UNIVERSIDAD LAICA VICENTE ROCAFUERTE DE GUAYAQUIL …repositorio.ulvr.edu.ec/bitstream/44000/1783/1/T-ULVR-1599.pdf · ratios de eficiencia y racionalizar la asignación de capital

UNIVERSIDAD LAICA VICENTE

ROCAFUERTE DE GUAYAQUIL

FACULTAD DE CIENCIAS ECONÓMICAS

MONOGRAFÍA

PREVIO A LA OBTENCIÓN DEL TÍTULO DE

ECONOMISTA

TEMA: ANÁLISIS E INCIDENCIA DE LA

ADMINISTRACIÓN DEL RIESGO OPERATIVO EN LAS ENTIDADES FINANCIERAS DEL ECUADOR

AL MOMENTO ACTUAL

EGRESADA: MÓNICA ANCHUNDIA PAREDES

DIRECTOR:

MsC. ECON. HÓLGUER ALBUJA COELLO

AÑO: 2008 GUAYAQUIL, ECUADOR

- 2 -

DEDICATORIA

A mis padres por todo el apoyo y la confianza durante toda mi formación personal, académica y profesional

A mi esposo por su amor incondicional y su tiempo apoyándome siempre para formar una familia basado en

valores de respeto, compresión, amor y paciencia

A mis hijos por ser el regalo de Dios mas preciado y ser motivación para alcanzar las metas propuestas en cada

etapa de mi vida

- 3 -

AGRADECIMIENTO

A Dios por ser parte de mi ser, por darme el regalo de la vida, la fortaleza y la fe para enfrentar las adversidades que

se me puedan presentar en el camino

A mis padres por todas las enseñanzas y valores inculcados

A mi esposo por el amor, la comprensión, la confianza, y su apoyo logrando con ello llegar a cristalizar mis objetivos

propuestos

A mi Director por su asesoria y dirección

A todos los catedráticos que dieron valioso aporte a lo largo de mi vida estudiantil y formación académica

- 4 -

ÍNDICE

INTRODUCCIÓN……………………………………………………………………...1

CAPÍTULO I

COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA…………………..…4-20

I.I. Breve descripción de la historia ………………………………………………..4

I.II. Basilea I…………………………………………………………………………...6

I.III Principios Básicos de Supervisión Bancaria…………………………………..9

I.IV. Basilea II: Los tres pilares: ……………………………………………………16

I.IV.I. Pilar 1: Requerimientos de Capital…………………………………18

I.IV.II Pilar 2: Supervisión Bancaria……………………………………….19

I.IV.III Pilar 3: Disciplina de mercado………………………………………20

I.V. Principios de “Practicas Adecuadas para la Gestión y Supervisión del

Riesgo Operativo……………………………………………………………….21

CAPÍTULO II

GESTIÓN DE RIESGO OPERATIVO…………………………………………35-55

II.I. Riesgo Operativo: Concepto y definición……………………………………35

II.I.I Roles y responsabilidades en la Administración

de riesgo operativo....................................................................................36

II.II. Factores del Riesgo Operativo...................................................................38

II.II.I. Administración de Procesos…………………………………………38

II.II.II. Administración de Personas…………………………………………40

II.II.III. Administración de Tecnología de la Información………………….42

II.II.IV. Administración de Eventos Externos……………………………….43

II.III. Metodología para la Gestión de Riesgo Operativo....................................44

II.III.I. Identificación……………………………….......………………….....44

II.III.I.I Eventos de pérdida de Riesgo Operativo……………..…44

II.III.II. Medición y evaluación……………………………………….....…..49

II.III.III. Control……………………………………………………….…….….50

- 5 -

II.III.IV. Monitoreo……………………………………………………….….…51

II.IV. Métodos de Evaluación del Riesgo Operacional......................................53

II.IV.I. Método del Indicador Básico…………………………………………53

II.IV.II. Método Estándar……………………………………………....……..54

II.IV.III. Método de Medición Avanzada (A.M.A)………………………..…55

CAPÍTULO III

APLICABILIDAD DEL NUEVO ACUERDO DE CAPITAL DEL COMITÉ DE

BASILEA PARA EL CASO ECUATORIANO………………………..………57-65

III.I. Diagnóstico de requerimientos mínimos de capital………………………...57

III.II Diagnóstico del examen del supervisor…………………………………..….59

III.III Diagnóstico de la Disciplina de Mercado……………………………..……..60

III.IV Efectos del Nuevo Acuerdo de Basilea II…………………………....……...61

III.IV.I. Beneficio global de la propuesta de Basilea II………....….……..62

III.IV.II. Limitantes para la implementación del Basilea II….……………..64

III.V Comentarios Superintendencia de Bancos y seguros acerca de la

aplicabilidad del nuevo acuerdo…………………………………….....…….65

CAPÍTULO IV

IMPLEMENTACIÓN DE LA GESTIÓN RIESGO OPERATIVO EN

INSTITUCIONES FINANCIARAS ECUATORIANAS……………………..67-101

IV.I Proceso de elaboración, discusión y emisión de la norma: Resolución

JB-834………………………………………………………….......…………..67

IV.II Situación actual de la gestión de Riesgo Operativo en la Entidad

Financiera en estudio. …………………………………….……………..…..70

IV.III Metodología para implementar la Gestión de Riesgo Operativo.….……..86

IV.I.I. Cultura…………………………………………………………….….…87

IV.I.II. Gestión Cualitativa…………………………………………….………89

IV.I.III Gestión Cuantitativa……………………………………………...….100

- 6 -

CONCLUSIONES…………………………………………………………………..102

RECOMENDACIONES…………………………………………………………… 104

GLOSARIO DE TÉRMINOS……………………………………………………....106

BIBLIOGRAFÍA……………………………………………………………….....…114

ANEXO.............…………………………………………………..……………112-147

- 7 -

INTRODUCCIÓN

El Riesgo Operativo no es un riesgo reciente, de hecho ha sido uno de los

primeros riesgos por el que se preocupaban los bancos con la finalidad de

prevenir el fraude, mantener controles internos adecuados, reducir errores en el

procesamiento de la información, entre otros; lo que en realidad es

relativamente nuevo es la administración del riesgo operativo como algo

comparable a la administración de riesgo de crédito y riesgo de mercado.

En los últimos años hemos visto como la preocupación por el riesgo

operacional, que hasta hace poco tiempo era considerado un riesgo secundario

en la banca, ha ido creciendo progresivamente.

En la segunda mitad de la década de los años 90 diversas instituciones

financieras originarias del Reino Unido, Japón y Estados Unidos sufrieron

pérdidas catastróficas ocasionadas por riesgos operativos. Como

consecuencia, surgió en esos países un acentuado interés de identificar y

administrar los riesgos operativos a los que se encontraban expuestos.

Por una parte las entidades y los supervisores perciben que la exposición a

éste riesgo se ha intensificado a medida que el sector financiero ha ido

evolucionando. Factores decisivos en ésta tendencia han sido la mejora de las

tecnologías, el desarrollo de nuevas técnicas de mitigación de riesgos y la

creciente globalización y complejidad del sistema financiero.

Por otra parte, la industria bancaria se ha visto cada vez más interesada en la

medición del riesgo operacional, motivada por la necesidad de mejorar sus

ratios de eficiencia y racionalizar la asignación de capital entre las diferentes

unidades de negocio.

- 8 -

Éstos antecedentes también impulsaron el desarrollo de la regulación en

materia de administración de riesgos operativos y el establecimiento de

requerimientos de capital para enfrentar las posibles pérdidas causadas por

ésta clase de riesgo. El Comité de Supervisión Bancaria de Basilea en Suiza ha

sido el principal foro mundial para la discusión y definición de esa regulación.

Los tres borradores de las sanas prácticas para la gestión y supervisión del

riesgo operativo y el segundo acuerdo de capitalización publicados por ese

Comité, sintetizan las mejores prácticas de gestión y supervisión, por parte de

los reguladores, en materia de administración de riesgos operativos.

Como respuesta a éste fenómeno, las Entidades han ido incrementando

paulatinamente los recursos asignados a éste riesgo, pasando de la simple

mejora de los sistemas de control al desarrollo de modelos de gestión de

medición y control del riesgo operacional que intentan obtener una estimación

razonable del impacto de futuras pérdidas.

Tradicionalmente el riesgo operativo se definía como “todo aquello que no se

encuadra dentro del riesgo de crédito ni de mercado”. A partir el Nuevo

Acuerdo de Capital surge una definición mas clara y precisa en relación con el

riesgo operacional, que queda definida como “riesgo e incurrir en pérdidas

como consecuencias de las fallas o insuficiencia en los procesos, personas,

sistemas inadecuados, así como por otros eventos externos”, esta definición

incluye el riesgo legal, pero no así el riesgo reputacional.

El incremento de pérdidas debido a riesgos operativos, indican que a la falta de

gestión, medición, control, el Riesgo Operacional puede resultar en la quiebra

de la Institución Financiera, independiente de su tamaño, reputación por lo que

ha llevado a las Entidades financieras y supervisores a que consideren la

administración el riesgo operativo como una disciplina.

- 9 -

La administración de Riesgos es una disciplina que se ocupa del estudio de

cómo realizar el análisis y predicción con la mayor exactitud posible de la

ocurrencia de los hechos causantes de perjuicios económicos a personas

naturales y/o jurídicas con el fin de medirlos y analizarlos para lograr su

eliminación o en caso contrario disminuir sus efectos negativos.

Por lo tanto cada Institución desarrollará sus propias técnicas o esquemas de

administración de acuerdo con su objeto social, tamaño, naturaleza,

complejidad y demás característicos propias.

- 10 -

CAPÍTULO I

COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA

I.I Breve descripción de la historia La constitución del Comité de Basilea en 1975 coincidió con el final de la

segunda e inicio de la tercera fase de globalización (1973-1975), situación que

implicaba la primera preocupación de carácter global relativa a la crisis

financiera por el cierre del Bankhaus Herstatt en Colonia, Alemania 1974, tal

decisión tuvo como origen las importantes pérdidas incurridas por razón de

operaciones en moneda extranjera calculadas por cerca de usd$200 millones al

tiempo de la clausura. Como consecuencia de tal cierre intempestivo, la

liquidación y compensación de un número considerable de transacciones

internacionales quedó sin realizarse toda vez que el Chase Manhattan de

Nueva York, banco corresponsal del Herstatt en USA, rehusó cumplir con

órdenes de pago y cheques contra la cuenta del banco alemán por el valor de

usd620 millones. Estas difíciles circunstancias por poco conducen al colapso

del sistema de pagos Norteamericano y del sistema financiero internacional.

Con el propósito de restaurar la confianza y estabilidad del sistema financiero

internacional, los gobernantes de los Bancos Centrales del Grupo de los Diez

(países) expidieron un comunicado en Septiembre de 1974 transmitiendo un

mensaje de total respaldo a la liquidez del sistema de pagos internacionales.

De igual manera, crearon un comité permanente de supervisores encargados

de desarrollar principios y reglas apropiadas sobre prácticas de regulación y

supervisión de los mercados bancarios internacionales.

- 11 -

El comité integrado por los gobernantes de los Bancos Centrales del G-10

estaría conformado por Alemania, Bélgica, Canadá, España, Estados Unidos,

Francia, Italia, Japón, Luxemburgo, Holanda, Reino Unido, Suecia y Suiza,

adopta el nombre de Comité de Basilea para la Supervisión Bancaria; ya que,

tendría su sede en Basilea, Suiza en las oficinas del Banco de Pagos

Internacionales. Tal comité debía reportar a tales gobernantes sobre el

desarrollo de herramientas que evitaran la ocurrencia de crisis similares en el

futuro. Desde entonces el comité se ha caracterizado por su informalidad legal

y procedimental, por ser un comité que deriva su existencia del mandato de los

gobernantes y directores de los referidos Bancos Centrales, así como la

seriedad y solidez en su trabajo.

El Comité evita expresarse en términos legales o en textos que reflejen

acuerdos o mandatos y siempre tiende a utilizar marcos generales, reportes,

recomendaciones y declaraciones. Los gobernadores y directores de los

Bancos Centrales apoyan tales trabajos pero no los adoptan expresamente o

los verifican.

En sus orígenes, el Comité se encargo de temas relacionados con operaciones

en moneda extranjera y de crear mecanismos de detección temprana que

evitaran la ocurrencia de nuevas crisis como la de 1974. De igual manera, la

metodología utilizada así como la composición de sus miembros posibilitó que

los supervisores conocieran las experiencias de otros países. Así, aprendieron

uno del otro mejorando los mecanismos de regulación y supervisión utilizada a

la fecha a nivel doméstico, procurando al mismo tiempo con su trabajo común,

alcanzar de alguna manera la estabilidad financiera internacional.

- 12 -

“Un poco de Historia”( para comprender lo que viene)

ACUERDO

ORIGINAL

(BASILEA I)

BOOM

CRISIS

FINANCIERA

RIESGO DE

MERCADO

( 1º ENMIENDA)

CRISIS ASIATICA

CRISIS RUSA,

BRASIL, TURQUIA

PRINCIPIOS BASICOS DE

SUPERVISION BANCARIA

“NUEVO ACUERDO”

BASILEA II

EFECTO TEQUILA

FRACTURA

NECESIDAD DE

CAMBIO

1988 1994 1996 1997 1999 1999

I.II. Basilea I El Comité de Basilea representó, además de una preocupación, una

transformación en el modelo de supervisión bancaria ya que su presencia

expresó el paso de una economía de regulación y de intervención estatal a otra

de predominio del mercado como mecanismo de redistribución del ingreso y

asignador de recursos.

En adelante la dinámica financiera respondía a la desregulación y/o

liberalización de las tasas de interés y de tipos de cambios, en el mercado

financiero y cambiario; por lo que, los instrumentos de política monetaria fueron

perdiendo capacidad para incidir en el precio del dinero en el mercado de

capitales.

En el contexto de la globalización financiera la preocupación se centraba en los

riesgos a que estaban expuestas las entidades financieras ya que los flujos de

capitales experimentaban ser muy volátiles y con un alto contagio visible y

- 13 -

tangible, capaz de estremecer la estabilidad macroeconómica y financiera de

cualquier país.

La situación planteada generó intensos debates y profundos análisis a lo

interno del comité de Basilea, lo que provocó que en Julio de 1988 se

estableciera el acuerdo mínimo de capital para las entidades bancarias que

operan a nivel internacional que se denominó convergencia internacional de

medidas y normas de capital, mejor conocido como Basilea I, constituyendo el

primer estándar internacional de requisitos mínimos de capital o parámetro con

que deben operar las entidades bancarias, por lo que en un primer momento,

éstos requerimientos de capital solo tenían en cuenta el riesgo de crédito.

En 1994 reventó una crisis financiera que hizo que muchos bancos

norteamericanos, pequeños y medianos, que prestaron dinero por toda

América Latina, sean absorbidos por bancos más grandes, teniéndose que

negociar las liquidaciones de los préstamos con emisiones de bonos

denominados Brady, por el antiguo secretario del Tesoro de los Estados Unidos

llamado James Brady, quien les dio el respaldo de poder recuperar, a mediano

y largo plazo las colocaciones efectuadas.

Para 1996, Basilea I fue ampliada ya que a los requerimientos de capital se le

incorporó los riesgos de mercado, concentrándose en regular la exposición del

sistema financiero en sus incursiones en el mercado público de valores, para

nivelar la igualdad competitiva de los bancos y estar acorde con una economía

sin barreras, más globalizadas y con instituciones con mayor presencia

internacional.

Después de la crisis los bancos fueron capitalizándose aceleradamente para

soportar en 1997 la crisis financiera asiática al igual que la crisis rusa, brasilera

y de Turquía.

- 14 -

Éste acuerdo ha jugado un papel importante en el fortalecimiento de los

sistemas bancarios y ha constituido un conjunto de recomendaciones

alrededor de una idea principal: la de establecer un techo para el valor de los

créditos que puede conocer una entidad bancaria en función de su capital

propio, que se fue en 12,5 veces el valor de este último.

Al ser una recomendación cada uno de los países signatarios, así como

cualquier otro país, quedaba libre de incorporarlo en su ordenamiento

regulatorio con las modificaciones que considerase oportuna; más de 130

países lo han adoptado. Además, cuenta con el reconocimiento del Fondo

Monetario Internacional y del Banco Mundial como buena práctica

internacional.

El Comité pretendía evitar que los bancos incurriesen en excesivos riesgos

crediticios, exigiéndoles mantener un nivel mínimo de capital en función del

riesgo asumido, tal que, en casos de insolvencia de sus deudores, absorbiera

las posibles pérdidas, por lo que el acuerdo de Basilea I subdivide el capital en

dos grandes grupos: por un lado está el capital primario que como mínimo debe

representar el 50% del capital regulatorio, y por otro lado, está el capital

secundario que debe representar como máximo el 50% del capital regulatorio.

En el capital primario entran las acciones comunes y preferidas, en tanto que

en capital secundario abarca las provisiones para pérdidas de activos, las

deudas subordinadas y las reservas de reevaluación.

Por tal razón el mínimo de capital requerido por Basilea I se establecieron en

función del grado de riesgos de los activos, debiendo tener un coeficiente

mínimo del 8% entre el capital y los activos ponderados por riesgos (aunque

varios países incluyendo República Dominicana adoptaron el 19%) y en el cual

el nivel de riesgos de los activos se le asigna desde 0% hasta el 100% para los

préstamos y sujeto a un mismo requerimiento de capital.

- 15 -

I.III Principios Básicos de Supervisión Bancaria Los principios básicos constituyen un marco de normas mínimas para las

prácticas de supervisión sólidas y consideradas de aplicación universal. El

Comité publicó los principios básicos en Septiembre de 1997 junto con la

metodología que ha sido utilizada por los países como parámetro para evaluar

la calidad de los sistemas de supervisión e identificar el trabajo futuro por

realizar para alcanzar un nivel básico de práctica de supervisión sólida y a su

vez contribuir al fortalecimiento del sistema financiero nacional. El Comité cree

que la implementación por parte de todos los países será un paso hacia

delante para mejorar la estabilidad financiera nacional e internacional.

Para logro de éste objetivo serán necesarios cambios substanciales en el

marco legislativo de muchos países, creando leyes que les permitan a las

autoridades supervisoras implementar todos los principios, ya que en éstos,

muchas de ellas no tienen estatutos establecidos.

Los principios básicos de Basilea comprenden 25 principios, son integrales en

su cobertura y representan los requerimientos mínimos que facilitaran las

condiciones para lograr un régimen de supervisión bancaria efectivo y han sido

diseñados para poder ser verificados por los supervisores, grupos regionales

de supervisión y el mercado en general. En la producción del documento

participaron 16 agencias supervisoras bancarias y con la asesoría del Fondo

Monetario Internacional (FMI) y el Banco Mundial.

Estos principios son categorizados en forma general en siete grupos:

Grupo I: Objetivos, independencia, poderes, transparencia y cooperación

(principio 1);

Grupo II: Otorgamiento de licencia y estructura( principios 2 al 5);

Grupo III: Regulación prudencial y requerimientos (principios 6 al 15);

Grupo IV: Métodos de supervisión continúa (principios 16 al 19);

Grupo V: Contabilidad y divulgación de información (principio 20);

- 16 -

Grupo VI: Poderes correctivos y poder de los supervisores (principio 21);

y,

Grupo VII: Supervisión Consolidada y supervisión bancaria

transfronteriza (principios 22 y 25).

A continuación los 25 principios de Basilea:

Grupo I: Objetivos, independencia, poder, transparencia y cooperación:

Principio 1: Proporcionar un sistema de supervisión bancaria efectivo en el

cual las responsabilidades y proyectos estén bien definidos para cada una de

las instituciones involucradas permitiendo así la supervisión de organizaciones

bancarias. Cada institución debe poseer independencia operativa y contar con

recursos adecuados.

Grupo II: Otorgamiento de licencia y estructura:

Principio 2: Actividades permitidas: Las actividades permitidas a

Instituciones bancarias que reciben una licencia son reguladas, deben estar

claramente definidas y el uso de la palabra Banco como nombre debe ser

controlado lo más posible.

Principio 3: Criterios de otorgamiento de licencia: La autoridad reguladora

que otorga las licencias debe tener el derecho para plantear criterios y rechazar

las solicitudes que no cumplen con los requerimientos. El proceso de

autorización debe realizar como mínimo una evaluación de la estructura de la

organización bancaria, abarcando a propietarios, directores y a la

administración superior, el plan operativo, control interno y la situación

financiera proyectada, incluyendo su capital base.

Principio 4: Transparencia de propiedad significativa: Los supervisores

bancarios debe de tener la facultad para analizar y la autoridad de rechazar:

a) cualquier propuesta para transferir propiedades significativas o cuantiosas;

b) controlar intereses de bancos existentes en otros grupos empresariales.

- 17 -

Principio 5: Grandes adquisiciones: Los supervisores bancarios deben tener

la autoridad para establecer criterios para analizar adquisiciones de gran

importancia o inversiones por un banco, asegurándose de que las afiliaciones o

estructuras corporativas, no expongan al banco a riesgos excesivos ni

entorpezcan la supervisión bancaria.

Grupo III: Regulación prudencial y requerimientos:

Principio 6: Adecuación de Capital: Los supervisores bancarios deben

establecer en forma prudente y apropiada, los requerimientos mínimos de

capital para todos los bancos, éstos requerimientos deben de reflejar el riesgo

al que los bancos se exponen y deben definir los componentes de éste capital,

tomando en cuenta su capacidad de absorber pérdidas. Para los bancos

internacionalmente activos, estos requerimientos no deben ser menores a los

establecidos en el Acuerdo de Capitales de Basilea y sus enmiendas.

Principio 7: Proceso de gestión de riesgo: Es esencial para cualquier

sistema de supervisión bancaria la evaluación de las políticas, prácticas y

procedimientos de un banco, usados para la aprobación y administración de las

carteras de préstamos e inversiones. Estos procesos deben ser acorde con el

tamaño y complejidad de la Institución.

Principio 8: Riesgo Crediticio: Los supervisores bancarios deben estar

cómodos y satisfechos con las políticas, prácticas y procedimientos que

establezcan y rijan a los bancos para evaluar la calidad de activos, las

provisiones y reservas por pérdidas relacionadas con préstamos.

Principio 9: Límites a la exposición a grandes deudores: Los supervisores

bancarios, deben estar satisfechos con los sistemas de información gerencial

de los bancos que les permita identificar concentraciones dentro de la cartera.

Los supervisores deben establecer límites prudenciales y adecuados para

restringir la exposición del banco a los préstamos individuales y a los

préstamos de grupos empresariales relacionados a los bancos.

- 18 -

Principio 10: Exposición crediticia a partes relacionadas: Para prevenir

abusos con los préstamos relacionados, los supervisores bancarios deben

tener establecidos y asegurados los requerimientos básicos que los bancos

deben cumplir para que:

a) Tales extensiones de crédito sean monitoreadas y supervisadas

efectivamente; y;

b) Permita tomar otras medidas para controlar o mitigar los riesgos.

Principio 11: Riesgo país y riesgo de transferencia: Los supervisores

bancarios deben estar satisfechos con las políticas y procedimientos de los

bancos para identificar, monitorear y controlar los riesgos país y el riesgo de

transferencia en sus préstamos internacionales y actividades de inversión y

para mantener las reservas apropiadas contra tales riesgos.

Principio 12: Riesgo de mercado: Los supervisores bancarios deben estar

satisfechos con el sistema de los bancos para medir con gran precisión,

monitorear y controlar adecuadamente los riesgos del mercado; de ser

necesario los supervisores deben tener el poder para imponer límites y/o

cargas de capital específicas cuando hay exposición a riesgos en el mercado,

que le permitan garantizar el capital activo del banco.

Principio 13: Proceso Integral: Los supervisores bancarios deben estar

conformes con el proceso integral para:

a) El manejo de los riesgos a nivel administrativo (por medio de una junta o

consejo administrativo apropiado y a la adecuada supervisión de una

administración superior);

b) Identificar, medir, monitorear y controlar todos los demás objetos de riesgos;

c) Retener el capital en contra de éstos riesgos, cuando sea necesario.

- 19 -

Principio 14: Control Interno y auditoria: Los supervisores bancarios

deberán determinar que el control interno de los bancos se encuentran en

orden, acorde a la naturaleza y escala de sus negocios. Estos controles

internos deberán incluir:

a) Arreglos para delegar autoridad y responsabilidad a una persona

(separándolos de las funciones que puedan comprometer al banco, pagando

sus cuentas y llevando registros de sus bienes y compromisos);

b) Arreglos para la conciliación de estos procesos (salvaguardando de ésta

forma sus bienes); y;

c) Arreglos para una auditoría interna o externa independiente y apropiada (la

cual servirá para poner a prueba el seguimiento a éstos controles, leyes y

regulaciones previamente establecidos).

Principio 15: Abuso de los servicios financieros: Los supervisores

bancarios deben determinar que los bancos tengan políticas, prácticas y

procedimientos adecuados, que incluyan la estricta regla de “Conoce a su

cliente”, lo cual promueve altos estándares de ética y profesionalismo en el

sector financiero. Éstas medidas previenen que los bancos sean utilizados por

elementos criminales, en una forma voluntario o involuntaria.

Grupo IV: Método de supervisión continua:

Principio 16: Sistema de supervisión: Un sistema de supervisión bancaria

efectivo debe consistir en dos formas de supervisión:

a) Supervisión dentro del lugar del trabajo; y;

b) Supervisión fuera del lugar del trabajo.

Principio 17: Enfoque de supervisión: Un enfoque de supervisión debe estar

orientado a mantener un regular contacto con la gerencia de los bancos y un

fluido entendimiento en las operaciones de la Institución.

- 20 -

Principio 18: Informes de Supervisión: Los supervisores deben tener

métodos para recolectar, examinar y analizar reportes y datos estadísticos de

los bancos, de manera individual y consolidada.

Principio 19: Verificación de Informes: Los supervisores bancarios deben

mantener medios para determinar que la información obtenida en la supervisión

sean válidas ya sea a través de inspecciones in-situ o de la ayuda de

especialistas externos.

