AdministraciĆ³n del SeƱor Lcdo. Lenin Moreno GarcĆ©s

Presidente Constitucional de la RepĆŗblica del Ecuador

Viernes 11 de enero de 2019 (R. O.711, 11 -enero -2019) EdiciĆ³n Especial

SUPERINTENDENCIA DE

ECONOMƍA POPULAR Y

SOLIDARIA

RESOLUCIƓN NĀ° SEPS-IGT-IR-IGJ-2018-0279

EXPƍDESE LA NORMA

DE CONTROL PARA LA

ADMINISTRACIƓN DEL

RIESGO OPERATIVO Y

RIESGO LEGAL EN LAS

ENTIDADES DEL SECTOR

FINANCIERO POPULAR

Y SOLIDARIO BAJO EL

CONTROL DE LA SEPS

2 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 3

RESOLUCIƓN No. SEPS-IGT-1R-IGJ-2018- 0279

CATALINA PAZOS CHIMBO INTENDENTE GENERAL TƉCNICO

CONSIDERANDO:

Que, el CĆ³digo OrgĆ”nico Monetario y Financiero publicado en el Segundo Suplemento del Registro Oficial No. 332 de 12 de septiembre de 2014, regula los sistemas monetarios y financieros, asĆ­ como los regĆ­menes de valores y seguros del Ecuador;

Que, el numeral 1 del artĆ­culo 62, en concordancia con et inciso segundo del artĆ­culo 74 del mencionado CĆ³digo determina como funciĆ³n de la Superintendencia de EconomĆ­a Popular y Solidaria ejercer la vigilancia, auditoria, control y supervisiĆ³n de las disposiciones del CĆ³digo OrgĆ”nico Monetario y Financiero;

Que, el numeral 7 del artĆ­culo 62 del aludido CĆ³digo, establece como funciĆ³n de la Superintendencia de EconomĆ­a Popular y Solidaria, velar por la estabilidad, solidez y correcto funcionamiento de las entidades sujetas a su control y, en general, vigilar que cumplan las normas que rigen su funcionamiento, las actividades financieras que presten, mediante la supervisiĆ³n permanente, preventiva, extra situ y visitas de inspecciĆ³n in situ que permitan determinar la situaciĆ³n econĆ³mica y financiera de las entidades, el manejo de sus negocios, evaluar la calidad y control de la gestiĆ³n de riesgo y verificar la veracidad de la informaciĆ³n que generan;

Que, el Ćŗltimo inciso del artĆ­culo 62 ibĆ­dem determina que la Superintendencia de EconomĆ­a Popular y Solidaria para el cumplimiento de sus funciones, podrĆ” expedir las normas en las materias propias de su competencia sin que pueda alterar las disposiciones legales ni las regulaciones que expida la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera;

Que, el inciso primero del artĆ­culo 74 del citado cuerpo legal, dispone que la Superintendencia de EconomĆ­a Popular y Solidaria, en su organizaciĆ³n, funcionamiento y funciones de control y supervisiĆ³n del sector financiero popular y solidario, se regirĆ”n por las disposiciones de dicho CĆ³digo y la Ley OrgĆ”nica de la EconomĆ­a Popular y Solidaria;

Que, en el artĆ­culo 163 de referido CĆ³digo, determina que las cooperativas de ahorro y crĆ©dito, las cajas centrales y las asociaciones mutualistas de ahorro y crĆ©dito para la vivienda forman parte del sector financiero popular y solidario;

4 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀŗ 711 – Registro Oficial

Que, el artĆ­culo 444 del CĆ³digo OrgĆ”nico Monetario y Financiero determina que las entidades financieras populares y solidarias estĆ”n sometidas a la regulaciĆ³n de la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera y al control de la Superintendencia de EconomĆ­a Popular y Solidaria, quienes en las polĆ­ticas que emitan tendrĆ”n presente la naturaleza y caracterĆ­sticas propias del sector financiero solidario;

Que, el literal b) del artƭculo 151 de la Ley OrgƔnica de la Economƭa Popular y Solidaria, determina entre las atribuciones del Superintendente de Economƭa Popular y Solidaria, dictar las normas de control;

Que, la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera mediante ResoluciĆ³n 128-2015-F del 23 de septiembre de 2015, reformada por la ResoluciĆ³n 366-2017-F de 8 de mayo de 2017, expidiĆ³ las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ», cuya DisposiciĆ³n General Cuarta determina que la Superintendencia de EconomĆ­a Popular y Solidaria podrĆ” expedir las normas de control necesarias para la aplicaciĆ³n de dicha resoluciĆ³n. Dichas resoluciones se encuentran incluidas en la CodificaciĆ³n de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por dicho cuerpo colegiado;

Que, la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera mediante ResoluciĆ³n 346-2017-F expidiĆ³ la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», la misma que se encuentra en la CodificaciĆ³n de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por la dicho cuerpo colegiado; cuya DisposiciĆ³n General Segunda determina que la Superintendencia de EconomĆ­a Popular y Solidaria podrĆ” expedir las normas de control necesarias para la aplicaciĆ³n de dicha resoluciĆ³n;

Que, la Superintendencia de EconomĆ­a Popular y Solidaria, mediante resoluciĆ³n No. SEPS-IGT-ISF-IGJ-2Ɯ18-0105, de 6 de abril de 2018, expidiĆ³ la Ā«Norma de control para la calificaciĆ³n y supervisiĆ³n de las compaƱƭas y organizaciones de servicios auxiliares del sector financiero popular y solidarioĀ»;

Que, conforme consta en el literal b) del artĆ­culo 1 de la ResoluciĆ³n No. SEPS-IGJ-2018-001 de 2 de enero de 2018, el Superintendente de EconomĆ­a Popular y Solidaria delegĆ³ al Intendente General TĆ©cnico: Ā«Dictar las normas de control en el Ć”mbito de su competencia, conforme a lo dispuesto en el literal b) del articulo 151 de la Ley OrgĆ”nica de EconomĆ­a Popular y Solidaria, en concordancia con sabnumeral 2), literal b), numeral 10.1 del articulo 10 del Estatuto OrgĆ”nico de GestiĆ³n Organizacional por Procesos de la Superintendencia de EconomĆ­a Popular y Solidaria;Ā»;

Que, mediante acciĆ³n de personal No. 733 de 25 de junio de 2018, el Intendente General de GestiĆ³n Encargado, delegado por el Superintendente de EconomĆ­a Popular y Solidaria,, Ā«segĆŗn lo dispuesto en la letra a) del numeral 1.2 del artĆ­culo 1 de laRegistro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 5

ResoluciĆ³n No. SEPS-IGG-2016-090 de 28 de abril de 2016, en concordancia con lo dispuesto en la letra d) del artĆ­culo 2 de la ResoluciĆ³n No. SEPS-IGJ-2018-001 de 2 de enero de 2018″, nombrĆ³ como Intendente General TĆ©cnico a Catalina Pazos Chimbo; y,

Que, es necesario que la Superintendencia de EconomĆ­a Popular y Solidaria expida una norma de control para la administraciĆ³n del riesgo operativo y riesgo legal.

En ejercicio de sus atribuciones, resuelve expedir la siguiente:

NORMA DE CONTROL PARA LA ADMINISTRACIƓN DEL RIESGO

OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR

FINANCIERO POPULAR Y SOLIDARIO BAJO EL CONTROL DE LA

SUPERINTENDENCIA DE ECONOMƍA POPULAR Y SOLIDARIA

SECCIƓN I. ƁMBITO Y OBJETO DE APLICACIƓN

ArtĆ­culo 1.- Ɓmbito: Las disposiciones de la presente norma se aplicarĆ”n a las cooperativas de ahorro y crĆ©dito, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda, en adelante Ā«entidadesĀ» y a la CorporaciĆ³n Nacional de Finanzas Populares y Sol i dalias, en lo sucesivo Ā«CorporaciĆ³nĀ», de acuerdo a su naturaleza, complejidad de sus operaciones y segmento al que pertenezcan.

TambiĆ©n se aplicarĆ” a las compaƱƭas y organizaciones de servicios auxiliares del sector financiero popular y solidario, que brindan servicios de red, software financiero y de computaciĆ³n, transaccionales y de pago, red de cajeros automĆ”ticos y puntos de pago.

Las entidades y la CorporaciĆ³n observarĆ”n tambiĆ©n, segĆŗn corresponda, las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera.

ArtĆ­culo 2.- Objeto: La presente resoluciĆ³n tiene por objeto normar la administraciĆ³n de riesgo operativo y riesgo legal para una adecuada administraciĆ³n integral de riesgos, a fin de minimizar las pĆ©rdidas que se puedan derivar de eventos ocasionados por fallas o insuficiencias de procesos, personas, tecnologĆ­a de la informaciĆ³n y eventos externos.

