Gestión de riesgos operativos en Ecuador

La Superintendencia de Bancos de Ecuador a través de la Norma de control para la gestión del riesgo operativo da los lineamientos que deben tener en cuenta las entidades del sector financiero público y privado para una adecuada administración del riesgo operativo. 

Introducción

A través de la Resolución N° SB-2021-2126 del 2 de diciembre de 2021, la Superintendencia de Bancos de Ecuador sustituyó el Capítulo V “Norma de control para la gestión del riesgo operativo” del Título IX “De la gestión y administración de riesgos” del Libro I “Normas de control para las entidades de los sectores financieros público y privado”. 

De acuerdo con lo dispuesto en la norma, el sector financiero público son los bancos y las corporaciones, mientras que el sector financiero privado son los bancos múltiples, los bancos especializados, las entidades de servicios financieros y las entidades de servicios auxiliares del sistema financiero.

Por otro lado, en esta norma el riesgo operativo es entendido como “la posibilidad de que se ocasionen pérdidas por eventos derivados de fallas o insuficiencias en los factores de: procesos, personas, tecnología de la información y por eventos externos. El riesgo operativo incluye el riesgo legal, pero excluye los riesgos sistémico, estratégico y de reputación”.

En general, para la administración integral de este tipo de riesgos, según la norma, las entidades controladas deben definir políticas, procesos, procedimientos y metodologías para la gestión del riesgo operativo como un riesgo específico. 

Igualmente, deben adoptar un modelo basado en el esquema de las tres líneas de defensa considerando su objeto social, tamaño, naturaleza, complejidad de sus operaciones y otras características propias. 

La administración del riesgo operativo también debe permitir a las entidades controladas la identificación, medición, control y monitoreo de la exposición que tienen a este riesgo en el desarrollo de sus negocios y operaciones. 

A continuación podrás conocer los principales aspectos de la Norma de control para la gestión del riesgo operativo. Entre otros temas, te contaremos sobre las etapas de la administración del riesgo, los factores de riesgo operativo y la gestión de incidentes.

Además, te mostraremos cómo a través de nuestro Sistema de Gestión de Riesgos Operativos, ORM, facilitamos a las entidades el cumplimiento de esta norma.

Crear cuenta gratis

gestion-riesgos-operativos-ecuador

Administración del riesgo operativo

Para una gestión adecuada y efectiva del riesgo operativo, la norma establece que las entidades controladas deben ejecutar las siguientes acciones:

etapas-gestion-riesgos-ecuador

1. Identificar los riesgos

Según el artículo 5 de la norma, las entidades controladas deben identificar los riesgos operativos por línea de negocio, tipo de evento, factor de riesgo operativo y las fallas o insuficiencias. Para hacer esto deben utilizar una metodología que esté debidamente documentada y aprobada, que además incorpore el uso de herramientas que se ajusten a las necesidades de la entidad.

Con respecto a los tipos de eventos de riesgo operativo, deben considerar por lo menos los siguientes:

  • Fraude interno.
  • Fraude externo.
  • Prácticas laborales y seguridad del ambiente de trabajo.
  • Prácticas relacionadas con los clientes, los productos y el negocio.
  • Daños a los activos físicos.
  • Interrupción del negocio por fallas en la tecnología de la información.
  • Deficiencias en el diseño o la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.

2. Medir los riesgos

Después de haber identificado los riesgos operativos y las fallas o insuficiencias relacionadas con los factores de riesgo, tal como lo específica el artículo 6, las entidades deben medir el riesgo determinando su probabilidad de ocurrencia e impacto que puede tener para esta.

Esto con el fin de tener una visión clara de la exposición a este riesgo y poder tomar decisiones y acciones de manera oportuna, es decir, si se va mitigar, transferir, asumir o evitar el riesgo reduciendo sus efectos. 

Adicionalmente, deben implementar mecanismos de cuantificación periódica sobre los eventos de pérdidas producidos por este tipo de riesgos para así poder reevaluar la declaración de tolerancia institucional ante el riesgo operativo.

3. Controlar los riesgos

El artículo 7 de la norma señala la importancia del control para la administración del riesgo operativo. En general, los controles deben ser parte integral de las actividades regulares de la entidad controlada para poder generar respuestas oportunas ante eventos de riesgo operativo y las fallas o insuficiencias que los ocasionaron.

Y las entidades controladas también deben implementar mecanismos efectivos para mitigar los riesgos relacionados a los factores del riesgo operativo.

