Vistas de página en total

lunes, 25 de marzo de 2024

Estos son los pensamientos y reflexiones que nos ayudan a superar la adversidad y el fracaso

El fracaso es una percepción subjetiva que se puede definir como un malogro o resultado adverso de la expectativa que uno tenía. Podemos decir que es lo contrario al éxito.

“El éxito no es definitivo, el fracaso no es fatal: es el coraje de continuar lo que cuenta” 

Winston Churchill

En la vida, todos enfrentamos momentos de adversidad y dificultad. Puede ser una enfermedad, la pérdida de un ser querido, un fracaso profesional, empresarial o personal, o cualquier otro desafío que se nos presente en el camino. En esos momentos, puede ser difícil encontrar la fuerza y la motivación para seguir adelante. Por eso, hoy quiero compartir algunos pensamientos que te ayudarán a reflexionar para superar la adversidad y encontrar la fuerza para seguir adelante.

Las adversidades son innumerables; algunas ocurren como resultado de nuestras propias acciones, mientras que otras ocurren como resultado de las acciones de las personas que nos rodean. Incluso hay otras que resultan por el hecho de que somos seres mortales o por razones imprevistas y que aún son incomprensibles.

Una persona con carácter nunca se sienta a llorar lo que ha perdido; mejor busca serenamente cómo reponerlo.

Las dificultades prueban lo que cada persona es y cuál es su carácter

El mostrarse feliz cuando todo va a pedir de bien, lo hace cualquier ser humano; pero sólo la persona que realmente tiene carácter sabe sonreír y enfrentar la adversidad y el fracaso.

Cuando nos sentamos en el cómodo lugar del éxito, nos quedamos en el acto dormidos; pero cuando somos empujados, derrotados y atormentados, tenemos oportunidad de aprender algo; se despierta nuestra dignidad; reconocemos nuestra ignorancia; aprendemos la moderación y ganamos habilidad.

El deber de todo ser humano es luchar contra las dificultades creadas por su propia actividad o por las circunstancias, hasta vencerlas.

Los fracasos son esfuerzos que dejamos temporalmente abandonados y que con frecuencia se convierten en cimientos del éxito. Muchos de nuestros fracasos nos producen una saludable reacción, y suelen llevarnos a alturas que jamás habíamos soñado, debemos aceparlos y estar dispuestos a aprender de ellos y superarlos.

El éxito no es sino la capacidad para el esfuerzo continuado, constante hasta lograr el objetivo. Innumerables personas se han dado por vencidos precisamente cuando un pequeño esfuerzo más, un poco de paciencia, les habría dado la victoria.

No hay fracaso posible sino en no hacer un nuevo esfuerzo.

Cuando nuestro corazón empiece a sentirse mal, nos falte el apetito y la tristeza asome a nuestra alma; cuando alguien trastorne nuestros planes más queridos y el engaño venga a burlar nuestros pacientes esfuerzos, en vez de descorazonarnos, pensemos que hay mil razones para cobrar ánimo y probar de nuevo hasta volver a tener la felicidad, que esta no dependa de otras personas o cosas.

No hay buena ni mala suerte; somos nosotros mismos los autores de nuestro bien y de nuestro mal.

El sol es el mismo para todos; pero no todos ven el sol con los mismos ojos.

Si estamos constituidos debidamente, haremos frente a las dificultades y pruebas de la vida sin acobardarnos y sin murmurar.

El fracaso es sólo un episodio del éxito. La adversidad es frecuentemente una bendición disfrazada. Las grandes personas de éxito no pueden formarse sin las dificultades, lo mismo que los ladrillos no pueden hacerse sin el fuego. Las dificultades son indispensables para desarrollar el carácter. El horno de la adversidad purifica a la persona, separando de él el metal de buena ley de la escoria que lo empobrece.

En lugar de sentarnos a llorar y pensar “si hubiéramos hecho esto o aquello”, aceptemos lo que venga, de buen grado, y aceptemos mejorar nuestras circunstancias. Recordemos a cuántos han perdido una prosperidad no interrumpida.

Una vida llena de luz y sin nada de sombras; llena de felicidad, sin tristezas; llena de placer, sin sufrimientos, no merecería ser vivida.

Tengamos paciencia; este es el mejor remedio contra todos los males de la vida.

La persona vale no es sino la capacidad para pasar trabajos; mientras mayor la capacidad y más estricta y persistente su aplicación, mayor él su valor y más va a lograr en la vida.

“La vida es un cambio sucesivo del fracaso al éxito y viceversa”.

Los fracasos son meros episodios, incidentes de la lucha, no el todo del drama de la vida. Ningún hombre tiene el monopolio del fracaso, otros han existido que fracasaron más fuerte y contundente que nosotros y sin embargo ahora se hallan llenos de gloria.

Alentemos un alto ideal, y para realizarlo no pensemos siquiera en lo difícil de la tarea. Cierto que muchísimo más fácil es remar corriente abajo que contra la corriente y, además, al final del viaje de bajada se ha llegado mucho más lejos. Pero esta consideración no puede de modo alguno inducir a ninguna persona de voluntad firme ha de ir a lugar contrario al que se ha propuesto llegar, aquí está la firmeza del carácter.

Sólo el hombre sin valor se rinde a las dificultades ordinarias; el hombre normal ve en las dificultades una oportunidad para mostrar su carácter y de qué clase de materiales está hecho.

Para tener amigos es necesario aprender a pasarla bien sin ellos; es decir, bastarnos a nosotros mismos, ser capaces de hacer algo por los demás con el excedente de nuestras energías, y cultivar el aislamiento mejor que la sociedad.

Finalmente dejo la muy común y conocida afirmación para tenerla presente “Los amigos se conocen en la adversidad”.



Publicado por en No hay comentarios:

lunes, 19 de junio de 2023

Convencer a la gerencia para hacer un BIA

Aquellos de nosotros que estamos en la primera línea de la protección de las organizaciones contra las interrupciones, comprendemos el valor del análisis de impacto del negocio  (BIA) cuando se trata del desarrollo y la priorización de estrategias. Sabemos que un BIA es esencial para la salud de cualquier programa sólido de BCM.

Sin embargo, quienes toman las decisiones financieras y las partes interesadas del proyecto a menudo no comparten este entendimiento. Como resultado, a menudo se resisten a dar su aprobación para realizar un BIA.

Cuando esto sucede, el equipo de gestión de la continuidad del negocio (BCM) tiene dos opciones. El equipo puede aceptar la eliminación de la BIA o trabajar activamente para ayudar a la gerencia a comprender por qué la BIA es tan importante.

La mejor manera de convencer a la gerencia de la necesidad de un BIA es mostrarles los beneficios por adelantado.

En este artículo, veamos algunos de los principales beneficios de un BIA con miras a ayudar a los tomadores de decisiones de su organización a comprender por qué realizar un BIA sería beneficioso para toda la empresa.

Objeciones comunes a la realización de un BIA

Por lo general, cuando la gerencia se resiste a proporcionar recursos para el BIA, expresa su resistencia de formas como estas:

            "Acabamos de hacer uno recientemente". Muchas veces cuando dicen esto, recientemente fue hace varios años.

  “Nuestro negocio no ha cambiado lo suficiente como para justificar un BIA actualizado”.

  “¿No podemos simplemente pedirles la información a los líderes de cada departamento?”

