Contenido
• Antecedentes
• ¿Qué es el rating?
• La calificación del riesgo proveedor
• Nuestro enfoque de un sistema de calificación
2 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
5
“The cost of dishonesty, therefore, lies not only in the amount by which the purchaser is cheated; the cost also must include the loss incurred from driving legi;mate business out of existence.” George Akerlof, 1970
3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Fundamento teórico
6
Consecuencias • Riesgo moral • Información imperfecta
Selección adversa (George
Akerlof, 1970)
Soluciones • Screening • Signaling
3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Opciones
• Hacen falta un mecanismo que ayude a eliminar este desequilibrio informativo.
• Opciones (todas ellas basadas en terceros de confianza) à conflicto de intereses.
Opciones
Auditoría (screening)
CerGficación SGSI
(signaling)
RaGng (signaling)
9 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
¿Qué es una calificación o rating?
• Calificación (RAE) – “Puntuación obtenida en un examen o en cualquier
tipo de prueba.”
• Rating (Collins English Dictionary) – “a classification according to order or grade;
ranking.” – (Economics, Accounting & Finance / Banking &
Finance) “the estimated financial or credit standing of a business enterprise or individual”
13 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
¿Qué es una agencia de calificación de riesgo?
• “Empresas que, por cuenta de un cliente, califican unos determinados productos financieros o activos ya sean de empresas, estados o gobiernos regionales.”, www.wikipedia.org
• Compañías especializadas en el análisis de valores y empresas que analizan las compañías con metodologías propias (que combinan métodos cualitativos y cuantitativos de análisis financiero).
15 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
¿Para qué sirve la calificación?
• Síntesis del análisis de la capacidad de una compañía para hacer frente a sus obligaciones financieras, a corto y largo plazo (solvencia).
• Indicador del riesgo de una emisión (emisiones con peor rating proporcionan normalmente rendimientos superiores, para compensar así el mayor riesgo que se asume).
• Permite a los inversores comparar el riesgo de diferentes inversiones a pesar de que vengan de emisores de distintos países, sectores, etc.
16 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Descripción de la necesidad • La información asimétrica
afecta a la subcontratación de servicios pudiendo ocasionar selección adversa.
• Esta situación es acuciante en relación a los servicios de cloud computing.
19 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
¿Qué indica la calificación de riesgo proveedor?
• El rating (por servicio) otorga un valor relativo que sirve como previsión sobre la solvencia técnica de dicho proveedor en cuanto a su seguridad y resiliencia.
• Mejor calificación à Menor probabilidad de sufrir incidentes que afectaran de manera significativa a los Acuerdos de Nivel de Servicio.
20 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Análisis comparativo de la calificación
RaGng • Menos recursos (Gempo, dinero y esfuerzo)
• Enfoque en seguridad y resiliencia
• Posibilidad de comparaciones homogéneas (escala única)
Otras opciones • Más difundidas / conocidas por el sector
21 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Áreas/ capítulos
Madurez controles
Resiliencia
Fiabilidad proveedor
23 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Enfoque mixto Auto-declaración & Evaluación
• Objetivo: Evitar el habitual conflicto de intereses derivado de que los honorarios del tercero de confianza son satisfechos por el calificado. – 1er acceso al sistema: Memoria explicativa que
defienda su incorporación. – A partir de su aceptación: El proveedor auto-
declara el rating del servicio.
24 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Enfoque mixto Auto-declaración & Evaluación
• Implicación: Mecanismos de seguimiento más estrictos. – Auditorías aleatorias y periódicas. – Canales de notificación de incidencias al comité
de seguimiento. – Procedimiento sancionador.
25 3 de m4rz0 de 2011 @nt0n¡0 R@m0s
Licencia de uso
• Permite al proveedor de servicios utilizar el sistema de calificación.
• Fija el compromiso de este a actuar debidamente al auto-declarar sus ratings.
• Establece las sanciones a aplicar en casos de incumplimiento.
• Da derecho a la formación necesaria para poder realizar auto-declaraciones de nivel.
• Renovaciones anuales.
26 3 de m4rz0 de 2011 @nt0n¡0 R@m0s