4. Monitorear los riesgos

Las entidades controladas, de acuerdo con el artículo 8, deben realizar un monitoreo permanente de los riesgos asociados a sus procesos, nivel de exposición y también deben contar con un esquema de reportes que les permita tener información suficiente, pertinente y oportuna para la toma de decisiones. Entre otros aspectos, este reporte debe incluir:

  • El reporte de indicadores claves de riesgo operativo para evaluar la eficiencia y eficacia de las políticas, procesos, procedimientos y metodologías aplicadas.
  • El reporte de cumplimiento de los planes de mitigación.
  • El reporte de la matriz y mapas de riesgos operativos

Sumado a esto, los informes trimestrales dirigidos al comité de administración integral de riesgos de la entidad deben incluir: 

  • Los niveles de exposición al riesgo operativo.
  • La evolución de los riesgos.
  • La eficiencia y eficacia de las políticas, procesos, procedimientos y metodologías aplicadas.
  • El grado de cumplimiento de los planes de mitigación.
  • Conclusiones y recomendaciones.

Esto con el objetivo de que puedan ser analizados con una perspectiva de mejora constante del desempeño en la gestión del riesgo operativo; además, para establecer o modificar políticas, procesos, procedimientos y metodologías.

5. Conformar bases de datos centralizadas

Adicional a las cuatro etapas de identificación, medición, control y monitoreo de los riesgos operativos, el artículo 9 de la norma indica que las entidades controladas deben conformar bases de datos centralizadas que les permita registrar, ordenar, clasificar y disponer de información sobre los riesgos y eventos de riesgo operativo de orden legal, de seguridad de la información y de continuidad del negocio.

Además del efecto cuantitativo de pérdida producida y estimada, la frecuencia y probabilidad y otra información que consideren necesaria y oportuna para estimar las pérdidas atribuibles a este tipo de riesgo. La unidad de riesgo operativo es la responsable de administrar esta base de datos. 

La norma también indica, artículo 10, que las entidades deben definir una política de comunicación formal de los eventos de riesgo operativo que deban informar interna o externamente, esta debe estar sujeta a revisión periódica según las estrategias organizacionales. Igualmente, deben implementar un proceso para evaluar el impacto de la información a comunicar en función a su gestión de riesgos.

Factores del riesgo operativo

Para disminuir la probabilidad de tener pérdidas atribuibles al riesgo operativo, las entidades controladas deben administrar este riesgo para cada uno de sus factores, es decir:

factores-riesgo-operativo-ecuador

1. Factor procesos

El artículo 13 indica que para garantizar la optimización de los recursos y la estandarización de las actividades, las empresas deben adoptar un enfoque eficiente y eficaz de gestión por procesos. 

Este debe estar basado en el estándar ISO 9001 y entre otros elementos puede incluir: 

1. El mapa de procesos según la estrategia y las políticas adoptadas por la entidad. Los procesos deben estar agrupados así:

  • Gobernantes o estratégicos. Entre estos están: planificación estratégica, lineamientos de acción básicos, estructura organizacional, administración integral de riesgos, continuidad del negocio y seguridad de la información.
  • Productivos, fundamentales u operativos. Son los procesos para llevar a cabo las actividades que permiten ejecutar las políticas y estrategias relacionadas con la calidad de los productos o servicios que ofrece la entidad.
  • Habilitantes, de soporte o apoyo. Son los procesos que permiten a los procesos gobernantes y productivos su ejecución.

2. La asignación de los procesos productivos a las líneas de negocio según los productos y servicios generados. Ningún proceso debe estar sin asignación a una línea de negocio.

3. Una metodología para el diseño, control, actualización, seguimiento y medición de los procesos. Entre otros aspectos, esta metodología debe contener:

  • Descripción y diagramación de forma lógica de las actividades, tareas y controles.
  • Responsables de los procesos, es decir, las personas encargadas de su adecuado funcionamiento y del establecimiento de controles y planes de acción para una correcta administración del riesgo operativo.
  • Identificación de clientes internos y externos.
  • Productos y servicios generados.
  • Actualización y mejora continua a través del seguimiento periódico en su aplicación para los procesos productivos.

4. Inventarios actualizados de los procesos existentes, estos deben tener la siguiente información: tipo de proceso, nombre del proceso, responsables, línea de negocio, fecha de aprobación y fecha de actualización.

5. La separación de funciones para evitar concentraciones de carácter incompatible, es decir, aquellas tareas que ejecuta una sola persona y que podría facilitar la realización o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo.