  “Esto no es crítico para el negocio. Sabemos cuáles son las prioridades”.

  “¿Quieres dos o tres horas del tiempo de cuántas personas? ¿De todos los departamentos?

Estos son los tipos de objeciones y preguntas a las que debe estar preparado para responder cuando intente obtener apoyo para realizar un BIA.

Haciendo el caso para el BIA

Comience a hablar sobre la necesidad de un BIA mucho antes de que su propuesta esté en proceso. A menudo, la gerencia no ve los conceptos de BCM como necesidades estratégicas, sino como "regulatorias" o de "auditoría". En cada oportunidad, explique a la gerencia las razones de los BIA. Como ocurre con la mayoría de las necesidades o proyectos nuevos, es necesario contar con un proceso educativo antes de que se produzca la aprobación.

Beneficios del BIA

El corazón de su caso para la gerencia debe ser una explicación de los beneficios que traerá el BIA a la organización. Para ayudar a proporcionar esta explicación, aquí hay una lista de los principales beneficios de hacer un BIA. La lista se divide en tres categorías: funcionalidad mejorada, costos reducidos y mayor cumplimiento.

Funcionalidad mejorada

Hacer un BIA puede conducir a una funcionalidad mejorada en la empresa en muchas áreas. Específicamente, el BIA puede hacer lo siguiente:

  Identificar y documentar interdependencias entre procesos.

  Identificar y actualizar las aplicaciones y sistemas utilizados, así como su importancia. También puede conducir a una mejor comprensión por parte de TI de la importancia funcional de las diversas aplicaciones.

  Identifique las funciones de TI en la sombra de las que el negocio depende de manera crítica. Existe la suposición común de que la copia de seguridad y la recuperación no son necesarias para estas aplicaciones SaaS/basadas en la nube porque el proveedor las “manejará”. A menudo se encuentra que esta suposición es falsa.

 Conducir a una mejor comprensión de la naturaleza y la complejidad de los procesos de TI y recuperación.

 Ayudarlo a identificar y comprender nuevos procesos o cambios en los procesos existentes.

 Conducir a mejoras en la interfaz entre departamentos y grupos.

 Conducir a una mayor comprensión por parte de los departamentos de su papel dentro de la organización.

  Conducir a una mejor comprensión del impacto real de una pérdida de uno o más procesos.

  Promover la eliminación de brechas en la recuperación de TI y los requisitos de disponibilidad y recuperación del negocio.

Costos reducidos

Hacer un BIA comúnmente conduce a reducciones en los costos en toda la empresa. Específicamente, el BIA puede lograr lo siguiente:

 Ayude a eliminar o evitar multas relacionadas con los requisitos reglamentarios.

 Llevar a la eliminación de redundancias potenciales y servicios o software innecesarios.

 Conducir a reducciones en los costos relacionados con seguros, mantenimiento y licencias.

 Llevar a la reducción o eliminación de costos debido a una comprensión más precisa de las necesidades de la empresa.

Mayor cumplimiento

La realización de un BIA generalmente da como resultado un mayor cumplimiento de varios tipos de requisitos. Específicamente, la BIA:

 A menudo conduce a la identificación y posterior cierre de posibles problemas o lagunas en el cumplimiento normativo.

Ayudar a la gerencia a ver

La mejor manera de convencer a la gerencia de que es necesario un BIA es mostrarles cómo su realización beneficiará a la empresa.

Su equipo de gestión se dedica a analizar las necesidades y los riesgos generales de su organización.

Asegúrese de que comprendan claramente los riesgos, costos y beneficios de realizar un BIA.

Existe una buena posibilidad de que una vez que comprendan claramente lo que el BIA puede contribuir a la organización en términos de mejora de la funcionalidad, reducción de costos y aumento del cumplimiento, aprobarán su solicitud para realizar uno.

comida para llevar

 Los tomadores de decisiones financieras a menudo no comprenden el valor de los BIA y se resisten a dar su aprobación para realizarlos.

 Es posible que el equipo de BCM deba participar en un proceso a largo plazo para educar a la gerencia sobre el valor de la BIA.

 El corazón del caso del equipo de BCM para la gerencia debe ser las formas en que BIA beneficiará a la organización.

 Los beneficios del BIA se dividen en tres categorías: mejorar la funcionalidad, reducir costos y aumentar el cumplimiento.

 Cuando la gerencia tiene una comprensión clara del valor del BIA, es más probable que acepte realizar uno.


Publicado por en No hay comentarios:

jueves, 22 de octubre de 2015

Los Súper héroes NO existe; Los líderes SÍ

Los grandes Líderes

Dejan su huella en una organización, ellos son los que hacen la diferencia, marcan la filosofía y el estilo de trabajo e impactan la vida de sus colegas. Algunos líderes tienen dones desde el nacimiento, también lo es que una persona puede comenzar a desarrollar sus propias habilidades. Existen técnicas y consejos ya comprobados que promueven la dinámica, inspiración y motivación en una combinación que lo pueden convertir en un gran líder.

“El líder más grande”, decía John C. Maxwell, es aquel que está dispuesto a entrenar a otros y a desarrollarlos hasta el punto en que, con el tiempo, lleguen a superarlo en conocimientos y capacidad. Bajo esta óptica, hoy te compartimos algunas tácticas de empresarios y líderes, útiles para el logro de cualquier objetivo.

A lo largo de mi vida profesional he leído una gran cantidad de libros de John C. Maxwell, Ken Blanchard, Jim Rohn y otros artículos sobre liderazgo. Además, me ha tocado convivir y aprender de líderes que aún cuando no son famosos, han hecho de sus vidas exitosas y de sus empresas generadoras de resultados extraordinarios. Estas son algunas de las tácticas de liderazgo que he detectado y que ellos han utilizado para lograr sus objetivos. 

En la vida cotidiana se observan empresas exitosas. Algunos se preguntan: ¿Cómo lo hicieron? La respuesta es sencilla, pero para lograrlo se necesita tiempo, una visión compartida, grandes líderes que capaciten a nuevos líderes, metas claras, planes bien desarrollados, y personal idóneo para los puestos idóneos. 

Cuando dentro de una organización nos encontramos con un gran líder que comparte su visión, sus conocimientos y capacita a sus colaboradores para que lo superen, él crecerá y por consecuencia la organización también e incrementará sus utilidades y beneficiará todos para llegar al éxito y al cumplimiento de sus metas. La mayoría de la gente tiene la creencia de que una persona puede hacer cosas extraordinarias, llevar empresas al éxito por si solas. En realidad esto no existe. No existen ni súper hombres ni súper mujeres. Siempre, detrás de cada trabajo, de cada éxito, de cada triunfo, siempre habrá un equipo de trabajo que esté detrás de estos grandes logros. 

Un proverbio chino dice: “Detrás de todo hombre capaz hay siempre hombres capaces”. 

Por fortuna, cada día nos encontramos con un mayor número de líderes que tienen como prioridad capacitar, desarrollar y crear grandes líderes y equipos de trabajo para que sus empresas o negocios crezcan y tengan éxito. Son los que están convencidos que solos prácticamente es imposible lograr grandes resultados. Beneficios de los equipos de trabajo 

· Los equipos son mejor que uno, ya que se multiplican las habilidades, capacidades y por lo tanto las posibilidades de lograr mejores resultados. 

· Los equipos que realmente trabajan en equipo comparten las derrotas y las victorias y su líder asume al 100 la responsabilidad de los tropiezos. 

