NORMA DE CONTROL PARA LA

ADMINISTRACIÓN DEL RIESGO OPERATIVO Y

RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR
FINANCIERO POPULAR Y SOLIDARIO

Intendencia - dirección
 ANTECEDENTES

Quiebra Fraude interno

por pérdida
BARINGS BANK
de USD 1.4
millones

Fraude externo
Pérdidas de
DAIWA BANK USD 1.1 CAUSAS
millones
Prácticas
inadecuadas
Pérdidas
por USD
ALLIED IRISH BANK
750
millones Fallas en sistemas
y procesos

Hechos ocurridos a mediados de los 90s

 EVOLUCIÓN DE LA
GESTIÓN DE RIESGO

Administración
de Riesgos
Integrada

Estrategia
Gestión de Gestión de
Riesgos Riesgos
Operativos Financieros Negocios

Gestión de
OPERATIVO Operación
Riesgos
Liquidez
Crediticios
Liquidez

Crédito
Crédito
Crédito
Mediados
1980’s Principios
1990’s
2000’s
PROBLEMÁTICA
 ESQUEMA DE LA GESTIÓN
RIESGO OPERATIVO
GESTIÓN DE FACTORES
FALLAS ORGANIZACIÓN
ERRORES POR PROCESOS

Personas

DAÑOS A CONTROL DE
ACTIVOS VULNERABILIDADES
PREVIENE

MEJORA
Procesos

CUMPLIMIENTO
FRAUDES Tecnología de REGULATORIO
información

Eventos
IMPACTO Externos SERVICIO
ECONÓMICO DE CALIDAD
 DEFINICIÓN

Posibilidad de que se produzcan pérdidas para la

entidad, debido a fallas o insuficiencias originadas
en procesos, personas, tecnología de información y
eventos externos.

El riesgo operativo no trata sobre la posibilidad de

pérdidas originadas en cambios inesperados en el
entorno político, económico y social.
 OBJETIVO DE NORMA

• Normar la administración de riesgo

operativo y riesgo legal para una
adecuada administración integral de
riesgos de las entidades.
 COMPONENTES

Administración de riesgo operativo

Factores de riesgo

Continuidad del negocio

Servicios provistos por terceros

Riesgo Legal
 MODELO DE GESTIÓN DE RIESGOS

Identificación

Comunicación Medición

Reconocer los
Actividades
Seguimiento queque se
permite
Acciones
Los riesgos
riesgos para
deberánreducirser
realizan
Priorizar
Establecer
detectarconyy la finalidad
aquellos
desarrollar
corregir
el existentes
cuantificados
impacto en
con
de el
de
unriesgos
plan disminuir
de en los laun
cuales
comunicación
oportunamente
cada
objeto operación,
de medir
evento
se de
probabilidad
enfocarán
promover un
deficiencias riesgo
las
procesodeelyde
y/o
producto,
posible impacto
ocurrencia
minimizar
acciones de
las
de
empoderamiento
incumplimientosun evento
pérdidas
control y
proceso y línea
económico.
Monitoreo mejora continua
de negocio Priorización

Mitigación Control
 LÍNEAS DE NEGOCIO

Es una especialización del negocio que agrupa procesos encaminados a

generar productos y servicios especializados para atender un segmento del
mercado objetivo definido en la planificación estratégica de la entidad.
 TIPOS DE EVENTOS

 Fraude interno
 Fraude externo
 Prácticas de empleo y seguridad del ambiente de
trabajo
 Prácticas relacionadas con los clientes, los productos
y el negocio
 Daños a los activos físicos
 Interrupción del negocio
 Deficiencia en la ejecución de procesos
 ADMINISTRACIÓN DEL
RIESGO OPERATIVO

Capacitación

Bases de
eventos

Metodologías
 ADMINISTRACIÓN DE LOS
FACTORES DE RO EN LA NORMA

Personas Procesos Tecnología Eventos

- Clasificación de la externos
- Manual
descriptivo de . Gobernantes
información - Ocurrencia de
cargos eventos ajenos a
. Operativos - Estructura de su control.
- Base de datos gestión de
. Soporte - Planes de
tecnología.
- Independencia contingencia y
- Políticas, de continuidad
de funciones
procesos y del negocio.
procedimientos.
 CONTINUIDAD DEL NEGOCIO

para su elaboración
Plan de

Lineamientos
contingencia

Servicios
provistos
por
terceros
Calificación
y selección
Plan de
continuidad
Proveedores
alternos

Proveedores
del exterior
 RIESGO LEGAL

Aspectos de enfoque de riesgo legal

Actividades
complementa
Operaciones Cumplimiento
Actos Gestión de rias de las Proveedores Estipulaciones
del giro legal y
societarios crédito operaciones extranjeros Contractuales
financiero normativo
del giro
financiero

