414

Evolución y Revolución de los

Sistemas de Gestión Integral.
Caso de éxito: ComBanc S.A.

Jorge Serrano, CISA, CGEIT, CRISC

Septiembre 2013
Un camino a la Gestión Integral basado en Buenas Prácticas…

• Propósito. Mostrar la factibilidad y los beneficios de gestionarse

usando las mejores prácticas.

• Fase 1. Estableciendo el Marco Conceptual

• Un Modelo de Gestión Integral
• Principios y Frameworks Basales

• Fase 2. Diseño
• Metodología de Integración de Frameworks
• Integración de Frameworks Basales en un Framework integrador
• El Framework de Gestión Integral (FGI)

• Fase 3. Implementación
• Integración de Frameworks de Dominios de Conocimiento /
Disciplinas
• Integración del mundo de Operacional de Procesos a la Gestión
Integral, usando la metodología de integración de Frameworks.

• Conclusiones
22
2
 Un caso real
• Empresa: Combanc S.A.
• Giro: Cámara de Compensación de Alto Valor
• Tipo: SAG (Sociedad de Apoyo al Giro Bancario) - Privada
• Movimiento promedio: US$ 6000 millones al día.
• Clientes/ Dueños: Los Bancos en Chile
• Importancia país: Sistémica
• Tamaño: 16 personas (in house)
• Nivel de uso de TI: Alto
• Nivel de uso de Outsourcing: Alto
• Nivel de Regulación y Auditoria: Alta
• Nivel de funciones Comercial y Financiera: Baja
• Nivel de funciones Operacional y de Control: Alto
• Inicio actividades: Dic. 2005
• Ejes estratégicos: Continuidad, Seguridad, Calidad y Cumplimiento.

33
3
Fase 1. Marco Conceptual

Gestión Integral
Implica el uso de un mismo Modelo de Gestión para toda la organización, en
todos sus Niveles y en todos los Dominios y Procesos.
Niveles

Dominio n
Organización
Dominio 1

Dominio

Proceso n

Proceso Proceso 1

Gestión: Actividades coordinadas para dirigir y controlar una organización.

44
4
Definiendo los componentes base del Modelo de Gestión
-Adaptación del estándar ISO 31100:2011 -
Incluye el marco regulatorio, legal, financiero, tecnológico, económico. Las tendencias
Contexto y elementos clave que tengan impacto en los objetivos de la organización. La relación,
Externo percepciones y valores de las partes interesadas externas.

Incluye el Gobierno Corporativo, la Estructura Organizacional, Roles y rendición de

Contexto cuentas. Las Políticas, objetivos y las estrategias. Las capacidades en términos de
recursos, conocimientos y competencias. Los Sistemas de Información, los flujos de
Interno información y los procesos de toma de decisiones. La cultura organizacional. Estándares,
modelos y guias adoptadas por la Organización.

Gestión XX Actividades coordinadas para dirigir y controlar una organización en el

ámbito XX

Un principio es una ley o regla que se cumple o debe seguirse con cierto
Principios propósito, como consecuencia necesaria de algo o con el fin de lograr
cierto propósito.
Estructura o marco conceptual
Framework

Sistemas de Colección de elementos interrelacionados o que interactúan de una

Gestión XX Organización para establecer políticas y objetivos y procesos para
lograr dichos objetivos. Por ej. ISMS

Procesos de Procesos cuyos resultados están relacionados al ámbito de gestión.

Gestión
55
5
Modelo General de Gestión para cualquier Organización
Relaciones de sus Componentes

Contexto Externo

Contexto Interno

Gestión Integral

Principios Framework Sistema de Sistemas de Procesos de

Gestión Gestión Gestión de Gestión
Integral Integral Dominios
• Principios
para IMF
• Principios

diseño implementación

66
6
2. Fase Diseño

Armando el Framework de Gestión Integral (FGI)

Principios Frameworks FGI

Principios Cultura Framework de Sistemas

(ComBanc) de Gestión
(PAS 99:2012)

Principios de Calidad Framework de Gestión

de Calidad
(ISO 9004:2009)

Principios de la
Gestión de Riesgos
Framework de Gestión
de Riesgos
Framework de
(ISO 31000:2009) Gestión Integral
Principios de
FGI
Framework de
Tecnología
Tecnología (Cobit 5)

Principios de Control Framework de Control

Interno Interno (COSO:2011)

