AdministraciĆ³n del SeƱor Lcdo. Lenin Moreno GarcĆ©s
Presidente Constitucional de la RepĆŗblica del Ecuador
Viernes 11 de enero de 2019 (R. O.711, 11 -enero -2019) EdiciĆ³n Especial
SUPERINTENDENCIA DE
ECONOMĆA POPULAR Y
SOLIDARIA
RESOLUCIĆN NĀ° SEPS-IGT-IR-IGJ-2018-0279
EXPĆDESE LA NORMA
DE CONTROL PARA LA
ADMINISTRACIĆN DEL
RIESGO OPERATIVO Y
RIESGO LEGAL EN LAS
ENTIDADES DEL SECTOR
FINANCIERO POPULAR
Y SOLIDARIO BAJO EL
CONTROL DE LA SEPS
2 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 3
RESOLUCIĆN No. SEPS-IGT-1R-IGJ-2018- 0279
CATALINA PAZOS CHIMBO INTENDENTE GENERAL TĆCNICO
CONSIDERANDO:
Que, el CĆ³digo OrgĆ”nico Monetario y Financiero publicado en el Segundo Suplemento del Registro Oficial No. 332 de 12 de septiembre de 2014, regula los sistemas monetarios y financieros, asĆ como los regĆmenes de valores y seguros del Ecuador;
Que, el numeral 1 del artĆculo 62, en concordancia con et inciso segundo del artĆculo 74 del mencionado CĆ³digo determina como funciĆ³n de la Superintendencia de EconomĆa Popular y Solidaria ejercer la vigilancia, auditoria, control y supervisiĆ³n de las disposiciones del CĆ³digo OrgĆ”nico Monetario y Financiero;
Que, el numeral 7 del artĆculo 62 del aludido CĆ³digo, establece como funciĆ³n de la Superintendencia de EconomĆa Popular y Solidaria, velar por la estabilidad, solidez y correcto funcionamiento de las entidades sujetas a su control y, en general, vigilar que cumplan las normas que rigen su funcionamiento, las actividades financieras que presten, mediante la supervisiĆ³n permanente, preventiva, extra situ y visitas de inspecciĆ³n in situ que permitan determinar la situaciĆ³n econĆ³mica y financiera de las entidades, el manejo de sus negocios, evaluar la calidad y control de la gestiĆ³n de riesgo y verificar la veracidad de la informaciĆ³n que generan;
Que, el Ćŗltimo inciso del artĆculo 62 ibĆdem determina que la Superintendencia de EconomĆa Popular y Solidaria para el cumplimiento de sus funciones, podrĆ” expedir las normas en las materias propias de su competencia sin que pueda alterar las disposiciones legales ni las regulaciones que expida la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera;
Que, el inciso primero del artĆculo 74 del citado cuerpo legal, dispone que la Superintendencia de EconomĆa Popular y Solidaria, en su organizaciĆ³n, funcionamiento y funciones de control y supervisiĆ³n del sector financiero popular y solidario, se regirĆ”n por las disposiciones de dicho CĆ³digo y la Ley OrgĆ”nica de la EconomĆa Popular y Solidaria;
Que, en el artĆculo 163 de referido CĆ³digo, determina que las cooperativas de ahorro y crĆ©dito, las cajas centrales y las asociaciones mutualistas de ahorro y crĆ©dito para la vivienda forman parte del sector financiero popular y solidario;
4 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀŗ 711 – Registro Oficial
Que, el artĆculo 444 del CĆ³digo OrgĆ”nico Monetario y Financiero determina que las entidades financieras populares y solidarias estĆ”n sometidas a la regulaciĆ³n de la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera y al control de la Superintendencia de EconomĆa Popular y Solidaria, quienes en las polĆticas que emitan tendrĆ”n presente la naturaleza y caracterĆsticas propias del sector financiero solidario;
Que, el literal b) del artĆculo 151 de la Ley OrgĆ”nica de la EconomĆa Popular y Solidaria, determina entre las atribuciones del Superintendente de EconomĆa Popular y Solidaria, dictar las normas de control;
Que, la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera mediante ResoluciĆ³n 128-2015-F del 23 de septiembre de 2015, reformada por la ResoluciĆ³n 366-2017-F de 8 de mayo de 2017, expidiĆ³ las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ», cuya DisposiciĆ³n General Cuarta determina que la Superintendencia de EconomĆa Popular y Solidaria podrĆ” expedir las normas de control necesarias para la aplicaciĆ³n de dicha resoluciĆ³n. Dichas resoluciones se encuentran incluidas en la CodificaciĆ³n de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por dicho cuerpo colegiado;
Que, la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera mediante ResoluciĆ³n 346-2017-F expidiĆ³ la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», la misma que se encuentra en la CodificaciĆ³n de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por la dicho cuerpo colegiado; cuya DisposiciĆ³n General Segunda determina que la Superintendencia de EconomĆa Popular y Solidaria podrĆ” expedir las normas de control necesarias para la aplicaciĆ³n de dicha resoluciĆ³n;
Que, la Superintendencia de EconomĆa Popular y Solidaria, mediante resoluciĆ³n No. SEPS-IGT-ISF-IGJ-2Ć18-0105, de 6 de abril de 2018, expidiĆ³ la Ā«Norma de control para la calificaciĆ³n y supervisiĆ³n de las compaƱĆas y organizaciones de servicios auxiliares del sector financiero popular y solidarioĀ»;
Que, conforme consta en el literal b) del artĆculo 1 de la ResoluciĆ³n No. SEPS-IGJ-2018-001 de 2 de enero de 2018, el Superintendente de EconomĆa Popular y Solidaria delegĆ³ al Intendente General TĆ©cnico: Ā«Dictar las normas de control en el Ć”mbito de su competencia, conforme a lo dispuesto en el literal b) del articulo 151 de la Ley OrgĆ”nica de EconomĆa Popular y Solidaria, en concordancia con sabnumeral 2), literal b), numeral 10.1 del articulo 10 del Estatuto OrgĆ”nico de GestiĆ³n Organizacional por Procesos de la Superintendencia de EconomĆa Popular y Solidaria;Ā»;
Que, mediante acciĆ³n de personal No. 733 de 25 de junio de 2018, el Intendente General de GestiĆ³n Encargado, delegado por el Superintendente de EconomĆa Popular y Solidaria,, Ā«segĆŗn lo dispuesto en la letra a) del numeral 1.2 del artĆculo 1 de laRegistro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 5
ResoluciĆ³n No. SEPS-IGG-2016-090 de 28 de abril de 2016, en concordancia con lo dispuesto en la letra d) del artĆculo 2 de la ResoluciĆ³n No. SEPS-IGJ-2018-001 de 2 de enero de 2018″, nombrĆ³ como Intendente General TĆ©cnico a Catalina Pazos Chimbo; y,
Que, es necesario que la Superintendencia de EconomĆa Popular y Solidaria expida una norma de control para la administraciĆ³n del riesgo operativo y riesgo legal.
En ejercicio de sus atribuciones, resuelve expedir la siguiente:
NORMA DE CONTROL PARA LA ADMINISTRACIĆN DEL RIESGO
OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR
FINANCIERO POPULAR Y SOLIDARIO BAJO EL CONTROL DE LA
SUPERINTENDENCIA DE ECONOMĆA POPULAR Y SOLIDARIA
SECCIĆN I. ĆMBITO Y OBJETO DE APLICACIĆN
ArtĆculo 1.- Ćmbito: Las disposiciones de la presente norma se aplicarĆ”n a las cooperativas de ahorro y crĆ©dito, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda, en adelante Ā«entidadesĀ» y a la CorporaciĆ³n Nacional de Finanzas Populares y Sol i dalias, en lo sucesivo Ā«CorporaciĆ³nĀ», de acuerdo a su naturaleza, complejidad de sus operaciones y segmento al que pertenezcan.
TambiĆ©n se aplicarĆ” a las compaƱĆas y organizaciones de servicios auxiliares del sector financiero popular y solidario, que brindan servicios de red, software financiero y de computaciĆ³n, transaccionales y de pago, red de cajeros automĆ”ticos y puntos de pago.
Las entidades y la CorporaciĆ³n observarĆ”n tambiĆ©n, segĆŗn corresponda, las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera.
ArtĆculo 2.- Objeto: La presente resoluciĆ³n tiene por objeto normar la administraciĆ³n de riesgo operativo y riesgo legal para una adecuada administraciĆ³n integral de riesgos, a fin de minimizar las pĆ©rdidas que se puedan derivar de eventos ocasionados por fallas o insuficiencias de procesos, personas, tecnologĆa de la informaciĆ³n y eventos externos.
SECCIĆN IL-DEFINICIONES
ArtĆculo 3.- Glosario de tĆ©rminos: Para la aplicaciĆ³n de esta normativa, se consideran las siguientes definiciones:
6 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
- AdministraciĆ³n de la informaciĆ³n: Es el proceso mediante el cual se captura, procesa, almacena y transmite informaciĆ³n por cualquier medio.
- AplicaciĆ³n informĆ”tica: Son los procedimientos programados a travĆ©s de alguna herramienta tecnolĆ³gica.
- Base de datos: Sistema formado por un conjunto de datos almacenados en discos o cualquier otro medio magnƩtico que permite el acceso directo a ellos, estructurados de manera fiable y homogƩnea, organizados independientemente, accesibles en tiempo real.
- Datos: Es cualquier forma de registro electrĆ³nico, Ć³ptico, magnĆ©tico, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido.