CLASIFICACIÓN

Riesgo de Riesgo de
documentación legislación

Riesgo de
capacidad
 PRINCIPALES RESPONSABILIDADES
SEGMENTOS 1,2, 3, CAJAS CENTRALES,
MUTUALISTAS Y CORPORACIÓN

Consejo de administración o directorio

• Crear una cultura que priorice el riesgo operativo
• Decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir
• Aprobar las políticas, procesos, procedimientos y metodologías propuestas
por el CAIR

Comité de administración integral de riesgos (CAIR)

• Evaluar y proponer al CAD las políticas y el proceso de administración del
riesgo operativo
• Recomendar la aprobación de una metodología para administrar la matriz de
riesgos
• Someter a aprobación del CAD los planes de contingencia y de continuidad

Unidad o administrador de riesgos

• Monitorear y evaluar los cambios significativos y la exposición a riesgos
• Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de
contingencia y de continuidad del negocio
• Elaborar la metodología para definir y administrar la matriz de riesgos
 RESPONSABILIDADES
SEGMENTOS 4 Y 5

El Consejo de Administración será responsable de aprobar el documento en el que se

definan los procesos de la entidad y el manual de administración del personal los
mismos que deben estar previamente revisados y conocidos por el consejo de
vigilancia

El consejo de vigilancia deberá revisar el cumplimiento permanente de la aplicación

de los procesos aprobados por el Consejo de Administración

El representante legal implementará y dará continuidad a los lineamientos

relacionados en la definición de procesos, registro de eventos de riesgo, adecuada
segregación de funciones e implementación de políticas para líneas de negocio.

Crear una cultura organizacional con principios y valores de comportamiento ético

que priorice la gestión eficaz del riesgo operativo.
 REQUERIMIENTOS NORMATIVOS

N° TEMA

1 Conformar el comité de tecnología de información

2 Conformar la unidad de tecnología de información
3 Nombrar al responsable de tecnología de información
4 Identificar las líneas de negocio

5 Construir la bases de datos del recurso humano de la entidad

6 Elaborar manual descriptivo de cargos

7 Definir el inventario de procesos
8 Elaborar manual de administración de procesos
Implementar políticas, procesos, procedimientos y metodologías para la administración
9 de la tecnología de información (manual)
10 Implementar los planes de contingencia y continuidad del negocio
11 Elaborar o actualizar e implementar la matriz de riesgo operativo
12 Registro de eventos de riesgo
13 Elaborar manual de contratación de terceros
14 Elaborar manual de riesgo operativo
 REQUERIMIENTOS NORMATIVOS

N° TEMA

1 Identificar líneas de negocio

Definir documento en el que se encuentren los procesos de la
2 entidad
3 Elaborar e implementar la bitácora de eventos de riesgo
4 Elaborar un manual de administración del personal
NORMA DE CONTROL RESPECTO DE LA SEGURIDAD FÍSICA Y
ELECTRÓNICA

Intendencia de Riesgos de la EPS y SFPS – Dirección Nacional

de Riesgos del Sector Financiero Popular y Solidario
 ANTECEDENTES

• Detienen a cinco supuestos asaltantes

27 de Abril, 2018
de bancos

• Con llaves ingresaron a robar agencia

6 de enero de 2018
bancaria del centro Guayaquil

12 de diciembre de • Roban en cooperativa de Milagro y se

2017 llevan $ 43.000

• Asalto a cooperativa de ahorro en Loja

18 de julio 2017
fue frustrado
 IMPORTANCIA

Riesgos Estrategias

Control de accesos

Humedad
Sistemas de video
vigilancia

Inundaciones
Iluminación adecuada

Custodia

Transporte de valores
Robos

Asaltos
Custodia de documentos
y especies valoradas
 OBJETIVO DE NORMAR

Normar las medidas de seguridad física y electrónica de las

entidades, que permitan precautelar la seguridad de sus
empleados, socios, clientes, usuarios, establecimientos y bienes,
así como para el resguardo en el transporte de efectivo y valores.

Se entenderá por establecimiento al lugar en el que la entidad

realiza actividades de intermediación financiera; entre los cuales
pueden ser: matriz, sucursales, agencias, oficinas operativas:
ventanillas de extensión de servicios, oficinas temporales,
oficinas especiales, oficinas móviles y corresponsales solidarios
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA
Transporte
Medidas de
de fondos y
seguridad
valores

Medidas de Manual y
seguridad políticas de
en cajeros seguridad y
automáticos protección

Sistemas de
Personal de
video
seguridad
vigilancia

Sistemas de Bóvedas y
alarmas cajas fuertes
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN

• Iluminación adecuada y suficiente

• Área de cajas de acceso restringido
Medidas de • Puertas equipadas con dos cerraduras
seguridad

• Las políticas, normas, principios y procesos.