6. Indicadores para cada uno de los procesos para poder medir la efectividad de estos.

2. Factor personas

Con respecto a este factor, el artículo 14 de la norma dice que las empresas deben administrar el recurso humano de forma tal que les permita gestionar los riesgos asociados a este. En este sentido deben:

  1. Definir políticas, procesos y procedimientos formales para la incorporación, permanencia y desvinculación del personal al servicio de la entidad, soportados y ajustados a las disposiciones legales.

  2. Asegurar que se mantengan actualizados los acuerdos de confidencialidad relacionados con los procesos que realizan los empleados y los riesgos asociados a las funciones que desempeñan.

  3. Determinar responsabilidades y deberes de seguridad de la información que continúen vigentes tras el cambio de funciones o la terminación de la relación laboral.

  4. Mantener un archivo digital centralizado con información actualizada del recurso humano. Entre otros datos debe incluir: formación académica y experiencia; forma y fechas de reclutamiento, selección y contratación; información histórica sobre los eventos de capacitación en los que ha participado; cargos que ha desempeñado en la entidad; resultados de evaluaciones de desempeño realizadas, etc.

3. Factor tecnología de la información

De acuerdo con el artículo 15 de la norma, las entidades controladas deben contar con tecnología de la información que permita garantizar la captura, procesamiento, almacenamiento y transmisión de la información de forma segura, oportuna y confiable; además, evitar que haya interrupciones del negocio y lograr que la información esté disponible para la toma de decisiones. 

De esta manera, las entidades deben, entre otras cosas:

  1. Contar con un área de tecnología de la información según el tamaño y complejidad de las operaciones, además, conformar el comité de tecnología, encargado de evaluar y supervisar las actividades estratégicas de carácter tecnológico.

  2. Garantizar que la administración de la tecnología de la información soporte los requerimientos de operación actuales y futuros de la entidad, por eso es importante contar, por un lado, con el apoyo y compromiso formal del directorio; y por otro lado, con políticas, procesos, procedimientos y metodologías de tecnología de la información alineados a los objetivos y actividades de la empresa, así como las consecuencias de su incumplimiento.

  3. Garantizar que las operaciones de tecnología de la información satisfagan los requerimientos de la empresa, de esta manera se deben implementar:

    a. Procedimientos de las actividades y responsables de la operación y el uso de los centros de datos, incluyendo controles para evitar accesos no autorizados.
    b. Procedimientos de gestión de incidentes y problemas de tecnología de la información, que consideren su registro, priorización, análisis, escalamiento y solución.
    c. Procedimientos de respaldo de información periódicos, acorde a los requerimientos legales y de continuidad del negocio.

  4. Implementar una metodología que permita la administración y control del ciclo de vida de desarrollo y mantenimiento de las aplicaciones, teniendo en cuenta las mejores prácticas internacionales.

  5. Garantizar la administración, monitoreo y documentación de la infraestructura tecnológica que soporta las operaciones.

  6. Implementar procedimientos de control de cambios según las metodologías y mejores prácticas nacionales e internacionales de la industria, para asegurar que los cambios a las aplicaciones o a la infraestructura que soporta las operaciones están debidamente autorizados, documentados, probados y aprobados por el propietario de la información previo a su paso a producción.

4. Factor eventos externos

Sobre este cuarto factor de riesgo operativo, la norma dice que las entidades deben considerar la posibilidad de pérdidas a causa de eventos ajenos a su control, por ejemplo: fallas en los servicios públicos, desastres naturales, ataques cibernéticos, atentados y otros actos delictivos que pueden afectar el desarrollo normal de sus actividades.

Así mismo, la norma indica que la gestión de los riesgos relacionados con eventos externos debe formar parte de la administración de la continuidad del negocio, buscando así garantizar su capacidad de operación de forma continua y minimizar las pérdidas en caso de presentarse una interrupción.

Gestión de incidentes

Los incidentes son todos aquellos sucesos que puedan afectar el normal funcionamiento de los servicios de una organización. 

El artículo 17 de la norma establece que las entidades controladas deben desarrollar e implementar planes de respuesta y recuperación para gestionar los incidentes, especialmente aquellos que estén relacionados con sus servicios críticos, en línea con la tolerancia al riesgo definida por la entidad y teniendo en cuenta las mejores prácticas de la industria.

Para llevar a cabo esta gestión de incidentes, las entidades deben considerar, por lo menos:

  1. Asignar un gestor de incidentes encargado de la trazabilidad hasta finalizar la atención de los incidentes, así como del respectivo registro en la base de conocimiento.