- Evento de riesgo operativo: Es el incidente o hecho que se ha presentado o puede presentarse que puede derivar en pĆ©rdidas financieras o de informaciĆ³n, suspensiĆ³n de operaciones para la entidad, originadas por fallas o insuficiencias en los factores de riesgo operativo.
- Factores de riesgo operativo: Son las fuentes generadoras de riesgos operativos tales como: personas, procesos, tecnologĆa de la informaciĆ³n y eventos extemos.
- InformaciĆ³n crĆtica: Es la considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.
- Instalaciones: Es la infraestructura que permite alojar los recursos fĆsicos relacionados con la tecnologĆa de la informaciĆ³n.
- Impacto: Es la afectaciĆ³n financiera que podrĆa tener la entidad, en el caso de que ocurra un evento de riesgo.
- LĆnea de negocio: Procesos encaminados a generar productos y servicios especializados para atender un segmento del mercado objetivo definido en la planificaciĆ³n estratĆ©gica de la entidad.
- Mapa de calor: Es una herramienta que permite visualizar de una manera rƔpida la probabilidad de los riesgos y su intensidad, en caso de que estos se materialicen.
- Mapa de procesos: Diagrama que presenta la visiĆ³n global de la estructura de la entidad, donde se presentan todos los procesos que forman parte de la organizaciĆ³n y
sus principales relaciones.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019-7
- Nivel administrativo: Lo integra los miembros del consejo de administraciĆ³n o directorio segĆŗn corresponda, consejo de vigilancia, representante legal y los responsables mĆ”ximos de cada Ć”rea y/o departamento de acuerdo a la estructura organizaciĆ³n al de cada entidad.
- Nivel de riesgo: Representa el grado de exposiciĆ³n de riesgo al que podrĆa encontrarse expuesta una entidad de ocurrir un evento identificado.
- Plan de contingencia: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos crĆticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado especĆfico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
- Plan de continuidad: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos crĆticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado especĆfico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
- Plan de recuperaciĆ³n de desastres de tecnologĆa de informaciĆ³n: Es un proceso de recuperaciĆ³n que cubre los datos, el hardware y el software crĆtico, para que una entidad pueda comenzar de nuevo sus operaciones ante eventos de caso fortuito o fuerza mayor.
- Plataforma tecnolĆ³gica: Conjunto de equipos, aplicaciones y sistemas interconectados destinados a ofrecer productos y servicios a travĆ©s del uso de los
recursos tecnolĆ³gicos disponibles, a socios, clientes y/o usuarios.
- Probabilidad: Es la posibilidad de que ocurra un evento de riesgo en un determinado perĆodo de tiempo.
- Procedimiento: Es el mĆ©todo especĆfico y estandarizado para llevar a cabo una actividad o un proceso.
- Procesos: Es el conjunto de actividades estandarizadas que transforman insumos en productos o servicios.
- Proceso crĆtico: Es el conjunto de procedimientos indispensables para la sostenibilidad y continuidad de las operaciones de la entidad, y cuya falta de identificaciĆ³n o aplicaciĆ³n deficiente puede generarle un impacto negativo.
8 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
ā¢ Riesgo inherente: Es el nivel de riesgos propio de la actividad con los controles existentes en el momento de la evaluaciĆ³n del riesgo.
ā¢ Riesgo residual: Nivel de riesgo esperado despuĆ©s de aplicar los controles.
ā¢ Riesgo operativo: Es la posibilidad de que se produzcan pĆ©rdidas para la entidad, debido a fallas o insuficiencias originadas en procesos, personas, tecnologĆa de informaciĆ³n y eventos externos.
El riesgo operativo no incluye los originados por el entorno polĆtico, econĆ³mico y social, los riesgos sistĆ©mico, estratĆ©gico y de reputaciĆ³n.
- Riesgo legal: Es la probabilidad de que una entidad incurra en pĆ©rdidas debido a la inobservancia e incorrecta aplicaciĆ³n de disposiciones legales, normativas e instrucciones emanadas por organismos de control; aplicaciĆ³n de sentencias o resoluciones judiciales o administrativas adversas; deficiente redacciĆ³n de textos, formalizaciĆ³n o ejecuciĆ³n de actos, contratos o transacciones o porque los derechos de las partes contratantes no han sido debidamente estipuladas.
- Seguridad de la informaciĆ³n: Son los mecanismos que garantizan la confidencialidad, integridad y disponibilidad de la informaciĆ³n y los recursos relacionados con ella.
- Sistemas internos de control integral: Son el conjunto integrado de polĆticas, procesos, procedimientos y niveles de control formalmente establecidos y validados periĆ³dicamente, tendientes a evitar la ocurrencia de eventos de riesgo o mitigar su impacto.
- TecnologĆa de la informaciĆ³n.- Es el conjunto de herramientas y mĆ©todos empleados para llevar a cabo la administraciĆ³n de la informaciĆ³n. Incluye el hardware, software, sistemas operativos, sistemas de administraciĆ³n de bases de datos, redes, multimedia, servicios asociados, entre otros.
- Tipo de evento: IdentificaciĆ³n de los eventos de riesgo operativo de acuerdo a su origen.
SECCIĆN III.- ADMINISTRACIĆN DEL RIESGO OPERATIVO
ArtĆculo 4.- AdministraciĆ³n de Riesgo Operativo: En el marco de la administraciĆ³n integral y control de riesgos, las entidades y la CorporaciĆ³n incluirĆ”n la metodologĆa y los procedimientos para gestionar el riesgo operativo como un riesgo especĆfico, al que se encuentran expuestas en el desarrollo de sus actividades y operaciones.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 9
Con la finalidad de reducir las consecuencias y efectos de riesgo operativo, tambiĆ©n deberĆ”n decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir, de acuerdo a lo establecido en las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ»; y, en la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera.
4.1.- Etapas de la administraciĆ³n: Las entidades y la CorporaciĆ³n deben ejecutar las etapas definidas para la administraciĆ³n de riesgo operativo que consisten en; identificar, medir, priorizar, controlar/mitigar, moni torear y comunicar sus exposiciones a este riesgo.
AsĆ mismo, de acuerdo al segmento al que pertenezcan y al tamaƱo y complejidad de sus operaciones, desarrollarĆ”n sus propias metodologĆas y procedimientos de administraciĆ³n de riesgo operativo.
4.2.- LĆneas de negocio.- Para una adecuada administraciĆ³n del riesgo operativo las entidades y la CorporaciĆ³n, deberĆ”n agrupar justificada y documentadamente sus procesos por lĆneas de negocio de acuerdo a la siguiente clasificaciĆ³n:
- LĆnea minorista.- Contempla las actividades de intermediaciĆ³n financiera tales como: recepciĆ³n de depĆ³sitos en cualquier modalidad; asesoramiento de inversiones; otorgamiento de crĆ©ditos en las modalidades de consumo y vivienda. Este grupo incluye, servicios financieros, negociaciĆ³n de letras de cambio, libranzas, pagarĆ©s, facturas y otros documentos que representen obligaciĆ³n de pago creados por ventas a crĆ©dito, asĆ como el anticipo de fondos con respaldo de los documentos referidos. No incluye las operaciones y servicios relacionados con tarjetas de crĆ©dito, dĆ©bito, pago y prepago.
- LĆnea de microfinanzas.- Incluye operaciones financieras como prĆ©stamos en el segmento de microcrĆ©dito, ahorro o transferencias a personas naturales cuyo sustento provenga de actividades econĆ³micas de menor escala.
- Linea de tarjetas.- Contempla las actividades y servicios relacionados con tarjetas de crƩdito, dƩbito, pago y prepago.
- LĆnea Comercial.- Incluye las operaciones de crĆ©dito comercial de primer piso, operaciones financieras de segundo piso con cooperativas de ahorro y crĆ©dito y asociaciones mutualistas de ahorro y crĆ©dito para la vivienda.
- LĆnea Inmobiliaria.- Corresponde a la planificaciĆ³n, construcciĆ³n y comercializaciĆ³n de proyectos orientados al desarrollo de la vivienda y construcciĆ³n sean estos propios o de terceros.
10 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
f) LĆnea de compensaciĆ³n de pagos.- Contempla todas las actividades relacionadas con la gestiĆ³n de pagos, transferencias y compensaciĆ³n de acuerdo a lo establecido en el artĆculo 470 del CĆ³digo OrgĆ”nico Monetario y Financiero.
g) LĆnea de tesorerĆa tradicional.- Representan actividades cotidianas de la gestiĆ³n de liquidez y administraciĆ³n de flujo de fondos.
4.3.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n implementar to determinado en los siguientes numerales:
4.3.1.- Manual de Riesgo Operativo: Elaborar un manual de riesgo operativo de acuerdo a su estructura, tamaƱo y complejidad de sus operaciones, el que contendrƔ al menos, lo siguiente:
- Las polĆticas, procesos y procedimientos para la administraciĆ³n del riesgo operativo;
- Los roles y responsabilidades de quienes participan en la administraciĆ³n del riesgo operativo;
- Las medidas necesarias para asegurar el cumplimiento de las polĆticas y objetivos de la administraciĆ³n de riesgo operativo;
- Las metodologĆas y procedimientos para identificar, medir (cuantificar), priorizar, controlar, mitigar, monitorear y comunicar los riesgos operativos y su nivel de aceptaciĆ³n;
- Los procedimientos para priorizar y gestionar los eventos de riesgo, a excepciĆ³n del segmento 3;
- Las estrategias de capacitaciĆ³n en temas de administraciĆ³n de riesgo operativo;
g) Los mecanismos o sistemas de reporte de la administraciĆ³n de riesgo operativo; y, h) El proceso de anĆ”lisis de riesgos para nuevas operaciones, productos o servicios,
4.3.2.- Tipos de eventos de riesgo operativo: Identificar por lĆnea de negocio, los riesgos operativos, agrupados por tipo de evento y las fallas o insuficiencias en los factores de riesgo relacionados con personas, procesos, tecnologĆa de la informaciĆ³n y eventos externos, conforme al detalle del anexo 1, que forma parte de esta norma.