SECCIƓN IL-DEFINICIONES

ArtĆ­culo 3.- Glosario de tĆ©rminos: Para la aplicaciĆ³n de esta normativa, se consideran las siguientes definiciones:

6 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

  • AdministraciĆ³n de la informaciĆ³n: Es el proceso mediante el cual se captura, procesa, almacena y transmite informaciĆ³n por cualquier medio.
  • AplicaciĆ³n informĆ”tica: Son los procedimientos programados a travĆ©s de alguna herramienta tecnolĆ³gica.
  • Base de datos: Sistema formado por un conjunto de datos almacenados en discos o cualquier otro medio magnĆ©tico que permite el acceso directo a ellos, estructurados de manera fiable y homogĆ©nea, organizados independientemente, accesibles en tiempo real.
  • Datos: Es cualquier forma de registro electrĆ³nico, Ć³ptico, magnĆ©tico, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido.
  • Evento de riesgo operativo: Es el incidente o hecho que se ha presentado o puede presentarse que puede derivar en pĆ©rdidas financieras o de informaciĆ³n, suspensiĆ³n de operaciones para la entidad, originadas por fallas o insuficiencias en los factores de riesgo operativo.
  • Factores de riesgo operativo: Son las fuentes generadoras de riesgos operativos tales como: personas, procesos, tecnologĆ­a de la informaciĆ³n y eventos extemos.
  • InformaciĆ³n crĆ­tica: Es la considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.
  • Instalaciones: Es la infraestructura que permite alojar los recursos fĆ­sicos relacionados con la tecnologĆ­a de la informaciĆ³n.
  • Impacto: Es la afectaciĆ³n financiera que podrĆ­a tener la entidad, en el caso de que ocurra un evento de riesgo.
  • LĆ­nea de negocio: Procesos encaminados a generar productos y servicios especializados para atender un segmento del mercado objetivo definido en la planificaciĆ³n estratĆ©gica de la entidad.
  • Mapa de calor: Es una herramienta que permite visualizar de una manera rĆ”pida la probabilidad de los riesgos y su intensidad, en caso de que estos se materialicen.
  • Mapa de procesos: Diagrama que presenta la visiĆ³n global de la estructura de la entidad, donde se presentan todos los procesos que forman parte de la organizaciĆ³n y

sus principales relaciones.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019-7

  • Nivel administrativo: Lo integra los miembros del consejo de administraciĆ³n o directorio segĆŗn corresponda, consejo de vigilancia, representante legal y los responsables mĆ”ximos de cada Ć”rea y/o departamento de acuerdo a la estructura organizaciĆ³n al de cada entidad.
  • Nivel de riesgo: Representa el grado de exposiciĆ³n de riesgo al que podrĆ­a encontrarse expuesta una entidad de ocurrir un evento identificado.
  • Plan de contingencia: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos crĆ­ticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado especĆ­fico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
  • Plan de continuidad: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos crĆ­ticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado especĆ­fico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
  • Plan de recuperaciĆ³n de desastres de tecnologĆ­a de informaciĆ³n: Es un proceso de recuperaciĆ³n que cubre los datos, el hardware y el software crĆ­tico, para que una entidad pueda comenzar de nuevo sus operaciones ante eventos de caso fortuito o fuerza mayor.
  • Plataforma tecnolĆ³gica: Conjunto de equipos, aplicaciones y sistemas interconectados destinados a ofrecer productos y servicios a travĆ©s del uso de los

recursos tecnolĆ³gicos disponibles, a socios, clientes y/o usuarios.

  • Probabilidad: Es la posibilidad de que ocurra un evento de riesgo en un determinado perĆ­odo de tiempo.
  • Procedimiento: Es el mĆ©todo especĆ­fico y estandarizado para llevar a cabo una actividad o un proceso.
  • Procesos: Es el conjunto de actividades estandarizadas que transforman insumos en productos o servicios.
  • Proceso crĆ­tico: Es el conjunto de procedimientos indispensables para la sostenibilidad y continuidad de las operaciones de la entidad, y cuya falta de identificaciĆ³n o aplicaciĆ³n deficiente puede generarle un impacto negativo.

8 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

ā€¢ Riesgo inherente: Es el nivel de riesgos propio de la actividad con los controles existentes en el momento de la evaluaciĆ³n del riesgo.

ā€¢ Riesgo residual: Nivel de riesgo esperado despuĆ©s de aplicar los controles.

ā€¢ Riesgo operativo: Es la posibilidad de que se produzcan pĆ©rdidas para la entidad, debido a fallas o insuficiencias originadas en procesos, personas, tecnologĆ­a de informaciĆ³n y eventos externos.

El riesgo operativo no incluye los originados por el entorno polĆ­tico, econĆ³mico y social, los riesgos sistĆ©mico, estratĆ©gico y de reputaciĆ³n.

  • Riesgo legal: Es la probabilidad de que una entidad incurra en pĆ©rdidas debido a la inobservancia e incorrecta aplicaciĆ³n de disposiciones legales, normativas e instrucciones emanadas por organismos de control; aplicaciĆ³n de sentencias o resoluciones judiciales o administrativas adversas; deficiente redacciĆ³n de textos, formalizaciĆ³n o ejecuciĆ³n de actos, contratos o transacciones o porque los derechos de las partes contratantes no han sido debidamente estipuladas.
  • Seguridad de la informaciĆ³n: Son los mecanismos que garantizan la confidencialidad, integridad y disponibilidad de la informaciĆ³n y los recursos relacionados con ella.
  • Sistemas internos de control integral: Son el conjunto integrado de polĆ­ticas, procesos, procedimientos y niveles de control formalmente establecidos y validados periĆ³dicamente, tendientes a evitar la ocurrencia de eventos de riesgo o mitigar su impacto.
  • TecnologĆ­a de la informaciĆ³n.- Es el conjunto de herramientas y mĆ©todos empleados para llevar a cabo la administraciĆ³n de la informaciĆ³n. Incluye el hardware, software, sistemas operativos, sistemas de administraciĆ³n de bases de datos, redes, multimedia, servicios asociados, entre otros.
  • Tipo de evento: IdentificaciĆ³n de los eventos de riesgo operativo de acuerdo a su origen.

SECCIƓN III.- ADMINISTRACIƓN DEL RIESGO OPERATIVO

ArtĆ­culo 4.- AdministraciĆ³n de Riesgo Operativo: En el marco de la administraciĆ³n integral y control de riesgos, las entidades y la CorporaciĆ³n incluirĆ”n la metodologĆ­a y los procedimientos para gestionar el riesgo operativo como un riesgo especĆ­fico, al que se encuentran expuestas en el desarrollo de sus actividades y operaciones.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 9

Con la finalidad de reducir las consecuencias y efectos de riesgo operativo, tambiĆ©n deberĆ”n decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir, de acuerdo a lo establecido en las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ»; y, en la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera.

4.1.- Etapas de la administraciĆ³n: Las entidades y la CorporaciĆ³n deben ejecutar las etapas definidas para la administraciĆ³n de riesgo operativo que consisten en; identificar, medir, priorizar, controlar/mitigar, moni torear y comunicar sus exposiciones a este riesgo.

AsĆ­ mismo, de acuerdo al segmento al que pertenezcan y al tamaƱo y complejidad de sus operaciones, desarrollarĆ”n sus propias metodologĆ­as y procedimientos de administraciĆ³n de riesgo operativo.

4.2.- LĆ­neas de negocio.- Para una adecuada administraciĆ³n del riesgo operativo las entidades y la CorporaciĆ³n, deberĆ”n agrupar justificada y documentadamente sus procesos por lĆ­neas de negocio de acuerdo a la siguiente clasificaciĆ³n:

  1. LĆ­nea minorista.- Contempla las actividades de intermediaciĆ³n financiera tales como: recepciĆ³n de depĆ³sitos en cualquier modalidad; asesoramiento de inversiones; otorgamiento de crĆ©ditos en las modalidades de consumo y vivienda. Este grupo incluye, servicios financieros, negociaciĆ³n de letras de cambio, libranzas, pagarĆ©s, facturas y otros documentos que representen obligaciĆ³n de pago creados por ventas a crĆ©dito, asĆ­ como el anticipo de fondos con respaldo de los documentos referidos. No incluye las operaciones y servicios relacionados con tarjetas de crĆ©dito, dĆ©bito, pago y prepago.
  2. LĆ­nea de microfinanzas.- Incluye operaciones financieras como prĆ©stamos en el segmento de microcrĆ©dito, ahorro o transferencias a personas naturales cuyo sustento provenga de actividades econĆ³micas de menor escala.
  3. Linea de tarjetas.- Contempla las actividades y servicios relacionados con tarjetas de crƩdito, dƩbito, pago y prepago.
  4. Lƭnea Comercial.- Incluye las operaciones de crƩdito comercial de primer piso, operaciones financieras de segundo piso con cooperativas de ahorro y crƩdito y asociaciones mutualistas de ahorro y crƩdito para la vivienda.
  5. LĆ­nea Inmobiliaria.- Corresponde a la planificaciĆ³n, construcciĆ³n y comercializaciĆ³n de proyectos orientados al desarrollo de la vivienda y construcciĆ³n sean estos propios o de terceros.

10 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

f) LĆ­nea de compensaciĆ³n de pagos.- Contempla todas las actividades relacionadas con la gestiĆ³n de pagos, transferencias y compensaciĆ³n de acuerdo a lo establecido en el artĆ­culo 470 del CĆ³digo OrgĆ”nico Monetario y Financiero.

g) LĆ­nea de tesorerĆ­a tradicional.- Representan actividades cotidianas de la gestiĆ³n de liquidez y administraciĆ³n de flujo de fondos.

4.3.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n implementar to determinado en los siguientes numerales:

4.3.1.- Manual de Riesgo Operativo: Elaborar un manual de riesgo operativo de acuerdo a su estructura, tamaƱo y complejidad de sus operaciones, el que contendrƔ al menos, lo siguiente:

  1. Las polĆ­ticas, procesos y procedimientos para la administraciĆ³n del riesgo operativo;
  2. Los roles y responsabilidades de quienes participan en la administraciĆ³n del riesgo operativo;
  3. Las medidas necesarias para asegurar el cumplimiento de las polĆ­ticas y objetivos de la administraciĆ³n de riesgo operativo;
  4. Las metodologĆ­as y procedimientos para identificar, medir (cuantificar), priorizar, controlar, mitigar, monitorear y comunicar los riesgos operativos y su nivel de aceptaciĆ³n;
  5. Los procedimientos para priorizar y gestionar los eventos de riesgo, a excepciĆ³n del segmento 3;
  6. Las estrategias de capacitaciĆ³n en temas de administraciĆ³n de riesgo operativo;

g) Los mecanismos o sistemas de reporte de la administraciĆ³n de riesgo operativo; y, h) El proceso de anĆ”lisis de riesgos para nuevas operaciones, productos o servicios,

4.3.2.- Tipos de eventos de riesgo operativo: Identificar por lĆ­nea de negocio, los riesgos operativos, agrupados por tipo de evento y las fallas o insuficiencias en los factores de riesgo relacionados con personas, procesos, tecnologĆ­a de la informaciĆ³n y eventos externos, conforme al detalle del anexo 1, que forma parte de esta norma.