  2. Establecer políticas, procesos, procedimientos y metodologías para la gestión de incidentes que puedan afectar a los factores de riesgo operativo.

  3. La gestión de incidentes debe abarcar el ciclo de vida del incidente, es decir, incluir elementos como: registro, priorización según la gravedad, análisis, escalamiento, solución, monitoreo, lecciones aprendidas y reporte a los interesados, tanto internos como externos.

  4. Ejecutar pruebas controladas de gestión de incidentes.

  5. Mantener una base de conocimiento de respuesta a incidentes y recuperación con recursos internos y de terceros, si aplica, para respaldar las capacidades de respuesta y reanudación de los servicios.
    Los procedimientos asociados deben revisarse, probarse y actualizarse periódicamente por las áreas involucradas y se deben identificar y mitigar las causas para evitar que se repitan los incidentes.

  6. Comunicar a la Superintendencia de Bancos los incidentes que afecten a sus servicios críticos, conforme a las disposiciones emitidas por el organismo de control.

Tecnología para la gestión del riesgo operativo

Para dar cumplimiento a la Norma de control para la gestión del riesgo operativo de una manera adecuada, más simple y eficiente, es recomendable que las entidades del sector financiero público y privado se apoyen en herramientas tecnológicas que faciliten la administración del riesgo operativo.

Con el Sistema de Gestión de Riesgos Operativos de Pirani, ORM, podemos ayudar a las entidades como la tuya a ejecutar fácilmente cada una de las etapas de la gestión de riesgos indicadas en la norma:

 

Identificación de riesgos

A través del módulo de Riesgos de nuestro sistema en tu empresa pueden crear los diferentes riesgos operativos a los que están expuestos, determinar sus causas y consecuencias y asociarlos a los procesos, que pueden crear en el módulo de Procesos especificando si son de tipo estratégico, misional o de apoyo, así como si son un macroproceso, un proceso o un subproceso.

Medición de riesgos

En Pirani pueden crear y parametrizar la matriz de riesgos, es decir, establecer los niveles de riesgo y las variables de probabilidad e impacto según la metodología utilizada en la organización. 

Después de tener la matriz creada, en la creación de los riesgos identificados pueden calificar tanto la probabilidad como el impacto que estos tendrían, según las variables definidas en la matriz. Una vez lo hagan, pueden ver la ubicación de cada uno de los riesgos inherentes en la matriz de riesgos.

Control de riesgos

El módulo de Controles de nuestro Sistema de Gestión de Riesgos Operativos les permite crear los controles para mitigar la probabilidad o el impacto de los riesgos operativos identificados, además, a través de las variables de diseño y ejecución que definan, pueden establecer la solidez de estos. 

Los controles pueden ser correctivos, detectivos o preventivos y pueden asociarse fácilmente a los riesgos, de esta manera, se obtiene el riesgo residual. 

Además de los controles, el sistema también les permite crear planes de acción para un adecuado tratamiento de los riesgos operativos. En estos planes se puede incluir información como nombre, descripción, fecha de inicio, fecha de finalización, responsable y las actividades que conforman el plan. 

Monitoreo de riesgos

Por medio del módulo de Reportes van a poder visualizar y descargar diferentes informes sobre la gestión de los riesgos operativos, por ejemplo, el perfil de riesgos por procesos, el perfil de riesgo organizacional, la evolución de la matriz de riesgos (inherentes y residuales), los eventos por estado, entre otros. 

Adicionalmente, gracias a la centralización de toda la información pueden realizar un monitoreo continuo a la gestión que realizan y de esta forma, pueden tomar decisiones oportunas que beneficien a la entidad. 

Base de eventos de riesgo

Con respecto a la base de datos centralizada sobre riesgos y eventos de riesgo operativo, Pirani a través del módulo de Eventos les permite registrar los diferentes eventos de riesgo operativo que puedan presentarse. En el sistema pueden agregar información sobre estos: nombre, descripción, dónde ocurrió, fecha de inicio y fecha de descubrimiento, si genera pérdidas y adjuntar evidencia.

¿En tu empresa ya conocen nuestro Sistema de Gestión de Riesgos Operativos, ORM?

Crear cuenta gratis

Referencia bibliográfica

      1. Libro I - Normas de control para las entidades de los sectores financieros público y privado - Título IX: De la gestión y administración de riesgos - Capítulo V: Norma de control para la gestión del riesgo operativo.
gestion-riesgos-operativos-ecuador

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis