (centralizada, federado y descentralizado). Esto tiene un impacto particular en las mesas FiACI y la redaccin de las descripciones de la evaluacin del modelo de madurez. 2. Ajuste a su pas / la terminologa de la industria. Si desea crear la documentacin por separado para cada negocio lnea, los ajustes deben hacerse terminologa y nfasis que debera aadirse. 3. Ajuste a su terminologa en toda la empresa de gestin de riesgos. Para hacer esto ms fcil, en el riesgo que las asignaciones Profesional Gua se proporcionan a la terminologa de la norma ISO / CE Gua 73 (utilizado por FERMA / IRM / ALARMA / s AIRMIC '(A la gestin de riesgos Standard (ARMS) y 31000 de la ISO) y la gestin de COSO Enterprise riesgo -Marco Integrado). 4. Ajuste a su proceso de negocio para sus lneas de negocio y localizaciones. Por ejemplo, si todas sus operaciones en alta mar del libro mayor, lo que el riesgo

    tiene usted de los gobiernos extranjeros apoderndose de todos los datos y agobiantes de su institucin Si usted est involucrado en las operaciones comerciales, el anlisis de los riesgos de disponibilidad debe tener en cuenta la latencia y la capacidad de soportar sub-diez-milsima de segundo de comercio. Si usted opera en las ciudades grandes y requieren de espacio de trabajo alternativo para las operaciones de recuperacin, qu sucede si varios clientes de su rea de trabajo alternativa de toda la necesidad de que el espacio a la vez? A quin le da el espacio Si usted est involucrado en la solucin, las operaciones de custodia o que se considere a ser altos en el riesgo sistmico, es su TI diseado para funcionar a niveles mucho ms altos de estabilidad y disponibilidad Si los datos financieros que sostienen (el tuyo o el de los clientes) se puede modificar en un pas fuera de su jurisdiccin de origen, tiene su informacin privilegiada-de gestin de amenazas cubren ms de empleados descontentos o rogu comerciantes-se tambin protegerse contra la delincuencia organizada o patrocinada por el gobierno el espionaje? El material bsico para todas estas reas se pueden encontrar en las mejores prcticas abiertas, que hay que adaptar de una manera que sea apropiada para su entorno. En la prctica, cualquier organizacin la aplicacin de cualquier norma o prctica debe decidir si a medida en el nivel central y distribuir a los usuarios o proporcionar educacin a nivel central y luego se los usuarios se adaptan a las variaciones de la mosca y el informe. Para obtener una descripcin del enfoque de una organizacin, es posible que desee leer el riesgo de MetLife IT estudio de caso en vwvw.isaca.org / riskit. El Marco concluye con una extensa lista de referencias y un glosario. El glosario ms reciente se encuentra en www.isaca.org / alossarv. La Gua Profesional La Gua del Profesional es el segundo documento. Fue creado en respuesta a los comentarios de la exposicin pblica los proyectos que han solicitado ms orientacin sobre la ejecucin. El marco puede ser descrito como el 'qu hacer' y la Gua Profesional de la 'howto hacerlo ". La Gua Profesional se inicia con una revisin del riesgo de procesos de IT modelo seguido por ms detalles sobre cmo utilizar Riesgo / talong con C0BIT4.1 andVallT2.0. A continuacin, se vuelve a ocho 'how-tos' impulsado por preguntas miembro de: 1. la definicin de un universo de riesgos y la gestin de riesgos de alcance 2. el apetito de riesgo y tolerancia al riesgo 3. conocimiento de los riesgos, la comunicacin y la informacin, incluyendo los indicadores de riesgo clave, perfiles de riesgo, la agregacin de riesgos y la cultura de riesgo 4. Expresar y describir los riesgos, incluyendo orientacin sobre el contexto empresarial, la frecuencia, el impacto, con el negocio de los objetivos de COBIT enfoque, mapas de riesgo, registros de riesgos

    5. escenarios de riesgo, incluyendo los factores de riesgo la capacidad y los factores ambientales de riesgo 6. respuesta al riesgo y la priorizacin 7. un flujo de trabajo de anlisis de riesgos: 'nadar lane' diagrama de flujo, incluyendo el contexto el papel 8. mitigacin de riesgos de TI utilizando COBIT y Val IT, esta tabla indica a los usuarios a las acciones para reducir el riesgo se encuentra en COBIT y Val IT. Llegando al final, se incluye una seccin que mapea los principios, etapas del proceso y la terminologa de otras normas de gestin del riesgo y los marcos. Esta es una referencia clave. Por dnde empiezo? Esta gran cantidad de material requiere un punto de partida. Cuando la aplicacin de cualquier norma o prctica, la respuesta es muy sencilla de inicio con su ms grande dolor. Esto incluye el dolor que usted ya conoce el dolor ya que se podran hacer furtivamente para arriba en usted (el bote 'sin vigilancia). Esto sugiere dos anlisis rpidos. En primer lugar, comparar una lista de los recientes problemas (con sus causas fundamentales) para el riesgo que los dominios y procesos. Esto puede ser tan simple como colocar una marca de verificacin en el diagrama (Figura 38 arriba) para cada instancia del problema (Si te gusta, la ponderacin de la gravedad). Este es un indicador rpido de dolor actual. En segundo lugar, con el equipo, evaluar la madurez de las capacidades de gestin de riesgo y compararlo con el nivel deseado en un perodo determinado (por ejemplo, a un ao). Grandes brechas apuntan a un mayor potencial de dolor. Estas evaluaciones de la capacidad son los principales indicadores que ofrecen una visin de los problemas que pueden surgir en el futuro. Ambos anlisis se puede hacer en diferentes niveles de detalle y con los participantes ms o menos para recoger una serie de puntos de vista. Es un enfoque escalable para darle el nivel de confianza que usted prefiera. Como se seal anteriormente, con la participacin de las personas adecuadas es la clave para el xito. Los usuarios suelen tener algn tipo de accin en todos los nueve de los procesos, las prioridades se relacionan ms con la profundidad de las medidas adoptadas en todo el proceso (o sub-proceso/actlvlty). Para investigar los problemas, un piloto podra incluir unas pocas reas de negocio con importantes problemas conocidos y unos pocos que parecen tener ningn problema. Al observar un proceso que parece estar bien, una organizacin puede aprender) lo que est funcionando que se puede duplicar y / o b) que acechan problemas que deben abordarse antes de que estallen. Qu puedo aprender de la experiencia de los dems? Para ayudar a responder esta pregunta, un estudio de investigacin de la encuesta de 258 empresas y ejecutivos de TI de seis pases proporciona

