Embed Size (px)
Citation preview
Intendencia - dirección
NORMA DE CONTROL PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Y
RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO
Quiebra por pérdida de USD 1.4
millones
BARINGS BANK
Pérdidas de USD 1.1 millones
DAIWA BANK
Pérdidas por USD
750 millones
ALLIED IRISH BANK
ANTECEDENTES
Hechos ocurridos a mediados de los 90s
Fraude interno
Fraude externo
Prácticas inadecuadas
Fallas en sistemas y procesos
CAUSAS
1980’s
Crédito
Gestión de
Riesgos
Crediticios
Mediados 1990’s
Crédito
Liquidez
Gestión de
Riesgos
Financieros
Principios 2000’s
Crédito
Liquidez
Estrategia
Negocios
Operación
Administración
de Riesgos
Integrada
OPERATIVO
Gestión de
Riesgos
Operativos
EVOLUCIÓN DE LA GESTIÓN DE RIESGO
PROBLEMÁTICA
PR
EVIE
NE
FALLAS ERRORES
DAÑOS A ACTIVOS
IMPACTO ECONÓMICO
FRAUDES
Personas
Procesos
Tecnología de información
Eventos Externos
MEJ
OR
A
CUMPLIMIENTO REGULATORIO
CONTROL DE VULNERABILIDADES
ORGANIZACIÓN POR PROCESOS
SERVICIO DE CALIDAD
GESTIÓN DE FACTORES
ESQUEMA DE LA GESTIÓN RIESGO OPERATIVO
Posibilidad de que se produzcan pérdidas para la entidad, debido a fallas o insuficiencias originadas en procesos, personas, tecnología de información y eventos externos.
El riesgo operativo no trata sobre la posibilidad de pérdidas originadas en cambios inesperados en el entorno político, económico y social.
DEFINICIÓN
OBJETIVO DE NORMA
• Normar la administración de riesgo operativo y riesgo legal para una adecuada administración integral de riesgos de las entidades.
COMPONENTES
Administración de riesgo operativo
Factores de riesgo
Continuidad del negocio
Servicios provistos por terceros
Riesgo Legal
Identificación
Medición
Priorización
ControlMitigación
Monitoreo
Comunicación
Reconocer los riesgos
existentes en cada operación,
producto, proceso y línea
de negocio
MODELO DE GESTIÓN DE RIESGOS
Los riesgos deberán ser cuantificados con el objeto de medir el
posible impacto económico.
Priorizar aquellos riesgos en los cuales se enfocarán las acciones de control
Actividades que se realizan con la finalidad
de disminuir laprobabilidad de
ocurrencia de un evento
Acciones para reducir el impacto de un
evento de riesgo y minimizar las pérdidas
Seguimiento que permitedetectar y corregir
oportunamentedeficiencias y/o
incumplimientos
Establecer y desarrollar un plan de comunicación promover un proceso de
empoderamiento y mejora continua
LÍNEAS DE NEGOCIO
Es una especialización del negocio que agrupa procesos encaminados a
generar productos y servicios especializados para atender un segmento del
mercado objetivo definido en la planificación estratégica de la entidad.
Fraude interno
Fraude externo
Prácticas de empleo y seguridad del ambiente detrabajo
Prácticas relacionadas con los clientes, los productosy el negocio
Daños a los activos físicos
Interrupción del negocio
Deficiencia en la ejecución de procesos
TIPOS DE EVENTOS
ADMINISTRACIÓN DEL RIESGO OPERATIVO
Metodologías
Bases de eventos
Capacitación
Personas
- Manual descriptivo de cargos
- Base de datos
Procesos
- Clasificación
. Gobernantes
. Operativos
. Soporte
- Independencia de funciones
Tecnología de la
información
- Estructura de gestión de tecnología.
- Políticas, procesos y
procedimientos.
Eventos externos
- Ocurrencia de eventos ajenos a
su control.
- Planes de contingencia y de continuidad
del negocio.