Los tipos de eventos son los siguientes;

  1. Fraude interno.- PĆ©rdidas derivadas de algĆŗn tipo de actuaciĆ³n encaminada a defraudar, apropiarse de bienes indebidamente o eludir regulaciones, leyes o polĆ­ticas, infidelidades de empleados o uso de informaciĆ³n privilegiada para beneficio propio;
  2. Fraude externo.- PĆ©rdidas derivadas de algĆŗn tipo de actuaciĆ³n encaminada a defraudar, apropiarse de bienes o recursos indebidamente o eludir la legislaciĆ³n, por parte un tercero, incluyendo danos ocasionados por individuos, grupos u

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 11

organizaciones externas que buscan explorar la dependencia de la instituciĆ³n en recursos tecnolĆ³gico;

  1. PrĆ”cticas laborales y seguridad del ambiente de trabajo.- PĆ©rdidas derivadas de actuaciones incompatibles con la legislaciĆ³n o acuerdos laborales, sobre higiene o seguridad en el trabajo, pago de reclamaciones por daƱos personales, casos relacionados con la diversidad o discriminaciĆ³n y por responsabilidades generales en el trabajo;
  2. PrĆ”cticas relacionadas con los clientes, los productos y el negocio.- PĆ©rdidas derivadas del incumplimiento involuntario o negligente de una obligaciĆ³n profesional frente a socios, clientes o usuarios, o de la naturaleza o diseƱo de un producto;
  3. DaƱos a los activos fƭsicos.- PƩrdidas derivadas de daƱos o perjuicios a activos materiales como consecuencia de desastres naturales o por terrorismo, vandalismo, incendio o inundaciones;
  4. InterrupciĆ³n del negocio por fallas en la tecnologĆ­a de la informaciĆ³n.- PĆ©rdidas derivadas por la ocurrencia de problemas de telecomunicaciones, servicios pĆŗblicos y apagones; y,
  5. Deficiencias en la ejecuciĆ³n de procesos, en el procesamiento de operaciones; y en las relaciones con proveedores y terceros.- PĆ©rdidas derivadas de errores en el procesamiento de operaciones, en la gestiĆ³n de procesos y en relaciones con contrapartes comerciales y proveedores.

Los eventos de riesgo operativo y las fallas o insuficiencias serĆ”n identificados en relaciĆ³n con los factores de este riesgo a travĆ©s de una metodologĆ­a formal, debidamente documentada y aprobada por el consejo de administraciĆ³n o el directorio, segĆŗn corresponda.

4.3,3 MetodologĆ­as: La metodologĆ­a definida para la gestiĆ³n del riesgo operativo, cuando sea tomada en su conjunto, deberĆ” considerar los factores de riesgo operativo y cumplir con los siguientes criterios:

  1. La metodologĆ­a debe ser implementada en toda la entidad en forma consistente;
  2. AsignaciĆ³n de recursos suficientes para aplicar la metodologĆ­a en las principales lĆ­neas de negocio, en los procesos de control y de apoyo;
  3. AplicaciĆ³n de metodologĆ­as integradas a los procesos de gestiĆ³n de riesgos de la entidad;
  4. Establecimiento de mecanismos que permitan una mejora continua de la gestiĆ³n del nesgo operativo;
  5. La aplicaciĆ³n de la metodologĆ­a de gestiĆ³n del riesgo operativo debe estar adecuadamente documentada;

12 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

f) Instaurar procedimientos que permitan asegurar el cumplimiento de la metodologĆ­a de gestiĆ³n del riesgo operativo; y,

g) DeterminaciĆ³n de los lĆ­mites de pĆ©rdidas aceptadas o administradas de acuerdo a lo seƱalado en las polĆ­ticas de riesgo operativo.

4.3.4 Base de eventos de riesgo: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n registrar los eventos de riesgo identificados, con el fin de construir una base de eventos que sea centralizada, histĆ³rica, actualizada y suficiente, que permita ordenar, clasificar y disponer de informaciĆ³n sobre fallas o insuficiencias, incluidas las de orden legal, su impacto cuantitativo o cualitativo.

Los eventos de riesgo se caracterizan por generalĀ»

  1. PĆ©rdidas que afecten al estado de resultados;
  2. PĆ©rdidas que no afecten el estado de resultados; y,
  3. Potenciales pĆ©rdidas que aĆŗn no se hayan materializado.

ContarĆ”n con una matriz de riesgo operativo en la que se registren los eventos de riesgo identificados en sus procesos, para lo cual deberĆ”n adoptar una metodologĆ­a de riesgo de acuerdo a lo establecido en las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y en la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera.

AsĆ­ mismo, deberĆ”n usar metodologĆ­as complementarias a la matriz de eventos de riesgo para su gestiĆ³n con el fin de fortalecer la administraciĆ³n de riesgo operativo.

Las entidades del segmento 3 deberĆ”n registrar sus eventos de riesgo al menos en un reporte o registro que contemple, fecha de ocurrencia del evento, Ć”rea, proceso, descripciĆ³n y valor, que deberĆ” ser presentado al comitĆ© de administraciĆ³n integral de riesgos para la definiciĆ³n de medidas correctivas.

4.3.5 Esquema de reportes: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deben diseƱar y mantener un esquema de reportes que permitan disponer de informaciĆ³n suficiente, pertinente y oportuna para la toma de decisiones. Los reportes deberĆ”n contener al menos lo siguiente:

  1. Detalle de los eventos que representan un mayor nivel de riesgo operativo;
  2. IdentificaciĆ³n de la evoluciĆ³n de los eventos de riesgo y reporte del grado de cumplimiento de planes de acciĆ³n (mitigaciĆ³n); y,
  3. Mapa de calor en el que se identifique la concentraciĆ³n de eventos de riesgo por nivel de riesgo.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 13

d) Magnitud de pƩrdida suscitada por riesgo operativo, a partir de la base de eventos de riesgo.

Estos reportes deben ser dirigidos por el responsable de la unidad de riesgos al comitĆ© de administraciĆ³n integral de riesgos, con la finalidad de que en el proceso de administraciĆ³n de riesgo operativo se pueda decidir si el riesgo se debe asumir, compartir, mitigar o transferir, reduciendo sus consecuencias y efectos.

El conocimiento de la situaciĆ³n en relaciĆ³n a la administraciĆ³n de riesgo operativo, permitirĆ” que el nivel administrativo tenga una visiĆ³n clara de la importancia de los diferentes tipos de exposiciĆ³n al riesgo operativo y su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones, que entre otras, pueden ser: revisar estrategias y polĆ­ticas; actualizar o modificar procesos y procedimientos establecidos; implantar o modificar lĆ­mites de riesgo; constituir, incremental* o modificar controles; implantar planes de contingencia y de continuidad del negocio; revisar tĆ©rminos de pĆ³lizas de seguro contratadas; contratar servicios provistos por terceros; u otros, segĆŗn corresponda.

Los reportes, matrices de riesgo y todo tipo de informaciĆ³n referente a riesgo operativo deben ser presentados por el responsable de la unidad de riesgos al comitĆ© de administraciĆ³n integral de riesgos. Dichos reportes deberĆ”n estar disponibles cuando la Superintendencia lo requiera.

4.3.6 CapacitaciĆ³n de riesgo operativo: Todas las entidades y la CorporaciĆ³n deben diseƱar, programar y coordinar planes de capacitaciĆ³n sobre la administraciĆ³n de riesgo operativo, uso adecuado de tecnologĆ­a y seguridad de la informaciĆ³n, dirigidos a todos los Ć³rganos internos y empleados, funcionarios o servidores. Las capacitaciones deben cumplir al menos con las siguientes condiciones:

  1. Ser de periodicidad anual;
  2. Ser impartidas durante el proceso de inducciĆ³n de los nuevos funcionarios, empleados o servidores;
  3. Contar con mecanismos de evaluaciĆ³n de los resultados obtenidos, con el fin de determinar la eficiencia de dichos programas y el alcance de los objetivos propuestos;

y,

d) Mantener un registro del personal capacitado y de las sugerencias realizadas por los participantes.

4.4.- Para mantener una adecuada administraciĆ³n del riesgo operativo las entidades de los segmentos 4 y 5, sin perjuicio de lo dispuesto en el CapĆ­tulo III AdministraciĆ³n de riesgos en las cooperativas de ahorro y crĆ©dito de los segmentos 4 y 5 de las, Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ», emitida por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera, deberĆ”n:

14 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

  1. Definir adecuadamente los procesos de la entidad, los mismos que incluyan: actividades, responsables, fecha de actualizaciĆ³n y fecha de aprobaciĆ³n por parte del consejo de administraciĆ³n;
  2. Mantener un registro de sus eventos de riesgo, el mismo que contemple como mĆ­nimo, fecha de ocurrencia, descripciĆ³n, soluciĆ³n e impacto financiero de ser el caso;
  3. Garantizar una adecuada separaciĆ³n de funciones que evite la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo;
  4. implementar polĆ­ticas y niveles de aprobaciĆ³n para las distintas lĆ­neas de negocio y procesos con el fin de evitar conflictos de interĆ©s; y,
  5. Elaborar un manual de administraciĆ³n del personal que contemple las polĆ­ticas, procesos y procedimientos para la incorporaciĆ³n, permanencia y desvinculaciĆ³n del personal.