    informacin valiosa. J ^ S-Este estudio fue realizado conjuntamente por el Centro de Informacin del MIT Sloan Research Systems e IBM. Los autores, George Westerman y el autor de este libro, hizo una serie de preguntas sobre las actividades de gestin de TI, y luego experiment la TI y los resultados del negocio. Estas actividades fueron colocados en tres grupos: 1. Gestin del riesgo representa las polticas y procesos utilizados para identificar, priorizar y definir las respuestas a los riesgos de TI. Su definicin tambin abarca gran parte de lo que est en riesgo de TI "Evaluacin de Riesgo y Respuesta 's. 2. TI se refiere a la fundacin real de entornos de TI (personas, procesos, software y hardware). 3. Consciente del riesgo la cultura es ser consciente de los riesgos, ser cmodo hablando de ello y trabajar juntos para lograrlo. Las principales conclusiones son: Las organizaciones que tenan la madurez equilibrada en sus acciones de riesgo de TI, lo que significa mayor madurez a travs de las tres reas, tuvieron significativamente mejor la TI y los resultados del negocio. Esos resultados no fueron slo sobre la reduccin de los incidentes negativos. Tambin incluye una mejor gestin de costes, lo que garantiza que la funcionalidad actual fue ms plenamente alineada con las necesidades del negocio, y tener ms agilidad para apoyar los cambios en el negocio. Organizaciones con madurez equilibrada informaron percepciones ms favorables de los riesgos de TI la capacidad de gestin que los que no se emplean las tres disciplinas. Slo un 10% de las organizaciones de fuera de balance dijo que los riesgos de una administracin eficaz de sus empresas, mientras que el 72% de las organizaciones con madurez equilibrada hizo esa afirmacin. El papel de la gestin del riesgo es diferente de las otras dos reas. Las otras reas, la fundacin y la cultura consciente del riesgo, se asocian ms directamente con los resultados efectivos. Gestin del riesgo acta como una funcin de facilitador para que los otros dos ms eficaces, y se dirige a los objetivos y las percepciones de los interesados, lo que la supervisin est a punto. Gestin del riesgo tambin parece desempear un papel ms temprana, siendo ms altamente asociada con resultados positivos ya que las empresas comienzan su viaje, y luego jugar un papel ms importante el apoyo que las organizaciones se vuelven ms maduros y la atencin se centra en el impacto en el negocio ms directa de mejorar las TI cimiento y la cultura consciente de los riesgos. Consideraciones especiales cuando se trabaja con los proveedores de servicios de terceros En la obtencin de servicios de TI, hay una variedad de formas en que pueden ser adquiridos. Los servicios pueden ser proporcionados por la propia institucin, por un cautivo, dedicada IT-empresa de servicios, por una compaa de servicios de TI de propiedad de un consorcio con otras instituciones, o por un proveedor externo. Hay variaciones en los enfoques de contratacin cuando los puntos de servicio estn divididos por lneas de negocio, reas geogrficas o tipo de servicio por ejemplo, aplicaciones personalizadas, servicios estandarizados y

