Norma de Gestión de Riesgo Operativo de Ecuador: qué es y a quién aplica

La norma de gestión de riesgo operativo de Ecuador es la regulación que obliga a las entidades financieras a identificar, medir, controlar, mitigar y monitorear el riesgo operativo, entendido como la posibilidad de pérdidas por fallas o insuficiencias en cuatro factores: los procesos, las personas, la tecnología de la información y los eventos externos. La norma vigente es la "Norma de control para la gestión del riesgo operativo", establecida por la Resolución SB-2021-2126 del 2 de diciembre de 2021 de la Superintendencia de Bancos, que sustituyó por completo la regulación anterior y adoptó estándares internacionales como ISO 27000, ISO 22301 y COBIT 2019.

Esta guía explica qué es el riesgo operativo según la norma ecuatoriana vigente, a quién aplica, los cuatro factores de riesgo, el modelo de tres líneas de defensa, la resiliencia operativa y cómo gestionarla de forma efectiva.

¿Qué es el riesgo operativo?

El riesgo operativo es la posibilidad de que una entidad sufra pérdidas por eventos derivados de fallas o insuficiencias en sus procesos, su personal, su tecnología de la información o por eventos externos. A diferencia del riesgo de crédito o de mercado, no proviene de la exposición a un deudor o a un precio, sino del funcionamiento interno de la organización: un error humano, una caída de sistemas, un proceso mal diseñado o un desastre natural.

La norma vigente define el riesgo operativo a partir de dos conceptos: el evento de riesgo operativo (el hecho que deriva en pérdidas, originado por fallas en los factores) y el factor de riesgo operativo (la causa primaria u origen de ese evento). La norma precisa además que el riesgo operativo incluye el riesgo legal, pero excluye los riesgos sistémico, estratégico y de reputación.

¿A quién aplica la norma?

La norma aplica a las entidades controladas de los sectores financieros público y privado del Ecuador, bajo la supervisión de la Superintendencia de Bancos. Según el Código Orgánico Monetario y Financiero, esto comprende:

  • Sector financiero público: bancos y corporaciones.
  • Sector financiero privado: bancos múltiples, bancos especializados, entidades de servicios financieros y entidades de servicios auxiliares del sistema financiero.

Estas entidades deben observar tanto la política de gestión integral de riesgos de la Junta de Política y Regulación Monetaria y Financiera como las reglas específicas de esta norma de riesgo operativo.

Los 4 factores del riesgo operativo

El corazón de la norma es la identificación del riesgo a través de cuatro factores, que toda entidad debe gestionar de forma diferenciada:

Factor Qué comprende Ejemplos de fallas
Procesos Diseño, ejecución y control de los procesos internos Proceso mal diseñado, ausencia de controles, inadecuada segregación de funciones
Personas Gestión del capital humano en todo su ciclo Selección inadecuada, falta de capacitación, error humano, fraude interno
Tecnología de la información Hardware, software, redes, ciberseguridad y nube Fallas de sistemas, errores de datos, ataques informáticos, ausencia de respaldos
Eventos externos Situaciones ajenas a la entidad que la afectan Desastres naturales, fallas de servicios públicos, fraude externo, vandalismo

Para cada factor, la norma exige definir políticas, procesos, procedimientos y metodologías. Una novedad de la norma vigente es la incorporación explícita de conceptos modernos de tecnología: ciberseguridad, computación en la nube, protección de datos personales y estándares de centros de datos (TIA-942, TIER III), reflejando la digitalización del sector financiero.

El modelo de tres líneas de defensa

Uno de los cambios más importantes de la norma de 2021 es que exige adoptar un modelo basado en tres líneas de defensa para administrar el riesgo operativo, proporcional al tamaño y complejidad de cada entidad:

  • Primera línea: las áreas de negocio y operativas, responsables de diseñar y evaluar sus propios controles y de aplicar acciones preventivas y correctivas.
  • Segunda línea: áreas especializadas que monitorean y hacen contraposición de los controles de la primera línea y vigilan la evolución de los riesgos.
  • Tercera línea: el área de control (auditoría interna) que asegura, de forma independiente y objetiva, las prácticas de gobierno y administración del riesgo.

Este modelo conecta la gestión del riesgo operativo con la de auditoría, y responsabiliza al órgano de gobierno de la entidad por el marco completo.

Tipos de eventos de riesgo operativo

La norma, siguiendo al Comité de Basilea, clasifica los eventos de riesgo operativo en categorías que las entidades deben usar para registrar sus pérdidas. Los tipos de evento son:

  • Fraude interno.
  • Fraude externo.
  • Relaciones laborales y seguridad en el puesto de trabajo.
  • Clientes, productos y prácticas empresariales.
  • Daños a activos materiales.
  • Incidencias en el negocio y fallos en los sistemas.
  • Ejecución, entrega y gestión de procesos.

La norma vigente detalla estos eventos en tres niveles (Anexo 1), lo que permite un registro mucho más granular. Registrar los eventos por línea de negocio y tipo construye una base de datos de pérdidas, materia prima para medir el riesgo y anticipar dónde reforzar controles.

Resiliencia operativa y continuidad del negocio

La norma de 2021 introduce el conceptu de resiliencia operativa: la capacidad de una entidad para seguir entregando sus servicios críticos durante eventos disruptivos, protegiéndose de amenazas, respondiendo, adaptándose, recuperándose y aprendiendo de ellos. Este es un salto conceptual frente a la norma anterior, que hablaba solo de continuidad.

En la práctica, la entidad debe contar con un plan de continuidad del negocio y con métricas concretas de recuperación: el RTO (tiempo de recuperación objetivo, cuánto puede tardar en reanudar una actividad) y el RPO (punto de recuperación objetivo, cuántos datos puede permitirse perder). Estas métricas alinean a Ecuador con estándares internacionales como ISO 22301.

Obligaciones principales de las entidades

En síntesis, una entidad controlada debe:

  1. Definir políticas y metodologías para administrar el riesgo operativo como riesgo específico.
  2. Adoptar el modelo de tres líneas de defensa.
  3. Identificar los riesgos por línea de negocio, tipo de evento y factor, con herramientas como autoevaluación, mapas de riesgo, indicadores y scorecards.
  4. Usar Indicadores Clave de Riesgo (KRI) para cuantificar el perfil de riesgo frente al apetito definido.
  5. Mantener una base de datos de eventos de pérdida.
  6. Implementar la seguridad de la información y la ciberseguridad.
  7. Establecer resiliencia operativa con plan de continuidad, RTO y RPO.

Sanciones por incumplimiento

En caso de incumplimiento, la Superintendencia de Bancos del Ecuador aplica las sanciones correspondientes conforme al régimen previsto en la Codificación de las Normas y en el Código Orgánico Monetario y Financiero. Más allá de la sanción, una gestión deficiente del riesgo operativo expone a la entidad a pérdidas financieras directas, interrupciones del negocio y deterioro de la confianza de clientes y del supervisor.

Cómo gestionar el riesgo operativo paso a paso

  1. Mapear los procesos de la entidad e identificar los procesos críticos.
  2. Levantar los eventos y factores de riesgo asociados a cada proceso.
  3. Construir la matriz de riesgo operativo con probabilidad e impacto.
  4. Definir controles para los cuatro factores y asignarlos a las tres líneas de defensa.
  5. Establecer KRI y registrar los eventos de pérdida en una base de datos.
  6. Diseñar la resiliencia operativa con plan de continuidad, RTO y RPO.
  7. Monitorear y reportar los indicadores de riesgo de forma continua.

Cómo ayuda Pirani

Gestionar el riesgo operativo bajo la norma vigente implica mapear procesos, mantener una matriz de riesgo, registrar eventos de pérdida, definir KRI y coordinar tres líneas de defensa, algo difícil de sostener en hojas de cálculo. Pirani es un software especializado en gestión de riesgo operativo que permite construir la matriz de riesgos por proceso, documentar los cuatro factores, registrar eventos de pérdida, evaluar controles y dar seguimiento a los planes de acción, todo con trazabilidad y en línea con los estándares internacionales (ISO 27000, ISO 22301, Basilea) que inspiran la norma ecuatoriana. Al integrar la gestión del riesgo operativo con la de auditoría —la tercera línea de defensa—, ayuda a las entidades a pasar de un cumplimiento documental a uno demostrable.

Conoce cómo Pirani gestiona el riesgo operativo →

Contenido relacionado: ISO 31000: gestión de riesgos · Basilea III y riesgo operativo.

Nueva llamada a la acción

Preguntas frecuentes

¿Cuál es la norma de riesgo operativo vigente en Ecuador? Es la "Norma de control para la gestión del riesgo operativo", establecida por la Resolución SB-2021-2126 del 2 de diciembre de 2021 de la Superintendencia de Bancos, que sustituyó la regulación anterior de la Junta Bancaria.

¿Qué es el riesgo operativo según la norma ecuatoriana? Es la posibilidad de sufrir pérdidas por eventos derivados de fallas o insuficiencias en los procesos, las personas, la tecnología de la información o por eventos externos. Incluye el riesgo legal, pero excluye los riesgos sistémico, estratégico y reputacional.

¿A quién aplica la norma de riesgo operativo de Ecuador? A las entidades controladas de los sectores financieros público y privado bajo supervisión de la Superintendencia de Bancos: bancos públicos y privados, corporaciones, entidades de servicios financieros y de servicios auxiliares.

¿Qué son las tres líneas de defensa? Es el modelo que la norma exige para administrar el riesgo operativo: la primera línea (áreas de negocio que diseñan controles), la segunda (áreas que monitorean esos controles) y la tercera (auditoría interna que asegura el proceso de forma independiente).

¿Qué es la resiliencia operativa? Es la capacidad de una entidad para seguir entregando sus servicios críticos durante eventos disruptivos, protegiéndose, respondiendo, recuperándose y aprendiendo de ellos. La norma la respalda con métricas como el RTO y el RPO.

Mantente al día con las últimas publicaciones del blog

3 metodologías para implementar tu auditoría interna
3 metodologías para implementar tu auditoría interna

3 metodologías para implementar tu auditoría interna

julio 08, 2026 9 min read
Novedades de Pirani: las 5 mejoras que llegaron en junio de 2026

Novedades de Pirani: las 5 mejoras que llegaron en junio de 2026

julio 03, 2026 3 min read
Pirani recibe 22 badges en G2 Summer 2026
pirani-badges-g2-summer-2026-gestion-riesgos

Pirani recibe 22 badges en G2 Summer 2026

julio 02, 2026 4 min read