SECCIƓN IV.- FACTORES DE RIESGO OPERATIVO

ArtĆ­culo 5.- Para reducir el nivel de riesgo operativo las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n administrar los factores de riesgo considerando su particularidad y la interrelaciĆ³n entre ellos.

ArtĆ­culo 6.- Personas: Las entidades y la CorporaciĆ³n deben contar con una estructura orgĆ”nico-funcional acorde al tamaƱo, complejidad de sus operaciones y normativa vigente que le aplica segĆŗn su segmento. AdemĆ”s, deben identificar las fallas o insuficiencias asociadas al factor Ā«personasĀ», tales como: falta de personal adecuado, negligencia, error humano, conflicto de intereses, falta de segregaciĆ³n de funciones, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los tĆ©rminos de contrataciĆ³n del personal, entre otros.

6.1.- Manuales de talento humano: Las entidades y la CorporaciĆ³n, deberĆ”n documentar en un manual descriptivo de talento humano los procesos de incorporaciĆ³n, permanencia y desvinculaciĆ³n, y en otro manual en el que consten los cargos, las funciones, responsabilidades, asĆ­ como, la descripciĆ³n del perfil tĆ©cnico y de las competencias que debe tener el ocupante de cada cargo.

6.2.- Independencia de funciones: DeberĆ” existir una adecuada separaciĆ³n de funciones que evite concentraciones de carĆ”cter incompatible, entendidas Ć©stas como aquellas tareas cuya combinaciĆ³n en las competencias y responsabilidades de una sola persona, eventualmente, podrĆ­a permitir la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo.

6.3.- Base de datos: Las entidades y la CorporaciĆ³n, deben mantener una base de datos con informaciĆ³n actualizada del recurso humano, que permita una adecuada toma de decisiones por parte del nivel administrativo y la realizaciĆ³n de anĆ”lisis de la cantidad y calidad del recurso humano de acuerdo con sus necesidades.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 15

Dicha informaciĆ³n debe contener como mĆ­nimo:

  1. Datos personales del funcionario;
  2. FormaciĆ³n acadĆ©mica, experiencia y referencias;
  3. Fechas de selecciĆ³n, reclutamiento y contrataciĆ³n;
  4. Cargos que han desempeƱado en la entidad;
  5. Resultados de evaluaciones realizadas;
  6. Fechas, nĆŗmero de horas y temas de capacitaciones;

g) Fechas y dĆ­as de vacaciones gozadas;

h) DĆ­as y horas de vacaciones disponibles;

i) Fechas y causas por las que el personal se ha desvinculado de la entidad; y,

j) Motivos de multas, sanciones y amonestaciones.

ArtĆ­culo 7.- Procesos: Con el objeto de garantizar la optimizaciĆ³n de los recursos y la estandarizaciĆ³n de las actividades, las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con procesos definidos, documentados, aprobados, actualizados y socializados que se encuentren alineados con la estrategia institucional y con las polĆ­ticas adoptadas.

Las entidades y la CorporaciĆ³n, deberĆ”n definir formalmente procesos, polĆ­ticas y procedimientos que aseguren una apropiada planificaciĆ³n, administraciĆ³n y cumplimiento de los objetivos institucionales; en concordancia, principalmente, con los factores de riesgo personas y tecnologĆ­a de la informaciĆ³n.

Los procesos deberƔn ser agrupados de la siguiente manera:

7.1.- Procesos gobernantes o estratĆ©gicos: Se considerarĆ”n a aquellos que proporcionan directrices y polĆ­ticas a los demĆ”s procesos cuya responsabilidad compete al consejo de administraciĆ³n o directorio y al representante legal, segĆŗn corresponda, con el fin de cumplir con los objetivos y polĆ­ticas institucionales. Se refieren a la planificaciĆ³n estratĆ©gica, los Ɯneamientos de acciĆ³n bĆ”sicos, definiciĆ³n de estructura organizacional, la administraciĆ³n integral de riesgos, entre otros.

7.2.- Procesos productivos, fundamentales u operativos: Son los procesos propios del giro del negocio, que permitan ejecutar efectivamente las polĆ­ticas y estrategias relacionadas con la calidad de los productos o servicios que ofrecen a sus socios, clientes o usuarios.

7.3. Procesos habilitantes, de soporte o apoyo: Son los procesos administrativos, financieros, tecnologĆ­a de informaciĆ³n, contabilidad, control interno y talento humano, que apoyan a los procesos gobernantes y productivos

7.4.- Manual de administraciĆ³n de procesos: Las entidades y la CorporaciĆ³n, deberĆ”n definir formalmente polĆ­ticas, procesos y metodologĆ­as para un adecuado diseƱo, control, actualizaciĆ³n y mejoramiento de los procesos, que les permita adaptar sus procesos

16 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

oportunamente a los cambios y condiciones de mercado, mejores prƔcticas o disposiciones normativas. Las polƭticas deberƔn actualizarse de acuerdo a la normativa vigente y abarcarƔn por lo menos, los siguientes aspectos:

  1. DiseƱo claro y actualizaciĆ³n de los procesos, los cuales deben ser dinĆ”micos y compatibles con la entidad;
  2. DescripciĆ³n en secuencia lĆ³gica y ordenada de las actividades, tareas, y controles;
  3. DeterminaciĆ³n de los responsables de los procesos, que serĆ”n aquellas personas encargadas de su correcto funcionamiento, a travĆ©s del establecimiento de objetivos y estrategias para gestionarlos y mejorarlos;
  4. DefiniciĆ³n de mapa de procesos en el que consten los procesos gobernantes o estratĆ©gicos, procesos productivos, fundamentales u operativos y procesos habilitantes, de soporte o apoyo;
  5. DefiniciĆ³n de lĆ­mites y alcance, manteniendo contacto con los clientes internos y externos del proceso para garantizar que se satisfagan sus necesidades y expectativas;
  6. ActualizaciĆ³n y mejora continua a travĆ©s del seguimiento permanente en su aplicaciĆ³n;
  7. Garantizar una adecuada separaciĆ³n de funciones que evite la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo; y,

h) DifusiĆ³n y comunicaciĆ³n de los procesos buscando garantizar su total aplicaciĆ³n.

7.5.- Portafolio de procesos: Las entidades y la CorporaciĆ³n, deberĆ”n mantener inventarios actualizados de procesos por lĆ­nea de negocio, que cuenten, como mĆ­nimo con la siguiente informaciĆ³n: tipo de proceso, nombre del proceso, responsable, identificaciĆ³n de procesos crĆ­ticos, productos y servicios que genera el proceso, clientes internos y externos, fecha de actualizaciĆ³n y fecha de aprobaciĆ³n.

ArtĆ­culo 8.- TecnologĆ­a de informaciĆ³n; Las entidades y la CorporaciĆ³n, deben contar y mantener tecnologĆ­a de informaciĆ³n acorde a su segmento, naturaleza y perfil de riesgo de sus operaciones, que garantice la captura, procesamiento, almacenamiento y transmisiĆ³n de manera oportuna y confiable de la informaciĆ³n para la toma de decisiones, incluyendo aquella que estĆ” bajo la modalidad de servicios provistos por terceros.

ArtĆ­culo 9.- AdministraciĆ³n de la tecnologĆ­a de la informaciĆ³n.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n deberĆ”n administrar la tecnologĆ­a de informaciĆ³n; para lo cual deben contar con:

9.1 Ɓrea de tecnologĆ­a de la informaciĆ³n: Un comitĆ©, unidad, o responsable de tecnologĆ­a de informaciĆ³n que garantice el normal funcionamiento de la misma, independiente de las Ć”reas operativas y de negocio de la entidad.

El Ć”rea de tecnologĆ­a de la informaciĆ³n debe ser consistente de acuerdo al segmento, naturaleza, complejidad y perfil de riesgo de las operaciones de la entidad.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 17

9.2.- Estructura de gestiĆ³n de tecnologĆ­a: Con la finalidad de implementar de manera eficiente la administraciĆ³n de la tecnologĆ­a de informaciĆ³n, las entidades deberĆ”n contemplar una estructura de gestiĆ³n de tecnologĆ­a, de acuerdo al siguiente cuadro:

ƓRGANOS INTERNOS

SEGMENTO 1, CAJAS

CENTRALES,

MUTUALISTAS Y

CORPORACIƓN

SEGMENTO 2

SEGMENTO 3

ComitĆ© ele TecnologĆ­a de la InformaciĆ³n

X

X

N/A

Unidad de TecnologĆ­a de la InformaciĆ³n

X

X

N/A

Responsable de TecnologĆ­a de la InformaciĆ³n

N/A

N/A

X

N/A = No aplica

Las cooperativas de ahorro y crĆ©dito del segmento 3, deberĆ”n tener al menos un responsable de tecnologĆ­a de la informaciĆ³n, que brinde soporte tecnolĆ³gico a la entidad y canalice cualquier requerimiento a los proveedores.