77
Cada organización puede agregar otros principios y otros frameworks… 7
1. Estableciendo el Marco Conceptual

Framework
Frameworkpara
delaGestión
GestiónIntegral
Integral
PAS 99:2012
Fase 1:
Contexto de la Organización
PLAN 5.1 Liderazgo y
ACT Compromiso
Fase 7: Fase 2: 5.2 Política del Sistema de
Mejora Liderazgo Gestión
5.3 Roles,
Responsabilidades y
4.1 Entender la Organización y autoridades
10.1 No conformidades y su contexto
Acciones Correctivas 4.2 Entender las necesidades y Fase 3: 6.1 Acciones para
10.2 Mejora Continua. Expectativas de las partes Planificación direccionar Riesgos y
interesadas.
Oportunidades
4.3 Determinar el alcance del
6.2 Objetivos y
SG
planificación para
CHECK 4.4 Sistema de Gestión
lograrlos

Fase 6: Fase 4:
Evaluación de Soporte
rendimiento DO 7.1 Recursos
9.1 Monitoreo, mediciones,
análisis y evaluación 7.2 Competencia
Fase 5: 7.3 Toma de Conciencia
9.2 Auditoria Interna Operación
9.3 Revisión de Gerencia 7,4 Comunicación
7.5 Información
Documentada

8.1 Planificación y
Control Operacional
88
8
2. Fase Diseño

Framework de Gestión Integral (FGI)

• Metodología de Integración de Frameworks

• Integración de los Framework Basales a la PAS 99

– Riesgos (ISO 31000:2009)
– Calidad (ISO 9004:2004)
– Tecnología (Cobit 5)
– Control Interno (COSO)

• Integración de los Frameworks de Dominios/ Disciplinas

99
9
2. Fase Diseño

Metodología para la Integración de los

Frameworks al FGI

3
Framework
Gestión Integral
de la empresa

1 2

Framework de Procesos de
Gestión XX Gestión XX

Tip: Respete el orden de procesos de gestión de la PAS99

1010
10
2. Fase Diseño

Aplicación del Modelo Gestión a la Gestión de

Riesgos
Contexto Externo

Contexto Interno
Gestión de Riesgos

• Principios
para IMF
Framework Procesos de
• Principios
Principios Basal de Gestión de
Gestión de Riesgos
Riesgos
(ISO 31000)

1111
11
 Integración de la Gestión de Riesgos al FGI
Act Plan Fase2 Liderazgo (5)
PG5.1 Liderazgo y
compromiso
Fase7 Mejora (10)
2. Fase Diseño 10.1 No
Fase1 Contexto de la
organización (4)
PG5.2 Política
PG5.3 Roles
Conformidades y
PG4.1 Entendimiento de la Organizacionales,
acciones correctivas
Org y su Contexto responsabilidades y
10.2 Mejora continua
PG4.2 Entendimiento de las autoridad /RACI
necesidades y
Check expectativas de las partes
interesadas
Fase 6 Evaluación del PG4.3 Determinar el alcance
Rendimiento (9) de la gestión Fase3 Planificación (6)
9.1 Monitoreo, PG4.4 Sistema de Gestión PG6.1 Acciones p/
mediciones, análisis y direccionar riesgos y
evaluación oportunidades
9.2 Auditoria Interna PG6.2 Objetivos del SG y
9.3 Revisión de Gerencia planes para lograrlos

Fase4 Soporte (7)

Do PG7.1 Recursos
Fase5 Operación (8) PG7.2 Competencia
8.1 Planificación PG7.3 Toma de Conciencia
Operacional y Control PG7.4 Comunicaciones
PG7.5 Información
8.2 Gestión de Riesgos Documentada
Framework de Gestión de Riesgos
ISO 31000:2009
Procesos Gestión de Riesgos
Mandato y Compromiso

Monitoreo/Revisión del Riesgo

Establecer el
Contexto

Comunicación del Riesgo

Diseño del Framework
para Gestionar Riesgos 8.2 Valoración de
Riesgo

NO
Mejora Continua del Implementación de
SI
Framework la Gestión 8.2 Tratamiento de
Riesgo
NO
Monitoreo y Revisión del
Framework SI 1212
Aceptación de
12
Riesgo
 Integración de la ISO 31000 al Framework de Gestión Integral de la empresa.
Framework de Gestión de Riesgos FGI: Proceso de Gestión (PG y
ISO 31000:2009 su documento)
4.2 Mandato y Compromiso PG5.1 Liderazgo y compromiso global
4.3 Diseñar el framework de gestión de riesgos 4.3.1Entender la Organización y su Contexto PG4.1 Entender la Organización y su
Contexto
4.3.2 Establecer la Política de Gestión de Riesgos PG5.2 Política
4.3.3 Dar Cuentas (Accountability) PG5.3 Roles Organizacionales,
Responsabilidades y Autoridad
4.3.4 Integración en los Procesos de Riesgos en la Organización DOCORG7 Modelo de Gestión de ComBanc,
sección 6.
4.3.5 Recursos PG7.1 Recursos
4.3.6 Establecer Comunicaciones internas y mecanismos de reporte PG7.4 Comunicaciones
4.3.7 Establecer Comunicaciones externas y mecanismos de reporte PG7.4 Comunicaciones
4.4 Implementar la Gestión de Riesgos 4.4.1 Implementar el framework para gestionar el riesgo DOCORG7 Modelo de Gestión de ComBanc
4.4.2 Implementar el proceso de gestión de riesgo PG8.2 Procesos de Gestión de Riesgos
4.5 Monitoreo y Revisión del framework PG9.1 Monitoreo, mediciones, análisis y
evaluación
PG9.3 Revisión de Gerencia