Grupo V: Contabilidad y divulgación de información:

Principio 20: Los supervisores deben de asegurarse que cada banco

mantenga registros adecuados, diseñados de manera que concuerden con

políticas contables consistentes, con prácticas que permitan al supervisor

obtener una visión verdadera y precisa de la condición financiera del banco y

de la rentabilidad de sus negocios y que el banco haga publicaciones regulares

del estado financiero, que reflejen realmente su condición.

Grupo VI: Poderes correctivos de los supervisores:

Principio 21: Los supervisores deben tener la facultad de realizar acciones

correctivas a tiempo cuando:

a) Los bancos falten al cumplimiento de ciertos requerimientos prudenciales

(como los rangos de capital mínimo);

b) Existan violaciones a las regulaciones, y;

c) Los depositantes se vean amenazados de alguna manera.

Grupo VII: Supervisión consolidada y supervisión bancaria

transfronteriza:

Principio 22: Supervisión Consolidada: Un elemento esencial de la

supervisión bancaria es que los supervisores supervisen un grupo bancario en

forma consolidada.

- 21 -

Principio 23: Relación país de origen: La supervisión transfronteriza

consolidada exige la cooperación y el intercambio de información entre

organizaciones bancarias internacionales activas, aplicando y monitoreando

apropiadamente en todos los aspectos las normas prudenciales, a los negocios

manejados por éstas organizaciones bancarias alrededor del mundo,

primordialmente a sus sucursales extranjeras, co-inversiones y subsidiarias.

Principio 24: Relación país anfitrión: Un componente clave de la supervisión

consolidada es establecer el contacto entre los supervisores involucrados y

establecer intercambios de información entre todos los demás supervisores

involucrados, primordialmente con las autoridades supervisoras del país

anfitrión.

Principio 25: Supervisión consolidada entre país de origen y país

anfitrión: Con el propósito de llevar a cabo una supervisión consolidada los

supervisores bancarios deben:

a) Requerir que las operaciones locales de bancos extranjeros, sean

conducidas para los mismos estándares que son requeridos a las instituciones

locales, y;

b) Poseer poderes para compartir la información del supervisor local encargado

de éstos bancos.

- 22 -

I.IV Basilea II

Como sigue el “NUEVO ACUERDO”

2º RONDA CONSULTIVA

(PRACTICAS SÓLIDAS PARA

LA ADMINISTRACION Y

SUPERVISION DEL RIESGO

OPERATIVO

ACUERDO

DEFINITIVO

IMPLEMENTACION

REGULACIONES

BANCARIAS AUTOCTONAS

BASILEA II3º RONDA

CONSULTIVA

1999 2001 2003 2004 2006 2010

PRINCIPIOS PARA LA

ADMINISTRACIÓN DE

RIESGOS DE

CRÉDITOS

2000

A lo largo de estos años, la complejidad de la actividad bancaria, las prácticas

de gestión de riesgos, los enfoques de supervisión y los mercados financieros

en general, han experimentado significativas transformaciones que restan

eficacia a dicho acuerdo. Este hecho provoca que el Acuerdo de Basilea I no

refleje la verdadera naturaleza de los riesgos asumidos por algunas entidades

y, por consiguiente conlleve a una deficiente asignación de recursos y estimule

un significativo arbitraje en materia de capital.

El Comité, no ajeno a ésta situación en Junio de 1999, publicó un documento

consultivo “A New Capital Adequancy framework”, para reemplazar el Acuerdo

de 1988, presentando posteriormente, en enero del 2001 y abril del 2003,

sendas propuestas más desarrolladas, sobre las que se ha trabajado ha

motivado para proponer, aprobar en Junio 26 del 2004 (Madrid) y publicar el

Nuevo Acuerdo de Capital (Basilea II).

- 23 -

Ésta propuesta en la Unión Europea dará lugar a una nueva directiva de

adecuación de capital de las entidades de crédito y empresas de inversión,

que, a su vez, se transpondrá a las normativas nacionales para su entrada en

vigor a partir de Diciembre del 2006.

El Nuevo Acuerdo de Capital o Basilea II, intenta mejorar la seguridad y

solvencia del sistema financiero, mostrándose como una norma de adecuación

de capital más sensible al riesgo de las operaciones bancarias, e incentivando

a las entidades en la mejora de sus capacidades de gestión y control de

riesgos.

Los tres Pilares de Basilea II

Los tres Pilares de Basilea IIR

iesgo O

pera

tivo

Rie

sgo d

e C

rédit

o

Rie

sgo d

e M

erc

ado

Requerimiento de capitales mínimos

Proceso de supervisión bancaria

Pilar I

Pilar III

Pilar II

- 24 -

El acuerdo de Basilea II se asienta en dos grandes bloques: el ámbito de

aplicación, que va a determinar las entidades en las que deberá cumplirse el

coeficiente de solvencia y los tres pilares fundamentales:

1.- Las ponderaciones de riesgo asignadas a los diferentes tipos de activos de

riesgo, se incluye el riesgo operacional;

2.- Supervisión corriente por parte de las Superintendencias; y;

3.- La disciplina del mercado a través de más transparencia.

Pilar I.- Requerimientos mínimos de capital: Define el capital

mínimo de las entidades de crédito en función de los niveles de riesgos

asumidos de crédito, de mercado y operativos. Se establecen una ponderación

de los riesgos vigentes, evaluados según metodologías estándares (con

parámetros predefinidos por Basilea II) o con métodos avanzados

(desarrollados por las entidades y aceptados por los supervisores). El capital

mínimo exigido a cada entidad ha de ser el 8% de la suma de la evaluación de

los riesgos de crédito, de mercado (mantiene la evaluación propuesta en 1988)

y operacional. La novedad, entre otras, consiste en considerar al riesgo

operativo como un riesgo importante, de similar tratamiento y evaluación, con

consumo de capital.

Primer Pilar

Requerimiento de Capitales Mínimos

Ratio de

Capitales Mínimos(BASILEA I = BASILEA II = 8%)

(A) Grandes Categorías de Riesgo.

(B) 1) Calificaciones de Agencias

Externas. Mas categorías

2) Modelos Internos de los

Bancos.

CAPITAL REGULATORIO

(BASILEA I = BASILEA II)

ACTIVOS PONDERADOS

POR RIESGO

RIESGO DE MERCADO

(BASILEA I = BASILEA II)

+RIESGO DE CREDITO

(BASILEA I ≠ BASILEA II)

(A) (B)

+RIESGO OPERATIVO (BASILEA II)

- 25 -

Pilar II.- Proceso de Supervisión bancaria: Determina las

relaciones periódicas y sistemáticas de cada entidad con los responsables de

su supervisión (bancos centrales).

Cuatro principios encauzan éstas relaciones:

1) Las entidades deberán contar con un proceso suficiente para evaluar sus

requerimientos de capital (control de riesgo) y con una estrategia coherente

para su mantenimiento;

2) Los supervisores juzgarán los procesos y estrategias de las entidades para

verificar su cumplimiento satisfactorio con posibilidades de intervenir, caso

contrario;

3) Los supervisores podrán exigir un cumplimiento por encima del capital

mínimo; y,

4) Posibilidad de intervención inmediata y con prontitud cuando el capital

requerido esté por debajo del mínimo exigiendo medidas correctivas eficaces.

Segundo PilarProceso de Revisión del Supervisor

CUATRO PRINCIPIOS Y DOS CONCEPTOS CLAVES.

NECESIDAD DE LOS BANCOS DE EVALUAR LA

SUFICIENCIA DE SU CAPITAL EN RELACION CON

LOS RIESGOS ASUMIDOS.

NECESIDAD QUE LOS SUPERVISORES

REVISEN LAS EVALUACIONES EFECTUADAS

POR LOS BANCOS, LAS AVALEN O SOLICITEN

LA CONSTITUCIÓN DE CAPITAL ADICIONAL

POR ENCIMA DEL PILAR I.

- 26 -

Pilar III.- Disciplina de mercado: Establece requisitos para la

divulgación de información sobre los riesgos y su gestión de las entidades a

nivel particular.

El objetivo es:

1) La generalización de las buenas prácticas bancarias y homogeneización

internacional;

2) La reconciliación de los puntos de vista financiero, contable y de la gestión

de riesgo sobre la base de la información acumulada por las entidades; y,

3) La transparencia financiera a través de la homogeneización de los informes

de riesgo publicados por los bancos.

Tercer Pilar

Disciplina de Mercado.

Sofisticación de

métodos de

estimación

“Conjunto de principios de divulgación de información que permita a los participantes del mercado evaluar el

perfil de riesgo de un banco y su nivel de capitalización.”

¿Porqué?

Transparencia por:

Posible

Discrecionalidad de

los bancos

Marco de divulgación ≠ Normas Contables.

- 27 -

I.V. Principios de “Practicas Adecuadas para la Gestión y Supervisión del Riesgo”

Al desarrollar sus buenas prácticas, el Comité ha partido de su labor anterior

sobre la gestión de otros riesgos bancarios significativos, como el riesgo de

crédito, de tipos de interés o de liquidez, convencido de que es necesario tratar

el riesgo operativo con el mismo rigor que se aplica a los demás riesgos. Sin

embargo, no cabe duda de que en el riesgo operativo difiere de otros riesgos

bancarios, al no ser un riesgo que se acepte directamente a cambio de un

beneficio esperado, sino que es algo que se puede producir en el acontecer

diario de la actividad empresarial, y esto repercute en el proceso de gestión del

riesgo. Al mismo tiempo si éste riesgo no se controla adecuadamente, puede

verse afectado el perfil de riesgo de la Institución, con lo que podría verse

expuesta a pérdida significativas, por lo que entendemos por gestión de riesgo

operativo a la “identificación, evaluación, seguimiento y control o cobertura” del

riesgo. Esta definición contrasta sin embargo con la que utilizó el Comité en

informes anteriores sobre gestión del riesgo, que hacia referencia a la

“identificación, cálculo, seguimiento y control” del riesgo.

Si no se comprende y gestiona adecuadamente el riesgo operativo, presente

en cada operación y actividad bancaria, se puede aumentar la probabilidad de

que algunos riesgos pasen desapercibidos o escapen a los controles. Tanto el

consejo como la dirección son los responsables de crear una cultura

organizativa que conceda gran prioridad a la gestión eficaz del riesgo operativo

y al cumplimiento de estrictos controles operativos.

La gestión de riesgo operativo resulta más eficaz cuando el banco presta

especial atención al cumplimiento de las normas más estrictas de

comportamiento ético en todos los niveles de la organización. El Directorio y la

gerencia deberán fomentar una cultura organizativa que inculque, de palabra y

obra, integridad entre todos los empleados a la hora de realizar sus actividades

diarias.

- 28 -

El Comité, al igual que en sus trabajos sobre otros riesgos bancarios, ha

estructurado principios de prácticas adecuadas para la gestión del riesgo

agrupados en tres grupos:

Grupo I: Desarrollo de un marco adecuado para la gestión del riesgo (Principio

del 1 al 3);

Grupo II: Gestión del Riesgo: Identificación, evaluación, seguimiento y control

(principio del 4 al 7); y,

Grupo III: La función de los supervisores (principio del 8 al 10).

Grupo I: Desarrollo de un marco adecuado para la gestión del riesgo

Principio 1: El Directorio deberá conocer cuales son los principales aspectos

de los riesgos operativos para el banco como una categoría diferente de riesgo,

y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la

gestión de éste riesgo. Éste marco deberá ofrecer una definición de riesgo

operativo válida para toda la empresa y establecer los principios para definir,

evaluar, seguir y controlar o mitigar éste tipo de riesgos.

El Directorio deberá aprobar la implementación de un marco a lo largo de la

empresa para la administración explícita del riesgo operativo como un riesgo

diferente que pone en peligro la seguridad y solvencia del banco. El Directorio

debería suministrar pautas y directrices claras a la alta gerencia respecto de los

principios subyacentes del marco y aprobar las políticas correspondientes

desarrolladas por la alta gerencia.

Dicho marco deberá partir de una definición adecuada de riesgo operativo que

articule claramente que es riesgo operativo en ese banco. El marco debería

cubrir el apetito y la tolerancia del banco respecto del riesgo operativo, de

acuerdo con lo especificado en las políticas para administrar ese riesgo y la

- 29 -

priorización por el banco de las actividades en torno a la administración del

riesgo operativo, incluyendo la medida en que y la forma en que, el riesgo

operativo se transfiere fuera del banco. También debería incluir políticas que

definen el enfoque del banco para identificar, evaluar, monitorear y

controlar/mitigar el riesgo. El grado de formalidad y sofisticación del marco de

administración del riesgo operativo del banco debería ser coherente con el

perfil del riesgo del banco.

El Directorio es responsable por la creación de una cultura gerencial capaz de

implementar el marco de administración del riesgo operativo en la empresa, ya

que un aspecto importante de la administración del riesgo operativo está

relacionado con el establecimiento de controles internos fuertes, es

especialmente importante que el directorio defina líneas claras de

responsabilidad gerencial y para la presentación de informes. Además, debería

haber una separación de responsabilidades y líneas para la presentación de

informes entre las funciones de control del riesgo operativo, líneas de negocios

y funciones de apoyo a fin de evitar conflictos de interés. El marco también

debería articular los procesos claves que se necesitan en la empresa para

administrar el riesgo operativo.

El directorio debería revisar regularmente el marco para garantizar que el

banco esté administrando los riesgos operativos resultantes de cambios en el

mercado externo y otros factores del entorno, al igual que los riesgos

operativos asociados con productos, actividades o sistemas nuevos. Éste

proceso de revisión también debería tener como propósito la evaluación de las

buenas prácticas en el sector en la administración del riesgo operativo que son

adecuadas para las actividades, sistemas y procesos del banco. De ser

necesario, el directorio debería asegurar que el marco de administración del

riesgo operativo se revise a la luz de éste análisis, para que se capten los

riesgos operativos más importantes en el marco.

- 30 -

Principio 2: El Directorio debería asegurar que el marco de administración del

riesgo operativo del banco sea sujeto a una auditoría interna efectiva e integral

por personal competente, independiente desde el punto de vista operativo y

con una adecuada capacitación. La función de auditoría interna no debería

tener la responsabilidad directa por la administración del riesgo operativo.

Los bancos deberían tener estructuras adecuadas de auditoría interna para

verificar sí las políticas y procedimientos se han implementado efectivamente.

El directorio (o bien directamente o bien indirectamente a través de su comité

de auditoría) debe asegurar que el alcance y la frecuencia del programa de

auditoría sean adecuados considerando la exposición al riesgo. La auditoria

debería verificar periódicamente sí el marco de administración del riesgo

operativo de la empresa se está implementando efectivamente en toda la

empresa.

En la medida en que la función de auditoría participa en la supervisión del

marco de administración del riesgo operativo, el directorio debería asegurar

que se mantenga la independencia de la función de auditoría. Ésta

independencia puede correr peligro sí la función de auditoría está involucrada

directamente en el proceso de administración del riesgo operativo. La función

de auditoría puede suministrar input valiosos a los encargados de la

administración del riesgo operativo. En la práctica, el Comité reconoce que la

función de auditoría en algunos bancos (sobre todo en los bancos más

pequeños) puede tener la responsabilidad inicial por el desarrollo de un

programa de administración del riesgo operativo. Si éste es el caso, los bancos

deben asegurar que la responsabilidad por la administración diaria del riesgo

operativo sea transferida oportunamente a otra división.

Principio 3: La alta gerencia debe ser responsable por la implementación del

marco de administración del riesgo operativo aprobado por el directorio. El

marco se debe implementar de forma coherente a lo largo de toda la

organización bancaria, y todos los niveles del personal deberían entender sus

- 31 -

responsabilidades respecto de la administración del riesgo operativo. La alta

gerencia también debería ser responsable por el desarrollo de políticas,

procesos y procedimientos para administrar el riesgo operativo en todos los

productos, actividades, procesos y sistemas más importantes del banco.

La gerencia debe traducir el marco de administración del riesgo operativo fijado

por el directorio en políticas unidades de negocio. Mientras que cada nivel de

administración es responsable por la conformidad y efectividad de las políticas,

procesos, procedimientos y controles dentro de su ámbito de trabajo, la alta

gerencia debe asignar la autoridad, responsabilidades y relaciones de

presentación de informes para promover y mantener el sistema, asegurar que

haya los recursos necesarios para administrar efectivamente el riesgo

operativo.

La alta gerencia debe asegurar que las actividades del banco sean llevadas a

cabo por personal calificado con la experiencia y capacidad técnica requerida y

con acceso a recursos, y que el personal responsable por el monitoreo y

imposición de la política de riesgo de la institución tenga autoridad

independiente de las unidades bajo su supervisión. La gerencia debe asegurar

que la política de administración del riesgo operativo del banco se haya

comunicado claramente al personal en todos los niveles en las unidades

expuestas a riesgos operativos importantes.

La alta gerencia debería asegurar que el personal responsable por la

administración del riesgo operativo trabaje en efectiva coordinación con el

personal de la administración de los riesgos de crédito, mercado, y otros, al

igual que con el personal de la empresa encargado de la contratación de

servicios externos, como ser seguros y acuerdos de subcontratación. Si no se

toma en cuenta ésta coordinación, podría haber vacios significativos en el

programa general de administración de riesgos del banco.

- 32 -

La alta gerencia también debería asegurar que las políticas de remuneración

del banco sean coherentes con su apetito de riesgo. Las políticas de

remuneración que recompensan al personal que se desvía de las políticas

debilitando los procesos de administración de riesgos del banco.

Se debe dedicar especial atención a la calidad de los controles de

documentación y las prácticas de manejo de transacciones. En particular,

deben ser bien documentados y divulgados a todo el personal las políticas,

procesos y procedimientos relacionados con tecnologías avanzadas en apoyo

de volúmenes alto de transacciones.

Grupo II: Administración de Riesgos: Identificación, Evaluación,

Monitoreo y Mitigación/Control

Principio 4: Los bancos deberían identificar y evaluar el riesgo operativo

inherente en todos los productos, actividades, procesos y sistemas

importantes. Los bancos también deberían asegurar que, antes de introducir o

emprender productos, actividades, procesos y sistemas nuevos, el riesgo

operativo inherente en el mismo sea sujeto a procedimientos adecuados de

evaluación.

La identificación de riesgos es esencial para el desarrollo posterior de un

sistema viable de monitoreo y control del riesgo operativo. Una efectiva

identificación de riesgos toma en cuenta tanto factores internos (como ser la

estructura del banco, la índole de las actividades del banco, la calidad de los

recursos humanos del banco, cambios organizativos y rotación del personal)

como factores externos (como ser cambios en el sector y avances

tecnológicos) que pudieran tener un impacto negativo en el logro de los

objetivos del banco.

- 33 -

Principio 5: Los bancos deberían implementar un proceso para monitorear

regularmente los perfiles del riesgo operativo y las exposiciones importantes a

pérdidas. La información pertinente se debería presentar regularmente a la alta

gerencia y el directorio que apoya la administración proactiva del riesgo

operativo.

Un proceso de monitoreo efectivo es esencial para poder administrar

adecuadamente el riesgo operativo. El monitoreo regular puede tener la ventaja

de la rápida detección y corrección de deficiencias en las políticas, procesos, y

procedimientos de administración del riesgo operativo. La rápida detección y

solución de estas deficiencias puede reducir en gran medida la potencial

frecuencia y/o seriedad de un evento de pérdida.

Además, de monitorear los eventos de pérdida operativa, los bancos deben

identificar indicadores adecuados de alerta temprana sobre un riesgo

incrementado de pérdidas futuras. Esos indicadores (que muchas veces se

conocen como indicadores de riesgo clave o indicadores de alerta temprana)

deben mirar hacia delante y podrían reflejar potenciales fuentes de riesgo

operativo, como ser el crecimiento rápido, la introducción de productos nuevos,

la rotación de personal, transacciones cortadas, tiempo de inactividad del

sistema, etc. Si los umbrales se vinculan directamente con esos indicadores, un

proceso de monitoreo efectivo puede ayudar a identificar los riesgos

importantes clave de forma transparente y permitir al banco responder de forma

apropiada a esos riesgos.

Principio 6: Los bancos deberían tener políticas, procesos y procedimientos

para controlar y/o mitigar riesgos operativos importantes. Los bancos deberían

hacer una revisión periódica de sus estrategias de mitigación y control de

riesgos y deberían ajustar su perfil de riesgo operativo de acuerdo con ello

utilizando estrategias apropiadas, a la luz de su perfil y apetito general del

riesgo.

- 34 -

Se deben fijar procesos y procedimientos de control y los bancos deben tener

un sistema para asegurar el cumplimiento de un conjunto documentado de

políticas internas relativas al sistema de administración de riesgos.

Algunos elementos de ese sistema podrían ser los siguientes:

Revisiones en un alto nivel del avance del banco hacia el logro de los

objetivos fijados;

Control de cumplimiento con controles gerenciales;

Políticas, procesos y procedimientos relativos a la revisión, tratamiento y

resolución de problemas de incumplimiento; y,

Un sistema de aprobaciones y autorizaciones documentadas para

asegurar que se responda a un nivel gerencial apropiado.

A pesar de ser crítico un marco de políticas y procedimientos formales y

escritos, debe ser reforzado a través de una fuerte cultura de control que

promueve prácticas sanas de administración de riesgos. Tanto el directorio

como la alta gerencia son responsables por el establecimiento de una fuerte

cultura de control interno en la que las actividades de control son una parte

integral de las actividades corrientes del banco. Los controles que son una

parte integral de las actividades regulares permiten respuestas rápidas a

condiciones cambiantes y evitan costos innecesarios.

Un sistema efectivo de control interno también requiere que haya una

adecuada segregación de deberes y que el personal no sea asignado a

responsabilidades que puedan dar lugar a un conflicto de interés. Asignar

obligaciones conflictivas al personal, o a un equipo, puede resultar en que

esconden pérdidas, errores o acciones inadecuadas. Por lo tanto, las áreas de

potenciales conflictos de interés deber ser identificadas, minimizadas y sujetas

a un proceso independiente y cuidadoso de monitoreo y revisión.

- 35 -

Además, de la segregación de funciones, los bancos deben asegurar que haya

otras prácticas internas para controlar el riesgo operativo. Algunos ejemplos:

Monitoreo de cerca de la observancia de umbrales o límites de riesgo

asignados;

Mantener medidas de protección para el acceso a, y uso de, registro y

activos bancarios;

Asegurar que el personal tenga experiencia y capacitación adecuadas;

Identificar líneas o productos en los que el retorno parece ser

incoherente con expectativas razonables (p.ej. en caso de actividades

de bajo riesgo y baja ganancia con un alto retorno, puede surgir la

pregunta si ese retorno se ha logrado como resultado de la violación de

controles internos); y,

La verificación y reconciliación regulares de transacciones y cuentas.

La no implementación de esas prácticas ha dado lugar a pérdidas operativas

significativas en algunos bancos en años recientes.

El riesgo operativo puede ser más pronunciado si los bancos empiezan a

trabajar con actividades nuevas o si desarrollan productos nuevos (sobre todo

si esas actividades o productos no son coherentes con las estrategias

comerciales centrales del banco), ingresan en mercados que no conocen bien,

y/o participan en negocios a una considerable distancia geográfica de la oficina

central. Además, en muchos de esos casos, las empresas no aseguran que la

infraestructura de control de la administración de riesgos siga el ritmo del

crecimiento de las actividades. Cierto número de las pérdidas más grandes de

más alto perfil en los años recientes ha ocurrido en caso de presentarse una o

más de esas condiciones. En éste sentido, los bancos tienen la responsabilidad

de asegurar que se dedique especial atención a las actividades de control

interno en caso de existir esas condiciones.

- 36 -

Algunos riesgos operativos significativos tienen una baja probabilidad pero un

potencial impacto financiero enorme. Además, no todos los eventos de riesgo

pueden ser controlados (p.ej. desastres naturales). Se pueden utilizar

herramientas o programas de mitigacion de riesgos para reducir la exposición

a, o la frecuencia y/o seriedad de esos eventos. Por ejemplo, se pueden utilizar

pólizas de seguros, con ciertas características, especialmente el pago rápido,

para exteriorizar el riesgo de perdidas de “ baja frecuencia, alta seriedad “ que

pudieran ocurrir como resultado de eventos como ser demandas de terceros

como resultado de errores y omisiones, la pérdida física de valores, fraude

cometido por empleados o terceros, y desastres naturales.

Sin embargo, los bancos deberían considerar las herramientas de mitigación de

riesgo como instrumentos complementarios, y no en reemplazo de un detenido

control interno del riesgo operativo. La exposición a riesgos puede bajar

considerablemente si hay mecanismos para reconocer y rectificar rápidamente

errores legítimos del riesgo operativo. También, se tiene que analizar

cuidadosamente la medida en que las herramientas de mitigación de riesgo,

como ser seguros, realmente reducen el riesgo, ya que a veces transfieren el

riesgo a otro sector o área, o incluso crean un riesgo nuevo.

También, son importantes las inversiones en la seguridad adecuada de la

tecnología de información y tecnología de procesamiento para mitigar el nivel

de riesgo. No obstante, los bancos deben estar conscientes que una mayor

automatización puede transformar las pérdidas de alta frecuencia en baja

seriedad en pérdidas de baja frecuencia y alta seriedad. Éstas últimas pueden

estar asociadas con la pérdida o interrupción prolongada de servicios a causa

de factores internos o factores más allá del control inmediato del banco

(eventos externos). Esos problemas pueden dar lugar a serias dificultades para

los bancos y podrían poner en peligro la capacidad de la institución de seguir

ejecutando sus actividades comerciales clave. Tal como se discute abajo en el

principio 7, los bancos deberían establecer planes de recuperación en caso de

desastres y de comunicación de las actividades que enfrentan este riesgo.

