Registro Oficial

Registro Oficial No.711- Viernes 11 de enero de 2019- Edición Especial

Viernes, 11 de enero de 2019

Administración del Señor Lcdo. Lenin Moreno Garcés                                                                                     

             

   Presidente Constitucional de la República del Ecuador                                                                                  

 

Viernes 11  de enero de 2019 (R. O.711, 11 -enero -2019) Edición Especial

 

 

 

 

SUPERINTENDENCIA DE

ECONOMÍA POPULAR Y

SOLIDARIA

RESOLUCIÓN N° SEPS-IGT-IR-IGJ-2018-0279

EXPÍDESE LA NORMA

DE CONTROL PARA LA

ADMINISTRACIÓN DEL

RIESGO OPERATIVO Y

RIESGO LEGAL EN LAS

ENTIDADES DEL SECTOR

FINANCIERO POPULAR

Y SOLIDARIO BAJO EL

CONTROL DE LA SEPS

 

2 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 3

RESOLUCIÓN No. SEPS-IGT-1R-IGJ-2018- 0279

CATALINA PAZOS CHIMBO INTENDENTE GENERAL TÉCNICO

CONSIDERANDO:

Que,     el Código Orgánico Monetario y Financiero publicado en el Segundo Suplemento del Registro Oficial No. 332 de 12 de septiembre de 2014, regula los sistemas monetarios y financieros, así como los regímenes de valores y seguros del Ecuador;

Que,     el numeral 1 del artículo 62, en concordancia con et inciso segundo del artículo 74 del mencionado Código determina como función de la Superintendencia de Economía Popular y Solidaria ejercer la vigilancia, auditoria, control y supervisión de las disposiciones del Código Orgánico Monetario y Financiero;

Que,     el numeral 7 del artículo 62 del aludido Código, establece como función de la Superintendencia de Economía Popular y Solidaria, velar por la estabilidad, solidez y correcto funcionamiento de las entidades sujetas a su control y, en general, vigilar que cumplan las normas que rigen su funcionamiento, las actividades financieras que presten, mediante la supervisión permanente, preventiva, extra situ y visitas de inspección in situ que permitan determinar la situación económica y financiera de las entidades, el manejo de sus negocios, evaluar la calidad y control de la gestión de riesgo y verificar la veracidad de la información que generan;

Que,     el último inciso del artículo 62 ibídem determina que la Superintendencia de Economía Popular y Solidaria para el cumplimiento de sus funciones, podrá expedir las normas en las materias propias de su competencia sin que pueda alterar las disposiciones legales ni las regulaciones que expida la Junta de Política y Regulación Monetaria y Financiera;

Que,     el inciso primero del artículo 74 del citado cuerpo legal, dispone que la Superintendencia de Economía Popular y Solidaria, en su organización, funcionamiento y funciones de control y supervisión del sector financiero popular y solidario, se regirán por las disposiciones de dicho Código y la Ley Orgánica de la Economía Popular y Solidaria;

Que,     en el artículo 163 de referido Código, determina que las cooperativas de ahorro y crédito, las cajas centrales y las asociaciones mutualistas de ahorro y crédito para la vivienda forman parte del sector financiero popular y solidario;

4 - Viernes 11 de enero de 2019 Edición Especial Nº 711 - Registro Oficial

Que,     el artículo 444 del Código Orgánico Monetario y Financiero determina que las entidades financieras populares y solidarias están sometidas a la regulación de la Junta de Política y Regulación Monetaria y Financiera y al control de la Superintendencia de Economía Popular y Solidaria, quienes en las políticas que emitan tendrán presente la naturaleza y características propias del sector financiero solidario;

Que,     el literal b) del artículo 151 de la Ley Orgánica de la Economía Popular y Solidaria, determina entre las atribuciones del Superintendente de Economía Popular y Solidaria, dictar las normas de control;

Que,    la Junta de Política y Regulación Monetaria y Financiera mediante Resolución 128-2015-F del 23 de septiembre de 2015, reformada por la Resolución 366-2017-F de 8 de mayo de 2017, expidió las "Normas para la administración integral de riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda", cuya Disposición General Cuarta determina que la Superintendencia de Economía Popular y Solidaria podrá expedir las normas de control necesarias para la aplicación de dicha resolución. Dichas resoluciones se encuentran incluidas en la Codificación de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por dicho cuerpo colegiado;

Que,     la Junta de Política y Regulación Monetaria y Financiera mediante Resolución 346-2017-F expidió la "Norma para la administración integral de riesgos de la Corporación Nacional de Finanzas Populares y Solidarias", la misma que se encuentra en la Codificación de Resoluciones Monetarias, Financieras, de Valores y Seguros emitida por la dicho cuerpo colegiado; cuya Disposición General Segunda determina que la Superintendencia de Economía Popular y Solidaria podrá expedir las normas de control necesarias para la aplicación de dicha resolución;

Que,     la Superintendencia de Economía Popular y Solidaria, mediante resolución No. SEPS-IGT-ISF-IGJ-2Ü18-0105, de 6 de abril de 2018, expidió la "Norma de control para la calificación y supervisión de las compañías y organizaciones de servicios auxiliares del sector financiero popular y solidario";

Que,    conforme consta en el literal b) del artículo 1 de la Resolución No. SEPS-IGJ-2018-001 de 2 de enero de 2018, el Superintendente de Economía Popular y Solidaria delegó al Intendente General Técnico: "Dictar las normas de control en el ámbito de su competencia, conforme a lo dispuesto en el literal b) del articulo 151 de la Ley Orgánica de Economía Popular y Solidaria, en concordancia con sabnumeral 2), literal b), numeral 10.1 del articulo 10 del Estatuto Orgánico de Gestión Organizacional por Procesos de la Superintendencia de Economía Popular y Solidaria;";

Que,     mediante acción de personal No. 733 de 25 de junio de 2018, el Intendente General de Gestión Encargado, delegado por el Superintendente de Economía Popular y Solidaria,, "según lo dispuesto en la letra a) del numeral 1.2 del artículo 1 de laRegistro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 5

Resolución No. SEPS-IGG-2016-090 de 28 de abril de 2016, en concordancia con lo dispuesto en la letra d) del artículo 2 de la Resolución No. SEPS-IGJ-2018-001 de 2 de enero de 2018", nombró como Intendente General Técnico a Catalina Pazos Chimbo; y,

Que, es necesario que la Superintendencia de Economía Popular y Solidaria expida una norma de control para la administración del riesgo operativo y riesgo legal.

En ejercicio de sus atribuciones, resuelve expedir la siguiente:

NORMA DE CONTROL PARA LA ADMINISTRACIÓN DEL RIESGO

OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR

FINANCIERO POPULAR Y SOLIDARIO BAJO EL CONTROL DE LA

SUPERINTENDENCIA DE ECONOMÍA POPULAR Y SOLIDARIA

SECCIÓN I. ÁMBITO Y OBJETO DE APLICACIÓN

Artículo 1.- Ámbito: Las disposiciones de la presente norma se aplicarán a las cooperativas de ahorro y crédito, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda, en adelante "entidades" y a la Corporación Nacional de Finanzas Populares y Sol i dalias, en lo sucesivo "Corporación", de acuerdo a su naturaleza, complejidad de sus operaciones y segmento al que pertenezcan.

También se aplicará a las compañías y organizaciones de servicios auxiliares del sector financiero popular y solidario, que brindan servicios de red, software financiero y de computación, transaccionales y de pago, red de cajeros automáticos y puntos de pago.

Las entidades y la Corporación observarán también, según corresponda, las "Normas para la administración integral de riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda" y la "Norma para la administración integral de riesgos de la Corporación Nacional de Finanzas Populares y Solidarias", emitidas por la Junta de Política y Regulación Monetaria y Financiera.

Artículo 2.- Objeto: La presente resolución tiene por objeto normar la administración de riesgo operativo y riesgo legal para una adecuada administración integral de riesgos, a fin de minimizar las pérdidas que se puedan derivar de eventos ocasionados por fallas o insuficiencias de procesos, personas, tecnología de la información y eventos externos.