9.2.1.- ConformaciĆ³n del ComitĆ© de TecnologĆ­a de la InformaciĆ³n: El comitĆ© estarĆ” conformado por: un vocal del consejo de administraciĆ³n o directorio, segĆŗn corresponda, quien lo presidirĆ” y tendrĆ” voto dirimente; el representante legal o su delegado; y, los responsables de las Ć”reas de riesgo y de tecnologĆ­a que actuarĆ” como secretario, quienes tendrĆ”n voz y voto. En las sesiones del comitĆ© podrĆ”n participar funcionarios vinculados con los temas a tratarse quienes no tendrĆ”n derecho a voto. En el caso de no existir dicho comitĆ©, estas atribuciones serĆ”n llevadas por el comitĆ© de administraciĆ³n integral de riesgos o el organismo que haga sus veces.

9.2.2.- Funciones del ComitĆ© de TecnologĆ­a de la InformaciĆ³n: El comitĆ© serĆ” responsable principalmente de:

  1. Planificar, coordinar y supervisar las actividades relacionadas con la tecnologĆ­a;
  2. Recomendar las polĆ­ticas, procesos, procedimientos y metodologĆ­as de tecnologĆ­a de informaciĆ³n para posterior aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda;
  3. Establecer lincamientos para la formulaciĆ³n del plan estratĆ©gico de tecnologĆ­as de la informaciĆ³n, relacionado con el plan estratĆ©gico de la entidad y presupuestos aprobados;
  4. Recomendar al consejo de administraciĆ³n o al directorio, segĆŗn sea el caso, el Plan EstratĆ©gico de TecnologĆ­as de la InformaciĆ³n (PETI);

18 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

  1. Priorizar la inversiĆ³n de tecnologĆ­as de la informaciĆ³n y proyectos con componente tecnolĆ³gico;
  2. Recomendar al consejo de administraciĆ³n o al directorio, segĆŗn corresponda, la aprobaciĆ³n de modelos de operaciĆ³n para las tecnologĆ­as de la informaciĆ³n y comunicaciĆ³n; y,
  3. Presentar periĆ³dicamente al consejo de administraciĆ³n o al directorio, segĆŗn sea el caso, informes de cumplimiento de la gestiĆ³n de tecnologĆ­a de la informaciĆ³n.

9.2.3 Funcionamiento del ComitĆ©: Sesionara de manera ordinaria por lo menos cuatro veces al aƱo; y, extraordinariamente, por convocatoria del presidente, que deberĆ” ser notificada con un mĆ­nimo de 72 horas de anticipaciĆ³n a la fecha de realizaciĆ³n de la sesiĆ³n.

El comitĆ© de tecnologĆ­a de informaciĆ³n sesionarĆ” con, al menos, tres de sus integrantes y las decisiones serĆ”n tomadas por mayorĆ­a de votos. El presidente del comitĆ© tendrĆ” voto diri mente.

Las resoluciones constarĆ”n en las respectivas actas. El secretario de comitĆ©, elaborarĆ” y llevarĆ” actas fechadas y numeradas en forma secuencial de todas las sesiones, debidamente suscritas por todos sus asistentes. AsĆ­ mismo, serĆ” de su responsabilidad, la custodia de las mismas, bajo los principios de confidencialidad, integridad y disponibilidad de la informaciĆ³n.

El comitĆ©, a travĆ©s de su presidente, informarĆ” por escrito al consejo de administraciĆ³n o al directorio, las evaluaciones y absoluciones adoptadas.

ArtĆ­culo 9.3.- PolĆ­ticas, procesos, procedimientos y metodologĆ­as para la administraciĆ³n de la tecnologĆ­a de informaciĆ³n: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n definir polĆ­ticas, procesos, procedimientos y metodologĆ­as que:

  1. Se encuentren diseƱadas bajo estĆ”ndares de general aceptaciĆ³n que permitan minimizar los riesgos en la tecnologĆ­a de informaciĆ³n y ejecuciĆ³n de los criterios de control interno; y,
  2. Contemplen al menos que el consejo de administraciĆ³n de las entidades de los segmentos 1,2, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la vivienda o el directorio, segĆŗn corresponda, aprueben un plan estratĆ©gico de tecnologĆ­a de la informaciĆ³n (PETI) alineado con el plan estratĆ©gico institucional; y, un plan operativo anual que establezca las actividades a ejecutar en el corto plazo, traducido en tareas, cronogramas, personal responsable y presupuesto, de manera que se asegure el logro de los objetivos tecnolĆ³gicos propuestos.

9.3.1.- Con el objeto de garantizar que las operaciones de tecnologĆ­a de la informaciĆ³n satisfagan los requerimientos de las operaciones, las referidas entidades deberĆ”n contar al menos con lo siguiente:

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 19

  1. PlanificaciĆ³n EstratĆ©gica de TecnologĆ­a de la InformaciĆ³n (PETI) y Presupuesto de TecnologĆ­a de la InformaciĆ³n;
  2. Procedimientos de operaciĆ³n, acceso y uso de las instalaciones de procesamiento de informaciĆ³n;
  3. Procedimientos de gestiĆ³n de incidentes y problemas de tecnologĆ­a de la informaciĆ³n, que considere al menos su registro, priorizaciĆ³n, anĆ”lisis, escalamiento y soluciĆ³n;
  4. Respaldos de informaciĆ³n periĆ³dicos, acorde a los requerimientos de continuidad del negocio que incluya la frecuencia de verificaciĆ³n, las condiciones de preservaciĆ³n, eliminaciĆ³n y el transporte seguro hacia un sitio alterno, que no debe estar expuesta a los mismos riesgos del sitio principal y mantenga las condiciones fĆ­sicas y ambientales necesarias para su preservaciĆ³n y posterior recuperaciĆ³n; y,
  5. Transporte de respaldos entre los centros de resguardo que deban efectuarse con adecuados controles de seguridad (sellos, bitĆ”coras de salida y entrada, personal autorizado, entre otros aspectos) que minimicen ubicaciĆ³n remota, que no debe estar expuesto a los riesgos del sitio principal. La informaciĆ³n debe estar resguardada por el lapso no menor a lo que indica la normativa vigente, en condiciones y en formatos que se establezcan para el caso por parte de los entes de control.

9.3.2.- Las entidades seƱaladas deberĆ”n garantizar que el proceso de adquisiciĆ³n, desarrollo, implementaciĆ³n y mantenimiento de las aplicaciones satisfagan los objetivos del negocio, considerando al menos lo siguiente:

  1. Una metodologĆ­a que permita la adecuada administraciĆ³n y control del proceso de compra de software y del ciclo de vida de desarrollo y mantenimiento de aplicaciones, con los usuarios involucrados;
  2. Requerimientos funcionales aprobados por el Ɣrea solicitante;
  3. Requerimientos tĆ©cnicos y el anĆ”lisis de la relaciĆ³n y afectaciĆ³n a la capacidad de la infraestructura tecnolĆ³gica actual, aprobados por el Ć”rea tĆ©cnica;
  4. Ambientes de prueba, desarrollo y producciĆ³n, con la debida segregaciĆ³n de accesos. Para el caso de entidades que hayan tercerizado el servicio de desarrollo de sistemas, deberĆ”n contar al menos con ambientes de prueba y producciĆ³n;
  5. MitigaciĆ³n de las vulnerabilidades del cĆ³digo fuente de las aplicaciones;
  6. Pruebas tĆ©cnicas y funcionales que reflejen la aceptaciĆ³n de los usuarios autorizados;
  7. Procedimientos de control de cambios que considere su registro, manejo de versiones, segregaciĆ³n de funciones y autorizaciones e incluya los cambios emergentes; y,
  8. Procedimientos de migraciĆ³n de la informaciĆ³n, que incluyan controles para garantizar las caracterĆ­sticas de integridad, disponibilidad y confidencialidad.

En caso de que la entidad contrate el servicio de desarrollo de software o adquiera un sistema informƔtico, debe verificar que el proveedor cumpla con las disposiciones descritas en los numerales precedentes.

20 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

9.3.3.- Con el objeto de garantizar que la infraestructura tecnolĆ³gica que soporta las operaciones sea administrada, moni toreada y documentada, las entidades y la CorporaciĆ³n, deben contar con un manual de gestiĆ³n de la infraestructura que contengan al menos:

  1. Procedimientos que permitan la administraciĆ³n, monitoreo y registros de configuraciĆ³n de las bases de datos, redes dĆ© datos, hardware y software base, que incluya lĆ­mites y alertas;
  2. Una metodologĆ­a documentada de anĆ”lisis de la capacidad y desempeƱo de la infraestructura tecnolĆ³gica que soporte las operaciones del negocio, cuyo resultado debe ser conocido y analizado por el comitĆ© de tecnologĆ­a o el Ć³rgano que baga sus veces, con una frecuencia mĆ­nima semestral. La metodologĆ­a debe incluir lĆ­mites y alertas de al menos: almacenamiento, memoria, procesador, consumo de ancho de banda; y, para bases de datos: Ć”reas temporales de trabajo, log de transacciones y almacenamiento de datos;
  3. Procedimientos de migraciĆ³n de la plataforma tecnolĆ³gica, que incluyan controles para garantizar la continuidad del servicio;
  4. Instalaciones de procesamiento de informaciĆ³n crĆ­tica en Ć”reas protegidas con los suficientes controles que eviten el acceso de personal no autorizado, daƱos a los equipos de computaciĆ³n y a la informaciĆ³n en ellos procesada, almacenada o distribuida; y, condiciones fĆ­sicas y ambientales necesarias para garantizar el correcto funcionamiento del entorno de la infraestructura de tecnologĆ­a de la informaciĆ³n; y,
  5. Un procedimiento para mantener un inventario de infraestructura tecnolĆ³gica actualizado que considere por lo menos, su registro, responsables de uso, fecha y control de ingresos y salidas de los activos.

