universidad laica vicente rocafuerte de guayaquil...
TRANSCRIPT
UNIVERSIDAD LAICA VICENTE
ROCAFUERTE DE GUAYAQUIL
FACULTAD DE CIENCIAS ECONÓMICAS
MONOGRAFÍA
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
ECONOMISTA
TEMA: ANÁLISIS E INCIDENCIA DE LA
ADMINISTRACIÓN DEL RIESGO OPERATIVO EN LAS ENTIDADES FINANCIERAS DEL ECUADOR
AL MOMENTO ACTUAL
EGRESADA: MÓNICA ANCHUNDIA PAREDES
DIRECTOR:
MsC. ECON. HÓLGUER ALBUJA COELLO
AÑO: 2008 GUAYAQUIL, ECUADOR
- 2 -
DEDICATORIA
A mis padres por todo el apoyo y la confianza durante toda mi formación personal, académica y profesional
A mi esposo por su amor incondicional y su tiempo apoyándome siempre para formar una familia basado en
valores de respeto, compresión, amor y paciencia
A mis hijos por ser el regalo de Dios mas preciado y ser motivación para alcanzar las metas propuestas en cada
etapa de mi vida
- 3 -
AGRADECIMIENTO
A Dios por ser parte de mi ser, por darme el regalo de la vida, la fortaleza y la fe para enfrentar las adversidades que
se me puedan presentar en el camino
A mis padres por todas las enseñanzas y valores inculcados
A mi esposo por el amor, la comprensión, la confianza, y su apoyo logrando con ello llegar a cristalizar mis objetivos
propuestos
A mi Director por su asesoria y dirección
A todos los catedráticos que dieron valioso aporte a lo largo de mi vida estudiantil y formación académica
- 4 -
ÍNDICE
INTRODUCCIÓN……………………………………………………………………...1
CAPÍTULO I
COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA…………………..…4-20
I.I. Breve descripción de la historia ………………………………………………..4
I.II. Basilea I…………………………………………………………………………...6
I.III Principios Básicos de Supervisión Bancaria…………………………………..9
I.IV. Basilea II: Los tres pilares: ……………………………………………………16
I.IV.I. Pilar 1: Requerimientos de Capital…………………………………18
I.IV.II Pilar 2: Supervisión Bancaria……………………………………….19
I.IV.III Pilar 3: Disciplina de mercado………………………………………20
I.V. Principios de “Practicas Adecuadas para la Gestión y Supervisión del
Riesgo Operativo……………………………………………………………….21
CAPÍTULO II
GESTIÓN DE RIESGO OPERATIVO…………………………………………35-55
II.I. Riesgo Operativo: Concepto y definición……………………………………35
II.I.I Roles y responsabilidades en la Administración
de riesgo operativo....................................................................................36
II.II. Factores del Riesgo Operativo...................................................................38
II.II.I. Administración de Procesos…………………………………………38
II.II.II. Administración de Personas…………………………………………40
II.II.III. Administración de Tecnología de la Información………………….42
II.II.IV. Administración de Eventos Externos……………………………….43
II.III. Metodología para la Gestión de Riesgo Operativo....................................44
II.III.I. Identificación……………………………….......………………….....44
II.III.I.I Eventos de pérdida de Riesgo Operativo……………..…44
II.III.II. Medición y evaluación……………………………………….....…..49
II.III.III. Control……………………………………………………….…….….50
- 5 -
II.III.IV. Monitoreo……………………………………………………….….…51
II.IV. Métodos de Evaluación del Riesgo Operacional......................................53
II.IV.I. Método del Indicador Básico…………………………………………53
II.IV.II. Método Estándar……………………………………………....……..54
II.IV.III. Método de Medición Avanzada (A.M.A)………………………..…55
CAPÍTULO III
APLICABILIDAD DEL NUEVO ACUERDO DE CAPITAL DEL COMITÉ DE
BASILEA PARA EL CASO ECUATORIANO………………………..………57-65
III.I. Diagnóstico de requerimientos mínimos de capital………………………...57
III.II Diagnóstico del examen del supervisor…………………………………..….59
III.III Diagnóstico de la Disciplina de Mercado……………………………..……..60
III.IV Efectos del Nuevo Acuerdo de Basilea II…………………………....……...61
III.IV.I. Beneficio global de la propuesta de Basilea II………....….……..62
III.IV.II. Limitantes para la implementación del Basilea II….……………..64
III.V Comentarios Superintendencia de Bancos y seguros acerca de la
aplicabilidad del nuevo acuerdo…………………………………….....…….65
CAPÍTULO IV
IMPLEMENTACIÓN DE LA GESTIÓN RIESGO OPERATIVO EN
INSTITUCIONES FINANCIARAS ECUATORIANAS……………………..67-101
IV.I Proceso de elaboración, discusión y emisión de la norma: Resolución
JB-834………………………………………………………….......…………..67
IV.II Situación actual de la gestión de Riesgo Operativo en la Entidad
Financiera en estudio. …………………………………….……………..…..70
IV.III Metodología para implementar la Gestión de Riesgo Operativo.….……..86
IV.I.I. Cultura…………………………………………………………….….…87
IV.I.II. Gestión Cualitativa…………………………………………….………89
IV.I.III Gestión Cuantitativa……………………………………………...….100
- 6 -
CONCLUSIONES…………………………………………………………………..102
RECOMENDACIONES…………………………………………………………… 104
GLOSARIO DE TÉRMINOS……………………………………………………....106
BIBLIOGRAFÍA……………………………………………………………….....…114
ANEXO.............…………………………………………………..……………112-147
- 7 -
INTRODUCCIÓN
El Riesgo Operativo no es un riesgo reciente, de hecho ha sido uno de los
primeros riesgos por el que se preocupaban los bancos con la finalidad de
prevenir el fraude, mantener controles internos adecuados, reducir errores en el
procesamiento de la información, entre otros; lo que en realidad es
relativamente nuevo es la administración del riesgo operativo como algo
comparable a la administración de riesgo de crédito y riesgo de mercado.
En los últimos años hemos visto como la preocupación por el riesgo
operacional, que hasta hace poco tiempo era considerado un riesgo secundario
en la banca, ha ido creciendo progresivamente.
En la segunda mitad de la década de los años 90 diversas instituciones
financieras originarias del Reino Unido, Japón y Estados Unidos sufrieron
pérdidas catastróficas ocasionadas por riesgos operativos. Como
consecuencia, surgió en esos países un acentuado interés de identificar y
administrar los riesgos operativos a los que se encontraban expuestos.
Por una parte las entidades y los supervisores perciben que la exposición a
éste riesgo se ha intensificado a medida que el sector financiero ha ido
evolucionando. Factores decisivos en ésta tendencia han sido la mejora de las
tecnologías, el desarrollo de nuevas técnicas de mitigación de riesgos y la
creciente globalización y complejidad del sistema financiero.
Por otra parte, la industria bancaria se ha visto cada vez más interesada en la
medición del riesgo operacional, motivada por la necesidad de mejorar sus
ratios de eficiencia y racionalizar la asignación de capital entre las diferentes
unidades de negocio.
- 8 -
Éstos antecedentes también impulsaron el desarrollo de la regulación en
materia de administración de riesgos operativos y el establecimiento de
requerimientos de capital para enfrentar las posibles pérdidas causadas por
ésta clase de riesgo. El Comité de Supervisión Bancaria de Basilea en Suiza ha
sido el principal foro mundial para la discusión y definición de esa regulación.
Los tres borradores de las sanas prácticas para la gestión y supervisión del
riesgo operativo y el segundo acuerdo de capitalización publicados por ese
Comité, sintetizan las mejores prácticas de gestión y supervisión, por parte de
los reguladores, en materia de administración de riesgos operativos.
Como respuesta a éste fenómeno, las Entidades han ido incrementando
paulatinamente los recursos asignados a éste riesgo, pasando de la simple
mejora de los sistemas de control al desarrollo de modelos de gestión de
medición y control del riesgo operacional que intentan obtener una estimación
razonable del impacto de futuras pérdidas.
Tradicionalmente el riesgo operativo se definía como “todo aquello que no se
encuadra dentro del riesgo de crédito ni de mercado”. A partir el Nuevo
Acuerdo de Capital surge una definición mas clara y precisa en relación con el
riesgo operacional, que queda definida como “riesgo e incurrir en pérdidas
como consecuencias de las fallas o insuficiencia en los procesos, personas,
sistemas inadecuados, así como por otros eventos externos”, esta definición
incluye el riesgo legal, pero no así el riesgo reputacional.
El incremento de pérdidas debido a riesgos operativos, indican que a la falta de
gestión, medición, control, el Riesgo Operacional puede resultar en la quiebra
de la Institución Financiera, independiente de su tamaño, reputación por lo que
ha llevado a las Entidades financieras y supervisores a que consideren la
administración el riesgo operativo como una disciplina.
- 9 -
La administración de Riesgos es una disciplina que se ocupa del estudio de
cómo realizar el análisis y predicción con la mayor exactitud posible de la
ocurrencia de los hechos causantes de perjuicios económicos a personas
naturales y/o jurídicas con el fin de medirlos y analizarlos para lograr su
eliminación o en caso contrario disminuir sus efectos negativos.
Por lo tanto cada Institución desarrollará sus propias técnicas o esquemas de
administración de acuerdo con su objeto social, tamaño, naturaleza,
complejidad y demás característicos propias.
- 10 -
CAPÍTULO I
COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA
I.I Breve descripción de la historia La constitución del Comité de Basilea en 1975 coincidió con el final de la
segunda e inicio de la tercera fase de globalización (1973-1975), situación que
implicaba la primera preocupación de carácter global relativa a la crisis
financiera por el cierre del Bankhaus Herstatt en Colonia, Alemania 1974, tal
decisión tuvo como origen las importantes pérdidas incurridas por razón de
operaciones en moneda extranjera calculadas por cerca de usd$200 millones al
tiempo de la clausura. Como consecuencia de tal cierre intempestivo, la
liquidación y compensación de un número considerable de transacciones
internacionales quedó sin realizarse toda vez que el Chase Manhattan de
Nueva York, banco corresponsal del Herstatt en USA, rehusó cumplir con
órdenes de pago y cheques contra la cuenta del banco alemán por el valor de
usd620 millones. Estas difíciles circunstancias por poco conducen al colapso
del sistema de pagos Norteamericano y del sistema financiero internacional.
Con el propósito de restaurar la confianza y estabilidad del sistema financiero
internacional, los gobernantes de los Bancos Centrales del Grupo de los Diez
(países) expidieron un comunicado en Septiembre de 1974 transmitiendo un
mensaje de total respaldo a la liquidez del sistema de pagos internacionales.
De igual manera, crearon un comité permanente de supervisores encargados
de desarrollar principios y reglas apropiadas sobre prácticas de regulación y
supervisión de los mercados bancarios internacionales.
- 11 -
El comité integrado por los gobernantes de los Bancos Centrales del G-10
estaría conformado por Alemania, Bélgica, Canadá, España, Estados Unidos,
Francia, Italia, Japón, Luxemburgo, Holanda, Reino Unido, Suecia y Suiza,
adopta el nombre de Comité de Basilea para la Supervisión Bancaria; ya que,
tendría su sede en Basilea, Suiza en las oficinas del Banco de Pagos
Internacionales. Tal comité debía reportar a tales gobernantes sobre el
desarrollo de herramientas que evitaran la ocurrencia de crisis similares en el
futuro. Desde entonces el comité se ha caracterizado por su informalidad legal
y procedimental, por ser un comité que deriva su existencia del mandato de los
gobernantes y directores de los referidos Bancos Centrales, así como la
seriedad y solidez en su trabajo.
El Comité evita expresarse en términos legales o en textos que reflejen
acuerdos o mandatos y siempre tiende a utilizar marcos generales, reportes,
recomendaciones y declaraciones. Los gobernadores y directores de los
Bancos Centrales apoyan tales trabajos pero no los adoptan expresamente o
los verifican.
En sus orígenes, el Comité se encargo de temas relacionados con operaciones
en moneda extranjera y de crear mecanismos de detección temprana que
evitaran la ocurrencia de nuevas crisis como la de 1974. De igual manera, la
metodología utilizada así como la composición de sus miembros posibilitó que
los supervisores conocieran las experiencias de otros países. Así, aprendieron
uno del otro mejorando los mecanismos de regulación y supervisión utilizada a
la fecha a nivel doméstico, procurando al mismo tiempo con su trabajo común,
alcanzar de alguna manera la estabilidad financiera internacional.
- 12 -
“Un poco de Historia”( para comprender lo que viene)
ACUERDO
ORIGINAL
(BASILEA I)
BOOM
CRISIS
FINANCIERA
RIESGO DE
MERCADO
( 1º ENMIENDA)
CRISIS ASIATICA
CRISIS RUSA,
BRASIL, TURQUIA
PRINCIPIOS BASICOS DE
SUPERVISION BANCARIA
“NUEVO ACUERDO”
BASILEA II
EFECTO TEQUILA
FRACTURA
NECESIDAD DE
CAMBIO
1988 1994 1996 1997 1999 1999
I.II. Basilea I El Comité de Basilea representó, además de una preocupación, una
transformación en el modelo de supervisión bancaria ya que su presencia
expresó el paso de una economía de regulación y de intervención estatal a otra
de predominio del mercado como mecanismo de redistribución del ingreso y
asignador de recursos.
En adelante la dinámica financiera respondía a la desregulación y/o
liberalización de las tasas de interés y de tipos de cambios, en el mercado
financiero y cambiario; por lo que, los instrumentos de política monetaria fueron
perdiendo capacidad para incidir en el precio del dinero en el mercado de
capitales.
En el contexto de la globalización financiera la preocupación se centraba en los
riesgos a que estaban expuestas las entidades financieras ya que los flujos de
capitales experimentaban ser muy volátiles y con un alto contagio visible y
- 13 -
tangible, capaz de estremecer la estabilidad macroeconómica y financiera de
cualquier país.
La situación planteada generó intensos debates y profundos análisis a lo
interno del comité de Basilea, lo que provocó que en Julio de 1988 se
estableciera el acuerdo mínimo de capital para las entidades bancarias que
operan a nivel internacional que se denominó convergencia internacional de
medidas y normas de capital, mejor conocido como Basilea I, constituyendo el
primer estándar internacional de requisitos mínimos de capital o parámetro con
que deben operar las entidades bancarias, por lo que en un primer momento,
éstos requerimientos de capital solo tenían en cuenta el riesgo de crédito.
En 1994 reventó una crisis financiera que hizo que muchos bancos
norteamericanos, pequeños y medianos, que prestaron dinero por toda
América Latina, sean absorbidos por bancos más grandes, teniéndose que
negociar las liquidaciones de los préstamos con emisiones de bonos
denominados Brady, por el antiguo secretario del Tesoro de los Estados Unidos
llamado James Brady, quien les dio el respaldo de poder recuperar, a mediano
y largo plazo las colocaciones efectuadas.
Para 1996, Basilea I fue ampliada ya que a los requerimientos de capital se le
incorporó los riesgos de mercado, concentrándose en regular la exposición del
sistema financiero en sus incursiones en el mercado público de valores, para
nivelar la igualdad competitiva de los bancos y estar acorde con una economía
sin barreras, más globalizadas y con instituciones con mayor presencia
internacional.
Después de la crisis los bancos fueron capitalizándose aceleradamente para
soportar en 1997 la crisis financiera asiática al igual que la crisis rusa, brasilera
y de Turquía.
- 14 -
Éste acuerdo ha jugado un papel importante en el fortalecimiento de los
sistemas bancarios y ha constituido un conjunto de recomendaciones
alrededor de una idea principal: la de establecer un techo para el valor de los
créditos que puede conocer una entidad bancaria en función de su capital
propio, que se fue en 12,5 veces el valor de este último.
Al ser una recomendación cada uno de los países signatarios, así como
cualquier otro país, quedaba libre de incorporarlo en su ordenamiento
regulatorio con las modificaciones que considerase oportuna; más de 130
países lo han adoptado. Además, cuenta con el reconocimiento del Fondo
Monetario Internacional y del Banco Mundial como buena práctica
internacional.
El Comité pretendía evitar que los bancos incurriesen en excesivos riesgos
crediticios, exigiéndoles mantener un nivel mínimo de capital en función del
riesgo asumido, tal que, en casos de insolvencia de sus deudores, absorbiera
las posibles pérdidas, por lo que el acuerdo de Basilea I subdivide el capital en
dos grandes grupos: por un lado está el capital primario que como mínimo debe
representar el 50% del capital regulatorio, y por otro lado, está el capital
secundario que debe representar como máximo el 50% del capital regulatorio.
En el capital primario entran las acciones comunes y preferidas, en tanto que
en capital secundario abarca las provisiones para pérdidas de activos, las
deudas subordinadas y las reservas de reevaluación.
Por tal razón el mínimo de capital requerido por Basilea I se establecieron en
función del grado de riesgos de los activos, debiendo tener un coeficiente
mínimo del 8% entre el capital y los activos ponderados por riesgos (aunque
varios países incluyendo República Dominicana adoptaron el 19%) y en el cual
el nivel de riesgos de los activos se le asigna desde 0% hasta el 100% para los
préstamos y sujeto a un mismo requerimiento de capital.
- 15 -
I.III Principios Básicos de Supervisión Bancaria Los principios básicos constituyen un marco de normas mínimas para las
prácticas de supervisión sólidas y consideradas de aplicación universal. El
Comité publicó los principios básicos en Septiembre de 1997 junto con la
metodología que ha sido utilizada por los países como parámetro para evaluar
la calidad de los sistemas de supervisión e identificar el trabajo futuro por
realizar para alcanzar un nivel básico de práctica de supervisión sólida y a su
vez contribuir al fortalecimiento del sistema financiero nacional. El Comité cree
que la implementación por parte de todos los países será un paso hacia
delante para mejorar la estabilidad financiera nacional e internacional.
Para logro de éste objetivo serán necesarios cambios substanciales en el
marco legislativo de muchos países, creando leyes que les permitan a las
autoridades supervisoras implementar todos los principios, ya que en éstos,
muchas de ellas no tienen estatutos establecidos.
Los principios básicos de Basilea comprenden 25 principios, son integrales en
su cobertura y representan los requerimientos mínimos que facilitaran las
condiciones para lograr un régimen de supervisión bancaria efectivo y han sido
diseñados para poder ser verificados por los supervisores, grupos regionales
de supervisión y el mercado en general. En la producción del documento
participaron 16 agencias supervisoras bancarias y con la asesoría del Fondo
Monetario Internacional (FMI) y el Banco Mundial.
Estos principios son categorizados en forma general en siete grupos:
Grupo I: Objetivos, independencia, poderes, transparencia y cooperación
(principio 1);
Grupo II: Otorgamiento de licencia y estructura( principios 2 al 5);
Grupo III: Regulación prudencial y requerimientos (principios 6 al 15);
Grupo IV: Métodos de supervisión continúa (principios 16 al 19);
Grupo V: Contabilidad y divulgación de información (principio 20);
- 16 -
Grupo VI: Poderes correctivos y poder de los supervisores (principio 21);
y,
Grupo VII: Supervisión Consolidada y supervisión bancaria
transfronteriza (principios 22 y 25).
A continuación los 25 principios de Basilea:
Grupo I: Objetivos, independencia, poder, transparencia y cooperación:
Principio 1: Proporcionar un sistema de supervisión bancaria efectivo en el
cual las responsabilidades y proyectos estén bien definidos para cada una de
las instituciones involucradas permitiendo así la supervisión de organizaciones
bancarias. Cada institución debe poseer independencia operativa y contar con
recursos adecuados.
Grupo II: Otorgamiento de licencia y estructura:
Principio 2: Actividades permitidas: Las actividades permitidas a
Instituciones bancarias que reciben una licencia son reguladas, deben estar
claramente definidas y el uso de la palabra Banco como nombre debe ser
controlado lo más posible.
Principio 3: Criterios de otorgamiento de licencia: La autoridad reguladora
que otorga las licencias debe tener el derecho para plantear criterios y rechazar
las solicitudes que no cumplen con los requerimientos. El proceso de
autorización debe realizar como mínimo una evaluación de la estructura de la
organización bancaria, abarcando a propietarios, directores y a la
administración superior, el plan operativo, control interno y la situación
financiera proyectada, incluyendo su capital base.
Principio 4: Transparencia de propiedad significativa: Los supervisores
bancarios debe de tener la facultad para analizar y la autoridad de rechazar:
a) cualquier propuesta para transferir propiedades significativas o cuantiosas;
b) controlar intereses de bancos existentes en otros grupos empresariales.
- 17 -
Principio 5: Grandes adquisiciones: Los supervisores bancarios deben tener
la autoridad para establecer criterios para analizar adquisiciones de gran
importancia o inversiones por un banco, asegurándose de que las afiliaciones o
estructuras corporativas, no expongan al banco a riesgos excesivos ni
entorpezcan la supervisión bancaria.
Grupo III: Regulación prudencial y requerimientos:
Principio 6: Adecuación de Capital: Los supervisores bancarios deben
establecer en forma prudente y apropiada, los requerimientos mínimos de
capital para todos los bancos, éstos requerimientos deben de reflejar el riesgo
al que los bancos se exponen y deben definir los componentes de éste capital,
tomando en cuenta su capacidad de absorber pérdidas. Para los bancos
internacionalmente activos, estos requerimientos no deben ser menores a los
establecidos en el Acuerdo de Capitales de Basilea y sus enmiendas.
Principio 7: Proceso de gestión de riesgo: Es esencial para cualquier
sistema de supervisión bancaria la evaluación de las políticas, prácticas y
procedimientos de un banco, usados para la aprobación y administración de las
carteras de préstamos e inversiones. Estos procesos deben ser acorde con el
tamaño y complejidad de la Institución.
Principio 8: Riesgo Crediticio: Los supervisores bancarios deben estar
cómodos y satisfechos con las políticas, prácticas y procedimientos que
establezcan y rijan a los bancos para evaluar la calidad de activos, las
provisiones y reservas por pérdidas relacionadas con préstamos.
Principio 9: Límites a la exposición a grandes deudores: Los supervisores
bancarios, deben estar satisfechos con los sistemas de información gerencial
de los bancos que les permita identificar concentraciones dentro de la cartera.
Los supervisores deben establecer límites prudenciales y adecuados para
restringir la exposición del banco a los préstamos individuales y a los
préstamos de grupos empresariales relacionados a los bancos.
- 18 -
Principio 10: Exposición crediticia a partes relacionadas: Para prevenir
abusos con los préstamos relacionados, los supervisores bancarios deben
tener establecidos y asegurados los requerimientos básicos que los bancos
deben cumplir para que:
a) Tales extensiones de crédito sean monitoreadas y supervisadas
efectivamente; y;
b) Permita tomar otras medidas para controlar o mitigar los riesgos.
Principio 11: Riesgo país y riesgo de transferencia: Los supervisores
bancarios deben estar satisfechos con las políticas y procedimientos de los
bancos para identificar, monitorear y controlar los riesgos país y el riesgo de
transferencia en sus préstamos internacionales y actividades de inversión y
para mantener las reservas apropiadas contra tales riesgos.
Principio 12: Riesgo de mercado: Los supervisores bancarios deben estar
satisfechos con el sistema de los bancos para medir con gran precisión,
monitorear y controlar adecuadamente los riesgos del mercado; de ser
necesario los supervisores deben tener el poder para imponer límites y/o
cargas de capital específicas cuando hay exposición a riesgos en el mercado,
que le permitan garantizar el capital activo del banco.
Principio 13: Proceso Integral: Los supervisores bancarios deben estar
conformes con el proceso integral para:
a) El manejo de los riesgos a nivel administrativo (por medio de una junta o
consejo administrativo apropiado y a la adecuada supervisión de una
administración superior);
b) Identificar, medir, monitorear y controlar todos los demás objetos de riesgos;
c) Retener el capital en contra de éstos riesgos, cuando sea necesario.
- 19 -
Principio 14: Control Interno y auditoria: Los supervisores bancarios
deberán determinar que el control interno de los bancos se encuentran en
orden, acorde a la naturaleza y escala de sus negocios. Estos controles
internos deberán incluir:
a) Arreglos para delegar autoridad y responsabilidad a una persona
(separándolos de las funciones que puedan comprometer al banco, pagando
sus cuentas y llevando registros de sus bienes y compromisos);
b) Arreglos para la conciliación de estos procesos (salvaguardando de ésta
forma sus bienes); y;
c) Arreglos para una auditoría interna o externa independiente y apropiada (la
cual servirá para poner a prueba el seguimiento a éstos controles, leyes y
regulaciones previamente establecidos).
Principio 15: Abuso de los servicios financieros: Los supervisores
bancarios deben determinar que los bancos tengan políticas, prácticas y
procedimientos adecuados, que incluyan la estricta regla de “Conoce a su
cliente”, lo cual promueve altos estándares de ética y profesionalismo en el
sector financiero. Éstas medidas previenen que los bancos sean utilizados por
elementos criminales, en una forma voluntario o involuntaria.
Grupo IV: Método de supervisión continua:
Principio 16: Sistema de supervisión: Un sistema de supervisión bancaria
efectivo debe consistir en dos formas de supervisión:
a) Supervisión dentro del lugar del trabajo; y;
b) Supervisión fuera del lugar del trabajo.
Principio 17: Enfoque de supervisión: Un enfoque de supervisión debe estar
orientado a mantener un regular contacto con la gerencia de los bancos y un
fluido entendimiento en las operaciones de la Institución.
- 20 -
Principio 18: Informes de Supervisión: Los supervisores deben tener
métodos para recolectar, examinar y analizar reportes y datos estadísticos de
los bancos, de manera individual y consolidada.
Principio 19: Verificación de Informes: Los supervisores bancarios deben
mantener medios para determinar que la información obtenida en la supervisión
sean válidas ya sea a través de inspecciones in-situ o de la ayuda de
especialistas externos.