SECCIÓN IL-DEFINICIONES

Artículo 3.- Glosario de términos: Para la aplicación de esta normativa, se consideran las siguientes definiciones:

6 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

  • Administración de la información: Es el proceso mediante el cual se captura, procesa, almacena y transmite información por cualquier medio.
  • Aplicación informática: Son los procedimientos programados a través de alguna herramienta tecnológica.
  • Base de datos: Sistema formado por un conjunto de datos almacenados en discos o cualquier otro medio magnético que permite el acceso directo a ellos, estructurados de manera fiable y homogénea, organizados independientemente, accesibles en tiempo real.
  • Datos: Es cualquier forma de registro electrónico, óptico, magnético, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido.
  • Evento de riesgo operativo: Es el incidente o hecho que se ha presentado o puede presentarse que puede derivar en pérdidas financieras o de información, suspensión de operaciones para la entidad, originadas por fallas o insuficiencias en los factores de riesgo operativo.
  • Factores de riesgo operativo: Son las fuentes generadoras de riesgos operativos tales como: personas, procesos, tecnología de la información y eventos extemos.
  • Información crítica: Es la considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.
  • Instalaciones: Es la infraestructura que permite alojar los recursos físicos relacionados con la tecnología de la información.
  • Impacto: Es la afectación financiera que podría tener la entidad, en el caso de que ocurra un evento de riesgo.
  • Línea de negocio: Procesos encaminados a generar productos y servicios especializados para atender un segmento del mercado objetivo definido en la planificación estratégica de la entidad.
  • Mapa de calor: Es una herramienta que permite visualizar de una manera rápida la probabilidad de los riesgos y su intensidad, en caso de que estos se materialicen.
  • Mapa de procesos: Diagrama que presenta la visión global de la estructura de la entidad, donde se presentan todos los procesos que forman parte de la organización y

sus principales relaciones.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019-7

  • Nivel administrativo: Lo integra los miembros del consejo de administración o directorio según corresponda, consejo de vigilancia, representante legal y los responsables máximos de cada área y/o departamento de acuerdo a la estructura organización al de cada entidad.
  • Nivel de riesgo: Representa el grado de exposición de riesgo al que podría encontrarse expuesta una entidad de ocurrir un evento identificado.
  • Plan de contingencia: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos críticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado específico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
  • Plan de continuidad: Es el conjunto de procedimientos alternativos para el funcionamiento normal de los procesos críticos y de aquellos definidos por la entidad que permitan su operatividad, a fin de minimizar el impacto operativo y financiero que pueda ocasionar cualquier evento inesperado específico. El plan de contingencia se ejecuta en el momento que se produce dicho evento.
  • Plan de recuperación de desastres de tecnología de información: Es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que una entidad pueda comenzar de nuevo sus operaciones ante eventos de caso fortuito o fuerza mayor.
  • Plataforma tecnológica: Conjunto de equipos, aplicaciones y sistemas interconectados destinados a ofrecer productos y servicios a través del uso de los

recursos tecnológicos disponibles, a socios, clientes y/o usuarios.

  • Probabilidad: Es la posibilidad de que ocurra un evento de riesgo en un determinado período de tiempo.
  • Procedimiento: Es el método específico y estandarizado para llevar a cabo una actividad o un proceso.
  • Procesos: Es el conjunto de actividades estandarizadas que transforman insumos en productos o servicios.
  • Proceso crítico: Es el conjunto de procedimientos indispensables para la sostenibilidad y continuidad de las operaciones de la entidad, y cuya falta de identificación o aplicación deficiente puede generarle un impacto negativo.

8 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

•    Riesgo inherente: Es el nivel de riesgos propio de la actividad con los controles existentes en el momento de la evaluación del riesgo.

Riesgo residual: Nivel de riesgo esperado después de aplicar los controles.

•    Riesgo operativo: Es la posibilidad de que se produzcan pérdidas para la entidad, debido a fallas o insuficiencias originadas en procesos, personas, tecnología de información y eventos externos.

El riesgo operativo no incluye los originados por el entorno político, económico y social, los riesgos sistémico, estratégico y de reputación.

  • Riesgo legal: Es la probabilidad de que una entidad incurra en pérdidas debido a la inobservancia e incorrecta aplicación de disposiciones legales, normativas e instrucciones emanadas por organismos de control; aplicación de sentencias o resoluciones judiciales o administrativas adversas; deficiente redacción de textos, formalización o ejecución de actos, contratos o transacciones o porque los derechos de las partes contratantes no han sido debidamente estipuladas.
  • Seguridad de la información: Son los mecanismos que garantizan la confidencialidad, integridad y disponibilidad de la información y los recursos relacionados con ella.
  • Sistemas internos de control integral: Son el conjunto integrado de políticas, procesos, procedimientos y niveles de control formalmente establecidos y validados periódicamente, tendientes a evitar la ocurrencia de eventos de riesgo o mitigar su impacto.
  • Tecnología de la información.- Es el conjunto de herramientas y métodos empleados para llevar a cabo la administración de la información. Incluye el hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, servicios asociados, entre otros.
  • Tipo de evento: Identificación de los eventos de riesgo operativo de acuerdo a su origen.

SECCIÓN III.- ADMINISTRACIÓN DEL RIESGO OPERATIVO

Artículo 4.- Administración de Riesgo Operativo: En el marco de la administración integral y control de riesgos, las entidades y la Corporación incluirán la metodología y los procedimientos para gestionar el riesgo operativo como un riesgo específico, al que se encuentran expuestas en el desarrollo de sus actividades y operaciones.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 9

Con la finalidad de reducir las consecuencias y efectos de riesgo operativo, también deberán decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir, de acuerdo a lo establecido en las "Normas para la administración integral de riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda"; y, en la "Norma para la administración integral de riesgos de la Corporación Nacional de Finanzas Populares y Solidarias", emitidas por la Junta de Política y Regulación Monetaria y Financiera.

4.1.- Etapas de la administración: Las entidades y la Corporación deben ejecutar las etapas definidas para la administración de riesgo operativo que consisten en; identificar, medir, priorizar, controlar/mitigar, moni torear y comunicar sus exposiciones a este riesgo.

Así mismo, de acuerdo al segmento al que pertenezcan y al tamaño y complejidad de sus operaciones, desarrollarán sus propias metodologías y procedimientos de administración de riesgo operativo.

4.2.- Líneas de negocio.- Para una adecuada administración del riesgo operativo las entidades y la Corporación, deberán agrupar justificada y documentadamente sus procesos por líneas de negocio de acuerdo a la siguiente clasificación:

  1. Línea minorista.- Contempla las actividades de intermediación financiera tales como: recepción de depósitos en cualquier modalidad; asesoramiento de inversiones; otorgamiento de créditos en las modalidades de consumo y vivienda. Este grupo incluye, servicios financieros, negociación de letras de cambio, libranzas, pagarés, facturas y otros documentos que representen obligación de pago creados por ventas a crédito, así como el anticipo de fondos con respaldo de los documentos referidos. No incluye las operaciones y servicios relacionados con tarjetas de crédito, débito, pago y prepago.
  2. Línea de microfinanzas.- Incluye operaciones financieras como préstamos en el segmento de microcrédito, ahorro o transferencias a personas naturales cuyo sustento provenga de actividades económicas de menor escala.
  3. Linea de tarjetas.- Contempla las actividades y servicios relacionados con tarjetas de crédito, débito, pago y prepago.
  4. Línea Comercial.- Incluye las operaciones de crédito comercial de primer piso, operaciones financieras de segundo piso con cooperativas de ahorro y crédito y asociaciones mutualistas de ahorro y crédito para la vivienda.
  5. Línea Inmobiliaria.- Corresponde a la planificación, construcción y comercialización de proyectos orientados al desarrollo de la vivienda y construcción sean estos propios o de terceros.

