Auditando el BIA

Auditando el BIA – experiencias ‐
Jorge Serrano R.
Auditor General Combanc S.A
CISA, CGEIT, CRISC
10 de Diciembre de 2013
Temas
• Características a considerar en la auditoria del BIA
• Rol de la Auditoria en el BIA
• Temas de la auditoria del BIA
• Las tres líneas de defensa
• Fuentes de información
• Nuestro BIA: mejora continua junto al BCMS
• Palabras de cierre
BIA: Algunas características a considerar …
BIA (AIN) tiene un jerga propia: BCM (GCN),
DRP, BCMS, MTPoD (MTPI), GPG, BCP (PCN),
RTO (TOR), PEST, SWOT (FODA), PDCA, RM
(GR), BCI, etc.
BIA es una herramienta de gestión poderosa
para entender una organización, un sistema
mayor (por ej. de pagos), o una sociedad
Rol de la Auditoria en el BIA
“La auditoria no es una función responsable por la
toma de decisiones, pero sí le pedimos que evalúe
oportunamente las decisiones operacionales en
relación con el logro de los objetivos de la
organización.”
“ En proyectos BIA los Auditores Internos especialistas
pueden participar en la validar las salidas de cada
fase”.
“ Un proyecto BIA, al igual que un BCMS, abarca el
trabajo conjunto del staff operacional, servicios de
emergencia, socios de negocio, sindicatos,
proveedores, clientes y también auditores internos
y certificadores”
(John Silltow ‐ BSI)
El BIA es la columna vertebral para sostener un buen
BCMS, por lo cual la Auditoria debe dar prioridad a su
evaluación, desde sus etapas tempranas de construcción
y luego, ser un observador cercano y permanente de sus
actualizaciones y de los resultados de los procesos de
Revisión de Gerencia sobre la materia.
Temas claves de una auditoria al BIA • ¿se han considerado todas las actividades claves del negocio?
• ¿Se consideraron las fuentes de información adecuadas?
• ¿fueron bien identificados todos los impactos?
• ¿Están bien asignados los RTO? ¿los MTPD?
• ¿Están bien definidas las secuencias de las actividades críticas y las
velocidades de recuperación esperadas?
• ¿Se reflejan adecuadamente los resultados del BIA en el BCP? ¿se actualizaron
los planes de CN frente a cambios en el BIA?
• Los responsables de los procesos ¿Ratificaron las decisiones de RTO y MTPD?
• ¿Se revisó y aprobó en la Revisión de Gerencia la última versión del BIA?
• ¿se han elegido los mitigantes correctos de los impactos detectados?
• ¿cómo se aprueba el costo/beneficio de las medidas mitigantes que pueden
ser implementadas?
• ¿es posible contar con los recursos requeridos por el BIA?
Temas a considerar por una auditoria al BIA • Subestimación o sobrevaloración de los impactos de un
incidente.
• Podríamos subestimar el tiempo límite en el cual nos puede
esperar un cliente, o,
• Podríamos sobreestimar la velocidad de recuperación de un
servicio.
• Un BIA también podría se usado solo como una
herramienta de apoyo a decisiones financieras, para
justificar costos de una solución de recuperación
técnica de alto valor.
• Como auditor, trate de demostrar que existe un buen
apoyo de la Alta Administración para el desarrollo de
un BIA. Si no es así, entonces los esfuerzos deben
comenzar por este tema.
Las tres líneas de defensa de un BCMS (y de un BIA)
Primera línea
Gerentes Operacionales y Staff
Segunda línea
• Comité de Riesgos
• Revisión de Gerencia
• Inspector de Cumplimiento.
Tercera línea
•
•
Auditoria Interna,
Comité de Auditoria.
Podemos considerar una cuarta línea de
defensa compuesta por las auditorías externas,
auditorías periódicas
de
certificación,
consultores expertos en el tema…
Algunos temas claves a considerar por una auditoria al BIA • Los documentos del BIA son parte del BCMS. Sus
registros deben ser formales, controlados, versionados
y sirven de base para la toma de decisiones.
Deben:
• Reflejar una visión real de los impactos
• Recoger las necesidades de las unidades y partes
interesadas claves
• Evitar evaluaciones subjetivas.
Sin embargo, debemos mantener la privacidad de la
información del BIA: la información detallada sirve para
atacar a la organización. La información detallada del
BIA debe ser protegida y gestionada.
BIA Combanc: Un proceso de mejora continua
• 2006‐2007‐2008: Primeros BIAs en continuidad de negocios. Simples y con el
apoyo de empresa consultora. No existían buenas fuentes de información para
desarrollar un buen BIA.
• Nov/2006: Emisión del documento conjunto del Grupo de Contingencias
Operativas SPAV liderados por Banco Central, con los Protocolos de
Comunicación y Coordinación. Primeros mapas de contingencia operativa
sistémica con impactos y tiempos de respuesta objetivos de las organizaciones
del SPAV.
• Jun/2008: Primer pre assessment de BIA bajo norma BS25999 con el BSI. Se
nos solicita una mayor formalidad de los registros y salidas del BIA.
• 2009‐2010‐2011: Auditorias anuales de certificación del BSI que incluyeron
una revisión exhaustiva del BIA.
• Nov/2012: Auditoria BSI identifica gaps para cubrir el BIA bajo la nueva norma
ISO 22301:2012.
• Mar/2013: BIA de Combanc sigue metodología de Ian Charters (BSI).
• Nov/2013: BSI recomienda certificación ISO 22301 que incluye nueva versión
de BIA.
Apoyos para auditar el BIA
Apoyos para auditar el BIA ¡Gracias por compartir!
10 de Diciembre de 2013