· Los líderes comparten su visión y proponen, los miembros de los equipos realizan el trabajo. 

· Los equipos minimizan las debilidades y optimizan el potencial de un líder. 

· Los equipos se capacitan entre sí para mejorar los resultados. 

A colación me viene a la mente el legendario entrenador Vince Lombardi y una frase suya: “Los logros de una organización son el resultado del esfuerzo combinado de cada individuo”. Es decir, la suma de fortalezas que multiplican un resultado. 

Los grandes líderes que son exitosos y que representan lo mejor, saben de la importancia de reclutar gente más capaz que ellos, mejorara el desarrollo de la empresa y de ellos mismos. 

Los líderes efectivos saben qué camino tomar, qué ventajas y desventajas tienen, con qué herramientas cuentan, qué necesitan, qué desean y, sobre todo, quieren compartir sus conocimientos para que otros los aprovechen. Es decir, ellos son los directores de la orquesta y principalmente conocen las fortalezas y debilidades de los miembros de su conjunto. Saben combinarlos para que la música sea oiga perfecta. 

La mayoría de líderes tienen abundantes seguidores, pero curiosamente muy pocos líderes se rodean de líderes. No es necesario ser muy sabio para entender que las personas más cercanas al líder son las que determinaran su nivel y su éxito como líder y como persona. 

En las empresas en donde los líderes le dan suma importancia a compartir sus habilidades y sus capacidades, se tiene como resultado que en determinado tiempo su personal sea igual o con mayores capacidades y habilidades que el propio líder, la empresa siempre tendrá un sucesor que garantiza su camino al éxito. 

Los grandes líderes saben cómo identificar y contratar a otros líderes. Pero no solo eso, los convierten en mejores líderes. Lo más importante es que reconocen su capacidad y la aprovechan dándoles su propio liderazgo en beneficio propio y del equipo, provocando con esto que las empresas aumenten en nivel de calidad y productividad. 

Un buen líder sabe lo que cada uno de los miembros de su equipo debe hacer, lo que necesita, lo que puede mejorar. El líder auténtico sabe que la pistola está cargada y conoce cuándo debe disparar. 

Para los buenos líderes, cuando su personal comete errores o no cumple correctamente con las tareas, es tarea cotidiana el revisar el trabajo, dialogar con ellos, dice lo que está mal y cómo pueden mejorar. El líder se hace principal responsable y considera propios los errores del equipo. Esto fortalece de manera indudable su liderazgo. 

¿Qué hace un buen líder para capacitar a su equipo? 

1. Comparte sus habilidades y capacidades para que los que están a su cargo crezcan y aprendan de un líder. 

2. Confía en lo que pueden hacer cada uno de los miembros de su equipo. 

3. Elogia los triunfos, con esto estimula y motiva al equipo. 

4. Acepta ante todos la responsabilidad personal que tiene como líder. 

5. Se lleva bien con todos, es la mejor manera de avanzar. 

6. Sabe lo que su equipo necesita. 

7. Saben reconocer sus errores. 

8. Comparte su visión y valores. 

9. Dedica tiempo a los miembros de su equipo y los orienta. 

10. Les da responsabilidad necesaria para que trabajen adecuadamente de acuerdo con sus fortalezas y nivel de capacidad. 

11. Comenta lo que deben escuchar, no lo que desean escuchar. 

12. Les ayuda a crecer hasta llegar al máximo en su potencial. 

En conclusión, cada día, las empresas que desean y tienen éxito, están capacitando a sus líderes. Estos a su vez capacitan a otros líderes con el fin de que la empresa crezca, tenga mejor nivel, mejor servicio y mejor personal. 

Una de las cosas importantes que tiene un líder es la gran visión que tiene para acomodar sus piezas en el lugar correcto, porque la persona idónea en el lugar idóneo es igual a satisfacción, éxito y progreso. Contrario a esto, la persona equivocada en el lugar equivocado es igual a retroceder. 

Es importante mencionar que el desempeño de los grandes líderes beneficia de manera directa a las empresas, ya que estos aportan conocimientos, habilidades, valores, capacidades y sobre todo ganas de llegar al éxito. Uno es una cifra muy pequeña para alcanzar la grandeza, los grandes logros se consiguen trabajando y esforzándose colectivamente. Trabajar en equipo deja grandes provechos y tiene grandes ventajas, y aunque se invierte mucho tiempo, dinero y esfuerzo, al final se dan los resultados. Por eso hay tanta empresa capacitando día con día a sus líderes, y creando equipos para el éxito.



Publicado por en No hay comentarios:

martes, 14 de julio de 2015

Elementos clave de un perfil de riesgo de la Información

Riesgos de la información se ha convertido en un tema principal de la mente de muchos líderes de negocios y (IRMS) los profesionales de seguridad de gestión de riesgos de la información. En gran parte impulsado por una mala comprensión de las actividades y los motivos de cada uno, estos dos grupos históricamente han tenido desafíos que interactúan entre sí. Es decir, los líderes empresariales reconocen y aceptan la necesidad de tomar riesgos ya menudo incentivar a sus electores para llevarlo así a fin de lograr los objetivos de negocio; por el contrario, los profesionales IRMS están acusados ​​de minimizar los riesgos y garantizar la infraestructura de información de su organización y los activos de datos asociados están debidamente protegidos. La mejor manera para que estas partes para reducir la fricción y satisfacer sus necesidades individuales es desarrollar mutuamente y mantener un perfil de riesgos de la información de que ambos pueden usar para guiar a sus respectivas actividades.

Un perfil de riesgos de la información documenta el tipo, cantidad y prioridad de riesgos de la información que una organización considera aceptable e inaceptable. Este perfil se desarrolla en colaboración con numerosas partes interesadas en toda la organización, incluyendo los líderes empresariales, los datos y los dueños de procesos, gestión del riesgo empresarial, auditoría interna y externa, legal, cumplimiento, privacidad y IRMS.

Establecimiento sobre la debida diligencia

En la comunidad jurídica el debido cuidado puede definirse como el esfuerzo realizado por un partido normalmente prudente o razonable para evitar un daño a otro, tomando en cuenta las circunstancias. 1 Cuando se aplica a IRMS, el debido cuidado se considera a menudo una consideración y estándares tales como el cumplimiento técnico la Payment Card Industry Normas de Seguridad de Datos (PCI DSS) o Instituto Nacional de Estándares y Tecnología (NIST) directrices se hace referencia a menudo. Si bien estas normas pueden ser eficaces en la prestación de una orientación amplia, una organización debe desarrollar su propio punto de vista de la diligencia debida y de su propia capacidad para implementar y mantener las habilidades para apoyar este punto de vista. Un perfil de riesgos de la información puede ser una herramienta muy valiosa para ayudar a los líderes y tomadores de decisiones en el establecimiento de esta orientación y comunicación eficaz de la información y el riesgo de datos apetito y expectativas.

Permitir que los responsables públicos para tomar decisiones

Por lo general, existe fricción entre los tomadores de decisiones y profesionales IRMS debido a sus percepciones erróneas de unos a otros. Los líderes empresariales y tomadores de decisiones a menudo ven requisitos IRMS y profesionales como obstáculos en su camino hacia el éxito. Al mismo tiempo, los profesionales IRMS a menudo ven los empresarios y tomadores de decisiones como individuos que no están informados lo suficiente como para comprender el valor de sus actividades y los requisitos asociados. El detalle y documentación de la información apetito y expectativas de riesgo de la organización eliminar las suposiciones subjetivas menudo omnipresentes que los profesionales IRMS usan para guiar sus acciones y actividades.