ADMINISTRACIÓN DE LOS FACTORES DE RO EN LA NORMA
Plan de continuidad
Servicios provistos
por terceros
Plan de contingencia
CONTINUIDAD DEL NEGOCIOLin
eamien
tos
para su
elabo
ración
Calificación y selección
Proveedores alternos
Proveedores del exterior
RIESGO LEGAL
Aspectos de enfoque de riesgo legal
Actos societarios
Gestión de crédito
Operaciones del giro
financiero
Actividades complementa
rias de las operaciones
del giro financiero
Proveedores extranjeros
Estipulaciones Contractuales
Cumplimiento legal y
normativo
Riesgo de documentación
Riesgo de legislación
Riesgo de capacidad
CLASIFICACIÓN
Consejo de administración o directorio
• Crear una cultura que priorice el riesgo operativo
• Decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir
• Aprobar las políticas, procesos, procedimientos y metodologías propuestas por el CAIR
Comité de administración integral de riesgos (CAIR)
• Evaluar y proponer al CAD las políticas y el proceso de administración del riesgo operativo
• Recomendar la aprobación de una metodología para administrar la matriz de riesgos
• Someter a aprobación del CAD los planes de contingencia y de continuidad
Unidad o administrador de riesgos
• Monitorear y evaluar los cambios significativos y la exposición a riesgos
• Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y de continuidad del negocio
• Elaborar la metodología para definir y administrar la matriz de riesgos
PRINCIPALES RESPONSABILIDADESSEGMENTOS 1,2, 3, CAJAS CENTRALES,
MUTUALISTAS Y CORPORACIÓN
RESPONSABILIDADESSEGMENTOS 4 Y 5
.
El Consejo de Administración será responsable de aprobar el documento en el que sedefinan los procesos de la entidad y el manual de administración del personal losmismos que deben estar previamente revisados y conocidos por el consejo devigilancia
El consejo de vigilancia deberá revisar el cumplimiento permanente de la aplicaciónde los procesos aprobados por el Consejo de Administración
El representante legal implementará y dará continuidad a los lineamientosrelacionados en la definición de procesos, registro de eventos de riesgo, adecuadasegregación de funciones e implementación de políticas para líneas de negocio.
Crear una cultura organizacional con principios y valores de comportamiento éticoque priorice la gestión eficaz del riesgo operativo.
REQUERIMIENTOS NORMATIVOS
N° TEMA
1 Conformar el comité de tecnología de información
2 Conformar la unidad de tecnología de información
3 Nombrar al responsable de tecnología de información
4 Identificar las líneas de negocio
5 Construir la bases de datos del recurso humano de la entidad
6 Elaborar manual descriptivo de cargos
7 Definir el inventario de procesos
8 Elaborar manual de administración de procesos
9
Implementar políticas, procesos, procedimientos y metodologías para la administración
de la tecnología de información (manual)
10 Implementar los planes de contingencia y continuidad del negocio
11 Elaborar o actualizar e implementar la matriz de riesgo operativo
12 Registro de eventos de riesgo
13 Elaborar manual de contratación de terceros
14 Elaborar manual de riesgo operativo
N° TEMA
1 Identificar líneas de negocio
2
Definir documento en el que se encuentren los procesos de la
entidad
3 Elaborar e implementar la bitácora de eventos de riesgo
4 Elaborar un manual de administración del personal
REQUERIMIENTOS NORMATIVOS
Intendencia de Riesgos de la EPS y SFPS – Dirección Nacional
de Riesgos del Sector Financiero Popular y Solidario
NORMA DE CONTROL RESPECTO DE LA SEGURIDAD FÍSICA Y ELECTRÓNICA
• Detienen a cinco supuestos asaltantes de bancos
27 de Abril, 2018
• Con llaves ingresaron a robar agencia bancaria del centro Guayaquil
6 de enero de 2018
• Roban en cooperativa de Milagro y se llevan $ 43.000
12 de diciembre de 2017
• Asalto a cooperativa de ahorro en Loja fue frustrado
18 de julio 2017
ANTECEDENTES
Asaltos
Robos
Custodia
Inundaciones
Humedad
Riesgos
Control de accesos
Sistemas de video vigilancia
Iluminación adecuada
Transporte de valores
Custodia de documentos y especies valoradas
Estrategias
IMPORTANCIA
OBJETIVO DE NORMAR
Normar las medidas de seguridad física y electrónica de lasentidades, que permitan precautelar la seguridad de susempleados, socios, clientes, usuarios, establecimientos y bienes,así como para el resguardo en el transporte de efectivo y valores.
Se entenderá por establecimiento al lugar en el que la entidadrealiza actividades de intermediación financiera; entre los cualespueden ser: matriz, sucursales, agencias, oficinas operativas:ventanillas de extensión de servicios, oficinas temporales,oficinas especiales, oficinas móviles y corresponsales solidarios
Medidas de seguridad
Manual y políticas de seguridad y protección
Personal de seguridad
Bóvedas y cajas fuertes
Sistemas de alarmas
Sistemas de video
vigilancia
Medidas de seguridad en cajeros
automáticos
Transporte de fondos y
valores
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA
Medidas de seguridad
• Iluminación adecuada y suficiente
•Área de cajas de acceso restringido
•Puertas equipadas con dos cerraduras
Manual de seguridad
• Las políticas, normas, principios y procesos.
•Medidas mínimas de seguridad contempladas en la presente norma.
•Dispositivos, sistemas y procedimientos para controlar la entrada y salida de los empleados, proveedores y socios
• Los planes de seguridad, emergencia, contingencia y continuidad de negocios
Personal de seguridad
•Contar con un oficial de seguridad física debidamente capacitado
•Contar con agentes de seguridad que exclusivamente realicen labores de:
•Custodia de las instalaciones
•Revisión e inspección a los socios
•Orden en el área de atención al cliente
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN
Bóvedas y cajas fuertes
• Son de acceso restringido, por lo que deben contar con elementos y sistemas que proporcionen una adecuada seguridad y protección.
• Las puertas de las bóvedas cuenten con cerraduras temporizadas y sistemas de ventilación.
• Las cajas fuertes deben ubicarse en un lugar seguro, libres de material u objetos eléctricos o inflamables.
Sistemas de alarmas
•Contar con sistemas de alarma contra robo e incendio, enlazados por frecuencia de radio o cable con centrales de monitoreo y respuesta.
•Verificar que los sistemas de comunicación con la Policía Nacional, ECU 911, Cuerpo de Bomberos y las empresas de seguridad privada.
•Deben estar operativos en todo momento, captar, grabar, tanto las señales de alarma como las escenas de hechos delictivos o siniestros.
Sistemas de video
vigilancia
•Contar con un número adecuado de cámaras fijas y móviles de circuito cerrado de televisión.
• Las cámaras de ubicación fija, como mínimo deben cubrir adecuadamente los lugares de acceso al público.
•Considerar que los sistemas de grabación y almacenamiento de imágenes deben garantizar el archivo de por lo menos tres (3) meses de grabación.
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN
Cajeros automáticos
•Ubicación y entorno
•Protección al teclado
•Protección contra clonación de tarjetas
• Iluminación
•Programas de vigilancia en sitio
•Mecanismo de anclaje
•Mantenimiento preventivo y correctivo
•Accesos físicos al interior de ATM
•Cámaras de vigilancia
Transporte de fondos y valores
•Brindar seguridad en coordinación con la Policía Nacional.
• La recepción y envío de efectivo y valores se debe efectuar en áreas de acceso restringido al público.
•Empresas debidamente autorizadas, utilizando vehículos blindados que cumplan con las disposiciones del Ministerio del Interior
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3
CAJAS CENTRALES Y CORPORACIÓN
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 4 Y 5
• Iluminación suficiente en lugares en donde se maneje efectivo.
•Medidas de seguridad y vigilancia con botón de pánico
Medidas de seguridad
•Medidas mínimas de seguridad contempladas en la presente norma.
•Dispositivos, sistemas y procedimientos para controlar la entrada y salida de los empleados, proveedores y socios
Manual de seguridad
• Son de acceso restringido, por lo que deben contar con elementos y sistemas que proporcionen una adecuada seguridad y protección.
Bóvedas y cajas fuertes
•Emitan señales de alerta en el caso de algún siniestro o acto delictivo.
•Coordinación con la Policía Nacional
Sistemas de alarmas
MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 4 Y 5
• Las cámaras de ubicación fija, como mínimo deben cubrir adecuadamente los lugares de acceso al público.
• Considerar que los sistemas de grabación y almacenamiento de imágenes deben garantizar el archivo de por lo menos tres (3) meses de grabación.
Sistema de video vigilancia
• Brindar seguridad en coordinación con la Policía Nacional.
• La recepción y envío de efectivo y valores se debe efectuar en áreas de acceso restringido al público.
Transporte de fondos valores
El consejo de administración o directorio, según corresponda, aprobarálas políticas, normas, principios y procesos básicos de seguridad y protección para sus empleados, socios, clientes, establecimientos, bienes, activos y patrimonio, así como para el resguardo en el transporte de efectivo y valores.
El comité de administración integral de riesgos, analizará y propondrá al consejo de administración las políticas, normas, principios y procesos básicos de seguridad y protección.
El representante legal implementará en sus entidades las políticas, principios y procesos básicos de seguridad y protección contemplados en la presente norma.
La unidad de seguridad de la información o el responsable de seguridad de la información, según corresponda, elaborará y propondrá al Comité de Administración Integral de Riesgos las políticas, principios y procesos básicos de seguridad y protección referentes a la seguridad física y electrónica.
Responsabilidades entidades segmentos 1,2, 3, cajas centrales, mutualistas y
Corporación
Responsabilidades entidades segmentos 1,2, 3, cajas centrales, mutualistas y
Corporación
•Proponer al consejo de administración las políticas, principios y procesos básicos de seguridad y protecciónreferentes a la seguridad física y electrónica referentes a la seguridad en los canales electrónicos, para su aprobación
Representante legal
•Verificará el cumplimiento de las políticas, principios y procesos básicos de seguridad y protección referentes a la seguridad física y electrónica
Consejo de Vigilancia
Responsabilidades entidades segmentos 4 y 5