    normalizados, por ejemplo, las infraestructuras de redes de almacenamiento y servicios de apoyo-por ejemplo, pruebas de seguridad)). Muchos factores influyen en las decisiones de abastecimiento. Uno de los ms significativos es el modelo de negocio de TI, que evala la medida en que es importante en una organizacin (y es muy importante en cualquier institucin financiera) y proporciona una diferenciacin en los servicios ofrecidos por la institucin a sus clientes (esto vara considerablemente en todas las instituciones). La diferenciacin ms, la flexibilidad es necesaria una mayor y ms probable es una institucin a la fuente de TI interno o mas cerca del negocio. Cuando se toma la decisin de externalizar, se puede hacer por el costo y / o calidad (riesgo) razones. Dependiendo de la capacidad de la institucin y el proveedor de servicios, la disposicin de terceros (en estado estable) puede ser ms o menos riesgosa que el original en casa de medio ambiente. No hay riesgo en s mismo a hacer una transicin a un proveedor de servicios. Dos grandes impulsores de riesgo es el proceso de cambio y de nuevas exposiciones debido a la geogrfica y / o cambios de jurisdiccin. Cuantos ms elementos de la prestacin de servicios que estn cambiando, ms el riesgo aumenta. La gente est cambiando? Estn los procesos de cambio Est cambiando el equipo? En tanto la transicin y el estado de equilibrio, una pregunta clave que debe ser constantemente se plantea es: Qu es diferente? Esto es especialmente importante con los servicios en la nube. Este comienza con la forma del modelo econmico es diferente. Un proveedor de servicios de terceros que existe, ya que puede obtener un beneficio en la prestacin de servicios. Para obtener ese beneficio debe ser ms eficiente y eficaz que sus clientes. Esto significa la adquisicin de recursos (personas, hardware, software) a un menor costo y la disponibilidad de manera ms eficiente (en gran parte gracias a la automatizacin y la mejora de los procesos). En la prctica, la atencin se centra en las personas de menor costo a travs de la deslocalizacin y la calidad del proceso. En un acuerdo de externalizacin, una institucin financiera no puede transferir el riesgo de fallos en las operaciones a los terceros slo las operaciones. Dependiendo capacidad relativa, esto puede reducir el riesgo. Legalmente, a los reguladores, clientes y socios, el riesgo todava se enfrenta. Si bien la institucin puede solicitar la recuperacin financiera de la tercera parte, los riesgos siguen existiendo. Por lo tanto, para el lder de los riesgos operativos de trabajo con el gestor de riesgos relacionados con TI y la CIO, la pregunta es cmo evaluar correctamente y asegurar el rendimiento en los proveedores de servicios de terceros. Los contratos tpicos se escriben en torno a las medidas de desempeo, a menudo denominado 'niveles de servicios. Tambin debe contener disposiciones relativas a la auditora y los daos por la cada de lograr un servicio dentro de la tolerancia establecida. Los contratos es probable que tambin incluyan disposiciones para el desempeo frente a los requisitos de cumplimiento que existan en el momento de redactar el contrato.

    Desde la perspectiva de la gestin de riesgos, hay dos puntos dbiles con este enfoque: 1. En primer lugar, la gestin de riesgos busca los principales indicadores. Estos se encuentran por la capacidad de medicin (por ejemplo, la calidad de la supervisin, la calidad del proceso, la formacin o certificaciones de los empleados). Medicin de la capacidad es clave porque es un importante indicador de los problemas. As que la capacidad se debe considerar junto con los resultados, este es el mismo que en cualquier servicio, desde los aviones que vuelan a la construccin de viviendas. 2. En segundo lugar, los requisitos de cumplimiento han cambiado dramticamente en los ltimos aos, dejando a los proveedores de servicios se tambalean ante el lenguaje del contrato estndar que deben cumplir con los requisitos legales que se enfrentan sus clientes. Este ejerce una presin financiera sobre modelo de bajo costo financiero del proveedor de servicios. Para el gestor de riesgos, esto significa la necesidad de fomentar una estrecha vinculacin entre el cliente interno de la empresa y el personal del proveedor de servicios tocar realmente los sistemas pertinentes, a fin de crear un dilogo permanente en torno al nivel de riesgo y las acciones para su gestin. Esto es especialmente importante en reas tales como desarrollo de aplicaciones, donde la externalizacin (especialmente la deslocalizacin) rompe tpicos de las mejores prcticas en el desarrollo de aplicaciones giles cuando los usuarios, administradores y desarrolladores son intencionalmente separados y compartimentados para reducir los costos. Esto es una ventaja cuando el objetivo de negocio es el ahorro de costes escalables. Es una desventaja cuando los objetivos de negocio son la flexibilidad en el diseo de productos financieros y el tiempo de lanzamiento al mercado. Tambin significa una cuidadosa seleccin del mtodo de evaluacin adecuado. La buena noticia es que hay varios documentos de orientacin de buena informacin disponible para ayudar a evaluar los proveedores de servicios. Riesgo TI de ISACA se puede utilizar para evaluar la calidad de un proveedor de servicios de gestin de riesgos, tal y como se utiliza dentro de la institucin. Para llegar al ncleo de las operaciones de TI, se necesita ms. Aqu es donde COBIT directamente entra en juego como la "piedra Rosetta" de la gua de administracin de TI. COBIT es no slo para los gerentes, pero (con el apoyo de orientacin) ya es utilizada por los auditores y los examinadores. Incluye una gua especfica sobre los proveedores de servicios de terceros (que se encuentra en el dominio de Entrega y Soporte). Esto puede ser usado para evaluar la madurez y la calidad de las actividades de gestin de TI para reducir el riesgo. Otras orientaciones