IRMS profesionales que aprovechan eficazmente el perfil de riesgos de la información tienen ahora una herramienta fundamental sólida. Pueden hacer referencia al perfil de riesgos de la información que fue desarrollado y aprobado por los líderes de negocio de la organización y los tomadores de decisiones. Si IRMS profesionales son eficaces en demostrar su orientación y las acciones se alinean con el perfil, los líderes empresariales y tomadores de decisiones se ven obligados a pensar seriamente en ellas y, o bien ajustar el perfil de riesgo de la información de la organización para dar cabida a las peticiones o modificar sus requisitos para estar en la alineación. Esto crea una oportunidad para IRMS profesionales a participar en las actividades de consulta y colaboración.Juntos, pueden desarrollar un plan que ofrece un resultado positivo y cumple con los requisitos, mientras que todavía la alineación con las expectativas de gestión de riesgos de la información de la organización.

Relación con ERM Actividades

Gestión del riesgo empresarial (ERM) es un concepto en evolución e importante dentro de muchas organizaciones e incluye la gestión de riesgos de la información como una de sus funciones. El uso de un perfil de riesgos de la información es a menudo una forma efectiva para que los profesionales de seguridad tradicionales se integren con este concepto. El perfil proporciona información y directrices importantes relacionadas con la identificación y gestión de riesgos de la información. La función de ERM puede entonces aprovechar esta información, ya que calcula el riesgo global de la empresa y desarrolla los objetivos de control y prácticas de gestión para controlar y gestionar de manera eficaz. La estructura del perfil proporciona un marco que organiza fácil y lógica de datos para la organización de apalancamiento según sea necesario.

Información Perfil de riesgo Estructural

Perfil de riesgo de la información de una organización debería estar estructurado y formateado de una manera que demuestra rápidamente su valor y la intención de la organización, es fácil de entender y aplicable a la organización como un todo, y es visto como útil y beneficioso para sus líderes y grupos de interés. Lo siguiente puede ser útil en el cumplimiento de estos objetivos.

Principios Estratégicos

El perfil de riesgo de la información de una organización debería incluir principios alineados con ambos sus directrices estratégicas y las actividades de apoyo de su programa y capacidades IRMS guía. Esta información debe aparecer temprano en el perfil para que el lector pueda comprender su contexto y la intención. Principios comunes incluyen los siguientes:

  • Asegurar la disponibilidad de los procesos de negocio clave, incluyendo datos y capacidades asociadas.
  • Proporcionar una identificación precisa y evaluación de amenazas, vulnerabilidades y el riesgo asociado para permitir que los líderes empresariales y los propietarios de los procesos para tomar decisiones de gestión de riesgos con conocimiento de causa.
  • Asegúrese de que los controles de mitigación de riesgos apropiadas son implementadas y funcionando correctamente y se alinean con las tolerancias establecidas riesgo de la organización.
  • Asegúrese de que la financiación y los recursos se asignen de manera eficiente para garantizar el más alto nivel de mitigación de riesgos de la información.

Información del perfil de riesgos Desarrollo

La transparencia es un aspecto clave para el éxito y la adopción de un perfil de riesgos de la información. Exactitud y la credibilidad del perfil de riesgo pueden ser puestas en duda si los métodos, prácticas, materiales básicos y de inteligencia-, así como las personas que participan en su desarrollo-no se proporcionan como parte del documento. Esta información se puede hacer referencia como parte de un apéndice al documento e incluir enlaces a los propios materiales.

Representación del estado de Empresas de Información de Riesgos

El perfil de riesgo de la información debe incluir un análisis del estado actual de los factores de riesgo identificado de información que tienen una probabilidad razonablemente alta de ocurrencia y que representaría un impacto material en las operaciones de negocio si se dio cuenta. Las descripciones de los riesgos deben ser breves y expresado en un lenguaje que es reconocido y entendido por tanto el personal con la empresa y orientados a la tecnología.

La representación del estado actual debe incluir también IRM opiniones, expectativas y necesidades de la organización. Esto debería incluir la identificación y análisis de las opiniones de los líderes y los accionistas de la empresa y sus puntos de vista sobre riesgos de la información y de la seguridad, una descripción de las condiciones de negocio actuales, resultados de análisis de amenazas y vulnerabilidades actuales y expectativas de las partes externas (es decir, clientes, socios, proveedores, reguladores). Esto también puede ayudar en el desarrollo de los objetivos y requisitos de futuro por el estado.

Objetivos de estado futuro y Requisitos

Los objetivos y requisitos futuro estatales identifican el estado ideal de la gestión de riesgos de información para la organización y la información general apetito por el riesgo y la tolerancia. Esto incluye iniciativas relacionadas IRMS clave que están en curso o que están pronto a iniciarse; sus líneas de tiempo asociadas para la terminación; y un breve resumen de los propietarios de la iniciativa, dependencias clave, y el nivel esperado de reducción de riesgos de la información en hitos puntos y al finalizar.

Una manera efectiva de evaluar y comunicar los objetivos y requisitos de futuro por el estado es utilizar un enfoque Capability Maturity Model (CMM). Una evaluación de las funciones y capacidades de los estados actuales y futuras que utilizan CMM puede ayudar a una organización clave identificar fácilmente las áreas de enfoque necesario y la inversión de las funciones, capacidades y servicios que se requieren. El uso de un formato gráfico radial ( figura 1 ) para representar estos datos es una forma efectiva de comunicar la información y es fácil de entender por un público más amplio.




Procesos clave de negocio y capacidades:

Las organizaciones a menudo tienen numerosos procesos de negocio y los recursos limitados y ancho de banda para protegerlos. Es importante identificar los procesos clave del negocio de la organización y capacidades dentro del perfil-los riesgos de la información que, de ser afectado negativamente, podría causar un impacto material en las operaciones de la empresa. A menudo se pueden separar en las funciones empresariales de apoyo (es decir, la nómina y los beneficios, de mensajería y comunicaciones, finanzas) y la producción (es decir, generación de ingresos, regulado contractualmente requerido).

Una fuente fácil, pero a menudo pasado por alto para obtener una lista de estos procesos y capacidades es la continuidad del negocio de una organización y / o planes de recuperación de desastres. Estos planes suelen incluir no sólo a los procesos clave del negocio, pero también se ubican su nivel de importancia para la organización. También proporcionan información valiosa sobre el tiempo de recuperación y los objetivos de punto de recuperación que a menudo se considera en los cálculos de riesgo.

Principales elementos de datos

De elementos de datos clave que se identifican y definen en el perfil de riesgo a menudo incluyen la propiedad intelectual, datos de transacciones, datos financieros, la información personal no pública, datos de clientes, información de recursos humanos y otros activos de datos sensibles. Definición de los elementos de datos clave garantiza que los usuarios que el perfil de riesgos de la información ofrece un diccionario de datos que ofrece una comprensión clara de los elementos de datos, así como su valor para la organización.

Identificación de quienes disponen de datos y las partes interesadas

Todos los datos e información dentro de una organización debe estar asociado a un propietario de los datos y una o más partes interesadas. Identificar y evaluar los atributos de propiedad es importante porque los propietarios e interesados son responsables de sus decisiones de gestión de riesgos de la información. Esta actividad también puede ayudar en la identificación de las dependencias que pueden afectar el apetito de riesgo de los activos de datos, especialmente en situaciones en las que se requieren para una o más funciones esenciales o procesos de negocio.

Identificación de Business Value

El valor de la información es a menudo mal entendido y se basa en las percepciones subjetivas de los propietarios de datos o evaluadores en lugar de un análisis significativo y cálculo. Un principio básico de la gestión de riesgos de la información es que el costo de proteger la información no debe exceder su valor. Para evaluar el valor de la información, a menudo es más fácil de identificar, comunicar y monitorear el valor de los procesos, en lugar de los activos de datos. Los procesos pueden ser asociadas a las actividades de la organización, tales como la generación de ingresos, el núcleo y las operaciones generales, y el logro de los objetivos estratégicos del negocio. El perfil de riesgos de la información no tiene que cuantificar el valor exacto de los activos de datos, pero no es necesario para establecer una representación general de valor para permitir la definición de los niveles adecuados de clasificación y control.

Clasificación de Datos Esquema

Para simplificar la gestión de la información, es importante clasificar los datos en fácil de entender contenedores (ver figura 2 ) asociados con los objetivos y requisitos que identifican los requerimientos de manejo de datos de control. Este esquema de clasificación debe ser tan simple como sea posible a fin de que sea útil para el perfil de riesgos de la información y las actividades generales de la organización.

El perfil de riesgos de la información debe incluir el esquema de clasificación de datos de la organización y un resumen de los requisitos de control y objetivos asociados. Se recomienda que los esquemas de clasificación de datos contienen entre tres y cinco niveles de definición que contienen objetivos y los requisitos cada vez más firmes y más integrales de control a medida que ascienden.


Nivel de Riesgo y Categorías

Riesgo niveles y categorías proporcionan un marco que se puede utilizar para organizar y comunicar riesgos de la información en un formato fácilmente reconocible. Los niveles de riesgo proporcionan una escala para representar el nivel de impacto en el negocio de material que resultaría si el riesgo fuera a hacerse realidad. Las categorías ayudan a definir el tipo de impacto que probablemente se materialice. Para ser útiles, los niveles y categorías deben ser simples y de fácil comprensión.

Los siguientes son ejemplos de niveles de riesgo información:
  • Alto cumplimiento material de severo del, / o consecuencias legales y financieras; impacto material significativo en los procesos críticos de negocio y / o las operaciones comerciales; pérdida de confianza y / o daños a la reputación de la marca del cliente
  • Medium cumplen cabalmente SIGNIFICATIVAS, consecuencias legales o financieras; impacto material sustancial en los procesos clave del negocio y / o las operaciones comerciales; la confianza del cliente debilitado y / o reputación de la marca
  • Low consecuencias -Negligible a no cumplen cabalmente, legales y / o financieros; impacto material mínimo en procesos y / o las operaciones clave del negocio; cambio significativo en la confianza del cliente y / o reputación de la marca
  • Los siguientes son ejemplos de las categorías de riesgo de información:
  • Confidencialidad -El divulgación de información confidencial a personas o sistemas no autorizados
  • Integridad -Impacto a la exactitud y consistencia de los datos y la información
  • Disponibilidad -Efecto en la capacidad de acceder a las capacidades y los datos y la información asociada.

Mediante el uso de este método de ajuste del nivel y la categorización, los procesos clave del negocio y luego se pueden presentar en forma de un mapa de calor (ver figura 3 ) para visualizar los niveles de riesgo asociados a la información.




Consideraciones del Material de Impacto de Negocios

Consideraciones sobre el impacto de negocios materiales son un elemento vital de cualquier perfil de riesgos de la información. Ellos son el equivalente a las cartas-comúnmente utilizados para el dolor en los entornos de atención de salud.Un gráfico de dolor normalmente utiliza una escala numérica o gráfica y permite a un proveedor de atención médica para comprender el nivel de dolor y el malestar que el paciente está experimentando con el fin de responder con el nivel adecuado de atención. En el perfil de riesgos de la información, las consideraciones sobre el impacto de negocios materiales identificar el impacto de un incidente o pérdida tiene en términos que sean fácilmente comprensibles y reconocible por la organización. Estas consideraciones deberían abarcar una serie de categorías, incluyendo financiero, la productividad, la disponibilidad, la reputación, el cumplimiento, el socio y la cadena de suministro, y el cliente. He aquí algunas consideraciones sobre el impacto de negocios ejemplo materiales para una organización que cuenta con una facturación anual de 500 millones de dólares:

Financiera: Una pérdida inmediata e imprevista igual o mayor que la siguiente lista representaría un impacto en el negocio de material para la organización:


Productividad: Una pérdida inmediata y no planificada de productividad de los empleados igual o mayor que la siguiente lista que representaría un impacto en el negocio de material para la organización:



Disponibilidad: Una falta total o parcial inmediata de disponibilidad de uno o más procesos clave del negocio y de la información asociada a los activos y los sistemas de apoyo representaría un impacto en el negocio de material para la organización:


Información Clave de Riesgo y Mitigación de Capacidades identificada

La identificación de las capacidades de información y de mitigación de riesgo claves conocidas proporciona una perspectiva de alto nivel sobre la actual postura de riesgos de la información de la organización. Estos cambios y evolucionar con el tiempo y debe ser revisada como parte del ciclo de actualización anual para el perfil de riesgos de la información. Los siguientes son ejemplos de riesgos de la información clave:
  • Visibilidad limitada infraestructura de información y activos de datos sensibles
  • La gobernanza y el cumplimiento de la aplicación mínima de procesamiento de terceros, almacenamiento y uso de los activos de datos sensibles
  • La falta de una relación de confianza, pero a verificar la estructura de control para limitar el impacto de las amenazas internas
  • Capacidad limitada para llevar a cabo y mantener la amenaza y la vulnerabilidad de análisis de los procesos y actividades clave del negocio
  • La falta de una cultura de riesgo-consciente y consciente de la seguridad
  • IRMS consideraciones limitada en operaciones de producto y ciclo de vida de desarrollo de aplicaciones y tecnología
  • Capacidades información Insignificante recopilación de inteligencia de riesgos, procesamiento y comunicación.


Ejemplos de capacidades de mitigación de riesgos identificados incluyen:

  • Expectativa de la adhesión de los empleados a las políticas y normas IRMS
  • Los controles básicos de seguridad tecnológica (por ejemplo, firewall, detección de intrusos, cifrado de datos, antivirus)
  • La cobertura del seguro de US $ 20 millones para mitigar los costos de respuesta a incidentes y recuperación de los daños a los sistemas de información y datos
  • Capacidades de flexibilidad de negocio básico mantenido (de mando y control, respuesta a incidentes, continuidad del negocio, recuperación de desastres), lo que reduce el impacto si se realiza un riesgo

Individualmente, estos puntos de datos proporcionan un valor limitado a la organización. Cuando se ensamblan entre sí, respaldado adecuadamente y mantenido al día, que pueden proporcionar una visión holística de la perspectiva de la organización asociada a la gestión de riesgos de la información.