• Medidas mínimas de seguridad contempladas en la presente norma.
• Dispositivos, sistemas y procedimientos para controlar la entrada y salida de los empleados,
Manual de proveedores y socios
seguridad • Los planes de seguridad, emergencia, contingencia y continuidad de negocios

• Contar con un oficial de seguridad física debidamente capacitado

• Contar con agentes de seguridad que exclusivamente realicen labores de:
• Custodia de las instalaciones
Personal de • Revisión e inspección a los socios
seguridad • Orden en el área de atención al cliente
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN
• Son de acceso restringido, por lo que deben contar con elementos y sistemas que proporcionen
una adecuada seguridad y protección.
• Las puertas de las bóvedas cuenten con cerraduras temporizadas y sistemas de ventilación.
Bóvedas y • Las cajas fuertes deben ubicarse en un lugar seguro, libres de material u objetos eléctricos o
cajas fuertes inflamables.

• Contar con sistemas de alarma contra robo e incendio, enlazados por frecuencia de radio o cable
con centrales de monitoreo y respuesta.
• Verificar que los sistemas de comunicación con la Policía Nacional, ECU 911, Cuerpo de
Bomberos y las empresas de seguridad privada.
Sistemas de • Deben estar operativos en todo momento, captar, grabar, tanto las señales de alarma como las
alarmas escenas de hechos delictivos o siniestros.

• Contar con un número adecuado de cámaras fijas y móviles de circuito cerrado de televisión.
• Las cámaras de ubicación fija, como mínimo deben cubrir adecuadamente los lugares de acceso
al público.
Sistemas de
• Considerar que los sistemas de grabación y almacenamiento de imágenes deben garantizar el
video archivo de por lo menos tres (3) meses de grabación.
vigilancia
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN
• Ubicación y entorno
• Protección al teclado
• Protección contra clonación de tarjetas
• Iluminación
• Programas de vigilancia en sitio
• Mecanismo de anclaje
Cajeros automáticos • Mantenimiento preventivo y correctivo
• Accesos físicos al interior de ATM
• Cámaras de vigilancia

• Brindar seguridad en coordinación con la Policía Nacional.

• La recepción y envío de efectivo y valores se debe efectuar en áreas de acceso
restringido al público.
• Empresas debidamente autorizadas, utilizando vehículos blindados que cumplan con las
Transporte de disposiciones del Ministerio del Interior
fondos y valores
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA SEG 4 Y 5

Medidas de • Iluminación suficiente en lugares en donde se maneje efectivo.

seguridad • Medidas de seguridad y vigilancia con botón de pánico

Manual de • Medidas mínimas de seguridad contempladas en la presente norma.

• Dispositivos, sistemas y procedimientos para controlar la entrada y
seguridad salida de los empleados, proveedores y socios

Bóvedas y cajas • Son de acceso restringido, por lo que deben contar con elementos y
sistemas que proporcionen una adecuada seguridad y protección.
fuertes

Sistemas de • Emitan señales de alerta en el caso de algún siniestro o acto

delictivo.
alarmas • Coordinación con la Policía Nacional
 MEDIDAS DE SEGURIDAD FÍSICA
Y ELECTRÓNICA SEG 4 Y 5

• Las cámaras de ubicación fija, como mínimo deben

cubrir adecuadamente los lugares de acceso al
Sistema de público.
video vigilancia • Considerar que los sistemas de grabación y
almacenamiento de imágenes deben garantizar el
archivo de por lo menos tres (3) meses de grabación.

• Brindar seguridad en coordinación con la Policía

Transporte de Nacional.
fondos valores • La recepción y envío de efectivo y valores se debe
efectuar en áreas de acceso restringido al público.
 Responsabilidades entidades segmentos
1,2, 3, cajas centrales, mutualistas y
Corporación

El consejo de administración o directorio, según corresponda, aprobará

las políticas, normas, principios y procesos básicos de seguridad y
protección para sus empleados, socios, clientes, establecimientos,
bienes, activos y patrimonio, así como para el resguardo en el
transporte de efectivo y valores.

El comité de administración integral de riesgos, analizará y propondrá al

consejo de administración las políticas, normas, principios y procesos
básicos de seguridad y protección.

El representante legal implementará en sus entidades las políticas,

principios y procesos básicos de seguridad y protección contemplados
en la presente norma.

La unidad de seguridad de la información o el responsable de seguridad

de la información, según corresponda, elaborará y propondrá al Comité
de Administración Integral de Riesgos las políticas, principios y procesos
básicos de seguridad y protección referentes a la seguridad física y
electrónica.
Responsabilidades entidades segmentos
1,2, 3, cajas centrales, mutualistas y
Corporación
 Responsabilidades entidades
segmentos 4 y 5

• Proponer al consejo de administración

las políticas, principios y procesos
Representante básicos de seguridad y protección
referentes a la seguridad física y
legal electrónica referentes a la seguridad en
los canales electrónicos, para su
aprobación

• Verificará el cumplimiento de las

Consejo de políticas, principios y procesos básicos
de seguridad y protección referentes a
Vigilancia la seguridad física y electrónica