    Varios otros documentos de orientacin clave que se asignan a COBIT. Los bits por FINANCIERA Financial Services Roundtable Programa de Evaluacin Compartida fue diseado originalmente como un mtodo de evaluacin de cooperacin entre las instituciones financieras y proveedores de servicios. El programa creado dos documentos clave. El Encuentro de Informacin Estructurada (SIG) es una herramienta larga lista de preguntas de autoevaluacin para ser utilizados por los proveedores de servicios (y, opcionalmente, compartida con los clientes). El procedimiento acordado se puede considerar como una auditora de objeto limitado que pone a prueba la existencia (pero no la calidad) de las polticas del proveedor de servicios y procedimientos. Estn disponibles para descarga gratuita en www.sharedassessments.org. El programa es impulsado por los miembros y el equipo de autores siempre est buscando nuevos miembros y colaboradores. Asegrese de que utiliza la versin actual, ya que se mejora cada ao. Aquellos de nosotros que han ayudado a crear este contenido tambin han proporcionado mapeos de COBIT del FFIEC EE.UU. TI manuales de examen y otros contenidos (por ejemplo, en materia de seguridad, en el anexo ISO 27001:2005 A los controles). Adems, las AUP estn diseados para proporcionar una mayor resistencia a una evaluacin sobre la base de la Federacin Internacional de Contadores de Auditora y Aseguramiento de la Internacional Standards Board (WASB) las Normas Internacionales de Auditora (NIA) 3402. En los EE.UU., el AICPA ha emitido declaraciones sobre las Normas para Compromisos de Atestacin (SSAE) 16, que es sustancialmente similar a la 3402. Otros pases tambin tienen versiones nacionales. El folleto de orientacin adicional AlCPA es til. El predecesor del Instituto Americano de Contadores Pblicos Certificados (AICPA) Normas Declaraciones onAuditing (SAS) 70 fue diseado para evaluar la TI con el fin de proporcionar una seguridad razonable que los estados financieros podra ser producido correctamente. El 16 3402/SSAE aadido una opcin para un trabajo separado para evaluar las operaciones. A medida que el IAASB 3402/SSAE 16 es nuevo, el tiempo dir cmo se implementa. Una evaluacin basada en COBIT, con su larga historia de uso y una orientacin ms slida de apoyo, es una opcin ms "conocido" para las revisiones cuidadosas. Para profundizar ms sobre cmo los procesos de gestin de TI deben trabajar, la mejor opcin es la IT Infrastructure Library (ITIL), de la Oficina del Reino Unido de Comercio Gubernamental (OCG) y con el apoyo del Servicio de TI Foro de Gestin (itSMF). Esto y la correspondiente norma ISO / norma CE (20000) proporcionar orientacin sobre los procesos de gestin, tales como la liberacin, la disponibilidad o la gestin de configuracin. El COBIT ITIL a la cartografa se puede encontrar en www.isaca.org / COBITmappinas. Para profundizar en reas especficas, tales como la seguridad, las asignaciones de COBIT proporcionan una base de recursos importante. Mientras que la

    perspectiva en estos documentos es la de un gerente de TI o un profesional, su orientacin es tambin perfectamente aplicable a un lder de gestin de examinador, auditor o de riesgo, mucho se puede ganar con slo leer la gua como una serie de 'Usted hace..?.? Preguntas que pueden plantearse de un proveedor de servicios. En resumen, el lder del riesgo operacional tiene que saber que los riesgos relacionados con negocio es un riesgo sustancial a la institucin financiera cada vez ms automatizado. La necesidad es de recordar que muchas instituciones tratan de ahorrar costes mediante la subcontratacin de los aspectos de los sistemas de informacin a proveedores de servicios, y que la transicin a un proveedor de servicios (como la mayora de los cambios) conlleva riesgos. En estado estacionario, estos acuerdos pueden tener un riesgo ms o menos que el entorno actual. La magnitud del riesgo depende en gran medida las personas y la calidad del proceso. Para evaluar la calidad de una tercera parte de la gestin de riesgos de TI y gestin de operaciones, una gran cantidad de bien desarrollada gua est disponible. Los lderes operativos de riesgo deben centrarse en garantizar que la TI relacionados con la gestin de riesgos de negocios estn utilizando la orientacin necesaria en una forma adecuada para que la gestin del riesgo ms eficiente y eficaz, y para reducir el riesgo de operaciones. Puntos clave Las instituciones financieras dependen en gran medida de la informacin. Los lderes de riesgo operacional debe asegurarse de que relacionada con la gestin del riesgo empresarial cruza los muchos silos de TI y est profundamente integrado en mayor riesgo operativo. un examen constante de cambio para la forma en que el proceso conlleva el riesgo tanto en la implementacin y operaciones, y tratar de dar forma a los cambios de TI para reducir los riesgos para el negocio. Notas finales 37 vwwv.fsa.qov.uk/pubs/final/societe~~V qenerale.pdf. [volver totextl 38 www.fsa.g0v.uk/pubs/final/21jric_plc.pdf. [Regresar a TEXTIL 39 bitiyciVJXt. [Para volver al texto] 40 Lista utilizada con autorizacin del ^ Advsors lueBridge, LLC. [Regresar a TEXTIL 41 Vfesterman, George y Hunter, Richard. (2007), los riesgos de TI: En cuanto las amenazas empresariales en Avantage competitiva. (Cambridge: Hanand Business Press), [Para volver al TEXTIL 42 Vfesterman, George y Barnier, Brian. (2008), 'Cmo es IVbture Ibur la Gestin de Riesgo? ", MT Sloan CISR investigacin informativa, Vilume Mil N 3C, diciembre de 2008. Vfesterman, George, y Bamier, Brian. (2009), 'TI IVbnagement riesgo: madurez equilibrada puede "dar excelentes resultados".., Libro Blanco de IBM, febrero de 2009 Westerman, George, y Barnier, Brian (2010),' Driving Nueva