4.6 Mejora continua del framework PG10.2 Mejora continua

5 Procesos
5.2 Comunicación y Consulta PG7.4 Comunicaciones
5.3Estableciendo el Contexto
5.3.2 Establecer el Contexto Externo PG4.1 Entender la Organización y su
Contexto
5.3.3 Establecer el Contexto Interno PG4.1 Entender la Organización y su
Contexto
5.3.4 Establecer el Contexto del Proceso de Gestión de Riesgo. PG6.1 Acciones para abordar Riesgos y
Oportunidades
5.3.5 Definir los Criterios de Riesgos PG6.1 Acciones para abordar Riesgos y
Oportunidades
5.4 Valoración del Riesgo PG8.2 Procesos de Gestión de Riesgos
5.5 Tratamiento de Riesgo PG8.2 Procesos de Gestión de Riesgos
5.6 Monitoreo y revisión PG9.1 Monitoreo, mediciones, análisis y
evaluación.
5.7 Registro del Proceso Gestión de Riesgos PG7.5 Información Documentada.1313
13
2. Fase Diseño

Aplicación del Modelo Gestión a la Gestión de Calidad

Contexto Externo

Contexto Interno

Gestión de Calidad

• Principios
Framework
para IMF
• Principios Basal de Procesos
Principios Calidad
(ISO 9004)

1414
14
 Integración de la Gestión de Calidad
Act FGI Plan Fase2 Liderazgo (5)
PG5.1 Liderazgo y
compromiso
3. Fase Implementación Fase7 Mejora (10)
10.1 No Fase1 Contexto de la PG5.2 Política
Conformidades y organización (4) PG5.3 Roles
acciones correctivas PG4.1 Entendimiento de la Organizacionales,
10.2 Mejora continua Org y su Contexto responsabilidades
PG4.2 Entendimiento de las y autoridad /RACI
necesidades y
Check expectativas de las partes
Fase6 Evaluación del interesadas
Rendimiento (9) PG4.3 Determinar el alcance Fase3 Planificación (6)
9.1 Monitoreo, de la gestión PG6.1 Acciones p/
mediciones, análisis y PG4.4 Sistema de Gestión direccionar riesgos y
evaluación oportunidades
9.2 Auditoria Interna PG6.2 Objetivos del SG y
9.3 Revisión de Gerencia planes para lograrlos
Do
Fase4 Soporte (7)
Fase5 Operación (8)
PG7.1 Recursos
8.1 Planificación
PG7.2 Competencia
Framework de Gestión de Calidad Operacional y Control
8.2 Gestión de Riesgos
PG7.3 Toma de
Conciencia
8.3 Enfoque al Cliente
Mejora del sistema de gestión de calidad, PG7.4 Comunicaciones
que conduce al éxito sostenido PG7.5 Información
Documentada

Cap 4 Entorno de la
Entorno de la Gestión p/ Org.
Org. Éxito
Sostenido
Cap 5 Cap 9
Partes Gestión Mejora, Partes
Interesadas Estrategia Cap 5 Innovación Interesadas
Política aprendizaje Proceso de Gestión de
Necesidades
Expectativas
Calidad
Cap 8
Cap 6 ISO Seg., med. Satisfacción
Gestión de Cap 6 Cap 8
Analisis, rev
•PG 8.3 Enfoque al Cliente
Clientes
Recursos 9001
Clientes
Reqs y Cap 7
Expect. Servicio

