Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
1
Colaboradores Patrocinadores
Dominando los riesgos se
compite mejor
Solvencia II y Gestioacuten del Riesgo
Tecnoloacutegico en las Compantildeiacuteas de
Seguros
Francisco Javier Baena Alvarez de Quevedo Consejero Teacutecnico
Direccioacuten General de Seguros y Fondos de Pensiones
Ministerio de Economiacutea y Competitividad
2 CSTIC 2012
Francisco Javier Baena Aacutelvarez de Quevedo
Consejero Teacutecnico Responsable de Apoyo Tecnoloacutegico a la
Supervisioacuten y Anaacutelisis de la Documentacioacuten Estadiacutestico
Contable
Experiencia en sector puacuteblico Cuerpo Superior de Sistemas y Tecnologiacutea de AGE (DGSFP)
Cuerpo de Gestioacuten de Sistemas y Tecnologiacutea de AGE (IGAE)
Redes
Experiencia en sector privado
Jefe de proyecto en Ericsson Ono Fujitsu Telefoacutenica
Formacioacuten
Ingeniero Superior de Telecomunicacioacuten (UPM)
Ingeniero Teacutecnico de Telecomunicacioacuten en equipos (UPM)
Ingeniero Teacutecnico en Informaacutetica de Gestioacuten(UNED)
Maacutester Ejecutivo en Buen Gobierno de las TI Gestioacuten Seguridad y Auditoriacutea (Universidad Deusto)
3er curso Grado Economiacutea (UNED)
CISA CGEIT
3 CSTIC 2012
Estructura y Funciones de la DGSFP
Real Decreto 3452012 de 10 de febrero
Controlar el acceso a la actividad aseguradora reaseguradora mediacioacuten de seguros y gestoras de
fondos de pensiones
Supervisioacuten financiera y la de las conductas y praacutecticas de mercado
Anaacutelisis de la documentacioacuten que deben remitir aseguradoras reaseguradoras mediadores grupos
y gestoras
Preparacioacuten de proyectos normativos
Proteccioacuten administrativa
Coordinacioacuten con los comiteacutes de seguros y pensiones de jubilacioacuten y otras instituciones de la Unioacuten
Europea con otros Estados y con organismos internacionales de acuerdo con el Ministerio de Asuntos
Exteriores y de Cooperacioacuten
4 CSTIC 2012
Sector Asegurador en Espantildea
5 CSTIC 2012
Sector Asegurador en Espantildea
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
2 CSTIC 2012
Francisco Javier Baena Aacutelvarez de Quevedo
Consejero Teacutecnico Responsable de Apoyo Tecnoloacutegico a la
Supervisioacuten y Anaacutelisis de la Documentacioacuten Estadiacutestico
Contable
Experiencia en sector puacuteblico Cuerpo Superior de Sistemas y Tecnologiacutea de AGE (DGSFP)
Cuerpo de Gestioacuten de Sistemas y Tecnologiacutea de AGE (IGAE)
Redes
Experiencia en sector privado
Jefe de proyecto en Ericsson Ono Fujitsu Telefoacutenica
Formacioacuten
Ingeniero Superior de Telecomunicacioacuten (UPM)
Ingeniero Teacutecnico de Telecomunicacioacuten en equipos (UPM)
Ingeniero Teacutecnico en Informaacutetica de Gestioacuten(UNED)
Maacutester Ejecutivo en Buen Gobierno de las TI Gestioacuten Seguridad y Auditoriacutea (Universidad Deusto)
3er curso Grado Economiacutea (UNED)
CISA CGEIT
3 CSTIC 2012
Estructura y Funciones de la DGSFP
Real Decreto 3452012 de 10 de febrero
Controlar el acceso a la actividad aseguradora reaseguradora mediacioacuten de seguros y gestoras de
fondos de pensiones
Supervisioacuten financiera y la de las conductas y praacutecticas de mercado
Anaacutelisis de la documentacioacuten que deben remitir aseguradoras reaseguradoras mediadores grupos
y gestoras
Preparacioacuten de proyectos normativos
Proteccioacuten administrativa
Coordinacioacuten con los comiteacutes de seguros y pensiones de jubilacioacuten y otras instituciones de la Unioacuten
Europea con otros Estados y con organismos internacionales de acuerdo con el Ministerio de Asuntos
Exteriores y de Cooperacioacuten
4 CSTIC 2012
Sector Asegurador en Espantildea
5 CSTIC 2012
Sector Asegurador en Espantildea
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
3 CSTIC 2012
Estructura y Funciones de la DGSFP
Real Decreto 3452012 de 10 de febrero
Controlar el acceso a la actividad aseguradora reaseguradora mediacioacuten de seguros y gestoras de
fondos de pensiones
Supervisioacuten financiera y la de las conductas y praacutecticas de mercado
Anaacutelisis de la documentacioacuten que deben remitir aseguradoras reaseguradoras mediadores grupos
y gestoras
Preparacioacuten de proyectos normativos
Proteccioacuten administrativa
Coordinacioacuten con los comiteacutes de seguros y pensiones de jubilacioacuten y otras instituciones de la Unioacuten
Europea con otros Estados y con organismos internacionales de acuerdo con el Ministerio de Asuntos
Exteriores y de Cooperacioacuten
4 CSTIC 2012
Sector Asegurador en Espantildea
5 CSTIC 2012
Sector Asegurador en Espantildea
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
4 CSTIC 2012
Sector Asegurador en Espantildea
5 CSTIC 2012
Sector Asegurador en Espantildea
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
5 CSTIC 2012
Sector Asegurador en Espantildea
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
6 CSTIC 2012
Sector Asegurador en Espantildea
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
7 CSTIC 2012
Sector Asegurador en Espantildea
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
8 CSTIC 2012
Sector Asegurador en Espantildea
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
9 CSTIC 2012
El reto de Solvencia II
Solvencia II
Requisitos
Cuantitativos
(Implementacioacuten)
Requisitos
Cualitativos
(Control)
Disciplina de
Mercado
(Transparencia)
Primer Pilar Segundo Pilar Tercer Pilar
Requerimientos de
Capital
Requerimientos de
Capital de Solvencia (SCR)
Requerimientos Miacutenimos
de Capital (MCR)
Control Interno y
Gestioacuten del riesgo
Actividad Supervisora
Puacuteblico
Al supervisor
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
10 CSTIC 2012
Pilar II Requisitos Cualitativos
Capitulo IV Seccioacuten 2 Sistema de Gobernanza
art41 Requisitos
generales de gobernanza
art 44 Gestioacuten de Riesgos
art 45 Evaluacioacuten
interna de los riesgos y de la
solvencia
art 46 Control interno
art 47 Auditoriacutea interna
art 49 Externalizacioacuten
El Reto de Solvencia II
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
11 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull Por una parte debe de proporcionar los recursos necesarios para que exista un ldquosistema eficaz de gobernanzardquo
bull Por otra parte la Gobernanza TIC es una parte de la Gobernanza Corporativa
art41 Requisitos generales de gobernanza El citado sistema comprenderaacute como miacutenimo una estructura organizativa transparente y apropiada con una clara distribucioacuten y una adecuada separacioacuten de funciones y un sistema eficaz para garantizar la transmisioacuten de la informacioacuten
Perspectiva TIC
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
12 CSTIC 2012
El Reto de Solvencia II Pilar II Sistema de Gobernanza
bull BS 25999
bull ISO 22301
bull Gran Impacto de las TIC
bull Centros de Respaldo
bull Copias de Cintas
bull hellip
art41 Requisitos generales de gobernanza Las empresas de seguros y de reaseguros adoptaraacuten medidas razonables para garantizar la continuidad y la regularidad en la ejecucioacuten de sus actividades incluida la elaboracioacuten de planes de emergencia A tal fin las empresas emplearaacuten sistemas recursos y procedimientos adecuados y proporcionados
Perspectiva TIC
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
13 CSTIC 2012
bull Gestioacuten del riesgo operacional
art44 Gestioacuten de Riesgos Las empresas de seguros y de reaseguros dispondraacuten de un sistema eficaz de gestioacuten de riesgos que comprenderaacute las estrategias los procesos y los procedimientos de informacioacuten necesarios para identificar medir vigilar gestionar y notificar de forma continua los riesgos a los que a nivel individual y agregado esteacuten o puedan estar expuestas y sus interdependencias
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
14 CSTIC 2012
bull Orientado a procedimientos Tareas subtareas responsables Los procedimientos TI son parte integrante de los mismos
bull Marco de control interno COSO COCO soportado con Cobit
bull Difusioacuten Cuadros de mando informes
bull Monitorizacioacuten KPI KPG
art46 Control interno Las empresas de seguros y de reaseguros estableceraacuten un sistema eficaz de control interno Dicho sistema constaraacute como miacutenimo de procedimientos administrativos y contables de un marco de control interno de mecanismos adecuados de informacioacuten a todos los niveles de la empresa y de una funcioacuten de verificacioacuten del cumplimiento
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
15 CSTIC 2012
bull Auditoriacutea informaacutetica
bull Auditoriacutea LOPD
art47 Auditoriacutea interna Las empresas de seguros y de reaseguros contaraacuten con una funcioacuten eficaz de auditoriacutea interna La funcioacuten de auditoriacutea interna abarcaraacute la comprobacioacuten de la adecuacioacuten y eficacia del sistema de control interno y de otros elementos del sistema de gobernanza
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
16 CSTIC 2012
bull Desarrollos
bull Housing hosting
bull Suministros -gt Riesgos sisteacutemicos
art49 Externalizacioacuten Los Estados miembros velaraacuten por que las empresas de seguros y de reaseguros sigan respondiendo plenamente del cumplimiento de todas las obligaciones que para ellas se derivan de la presente Directiva cuando externalicen funciones o cualquier actividad de seguro o de reaseguro
Perspectiva TIC
El Reto de Solvencia II Pilar II Sistema de Gobernanza
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
17 CSTIC 2012
Pilar I Requisitos Cuantitativos
Capiacutetulo VI Seccioacuten 4 Capital de solvencia obligatorio
Art 101 Caacutelculo del capital de solvencia
obligatoria
Subseccioacuten 2 Capital de solvencia
obligatoria - foacutermula estaacutendar
Subseccioacuten 3 Capital de solvencia
obligatoria ndash modelos internos completos y
parciales
El Reto de Solvencia II
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
18 CSTIC 2012
bull riesgo de suscripcioacuten en el seguro distinto del seguro de vida
bull riesgo de suscripcioacuten en el seguro de vida
bull riesgo de suscripcioacuten del seguro de enfermedad
bull riesgo de mercado
bull riesgo de creacutedito
bull riesgo operacional
art101 Caacutelculo del capital de solvencia obligatorio El capital de solvencia obligatorio se calibraraacute de tal modo que se garantice que todos los riesgos cuantificables a los que una empresa de seguros o de reaseguros estaacute expuesta se tengan en cuenta Cubriraacute las actividades existentes y las nuevas actividades que se espere realizar en los siguientes doce meses En relacioacuten con la actividad existente deberaacute cubrir exclusivamente las peacuterdidas inesperadas
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
19 CSTIC 2012
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
bull El capital de solvencia obligatorio por riesgo operacional
bull Contratos de vida Riesgo de inversioacuten por parte de los tomadores gastos operaciones
bull Volumen de operaciones de seguro reaseguro (primas devengadas y provisiones teacutecnicas)
Subseccioacuten 2 Capital de solvencia obligatorio ndash foacutermula estaacutendar El capital de solvencia obligatorio calculado con arreglo a la foacutermula estaacutendar seraacute igual a la suma de lo siguiente a) el capital de solvencia obligatorio baacutesico conforme al artiacuteculo 104 b) el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107 c) el importe del ajuste destinado a tener en cuenta la capacidad de absorcioacuten de peacuterdidas de las provisiones teacutecnicas y los impuestos diferidos conforme al artiacuteculo 108
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
20 CSTIC 2012
bull Las empresas de seguros y
de reaseguros podraacuten utilizar modelos internos parciales para el caacutelculo de uno o varios de los siguientes elementos
a) uno o varios moacutedulos o submoacutedulos de riesgo del capital de solvencia obligatorio baacutesico con arreglo a los artiacuteculos 104 y 105
b)el capital de solvencia obligatorio por riesgo operacional conforme al artiacuteculo 107
c) el ajuste a que se refiere el artiacuteculo 108
Subseccioacuten 3 Capital de solvencia obligatorio ndash modelos internos completos y parciales Los Estados miembros velaraacuten por que las empresas de seguros o de reaseguros puedan calcular el capital de solvencia obligatorio utilizando un modelo completo o parcial en los teacuterminos autorizados por las autoridades de supervisioacuten
El Reto de Solvencia II Pilar I Requisitos Cuantitativos
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
21 CSTIC 2012
iquest Afecta las tecnologiacuteas de la informacioacuten y las
comunicaciones a Solvencia II
Sistema de Gobernanza SI Disentildeo de procedimientos controles
reportinghellip
Control Interno Si Controles automaacuteticos Controles
propios de informaacutetica Seguridadhellip
Auditoriacutea Si Ley Orgaacutenica de proteccioacuten de Datos
Auditoriacuteas de seguridadhellip
Externalizaciones Si Desarrollos soporte clound
computinghellip
Continuidad de Negocio Si Centros de respaldo copias de
seguridadhellip
Requisitos de Solvencia Si Riesgo Operacional
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
22 CSTIC 2012
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Seguacuten la informacioacuten recogida en COBIT 41 para satisfacer los objetivos del negocio la
informacioacuten necesita adaptarse a ciertos criterios de
control los cuales son referidos en COBIT como
requerimientos de informacioacuten del negocio En este marco de
trabajo se definen los siguientes siete criterios de
informacioacuten
Efectividad
Eficiencia
Confidencialidad
Integridad Disponibilidad
Cumplimiento
Confiabilidad
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
23 CSTIC 2012
bull Auditoriacutea de datos Dicho anaacutelisis utilizaraacute como punto de partida los procesos de la compantildeiacutea y analizaraacute los sistemas informaacutetico que los sustentan haciendo uso para ello de la documentacioacuten que se disponga de arquitectura de empresa
Perspectiva estaacutetica Se pretende analizar el flujo de la
informacioacuten concreta de poacutelizas y siniestros que la
entidad emplea en la propuesta de modelo interno
bull 1 Visioacuten corporativa de las tecnologiacuteas de la Informacioacuten
bull 2 Visioacuten del marco de gobierno de TI
bull ISOIEC 15504 Software Process Improvement Capability
bull COBIT Process Assessment Model (PAM)
Perspectiva dinaacutemica Buen gobierno de la informacioacuten Esta perspectiva nos va a mostrar la capacidad que
tiene la entidad para gestionar de forma adecuada la
informacioacuten para asegurar la calidad de la misma ante
diferentes eventos
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
24 CSTIC 2012
Introduccioacuten
Gobierno Corporativo y las Tecnologiacuteas de las Informacioacuten
bullLa estrategia corporativa y las tecnologiacuteas dela informacioacuten
bullVisioacuten operativa de las tecnologiacuteas de la informacioacuten
bullAuditoriacutea Interna
Marco de Trabajo del Gobierno de TI
bullGobierno de las tecnologiacuteas de la informacioacuten
bullControl interno
bullGestioacuten de procesos
Alineamiento con el Negocio
bullArquitectura de Empresa
bullGestioacuten de Configuracioacuten
Entrega de Valor
bull Inversioacuten
bullCiclo de Vida de desarrollo del sistema
bullGestioacuten de Servicios
bullGestioacuten de Proyectos
Gestioacuten de Riesgos
Recursos Humanos
Gestioacuten de la Continuidad de Negocio
Outsourcing
Seguridad
Docum
enta
cioacute
n R
equerid
a
Contro
les
Anaacutelisis de modelos internos Perspectiva de
Tecnologiacutea de la Informacioacuten
Guiacutea
de A
poyo a
la S
uperv
isioacute
n T
ecnoloacute
gic
a
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
25 CSTIC 2012
Conclusiones
Dicha implicacioacuten debe generar una simbiosis entre
ambos roles tradicionales surgiendo nuevos perfiles
multidisciplinares
Para poder un implementar de forma adecuada un
Sistema de Gestioacuten de Riesgos es necesario tener
en cuenta las tecnologiacuteas de la informacioacuten
El cambio que va a suponer la introduccioacuten de
Solvencia II va requerir una profunda implicacioacuten no
solo de los profesionales de seguros sino tambieacuten de
los especialistas en tecnologiacuteas de la informacioacuten y las
comunicaciones
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores
26 CSTIC 2012
Francisco Javier Baena Alvarez de Quevedo
E-mailFranciscojavierbaenamehes
Teleacutefono 913397283
Direccioacuten Pordm Castellana 44
iexcl Muchas gracias
Patronos de la AEC
CSTIC 2012
Dominando los riesgos se compite mejor
18 de Septiembre de 2012 CSTIC12
Colaboradores
Patrocinadores Organizador
Cooperadores