Auditando el BIA
Transcripción
Auditando el BIA
Auditando el BIA – experiencias ‐ Jorge Serrano R. Auditor General Combanc S.A CISA, CGEIT, CRISC 10 de Diciembre de 2013 Temas • Características a considerar en la auditoria del BIA • Rol de la Auditoria en el BIA • Temas de la auditoria del BIA • Las tres líneas de defensa • Fuentes de información • Nuestro BIA: mejora continua junto al BCMS • Palabras de cierre BIA: Algunas características a considerar … BIA (AIN) tiene un jerga propia: BCM (GCN), DRP, BCMS, MTPoD (MTPI), GPG, BCP (PCN), RTO (TOR), PEST, SWOT (FODA), PDCA, RM (GR), BCI, etc. BIA es una herramienta de gestión poderosa para entender una organización, un sistema mayor (por ej. de pagos), o una sociedad Rol de la Auditoria en el BIA “La auditoria no es una función responsable por la toma de decisiones, pero sí le pedimos que evalúe oportunamente las decisiones operacionales en relación con el logro de los objetivos de la organización.” “ En proyectos BIA los Auditores Internos especialistas pueden participar en la validar las salidas de cada fase”. “ Un proyecto BIA, al igual que un BCMS, abarca el trabajo conjunto del staff operacional, servicios de emergencia, socios de negocio, sindicatos, proveedores, clientes y también auditores internos y certificadores” (John Silltow ‐ BSI) El BIA es la columna vertebral para sostener un buen BCMS, por lo cual la Auditoria debe dar prioridad a su evaluación, desde sus etapas tempranas de construcción y luego, ser un observador cercano y permanente de sus actualizaciones y de los resultados de los procesos de Revisión de Gerencia sobre la materia. Temas claves de una auditoria al BIA • ¿se han considerado todas las actividades claves del negocio? • ¿Se consideraron las fuentes de información adecuadas? • ¿fueron bien identificados todos los impactos? • ¿Están bien asignados los RTO? ¿los MTPD? • ¿Están bien definidas las secuencias de las actividades críticas y las velocidades de recuperación esperadas? • ¿Se reflejan adecuadamente los resultados del BIA en el BCP? ¿se actualizaron los planes de CN frente a cambios en el BIA? • Los responsables de los procesos ¿Ratificaron las decisiones de RTO y MTPD? • ¿Se revisó y aprobó en la Revisión de Gerencia la última versión del BIA? • ¿se han elegido los mitigantes correctos de los impactos detectados? • ¿cómo se aprueba el costo/beneficio de las medidas mitigantes que pueden ser implementadas? • ¿es posible contar con los recursos requeridos por el BIA? Temas a considerar por una auditoria al BIA • Subestimación o sobrevaloración de los impactos de un incidente. • Podríamos subestimar el tiempo límite en el cual nos puede esperar un cliente, o, • Podríamos sobreestimar la velocidad de recuperación de un servicio. • Un BIA también podría se usado solo como una herramienta de apoyo a decisiones financieras, para justificar costos de una solución de recuperación técnica de alto valor. • Como auditor, trate de demostrar que existe un buen apoyo de la Alta Administración para el desarrollo de un BIA. Si no es así, entonces los esfuerzos deben comenzar por este tema. Las tres líneas de defensa de un BCMS (y de un BIA) Primera línea Gerentes Operacionales y Staff Segunda línea • Comité de Riesgos • Revisión de Gerencia • Inspector de Cumplimiento. Tercera línea • • Auditoria Interna, Comité de Auditoria. Podemos considerar una cuarta línea de defensa compuesta por las auditorías externas, auditorías periódicas de certificación, consultores expertos en el tema… Algunos temas claves a considerar por una auditoria al BIA • Los documentos del BIA son parte del BCMS. Sus registros deben ser formales, controlados, versionados y sirven de base para la toma de decisiones. Deben: • Reflejar una visión real de los impactos • Recoger las necesidades de las unidades y partes interesadas claves • Evitar evaluaciones subjetivas. Sin embargo, debemos mantener la privacidad de la información del BIA: la información detallada sirve para atacar a la organización. La información detallada del BIA debe ser protegida y gestionada. BIA Combanc: Un proceso de mejora continua • 2006‐2007‐2008: Primeros BIAs en continuidad de negocios. Simples y con el apoyo de empresa consultora. No existían buenas fuentes de información para desarrollar un buen BIA. • Nov/2006: Emisión del documento conjunto del Grupo de Contingencias Operativas SPAV liderados por Banco Central, con los Protocolos de Comunicación y Coordinación. Primeros mapas de contingencia operativa sistémica con impactos y tiempos de respuesta objetivos de las organizaciones del SPAV. • Jun/2008: Primer pre assessment de BIA bajo norma BS25999 con el BSI. Se nos solicita una mayor formalidad de los registros y salidas del BIA. • 2009‐2010‐2011: Auditorias anuales de certificación del BSI que incluyeron una revisión exhaustiva del BIA. • Nov/2012: Auditoria BSI identifica gaps para cubrir el BIA bajo la nueva norma ISO 22301:2012. • Mar/2013: BIA de Combanc sigue metodología de Ian Charters (BSI). • Nov/2013: BSI recomienda certificación ISO 22301 que incluye nueva versión de BIA. Apoyos para auditar el BIA Apoyos para auditar el BIA ¡Gracias por compartir! 10 de Diciembre de 2013