- 37 -

Asimismo, los bancos deberían fijar políticas para administrar los riesgos

asociados con las actividades de subcontratación. A través de

subcontrataciones, la institución puede bajar su perfil de riesgo, transfiriendo

actividades a otros con más experiencia y que trabajan a una mayor escala

para administrar los riesgos asociados con actividades especializadas. Sin

embargo, si un banco trabaja con terceros, no baja la responsabilidad del

directorio y la gerencia por asegurar que las actividades de la parte tercera se

lleven a cabo de una manera sana y segura y en conformidad con las leyes

aplicables. Los acuerdos de subcontratación deben basarse en contratos y/o

acuerdos de provisión e servicios robustos que aseguran una repartición clara

de las responsabilidades entre los proveedores externos de servicios y el

banco que los subcontrata. Asimismo, los bancos deben administrar los riesgos

residuales asociados con los acuerdos de subcontratación, incluyendo la

interrupción de servicios.

Dependiendo de la escala o índole de la actividad, los bancos deben entender

el potencial impacto en sus operaciones y sus clientes de cualquier potencial

deficiencia en servicios suministrados por los vendedores y otros proveedores

de servicios que sean de terceros u otras empresas del grupo, incluyendo

interrupciones operativas y la potencial quiebra o problemas de las partes

externas. El directorio y la gerencia deben asegurar que las expectativas y

obligaciones de cada parte estén bien definidas, entendidas y que sean

exigibles. El alcance de la responsabilidad y capacidad financiera de la parte

externa para compensar al banco por errores, negligencia y otros defectos

operativos se debe considerar explícitamente como una parte de la evaluación

de riesgo. Los bancos deben hacer un análisis inicial y deben monitorear las

actividades de proveedores terceros, especialmente de los que no tienen

experiencia en el entorno regulado del sector bancario. Además, deben revisar

éste proceso (incluyendo re-evaluaciones de la información) regularmente.

Para las actividades críticas, puede ser que el banco tenga que pensar en

planes de contingencia incluyendo la disponibilidad de partes externas

- 38 -

alternativas y los costos y recursos requeridos para cambiar de parte externa,

posiblemente de forma repentina.

En algunos casos, los bancos pueden decidir o bien retener cierto nivel de

riesgo operativo o de auto-asegurarse contra ese riesgo. Si éste es el caso y el

riesgo es considerable, la decisión de retener el riesgo o auto-asegurarse

contra el riesgo deber ser transparente dentro de la organización y debe ser

compatible con la estrategia comercial y apetito de riesgo general del banco.

Principio 7: Los bancos deben tener planes de contingencia y de continuación

de las actividades para asegurar su capacidad de operar de forma constante y

limitar sus pérdidas en caso de una seria interrupción de las actividades.

Por motivos fuera de control de un banco, un evento serio puede resultar en la

incapacidad del banco de cumplir con algunas o todas sus obligaciones,

especialmente si está dañada o inaccesible la infraestructura física, de

telecomunicaciones, o de tecnología de información del banco dando lugar a

pérdidas financieras significativas para el banco. En éste sentido los bancos

deben establecer planes de recuperación en caso de desastres y de

continuidad de las actividades que toman en cuenta los diferentes tipos

posibles de escenarios a los que puede estar expuesto, de acuerdo con el

tamaño y complejidad de las operaciones.

Los bancos deben identificar sus procesos críticos, incluyendo los provistos por

terceros, y para los que la rápida reanudación de los servicios sería

sumamente crítica. Se debería reubicar los back-up de los registros o las

operaciones del banco en otro lugar, es importante que estos lugares se

encuentren a una distancia adecuada de las operaciones interrumpidas para

minimizar el riesgo de que tanto los registros primarios como los registros de

back-up estén indisponibles simultáneamente.

- 39 -

Los bancos deben hacer una revisión periódica de sus planes de recuperación

de desastres y de continuidad de las operaciones para ver si son coherentes

con las operaciones y estrategias del banco. Además, estos planes deben ser

probados periódicamente para asegurar que el banco pueda ejecutar los

planes en el evento poco probable de una seria interrupción de las actividades.

Grupo III: La función de los Supervisores:

Principio 8: Los supervisores bancarios deberían exigir que todos los bancos,

independiente de su tamaño, tengan un marco efectivo para identificar, evaluar,

monitorear y controlar/ mitigar los riesgos operativos importantes como parte de

un enfoque general para la administración de riesgos.

Los supervisores deben exigir que los bancos desarrollen marcos de

administración del riesgo operativo que sean coherentes con las pautas de éste

documento y con el tamaño, complejidad y perfiles de riesgo de los bancos. En

la medida en que los riesgos operativos amenazan la seguridad y solvencia de

los bancos, los supervisores tienen la responsabilidad por alentar a los bancos

a desarrollar y utilizar mejores técnicas para administrar esos riesgos.

Principio 9: Los supervisores deberían llevar a cabo, directa o indirectamente,

evaluaciones independientes regulares de las políticas, procedimientos y

prácticas de un banco respecto de los riesgos operativos. Los supervisores

deberían asegurar que haya mecanismos adecuados que les permitan estar al

tanto de las evoluciones en los bancos.

Algunos ejemplos de lo que una evaluación independiente del riesgo operativo

por los supervisores debería verificar son:

La efectividad del proceso de administración de riesgo del banco y el

entorno de control general respecto del riesgo operativo;

Los métodos que el banco utiliza para monitorear e informar sobre su

perfil de riesgo operativo, incluyendo datos sobre pérdidas operativas y

otros indicadores sobre el potencial riesgo operativo;

- 40 -

Los procedimientos del banco para la resolución oportuna y efectiva de

eventos y vulnerabilidad al riesgo operativo;

El proceso de controles internos, revisiones y auditorias del banco para

asegurar la integridad del proceso general de administración del riesgo

operativo;

La calidad e integridad de los planes del banco de recuperación en caso

de desastres y de continuidad del negocio; y;

El proceso del banco para evaluar el coeficiente patrimonial general para

el riesgo operativo en relación con su perfil de riesgo, y, de ser

apropiado, sus metas internas de capital.

Papel de la divulgación

Principio 10: Los bancos deben divulgar suficiente información al público para

que los participantes en el mercado puedan evaluar su enfoque para la

administración del riesgo operativo

El Comité cree que la divulgación pública oportuna y frecuente de información

relevante por los bancos puede resultar en una mejor disciplina de mercado y,

por ende, una administración de riesgo más efectiva. La cantidad de la

divulgación debe ser de acuerdo con el tamaño, perfil de riesgo y complejidad

de las operaciones del banco.

El área de la divulgación del riesgo operativo todavía no está bien desarrollada,

en primer lugar porque los bancos siguen en proceso de desarrollo de las

técnicas de evaluación del riesgo operativo. Sin embargo, el Comité cree que

un banco debería divulgar su marco de administración del riesgo operativo de

una forma que permite a los inversionistas y contrapartes determinar si el

banco identifica, evalúa, monitorea y controla/ mitiga efectivamente el riesgo

operativo.

- 41 -

CAPÍTULO II

GESTIÓN DE RIESGO OPERATIVO

II.I Riesgo Operativo: Concepto y definición

“... El riesgo de pérdida debido a la inadecuación o a fallos de los procesos, el

personal y los sistemas internos o bien a causa de acontecimientos externos.

Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de

reputación.”

Definición del Comité de Basilea

La Superintendencia de Bancos y Seguros del Ecuador considera fundamental

que se proporcione una visión única del riesgo operativo en todas las

Instituciones financieras del país y tomando como base el concepto propuesto

por el Comité de Supervisión Bancaria de Basilea, define al riesgo Operativo de

la siguiente manera:

“... El riesgo operativo se entenderá como la posibilidad de que se ocasionen

pérdidas financieras por eventos derivados de fallas o insuficiencias en los

procesos, personas, tecnología de información y por eventos externos. Agrupa

una variedad de riesgos relacionados con deficiencias de control interno;

sistemas, procesos y procedimientos inadecuados; errores humanos y fraudes;

fallas en los sistemas informáticos; ocurrencia de eventos externos o internos

adversos, es decir, aquellos que afectan la capacidad de la institución para

responder por sus compromisos de manera oportuna, o comprometen sus

intereses.

El riesgo operativo incluye el riesgo legal, pero excluye el riesgo estratégico y

de reputación. Además, no trata sobre la posibilidad de pérdidas originadas en

cambios inesperados en el entorno político, económico y social.

- 42 -

El riesgo legal es la posibilidad de que se presenten pérdidas o contingencias

negativas como consecuencia de fallas en contratos y transacciones que

pueden afectar el funcionamiento o la condición de una institución del sistema

financiero, derivadas de error, dolo, negligencia o imprudencia en la

concertación, instrumentación, formalización o ejecución de contratos y

transacciones. Surge también del incumplimiento de las leyes o normas

aplicables.”

II.I.I Roles y responsabilidades en la Administración de

Riesgo Operativo

Los roles y responsabilidades del directorio, Comité de Administración Integral

de Riesgos y Unidad de Riesgos se detallan a continuación:

Directorio.-

Crear una cultura organizacional con principios y valores de

comportamiento ético que priorice la gestión eficaz del Riesgo Operativo.

Aprobar de políticas, procedimientos relativos a procesos, a tecnología

de la información y estructura organizacional, segmentos de mercado

objetivo y el tipo de productos a ser ofrecidos al público, así como los

límites que se establezcan para la aceptación de un riesgo operativo

serán aprobados por el Directorio.

Aprobar de los planes de contingencia y continuidad del negocio.

Comité de Administración Integral de Riesgos.-

Evaluar y proponer al Directorio las políticas y el proceso de Gestión de

Riesgo Operativo y asegurarse que sean implementados en toda la

Institución y que todos los niveles del personal entiendan sus

responsabilidades con relación al Riesgo Operativo.

- 43 -

Evaluar las políticas y procedimientos de procesos, personas y

Tecnología de la Información y someterlos a aprobación del directorio.

Definir los mecanismos para monitorear y evaluar los cambios

significativos y la exposición a riesgos.

Evaluar y someter a aprobación del Directorio los planes de contingencia

y continuidad del negocio y asegurar su cumplimiento.

Analizar y aprobar la designación de líderes encargados de realizar las

actividades previstas en el plan de contingencia y continuidad del

negocio.

Unidad de Riesgos.-

Diseñar las políticas y el proceso de administración del riesgo operativo;

Monitorear y evaluar los cambios significativos y la exposición a riesgos

provenientes de los procesos, las personas, la tecnología de información

y los eventos externos;

Analizar las políticas y procedimientos de tecnología de información,

propuestas por el área respectiva, especialmente aquellas relacionadas

con la seguridad de la información; y,

Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de

contingencia y de continuidad del negocio, así como proponer los líderes

de las áreas que deban cubrir el plan de contingencias y de continuidad

del negocio.

- 44 -

II.II Factores del Riesgo Operativo:

Los factores de riesgo operativo son la causa primaria o el origen de un evento

de riesgo operativo siendo estos: procesos, personas, tecnología de

información y eventos externos. Cada uno de los elementos deberá tener

requisitos mínimos para su administración, generando de ésta forma un

apropiado ambiente de gestión de riesgo operativo, aspecto cualitativo que

debe ser cumplido en primera instancia, con la finalidad de visualizar la

posibilidad de ascender en el futuro hacia requerimientos cuantitativos de

capital para riesgo operativo conforme con el Nuevo Acuerdo de Capital de

Basilea.

II.II.I Administración de Procesos

Existe una preocupación reciente por la adecuación de los procesos a las

exigencias del mercado y del entorno, de ahí, que es necesario emprender una

adecuada administración, cuyo objetivo es asegurarse que todos los procesos

trabajen en armonía para maximizar la efectividad organizacional y se minimice

la probabilidad de incurrir en pérdidas financieras atribuibles al riesgo operativo.

Con el objeto de garantizar la optimización de los recursos y la estandarización

de las actividades, las instituciones controladas deben contar con procesos

definidos de conformidad con la estrategia y las políticas adoptadas, que

deberán ser agrupados de la siguiente manera:

Procesos gobernantes o estratégicos;

Procesos productivos, fundamentales u operativos; y,

Procesos habilitantes, de soporte o apoyo.

- 45 -

INVENTARIO DE PROCESOSINVENTARIO DE PROCESOS

Reclamos

Económico - Financiero

Métodos y Procedimientos

XTecnología de Información

Auditoría Interna

Asesoría Legal

Servicios Administrativos

Desarrollo y Gestión de RRHH

Apoyo

XColocaciones (4)

XServicios Bancarios (3)

XTesorería (2)

XCaptaciones (1)

Productivo

Control de lavado de dinero y activos

Gestión de Riesgos Integrales

Planificación Estratégica y Financiera

Establecer Políticas, Lineamientos y Directrices

Gobernante

Proceso

CríticoNombre del ProcesoGrupo

Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía

Procesos Gobernantes o estratégicos: Se considerarán a aquellos que

proporcionan directrices a los demás procesos y son realizados por el directorio

u organismo que haga sus veces y por la alta gerencia para poder cumplir con

los objetivos y políticas institucionales. Se refieren a la planificación estratégica,

los lineamientos de acción básicos, la estructura organizacional, la

administración integral de riesgos, entre otros;

Procesos productivos, fundamentales u operativos: Son los procesos

esenciales de la entidad destinados a llevar a cabo las actividades que

permitan ejecutar efectivamente las políticas y estrategias relacionadas con la

calidad de los productos o servicios que ofrecen a sus clientes; y,

Procesos habilitantes, de soporte o apoyo: Son aquellos que apoyan a los

procesos gobernantes y productivos, se encargan de proporcionar personal

competente, reducir los riesgos del trabajo, preservar la calidad de los

materiales, equipos y herramientas, mantener las condiciones de operatividad y

funcionamiento, coordinar y controlar la eficacia del desempeño administrativo

y la optimización de los recursos.

- 46 -

Un apropiado ambiente de Gestión de Riesgo Operativo requiere definir

políticas para el diseño, control, actualización y seguimiento de los procesos,

que cubran al menos:

Diseño claro de los procesos;

Descripción de actividades, tareas y controles;

Determinación de los responsables;

Difusión y comunicación de los procesos;

Actualización y mejora continúa; y,

Adecuada segregación de funciones.

Se debe mantener inventarios actualizados de procesos que incluyan:

Tipo y nombre de proceso

Responsable y clientes externos/internos;

Productos y servicios que genera;

Fecha de aprobación y actualización; y,

Señalar si es un proceso crítico.

Adicionalmente deberán las Instituciones Financieras identificar, aún en los

servicios provistos por terceros, sus procesos críticos, es decir, aquellos que en

caso de una interrupción podrían en peligro la continuidad de las operaciones.

II.II.II Administración de Personas

La administración del recurso humano puede entenderse como el proceso

mediante el cual las Instituciones planifican y gestionan el personal para

promover su desempeño eficiente y alcanzar los objetivos individuales de las

personas y los objetivos institucionales.

Las instituciones controladas deben administrar el capital humano de forma

adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al

factor personas, tales como:

Falta de personal adecuado;

- 47 -

Negligencia;

Error humano;

Nepotismo de conformidad con las disposiciones legales vigentes;

Inapropiadas relaciones interpersonales;

Ambiente laboral desfavorable; y;

Falta de especificaciones claras en los términos de contratación del

personal, entre otros.

Para considerar la existencia de un apropiado ambiente de gestión de riesgo

operativo, las instituciones controladas deberán definir formalmente políticas,

procesos y procedimientos que aseguren una apropiada planificación y

administración del capital humano, los cuales considerarán los procesos de

incorporación, permanencia y desvinculación del personal al servicio de la

institución.

Será indispensable determinar si se ha definido el personal necesario y las

competencias idóneas para cada puesto considerando:

Experiencia profesional;

Formación académica;

Valores y actitudes; y,

Habilidades personales.

Se deberá también mantener información actualizada del capital humano como:

Formación académica y experiencia;

Forma y fechas de selección, reclutamiento y contratación;

Historia de eventos de capacitación;

Cargos desempeñados y resultados de evaluaciones; y,

Fechas y causas de separación de la institución.

- 48 -

II.II.III Administración de Tecnología de la Información

Las instituciones controladas deben contar con la tecnología de información

que garantice la captura, procesamiento, almacenamiento y transmisión de la

información de manera oportuna y confiable; evitar interrupciones del negocio y

lograr que la información, inclusive aquella bajo la modalidad de servicios

provistos por terceros, sea íntegra, confidencial y esté disponible para una

apropiada toma de decisiones.



procesos y procedimientos que aseguren una adecuada planificación y

administración de la tecnología de información.

Dichas políticas procesos y procedimientos se refieren a:

Satisfacción de los requerimientos;

Servicios de terceros;

Salvaguarda de información;

Continuidad de operaciones; y,

Ciclo de vida de sistemas.

- 49 -

II.II.IV Administración de Eventos Externos

Contingencias legales

Fallas en los servicios públicos

Desastres naturales

Atentados

Actos delictivos

Fallas en servicios críticos provistos por terceros

EVENTOS EXTERNOS

MITIGAR

En la administración del riesgo operativo, las instituciones controladas deben

considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos

ajenos a su control, tales como: fallas en los servicios públicos, ocurrencia de

desastres naturales, atentados y otros actos delictivos, los cuales pudieran

alterar el desarrollo normal de sus actividades.


operativo, las entidades financieras deberán, además, diseñar una política de

seguros con el objetivo de establecer los lineamientos que normarán la

contratación de pólizas, los riesgos a cubrir y los montos.

Por otra parte, deberá definir, desarrollar, probar y monitorear planes de

contingencia y de continuidad del negocio, a fin de poder prestar el servicio

- 50 -

adecuado a sus clientes en caso de eventos externos que afecten el

funcionamiento normal del mismo.

II.III. Metodología para la Gestión de Riesgo Operativo:

La administración de los Riesgos Operativos se hará a través de procesos

formales establecidos para la identificación, medición, control / mitigación y

monitoreo de las exposiciones de riesgo está asumiendo.

II.III.I Identificación

La identificación es una fase fundamental en la administración del riesgo

operativo y debe considerar el entorno interno y externo de la identidad para

determinar aspectos del riesgo operativo que pueden afectar al logro de sus

objetivos y que le podrían causar pérdidas.

II.III.I.I. Eventos de Pérdida de Riesgo Operativo

Las instituciones controladas deberán identificar, por línea de negocio, los

eventos de riesgo operativo, agrupados por tipo de evento, y, las fallas o

insuficiencias en los procesos, las personas, la tecnología de información y los

eventos externos, a través de una metodología formal, debidamente

documentada y aprobada. Dicha metodología podrá incorporar la utilización de

las herramientas que más se ajusten a las necesidades de la institución, entre

las cuales podrían estar: autoevaluación, mapas de riesgos, indicadores, tablas

de control (scorecards), bases de datos u otras.

A continuación los tipos de eventos de Riesgo Operativo:

1. Fraude interno;

2. Fraude externo;

3. Prácticas laborales y seguridad del ambiente de trabajo;

4. Prácticas relacionadas con los clientes, los productos y el negocio;

5. Daños a los activos físicos;

6. Interrupción del negocio por fallas en la tecnología de información; y,

7. Deficiencias en la ejecución de procesos, en el procesamiento de

operaciones y en las relaciones con proveedores y terceros.

- 51 -

1. Fraude Interno:

Pérdidas derivadas de algún tipo deactos encaminados a defraudar,apropiarse o burlar regulaciones, laley o las normas internas,excluyendo hechos pordiscriminación, los cuales, comomínimo, tienen un origen en parteinterno.

Fraude Externo

Prácticas de Empleo

Clientes y Productos

Daños a Activos Físicos

Fallos de Sistemas

Ejecucióny Gestión de Procesos

FRAUDE

INTERNO

No informar intencionadamente de

determinadas posiciones.

Infidelidades de empleados.

Uso el de información privilegiada para

enriquecimiento propio.

Tipos de Eventos

Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau

2. Fraude Externo:

Fraude Interno




Fallos de Sistemas


Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar legislación por parte de un tercero.

Fraude

Externo

Robos;

Falsificación;

Daños de “piratas”

informáticos (hackers),

Tipos de Eventos


- 52 -

3. Prácticas laborales y Seguridad del ambiente de trabajo:

Fraude Externo

Fraude Interno



Fallos de Sistemas


Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.

Prácticas

de Empleo

Compensaciones a trabajadores

por quejas;

Violaciones a las normas de

seguridad e higiene en el trabajo;

Demandas por discriminaciones y

por responsabilidades generales

(por ejemplo, DEMANDAS DE

CLIENTES POR RESBALARSE

EN UNA OFICINA).

Tipos de Eventos


4. Prácticas relacionadas con los clientes, los productos y el negocio:

Fraude Externo


Fraude Interno


Fallos de Sistemas


Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Clientes y

Productos

Mal uso de la información

confidencial de clientes;

Actividades comerciales

inadecuadas en cuentas

propias;

Venta de productos no

autorizados.

Tipos de Eventos


- 53 -

5. Daños a los activos físicos:

Fraude Externo



Fraude Interno

Fallos de Sistemas


Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

Daños a

Activos

Físicos

Terrorismo, vandalismo,

terremotos, fuegos e

inundaciones.

Tipos de Eventos


6. Interrupción del negocio por fallas en la tecnología de

información

Fraude Externo




Fraude Interno


Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.

Fallos de

Sistemas

Caídas del software;

Problemas de telecomunicaciones

(Internet);

Apagones públicos

Tipos de Eventos


- 54 -

7. Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros

Fraude Externo




Fallos de Sistemas

Fraude Externo

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

Ejecución y

Gestión de

Procesos

Errónea entradas de datos;

Documentación legal incompleta;

Accesos no aprobados a las

cuentas de clientes;

Rupturas de contratos y disputas

con proveedores y daños

colaterales.

Tipos de Eventos


Los eventos de riesgo que se hayan presentado para cada uno de los riesgos

identificados, permitirá al directorio u organismo que haga sus veces y a la alta

gerencia de la entidad contar con una visión clara de la importancia relativa de

los diferentes tipos de exposición al riesgo operativo y su prioridad, con el

objeto de alertarlos en la toma de decisiones y acciones, que entre otras,

pueden ser: revisar estrategias y políticas; actualizar o modificar procesos y

procedimientos establecidos; implantar o modificar límites de riesgo; constituir,

incrementar o modificar controles; implantar planes de contingencias y de

continuidad del negocio; revisar términos de pólizas de seguro contratadas;

contratar servicios provistos por terceros; u otros, según corresponda.

- 55 -

II.III.II Medición y Evaluación

Además, de identificar los riesgos de mayor potencial impacto negativo, los

bancos deberían evaluar su sensibilidad a estos riesgos. Una efectiva

evaluación de riesgos permite al banco entender mejor su perfil de riesgo y

asignar más efectivamente los recursos para la administración de riesgos.

La medición tiene por objeto determinar el cumplimiento de las políticas, los

límites fijados y el impacto económico en la organización, permitiendo a la

administración disponer de controles o correctivos necesarios.

Es necesario anotar que a las Instituciones Financieras no se les exigirá el

desarrollo de sofisticadas metodologías de estimación de necesidades de

capital por riesgo operativo, sino que se busca que las Entidades empiecen a

conformar base de datos con información suficiente y oportuna que ha futuro le

permita estimar las pérdidas esperadas e inesperadas atribuibles a éste riesgo.

Las bases de datos de eventos de pérdida suscitados contendrán información

que debe ser clasificada por línea de negocio:

Eventos de riesgo operativo;

Fallas o insuficiencias por factores de riesgo operativo;

Frecuencia con que se repite cada evento;

Efecto cualitativo de pérdida;

Otra información que las entidades consideren necesaria.

La Base de datos es la “piedra fundamental” en la construcción o desarrollo de

cualquier modelo de cuantificación. En forma particular, una base de datos

poblada de pérdidas operacionales históricas será el input fundamental del

modelo de cuantificación de riesgo operacional y permitirá el traspaso de un

enfoque cualitativo a un enfoque integral (cualitativo-cuantitativo).

- 56 -

Adicionalmente, es importante que la entidad en su base de datos incorpore

información proveniente de fuentes externas, análisis de escenarios basados

en opiniones de expertos y considere factores de control interno con la finalidad

de reconocer mejoras en los deterioros observados en el perfil del riesgo

operativo de la entidad.

Se ha detectado en la banca ecuatoriana que la mayoría de los bancos sufren

por la falta de disponibilidad de datos internos para su proceso de

cuantificación.

La cuantificación permite integrar las etapas del proceso, otorgando mayor

objetividad a la gestión del riesgo operacional y permitiendo una mayor eficacia

en la asignación de recursos para minimizar el impacto de las pérdidas

operativas.

II.III.III Control

Las entidades deben crear una sólida cultura y ambiente de control a través de

un marco de políticas, procesos y procedimientos formalmente establecidos, es

decir, el establecimiento de un sistema de control interno que forme parte

integral de las actividades regulares de la entidad.

Las herramientas cualitativas y cuantitativas que utilice la entidad para

identificar y evaluar los riesgos operativos deben ser utilizadas para establecer

nuevos control, cambiarlos o eliminarlos de acuerdo con el perfil de riesgo de la

entidad.

El propósito de las actividades de control es enfrentar los riesgos operativos

identificados por el banco. Con respecto a todos los riesgos operativos

importantes que fueron identificados, el banco debería decidir si quiere utilizar

procedimientos adecuados para controlar y/o mitigar los riesgos, o si quiere

asumir el riesgo.

- 57 -

Para los riesgos que no se pueden controlar, el banco debería decidir si quiere

aceptar esos riesgos, o si quiere reducir el nivel de las actividades que den

lugar a ese riesgo o si quiere retirar esa actividad completamente.

Los controles implementados deberán ser incorporados en la normativa interna

(políticas, procedimientos, planes y reglamentos), en los sistemas aplicativos y

en la infraestructura tecnológica.

Las medidas de control que se definan, deben considerar el costo de su

implementación frente al impacto esperado con base en la probabilidad de

ocurrencia de cada riesgo.

En concordancia con las prácticas adecuadas para la gestión del riesgo

operativo, se señala que el esquema de gestión del riesgo debe estar sujeto a

revisiones periódicas por parte de auditoría interna, además, enfatiza que ésta

no es la responsable directa del riesgo operativo.

II.III.IV Monitoreo

Los Bancos deberán verificar que existan controles debidamente identificados

para minimizar los riesgos operativos y se evaluarán a través del monitoreo de

los eventos suscitados y pruebas de su cumplimiento. Permite además detectar

las exposiciones al riesgo operativo y corregir rápida y oportunamente las

deficiencias en las políticas, procesos y procedimientos de gestión de ese

riesgo.

La frecuencia del monitoreo debería reflejar los riesgos involucrados y estará

determinada por las características particulares de cada entidad.

El monitoreo debería ser una parte integral de las actividades del banco. Los

resultados del monitoreo se deben incluir en los informes regulares a la

gerencia y directorio, al igual que las revisiones para verificar el cumplimiento

- 58 -

llevadas a cabo por el auditor interno y/o las funciones de administración de

riesgos.

Para el efecto, las entidades controladas deben disponer con un esquema

organizado de reportes que permitan contar con información suficiente y

adecuada para gestionar el riesgo operativo en forma continua y oportuna.

Dichos reportes deben dirigirse a los niveles adecuados de la Institución de

manera que puedan ser analizados con una perspectiva de mejora constante

del desempeño en la administración de riesgo operativo.

Los reportes deberán contener al menos la siguiente información:

Detalle de los eventos de riesgo operativo, agrupados por tipo de evento,

las fallas o insuficiencias que los originaron relacionados con los factores

de riesgo operativo y clasificado por líneas de negocio;

Informes de evaluación del grado de cumplimiento de las políticas

relacionadas con los factores de riesgo operativo y los procesos y

procedimientos establecidos por a Institución; y;

Indicadores de gestión que permitan evaluar la eficiencia y eficacia de

las políticas, procesos y procedimientos.

A fin de asegurar la utilidad y confiabilidad de esos informes de riesgo y

auditoria, la gerencia debe verificar regularmente la oportunidad, exactitud y

relevancia de los sistemas de informes y de los controles internos en general.

La gerencia también puede utilizar informes preparados por fuentes externas

(auditores, supervisores) para evaluar la utilidad y confiabilidad de los informes

internos. Los informes se deben analizar con miras a mejorar el desempeño

actual en la administración de riesgo y a desarrollar nuevas políticas,

procedimientos y prácticas de administración de riesgos.

- 59 -

En general, el directorio debería recibir suficiente información de nivel superior

para que pueda entender el perfil general de riesgo operativo del banco y

centrarse en las implicaciones materiales y estratégicas para las actividades.

II.V. Métodos de Evaluación del Riesgo Operativo: El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los

métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto

no define un método específico. No obstante especifica que el horizonte de

cálculo de pérdidas sea de carácter anual y que la entidad demuestre que el

método seleccionado permite reflejar en la distribución eventos de escasa

probabilidad de ocurrencia pero de alto impacto monetario.

Basilea II con el Nuevo Acuerdo de Capital propone tres métodos de

evaluación del riesgo operacional:

Método Indicador Básico;

Método Estándar; y,

Método de medición avanzada (A.M.A) Advanced Measurement

Approaches.

II.V.I. Método Indicador Básico

Requiere de un sólo indicador de riesgo operativo para la actividad total del

banco. Los bancos que utilicen el Método del Indicador Básico deberán cubrir

el riesgo operativo con un capital equivalente al promedio de los tres últimos

años de un porcentaje fijo (denotado como alfa [15%]) de sus ingresos brutos

anuales positivos. Al calcular este promedio, se excluirán tanto del numerador

como del denominador los datos de cualquier año en el que el ingreso bruto

anual haya sido negativo o igual a cero.

- 60 -

KBIA = [Σ (GI1…n x α)]/n

Donde:

KBIA = la exigencia de capital en el Método del Indicador Básico.

GI = ingresos brutos anuales medios, cuando sean positivos, de los tres

últimos años.

n = número de años (entre los tres últimos) en los que los ingresos brutos

fueron positivos

α = 15%

Por lo tanto el cálculo se lo realiza multiplicando un factor α = 15% por el

promedio de los últimos tres años de los ingresos netos anuales positivos de la

Institución.

II.V.II. Método Estándar

Especifica diferentes indicadores para diferentes líneas de negocios, las

actividades de los bancos se dividen en ocho líneas de negocio y el

requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto

por un factor (denominado beta), que se asigna a cada línea. Estas son las

líneas de negocio y sus betas: finanzas corporativas 18%; negociación y ventas

18%; banca minorista 12%; banca comercial 15%; liquidación y pagos 18%;

servicios de agencia 15%; administración de activos 12%; e intermediación

minorista 12%.

KTSA= {Σ años 1-3 Max [Σ (GI1-8 x β1-8), 0]}/3

Donde:

KTSA = la exigencia de capital en el Método Estándar.

GI1-8 = los ingresos brutos anuales de un año dado, como se define en el

método del indicador básico, para cada una de las ocho líneas de negocio.

- 61 -

β1-8 = un porcentaje fijo, establecido por el Comité, que relaciona la cantidad

de capital requerido con el ingreso bruto de cada una de las ocho líneas de

negocio.

II.V.III. Método de medición avanzado (A.M.A.)

Es la medición interna; que requiere que los bancos utilicen sus datos internos

sobre pérdidas para estimar el capital requerido. Las entidades podrán elegir su

propia metodología en tanto sea lo suficientemente amplia y sistemática, y se

tenga un conjunto satisfactorio de criterios de calificación basado en principios.

Los criterios mínimos son:

El Consejo de Administración o alta dirección se encuentre altamente

involucrados en la vigilancia de su política de gestión de riesgo

operativo;

Sistema de gestión de riesgo operativo conceptualmente sólido y

aplicado en su integridad;

Cuenta con recursos suficientes para aplicarlo en las principales líneas

de negocio, así como en las áreas de control y auditoría; y;

Estándares cualitativos y cuantitativos.

El Comité propone tres enfoques dentro de los métodos de medición avanzada

(AMA) para la determinación del capital regulatorio:

Los modelos de medición interna: El regulador determina el índice de

exposición y un múltiplo, en el cual convierte la pérdida esperada (EL)

en pérdida no esperada (UL), en forma análoga para todo el sector, y

cada entidad obtiene, solamente, estimaciones de la probabilidad de

fallo y de la proporción de pérdida dado por el fallo. Se sustenta en datos

de pérdida internas, datos de pérdida externa, análisis de escenarios y

factores de ambiente de negocios y control interno.

Los modelos de distribución de pérdidas: Es el modelo del VaR

(Value at Risk) por línea de negocio y tipo de evento de pérdida, en

donde el VaR total es la suma de los VaR de todas las combinaciones

- 62 -

sin considerar correlaciones. Su cálculo está basado en pérdidas

históricas mínimo de 5 años de datos (3 años al empezar el AMA se

acepta), la recogida de datos debe abarcar todas las actividades en una

base con información de importe, fecha, recuperación y causas

Los modelos de cuadros de mando (tarjetas de puntaje): Se calcula

un nivel de riesgo tomando como base toda la estadística de eventos de

pérdida disponible para la entidad y se distribuye por línea de negocio,

en función de un cuadro de mando diseñado expresamente y que

contiene el seguimiento de ciertas medidas de control.

El capital regulatorio del AMA está dado por la suma de la pérdida esperada

(EL) y la no esperada (UL). En caso que la entidad pueda demostrar que se

está registrando apropiadamente la pérdida esperada, entonces podrá

disminuir este monto a únicamente la pérdida no esperada.

En este sentido, las metodologías AMA, más sensibles al riesgo, pero a la vez

más costosas y complejas se encuentran con un gran obstáculo para su

aplicación, que es la no disponibilidad de una base de datos interna de

pérdidas.

La metodología para determinar el requerimiento de capital por riesgo

operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk

o Valor en Riesgo), propio del riesgo de mercado, su cálculo está basado en

pérdidas históricas mínimo de 5 años de datos (3 años al empezar el AMA se

acepta), la recogida de datos debe abarcar todas las actividades en una base

con información de importe, fecha, recuperación y causas. A partir de la

estimación de la distribución de pérdidas agregadas, el requerimiento de capital

exigido por Basilea es el que acumula el 99,9% de las pérdidas en un año. Es

decir, la entidad debe demostrar suficiente capital para absorber las pérdidas

que surjan en el plazo de un año en el 99.9% de los casos, exponiéndose a

una insuficiencia en el 0,1% de los casos restantes

- 63 -

CAPÍTULO III

APLICABILIDAD DEL NUEVO ACUERDO DE CAPITAL DEL COMITÉ DE BASILEA PARA EL CASO ECUATORIANO El nuevo acuerdo de capital pretende diseñar nuevas formas uniformes de

controlar la suficiencia de capital. La finalidad del nuevo acuerdo es equilibrar la

solvencia de las entidades con elementos claves de los riesgos bancarios

ofreciendo incentivos para que los bancos mejoren sus capacidades de medir y

administrar estos riesgos.

El espíritu del Nuevo acuerdo de capital conlleva a la determinación del real

patrimonio económico de las entidades financieras a través de las exigencias

de capital por concepto de riesgos de crédito, riesgos de mercado y riesgos

operativos, que permitan fomentar al máximo la solidez de los sistemas

financieros.

Para ello la puesta en marcha del nuevo acuerdo de capital permitirá obtener

importantes beneficios de interés público, sustentado en torno a tres

dimensiones importantes:

Requisitos de capital mínimo

Proceso de examen Supervisor

Disciplina de mercado

III.I. Diagnóstico de requerimientos mínimos de capital Los bancos deberán contar con un nivel patrimonial suficiente para amortiguar

las pérdidas que le puedan generar sus operaciones en los mercados

financieros, en materia de riesgos de crédito, riesgos de mercado y riesgos

operativos.

- 64 -

El modelo reconoce, para efectos de cálculo del requerimiento de capital la

utilización de modelos internos para medición de riesgo de crédito (IRB) y del

riesgo operativo (AMA), o la utilización de metodologías estándar en las que el

supervisor determina los parámetros para las mediciones de los riesgos y para

los requerimientos de capital.

Todos los modelos suponen la existencia de una base de datos históricas que

sirvan para obtener información estadística. Este dato es importante por el

impacto en la cadena de valor institucional. La banca ecuatoriana aún está en

proceso de construcción de datos y de información que permita viabilizar la

evaluación del riesgo operativo.

Interpretaríamos que el Nuevo Acuerdo de Capital no contribuye a igualar las

condiciones de competencia no sólo internacional sino en nuestro mercado

ecuatoriano, con efectos macroeconómicos importantes para una economía

pequeña y vulnerable como la nuestra, especialmente ante shocks externos

derivados principalmente por la volatilidad del precio del petróleo, de las tasas

de interés, variación de los precios dentro de una economía dolarizada y a la

exposición a eventos de catástrofes naturales.

Desde éste punto de vista estratégico institucional, se ha de decir que el nuevo

acuerdo supone para el supervisor cambios importantes, ya que en primer

lugar convierte en prioritaria la mejora continua del personal, tanto en el manejo

de riesgos como en la calidad de la inspección. De hecho, el nuevo acuerdo

supone la supervisión preventiva sea más eficiente ya que la información

histórica permitirá hacer estimaciones del futuro con mayor probabilidad de

éxito.

De implementarse el nuevo acuerdo de capital, también el perfil estratégico del

personal de riesgos y supervisión deberá cambiar, ya que requerirá una mayor

formación profesional a nivel matemático y estadístico, con el propósito de que

sean capaces de conocer cuáles son las herramientas que usa el supervisado

- 65 -

y para poder efectuar con propiedad las funciones propias del organismo de

control.

III.II Diagnóstico del examen del supervisor

Entendiendo el proceso de medición de requerimientos de capital establecido

en el nuevo acuerdo, como un proceso estratégico atado a los objetivos

fundamentales de cada institución y que debe ser considerado en la

planificación de las entidades, se ha evidenciado por parte de las revisiones

realizadas a las Entidades por la Superintendencia de Bancos y Seguros, que

varios planes estratégicos presentados por las instituciones supervisadas, se

desprende que dichas herramientas de gestión llevan un alto grado de visión

comercial, sin destacar aspectos de control de riesgo. Eso lleva a pensar que la

visión estratégica de las entidades ecuatorianas apunta permanentemente a su

crecimiento en el mercado y a la definición de actividades y productos que

permitan mejorar su posicionamiento y rentabilidad. Los aspectos referentes al

control de riesgos y determinación de un adecuado nivel de capital, son temas

que no han merecido atención en la estrategia corporativa de las entidades.

La implementación del nuevo acuerdo, requiere de un cambio de enfoque de

gestión de las unidades encargadas de la evaluación de los controles internos

de las Instituciones. El proceso demandaría que los exámenes efectuados

incluyan evaluaciones respecto a la adecuación del capital del banco en

función de la naturaleza y complejidad de sus actividades, la identificación de

grandes exposiciones y concentraciones de riesgos, la exactitud de los datos

utilizados como inputs en el proceso de evaluación, la razonabilidad y validez

de los escenarios utilizados y la realización de pruebas de tensión con el

análisis de los supuestos y los inputs. De acuerdo a lo observado en nuestro

caso, se puede determinar que en muchas ocasiones los auditores internos y

externos están enfocados a trabajos muy limitados.

- 66 -

Dadas las limitaciones actuales frente a la capacidad requerida de supervisión

en un entorno de aplicación del nuevo acuerdo de capital en el Ecuador, sería

necesario que dentro de un cronograma de aplicación paulatina de éste nuevo

acuerdo, se considere adicionalmente un plan de acción para elevar las

habilidades y capacidades técnicas de los funcionarios de la Superintendencia

de Bancos y Seguros a fin de que a más de un bagaje de conocimientos

teóricos, éstos cuenten con el criterio suficiente que les permita diferenciar y

emitir un razonable pronunciamiento en relación a lo adecuado o no de las

metodologías internas y los procesos utilizados por los bancos para la

evaluación de su posición de riesgo, su suficiencia y calidad de capital y la

calidad de gestión y control de riesgo.

III.III Diagnóstico de la Disciplina de Mercado

En lo referente a riesgos de mercado, el nuevo acuerdo no efectúa

modificaciones importantes, en el cual se conceptualizan tres tipos de riesgos

de mercado:

Riesgo de los precios de mercado

Riesgo de tasa de intereses

Riesgo de tipo de cambio

Dentro de nuestra legislación se han incorporado regulaciones que tiendan a

medir, controlar e incorporar los riesgos de liquidez y de mercado. Es así que,

consciente de la importancia que el supervisor bancario debe asignar a la

evaluación de estos riesgos se expidieron resoluciones para dar tratamiento a

que las instituciones financieras deben dar al control de los riesgos de

mercado, o a la probabilidad de que el valor de una inversión, un activo o un

pasivo varíe negativamente como natural consecuencia de la actividad de

intermediación financiera que las entidades realizan al recibir depósitos y

financiar a los sujetos de crédito a distintos plazos y tasas de interés, así como

el hecho de que operan con distintas monedas.

- 67 -

El nuevo acuerdo hace referencia a la necesidad de que los bancos entreguen

información al mercado para que este pueda evaluar los niveles de riesgo y la

forma que cada banco tiene para administrarlos.

Respecto al cumplimiento de los requisitos de divulgación correspondiente al

ámbito de aplicación conforme a la normativa vigente en el país acerca de

grupos financieros debe fortalecerse la forma de transparencia de la

información no solo con reglas de revelación de información, sino también con

un profundo trabajo en educación y creación de una cultura de uso e

interpretación de la información revelada y la despolitización del uso de la

misma. A pesar de la resistencia evidenciada por parte de los intermediarios

financieros en lo que corresponde al suministro de información por parte de las

instituciones financieras, está dando ya frutos.

Una consideración general de importancia respecto a la disciplina de mercado,

está en determinar si los canales actualmente utilizados (publicaciones en

prensa de estados financieros por parte de las instituciones financieras, en

páginas Web) verdaderamente llegan a los agentes del mercado y si la

información transmitida cumple con el objetivo de claridad y comprensión que

sebe ser inherente.

III.IV Efectos del Nuevo Acuerdo de Basilea II Para comprender los efectos del Nuevo Acuerdo de Basilea II se deberá tener

claro ciertas consideraciones.

Basilea II, presentado por primera vez en el mes de Junio de 1999 y cuyo

documento definitivo fue publicado en el mes de Junio 2004 tiene como

objetivo principal lograr una medición del capital regulatorio más sensible al

Riesgo, complementada con la profundización del proceso de supervisión

bancaria y de disciplina de mercado, refleja mejor los riesgos de la banca y

ofrece mayores incentivos para mejorar la gestión de riesgos mientras que

Basilea I se basaba en un enfoque de tipo contable (Acuerdo de 1988).

http://www.monografias.com/trabajos13/econo/econo.shtml#mon

http://www.monografias.com/trabajos6/moem/moem.shtml

http://www.monografias.com/trabajos29/auditoria-seguridad/auditoria-seguridad.shtml

- 68 -

Para este logro será necesario adaptar mejor los requisitos de capital al riesgo

de pérdidas e introducir una nueva exigencia de capital para exposiciones al

riesgo de pérdida causada por fallas de operación.

Si el nivel de capital es demasiado bajo, es posible que el banco no pueda

absorber pérdidas elevadas. Los niveles excesivamente bajos de capital

incrementan el riesgo de quiebras bancarias que, a su vez, podrían poner en

peligro los fondos de los depositantes.

Un nivel de capital demasiado alto, en cambio, podría impedir que el banco

utilice eficazmente sus recursos y restringir su capacidad de otorgar crédito.

La meta general de Basilea II es promover la capitalización adecuada de los

bancos y estimular mejoras en la gestión de riesgos, fortaleciendo así la

estabilidad del sistema financiero, mediante la introducción de "tres pilares" que

se refuerzan el uno al otro y que crean incentivos para que los bancos

aumenten la calidad de sus procesos de control.

El primer pilar representa un fortalecimiento significativo de los requerimientos

mínimos estipulados en el Acuerdo de 1988, mientras que los pilares dos y tres

representan adiciones innovadoras a la supervisión del capital.

III.IV.I. Beneficio global de la propuesta de Basilea II

El beneficio global de la propuesta de Basilea II se lo podría resumir en los

siguientes aspectos relevantes:

Creación de incentivos para mejorar los procedimientos de evaluación

de riesgos.

Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos

de riesgo.

Cambio cultural: Necesidad de concienciar a la dirección.

http://www.monografias.com/trabajos2/mercambiario/mercambiario.shtml

http://www.monografias.com/trabajos4/refrec/refrec.shtml

http://www.monografias.com/trabajos13/discurso/discurso.shtml

http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE

http://www.monografias.com/trabajos14/control/control.shtml

- 69 -

La administración de riesgos requerirá nuevas y sofisticadas

herramientas de información, y

Las necesidades de información requieren grandes inversiones en

tecnología.

Una importante contribución del Acuerdo de Basilea II ha sido la creación de

incentivos para mejorar las técnicas de manejo de riesgo utilizadas por los

bancos para la evaluación de la calidad de los activos de sus portafolios.

Cualesquiera que sean los méritos o problemas específicos del Nuevo

Acuerdo, ha aumentado el grado de concientización tanto de los bancos como

de los supervisores en cuanto a los beneficios de una mejor alineación del

capital bancario con los riesgos reales de los activos de los bancos.

Los efectos de la modernización de los sistemas internos de los bancos en

cuanto al manejo y evaluación de riesgos podrían ser potencialmente extensos

no solo para mejorar la eficiencia y la capacidad global de los bancos sino para

garantizar la estabilidad del sistema financiero.

Sin embargo, el desarrollo de una cultura adecuada en la práctica de la

evaluación de riesgos y el mejoramiento de los modelos de riesgo internos,

implica inversiones significativas que, al menos a corto plazo, podrían requerir

un importante apoyo financiero que superaría las asignaciones actualmente

incluidas en los presupuestos fiscales.

Por consiguiente, para lograr el objetivo de mejorar las operaciones de manejo

de riesgo, se recomienda que el Comité promueva activamente acuerdos entre

supervisores locales y los supervisores nacionales de las subsidiarias

extranjeras para la capacitación e intercambio de experiencias

.

- 70 -

III.IV.II. Limitantes para la implementación del Basilea II

Ahora bien, dentro de los limitantes para implementar el Nuevo Acuerdo de

Capital que se puedan identificar al momento son:

Estructura organizacional de las instituciones financieras, la organización

de las instituciones financieras en su mayor parte carece de una

orientación con identificación de procesos y factores de riesgo.

El Gobierno Corporativo de las Instituciones financieras no ha generado

una estrategia de negocio bajo las definiciones de posiciones de riesgo a

asumir, capital en riesgo y niveles de retorno.

Falta de capacidad técnica de supervisores y supervisados.

No existen bases de datos históricas que permitan la aplicación de

modelos, además los sistemas de información no se encuentran

preparados para conformar las bases de datos necesarias para

identificar comportamientos que determinen o sugieran las

probabilidades de ocurrencia de los factores de riesgo.

La inestabilidad macroeconómica y la alta volatilidad de los mercados,

tampoco permite obtener los datos históricos confiables que permita

modelar los parámetros que se necesitan para los cálculos de

requerimientos de capital por probabilidades de incurrir en pérdidas

inesperadas.

Ausencia de estimaciones eficientes de los precios y por lo tanto de las

curvas de rendimientos referenciales, lo cual está relacionado con un

mercado de capitales insipiente.

- 71 -

Es necesario realizar las adecuaciones normativas y de orientación del

esquema supervisión para algunos aspectos tratados en el nuevo

acuerdo.

III.V Comentarios Superintendencia de Bancos y seguros acerca de la aplicabilidad del nuevo acuerdo.

La Superintendencia de Bancos y Seguros del Ecuador respalda los principios

fundamentales del acuerdo de Capital de Basilea porque considera que la

seguridad de los depositantes y clientes del sistema financiero debe estar

garantizada mediante una supervisión que permita medir los riesgos reales de

las operaciones bancarias, pero promoviendo prácticas que tiendan a reducir

las brechas con los bancos internacionalmente activos.

El efecto final para el sector financiero ecuatoriano será de mayores

requerimientos de capital en comparación con países más desarrollados,

siendo necesaria para una utilización adecuada de estos mecanismos la

realización de esfuerzos para mejorar la capacidad de administración de

riesgos del sector así como de los supervisores.

Basilea II está dirigido a bancos internacionales, no se dirige al sistema

financiero ecuatoriano, que es pequeño y la repercusión que tiene en el

sistema internacional es mínima, por lo tanto el Ecuador está a favor de un

marco normativo que se adecue a la realidad de nuestros mercados, estamos a

favor de una adecuación de capital en función de los riesgos internos del

balance, pero además se deberá considerar la inestabilidad macroeconómica

que tenemos y para la cual Basilea II no se manifiesta, por esta razón debemos

promover una supervisión basada en riesgos y en escenarios de estrés.

El marco normativo debe ser flexible, abierto a mejoras, en el que se evalúen

periódicamente el alcance de las nuevas normas en la macroeconomía, ya que

- 72 -

se debe velar para que los requerimientos de capital no empeoren a la

situación económica del país, ya que el empeoramiento de la economía

aumenta el riesgo de crédito, restringe el crédito y por lo tanto aumenta la

recesión.

- 73 -

CAPÍTULO IV

IMPLEMENTACIÓN DE LA GESTIÓN RIESGO OPERATIVO EN INSTITUCIONES FINANCIARAS ECUATORIANAS

IV.I Proceso de elaboración, discusión y emisión de la norma: Resolución JB- 2005-834

El Comité de Supervisión bancaria de Basilea, con el fin de establecer un

marco que fortalezca en mayor medida la estabilidad de los sistemas

financieros recomienda a las entidades la adopción de prácticas adecuadas

para la gestión de riesgos y a los supervisores bancarios la necesidad de exigir

y vigilar su cumplimiento.

El sistema financiero ecuatoriano no ha sido ajeno a las pérdidas generadas

por la falta o la inadecuada administración del riesgo operativo como las que se

presentaron en la crisis financiera que vivió el Ecuador hace ocho años

aproximadamente y que fueron ocasionados por fallas e insuficiencias en los

procesos, en las personas y en la tecnología de información.

Bajo esa perspectiva, mediante Resolución No. JB-2004-631 del 22 de Enero

del 2004, la Junta Bancaria emitió la norma relacionada con “La gestión integral

y control de riesgos”, que demanda a las instituciones financieras administrar

los riesgos a los que se encuentran expuestas, incluyendo el riesgo operativo,

a través de un proceso formal que permita su identificación, medición, control y

monitoreo.

Con este antecedente la Superintendencia de Bancos y Seguros emitió el 20

de Octubre del 25 la Resolución No. JB-2005-834 que contiene la norma

“Gestión de Riesgo Operativo”, cuyo objetivo es contribuir a la solidez y

seguridad del sistema financiero mediante una administración adecuada del

- 74 -

riesgo operativo que deben llevar a cabo las instituciones controladas con la

excepción de algunas cooperativas de ahorro y crédito pequeñas ubicadas en

lugares específicos ya que debido a su tamaño, estructura y organización no

fue posible que éstas cooperativas cumplan con los requerimientos dispuestos

en la resolución.

Siguiendo la línea de transparencia del organismo de control en el proceso de

elaboración, discusión, emisión de la norma de riesgos operativos, luego de

que está fue concluida y revisada al interior de la Superintendencia de Bancos

y Seguros fue puesto a consideración del sistema financiero a través de los

organismos representantes de las entidades financieras ecuatorianas, con el fin

de recibir comentarios y sugerencias y de esta forma, sentar las bases que

permitan un efectivo cumplimiento de las disposiciones que se plantean en la

norma por parte de las entidades financieras; y adicionalmente, dar

cumplimiento a las recomendaciones internacionales efectuadas respecto a

que los organismos supervisores consulten públicamente a sus entes

controlados sobre las propuestas para realizar y enmendar regulaciones o

proveer guías generales.

Considerando la realidad del sistema financiero ecuatoriano, las disposiciones

del organismo de control se orientan a exigir de las entidades requisitos

mínimos para la administración de cada uno de factores del riesgo de

operación como son procesos, personas, tecnología de la información y

eventos externos.

La norma está orientada a promover y guiar a las entidades en el desarrollo de

un apropiado ambiente de gestión del riesgo operativo, guardando coherencia

con los lineamientos establecidos por el Comité de Basilea.

La elaboración de la norma se la realizó en función de los resultados de la

encuesta que se efectuó a las entidades financieras controladas, los principios

recomendados por el Comité de Basilea a través del Documento “Prácticas

- 75 -

adecuadas para la gestión y supervisión de los riesgos de operación”, los

aspectos relevantes de la “Administración de procesos”, y para la

“Administración del Recurso Humano”, y, para el caso de tecnología de

información se ha observado las especificaciones del “ Código de práctica para

la administración de la seguridad de la información”, contenidas en las normas

ISO 17799.

La norma ecuatoriana sobre riesgo operativo se la puede resumir en tres

aspectos fundamentales:

La definición del riesgo operativo y los requisitos mínimos que deben

cumplir las entidades respecto a los factores del riesgo operativo;

La exigencia de un esquema de administración del riesgo operativo; y,

El establecimiento de las responsabilidades en la administración del

riesgo operativo.

La implementación de las disposiciones previstas en la norma no deberá

exceder de los siguientes plazos:

Para los grupos financieros; y, para los bancos o sociedades financieras

que no forman parte de un grupo financiero, las compañías de

arrendamiento mercantil, las compañías emisoras y administradora de

tarjetas de crédito, las corporaciones de desarrollo de mercado

secundario de hipotecas, las instituciones financieras públicas hasta el

31 de Octubre del 2008; y,

Para las cooperativas de ahorro y crédito que realizan intermediación

con el público y las asociaciones mutualistas de ahorro y crédito para la

vivienda, hasta el 31 de Octubre del 2009. Esta fecha podrá ser

modificada por el Superintendente de Bancos y Seguros, considerando

el tamaño de la Institución, la estructura organizacional, la cobertura

geográfica y la complejidad de sus operaciones.

- 76 -

IV.II Situación actual de la gestión de Riesgo Operativo en la Entidad Financiera en estudio La banca ecuatoriana ha tomado mayor conciencia sobre la importancia de

Riesgo Operativo y un gran interés por la mejora de sus sistemas de control

interno y operativo, y para ello se encuentran implantando las exigencias de un

marco de gestión de riesgo operativo en su organización.

De acuerdo a investigaciones en el ámbito bancario puedo indicar que la

mayoría de las instituciones financieras se encuentran en la etapa preliminar

del diseño de lo que denominamos un “Marco de Gestión de Riesgo Operativo”,

sólo el 40% de la Banca Ecuatoriana están próximos a terminar su proyecto de

implementación de Riesgo Operativo, tomando en consideración que han

extendido la fecha de finalización para el 31 de Enero del 2009.

El proyecto dio inicio en la Institución financiera en estudio (en adelante banco)

en el año 2006 con la validación y revisión de todos los procesos del banco

para lo cual se contrató los servicios de terceros para el desarrollo del

diagnóstico de la situación actual para dar cumplimiento a la resolución en

cuanto indica que las entidades financieras deben de desarrollar un diagnóstico

de situación, el mismo que fue entregado dentro de las fechas establecidas (30

de Abril del 2006) al organismo de control.

El grado de avance en la gestión del Riesgo Operativo, dentro del Marco de

Gestión de Riesgo Operativo, es menor respecto de la administración de los

riesgos de crédito y mercado. Sin embargo es de destacar el creciente interés

demostrado en este ámbito por la Institución financiera.

Por cada uno de los elementos se presentan las recomendaciones, tareas y/o

actividades a desarrollar por el Banco con el objeto de cumplir con las

exigencias requeridas por la SIBS (Superintendencia de bancos y seguros) en

su Resolución No JB-2005-834 del 11 de Octubre del 2005, estableciendo de

- 77 -

ésta forma las diferentes acciones que se deberían de realizar para la

implementación de la gestión de riesgo operativo dentro de la entidad.

Para el efecto se desarrollaron entrevistas con los responsables de cada una

de las áreas relacionadas directamente con la administración del riesgo

operativo, con el objetivo de obtener una visión amplia de las políticas,

procedimientos utilizados por el banco para administrar sus riesgos operativos,

además de conocer los roles y responsabilidades de los distintos sectores ante

la gestión del riesgo y la infraestructura que existe para poder soportar los

desarrollos futuros y la situación actual respecto de acciones de mitigación

específicas.

El diagnóstico de situación actual fue desarrollado en el año 2006 en forma

independiente para cada elemento analizado, entre los cuales podemos

mencionar:

Gestión de riesgo operativo;

Factor de riesgo operativo procesos;

Factor de riesgo operativo personas;

Factor de riesgo operativo tecnología de información; y;

Factor de riesgo operativo eventos externos

- 78 -

Diagnóstico situación actual de la Gestión de Riesgo Operativo

A la fecha del análisis, en el banco existe una Unidad de Gestión Integral de

Riesgo, focalizada especialmente en la gestión de los riesgos de crédito y

mercado. La Unidad de Administración Integral de Riesgos cuenta con

jerarquía y autonomía propia, sin estar supeditada a ningún área de negocio y

reporta directamente a la Gerencia General. Los miembros son independientes

de cualquier área operativa o comercial, con excepción del representante legal.

En banco no tiene una política de gestión de riesgos operativos formalmente

establecida ni aprobada por el directorio que defina, entre otras cosas, el nivel

de riesgo aceptado, roles y responsabilidades y procesos a desarrollar para

gestionar oportunamente los riesgos operacionales.

De igual manera el banco no posee un proceso (metodología) formalmente

definido de gestión de riesgos operativos del cual, la identificación de eventos

de riesgos y la determinación de las fallas o insuficiencias sea parte integral.

El banco no cuenta con base de datos diseñados para el registro de eventos de

riesgos operativos.

Seguimiento al cronograma de implementación de la Gestión de Riesgo

Operativo

En la actualidad el banco está fortaleciendo su estructura para lo cual se ha

incorporado a la Unidad de Riesgos nuevos cargos, se cuenta con dos

ejecutivos de riesgo operacional y dos asistentes los cuales tendrán la función

de desarrollar la gestión de riesgo operativo.

- 79 -

Aún se está por considerar dentro del Banco, como lo pide la resolución una

estructura de tres líneas de defensa para desarrollar una adecuada y oportuna

gestión integral de riesgos. La primera linea de defensa corresponde a las

unidades de negocio, la segunda linea a la unidad de gestión integral de riesgo

y la tercera, al área de auditoría interna.

El banco ha diseñado formalmente la política de gestión de riesgo operativo, en

la cual se encuentran definidos los roles y responsabilidades del Directorio,

Comité de Riesgos y de la Unidad de riesgos, éstas políticas están

debidamente aprobado por el Directorio.

El banco ha desarrollado una metodología para la identificación de los eventos

de riesgos operativos y fallas o insuficiencias en los procesos, personas,

tecnología de la información y eventos externos, agrupando los diferentes tipos

de eventos de acuerdo a la clasificación propuesta en la regulación.

El personal de la Unidad de Riesgo Operativo tiene absoluta conciencia que la

identificación de eventos es la base de las actividades de evaluación de riesgos

y respuesta a ellos.

Para lo cual el banco ha diseñado una base de datos para registrar, ordenar,

clasificar los eventos de riesgo operativo, sus fallas e insuficiencias, dicha

información contenida en la base de datos debe permitir la determinación de la

frecuencia de la ocurrencia de eventos y el impacto de la pérdida producida.

La gráfica muestra el avance real registrado hasta el 30 de Septiembre del

2008 que se encuentra en el 76%, contra un avance previsto del 97%, teniendo

una brecha del 21%. Los proyectos pendientes, los mismos que están en

desarrollo, básicamente corresponden a Seguridad de la Información, la

implementación del Plan de Continuidad del Negocio y las políticas y

procedimientos para la medición de procesos.

- 80 -

Proyecto Implementación Gestión de Riesgo Operacional

97%

76%

21%

-5%

10%

25%

40%

55%

70%

85%

100%

Dic-31-07

Ene

-31-07

Feb

-28-07

Mar-31-07

Abr-30-07

May

-31-07

Jun-30-07

Jul-3

1-07

Ago

-31-07

Sep

-30-07

Oct-31-07

nov-30-07

Dic-31-07

Ene

-31-08

Feb

-29-08

Mar-30-08

Abr-30-08

May

-30-08

Jun-30-08

Jul-3

1-08

Ago

-31-08

Sep

-30-08

Avances

% d

e A

van

ces

Avance Previsto Avance Real Brecha


Diagnóstico situación actual factor de riesgo operativo

“Procesos”

El banco no cuenta con un enfoque de procesos ni tampoco con una

clasificación de los mismos, no se ha asignado los procesos a líneas de

negocio, y falta por documentar procesos y elaborar.

En cuanto a la administración de procesos, no cuenta con políticas

formalmente establecidas, que aseguren el adecuado diseño, control,

actualización y seguimiento de procesos. Además, cuenta con un inventario de

procesos que no contiene toda la información requerida ya que no define

responsables ni clientes internos y externos entre otros.

- 81 -

Seguimiento al Factor Procesos Actualmente el banco ha agrupado sus procesos en Gobernantes, Productivos

y de Apoyo tal como lo establece la resolución, considerando cada uno de los

conceptos enunciados en dicho apartado.

El banco ha identificado las líneas de negocio clasificándola en Banca de

personas, banca de empresas y Banca institucional con la finalidad de poder

obtener información para análisis a través de estos indicadores.

Linea de Negocio que Podría afectarse

0

50

100

150

200

250

300

Banca de

Personas

Banca de

Empresas

Banca

Institucional

Linea de Negocio

Ca

nti

da

d d

e E

ve

nto

s

Banca de Personas

Banca de Empresas

Banca Institucional

INDICADORES DE RIESGO OPERATIVOINDICADORES DE RIESGO OPERATIVO

LINEA DE NEGOCIOLINEA DE NEGOCIO


La gráfica muestra que existe una mayor cantidad de eventos de riesgos

concentrada en la línea de banca de personas, luego le sigue banca de

empresas y finalmente banca institucional.

- 82 -

Una vez que se definieron todos los procesos del banco, se procedió a

identificar los procesos críticos considerando aquellos provistos por terceros y

se está desarrollando los planes de continuidad para asegurar la capacidad del

banco para responder ante situaciones severas de interrupción del negocio,

mitigando así el riesgo de incumplimiento a los clientes internos y externos, con

el fin de asegurar la continuidad de las operaciones.

Una vez documentada y revisadas las políticas que aseguran claramente el

diseño, control y definición de responsables, actualización y seguimiento de los

procesos, relevantes para el contexto estratégico de la organización, para sus

metas, objetivos y naturaleza del negocio, son presentadas al Directorio para

su aprobación.

En una primera fase se han implementado las siguientes acciones:

Diseño y descripción de los procesos;

Determinación de los responsables de los procesos y sus funciones;

Inventarios de procesos actualizados, y;

Difusión y comunicación de los procesos.

Aún está por desarrollar una segunda fase que implique la medición y gestión

de los procesos y la actualización y mejora continua.

El banco considera para un correcto análisis y control de segregación de

funciones lo siguiente:

Analizar las funciones claves del proceso;

Analizar el impacto por pérdida o ausencia del personal responsable del

proceso, y;

Evaluar el costo/beneficio de contar con personal back-up en las áreas

críticas.

- 83 -

El factor procesos tiene un avance del 67% contra un 100%, el mismo que

debió haberse concluido. Se deben establecer nuevas fechas acorde a la

ejecución de las actividades, mismas que se han atrasado debido al proyecto

de documentación formal de todos los procesos del Banco. El principal tema

pendiente es la definición de políticas, procesos y procedimientos para la

administración de procesos, mismos que deben contemplar el diseño,

medición, control, definición de responsables, actualización y seguimiento de

los procesos.


100%

67%

33%

0%

15%

30%

45%

60%

75%

90%

Dic-31-07

Ene-31

-07

Feb

-28-07

Mar

-31-07

Abr-30

-07

May

-31-07

Jun-30-07

Jul-31

-07

Ago-31

-07

Sep

-30-07

Oct-31-07

nov-30

-07

Dic-31-07

Ene-31

-08

Feb

-29-08

Mar

-30-08

Abr-30

-08

May

-30-08

Jun-30-08

Jul-31

-08

Ago-31

-08

Sep

-30-08

Factor Procesos

% d

e A

van

ces

Avance Previsto

Avance Real

Brecha


La Unidad de Gestión de Procesos ha identificado 454 procedimientos

contenidos en 97 manuales, de los cuales ya se encuentran documentados y

aprobados 410 contenidos en 76 manuales, es decir, que se encuentra

documentado el 78% de los procesos.

Aún falta la definición del inventario de los procesos de Continuidad del

Negocio, Seguridad Bancaria y de los Procesos Gobernantes.

- 84 -

Procedimientos

454

410

0

100

200

300

400

500

Ene-07

Feb-07

Mar-0

7

Abr-07

May-

07

Jun-

07

Jul-0

7

Ago-07

Sep-07

Oct

-07

Nov

-07

Dic-

07

Ene-08

Feb-08

Mar-0

8

Abr-08

May-

08

Jun-

08

Jul-0

8

Ago-08

Sep-08

Fecha

Ca

nti

da

d d

e P

roc

ed

imie

nto

s

Total

Terminados

Fuente: Entidad Financiera (caso de estudio)

Elaborado por: Autora de la monografía

97 Manuales de Procedimientos

Terminados; 76

78%

En Desarrollo; 21

22%

En Desarrollo Terminados


Respecto a los 31 manuales de procedimientos de Continuidad que se han

identificado, sólo se ha aprobado 1 manual, correspondiente al 3%.

Administración de Procesos, Seguridad Bancaria y la Unidad de Continuidad de

Negocios, han dado máxima prioridad para el desarrollo de esta

documentación.

- 85 -

31 Manuales de Procedimientos de Continuidad

Terminados

1

3%

Desarrollo

30

97%Desarrollo Terminados



“Personas”

A la fecha del análisis el banco contaba con políticas documentadas para sus

procesos de selección (reclutamiento, selección y contratación), inducción y

seguimiento, capacitación, evaluación de desempeño y desvinculación, pero

las mismas no estaban separadas, clasificadas y agrupadas como lo pide la

norma así como también no se encuentran aprobadas por el Directorio.

El banco tiene un reglamento interno de trabajo el cual tiene por objetivo

garantizar y regular el normal desenvolvimiento de las relaciones laborales y

contractuales de todo el personal, en un ambiente de respeto, cordialidad y

colaboración, así como promover el cabal cumplimiento de las obligaciones de

los empleados para la justa exigencia de derechos.

En banco no posee un mecanismo para evaluar periódicamente si el perfil

técnico funcional, organizacional y gerencial de su personal es idóneo para el

cargo que está desempeñando (análisis de competencias), si bien es cierto

dentro del banco existe un proceso de evaluación del postulante, del

desempeño y de resultados cuantificables a nivel de áreas de negocios, no

existe un proceso de evaluación individual para el resto del personal.

- 86 -

El banco posee una base de datos con la información de su personal como

hoja de vida, capacitación brindada, historial académico, entre otras, la misma

que se encuentra actualizada.

Seguimiento al Factor Personas

En la actualidad el banco cuenta con la documentación adecuada de las

políticas de planificación y administración del capital humano, diferenciándolas

de sus procesos a fin de dar cumplimiento a la resolución de la Junta Bancaria,

contemplando las políticas de incorporación, permanencia y desvinculación del

personal.

Todas las políticas y procedimientos desarrollados han sido debidamente

aprobados por el Directorio.

Aún el banco está en el desarrollo de la implementación de un método de

selección y evaluación por competencias que pueda constituirse en una

herramienta eficiente de medición de las habilidades, conocimientos y

capacidades con los que aporta el personal para la consecución de los

objetivos, el desarrollo y el crecimiento del capital humano.

Para lo cual el banco deberá emplear mecanismos para realizar evaluaciones

técnicas funcionales, organizacionales y gerenciales periódicas a los

funcionarios a fin de determinar si son idóneos para el cargo que éstos

desempeñan.

Internamente el avance real registrado hasta el 30 de septiembre del 2008 es

del 77%, contra un avance previsto del 100%, encontrándose pendientes los

siguientes puntos:

o Incluir competencias técnicas, funcionales, organizacionales y

gerenciales en la definición de cargos;

- 87 -

o Incluir los valores, actitudes y habilidades personales deseables en la

definición de cargos.


100%

77%

23%

0%15%30%45%

60%75%90%

Dic-3

1-07

Ene-

31-0

7

Feb

-28-07

Mar

-31-07

Abr-30

-07

May

-31-

07

Jun-30-07

Jul-31

-07

Ago-

31-0

7

Sep

-30-

07

Oct-3

1-07

nov-30

-07

Dic-3

1-07

Ene-

31-0

8

Feb

-29-08

Mar

-30-08

Abr-30

-08

May

-30-

08

Jun-30-08

Jul-31

-08

Ago-

31-0

8

Sep

-30-

08

Factor Personas

% d

e A

van

ces

Avance

Previsto

Avance

Real

Brecha


Diagnóstico situación actual factor de riesgo operativo “Tecnología de la

información”

Al momento del análisis (año 2006), el banco cuenta con procedimientos y

políticas que no están orientados a procesos, es decir, bajo el esquema de

actividades, tareas, responsables y controles identificados de acuerdo a las

exigencias de la resolución y además no poseen las debidas aprobaciones del

Directorio.

El banco cuenta con políticas de seguridad de la información las cuales

consideran:

Directrices para desarrollar una evaluación de riesgos; y;

Estándares generales que rigen la administración y manejo de la

seguridad.

- 88 -

No obstante lo anterior, la documentación actual no considera la identificación

de los requerimientos de seguridad a nivel de requisitos legales, normativos,

reglamentarios y contractuales.

Adicionalmente se puede mencionar que no se ha realizado formalmente una

evaluación de riesgos en el banco, de acuerdo al detalle y frecuencia que

indican las políticas de seguridad del banco.

En el banco no se han establecido formalmente los niveles de autorización de

accesos para todos los cargos y roles de usuarios que utilizan los sistemas de

aplicativos.

Seguimiento al Factor Tecnología de la Información

En la actualidad el banco ha documentado todas sus políticas y procedimientos

siguiendo los lineamientos de la normativa.

Se han establecido formalmente los niveles de autorización de accesos y

funciones de procesamiento en todos los sistemas aplicativos del banco,

involucrando los propietarios de información respectivos con la finalidad de

garantizar un adecuado nivel de segregación funcional.

El banco cuenta con una política de seguridad sobre el uso de Internet/ intranet

la cual considera los siguientes tópicos:

Riesgos asociados con el uso de Internet;

Conducta de uso general,

Responsabilidades del administrador;

Estándares de seguridad, y;

- 89 -

La transaccionalidad Web crítica (transferencia, pagos) se realiza

solamente en las cuentas declaradas por el cliente, para reducir el riesgo

y eventos potenciales de fraude.

El banco deberá establecer mecanismos para asegurar la continuidad de los

servicios en linea, considerando eventos como fallas o interrupciones en el

procesamiento de los servidores de éstos servicios para lo cual se está

trabajando en la implementación de planes de contingencia y continuidad del

negocio para estar preparados ante cualquier evento no previsto y así asegurar

la continuidad de las operaciones y la confianza de nuestros clientes.

El avance real registrado hasta el 30 de septiembre del 2008 es del 76%,

contra un avance previsto del 100%. El principal tema pendiente se refiere a la

Seguridad de la Información, que considera los siguientes aspectos:

Garantizar que el sistema de administración de seguridad satisface las

necesidades del Banco;

Políticas y procedimientos de seguridad de la información;

La identificación de los requerimientos de seguridad relacionados con la

tecnología de información, considerando principalmente: la evaluación

de los riesgos que enfrenta la institución; y;

Los controles necesarios para asegurar la integridad, disponibilidad y

confidencialidad de la información administrada.

El atraso producido es básicamente porque el punto de seguridad de la

información es responsabilidad del proceso de Seguridad Bancaria, que

formalmente nació en Agosto 2008. Su responsable se encuentra

desarrollando las políticas y procedimientos con el apoyo de las distintas áreas.

- 90 -

Proyecto Implementación Gestión Riesgo Operacional

100%

76%

24%

0%15%30%45%60%75%90%

Dic-31-07

Ene-31

-07

Feb

-28-07

Mar-31-07

Abr-30

-07

May

-31-07

Jun-30-07

Jul-31

-07

Ago-31

-07

Sep

-30-07

Oct-31-07

nov-30

-07

Dic-31-07

Ene-31

-08

Feb

-29-08

Mar-30-08

Abr-30

-08

May

-30-08

Jun-30-08

Jul-31

-08

Ago-31

-08

Sep

-30-08

Factor Tecnología de Información%

de

Av

an

ce

s

Avance

Previsto

Avance

Real

Brecha



“Eventos Externos”

A la fecha del estudio, el banco ha identificado algunos eventos externos

generadores de pérdida, tales como, robos, incendios, terremotos, entre otros,

para los cuales, con el objetivo de mitigar sus efectos ha contratado pólizas de

seguros.

Sin embargo no posee una metodología formal para identificar dichos eventos

así como tampoco ha establecido planes de contingencia y de continuidad de

negocios ante éstos escenarios.

Seguimiento al Factor Eventos Externos

En la actualidad el banco tiene identificado los eventos externos ajenos a su

control, generador de posibilidades de pérdidas y además se encuentra en la

implementación de planes de contingencia y continuidad del negocio para

mantener el nivel aceptable de operación frente a la ocurrencia de una

interrupción de los procesos de negocio o de los recursos que soportan.

- 91 -

Para aquellos procesos de alta criticidad el banco está implementando un plan

de continuidad de negocios y para aquellos menos críticos solo contará con

planes de contingencia

El avance real registrado hasta el 30 de septiembre del 2008 es del 46%,

contra un avance previsto del 97%. La atención a éste factor va directamente

relacionado al proyecto de implementación del Plan de Continuidad del

Negocio del Banco, al cual se le ha dado máxima prioridad dentro de la

institución.


97%

46%

51%

0%

20%

40%

60%

80%

100%

Dic-31-07

Ene-31

-07

Feb

-28-07

Mar

-31-07

Abr-30

-07

May

-31-07

Jun-30-07

Jul-31

-07

Ago-31

-07

Sep

-30-07

Oct-31-07

nov

-30-07

Dic-31-07

Ene-31

-08

Feb

-29-08

Mar

-30-08

Abr-30

-08

May

-30-08

Jun-30-08

Jul-31

-08

Ago-31

-08

Sep

-30-08

Factor Eventos Externos

% d

e A

va

nc

es

Avance

PrevistoAvance

RealBrecha


- 92 -

IV.III Metodología para implementar la Gestión de Riesgo Operativo

La implementación permitirá satisfacer los requerimientos de la Dirección de la

entidad, Organismos Reguladores, Empresas Clasificadoras de Riesgo entre

otros; así como manejar eficientemente su Capital e incrementar la eficiencia

de sus procesos.

El esquema Coso Erm fue diseñado para ofrecer a las organizaciones un

modelo común aceptado para evaluar los esfuerzos de administración de

riesgos.

Este esquema provee lineamientos para ayudar a las organizaciones a

construir programas efectivos para identificar, medir, priorizar y responder a los

riesgos.

El banco se ha basado en un enfoque más robusto utilizando la metodología de

ERM (Enterprise Risk Management), ampliando el concepto de control interno.

A continuación la metodología para implementar la Gestión de Riesgos:

1Cultura

1 Concientización sobre la importancia del riesgo operativo

Crear la

Vision de

Erm

Definir el

alcance del

Proyecto

Administrar

ERM

Mejoramiento

Continuo

Ambiente

Interno

Establecimiento

de objetivos

- 93 -

2Gestión Cualitativa 3 Gestión Cuantitativa

IV.III.I. Cultura Este primer paso adquiere una significativa relevancia, ya que implica el

convencimiento de la alta dirección de los beneficios y la necesidad de

implantar un marco que administre el riesgo operacional. Dentro de las razones

para dicha administración, es posible mencionar:

Las presiones regulatorias;

La comprensión del impacto del riesgo operativo;

La necesidad de obtener información de gestión sobre las causas y

consecuencias del riesgo operativo;

El poder asignar el capital según el riesgo asumido;

El poder remunerar teniendo en cuenta la rentabilidad y el riesgo

operativo asumido; y;

La necesitad de obtener información que permita mejorar las decisiones

sobre la mitigación del riesgo operativo.

Pero lograr el convencimiento de la alta dirección es solo el primer paso en la

generación de conciencia para lograr una adecuada gestión de riesgo

operacional.

2 Identificación de riesgos, mapa de riesgos y respuestas 3 Desarrollo de un modelo de cuantificación

Fuente: 2006 Intellity Consulting CIA Ltda.

Identificación

de eventos

Evaluación

de riesgo

Respuesta

al riesgo

Actividades

de Control

Información y

comunicación

Supervisión

- 94 -

Tan importante como esto resultará el trabajo de capacitación y de generación

de cultura respecto de las unidades de negocio y las áreas de soporte del

banco, ya que ahí es donde se realiza la efectiva gestión de riesgo. Son éstas

las áreas que deben entender la utilidad de realizar determinadas tareas y de

buscar una efectiva aplicación de soluciones de mejora, así como también el

monitoreo control de los riesgos que enfrentan en su operatividad habitual.

Se llevaron a cabo seminarios de capacitación en gestión de riesgos operativos

a la medida de los requerimientos a:

Miembros del Directorio y Presidencia Ejecutiva

Alta Dirección

Funcionarios de la Unidad de Riesgos, funcionarios y personal clave

vinculado a los procesos de negocios, funcionarios y personal de otras

áreas (auditoría interna, operaciones, legal, tecnología, etc.) quienes

participaron en el análisis de riesgos operativo del proceso seleccionado.

Se desarrollaron talleres de análisis de riesgos operativo con la finalidad que la

unidad de riesgos comprenda la metodología y en adelante aplicarlos a todos

los procesos del banco.

En cuanto al manejo de los talleres dentro del banco, se ha iniciado con los que

se relacionan a los procesos productivos para luego realizar los de apoyo y

estratégicos.

En el cuadro adjunto podemos observar el resultado de uno de los talleres que

se están realizando para la identificación de los eventos de riesgos. La grafica

muestra que el total de eventos de riesgos identificados corresponde a 21

eventos para los cuales se han establecidos actividades a realizar en cuanto a

definiciones, políticas y procedimientos y tecnología de la información.,

concentrándose el mayor porcentaje 76% en políticas y procedimientos.

- 95 -

Total de Eventos de Riesgos Identificados 21

RESULTADOS DE TALLER DE RIESGO APERTURA Y RESULTADOS DE TALLER DE RIESGO APERTURA Y

CIERRE DE CUENTAS Y ACTUALIZACICIERRE DE CUENTAS Y ACTUALIZACIÓÓN DE DATOSN DE DATOS

Actividades por Realizar

62%

76%

19%

10%

30%

50%

70%

90%

Definiciones Políticas y

Procedimientos

Tecnología de

Información

Definiciones

Políticas y

Procedimientos

Tecnología de

Información



IV.III.II. Gestión Cualitativa

El desarrollo de una adecuada gestión cualitativa implica la identificación de los

siguientes aspectos:

Identificación de riesgos;

El modelo organizativo; y;

Herramientas de gestión.

El primer paso llevado a cabo en el banco consiste en la elaboración de un

mapa de procesos que sirva para detectar los riesgos y controles existentes,

así como también para realizar una valoración en términos de severidad y

frecuencia de los eventos de pérdida.

A nivel organizativo, el banco tiene una unidad independiente responsable por

la gestión de riesgo operativo que resulta vital dado que será la que genere los

mecanismos para una adecuada administración del riesgo.

- 96 -

La identificación del Riesgo Operativo en los procesos existentes se realiza en

el banco a través de:

Talleres de trabajo para la identificación de los riesgos en cada proceso;

Análisis de los eventos suscitados;

Información de pérdidas operacionales recopiladas;

Cuestionarios; y,

Comparación de riesgos y acciones mitigadoras.

De la evaluación de los participantes al taller de Servicios Bancarios, se

obtuvieron el siguiente resultado respecto a los niveles de riesgos de acuerdo a

los siguientes cuadros adjuntos:

RIESGO INHERENTE

5%

63%

21%

11%

Extremo

Alto

Medio

Bajo


En ésta grafica podemos considerar solo el riesgo inherente (sin controles), el

5% fue identificado como EXTREMO, el 63% de nivel ALTO, 21% de nivel

MEDIO y 11% de nivel BAJO.

- 97 -

RIESGO RESIDUAL

5%

26%

32%

37%Extremo

Alto

Medio

Bajo



En la grafica se considera el riesgo residual (con los controles actuales), los

eventos de riesgo de nivel EXTREMO se mantienen al 5%, los de nivel ALTO al

26%, los medios pasan al 32% y se registra un 37% en nivel BAJO.

RIESGO RESIDUAL DESEADO

0%

0%

32%

68%

Extremo

Alto

Medio

Bajo


Y por último consideramos el riesgo residual deseado (implementando nuevos

controles), la percepción fue que se podrían eliminar los eventos de riesgos de

- 98 -

nivel EXTREMO y ALTO, registrando los de nivel MEDIO en 32% y pasando al

67% los de nivel BAJO.

Del 100% de eventos de riesgo detectados en el taller, el 58% son causados

por el Factor PROCESOS, el 74% son causados por el Factor PERSONAS,

como lo demuestra la gráfica.

RIESGO POR FACTORES

58%

74%

0% 0%0%

10%

20%

30%

40%

50%

60%

70%

80%

Procesos Personas TI Eventos

Externos

Factores

% D

el

fac

tor

en

ca

da

rie

sg

o


Además, por el tipo de riesgo, podemos observar en la gráfica que los

mayores porcentajes se registraron en:

85% Deficiencias en la ejecución de procesos, en el procesamiento de

operaciones y en las relaciones con proveedores y otros externos.

5% Fraude Interno.

5% Fraude Externo.

5% Interrupción del negocio y falla en los sistemas.

- 99 -

RIESGO POR TIPO DE EVENTO

I.Fraude Interno

5%

III.Práctica de empleo y

seguridad del ambiente

de trabajo

0%

II.Fraude Externo

5%

IV.Prácticas

relacionadas con

clientes, productos y

negocio

0%

VI.Interrupción del

Negocio y falla en los

sistemas

5%

V.Daños a los activos

fijos

0%

VII.Deficiencia en la

ejecución de procesos,

en el procesamiento de

operaciones y en las

relaciones con

proveedores y otros

externos

85%


La entidad a la fecha del 30 de Septiembre del 2008 tiene identificado 324

eventos de riesgo. Del 100%, el 46% son eventos de nivel residual medio y

bajo, por lo que de acuerdo a la política de Riesgo Operativo, son riesgos de

niveles aceptados por el Banco; del porcentaje restante, el 9% son eventos que

ya han sido mitigados con controles y el 45% son eventos que están en planes

de implementación de controles.

Total Eventos

324 Eventos

Eventos por Mitigar

45%

Eventos Mitigados

9%

Aceptados (Medio o

Bajo)

46%

Eventos por Mitigar Eventos Mitigados Aceptados (Medio o Bajo)



- 100 -

El responsable de área será quien valide la información y notifique a la Unidad

de Riesgos asignada, cualquier actualización, inclusión o exclusión de riesgos

como resultado de los cambios en los procesos u optimización de controles.

Tanto para los productos nuevos o para los ya existentes que sufran

modificaciones en sus parámetros o procedimientos, se deberán volver a

identificar los riesgos operativos asociados.

Todo proceso tendrá una persona responsable de notificar los eventos de

pérdida suscitados (determinando las pérdidas cuantificable cuando sea

posible), registrando información sobre la fecha y lugar de ocurrencia, los

actores del evento, las acciones inmediatas que se tomaron o están pendientes

de tomar y responsables.

Los riesgos operativos deben ser medidos cualitativa y/o cuantitativamente. El

banco está efectuando la medición cualitativa hasta que la información

recopilada históricamente le permita tener resultados medibles

cuantitativamente y se obtengan mediante sustentos estadísticos la pérdida

esperada que dará la provisión de capital por éste concepto.

La medición cualitativa deberá incluir una evaluación bajo tres escenarios:

Riesgo inherente.- Riesgo sin aplicar control alguno.

Riesgo residual controlado.- Riesgo aplicando los controles existentes.

Riesgo residual deseado.- Riesgo aplicando controles propuestos.

- 101 -

INDICADORES DE RIESGO OPERATIVOINDICADORES DE RIESGO OPERATIVO

NIVEL DE RIESGONIVEL DE RIESGO

Nivel de Riesgo Inherente

18%

68%

14% 0%

Extremo

Alto

Medio

Bajo

Nivel de Riesgo Residual

11%

53%

29%

7%

Extremo

Alto

Medio

Bajo

Nivel de Riesgo Residual Deseado

9%

60%

31%

0%

Extremo

Alto

Medio

Bajo

Nivel de Riesgo Actual

6%

48%38%

8%

Extremo

Alto

Medio

Bajo


Al cierre del del tercer trimestre del año en curso (2008) se puede apreciar

como vemos en el gráfico que el 68% del nivel de riesgo inherente se lo

registra en el nivel de riesgo alto, mientras que al aplicar controles se traduce

en un 53%, ahora tenemos un nivel de riesgo alto del 48% y si aplicamos los

controles deseados el nivel de riesgo seria del 9%.

Cada evento deberá ser registrado en una MATRIZ DE RIESGOS POR

FACTORES y será evaluado considerando dos perspectivas:

PROBABILIDAD.- Es la estimación de la probabilidad de ocurrencia del evento

evaluada en los tres escenarios.

IMPACTO.- Magnitud de la consecuencia si el riesgo se materializa.

- 102 -

Criterios Cualitativos de Probabilidad

Nivel Descriptivo Probabilidad

5 Casi Seguro Ocurrirá en la mayoría de las circunstancias; todos los días o varias veces al mes.

4 Probable Probablemente ocurrirá en la mayoría de las circunstancias; cuando menos una vez al mes.

3 Posible Puede ocurrir en algún momento; cuando menos una vez al año.

2 Improbable Podría ocurrir en algún momento; cuando menos una vez cada dos años.

1 Raro Puede ocurrir en circunstancias excepcionales; dos veces cada 5 años.

Criterios Cualitativos de Impacto

Nivel Descriptivo Impacto

1 Insignificante Pérdida menor; riesgo aceptable en el sector; no hay daño a la reputación, no hay cobertura en los medios, no aumentan las quejas de los clientes.

2 Menor Pérdida moderada, cobertura de medios local; aumento en los reclamos de los clientes; riesgo aceptable en el sector; posible cierre de cuentas; no hay impacto negativo en el valor de las acciones

3 Moderado Pérdida o daño significativo; riesgo inusual en el sector; cobertura de medios nacionales limitada; reclamos de clientes a gran escala; pérdida de algunos clientes; indagaciones informales del regulador; efecto negativo potencial en el valor de las acciones; posible involucramiento de la alta gerencia

4 Mayor Pérdida o daño mayor, pérdida de valor de las acciones; riesgo inusual o inaceptable en el sector; cobertura de medios nacionales sostenida; pérdida importante de clientes; investigación formal del regulador; involucramiento directo de la alta gerencia o directorio.

5 Catastrófico Pérdida o daño catastrófico; pérdida importante del valor de las acciones; riesgo inusual o inaceptable en el sector; intervención regulatoria formal y multas; pérdida de clientes a gran escala; involucramiento directo de la alta gerencia o directorio.

Con los criterios cualitativos de probabilidad e impacto se aplica la siguiente

matriz para determinar el nivel de riesgo, que puede ser:

- 103 -

Matriz de Análisis Cualitativo de Riesgos

IMPACTO

PROBABILIDAD 1 Insignificante

2 Menor

3 Moderado

4 Mayor

5 Catastrófico

5 - Casi seguro A A E E E

4 - Probable M A A E E

3 - Posible B M A E E

2 - Improbable B B M A E

1 - Raro B B M A A

Fuente: © 2006 Intellity Consulting Ecuador Cía. Ltda. Elaborado: Grupo Intellity Consulting Ecuador.

Una vez realizada la medición de la probabilidad y el impacto para los riesgos

de cada proceso por las áreas responsables, se debe realizar la medición de la

entidad, determinando el perfil de Riesgo Inherente.

Los resultados de la evaluación de eventos con sus niveles de probabilidad,

impacto y riesgo se registrarán en la Matriz de Riesgos y Controles.

De acuerdo a las políticas internas de cada Institución financiera se definirán la

calificación de riesgo aceptable, por tanto se dará prioridad en la definición,

implementación o mejoramiento de controles a aquellos que no cumplan éste

nivel mínimo. Estos controles serán definidos en base a la respuesta al riesgo

que se identifique por cada evento.

E Extremo Requiere atención inmediata de la Alta Dirección

A Alto Se Necesita atención de la Alta Dirección

M Medio Definir responsabilidades gerenciales

B Bajo Aplicar procedimientos rutinarios

- 104 -

EVITAR COMPARTIR

No se identifiquen opciones de respuesta que lleven el riesgo residual a un nivel aceptable.

Eliminar la fuente de riesgo: unidad del negocio, líneas de productos, segmento geográfico.

Decidir no comprometerse en nuevas iniciativas o actividades que aumentarían el riesgo.

Reducir impacto y/o probabilidad transfiriendo o compartiendo con un tercero.

Asegurar pérdidas significativas inesperadas.

Realizar alianzas estratégicas. Cubrir riesgos a través de

instrumentos financieros. Tercerizar procesos de negocios. Compartir riesgos a través de

acuerdos contractuales con clientes, proveedores u otros socios de negocios.

REDUCIR ACEPTAR

Reducir impacto y/o probabilidad.

Diversificar la oferta de productos.

Establecer límites operacionales.

Establecer procesos de negocios efectivos (políticas y procedimientos).

Controles preventivos y detectivos.

Controles manuales y automatizados.

Equilibrar el portafolio de activos para reducir la exposición a ciertos tipos de pérdidas.

El riesgo residual dentro de las tolerancias deseadas.

No se toma acción para reducir impacto y probabilidad.

Auto-asegurarse contra pérdidas. Confiar en las compensaciones

naturales dentro de un portafolio.

El banco dará más atención a los eventos de riesgos que están dentro de la

zona alta y extremo.

Los responsables de área, bajo los lineamientos de la administración,

propondrán la respuesta al riesgo por evento y las acciones para cerrar las

brechas de control, debiendo registrar éstas acciones, responsables y tiempo

de ejecución en la matriz de riesgos y controles que deberá ser aprobada por el

Comité de Administración de Riesgos y Directorio.

- 105 -

La Unidad de Riesgos será la responsable de hacer el seguimiento al

cumplimiento de los controles propuestos.

El banco está adecuado con una estructura organizativa que tiene entre sus

funciones la elaboración de metodologías de evaluación de riesgos operativos,

coordinación de los proyectos de implementación de controles en los casos que

sean necesarios de acuerdo a los resultados obtenidos en los talleres de riesgo

realizados para cada uno de los procesos en función de su criticidad.

El control de los riesgos operativos se efectuará en la entidad del estudio

llevando un detalle de lo siguiente:

Eventos de pérdida suscitados;

Demandas instauradas hacia el banco;

Demandas perdidas;

Multas aplicadas a la institución; y,

Detalle de reclamos – Servicio al Cliente.

Se mantiene la inestabilidad en la notificación oportuna de eventos de pérdida,

por lo que se planificará una campaña para reducir este desfase entre la fecha

de ocurrencia del evento y la fecha de notificación y registro en la base de

datos de pérdida, como se muestra en la gráfica a continuación.

- 106 -

BASE DE DATOS DE EVENTOS DE PBASE DE DATOS DE EVENTOS DE PÉÉRDIDARDIDA

Notificación de Eventos de Pérdida

0

5

10

15

20

25

Ene

-08

Feb-

08

Mar

-08

Abr

-08

May

-08

Jun-08

Jul-0

8

Ago

-08

Sep

-08

2008

Ca

nti

da

d d

e E

ve

nto

s

Fecha de Ocurrencia

Fecha de Registro


IV.III.III. Gestión Cuantitativa

Un elemento fundamental que el banco debería considerar a futuro es pasar de

un enfoque cualitativo a un marco de gestión integral del riesgo operacional y

trabajar arduamente con la alimentación de las bases de datos de pérdidas

operacionales. Éste representa uno de los mayores desafíos a los cuales se

enfrenta la banca ecuatoriana.

Una vez finalizada la construcción de las base de datos, el banco deberá

abordar el desarrollo de un modelo de medición del riesgo operacional. Las

entidades que adopten el enfoque avanzado tendrán beneficios de gestión

como de ahorros de capital regulatorio, pudiendo calcular los recursos propios

en función de su perfil real de riesgo, de los controles establecidos y del macro

de gestión que hayan definido.

- 107 -

Por último, las entidades deberán perseguir la integración final de los aspectos

cualitativos y cuantitativos. Esto implica el diseño y el establecimiento de las

relaciones entre los datos recopilados, los indicadores, los mapas de riesgos y

controles y mediciones de capital.

En definitiva, las entidades ecuatorianas tienen un largo camino por recorrer

para alcanzar un nivel de gestión del riesgo operacional con un grado de

madurez similar al que existe en algunos de los países de Latinoamérica.

Esto sin duda implicara altas inversiones de tiempo, dinero y recursos

humanos, sin embargo serán aquellas entidades que comprendan el verdadero

valor de administrar el Riesgo Operativo como una herramienta de gestión las

que podrán considerar el dinero utilizado en su implementación como una

inversión y no como un gasto y las que, por ende, terminarán entregando un

mayor valor a sus accionistas.

- 108 -

CONCLUSIONES

- La administración de riesgo operacional no es nueva en las Instituciones

Financieras, sin embargo ha crecido la necesidad de integrarlo dentro de todos

los procesos de la Institución con el objetivo de mejorar su administración,

documentar y corregir debilidades en los procesos y en los reportes a lo largo

de toda la entidad para poder reducir los requerimientos mínimos de capital y

estar mejor informado para una mejor toma de decisiones. El incremento de los

casos relacionados a riesgo operativo no deja duda de la importancia que ha

adquirido dentro de las instituciones financieras así como para los reguladores

por lo que es importante que todas las áreas de la institución participen.

- El que una Entidad cuente con una adecuada cultura de riesgos comprende el

conjunto de actitudes compartidas, valores corporativos y prácticas que

caracterizan como la Entidad enfrente el riesgo en el “día a día”.

- Las Entidades Financieras ecuatorianas cuya alta Dirección, propicie un clima

que promueva la integridad de sus procedimientos, valores corporativos y un

claro entendimiento del riesgo, puede impulsar de manera importante la

creación de los cambios culturales necesarios para cumplir con el objetivo

básico de la administración de riesgos, el cual es contribuir con la creación de

valor para la entidad.

- Las entidades nacionales, han comenzado un proceso interno de

concienciación, y más importante, de definición del Riesgo Operativo. El

objetivo principal perseguido es el de lograr una disminución de las pérdidas

relacionadas con fallas operacionales y por lo tanto, obtener mejoras en sus

indicadores de eficiencia. En éstas entidades nacionales líderes, el Riesgo

Operativo ha comenzado a dejar de ser “todo aquello que no es riesgo de

crédito ni riesgo de mercado” para tomar una definición propia, y en muchos

casos, ya se ha designado una unidad responsable de su gestión,

- 109 -

independiente de las unidades de negocio y de la Auditoria Interna, tal como lo

recomienda el Comité de Basilea.

- La participación activa y la responsabilidad que asuman los máximos

organismos de administración de las entidades son cruciales para el éxito del

proceso, es por eso que la norma, en el marco de la administración integral de

riesgos, define responsabilidades específicas sobre el riesgo operativo para el

Directorio, El Comité de Riesgos y la Unidad de Riesgos.

- Las gestiones cualitativa y cuantitativa del riesgo operacional dependerá una

de la otra; ya que, la gestión cuantitativa comienza con la gestión cualitativa

dado que durante su desarrollo deben detectarse e identificarse todos los

riesgos/causas que pueden generar una pérdida futura a la entidad. Una

correcta identificación de dichas causas tendrá asociados diferentes planes de

acción a efectos de mitigarlos y, de ésta forma, generar beneficios en el corto

plazo (reducción de costos en sus líneas de negocio) y en el largo plazo

(reducción en los requerimientos de capital).

- Con la administración y gestión del riesgo operativo se espera controlar los

riesgos operacionales y por consiguiente minimizar las pérdidas mejorando de

ésta manera los índices de eficiencia, contribuyendo junto con otras aéreas de

la organización a generar un mejor servicio al cliente y mejora de la imagen,

creando una diferenciación y así una ventaja competitiva.

- 110 -

RECOMENDACIONES

- Que, en el sector bancario se incorporen los principios fundamentales

basados en políticas de riesgo que podrán diferir dependiendo de las prácticas

de la industria, del esquema regulatorio y la madurez de la organización.

- Que, en nuestro país se orienten los esfuerzos a fortalecer estos tres pilares

conceptuales de Basilea II, pero enmarcados en el contexto, el tamaño, la

complejidad y el tipo de actividades y operaciones que manejan nuestras

Instituciones.

- Que, las políticas de riesgo operativo establecidas previamente, usadas por

toda la organización deberán ser manejadas correctamente, utilizando un

marco de referencia (COSO ERM) para proveer una estructura que permite

decidir que oportunidades seguir y que amenazas evitar. El marco debe ser lo

suficiente fuerte para apoyar los objetivos del manejo del riesgo debiendo

acoplarse a las estrategias, iniciativas y estructura organizaciones, así como a

nuestra industria y a los requerimientos regulatorios.

- Los enfoques adoptados por los Organismos encargados y las políticas de

supervisión bancarias, deben propender a fortalecer la solvencia y estabilidad

de las entidades financieras y prepararlas para afrontar los cambios a los

cuales están sujetas nuestras economías, para lo cual es importante la

dotación de un marco jurídico transparente, que promoviendo la competitividad

de las instituciones tienda a buscar un nivel de exposición equitativo entre sus

accionistas y los depositantes, así como de políticas de supervisión oportunas

que busquen detectar y corregir las debilidades que presentan las instituciones,

antes de que los problemas se materialicen y conlleven a generar pérdidas que

comprometan su viabilidad

- 111 -

- Que, se implemente bases concretas dentro de la estructura organizativa y de

la alta dirección para que la administración de riesgo operacional

verdaderamente funcione.

- Que, se impulse dentro de las entidades financieras, el cambio de mentalidad

para la promoción del riesgo inteligente, mediante el esfuerzo conjunto de

todos los colaboradores de la empresa, para lo cual se requiere de

comunicaciones claras, una cultura claramente definida, programas de

recompensas y reconocimiento, así como de enseñanza en el manejo del

riesgo.

- 112 -

GLOSARIO DE TÉRMINOS

Alta gerencia.- La integran el presidente y vicepresidente ejecutivo, gerentes

generales, vicepresidentes o gerentes departamentales, entre otros,

responsables de ejecutar las disposiciones del directorio, quienes toman

decisiones de alto nivel, de acuerdo con las funciones asignadas y la estructura

organizacional definida en el banco.

Evento de riesgo operativo.- Es el hecho que puede derivar en pérdidas

financieras para el banco.

Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de

riesgo operativo. Los factores son los procesos, personas, tecnología de

información y eventos externos.

Riesgo.- Es la posibilidad que se produzca un hecho generador de pérdidas

que afecten el valor económico de las Instituciones.

Administración de Riesgos: Es el proceso mediante el cual las instituciones

del sistema financiero identifican, miden, controlar/mitigan y monitorean los

riesgos inherentes al negocio, con el objeto de definir el perfil de riesgo, el

grado de exposición que la institución está dispuesta a asumir en el desarrollo

del negocio y los mecanismos de cobertura, para proteger los recursos propios

y de terceros que se encuentren bajo su control y administración.

Exposición: Está determinada por el riesgo asumido menos la cobertura

implantada.

Pérdida: Todo resultado negativo o no deseado producto de la materialización

u ocurrencia de un evento que impacta el logro de un objetivo (capital y/o

ganancias de una organización).

- 113 -

Capital: Valor de activos menos valor de pasivos, constituye el principal medio

de protección de un banco contra los riesgos de insolvencia y eventual quiebra.

Capital Regulatorio: Las Instituciones Bancarias deberán tener un “fondo de

protección” (autoseguro) para financiamiento de los riesgos a los cuales está

expuesto, alojado en su capital.

Basilea II: Es un estándar “regulatorio” de administración de riesgos para el

sector bancario a nivel internacional.

Riesgo de Crédito: Es la posibilidad de pérdida debido al incumplimiento del

prestatario o la contraparte en operaciones directas, indirectas o de derivados

que conlleva el no pago, el pago parcial o la falta de oportunidad en el pago de

las obligaciones pactadas.

Riesgo de Mercado: Es la contingencia de que una institución del sistema

financiero incurra en pérdidas debido a variaciones en el precio de mercado de

un activo financiero, como resultado de las posiciones que mantenga dentro y

fuera de balance.

Mapa de riesgo.- Herramienta que permite la identificación temprana de

eventos de riesgo, su magnitud e impacto.

Gobierno Corporativo.-Tiene como función determinar los objetivos

estratégicos y operativos de la entidad, orientados a cumplir con los intereses

de la Institución en sí: entendidos como tales, los de sus accionistas, sus

colaboradores y de manera especial el interés de sus clientes.

Proceso.- Es el conjunto de actividades que transforman insumos en productos

o servicios con valor para el cliente, sea interno o externo.

- 114 -

Insumo.- Es el conjunto de materiales, datos o información que sirven como

entrada a un proceso.

Proceso crítico.- Es el indispensable para la continuidad del negocio y las

operaciones del banco, y cuya falta de identificación o aplicación deficiente

puede generarle un impacto financiero negativo.

Actividad.- Es el conjunto de tareas.

Tarea.- Es el conjunto de pasos o procedimientos que conducen a un resultado

final visible y mesurable.

Procedimiento.- Es el método que especifica los pasos a seguir para cumplir

un propósito determinado.

Línea de negocio.- Es una especialización del negocio que agrupa procesos

encaminados a generar productos y servicios especializados para atender un

segmento del mercado objetivo definido en la planificación estratégica del

banco.

Datos.- Es cualquier forma de registro electrónico, óptico, magnético, impreso

o en otros medios, susceptible de ser capturado, almacenado, procesado y

distribuido.

Información.- Es cualquier forma de registro electrónico, óptico, magnético o

en otros medios, previamente procesado a partir de datos, que puede ser

almacenado, distribuido y sirve para análisis, estudios y toma de decisiones.

Información crítica.- Es la información considerada esencial para la

continuidad del negocio y para la adecuada toma de decisiones.

- 115 -

Administración de la información.- Es el proceso mediante el cual se

captura, procesa, almacena y transmite información, independientemente del

medio que se utilice, ya sea impreso, escrito en papel, almacenado

electrónicamente, transmitido por correo o por medios electrónicos o

presentado en imágenes.

Tecnología de información.- Es el conjunto de herramientas y métodos

empleados para llevar a cabo la administración de la información. Incluye el

hardware, software, sistemas operativos, sistemas de administración de bases

de datos, redes, multimedia, servicios asociados, entre otros.

Aplicación.- Se refiere a los procedimientos programados a través de alguna

herramienta tecnológica, que permiten la administración de la información y la

oportuna toma de decisiones.

Instalaciones.- Es la infraestructura que permite alojar los recursos físicos

relacionados con la tecnología de información.

Responsable de la información.- Es la persona encargada de identificar y

definir claramente los diversos recursos y procesos de seguridad lógica

relacionados con las aplicaciones.

Seguridad de la información.- Son los mecanismos implantados que

garantizan la confidencialidad, integridad y disponibilidad de la información y

los recursos relacionados con ella.

Seguridades lógicas.- Se refieren a la seguridad en el uso del software, la

protección de los datos, procesos y programas, así como la del acceso

ordenado y autorizado de los usuarios a la información.

Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y

acuerdos contractuales a los que los procesos del banco están sujetos.

- 116 -

Medios electrónicos.- Son los elementos de la tecnología que tienen

características digitales, magnéticas, inalámbricas, ópticas, electromagnéticas

u otras similares.

Transferencia electrónica de información.- Es la forma de enviar, recibir o

transferir en forma electrónica datos, información, archivos, mensajes, entre

otros.

Plan de continuidad.- Está orientado a asegurar la continuidad del negocio, la

satisfacción del cliente y la productividad a pesar de eventos inesperados. Se

ejecuta permanentemente como parte de la administración de riesgos tanto en

la información como en la operación. Un plan de continuidad incluye un plan de

contingencia, un plan de reanudación y un plan de recuperación.

Plan de contingencia.- Es el conjunto de procedimientos alternativos a la

operatividad normal de la entidad cuya finalidad es la de permitir su

funcionamiento, buscando minimizar el impacto financiero que pueda ocasionar

cualquier evento inesperado específico. El plan de contingencia se ejecuta el

momento en que se produce dicho evento.

Plan de reanudación.- Especifica los procesos y recursos para mantener la

continuidad de las operaciones en la misma ubicación del problema.

Plan de recuperación.- Especifica los procesos y recursos para recuperar las

funciones del negocio en una ubicación alterna dentro o fuera del banco.

Eficacia.- Es la capacidad para contribuir al logro de los objetivos

institucionales de conformidad con los parámetros establecidos.

Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos

disponibles en pro del logro de los objetivos institucionales, procurando la

optimización de aquellos y evitando dispendios y errores.

- 117 -

Siglas Utilizadas:

AMA: Método de medición avanzada (Advanced Measurement Approaches).

G-10.- Gobernantes de los Bancos Centrales del Grupo de los Diez.

Basilea II.- (Nuevo Acuerdo de Capital).

VAR.- Value at Risk o valor agregado.

SIBS.- Superintendencia de Bancos y Seguros.

ERM. - Enterprise Risk Management

- 118 -

BIBLIOGRAFÍA

1. EL NUEVO ACUERDO DE BASILEA Y LA GESTIÓN DE RIESGO

OPERACIONAL; www.pwc.com

2. RIESGO OPERATIVO, INTRODUCCIÓN, CONCEPTOS BÁSICOS;

www.asbaweb.or.

3. PRÁCTICAS SANAS PARA LA ADMINISTRACIÓN Y SUPERVISIÓN DEL

RIESGO OPERATIVO; www.asbaweb.org

4. PRINCIPIOS DE SUPERVISIÓN DE BASILEA; www.superban.gov.ec

5. ENFOQUE DE GESTIÓN Y SUPERVISIÓN DEL RIESGO OPERATIVO EN

EL ECUADOR; www.superban.gov.ec

6. PUNTOS DE VISTA, LA GLOBALIZACIÓN FINANCIERA Y BASILEA I Y II;

www.listin.com.do.

7. BASILEA I; www.wipidea.org.

8. BANK INTERNACIONAL SETTLEMENTS, IMPLEMENTACIÓN DE

BASILEA II CONSIDERACIONES PRÁCTICAS; www.asbaweb.org.

9. IV REGIONAL CONFERENCE PUBLIC SECTOR-PRIVATE; “Risk

Management and Supervision in the Americas”; www.iadb.org.

10. JORGE OLAYA EXPERTO EN RIESGO OPERATIVO;

http://riesgooperativo.blogspot.com.

11. RIESGO OPERATIVO; www.bce.fin.ec.

12. BASILEA II EN AMÉRICA LATINA, RAFAEL DIAZ; www.dgrv.org.

13. RIESGO OPERATIVO.-ENFOQUE ESTÁNDAR SEGÚN BASILEA II,

MATTHIAS ARZBACH.

14. PRINCIPIOS DE BASILEA PARA UNA SUPERVISIÓN BANCARIA

EFECTIVA, GENARO SEGURA

15. RIESGO OPERACIONAL: UNA GUÍA DE LA DGR, LUIS HUMBERTO

RAMÍREZ; www.dgrv.org.

16. EL COMITÉ DE BASILEA SOBRE SUPERVISIÓN BANCARIA;

www.bis.org.

17. RIESGO OPERATIVO; www.sib.gob.gt.

http://www.pwc.com/

http://www.asbaweb.or/

http://www.asbaweb.org/

http://www.superban.gov.ec/

http://www.superban.gov.ec/

http://www.listin.com.do/

http://www.wipidea.org/

http://www.asbaweb.org/

http://www.iadb.org/

http://riesgooperativo.blogspot.com/

http://www.bce.fin.ec/

http://www.dgrv.org/

http://www.dgrv.org/

http://www.bis.org/

http://www.sib.gob.gt/

- 119 -

18. DIAGNÓSTICO DE LOS TRES PILARES, SUPERINTENDENCIA DE

BANCOS Y SEGUROS DEL ECUADOR; www.bis.org.

19. CÓMO PREPARARSE PARA LA IMPLEMENTACIÓN DE BASILEA II EN

EL ÁMBITO BANCARIO.- BANCO DE LA NACIÓN ARGENTINA.- DR.

JORGE BIAU; www.theiia.org.

20. RESOLUCIÓN JB-2005-834, SBS.

21. RESOLUCIÓN JB-2004-631, SBS.

http://www.bis.org/

- 120 -

ANEXO No. JB-2005-834

RESOLUCIÓN No. JB-2005-834

LA JUNTA BANCARIA CONSIDERANDO:

Que en el subtítulo VI.” De la gestión y administración de riesgos., del título VII

.De los activos y de los límites de crédito” de la Codificación de Resoluciones

de la Superintendencia de Bancos y Seguros y de la Junta Bancaria, consta el

capítulo I “De la gestión integral y control de riesgos”.

Que en el artículo 1, de la sección I “Alcance y definiciones”, del citado capítulo

I, se establece que las instituciones del sistema financiero controladas por la

Superintendencia de Bancos y Seguros deberán establecer esquemas

eficientes y efectivos de administración y control de todos los riesgos a los que

se encuentran expuestas en el desarrollo del negocio, conforme con su objeto

social, sin perjuicio del cumplimiento de las obligaciones que sobre la materia

establezcan otras normas especiales o particulares;

Que la Superintendencia de Bancos y Seguros debe propender a que las

instituciones del sistema financiero cuenten con un sistema de administración

del riesgo operativo que les permita identificar, medir, controlar / mitigar y

monitorear los riesgos de manera que se fortalezca su seguridad y solidez, en

orden a proteger los intereses del público, de acuerdo a lo señalado en el

artículo 1 de la Ley General de Instituciones del Sistema Financiero;

Que entre los riesgos frecuentes a las que están expuestas las instituciones del

sistema financiero en el desarrollo de sus actividades se encuentra el riesgo

operativo;

Que las instituciones del sistema financiero deben gestionar el riesgo operativo,

como elemento fundamental de una administración preventiva que reduzca la

posibilidad de pérdidas e incremente su eficiencia, para lo cual deberán

implantar mecanismos, procesos y contar con recursos humanos calificados y

experimentados a fin de mitigar este riesgo;

- 121 -

Que el Comité de Supervisión Bancaria de Basilea ha definido principios que

recomienda sean aplicados por las instituciones del sistema financiero para la

conformación de un adecuado ambiente para la administración cualitativa del

riesgo operativo y que deben ser considerados por los supervisores al evaluar

la gestión realizada por las instituciones controladas;

Que es necesario establecer estándares mínimos prudenciales para que las

instituciones del sistema financiero administren el riesgo operativo en un

ambiente favorable, previo a la medición del mismo para posteriores

requerimientos de capital;

Que el control por parte del supervisor no consiste únicamente en garantizar

que las instituciones del sistema financiero posean el capital necesario para

cubrir los riesgos de sus actividades, sino también en alentarlas a que

desarrollen y utilicen mejores técnicas de gestión de sus riesgos que les

permita ser más eficientes y competitivas en el entorno de globalización de los

negocios bancarios;

Que la Superintendencia de Bancos y Seguros, como parte de su política de

comunicación y transparencia, puso en conocimiento previo el tema materia de

esta norma, a los gremios y asociaciones de las instituciones controladas que

tendrán que aplicarla;

- 122 -

Resolución No JB-2005-834

Página No 2

Que el Comité Normativo y de Políticas de Supervisión y de Administración

Interna de la Superintendencia de Bancos y Seguros, en sesión celebrada el 11

de octubre del 2005, conoció y luego del análisis y discusión de su contenido

recomendó a la Junta Bancaria la aprobación de la norma de riesgo operativo;

y,

En ejercicio de la atribución legal que le otorga la letra b) del artículo 175 de la

Ley General de Instituciones del Sistema Financiero,

RESUELVE:

ARTÍCULO 1.- En el subtítulo VI .De la gestión y administración de riesgos., del

título VII .De los activos y de los límites de crédito. de la Codificación de

Resoluciones de la Superintendencia de Bancos y Seguros y de la Junta

Bancaria, incorporar como capítulo V el siguiente y renumerar los restantes:

“CAPÍTULO V.- DE LA GESTIÓN DEL RIESGO OPERATIVO

SECCIÓN I.- ÁMBITO, DEFINICIONES Y ALCANCE

ARTÍCULO 1.- Las disposiciones de la presente norma son aplicables a las

instituciones financieras públicas y privadas, al Banco Central del Ecuador, a

las compañías de arrendamiento mercantil, a las compañías emisoras y

administradoras de tarjetas de crédito y a las corporaciones de desarrollo de

mercado secundario de hipotecas, cuyo control compete a la Superintendencia

de Bancos y Seguros, a las cuales, en el texto de este capítulo se las

denominará como instituciones controladas.

Para efecto de administrar adecuadamente el riesgo operativo, además de las

disposiciones contenidas en el capítulo I .De la gestión integral y control de

- 123 -

riesgos., de este subtítulo, las instituciones controladas observarán las

disposiciones del presente capítulo.

ARTÍCULO 2.- Para efectos de la aplicación de las disposiciones del presente

capítulo, se considerarán las siguientes definiciones:

2.1 Alta gerencia.- La integran los presidentes y vicepresidentes ejecutivos,

gerentes generales, vicepresidentes o gerentes departamentales, entre otros,

responsables de ejecutar las disposiciones del directorio u organismo que haga

sus veces, quienes toman decisiones de alto nivel, de acuerdo con las

funciones asignadas y la estructura organizacional definida en cada institución

controlada;

2.2 Evento de riesgo operativo.- Es el hecho que puede derivar en pérdidas

financieras para la institución controlada;

2.3 Factor de riesgo operativo.- Es la causa primaria o el origen de un evento

de riesgo operativo. Los factores son los procesos, personas, tecnología de

información y eventos externos;

2.4 Proceso.- Es el conjunto de actividades que transforman insumos en

productos o servicios con valor para el cliente, sea interno o externo;

- 124 -


Página No 3

2.5 Insumo.- Es el conjunto de materiales, datos o información que sirven

como entrada a un proceso;

2.6 Proceso crítico.- Es el indispensable para la continuidad del negocio y las

operaciones de la institución controlada, y cuya falta de identificación o

aplicación deficiente puede generarle un impacto financiero negativo;

2.7 Actividad.- Es el conjunto de tareas;

2.8 Tarea.- Es el conjunto de pasos o procedimientos que conducen a un

resultado final visible y mesurable;

2.9 Procedimiento.- Es el método que especifica los pasos a seguir para

cumplir un propósito determinado;

2.10 Línea de negocio.- Es una especialización del negocio que agrupa

procesos encaminados a generar productos y servicios especializados para

atender un segmento del mercado objetivo definido en la planificación

estratégica de la entidad;

2.11 Datos.- Es cualquier forma de registro electrónico, óptico, magnético,

impreso o en otros medios, susceptible de ser capturado, almacenado,

procesado y distribuido;

2.12 Información.- Es cualquier forma de registro electrónico, óptico,

magnético o en otros medios, previamente procesado a partir de datos, que

puede ser almacenado, distribuido y sirve para análisis, estudios y toma de

decisiones;

- 125 -

2.13 Información crítica.- Es la información considerada esencial para la

continuidad del negocio y para la adecuada toma de decisiones;

2.14 Administración de la información.- Es el proceso mediante el cual se

captura, procesa, almacena y transmite información, independientemente del

medio que se utilice; ya sea impreso, escrito en papel, almacenado

electrónicamente, transmitido por correo o por medios electrónicos o

presentado en imágenes;

2.15 Tecnología de información.- Es el conjunto de herramientas y métodos

empleados para llevar a cabo la administración de la información. Incluye el

hardware, software, sistemas operativos, sistemas de administración de bases

de datos, redes, multimedia, servicios asociados, entre otros;

2.16 Aplicación.- Se refiere a los procedimientos programados a través de

alguna herramienta tecnológica, que permiten la administración de la

información y la oportuna toma de decisiones;

2.17 Instalaciones.- Es la infraestructura que permite alojar los recursos físicos

relacionados con la tecnología de información;

2.18 Responsable de la información.- Es la persona encargada de identificar

y definir claramente los diversos recursos y procesos de seguridad lógica

relacionados con las aplicaciones;

2.19 Seguridad de la información.- Son los mecanismos implantados que

garantizan la confidencialidad, integridad y disponibilidad de la información y

los recursos relacionados con ella;

Junta Bancaria del Ecuador

- 126 -


Página No 4

2.20 Seguridades lógicas.- Se refieren a la seguridad en el uso del software,

la protección de los datos, procesos y programas, así como la del acceso

ordenado y autorizado de los usuarios a la información;

2.21 Confidencialidad.- Es la garantía de que sólo el personal autorizado

accede a la información preestablecida;

2.22 Integridad.- Es la garantía de mantener la totalidad y exactitud de la

información y de los métodos de procesamiento;

2.23 Disponibilidad.- Es la garantía de que los usuarios autorizados tienen

acceso a la información cada vez que lo requieran a través de los medios

adecuados que satisfagan sus necesidades;

2.24 Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y

acuerdos contractuales a los que los procesos de las instituciones controladas

están sujetos;

2.25 Pista de auditoría.- Es el registro de datos lógicos de las acciones o

sucesos ocurridos en los sistemas aplicativos u operativos, con el propósito de

mantener información histórica para fines de control, supervisión y auditoría;

2.26 Medios electrónicos.- Son los elementos de la tecnología que tienen

características digitales, magnéticas, inalámbricas, ópticas, electromagnéticas

u otras similares;

2.27 Transferencia electrónica de información.- Es la forma de enviar, recibir

o transferir en forma electrónica datos, información, archivos, mensajes, entre

otros;

- 127 -

2.28 Encriptación.- Es el proceso mediante el cual la información o archivos

son alterados en forma lógica, con el objetivo de evitar que alguien no

autorizado pueda interpretarlos al verlos o copiarlos, por lo que se utiliza una

clave en el origen y en el destino;

2.29 Plan de continuidad.- Está orientado a asegurar la continuidad del

negocio, la satisfacción del cliente y la productividad a pesar de eventos

inesperados. Se ejecuta permanentemente como parte de la administración de

riesgos tanto en la información como en la operación. Un plan de continuidad

incluye un plan de contingencia, un plan de reanudación y un plan de

recuperación;

2.30 Plan de contingencia.- Es el conjunto de procedimientos alternativos a la

operatividad normal de la entidad cuya finalidad es la de permitir su

funcionamiento, buscando minimizar el impacto financiero que pueda ocasionar

cualquier evento inesperado específico. El plan de contingencia se ejecuta el

momento en que se produce dicho evento;

2.31 Plan de reanudación.- Especifica los procesos y recursos para mantener

la continuidad de las operaciones en la misma ubicación del problema;

2.32 Plan de recuperación.- Especifica los procesos y recursos para recuperar

las funciones del negocio en una ubicación alterna dentro o fuera de la

institución;

2.33 Eficacia.- Es la capacidad para contribuir al logro de los objetivos

institucionales de conformidad con los parámetros establecidos;

- 128 -


Página No 5

2.34 Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos

disponibles en pro del logro de los objetivos institucionales, procurando la

optimización de aquellos y evitando dispendios y errores; y,

2.35 Riesgo Legal.- Es la posibilidad de que se presenten pérdidas o

contingencias negativas como consecuencia de fallas en contratos y

transacciones que pueden afectar el funcionamiento o la condición de una

institución del sistema financiero, derivadas de error, dolo, negligencia o

imprudencia en la concertación, instrumentación, formalización o ejecución de

contratos y transacciones. El riesgo legal surge también de incumplimientos de

las leyes o normas aplicables.

ARTÍCULO 3.- Para efectos del presente capítulo, el riesgo operativo se

entenderá como la posibilidad de que se ocasionen pérdidas financieras por

eventos derivados de fallas o insuficiencias en los procesos, personas,

tecnología de información y por eventos externos. El riesgo operativo incluye el

riesgo legal en los términos establecidos en el numeral 2.35 del artículo 2 de la

Sección I de este capítulo.

El riesgo operativo no trata sobre la posibilidad de pérdidas originadas en

cambios inesperados en el entorno político, económico y social.

SECCIÓN II.- FACTORES DEL RIESGO OPERATIVO

ARTÍCULO 1.- Con el propósito de que se minimice la probabilidad de incurrir

en pérdidas financieras atribuibles al riesgo operativo, deben ser

adecuadamente administrados los siguientes aspectos, los cuales se

interrelacionan entre sí:

- 129 -

1.1 Procesos.- Con el objeto de garantizar la optimización de los recursos y la

estandarización de las actividades, las instituciones controladas deben contar

con procesos definidos de conformidad con la estrategia y las políticas

adoptadas, que deberán ser agrupados de la siguiente manera:

1.1.1 Procesos gobernantes o estratégicos.- Se considerarán a aquellos que

proporcionan directrices a los demás procesos y son realizados por el directorio

u organismo que haga sus veces y por la alta gerencia para poder cumplir con

los objetivos y políticas institucionales. Se refieren a la planificación estratégica,

los lineamientos de acción básicos, la estructura organizacional, la

administración integral de riesgos, entre otros;

1.1.2 Procesos productivos, fundamentales u operativos.- Son los procesos

esenciales de la entidad destinados a llevar a cabo las actividades que

permitan ejecutar efectivamente las políticas y estrategias relacionadas con la

calidad de los productos o servicios que ofrecen a sus clientes; y,

1.1.3 Procesos habilitantes, de soporte o apoyo.- Son aquellos que apoyan

a los procesos gobernantes y productivos, se encargan de proporcionar

personal competente, reducir los riesgos del trabajo, preservar la calidad de los

materiales, equipos y herramientas, mantener las condiciones de operatividad

y funcionamiento, coordinar y controlar la eficacia del desempeño

administrativo y la optimización de los recursos.

- 130 -


Página No 6

Identificados los procesos críticos, se implantarán mecanismos o alternativas

que ayuden a la entidad a evitar incurrir en pérdidas o poner en riesgo la

continuidad del negocio y sus operaciones.


operativo, las instituciones controladas deberán definir formalmente políticas

para un adecuado diseño, control, actualización y seguimiento de los procesos.

Las políticas deben referirse por lo menos a: (i) diseño claro de los procesos,

los cuales deben ser adaptables y dinámicos; (ii) descripción en secuencia

lógica y ordenada de las actividades, tareas, y controles; (iii) determinación de

los responsables de los procesos, que serán aquellas personas encargadas de

su correcto funcionamiento, a través de establecer medidas y fijar objetivos

para gestionarlos y mejorarlos, garantizar que las metas globales se cumplan,

definir los límites y alcance, mantener contacto con los clientes internos y

externos del proceso para garantizar que se satisfagan y se conozcan sus

expectativas, entre otros; (iv) difusión y comunicación de los procesos

buscando garantizar su total aplicación; y, (v) actualización y mejora continua a

través del seguimiento permanente en su aplicación.

Deberá existir una adecuada separación de funciones que evite

concentraciones de carácter incompatible, entendidas éstas como aquellas

tareas cuya combinación en las competencias de una sola persona,

eventualmente, podría permitir la realización o el ocultamiento de fraudes,

errores, omisiones u otros eventos de riesgo operativo.

- 131 -

Las instituciones controladas deberán mantener inventarios actualizados de los

procesos existentes, que cuenten, como mínimo con la siguiente información:

tipo de proceso (gobernante, productivo y de apoyo), nombre del proceso,

responsable, productos y servicios que genera el proceso, clientes internos y

externos, fecha de aprobación, fecha de actualización, además de señalar si se

trata de un proceso crítico.

1.2 Personas.- Las instituciones controladas deben administrar el capital

humano de forma adecuada, e identificar apropiadamente las fallas o

insuficiencias asociadas al factor “personas”, tales como: falta de personal

adecuado, negligencia, error humano, nepotismo de conformidad con las

disposiciones legales vigentes, inapropiadas relaciones interpersonales y

ambiente laboral desfavorable, falta de especificaciones claras en los términos

de contratación del personal, entre otros.



procesos y procedimientos que aseguren una apropiada planificación y

administración del capital humano, los cuales considerarán los procesos de

incorporación, permanencia y desvinculación del personal al servicio de la

institución.

Dichos procesos corresponden a:

1.2.1 Los procesos de incorporación.- Que comprenden la planificación de

necesidades, el reclutamiento, la selección, la contratación e inducción de

nuevo personal;

- 132 -


Página No 7

1.2.2 Los procesos de permanencia.- Que cubren la creación de condiciones

laborales idóneas; la promoción de actividades de capacitación y formación que

permitan al personal aumentar y perfeccionar sus conocimientos, competencias

y destrezas; la existencia de un sistema de evaluación del desempeño;

desarrollo de carrera; rendición de cuentas; e incentivos que motiven la

adhesión a los valores y controles institucionales; y,

1.2.3 Los procesos de desvinculación.- Que comprenden la planificación de

la salida del personal por causas regulares, preparación de aspectos jurídicos

para llegar al finiquito y la finalización de la relación laboral.

Los procesos de incorporación, permanencia y desvinculación antes indicados

deberán ser soportados técnicamente, ajustados a las disposiciones legales y

transparentes para garantizar condiciones laborales idóneas.

Las instituciones controladas deberán analizar su organización con el objeto de

evaluar si han definido el personal necesario y las competencias idóneas para

el desempeño de cada puesto, considerando no sólo experiencia profesional,

formación académica, sino también los valores, actitudes y habilidades

personales que puedan servir como criterio para garantizar la excelencia

institucional.

Las instituciones controladas mantendrán información actualizada del capital

humano, que permita una adecuada toma de decisiones por parte de los

niveles directivos y la realización de análisis cualitativos y cuantitativos de

acuerdo con sus necesidades.

- 133 -

Dicha información deberá referirse al personal existente en la institución; a la

formación académica y experiencia; a la forma y fechas de selección,

reclutamiento y contratación; información histórica sobre los eventos de

capacitación en los que han participado; cargos que han desempeñado en la

institución; resultados de evaluaciones realizadas; fechas y causas de

separación del personal que se ha desvinculado de la institución; y, otra

información que la institución controlada considere pertinente.

1.3 Tecnología de información.- Las instituciones controladas deben contar

con la tecnología de información que garantice la captura, procesamiento,

almacenamiento y transmisión de la información de manera oportuna y

confiable; evitar interrupciones del negocio y lograr que la información, inclusive

aquella bajo la modalidad de servicios provistos por terceros, sea íntegra,

confidencial y esté disponible para una apropiada toma de decisiones.



procesos y procedimientos que aseguren una adecuada planificación y

administración de la tecnología de información.

Dichas políticas, procesos y procedimientos se referirán a:

1.3.1 Con el objeto de garantizar que la administración de la tecnología de

información soporte adecuadamente los requerimientos de operación actuales

y futuros de la entidad, las instituciones controladas deben contar al menos con

lo siguiente:

- 134 -


Página No 8

1.3.1.1 El apoyo y compromiso formal del directorio u organismo que haga sus

veces y la alta gerencia;

1.3.1.2 Un plan funcional de tecnología de información alineado con el plan

estratégico institucional; y, un plan operativo que establezca las actividades a

ejecutar en el corto plazo (un año), de manera que se asegure el logro de los

objetivos institucionales propuestos;

1.3.1.3 Tecnología de información acorde a las operaciones del negocio y al

volumen de transacciones, monitoreada y proyectada según las necesidades y

crecimiento de la institución;

1.3.1.4 Un responsable de la información que se encargue principalmente de

definir y autorizar de manera formal los accesos y cambios funcionales a las

aplicaciones y monitorear el cumplimiento de los controles establecidos;

1.3.1.5 Políticas, procesos y procedimientos de tecnología de información

definidos bajo estándares de general aceptación que garanticen la ejecución de

los criterios de control interno de eficacia, eficiencia y cumplimiento,

debidamente aprobados por el directorio u organismo que haga sus veces,

alineados a los objetivos y actividades de la institución;

1.3.1.6 Difusión y comunicación a todo el personal involucrado de las

mencionadas políticas, procesos y procedimientos, de tal forma que se asegure

su implementación; y,

1.3.1.7 Capacitación y entrenamiento técnico al personal del área de tecnología

de información y de los usuarios de la misma.

- 135 -

1.3.2 Con el objeto de garantizar que las operaciones de tecnología de

información satisfagan los requerimientos de la entidad, las instituciones

controladas deben contar al menos con lo siguiente:

1.3.2.1 Manuales o reglamentos internos, debidamente aprobados por el

directorio u organismo que haga sus veces, que establezcan como mínimo las

responsabilidades y procedimientos para la operación, el uso de las

instalaciones de procesamiento de información y respuestas a incidentes de

tecnología de información;

1.3.2.2 Un procedimiento de clasificación y control de activos de tecnología de

información, que considere por lo menos, su registro e identificación, así como

los responsables de su uso y mantenimiento, especialmente de los más

importantes;

1.3.3 Con el objeto de garantizar que los recursos y servicios provistos por

terceros, se administren con base en responsabilidades claramente definidas y

estén sometidas a un monitoreo de su eficiencia y efectividad, las instituciones

controladas deben contar al menos con lo siguiente:

1.3.3.1 Requerimientos contractuales convenidos que definan la propiedad de

la información y de las aplicaciones; y, la responsabilidad de la empresa

proveedora de la tecnología en caso de ser vulnerables sus sistemas, a fin de

mantener la integridad, disponibilidad y confidencialidad de la información; y,

1.3.3.2 Requerimientos contractuales convenidos que establezcan que las

aplicaciones sean parametrizables, que exista una transferencia del

conocimiento y que se entregue documentación técnica y de usuario, a fin de

reducir la dependencia de las instituciones controladas con proveedores

externos y los eventos de riesgo operativo que esto origina.

- 136 -


Página No 9

1.3.4 Con el objeto de garantizar que el sistema de administración de seguridad

satisfaga las necesidades de la entidad para salvaguardar la información contra

el uso, revelación y modificación no autorizados, así como daños y pérdidas,

las instituciones controladas deben contar al menos con lo siguiente:

1.3.4.1 Políticas y procedimientos de seguridad de la información que

establezcan sus objetivos, importancia, normas, principios, requisitos de

cumplimiento, responsabilidades y comunicación de los incidentes relativos a la

seguridad; considerando los aspectos legales, así como las consecuencias de

violación de estas políticas;

1.3.4.2 La identificación de los requerimientos de seguridad relacionados con la

tecnología de información, considerando principalmente: la evaluación de los

riesgos que enfrenta la institución; los requisitos legales, normativos,

reglamentarios y contractuales; y, el conjunto específico de principios, objetivos

y condiciones para el procesamiento de la información que respalda sus

operaciones;

1.3.4.3 Los controles necesarios para asegurar la integridad, disponibilidad y

confidencialidad de la información administrada;

1.3.4.4 Un sistema de administración de las seguridades de acceso a la

información, que defina las facultades y atributos de los usuarios, desde el

registro, eliminación y modificación, pistas de auditoría; además de los

controles necesarios que permitan verificar su cumplimiento en todos los

ambientes de procesamiento;

- 137 -

1.3.4.5 Niveles de autorización de accesos y ejecución de las funciones de

procesamiento de las aplicaciones, formalmente establecidos, que garanticen

una adecuada segregación de funciones y reduzcan el riesgo de error o fraude;

1.3.4.6 Adecuados sistemas de control y autenticación para evitar accesos no

autorizados, inclusive de terceros; y, ataques externos especialmente a la

información crítica y a las instalaciones de procesamiento;

1.3.4.7 Controles adecuados para detectar y evitar la instalación de software no

autorizado o sin la respectiva licencia, así como instalar y actualizar

periódicamente aplicaciones de detección y desinfección de virus informáticos y

demás software maliciosos;

1.3.4.8 Controles formales para proteger la información contenida en

documentos; medios de almacenamiento u otros dispositivos externos; el uso e

intercambio electrónico de datos contra daño, robo, accesos, utilización o

divulgación no autorizada de información para fines contrarios a los intereses

de la entidad, por parte de todo su personal y de sus proveedores;

1.3.4.9 Instalaciones de procesamiento de información crítica en áreas

protegidas con los suficientes controles que eviten el acceso de personal no

autorizado y daños a los equipos de computación y a la información en ellos

procesada, almacenada o distribuida;

1.3.4.10 Las condiciones físicas y ambientales necesarias para garantizar el

correcto funcionamiento del entorno de la infraestructura de tecnología de

información;

1.3.4.11 Un plan para evaluar el desempeño del sistema de administración de

la seguridad de la información, que permita tomar acciones orientadas a

mejorarlo; y,

- 138 -


Página No 10

1.3.4.12 Las instituciones controladas que ofrezcan los servicios de

transferencias y transacciones electrónicas deberán contar con políticas y

procedimientos de seguridad de la información que garanticen que las

operaciones sólo pueden ser realizadas por personas debidamente

autorizadas; que el canal de comunicaciones utilizado sea seguro, mediante

técnicas de encriptación de información; que existan mecanismos alternos que

garanticen la continuidad del servicio ofrecido; y, que aseguren la existencia de

pistas de auditoría.

1.3.5 Con el objeto de garantizar la continuidad de las operaciones, las

instituciones controladas deben contar al menos con lo siguiente:

1.3.5.1 Controles para minimizar riesgos potenciales de sus equipos de

computación ante eventos imprevistos, tales como: fallas, daños o insuficiencia

de los recursos de tecnología de información; robo; incendio; humo;

inundaciones; polvo; interrupciones en el fluido eléctrico, desastres naturales;

entre otros;

1.3.5.2 Políticas y procedimientos de respaldo de información periódicos, que

aseguren al menos que la información crítica pueda ser recuperada en caso de

falla de la tecnología de información o con posterioridad a un evento

inesperado;

1.3.5.3 Mantener los sistemas de comunicación y redundancia de los mismos

que permitan garantizar la continuidad de sus servicios; y,

1.3.5.4 Información de respaldo y procedimientos de restauración en una

ubicación remota, a una distancia adecuada que garantice su disponibilidad

ante eventos de desastre en el centro principal de procesamiento.

- 139 -

1.3.6 Con el objeto de garantizar que el proceso de adquisición, desarrollo,

implementación y mantenimiento de las aplicaciones satisfagan los objetivos

del negocio, las instituciones controladas deben contar al menos con lo

siguiente:

1.3.6.1 Una metodología que permita la adecuada administración y control del

proceso de compra de software y del ciclo de vida de desarrollo y

mantenimiento de aplicaciones, con la aceptación de los usuarios involucrados;

1.3.6.2 Documentación técnica y de usuario permanentemente actualizada de

las aplicaciones de la institución;

1.3.6.3 Controles que permitan asegurar la adecuada administración de

versiones de las aplicaciones puestas en producción; y,

1.3.6.4 Controles que permitan asegurar que la calidad de la información

sometida a migración, cumple con las características de integridad,

disponibilidad y confidencialidad.

1.3.7 Con el objeto de garantizar que la infraestructura tecnológica que soporta

las operaciones, sea administrada, monitoreada y documentada de forma

adecuada, las instituciones controladas deberán contar con políticas y

procedimientos que permitan la adecuada administración, monitoreo y

documentación de las bases de datos, redes de datos, software de base y

hardware.

1.4 Eventos externos.- En la administración del riesgo operativo, las

instituciones controladas deben considerar la posibilidad de pérdidas derivadas

de la ocurrencia de eventos ajenos a su control, tales como: fallas en los

servicios públicos, ocurrencia de desastres naturales, atentados y otros actos

delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades.

- 140 -


Página No 11

Para el efecto, deben contar con planes de contingencia y de continuidad del

negocio.

SECCIÓN III.- ADMINISTRACIÓN DEL RIESGO OPERATIVO

ARTÍCULO 1.- En el marco de la administración integral de riesgos,

establecido en la sección II .Administración de riesgos., del capítulo I .De la

gestión integral y control de riesgos., de este subtítulo, las instituciones

controladas incluirán el proceso para administrar el riesgo operativo como un

riesgo específico, el cual, si no es administrado adecuadamente puede afectar

el logro de los objetivos de estabilidad a largo plazo y la continuidad del

negocio.

El diseño del proceso de administración de riesgo operativo deberá permitir a

las instituciones controladas identificar, medir, controlar/mitigar y monitorear

sus exposiciones a este riesgo al que se encuentran expuestas en el desarrollo

de sus negocios y operaciones. Cada institución desarrollará sus propias

técnicas o esquemas de administración, considerando su objeto social, tamaño,

naturaleza, complejidad y demás características propias.

ARTÍCULO 2.- Para una adecuada administración del riesgo operativo las

instituciones controladas deberán cumplir las disposiciones del artículo 1, de la

sección II del presente capítulo y adicionalmente, deberán contar con códigos

de ética y de conducta formalmente establecidos; con la supervisión del

directorio u organismo que haga sus veces de la alta gerencia; con una sólida

cultura de control interno; con planes de contingencias y de continuidad del

negocio debidamente probados; y, con la tecnología de información adecuada.

- 141 -

ARTÍCULO 3.- Con la finalidad de que las instituciones controladas administren

adecuadamente el riesgo operativo es necesario que agrupen sus procesos por

líneas de negocio, de acuerdo con una metodología establecida de manera

formal y por escrito, para lo cual deberán observar los siguientes lineamientos:

3.1 Los procesos productivos deberán asignarse a las líneas de negocio de

acuerdo con los productos y servicios que generan, de forma que a cada uno

de los procesos le corresponda una sola línea de negocio y que ningún proceso

permanezca sin asignar; y,

3.2 Las líneas de negocio también deberán agrupar los procesos gobernantes y

los procesos habilitantes que intervienen en las mismas. Si algún proceso

gobernante o proceso habilitante interviene en más de una línea de negocio, la

entidad deberá utilizar un criterio de asignación objetivo.

ARTÍCULO 4.- Las instituciones controladas deberán identificar, por línea de

negocio, los eventos de riesgo operativo, agrupados por tipo de evento, y, las

fallas o insuficiencias en los procesos, las personas, la tecnología de

información y los eventos externos. Los tipos de eventos son los siguientes:

4.1 Fraude interno;

4.2 Fraude externo;

4.3 Prácticas laborales y seguridad del ambiente de trabajo;

4.4 Prácticas relacionadas con los clientes, los productos y el negocio;

4.5 Daños a los activos físicos;

4.6 Interrupción del negocio por fallas en la tecnología de información; y,

4.7 Deficiencias en la ejecución de procesos, en el procesamiento de

operaciones y en las relaciones con proveedores y terceros.

En el anexo No. 1 se incluyen algunos casos de eventos de riesgo operativo,

agrupados por tipo de evento, fallas o insuficiencias que podrían presentarse

en las instituciones controladas y su relación con los factores de riesgo

operativo.

- 142 -


Página No 12

Los eventos de riesgo operativo y las fallas o insuficiencias serán identificados

en relación con los factores de este riesgo a través de una metodología formal,

debidamente documentada y aprobada. Dicha metodología podrá incorporar la

utilización de las herramientas que más se ajusten a las necesidades de la

institución, entre las cuales podrían estar: autoevaluación, mapas de riesgos,

indicadores, tablas de control (scorecards), bases de datos u otras.

ARTÍCULO 5.- Una vez identificados los eventos de riesgo operativo y las

fallas o insuficiencias en relación con los factores de este riesgo y su incidencia

para la institución, los niveles directivos están en capacidad de decidir si el

riesgo se debe asumir, compartirlo, evitarlo o transferirlo, reduciendo sus

consecuencias y efectos.

La identificación antes indicada permitirá al directorio u organismo que haga

sus veces y a la alta gerencia de la entidad contar con una visión clara de la

importancia relativa de los diferentes tipos de exposición al riesgo operativo y

su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones,

que entre otras, pueden ser: revisar estrategias y políticas; actualizar o

modificar procesos y procedimientos establecidos; implantar o modificar límites

de riesgo; constituir, incrementar o modificar controles; implantar planes de

contingencias y de continuidad del negocio; revisar términos de pólizas de

seguro contratadas; contratar servicios provistos por terceros; u otros, según

corresponda.

- 143 -

ARTÍCULO 6.- En razón de que la administración del riesgo operativo

constituye un proceso continuo y permanente, será necesario que

adicionalmente las instituciones controladas conformen bases de datos

centralizadas, suficientes y de calidad, que permitan registrar, ordenar,

clasificar y disponer de información sobre los eventos de riesgo operativo; fallas

o insuficiencias; y, factores de riesgo operativo clasificados por línea de

negocio, determinando la frecuencia con que se repite cada evento y el efecto

cuantitativo de pérdida producida y otra información que las instituciones

controladas consideren necesaria y oportuna, para que a futuro se pueda

estimar las pérdidas esperadas e inesperadas atribuibles a este riesgo.

ARTÍCULO 7.- Aspecto importante de la administración del riesgo operativo es

el control, el cual requerirá que las instituciones controladas cuenten con

sistemas de control interno adecuados, esto es, políticas, procesos,

procedimientos y niveles de control formalmente establecidos y validados

periódicamente. Los controles deben formar parte integral de las actividades

regulares de la entidad para generar respuestas oportunas ante diversos

eventos de riesgo operativo y las fallas o insuficiencias que los ocasionaron.

ARTÍCULO 8.- El esquema de administración del riesgo operativo de las

instituciones controladas debe estar sujeto a una auditoría interna efectiva e

integral, por parte de personal competente, debidamente capacitado y

operativamente independiente.

La función de auditoría interna coadyuva al mejoramiento de la efectividad de la

administración de riesgos a través de una evaluación periódica, pero no es

directamente responsable de la gestión del riesgo operativo.

ARTÍCULO 9.- Las instituciones controladas deben contar permanentemente

con un esquema organizado de reportes que permitan disponer de información

suficiente y adecuada para gestionar el riesgo operativo en forma continua y

oportuna.

- 144 -


Página No 13

Los reportes deberán contener al menos lo siguiente:

9.1 Detalle de los eventos de riesgo operativo, agrupados por tipo de evento;

las fallas o insuficiencias que los originaron relacionados con los factores de

riesgos operativos y clasificados por líneas de negocio;

9.2 Informes de evaluación del grado de cumplimiento de las políticas

relacionadas con los factores de riesgo operativo y los procesos y

procedimientos establecidos por la institución; y,

9.3 Indicadores de gestión que permitan evaluar la eficiencia y eficacia de las

políticas, procesos y procedimientos aplicados.

Estos informes deben ser dirigidos a los niveles adecuados de la institución de

manera que puedan ser analizados con una perspectiva de mejora constante

del desempeño en la administración del riesgo operativo; así como para

establecer o modificar políticas, procesos, procedimientos, entre otros.

SECCIÓN IV.- CONTINUIDAD DEL NEGOCIO

ARTÍCULO 1.- Las instituciones controladas deben implementar planes de

contingencia y de continuidad, a fin de garantizar su capacidad para operar en

forma continua y minimizar las pérdidas en caso de una interrupción severa del

negocio.

Para el efecto, deberán efectuar adecuados estudios de riesgos y balancear el

costo de la implementación de un plan de continuidad con el riesgo de no

tenerlo, esto dependerá de la criticidad de cada proceso de la entidad; para

aquellos de muy alta criticidad se deberá minimizar implementar un plan de

continuidad, para otros, bastará con un plan de contingencia.

- 145 -

Las instituciones controladas deberán establecer un proceso de administración

de continuidad de los negocios, que comprenda los siguientes aspectos claves:

1.1 Definición de una estrategia de continuidad de los negocios en línea con los

objetivos institucionales;

1.2 Identificación de los procesos críticos del negocio, aún en los provistos por

terceros;

1.3 Identificación de los riesgos por fallas en la tecnología de información;

1.4 Análisis que identifique los principales escenarios de contingencia tomando

en cuenta el impacto y la probabilidad de que sucedan;

1.5 Evaluación de los riesgos para determinar el impacto en términos de

magnitud de daños, el período de recuperación y tiempos máximos de

interrupción que puedan ocasionar los siniestros;

1.6 Elaboración del plan de continuidad del negocio para someterlo a la

aprobación del directorio u organismo que haga sus veces;

1.7 Realización de pruebas periódicas del plan y los procesos implantados que

permitan comprobar su aplicabilidad y realizar los ajustes necesarios; y,

1.8 Incorporación del proceso de administración del plan de continuidad del

negocio al proceso de administración integral de riesgos.

ARTÍCULO 2.- Los planes de contingencia y de continuidad de los negocios

deben comprender las previsiones para la reanudación y recuperación de las

operaciones.

- 146 -


Página No 14

Los planes de contingencia y de continuidad deberán incluir, al menos, lo

siguiente:

2.1 Las personas responsables de ejecutar cada actividad y la información

(direcciones, teléfonos, correos electrónicos, entre otros) necesaria para

contactarlos oportunamente;

2.2 Acciones a ejecutar antes, durante y una vez ocurrido el incidente que

ponga en peligro la operatividad de la institución;

2.3 Acciones a realizar para trasladar las actividades de la institución a

ubicaciones transitorias alternativas y para el restablecimiento de los negocios

de manera urgente;

2.4 Cronograma y procedimientos de prueba y mantenimiento del plan; y,

2.5 Procedimientos de difusión, comunicación y concienciación del plan y su

cumplimiento.

SECCIÓN V.- RESPONSABILIDADES EN LA ADMINISTRACIÓN DEL

RIESGO OPERATIVO

ARTÍCULO 1.- Las responsabilidades del directorio u organismo que haga sus

veces, en cuanto a la administración del riesgo operativo, se regirán por lo

dispuesto en la sección III “Responsabilidad en la administración de riesgos”,

del capítulo I “De la gestión integral y control de riesgos”, de este subtítulo.

Adicionalmente, el directorio u organismo que haga sus veces tendrá las

siguientes responsabilidades en relación con la administración del riesgo

operativo:

- 147 -

1.1 Crear una cultura organizacional con principios y valores de

comportamiento ético que priorice la gestión eficaz del riesgo operativo;

1.2 Aprobar las disposiciones relativas a los procesos establecidos en el

numeral 1.1 del artículo 1, de la sección II de este capítulo;

1.3 Aprobar las políticas, procesos y procedimientos para la administración del

capital humano conforme con los lineamientos establecidos en el numeral 1.2

del artículo 1, de la sección II de este capítulo;

1.4 Aprobar las políticas y procedimientos de tecnología de información

establecidos en el numeral 1.3 del artículo 1, de la sección II de este capítulo;

y,

1.5 Aprobar los planes de contingencia y de continuidad del negocio a los que

se refiere la sección IV de este capítulo.

ARTÍCULO 2.- Las funciones y responsabilidades del comité de administración

integral de riesgos se regirán por lo dispuesto en la sección III

"Responsabilidad en la administración del riesgos", del capítulo I "De la gestión

integral y control de riesgos", de este subtítulo.

Adicionalmente, el comité de administración integral de riesgos tendrá las

siguientes responsabilidades en relación con la administración del riesgo

operativo:

2.1 Evaluar y proponer al directorio u organismo que haga sus veces las

políticas y el proceso de administración del riesgo operativo y asegurarse que

sean implementados en toda la institución y que todos los niveles del personal

entiendan sus responsabilidades con relación al riesgo operativo;

- 148 -


Página No 15

2.2 Evaluar las políticas y procedimientos de procesos, personas y tecnología

de información y someterlas a aprobación del directorio u organismo que haga

sus veces;

2.3 Definir los mecanismos para monitorear y evaluar los cambios significativos

y la exposición a riesgos;

2.4 Evaluar y someter a aprobación del directorio u organismo que haga sus

veces los planes de contingencia y de continuidad del negocio a los que se

refiere la sección IV del este capítulo; asegurar la aplicabilidad; y, cumplimiento

de los mismos; y,

2.5 Analizar y aprobar la designación de líderes encargados de llevar a cabo

las actividades previstas en el plan de contingencia y de continuidad del

negocio.

ARTICULO 3.- Las funciones y responsabilidades de la unidad de riesgos se

regirán por lo dispuesto en la sección III "Responsabilidad en la administración

del riesgos", del capítulo I "De la gestión integral y control de riesgos", de este

subtítulo.

Adicionalmente, la unidad de riesgos tendrán las siguientes responsabilidades

en relación con la administración del riesgo operativo:

3.1 Diseñar las políticas y el proceso de administración del riesgo operativo;

3.2 Monitorear y evaluar los cambios significativos y la exposición a riesgos

provenientes de los procesos, las personas, la tecnología de información y los

eventos externos;

- 149 -

3.3 Analizar las políticas y procedimientos de tecnología de información,

propuestas por el área respectiva, especialmente aquellas relacionadas con la

seguridad de la información; y,

3.4 Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de

contingencia y de continuidad del negocio, al que se refiere la sección IV de

este capítulo; así como proponer los líderes de las áreas que deban cubrir el

plan de contingencias y de continuidad del negocio.

SECCIÓN VI.- DISPOSICIONES GENERALES

ARTÍCULO 1.- Para mantener un adecuado control de los servicios provistos

por terceros, incluidas las integrantes de un grupo financiero, las instituciones

controladas deberán observar lo siguiente:

1.1 Contar con políticas, procesos y procedimientos efectivos que aseguren

una adecuada selección y calificación de los proveedores, tales como:

1.1.1 Evaluación de la experiencia pertinente;

1.1.2 Desempeño de los proveedores en relación con los competidores;

1.1.3 Evaluación financiera para asegurar la viabilidad del proveedor durante

todo el período de suministro y cooperación previsto;

1.1.4 Respuesta del proveedor a consultas, solicitudes de presupuesto y de

ofertas;

1.1.5 Capacidad del servicio, instalación y apoyo e historial del desempeño en

base a los requisitos;

1.1.6 Capacidad logística del proveedor incluyendo las instalaciones y

recursos; y,

- 150 -


Página No 16

1.1.7 La reputación comercial del proveedor en la sociedad.

1.2 Contratos debidamente suscritos y legalizados que contengan cláusulas

que detallen, entre otros, los niveles mínimos de servicio acordado; las

penalizaciones por incumplimiento; y, que prevean facilidades para la revisión y

seguimiento del servicio prestado, ya sea, por la unidad de auditoría interna u

otra área que la entidad designe, así como, por parte de los auditores externos

o de la Superintendencia de Bancos y Seguros; y,

1.3 Contar con proveedores alternos que tengan la capacidad de prestar el

servicio.

ARTÍCULO 2.- El manual que contempla el esquema de administración integral

de riesgos, de que trata el artículo 1, de la sección IV .Disposiciones

generales., del capítulo I "De la gestión integral y control de riesgos, de este

subtítulo, incluirá la administración del riesgo operativo.

ARTÍCULO 3.- La Superintendencia de Bancos y Seguros podrá disponer la

adopción de medidas adicionales a las previstas en el presente capítulo, con el

propósito de atenuar la exposición al riesgo operativo que enfrenten las

instituciones controladas.

Adicionalmente, la Superintendencia de Bancos y Seguros podrá requerir a las

Instituciones controladas, la información que considere necesaria para una

adecuada supervisión del riesgo operativo.

ARTÍCULO 4.- En caso de incumplimiento de las disposiciones contenidas en

este capítulo, la Superintendencia de Bancos y Seguros aplicará las sanciones

correspondientes de conformidad con lo establecido en el capítulo II .Normas

- 151 -

para la aplicación de sanciones pecuniarias., del subtítulo II .De las sanciones.,

del título X .De las limitaciones, prohibiciones y sanciones. de esta

Codificación.

SECCIÓN VII.- DISPOSICIONES TRANSITORIAS

PRIMERA.- Las instituciones controladas presentarán a la Superintendencia de

Bancos y Seguros, hasta el 30 de abril del 2006, su diagnóstico y el proyecto

de implementación de las disposiciones contenidas en este capítulo, para una

administración adecuada del riesgo operativo. El proyecto, debidamente

aprobado por el directorio u organismo que haga sus veces, incluirá un

cronograma detallado de las actividades que las instituciones controladas

realizarán para su cumplimiento, señalando el responsable de cada una de

ellas.

Para el caso de las cooperativas de ahorro y crédito que realizan

intermediación financiera con el público, el plazo para la presentación del

diagnóstico y proyecto de implementación será hasta el 31 de octubre del 2006.

SEGUNDA.- La implementación de las disposiciones previstas en este capítulo

no podrá exceder de los siguientes plazos:

1.1 Para grupos financieros; y, para los bancos o sociedades financieras que

no forman parte de un grupo financiero, las compañías de arrendamiento

mercantil, las compañías emisoras y administradoras de tarjetas de crédito, las

corporaciones de desarrollo de mercado secundario de hipotecas, las

instituciones financieras públicas, hasta el 31 de octubre del 2008; y,

- 152 -


Página No 17

1.2 Para las cooperativas de ahorro y crédito que realizan intermediación con el

público y las asociaciones mutualistas de ahorro y crédito para la vivienda,

hasta el 31 de octubre del 2009. Esta fecha podrá ser modificada por el

Superintendente de Bancos y Seguros, considerando el tamaño de la

institución, la estructura organizacional, la cobertura geográfica y la

complejidad de sus operaciones.

TERCERA.- Con el objeto de que la Superintendencia de Bancos y Seguros

mantenga un adecuado conocimiento sobre el avance de la implantación de las

disposiciones contenidas en el presente capítulo, las instituciones controladas

deberán:

1.1 Hasta el 31 de diciembre del 2005, remitir a la Superintendencia de Bancos

y Seguros, copia certificada del acta de la sesión en que el directorio u

organismo que haga sus veces conoció el contenido del presente capítulo y de

las disposiciones emitidas.

También informarán el funcionario o área encargada de realizar el diagnóstico,

así como de liderar el proyecto de implantación de la administración del riesgo

operativo; y,

1.2 Hasta el 1 de marzo del 2006, deberán informar sobre el avance en la

elaboración del proyecto y su cronograma.

- 153 -

ARTICULO 2.- La presente resolución entrará en vigencia a partir su

publicación en el Registro Oficial.

COMUNÍQUESE Y PUBLÍQUESE EN EL REGISTRO OFICIAL.- Dada en la

Superintendencia de Bancos y Seguros, en Guayaquil, el veinte de octubre del

dos mil cinco.

Ing. Alejandro Maldonado García

PRESIDENTE DE LA JUNTA BANCARIA

LO CERTIFICO.- Guayaquil, veinte de octubre del dos mil cinco

Lcdo. Pablo Cobo Luna

SECRETARIO DE LA JUNTA BANCARIA

Junta Bancaria del Ecuador


Documents

UNIVERSIDAD LAICA VICENTE ROCAFUERTE DE GUAYAQUIL …repositorio.ulvr.edu.ec/bitstream/44000/1783/1/T-ULVR-1599.pdf · ratios de eficiencia y racionalizar la asignación de capital