Ratificación y Actualizaciones

Para el perfil de riesgos de la información tenga sentido para la organización, el liderazgo y las partes interesadas deben estar de acuerdo sobre y lo avalan. Es importante identificar en el documento que aprobó el perfil y cuando fue lanzado. Esto se puede hacer a través de una tabla de control de gestión del cambio documento. El perfil de riesgos de la información en sí debe ser revisada, como mínimo, una vez al año o como cambios en los negocios que tienen un impacto potencial sobre el apetito de riesgo de información de la organización.

Conclusión

Un perfil de riesgos de la información es fundamental para el éxito de la estrategia de gestión de riesgos de la información de una organización y actividades. Proporciona información valiosa sobre el apetito de riesgo de información de una organización y las expectativas para la gestión de riesgos de la información. Riesgo de la Información y profesionales de la seguridad y los programas que aprovechan eficazmente esta información en sus acciones y actividades pueden ser confiados en su alineación con los requerimientos del negocio y las expectativas


Publicado por en No hay comentarios:

lunes, 15 de diciembre de 2014

Similitudes entre la Reglamentación de la Banca de Turquía Realizado por BRSA y COBIT 5 Área de Gobierno


Antes de 1999, la regulación y supervisión del sistema bancario 1 en Turquía tenían una estructura fragmentada en la que la Subsecretaría de Hacienda y el Banco Central de la República de Turquía fueron los principales actores. Las crisis en el sector bancario enseña la necesidad de eficacia de la regulación, la supervisión y la importancia de los mecanismos de toma de decisiones independientes. En junio de 1999, la Agencia de Regulación y Supervisión Bancaria (BRSA) se estableció de acuerdo a la Ley de Bancos Nr. 4389 y comenzó a operar en agosto de 2000.
Del mismo modo, la unidad de auditoría de TI de BRSA es un subproducto de un fraude financiero basado en TI masivo en Imar Banco. 2 , 3 Responsabilidades de esta unidad están auditoría in situ; autorización 4 y de aplicación de las actividades relativas a las instituciones de auditoría externa (EAI); actividades de aplicación con respecto a las funciones de TI de los bancos; seguimiento de los resultados en los informes de auditoría de tecnología de la información y procesos de negocio (ARITBP) preparados por EAI; la redacción de la legislación en cuanto a la gestión, la gobernanza y la auditoría de TI.
A medida que el responsable de la política del sector bancario en Turquía, BRSA es responsable de diseñar el entorno legislativo más adecuado para el gobierno de TI en el sector bancario. Por lo tanto, BRSA tiene que mantenerse al día con los nuevos avances en los marcos de gobernanza de TI. Dado que la gobernanza se ha cambiado drásticamente con el lanzamiento de COBIT 5, en comparación con las versiones anteriores, se necesita una revisión de la legislación bancaria nacional. Existen numerosas similitudes entre las regulaciones bancarias BRSA-creado en Turquía y los procesos del área de gobernabilidad COBIT 5, incluida la adopción de muchas mejoras sobre COBIT 4.1. El concepto BRSA auditoría de TI consta de los reglamentos nacionales e incorpora la "versión actual de COBIT." La reglamentación nacional ( figura 1 ) sobre la gobernanza de la TI empresarial (GEIT), optimización de riesgo, optimización de recursos, la transparencia, la entrega beneficios y la legislación adicional diseñada específicamente para Turquía se describen aquí. Se espera que los resultados de este estudio que es beneficioso para los tomadores de decisiones en los órganos de gobierno, la industria bancaria, auditores independientes y los grupos de interés relacionados.

GEIT: estructura, sistemas internos de funcionamiento


"Comunicado sobre los principios que deben considerarse en la gobernanza de Sistemas de Información y Gestión de Bancos (CPISGMB)", emitido por BRSA, establece claramente que GEIT es una parte de la gestión empresarial y la estrategia de TI debe estar alineada con las estrategias del banco y los objetivos a llevar a cabo sus operaciones en una línea estable, competitiva y mejorar. 5La estructura de TI que se establecerá dentro del banco debe ser proporcional a la escala del banco y con la naturaleza y complejidad de los productos y servicios ofrecidos. 6 Además, el primer principio del Reglamento de Gobierno Corporativo de Bancos (CGRB) 7establece que los valores corporativos y objetivos estratégicos se establecerán dentro del banco teniendo en cuenta los principios GEIT.
Para operar GEIT de los bancos con eficacia y lograr su misión, BRSA ha regulado los sistemas de estructura interna de la organización. Establecimiento de sistemas internos tiene por objeto garantizar el seguimiento y control de los riesgos a que están expuestos los bancos, en todos los canales y las asociaciones sujetas a consolidación. Sistemas internos consisten en auditoría interna, control interno y gestión de riesgos, y esas unidades se establezcan en el consejo de administración (BOD) dentro de la estructura institucional del banco. 8 Por ejemplo, la finalidad del sistema de auditoría interna es proporcionar seguridad a los la alta dirección (SM) que las actividades del banco se realizan de acuerdo con la ley y demás legislación aplicable, las estrategias internas, políticas, principios y objetivos del banco y que los sistemas de control y gestión de riesgos son eficaces y adecuadas y proporcionar una comunicación de principios GEIT a directivos de alto nivel 9 (TLM).
La auditoría interna identifica cualquier deficiencias, errores y abusos; les impide que vuelvan a producirse; asegura el uso eficaz y eficiente de los recursos del banco para la optimización de los recursos; y asegura la exactitud y fiabilidad de la información y memorias que haya enviado el BRSA, SM y el público. Los auditores de TI también están incluidos en el equipo de auditoría interna y deben tener un nivel mínimo de conocimientos demostrado por la educación y la certificación de las áreas de capacitación relacionados. Además, un número suficiente de personal de auditoría interna debe ser empleado para cumplir con los servicios de auditoría sin demora. La gestión de riesgos, control interno y mecanismos de auditoría interna garantizar la eficacia y el rendimiento de GEIT.

GEIT: Evaluar, directa, Monitor


Lógica regulación de BRSA es evaluar en primer lugar, a continuación, dirigir, y, finalmente, control e intervención. Esta lógica está impregnada en toda la legislación. Las funciones y responsabilidades del Consejo Rector, el comité de auditoría, SM, TLM y otros se regulan claramente.
El Consejo Rector del banco tiene el poder y la responsabilidad de determinar las estrategias de un banco y responsabilidades de las unidades; establecer los sistemas internos de conformidad con los procedimientos y principios especificados en el ISB; operarlos de manera efectiva, suficiente y adecuada; garantizar la competencia del personal de los sistemas internos; tener conocimiento de todos los factores de riesgo del banco y los métodos de medición del riesgo; aprobar y supervisar las políticas de riesgos relativos a la propensión al riesgo, el seguimiento, la gestión y la presentación de informes; aprobar la política de seguridad de la información del banco; y asegurar la información proporcionada por el sistema de contabilidad y de información financiera. Además, el comité de auditoría 10 (AC), integrado por miembros electos BoD, supervisa la función de auditoría interna; establece los canales de comunicación directa para la denuncia de irregularidades para auditar unidades; evalúa propuestas de TLM relativas a los sistemas internos; garantiza y controla la independencia y el desempeño de los auditores internos y externos; informa al Consejo Rector en relación con las responsabilidades del CA; y evalúa la disponibilidad de los necesarios métodos, herramientas y procedimientos de aplicación para identificar, medir, monitorear y controlar el riesgo realizado por un banco. SM del banco lleva a cabo una vigilancia eficaz de gestionar el riesgo derivado de la utilización de sistemas de información (SI) y establece mecanismos para evaluar periódicamente las amenazas, la revisión y el monitor son políticas que incluyen pasos de aprobación apropiados, y aumentan el conocimiento relativo a la seguridad de la información. Como se indica en el ISB, los deberes y las responsabilidades de TLM 11 son coordinar y supervisar el personal del banco empleados en departamentos (ISB- 1.8), hacer la notificación oportuna y confiable para el Consejo Rector sobre el riesgo, 12 y examinar y aprobar las áreas de riesgo de los proyectos sobre el uso de las nuevas ES elementos que tendrán impactos importantes. 13