Grupo V: Contabilidad y divulgación de información:
Principio 20: Los supervisores deben de asegurarse que cada banco
mantenga registros adecuados, diseñados de manera que concuerden con
políticas contables consistentes, con prácticas que permitan al supervisor
obtener una visión verdadera y precisa de la condición financiera del banco y
de la rentabilidad de sus negocios y que el banco haga publicaciones regulares
del estado financiero, que reflejen realmente su condición.
Grupo VI: Poderes correctivos de los supervisores:
Principio 21: Los supervisores deben tener la facultad de realizar acciones
correctivas a tiempo cuando:
a) Los bancos falten al cumplimiento de ciertos requerimientos prudenciales
(como los rangos de capital mínimo);
b) Existan violaciones a las regulaciones, y;
c) Los depositantes se vean amenazados de alguna manera.
Grupo VII: Supervisión consolidada y supervisión bancaria
transfronteriza:
Principio 22: Supervisión Consolidada: Un elemento esencial de la
supervisión bancaria es que los supervisores supervisen un grupo bancario en
forma consolidada.
- 21 -
Principio 23: Relación país de origen: La supervisión transfronteriza
consolidada exige la cooperación y el intercambio de información entre
organizaciones bancarias internacionales activas, aplicando y monitoreando
apropiadamente en todos los aspectos las normas prudenciales, a los negocios
manejados por éstas organizaciones bancarias alrededor del mundo,
primordialmente a sus sucursales extranjeras, co-inversiones y subsidiarias.
Principio 24: Relación país anfitrión: Un componente clave de la supervisión
consolidada es establecer el contacto entre los supervisores involucrados y
establecer intercambios de información entre todos los demás supervisores
involucrados, primordialmente con las autoridades supervisoras del país
anfitrión.
Principio 25: Supervisión consolidada entre país de origen y país
anfitrión: Con el propósito de llevar a cabo una supervisión consolidada los
supervisores bancarios deben:
a) Requerir que las operaciones locales de bancos extranjeros, sean
conducidas para los mismos estándares que son requeridos a las instituciones
locales, y;
b) Poseer poderes para compartir la información del supervisor local encargado
de éstos bancos.
- 22 -
I.IV Basilea II
Como sigue el “NUEVO ACUERDO”
2º RONDA CONSULTIVA
(PRACTICAS SÓLIDAS PARA
LA ADMINISTRACION Y
SUPERVISION DEL RIESGO
OPERATIVO
ACUERDO
DEFINITIVO
IMPLEMENTACION
REGULACIONES
BANCARIAS AUTOCTONAS
BASILEA II3º RONDA
CONSULTIVA
1999 2001 2003 2004 2006 2010
PRINCIPIOS PARA LA
ADMINISTRACIÓN DE
RIESGOS DE
CRÉDITOS
2000
A lo largo de estos años, la complejidad de la actividad bancaria, las prácticas
de gestión de riesgos, los enfoques de supervisión y los mercados financieros
en general, han experimentado significativas transformaciones que restan
eficacia a dicho acuerdo. Este hecho provoca que el Acuerdo de Basilea I no
refleje la verdadera naturaleza de los riesgos asumidos por algunas entidades
y, por consiguiente conlleve a una deficiente asignación de recursos y estimule
un significativo arbitraje en materia de capital.
El Comité, no ajeno a ésta situación en Junio de 1999, publicó un documento
consultivo “A New Capital Adequancy framework”, para reemplazar el Acuerdo
de 1988, presentando posteriormente, en enero del 2001 y abril del 2003,
sendas propuestas más desarrolladas, sobre las que se ha trabajado ha
motivado para proponer, aprobar en Junio 26 del 2004 (Madrid) y publicar el
Nuevo Acuerdo de Capital (Basilea II).
- 23 -
Ésta propuesta en la Unión Europea dará lugar a una nueva directiva de
adecuación de capital de las entidades de crédito y empresas de inversión,
que, a su vez, se transpondrá a las normativas nacionales para su entrada en
vigor a partir de Diciembre del 2006.
El Nuevo Acuerdo de Capital o Basilea II, intenta mejorar la seguridad y
solvencia del sistema financiero, mostrándose como una norma de adecuación
de capital más sensible al riesgo de las operaciones bancarias, e incentivando
a las entidades en la mejora de sus capacidades de gestión y control de
riesgos.
Los tres Pilares de Basilea II
Los tres Pilares de Basilea IIR
iesgo O
pera
tivo
Rie
sgo d
e C
rédit
o
Rie
sgo d
e M
erc
ado
Requerimiento de capitales mínimos
Proceso de supervisión bancaria
Pilar I
Pilar III
Pilar II
- 24 -
El acuerdo de Basilea II se asienta en dos grandes bloques: el ámbito de
aplicación, que va a determinar las entidades en las que deberá cumplirse el
coeficiente de solvencia y los tres pilares fundamentales:
1.- Las ponderaciones de riesgo asignadas a los diferentes tipos de activos de
riesgo, se incluye el riesgo operacional;
2.- Supervisión corriente por parte de las Superintendencias; y;
3.- La disciplina del mercado a través de más transparencia.
Pilar I.- Requerimientos mínimos de capital: Define el capital
mínimo de las entidades de crédito en función de los niveles de riesgos
asumidos de crédito, de mercado y operativos. Se establecen una ponderación
de los riesgos vigentes, evaluados según metodologías estándares (con
parámetros predefinidos por Basilea II) o con métodos avanzados
(desarrollados por las entidades y aceptados por los supervisores). El capital
mínimo exigido a cada entidad ha de ser el 8% de la suma de la evaluación de
los riesgos de crédito, de mercado (mantiene la evaluación propuesta en 1988)
y operacional. La novedad, entre otras, consiste en considerar al riesgo
operativo como un riesgo importante, de similar tratamiento y evaluación, con
consumo de capital.
Primer Pilar
Requerimiento de Capitales Mínimos
Ratio de
Capitales Mínimos(BASILEA I = BASILEA II = 8%)
(A) Grandes Categorías de Riesgo.
(B) 1) Calificaciones de Agencias
Externas. Mas categorías
2) Modelos Internos de los
Bancos.
CAPITAL REGULATORIO
(BASILEA I = BASILEA II)
ACTIVOS PONDERADOS
POR RIESGO
RIESGO DE MERCADO
(BASILEA I = BASILEA II)
+RIESGO DE CREDITO
(BASILEA I ≠ BASILEA II)
(A) (B)
+RIESGO OPERATIVO (BASILEA II)
- 25 -
Pilar II.- Proceso de Supervisión bancaria: Determina las
relaciones periódicas y sistemáticas de cada entidad con los responsables de
su supervisión (bancos centrales).
Cuatro principios encauzan éstas relaciones:
1) Las entidades deberán contar con un proceso suficiente para evaluar sus
requerimientos de capital (control de riesgo) y con una estrategia coherente
para su mantenimiento;
2) Los supervisores juzgarán los procesos y estrategias de las entidades para
verificar su cumplimiento satisfactorio con posibilidades de intervenir, caso
contrario;
3) Los supervisores podrán exigir un cumplimiento por encima del capital
mínimo; y,
4) Posibilidad de intervención inmediata y con prontitud cuando el capital
requerido esté por debajo del mínimo exigiendo medidas correctivas eficaces.
Segundo PilarProceso de Revisión del Supervisor
CUATRO PRINCIPIOS Y DOS CONCEPTOS CLAVES.
NECESIDAD DE LOS BANCOS DE EVALUAR LA
SUFICIENCIA DE SU CAPITAL EN RELACION CON
LOS RIESGOS ASUMIDOS.
NECESIDAD QUE LOS SUPERVISORES
REVISEN LAS EVALUACIONES EFECTUADAS
POR LOS BANCOS, LAS AVALEN O SOLICITEN
LA CONSTITUCIÓN DE CAPITAL ADICIONAL
POR ENCIMA DEL PILAR I.
- 26 -
Pilar III.- Disciplina de mercado: Establece requisitos para la
divulgación de información sobre los riesgos y su gestión de las entidades a
nivel particular.
El objetivo es:
1) La generalización de las buenas prácticas bancarias y homogeneización
internacional;
2) La reconciliación de los puntos de vista financiero, contable y de la gestión
de riesgo sobre la base de la información acumulada por las entidades; y,
3) La transparencia financiera a través de la homogeneización de los informes
de riesgo publicados por los bancos.
Tercer Pilar
Disciplina de Mercado.
Sofisticación de
métodos de
estimación
“Conjunto de principios de divulgación de información que permita a los participantes del mercado evaluar el
perfil de riesgo de un banco y su nivel de capitalización.”
¿Porqué?
Transparencia por:
Posible
Discrecionalidad de
los bancos
Marco de divulgación ≠ Normas Contables.
- 27 -
I.V. Principios de “Practicas Adecuadas para la Gestión y Supervisión del Riesgo”
Al desarrollar sus buenas prácticas, el Comité ha partido de su labor anterior
sobre la gestión de otros riesgos bancarios significativos, como el riesgo de
crédito, de tipos de interés o de liquidez, convencido de que es necesario tratar
el riesgo operativo con el mismo rigor que se aplica a los demás riesgos. Sin
embargo, no cabe duda de que en el riesgo operativo difiere de otros riesgos
bancarios, al no ser un riesgo que se acepte directamente a cambio de un
beneficio esperado, sino que es algo que se puede producir en el acontecer
diario de la actividad empresarial, y esto repercute en el proceso de gestión del
riesgo. Al mismo tiempo si éste riesgo no se controla adecuadamente, puede
verse afectado el perfil de riesgo de la Institución, con lo que podría verse
expuesta a pérdida significativas, por lo que entendemos por gestión de riesgo
operativo a la “identificación, evaluación, seguimiento y control o cobertura” del
riesgo. Esta definición contrasta sin embargo con la que utilizó el Comité en
informes anteriores sobre gestión del riesgo, que hacia referencia a la
“identificación, cálculo, seguimiento y control” del riesgo.
Si no se comprende y gestiona adecuadamente el riesgo operativo, presente
en cada operación y actividad bancaria, se puede aumentar la probabilidad de
que algunos riesgos pasen desapercibidos o escapen a los controles. Tanto el
consejo como la dirección son los responsables de crear una cultura
organizativa que conceda gran prioridad a la gestión eficaz del riesgo operativo
y al cumplimiento de estrictos controles operativos.
La gestión de riesgo operativo resulta más eficaz cuando el banco presta
especial atención al cumplimiento de las normas más estrictas de
comportamiento ético en todos los niveles de la organización. El Directorio y la
gerencia deberán fomentar una cultura organizativa que inculque, de palabra y
obra, integridad entre todos los empleados a la hora de realizar sus actividades
diarias.
- 28 -
El Comité, al igual que en sus trabajos sobre otros riesgos bancarios, ha
estructurado principios de prácticas adecuadas para la gestión del riesgo
agrupados en tres grupos:
Grupo I: Desarrollo de un marco adecuado para la gestión del riesgo (Principio
del 1 al 3);
Grupo II: Gestión del Riesgo: Identificación, evaluación, seguimiento y control
(principio del 4 al 7); y,
Grupo III: La función de los supervisores (principio del 8 al 10).
Grupo I: Desarrollo de un marco adecuado para la gestión del riesgo
Principio 1: El Directorio deberá conocer cuales son los principales aspectos
de los riesgos operativos para el banco como una categoría diferente de riesgo,
y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la
gestión de éste riesgo. Éste marco deberá ofrecer una definición de riesgo
operativo válida para toda la empresa y establecer los principios para definir,
evaluar, seguir y controlar o mitigar éste tipo de riesgos.
El Directorio deberá aprobar la implementación de un marco a lo largo de la
empresa para la administración explícita del riesgo operativo como un riesgo
diferente que pone en peligro la seguridad y solvencia del banco. El Directorio
debería suministrar pautas y directrices claras a la alta gerencia respecto de los
principios subyacentes del marco y aprobar las políticas correspondientes
desarrolladas por la alta gerencia.
Dicho marco deberá partir de una definición adecuada de riesgo operativo que
articule claramente que es riesgo operativo en ese banco. El marco debería
cubrir el apetito y la tolerancia del banco respecto del riesgo operativo, de
acuerdo con lo especificado en las políticas para administrar ese riesgo y la
- 29 -
priorización por el banco de las actividades en torno a la administración del
riesgo operativo, incluyendo la medida en que y la forma en que, el riesgo
operativo se transfiere fuera del banco. También debería incluir políticas que
definen el enfoque del banco para identificar, evaluar, monitorear y
controlar/mitigar el riesgo. El grado de formalidad y sofisticación del marco de
administración del riesgo operativo del banco debería ser coherente con el
perfil del riesgo del banco.
El Directorio es responsable por la creación de una cultura gerencial capaz de
implementar el marco de administración del riesgo operativo en la empresa, ya
que un aspecto importante de la administración del riesgo operativo está
relacionado con el establecimiento de controles internos fuertes, es
especialmente importante que el directorio defina líneas claras de
responsabilidad gerencial y para la presentación de informes. Además, debería
haber una separación de responsabilidades y líneas para la presentación de
informes entre las funciones de control del riesgo operativo, líneas de negocios
y funciones de apoyo a fin de evitar conflictos de interés. El marco también
debería articular los procesos claves que se necesitan en la empresa para
administrar el riesgo operativo.
El directorio debería revisar regularmente el marco para garantizar que el
banco esté administrando los riesgos operativos resultantes de cambios en el
mercado externo y otros factores del entorno, al igual que los riesgos
operativos asociados con productos, actividades o sistemas nuevos. Éste
proceso de revisión también debería tener como propósito la evaluación de las
buenas prácticas en el sector en la administración del riesgo operativo que son
adecuadas para las actividades, sistemas y procesos del banco. De ser
necesario, el directorio debería asegurar que el marco de administración del
riesgo operativo se revise a la luz de éste análisis, para que se capten los
riesgos operativos más importantes en el marco.
- 30 -
Principio 2: El Directorio debería asegurar que el marco de administración del
riesgo operativo del banco sea sujeto a una auditoría interna efectiva e integral
por personal competente, independiente desde el punto de vista operativo y
con una adecuada capacitación. La función de auditoría interna no debería
tener la responsabilidad directa por la administración del riesgo operativo.
Los bancos deberían tener estructuras adecuadas de auditoría interna para
verificar sí las políticas y procedimientos se han implementado efectivamente.
El directorio (o bien directamente o bien indirectamente a través de su comité
de auditoría) debe asegurar que el alcance y la frecuencia del programa de
auditoría sean adecuados considerando la exposición al riesgo. La auditoria
debería verificar periódicamente sí el marco de administración del riesgo
operativo de la empresa se está implementando efectivamente en toda la
empresa.
En la medida en que la función de auditoría participa en la supervisión del
marco de administración del riesgo operativo, el directorio debería asegurar
que se mantenga la independencia de la función de auditoría. Ésta
independencia puede correr peligro sí la función de auditoría está involucrada
directamente en el proceso de administración del riesgo operativo. La función
de auditoría puede suministrar input valiosos a los encargados de la
administración del riesgo operativo. En la práctica, el Comité reconoce que la
función de auditoría en algunos bancos (sobre todo en los bancos más
pequeños) puede tener la responsabilidad inicial por el desarrollo de un
programa de administración del riesgo operativo. Si éste es el caso, los bancos
deben asegurar que la responsabilidad por la administración diaria del riesgo
operativo sea transferida oportunamente a otra división.
Principio 3: La alta gerencia debe ser responsable por la implementación del
marco de administración del riesgo operativo aprobado por el directorio. El
marco se debe implementar de forma coherente a lo largo de toda la
organización bancaria, y todos los niveles del personal deberían entender sus
- 31 -
responsabilidades respecto de la administración del riesgo operativo. La alta
gerencia también debería ser responsable por el desarrollo de políticas,
procesos y procedimientos para administrar el riesgo operativo en todos los
productos, actividades, procesos y sistemas más importantes del banco.
La gerencia debe traducir el marco de administración del riesgo operativo fijado
por el directorio en políticas unidades de negocio. Mientras que cada nivel de
administración es responsable por la conformidad y efectividad de las políticas,
procesos, procedimientos y controles dentro de su ámbito de trabajo, la alta
gerencia debe asignar la autoridad, responsabilidades y relaciones de
presentación de informes para promover y mantener el sistema, asegurar que
haya los recursos necesarios para administrar efectivamente el riesgo
operativo.
La alta gerencia debe asegurar que las actividades del banco sean llevadas a
cabo por personal calificado con la experiencia y capacidad técnica requerida y
con acceso a recursos, y que el personal responsable por el monitoreo y
imposición de la política de riesgo de la institución tenga autoridad
independiente de las unidades bajo su supervisión. La gerencia debe asegurar
que la política de administración del riesgo operativo del banco se haya
comunicado claramente al personal en todos los niveles en las unidades
expuestas a riesgos operativos importantes.
La alta gerencia debería asegurar que el personal responsable por la
administración del riesgo operativo trabaje en efectiva coordinación con el
personal de la administración de los riesgos de crédito, mercado, y otros, al
igual que con el personal de la empresa encargado de la contratación de
servicios externos, como ser seguros y acuerdos de subcontratación. Si no se
toma en cuenta ésta coordinación, podría haber vacios significativos en el
programa general de administración de riesgos del banco.
- 32 -
La alta gerencia también debería asegurar que las políticas de remuneración
del banco sean coherentes con su apetito de riesgo. Las políticas de
remuneración que recompensan al personal que se desvía de las políticas
debilitando los procesos de administración de riesgos del banco.
Se debe dedicar especial atención a la calidad de los controles de
documentación y las prácticas de manejo de transacciones. En particular,
deben ser bien documentados y divulgados a todo el personal las políticas,
procesos y procedimientos relacionados con tecnologías avanzadas en apoyo
de volúmenes alto de transacciones.
Grupo II: Administración de Riesgos: Identificación, Evaluación,
Monitoreo y Mitigación/Control
Principio 4: Los bancos deberían identificar y evaluar el riesgo operativo
inherente en todos los productos, actividades, procesos y sistemas
importantes. Los bancos también deberían asegurar que, antes de introducir o
emprender productos, actividades, procesos y sistemas nuevos, el riesgo
operativo inherente en el mismo sea sujeto a procedimientos adecuados de
evaluación.
La identificación de riesgos es esencial para el desarrollo posterior de un
sistema viable de monitoreo y control del riesgo operativo. Una efectiva
identificación de riesgos toma en cuenta tanto factores internos (como ser la
estructura del banco, la índole de las actividades del banco, la calidad de los
recursos humanos del banco, cambios organizativos y rotación del personal)
como factores externos (como ser cambios en el sector y avances
tecnológicos) que pudieran tener un impacto negativo en el logro de los
objetivos del banco.
- 33 -
Principio 5: Los bancos deberían implementar un proceso para monitorear
regularmente los perfiles del riesgo operativo y las exposiciones importantes a
pérdidas. La información pertinente se debería presentar regularmente a la alta
gerencia y el directorio que apoya la administración proactiva del riesgo
operativo.
Un proceso de monitoreo efectivo es esencial para poder administrar
adecuadamente el riesgo operativo. El monitoreo regular puede tener la ventaja
de la rápida detección y corrección de deficiencias en las políticas, procesos, y
procedimientos de administración del riesgo operativo. La rápida detección y
solución de estas deficiencias puede reducir en gran medida la potencial
frecuencia y/o seriedad de un evento de pérdida.
Además, de monitorear los eventos de pérdida operativa, los bancos deben
identificar indicadores adecuados de alerta temprana sobre un riesgo
incrementado de pérdidas futuras. Esos indicadores (que muchas veces se
conocen como indicadores de riesgo clave o indicadores de alerta temprana)
deben mirar hacia delante y podrían reflejar potenciales fuentes de riesgo
operativo, como ser el crecimiento rápido, la introducción de productos nuevos,
la rotación de personal, transacciones cortadas, tiempo de inactividad del
sistema, etc. Si los umbrales se vinculan directamente con esos indicadores, un
proceso de monitoreo efectivo puede ayudar a identificar los riesgos
importantes clave de forma transparente y permitir al banco responder de forma
apropiada a esos riesgos.
Principio 6: Los bancos deberían tener políticas, procesos y procedimientos
para controlar y/o mitigar riesgos operativos importantes. Los bancos deberían
hacer una revisión periódica de sus estrategias de mitigación y control de
riesgos y deberían ajustar su perfil de riesgo operativo de acuerdo con ello
utilizando estrategias apropiadas, a la luz de su perfil y apetito general del
riesgo.
- 34 -
Se deben fijar procesos y procedimientos de control y los bancos deben tener
un sistema para asegurar el cumplimiento de un conjunto documentado de
políticas internas relativas al sistema de administración de riesgos.
Algunos elementos de ese sistema podrían ser los siguientes:
Revisiones en un alto nivel del avance del banco hacia el logro de los
objetivos fijados;
Control de cumplimiento con controles gerenciales;
Políticas, procesos y procedimientos relativos a la revisión, tratamiento y
resolución de problemas de incumplimiento; y,
Un sistema de aprobaciones y autorizaciones documentadas para
asegurar que se responda a un nivel gerencial apropiado.
A pesar de ser crítico un marco de políticas y procedimientos formales y
escritos, debe ser reforzado a través de una fuerte cultura de control que
promueve prácticas sanas de administración de riesgos. Tanto el directorio
como la alta gerencia son responsables por el establecimiento de una fuerte
cultura de control interno en la que las actividades de control son una parte
integral de las actividades corrientes del banco. Los controles que son una
parte integral de las actividades regulares permiten respuestas rápidas a
condiciones cambiantes y evitan costos innecesarios.
Un sistema efectivo de control interno también requiere que haya una
adecuada segregación de deberes y que el personal no sea asignado a
responsabilidades que puedan dar lugar a un conflicto de interés. Asignar
obligaciones conflictivas al personal, o a un equipo, puede resultar en que
esconden pérdidas, errores o acciones inadecuadas. Por lo tanto, las áreas de
potenciales conflictos de interés deber ser identificadas, minimizadas y sujetas
a un proceso independiente y cuidadoso de monitoreo y revisión.
- 35 -
Además, de la segregación de funciones, los bancos deben asegurar que haya
otras prácticas internas para controlar el riesgo operativo. Algunos ejemplos:
Monitoreo de cerca de la observancia de umbrales o límites de riesgo
asignados;
Mantener medidas de protección para el acceso a, y uso de, registro y
activos bancarios;
Asegurar que el personal tenga experiencia y capacitación adecuadas;
Identificar líneas o productos en los que el retorno parece ser
incoherente con expectativas razonables (p.ej. en caso de actividades
de bajo riesgo y baja ganancia con un alto retorno, puede surgir la
pregunta si ese retorno se ha logrado como resultado de la violación de
controles internos); y,
La verificación y reconciliación regulares de transacciones y cuentas.
La no implementación de esas prácticas ha dado lugar a pérdidas operativas
significativas en algunos bancos en años recientes.
El riesgo operativo puede ser más pronunciado si los bancos empiezan a
trabajar con actividades nuevas o si desarrollan productos nuevos (sobre todo
si esas actividades o productos no son coherentes con las estrategias
comerciales centrales del banco), ingresan en mercados que no conocen bien,
y/o participan en negocios a una considerable distancia geográfica de la oficina
central. Además, en muchos de esos casos, las empresas no aseguran que la
infraestructura de control de la administración de riesgos siga el ritmo del
crecimiento de las actividades. Cierto número de las pérdidas más grandes de
más alto perfil en los años recientes ha ocurrido en caso de presentarse una o
más de esas condiciones. En éste sentido, los bancos tienen la responsabilidad
de asegurar que se dedique especial atención a las actividades de control
interno en caso de existir esas condiciones.
- 36 -
Algunos riesgos operativos significativos tienen una baja probabilidad pero un
potencial impacto financiero enorme. Además, no todos los eventos de riesgo
pueden ser controlados (p.ej. desastres naturales). Se pueden utilizar
herramientas o programas de mitigacion de riesgos para reducir la exposición
a, o la frecuencia y/o seriedad de esos eventos. Por ejemplo, se pueden utilizar
pólizas de seguros, con ciertas características, especialmente el pago rápido,
para exteriorizar el riesgo de perdidas de “ baja frecuencia, alta seriedad “ que
pudieran ocurrir como resultado de eventos como ser demandas de terceros
como resultado de errores y omisiones, la pérdida física de valores, fraude
cometido por empleados o terceros, y desastres naturales.
Sin embargo, los bancos deberían considerar las herramientas de mitigación de
riesgo como instrumentos complementarios, y no en reemplazo de un detenido
control interno del riesgo operativo. La exposición a riesgos puede bajar
considerablemente si hay mecanismos para reconocer y rectificar rápidamente
errores legítimos del riesgo operativo. También, se tiene que analizar
cuidadosamente la medida en que las herramientas de mitigación de riesgo,
como ser seguros, realmente reducen el riesgo, ya que a veces transfieren el
riesgo a otro sector o área, o incluso crean un riesgo nuevo.
También, son importantes las inversiones en la seguridad adecuada de la
tecnología de información y tecnología de procesamiento para mitigar el nivel
de riesgo. No obstante, los bancos deben estar conscientes que una mayor
automatización puede transformar las pérdidas de alta frecuencia en baja
seriedad en pérdidas de baja frecuencia y alta seriedad. Éstas últimas pueden
estar asociadas con la pérdida o interrupción prolongada de servicios a causa
de factores internos o factores más allá del control inmediato del banco
(eventos externos). Esos problemas pueden dar lugar a serias dificultades para
los bancos y podrían poner en peligro la capacidad de la institución de seguir
ejecutando sus actividades comerciales clave. Tal como se discute abajo en el
principio 7, los bancos deberían establecer planes de recuperación en caso de
desastres y de comunicación de las actividades que enfrentan este riesgo.
- 37 -
Asimismo, los bancos deberían fijar políticas para administrar los riesgos
asociados con las actividades de subcontratación. A través de
subcontrataciones, la institución puede bajar su perfil de riesgo, transfiriendo
actividades a otros con más experiencia y que trabajan a una mayor escala
para administrar los riesgos asociados con actividades especializadas. Sin
embargo, si un banco trabaja con terceros, no baja la responsabilidad del
directorio y la gerencia por asegurar que las actividades de la parte tercera se
lleven a cabo de una manera sana y segura y en conformidad con las leyes
aplicables. Los acuerdos de subcontratación deben basarse en contratos y/o
acuerdos de provisión e servicios robustos que aseguran una repartición clara
de las responsabilidades entre los proveedores externos de servicios y el
banco que los subcontrata. Asimismo, los bancos deben administrar los riesgos
residuales asociados con los acuerdos de subcontratación, incluyendo la
interrupción de servicios.
Dependiendo de la escala o índole de la actividad, los bancos deben entender
el potencial impacto en sus operaciones y sus clientes de cualquier potencial
deficiencia en servicios suministrados por los vendedores y otros proveedores
de servicios que sean de terceros u otras empresas del grupo, incluyendo
interrupciones operativas y la potencial quiebra o problemas de las partes
externas. El directorio y la gerencia deben asegurar que las expectativas y
obligaciones de cada parte estén bien definidas, entendidas y que sean
exigibles. El alcance de la responsabilidad y capacidad financiera de la parte
externa para compensar al banco por errores, negligencia y otros defectos
operativos se debe considerar explícitamente como una parte de la evaluación
de riesgo. Los bancos deben hacer un análisis inicial y deben monitorear las
actividades de proveedores terceros, especialmente de los que no tienen
experiencia en el entorno regulado del sector bancario. Además, deben revisar
éste proceso (incluyendo re-evaluaciones de la información) regularmente.
Para las actividades críticas, puede ser que el banco tenga que pensar en
planes de contingencia incluyendo la disponibilidad de partes externas
- 38 -
alternativas y los costos y recursos requeridos para cambiar de parte externa,
posiblemente de forma repentina.
En algunos casos, los bancos pueden decidir o bien retener cierto nivel de
riesgo operativo o de auto-asegurarse contra ese riesgo. Si éste es el caso y el
riesgo es considerable, la decisión de retener el riesgo o auto-asegurarse
contra el riesgo deber ser transparente dentro de la organización y debe ser
compatible con la estrategia comercial y apetito de riesgo general del banco.
Principio 7: Los bancos deben tener planes de contingencia y de continuación
de las actividades para asegurar su capacidad de operar de forma constante y
limitar sus pérdidas en caso de una seria interrupción de las actividades.
Por motivos fuera de control de un banco, un evento serio puede resultar en la
incapacidad del banco de cumplir con algunas o todas sus obligaciones,
especialmente si está dañada o inaccesible la infraestructura física, de
telecomunicaciones, o de tecnología de información del banco dando lugar a
pérdidas financieras significativas para el banco. En éste sentido los bancos
deben establecer planes de recuperación en caso de desastres y de
continuidad de las actividades que toman en cuenta los diferentes tipos
posibles de escenarios a los que puede estar expuesto, de acuerdo con el
tamaño y complejidad de las operaciones.
Los bancos deben identificar sus procesos críticos, incluyendo los provistos por
terceros, y para los que la rápida reanudación de los servicios sería
sumamente crítica. Se debería reubicar los back-up de los registros o las
operaciones del banco en otro lugar, es importante que estos lugares se
encuentren a una distancia adecuada de las operaciones interrumpidas para
minimizar el riesgo de que tanto los registros primarios como los registros de
back-up estén indisponibles simultáneamente.
- 39 -
Los bancos deben hacer una revisión periódica de sus planes de recuperación
de desastres y de continuidad de las operaciones para ver si son coherentes
con las operaciones y estrategias del banco. Además, estos planes deben ser
probados periódicamente para asegurar que el banco pueda ejecutar los
planes en el evento poco probable de una seria interrupción de las actividades.
Grupo III: La función de los Supervisores:
Principio 8: Los supervisores bancarios deberían exigir que todos los bancos,
independiente de su tamaño, tengan un marco efectivo para identificar, evaluar,
monitorear y controlar/ mitigar los riesgos operativos importantes como parte de
un enfoque general para la administración de riesgos.
Los supervisores deben exigir que los bancos desarrollen marcos de
administración del riesgo operativo que sean coherentes con las pautas de éste
documento y con el tamaño, complejidad y perfiles de riesgo de los bancos. En
la medida en que los riesgos operativos amenazan la seguridad y solvencia de
los bancos, los supervisores tienen la responsabilidad por alentar a los bancos
a desarrollar y utilizar mejores técnicas para administrar esos riesgos.
Principio 9: Los supervisores deberían llevar a cabo, directa o indirectamente,
evaluaciones independientes regulares de las políticas, procedimientos y
prácticas de un banco respecto de los riesgos operativos. Los supervisores
deberían asegurar que haya mecanismos adecuados que les permitan estar al
tanto de las evoluciones en los bancos.
Algunos ejemplos de lo que una evaluación independiente del riesgo operativo
por los supervisores debería verificar son:
La efectividad del proceso de administración de riesgo del banco y el
entorno de control general respecto del riesgo operativo;
Los métodos que el banco utiliza para monitorear e informar sobre su
perfil de riesgo operativo, incluyendo datos sobre pérdidas operativas y
otros indicadores sobre el potencial riesgo operativo;
- 40 -
Los procedimientos del banco para la resolución oportuna y efectiva de
eventos y vulnerabilidad al riesgo operativo;
El proceso de controles internos, revisiones y auditorias del banco para
asegurar la integridad del proceso general de administración del riesgo
operativo;
La calidad e integridad de los planes del banco de recuperación en caso
de desastres y de continuidad del negocio; y;
El proceso del banco para evaluar el coeficiente patrimonial general para
el riesgo operativo en relación con su perfil de riesgo, y, de ser
apropiado, sus metas internas de capital.
Papel de la divulgación
Principio 10: Los bancos deben divulgar suficiente información al público para
que los participantes en el mercado puedan evaluar su enfoque para la
administración del riesgo operativo
El Comité cree que la divulgación pública oportuna y frecuente de información
relevante por los bancos puede resultar en una mejor disciplina de mercado y,
por ende, una administración de riesgo más efectiva. La cantidad de la
divulgación debe ser de acuerdo con el tamaño, perfil de riesgo y complejidad
de las operaciones del banco.
El área de la divulgación del riesgo operativo todavía no está bien desarrollada,
en primer lugar porque los bancos siguen en proceso de desarrollo de las
técnicas de evaluación del riesgo operativo. Sin embargo, el Comité cree que
un banco debería divulgar su marco de administración del riesgo operativo de
una forma que permite a los inversionistas y contrapartes determinar si el
banco identifica, evalúa, monitorea y controla/ mitiga efectivamente el riesgo
operativo.
- 41 -
CAPÍTULO II
GESTIÓN DE RIESGO OPERATIVO
II.I Riesgo Operativo: Concepto y definición
“... El riesgo de pérdida debido a la inadecuación o a fallos de los procesos, el
personal y los sistemas internos o bien a causa de acontecimientos externos.
Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de
reputación.”
Definición del Comité de Basilea
La Superintendencia de Bancos y Seguros del Ecuador considera fundamental
que se proporcione una visión única del riesgo operativo en todas las
Instituciones financieras del país y tomando como base el concepto propuesto
por el Comité de Supervisión Bancaria de Basilea, define al riesgo Operativo de
la siguiente manera:
“... El riesgo operativo se entenderá como la posibilidad de que se ocasionen
pérdidas financieras por eventos derivados de fallas o insuficiencias en los
procesos, personas, tecnología de información y por eventos externos. Agrupa
una variedad de riesgos relacionados con deficiencias de control interno;
sistemas, procesos y procedimientos inadecuados; errores humanos y fraudes;
fallas en los sistemas informáticos; ocurrencia de eventos externos o internos
adversos, es decir, aquellos que afectan la capacidad de la institución para
responder por sus compromisos de manera oportuna, o comprometen sus
intereses.
El riesgo operativo incluye el riesgo legal, pero excluye el riesgo estratégico y
de reputación. Además, no trata sobre la posibilidad de pérdidas originadas en
cambios inesperados en el entorno político, económico y social.
- 42 -
El riesgo legal es la posibilidad de que se presenten pérdidas o contingencias
negativas como consecuencia de fallas en contratos y transacciones que
pueden afectar el funcionamiento o la condición de una institución del sistema
financiero, derivadas de error, dolo, negligencia o imprudencia en la
concertación, instrumentación, formalización o ejecución de contratos y
transacciones. Surge también del incumplimiento de las leyes o normas
aplicables.”
II.I.I Roles y responsabilidades en la Administración de
Riesgo Operativo
Los roles y responsabilidades del directorio, Comité de Administración Integral
de Riesgos y Unidad de Riesgos se detallan a continuación:
Directorio.-
Crear una cultura organizacional con principios y valores de
comportamiento ético que priorice la gestión eficaz del Riesgo Operativo.
Aprobar de políticas, procedimientos relativos a procesos, a tecnología
de la información y estructura organizacional, segmentos de mercado
objetivo y el tipo de productos a ser ofrecidos al público, así como los
límites que se establezcan para la aceptación de un riesgo operativo
serán aprobados por el Directorio.
Aprobar de los planes de contingencia y continuidad del negocio.
Comité de Administración Integral de Riesgos.-
Evaluar y proponer al Directorio las políticas y el proceso de Gestión de
Riesgo Operativo y asegurarse que sean implementados en toda la
Institución y que todos los niveles del personal entiendan sus
responsabilidades con relación al Riesgo Operativo.
- 43 -
Evaluar las políticas y procedimientos de procesos, personas y
Tecnología de la Información y someterlos a aprobación del directorio.
Definir los mecanismos para monitorear y evaluar los cambios
significativos y la exposición a riesgos.
Evaluar y someter a aprobación del Directorio los planes de contingencia
y continuidad del negocio y asegurar su cumplimiento.
Analizar y aprobar la designación de líderes encargados de realizar las
actividades previstas en el plan de contingencia y continuidad del
negocio.
Unidad de Riesgos.-
Diseñar las políticas y el proceso de administración del riesgo operativo;
Monitorear y evaluar los cambios significativos y la exposición a riesgos
provenientes de los procesos, las personas, la tecnología de información
y los eventos externos;
Analizar las políticas y procedimientos de tecnología de información,
propuestas por el área respectiva, especialmente aquellas relacionadas
con la seguridad de la información; y,
Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de
contingencia y de continuidad del negocio, así como proponer los líderes
de las áreas que deban cubrir el plan de contingencias y de continuidad
del negocio.
- 44 -
II.II Factores del Riesgo Operativo:
Los factores de riesgo operativo son la causa primaria o el origen de un evento
de riesgo operativo siendo estos: procesos, personas, tecnología de
información y eventos externos. Cada uno de los elementos deberá tener
requisitos mínimos para su administración, generando de ésta forma un
apropiado ambiente de gestión de riesgo operativo, aspecto cualitativo que
debe ser cumplido en primera instancia, con la finalidad de visualizar la
posibilidad de ascender en el futuro hacia requerimientos cuantitativos de
capital para riesgo operativo conforme con el Nuevo Acuerdo de Capital de
Basilea.
II.II.I Administración de Procesos
Existe una preocupación reciente por la adecuación de los procesos a las
exigencias del mercado y del entorno, de ahí, que es necesario emprender una
adecuada administración, cuyo objetivo es asegurarse que todos los procesos
trabajen en armonía para maximizar la efectividad organizacional y se minimice
la probabilidad de incurrir en pérdidas financieras atribuibles al riesgo operativo.
Con el objeto de garantizar la optimización de los recursos y la estandarización
de las actividades, las instituciones controladas deben contar con procesos
definidos de conformidad con la estrategia y las políticas adoptadas, que
deberán ser agrupados de la siguiente manera:
Procesos gobernantes o estratégicos;
Procesos productivos, fundamentales u operativos; y,
Procesos habilitantes, de soporte o apoyo.
- 45 -
INVENTARIO DE PROCESOSINVENTARIO DE PROCESOS
Reclamos
Económico - Financiero
Métodos y Procedimientos
XTecnología de Información
Auditoría Interna
Asesoría Legal
Servicios Administrativos
Desarrollo y Gestión de RRHH
Apoyo
XColocaciones (4)
XServicios Bancarios (3)
XTesorería (2)
XCaptaciones (1)
Productivo
Control de lavado de dinero y activos
Gestión de Riesgos Integrales
Planificación Estratégica y Financiera
Establecer Políticas, Lineamientos y Directrices
Gobernante
Proceso
CríticoNombre del ProcesoGrupo
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Procesos Gobernantes o estratégicos: Se considerarán a aquellos que
proporcionan directrices a los demás procesos y son realizados por el directorio
u organismo que haga sus veces y por la alta gerencia para poder cumplir con
los objetivos y políticas institucionales. Se refieren a la planificación estratégica,
los lineamientos de acción básicos, la estructura organizacional, la
administración integral de riesgos, entre otros;
Procesos productivos, fundamentales u operativos: Son los procesos
esenciales de la entidad destinados a llevar a cabo las actividades que
permitan ejecutar efectivamente las políticas y estrategias relacionadas con la
calidad de los productos o servicios que ofrecen a sus clientes; y,
Procesos habilitantes, de soporte o apoyo: Son aquellos que apoyan a los
procesos gobernantes y productivos, se encargan de proporcionar personal
competente, reducir los riesgos del trabajo, preservar la calidad de los
materiales, equipos y herramientas, mantener las condiciones de operatividad y
funcionamiento, coordinar y controlar la eficacia del desempeño administrativo
y la optimización de los recursos.
- 46 -
Un apropiado ambiente de Gestión de Riesgo Operativo requiere definir
políticas para el diseño, control, actualización y seguimiento de los procesos,
que cubran al menos:
Diseño claro de los procesos;
Descripción de actividades, tareas y controles;
Determinación de los responsables;
Difusión y comunicación de los procesos;
Actualización y mejora continúa; y,
Adecuada segregación de funciones.
Se debe mantener inventarios actualizados de procesos que incluyan:
Tipo y nombre de proceso
Responsable y clientes externos/internos;
Productos y servicios que genera;
Fecha de aprobación y actualización; y,
Señalar si es un proceso crítico.
Adicionalmente deberán las Instituciones Financieras identificar, aún en los
servicios provistos por terceros, sus procesos críticos, es decir, aquellos que en
caso de una interrupción podrían en peligro la continuidad de las operaciones.
II.II.II Administración de Personas
La administración del recurso humano puede entenderse como el proceso
mediante el cual las Instituciones planifican y gestionan el personal para
promover su desempeño eficiente y alcanzar los objetivos individuales de las
personas y los objetivos institucionales.
Las instituciones controladas deben administrar el capital humano de forma
adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al
factor personas, tales como:
Falta de personal adecuado;
- 47 -
Negligencia;
Error humano;
Nepotismo de conformidad con las disposiciones legales vigentes;
Inapropiadas relaciones interpersonales;
Ambiente laboral desfavorable; y;
Falta de especificaciones claras en los términos de contratación del
personal, entre otros.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las instituciones controladas deberán definir formalmente políticas,
procesos y procedimientos que aseguren una apropiada planificación y
administración del capital humano, los cuales considerarán los procesos de
incorporación, permanencia y desvinculación del personal al servicio de la
institución.
Será indispensable determinar si se ha definido el personal necesario y las
competencias idóneas para cada puesto considerando:
Experiencia profesional;
Formación académica;
Valores y actitudes; y,
Habilidades personales.
Se deberá también mantener información actualizada del capital humano como:
Formación académica y experiencia;
Forma y fechas de selección, reclutamiento y contratación;
Historia de eventos de capacitación;
Cargos desempeñados y resultados de evaluaciones; y,
Fechas y causas de separación de la institución.
- 48 -
II.II.III Administración de Tecnología de la Información
Las instituciones controladas deben contar con la tecnología de información
que garantice la captura, procesamiento, almacenamiento y transmisión de la
información de manera oportuna y confiable; evitar interrupciones del negocio y
lograr que la información, inclusive aquella bajo la modalidad de servicios
provistos por terceros, sea íntegra, confidencial y esté disponible para una
apropiada toma de decisiones.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las instituciones controladas deberán definir formalmente políticas,
procesos y procedimientos que aseguren una adecuada planificación y
administración de la tecnología de información.
Dichas políticas procesos y procedimientos se refieren a:
Satisfacción de los requerimientos;
Servicios de terceros;
Salvaguarda de información;
Continuidad de operaciones; y,
Ciclo de vida de sistemas.
- 49 -
II.II.IV Administración de Eventos Externos
Contingencias legales
Fallas en los servicios públicos
Desastres naturales
Atentados
Actos delictivos
Fallas en servicios críticos provistos por terceros
EVENTOS EXTERNOS
MITIGAR
En la administración del riesgo operativo, las instituciones controladas deben
considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos
ajenos a su control, tales como: fallas en los servicios públicos, ocurrencia de
desastres naturales, atentados y otros actos delictivos, los cuales pudieran
alterar el desarrollo normal de sus actividades.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las entidades financieras deberán, además, diseñar una política de
seguros con el objetivo de establecer los lineamientos que normarán la
contratación de pólizas, los riesgos a cubrir y los montos.
Por otra parte, deberá definir, desarrollar, probar y monitorear planes de
contingencia y de continuidad del negocio, a fin de poder prestar el servicio
- 50 -
adecuado a sus clientes en caso de eventos externos que afecten el
funcionamiento normal del mismo.
II.III. Metodología para la Gestión de Riesgo Operativo:
La administración de los Riesgos Operativos se hará a través de procesos
formales establecidos para la identificación, medición, control / mitigación y
monitoreo de las exposiciones de riesgo está asumiendo.
II.III.I Identificación
La identificación es una fase fundamental en la administración del riesgo
operativo y debe considerar el entorno interno y externo de la identidad para
determinar aspectos del riesgo operativo que pueden afectar al logro de sus
objetivos y que le podrían causar pérdidas.
II.III.I.I. Eventos de Pérdida de Riesgo Operativo
Las instituciones controladas deberán identificar, por línea de negocio, los
eventos de riesgo operativo, agrupados por tipo de evento, y, las fallas o
insuficiencias en los procesos, las personas, la tecnología de información y los
eventos externos, a través de una metodología formal, debidamente
documentada y aprobada. Dicha metodología podrá incorporar la utilización de
las herramientas que más se ajusten a las necesidades de la institución, entre
las cuales podrían estar: autoevaluación, mapas de riesgos, indicadores, tablas
de control (scorecards), bases de datos u otras.
A continuación los tipos de eventos de Riesgo Operativo:
1. Fraude interno;
2. Fraude externo;
3. Prácticas laborales y seguridad del ambiente de trabajo;
4. Prácticas relacionadas con los clientes, los productos y el negocio;
5. Daños a los activos físicos;
6. Interrupción del negocio por fallas en la tecnología de información; y,
7. Deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con proveedores y terceros.
- 51 -
1. Fraude Interno:
Pérdidas derivadas de algún tipo deactos encaminados a defraudar,apropiarse o burlar regulaciones, laley o las normas internas,excluyendo hechos pordiscriminación, los cuales, comomínimo, tienen un origen en parteinterno.
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
FRAUDE
INTERNO
No informar intencionadamente de
determinadas posiciones.
Infidelidades de empleados.
Uso el de información privilegiada para
enriquecimiento propio.
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
2. Fraude Externo:
Fraude Interno
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar legislación por parte de un tercero.
Fraude
Externo
Robos;
Falsificación;
Daños de “piratas”
informáticos (hackers),
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
- 52 -
3. Prácticas laborales y Seguridad del ambiente de trabajo:
Fraude Externo
Fraude Interno
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.
Prácticas
de Empleo
Compensaciones a trabajadores
por quejas;
Violaciones a las normas de
seguridad e higiene en el trabajo;
Demandas por discriminaciones y
por responsabilidades generales
(por ejemplo, DEMANDAS DE
CLIENTES POR RESBALARSE
EN UNA OFICINA).
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
4. Prácticas relacionadas con los clientes, los productos y el negocio:
Fraude Externo
Prácticas de Empleo
Fraude Interno
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Clientes y
Productos
Mal uso de la información
confidencial de clientes;
Actividades comerciales
inadecuadas en cuentas
propias;
Venta de productos no
autorizados.
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
- 53 -
5. Daños a los activos físicos:
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Fraude Interno
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.
Daños a
Activos
Físicos
Terrorismo, vandalismo,
terremotos, fuegos e
inundaciones.
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
6. Interrupción del negocio por fallas en la tecnología de
información
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fraude Interno
Ejecucióny Gestión de Procesos
Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.
Fallos de
Sistemas
Caídas del software;
Problemas de telecomunicaciones
(Internet);
Apagones públicos
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
- 54 -
7. Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Fraude Externo
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
Ejecución y
Gestión de
Procesos
Errónea entradas de datos;
Documentación legal incompleta;
Accesos no aprobados a las
cuentas de clientes;
Rupturas de contratos y disputas
con proveedores y daños
colaterales.
Tipos de Eventos
Fuente: Banco de la Nación Argentina. Autor: Dr. Daniel Jorge Biau
Los eventos de riesgo que se hayan presentado para cada uno de los riesgos
identificados, permitirá al directorio u organismo que haga sus veces y a la alta
gerencia de la entidad contar con una visión clara de la importancia relativa de
los diferentes tipos de exposición al riesgo operativo y su prioridad, con el
objeto de alertarlos en la toma de decisiones y acciones, que entre otras,
pueden ser: revisar estrategias y políticas; actualizar o modificar procesos y
procedimientos establecidos; implantar o modificar límites de riesgo; constituir,
incrementar o modificar controles; implantar planes de contingencias y de
continuidad del negocio; revisar términos de pólizas de seguro contratadas;
contratar servicios provistos por terceros; u otros, según corresponda.
- 55 -
II.III.II Medición y Evaluación
Además, de identificar los riesgos de mayor potencial impacto negativo, los
bancos deberían evaluar su sensibilidad a estos riesgos. Una efectiva
evaluación de riesgos permite al banco entender mejor su perfil de riesgo y
asignar más efectivamente los recursos para la administración de riesgos.
La medición tiene por objeto determinar el cumplimiento de las políticas, los
límites fijados y el impacto económico en la organización, permitiendo a la
administración disponer de controles o correctivos necesarios.
Es necesario anotar que a las Instituciones Financieras no se les exigirá el
desarrollo de sofisticadas metodologías de estimación de necesidades de
capital por riesgo operativo, sino que se busca que las Entidades empiecen a
conformar base de datos con información suficiente y oportuna que ha futuro le
permita estimar las pérdidas esperadas e inesperadas atribuibles a éste riesgo.
Las bases de datos de eventos de pérdida suscitados contendrán información
que debe ser clasificada por línea de negocio:
Eventos de riesgo operativo;
Fallas o insuficiencias por factores de riesgo operativo;
Frecuencia con que se repite cada evento;
Efecto cualitativo de pérdida;
Otra información que las entidades consideren necesaria.
La Base de datos es la “piedra fundamental” en la construcción o desarrollo de
cualquier modelo de cuantificación. En forma particular, una base de datos
poblada de pérdidas operacionales históricas será el input fundamental del
modelo de cuantificación de riesgo operacional y permitirá el traspaso de un
enfoque cualitativo a un enfoque integral (cualitativo-cuantitativo).
- 56 -
Adicionalmente, es importante que la entidad en su base de datos incorpore
información proveniente de fuentes externas, análisis de escenarios basados
en opiniones de expertos y considere factores de control interno con la finalidad
de reconocer mejoras en los deterioros observados en el perfil del riesgo
operativo de la entidad.
Se ha detectado en la banca ecuatoriana que la mayoría de los bancos sufren
por la falta de disponibilidad de datos internos para su proceso de
cuantificación.
La cuantificación permite integrar las etapas del proceso, otorgando mayor
objetividad a la gestión del riesgo operacional y permitiendo una mayor eficacia
en la asignación de recursos para minimizar el impacto de las pérdidas
operativas.
II.III.III Control
Las entidades deben crear una sólida cultura y ambiente de control a través de
un marco de políticas, procesos y procedimientos formalmente establecidos, es
decir, el establecimiento de un sistema de control interno que forme parte
integral de las actividades regulares de la entidad.
Las herramientas cualitativas y cuantitativas que utilice la entidad para
identificar y evaluar los riesgos operativos deben ser utilizadas para establecer
nuevos control, cambiarlos o eliminarlos de acuerdo con el perfil de riesgo de la
entidad.
El propósito de las actividades de control es enfrentar los riesgos operativos
identificados por el banco. Con respecto a todos los riesgos operativos
importantes que fueron identificados, el banco debería decidir si quiere utilizar
procedimientos adecuados para controlar y/o mitigar los riesgos, o si quiere
asumir el riesgo.
- 57 -
Para los riesgos que no se pueden controlar, el banco debería decidir si quiere
aceptar esos riesgos, o si quiere reducir el nivel de las actividades que den
lugar a ese riesgo o si quiere retirar esa actividad completamente.
Los controles implementados deberán ser incorporados en la normativa interna
(políticas, procedimientos, planes y reglamentos), en los sistemas aplicativos y
en la infraestructura tecnológica.
Las medidas de control que se definan, deben considerar el costo de su
implementación frente al impacto esperado con base en la probabilidad de
ocurrencia de cada riesgo.
En concordancia con las prácticas adecuadas para la gestión del riesgo
operativo, se señala que el esquema de gestión del riesgo debe estar sujeto a
revisiones periódicas por parte de auditoría interna, además, enfatiza que ésta
no es la responsable directa del riesgo operativo.
II.III.IV Monitoreo
Los Bancos deberán verificar que existan controles debidamente identificados
para minimizar los riesgos operativos y se evaluarán a través del monitoreo de
los eventos suscitados y pruebas de su cumplimiento. Permite además detectar
las exposiciones al riesgo operativo y corregir rápida y oportunamente las
deficiencias en las políticas, procesos y procedimientos de gestión de ese
riesgo.
La frecuencia del monitoreo debería reflejar los riesgos involucrados y estará
determinada por las características particulares de cada entidad.
El monitoreo debería ser una parte integral de las actividades del banco. Los
resultados del monitoreo se deben incluir en los informes regulares a la
gerencia y directorio, al igual que las revisiones para verificar el cumplimiento
- 58 -
llevadas a cabo por el auditor interno y/o las funciones de administración de
riesgos.
Para el efecto, las entidades controladas deben disponer con un esquema
organizado de reportes que permitan contar con información suficiente y
adecuada para gestionar el riesgo operativo en forma continua y oportuna.
Dichos reportes deben dirigirse a los niveles adecuados de la Institución de
manera que puedan ser analizados con una perspectiva de mejora constante
del desempeño en la administración de riesgo operativo.
Los reportes deberán contener al menos la siguiente información:
Detalle de los eventos de riesgo operativo, agrupados por tipo de evento,
las fallas o insuficiencias que los originaron relacionados con los factores
de riesgo operativo y clasificado por líneas de negocio;
Informes de evaluación del grado de cumplimiento de las políticas
relacionadas con los factores de riesgo operativo y los procesos y
procedimientos establecidos por a Institución; y;
Indicadores de gestión que permitan evaluar la eficiencia y eficacia de
las políticas, procesos y procedimientos.
A fin de asegurar la utilidad y confiabilidad de esos informes de riesgo y
auditoria, la gerencia debe verificar regularmente la oportunidad, exactitud y
relevancia de los sistemas de informes y de los controles internos en general.
La gerencia también puede utilizar informes preparados por fuentes externas
(auditores, supervisores) para evaluar la utilidad y confiabilidad de los informes
internos. Los informes se deben analizar con miras a mejorar el desempeño
actual en la administración de riesgo y a desarrollar nuevas políticas,
procedimientos y prácticas de administración de riesgos.
- 59 -
En general, el directorio debería recibir suficiente información de nivel superior
para que pueda entender el perfil general de riesgo operativo del banco y
centrarse en las implicaciones materiales y estratégicas para las actividades.
II.V. Métodos de Evaluación del Riesgo Operativo: El Comité de Supervisión Bancaria de Basilea reconoce la evolución de los
métodos analíticos para la cuantificación del riesgo operacional, y por lo tanto
no define un método específico. No obstante especifica que el horizonte de
cálculo de pérdidas sea de carácter anual y que la entidad demuestre que el
método seleccionado permite reflejar en la distribución eventos de escasa
probabilidad de ocurrencia pero de alto impacto monetario.
Basilea II con el Nuevo Acuerdo de Capital propone tres métodos de
evaluación del riesgo operacional:
Método Indicador Básico;
Método Estándar; y,
Método de medición avanzada (A.M.A) Advanced Measurement
Approaches.
II.V.I. Método Indicador Básico
Requiere de un sólo indicador de riesgo operativo para la actividad total del
banco. Los bancos que utilicen el Método del Indicador Básico deberán cubrir
el riesgo operativo con un capital equivalente al promedio de los tres últimos
años de un porcentaje fijo (denotado como alfa [15%]) de sus ingresos brutos
anuales positivos. Al calcular este promedio, se excluirán tanto del numerador
como del denominador los datos de cualquier año en el que el ingreso bruto
anual haya sido negativo o igual a cero.
- 60 -
KBIA = [Σ (GI1…n x α)]/n
Donde:
KBIA = la exigencia de capital en el Método del Indicador Básico.
GI = ingresos brutos anuales medios, cuando sean positivos, de los tres
últimos años.
n = número de años (entre los tres últimos) en los que los ingresos brutos
fueron positivos
α = 15%
Por lo tanto el cálculo se lo realiza multiplicando un factor α = 15% por el
promedio de los últimos tres años de los ingresos netos anuales positivos de la
Institución.
II.V.II. Método Estándar
Especifica diferentes indicadores para diferentes líneas de negocios, las
actividades de los bancos se dividen en ocho líneas de negocio y el
requerimiento de capital de cada línea se calcula multiplicando el ingreso bruto
por un factor (denominado beta), que se asigna a cada línea. Estas son las
líneas de negocio y sus betas: finanzas corporativas 18%; negociación y ventas
18%; banca minorista 12%; banca comercial 15%; liquidación y pagos 18%;
servicios de agencia 15%; administración de activos 12%; e intermediación
minorista 12%.
KTSA= {Σ años 1-3 Max [Σ (GI1-8 x β1-8), 0]}/3
Donde:
KTSA = la exigencia de capital en el Método Estándar.
GI1-8 = los ingresos brutos anuales de un año dado, como se define en el
método del indicador básico, para cada una de las ocho líneas de negocio.
- 61 -
β1-8 = un porcentaje fijo, establecido por el Comité, que relaciona la cantidad
de capital requerido con el ingreso bruto de cada una de las ocho líneas de
negocio.
II.V.III. Método de medición avanzado (A.M.A.)
Es la medición interna; que requiere que los bancos utilicen sus datos internos
sobre pérdidas para estimar el capital requerido. Las entidades podrán elegir su
propia metodología en tanto sea lo suficientemente amplia y sistemática, y se
tenga un conjunto satisfactorio de criterios de calificación basado en principios.
Los criterios mínimos son:
El Consejo de Administración o alta dirección se encuentre altamente
involucrados en la vigilancia de su política de gestión de riesgo
operativo;
Sistema de gestión de riesgo operativo conceptualmente sólido y
aplicado en su integridad;
Cuenta con recursos suficientes para aplicarlo en las principales líneas
de negocio, así como en las áreas de control y auditoría; y;
Estándares cualitativos y cuantitativos.
El Comité propone tres enfoques dentro de los métodos de medición avanzada
(AMA) para la determinación del capital regulatorio:
Los modelos de medición interna: El regulador determina el índice de
exposición y un múltiplo, en el cual convierte la pérdida esperada (EL)
en pérdida no esperada (UL), en forma análoga para todo el sector, y
cada entidad obtiene, solamente, estimaciones de la probabilidad de
fallo y de la proporción de pérdida dado por el fallo. Se sustenta en datos
de pérdida internas, datos de pérdida externa, análisis de escenarios y
factores de ambiente de negocios y control interno.
Los modelos de distribución de pérdidas: Es el modelo del VaR
(Value at Risk) por línea de negocio y tipo de evento de pérdida, en
donde el VaR total es la suma de los VaR de todas las combinaciones
- 62 -
sin considerar correlaciones. Su cálculo está basado en pérdidas
históricas mínimo de 5 años de datos (3 años al empezar el AMA se
acepta), la recogida de datos debe abarcar todas las actividades en una
base con información de importe, fecha, recuperación y causas
Los modelos de cuadros de mando (tarjetas de puntaje): Se calcula
un nivel de riesgo tomando como base toda la estadística de eventos de
pérdida disponible para la entidad y se distribuye por línea de negocio,
en función de un cuadro de mando diseñado expresamente y que
contiene el seguimiento de ciertas medidas de control.
El capital regulatorio del AMA está dado por la suma de la pérdida esperada
(EL) y la no esperada (UL). En caso que la entidad pueda demostrar que se
está registrando apropiadamente la pérdida esperada, entonces podrá
disminuir este monto a únicamente la pérdida no esperada.
En este sentido, las metodologías AMA, más sensibles al riesgo, pero a la vez
más costosas y complejas se encuentran con un gran obstáculo para su
aplicación, que es la no disponibilidad de una base de datos interna de
pérdidas.
La metodología para determinar el requerimiento de capital por riesgo
operacional utilizando los AMA es semejante al concepto de VaR (Value at Risk
o Valor en Riesgo), propio del riesgo de mercado, su cálculo está basado en
pérdidas históricas mínimo de 5 años de datos (3 años al empezar el AMA se
acepta), la recogida de datos debe abarcar todas las actividades en una base
con información de importe, fecha, recuperación y causas. A partir de la
estimación de la distribución de pérdidas agregadas, el requerimiento de capital
exigido por Basilea es el que acumula el 99,9% de las pérdidas en un año. Es
decir, la entidad debe demostrar suficiente capital para absorber las pérdidas
que surjan en el plazo de un año en el 99.9% de los casos, exponiéndose a
una insuficiencia en el 0,1% de los casos restantes
- 63 -
CAPÍTULO III
APLICABILIDAD DEL NUEVO ACUERDO DE CAPITAL DEL COMITÉ DE BASILEA PARA EL CASO ECUATORIANO El nuevo acuerdo de capital pretende diseñar nuevas formas uniformes de
controlar la suficiencia de capital. La finalidad del nuevo acuerdo es equilibrar la
solvencia de las entidades con elementos claves de los riesgos bancarios
ofreciendo incentivos para que los bancos mejoren sus capacidades de medir y
administrar estos riesgos.
El espíritu del Nuevo acuerdo de capital conlleva a la determinación del real
patrimonio económico de las entidades financieras a través de las exigencias
de capital por concepto de riesgos de crédito, riesgos de mercado y riesgos
operativos, que permitan fomentar al máximo la solidez de los sistemas
financieros.
Para ello la puesta en marcha del nuevo acuerdo de capital permitirá obtener
importantes beneficios de interés público, sustentado en torno a tres
dimensiones importantes:
Requisitos de capital mínimo
Proceso de examen Supervisor
Disciplina de mercado
III.I. Diagnóstico de requerimientos mínimos de capital Los bancos deberán contar con un nivel patrimonial suficiente para amortiguar
las pérdidas que le puedan generar sus operaciones en los mercados
financieros, en materia de riesgos de crédito, riesgos de mercado y riesgos
operativos.
- 64 -
El modelo reconoce, para efectos de cálculo del requerimiento de capital la
utilización de modelos internos para medición de riesgo de crédito (IRB) y del
riesgo operativo (AMA), o la utilización de metodologías estándar en las que el
supervisor determina los parámetros para las mediciones de los riesgos y para
los requerimientos de capital.
Todos los modelos suponen la existencia de una base de datos históricas que
sirvan para obtener información estadística. Este dato es importante por el
impacto en la cadena de valor institucional. La banca ecuatoriana aún está en
proceso de construcción de datos y de información que permita viabilizar la
evaluación del riesgo operativo.
Interpretaríamos que el Nuevo Acuerdo de Capital no contribuye a igualar las
condiciones de competencia no sólo internacional sino en nuestro mercado
ecuatoriano, con efectos macroeconómicos importantes para una economía
pequeña y vulnerable como la nuestra, especialmente ante shocks externos
derivados principalmente por la volatilidad del precio del petróleo, de las tasas
de interés, variación de los precios dentro de una economía dolarizada y a la
exposición a eventos de catástrofes naturales.
Desde éste punto de vista estratégico institucional, se ha de decir que el nuevo
acuerdo supone para el supervisor cambios importantes, ya que en primer
lugar convierte en prioritaria la mejora continua del personal, tanto en el manejo
de riesgos como en la calidad de la inspección. De hecho, el nuevo acuerdo
supone la supervisión preventiva sea más eficiente ya que la información
histórica permitirá hacer estimaciones del futuro con mayor probabilidad de
éxito.
De implementarse el nuevo acuerdo de capital, también el perfil estratégico del
personal de riesgos y supervisión deberá cambiar, ya que requerirá una mayor
formación profesional a nivel matemático y estadístico, con el propósito de que
sean capaces de conocer cuáles son las herramientas que usa el supervisado
- 65 -
y para poder efectuar con propiedad las funciones propias del organismo de
control.
III.II Diagnóstico del examen del supervisor
Entendiendo el proceso de medición de requerimientos de capital establecido
en el nuevo acuerdo, como un proceso estratégico atado a los objetivos
fundamentales de cada institución y que debe ser considerado en la
planificación de las entidades, se ha evidenciado por parte de las revisiones
realizadas a las Entidades por la Superintendencia de Bancos y Seguros, que
varios planes estratégicos presentados por las instituciones supervisadas, se
desprende que dichas herramientas de gestión llevan un alto grado de visión
comercial, sin destacar aspectos de control de riesgo. Eso lleva a pensar que la
visión estratégica de las entidades ecuatorianas apunta permanentemente a su
crecimiento en el mercado y a la definición de actividades y productos que
permitan mejorar su posicionamiento y rentabilidad. Los aspectos referentes al
control de riesgos y determinación de un adecuado nivel de capital, son temas
que no han merecido atención en la estrategia corporativa de las entidades.
La implementación del nuevo acuerdo, requiere de un cambio de enfoque de
gestión de las unidades encargadas de la evaluación de los controles internos
de las Instituciones. El proceso demandaría que los exámenes efectuados
incluyan evaluaciones respecto a la adecuación del capital del banco en
función de la naturaleza y complejidad de sus actividades, la identificación de
grandes exposiciones y concentraciones de riesgos, la exactitud de los datos
utilizados como inputs en el proceso de evaluación, la razonabilidad y validez
de los escenarios utilizados y la realización de pruebas de tensión con el
análisis de los supuestos y los inputs. De acuerdo a lo observado en nuestro
caso, se puede determinar que en muchas ocasiones los auditores internos y
externos están enfocados a trabajos muy limitados.
- 66 -
Dadas las limitaciones actuales frente a la capacidad requerida de supervisión
en un entorno de aplicación del nuevo acuerdo de capital en el Ecuador, sería
necesario que dentro de un cronograma de aplicación paulatina de éste nuevo
acuerdo, se considere adicionalmente un plan de acción para elevar las
habilidades y capacidades técnicas de los funcionarios de la Superintendencia
de Bancos y Seguros a fin de que a más de un bagaje de conocimientos
teóricos, éstos cuenten con el criterio suficiente que les permita diferenciar y
emitir un razonable pronunciamiento en relación a lo adecuado o no de las
metodologías internas y los procesos utilizados por los bancos para la
evaluación de su posición de riesgo, su suficiencia y calidad de capital y la
calidad de gestión y control de riesgo.
III.III Diagnóstico de la Disciplina de Mercado
En lo referente a riesgos de mercado, el nuevo acuerdo no efectúa
modificaciones importantes, en el cual se conceptualizan tres tipos de riesgos
de mercado:
Riesgo de los precios de mercado
Riesgo de tasa de intereses
Riesgo de tipo de cambio
Dentro de nuestra legislación se han incorporado regulaciones que tiendan a
medir, controlar e incorporar los riesgos de liquidez y de mercado. Es así que,
consciente de la importancia que el supervisor bancario debe asignar a la
evaluación de estos riesgos se expidieron resoluciones para dar tratamiento a
que las instituciones financieras deben dar al control de los riesgos de
mercado, o a la probabilidad de que el valor de una inversión, un activo o un
pasivo varíe negativamente como natural consecuencia de la actividad de
intermediación financiera que las entidades realizan al recibir depósitos y
financiar a los sujetos de crédito a distintos plazos y tasas de interés, así como
el hecho de que operan con distintas monedas.
- 67 -
El nuevo acuerdo hace referencia a la necesidad de que los bancos entreguen
información al mercado para que este pueda evaluar los niveles de riesgo y la
forma que cada banco tiene para administrarlos.
Respecto al cumplimiento de los requisitos de divulgación correspondiente al
ámbito de aplicación conforme a la normativa vigente en el país acerca de
grupos financieros debe fortalecerse la forma de transparencia de la
información no solo con reglas de revelación de información, sino también con
un profundo trabajo en educación y creación de una cultura de uso e
interpretación de la información revelada y la despolitización del uso de la
misma. A pesar de la resistencia evidenciada por parte de los intermediarios
financieros en lo que corresponde al suministro de información por parte de las
instituciones financieras, está dando ya frutos.
Una consideración general de importancia respecto a la disciplina de mercado,
está en determinar si los canales actualmente utilizados (publicaciones en
prensa de estados financieros por parte de las instituciones financieras, en
páginas Web) verdaderamente llegan a los agentes del mercado y si la
información transmitida cumple con el objetivo de claridad y comprensión que
sebe ser inherente.
III.IV Efectos del Nuevo Acuerdo de Basilea II Para comprender los efectos del Nuevo Acuerdo de Basilea II se deberá tener
claro ciertas consideraciones.
Basilea II, presentado por primera vez en el mes de Junio de 1999 y cuyo
documento definitivo fue publicado en el mes de Junio 2004 tiene como
objetivo principal lograr una medición del capital regulatorio más sensible al
Riesgo, complementada con la profundización del proceso de supervisión
bancaria y de disciplina de mercado, refleja mejor los riesgos de la banca y
ofrece mayores incentivos para mejorar la gestión de riesgos mientras que
Basilea I se basaba en un enfoque de tipo contable (Acuerdo de 1988).
- 68 -
Para este logro será necesario adaptar mejor los requisitos de capital al riesgo
de pérdidas e introducir una nueva exigencia de capital para exposiciones al
riesgo de pérdida causada por fallas de operación.
Si el nivel de capital es demasiado bajo, es posible que el banco no pueda
absorber pérdidas elevadas. Los niveles excesivamente bajos de capital
incrementan el riesgo de quiebras bancarias que, a su vez, podrían poner en
peligro los fondos de los depositantes.
Un nivel de capital demasiado alto, en cambio, podría impedir que el banco
utilice eficazmente sus recursos y restringir su capacidad de otorgar crédito.
La meta general de Basilea II es promover la capitalización adecuada de los
bancos y estimular mejoras en la gestión de riesgos, fortaleciendo así la
estabilidad del sistema financiero, mediante la introducción de "tres pilares" que
se refuerzan el uno al otro y que crean incentivos para que los bancos
aumenten la calidad de sus procesos de control.
El primer pilar representa un fortalecimiento significativo de los requerimientos
mínimos estipulados en el Acuerdo de 1988, mientras que los pilares dos y tres
representan adiciones innovadoras a la supervisión del capital.
III.IV.I. Beneficio global de la propuesta de Basilea II
El beneficio global de la propuesta de Basilea II se lo podría resumir en los
siguientes aspectos relevantes:
Creación de incentivos para mejorar los procedimientos de evaluación
de riesgos.
Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos
de riesgo.
Cambio cultural: Necesidad de concienciar a la dirección.
- 69 -
La administración de riesgos requerirá nuevas y sofisticadas
herramientas de información, y
Las necesidades de información requieren grandes inversiones en
tecnología.
Una importante contribución del Acuerdo de Basilea II ha sido la creación de
incentivos para mejorar las técnicas de manejo de riesgo utilizadas por los
bancos para la evaluación de la calidad de los activos de sus portafolios.
Cualesquiera que sean los méritos o problemas específicos del Nuevo
Acuerdo, ha aumentado el grado de concientización tanto de los bancos como
de los supervisores en cuanto a los beneficios de una mejor alineación del
capital bancario con los riesgos reales de los activos de los bancos.
Los efectos de la modernización de los sistemas internos de los bancos en
cuanto al manejo y evaluación de riesgos podrían ser potencialmente extensos
no solo para mejorar la eficiencia y la capacidad global de los bancos sino para
garantizar la estabilidad del sistema financiero.
Sin embargo, el desarrollo de una cultura adecuada en la práctica de la
evaluación de riesgos y el mejoramiento de los modelos de riesgo internos,
implica inversiones significativas que, al menos a corto plazo, podrían requerir
un importante apoyo financiero que superaría las asignaciones actualmente
incluidas en los presupuestos fiscales.
Por consiguiente, para lograr el objetivo de mejorar las operaciones de manejo
de riesgo, se recomienda que el Comité promueva activamente acuerdos entre
supervisores locales y los supervisores nacionales de las subsidiarias
extranjeras para la capacitación e intercambio de experiencias
.
- 70 -
III.IV.II. Limitantes para la implementación del Basilea II
Ahora bien, dentro de los limitantes para implementar el Nuevo Acuerdo de
Capital que se puedan identificar al momento son:
Estructura organizacional de las instituciones financieras, la organización
de las instituciones financieras en su mayor parte carece de una
orientación con identificación de procesos y factores de riesgo.
El Gobierno Corporativo de las Instituciones financieras no ha generado
una estrategia de negocio bajo las definiciones de posiciones de riesgo a
asumir, capital en riesgo y niveles de retorno.
Falta de capacidad técnica de supervisores y supervisados.
No existen bases de datos históricas que permitan la aplicación de
modelos, además los sistemas de información no se encuentran
preparados para conformar las bases de datos necesarias para
identificar comportamientos que determinen o sugieran las
probabilidades de ocurrencia de los factores de riesgo.
La inestabilidad macroeconómica y la alta volatilidad de los mercados,
tampoco permite obtener los datos históricos confiables que permita
modelar los parámetros que se necesitan para los cálculos de
requerimientos de capital por probabilidades de incurrir en pérdidas
inesperadas.
Ausencia de estimaciones eficientes de los precios y por lo tanto de las
curvas de rendimientos referenciales, lo cual está relacionado con un
mercado de capitales insipiente.
- 71 -
Es necesario realizar las adecuaciones normativas y de orientación del
esquema supervisión para algunos aspectos tratados en el nuevo
acuerdo.
III.V Comentarios Superintendencia de Bancos y seguros acerca de la aplicabilidad del nuevo acuerdo.
La Superintendencia de Bancos y Seguros del Ecuador respalda los principios
fundamentales del acuerdo de Capital de Basilea porque considera que la
seguridad de los depositantes y clientes del sistema financiero debe estar
garantizada mediante una supervisión que permita medir los riesgos reales de
las operaciones bancarias, pero promoviendo prácticas que tiendan a reducir
las brechas con los bancos internacionalmente activos.
El efecto final para el sector financiero ecuatoriano será de mayores
requerimientos de capital en comparación con países más desarrollados,
siendo necesaria para una utilización adecuada de estos mecanismos la
realización de esfuerzos para mejorar la capacidad de administración de
riesgos del sector así como de los supervisores.
Basilea II está dirigido a bancos internacionales, no se dirige al sistema
financiero ecuatoriano, que es pequeño y la repercusión que tiene en el
sistema internacional es mínima, por lo tanto el Ecuador está a favor de un
marco normativo que se adecue a la realidad de nuestros mercados, estamos a
favor de una adecuación de capital en función de los riesgos internos del
balance, pero además se deberá considerar la inestabilidad macroeconómica
que tenemos y para la cual Basilea II no se manifiesta, por esta razón debemos
promover una supervisión basada en riesgos y en escenarios de estrés.
El marco normativo debe ser flexible, abierto a mejoras, en el que se evalúen
periódicamente el alcance de las nuevas normas en la macroeconomía, ya que
- 72 -
se debe velar para que los requerimientos de capital no empeoren a la
situación económica del país, ya que el empeoramiento de la economía
aumenta el riesgo de crédito, restringe el crédito y por lo tanto aumenta la
recesión.
- 73 -
CAPÍTULO IV
IMPLEMENTACIÓN DE LA GESTIÓN RIESGO OPERATIVO EN INSTITUCIONES FINANCIARAS ECUATORIANAS
IV.I Proceso de elaboración, discusión y emisión de la norma: Resolución JB- 2005-834
El Comité de Supervisión bancaria de Basilea, con el fin de establecer un
marco que fortalezca en mayor medida la estabilidad de los sistemas
financieros recomienda a las entidades la adopción de prácticas adecuadas
para la gestión de riesgos y a los supervisores bancarios la necesidad de exigir
y vigilar su cumplimiento.
El sistema financiero ecuatoriano no ha sido ajeno a las pérdidas generadas
por la falta o la inadecuada administración del riesgo operativo como las que se
presentaron en la crisis financiera que vivió el Ecuador hace ocho años
aproximadamente y que fueron ocasionados por fallas e insuficiencias en los
procesos, en las personas y en la tecnología de información.
Bajo esa perspectiva, mediante Resolución No. JB-2004-631 del 22 de Enero
del 2004, la Junta Bancaria emitió la norma relacionada con “La gestión integral
y control de riesgos”, que demanda a las instituciones financieras administrar
los riesgos a los que se encuentran expuestas, incluyendo el riesgo operativo,
a través de un proceso formal que permita su identificación, medición, control y
monitoreo.
Con este antecedente la Superintendencia de Bancos y Seguros emitió el 20
de Octubre del 25 la Resolución No. JB-2005-834 que contiene la norma
“Gestión de Riesgo Operativo”, cuyo objetivo es contribuir a la solidez y
seguridad del sistema financiero mediante una administración adecuada del
- 74 -
riesgo operativo que deben llevar a cabo las instituciones controladas con la
excepción de algunas cooperativas de ahorro y crédito pequeñas ubicadas en
lugares específicos ya que debido a su tamaño, estructura y organización no
fue posible que éstas cooperativas cumplan con los requerimientos dispuestos
en la resolución.
Siguiendo la línea de transparencia del organismo de control en el proceso de
elaboración, discusión, emisión de la norma de riesgos operativos, luego de
que está fue concluida y revisada al interior de la Superintendencia de Bancos
y Seguros fue puesto a consideración del sistema financiero a través de los
organismos representantes de las entidades financieras ecuatorianas, con el fin
de recibir comentarios y sugerencias y de esta forma, sentar las bases que
permitan un efectivo cumplimiento de las disposiciones que se plantean en la
norma por parte de las entidades financieras; y adicionalmente, dar
cumplimiento a las recomendaciones internacionales efectuadas respecto a
que los organismos supervisores consulten públicamente a sus entes
controlados sobre las propuestas para realizar y enmendar regulaciones o
proveer guías generales.
Considerando la realidad del sistema financiero ecuatoriano, las disposiciones
del organismo de control se orientan a exigir de las entidades requisitos
mínimos para la administración de cada uno de factores del riesgo de
operación como son procesos, personas, tecnología de la información y
eventos externos.
La norma está orientada a promover y guiar a las entidades en el desarrollo de
un apropiado ambiente de gestión del riesgo operativo, guardando coherencia
con los lineamientos establecidos por el Comité de Basilea.
La elaboración de la norma se la realizó en función de los resultados de la
encuesta que se efectuó a las entidades financieras controladas, los principios
recomendados por el Comité de Basilea a través del Documento “Prácticas
- 75 -
adecuadas para la gestión y supervisión de los riesgos de operación”, los
aspectos relevantes de la “Administración de procesos”, y para la
“Administración del Recurso Humano”, y, para el caso de tecnología de
información se ha observado las especificaciones del “ Código de práctica para
la administración de la seguridad de la información”, contenidas en las normas
ISO 17799.
La norma ecuatoriana sobre riesgo operativo se la puede resumir en tres
aspectos fundamentales:
La definición del riesgo operativo y los requisitos mínimos que deben
cumplir las entidades respecto a los factores del riesgo operativo;
La exigencia de un esquema de administración del riesgo operativo; y,
El establecimiento de las responsabilidades en la administración del
riesgo operativo.
La implementación de las disposiciones previstas en la norma no deberá
exceder de los siguientes plazos:
Para los grupos financieros; y, para los bancos o sociedades financieras
que no forman parte de un grupo financiero, las compañías de
arrendamiento mercantil, las compañías emisoras y administradora de
tarjetas de crédito, las corporaciones de desarrollo de mercado
secundario de hipotecas, las instituciones financieras públicas hasta el
31 de Octubre del 2008; y,
Para las cooperativas de ahorro y crédito que realizan intermediación
con el público y las asociaciones mutualistas de ahorro y crédito para la
vivienda, hasta el 31 de Octubre del 2009. Esta fecha podrá ser
modificada por el Superintendente de Bancos y Seguros, considerando
el tamaño de la Institución, la estructura organizacional, la cobertura
geográfica y la complejidad de sus operaciones.
- 76 -
IV.II Situación actual de la gestión de Riesgo Operativo en la Entidad Financiera en estudio La banca ecuatoriana ha tomado mayor conciencia sobre la importancia de
Riesgo Operativo y un gran interés por la mejora de sus sistemas de control
interno y operativo, y para ello se encuentran implantando las exigencias de un
marco de gestión de riesgo operativo en su organización.
De acuerdo a investigaciones en el ámbito bancario puedo indicar que la
mayoría de las instituciones financieras se encuentran en la etapa preliminar
del diseño de lo que denominamos un “Marco de Gestión de Riesgo Operativo”,
sólo el 40% de la Banca Ecuatoriana están próximos a terminar su proyecto de
implementación de Riesgo Operativo, tomando en consideración que han
extendido la fecha de finalización para el 31 de Enero del 2009.
El proyecto dio inicio en la Institución financiera en estudio (en adelante banco)
en el año 2006 con la validación y revisión de todos los procesos del banco
para lo cual se contrató los servicios de terceros para el desarrollo del
diagnóstico de la situación actual para dar cumplimiento a la resolución en
cuanto indica que las entidades financieras deben de desarrollar un diagnóstico
de situación, el mismo que fue entregado dentro de las fechas establecidas (30
de Abril del 2006) al organismo de control.
El grado de avance en la gestión del Riesgo Operativo, dentro del Marco de
Gestión de Riesgo Operativo, es menor respecto de la administración de los
riesgos de crédito y mercado. Sin embargo es de destacar el creciente interés
demostrado en este ámbito por la Institución financiera.
Por cada uno de los elementos se presentan las recomendaciones, tareas y/o
actividades a desarrollar por el Banco con el objeto de cumplir con las
exigencias requeridas por la SIBS (Superintendencia de bancos y seguros) en
su Resolución No JB-2005-834 del 11 de Octubre del 2005, estableciendo de
- 77 -
ésta forma las diferentes acciones que se deberían de realizar para la
implementación de la gestión de riesgo operativo dentro de la entidad.
Para el efecto se desarrollaron entrevistas con los responsables de cada una
de las áreas relacionadas directamente con la administración del riesgo
operativo, con el objetivo de obtener una visión amplia de las políticas,
procedimientos utilizados por el banco para administrar sus riesgos operativos,
además de conocer los roles y responsabilidades de los distintos sectores ante
la gestión del riesgo y la infraestructura que existe para poder soportar los
desarrollos futuros y la situación actual respecto de acciones de mitigación
específicas.
El diagnóstico de situación actual fue desarrollado en el año 2006 en forma
independiente para cada elemento analizado, entre los cuales podemos
mencionar:
Gestión de riesgo operativo;
Factor de riesgo operativo procesos;
Factor de riesgo operativo personas;
Factor de riesgo operativo tecnología de información; y;
Factor de riesgo operativo eventos externos
- 78 -
Diagnóstico situación actual de la Gestión de Riesgo Operativo
A la fecha del análisis, en el banco existe una Unidad de Gestión Integral de
Riesgo, focalizada especialmente en la gestión de los riesgos de crédito y
mercado. La Unidad de Administración Integral de Riesgos cuenta con
jerarquía y autonomía propia, sin estar supeditada a ningún área de negocio y
reporta directamente a la Gerencia General. Los miembros son independientes
de cualquier área operativa o comercial, con excepción del representante legal.
En banco no tiene una política de gestión de riesgos operativos formalmente
establecida ni aprobada por el directorio que defina, entre otras cosas, el nivel
de riesgo aceptado, roles y responsabilidades y procesos a desarrollar para
gestionar oportunamente los riesgos operacionales.
De igual manera el banco no posee un proceso (metodología) formalmente
definido de gestión de riesgos operativos del cual, la identificación de eventos
de riesgos y la determinación de las fallas o insuficiencias sea parte integral.
El banco no cuenta con base de datos diseñados para el registro de eventos de
riesgos operativos.
Seguimiento al cronograma de implementación de la Gestión de Riesgo
Operativo
En la actualidad el banco está fortaleciendo su estructura para lo cual se ha
incorporado a la Unidad de Riesgos nuevos cargos, se cuenta con dos
ejecutivos de riesgo operacional y dos asistentes los cuales tendrán la función
de desarrollar la gestión de riesgo operativo.
- 79 -
Aún se está por considerar dentro del Banco, como lo pide la resolución una
estructura de tres líneas de defensa para desarrollar una adecuada y oportuna
gestión integral de riesgos. La primera linea de defensa corresponde a las
unidades de negocio, la segunda linea a la unidad de gestión integral de riesgo
y la tercera, al área de auditoría interna.
El banco ha diseñado formalmente la política de gestión de riesgo operativo, en
la cual se encuentran definidos los roles y responsabilidades del Directorio,
Comité de Riesgos y de la Unidad de riesgos, éstas políticas están
debidamente aprobado por el Directorio.
El banco ha desarrollado una metodología para la identificación de los eventos
de riesgos operativos y fallas o insuficiencias en los procesos, personas,
tecnología de la información y eventos externos, agrupando los diferentes tipos
de eventos de acuerdo a la clasificación propuesta en la regulación.
El personal de la Unidad de Riesgo Operativo tiene absoluta conciencia que la
identificación de eventos es la base de las actividades de evaluación de riesgos
y respuesta a ellos.
Para lo cual el banco ha diseñado una base de datos para registrar, ordenar,
clasificar los eventos de riesgo operativo, sus fallas e insuficiencias, dicha
información contenida en la base de datos debe permitir la determinación de la
frecuencia de la ocurrencia de eventos y el impacto de la pérdida producida.
La gráfica muestra el avance real registrado hasta el 30 de Septiembre del
2008 que se encuentra en el 76%, contra un avance previsto del 97%, teniendo
una brecha del 21%. Los proyectos pendientes, los mismos que están en
desarrollo, básicamente corresponden a Seguridad de la Información, la
implementación del Plan de Continuidad del Negocio y las políticas y
procedimientos para la medición de procesos.
- 80 -
Proyecto Implementación Gestión de Riesgo Operacional
97%
76%
21%
-5%
10%
25%
40%
55%
70%
85%
100%
Dic-31-07
Ene
-31-07
Feb
-28-07
Mar-31-07
Abr-30-07
May
-31-07
Jun-30-07
Jul-3
1-07
Ago
-31-07
Sep
-30-07
Oct-31-07
nov-30-07
Dic-31-07
Ene
-31-08
Feb
-29-08
Mar-30-08
Abr-30-08
May
-30-08
Jun-30-08
Jul-3
1-08
Ago
-31-08
Sep
-30-08
Avances
% d
e A
van
ces
Avance Previsto Avance Real Brecha
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Diagnóstico situación actual factor de riesgo operativo
“Procesos”
El banco no cuenta con un enfoque de procesos ni tampoco con una
clasificación de los mismos, no se ha asignado los procesos a líneas de
negocio, y falta por documentar procesos y elaborar.
En cuanto a la administración de procesos, no cuenta con políticas
formalmente establecidas, que aseguren el adecuado diseño, control,
actualización y seguimiento de procesos. Además, cuenta con un inventario de
procesos que no contiene toda la información requerida ya que no define
responsables ni clientes internos y externos entre otros.
- 81 -
Seguimiento al Factor Procesos Actualmente el banco ha agrupado sus procesos en Gobernantes, Productivos
y de Apoyo tal como lo establece la resolución, considerando cada uno de los
conceptos enunciados en dicho apartado.
El banco ha identificado las líneas de negocio clasificándola en Banca de
personas, banca de empresas y Banca institucional con la finalidad de poder
obtener información para análisis a través de estos indicadores.
Linea de Negocio que Podría afectarse
0
50
100
150
200
250
300
Banca de
Personas
Banca de
Empresas
Banca
Institucional
Linea de Negocio
Ca
nti
da
d d
e E
ve
nto
s
Banca de Personas
Banca de Empresas
Banca Institucional
INDICADORES DE RIESGO OPERATIVOINDICADORES DE RIESGO OPERATIVO
LINEA DE NEGOCIOLINEA DE NEGOCIO
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
La gráfica muestra que existe una mayor cantidad de eventos de riesgos
concentrada en la línea de banca de personas, luego le sigue banca de
empresas y finalmente banca institucional.
- 82 -
Una vez que se definieron todos los procesos del banco, se procedió a
identificar los procesos críticos considerando aquellos provistos por terceros y
se está desarrollando los planes de continuidad para asegurar la capacidad del
banco para responder ante situaciones severas de interrupción del negocio,
mitigando así el riesgo de incumplimiento a los clientes internos y externos, con
el fin de asegurar la continuidad de las operaciones.
Una vez documentada y revisadas las políticas que aseguran claramente el
diseño, control y definición de responsables, actualización y seguimiento de los
procesos, relevantes para el contexto estratégico de la organización, para sus
metas, objetivos y naturaleza del negocio, son presentadas al Directorio para
su aprobación.
En una primera fase se han implementado las siguientes acciones:
Diseño y descripción de los procesos;
Determinación de los responsables de los procesos y sus funciones;
Inventarios de procesos actualizados, y;
Difusión y comunicación de los procesos.
Aún está por desarrollar una segunda fase que implique la medición y gestión
de los procesos y la actualización y mejora continua.
El banco considera para un correcto análisis y control de segregación de
funciones lo siguiente:
Analizar las funciones claves del proceso;
Analizar el impacto por pérdida o ausencia del personal responsable del
proceso, y;
Evaluar el costo/beneficio de contar con personal back-up en las áreas
críticas.
- 83 -
El factor procesos tiene un avance del 67% contra un 100%, el mismo que
debió haberse concluido. Se deben establecer nuevas fechas acorde a la
ejecución de las actividades, mismas que se han atrasado debido al proyecto
de documentación formal de todos los procesos del Banco. El principal tema
pendiente es la definición de políticas, procesos y procedimientos para la
administración de procesos, mismos que deben contemplar el diseño,
medición, control, definición de responsables, actualización y seguimiento de
los procesos.
Proyecto Implementación Gestión de Riesgo Operacional
100%
67%
33%
0%
15%
30%
45%
60%
75%
90%
Dic-31-07
Ene-31
-07
Feb
-28-07
Mar
-31-07
Abr-30
-07
May
-31-07
Jun-30-07
Jul-31
-07
Ago-31
-07
Sep
-30-07
Oct-31-07
nov-30
-07
Dic-31-07
Ene-31
-08
Feb
-29-08
Mar
-30-08
Abr-30
-08
May
-30-08
Jun-30-08
Jul-31
-08
Ago-31
-08
Sep
-30-08
Factor Procesos
% d
e A
van
ces
Avance Previsto
Avance Real
Brecha
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
La Unidad de Gestión de Procesos ha identificado 454 procedimientos
contenidos en 97 manuales, de los cuales ya se encuentran documentados y
aprobados 410 contenidos en 76 manuales, es decir, que se encuentra
documentado el 78% de los procesos.
Aún falta la definición del inventario de los procesos de Continuidad del
Negocio, Seguridad Bancaria y de los Procesos Gobernantes.
- 84 -
Procedimientos
454
410
0
100
200
300
400
500
Ene-07
Feb-07
Mar-0
7
Abr-07
May-
07
Jun-
07
Jul-0
7
Ago-07
Sep-07
Oct
-07
Nov
-07
Dic-
07
Ene-08
Feb-08
Mar-0
8
Abr-08
May-
08
Jun-
08
Jul-0
8
Ago-08
Sep-08
Fecha
Ca
nti
da
d d
e P
roc
ed
imie
nto
s
Total
Terminados
Fuente: Entidad Financiera (caso de estudio)
Elaborado por: Autora de la monografía
97 Manuales de Procedimientos
Terminados; 76
78%
En Desarrollo; 21
22%
En Desarrollo Terminados
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Respecto a los 31 manuales de procedimientos de Continuidad que se han
identificado, sólo se ha aprobado 1 manual, correspondiente al 3%.
Administración de Procesos, Seguridad Bancaria y la Unidad de Continuidad de
Negocios, han dado máxima prioridad para el desarrollo de esta
documentación.
- 85 -
31 Manuales de Procedimientos de Continuidad
Terminados
1
3%
Desarrollo
30
97%Desarrollo Terminados
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Diagnóstico situación actual factor de riesgo operativo
“Personas”
A la fecha del análisis el banco contaba con políticas documentadas para sus
procesos de selección (reclutamiento, selección y contratación), inducción y
seguimiento, capacitación, evaluación de desempeño y desvinculación, pero
las mismas no estaban separadas, clasificadas y agrupadas como lo pide la
norma así como también no se encuentran aprobadas por el Directorio.
El banco tiene un reglamento interno de trabajo el cual tiene por objetivo
garantizar y regular el normal desenvolvimiento de las relaciones laborales y
contractuales de todo el personal, en un ambiente de respeto, cordialidad y
colaboración, así como promover el cabal cumplimiento de las obligaciones de
los empleados para la justa exigencia de derechos.
En banco no posee un mecanismo para evaluar periódicamente si el perfil
técnico funcional, organizacional y gerencial de su personal es idóneo para el
cargo que está desempeñando (análisis de competencias), si bien es cierto
dentro del banco existe un proceso de evaluación del postulante, del
desempeño y de resultados cuantificables a nivel de áreas de negocios, no
existe un proceso de evaluación individual para el resto del personal.
- 86 -
El banco posee una base de datos con la información de su personal como
hoja de vida, capacitación brindada, historial académico, entre otras, la misma
que se encuentra actualizada.
Seguimiento al Factor Personas
En la actualidad el banco cuenta con la documentación adecuada de las
políticas de planificación y administración del capital humano, diferenciándolas
de sus procesos a fin de dar cumplimiento a la resolución de la Junta Bancaria,
contemplando las políticas de incorporación, permanencia y desvinculación del
personal.
Todas las políticas y procedimientos desarrollados han sido debidamente
aprobados por el Directorio.
Aún el banco está en el desarrollo de la implementación de un método de
selección y evaluación por competencias que pueda constituirse en una
herramienta eficiente de medición de las habilidades, conocimientos y
capacidades con los que aporta el personal para la consecución de los
objetivos, el desarrollo y el crecimiento del capital humano.
Para lo cual el banco deberá emplear mecanismos para realizar evaluaciones
técnicas funcionales, organizacionales y gerenciales periódicas a los
funcionarios a fin de determinar si son idóneos para el cargo que éstos
desempeñan.
Internamente el avance real registrado hasta el 30 de septiembre del 2008 es
del 77%, contra un avance previsto del 100%, encontrándose pendientes los
siguientes puntos:
o Incluir competencias técnicas, funcionales, organizacionales y
gerenciales en la definición de cargos;
- 87 -
o Incluir los valores, actitudes y habilidades personales deseables en la
definición de cargos.
Proyecto Implementación Gestión de Riesgo Operacional
100%
77%
23%
0%15%30%45%
60%75%90%
Dic-3
1-07
Ene-
31-0
7
Feb
-28-07
Mar
-31-07
Abr-30
-07
May
-31-
07
Jun-30-07
Jul-31
-07
Ago-
31-0
7
Sep
-30-
07
Oct-3
1-07
nov-30
-07
Dic-3
1-07
Ene-
31-0
8
Feb
-29-08
Mar
-30-08
Abr-30
-08
May
-30-
08
Jun-30-08
Jul-31
-08
Ago-
31-0
8
Sep
-30-
08
Factor Personas
% d
e A
van
ces
Avance
Previsto
Avance
Real
Brecha
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Diagnóstico situación actual factor de riesgo operativo “Tecnología de la
información”
Al momento del análisis (año 2006), el banco cuenta con procedimientos y
políticas que no están orientados a procesos, es decir, bajo el esquema de
actividades, tareas, responsables y controles identificados de acuerdo a las
exigencias de la resolución y además no poseen las debidas aprobaciones del
Directorio.
El banco cuenta con políticas de seguridad de la información las cuales
consideran:
Directrices para desarrollar una evaluación de riesgos; y;
Estándares generales que rigen la administración y manejo de la
seguridad.
- 88 -
No obstante lo anterior, la documentación actual no considera la identificación
de los requerimientos de seguridad a nivel de requisitos legales, normativos,
reglamentarios y contractuales.
Adicionalmente se puede mencionar que no se ha realizado formalmente una
evaluación de riesgos en el banco, de acuerdo al detalle y frecuencia que
indican las políticas de seguridad del banco.
En el banco no se han establecido formalmente los niveles de autorización de
accesos para todos los cargos y roles de usuarios que utilizan los sistemas de
aplicativos.
Seguimiento al Factor Tecnología de la Información
En la actualidad el banco ha documentado todas sus políticas y procedimientos
siguiendo los lineamientos de la normativa.
Se han establecido formalmente los niveles de autorización de accesos y
funciones de procesamiento en todos los sistemas aplicativos del banco,
involucrando los propietarios de información respectivos con la finalidad de
garantizar un adecuado nivel de segregación funcional.
El banco cuenta con una política de seguridad sobre el uso de Internet/ intranet
la cual considera los siguientes tópicos:
Riesgos asociados con el uso de Internet;
Conducta de uso general,
Responsabilidades del administrador;
Estándares de seguridad, y;
- 89 -
La transaccionalidad Web crítica (transferencia, pagos) se realiza
solamente en las cuentas declaradas por el cliente, para reducir el riesgo
y eventos potenciales de fraude.
El banco deberá establecer mecanismos para asegurar la continuidad de los
servicios en linea, considerando eventos como fallas o interrupciones en el
procesamiento de los servidores de éstos servicios para lo cual se está
trabajando en la implementación de planes de contingencia y continuidad del
negocio para estar preparados ante cualquier evento no previsto y así asegurar
la continuidad de las operaciones y la confianza de nuestros clientes.
El avance real registrado hasta el 30 de septiembre del 2008 es del 76%,
contra un avance previsto del 100%. El principal tema pendiente se refiere a la
Seguridad de la Información, que considera los siguientes aspectos:
Garantizar que el sistema de administración de seguridad satisface las
necesidades del Banco;
Políticas y procedimientos de seguridad de la información;
La identificación de los requerimientos de seguridad relacionados con la
tecnología de información, considerando principalmente: la evaluación
de los riesgos que enfrenta la institución; y;
Los controles necesarios para asegurar la integridad, disponibilidad y
confidencialidad de la información administrada.
El atraso producido es básicamente porque el punto de seguridad de la
información es responsabilidad del proceso de Seguridad Bancaria, que
formalmente nació en Agosto 2008. Su responsable se encuentra
desarrollando las políticas y procedimientos con el apoyo de las distintas áreas.
- 90 -
Proyecto Implementación Gestión Riesgo Operacional
100%
76%
24%
0%15%30%45%60%75%90%
Dic-31-07
Ene-31
-07
Feb
-28-07
Mar-31-07
Abr-30
-07
May
-31-07
Jun-30-07
Jul-31
-07
Ago-31
-07
Sep
-30-07
Oct-31-07
nov-30
-07
Dic-31-07
Ene-31
-08
Feb
-29-08
Mar-30-08
Abr-30
-08
May
-30-08
Jun-30-08
Jul-31
-08
Ago-31
-08
Sep
-30-08
Factor Tecnología de Información%
de
Av
an
ce
s
Avance
Previsto
Avance
Real
Brecha
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Diagnóstico situación actual factor de riesgo operativo
“Eventos Externos”
A la fecha del estudio, el banco ha identificado algunos eventos externos
generadores de pérdida, tales como, robos, incendios, terremotos, entre otros,
para los cuales, con el objetivo de mitigar sus efectos ha contratado pólizas de
seguros.
Sin embargo no posee una metodología formal para identificar dichos eventos
así como tampoco ha establecido planes de contingencia y de continuidad de
negocios ante éstos escenarios.
Seguimiento al Factor Eventos Externos
En la actualidad el banco tiene identificado los eventos externos ajenos a su
control, generador de posibilidades de pérdidas y además se encuentra en la
implementación de planes de contingencia y continuidad del negocio para
mantener el nivel aceptable de operación frente a la ocurrencia de una
interrupción de los procesos de negocio o de los recursos que soportan.
- 91 -
Para aquellos procesos de alta criticidad el banco está implementando un plan
de continuidad de negocios y para aquellos menos críticos solo contará con
planes de contingencia
El avance real registrado hasta el 30 de septiembre del 2008 es del 46%,
contra un avance previsto del 97%. La atención a éste factor va directamente
relacionado al proyecto de implementación del Plan de Continuidad del
Negocio del Banco, al cual se le ha dado máxima prioridad dentro de la
institución.
Proyecto Implementación Gestión de Riesgo Operacional
97%
46%
51%
0%
20%
40%
60%
80%
100%
Dic-31-07
Ene-31
-07
Feb
-28-07
Mar
-31-07
Abr-30
-07
May
-31-07
Jun-30-07
Jul-31
-07
Ago-31
-07
Sep
-30-07
Oct-31-07
nov
-30-07
Dic-31-07
Ene-31
-08
Feb
-29-08
Mar
-30-08
Abr-30
-08
May
-30-08
Jun-30-08
Jul-31
-08
Ago-31
-08
Sep
-30-08
Factor Eventos Externos
% d
e A
va
nc
es
Avance
PrevistoAvance
RealBrecha
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
- 92 -
IV.III Metodología para implementar la Gestión de Riesgo Operativo
La implementación permitirá satisfacer los requerimientos de la Dirección de la
entidad, Organismos Reguladores, Empresas Clasificadoras de Riesgo entre
otros; así como manejar eficientemente su Capital e incrementar la eficiencia
de sus procesos.
El esquema Coso Erm fue diseñado para ofrecer a las organizaciones un
modelo común aceptado para evaluar los esfuerzos de administración de
riesgos.
Este esquema provee lineamientos para ayudar a las organizaciones a
construir programas efectivos para identificar, medir, priorizar y responder a los
riesgos.
El banco se ha basado en un enfoque más robusto utilizando la metodología de
ERM (Enterprise Risk Management), ampliando el concepto de control interno.
A continuación la metodología para implementar la Gestión de Riesgos:
1Cultura
1 Concientización sobre la importancia del riesgo operativo
Crear la
Vision de
Erm
Definir el
alcance del
Proyecto
Administrar
ERM
Mejoramiento
Continuo
Ambiente
Interno
Establecimiento
de objetivos
- 93 -
2Gestión Cualitativa 3 Gestión Cuantitativa
IV.III.I. Cultura Este primer paso adquiere una significativa relevancia, ya que implica el
convencimiento de la alta dirección de los beneficios y la necesidad de
implantar un marco que administre el riesgo operacional. Dentro de las razones
para dicha administración, es posible mencionar:
Las presiones regulatorias;
La comprensión del impacto del riesgo operativo;
La necesidad de obtener información de gestión sobre las causas y
consecuencias del riesgo operativo;
El poder asignar el capital según el riesgo asumido;
El poder remunerar teniendo en cuenta la rentabilidad y el riesgo
operativo asumido; y;
La necesitad de obtener información que permita mejorar las decisiones
sobre la mitigación del riesgo operativo.
Pero lograr el convencimiento de la alta dirección es solo el primer paso en la
generación de conciencia para lograr una adecuada gestión de riesgo
operacional.
2 Identificación de riesgos, mapa de riesgos y respuestas 3 Desarrollo de un modelo de cuantificación
Fuente: 2006 Intellity Consulting CIA Ltda.
Identificación
de eventos
Evaluación
de riesgo
Respuesta
al riesgo
Actividades
de Control
Información y
comunicación
Supervisión
- 94 -
Tan importante como esto resultará el trabajo de capacitación y de generación
de cultura respecto de las unidades de negocio y las áreas de soporte del
banco, ya que ahí es donde se realiza la efectiva gestión de riesgo. Son éstas
las áreas que deben entender la utilidad de realizar determinadas tareas y de
buscar una efectiva aplicación de soluciones de mejora, así como también el
monitoreo control de los riesgos que enfrentan en su operatividad habitual.
Se llevaron a cabo seminarios de capacitación en gestión de riesgos operativos
a la medida de los requerimientos a:
Miembros del Directorio y Presidencia Ejecutiva
Alta Dirección
Funcionarios de la Unidad de Riesgos, funcionarios y personal clave
vinculado a los procesos de negocios, funcionarios y personal de otras
áreas (auditoría interna, operaciones, legal, tecnología, etc.) quienes
participaron en el análisis de riesgos operativo del proceso seleccionado.
Se desarrollaron talleres de análisis de riesgos operativo con la finalidad que la
unidad de riesgos comprenda la metodología y en adelante aplicarlos a todos
los procesos del banco.
En cuanto al manejo de los talleres dentro del banco, se ha iniciado con los que
se relacionan a los procesos productivos para luego realizar los de apoyo y
estratégicos.
En el cuadro adjunto podemos observar el resultado de uno de los talleres que
se están realizando para la identificación de los eventos de riesgos. La grafica
muestra que el total de eventos de riesgos identificados corresponde a 21
eventos para los cuales se han establecidos actividades a realizar en cuanto a
definiciones, políticas y procedimientos y tecnología de la información.,
concentrándose el mayor porcentaje 76% en políticas y procedimientos.
- 95 -
Total de Eventos de Riesgos Identificados 21
RESULTADOS DE TALLER DE RIESGO APERTURA Y RESULTADOS DE TALLER DE RIESGO APERTURA Y
CIERRE DE CUENTAS Y ACTUALIZACICIERRE DE CUENTAS Y ACTUALIZACIÓÓN DE DATOSN DE DATOS
Actividades por Realizar
62%
76%
19%
10%
30%
50%
70%
90%
Definiciones Políticas y
Procedimientos
Tecnología de
Información
Definiciones
Políticas y
Procedimientos
Tecnología de
Información
Fuente: Entidad Financiera (caso de estudio)
Elaborado por: Autora de la monografía
IV.III.II. Gestión Cualitativa
El desarrollo de una adecuada gestión cualitativa implica la identificación de los
siguientes aspectos:
Identificación de riesgos;
El modelo organizativo; y;
Herramientas de gestión.
El primer paso llevado a cabo en el banco consiste en la elaboración de un
mapa de procesos que sirva para detectar los riesgos y controles existentes,
así como también para realizar una valoración en términos de severidad y
frecuencia de los eventos de pérdida.
A nivel organizativo, el banco tiene una unidad independiente responsable por
la gestión de riesgo operativo que resulta vital dado que será la que genere los
mecanismos para una adecuada administración del riesgo.
- 96 -
La identificación del Riesgo Operativo en los procesos existentes se realiza en
el banco a través de:
Talleres de trabajo para la identificación de los riesgos en cada proceso;
Análisis de los eventos suscitados;
Información de pérdidas operacionales recopiladas;
Cuestionarios; y,
Comparación de riesgos y acciones mitigadoras.
De la evaluación de los participantes al taller de Servicios Bancarios, se
obtuvieron el siguiente resultado respecto a los niveles de riesgos de acuerdo a
los siguientes cuadros adjuntos:
RIESGO INHERENTE
5%
63%
21%
11%
Extremo
Alto
Medio
Bajo
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
En ésta grafica podemos considerar solo el riesgo inherente (sin controles), el
5% fue identificado como EXTREMO, el 63% de nivel ALTO, 21% de nivel
MEDIO y 11% de nivel BAJO.
- 97 -
RIESGO RESIDUAL
5%
26%
32%
37%Extremo
Alto
Medio
Bajo
Fuente: Entidad Financiera (caso de estudio)
Elaborado por: Autora de la monografía
En la grafica se considera el riesgo residual (con los controles actuales), los
eventos de riesgo de nivel EXTREMO se mantienen al 5%, los de nivel ALTO al
26%, los medios pasan al 32% y se registra un 37% en nivel BAJO.
RIESGO RESIDUAL DESEADO
0%
0%
32%
68%
Extremo
Alto
Medio
Bajo
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Y por último consideramos el riesgo residual deseado (implementando nuevos
controles), la percepción fue que se podrían eliminar los eventos de riesgos de
- 98 -
nivel EXTREMO y ALTO, registrando los de nivel MEDIO en 32% y pasando al
67% los de nivel BAJO.
Del 100% de eventos de riesgo detectados en el taller, el 58% son causados
por el Factor PROCESOS, el 74% son causados por el Factor PERSONAS,
como lo demuestra la gráfica.
RIESGO POR FACTORES
58%
74%
0% 0%0%
10%
20%
30%
40%
50%
60%
70%
80%
Procesos Personas TI Eventos
Externos
Factores
% D
el
fac
tor
en
ca
da
rie
sg
o
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Además, por el tipo de riesgo, podemos observar en la gráfica que los
mayores porcentajes se registraron en:
85% Deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con proveedores y otros externos.
5% Fraude Interno.
5% Fraude Externo.
5% Interrupción del negocio y falla en los sistemas.
- 99 -
RIESGO POR TIPO DE EVENTO
I.Fraude Interno
5%
III.Práctica de empleo y
seguridad del ambiente
de trabajo
0%
II.Fraude Externo
5%
IV.Prácticas
relacionadas con
clientes, productos y
negocio
0%
VI.Interrupción del
Negocio y falla en los
sistemas
5%
V.Daños a los activos
fijos
0%
VII.Deficiencia en la
ejecución de procesos,
en el procesamiento de
operaciones y en las
relaciones con
proveedores y otros
externos
85%
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
La entidad a la fecha del 30 de Septiembre del 2008 tiene identificado 324
eventos de riesgo. Del 100%, el 46% son eventos de nivel residual medio y
bajo, por lo que de acuerdo a la política de Riesgo Operativo, son riesgos de
niveles aceptados por el Banco; del porcentaje restante, el 9% son eventos que
ya han sido mitigados con controles y el 45% son eventos que están en planes
de implementación de controles.
Total Eventos
324 Eventos
Eventos por Mitigar
45%
Eventos Mitigados
9%
Aceptados (Medio o
Bajo)
46%
Eventos por Mitigar Eventos Mitigados Aceptados (Medio o Bajo)
Fuente: Entidad Financiera (caso de estudio)
Elaborado por: Autora de la monografía
- 100 -
El responsable de área será quien valide la información y notifique a la Unidad
de Riesgos asignada, cualquier actualización, inclusión o exclusión de riesgos
como resultado de los cambios en los procesos u optimización de controles.
Tanto para los productos nuevos o para los ya existentes que sufran
modificaciones en sus parámetros o procedimientos, se deberán volver a
identificar los riesgos operativos asociados.
Todo proceso tendrá una persona responsable de notificar los eventos de
pérdida suscitados (determinando las pérdidas cuantificable cuando sea
posible), registrando información sobre la fecha y lugar de ocurrencia, los
actores del evento, las acciones inmediatas que se tomaron o están pendientes
de tomar y responsables.
Los riesgos operativos deben ser medidos cualitativa y/o cuantitativamente. El
banco está efectuando la medición cualitativa hasta que la información
recopilada históricamente le permita tener resultados medibles
cuantitativamente y se obtengan mediante sustentos estadísticos la pérdida
esperada que dará la provisión de capital por éste concepto.
La medición cualitativa deberá incluir una evaluación bajo tres escenarios:
Riesgo inherente.- Riesgo sin aplicar control alguno.
Riesgo residual controlado.- Riesgo aplicando los controles existentes.
Riesgo residual deseado.- Riesgo aplicando controles propuestos.
- 101 -
INDICADORES DE RIESGO OPERATIVOINDICADORES DE RIESGO OPERATIVO
NIVEL DE RIESGONIVEL DE RIESGO
Nivel de Riesgo Inherente
18%
68%
14% 0%
Extremo
Alto
Medio
Bajo
Nivel de Riesgo Residual
11%
53%
29%
7%
Extremo
Alto
Medio
Bajo
Nivel de Riesgo Residual Deseado
9%
60%
31%
0%
Extremo
Alto
Medio
Bajo
Nivel de Riesgo Actual
6%
48%38%
8%
Extremo
Alto
Medio
Bajo
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
Al cierre del del tercer trimestre del año en curso (2008) se puede apreciar
como vemos en el gráfico que el 68% del nivel de riesgo inherente se lo
registra en el nivel de riesgo alto, mientras que al aplicar controles se traduce
en un 53%, ahora tenemos un nivel de riesgo alto del 48% y si aplicamos los
controles deseados el nivel de riesgo seria del 9%.
Cada evento deberá ser registrado en una MATRIZ DE RIESGOS POR
FACTORES y será evaluado considerando dos perspectivas:
PROBABILIDAD.- Es la estimación de la probabilidad de ocurrencia del evento
evaluada en los tres escenarios.
IMPACTO.- Magnitud de la consecuencia si el riesgo se materializa.
- 102 -
Criterios Cualitativos de Probabilidad
Nivel Descriptivo Probabilidad
5 Casi Seguro Ocurrirá en la mayoría de las circunstancias; todos los días o varias veces al mes.
4 Probable Probablemente ocurrirá en la mayoría de las circunstancias; cuando menos una vez al mes.
3 Posible Puede ocurrir en algún momento; cuando menos una vez al año.
2 Improbable Podría ocurrir en algún momento; cuando menos una vez cada dos años.
1 Raro Puede ocurrir en circunstancias excepcionales; dos veces cada 5 años.
Criterios Cualitativos de Impacto
Nivel Descriptivo Impacto
1 Insignificante Pérdida menor; riesgo aceptable en el sector; no hay daño a la reputación, no hay cobertura en los medios, no aumentan las quejas de los clientes.
2 Menor Pérdida moderada, cobertura de medios local; aumento en los reclamos de los clientes; riesgo aceptable en el sector; posible cierre de cuentas; no hay impacto negativo en el valor de las acciones
3 Moderado Pérdida o daño significativo; riesgo inusual en el sector; cobertura de medios nacionales limitada; reclamos de clientes a gran escala; pérdida de algunos clientes; indagaciones informales del regulador; efecto negativo potencial en el valor de las acciones; posible involucramiento de la alta gerencia
4 Mayor Pérdida o daño mayor, pérdida de valor de las acciones; riesgo inusual o inaceptable en el sector; cobertura de medios nacionales sostenida; pérdida importante de clientes; investigación formal del regulador; involucramiento directo de la alta gerencia o directorio.
5 Catastrófico Pérdida o daño catastrófico; pérdida importante del valor de las acciones; riesgo inusual o inaceptable en el sector; intervención regulatoria formal y multas; pérdida de clientes a gran escala; involucramiento directo de la alta gerencia o directorio.
Con los criterios cualitativos de probabilidad e impacto se aplica la siguiente
matriz para determinar el nivel de riesgo, que puede ser:
- 103 -
Matriz de Análisis Cualitativo de Riesgos
IMPACTO
PROBABILIDAD 1 Insignificante
2 Menor
3 Moderado
4 Mayor
5 Catastrófico
5 - Casi seguro A A E E E
4 - Probable M A A E E
3 - Posible B M A E E
2 - Improbable B B M A E
1 - Raro B B M A A
Fuente: © 2006 Intellity Consulting Ecuador Cía. Ltda. Elaborado: Grupo Intellity Consulting Ecuador.
Una vez realizada la medición de la probabilidad y el impacto para los riesgos
de cada proceso por las áreas responsables, se debe realizar la medición de la
entidad, determinando el perfil de Riesgo Inherente.
Los resultados de la evaluación de eventos con sus niveles de probabilidad,
impacto y riesgo se registrarán en la Matriz de Riesgos y Controles.
De acuerdo a las políticas internas de cada Institución financiera se definirán la
calificación de riesgo aceptable, por tanto se dará prioridad en la definición,
implementación o mejoramiento de controles a aquellos que no cumplan éste
nivel mínimo. Estos controles serán definidos en base a la respuesta al riesgo
que se identifique por cada evento.
E Extremo Requiere atención inmediata de la Alta Dirección
A Alto Se Necesita atención de la Alta Dirección
M Medio Definir responsabilidades gerenciales
B Bajo Aplicar procedimientos rutinarios
- 104 -
EVITAR COMPARTIR
No se identifiquen opciones de respuesta que lleven el riesgo residual a un nivel aceptable.
Eliminar la fuente de riesgo: unidad del negocio, líneas de productos, segmento geográfico.
Decidir no comprometerse en nuevas iniciativas o actividades que aumentarían el riesgo.
Reducir impacto y/o probabilidad transfiriendo o compartiendo con un tercero.
Asegurar pérdidas significativas inesperadas.
Realizar alianzas estratégicas. Cubrir riesgos a través de
instrumentos financieros. Tercerizar procesos de negocios. Compartir riesgos a través de
acuerdos contractuales con clientes, proveedores u otros socios de negocios.
REDUCIR ACEPTAR
Reducir impacto y/o probabilidad.
Diversificar la oferta de productos.
Establecer límites operacionales.
Establecer procesos de negocios efectivos (políticas y procedimientos).
Controles preventivos y detectivos.
Controles manuales y automatizados.
Equilibrar el portafolio de activos para reducir la exposición a ciertos tipos de pérdidas.
El riesgo residual dentro de las tolerancias deseadas.
No se toma acción para reducir impacto y probabilidad.
Auto-asegurarse contra pérdidas. Confiar en las compensaciones
naturales dentro de un portafolio.
El banco dará más atención a los eventos de riesgos que están dentro de la
zona alta y extremo.
Los responsables de área, bajo los lineamientos de la administración,
propondrán la respuesta al riesgo por evento y las acciones para cerrar las
brechas de control, debiendo registrar éstas acciones, responsables y tiempo
de ejecución en la matriz de riesgos y controles que deberá ser aprobada por el
Comité de Administración de Riesgos y Directorio.
- 105 -
La Unidad de Riesgos será la responsable de hacer el seguimiento al
cumplimiento de los controles propuestos.
El banco está adecuado con una estructura organizativa que tiene entre sus
funciones la elaboración de metodologías de evaluación de riesgos operativos,
coordinación de los proyectos de implementación de controles en los casos que
sean necesarios de acuerdo a los resultados obtenidos en los talleres de riesgo
realizados para cada uno de los procesos en función de su criticidad.
El control de los riesgos operativos se efectuará en la entidad del estudio
llevando un detalle de lo siguiente:
Eventos de pérdida suscitados;
Demandas instauradas hacia el banco;
Demandas perdidas;
Multas aplicadas a la institución; y,
Detalle de reclamos – Servicio al Cliente.
Se mantiene la inestabilidad en la notificación oportuna de eventos de pérdida,
por lo que se planificará una campaña para reducir este desfase entre la fecha
de ocurrencia del evento y la fecha de notificación y registro en la base de
datos de pérdida, como se muestra en la gráfica a continuación.
- 106 -
BASE DE DATOS DE EVENTOS DE PBASE DE DATOS DE EVENTOS DE PÉÉRDIDARDIDA
Notificación de Eventos de Pérdida
0
5
10
15
20
25
Ene
-08
Feb-
08
Mar
-08
Abr
-08
May
-08
Jun-08
Jul-0
8
Ago
-08
Sep
-08
2008
Ca
nti
da
d d
e E
ve
nto
s
Fecha de Ocurrencia
Fecha de Registro
Fuente: Entidad Financiera (caso de estudio) Elaborado por: Autora de la monografía
IV.III.III. Gestión Cuantitativa
Un elemento fundamental que el banco debería considerar a futuro es pasar de
un enfoque cualitativo a un marco de gestión integral del riesgo operacional y
trabajar arduamente con la alimentación de las bases de datos de pérdidas
operacionales. Éste representa uno de los mayores desafíos a los cuales se
enfrenta la banca ecuatoriana.
Una vez finalizada la construcción de las base de datos, el banco deberá
abordar el desarrollo de un modelo de medición del riesgo operacional. Las
entidades que adopten el enfoque avanzado tendrán beneficios de gestión
como de ahorros de capital regulatorio, pudiendo calcular los recursos propios
en función de su perfil real de riesgo, de los controles establecidos y del macro
de gestión que hayan definido.
- 107 -
Por último, las entidades deberán perseguir la integración final de los aspectos
cualitativos y cuantitativos. Esto implica el diseño y el establecimiento de las
relaciones entre los datos recopilados, los indicadores, los mapas de riesgos y
controles y mediciones de capital.
En definitiva, las entidades ecuatorianas tienen un largo camino por recorrer
para alcanzar un nivel de gestión del riesgo operacional con un grado de
madurez similar al que existe en algunos de los países de Latinoamérica.
Esto sin duda implicara altas inversiones de tiempo, dinero y recursos
humanos, sin embargo serán aquellas entidades que comprendan el verdadero
valor de administrar el Riesgo Operativo como una herramienta de gestión las
que podrán considerar el dinero utilizado en su implementación como una
inversión y no como un gasto y las que, por ende, terminarán entregando un
mayor valor a sus accionistas.
- 108 -
CONCLUSIONES
- La administración de riesgo operacional no es nueva en las Instituciones
Financieras, sin embargo ha crecido la necesidad de integrarlo dentro de todos
los procesos de la Institución con el objetivo de mejorar su administración,
documentar y corregir debilidades en los procesos y en los reportes a lo largo
de toda la entidad para poder reducir los requerimientos mínimos de capital y
estar mejor informado para una mejor toma de decisiones. El incremento de los
casos relacionados a riesgo operativo no deja duda de la importancia que ha
adquirido dentro de las instituciones financieras así como para los reguladores
por lo que es importante que todas las áreas de la institución participen.
- El que una Entidad cuente con una adecuada cultura de riesgos comprende el
conjunto de actitudes compartidas, valores corporativos y prácticas que
caracterizan como la Entidad enfrente el riesgo en el “día a día”.
- Las Entidades Financieras ecuatorianas cuya alta Dirección, propicie un clima
que promueva la integridad de sus procedimientos, valores corporativos y un
claro entendimiento del riesgo, puede impulsar de manera importante la
creación de los cambios culturales necesarios para cumplir con el objetivo
básico de la administración de riesgos, el cual es contribuir con la creación de
valor para la entidad.
- Las entidades nacionales, han comenzado un proceso interno de
concienciación, y más importante, de definición del Riesgo Operativo. El
objetivo principal perseguido es el de lograr una disminución de las pérdidas
relacionadas con fallas operacionales y por lo tanto, obtener mejoras en sus
indicadores de eficiencia. En éstas entidades nacionales líderes, el Riesgo
Operativo ha comenzado a dejar de ser “todo aquello que no es riesgo de
crédito ni riesgo de mercado” para tomar una definición propia, y en muchos
casos, ya se ha designado una unidad responsable de su gestión,
- 109 -
independiente de las unidades de negocio y de la Auditoria Interna, tal como lo
recomienda el Comité de Basilea.
- La participación activa y la responsabilidad que asuman los máximos
organismos de administración de las entidades son cruciales para el éxito del
proceso, es por eso que la norma, en el marco de la administración integral de
riesgos, define responsabilidades específicas sobre el riesgo operativo para el
Directorio, El Comité de Riesgos y la Unidad de Riesgos.
- Las gestiones cualitativa y cuantitativa del riesgo operacional dependerá una
de la otra; ya que, la gestión cuantitativa comienza con la gestión cualitativa
dado que durante su desarrollo deben detectarse e identificarse todos los
riesgos/causas que pueden generar una pérdida futura a la entidad. Una
correcta identificación de dichas causas tendrá asociados diferentes planes de
acción a efectos de mitigarlos y, de ésta forma, generar beneficios en el corto
plazo (reducción de costos en sus líneas de negocio) y en el largo plazo
(reducción en los requerimientos de capital).
- Con la administración y gestión del riesgo operativo se espera controlar los
riesgos operacionales y por consiguiente minimizar las pérdidas mejorando de
ésta manera los índices de eficiencia, contribuyendo junto con otras aéreas de
la organización a generar un mejor servicio al cliente y mejora de la imagen,
creando una diferenciación y así una ventaja competitiva.
- 110 -
RECOMENDACIONES
- Que, en el sector bancario se incorporen los principios fundamentales
basados en políticas de riesgo que podrán diferir dependiendo de las prácticas
de la industria, del esquema regulatorio y la madurez de la organización.
- Que, en nuestro país se orienten los esfuerzos a fortalecer estos tres pilares
conceptuales de Basilea II, pero enmarcados en el contexto, el tamaño, la
complejidad y el tipo de actividades y operaciones que manejan nuestras
Instituciones.
- Que, las políticas de riesgo operativo establecidas previamente, usadas por
toda la organización deberán ser manejadas correctamente, utilizando un
marco de referencia (COSO ERM) para proveer una estructura que permite
decidir que oportunidades seguir y que amenazas evitar. El marco debe ser lo
suficiente fuerte para apoyar los objetivos del manejo del riesgo debiendo
acoplarse a las estrategias, iniciativas y estructura organizaciones, así como a
nuestra industria y a los requerimientos regulatorios.
- Los enfoques adoptados por los Organismos encargados y las políticas de
supervisión bancarias, deben propender a fortalecer la solvencia y estabilidad
de las entidades financieras y prepararlas para afrontar los cambios a los
cuales están sujetas nuestras economías, para lo cual es importante la
dotación de un marco jurídico transparente, que promoviendo la competitividad
de las instituciones tienda a buscar un nivel de exposición equitativo entre sus
accionistas y los depositantes, así como de políticas de supervisión oportunas
que busquen detectar y corregir las debilidades que presentan las instituciones,
antes de que los problemas se materialicen y conlleven a generar pérdidas que
comprometan su viabilidad
- 111 -
- Que, se implemente bases concretas dentro de la estructura organizativa y de
la alta dirección para que la administración de riesgo operacional
verdaderamente funcione.
- Que, se impulse dentro de las entidades financieras, el cambio de mentalidad
para la promoción del riesgo inteligente, mediante el esfuerzo conjunto de
todos los colaboradores de la empresa, para lo cual se requiere de
comunicaciones claras, una cultura claramente definida, programas de
recompensas y reconocimiento, así como de enseñanza en el manejo del
riesgo.
- 112 -
GLOSARIO DE TÉRMINOS
Alta gerencia.- La integran el presidente y vicepresidente ejecutivo, gerentes
generales, vicepresidentes o gerentes departamentales, entre otros,
responsables de ejecutar las disposiciones del directorio, quienes toman
decisiones de alto nivel, de acuerdo con las funciones asignadas y la estructura
organizacional definida en el banco.
Evento de riesgo operativo.- Es el hecho que puede derivar en pérdidas
financieras para el banco.
Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de
riesgo operativo. Los factores son los procesos, personas, tecnología de
información y eventos externos.
Riesgo.- Es la posibilidad que se produzca un hecho generador de pérdidas
que afecten el valor económico de las Instituciones.
Administración de Riesgos: Es el proceso mediante el cual las instituciones
del sistema financiero identifican, miden, controlar/mitigan y monitorean los
riesgos inherentes al negocio, con el objeto de definir el perfil de riesgo, el
grado de exposición que la institución está dispuesta a asumir en el desarrollo
del negocio y los mecanismos de cobertura, para proteger los recursos propios
y de terceros que se encuentren bajo su control y administración.
Exposición: Está determinada por el riesgo asumido menos la cobertura
implantada.
Pérdida: Todo resultado negativo o no deseado producto de la materialización
u ocurrencia de un evento que impacta el logro de un objetivo (capital y/o
ganancias de una organización).
- 113 -
Capital: Valor de activos menos valor de pasivos, constituye el principal medio
de protección de un banco contra los riesgos de insolvencia y eventual quiebra.
Capital Regulatorio: Las Instituciones Bancarias deberán tener un “fondo de
protección” (autoseguro) para financiamiento de los riesgos a los cuales está
expuesto, alojado en su capital.
Basilea II: Es un estándar “regulatorio” de administración de riesgos para el
sector bancario a nivel internacional.
Riesgo de Crédito: Es la posibilidad de pérdida debido al incumplimiento del
prestatario o la contraparte en operaciones directas, indirectas o de derivados
que conlleva el no pago, el pago parcial o la falta de oportunidad en el pago de
las obligaciones pactadas.
Riesgo de Mercado: Es la contingencia de que una institución del sistema
financiero incurra en pérdidas debido a variaciones en el precio de mercado de
un activo financiero, como resultado de las posiciones que mantenga dentro y
fuera de balance.
Mapa de riesgo.- Herramienta que permite la identificación temprana de
eventos de riesgo, su magnitud e impacto.
Gobierno Corporativo.-Tiene como función determinar los objetivos
estratégicos y operativos de la entidad, orientados a cumplir con los intereses
de la Institución en sí: entendidos como tales, los de sus accionistas, sus
colaboradores y de manera especial el interés de sus clientes.
Proceso.- Es el conjunto de actividades que transforman insumos en productos
o servicios con valor para el cliente, sea interno o externo.
- 114 -
Insumo.- Es el conjunto de materiales, datos o información que sirven como
entrada a un proceso.
Proceso crítico.- Es el indispensable para la continuidad del negocio y las
operaciones del banco, y cuya falta de identificación o aplicación deficiente
puede generarle un impacto financiero negativo.
Actividad.- Es el conjunto de tareas.
Tarea.- Es el conjunto de pasos o procedimientos que conducen a un resultado
final visible y mesurable.
Procedimiento.- Es el método que especifica los pasos a seguir para cumplir
un propósito determinado.
Línea de negocio.- Es una especialización del negocio que agrupa procesos
encaminados a generar productos y servicios especializados para atender un
segmento del mercado objetivo definido en la planificación estratégica del
banco.
Datos.- Es cualquier forma de registro electrónico, óptico, magnético, impreso
o en otros medios, susceptible de ser capturado, almacenado, procesado y
distribuido.
Información.- Es cualquier forma de registro electrónico, óptico, magnético o
en otros medios, previamente procesado a partir de datos, que puede ser
almacenado, distribuido y sirve para análisis, estudios y toma de decisiones.
Información crítica.- Es la información considerada esencial para la
continuidad del negocio y para la adecuada toma de decisiones.
- 115 -
Administración de la información.- Es el proceso mediante el cual se
captura, procesa, almacena y transmite información, independientemente del
medio que se utilice, ya sea impreso, escrito en papel, almacenado
electrónicamente, transmitido por correo o por medios electrónicos o
presentado en imágenes.
Tecnología de información.- Es el conjunto de herramientas y métodos
empleados para llevar a cabo la administración de la información. Incluye el
hardware, software, sistemas operativos, sistemas de administración de bases
de datos, redes, multimedia, servicios asociados, entre otros.
Aplicación.- Se refiere a los procedimientos programados a través de alguna
herramienta tecnológica, que permiten la administración de la información y la
oportuna toma de decisiones.
Instalaciones.- Es la infraestructura que permite alojar los recursos físicos
relacionados con la tecnología de información.
Responsable de la información.- Es la persona encargada de identificar y
definir claramente los diversos recursos y procesos de seguridad lógica
relacionados con las aplicaciones.
Seguridad de la información.- Son los mecanismos implantados que
garantizan la confidencialidad, integridad y disponibilidad de la información y
los recursos relacionados con ella.
Seguridades lógicas.- Se refieren a la seguridad en el uso del software, la
protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información.
Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y
acuerdos contractuales a los que los procesos del banco están sujetos.
- 116 -
Medios electrónicos.- Son los elementos de la tecnología que tienen
características digitales, magnéticas, inalámbricas, ópticas, electromagnéticas
u otras similares.
Transferencia electrónica de información.- Es la forma de enviar, recibir o
transferir en forma electrónica datos, información, archivos, mensajes, entre
otros.
Plan de continuidad.- Está orientado a asegurar la continuidad del negocio, la
satisfacción del cliente y la productividad a pesar de eventos inesperados. Se
ejecuta permanentemente como parte de la administración de riesgos tanto en
la información como en la operación. Un plan de continuidad incluye un plan de
contingencia, un plan de reanudación y un plan de recuperación.
Plan de contingencia.- Es el conjunto de procedimientos alternativos a la
operatividad normal de la entidad cuya finalidad es la de permitir su
funcionamiento, buscando minimizar el impacto financiero que pueda ocasionar
cualquier evento inesperado específico. El plan de contingencia se ejecuta el
momento en que se produce dicho evento.
Plan de reanudación.- Especifica los procesos y recursos para mantener la
continuidad de las operaciones en la misma ubicación del problema.
Plan de recuperación.- Especifica los procesos y recursos para recuperar las
funciones del negocio en una ubicación alterna dentro o fuera del banco.
Eficacia.- Es la capacidad para contribuir al logro de los objetivos
institucionales de conformidad con los parámetros establecidos.
Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos
disponibles en pro del logro de los objetivos institucionales, procurando la
optimización de aquellos y evitando dispendios y errores.
- 117 -
Siglas Utilizadas:
AMA: Método de medición avanzada (Advanced Measurement Approaches).
G-10.- Gobernantes de los Bancos Centrales del Grupo de los Diez.
Basilea II.- (Nuevo Acuerdo de Capital).
VAR.- Value at Risk o valor agregado.
SIBS.- Superintendencia de Bancos y Seguros.
ERM. - Enterprise Risk Management
- 118 -
BIBLIOGRAFÍA
1. EL NUEVO ACUERDO DE BASILEA Y LA GESTIÓN DE RIESGO
OPERACIONAL; www.pwc.com
2. RIESGO OPERATIVO, INTRODUCCIÓN, CONCEPTOS BÁSICOS;
www.asbaweb.or.
3. PRÁCTICAS SANAS PARA LA ADMINISTRACIÓN Y SUPERVISIÓN DEL
RIESGO OPERATIVO; www.asbaweb.org
4. PRINCIPIOS DE SUPERVISIÓN DE BASILEA; www.superban.gov.ec
5. ENFOQUE DE GESTIÓN Y SUPERVISIÓN DEL RIESGO OPERATIVO EN
EL ECUADOR; www.superban.gov.ec
6. PUNTOS DE VISTA, LA GLOBALIZACIÓN FINANCIERA Y BASILEA I Y II;
www.listin.com.do.
7. BASILEA I; www.wipidea.org.
8. BANK INTERNACIONAL SETTLEMENTS, IMPLEMENTACIÓN DE
BASILEA II CONSIDERACIONES PRÁCTICAS; www.asbaweb.org.
9. IV REGIONAL CONFERENCE PUBLIC SECTOR-PRIVATE; “Risk
Management and Supervision in the Americas”; www.iadb.org.
10. JORGE OLAYA EXPERTO EN RIESGO OPERATIVO;
http://riesgooperativo.blogspot.com.
11. RIESGO OPERATIVO; www.bce.fin.ec.
12. BASILEA II EN AMÉRICA LATINA, RAFAEL DIAZ; www.dgrv.org.
13. RIESGO OPERATIVO.-ENFOQUE ESTÁNDAR SEGÚN BASILEA II,
MATTHIAS ARZBACH.
14. PRINCIPIOS DE BASILEA PARA UNA SUPERVISIÓN BANCARIA
EFECTIVA, GENARO SEGURA
15. RIESGO OPERACIONAL: UNA GUÍA DE LA DGR, LUIS HUMBERTO
RAMÍREZ; www.dgrv.org.
16. EL COMITÉ DE BASILEA SOBRE SUPERVISIÓN BANCARIA;
www.bis.org.
17. RIESGO OPERATIVO; www.sib.gob.gt.
- 119 -
18. DIAGNÓSTICO DE LOS TRES PILARES, SUPERINTENDENCIA DE
BANCOS Y SEGUROS DEL ECUADOR; www.bis.org.
19. CÓMO PREPARARSE PARA LA IMPLEMENTACIÓN DE BASILEA II EN
EL ÁMBITO BANCARIO.- BANCO DE LA NACIÓN ARGENTINA.- DR.
JORGE BIAU; www.theiia.org.
20. RESOLUCIÓN JB-2005-834, SBS.
21. RESOLUCIÓN JB-2004-631, SBS.
- 120 -
ANEXO No. JB-2005-834
RESOLUCIÓN No. JB-2005-834
LA JUNTA BANCARIA CONSIDERANDO:
Que en el subtítulo VI.” De la gestión y administración de riesgos., del título VII
.De los activos y de los límites de crédito” de la Codificación de Resoluciones
de la Superintendencia de Bancos y Seguros y de la Junta Bancaria, consta el
capítulo I “De la gestión integral y control de riesgos”.
Que en el artículo 1, de la sección I “Alcance y definiciones”, del citado capítulo
I, se establece que las instituciones del sistema financiero controladas por la
Superintendencia de Bancos y Seguros deberán establecer esquemas
eficientes y efectivos de administración y control de todos los riesgos a los que
se encuentran expuestas en el desarrollo del negocio, conforme con su objeto
social, sin perjuicio del cumplimiento de las obligaciones que sobre la materia
establezcan otras normas especiales o particulares;
Que la Superintendencia de Bancos y Seguros debe propender a que las
instituciones del sistema financiero cuenten con un sistema de administración
del riesgo operativo que les permita identificar, medir, controlar / mitigar y
monitorear los riesgos de manera que se fortalezca su seguridad y solidez, en
orden a proteger los intereses del público, de acuerdo a lo señalado en el
artículo 1 de la Ley General de Instituciones del Sistema Financiero;
Que entre los riesgos frecuentes a las que están expuestas las instituciones del
sistema financiero en el desarrollo de sus actividades se encuentra el riesgo
operativo;
Que las instituciones del sistema financiero deben gestionar el riesgo operativo,
como elemento fundamental de una administración preventiva que reduzca la
posibilidad de pérdidas e incremente su eficiencia, para lo cual deberán
implantar mecanismos, procesos y contar con recursos humanos calificados y
experimentados a fin de mitigar este riesgo;
- 121 -
Que el Comité de Supervisión Bancaria de Basilea ha definido principios que
recomienda sean aplicados por las instituciones del sistema financiero para la
conformación de un adecuado ambiente para la administración cualitativa del
riesgo operativo y que deben ser considerados por los supervisores al evaluar
la gestión realizada por las instituciones controladas;
Que es necesario establecer estándares mínimos prudenciales para que las
instituciones del sistema financiero administren el riesgo operativo en un
ambiente favorable, previo a la medición del mismo para posteriores
requerimientos de capital;
Que el control por parte del supervisor no consiste únicamente en garantizar
que las instituciones del sistema financiero posean el capital necesario para
cubrir los riesgos de sus actividades, sino también en alentarlas a que
desarrollen y utilicen mejores técnicas de gestión de sus riesgos que les
permita ser más eficientes y competitivas en el entorno de globalización de los
negocios bancarios;
Que la Superintendencia de Bancos y Seguros, como parte de su política de
comunicación y transparencia, puso en conocimiento previo el tema materia de
esta norma, a los gremios y asociaciones de las instituciones controladas que
tendrán que aplicarla;
- 122 -
Resolución No JB-2005-834
Página No 2
Que el Comité Normativo y de Políticas de Supervisión y de Administración
Interna de la Superintendencia de Bancos y Seguros, en sesión celebrada el 11
de octubre del 2005, conoció y luego del análisis y discusión de su contenido
recomendó a la Junta Bancaria la aprobación de la norma de riesgo operativo;
y,
En ejercicio de la atribución legal que le otorga la letra b) del artículo 175 de la
Ley General de Instituciones del Sistema Financiero,
RESUELVE:
ARTÍCULO 1.- En el subtítulo VI .De la gestión y administración de riesgos., del
título VII .De los activos y de los límites de crédito. de la Codificación de
Resoluciones de la Superintendencia de Bancos y Seguros y de la Junta
Bancaria, incorporar como capítulo V el siguiente y renumerar los restantes:
“CAPÍTULO V.- DE LA GESTIÓN DEL RIESGO OPERATIVO
SECCIÓN I.- ÁMBITO, DEFINICIONES Y ALCANCE
ARTÍCULO 1.- Las disposiciones de la presente norma son aplicables a las
instituciones financieras públicas y privadas, al Banco Central del Ecuador, a
las compañías de arrendamiento mercantil, a las compañías emisoras y
administradoras de tarjetas de crédito y a las corporaciones de desarrollo de
mercado secundario de hipotecas, cuyo control compete a la Superintendencia
de Bancos y Seguros, a las cuales, en el texto de este capítulo se las
denominará como instituciones controladas.
Para efecto de administrar adecuadamente el riesgo operativo, además de las
disposiciones contenidas en el capítulo I .De la gestión integral y control de
- 123 -
riesgos., de este subtítulo, las instituciones controladas observarán las
disposiciones del presente capítulo.
ARTÍCULO 2.- Para efectos de la aplicación de las disposiciones del presente
capítulo, se considerarán las siguientes definiciones:
2.1 Alta gerencia.- La integran los presidentes y vicepresidentes ejecutivos,
gerentes generales, vicepresidentes o gerentes departamentales, entre otros,
responsables de ejecutar las disposiciones del directorio u organismo que haga
sus veces, quienes toman decisiones de alto nivel, de acuerdo con las
funciones asignadas y la estructura organizacional definida en cada institución
controlada;
2.2 Evento de riesgo operativo.- Es el hecho que puede derivar en pérdidas
financieras para la institución controlada;
2.3 Factor de riesgo operativo.- Es la causa primaria o el origen de un evento
de riesgo operativo. Los factores son los procesos, personas, tecnología de
información y eventos externos;
2.4 Proceso.- Es el conjunto de actividades que transforman insumos en
productos o servicios con valor para el cliente, sea interno o externo;
- 124 -
Resolución No JB-2005-834
Página No 3
2.5 Insumo.- Es el conjunto de materiales, datos o información que sirven
como entrada a un proceso;
2.6 Proceso crítico.- Es el indispensable para la continuidad del negocio y las
operaciones de la institución controlada, y cuya falta de identificación o
aplicación deficiente puede generarle un impacto financiero negativo;
2.7 Actividad.- Es el conjunto de tareas;
2.8 Tarea.- Es el conjunto de pasos o procedimientos que conducen a un
resultado final visible y mesurable;
2.9 Procedimiento.- Es el método que especifica los pasos a seguir para
cumplir un propósito determinado;
2.10 Línea de negocio.- Es una especialización del negocio que agrupa
procesos encaminados a generar productos y servicios especializados para
atender un segmento del mercado objetivo definido en la planificación
estratégica de la entidad;
2.11 Datos.- Es cualquier forma de registro electrónico, óptico, magnético,
impreso o en otros medios, susceptible de ser capturado, almacenado,
procesado y distribuido;
2.12 Información.- Es cualquier forma de registro electrónico, óptico,
magnético o en otros medios, previamente procesado a partir de datos, que
puede ser almacenado, distribuido y sirve para análisis, estudios y toma de
decisiones;
- 125 -
2.13 Información crítica.- Es la información considerada esencial para la
continuidad del negocio y para la adecuada toma de decisiones;
2.14 Administración de la información.- Es el proceso mediante el cual se
captura, procesa, almacena y transmite información, independientemente del
medio que se utilice; ya sea impreso, escrito en papel, almacenado
electrónicamente, transmitido por correo o por medios electrónicos o
presentado en imágenes;
2.15 Tecnología de información.- Es el conjunto de herramientas y métodos
empleados para llevar a cabo la administración de la información. Incluye el
hardware, software, sistemas operativos, sistemas de administración de bases
de datos, redes, multimedia, servicios asociados, entre otros;
2.16 Aplicación.- Se refiere a los procedimientos programados a través de
alguna herramienta tecnológica, que permiten la administración de la
información y la oportuna toma de decisiones;
2.17 Instalaciones.- Es la infraestructura que permite alojar los recursos físicos
relacionados con la tecnología de información;
2.18 Responsable de la información.- Es la persona encargada de identificar
y definir claramente los diversos recursos y procesos de seguridad lógica
relacionados con las aplicaciones;
2.19 Seguridad de la información.- Son los mecanismos implantados que
garantizan la confidencialidad, integridad y disponibilidad de la información y
los recursos relacionados con ella;
Junta Bancaria del Ecuador
- 126 -
Resolución No JB-2005-834
Página No 4
2.20 Seguridades lógicas.- Se refieren a la seguridad en el uso del software,
la protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información;
2.21 Confidencialidad.- Es la garantía de que sólo el personal autorizado
accede a la información preestablecida;
2.22 Integridad.- Es la garantía de mantener la totalidad y exactitud de la
información y de los métodos de procesamiento;
2.23 Disponibilidad.- Es la garantía de que los usuarios autorizados tienen
acceso a la información cada vez que lo requieran a través de los medios
adecuados que satisfagan sus necesidades;
2.24 Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y
acuerdos contractuales a los que los procesos de las instituciones controladas
están sujetos;
2.25 Pista de auditoría.- Es el registro de datos lógicos de las acciones o
sucesos ocurridos en los sistemas aplicativos u operativos, con el propósito de
mantener información histórica para fines de control, supervisión y auditoría;
2.26 Medios electrónicos.- Son los elementos de la tecnología que tienen
características digitales, magnéticas, inalámbricas, ópticas, electromagnéticas
u otras similares;
2.27 Transferencia electrónica de información.- Es la forma de enviar, recibir
o transferir en forma electrónica datos, información, archivos, mensajes, entre
otros;
- 127 -
2.28 Encriptación.- Es el proceso mediante el cual la información o archivos
son alterados en forma lógica, con el objetivo de evitar que alguien no
autorizado pueda interpretarlos al verlos o copiarlos, por lo que se utiliza una
clave en el origen y en el destino;
2.29 Plan de continuidad.- Está orientado a asegurar la continuidad del
negocio, la satisfacción del cliente y la productividad a pesar de eventos
inesperados. Se ejecuta permanentemente como parte de la administración de
riesgos tanto en la información como en la operación. Un plan de continuidad
incluye un plan de contingencia, un plan de reanudación y un plan de
recuperación;
2.30 Plan de contingencia.- Es el conjunto de procedimientos alternativos a la
operatividad normal de la entidad cuya finalidad es la de permitir su
funcionamiento, buscando minimizar el impacto financiero que pueda ocasionar
cualquier evento inesperado específico. El plan de contingencia se ejecuta el
momento en que se produce dicho evento;
2.31 Plan de reanudación.- Especifica los procesos y recursos para mantener
la continuidad de las operaciones en la misma ubicación del problema;
2.32 Plan de recuperación.- Especifica los procesos y recursos para recuperar
las funciones del negocio en una ubicación alterna dentro o fuera de la
institución;
2.33 Eficacia.- Es la capacidad para contribuir al logro de los objetivos
institucionales de conformidad con los parámetros establecidos;
- 128 -
Resolución No JB-2005-834
Página No 5
2.34 Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos
disponibles en pro del logro de los objetivos institucionales, procurando la
optimización de aquellos y evitando dispendios y errores; y,
2.35 Riesgo Legal.- Es la posibilidad de que se presenten pérdidas o
contingencias negativas como consecuencia de fallas en contratos y
transacciones que pueden afectar el funcionamiento o la condición de una
institución del sistema financiero, derivadas de error, dolo, negligencia o
imprudencia en la concertación, instrumentación, formalización o ejecución de
contratos y transacciones. El riesgo legal surge también de incumplimientos de
las leyes o normas aplicables.
ARTÍCULO 3.- Para efectos del presente capítulo, el riesgo operativo se
entenderá como la posibilidad de que se ocasionen pérdidas financieras por
eventos derivados de fallas o insuficiencias en los procesos, personas,
tecnología de información y por eventos externos. El riesgo operativo incluye el
riesgo legal en los términos establecidos en el numeral 2.35 del artículo 2 de la
Sección I de este capítulo.
El riesgo operativo no trata sobre la posibilidad de pérdidas originadas en
cambios inesperados en el entorno político, económico y social.
SECCIÓN II.- FACTORES DEL RIESGO OPERATIVO
ARTÍCULO 1.- Con el propósito de que se minimice la probabilidad de incurrir
en pérdidas financieras atribuibles al riesgo operativo, deben ser
adecuadamente administrados los siguientes aspectos, los cuales se
interrelacionan entre sí:
- 129 -
1.1 Procesos.- Con el objeto de garantizar la optimización de los recursos y la
estandarización de las actividades, las instituciones controladas deben contar
con procesos definidos de conformidad con la estrategia y las políticas
adoptadas, que deberán ser agrupados de la siguiente manera:
1.1.1 Procesos gobernantes o estratégicos.- Se considerarán a aquellos que
proporcionan directrices a los demás procesos y son realizados por el directorio
u organismo que haga sus veces y por la alta gerencia para poder cumplir con
los objetivos y políticas institucionales. Se refieren a la planificación estratégica,
los lineamientos de acción básicos, la estructura organizacional, la
administración integral de riesgos, entre otros;
1.1.2 Procesos productivos, fundamentales u operativos.- Son los procesos
esenciales de la entidad destinados a llevar a cabo las actividades que
permitan ejecutar efectivamente las políticas y estrategias relacionadas con la
calidad de los productos o servicios que ofrecen a sus clientes; y,
1.1.3 Procesos habilitantes, de soporte o apoyo.- Son aquellos que apoyan
a los procesos gobernantes y productivos, se encargan de proporcionar
personal competente, reducir los riesgos del trabajo, preservar la calidad de los
materiales, equipos y herramientas, mantener las condiciones de operatividad
y funcionamiento, coordinar y controlar la eficacia del desempeño
administrativo y la optimización de los recursos.
- 130 -
Resolución No JB-2005-834
Página No 6
Identificados los procesos críticos, se implantarán mecanismos o alternativas
que ayuden a la entidad a evitar incurrir en pérdidas o poner en riesgo la
continuidad del negocio y sus operaciones.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las instituciones controladas deberán definir formalmente políticas
para un adecuado diseño, control, actualización y seguimiento de los procesos.
Las políticas deben referirse por lo menos a: (i) diseño claro de los procesos,
los cuales deben ser adaptables y dinámicos; (ii) descripción en secuencia
lógica y ordenada de las actividades, tareas, y controles; (iii) determinación de
los responsables de los procesos, que serán aquellas personas encargadas de
su correcto funcionamiento, a través de establecer medidas y fijar objetivos
para gestionarlos y mejorarlos, garantizar que las metas globales se cumplan,
definir los límites y alcance, mantener contacto con los clientes internos y
externos del proceso para garantizar que se satisfagan y se conozcan sus
expectativas, entre otros; (iv) difusión y comunicación de los procesos
buscando garantizar su total aplicación; y, (v) actualización y mejora continua a
través del seguimiento permanente en su aplicación.
Deberá existir una adecuada separación de funciones que evite
concentraciones de carácter incompatible, entendidas éstas como aquellas
tareas cuya combinación en las competencias de una sola persona,
eventualmente, podría permitir la realización o el ocultamiento de fraudes,
errores, omisiones u otros eventos de riesgo operativo.
- 131 -
Las instituciones controladas deberán mantener inventarios actualizados de los
procesos existentes, que cuenten, como mínimo con la siguiente información:
tipo de proceso (gobernante, productivo y de apoyo), nombre del proceso,
responsable, productos y servicios que genera el proceso, clientes internos y
externos, fecha de aprobación, fecha de actualización, además de señalar si se
trata de un proceso crítico.
1.2 Personas.- Las instituciones controladas deben administrar el capital
humano de forma adecuada, e identificar apropiadamente las fallas o
insuficiencias asociadas al factor “personas”, tales como: falta de personal
adecuado, negligencia, error humano, nepotismo de conformidad con las
disposiciones legales vigentes, inapropiadas relaciones interpersonales y
ambiente laboral desfavorable, falta de especificaciones claras en los términos
de contratación del personal, entre otros.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las instituciones controladas deberán definir formalmente políticas,
procesos y procedimientos que aseguren una apropiada planificación y
administración del capital humano, los cuales considerarán los procesos de
incorporación, permanencia y desvinculación del personal al servicio de la
institución.
Dichos procesos corresponden a:
1.2.1 Los procesos de incorporación.- Que comprenden la planificación de
necesidades, el reclutamiento, la selección, la contratación e inducción de
nuevo personal;
- 132 -
Resolución No JB-2005-834
Página No 7
1.2.2 Los procesos de permanencia.- Que cubren la creación de condiciones
laborales idóneas; la promoción de actividades de capacitación y formación que
permitan al personal aumentar y perfeccionar sus conocimientos, competencias
y destrezas; la existencia de un sistema de evaluación del desempeño;
desarrollo de carrera; rendición de cuentas; e incentivos que motiven la
adhesión a los valores y controles institucionales; y,
1.2.3 Los procesos de desvinculación.- Que comprenden la planificación de
la salida del personal por causas regulares, preparación de aspectos jurídicos
para llegar al finiquito y la finalización de la relación laboral.
Los procesos de incorporación, permanencia y desvinculación antes indicados
deberán ser soportados técnicamente, ajustados a las disposiciones legales y
transparentes para garantizar condiciones laborales idóneas.
Las instituciones controladas deberán analizar su organización con el objeto de
evaluar si han definido el personal necesario y las competencias idóneas para
el desempeño de cada puesto, considerando no sólo experiencia profesional,
formación académica, sino también los valores, actitudes y habilidades
personales que puedan servir como criterio para garantizar la excelencia
institucional.
Las instituciones controladas mantendrán información actualizada del capital
humano, que permita una adecuada toma de decisiones por parte de los
niveles directivos y la realización de análisis cualitativos y cuantitativos de
acuerdo con sus necesidades.
- 133 -
Dicha información deberá referirse al personal existente en la institución; a la
formación académica y experiencia; a la forma y fechas de selección,
reclutamiento y contratación; información histórica sobre los eventos de
capacitación en los que han participado; cargos que han desempeñado en la
institución; resultados de evaluaciones realizadas; fechas y causas de
separación del personal que se ha desvinculado de la institución; y, otra
información que la institución controlada considere pertinente.
1.3 Tecnología de información.- Las instituciones controladas deben contar
con la tecnología de información que garantice la captura, procesamiento,
almacenamiento y transmisión de la información de manera oportuna y
confiable; evitar interrupciones del negocio y lograr que la información, inclusive
aquella bajo la modalidad de servicios provistos por terceros, sea íntegra,
confidencial y esté disponible para una apropiada toma de decisiones.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo
operativo, las instituciones controladas deberán definir formalmente políticas,
procesos y procedimientos que aseguren una adecuada planificación y
administración de la tecnología de información.
Dichas políticas, procesos y procedimientos se referirán a:
1.3.1 Con el objeto de garantizar que la administración de la tecnología de
información soporte adecuadamente los requerimientos de operación actuales
y futuros de la entidad, las instituciones controladas deben contar al menos con
lo siguiente:
- 134 -
Resolución No JB-2005-834
Página No 8
1.3.1.1 El apoyo y compromiso formal del directorio u organismo que haga sus
veces y la alta gerencia;
1.3.1.2 Un plan funcional de tecnología de información alineado con el plan
estratégico institucional; y, un plan operativo que establezca las actividades a
ejecutar en el corto plazo (un año), de manera que se asegure el logro de los
objetivos institucionales propuestos;
1.3.1.3 Tecnología de información acorde a las operaciones del negocio y al
volumen de transacciones, monitoreada y proyectada según las necesidades y
crecimiento de la institución;
1.3.1.4 Un responsable de la información que se encargue principalmente de
definir y autorizar de manera formal los accesos y cambios funcionales a las
aplicaciones y monitorear el cumplimiento de los controles establecidos;
1.3.1.5 Políticas, procesos y procedimientos de tecnología de información
definidos bajo estándares de general aceptación que garanticen la ejecución de
los criterios de control interno de eficacia, eficiencia y cumplimiento,
debidamente aprobados por el directorio u organismo que haga sus veces,
alineados a los objetivos y actividades de la institución;
1.3.1.6 Difusión y comunicación a todo el personal involucrado de las
mencionadas políticas, procesos y procedimientos, de tal forma que se asegure
su implementación; y,
1.3.1.7 Capacitación y entrenamiento técnico al personal del área de tecnología
de información y de los usuarios de la misma.
- 135 -
1.3.2 Con el objeto de garantizar que las operaciones de tecnología de
información satisfagan los requerimientos de la entidad, las instituciones
controladas deben contar al menos con lo siguiente:
1.3.2.1 Manuales o reglamentos internos, debidamente aprobados por el
directorio u organismo que haga sus veces, que establezcan como mínimo las
responsabilidades y procedimientos para la operación, el uso de las
instalaciones de procesamiento de información y respuestas a incidentes de
tecnología de información;
1.3.2.2 Un procedimiento de clasificación y control de activos de tecnología de
información, que considere por lo menos, su registro e identificación, así como
los responsables de su uso y mantenimiento, especialmente de los más
importantes;
1.3.3 Con el objeto de garantizar que los recursos y servicios provistos por
terceros, se administren con base en responsabilidades claramente definidas y
estén sometidas a un monitoreo de su eficiencia y efectividad, las instituciones
controladas deben contar al menos con lo siguiente:
1.3.3.1 Requerimientos contractuales convenidos que definan la propiedad de
la información y de las aplicaciones; y, la responsabilidad de la empresa
proveedora de la tecnología en caso de ser vulnerables sus sistemas, a fin de
mantener la integridad, disponibilidad y confidencialidad de la información; y,
1.3.3.2 Requerimientos contractuales convenidos que establezcan que las
aplicaciones sean parametrizables, que exista una transferencia del
conocimiento y que se entregue documentación técnica y de usuario, a fin de
reducir la dependencia de las instituciones controladas con proveedores
externos y los eventos de riesgo operativo que esto origina.
- 136 -
Resolución No JB-2005-834
Página No 9
1.3.4 Con el objeto de garantizar que el sistema de administración de seguridad
satisfaga las necesidades de la entidad para salvaguardar la información contra
el uso, revelación y modificación no autorizados, así como daños y pérdidas,
las instituciones controladas deben contar al menos con lo siguiente:
1.3.4.1 Políticas y procedimientos de seguridad de la información que
establezcan sus objetivos, importancia, normas, principios, requisitos de
cumplimiento, responsabilidades y comunicación de los incidentes relativos a la
seguridad; considerando los aspectos legales, así como las consecuencias de
violación de estas políticas;
1.3.4.2 La identificación de los requerimientos de seguridad relacionados con la
tecnología de información, considerando principalmente: la evaluación de los
riesgos que enfrenta la institución; los requisitos legales, normativos,
reglamentarios y contractuales; y, el conjunto específico de principios, objetivos
y condiciones para el procesamiento de la información que respalda sus
operaciones;
1.3.4.3 Los controles necesarios para asegurar la integridad, disponibilidad y
confidencialidad de la información administrada;
1.3.4.4 Un sistema de administración de las seguridades de acceso a la
información, que defina las facultades y atributos de los usuarios, desde el
registro, eliminación y modificación, pistas de auditoría; además de los
controles necesarios que permitan verificar su cumplimiento en todos los
ambientes de procesamiento;
- 137 -
1.3.4.5 Niveles de autorización de accesos y ejecución de las funciones de
procesamiento de las aplicaciones, formalmente establecidos, que garanticen
una adecuada segregación de funciones y reduzcan el riesgo de error o fraude;
1.3.4.6 Adecuados sistemas de control y autenticación para evitar accesos no
autorizados, inclusive de terceros; y, ataques externos especialmente a la
información crítica y a las instalaciones de procesamiento;
1.3.4.7 Controles adecuados para detectar y evitar la instalación de software no
autorizado o sin la respectiva licencia, así como instalar y actualizar
periódicamente aplicaciones de detección y desinfección de virus informáticos y
demás software maliciosos;
1.3.4.8 Controles formales para proteger la información contenida en
documentos; medios de almacenamiento u otros dispositivos externos; el uso e
intercambio electrónico de datos contra daño, robo, accesos, utilización o
divulgación no autorizada de información para fines contrarios a los intereses
de la entidad, por parte de todo su personal y de sus proveedores;
1.3.4.9 Instalaciones de procesamiento de información crítica en áreas
protegidas con los suficientes controles que eviten el acceso de personal no
autorizado y daños a los equipos de computación y a la información en ellos
procesada, almacenada o distribuida;
1.3.4.10 Las condiciones físicas y ambientales necesarias para garantizar el
correcto funcionamiento del entorno de la infraestructura de tecnología de
información;
1.3.4.11 Un plan para evaluar el desempeño del sistema de administración de
la seguridad de la información, que permita tomar acciones orientadas a
mejorarlo; y,
- 138 -
Resolución No JB-2005-834
Página No 10
1.3.4.12 Las instituciones controladas que ofrezcan los servicios de
transferencias y transacciones electrónicas deberán contar con políticas y
procedimientos de seguridad de la información que garanticen que las
operaciones sólo pueden ser realizadas por personas debidamente
autorizadas; que el canal de comunicaciones utilizado sea seguro, mediante
técnicas de encriptación de información; que existan mecanismos alternos que
garanticen la continuidad del servicio ofrecido; y, que aseguren la existencia de
pistas de auditoría.
1.3.5 Con el objeto de garantizar la continuidad de las operaciones, las
instituciones controladas deben contar al menos con lo siguiente:
1.3.5.1 Controles para minimizar riesgos potenciales de sus equipos de
computación ante eventos imprevistos, tales como: fallas, daños o insuficiencia
de los recursos de tecnología de información; robo; incendio; humo;
inundaciones; polvo; interrupciones en el fluido eléctrico, desastres naturales;
entre otros;
1.3.5.2 Políticas y procedimientos de respaldo de información periódicos, que
aseguren al menos que la información crítica pueda ser recuperada en caso de
falla de la tecnología de información o con posterioridad a un evento
inesperado;
1.3.5.3 Mantener los sistemas de comunicación y redundancia de los mismos
que permitan garantizar la continuidad de sus servicios; y,
1.3.5.4 Información de respaldo y procedimientos de restauración en una
ubicación remota, a una distancia adecuada que garantice su disponibilidad
ante eventos de desastre en el centro principal de procesamiento.
- 139 -
1.3.6 Con el objeto de garantizar que el proceso de adquisición, desarrollo,
implementación y mantenimiento de las aplicaciones satisfagan los objetivos
del negocio, las instituciones controladas deben contar al menos con lo
siguiente:
1.3.6.1 Una metodología que permita la adecuada administración y control del
proceso de compra de software y del ciclo de vida de desarrollo y
mantenimiento de aplicaciones, con la aceptación de los usuarios involucrados;
1.3.6.2 Documentación técnica y de usuario permanentemente actualizada de
las aplicaciones de la institución;
1.3.6.3 Controles que permitan asegurar la adecuada administración de
versiones de las aplicaciones puestas en producción; y,
1.3.6.4 Controles que permitan asegurar que la calidad de la información
sometida a migración, cumple con las características de integridad,
disponibilidad y confidencialidad.
1.3.7 Con el objeto de garantizar que la infraestructura tecnológica que soporta
las operaciones, sea administrada, monitoreada y documentada de forma
adecuada, las instituciones controladas deberán contar con políticas y
procedimientos que permitan la adecuada administración, monitoreo y
documentación de las bases de datos, redes de datos, software de base y
hardware.
1.4 Eventos externos.- En la administración del riesgo operativo, las
instituciones controladas deben considerar la posibilidad de pérdidas derivadas
de la ocurrencia de eventos ajenos a su control, tales como: fallas en los
servicios públicos, ocurrencia de desastres naturales, atentados y otros actos
delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades.
- 140 -
Resolución No JB-2005-834
Página No 11
Para el efecto, deben contar con planes de contingencia y de continuidad del
negocio.
SECCIÓN III.- ADMINISTRACIÓN DEL RIESGO OPERATIVO
ARTÍCULO 1.- En el marco de la administración integral de riesgos,
establecido en la sección II .Administración de riesgos., del capítulo I .De la
gestión integral y control de riesgos., de este subtítulo, las instituciones
controladas incluirán el proceso para administrar el riesgo operativo como un
riesgo específico, el cual, si no es administrado adecuadamente puede afectar
el logro de los objetivos de estabilidad a largo plazo y la continuidad del
negocio.
El diseño del proceso de administración de riesgo operativo deberá permitir a
las instituciones controladas identificar, medir, controlar/mitigar y monitorear
sus exposiciones a este riesgo al que se encuentran expuestas en el desarrollo
de sus negocios y operaciones. Cada institución desarrollará sus propias
técnicas o esquemas de administración, considerando su objeto social, tamaño,
naturaleza, complejidad y demás características propias.
ARTÍCULO 2.- Para una adecuada administración del riesgo operativo las
instituciones controladas deberán cumplir las disposiciones del artículo 1, de la
sección II del presente capítulo y adicionalmente, deberán contar con códigos
de ética y de conducta formalmente establecidos; con la supervisión del
directorio u organismo que haga sus veces de la alta gerencia; con una sólida
cultura de control interno; con planes de contingencias y de continuidad del
negocio debidamente probados; y, con la tecnología de información adecuada.
- 141 -
ARTÍCULO 3.- Con la finalidad de que las instituciones controladas administren
adecuadamente el riesgo operativo es necesario que agrupen sus procesos por
líneas de negocio, de acuerdo con una metodología establecida de manera
formal y por escrito, para lo cual deberán observar los siguientes lineamientos:
3.1 Los procesos productivos deberán asignarse a las líneas de negocio de
acuerdo con los productos y servicios que generan, de forma que a cada uno
de los procesos le corresponda una sola línea de negocio y que ningún proceso
permanezca sin asignar; y,
3.2 Las líneas de negocio también deberán agrupar los procesos gobernantes y
los procesos habilitantes que intervienen en las mismas. Si algún proceso
gobernante o proceso habilitante interviene en más de una línea de negocio, la
entidad deberá utilizar un criterio de asignación objetivo.
ARTÍCULO 4.- Las instituciones controladas deberán identificar, por línea de
negocio, los eventos de riesgo operativo, agrupados por tipo de evento, y, las
fallas o insuficiencias en los procesos, las personas, la tecnología de
información y los eventos externos. Los tipos de eventos son los siguientes:
4.1 Fraude interno;
4.2 Fraude externo;
4.3 Prácticas laborales y seguridad del ambiente de trabajo;
4.4 Prácticas relacionadas con los clientes, los productos y el negocio;
4.5 Daños a los activos físicos;
4.6 Interrupción del negocio por fallas en la tecnología de información; y,
4.7 Deficiencias en la ejecución de procesos, en el procesamiento de
operaciones y en las relaciones con proveedores y terceros.
En el anexo No. 1 se incluyen algunos casos de eventos de riesgo operativo,
agrupados por tipo de evento, fallas o insuficiencias que podrían presentarse
en las instituciones controladas y su relación con los factores de riesgo
operativo.
- 142 -
Resolución No JB-2005-834
Página No 12
Los eventos de riesgo operativo y las fallas o insuficiencias serán identificados
en relación con los factores de este riesgo a través de una metodología formal,
debidamente documentada y aprobada. Dicha metodología podrá incorporar la
utilización de las herramientas que más se ajusten a las necesidades de la
institución, entre las cuales podrían estar: autoevaluación, mapas de riesgos,
indicadores, tablas de control (scorecards), bases de datos u otras.
ARTÍCULO 5.- Una vez identificados los eventos de riesgo operativo y las
fallas o insuficiencias en relación con los factores de este riesgo y su incidencia
para la institución, los niveles directivos están en capacidad de decidir si el
riesgo se debe asumir, compartirlo, evitarlo o transferirlo, reduciendo sus
consecuencias y efectos.
La identificación antes indicada permitirá al directorio u organismo que haga
sus veces y a la alta gerencia de la entidad contar con una visión clara de la
importancia relativa de los diferentes tipos de exposición al riesgo operativo y
su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones,
que entre otras, pueden ser: revisar estrategias y políticas; actualizar o
modificar procesos y procedimientos establecidos; implantar o modificar límites
de riesgo; constituir, incrementar o modificar controles; implantar planes de
contingencias y de continuidad del negocio; revisar términos de pólizas de
seguro contratadas; contratar servicios provistos por terceros; u otros, según
corresponda.
- 143 -
ARTÍCULO 6.- En razón de que la administración del riesgo operativo
constituye un proceso continuo y permanente, será necesario que
adicionalmente las instituciones controladas conformen bases de datos
centralizadas, suficientes y de calidad, que permitan registrar, ordenar,
clasificar y disponer de información sobre los eventos de riesgo operativo; fallas
o insuficiencias; y, factores de riesgo operativo clasificados por línea de
negocio, determinando la frecuencia con que se repite cada evento y el efecto
cuantitativo de pérdida producida y otra información que las instituciones
controladas consideren necesaria y oportuna, para que a futuro se pueda
estimar las pérdidas esperadas e inesperadas atribuibles a este riesgo.
ARTÍCULO 7.- Aspecto importante de la administración del riesgo operativo es
el control, el cual requerirá que las instituciones controladas cuenten con
sistemas de control interno adecuados, esto es, políticas, procesos,
procedimientos y niveles de control formalmente establecidos y validados
periódicamente. Los controles deben formar parte integral de las actividades
regulares de la entidad para generar respuestas oportunas ante diversos
eventos de riesgo operativo y las fallas o insuficiencias que los ocasionaron.
ARTÍCULO 8.- El esquema de administración del riesgo operativo de las
instituciones controladas debe estar sujeto a una auditoría interna efectiva e
integral, por parte de personal competente, debidamente capacitado y
operativamente independiente.
La función de auditoría interna coadyuva al mejoramiento de la efectividad de la
administración de riesgos a través de una evaluación periódica, pero no es
directamente responsable de la gestión del riesgo operativo.
ARTÍCULO 9.- Las instituciones controladas deben contar permanentemente
con un esquema organizado de reportes que permitan disponer de información
suficiente y adecuada para gestionar el riesgo operativo en forma continua y
oportuna.
- 144 -
Resolución No JB-2005-834
Página No 13
Los reportes deberán contener al menos lo siguiente:
9.1 Detalle de los eventos de riesgo operativo, agrupados por tipo de evento;
las fallas o insuficiencias que los originaron relacionados con los factores de
riesgos operativos y clasificados por líneas de negocio;
9.2 Informes de evaluación del grado de cumplimiento de las políticas
relacionadas con los factores de riesgo operativo y los procesos y
procedimientos establecidos por la institución; y,
9.3 Indicadores de gestión que permitan evaluar la eficiencia y eficacia de las
políticas, procesos y procedimientos aplicados.
Estos informes deben ser dirigidos a los niveles adecuados de la institución de
manera que puedan ser analizados con una perspectiva de mejora constante
del desempeño en la administración del riesgo operativo; así como para
establecer o modificar políticas, procesos, procedimientos, entre otros.
SECCIÓN IV.- CONTINUIDAD DEL NEGOCIO
ARTÍCULO 1.- Las instituciones controladas deben implementar planes de
contingencia y de continuidad, a fin de garantizar su capacidad para operar en
forma continua y minimizar las pérdidas en caso de una interrupción severa del
negocio.
Para el efecto, deberán efectuar adecuados estudios de riesgos y balancear el
costo de la implementación de un plan de continuidad con el riesgo de no
tenerlo, esto dependerá de la criticidad de cada proceso de la entidad; para
aquellos de muy alta criticidad se deberá minimizar implementar un plan de
continuidad, para otros, bastará con un plan de contingencia.
- 145 -
Las instituciones controladas deberán establecer un proceso de administración
de continuidad de los negocios, que comprenda los siguientes aspectos claves:
1.1 Definición de una estrategia de continuidad de los negocios en línea con los
objetivos institucionales;
1.2 Identificación de los procesos críticos del negocio, aún en los provistos por
terceros;
1.3 Identificación de los riesgos por fallas en la tecnología de información;
1.4 Análisis que identifique los principales escenarios de contingencia tomando
en cuenta el impacto y la probabilidad de que sucedan;
1.5 Evaluación de los riesgos para determinar el impacto en términos de
magnitud de daños, el período de recuperación y tiempos máximos de
interrupción que puedan ocasionar los siniestros;
1.6 Elaboración del plan de continuidad del negocio para someterlo a la
aprobación del directorio u organismo que haga sus veces;
1.7 Realización de pruebas periódicas del plan y los procesos implantados que
permitan comprobar su aplicabilidad y realizar los ajustes necesarios; y,
1.8 Incorporación del proceso de administración del plan de continuidad del
negocio al proceso de administración integral de riesgos.
ARTÍCULO 2.- Los planes de contingencia y de continuidad de los negocios
deben comprender las previsiones para la reanudación y recuperación de las
operaciones.
- 146 -
Resolución No JB-2005-834
Página No 14
Los planes de contingencia y de continuidad deberán incluir, al menos, lo
siguiente:
2.1 Las personas responsables de ejecutar cada actividad y la información
(direcciones, teléfonos, correos electrónicos, entre otros) necesaria para
contactarlos oportunamente;
2.2 Acciones a ejecutar antes, durante y una vez ocurrido el incidente que
ponga en peligro la operatividad de la institución;
2.3 Acciones a realizar para trasladar las actividades de la institución a
ubicaciones transitorias alternativas y para el restablecimiento de los negocios
de manera urgente;
2.4 Cronograma y procedimientos de prueba y mantenimiento del plan; y,
2.5 Procedimientos de difusión, comunicación y concienciación del plan y su
cumplimiento.
SECCIÓN V.- RESPONSABILIDADES EN LA ADMINISTRACIÓN DEL
RIESGO OPERATIVO
ARTÍCULO 1.- Las responsabilidades del directorio u organismo que haga sus
veces, en cuanto a la administración del riesgo operativo, se regirán por lo
dispuesto en la sección III “Responsabilidad en la administración de riesgos”,
del capítulo I “De la gestión integral y control de riesgos”, de este subtítulo.
Adicionalmente, el directorio u organismo que haga sus veces tendrá las
siguientes responsabilidades en relación con la administración del riesgo
operativo:
- 147 -
1.1 Crear una cultura organizacional con principios y valores de
comportamiento ético que priorice la gestión eficaz del riesgo operativo;
1.2 Aprobar las disposiciones relativas a los procesos establecidos en el
numeral 1.1 del artículo 1, de la sección II de este capítulo;
1.3 Aprobar las políticas, procesos y procedimientos para la administración del
capital humano conforme con los lineamientos establecidos en el numeral 1.2
del artículo 1, de la sección II de este capítulo;
1.4 Aprobar las políticas y procedimientos de tecnología de información
establecidos en el numeral 1.3 del artículo 1, de la sección II de este capítulo;
y,
1.5 Aprobar los planes de contingencia y de continuidad del negocio a los que
se refiere la sección IV de este capítulo.
ARTÍCULO 2.- Las funciones y responsabilidades del comité de administración
integral de riesgos se regirán por lo dispuesto en la sección III
"Responsabilidad en la administración del riesgos", del capítulo I "De la gestión
integral y control de riesgos", de este subtítulo.
Adicionalmente, el comité de administración integral de riesgos tendrá las
siguientes responsabilidades en relación con la administración del riesgo
operativo:
2.1 Evaluar y proponer al directorio u organismo que haga sus veces las
políticas y el proceso de administración del riesgo operativo y asegurarse que
sean implementados en toda la institución y que todos los niveles del personal
entiendan sus responsabilidades con relación al riesgo operativo;
- 148 -
Resolución No JB-2005-834
Página No 15
2.2 Evaluar las políticas y procedimientos de procesos, personas y tecnología
de información y someterlas a aprobación del directorio u organismo que haga
sus veces;
2.3 Definir los mecanismos para monitorear y evaluar los cambios significativos
y la exposición a riesgos;
2.4 Evaluar y someter a aprobación del directorio u organismo que haga sus
veces los planes de contingencia y de continuidad del negocio a los que se
refiere la sección IV del este capítulo; asegurar la aplicabilidad; y, cumplimiento
de los mismos; y,
2.5 Analizar y aprobar la designación de líderes encargados de llevar a cabo
las actividades previstas en el plan de contingencia y de continuidad del
negocio.
ARTICULO 3.- Las funciones y responsabilidades de la unidad de riesgos se
regirán por lo dispuesto en la sección III "Responsabilidad en la administración
del riesgos", del capítulo I "De la gestión integral y control de riesgos", de este
subtítulo.
Adicionalmente, la unidad de riesgos tendrán las siguientes responsabilidades
en relación con la administración del riesgo operativo:
3.1 Diseñar las políticas y el proceso de administración del riesgo operativo;
3.2 Monitorear y evaluar los cambios significativos y la exposición a riesgos
provenientes de los procesos, las personas, la tecnología de información y los
eventos externos;
- 149 -
3.3 Analizar las políticas y procedimientos de tecnología de información,
propuestas por el área respectiva, especialmente aquellas relacionadas con la
seguridad de la información; y,
3.4 Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de
contingencia y de continuidad del negocio, al que se refiere la sección IV de
este capítulo; así como proponer los líderes de las áreas que deban cubrir el
plan de contingencias y de continuidad del negocio.
SECCIÓN VI.- DISPOSICIONES GENERALES
ARTÍCULO 1.- Para mantener un adecuado control de los servicios provistos
por terceros, incluidas las integrantes de un grupo financiero, las instituciones
controladas deberán observar lo siguiente:
1.1 Contar con políticas, procesos y procedimientos efectivos que aseguren
una adecuada selección y calificación de los proveedores, tales como:
1.1.1 Evaluación de la experiencia pertinente;
1.1.2 Desempeño de los proveedores en relación con los competidores;
1.1.3 Evaluación financiera para asegurar la viabilidad del proveedor durante
todo el período de suministro y cooperación previsto;
1.1.4 Respuesta del proveedor a consultas, solicitudes de presupuesto y de
ofertas;
1.1.5 Capacidad del servicio, instalación y apoyo e historial del desempeño en
base a los requisitos;
1.1.6 Capacidad logística del proveedor incluyendo las instalaciones y
recursos; y,
- 150 -
Resolución No JB-2005-834
Página No 16
1.1.7 La reputación comercial del proveedor en la sociedad.
1.2 Contratos debidamente suscritos y legalizados que contengan cláusulas
que detallen, entre otros, los niveles mínimos de servicio acordado; las
penalizaciones por incumplimiento; y, que prevean facilidades para la revisión y
seguimiento del servicio prestado, ya sea, por la unidad de auditoría interna u
otra área que la entidad designe, así como, por parte de los auditores externos
o de la Superintendencia de Bancos y Seguros; y,
1.3 Contar con proveedores alternos que tengan la capacidad de prestar el
servicio.
ARTÍCULO 2.- El manual que contempla el esquema de administración integral
de riesgos, de que trata el artículo 1, de la sección IV .Disposiciones
generales., del capítulo I "De la gestión integral y control de riesgos, de este
subtítulo, incluirá la administración del riesgo operativo.
ARTÍCULO 3.- La Superintendencia de Bancos y Seguros podrá disponer la
adopción de medidas adicionales a las previstas en el presente capítulo, con el
propósito de atenuar la exposición al riesgo operativo que enfrenten las
instituciones controladas.
Adicionalmente, la Superintendencia de Bancos y Seguros podrá requerir a las
Instituciones controladas, la información que considere necesaria para una
adecuada supervisión del riesgo operativo.
ARTÍCULO 4.- En caso de incumplimiento de las disposiciones contenidas en
este capítulo, la Superintendencia de Bancos y Seguros aplicará las sanciones
correspondientes de conformidad con lo establecido en el capítulo II .Normas
- 151 -
para la aplicación de sanciones pecuniarias., del subtítulo II .De las sanciones.,
del título X .De las limitaciones, prohibiciones y sanciones. de esta
Codificación.
SECCIÓN VII.- DISPOSICIONES TRANSITORIAS
PRIMERA.- Las instituciones controladas presentarán a la Superintendencia de
Bancos y Seguros, hasta el 30 de abril del 2006, su diagnóstico y el proyecto
de implementación de las disposiciones contenidas en este capítulo, para una
administración adecuada del riesgo operativo. El proyecto, debidamente
aprobado por el directorio u organismo que haga sus veces, incluirá un
cronograma detallado de las actividades que las instituciones controladas
realizarán para su cumplimiento, señalando el responsable de cada una de
ellas.
Para el caso de las cooperativas de ahorro y crédito que realizan
intermediación financiera con el público, el plazo para la presentación del
diagnóstico y proyecto de implementación será hasta el 31 de octubre del 2006.
SEGUNDA.- La implementación de las disposiciones previstas en este capítulo
no podrá exceder de los siguientes plazos:
1.1 Para grupos financieros; y, para los bancos o sociedades financieras que
no forman parte de un grupo financiero, las compañías de arrendamiento
mercantil, las compañías emisoras y administradoras de tarjetas de crédito, las
corporaciones de desarrollo de mercado secundario de hipotecas, las
instituciones financieras públicas, hasta el 31 de octubre del 2008; y,
- 152 -
Resolución No JB-2005-834
Página No 17
1.2 Para las cooperativas de ahorro y crédito que realizan intermediación con el
público y las asociaciones mutualistas de ahorro y crédito para la vivienda,
hasta el 31 de octubre del 2009. Esta fecha podrá ser modificada por el
Superintendente de Bancos y Seguros, considerando el tamaño de la
institución, la estructura organizacional, la cobertura geográfica y la
complejidad de sus operaciones.
TERCERA.- Con el objeto de que la Superintendencia de Bancos y Seguros
mantenga un adecuado conocimiento sobre el avance de la implantación de las
disposiciones contenidas en el presente capítulo, las instituciones controladas
deberán:
1.1 Hasta el 31 de diciembre del 2005, remitir a la Superintendencia de Bancos
y Seguros, copia certificada del acta de la sesión en que el directorio u
organismo que haga sus veces conoció el contenido del presente capítulo y de
las disposiciones emitidas.
También informarán el funcionario o área encargada de realizar el diagnóstico,
así como de liderar el proyecto de implantación de la administración del riesgo
operativo; y,
1.2 Hasta el 1 de marzo del 2006, deberán informar sobre el avance en la
elaboración del proyecto y su cronograma.
- 153 -
ARTICULO 2.- La presente resolución entrará en vigencia a partir su
publicación en el Registro Oficial.
COMUNÍQUESE Y PUBLÍQUESE EN EL REGISTRO OFICIAL.- Dada en la
Superintendencia de Bancos y Seguros, en Guayaquil, el veinte de octubre del
dos mil cinco.
Ing. Alejandro Maldonado García
PRESIDENTE DE LA JUNTA BANCARIA
LO CERTIFICO.- Guayaquil, veinte de octubre del dos mil cinco
Lcdo. Pablo Cobo Luna
SECRETARIO DE LA JUNTA BANCARIA
Junta Bancaria del Ecuador
Resolución No JB-2005-834