Los tipos de eventos son los siguientes;
- Fraude interno.- PĆ©rdidas derivadas de algĆŗn tipo de actuaciĆ³n encaminada a defraudar, apropiarse de bienes indebidamente o eludir regulaciones, leyes o polĆticas, infidelidades de empleados o uso de informaciĆ³n privilegiada para beneficio propio;
- Fraude externo.- PĆ©rdidas derivadas de algĆŗn tipo de actuaciĆ³n encaminada a defraudar, apropiarse de bienes o recursos indebidamente o eludir la legislaciĆ³n, por parte un tercero, incluyendo danos ocasionados por individuos, grupos u
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 11
organizaciones externas que buscan explorar la dependencia de la instituciĆ³n en recursos tecnolĆ³gico;
- PrĆ”cticas laborales y seguridad del ambiente de trabajo.- PĆ©rdidas derivadas de actuaciones incompatibles con la legislaciĆ³n o acuerdos laborales, sobre higiene o seguridad en el trabajo, pago de reclamaciones por daƱos personales, casos relacionados con la diversidad o discriminaciĆ³n y por responsabilidades generales en el trabajo;
- PrĆ”cticas relacionadas con los clientes, los productos y el negocio.- PĆ©rdidas derivadas del incumplimiento involuntario o negligente de una obligaciĆ³n profesional frente a socios, clientes o usuarios, o de la naturaleza o diseƱo de un producto;
- DaƱos a los activos fĆsicos.- PĆ©rdidas derivadas de daƱos o perjuicios a activos materiales como consecuencia de desastres naturales o por terrorismo, vandalismo, incendio o inundaciones;
- InterrupciĆ³n del negocio por fallas en la tecnologĆa de la informaciĆ³n.- PĆ©rdidas derivadas por la ocurrencia de problemas de telecomunicaciones, servicios pĆŗblicos y apagones; y,
- Deficiencias en la ejecuciĆ³n de procesos, en el procesamiento de operaciones; y en las relaciones con proveedores y terceros.- PĆ©rdidas derivadas de errores en el procesamiento de operaciones, en la gestiĆ³n de procesos y en relaciones con contrapartes comerciales y proveedores.
Los eventos de riesgo operativo y las fallas o insuficiencias serĆ”n identificados en relaciĆ³n con los factores de este riesgo a travĆ©s de una metodologĆa formal, debidamente documentada y aprobada por el consejo de administraciĆ³n o el directorio, segĆŗn corresponda.
4.3,3 MetodologĆas: La metodologĆa definida para la gestiĆ³n del riesgo operativo, cuando sea tomada en su conjunto, deberĆ” considerar los factores de riesgo operativo y cumplir con los siguientes criterios:
- La metodologĆa debe ser implementada en toda la entidad en forma consistente;
- AsignaciĆ³n de recursos suficientes para aplicar la metodologĆa en las principales lĆneas de negocio, en los procesos de control y de apoyo;
- AplicaciĆ³n de metodologĆas integradas a los procesos de gestiĆ³n de riesgos de la entidad;
- Establecimiento de mecanismos que permitan una mejora continua de la gestiĆ³n del nesgo operativo;
- La aplicaciĆ³n de la metodologĆa de gestiĆ³n del riesgo operativo debe estar adecuadamente documentada;
12 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
f) Instaurar procedimientos que permitan asegurar el cumplimiento de la metodologĆa de gestiĆ³n del riesgo operativo; y,
g) DeterminaciĆ³n de los lĆmites de pĆ©rdidas aceptadas o administradas de acuerdo a lo seƱalado en las polĆticas de riesgo operativo.
4.3.4 Base de eventos de riesgo: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n registrar los eventos de riesgo identificados, con el fin de construir una base de eventos que sea centralizada, histĆ³rica, actualizada y suficiente, que permita ordenar, clasificar y disponer de informaciĆ³n sobre fallas o insuficiencias, incluidas las de orden legal, su impacto cuantitativo o cualitativo.
Los eventos de riesgo se caracterizan por generalĀ»
- PĆ©rdidas que afecten al estado de resultados;
- PĆ©rdidas que no afecten el estado de resultados; y,
- Potenciales pĆ©rdidas que aĆŗn no se hayan materializado.
ContarĆ”n con una matriz de riesgo operativo en la que se registren los eventos de riesgo identificados en sus procesos, para lo cual deberĆ”n adoptar una metodologĆa de riesgo de acuerdo a lo establecido en las Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y en la Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», emitidas por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera.
AsĆ mismo, deberĆ”n usar metodologĆas complementarias a la matriz de eventos de riesgo para su gestiĆ³n con el fin de fortalecer la administraciĆ³n de riesgo operativo.
Las entidades del segmento 3 deberĆ”n registrar sus eventos de riesgo al menos en un reporte o registro que contemple, fecha de ocurrencia del evento, Ć”rea, proceso, descripciĆ³n y valor, que deberĆ” ser presentado al comitĆ© de administraciĆ³n integral de riesgos para la definiciĆ³n de medidas correctivas.
4.3.5 Esquema de reportes: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deben diseƱar y mantener un esquema de reportes que permitan disponer de informaciĆ³n suficiente, pertinente y oportuna para la toma de decisiones. Los reportes deberĆ”n contener al menos lo siguiente:
- Detalle de los eventos que representan un mayor nivel de riesgo operativo;
- IdentificaciĆ³n de la evoluciĆ³n de los eventos de riesgo y reporte del grado de cumplimiento de planes de acciĆ³n (mitigaciĆ³n); y,
- Mapa de calor en el que se identifique la concentraciĆ³n de eventos de riesgo por nivel de riesgo.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 13
d) Magnitud de pƩrdida suscitada por riesgo operativo, a partir de la base de eventos de riesgo.
Estos reportes deben ser dirigidos por el responsable de la unidad de riesgos al comitĆ© de administraciĆ³n integral de riesgos, con la finalidad de que en el proceso de administraciĆ³n de riesgo operativo se pueda decidir si el riesgo se debe asumir, compartir, mitigar o transferir, reduciendo sus consecuencias y efectos.
El conocimiento de la situaciĆ³n en relaciĆ³n a la administraciĆ³n de riesgo operativo, permitirĆ” que el nivel administrativo tenga una visiĆ³n clara de la importancia de los diferentes tipos de exposiciĆ³n al riesgo operativo y su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones, que entre otras, pueden ser: revisar estrategias y polĆticas; actualizar o modificar procesos y procedimientos establecidos; implantar o modificar lĆmites de riesgo; constituir, incremental* o modificar controles; implantar planes de contingencia y de continuidad del negocio; revisar tĆ©rminos de pĆ³lizas de seguro contratadas; contratar servicios provistos por terceros; u otros, segĆŗn corresponda.
Los reportes, matrices de riesgo y todo tipo de informaciĆ³n referente a riesgo operativo deben ser presentados por el responsable de la unidad de riesgos al comitĆ© de administraciĆ³n integral de riesgos. Dichos reportes deberĆ”n estar disponibles cuando la Superintendencia lo requiera.
4.3.6 CapacitaciĆ³n de riesgo operativo: Todas las entidades y la CorporaciĆ³n deben diseƱar, programar y coordinar planes de capacitaciĆ³n sobre la administraciĆ³n de riesgo operativo, uso adecuado de tecnologĆa y seguridad de la informaciĆ³n, dirigidos a todos los Ć³rganos internos y empleados, funcionarios o servidores. Las capacitaciones deben cumplir al menos con las siguientes condiciones:
- Ser de periodicidad anual;
- Ser impartidas durante el proceso de inducciĆ³n de los nuevos funcionarios, empleados o servidores;
- Contar con mecanismos de evaluaciĆ³n de los resultados obtenidos, con el fin de determinar la eficiencia de dichos programas y el alcance de los objetivos propuestos;
y,
d) Mantener un registro del personal capacitado y de las sugerencias realizadas por los participantes.
4.4.- Para mantener una adecuada administraciĆ³n del riesgo operativo las entidades de los segmentos 4 y 5, sin perjuicio de lo dispuesto en el CapĆtulo III AdministraciĆ³n de riesgos en las cooperativas de ahorro y crĆ©dito de los segmentos 4 y 5 de las, Ā«Normas para la administraciĆ³n integral de riesgos en las cooperativas de ahorro y crĆ©dito cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ», emitida por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera, deberĆ”n:
14 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
- Definir adecuadamente los procesos de la entidad, los mismos que incluyan: actividades, responsables, fecha de actualizaciĆ³n y fecha de aprobaciĆ³n por parte del consejo de administraciĆ³n;
- Mantener un registro de sus eventos de riesgo, el mismo que contemple como mĆnimo, fecha de ocurrencia, descripciĆ³n, soluciĆ³n e impacto financiero de ser el caso;
- Garantizar una adecuada separaciĆ³n de funciones que evite la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo;
- implementar polĆticas y niveles de aprobaciĆ³n para las distintas lĆneas de negocio y procesos con el fin de evitar conflictos de interĆ©s; y,
- Elaborar un manual de administraciĆ³n del personal que contemple las polĆticas, procesos y procedimientos para la incorporaciĆ³n, permanencia y desvinculaciĆ³n del personal.
SECCIĆN IV.- FACTORES DE RIESGO OPERATIVO
ArtĆculo 5.- Para reducir el nivel de riesgo operativo las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n administrar los factores de riesgo considerando su particularidad y la interrelaciĆ³n entre ellos.
ArtĆculo 6.- Personas: Las entidades y la CorporaciĆ³n deben contar con una estructura orgĆ”nico-funcional acorde al tamaƱo, complejidad de sus operaciones y normativa vigente que le aplica segĆŗn su segmento. AdemĆ”s, deben identificar las fallas o insuficiencias asociadas al factor Ā«personasĀ», tales como: falta de personal adecuado, negligencia, error humano, conflicto de intereses, falta de segregaciĆ³n de funciones, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los tĆ©rminos de contrataciĆ³n del personal, entre otros.
6.1.- Manuales de talento humano: Las entidades y la CorporaciĆ³n, deberĆ”n documentar en un manual descriptivo de talento humano los procesos de incorporaciĆ³n, permanencia y desvinculaciĆ³n, y en otro manual en el que consten los cargos, las funciones, responsabilidades, asĆ como, la descripciĆ³n del perfil tĆ©cnico y de las competencias que debe tener el ocupante de cada cargo.
6.2.- Independencia de funciones: DeberĆ” existir una adecuada separaciĆ³n de funciones que evite concentraciones de carĆ”cter incompatible, entendidas Ć©stas como aquellas tareas cuya combinaciĆ³n en las competencias y responsabilidades de una sola persona, eventualmente, podrĆa permitir la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo.
6.3.- Base de datos: Las entidades y la CorporaciĆ³n, deben mantener una base de datos con informaciĆ³n actualizada del recurso humano, que permita una adecuada toma de decisiones por parte del nivel administrativo y la realizaciĆ³n de anĆ”lisis de la cantidad y calidad del recurso humano de acuerdo con sus necesidades.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 15
Dicha informaciĆ³n debe contener como mĆnimo:
- Datos personales del funcionario;
- FormaciĆ³n acadĆ©mica, experiencia y referencias;
- Fechas de selecciĆ³n, reclutamiento y contrataciĆ³n;
- Cargos que han desempeƱado en la entidad;
- Resultados de evaluaciones realizadas;
- Fechas, nĆŗmero de horas y temas de capacitaciones;
g) Fechas y dĆas de vacaciones gozadas;
h) DĆas y horas de vacaciones disponibles;
i) Fechas y causas por las que el personal se ha desvinculado de la entidad; y,
j) Motivos de multas, sanciones y amonestaciones.
ArtĆculo 7.- Procesos: Con el objeto de garantizar la optimizaciĆ³n de los recursos y la estandarizaciĆ³n de las actividades, las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con procesos definidos, documentados, aprobados, actualizados y socializados que se encuentren alineados con la estrategia institucional y con las polĆticas adoptadas.
Las entidades y la CorporaciĆ³n, deberĆ”n definir formalmente procesos, polĆticas y procedimientos que aseguren una apropiada planificaciĆ³n, administraciĆ³n y cumplimiento de los objetivos institucionales; en concordancia, principalmente, con los factores de riesgo personas y tecnologĆa de la informaciĆ³n.
Los procesos deberƔn ser agrupados de la siguiente manera:
7.1.- Procesos gobernantes o estratĆ©gicos: Se considerarĆ”n a aquellos que proporcionan directrices y polĆticas a los demĆ”s procesos cuya responsabilidad compete al consejo de administraciĆ³n o directorio y al representante legal, segĆŗn corresponda, con el fin de cumplir con los objetivos y polĆticas institucionales. Se refieren a la planificaciĆ³n estratĆ©gica, los Ćneamientos de acciĆ³n bĆ”sicos, definiciĆ³n de estructura organizacional, la administraciĆ³n integral de riesgos, entre otros.
7.2.- Procesos productivos, fundamentales u operativos: Son los procesos propios del giro del negocio, que permitan ejecutar efectivamente las polĆticas y estrategias relacionadas con la calidad de los productos o servicios que ofrecen a sus socios, clientes o usuarios.
7.3. Procesos habilitantes, de soporte o apoyo: Son los procesos administrativos, financieros, tecnologĆa de informaciĆ³n, contabilidad, control interno y talento humano, que apoyan a los procesos gobernantes y productivos
7.4.- Manual de administraciĆ³n de procesos: Las entidades y la CorporaciĆ³n, deberĆ”n definir formalmente polĆticas, procesos y metodologĆas para un adecuado diseƱo, control, actualizaciĆ³n y mejoramiento de los procesos, que les permita adaptar sus procesos
16 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
oportunamente a los cambios y condiciones de mercado, mejores prĆ”cticas o disposiciones normativas. Las polĆticas deberĆ”n actualizarse de acuerdo a la normativa vigente y abarcarĆ”n por lo menos, los siguientes aspectos:
- DiseƱo claro y actualizaciĆ³n de los procesos, los cuales deben ser dinĆ”micos y compatibles con la entidad;
- DescripciĆ³n en secuencia lĆ³gica y ordenada de las actividades, tareas, y controles;
- DeterminaciĆ³n de los responsables de los procesos, que serĆ”n aquellas personas encargadas de su correcto funcionamiento, a travĆ©s del establecimiento de objetivos y estrategias para gestionarlos y mejorarlos;
- DefiniciĆ³n de mapa de procesos en el que consten los procesos gobernantes o estratĆ©gicos, procesos productivos, fundamentales u operativos y procesos habilitantes, de soporte o apoyo;
- DefiniciĆ³n de lĆmites y alcance, manteniendo contacto con los clientes internos y externos del proceso para garantizar que se satisfagan sus necesidades y expectativas;
- ActualizaciĆ³n y mejora continua a travĆ©s del seguimiento permanente en su aplicaciĆ³n;
- Garantizar una adecuada separaciĆ³n de funciones que evite la realizaciĆ³n o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo; y,
h) DifusiĆ³n y comunicaciĆ³n de los procesos buscando garantizar su total aplicaciĆ³n.
7.5.- Portafolio de procesos: Las entidades y la CorporaciĆ³n, deberĆ”n mantener inventarios actualizados de procesos por lĆnea de negocio, que cuenten, como mĆnimo con la siguiente informaciĆ³n: tipo de proceso, nombre del proceso, responsable, identificaciĆ³n de procesos crĆticos, productos y servicios que genera el proceso, clientes internos y externos, fecha de actualizaciĆ³n y fecha de aprobaciĆ³n.
ArtĆculo 8.- TecnologĆa de informaciĆ³n; Las entidades y la CorporaciĆ³n, deben contar y mantener tecnologĆa de informaciĆ³n acorde a su segmento, naturaleza y perfil de riesgo de sus operaciones, que garantice la captura, procesamiento, almacenamiento y transmisiĆ³n de manera oportuna y confiable de la informaciĆ³n para la toma de decisiones, incluyendo aquella que estĆ” bajo la modalidad de servicios provistos por terceros.
ArtĆculo 9.- AdministraciĆ³n de la tecnologĆa de la informaciĆ³n.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n deberĆ”n administrar la tecnologĆa de informaciĆ³n; para lo cual deben contar con:
9.1 Ćrea de tecnologĆa de la informaciĆ³n: Un comitĆ©, unidad, o responsable de tecnologĆa de informaciĆ³n que garantice el normal funcionamiento de la misma, independiente de las Ć”reas operativas y de negocio de la entidad.
El Ć”rea de tecnologĆa de la informaciĆ³n debe ser consistente de acuerdo al segmento, naturaleza, complejidad y perfil de riesgo de las operaciones de la entidad.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 17
9.2.- Estructura de gestiĆ³n de tecnologĆa: Con la finalidad de implementar de manera eficiente la administraciĆ³n de la tecnologĆa de informaciĆ³n, las entidades deberĆ”n contemplar una estructura de gestiĆ³n de tecnologĆa, de acuerdo al siguiente cuadro:
ĆRGANOS INTERNOS
SEGMENTO 1, CAJAS
CENTRALES,
MUTUALISTAS Y
CORPORACIĆN
SEGMENTO 2
SEGMENTO 3
ComitĆ© ele TecnologĆa de la InformaciĆ³n
X
X
N/A
Unidad de TecnologĆa de la InformaciĆ³n
X
X
N/A
Responsable de TecnologĆa de la InformaciĆ³n
N/A
N/A
X
N/A = No aplica
Las cooperativas de ahorro y crĆ©dito del segmento 3, deberĆ”n tener al menos un responsable de tecnologĆa de la informaciĆ³n, que brinde soporte tecnolĆ³gico a la entidad y canalice cualquier requerimiento a los proveedores.
9.2.1.- ConformaciĆ³n del ComitĆ© de TecnologĆa de la InformaciĆ³n: El comitĆ© estarĆ” conformado por: un vocal del consejo de administraciĆ³n o directorio, segĆŗn corresponda, quien lo presidirĆ” y tendrĆ” voto dirimente; el representante legal o su delegado; y, los responsables de las Ć”reas de riesgo y de tecnologĆa que actuarĆ” como secretario, quienes tendrĆ”n voz y voto. En las sesiones del comitĆ© podrĆ”n participar funcionarios vinculados con los temas a tratarse quienes no tendrĆ”n derecho a voto. En el caso de no existir dicho comitĆ©, estas atribuciones serĆ”n llevadas por el comitĆ© de administraciĆ³n integral de riesgos o el organismo que haga sus veces.
9.2.2.- Funciones del ComitĆ© de TecnologĆa de la InformaciĆ³n: El comitĆ© serĆ” responsable principalmente de:
- Planificar, coordinar y supervisar las actividades relacionadas con la tecnologĆa;
- Recomendar las polĆticas, procesos, procedimientos y metodologĆas de tecnologĆa de informaciĆ³n para posterior aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda;
- Establecer lincamientos para la formulaciĆ³n del plan estratĆ©gico de tecnologĆas de la informaciĆ³n, relacionado con el plan estratĆ©gico de la entidad y presupuestos aprobados;
- Recomendar al consejo de administraciĆ³n o al directorio, segĆŗn sea el caso, el Plan EstratĆ©gico de TecnologĆas de la InformaciĆ³n (PETI);
18 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
- Priorizar la inversiĆ³n de tecnologĆas de la informaciĆ³n y proyectos con componente tecnolĆ³gico;
- Recomendar al consejo de administraciĆ³n o al directorio, segĆŗn corresponda, la aprobaciĆ³n de modelos de operaciĆ³n para las tecnologĆas de la informaciĆ³n y comunicaciĆ³n; y,
- Presentar periĆ³dicamente al consejo de administraciĆ³n o al directorio, segĆŗn sea el caso, informes de cumplimiento de la gestiĆ³n de tecnologĆa de la informaciĆ³n.
9.2.3 Funcionamiento del ComitĆ©: Sesionara de manera ordinaria por lo menos cuatro veces al aƱo; y, extraordinariamente, por convocatoria del presidente, que deberĆ” ser notificada con un mĆnimo de 72 horas de anticipaciĆ³n a la fecha de realizaciĆ³n de la sesiĆ³n.
El comitĆ© de tecnologĆa de informaciĆ³n sesionarĆ” con, al menos, tres de sus integrantes y las decisiones serĆ”n tomadas por mayorĆa de votos. El presidente del comitĆ© tendrĆ” voto diri mente.
Las resoluciones constarĆ”n en las respectivas actas. El secretario de comitĆ©, elaborarĆ” y llevarĆ” actas fechadas y numeradas en forma secuencial de todas las sesiones, debidamente suscritas por todos sus asistentes. AsĆ mismo, serĆ” de su responsabilidad, la custodia de las mismas, bajo los principios de confidencialidad, integridad y disponibilidad de la informaciĆ³n.
El comitĆ©, a travĆ©s de su presidente, informarĆ” por escrito al consejo de administraciĆ³n o al directorio, las evaluaciones y absoluciones adoptadas.
ArtĆculo 9.3.- PolĆticas, procesos, procedimientos y metodologĆas para la administraciĆ³n de la tecnologĆa de informaciĆ³n: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n definir polĆticas, procesos, procedimientos y metodologĆas que:
- Se encuentren diseƱadas bajo estĆ”ndares de general aceptaciĆ³n que permitan minimizar los riesgos en la tecnologĆa de informaciĆ³n y ejecuciĆ³n de los criterios de control interno; y,
- Contemplen al menos que el consejo de administraciĆ³n de las entidades de los segmentos 1,2, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la vivienda o el directorio, segĆŗn corresponda, aprueben un plan estratĆ©gico de tecnologĆa de la informaciĆ³n (PETI) alineado con el plan estratĆ©gico institucional; y, un plan operativo anual que establezca las actividades a ejecutar en el corto plazo, traducido en tareas, cronogramas, personal responsable y presupuesto, de manera que se asegure el logro de los objetivos tecnolĆ³gicos propuestos.
9.3.1.- Con el objeto de garantizar que las operaciones de tecnologĆa de la informaciĆ³n satisfagan los requerimientos de las operaciones, las referidas entidades deberĆ”n contar al menos con lo siguiente:
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 19
- PlanificaciĆ³n EstratĆ©gica de TecnologĆa de la InformaciĆ³n (PETI) y Presupuesto de TecnologĆa de la InformaciĆ³n;
- Procedimientos de operaciĆ³n, acceso y uso de las instalaciones de procesamiento de informaciĆ³n;
- Procedimientos de gestiĆ³n de incidentes y problemas de tecnologĆa de la informaciĆ³n, que considere al menos su registro, priorizaciĆ³n, anĆ”lisis, escalamiento y soluciĆ³n;
- Respaldos de informaciĆ³n periĆ³dicos, acorde a los requerimientos de continuidad del negocio que incluya la frecuencia de verificaciĆ³n, las condiciones de preservaciĆ³n, eliminaciĆ³n y el transporte seguro hacia un sitio alterno, que no debe estar expuesta a los mismos riesgos del sitio principal y mantenga las condiciones fĆsicas y ambientales necesarias para su preservaciĆ³n y posterior recuperaciĆ³n; y,
- Transporte de respaldos entre los centros de resguardo que deban efectuarse con adecuados controles de seguridad (sellos, bitĆ”coras de salida y entrada, personal autorizado, entre otros aspectos) que minimicen ubicaciĆ³n remota, que no debe estar expuesto a los riesgos del sitio principal. La informaciĆ³n debe estar resguardada por el lapso no menor a lo que indica la normativa vigente, en condiciones y en formatos que se establezcan para el caso por parte de los entes de control.
9.3.2.- Las entidades seƱaladas deberĆ”n garantizar que el proceso de adquisiciĆ³n, desarrollo, implementaciĆ³n y mantenimiento de las aplicaciones satisfagan los objetivos del negocio, considerando al menos lo siguiente:
- Una metodologĆa que permita la adecuada administraciĆ³n y control del proceso de compra de software y del ciclo de vida de desarrollo y mantenimiento de aplicaciones, con los usuarios involucrados;
- Requerimientos funcionales aprobados por el Ɣrea solicitante;
- Requerimientos tĆ©cnicos y el anĆ”lisis de la relaciĆ³n y afectaciĆ³n a la capacidad de la infraestructura tecnolĆ³gica actual, aprobados por el Ć”rea tĆ©cnica;
- Ambientes de prueba, desarrollo y producciĆ³n, con la debida segregaciĆ³n de accesos. Para el caso de entidades que hayan tercerizado el servicio de desarrollo de sistemas, deberĆ”n contar al menos con ambientes de prueba y producciĆ³n;
- MitigaciĆ³n de las vulnerabilidades del cĆ³digo fuente de las aplicaciones;
- Pruebas tĆ©cnicas y funcionales que reflejen la aceptaciĆ³n de los usuarios autorizados;
- Procedimientos de control de cambios que considere su registro, manejo de versiones, segregaciĆ³n de funciones y autorizaciones e incluya los cambios emergentes; y,
- Procedimientos de migraciĆ³n de la informaciĆ³n, que incluyan controles para garantizar las caracterĆsticas de integridad, disponibilidad y confidencialidad.
En caso de que la entidad contrate el servicio de desarrollo de software o adquiera un sistema informƔtico, debe verificar que el proveedor cumpla con las disposiciones descritas en los numerales precedentes.
20 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
9.3.3.- Con el objeto de garantizar que la infraestructura tecnolĆ³gica que soporta las operaciones sea administrada, moni toreada y documentada, las entidades y la CorporaciĆ³n, deben contar con un manual de gestiĆ³n de la infraestructura que contengan al menos:
- Procedimientos que permitan la administraciĆ³n, monitoreo y registros de configuraciĆ³n de las bases de datos, redes dĆ© datos, hardware y software base, que incluya lĆmites y alertas;
- Una metodologĆa documentada de anĆ”lisis de la capacidad y desempeƱo de la infraestructura tecnolĆ³gica que soporte las operaciones del negocio, cuyo resultado debe ser conocido y analizado por el comitĆ© de tecnologĆa o el Ć³rgano que baga sus veces, con una frecuencia mĆnima semestral. La metodologĆa debe incluir lĆmites y alertas de al menos: almacenamiento, memoria, procesador, consumo de ancho de banda; y, para bases de datos: Ć”reas temporales de trabajo, log de transacciones y almacenamiento de datos;
- Procedimientos de migraciĆ³n de la plataforma tecnolĆ³gica, que incluyan controles para garantizar la continuidad del servicio;
- Instalaciones de procesamiento de informaciĆ³n crĆtica en Ć”reas protegidas con los suficientes controles que eviten el acceso de personal no autorizado, daƱos a los equipos de computaciĆ³n y a la informaciĆ³n en ellos procesada, almacenada o distribuida; y, condiciones fĆsicas y ambientales necesarias para garantizar el correcto funcionamiento del entorno de la infraestructura de tecnologĆa de la informaciĆ³n; y,
- Un procedimiento para mantener un inventario de infraestructura tecnolĆ³gica actualizado que considere por lo menos, su registro, responsables de uso, fecha y control de ingresos y salidas de los activos.
9.3.4.- En el caso de contratar servicios de infraestructura, plataforma y/o software conocido como computaciĆ³n en la nube, las entidades y la CorporaciĆ³n deben asegurar que el proveedor disponga al menos de:
- Centros de procesamiento de datos principal y/o alterno, contratados en la nube, implementados siguiendo el estĆ”ndar TIA-942 y contar como mĆnimo con la certificaciĆ³n TIER III para diseƱo, implementaciĆ³n y operaciĆ³n;
- CertificaciĆ³n ISO 27001 en seguridad de la informaciĆ³n para los servicios ofertados;
- Si es un proveedor internacional, que tenga una representaciĆ³n comercial en el paĆs, con capacidad para brindar soporte integral con personal y representar legalmente al proveedor internacional en el paĆs; y,
- Capacidad para transferir sĆ³lidamente los conocimientos.
La informaciĆ³n almacenada por el proveedor deberĆ” estar a disposiciĆ³n permanente de la entidad y a travĆ©s de Ć©sta, del organismo de control, por medio de los canales o mecanismos que disponga para el efecto. La informaciĆ³n es de estricta confidencialidad y no podrĆ” ser comercializada o utilizada para otros fines distintos a los manejados por la entidad dueƱa de la informaciĆ³n.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 21
La notificaciĆ³n de tĆ©rmino del contrato deberĆ” ser informada por e] proveedor con la debida anticipaciĆ³n, con el propĆ³sito de garantizar la continuidad de las operaciones de la entidad.
En caso de terminaciĆ³n del contrato de servicios de infraestructura, plataforma y/o software, la informaciĆ³n serĆ” devuelta por el proveedor a la entidad de forma inmediata, conservando un respaldo de seguridad por un perĆodo de al menos tres meses debiendo observar estricta confidencialidad y el impedimento para utilizarla y comercializarla.
Las entidades referidas en este artĆculo y la CorporaciĆ³n deberĆ”n informar al consejo de administraciĆ³n sobre el detalle de los servicios a ser contratados que incluya el anĆ”lisis de los riesgos operativos, legales, tecnolĆ³gicos, de seguridad y continuidad a los que se exponen al adoptar este servicio; asĆ como los controles para mitigarlo;
ArtĆculo 10.- Las entidades de los segmentos 4 y 5 deberĆ”n incluir dentro de su gestiĆ³n, la administraciĆ³n de la tecnologĆa de informaciĆ³n; para lo cual deben contar al menos con:
- Un presupuesto aprobado para el funcionamiento de la operaciĆ³n de tecnologĆa de informaciĆ³n;
- Respaldos de los movimientos de operaciones activas, pasivas, contingentes y de servicios, ubicados fuera del Ɣrea de procesamiento; y,
- Normas bĆ”sicas de operaciĆ³n y un inventario de los principales elementos tecnolĆ³gicos con los que cuenta.
ArtĆculo II.- Eventos Externos: En la administraciĆ³n del riesgo operativo, las entidades y la CorporaciĆ³n deben considerar la posibilidad de pĆ©rdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como: incidentes con proveedores, fallas en los servicios pĆŗblicos, ocurrencia de desastres naturales, atentados, fraudes externos y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.
SECCIĆN V.- CONTINUIDAD DEL NEGOCIO
ArtĆculo 12.- Planes de Contingencia y Continuidad: Las entidades de los segmentos 1,2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deben implementar planes de contingencia y de continuidad del negocio que cubran a personas, procesos y tecnologĆa, con el fin de garantizar su capacidad para operar en forma continua y minimizar las pĆ©rdidas en caso de una interrupciĆ³n del negocio, de ser el caso, al menos apegados a la Norma ISO 22301 o a la buena prĆ”ctica que se ajuste para el efecto.
12.1.- Procesos crĆticos: Las referidas entidades deberĆ”n adoptar una metodologĆa que les permita identificar y evaluar los procesos crĆticos, aĆŗn en los provistos por terceros, previo a la elaboraciĆ³n del plan de continuidad del negocio; asĆ como realizar un anĆ”lisis de riesgos y
22 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
equilibrar el costo de la implementaciĆ³n o no del plan de continuidad, dependiendo de la criticidad de cada proceso.
Los procesos priorizados por la entidad se deberƔn incluir en el plan de continuidad.
12.2.- Actividades: Las aludidas entidades deberĆ”n considerar las siguientes actividades para la definiciĆ³n e implementaciĆ³n de los planes de continuidad y de contingencia, segĆŗn corresponda:
- Incorporar el proceso de administraciĆ³n del plan de continuidad del negocio al proceso de administraciĆ³n integral de riesgos;
- Definir perĆodos de recuperaciĆ³n y tiempos mĆ”ximos de interrupciĆ³n que puedan soportar los procesos identificados como crĆticos, sin que afecte a la sostenibilidad de la instituciĆ³n;
- Identificar y analizar los principales escenarios de contingencia tomando en cuenta el impacto y la probabilidad de que sucedan (AnƔlisis de impacto en el negocio);
- Identificar los riesgos por fallas en la tecnologĆa de informaciĆ³n y gestionar un plan de acciĆ³n para mitigar los riesgos identificados;
- Definir una estrategia de continuidad de los procesos crĆticos, en lĆnea con los objetivos institucionales;
- Desarrollar los planes de contingencia necesarios para implementar la estrategia de continuidad definida.
- Definir acciones a ejecutar antes, durante y una vez ocurrido el incidente que ponga en peligro la operatividad de la entidad;
- Determinar acciones a realizar para continuar con las actividades de la entidad en instalaciones propias o alternas (reanudaciĆ³n y recuperaciĆ³n);
- Realizar pruebas periĆ³dicas de los planes de continuidad y contingencia que permitan comprobar la aplicabilidad y efectuar los ajustes necesarios;
- Mantener informaciĆ³n actualizada de contacto de las personas responsables de ejecutar cada actividad;
- Contar con cronogramas y procedimientos de prueba y mantenimiento de los planes de continuidad y contingencia;
- Definir procedimientos de difusiĆ³n, comunicaciĆ³n, concientizaciĆ³n y cumplimiento de los planes de continuidad y contingencia; y,
- Designar de su estructura un responsable de la continuidad del negocio.
Las entidades del segmento 3 deberĆ”n implementar un plan de recuperaciĆ³n de desastres de tecnologĆa de informaciĆ³n.
SECCIĆN VI.- SERVICIOS PROVISTOS POR TERCEROS
ArtĆculo 13. CalificaciĆ³n y selecciĆ³n de proveedores: Las entidades de los segmentos 1,2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con un proceso integral para la calificaciĆ³n y selecciĆ³n de
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 23
proveedores, que incluya las actividades previas a la contrataciĆ³n, cumplimiento y renovaciĆ³n del contrato, y el cual deberĆ” contener al menos procedimientos para:
- Evaluar la experiencia de la empresa y su personal;
- Evaluar la capacidad financiera para asegurar la viabilidad del proveedor durante todo el perĆodo de contrataciĆ³n previsto;
- Efectuar anƔlisis de costo beneficio;
- Evaluar la capacidad y oportunidad de respuesta del proveedor a consultas, solicitudes de presupuesto y presentaciĆ³n de ofertas;
- Evaluar la capacidad y calidad del servicio, instalaciĆ³n y apoyo;
- Evaluar la capacidad logĆstica del proveedor incluyendo las instalaciones y recursos tĆ©cnicos y econĆ³micos;
- Exigir que las entidades y organizaciones de servicios auxiliares cuenten con la calificaciĆ³n respectiva de la Superintendencia y cumplan la normativa correspondiente, y;
- Comprobar que el proveedor cuente con representaciĆ³n tĆ©cnica, legal, operativa y de contingencia suficientes, en especial si son proveedores internacionales.
13.1.- Para el caso de adquisiciĆ³n, implantaciĆ³n o arriendo de los bienes, servicios o sistemas tecnolĆ³gicos, todas las entidades y la CorporaciĆ³n deberĆ”n verificar:
- El objeto y especificaciones del servicio contratado;
- Los requisitos funcionales y tƩcnicos de los bienes o servicios a ser adquiridos;
- Los costos totales;
- El nivel de soporte, capacitaciĆ³n y transferencias de conocimiento a ser proporcionados por el proveedor;
e) La existencia de respaldos, seguridad y sigilo de la informaciĆ³n;
f) El mantenimiento y continuidad de los bienes y servicios;
g) AdaptaciĆ³n eficiente y oportuna a los requerimientos normativos; y,
h) el documento en que el conste el plan de contingencia y continuidad del servicio que presta el proveedor, segĆŗn corresponda.
En el caso que compaƱĆas u organizaciones de servicios auxiliares participen como proveedores, deberĆ”n presentar copia de la resoluciĆ³n de calificaciĆ³n de la Superintendencia de EconomĆa Popular y Solidaria.
Las cooperativas de los segmentos 4 y 5 deberĆ”n contratar los servicios de proveedores tecnolĆ³gicos siempre y cuando cumplan con lo dispuesto en este numeral. En el caso de que a la fecha de expediciĆ³n de esta norma, dichas cooperativas hubieran contratado un proveedor que no cumpla con tales requisitos, las entidades le solicitarĆ”n que dentro de un plazo de dos aƱos, cumplan con este requerimiento normativo.
ArtĆculo 14.- Proveedores alternos para los servicios crĆticos: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n contar con proveedores alternos que tengan la capacidad
24 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
tĆ©cnica y operativa para proveer los bienes y prestar los servicios que se requiera, para lo cual se deberĆ” observar lo previsto en el artĆculo 13 de la presente norma.
ArtĆculo 15.- Proveedores del exterior: Los proveedores de servicios crĆticos domiciliados en el exterior y que presten servicios a las entidades y a la CorporaciĆ³n, deberĆ”n tener una subsidiaria o una contraparte en el paĆs que responda ante posibles fallas o requerimientos de mejora del servicio o sistema adquirido. Esta contraparte deberĆ” ser calificada por los organismos de control pertinentes del paĆs y deberĆ” garantizar los mismos estĆ”ndares de calidad y responsabilidad que un proveedor local.
ArtĆculo 16.- Para la calificaciĆ³n y selecciĆ³n de proveedores las entidades y la CorporaciĆ³n, deberĆ”n analizar ofertas, de acuerdo a su polĆtica de contrataciĆ³n establecida, de tal manera que se evite posibles conflictos de interĆ©s.
SECCIĆN VII.- RIESGO LEGAL
ArtĆculo 17.- AdministraciĆ³n de riesgo legal: Las entidades y la CorporaciĆ³n deben determinar de manera oportuna las fallas o insuficiencias de orden legal, de tal manera que les proporcione una visiĆ³n clara sobre su exposiciĆ³n a este tipo de riesgo.
ArtĆculo 18.- Aspectos de enfoque de riesgo legal: Las fallas o insuficiencias de orden legal deben ser establecidas por las entidades y la CorporaciĆ³n de acuerdo con su propia percepciĆ³n y perfil de riesgos y enfocarlas, principalmente, en los siguientes aspectos: actos societarios; gestiĆ³n de crĆ©dito; operaciones del giro financiero; actividades complementarias no financieras; empresas proveedoras extranjeras, estipulaciones contractuales y, cumplimiento legal y normativo, entendiĆ©ndolos dentro de las siguientes conceptualizaciones:
18.1.- Actos societarios: Son todos aquellos procesos jurĆdicos que se deben realizar en orden de ejecutar y perfeccionar las decisiones de los Ć³rganos de gobierno, necesarios para el desenvolvimiento societario de las entidades y la CorporaciĆ³n, de acuerdo a su naturaleza jurĆdica,
18.2.- GestiĆ³n de crĆ©dito: Es el conjunto de actividades que deben ejecutar en relaciĆ³n al otorgamiento de operaciones crediticias, su instrumentaciĆ³n y su recuperaciĆ³n.
18.3.- Operaciones del giro financiero: Es el conjunto de actividades o procesos que realiza la entidad para la ejecuciĆ³n de operaciones propias de su giro financiero, distintas a la gestiĆ³n de crĆ©dito.
18.4.- Actividades complementarias de las operaciones del giro financiero: Es el conjunto de actividades o procesos que debe ejecutar la entidad, que sin ser propias del giro financiero, son necesarias para el cumplimiento y desarrollo de su objeto social.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 25
18.5.- Proveedores extranjeros: Son las personas jurĆdicas constituidas en el exterior y que proveen bienes o servicios crĆticos. DeberĆ”n estar domiciliadas en el paĆs o contar con un representante legal en el Ecuador, con capacidad para responder solidariamente por las obligaciones contraĆdas por el proveedor con la entidad.
18.6 Estipulaciones contractuales: Los contratos deben ser debidamente suscritos, legalizados y contener estipulaciones al menos sobre: los niveles mĆnimos de servicio acordado; garantĆas tĆ©cnicas y financieras, tales como; buen uso del anticipo, fiel cumplimiento del contrato, buen funcionamiento y disponibilidad del servicio, entre otros; penalizaciones por incumplimientos; y, facilidades para la revisiĆ³n y seguimiento del servicio prestado, ya sea, por la unidad de auditorĆa interna u otra Ć”rea que la entidad designe, asĆ como, por parte de los auditores externos o de la Superintendencia.
Los contratos con proveedores que presten servicios tecnolĆ³gicos crĆticos, a mĆ”s de las estipulaciones seƱaladas en el inciso anterior, deberĆ”n contener clĆ”usulas respecto de: garantĆas de acceso a los programas fuentes, bases de datos, respaldos de datos, plataformas de prestaciĆ³n de servicio o infraestructura tecnolĆ³gica, en caso de quiebra del proveedor o situaciones contingentes que asĆ lo requieran. Se deberĆ” establecer la protecciĆ³n, privacidad y confidencialidad de los activos de informaciĆ³n de la entidad que serĆ”n accedidos y manejados por el proveedor de servicios, siempre sujetos a verificaciĆ³n; y, la facultad de realizar auditorĆas informĆ”ticas al proveedor en el caso de ser requerido, tanto por la entidad como por el ente de control.
18.7 Cumplimiento legal y normativo: Es el proceso mediante el cual la entidad controla que sus actividades y sus operaciones se ajusten a las disposiciones legales y normativas vigentes, asĆ como la capacidad de adecuarse rĆ”pida y efectivamente a nuevas disposiciones legales y normativas.
ArtĆculo 19.- ClasificaciĆ³n del riesgo legal: El riesgo legal se puede clasificar en:
19.1 Riesgo de DocumentaciĆ³n: Es el riesgo de que no existan documentos que respalden las operaciones de crĆ©dito, garantĆas, entre otros, o que de existir, tengan deficiencias en su redacciĆ³n, no estĆ©n completos, o no contengan los requisitos necesarios para su validez, de acuerdo a la normativa vigente.
- Riesgo de LegislaciĆ³n: Riesgo de que una operaciĆ³n no pueda ser ejecutada por prohibiciĆ³n, limitaciĆ³n o incertidumbre acerca de la legislaciĆ³n del paĆs o por errores en la interpretaciĆ³n de la misma.
- Riesgo de Capacidad: EstĆ” compuesto por el riesgo de que la contraparte no tenga capacidad legal para operar en un sector, producto o moneda determinada y por el riesgo de que las personas que actĆŗan en nombre de la contraparte no cuenten con poder legal suficiente para comprometerla.
26 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
SECCIĆN VIII.- RESPONSABILIDADES EN LA ADMINISTRACIĆN DE RIESGO OPERATIVO
ArtĆculo 20.- Responsabilidades de las entidades de los segmentos 1, 2,3, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n: Los Ć³rganos internos de dichas entidades, ademĆ”s de las responsabilidades previstas en las Ā«Normas para la AdministraciĆ³n Integral de Riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» y en las Ā«Norma para la administraciĆ³n integral de riesgos de la CorporaciĆ³n Nacional de Finanzas Populares y SolidariasĀ», expedidas por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera, tendrĆ”n las siguientes;
20.1.- Consejo de AdministraciĆ³n o Directorio:
- Crear una cultura organizacional con principios y valores de comportamiento Ć©tico que priorice la gestiĆ³n eficaz del riesgo operativo;
- Aprobar las polĆticas y metodologĆas propuestas por el comitĆ© de administraciĆ³n integral de riesgos;
- Aprobar el manual de gestiĆ³n de riesgo operativo;
- Conocer los principales riesgos operativos afrontados por la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia; y,
e) Las demƔs determinadas por la Superintendencia.
20.2.- ComitĆ© de AdministraciĆ³n Integral de Riesgos:
- Evaluar y proponer al consejo de administraciĆ³n o el directorio, segĆŗn corresponda, las polĆticas, los manuales y metodologĆas de administraciĆ³n del riesgo operativo para su aprobaciĆ³n;
- Aprobar los procesos y procedimientos de administraciĆ³n de riesgo operativo;
- Evaluar la aplicaciĆ³n de manuales y metodologĆas de gestiĆ³n de riesgo previo a la aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda;
- Definir los mecanismos para moni torear y evaluar la exposiciĆ³n a riesgos;
- Recomendar al consejo de administraciĆ³n o el directorio, segĆŗn corresponda, la aprobaciĆ³n de una metodologĆa consistente para administrar la matriz de riesgos y lĆmites de riesgo;
- Someter a aprobaciĆ³n del consejo de administraciĆ³n o el directorio, segĆŗn corresponda, los planes de contingencia y de continuidad del negocio, asegurar la aplicabilidad y cumplimiento de los mismos, para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y CorporaciĆ³n. Las entidades del segmento 3 deberĆ”n someter a aprobaciĆ³n del consejo de administraciĆ³n, el plan de recuperaciĆ³n de desastres de tecnologĆa de informaciĆ³n; y,
g) Las demĆ”s que determine el consejo de administraciĆ³n o el directorio, segĆŗn corresponda o la Superintendencia.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 27
20.3.- La Unidad o el administrador de riesgos: La unidad o el administrador de riesgos de la entidad deberĆ” cumplir al menos con las siguientes funciones
- Proponer polĆticas para la gestiĆ³n del riesgo operativo;
- Participar en el diseƱo y permanente actualizaciĆ³n del manual de gestiĆ³n del riesgo operativo;
- Desarrollar la(s) metodologĆa(s) para la gestiĆ³n del riesgo operativo;
- Apoyar y asistir a las demĆ”s unidades de la entidad para la aplicaciĆ³n de la(s) metodologĆa(s) de gestiĆ³n del riesgo operativo;
- Evaluar el riesgo operativo, de forma previa al lanzamiento de nuevos productos, implementaciĆ³n de nuevos procesos y ante cambios importantes en el ambiente operativo o informĆ”tico en base a los informes de las Ć”reas que corresponda;
- Realizar el seguimiento al cumplimiento de los planes de acciĆ³n;
- Consolidar y desarrollar reportes e informes sobre la gestiĆ³n del riesgo operativo por unidades, factores y lĆneas de negocios;
- Identificar las necesidades de capacitaciĆ³n y difusiĆ³n para una adecuada gestiĆ³n del riesgo operativo;
- Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y de continuidad del negocio; asĆ como proponer los lĆderes de las Ć”reas que deban cubrir el plan de contingencia y de continuidad del negocio para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n;
- En las entidades del segmento 3, el administrador de riesgos deberĆ” elaborar y liderar la ejecuciĆ³n del plan de recuperaciĆ³n de desastres de tecnologĆa de informaciĆ³n;
- Elaborar la metodologĆa para definir y administrar la matriz de riesgos para las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n;
- En coordinaciĆ³n con el Ć”rea legal de la entidad, analizar, monitorear y evaluar los procedimientos de orden legal y emitir informes que determinen su real exposiciĆ³n al riesgo legal, los cuales deben ser puestos en conocimiento del comitĆ© de administraciĆ³n integral de riesgos; y,
- Otras necesarias para el desarrollo de la funciĆ³n.
ArtĆculo 21.- Responsabilidades del representante legal: El representante legal tiene la responsabilidad de implementar la gestiĆ³n del riesgo operativo conforme a las disposiciones del consejo de administraciĆ³n o el directorio, segĆŗn corresponda.
Los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad de gestionar el riesgo operativo en su Ć”mbito de acciĆ³n, dentro de las polĆticas, limites y procedimientos establecidos, en especial, con el reporte de los eventos de riesgo identificados.
28 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
ArtĆculo 22.- Responsabilidades de las entidades de los segmentos 4 y 5: Los Ć³rganos internos de dichas entidades, a mĆ”s de las responsabilidades previstas en las Ā«Normas para la AdministraciĆ³n Integral de Riesgos en las cooperativas de ahorro y crĆ©dito, cajas centrales y asociaciones mutualistas de ahorro y crĆ©dito para la viviendaĀ» expedida por la Junta de PolĆtica y RegulaciĆ³n Monetaria y Financiera, tendrĆ”n las siguientes:
- El consejo de administraciĆ³n serĆ” responsable de aprobar el documento en el que se definan los procesos de la entidad, el manual de administraciĆ³n del personal, asĆ como cualquier polĆtica definida en relaciĆ³n a la administraciĆ³n de riesgo operativo, los mismos que deben estar previamente revisados y conocidos por el consejo de vigilancia;
- El consejo de vigilancia deberĆ” revisar el cumplimiento permanente de la aplicaciĆ³n de los procesos aprobados por el consejo de administraciĆ³n;
- El representante legal ademĆ”s de las responsabilidades previstas en el artĆculo 21, implementarĆ” y darĆ” continuidad a los lincamientos definidos en el numeral 4.4 del artĆculo 4 y de lo establecido en el artĆculo 10 de la presente norma; y,
- Crear una cultura organizacional con principios y valores de comportamiento Ć©tico que priorice la gestiĆ³n eficaz del riesgo operativo.
Las entidades y la CorporaciĆ³n deberĆ”n asignar recursos suficientes para la gestiĆ³n del riesgo operativo, que les permita un adecuado cumplimiento de las funciones seƱaladas en la presente norma y asegurar una adecuada independencia entre el Ć”rea que asuma las funciones de gestiĆ³n del riesgo operativo y aquellas otras unidades de negocio o de apoyo.
DISPOSICIONES GENERALES
PRIMERA.- La Superintendencia de EconomĆa Popular y Solidaria, sin perjuicio de
requerir la informaciĆ³n que considere necesaria para cumplir con sus actividades de supervisiĆ³n y control, podrĆ” disponer la adopciĆ³n de medidas adicionales a las previstas en esta norma, con el propĆ³sito de velar por la aplicaciĆ³n de polĆticas, normas y procedimientos de riesgo operativo que enfrenten las entidades y la CorporaciĆ³n y las compaƱĆas y organizaciones de servicios auxiliares del sector financiero popular y solidario.
SEGUNDA.- Los auditores internos deberĆ”n verificar que la unidad de riesgo cumpla con las normas relacionadas al riesgo operativo e informar a la Superintendencia de EconomĆa Popular y Solidaria sobre los niveles de avance, en los plazos y medios que este organismo de control lo requiera.
Los auditores internos deberĆ”n aplicar procesos y procedimientos de auditorĆa a travĆ©s de un equipo competente, debidamente capacitado y operativamente independiente, que coadyuven al mejoramiento de la efectividad de la administraciĆ³n de riesgos. El auditor interno no es el directamente responsable de la gestiĆ³n del riesgo operativo.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 29
TERCERA.- Las metodologĆas adoptadas para la administraciĆ³n del riesgo operativo, deben estar disponibles cuando lo requiera la Superintendencia de EconomĆa Popular y Solidaria para su validaciĆ³n.
CUARTA.- Las entidades sujetas a esta norma y la CorporaciĆ³n, deben enviar a la Superintendencia de EconomĆa Popular y Solidaria, la informaciĆ³n de eventos de riesgo operativo con el contenido, formato y frecuencia que dicho organismo de control determine.
DISPOSICIONES TRANSITORIAS
PRIMERA.- Las cooperativas de ahorro y crĆ©dito, cajas centrales, asociaciones mutualistas de ahorro y crĆ©dito para la vivienda y la CorporaciĆ³n, deberĆ”n proceder con la implementaciĆ³n de esta norma dentro de los plazos previstos en el siguiente ero no grama a partir de la entrada en vigencia de la presente resoluciĆ³n:
NĀ°
TEMA
PLAZO EN DĆAS
SEGMENTO 1, CAJA
CENTRAL,
MUTUALISTAS Y
CORPORACIĆN
SEGMENTO 2
SEGMENTO 3
1
Identificar las lĆneas de negocio
180
270
360
2
Definir el portafolio de procesos
180
270
360
3
Elaborar manual de administraciĆ³n de procesos
540
900
1080
4
Levantar los procesos de la entidad
720
1080
1440
5
Construir la bases de dalos del recurso humano de la entidad
90
120
180
6
Elaborar manual descriptivo de cargos
180
270
360
7
Elaborar el manual de administraciĆ³n del personal
270
360
540
8
Conformar la unidad de tecnologĆa de informaciĆ³n
90
120
N/A
9
Nombrar al responsable de tecnologĆa de informaciĆ³n
N/A
N/A
180
10
Conformar el comitĆ© de tecnologĆa de informaciĆ³n
00
120
N/A
11
Implementar polĆticas, procesos, procedimientos y metodologĆas para la administraciĆ³n de la tecnologĆa de informaciĆ³n (manual)
360
540
720
12
Elaborar el plan estratĆ©gico de tecnologĆas de la informaciĆ³n (PETI)
720
1080
N/A
13
Definir o actualizar los planes de contingencia y continuidad de] negocio y cronograma de implementaciĆ³n
360
1080
N/A
14
Aplicar el cronograma de implementaciĆ³n de planes de contingencia y continuidad del negocio
720
1440
N/A
15
Definir un plan de recuperaciĆ³n de desastres de tecnologĆa de informaciĆ³n
N/A
N/A
720
16
Elaborar e implementar la matriz de riesgo operativo
360
540
N/A
17
Actualizar la matriz de riesgo operativo con los eventos de riesgo histĆ³ricos identificados (base de eventos de riesgo operativo)
720
1080
N/A
30 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial
18
Registra de eventos de riesgo
N/A
N/A
1440
19
Elaborar manual de contrataciĆ³n de proveedores
90
210
270
20
Elaborar manual de riesgo operativo que contenga las polĆticas, procesos y metodologĆas para la administraciĆ³n, del riesgo operativo incluido el riesgo legal
1080
1440
1800
N/A= No aplica
En el caso de las cooperativas de los segmentos 4 y 5, los plazos establecidos son los siguientes:
NĀ°
TEMA
PLAZO EN DĆAS
SEGMENTO 4
SEGMENTO 5
1
Identificar lĆneas de negocio
360
360
2
Definir documento de administraciĆ³n de procesos
720
1080
3
Levantar procesos productivos (captaciĆ³n, colocaciĆ³n, atenciĆ³n y servicio al socio)
1080
1440
4
Elaborar manual descriptivo de cargos
720
1080
5
Elaborar e implementar la bitƔcora de eventos de riesgo
1440
1800
6
Elaborar y aprobar el presupuesto de operaciĆ³n de tecnologĆa de informaciĆ³n
720
720
7
Respaldar fuera del Ɣrea de procesamiento, los movimientos de operaciones activas. pasivas, contingentes y de servicios
720
720
8
Realizar el inventario de principales elementos tecnolĆ³gicos
720
720
9
Definir normas bĆ”sicas de operaciĆ³n de tecnologĆa de informaciĆ³n
1080
1080
SEGUNDA.- Las cooperativas del segmento I que al 31 de diciembre de 2012, no estuvieron bajo el control de la Superintendencia de Bancos, observarĆ”n los plazos para el segmento 2 establecidos en la DisposiciĆ³n Transitoria Primera.
Las cooperativas de los segmentos 2 y 3 que al 31 de diciembre de 2012, estuvieron bajo el control de la Superintendencia de Bancos, observarĆ”n los plazos para el segmento 1, establecidos en la DisposiciĆ³n Transitoria Primera.
TERCERA.- Las compaƱĆas de servicios auxiliares deberĆ”n cumplir con lo previsto en esta norma dentro del plazo de 1080 dĆas.
DISPOSICIĆN FINAL.- La presente resoluciĆ³n entrarĆ” en vigencia a partir de la presente fecha, sin perjuicio de su publicaciĆ³n en el Registro Oficial,
PublĆquese en la pĆ”gina web de la Superintendencia de EconomĆa Popular y Solidaria.
Registro Oficial – EdiciĆ³n Especial NĀ° 711 Viernes 11 de enero de 2019 – 31
COMUNĆQUESE Y PUBLĆQUESE.- Dado y firmado en la ciudad de San Francisco de Quito, Distrito Metropolitano a
32 – Viernes 11 de enero de 2019 EdiciĆ³n Especial NĀ° 711 – Registro Oficial