10 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

f)    Línea de compensación de pagos.- Contempla todas las actividades relacionadas con la gestión de pagos, transferencias y compensación de acuerdo a lo establecido en el artículo 470 del Código Orgánico Monetario y Financiero.

g)   Línea de tesorería tradicional.- Representan actividades cotidianas de la gestión de liquidez y administración de flujo de fondos.

4.3.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán implementar to determinado en los siguientes numerales:

4.3.1.- Manual de Riesgo Operativo: Elaborar un manual de riesgo operativo de acuerdo a su estructura, tamaño y complejidad de sus operaciones, el que contendrá al menos, lo siguiente:

  1. Las políticas, procesos y procedimientos para la administración del riesgo operativo;
  2. Los roles y responsabilidades de quienes participan en la administración del riesgo operativo;
  3. Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos de la administración de riesgo operativo;
  4. Las metodologías y procedimientos para identificar, medir (cuantificar), priorizar, controlar, mitigar, monitorear y comunicar los riesgos operativos y su nivel de aceptación;
  5. Los procedimientos para priorizar y gestionar los eventos de riesgo, a excepción del segmento 3;
  6. Las estrategias de capacitación en temas de administración de riesgo operativo;

g)   Los mecanismos o sistemas de reporte de la administración de riesgo operativo; y, h) El proceso de análisis de riesgos para nuevas operaciones, productos o servicios,

4.3.2.- Tipos de eventos de riesgo operativo: Identificar por línea de negocio, los riesgos operativos, agrupados por tipo de evento y las fallas o insuficiencias en los factores de riesgo relacionados con personas, procesos, tecnología de la información y eventos externos, conforme al detalle del anexo 1, que forma parte de esta norma.

Los tipos de eventos son los siguientes;

  1. Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o eludir regulaciones, leyes o políticas, infidelidades de empleados o uso de información privilegiada para beneficio propio;
  2. Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes o recursos indebidamente o eludir la legislación, por parte un tercero, incluyendo danos ocasionados por individuos, grupos u

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 11

organizaciones externas que buscan explorar la dependencia de la institución en recursos tecnológico;

  1. Prácticas laborales y seguridad del ambiente de trabajo.- Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, pago de reclamaciones por daños personales, casos relacionados con la diversidad o discriminación y por responsabilidades generales en el trabajo;
  2. Prácticas relacionadas con los clientes, los productos y el negocio.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a socios, clientes o usuarios, o de la naturaleza o diseño de un producto;
  3. Daños a los activos físicos.- Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales o por terrorismo, vandalismo, incendio o inundaciones;
  4. Interrupción del negocio por fallas en la tecnología de la información.- Pérdidas derivadas por la ocurrencia de problemas de telecomunicaciones, servicios públicos y apagones; y,
  5. Deficiencias en la ejecución de procesos, en el procesamiento de operaciones; y en las relaciones con proveedores y terceros.- Pérdidas derivadas de errores en el procesamiento de operaciones, en la gestión de procesos y en relaciones con contrapartes comerciales y proveedores.

Los eventos de riesgo operativo y las fallas o insuficiencias serán identificados en relación con los factores de este riesgo a través de una metodología formal, debidamente documentada y aprobada por el consejo de administración o el directorio, según corresponda.

4.3,3 Metodologías: La metodología definida para la gestión del riesgo operativo, cuando sea tomada en su conjunto, deberá considerar los factores de riesgo operativo y cumplir con los siguientes criterios:

  1. La metodología debe ser implementada en toda la entidad en forma consistente;
  2. Asignación de recursos suficientes para aplicar la metodología en las principales líneas de negocio, en los procesos de control y de apoyo;
  3. Aplicación de metodologías integradas a los procesos de gestión de riesgos de la entidad;
  4. Establecimiento de mecanismos que permitan una mejora continua de la gestión del nesgo operativo;
  5. La aplicación de la metodología de gestión del riesgo operativo debe estar adecuadamente documentada;

12 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

f)    Instaurar procedimientos que permitan asegurar el cumplimiento de la metodología de gestión del riesgo operativo; y,

g)   Determinación de los límites de pérdidas aceptadas o administradas de acuerdo a lo señalado en las políticas de riesgo operativo.

4.3.4   Base de eventos de riesgo: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán registrar los eventos de riesgo identificados, con el fin de construir una base de eventos que sea centralizada, histórica, actualizada y suficiente, que permita ordenar, clasificar y disponer de información sobre fallas o insuficiencias, incluidas las de orden legal, su impacto cuantitativo o cualitativo.

Los eventos de riesgo se caracterizan por general"

  1. Pérdidas que afecten al estado de resultados;
  2. Pérdidas que no afecten el estado de resultados; y,
  3. Potenciales pérdidas que aún no se hayan materializado.

Contarán con una matriz de riesgo operativo en la que se registren los eventos de riesgo identificados en sus procesos, para lo cual deberán adoptar una metodología de riesgo de acuerdo a lo establecido en las "Normas para la administración integral de riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda" y en la "Norma para la administración integral de riesgos de la Corporación Nacional de Finanzas Populares y Solidarias", emitidas por la Junta de Política y Regulación Monetaria y Financiera.

Así mismo, deberán usar metodologías complementarias a la matriz de eventos de riesgo para su gestión con el fin de fortalecer la administración de riesgo operativo.

Las entidades del segmento 3 deberán registrar sus eventos de riesgo al menos en un reporte o registro que contemple, fecha de ocurrencia del evento, área, proceso, descripción y valor, que deberá ser presentado al comité de administración integral de riesgos para la definición de medidas correctivas.

4.3.5   Esquema de reportes: Las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deben diseñar y mantener un esquema de reportes que permitan disponer de información suficiente, pertinente y oportuna para la toma de decisiones. Los reportes deberán contener al menos lo siguiente:

  1. Detalle de los eventos que representan un mayor nivel de riesgo operativo;
  2. Identificación de la evolución de los eventos de riesgo y reporte del grado de cumplimiento de planes de acción (mitigación); y,
  3. Mapa de calor en el que se identifique la concentración de eventos de riesgo por nivel de riesgo.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 13

d) Magnitud de pérdida suscitada por riesgo operativo, a partir de la base de eventos de riesgo.

Estos reportes deben ser dirigidos por el responsable de la unidad de riesgos al comité de administración integral de riesgos, con la finalidad de que en el proceso de administración de riesgo operativo se pueda decidir si el riesgo se debe asumir, compartir, mitigar o transferir, reduciendo sus consecuencias y efectos.

El conocimiento de la situación en relación a la administración de riesgo operativo, permitirá que el nivel administrativo tenga una visión clara de la importancia de los diferentes tipos de exposición al riesgo operativo y su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones, que entre otras, pueden ser: revisar estrategias y políticas; actualizar o modificar procesos y procedimientos establecidos; implantar o modificar límites de riesgo; constituir, incremental* o modificar controles; implantar planes de contingencia y de continuidad del negocio; revisar términos de pólizas de seguro contratadas; contratar servicios provistos por terceros; u otros, según corresponda.

Los reportes, matrices de riesgo y todo tipo de información referente a riesgo operativo deben ser presentados por el responsable de la unidad de riesgos al comité de administración integral de riesgos. Dichos reportes deberán estar disponibles cuando la Superintendencia lo requiera.

4.3.6 Capacitación de riesgo operativo: Todas las entidades y la Corporación deben diseñar, programar y coordinar planes de capacitación sobre la administración de riesgo operativo, uso adecuado de tecnología y seguridad de la información, dirigidos a todos los órganos internos y empleados, funcionarios o servidores. Las capacitaciones deben cumplir al menos con las siguientes condiciones:

  1. Ser de periodicidad anual;
  2. Ser impartidas durante el proceso de inducción de los nuevos funcionarios, empleados o servidores;
  3. Contar con mecanismos de evaluación de los resultados obtenidos, con el fin de determinar la eficiencia de dichos programas y el alcance de los objetivos propuestos;

y,

d)   Mantener un registro del personal capacitado y de las sugerencias realizadas por los participantes.

4.4.- Para mantener una adecuada administración del riesgo operativo las entidades de los segmentos 4 y 5, sin perjuicio de lo dispuesto en el Capítulo III Administración de riesgos en las cooperativas de ahorro y crédito de los segmentos 4 y 5 de las, "Normas para la administración integral de riesgos en las cooperativas de ahorro y crédito cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda", emitida por la Junta de Política y Regulación Monetaria y Financiera, deberán:

14 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

  1. Definir adecuadamente los procesos de la entidad, los mismos que incluyan: actividades, responsables, fecha de actualización y fecha de aprobación por parte del consejo de administración;
  2. Mantener un registro de sus eventos de riesgo, el mismo que contemple como mínimo, fecha de ocurrencia, descripción, solución e impacto financiero de ser el caso;
  3. Garantizar una adecuada separación de funciones que evite la realización o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo;
  4. implementar políticas y niveles de aprobación para las distintas líneas de negocio y procesos con el fin de evitar conflictos de interés; y,
  5. Elaborar un manual de administración del personal que contemple las políticas, procesos y procedimientos para la incorporación, permanencia y desvinculación del personal.

SECCIÓN IV.- FACTORES DE RIESGO OPERATIVO

Artículo 5.- Para reducir el nivel de riesgo operativo las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán administrar los factores de riesgo considerando su particularidad y la interrelación entre ellos.

Artículo 6.- Personas: Las entidades y la Corporación deben contar con una estructura orgánico-funcional acorde al tamaño, complejidad de sus operaciones y normativa vigente que le aplica según su segmento. Además, deben identificar las fallas o insuficiencias asociadas al factor "personas", tales como: falta de personal adecuado, negligencia, error humano, conflicto de intereses, falta de segregación de funciones, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros.

6.1.- Manuales de talento humano: Las entidades y la Corporación, deberán documentar en un manual descriptivo de talento humano los procesos de incorporación, permanencia y desvinculación, y en otro manual en el que consten los cargos, las funciones, responsabilidades, así como, la descripción del perfil técnico y de las competencias que debe tener el ocupante de cada cargo.

6.2.- Independencia de funciones: Deberá existir una adecuada separación de funciones que evite concentraciones de carácter incompatible, entendidas éstas como aquellas tareas cuya combinación en las competencias y responsabilidades de una sola persona, eventualmente, podría permitir la realización o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo.

6.3.- Base de datos: Las entidades y la Corporación, deben mantener una base de datos con información actualizada del recurso humano, que permita una adecuada toma de decisiones por parte del nivel administrativo y la realización de análisis de la cantidad y calidad del recurso humano de acuerdo con sus necesidades.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 15

Dicha información debe contener como mínimo:

  1. Datos personales del funcionario;
  2. Formación académica, experiencia y referencias;
  3. Fechas de selección, reclutamiento y contratación;
  4. Cargos que han desempeñado en la entidad;
  5. Resultados de evaluaciones realizadas;
  6. Fechas, número de horas y temas de capacitaciones;

g)   Fechas y días de vacaciones gozadas;

h)   Días y horas de vacaciones disponibles;

i) Fechas y causas por las que el personal se ha desvinculado de la entidad; y,

j) Motivos de multas, sanciones y amonestaciones.

Artículo 7.- Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización de las actividades, las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán contar con procesos definidos, documentados, aprobados, actualizados y socializados que se encuentren alineados con la estrategia institucional y con las políticas adoptadas.

Las entidades y la Corporación, deberán definir formalmente procesos, políticas y procedimientos que aseguren una apropiada planificación, administración y cumplimiento de los objetivos institucionales; en concordancia, principalmente, con los factores de riesgo personas y tecnología de la información.

Los procesos deberán ser agrupados de la siguiente manera:

7.1.- Procesos gobernantes o estratégicos: Se considerarán a aquellos que proporcionan directrices y políticas a los demás procesos cuya responsabilidad compete al consejo de administración o directorio y al representante legal, según corresponda, con el fin de cumplir con los objetivos y políticas institucionales. Se refieren a la planificación estratégica, los Üneamientos de acción básicos, definición de estructura organizacional, la administración integral de riesgos, entre otros.

7.2.- Procesos productivos, fundamentales u operativos: Son los procesos propios del giro del negocio, que permitan ejecutar efectivamente las políticas y estrategias relacionadas con la calidad de los productos o servicios que ofrecen a sus socios, clientes o usuarios.

7.3. Procesos habilitantes, de soporte o apoyo: Son los procesos administrativos, financieros, tecnología de información, contabilidad, control interno y talento humano, que apoyan a los procesos gobernantes y productivos

7.4.- Manual de administración de procesos: Las entidades y la Corporación, deberán definir formalmente políticas, procesos y metodologías para un adecuado diseño, control, actualización y mejoramiento de los procesos, que les permita adaptar sus procesos

16 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

oportunamente a los cambios y condiciones de mercado, mejores prácticas o disposiciones normativas. Las políticas deberán actualizarse de acuerdo a la normativa vigente y abarcarán por lo menos, los siguientes aspectos:

  1. Diseño claro y actualización de los procesos, los cuales deben ser dinámicos y compatibles con la entidad;
  2. Descripción en secuencia lógica y ordenada de las actividades, tareas, y controles;
  3. Determinación de los responsables de los procesos, que serán aquellas personas encargadas de su correcto funcionamiento, a través del establecimiento de objetivos y estrategias para gestionarlos y mejorarlos;
  4. Definición de mapa de procesos en el que consten los procesos gobernantes o estratégicos, procesos productivos, fundamentales u operativos y procesos habilitantes, de soporte o apoyo;
  5. Definición de límites y alcance, manteniendo contacto con los clientes internos y externos del proceso para garantizar que se satisfagan sus necesidades y expectativas;
  6. Actualización y mejora continua a través del seguimiento permanente en su aplicación;
  7. Garantizar una adecuada separación de funciones que evite la realización o el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo; y,

h) Difusión y comunicación de los procesos buscando garantizar su total aplicación.

7.5.- Portafolio de procesos: Las entidades y la Corporación, deberán mantener inventarios actualizados de procesos por línea de negocio, que cuenten, como mínimo con la siguiente información: tipo de proceso, nombre del proceso, responsable, identificación de procesos críticos, productos y servicios que genera el proceso, clientes internos y externos, fecha de actualización y fecha de aprobación.

Artículo 8.- Tecnología de información; Las entidades y la Corporación, deben contar y mantener tecnología de información acorde a su segmento, naturaleza y perfil de riesgo de sus operaciones, que garantice la captura, procesamiento, almacenamiento y transmisión de manera oportuna y confiable de la información para la toma de decisiones, incluyendo aquella que está bajo la modalidad de servicios provistos por terceros.

Artículo 9.- Administración de la tecnología de la información.- Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación deberán administrar la tecnología de información; para lo cual deben contar con:

9.1 Área de tecnología de la información: Un comité, unidad, o responsable de tecnología de información que garantice el normal funcionamiento de la misma, independiente de las áreas operativas y de negocio de la entidad.

El área de tecnología de la información debe ser consistente de acuerdo al segmento, naturaleza, complejidad y perfil de riesgo de las operaciones de la entidad.

 

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 17

9.2.- Estructura de gestión de tecnología: Con la finalidad de implementar de manera eficiente la administración de la tecnología de información, las entidades deberán contemplar una estructura de gestión de tecnología, de acuerdo al siguiente cuadro:

 

ÓRGANOS INTERNOS

SEGMENTO 1, CAJAS

CENTRALES,

MUTUALISTAS Y

CORPORACIÓN

 

SEGMENTO 2

SEGMENTO 3

Comité ele Tecnología de la Información

X

X

N/A

Unidad de Tecnología de la Información

X

X

N/A

Responsable de Tecnología de la Información

N/A

N/A

X

 

N/A = No aplica

Las cooperativas de ahorro y crédito del segmento 3, deberán tener al menos un responsable de tecnología de la información, que brinde soporte tecnológico a la entidad y canalice cualquier requerimiento a los proveedores.

9.2.1.- Conformación del Comité de Tecnología de la Información: El comité estará conformado por: un vocal del consejo de administración o directorio, según corresponda, quien lo presidirá y tendrá voto dirimente; el representante legal o su delegado; y, los responsables de las áreas de riesgo y de tecnología que actuará como secretario, quienes tendrán voz y voto. En las sesiones del comité podrán participar funcionarios vinculados con los temas a tratarse quienes no tendrán derecho a voto. En el caso de no existir dicho comité, estas atribuciones serán llevadas por el comité de administración integral de riesgos o el organismo que haga sus veces.

9.2.2.- Funciones del Comité de Tecnología de la Información: El comité será responsable principalmente de:

  1. Planificar, coordinar y supervisar las actividades relacionadas con la tecnología;
  2. Recomendar las políticas, procesos, procedimientos y metodologías de tecnología de información para posterior aprobación del consejo de administración o el directorio, según corresponda;
  3. Establecer lincamientos para la formulación del plan estratégico de tecnologías de la información, relacionado con el plan estratégico de la entidad y presupuestos aprobados;
  4. Recomendar al consejo de administración o al directorio, según sea el caso, el Plan Estratégico de Tecnologías de la Información (PETI);

18 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

  1. Priorizar la inversión de tecnologías de la información y proyectos con componente tecnológico;
  2. Recomendar al consejo de administración o al directorio, según corresponda, la aprobación de modelos de operación para las tecnologías de la información y comunicación; y,
  3. Presentar periódicamente al consejo de administración o al directorio, según sea el caso, informes de cumplimiento de la gestión de tecnología de la información.

9.2.3 Funcionamiento del Comité: Sesionara de manera ordinaria por lo menos cuatro veces al año; y, extraordinariamente, por convocatoria del presidente, que deberá ser notificada con un mínimo de 72 horas de anticipación a la fecha de realización de la sesión.

El comité de tecnología de información sesionará con, al menos, tres de sus integrantes y las decisiones serán tomadas por mayoría de votos. El presidente del comité tendrá voto diri mente.

Las resoluciones constarán en las respectivas actas. El secretario de comité, elaborará y llevará actas fechadas y numeradas en forma secuencial de todas las sesiones, debidamente suscritas por todos sus asistentes. Así mismo, será de su responsabilidad, la custodia de las mismas, bajo los principios de confidencialidad, integridad y disponibilidad de la información.

El comité, a través de su presidente, informará por escrito al consejo de administración o al directorio, las evaluaciones y absoluciones adoptadas.

Artículo 9.3.- Políticas, procesos, procedimientos y metodologías para la administración de la tecnología de información: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán definir políticas, procesos, procedimientos y metodologías que:

  1. Se encuentren diseñadas bajo estándares de general aceptación que permitan minimizar los riesgos en la tecnología de información y ejecución de los criterios de control interno; y,
  2. Contemplen al menos que el consejo de administración de las entidades de los segmentos 1,2, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda o el directorio, según corresponda, aprueben un plan estratégico de tecnología de la información (PETI) alineado con el plan estratégico institucional; y, un plan operativo anual que establezca las actividades a ejecutar en el corto plazo, traducido en tareas, cronogramas, personal responsable y presupuesto, de manera que se asegure el logro de los objetivos tecnológicos propuestos.

9.3.1.- Con el objeto de garantizar que las operaciones de tecnología de la información satisfagan los requerimientos de las operaciones, las referidas entidades deberán contar al menos con lo siguiente:

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 19

  1. Planificación Estratégica de Tecnología de la Información (PETI) y Presupuesto de Tecnología de la Información;
  2. Procedimientos de operación, acceso y uso de las instalaciones de procesamiento de información;
  3. Procedimientos de gestión de incidentes y problemas de tecnología de la información, que considere al menos su registro, priorización, análisis, escalamiento y solución;
  4. Respaldos de información periódicos, acorde a los requerimientos de continuidad del negocio que incluya la frecuencia de verificación, las condiciones de preservación, eliminación y el transporte seguro hacia un sitio alterno, que no debe estar expuesta a los mismos riesgos del sitio principal y mantenga las condiciones físicas y ambientales necesarias para su preservación y posterior recuperación; y,
  5. Transporte de respaldos entre los centros de resguardo que deban efectuarse con adecuados controles de seguridad (sellos, bitácoras de salida y entrada, personal autorizado, entre otros aspectos) que minimicen ubicación remota, que no debe estar expuesto a los riesgos del sitio principal. La información debe estar resguardada por el lapso no menor a lo que indica la normativa vigente, en condiciones y en formatos que se establezcan para el caso por parte de los entes de control.

9.3.2.- Las entidades señaladas deberán garantizar que el proceso de adquisición, desarrollo, implementación y mantenimiento de las aplicaciones satisfagan los objetivos del negocio, considerando al menos lo siguiente:

  1. Una metodología que permita la adecuada administración y control del proceso de compra de software y del ciclo de vida de desarrollo y mantenimiento de aplicaciones, con los usuarios involucrados;
  2. Requerimientos funcionales aprobados por el área solicitante;
  3. Requerimientos técnicos y el análisis de la relación y afectación a la capacidad de la infraestructura tecnológica actual, aprobados por el área técnica;
  4. Ambientes de prueba, desarrollo y producción, con la debida segregación de accesos. Para el caso de entidades que hayan tercerizado el servicio de desarrollo de sistemas, deberán contar al menos con ambientes de prueba y producción;
  5. Mitigación de las vulnerabilidades del código fuente de las aplicaciones;
  6. Pruebas técnicas y funcionales que reflejen la aceptación de los usuarios autorizados;
  7. Procedimientos de control de cambios que considere su registro, manejo de versiones, segregación de funciones y autorizaciones e incluya los cambios emergentes; y,
  8. Procedimientos de migración de la información, que incluyan controles para garantizar las características de integridad, disponibilidad y confidencialidad.

En caso de que la entidad contrate el servicio de desarrollo de software o adquiera un sistema informático, debe verificar que el proveedor cumpla con las disposiciones descritas en los numerales precedentes.

20 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

9.3.3.- Con el objeto de garantizar que la infraestructura tecnológica que soporta las operaciones sea administrada, moni toreada y documentada, las entidades y la Corporación, deben contar con un manual de gestión de la infraestructura que contengan al menos:

  1. Procedimientos que permitan la administración, monitoreo y registros de configuración de las bases de datos, redes dé datos, hardware y software base, que incluya límites y alertas;
  2. Una metodología documentada de análisis de la capacidad y desempeño de la infraestructura tecnológica que soporte las operaciones del negocio, cuyo resultado debe ser conocido y analizado por el comité de tecnología o el órgano que baga sus veces, con una frecuencia mínima semestral. La metodología debe incluir límites y alertas de al menos: almacenamiento, memoria, procesador, consumo de ancho de banda; y, para bases de datos: áreas temporales de trabajo, log de transacciones y almacenamiento de datos;
  3. Procedimientos de migración de la plataforma tecnológica, que incluyan controles para garantizar la continuidad del servicio;
  4. Instalaciones de procesamiento de información crítica en áreas protegidas con los suficientes controles que eviten el acceso de personal no autorizado, daños a los equipos de computación y a la información en ellos procesada, almacenada o distribuida; y, condiciones físicas y ambientales necesarias para garantizar el correcto funcionamiento del entorno de la infraestructura de tecnología de la información; y,
  5. Un procedimiento para mantener un inventario de infraestructura tecnológica actualizado que considere por lo menos, su registro, responsables de uso, fecha y control de ingresos y salidas de los activos.

9.3.4.- En el caso de contratar servicios de infraestructura, plataforma y/o software conocido como computación en la nube, las entidades y la Corporación deben asegurar que el proveedor disponga al menos de:

  1. Centros de procesamiento de datos principal y/o alterno, contratados en la nube, implementados siguiendo el estándar TIA-942 y contar como mínimo con la certificación TIER III para diseño, implementación y operación;
  2. Certificación ISO 27001 en seguridad de la información para los servicios ofertados;
  3. Si es un proveedor internacional, que tenga una representación comercial en el país, con capacidad para brindar soporte integral con personal y representar legalmente al proveedor internacional en el país; y,
  4. Capacidad para transferir sólidamente los conocimientos.

La información almacenada por el proveedor deberá estar a disposición permanente de la entidad y a través de ésta, del organismo de control, por medio de los canales o mecanismos que disponga para el efecto. La información es de estricta confidencialidad y no podrá ser comercializada o utilizada para otros fines distintos a los manejados por la entidad dueña de la información.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 21

La notificación de término del contrato deberá ser informada por e] proveedor con la debida anticipación, con el propósito de garantizar la continuidad de las operaciones de la entidad.

En caso de terminación del contrato de servicios de infraestructura, plataforma y/o software, la información será devuelta por el proveedor a la entidad de forma inmediata, conservando un respaldo de seguridad por un período de al menos tres meses debiendo observar estricta confidencialidad y el impedimento para utilizarla y comercializarla.

Las entidades referidas en este artículo y la Corporación deberán informar al consejo de administración sobre el detalle de los servicios a ser contratados que incluya el análisis de los riesgos operativos, legales, tecnológicos, de seguridad y continuidad a los que se exponen al adoptar este servicio; así como los controles para mitigarlo;

Artículo 10.- Las entidades de los segmentos 4 y 5 deberán incluir dentro de su gestión, la administración de la tecnología de información; para lo cual deben contar al menos con:

  1. Un presupuesto aprobado para el funcionamiento de la operación de tecnología de información;
  2. Respaldos de los movimientos de operaciones activas, pasivas, contingentes y de servicios, ubicados fuera del área de procesamiento; y,
  3. Normas básicas de operación y un inventario de los principales elementos tecnológicos con los que cuenta.

Artículo II.- Eventos Externos: En la administración del riesgo operativo, las entidades y la Corporación deben considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como: incidentes con proveedores, fallas en los servicios públicos, ocurrencia de desastres naturales, atentados, fraudes externos y otros actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.

SECCIÓN V.- CONTINUIDAD DEL NEGOCIO

Artículo 12.- Planes de Contingencia y Continuidad: Las entidades de los segmentos 1,2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deben implementar planes de contingencia y de continuidad del negocio que cubran a personas, procesos y tecnología, con el fin de garantizar su capacidad para operar en forma continua y minimizar las pérdidas en caso de una interrupción del negocio, de ser el caso, al menos apegados a la Norma ISO 22301 o a la buena práctica que se ajuste para el efecto.

12.1.- Procesos críticos: Las referidas entidades deberán adoptar una metodología que les permita identificar y evaluar los procesos críticos, aún en los provistos por terceros, previo a la elaboración del plan de continuidad del negocio; así como realizar un análisis de riesgos y

22 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

equilibrar el costo de la implementación o no del plan de continuidad, dependiendo de la criticidad de cada proceso.

Los procesos priorizados por la entidad se deberán incluir en el plan de continuidad.

12.2.- Actividades: Las aludidas entidades deberán considerar las siguientes actividades para la definición e implementación de los planes de continuidad y de contingencia, según corresponda:

  1. Incorporar el proceso de administración del plan de continuidad del negocio al proceso de administración integral de riesgos;
  2. Definir períodos de recuperación y tiempos máximos de interrupción que puedan soportar los procesos identificados como críticos, sin que afecte a la sostenibilidad de la institución;
  3. Identificar y analizar los principales escenarios de contingencia tomando en cuenta el impacto y la probabilidad de que sucedan (Análisis de impacto en el negocio);
  4. Identificar los riesgos por fallas en la tecnología de información y gestionar un plan de acción para mitigar los riesgos identificados;
  5. Definir una estrategia de continuidad de los procesos críticos, en línea con los objetivos institucionales;
  6. Desarrollar los planes de contingencia necesarios para implementar la estrategia de continuidad definida.
  7. Definir acciones a ejecutar antes, durante y una vez ocurrido el incidente que ponga en peligro la operatividad de la entidad;
  8. Determinar acciones a realizar para continuar con las actividades de la entidad en instalaciones propias o alternas (reanudación y recuperación);
  9. Realizar pruebas periódicas de los planes de continuidad y contingencia que permitan comprobar la aplicabilidad y efectuar los ajustes necesarios;
  10. Mantener información actualizada de contacto de las personas responsables de ejecutar cada actividad;
  11. Contar con cronogramas y procedimientos de prueba y mantenimiento de los planes de continuidad y contingencia;
  12. Definir procedimientos de difusión, comunicación, concientización y cumplimiento de los planes de continuidad y contingencia; y,
  13. Designar de su estructura un responsable de la continuidad del negocio.

Las entidades del segmento 3 deberán implementar un plan de recuperación de desastres de tecnología de información.

SECCIÓN VI.- SERVICIOS PROVISTOS POR TERCEROS

Artículo 13. Calificación y selección de proveedores: Las entidades de los segmentos 1,2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán contar con un proceso integral para la calificación y selección de

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 23

proveedores, que incluya las actividades previas a la contratación, cumplimiento y renovación del contrato, y el cual deberá contener al menos procedimientos para:

  1. Evaluar la experiencia de la empresa y su personal;
  2. Evaluar la capacidad financiera para asegurar la viabilidad del proveedor durante todo el período de contratación previsto;
  3. Efectuar análisis de costo beneficio;
  4. Evaluar la capacidad y oportunidad de respuesta del proveedor a consultas, solicitudes de presupuesto y presentación de ofertas;
  5. Evaluar la capacidad y calidad del servicio, instalación y apoyo;
  6. Evaluar la capacidad logística del proveedor incluyendo las instalaciones y recursos técnicos y económicos;
  7. Exigir que las entidades y organizaciones de servicios auxiliares cuenten con la calificación respectiva de la Superintendencia y cumplan la normativa correspondiente, y;
  8. Comprobar que el proveedor cuente con representación técnica, legal, operativa y de contingencia suficientes, en especial si son proveedores internacionales.

13.1.- Para el caso de adquisición, implantación o arriendo de los bienes, servicios o sistemas tecnológicos, todas las entidades y la Corporación deberán verificar:

  1. El objeto y especificaciones del servicio contratado;
  2. Los requisitos funcionales y técnicos de los bienes o servicios a ser adquiridos;
  3. Los costos totales;
  4. El nivel de soporte, capacitación y transferencias de conocimiento a ser proporcionados por el proveedor;

e)    La existencia de respaldos, seguridad y sigilo de la información;

f)    El mantenimiento y continuidad de los bienes y servicios;

g)   Adaptación eficiente y oportuna a los requerimientos normativos; y,

h)   el documento en que el conste el plan de contingencia y continuidad del servicio que presta el proveedor, según corresponda.

En el caso que compañías u organizaciones de servicios auxiliares participen como proveedores, deberán presentar copia de la resolución de calificación de la Superintendencia de Economía Popular y Solidaria.

Las cooperativas de los segmentos 4 y 5 deberán contratar los servicios de proveedores tecnológicos siempre y cuando cumplan con lo dispuesto en este numeral. En el caso de que a la fecha de expedición de esta norma, dichas cooperativas hubieran contratado un proveedor que no cumpla con tales requisitos, las entidades le solicitarán que dentro de un plazo de dos años, cumplan con este requerimiento normativo.

Artículo 14.- Proveedores alternos para los servicios críticos: Las entidades de los segmentos 1, 2, 3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán contar con proveedores alternos que tengan la capacidad

24 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

técnica y operativa para proveer los bienes y prestar los servicios que se requiera, para lo cual se deberá observar lo previsto en el artículo 13 de la presente norma.

Artículo 15.- Proveedores del exterior: Los proveedores de servicios críticos domiciliados en el exterior y que presten servicios a las entidades y a la Corporación, deberán tener una subsidiaria o una contraparte en el país que responda ante posibles fallas o requerimientos de mejora del servicio o sistema adquirido. Esta contraparte deberá ser calificada por los organismos de control pertinentes del país y deberá garantizar los mismos estándares de calidad y responsabilidad que un proveedor local.

Artículo 16.- Para la calificación y selección de proveedores las entidades y la Corporación, deberán analizar ofertas, de acuerdo a su política de contratación establecida, de tal manera que se evite posibles conflictos de interés.

SECCIÓN VII.- RIESGO LEGAL

Artículo 17.- Administración de riesgo legal: Las entidades y la Corporación deben determinar de manera oportuna las fallas o insuficiencias de orden legal, de tal manera que les proporcione una visión clara sobre su exposición a este tipo de riesgo.

Artículo 18.-  Aspectos de enfoque de riesgo legal: Las fallas o insuficiencias de orden legal deben ser establecidas por las entidades y la Corporación de acuerdo con su propia percepción y perfil de riesgos y enfocarlas, principalmente, en los siguientes aspectos: actos societarios; gestión de crédito; operaciones del giro financiero; actividades complementarias no financieras; empresas proveedoras extranjeras, estipulaciones contractuales y, cumplimiento legal y normativo, entendiéndolos dentro de las siguientes conceptualizaciones:

18.1.- Actos societarios: Son todos aquellos procesos jurídicos que se deben realizar en orden de ejecutar y perfeccionar las decisiones de los órganos de gobierno, necesarios para el desenvolvimiento societario de las entidades y la Corporación, de acuerdo a su naturaleza jurídica,

18.2.- Gestión de crédito: Es el conjunto de actividades que deben ejecutar en relación al otorgamiento de operaciones crediticias, su instrumentación y su recuperación.

18.3.- Operaciones del giro financiero: Es el conjunto de actividades o procesos que realiza la entidad para la ejecución de operaciones propias de su giro financiero, distintas a la gestión de crédito.

18.4.- Actividades complementarias de las operaciones del giro financiero: Es el conjunto de actividades o procesos que debe ejecutar la entidad, que sin ser propias del giro financiero, son necesarias para el cumplimiento y desarrollo de su objeto social.

 

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 25

18.5.- Proveedores extranjeros: Son las personas jurídicas constituidas en el exterior y que proveen bienes o servicios críticos. Deberán estar domiciliadas en el país o contar con un representante legal en el Ecuador, con capacidad para responder solidariamente por las obligaciones contraídas por el proveedor con la entidad.

18.6    Estipulaciones contractuales: Los contratos deben ser debidamente suscritos, legalizados y contener estipulaciones al menos sobre: los niveles mínimos de servicio acordado; garantías técnicas y financieras, tales como; buen uso del anticipo, fiel cumplimiento del contrato, buen funcionamiento y disponibilidad del servicio, entre otros; penalizaciones por incumplimientos; y, facilidades para la revisión y seguimiento del servicio prestado, ya sea, por la unidad de auditoría interna u otra área que la entidad designe, así como, por parte de los auditores externos o de la Superintendencia.

Los contratos con proveedores que presten servicios tecnológicos críticos, a más de las estipulaciones señaladas en el inciso anterior, deberán contener cláusulas respecto de: garantías de acceso a los programas fuentes, bases de datos, respaldos de datos, plataformas de prestación de servicio o infraestructura tecnológica, en caso de quiebra del proveedor o situaciones contingentes que así lo requieran. Se deberá establecer la protección, privacidad y confidencialidad de los activos de información de la entidad que serán accedidos y manejados por el proveedor de servicios, siempre sujetos a verificación; y, la facultad de realizar auditorías informáticas al proveedor en el caso de ser requerido, tanto por la entidad como por el ente de control.

18.7  Cumplimiento legal y normativo: Es el proceso mediante el cual la entidad controla que sus actividades y sus operaciones se ajusten a las disposiciones legales y normativas vigentes, así como la capacidad de adecuarse rápida y efectivamente a nuevas disposiciones legales y normativas.

Artículo 19.- Clasificación del riesgo legal: El riesgo legal se puede clasificar en:

19.1  Riesgo de Documentación: Es el riesgo de que no existan documentos que respalden las operaciones de crédito, garantías, entre otros, o que de existir, tengan deficiencias en su redacción, no estén completos, o no contengan los requisitos necesarios para su validez, de acuerdo a la normativa vigente.

  1. Riesgo de Legislación: Riesgo de que una operación no pueda ser ejecutada por prohibición, limitación o incertidumbre acerca de la legislación del país o por errores en la interpretación de la misma.
  2. Riesgo de Capacidad: Está compuesto por el riesgo de que la contraparte no tenga capacidad legal para operar en un sector, producto o moneda determinada y por el riesgo de que las personas que actúan en nombre de la contraparte no cuenten con poder legal suficiente para comprometerla.

26 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

SECCIÓN VIII.-  RESPONSABILIDADES EN LA ADMINISTRACIÓN DE RIESGO OPERATIVO

Artículo 20.- Responsabilidades de las entidades de los segmentos 1, 2,3, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación: Los órganos internos de dichas entidades, además de las responsabilidades previstas en las "Normas para la Administración Integral de Riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda" y en las "Norma para la administración integral de riesgos de la Corporación Nacional de Finanzas Populares y Solidarias", expedidas por la Junta de Política y Regulación Monetaria y Financiera, tendrán las siguientes;

20.1.- Consejo de Administración o Directorio:

  1. Crear una cultura organizacional con principios y valores de comportamiento ético que priorice la gestión eficaz del riesgo operativo;
  2. Aprobar las políticas y metodologías propuestas por el comité de administración integral de riesgos;
  3. Aprobar el manual de gestión de riesgo operativo;
  4. Conocer los principales riesgos operativos afrontados por la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia; y,

e)   Las demás determinadas por la Superintendencia.

20.2.- Comité de Administración Integral de Riesgos:

  1. Evaluar y proponer al consejo de administración o el directorio, según corresponda, las políticas, los manuales y metodologías de administración del riesgo operativo para su aprobación;
  2. Aprobar los procesos y procedimientos de administración de riesgo operativo;
  3. Evaluar la aplicación de manuales y metodologías de gestión de riesgo previo a la aprobación del consejo de administración o el directorio, según corresponda;
  4. Definir los mecanismos para moni torear y evaluar la exposición a riesgos;
  5. Recomendar al consejo de administración o el directorio, según corresponda, la aprobación de una metodología consistente para administrar la matriz de riesgos y límites de riesgo;
  6. Someter a aprobación del consejo de administración o el directorio, según corresponda, los planes de contingencia y de continuidad del negocio, asegurar la aplicabilidad y cumplimiento de los mismos, para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y Corporación. Las entidades del segmento 3 deberán someter a aprobación del consejo de administración, el plan de recuperación de desastres de tecnología de información; y,

g)   Las demás que determine el consejo de administración o el directorio, según corresponda o la Superintendencia.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 27

20.3.- La Unidad o el administrador de riesgos: La unidad o el administrador de riesgos de la entidad deberá cumplir al menos con las siguientes funciones

  1. Proponer políticas para la gestión del riesgo operativo;
  2. Participar en el diseño y permanente actualización del manual de gestión del riesgo operativo;
  3. Desarrollar la(s) metodología(s) para la gestión del riesgo operativo;
  4. Apoyar y asistir a las demás unidades de la entidad para la aplicación de la(s) metodología(s) de gestión del riesgo operativo;
  5. Evaluar el riesgo operativo, de forma previa al lanzamiento de nuevos productos, implementación de nuevos procesos y ante cambios importantes en el ambiente operativo o informático en base a los informes de las áreas que corresponda;
  6. Realizar el seguimiento al cumplimiento de los planes de acción;
  7. Consolidar y desarrollar reportes e informes sobre la gestión del riesgo operativo por unidades, factores y líneas de negocios;
  8. Identificar las necesidades de capacitación y difusión para una adecuada gestión del riesgo operativo;
  9. Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y de continuidad del negocio; así como proponer los líderes de las áreas que deban cubrir el plan de contingencia y de continuidad del negocio para el caso de las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación;
  10. En las entidades del segmento 3, el administrador de riesgos deberá elaborar y liderar la ejecución del plan de recuperación de desastres de tecnología de información;
  11. Elaborar la metodología para definir y administrar la matriz de riesgos para las entidades de los segmentos 1, 2, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación;
  12. En coordinación con el área legal de la entidad, analizar, monitorear y evaluar los procedimientos de orden legal y emitir informes que determinen su real exposición al riesgo legal, los cuales deben ser puestos en conocimiento del comité de administración integral de riesgos; y,
  13. Otras necesarias para el desarrollo de la función.

Artículo 21.- Responsabilidades del representante legal: El representante legal tiene la responsabilidad de implementar la gestión del riesgo operativo conforme a las disposiciones del consejo de administración o el directorio, según corresponda.

Los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad de gestionar el riesgo operativo en su ámbito de acción, dentro de las políticas, limites y procedimientos establecidos, en especial, con el reporte de los eventos de riesgo identificados.

28 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

Artículo 22.- Responsabilidades de las entidades de los segmentos 4 y 5: Los órganos internos de dichas entidades, a más de las responsabilidades previstas en las "Normas para la Administración Integral de Riesgos en las cooperativas de ahorro y crédito, cajas centrales y asociaciones mutualistas de ahorro y crédito para la vivienda" expedida por la Junta de Política y Regulación Monetaria y Financiera, tendrán las siguientes:

  1. El consejo de administración será responsable de aprobar el documento en el que se definan los procesos de la entidad, el manual de administración del personal, así como cualquier política definida en relación a la administración de riesgo operativo, los mismos que deben estar previamente revisados y conocidos por el consejo de vigilancia;
  2. El consejo de vigilancia deberá revisar el cumplimiento permanente de la aplicación de los procesos aprobados por el consejo de administración;
  3. El representante legal además de las responsabilidades previstas en el artículo 21, implementará y dará continuidad a los lincamientos definidos en el numeral 4.4 del artículo 4 y de lo establecido en el artículo 10 de la presente norma; y,
  4. Crear una cultura organizacional con principios y valores de comportamiento ético que priorice la gestión eficaz del riesgo operativo.

Las entidades y la Corporación deberán asignar recursos suficientes para la gestión del riesgo operativo, que les permita un adecuado cumplimiento de las funciones señaladas en la presente norma y asegurar una adecuada independencia entre el área que asuma las funciones de gestión del riesgo operativo y aquellas otras unidades de negocio o de apoyo.

DISPOSICIONES GENERALES

PRIMERA.- La Superintendencia de Economía Popular y Solidaria, sin perjuicio de

requerir la información que considere necesaria para cumplir con sus actividades de supervisión y control, podrá disponer la adopción de medidas adicionales a las previstas en esta norma, con el propósito de velar por la aplicación de políticas, normas y procedimientos de riesgo operativo que enfrenten las entidades y la Corporación y las compañías y organizaciones de servicios auxiliares del sector financiero popular y solidario.

SEGUNDA.- Los auditores internos deberán verificar que la unidad de riesgo cumpla con las normas relacionadas al riesgo operativo e informar a la Superintendencia de Economía Popular y Solidaria sobre los niveles de avance, en los plazos y medios que este organismo de control lo requiera.

Los auditores internos deberán aplicar procesos y procedimientos de auditoría a través de un equipo competente, debidamente capacitado y operativamente independiente, que coadyuven al mejoramiento de la efectividad de la administración de riesgos. El auditor interno no es el directamente responsable de la gestión del riesgo operativo.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 29

TERCERA.- Las metodologías adoptadas para la administración del riesgo operativo, deben estar disponibles cuando lo requiera la Superintendencia de Economía Popular y Solidaria para su validación.

CUARTA.- Las entidades sujetas a esta norma y la Corporación, deben enviar a la Superintendencia de Economía Popular y Solidaria, la información de eventos de riesgo operativo con el contenido, formato y frecuencia que dicho organismo de control determine.

DISPOSICIONES TRANSITORIAS

PRIMERA.- Las cooperativas de ahorro y crédito, cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda y la Corporación, deberán proceder con la implementación de esta norma dentro de los plazos previstos en el siguiente ero no grama a partir de la entrada en vigencia de la presente resolución:

 

 

 

TEMA

PLAZO EN DÍAS

SEGMENTO 1, CAJA

CENTRAL,

MUTUALISTAS Y

CORPORACIÓN

SEGMENTO 2

SEGMENTO 3

1

Identificar las líneas de negocio

180

270

360

2

Definir el portafolio de procesos

180

270

360

3

Elaborar manual de administración de procesos

540

900

1080

4

Levantar los procesos de la entidad

720

1080

1440

5

Construir la bases de dalos del recurso humano de la entidad

90

120

180

6

Elaborar manual descriptivo de cargos

180

270

360

7

Elaborar el manual de administración del personal

270

360

540

8

Conformar la unidad de tecnología de información

90

120

N/A

9

Nombrar al responsable de tecnología de información

N/A

N/A

180

10

Conformar el comité de tecnología de información

00

120

N/A

11

Implementar políticas, procesos, procedimientos y metodologías para la administración de la tecnología de información (manual)

360

540

720

12

Elaborar el plan estratégico de tecnologías de la información (PETI)

720

1080

N/A

13

Definir o actualizar los planes de contingencia y continuidad de] negocio y cronograma de implementación

360

1080

N/A

14

Aplicar el cronograma de implementación de planes de contingencia y continuidad del negocio

720

1440

N/A

15

Definir un plan de recuperación de desastres de tecnología de información

N/A

N/A

720

16

Elaborar e implementar la matriz de riesgo operativo

360

540

N/A

17

Actualizar la matriz de riesgo operativo con los eventos de riesgo históricos identificados (base de eventos de riesgo operativo)

720

1080

N/A

30 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

 

18

Registra de eventos de riesgo

N/A

N/A

1440

19

Elaborar manual de contratación de proveedores

90

210

270

20

Elaborar manual de riesgo operativo que contenga las políticas, procesos y metodologías para la administración, del riesgo operativo incluido el riesgo legal

1080

1440

1800

 

N/A= No aplica

En el caso de las cooperativas de los segmentos 4 y 5, los plazos establecidos son los siguientes:

 

 

 

TEMA

PLAZO EN DÍAS

SEGMENTO 4

SEGMENTO 5

1

Identificar líneas de negocio

360

360

2

Definir documento de administración de procesos

720

1080

3

Levantar procesos productivos (captación, colocación, atención y servicio al socio)

1080

1440

4

Elaborar manual descriptivo de cargos

720

1080

5

Elaborar e implementar la bitácora de eventos de riesgo

1440

1800

6

Elaborar y aprobar el presupuesto de operación de tecnología de información

720

720

7

Respaldar fuera del área de procesamiento, los movimientos de operaciones activas. pasivas, contingentes y de servicios

720

720

8

Realizar el inventario de principales elementos tecnológicos

720

720

9

Definir normas básicas de operación de tecnología de información

1080

1080

SEGUNDA.- Las cooperativas del segmento I que al 31 de diciembre de 2012, no estuvieron bajo el control de la Superintendencia de Bancos, observarán los plazos para el segmento 2 establecidos en la Disposición Transitoria Primera.

Las cooperativas de los segmentos 2 y 3 que al 31 de diciembre de 2012, estuvieron bajo el control de la Superintendencia de Bancos, observarán los plazos para el segmento 1, establecidos en la Disposición Transitoria Primera.

TERCERA.- Las compañías de servicios auxiliares deberán cumplir con lo previsto en esta norma dentro del plazo de 1080 días.

DISPOSICIÓN FINAL.- La presente resolución entrará en vigencia a partir de la presente fecha, sin perjuicio de su publicación en el Registro Oficial,

Publíquese en la página web de la Superintendencia de Economía Popular y Solidaria.

Registro Oficial - Edición Especial N° 711 Viernes 11 de enero de 2019 - 31

COMUNÍQUESE Y PUBLÍQUESE.- Dado y firmado en la ciudad de San Francisco de Quito, Distrito Metropolitano a

 

32 - Viernes 11 de enero de 2019 Edición Especial N° 711 - Registro Oficial

 

 

Change password



Loading..