Norma de control para la gestión del riesgo operativo en Ecuador

A través de la Resolución N° SB-2021-2126 del 2 de diciembre de 2021, la Superintendencia de Bancos de Ecuador actualizó la Norma de control para la gestión del riesgo operativo en las entidades financieras públicas y privadas que están bajo su vigilancia y control. 

¿Quiénes son las entidades obligadas a cumplir la norma?

De acuerdo a lo establecido por Superbancos, las entidades financieras públicas son los bancos y corporaciones, mientras que las privadas son los bancos múltiples, bancos especializados, las entidades de servicios financieros y entidades de servicios auxiliares del sistema financiero. 

En este artículo de nuestro blog te contamos sobre las etapas de la administración del riesgo operativo que establece la norma, además, de los factores de riesgo operativo que las entidades obligadas deben considerar. 

Etapas de la administración del riesgo operativo

Para una adecuada y efectiva gestión del riesgo operativo, las entidades obligadas a dar cumplimiento a esta norma de la Superintendencia de Bancos deben implementar las siguientes etapas:

1. Identificación de los riesgos
2. Medición de los riesgos
3. Control de los riesgos
4. Monitoreo de los riesgos
5. Conformación de bases de datos centralizadas.

1. Identificación de los riesgos

En esta primera etapa, tal como lo establece el artículo 5 de la norma, los riesgos operativos deben ser identificados por línea de negocio, tipo de evento, factor de riesgo operativo y las fallas o insuficiencias. 

Para hacerlo, las entidades deben utilizar una metodología que esté documentada y aprobada, además que incorpore el uso de herramientas que se ajusten a las necesidades de cada organización. 

Y entre los tipos de eventos de riesgo operativo que se deben tener en cuenta, la norma de Superbancos menciona los siguientes: 

1. Fraude interno.
2. Fraude externo.
3. Prácticas laborales y seguridad del ambiente de trabajo.
4. Prácticas relacionadas con los clientes, los productos y el negocio.
5. Daños a los activos físicos.
6. Interrupción del negocio por fallas en la tecnología de la información.
7. Deficiencias en el diseño o la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.

2. Medición de los riesgos

Después de la identificación de los riesgos operativos, de acuerdo con el artículo 6 de la norma, se deben medir determinando tanto su probabilidad de ocurrencia como el impacto que podrían tener. 

El objetivo de esto es poder tener una visión clara de la exposición que tiene la entidad al riesgo operativo y poder tomar decisiones y acciones oportunamente, por ejemplo, si se va a mitigar, transferir, asumir o evitar el riesgo reduciendo sus efectos. 

Igualmente, en esta etapa de medición del riesgo las entidades deben implementar mecanismos de cuantificación periódica sobre los eventos de pérdidas producidos por este tipo de riesgos para poder reevaluar la declaración de tolerancia institucional ante el riesgo operativo.

3. Control de los riesgos

Tal como lo establece la Superintendencia de Bancos en la norma, los controles deben ser parte integral de las actividades regulares de la entidad controlada para poder generar respuestas oportunas ante eventos de riesgo operativo y las fallas o insuficiencias que los ocasionaron.

Así mismo, las entidades deben implementar mecanismos efectivos para mitigar los riesgos relacionados a los factores del riesgo operativo, diferentes a los señalados anteriormente.

4. Monitoreo de los riesgos

Sobre esta cuarta etapa, el artículo 8 indica que el monitoreo debe ser permanente y debe ser sobre los riesgos asociados a los procesos, el nivel de exposición y también las entidades deben contar con un esquema de reportes que les permita tener información suficiente, pertinente y oportuna para la toma de decisiones. 

Por otro lado, los informes trimestrales que están dirigidos al comité de administración integral de riesgos de la entidad, según lo establecido por Superbancos, deben tener la siguiente información:

• Niveles de exposición al riesgo operativo.
• Evolución de los riesgos.
• Eficiencia y eficacia de las políticas, procesos, procedimientos y metodologías aplicadas.
• Grado de cumplimiento de los planes de mitigación.
• Conclusiones y recomendaciones.

Todo esto es para que puedan ser analizados con una perspectiva de mejora constante del desempeño en la gestión del riesgo operativo; además, para establecer o modificar políticas, procesos, procedimientos y metodologías.

5. Conformación de bases de datos centralizadas

Sumada a las cuatro etapas anteriores para la gestión del riesgo operativo, el artículo 9 señala que las entidades controladas también deben conformar bases de datos centralizadas con las que puedan registrar, ordenar, clasificar y disponer de información sobre los riesgos y eventos de riesgo operativo de orden legal, de seguridad de la información y de continuidad del negocio; además del efecto cuantitativo de pérdida producida y estimada, la frecuencia y probabilidad y otra información que consideren necesaria y oportuna. 

La unidad de riesgo operativo es la responsable de administrar esta base de datos. 

A través del Sistema de Gestión de Riesgos Operativos de Pirani, ORM, podemos ayudar a las entidades del sector financiero público y privado de Ecuador a ejecutar cada una de estas etapas de la administración del riesgo operativo y cumplir fácilmente con la norma de la Superintendencia de Bancos. 

Factores del riesgo operativo a tener en cuenta

El artículo 12 de la norma de Superbancos indica que para disminuir la probabilidad de tener pérdidas atribuibles al riesgo operativo, las entidades controladas deben administrar este riesgo para cada uno de sus factores. Estos son: 

1. Procesos

Las organizaciones deben adoptar un enfoque eficiente y eficaz de gestión por procesos para así garantizar la optimización de los recursos y la estandarización de las actividades. Para esto deben tomar como referencia el estándar ISO 9001. 

Aquí, por ejemplo, deben incluir el mapa de procesos según la estrategia y las políticas adoptadas por la entidad.

2. Personas

Las entidades deben administrar el recurso humano de forma tal que les permita gestionar los riesgos asociados a este factor. 

Entre otras cosas, es importante que las organizaciones definan políticas, procesos y procedimientos formales para la incorporación, permanencia y desvinculación del personal al servicio de la entidad financiera. 

3. Tecnología de la información

Con respecto a este factor de riesgo operativo, la Superintendencia de Bancos dice que las entidades deben contar con tecnología de la información que les permita garantizar la captura, procesamiento, almacenamiento y transmisión de la información de forma segura, oportuna y confiable; así como evitar interrupciones del negocio y lograr que la información esté disponible para la toma de decisiones. 

4. Eventos externos

Sobre este cuarto factor, las organizaciones del sector financiero público y privado deben considerar la posibilidad de pérdidas a causa de eventos externos como fallas en los servicios públicos, desastres naturales, ataques cibernéticos, atentados y otros actos delictivos que pueden afectar el desarrollo normal de sus actividades.

La norma también dice que la gestión de los riesgos relacionados con eventos externos debe formar parte de la administración de la continuidad del negocio. 

Recuerda que en Pirani, a través de nuestro Sistema de Gestión de Riesgos Operativos (ORM), podemos ayudar a las entidades financieras públicas y privadas de Ecuador a implementar y dar cumplimiento a esta Norma de control para la gestión del riesgo operativo de la Superintendencia de Bancos. Crea tu cuenta gratis y conoce más.