    \ Alue Minagement de riesgos de TI, 'IS / SCA Journal, enero de 2010. [Para volver al TEXTIL

    2,7. Reaccin y la recuperacin derecho de accin en el momento adecuado Riesgo para la gestin del ciclo de operaciones

    Figure 39

    Cuando un problema o evento en el sistema pone en peligro el rendimiento del negocio, se requiere una reaccin. El bucle de reaccin del ciclo de gestin del riesgo se sigue. En reaccin, las opciones se limitan a las capacidades existentes (recursos, planes de supervisin, la gestin de los controles y procesos a utilizar ellos), como servidores adicionales, los investigadores o equipos de crisis. Por ejemplo, una institucin puede degradar las operaciones en caso de un ataque ciberntico, cierre de sucursales en el caso de mal tiempo, o implementar una "pre-definido SWAT' al estilo del equipo para hacer frente a una interrupcin del sistema. Reaccionar a los acontecimientos en cascada En los seminarios, le pido a los participantes que imaginen que se pide despus de un incidente: "Quin saba? ',' Cundo?" y "Qu hicieron? Si el fraude, los ciber-ataque, falla de sus sistemas, la prdida de datos o problemas de productos, las preguntas son las mismas. Hay una literatura rica en las respuestas de incidentes a partir de una amplia gama de disciplinas (gestin de crisis, la respuesta mdica, los ciber-amenazas de respuesta, seguridad industrial, gestin de la cadena de suministro [de logstica y seleccin de ubicaciones abastecimiento por el riesgo], las operaciones de TI y ms). Observacin de las organizaciones de todo el mundo, tres factores que influyen en el xito en minimizar los daos: el tiempo, la preparacin y toma de decisiones. Tiempo Preocupaciones de tiempo de duracin de la alerta, cuando se produjo el problema en relacin con otros eventos, y la duracin. Por ejemplo, cunto tiempo fue el robo de datos antes de ser descubierto? Cuando en el da, semana o

    mes fueron los negocios sospechosos, generalmente se ejecuta Por ejemplo, la aplicacin de software bajan durante cerca de tres meses? Los elementos clave de tiempo debe ser entendida, no slo para crear un escenario de la vida-como tambin para mejorar la capacidad de ver las advertencias, los controles de diseo, se preparan para reaccionar, y fortalecer las capacidades. Preparacin Cmo madura son las capacidades de la organizacin? Fueron la causa raz de los problemas identificados en la evaluacin de riesgo en realidad fijado de una manera oportuna y probado durante las fases de prevencin Es la cadena de mando clara para reaccionar frente a un riesgo Quin tiene la autoridad para detener algo malo de seguir? Lo saben ellos? Van a actuar? De qu manera la informacin correcta llegue a las personas correctas en el momento adecuado? Quin es responsable? Al tomar la accin, cmo se toma la decisin sabe lo que es la accin correcta? Qu cantidad de la prdida fue pre-definida como aceptable para desencadenar la accin? La falta de preparacin para reaccionar ha llevado a muchos fracasos de alto perfil, de los errores en investigaciones corporativas a los accidentes de trabajo. La toma de decisiones De primera lnea de informacin debe integrarse con capacidad ejecutiva a actuar para enfrentar la situacin. Fascinante visin proviene de la lectura de incidentes post-exmenes (PIR) en los sitios web de organizaciones como el North American Electric Reliability Corporation, EE.UU. National Transportation Safety Board, la Junta de Seguridad Qumica EE.UU., o los informes sobre solvencia de las instituciones financieras. Una vez que se active la alarma, las herramientas de comando y control ocupar un lugar central en el proceso de gestin de riesgos. Esto se basa en un amplio cuerpo de conocimientos de gestin de crisis, la recuperacin de desastres y respuesta a emergencias. Sistemas de mando y control incluyen varios elementos: Los roles para las personas y los equipos informacin clave y los canales de comunicacin Los procesos de cumplimiento de los objetivos Las estructuras de apoyo y suministro de Los criterios de decisin y en las normas para simplificar las acciones que deben tomarse. Ejemplos de sistemas incluyen: EE.UU. Incidente Nacional de comandos del sistema, incluyendo cmo las organizaciones como las instituciones financieras trabajan en situaciones de crisis en coordinacin con muchos otros tipos de respuesta a desempear su papel en la respuesta del pblico y reanudar sus operaciones internas. Los cursos en lnea son atvwvw.fema.gov disponible. Los EE.UU. Federal

    Emergency Management Agency (FEMA) del Sistema de Comando de Incidentes (CAI) 100 curso es en lnea. Se tarda unas tres horas en completarse y se recomienda tanto para el conocimiento general y para ayudarle a usted ya su institucin interactuar con funcionarios de seguridad pblica durante un desastre. El ICS es slo uno de tres elementos, junto con la coordinacin de mltiples agencias e Informacin Pblica del Sistema Nacional de EE.UU. de Manejo de Incidentes (NIMS) de comandos y el componente de gestin. Los componentes del NIMS de preparacin, Comunicaciones y Gestin de la Informacin y gestin de recursos proporcionan un marco para la gestin eficaz durante el incidente respuesta. ^ OCEG (Open Compliance y el Grupo de tica) 's Gobernanza, Riesgo y Cumplimiento Capacidad Model 2.0' s seccin de 'responder y resolver ", que incluye orientacin sobre las investigaciones, respuesta a la crisis y la recuperacin. El Redbook es una descarga gratuita en www.oceg.org. Un tratamiento completo de herramientas de mando y control est fuera del alcance de este libro. En este sentido, es importante hacerse dos preguntas: 1. Tiene el "estado all, hecho que 'las capacidades (habilidades y procesos) para construir planes de accin-el plan B? 2. Ha hecho una diferencia en su organizacin, ya que los propietarios de riesgo llevado a poner los planes en marcha para reaccionar de forma ms rpida y adecuadamente a una serie de situaciones de explotacin? Al igual que un gerente de riesgo de mercado proporciona valor de negocio mediante la adopcin de medidas inmediatas para cambiar de una posicin, un gestor del riesgo operacional debe estar listo para tomar los anillos actionwhenthe de alarma. Tres ejemplos ayudan a ilustrar esto: El titular clamaba: "No haba 'Nadie en Cargo'-Despus de la explosin, Horizon fue cojeando por una compleja cadena de mando, A Pasos de 23 aos de edad en la radio una llamada de socorro". El Wall Street cuenta Diario de los primeros minutos del desastre de Deepwater Horizon es aleccionadora; Las investigaciones siguen en curso y la informacin clave se perdi con las personas que murieron. La gestin de riesgos se trata de responder a la accin, no slo la evaluacin. La acciones de la materia derecha. && En la ciudad de Otsuchl en H / privado Prefectura, Japn, se inform ampliamente que el alcalde Kokl Kato muri tras ser arrastrado por el tsunami durante una reunin de emergencia celebrada al aire libre poco despus del terremoto de 11 de marzo 2011. En un contexto financiero, la prensa de negocios ha documentado las cadenas de eventos en los que toma en cuenta los riesgos decisiones ha ayudado y el dolor. Por ejemplo, Businessweek public una mini-serie en su emisin 22 de junio 2009 titulado "Los tomadores de riesgo," discutir las decisiones en varias empresas. Se puede encontrar en lnea en: buswk.co/16ISea. En otro ejemplo, las semanas de negocio de abril de 2010 un reportaje sobre Goldman Sachs informes sobre las decisiones clave adoptadas por la empresa para evitar la prdida de potencial, por ejemplo, cuando Goldman fue neutral en las hipotecas. Estas y otras historias de

    relieve las decisiones para reaccionar ante un entorno en el punto de vista de las capacidades de la empresa y cmo les ayud a preparar la planificacin de las decisiones para todos. Recuperarse de los daos El paso reaccionan busca contener, reducir o detener una cascada de desarrollo de los acontecimientos. Cada paso de la cascada de un impacto y dio lugar a consecuencias que son financiera, operativa, satisfaccin del cliente relacionados con, la reputacin legal, y mucho ms. Una vez que la cascada se ha reducido significativamente o se detiene, el paso se recupera para reconstruir de manera eficiente y eficaz. Las acciones incluyen: la reconstruccin de la capacidad fsica, la compensacin a las personas perjudicadas; correccin interna y re-trabajo, los asentamientos de responsabilidad, multas reglamentarias, sanciones contractuales, y la publicidad y relaciones con los medios. La etapa de recuperacin se basa en las medidas tomadas con anterioridad. Utiliza herramientas de planificacin y de organizacin, tales como el equipo de gestin de incidentes. Rpida recuperacin en situaciones relacionadas con el proceso en gran medida depende de tres factores: 1. encontrar la causa raz rpidamente, basndose en la comprensin de cmo funciona el proceso y tener los controles cerca de la fuente del problema 2. la fuerza de la capacidad del proceso subyacente 3. est preparando con los procedimientos y recursos para hacer las reparaciones. La recuperacin rpida en el medio ambiente relacionado con las situaciones en gran medida depende de tres factores: 1. las capacidades de mando y control descritos en la seccin de reaccionar 2. procedimientos claros que pueden ser implementadas por la gente de primaria o de respaldo 3. remplazo / recursos adicionales. Esto se aplica si el cambio del medio ambiente es un desastre natural, un caso de malestar social, los cyber-ataque, dao accidental, un sorpresivo anuncio poltico o el volumen de operaciones inesperadamente alto que hace hincapi en la capacidad. Cambios a largo plazo del medio ambiente (jurdico, econmico, tecnolgico, demogrfico) se trataron anteriormente en el captulo de mejoras. Las acciones especficas de recuperacin depender de la naturaleza del medio ambiente o el cambio del proceso que se produjo, cmo se desarroll, la rapidez con que se desarroll, y cules son los bienes y recursos se han visto afectados en la entidad financiera. Para que los cambios del medio ambiente, los efectos

    sistmicos a los proveedores, socios, competidores y clientes tambin cambiar la naturaleza de las acciones de recuperacin. La reconstruccin puede ser una tarea independiente de si los recursos son especficos de los daos causados (limpiar un edificio inundado, pagar daos y perjuicios a los clientes, pago de multas). Sin embargo, cuando la reconstruccin es ms amplia, a continuacin, a menudo es ms rentable para combinar la reconstruccin con los grandes proyectos de mejora de la capacidad. Por ejemplo, una institucin haba repetido los problemas en la gestin de la riqueza. En lugar de abordar estas respuestas regulatorias, como individuales, que era ms rentable para limpiar el proceso de extremo a extremo con la mejora de productos de gestin de la disciplina. Debido a esta amplia gama de posibles acciones para la recuperacin, la experiencia en la materia la materia es necesario tambin variar, un administrador de cyber-seguridad, relaciones con los medios, recuperacin de desastres, o el pas en general podra ser cabeza de la recuperacin. El papel del lder es el riesgo operacional para apoyar el lder en puntos en la recuperacin inmediata y fomentar la mejora en los pasos de reaccionar y la recuperacin en el futuro. Por lo tanto, las herramientas que son ms tiles para el lder de gestin del riesgo operacional son los que miran a travs de todo se desarroll la situacin a todas las reas afectadas para preguntar y responder a las preguntas-Qu sali mal? Cmo lo hicimos? Lo que se ha perdido que necesita ser abordado de inmediato Y cmo podemos mejorar en el futuro? Dos herramientas son tiles. Posteriores a los incidentes comentarios (PIR) Estos anlisis comienzan a raz del problema, realizar un seguimiento de desarrollo de los acontecimientos, las acciones que se han tomado y la prdida de medida (incluida la prdida de oportunidad). En la comprensin de las medidas adoptadas, se centra en lo que se hizo cuando. PIR puede ser ms fcil apoyndose en el anlisis de la dependencia y el anlisis de causa raz realizado durante la evaluacin de riesgos. Ejemplos de los PIR se puede encontrar en una variedad de Organizacin de la Industria y los sitios web gubernamentales. Estos incluyen la Confiabilidad Elctrica de Amrica del Norte Corporation (www.nerc.com). Los EE.UU. Chemical Safety Board (www.csb.gov). Y los EE.UU. National Transportation Safety Board (Otros www.ntsb.govl Incluir los anlisis efectuados por su asesor legal para casos de litigio o de las acciones de regulacin y estudios de caso de las asociaciones profesionales. Accin Empresarial anlisis del cambio Esto se ve en las siguientes consecuencias de un incidente o (efecto especial) una serie de incidentes. Se piensa sobre todo para el consejo de administracin, comit de la junta de riesgo y la alta direccin. El anlisis se ve a travs de todos los incidentes y revisiones posteriores a los incidentes en un periodo de tiempo y le pregunta: "Qu estamos haciendo de

    manera diferente" Ha patrones negativos de incidentes ha corregido? Si los patrones de los malos resultados son persistentes, las mejoras se discuten en el mbito de un proceso de produccin) actividad principal, b) control, c) proceso de gestin y d) la supervisin, basado en el anlisis de causa raz y el PIR. Este enfoque es especialmente til para entender si la propia accin de la junta / falta de accin, la supervisin de riesgos o la cultura de riesgo estn perjudicando los esfuerzos para lograr una mejora de rentabilidad-riesgo mantener el equilibrio. (Ms sobre esto se pueden encontrar en la parte 3 de la supervisin del riesgo.) La diferencia de riesgo operacional lder Administrar las opciones Documentar las lecciones aprendidas, asignar valores a las opciones que han ayudado a reaccionar o contener el problema se desarrolla ms rpidamente. Encuentra el equilibrio Ayudar a la organizacin a definir la rapidez con que reaccionan en presencia de una advertencia. En situaciones de rutina (por ejemplo, cambios en los precios de mercado) las organizaciones se sienten ms cmodos reaccionar. En situaciones excepcionales, las organizaciones pueden retrasar la espera de ms informacin, mientras que el problema crece (como fue el caso de muchos inversionistas en agosto y octubre de 2008). Crear palancas En primer lugar, crear una gua para vincular las advertencias a la accin. Como en el comercio, las reglas (formada por el anlisis de escenarios) eliminar la vacilacin y la indecisin. En segundo lugar, aplicar las lecciones de manera suficientemente amplia para evitar problemas similares. Cuando las lecciones se aplican estrictamente, la Institucin se sorprendi por problemas similares, como en las prdidas de Rogue Trader. Soluciones de diseo Invitar a las personas adecuadas para los PIR para def ne y construir buy-in para la mejora. Puntos clave La gestin del riesgo no es slo acerca de la evaluacin, se trata de actuar en los riesgos.