ISO 9004
Cap 7
Gestión
Procesos
1515
Fundamentos: Principios de la Gestión de la Calidad (ISO 15
9000)
 Framework de Calidad ISO 9004:2009
4 Gestión para el éxito sostenido de una
Organización
5 Estrategia y política
6 Gestión de los Recursos
7 Gestión de los Procesos
8 Seguimiento, medición, análisis y revisión
9 Mejora, innovación y aprendizaje
Procesos de Gestión de Calidad (ISO 9001:2008)
5.2 Enfoque al Cliente
Framework de Gestión Integral FGI
(donde lo manejamos…)
4.2 Éxito sostenido 4.1 Entender la Organización y su contexto
4.3 El entorno de la Organización 4.1 Entender la Organización y su contexto
4.4 Partes interesadas, necesidades y expectativas 4.2 Entender las Necesidades y
Expectativas de las Partes Interesadas
5.2 Formulación de la estrategia y la política 5.2 Política
5.3 Despliegue de la estrategia y la política 5.2 Política
5.4 Comunicación de la estrategia y de la política 5.2 Política
6.2 Recursos financieros
6.3 Personas en la Organización 7.2 Competencia
6.4 Proveedores y aliados APO Gestión de Proveedores
6.5 Infraestructura DSS05.07 Monitorear infraestructura para
eventos de seguridad
6.6 Ambiente de Trabajo
6.7 Conocimiento, información y tecnología BAI08 Gestión del Conocimiento, Dominio
TIC
7.2 Planificación y control de los procesos 8.1 Planificación operacional y control
7.3 Responsabilidad y autoridad relativa a los procesos 8.1 Planificación operacional y control
8.2 Seguimiento
8.3 Medición 9.1 Monitoreo, mediciones, análisis y
evaluación
8.4 Análisis 9.1 Monitoreo, mediciones, análisis y
evaluación
8.5 Revisión de la información obtenida del seguimiento, 9.1 Monitoreo, mediciones, análisis y
medición y análisis evaluación
9.2 Mejora 10.2 Mejora Continua.
9.3 Innovación
9.4 Aprendizaje
8.3 Enfoque al Cliente
7.2.1 Determinación de los requisitos relacionados con el
producto (servicio) 1616
16
8.2.1 Satisfacción del Cliente
2. Fase Diseño

Aplicación del Modelo de Gestión a la Gestión de TIC

Contexto Externo

Contexto Interno

Gestión de TIC

• Principios
Framework
para IMF
• Principios Basal de
Principios Gestión de Procesos
TIC

Cobit5

1717
17
La Gestión de TIC en el FGI Act Plan Fase2 Liderazgo (5)
PG5.1 Liderazgo y
compromiso
Fase7 Mejora (10)
Fase1 Contexto de la PG5.2 Política
10.1 No
organización (4) PG5.3 Roles
Conformidades y
PG4.1 Entendimiento de la Organizacionales,
acciones correctivas
Org y su Contexto responsabilidades y
10.2 Mejora continua
PG4.2 Entendimiento de las autoridad /RACI
necesidades y
Check expectativas de las
partes interesadas
Fase6 Evaluación del
PG4.3 Determinar el alcance Fase3 Planificación (6)
Rendimiento (9)
de la gestión PG6.1 Acciones p/
9.1 Monitoreo,
PG4.4 Sistema de Gestión direccionar riesgos y
mediciones, análisis y
evaluación oportunidades
9.2 Auditoria Interna Do PG6.2 Objetivos del SG y
9.3 Revisión de Gerencia planes para lograrlos
Fase5 Operación (8)
8.1 Planificación Fase4 Soporte (7)
Operacional y Control PG7.1 Recursos
8.2 Gestión de Riesgos PG7.2 Competencia
8.3 Enfoque al Cliente PG7.3 Toma de
8.X Procesos Cobit5 Conciencia
-Prácticas de Gestión PG7.4 Comunicaciones
PG7.5 Información
Documentada
Framework de Gestión de TIC
Cobit 5
Procesos de Gestión de TIC bajo Cobit 5

1818
18
 2. Fase Diseño
Framework
En resumen… de Gestión Integral FGI
Framework de Gestión Integral FGI
PAS99+ ISO31000+ISO9004+COSO+ COBIT5
PLAN
ACT 5.1 Liderazgo y
Compromiso
5.2 Política del Sistema de
Gestión
Liderazgo
5.3 Roles,
Mejora Contexto de la Org. Responsabilidades y
4.1 Entender la Org y su autoridades
10.1 No conformidades y contexto
Acciones Correctivas 4.2 Entender las
10.2 Mejora Continua. Necesidades y Planificación 6.1 Acciones para
Expectativas de las partes direccionar Riesgos y
interesadas. Oportunidades
4.3 Determinar el Alcance 6.2 Objetivos y
del SG planificación para
CHECK 4.4 Sistema de Gestión lograrlos
Evaluación de Soporte
rendimiento
9.1 Monitoreo, mediciones,
análisis y evaluación 7.1 Recursos
9.2 Auditoria interna DO 7.2 Competencia
9.3 Revisión de Gerencia 7.3 Toma de Conciencia
Operación 7,4 Comunicación
7.5 Información
Documentada
8.1 Planificación y Control
Operacional
8.2 Gestión de Riesgos
8.3 Enfoque al Cliente 1919
8.X Prácticas de gestión de procesos 19
Cobit5
Fase 3. Implementación

Aplicación Vertical del Modelo de

Gestión
• Niveles:

– Organización

– Dominios/Disciplinas

– Procesos

Nótese que también el modelo puede ser aplicado en forma horizontal…

2020
20
Fase 3. Implementación

Gestión del Modelo por Niveles de la

Organización

Nivel
Organización

Nivel
Dominios
de Conocimiento

Framework de Gestión Integral Nivel

Procesos Operacionales

Se aplica el prácticamente el mismo framework para toda la organización…

2121
21
Aplicación del Modelo de Gestión a Nivel 1: “toda
la Organización”

Contexto Externo

Contexto Interno

Gestión Integral de la Organización

Principios Framework Sistema de Sistemas de Procesos de

Gestión Gestión de Gestión
Integral
Gestión Dominios
• Principios Integral
para IMF
• Principios FGI
SGI

2222
22
 Fase 3. Implementación

Framework de Gestión Integral FGI

Aplicado a toda la Organización
PLAN
ACT 5.1 Liderazgo y
Compromiso
5.2 Política del Sistema de
Gestión
Liderazgo
Contexto de la Organización 5.3 Roles,
Mejora
4.1 Entender la Org. y su Responsabilidades y
contexto autoridades
10.1 No conformidades y 4.2 Entender las Necesidades y
Acciones Correctivas Expectativas de las partes
10.2 Mejora Continua. interesadas. Planificación 6.1 Acciones para
4.3 Determinar el Alcance del direccionar Riesgos y
SG Oportunidades
4.4 Sistema de Gestión 6.2 Objetivos y
planificación para
CHECK lograrlos
Evaluación de Soporte
rendimiento
9.1 Monitoreo, mediciones,
análisis y evaluación 7.1 Recursos
9.2 Auditoria interna DO 7.2 Competencia
9.3 Revisión de Gerencia 7.3 Toma de Conciencia
Operación 7,4 Comunicación
7.5 Información
Documentada

8.1 Planificación y Control

Operacional
8.2 Gestión de Riesgos
8.3 Enfoque al Cliente 2323
23
 El Sistema de Gestión Integral SGI
Componentes del Sistema de
Gestión Integral - SGI

Sistema de SGI
Gestión Integral

Continuidad Seguridad de
de Negocio la Información
Sistemas de
Gestión de Flujos de
Dominio Cumplimiento Información
Finanzas y
Conocimiento Contabilidad

CA01 Cámara SW01 Switch

PA01 Servicios
Participantes
Procesos ComBanc
Operacionales de AD01 Adm
AD02 Pagos
AD03 AD04 Fin. Y
General Facturación Contab.
Negocio,
Administrativos y GI01 Gener. GI03 Pub RH01 Adm APO07
otros de Info. Contenido RRHH Capacitación

Servicios
TIC
Procesos DSS01 DSS02 DSS03 DSS05 Seguridad
DSS04
Operación TIC Incidentes Problemas Lógica y redes
Operacionales TIC Continuidad Tec.
BAI03 BAI04 BAI06 BAI07
Soluciones Capacidad /Disp Cambios Liberación
2424
BAI08 BAI09 BAI10 APO09 APO10 24
Conocimiento Activos Configuración SLA Proveedores
 Aplicación del Modelo de Gestión al
Dominio
Cumplimiento
Dominio Cumplimiento

Contexto Externo

Contexto Interno

Gestión de Cumplimiento

Framework
FGI +
• Principios
para IMF Framework de Sistema de
• Principios Gestión de Procesos
Principios Cumplimiento
Cumplimien- de Gestión
norma BS
8453:2011 to SGC

2525
25
 Integración del Cumplimiento
PAS 99:2012
PLAN
5.1 Liderazgo y
Compromiso
Fase 3. Implementación FGI 5.2 Política del
Framework para la integración de Sistemas de Gestión
Contexto de la Org.
Sistema de
Gestión
4.1 Entender la Org y su 5.3 Roles,
ACT contexto
10.1 No Mejora Liderazgo Responsabilida
4.2 Entender las des y
conformidades y
Acciones Necesidades y autoridades
Correctivas Expectativas de las
10.2 Mejora partes interesadas. 6.1 Acciones para
Planificació direccionar
Continua. 4.3 Determinar el
n Riesgos y
Alcance del SG
CHECK 4.4 Sistema de Gestión Oportunidades
9.1 Monitoreo,
6.2 Objetivos y
mediciones, análisis y planificación
evaluación Evaluación de Soporte para lograrlos
9.2 Auditoria interna rendimiento DO
9.3 Revisión de
Gerencia Operación 7.1 Recursos
7.2 Competencia
7.3 Toma de
Conciencia
8.1 Planificación y Control
7,4 Comunicación
Operacional
Framework de Gestión de Cumplimiento 8.2 Gestión de Riesgos
7.5 Información
5.9 Función de BS 8453:2011 Documentada
5.1 8.3 Enfoque al Cliente
Cumplimiento: Involucramiento 8.4 Procesos de Gestión de
Controles y del Directorio y
supervisión.
Cumplimiento
Responsabilidades
5.2 Valoración de
5.8 Reportes de Riesgo de
Cumplimiento Cumplimiento y
Gestión

5.3 Asesoría
Procesos de
Gestión de
5.7 Política y Cumplimiento
Procedimientos 5.4 Monitoreo de
Cumplimiento

5.6 Relaciones 5.5 Entrenamiento en

Regulatorias Cumplimiento

2626
26
Framework y PG de
Cumplimiento
5.1 Involucramiento y
responsabilidades del
Directorio.
5.2 Valoración y
gestión del Riesgo de
Cumplimiento
5.3 Asesorías
5.4 Monitoreo del
Cumplimiento
5.5 Entrenamiento en
Cumplimiento
5.5.1 Alcance del PE:
Materias
5.5.2 Alcance del PE:
Empleados
5.5.3 Metodología de
Entrega
5.5.4 Responsabilidad y
accountability
5.5.5 Naturaleza del
Entrenamiento
5.5.6 Revisiones periódicas
5.6 Relación con
Reguladores
5.6.1Directorio y
Compromiso
5.6.2 Informes al Directorio
5.6.3Informe a Reg.
desarrollos
5.6.4 Manejo Auditorias
Reguladores
5.6.5 Escalamiento a Entes
Reguladores
Requerimientos de Cumplimiento BS 8453:2011 FGI/ PG8.3 Procesos de Gestión de
Riesgos de Cumplimiento
Gestionar el riesgo de Cumplimiento debe ser finalmente responsabilidad del DOCSGC01.3 Política General de Cumplimiento
Directorio aprobada por el Directorio.
El Directorio es responsable por el riesgo de Cumplimiento y de su manejo. DOCSGC01.3 Política General de Cumplimiento
aprobada por el Directorio.
DOCORG5 Comité de Riesgos
-El programa de monitoreo debe ser derivado de las decisiones de planificación Los estándares para el monitoreo están descritos
y asignación basadas en la valoración del riesgo de cumplimiento. en el DOCPG9.1 Proceso de Gestión Monitoreo,
-De manera de demostrar que la Organización está monitoreando el riesgos de Mediciones, Análisis y Evaluación, sección 9.1.1.
cumplimiento se debe registrar evidencia o informes de excepción generados Ver Informe de Incidentes e Informes de No
por sistema. Conformidades del SGC
-Desarrollar un plan de entrenamiento en Cumplimiento DOCPG7.2.1 Guía del Proceso de Gestión de
-Se debe asegurar que todo el personal apropiado sea cubierto por el plan de Competencias.
entrenamiento. ITOPG7.2.1 Mantención de Habilidades y
-Se debe seleccionar la metodología más apropiada para la naturaleza del Competencias
entrenamiento en Cumplimiento.
-Se debe designar un responsable del plan de entrenamiento de Cumplimiento.
-El entrenamiento debe ser apropiado al nivel de entendimiento/conocimiento
necesario para que el empleado cumpla sus funciones y roles.
-Se debe revisar periódicamente el plan de entrenamiento de Cumplimiento en
términos de: contenido, cobertura del personal, metodología de entrega,
marcos de tiempo, donde sea apropiado y las notas objetivo.
-El Directorio y la alta Gerencia debe demostrar compromiso en mantener DOCORG01 Gestión Estratégica de ComBanc,
relaciones cooperativas y transparentes con los reguladores. sección Ejes Estratégico de ComBanc.
-Informar al Directorio periódicamente las expectativas de los Reguladores. Gerente General informa al Directorio las
expectativas de los Reguladores.
-Se debe asegurar que los reguladores sean provistos con la información que
ellos requieren y que son informados de cualquier desarrollo material dentro de CE de Cumplimiento
la Organización. AU01 Auditoria Interna.
-La Organización se debe asegurar que un miembro apropiado de la función de
cumplimiento o área relevante de negocios prepare a la Organización para El Auditor General a través de las auditorías
auditorias o inspecciones de los reguladores y direccione los temas levantados internas prepara a la Organización para auditorias
para su respuesta y solución. o inspecciones de los entes reguladores.
-Se debe establecer un proceso para escalar a los reguladores temas que Gerente General responsable de relaciones y
2727
comunicación con los organismos reguladores.
materialmente afecten o tengan el potencial de afectar el Cumplimiento de la 27
Organización de los requerimientos regulatorios.
Cont.
Framework de
Cumplimiento
5.7 Políticas y
Procedimientos
5.7.1 Aplicabilidad
5.7.2 Preparación, mantención
y revisión periódica
5.7.3 Gobernanza
5.7.4 Cambios Regulatorios
5.8 Reporting de
Cumplimiento
5.8.1 Receptores
5.8.2 Proceso de Reporting
5.8.3 Reportes Obligatorios
para los reguladores
5.9 Función de
Cumplimiento: Control y
Supervisión
Requerimientos de Cumplimiento BS8453:2011 FGI/ PG8.3 Procesos de Gestión
de Riesgos de Cumplimiento
Los procedimientos describen tareas
ejecutadas en un Proceso, los procesos que
-Se debe asegurar que las políticas y/o procedimientos son diseñados para son regulados por una ley y/o una norma
cumplir los requerimientos regulatorios. son identificados en el REG4.2.2 Partes
Interesadas Necesidades y Expectativas
-La Organización debe asignar a una persona apropiada la responsabilidad Cada Política y Procedimiento tiene un
de preparar y mantener cada política y procedimientos regulatorios. responsable apropiado.
-La Organización debe implementar una estructura de gobierno para la DOCPG7.5 Información Documentada
gestión de sus políticas y procedimientos regulatorios.
ITOPG4.2.1 Instructivo para la
-La función de cumplimiento debe tener establecida una política o proceso identificación y Comunicación de
para: a) Mantener actualizado los cambios actuales o potenciales en la Requerimientos Regulatorios
regulación. b) Comunicar esto a las áreas relevantes. Además, se debe
asegurar que los cambios en las políticas y procedimientos se realicen
oportunamente.
-Se deben identificar los receptores de los reportes e informes de REGSGIPG7.4.1 Patrón para determinar las
cumplimiento. Necesidades de Comunicaciones
-La Organización debe desarrollar un proceso de reporting para mantener a Proceso de Gestión PG9.3 Revisión de
la alta Gerencia y Directorio informado de los temas de cumplimiento, Gerencia y REGSGCPG9.3 Revisión de
proveyendo seguridad de que los temas de Cumplimiento están siendo Gerencia del SGC
direccionados, que los controles de cumplimiento están operando de
acuerdo a lo establecido y que la cultura y framework de cumplimiento son
efectivos.
REGSGIPG7.4.1 Patrón para determinar las
-Se debe asegurar claridad en la responsabilidad para todos los
requerimientos obligatorios de reporting, incluyendo reportes rutinarios y ad Necesidades de Comunicación
hoc y aquellos necesarios para cumplir requerimientos regulatorios.
Incorporado a las Funciones del Comité de
Riesgos, documentado en DOCORG5
Comité de Riesgos
2828
28
 Aplicación del Modelo de Gestión a la Continuidad de
Dominio Negocios
Continuidad
de Negocios

Contexto Externo

Contexto Interno

Gestión de Continuidad de Negocios

Procesos de Gestión
CN
• BIA y Eval. de
• Principios
para IMF
Framework Sistema de Riesgos
Principios • Selección de
• Principios
BS25999:2007
norma ISO Gestión de la
Opciones de CN
22301:2012 Continuidad • Desarrollo e
de Negocios implementación de
BCMS respuestas CN
• Ejercicio y Pruebas

Aquí hay un truco: la 22301:2012 fue construida espejando al PAS99:2012 2929

29
 Fase 3. Implementación
Framework de Gestión Integral FGI
Framework de Gestión Integral FGI
Aplicado al Dominio Continuidad de Negocios
Norma ISO 22301:2012
PLAN
5.1 Liderazgo y
Compromiso
ACT 5.2 Política del Sistema de
Gestión
Liderazgo
5.3 Roles,
Mejora
Contexto de la Org. Responsabilidades y
4.1 Entender la Org y su autoridades
10.1 No conformidades y
contexto
Acciones Correctivas
4.2 Entender las
10.2 Mejora Continua. Planificación 6.1 Acciones para
Necesidades y Expectativas
direccionar Riesgos y
de las partes interesadas.
Oportunidades
4.3 Determinar el Alcance
6.2 Objetivos y
del SG
planificación para lograrlos
CHECK 4.4 Sistema de Gestión

Evaluación de
9.1 Monitoreo, mediciones,
análisis y evaluación
9.2 Auditoria interna
9.3 Revisión de Gerencia
Le agregamos
estos procesos
de gestión al
FGI ….
Soporte
rendimiento
DO 7.1 Recursos
7.2 Competencia
Operación 7.3 Toma de Conciencia
7,4 Comunicación
7.5 Información
8.1 Planificación y Control Operacional
Documentada
8.2 BIA y Evaluación de Riesgos
8.3 Selección de Opciones de CN
8.4 Desarrollo e implementación
de respuestas CN 3030
30
8.5 Ejercicio y Pruebas
 Fase 3. Implementación a tercer nivel

Aplicación del Modelo de Gestión al Manejo de

Proceso Operaciones
Manejo de
Operaciones
(Ej; Proceso Cobit DSS01 - Manejo de Operaciones)

Contexto Externo

Contexto Interno

Gestión de Manejo de Operaciones DSS01

FGI aplicado Prácticas

al Proceso de de Gestión
Principios Manejo de Cobit5 para
Operaciones el Procesos
DSS01 de DSS01
COBIT5 (Procesos
de Gestión)

3131
31
 Integración de la Gestión del Manejo de
Fase 3. Implementación
a tercer nivel
Operaciones (Proceso DSS01) PLAN
Framework
Gestión
Integral 5.1 Liderazgo y
FGI Compromiso
ACT 5.2 Política de Gestión
del Proceso
Liderazgo
Practicas de 5.3 Roles,
Framework Mejora Responsabilidades y
Gestión Contexto de la Org.
Gestión 4.1 Entender la Org y su autoridades
Cobit DSS01 DSS01 10.1 No conformidades
contexto
y Acciones
4.2 Entender las
Correctivas Planificació 6.1 Acciones para
Necesidades y
10.2 Mejora Continua. n direccionar Riesgos y
Expectativas de las
Oportunidades
partes interesadas.
6.2 Objetivos y
4.3 Determinar el
planificación para
Alcance del SG
CHECK lograrlos
4.4 Sistema de Gestión

Evaluación de
9.1 Monitoreo, mediciones, rendimiento Soporte
análisis y evaluación
DO 7.1 Recursos
9.2 Auditoria interna 7.2 Competencia
9.3 Revisión de Gerencia 7.3 Toma de Conciencia
Operación
7,4 Comunicación
7.5 Información
Documentada

8.1 Planificación y Control Operacional

Modelo de Procesos Cobit 5 8.2 Gestión de Riesgos Ámbito
Prácticas de 8.3 Procedimientos Operacionales Operacional
Gestión de 8.4 Monitorear la Infraestructura
Cobit:
8.5 Manejo de factores (Procesos TIC)
ambientales
8.6 Manejo de Instalaciones

Buenas Prácticas
de Gestión Cobit 5
3232
32
 Fase 3. Implementación a tercer nivel

Gestión en el Ámbito Operacional del

Proceso DSS01 - Manejo de Operaciones
Marco Regulatorio
Personas Actividades de Control
• RACIDSS01.1 • Procedimientos
Personas Controles • ITOs
• RACI DOCDSS01.x
• Controles Específicos
Cumplimiento Entradas
Regulatorio Externo • Manuales de operación Inputs
• Reglamento de Proveedores
Operativo de la (APO10) Outputs
Cámara • SLA con proveedores
Salidas y Resultados
(APO09)
• Definición de servicios
del (BAI03)

Recursos Actividades
Soporte TI
• Aplicativos (AIPAC y Registros Internos
SWIFT) Mediciones
• Redes
Regulación Interna • Oficinas
para DSS01 • SW de Apoyo (Nagios,
• Normas ISO 27001 XPolog y IMC)
• Políticas General SI Actividades/Sub procesos
• COBIT 5 • Procedimientos
Proveedores
• Críticos Operacionales
• Monitorear la Métrica
*Sonda • Up time solución AIPAC
*GTD infraestructura TI
*TAS • Up time solución SWIFT
*eMoney • Monitorear la
*Entel
• No críticos infraestructura TI
• Manejo de Instalaciones
*Trane *Bash
*Calvo 3333
33
8 Razones para NO implementar una Gestión
Integral basada en mejores prácticas
• Es mucho trabajo adicional a lo que ya hacemos…

• No tenemos tiempo y recursos para actividades extras…

• ¿Si hago controles, a que hora trabajo?...

• Hay que poner de acuerdo a muchas personas y áreas, lo que requiere

tiempo y voluntad, que no tenemos...

• Los sistemas de soporte son muy caros…

• Esto no tendría un beneficio monetario claro medible en el corto plazo…

• Las gestiones hoy son diferentes…

• La gestión es solo para la Gerencia… a mi me basta con operar controles.

3434
34
 Algunos beneficios observados en el caso real
ComBanc de hacer gestión bajo mejores prácticas
• Entrega de servicios en forma segura y sin interrupciones.

• Se minimizó la probabilidad de ocurrencia e impacto de errores o fallas.

• Se logró una cultura y lenguaje comunes en todas las áreas.

• Se observan procesos exitosos y auditorias limpias.

• Escalabilidad y modularidad: es fácil agregar nuevos sistemas de gestión y

procesos al modelo de gestión.

• Facilidad para incorporar mejores prácticas a un mínimo costo.

• Facilitó capacitación y creación de “back-ups” para las distintas funciones.

• Mejora la reputación e imagen de la empresa y la confianza con las partes

interesadas.

3535
35
 ¿Preguntas?

y gracias por compartir!!!

3636
36