GEIT: Auditoría Externa


La EAI es otro actor clave en el sector bancario turco. Por lo tanto, BRSA trata directamente con todos los detalles (por ejemplo, los recursos adecuados, las calificaciones, títulos de los miembros de un equipo de auditoría) y regula las actividades de TI de auditoría externa sobre la base del "Reglamento de Sistemas de Información y Procesos Bancarios del Banco de auditoría sean realizadas por entidades de auditoría externa "(RIBPEA) para garantizar que TI relacionados con los procesos son supervisados de manera efectiva, se analizan, e identificar los factores ambientales internos y externos y el cumplimiento de las regulaciones. Según el RIBPEA, el Consejo Rector de un banco debe firmar el contrato de auditoría de procesos bancarios e IS. El auditor determina el alcance de la auditoría de procesos, sistemas, operaciones y control de 14 mecanismos basados en una forma orientada al riesgo y teniendo en cuenta los criterios de materialidad. Además, el auditor proporciona evidencia de auditoría suficiente para ofrecer garantías. ARITBP, preparado y firmado digitalmente por el EAI, se envían al departamento de auditoría de TI de BRSA. Si departamento de auditoría de TI de la BRSA considera el contenido de la auditoría sea inadecuada o no creado correctamente, el BRSA puede intervenir y hacer cumplir la EAI para mejorar el contenido de la auditoría.
La auditoría de los procesos bancarios se realiza todos los años; la auditoría de los procesos de SI se completa cada dos años, por COBIT. Si es necesario, BRSA puede cambiar la frecuencia o el alcance de las auditorías de un banco o más. Si bien la evaluación de los resultados, si existe una falta de control de notable o importante, el auditor debería revisar la unidad o de la función de cumplimiento. Los auditores también informan TLM por escrito o verbalmente sobre cualquier tema que consideren importante durante el banco es y banca procesa auditorías.
Si BRSA identifica que hay cuestiones importantes que afectan a los procesos / sistemas, los activos del banco, las actividades llevadas a cabo de conformidad con las políticas internas y regulaciones, prácticas bancarias generales, la fiabilidad y la integridad de los informes contables y financieros, y la disponibilidad oportuna de la información, la EAI bancarios puede ser removido de la lista de las entidades fiscalizadoras competentes. Todos ellos están regulados por las disposiciones de los artículos 12, 20, 22, 25, 32, 36 y 40 de la RIBPEA para garantizar que TI relacionados con los procesos son supervisados con eficacia y transparencia para confirmar el cumplimiento de los requisitos legales, reglamentarios y de gobernabilidad.

Gestión de Riesgos


Como ya se mencionó, la gestión de riesgos es la parte principal de los sistemas internos que guía GEIT por responsabilidades claras dadas al Consejo Rector, AC y TLM. De acuerdo con el artículo 1.5 de CPISGMB, "el banco toma las medidas necesarias con el fin de medir, monitorear, controlar e informar sobre los riesgos derivados del uso de TI en las actividades bancarias". El artículo 05.02 de CPISGMB continúa: "Así como el riesgo derivado de TI se consideran dentro del ámbito del riesgo operacional, debido a la posibilidad de que estos riesgos pueden ser un multiplicador de otros riesgos derivados de las actividades bancarias, se adoptará un enfoque de gestión integral del riesgo para todas las actividades bancarias ".
El riesgo operativo determina la cantidad de capital regulatorio que los bancos deben destinar. Por lo tanto, el riesgo operacional es la digitalización de TI y es importante para la gobernanza empresarial. Ya que es una parte esencial de los bancos, la interrupción de los servicios o la ocurrencia de riesgos de TI pone bancos en una situación difícil. De acuerdo con el perfil de riesgo, estructura operativa y cultura de gestión corporativa del banco, es esencial que el banco desarrollar procesos de gestión de riesgos y evaluar el riesgo derivado de TI en consecuencia. Relacionados, por lo tanto, se entiende la tolerancia al riesgo relacionado con el uso de las TI, comunicada y administrada por la determinación del nivel de riesgo: La relación entre el uso de servicios de soporte aumento en la actividad bancaria; la continuidad del negocio del banco y la seguridad de los datos registrados, transmitidos y procesados convirtió en totalmente dependiente de TI; y los errores informáticos son diferentes de los fraudes conocidos. Responsabilidades básicas del departamento de gestión de riesgos son determinar las políticas y procedimientos de gestión de riesgos sobre la base de las estrategias de gestión de riesgos; garantizar una información periódica y oportuna sobre medición y monitoreo resultados de riesgo a la DBO y SM o funcionario sistemas internos pertinentes; y asegurarse de que se comprendan los factores de riesgo, incluidos los riesgos relacionados con TI,, suficientemente evaluados y comunicados en relación con la tolerancia de riesgo del banco. 15 El banco también debe implementar mecanismos para proporcionar información de alerta temprana en relación con acontecimientos inesperados relacionados con SI. Los canales de comunicación apropiados deben ser establecidos de personal del banco para la gestión, control interno y auditoría interna para minimizar el riesgo, identificar de manera temprana y comunicar tolerancia al riesgo. 16Para gestionar los riesgos relacionados con TI, pruebas de continuidad de negocio, incluyendo las pruebas de todos los canales en un banco y las organizaciones de servicios de apoyo, si es necesario, se deben completar una vez al año. Los resultados son reportados a TLM. Con base en los resultados, los planes pueden ser modificados, incluidos los parámetros de los procesos de gobierno y de gestión de riesgos, los principios de progresividad, y detalles técnicos. 17

Transparencia


BRSA está preocupado con el buen funcionamiento del sector bancario y reconoce que un elemento clave para ello es la transparencia. Según el principio siete de CGRB, la transparencia debe garantizarse en el gobierno corporativo. La transparencia en los informes de auditoría de cuentas es de 100 por ciento, mientras que los informes de auditoría de TI son transparentes sólo a las partes interesadas clave, debido a la naturaleza de las TI. Si, por ejemplo, los resultados de una prueba de penetración de TI 18 se hicieran públicos, los sistemas del banco podrían ser fácilmente hackeado. De la misma manera, las sanciones relativas a las regulaciones bancarias nacionales que cobran los BRSA no se publican por el riesgo reputacional. En resumen, las principales partes interesadas definidos, por ejemplo, EAIs, puede tener toda la información sobre los costos de TI, riesgos y beneficios. Además, la transparencia es significativa si se entiende correctamente. Por lo tanto, las regulaciones BRSA requieren que el auditor dará información detallada sobre los criterios, el estado, enlaces a artículos concretos de la regulación, el riesgo empresarial de los resultados en la medida necesaria por objetivos y opiniones de la evaluación del resultado auditado en ARITBP auditoría. 19


Beneficia


Bancos establecen políticas, procedimientos y procesos relacionados con la gobernanza y la gestión de los SI. Estos son revisados y renovados regularmente para asegurarse de que están en línea con los avances tecnológicos o cambios en el área de negocios relacionados, y para optimizar el valor de la contribución al negocio. 20 También proveen valor óptimo, el presupuesto y los recursos adecuados, que se destinarán de acuerdo con el artículo 1.4 de CPISGMB.
El sector bancario depende directamente de TI para las actividades bancarias, incluso básicos y la continuidad del negocio. Sin embargo, las inversiones en TI en los bancos deben ser a costos aceptables y deben asegurar valor óptimo. Por ejemplo, el IS debe estar habilitado para identificar las desviaciones de los objetivos y presupuestos anuales. 21


Legislación adicional


En lugar de imponer COBIT como el único conjunto de normas que rigen los procesos de TI en el sector bancario, BRSA utiliza COBIT como fuente complementaria. 22 Es decir, a pesar de COBIT es un marco general, la legislación específica del país adicional o riesgo dependiente relevante ha sido incluido por BRSA ser aplicada por los bancos. Por ejemplo, para garantizar la seguridad ATM, sistemas de cámaras se han convertido en obligatoria para cada cajero. 23 Otro ejemplo es que los procesos de negocio de banca han de ser supervisado cada año durante seis años 24 para asegurarse de que su concepto está en paralelo con COBIT DSS06Administrar controles de negocio.
El Reglamento sobre la Gestión de aserción 25 asegura que el Consejo Rector evalúa la eficacia, adecuación y el cumplimiento de los controles internos sobre los procesos de SI y bancarias. 26 Otra responsabilidad de la DBO es aprobar y firmar planes de acción 27que se utilizan para dar seguimiento a los hallazgos en ARITBP . Si la solución o la fecha final de conclusiones cambios, el Consejo Rector deberá aprobar el plan nuevo. Con esto, el Consejo Rector debe entender el riesgo y seguimiento a los hallazgos de TI.Además, los mandatos CPISGMB que el riesgo relevante implícitas en cada uno de los resultados de la auditoría de TI pueden asignar en el riesgo empresarial 28 y por auditores independientes, por lo que el riesgo inherente puede ser fácilmente percibido por TLM, la mayoría de los cuales no cuentan con fondos de la tecnología. BRSA organiza frecuentes reuniones con las partes interesadas para discutir temas relacionados con los casos de fraude y las legislaciones de TI bancario, junto con las quejas y otros comentarios en consideración en la preparación de los reglamentos. Con la ayuda de estas reuniones, BRSA actúa de forma proactiva, en lugar de ofrecer las decisiones de una manera reactiva después de la realización de un resultado no deseado.
Si es necesario, los resultados de TI y procesos bancarios de auditoría pertinentes pueden ser compartidos con otras autoridades públicas, como la Junta de Mercados de Capital y el Banco Central de la República de Turquía. Estas autoridades pueden ser informados para que actúen correctamente en caso legislación les obliga a tomar acciones. BRSA tiene como objetivo proporcionar los mecanismos de comunicación y de información para la supervisión y toma de decisiones con la información adecuada para todos los actores que intervienen en el sector bancario.

Conclusión


BRSA es la organización gubernamental responsable de diseñar el entorno legislativo más adecuado para el gobierno de TI en el sector bancario de Turquía. De este modo, se completó una comparación de la zona COBIT 5 gobernabilidad con la legislación interna BRSA.
En términos generales, las regulaciones BRSA habían estado en vigor antes de la publicación de COBIT 5, y los procesos de reciente introducción de COBIT 5 están cubiertos en gran parte por las regulaciones BRSA. Los resultados del estudio muestran que existen numerosas similitudes y algunas diferencias entre los dos. Las diferencias pueden atribuirse a dos razones: en primer lugar, a diferencia de COBIT, las legislaciones BRSA han sido diseñados específicamente para el sector bancario. En segundo lugar, los requisitos nacionales están siendo considerados en el diseño del marco legislativo para el sector bancario turco de una manera continua.

Bibliografía:


1 The Turkish banking system is composed of 49 banks, three of which are public commercial banks and four of which are participation banks. Total assets are approximately US $820 billion. In total, there are about 11,691 branches in Turkey. There are 41 independent IT auditing organizations licensed by BRSA to perform audits in banks, but only six of these are licensed to perform IT audits.
2 Aktan, B.; O. Masood; S. Yilmaz; “Financial Shenanigans and the Failure of Ethics in Banking: A Review and Synthesis of an Unprecedented Fraud,” Banks and Bank Systems, vol. 4, iss. 1, 2009
3 Fort, J.; P. Hayward; “The Supervisory Implications of the Failure of Imar Bank,” Commission of Inquiry into the Supervisory Implications of the Failure of the Imar Bank
4 Authorization refers to licensing activities.
5 Banking Regulation and Supervision Agency (BRSA), “Communiqué on the Principles to Be Considered in Information Systems Governance and Management in Banks (CPISGMB),” Republic of Turkey, 14 September 2007,www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/949194913729ilkelertebligi_010610_degistirilmishali.pdf
6 BRSA, Regulation on the Internal Systems of Banks (ISB), Article 11, 1 November 2006www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/1678yonetmelik_16_7_2013_pdfhali.pdf
7 BRSA, Corporate Governance Regulation of Banks (CGRB), 1 November 2006,www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/1682kurumsalyonetimyonetmeligiislenmishali.pdf
8 Op cit, ISB, article 5; Banking Law No. 5411, article 8; CGRB, principle 3
9 The general manager and assistant general managers of a bank, the managers of the units included within the scope of the internal systems, and those managers of the nonadvisory units who serve in positions equivalent or superior to the position of assistant general manager in terms of their powers and duties even if they are employed with other titles.
10 Op cit, ISB, article 6
11 Op cit, ISB, and CGRB principle 4
12 Op cit, ISB, 8/1 and 5/2/i
13 Op cit, ISB- 26/5 and 26/6; CPISGMB 6/3
14 Op cit, RIBPEA 7/5 defines key words. “Control” represents policies, procedures, practices and organizational structures, aiming adequate assurance related to the realization of business objectives, prevention/identifying/correcting of adverse events. Similarly, “control weakness” is the case of determining the state that design or operation of a control prevents errors.
15 Op cit, ISB 40
16 Op cit, ISB 12/3
17 Op cit, ISB 13/11
18 BRSA, Circular on Penetration Tests, 24 July 2012, www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Bankacilik_Kanununa_Iliskin_
Duzenlemeler/11076bilgi_sistemlerine_iliskin_sizma_testleri_hakkinda_genelge.pdf
19 BRSA, “Communiqué on the Report Relating to Information Systems and Banking Processes Audit to Be Performed by External Audit Institutions (CIPBEA),” 13 January 2006
20 Op cit, CPISGMB 4/2
21 Op cit, ISB, article 11
22 Op cit, CPISGMB 22/2 and 34/1, RIBPEA 24/2
23 Op cit, CPISGMB 32/10
24 Op cit, CPISGMB 21
25 RSA, Circular on Management Assertion, 30 July 2010
26 RIBPEA 19/7 and 33
27 Op cit, RIBPEA 19/8
28 Op cit, CIBPEA 9
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)