    Utilizar herramientas para mirar a travs de toda la cadena de eventos se desarroll para evitar problemas similares en el futuro El dolor sufrido crea valor cuando se evita problemas en el futuro y hace mejores decisiones. Notas finales Ms informacin 43 de NIMS se puede encontrar en www.fema.q0v/emen3encv/nims. [regresar a TEXTIL] 44 VM Street Journal (27 de mayo de 2010), on.wsi.com/92pKV6. [Para volver al texto |

    2,8. Informacin clave para responder al riesgo


    En el ciclo de proceso de gestin de riesgos, los escenarios y las advertencias eran las entradas a la respuesta al riesgo. En su respuesta, el bucle normal cambia de posicin o forma de nuevo en el entorno y las capacidades construye. De este modo, los gestores de riesgos aportan un toque especial a la fiesta de la Cruz-disciplina para mejorar los resultados empresariales. Priorizacin de riesgos mejorar el rendimiento de las herramientas de negocio, procesos y enfoques de mejora de la calidad. El bucle de reaccin se basa en los enfoques de emergencia y de investigacin para contener, disminuir y detener una cascada de eventos. A continuacin, comience la recuperacin. Despus de la construccin del circuito normal o reconstruccin del bucle de reaccin, el ciclo vuelve a la base de la evaluacin del medio ambiente y empresa. En conjunto, el ciclo busca y corrige los problemas-la entrega de valor. Las mejoras en el posicionamiento de medio ambiente y la capacidad de la empresa en apoyo del Marco aspiraciones de revisado. Las mejoras pueden ser reflejadas en la exigencia de capital bsico y (para la gestin del riesgo y las mejoras de gestin de procesos) en el Pilar 2 de ajuste. Esto no significa que el requerimiento de capital total ser menor si otros factores estn actuando para aumentar el capital. El punto es tener una relacin directa para reflejar la reduccin del riesgo real en los requerimientos de capital. En resumen, las ideas clave de los captulos sobre la respuesta al riesgo son los siguientes: A medida que la gestin de la institucin madura de riesgo, el nfasis se desplaza de la bsqueda de los riesgos para la fijacin de ellos. En respuesta al riesgo, entender sus opciones y el valor de mantenerlas abiertas para responder a los riesgos. Examine las decisiones que puedan excluir las opciones para prevenir o reaccionar ante los riesgos. Tiempo asuntos de entender las implicaciones en cada paso del ciclo. Disfruta de la amplia gama de probada enfoques para reducir el riesgo de disciplinas como la mejora de procesos / reingeniera, control de calidad, desarrollo de aplicaciones de software,

    continuidad de negocio, gestin de crisis, la planificacin estratgica y gestin financiera. Seleccione entre la gama de herramientas y tcnicas para ayudar a aclarar la respuesta al riesgo prioridades para la accin. Las herramientas son maneras de hacer ms fcil mejora de la capacidad. Mejoras de capacidad son palancas (tanto en la gestin del riesgo y la estrategia competitiva de sentido) para mejorar los resultados. Crear palancas Hacer la distincin entre las respuestas a los riesgos que estn relacionados con el ambiente (por lo general externa e impulsada no el proceso), y aquellos que son inherentes al proceso. Hacer una distincin entre las capacidades de fortalecimiento de la supervisin, gestin, control y el proceso de negocio-producto (analizar, desarrollar, comercializar, vender, entregar, soportar). Asociarse con otros equipos de la institucin con los objetivos para mejorar el proceso, aumentar los ingresos rentables y / o proteger contra el riesgo. Eficiente y eficaz de "mando y control" capacidades son fundamentales para poder reaccionar lo suficientemente rpido como para reducir al mnimo la prdida o tomar ventaja de las oportunidades. Una vez que se produce un problema, la atencin se centra en retrasar o detener la cascada de eventos para reducir el impacto y las consecuencias. El xito de esta reduccin depende de la capacidad subyacente de procesos de negocio, preparacin, control y toma de conciencia de la situacin de alerta temprana. La rpida recuperacin depende en gran medida encontrar rpidamente la causa raz de un cambio, el medio ambiente comprensin y / o proceso, y avanzar en los preparativos para la recuperacin. Mejoras en el largo plazo son el nico camino verdadero para lograr la reduccin del riesgo. Heroicas, a corto plazo correcciones son necesarias para mantenerse en el negocio, pero la respuesta eficaz de los riesgos depende de las mejoras en las capacidades y el posicionamiento dentro o remodelando el medio ambiente. Entender los controles en trminos bsicos se hace ms fcil de hacer controles ms eficaces en la bsqueda y la solucin de problemas y ms eficientes para implementar, mantener y poner a prueba. Producto de gestin de la disciplina puede ayudar a que la institucin a reducir una serie de riesgos, como el fraude, al tiempo que mejora los resultados del negocio. Los riesgos de TI crece a medida que las instituciones se vuelven ms dependientes de la tecnologa. Herramientas establecidas pueden ayudarle a trazar las dependencias, y evitar problemas de productos y procesos. Su oportunidad como jefe de operaciones de riesgo consiste en aprovechar una amplia gama de herramientas de probada eficacia, e involucrar a personas bien formadas para: 1) el uso de gestin de riesgos idea de aplicar esta capacidad a las principales prioridades para la reduccin del riesgo y 2) llevar al equipo a soluciones que son ms rpidos, mejor y ms barato que habra ocurrido lo contrario. Esto crea valor para el accionista. Hemos completado nuestro recorrido por el ciclo de proceso de gestin del riesgo. Hemos encontrado muchas maneras de mejorar la eficiencia y la eficacia de la gestin del riesgo operacional para mejorar el rendimiento del negocio y el cumplimiento. En los dos captulos siguientes, damos un paso atrs para mirar el

    papel de la supervisin del riesgo en la orientacin, la mejora y seguimiento tanto de la gestin del riesgo y su propia auto-mejoramiento.

    Você também pode gostar