9.3.4.- En el caso de contratar servicios de infraestructura, plataforma y/o software conocido como computaciĆ³n en la nube, las entidades y la CorporaciĆ³n deben asegurar que el proveedor disponga al menos de:

  1. Centros de procesamiento de datos principal y/o alterno, contratados en la nube, implementados siguiendo el estĆ”ndar TIA-942 y contar como mĆ­nimo con la certificaciĆ³n TIER III para diseƱo, implementaciĆ³n y operaciĆ³n;
  2. CertificaciĆ³n ISO 27001 en seguridad de la informaciĆ³n para los servicios ofertados;
  3. Si es un proveedor internacional, que tenga una representaciĆ³n comercial en el paĆ­s, con capacidad para brindar soporte integral con personal y representar legalmente al proveedor internacional en el paĆ­s; y,
  4. Capacidad para transferir sĆ³lidamente los conocimientos.

La informaciĆ³n almacenada por el proveedor deberĆ” estar a disposiciĆ³n permanente de la entidad y a travĆ©s de Ć©sta, del organismo de control, por medio de los canales o mecanismos que disponga para el efecto. La informaciĆ³n es de estricta confidencialidad y no podrĆ” ser comercializada o utilizada para otros fines distintos a los manejados por la entidad dueƱa de la informaciĆ³n.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 21

La notificaciĆ³n de tĆ©rmino del contrato deberĆ” ser informada por e] proveedor con la debida anticipaciĆ³n, con el propĆ³sito de garantizar la continuidad de las operaciones de la entidad.

En caso de terminaciĆ³n del contrato de servicios de infraestructura, plataforma y/o software, la informaciĆ³n serĆ” devuelta por el proveedor a la entidad de forma inmediata, conservando un respaldo de seguridad por un perĆ­odo de al menos tres meses debiendo observar estricta confidencialidad y el impedimento para utilizarla y comercializarla.

Las entidades referidas en este artĆ­culo y la CorporaciĆ³n deberĆ”n informar al consejo de administraciĆ³n sobre el detalle de los servicios a ser contratados que incluya el anĆ”lisis de los riesgos operativos, legales, tecnolĆ³gicos, de seguridad y continuidad a los que se exponen al adoptar este servicio; asĆ­ como los controles para mitigarlo;

ArtĆ­culo 10.- Las entidades de los segmentos 4 y 5 deberĆ”n incluir dentro de su gestiĆ³n, la administraciĆ³n de la tecnologĆ­a de informaciĆ³n; para lo cual deben contar al menos con:

  1. Un presupuesto aprobado para el funcionamiento de la operaciĆ³n de tecnologĆ­a de informaciĆ³n;
  2. Respaldos de los movimientos de operaciones activas, pasivas, contingentes y de servicios, ubicados fuera del Ɣrea de procesamiento; y,
  3. Normas bĆ”sicas de operaciĆ³n y un inventario de los principales elementos tecnolĆ³gicos con los que cuenta.

ArtĆ­culo II.- Eventos Externos: En la administraciĆ³n del riesgo operativo, las entidades y la CorporaciĆ³n deben considerar la posibilidad de pĆ©rdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como: incidentes con proveedores, fallas en los servicios pĆŗblicos, ocurrencia de desastres naturales, atentados, fraudes externos y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.

SECCIƓN V.- CONTINUIDAD DEL NEGOCIO

ArtĆ­culo 12.- Planes de Contingencia y Continuidad: Las entidades de los segmentos 1,2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deben implementar planes de contingencia y de continuidad del negocio que cubran a personas, procesos y tecnologĆ­a, con el fin de garantizar su capacidad para operar en forma continua y minimizar las pĆ©rdidas en caso de una interrupciĆ³n del negocio, de ser el caso, al menos apegados a la Norma ISO 22301 o a la buena prĆ”ctica que se ajuste para el efecto.

12.1.- Procesos crĆ­ticos: Las referidas entidades deberĆ”n adoptar una metodologĆ­a que les permita identificar y evaluar los procesos crĆ­ticos, aĆŗn en los provistos por terceros, previo a la elaboraciĆ³n del plan de continuidad del negocio; asĆ­ como realizar un anĆ”lisis de riesgos y

22 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

equilibrar el costo de la implementaciĆ³n o no del plan de continuidad, dependiendo de la criticidad de cada proceso.

Los procesos priorizados por la entidad se deberƔn incluir en el plan de continuidad.

12.2.- Actividades: Las aludidas entidades deberĆ”n considerar las siguientes actividades para la definiciĆ³n e implementaciĆ³n de los planes de continuidad y de contingencia, segĆŗn corresponda:

  1. Incorporar el proceso de administraciĆ³n del plan de continuidad del negocio al proceso de administraciĆ³n integral de riesgos;
  2. Definir perĆ­odos de recuperaciĆ³n y tiempos mĆ”ximos de interrupciĆ³n que puedan soportar los procesos identificados como crĆ­ticos, sin que afecte a la sostenibilidad de la instituciĆ³n;
  3. Identificar y analizar los principales escenarios de contingencia tomando en cuenta el impacto y la probabilidad de que sucedan (AnƔlisis de impacto en el negocio);
  4. Identificar los riesgos por fallas en la tecnologĆ­a de informaciĆ³n y gestionar un plan de acciĆ³n para mitigar los riesgos identificados;
  5. Definir una estrategia de continuidad de los procesos crĆ­ticos, en lĆ­nea con los objetivos institucionales;
  6. Desarrollar los planes de contingencia necesarios para implementar la estrategia de continuidad definida.
  7. Definir acciones a ejecutar antes, durante y una vez ocurrido el incidente que ponga en peligro la operatividad de la entidad;
  8. Determinar acciones a realizar para continuar con las actividades de la entidad en instalaciones propias o alternas (reanudaciĆ³n y recuperaciĆ³n);
  9. Realizar pruebas periĆ³dicas de los planes de continuidad y contingencia que permitan comprobar la aplicabilidad y efectuar los ajustes necesarios;
  10. Mantener informaciĆ³n actualizada de contacto de las personas responsables de ejecutar cada actividad;
  11. Contar con cronogramas y procedimientos de prueba y mantenimiento de los planes de continuidad y contingencia;
  12. Definir procedimientos de difusiĆ³n, comunicaciĆ³n, concientizaciĆ³n y cumplimiento de los planes de continuidad y contingencia; y,
  13. Designar de su estructura un responsable de la continuidad del negocio.

Las entidades del segmento 3 deberĆ”n implementar un plan de recuperaciĆ³n de desastres de tecnologĆ­a de informaciĆ³n.

SECCIƓN VI.- SERVICIOS PROVISTOS POR TERCEROS

ArtĆ­culo 13. CalificaciĆ³n y selecciĆ³n de proveedores: Las entidades de los segmentos 1,2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con un proceso integral para la calificaciĆ³n y selecciĆ³n de

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 23

proveedores, que incluya las actividades previas a la contrataciĆ³n, cumplimiento y renovaciĆ³n del contrato, y el cual deberĆ” contener al menos procedimientos para:

  1. Evaluar la experiencia de la empresa y su personal;
  2. Evaluar la capacidad financiera para asegurar la viabilidad del proveedor durante todo el perĆ­odo de contrataciĆ³n previsto;
  3. Efectuar anƔlisis de costo beneficio;
  4. Evaluar la capacidad y oportunidad de respuesta del proveedor a consultas, solicitudes de presupuesto y presentaciĆ³n de ofertas;
  5. Evaluar la capacidad y calidad del servicio, instalaciĆ³n y apoyo;
  6. Evaluar la capacidad logĆ­stica del proveedor incluyendo las instalaciones y recursos tĆ©cnicos y econĆ³micos;
  7. Exigir que las entidades y organizaciones de servicios auxiliares cuenten con la calificaciĆ³n respectiva de la Superintendencia y cumplan la normativa correspondiente, y;
  8. Comprobar que el proveedor cuente con representaciĆ³n tĆ©cnica, legal, operativa y de contingencia suficientes, en especial si son proveedores internacionales.

13.1.- Para el caso de adquisiciĆ³n, implantaciĆ³n o arriendo de los bienes, servicios o sistemas tecnolĆ³gicos, todas las entidades y la CorporaciĆ³n deberĆ”n verificar:

  1. El objeto y especificaciones del servicio contratado;
  2. Los requisitos funcionales y tƩcnicos de los bienes o servicios a ser adquiridos;
  3. Los costos totales;
  4. El nivel de soporte, capacitaciĆ³n y transferencias de conocimiento a ser proporcionados por el proveedor;

e) La existencia de respaldos, seguridad y sigilo de la informaciĆ³n;

f) El mantenimiento y continuidad de los bienes y servicios;

g) AdaptaciĆ³n eficiente y oportuna a los requerimientos normativos; y,

h) el documento en que el conste el plan de contingencia y continuidad del servicio que presta el proveedor, segĆŗn corresponda.

En el caso que compaƱƭas u organizaciones de servicios auxiliares participen como proveedores, deberĆ”n presentar copia de la resoluciĆ³n de calificaciĆ³n de la Superintendencia de EconomĆ­a Popular y Solidaria.

Las cooperativas de los segmentos 4 y 5 deberĆ”n contratar los servicios de proveedores tecnolĆ³gicos siempre y cuando cumplan con lo dispuesto en este numeral. En el caso de que a la fecha de expediciĆ³n de esta norma, dichas cooperativas hubieran contratado un proveedor que no cumpla con tales requisitos, las entidades le solicitarĆ”n que dentro de un plazo de dos aƱos, cumplan con este requerimiento normativo.

ArtĆ­culo 14.- Proveedores alternos para los servicios crĆ­ticos: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con proveedores alternos que tengan la capacidad

24 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

tƩcnica y operativa para proveer los bienes y prestar los servicios que se requiera, para lo cual se deberƔ observar lo previsto en el artƭculo 13 de la presente norma.

ArtĆ­culo 15.- Proveedores del exterior: Los proveedores de servicios crĆ­ticos domiciliados en el exterior y que presten servicios a las entidades y a la CorporaciĆ³n, deberĆ”n tener una subsidiaria o una contraparte en el paĆ­s que responda ante posibles fallas o requerimientos de mejora del servicio o sistema adquirido. Esta contraparte deberĆ” ser calificada por los organismos de control pertinentes del paĆ­s y deberĆ” garantizar los mismos estĆ”ndares de calidad y responsabilidad que un proveedor local.

ArtĆ­culo 16.- Para la calificaciĆ³n y selecciĆ³n de proveedores las entidades y la CorporaciĆ³n, deberĆ”n analizar ofertas, de acuerdo a su polĆ­tica de contrataciĆ³n establecida, de tal manera que se evite posibles conflictos de interĆ©s.

SECCIƓN VII.- RIESGO LEGAL

ArtĆ­culo 17.- AdministraciĆ³n de riesgo legal: Las entidades y la CorporaciĆ³n deben determinar de manera oportuna las fallas o insuficiencias de orden legal, de tal manera que les proporcione una visiĆ³n clara sobre su exposiciĆ³n a este tipo de riesgo.

ArtĆ­culo 18.- Aspectos de enfoque de riesgo legal: Las fallas o insuficiencias de orden legal deben ser establecidas por las entidades y la CorporaciĆ³n de acuerdo con su propia percepciĆ³n y perfil de riesgos y enfocarlas, principalmente, en los siguientes aspectos: actos societarios; gestiĆ³n de crĆ©dito; operaciones del giro financiero; actividades complementarias no financieras; empresas proveedoras extranjeras, estipulaciones contractuales y, cumplimiento legal y normativo, entendiĆ©ndolos dentro de las siguientes conceptualizaciones:

18.1.- Actos societarios: Son todos aquellos procesos jurĆ­dicos que se deben realizar en orden de ejecutar y perfeccionar las decisiones de los Ć³rganos de gobierno, necesarios para el desenvolvimiento societario de las entidades y la CorporaciĆ³n, de acuerdo a su naturaleza jurĆ­dica,

18.2.- GestiĆ³n de crĆ©dito: Es el conjunto de actividades que deben ejecutar en relaciĆ³n al otorgamiento de operaciones crediticias, su instrumentaciĆ³n y su recuperaciĆ³n.

18.3.- Operaciones del giro financiero: Es el conjunto de actividades o procesos que realiza la entidad para la ejecuciĆ³n de operaciones propias de su giro financiero, distintas a la gestiĆ³n de crĆ©dito.

18.4.- Actividades complementarias de las operaciones del giro financiero: Es el conjunto de actividades o procesos que debe ejecutar la entidad, que sin ser propias del giro financiero, son necesarias para el cumplimiento y desarrollo de su objeto social.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 25

18.5.- Proveedores extranjeros: Son las personas jurƭdicas constituidas en el exterior y que proveen bienes o servicios crƭticos. DeberƔn estar domiciliadas en el paƭs o contar con un representante legal en el Ecuador, con capacidad para responder solidariamente por las obligaciones contraƭdas por el proveedor con la entidad.

18.6 Estipulaciones contractuales: Los contratos deben ser debidamente suscritos, legalizados y contener estipulaciones al menos sobre: los niveles mĆ­nimos de servicio acordado; garantĆ­as tĆ©cnicas y financieras, tales como; buen uso del anticipo, fiel cumplimiento del contrato, buen funcionamiento y disponibilidad del servicio, entre otros; penalizaciones por incumplimientos; y, facilidades para la revisiĆ³n y seguimiento del servicio prestado, ya sea, por la unidad de auditorĆ­a interna u otra Ć”rea que la entidad designe, asĆ­ como, por parte de los auditores externos o de la Superintendencia.

Los contratos con proveedores que presten servicios tecnolĆ³gicos crĆ­ticos, a mĆ”s de las estipulaciones seƱaladas en el inciso anterior, deberĆ”n contener clĆ”usulas respecto de: garantĆ­as de acceso a los programas fuentes, bases de datos, respaldos de datos, plataformas de prestaciĆ³n de servicio o infraestructura tecnolĆ³gica, en caso de quiebra del proveedor o situaciones contingentes que asĆ­ lo requieran. Se deberĆ” establecer la protecciĆ³n, privacidad y confidencialidad de los activos de informaciĆ³n de la entidad que serĆ”n accedidos y manejados por el proveedor de servicios, siempre sujetos a verificaciĆ³n; y, la facultad de realizar auditorĆ­as informĆ”ticas al proveedor en el caso de ser requerido, tanto por la entidad como por el ente de control.

18.7 Cumplimiento legal y normativo: Es el proceso mediante el cual la entidad controla que sus actividades y sus operaciones se ajusten a las disposiciones legales y normativas vigentes, asƭ como la capacidad de adecuarse rƔpida y efectivamente a nuevas disposiciones legales y normativas.

ArtĆ­culo 19.- ClasificaciĆ³n del riesgo legal: El riesgo legal se puede clasificar en:

19.1 Riesgo de DocumentaciĆ³n: Es el riesgo de que no existan documentos que respalden las operaciones de crĆ©dito, garantĆ­as, entre otros, o que de existir, tengan deficiencias en su redacciĆ³n, no estĆ©n completos, o no contengan los requisitos necesarios para su validez, de acuerdo a la normativa vigente.

  1. Riesgo de LegislaciĆ³n: Riesgo de que una operaciĆ³n no pueda ser ejecutada por prohibiciĆ³n, limitaciĆ³n o incertidumbre acerca de la legislaciĆ³n del paĆ­s o por errores en la interpretaciĆ³n de la misma.
  2. Riesgo de Capacidad: EstĆ” compuesto por el riesgo de que la contraparte no tenga capacidad legal para operar en un sector, producto o moneda determinada y por el riesgo de que las personas que actĆŗan en nombre de la contraparte no cuenten con poder legal suficiente para comprometerla.

26 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

SECCIƓN VIII.- RESPONSABILIDADES EN LA ADMINISTRACIƓN DE RIESGO OPERATIVO

ArtĆ­culo 20.- Responsabilidades de las entidades de los segmentos 1, 2,3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n: Los Ć³rganos internos de dichas entidades, ademĆ”s de las responsabilidades previstas en las Ā«Normas para la AdministraciĆ³n Integral de Riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y en las Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», expedidas por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera, tendrĆ”n las siguientes;

20.1.- Consejo de AdministraciĆ³n o Directorio:

  1. Crear una cultura organizacional con principios y valores de comportamiento Ć©tico que priorice la gestiĆ³n eficaz del riesgo operativo;
  2. Aprobar las polĆ­ticas y metodologĆ­as propuestas por el comitĆ© de administraciĆ³n integral de riesgos;
  3. Aprobar el manual de gestiĆ³n de riesgo operativo;
  4. Conocer los principales riesgos operativos afrontados por la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia; y,

e) Las demƔs determinadas por la Superintendencia.

20.2.- ComitĆ© de AdministraciĆ³n Integral de Riesgos:

  1. Evaluar y proponer al consejo de administraciĆ³n o el directorio, segĆŗn corresponda, las polĆ­ticas, los manuales y metodologĆ­as de administraciĆ³n del riesgo operativo para su aprobaciĆ³n;
  2. Aprobar los procesos y procedimientos de administraciĆ³n de riesgo operativo;
  3. Evaluar la aplicaciĆ³n de manuales y metodologĆ­as de gestiĆ³n de riesgo previo a la aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda;
  4. Definir los mecanismos para moni torear y evaluar la exposiciĆ³n a riesgos;
  5. Recomendar al consejo de administraciĆ³n o el directorio, segĆŗn corresponda, la aprobaciĆ³n de una metodologĆ­a consistente para administrar la matriz de riesgos y lĆ­mites de riesgo;
  6. Someter a aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda, los planes de contingencia y de continuidad del negocio, asegurar la aplicabilidad y cumplimiento de los mismos, para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y CorporaciĆ³n. Las entidades del segmento 3 deberĆ”n someter a aprobaciĆ³n del consejo de administraciĆ³n, el plan de recuperaciĆ³n de desastres de tecnologĆ­a de informaciĆ³n; y,

g) Las demĆ”s que determine el consejo de administraciĆ³n o el directorio, segĆŗn corresponda o la Superintendencia.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 27

20.3.- La Unidad o el administrador de riesgos: La unidad o el administrador de riesgos de la entidad deberĆ” cumplir al menos con las siguientes funciones

  1. Proponer polĆ­ticas para la gestiĆ³n del riesgo operativo;
  2. Participar en el diseƱo y permanente actualizaciĆ³n del manual de gestiĆ³n del riesgo operativo;
  3. Desarrollar la(s) metodologĆ­a(s) para la gestiĆ³n del riesgo operativo;
  4. Apoyar y asistir a las demĆ”s unidades de la entidad para la aplicaciĆ³n de la(s) metodologĆ­a(s) de gestiĆ³n del riesgo operativo;
  5. Evaluar el riesgo operativo, de forma previa al lanzamiento de nuevos productos, implementaciĆ³n de nuevos procesos y ante cambios importantes en el ambiente operativo o informĆ”tico en base a los informes de las Ć”reas que corresponda;
  6. Realizar el seguimiento al cumplimiento de los planes de acciĆ³n;
  7. Consolidar y desarrollar reportes e informes sobre la gestiĆ³n del riesgo operativo por unidades, factores y lĆ­neas de negocios;
  8. Identificar las necesidades de capacitaciĆ³n y difusiĆ³n para una adecuada gestiĆ³n del riesgo operativo;
  9. Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y de continuidad del negocio; asĆ­ como proponer los lĆ­deres de las Ć”reas que deban cubrir el plan de contingencia y de continuidad del negocio para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n;
  10. En las entidades del segmento 3, el administrador de riesgos deberĆ” elaborar y liderar la ejecuciĆ³n del plan de recuperaciĆ³n de desastres de tecnologĆ­a de informaciĆ³n;
  11. Elaborar la metodologĆ­a para definir y administrar la matriz de riesgos para las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n;
  12. En coordinaciĆ³n con el Ć”rea legal de la entidad, analizar, monitorear y evaluar los procedimientos de orden legal y emitir informes que determinen su real exposiciĆ³n al riesgo legal, los cuales deben ser puestos en conocimiento del comitĆ© de administraciĆ³n integral de riesgos; y,
  13. Otras necesarias para el desarrollo de la funciĆ³n.

ArtĆ­culo 21.- Responsabilidades del representante legal: El representante legal tiene la responsabilidad de implementar la gestiĆ³n del riesgo operativo conforme a las disposiciones del consejo de administraciĆ³n o el directorio, segĆŗn corresponda.

Los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad de gestionar el riesgo operativo en su Ć”mbito de acciĆ³n, dentro de las polĆ­ticas, limites y procedimientos establecidos, en especial, con el reporte de los eventos de riesgo identificados.

28 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

ArtĆ­culo 22.- Responsabilidades de las entidades de los segmentos 4 y 5: Los Ć³rganos internos de dichas entidades, a mĆ”s de las responsabilidades previstas en las Ā«Normas para la AdministraciĆ³n Integral de Riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» expedida por la Junta de PolĆ­tica y RegulaciĆ³n Monetaria y Financiera, tendrĆ”n las siguientes:

  1. El consejo de administraciĆ³n serĆ” responsable de aprobar el documento en el que se definan los procesos de la entidad, el manual de administraciĆ³n del personal, asĆ­ como cualquier polĆ­tica definida en relaciĆ³n a la administraciĆ³n de riesgo operativo, los mismos que deben estar previamente revisados y conocidos por el consejo de vigilancia;
  2. El consejo de vigilancia deberĆ” revisar el cumplimiento permanente de la aplicaciĆ³n de los procesos aprobados por el consejo de administraciĆ³n;
  3. El representante legal ademƔs de las responsabilidades previstas en el artƭculo 21, implementarƔ y darƔ continuidad a los lincamientos definidos en el numeral 4.4 del artƭculo 4 y de lo establecido en el artƭculo 10 de la presente norma; y,
  4. Crear una cultura organizacional con principios y valores de comportamiento Ć©tico que priorice la gestiĆ³n eficaz del riesgo operativo.

Las entidades y la CorporaciĆ³n deberĆ”n asignar recursos suficientes para la gestiĆ³n del riesgo operativo, que les permita un adecuado cumplimiento de las funciones seƱaladas en la presente norma y asegurar una adecuada independencia entre el Ć”rea que asuma las funciones de gestiĆ³n del riesgo operativo y aquellas otras unidades de negocio o de apoyo.

DISPOSICIONES GENERALES

PRIMERA.- La Superintendencia de EconomĆ­a Popular y Solidaria, sin perjuicio de

requerir la informaciĆ³n que considere necesaria para cumplir con sus actividades de supervisiĆ³n y control, podrĆ” disponer la adopciĆ³n de medidas adicionales a las previstas en esta norma, con el propĆ³sito de velar por la aplicaciĆ³n de polĆ­ticas, normas y procedimientos de riesgo operativo que enfrenten las entidades y la CorporaciĆ³n y las compaƱƭas y organizaciones de servicios auxiliares del sector financiero popular y solidario.

SEGUNDA.- Los auditores internos deberƔn verificar que la unidad de riesgo cumpla con las normas relacionadas al riesgo operativo e informar a la Superintendencia de Economƭa Popular y Solidaria sobre los niveles de avance, en los plazos y medios que este organismo de control lo requiera.

Los auditores internos deberĆ”n aplicar procesos y procedimientos de auditorĆ­a a travĆ©s de un equipo competente, debidamente capacitado y operativamente independiente, que coadyuven al mejoramiento de la efectividad de la administraciĆ³n de riesgos. El auditor interno no es el directamente responsable de la gestiĆ³n del riesgo operativo.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 29

TERCERA.- Las metodologĆ­as adoptadas para la administraciĆ³n del riesgo operativo, deben estar disponibles cuando lo requiera la Superintendencia de EconomĆ­a Popular y Solidaria para su validaciĆ³n.

CUARTA.- Las entidades sujetas a esta norma y la CorporaciĆ³n, deben enviar a la Superintendencia de EconomĆ­a Popular y Solidaria, la informaciĆ³n de eventos de riesgo operativo con el contenido, formato y frecuencia que dicho organismo de control determine.

DISPOSICIONES TRANSITORIAS

PRIMERA.- Las cooperativas de ahorro y crĆ©dito, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n proceder con la implementaciĆ³n de esta norma dentro de los plazos previstos en el siguiente ero no grama a partir de la entrada en vigencia de la presente resoluciĆ³n:

NĀ°

TEMA

PLAZO EN DƍAS

SEGMENTO 1, CAJA

CENTRAL,

MUTUALISTAS Y

CORPORACIƓN

SEGMENTO 2

SEGMENTO 3

1

Identificar las lĆ­neas de negocio

180

270

360

2

Definir el portafolio de procesos

180

270

360

3

Elaborar manual de administraciĆ³n de procesos

540

900

1080

4

Levantar los procesos de la entidad

720

1080

1440

5

Construir la bases de dalos del recurso humano de la entidad

90

120

180

6

Elaborar manual descriptivo de cargos

180

270

360

7

Elaborar el manual de administraciĆ³n del personal

270

360

540

8

Conformar la unidad de tecnologĆ­a de informaciĆ³n

90

120

N/A

9

Nombrar al responsable de tecnologĆ­a de informaciĆ³n

N/A

N/A

180

10

Conformar el comitĆ© de tecnologĆ­a de informaciĆ³n

00

120

N/A

11

Implementar polĆ­ticas, procesos, procedimientos y metodologĆ­as para la administraciĆ³n de la tecnologĆ­a de informaciĆ³n (manual)

360

540

720

12

Elaborar el plan estratĆ©gico de tecnologĆ­as de la informaciĆ³n (PETI)

720

1080

N/A

13

Definir o actualizar los planes de contingencia y continuidad de] negocio y cronograma de implementaciĆ³n

360

1080

N/A

14

Aplicar el cronograma de implementaciĆ³n de planes de contingencia y continuidad del negocio

720

1440

N/A

15

Definir un plan de recuperaciĆ³n de desastres de tecnologĆ­a de informaciĆ³n

N/A

N/A

720

16

Elaborar e implementar la matriz de riesgo operativo

360

540

N/A

17

Actualizar la matriz de riesgo operativo con los eventos de riesgo histĆ³ricos identificados (base de eventos de riesgo operativo)

720

1080

N/A

30 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial

18

Registra de eventos de riesgo

N/A

N/A

1440

19

Elaborar manual de contrataciĆ³n de proveedores

90

210

270

20

Elaborar manual de riesgo operativo que contenga las polĆ­ticas, procesos y metodologĆ­as para la administraciĆ³n, del riesgo operativo incluido el riesgo legal

1080

1440

1800

N/A= No aplica

En el caso de las cooperativas de los segmentos 4 y 5, los plazos establecidos son los siguientes:

NĀ°

TEMA

PLAZO EN DƍAS

SEGMENTO 4

SEGMENTO 5

1

Identificar lĆ­neas de negocio

360

360

2

Definir documento de administraciĆ³n de procesos

720

1080

3

Levantar procesos productivos (captaciĆ³n, colocaciĆ³n, atenciĆ³n y servicio al socio)

1080

1440

4

Elaborar manual descriptivo de cargos

720

1080

5

Elaborar e implementar la bitƔcora de eventos de riesgo

1440

1800

6

Elaborar y aprobar el presupuesto de operaciĆ³n de tecnologĆ­a de informaciĆ³n

720

720

7

Respaldar fuera del Ɣrea de procesamiento, los movimientos de operaciones activas. pasivas, contingentes y de servicios

720

720

8

Realizar el inventario de principales elementos tecnolĆ³gicos

720

720

9

Definir normas bĆ”sicas de operaciĆ³n de tecnologĆ­a de informaciĆ³n

1080

1080

SEGUNDA.- Las cooperativas del segmento I que al 31 de diciembre de 2012, no estuvieron bajo el control de la Superintendencia de Bancos, observarĆ”n los plazos para el segmento 2 establecidos en la DisposiciĆ³n Transitoria Primera.

Las cooperativas de los segmentos 2 y 3 que al 31 de diciembre de 2012, estuvieron bajo el control de la Superintendencia de Bancos, observarĆ”n los plazos para el segmento 1, establecidos en la DisposiciĆ³n Transitoria Primera.

TERCERA.- Las compaƱƭas de servicios auxiliares deberƔn cumplir con lo previsto en esta norma dentro del plazo de 1080 dƭas.

DISPOSICIƓN FINAL.- La presente resoluciĆ³n entrarĆ” en vigencia a partir de la presente fecha, sin perjuicio de su publicaciĆ³n en el Registro Oficial,

Publƭquese en la pƔgina web de la Superintendencia de Economƭa Popular y Solidaria.

Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 31

COMUNƍQUESE Y PUBLƍQUESE.- Dado y firmado en la ciudad de San Francisco de Quito, Distrito Metropolitano a

32 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial