Normas Jurídicas
de Nicaragua
Materia: Banca y Finanzas
Rango: Resoluciones
-
NORMA PARA LA GESTIÓN INTEGRAL
DE RIESGOS
RESOLUCIÓN N° CD-SIBOIF-781-1-MAY14-2013; Aprobada el 14 de
Mayo de 2013
Publicada en La Gaceta No. 147 del 07 de Agosto de 2013
El Consejo Directivo de la Superintendencia de Bancos y de Otras
Instituciones Financieras, después de las discusiones al
respecto,
CONSIDERANDO
I
Que los numerales 1) y 2), del artículo 10 de la Ley 316, Ley de la
Superintendencia de Bancos y de Otras Instituciones Financieras,
publicada en La Gaceta, Diario Oficial No. 196, del 14 de octubre
de 1999, y sus reformas, establecen que corresponde al Consejo
Directivo de la Superintendencia de Bancos y de Otras Instituciones
Financieras (Consejo Directivo) dictar normas generales para
fortalecer y preservar la seguridad y confianza del público en las
instituciones bajo la supervisión, inspección, vigilancia y
fiscalización de la Superintendencia; así como, dictar normas
generales que promuevan una adecuada, ágil, moderna y práctica
supervisión sobre las instituciones sujetas a la supervisión,
inspección, vigilancia y fiscalización del referido ente.
II
Que el artículo 40, numerales 6) y 10) de la Ley No. 561, Ley
General de Bancos, Instituciones Financieras no Bancarias y Grupos
Financieros (Ley General de Bancos), publicada en La Gaceta, Diario
Oficial No. 232, del 30 de noviembre de 2005, establecen que los
preceptos que regulan el gobierno corporativo de las instituciones
financieras deben incluir, entre otros, las políticas sobre
procesos integrales que incluyan la administración de los diversos
riesgos a que pueda estar expuesta la institución, así como,
sistemas de información adecuados y un Comité para la gestión de
dichos riesgos , así como, políticas escritas sobre la
administración de los diferentes riesgos.
III
Que el artículo 38, numeral 4, de la Ley General de Bancos,
referente a las obligaciones de la junta directiva, señala que esta
última tiene entre sus responsabilidades el velar porque se
implementen e instruir para que se mantengan en adecuado
funcionamiento y ejecución, las políticas, sistemas y procesos que
sean necesarios para una correcta administración, evaluación y
control de los riesgos inherentes al negocio .
IV
Que el artículo 40, numeral 9, de la misma Ley, establece que entre
las políticas que regulan el gobierno corporativo de las
instituciones financieras se deben incluir aspectos sobre flujos de
información adecuados, tanto internos como para con el público.
V
Que conforme a lo indicado en el numeral 11 y en el último párrafo
del referido artículo 38 de la Ley General de Bancos, el Consejo
Directivo de la Superintendencia está facultado para dictar normas
de aplicación general en las que se establezcan la forma en que se
aplicarán y ejecutarán las responsabilidades indicadas en los
considerandos anteriores.
En uso de sus facultades,
HA DICTADO
La siguiente:
CD-SIBOIF-781-1-MAY14-2013
NORMA PARA LA GESTIÓN INTEGRAL DE RIESGOS
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1. Objeto.- La presente norma tiene por objeto
establecer los lineamientos mínimos que deben observar las
instituciones financieras para la gestión integral de riesgos,
mismos que deben ser acordes con la naturaleza, complejidad,
volumen y perfil de riesgo de sus operaciones.
Artículo 2. Alcance.- Las disposiciones de la presente norma
son aplicables a los bancos, sociedades financieras, grupos
financieros y las sucursales de bancos y sociedades financieras
extranjeras establecidas en el país, las que en adelante serán
conocidas como instituciones financieras, o simplemente
instituciones.
Artículo 3. Conceptos.- Para los fines de la presente norma,
los términos indicados en este artículo, tanto en mayúsculas como
en minúsculas, singular o plural, tendrán los significados
siguientes:
a) Apetito al riesgo: Cantidad y tipo de riesgo que una
institución financiera está dispuesta a aceptar o retener.
b) Gestión Integral de Riesgos: Proceso dinámico y
estratégico realizado en forma transversal en todos los niveles de
la institución, mediante el cual ésta identifica, mide, monitorea y
controla los distintos tipos de riesgos a que se encuentra expuesta
y las interrelaciones que surgen entre estos, para proveer una
seguridad razonable en el logro de sus objetivos.
c) Límite de exposición al riesgo: Magnitud permisible de
exposición cuando se toma una posición de riesgo determinada. La
estructura de límite de exposición al riesgo se podrá definir en
función de una línea de negocio, factor de riesgo, causa u origen
del mismo, entre otros.
d) Nivel de tolerancia al riesgo: Magnitud de riesgo que la
institución está preparada a manejar después de que el riesgo ha
sido gestionado, con el fin de conseguir sus objetivos.
e) Perfil de riesgo: Naturaleza y magnitud de las
exposiciones al riesgo de las instituciones.
f) Planes de continuidad del negocio: Planes a que se
refiere la normativa que regula la materia sobre gestión de riesgo
operacional.
g) Riesgo: La probabilidad que se produzca un hecho
generador de pérdidas que afecten el valor económico de las
instituciones.
h) Riesgo de Crédito: Pérdida potencial por la falta de pago
de un deudor o contraparte en las operaciones que efectúan las
instituciones.
i) Riesgo de Grupo Financiero: Es la posibilidad de pérdidas
económicas debido al traslado no esperado de riesgos producto de la
interdependencia entre la institución y el resto de empresas
integrantes del grupo. Dicho riesgo puede manifestarse en
cualquiera de los riesgos definidos en este artículo.
j) Riesgo de Lavado de Dinero, Bienes o Activos, y del
Financiamiento al Terrorismo LD/FT: Es el riesgo inherente que
tienen y afrontan permanentemente las instituciones por su misma
naturaleza de negocios; de ser utilizadas, consciente o
inconscientemente, para el lavado de dinero, bienes o activos; y
para el financiamiento al terrorismo.
k) Riesgo de Liquidez: Pérdida potencial por la
imposibilidad de renovar pasivos o de contratar otros en
condiciones normales para la institución por la venta anticipada o
forzosa de activos a descuentos inusuales para hacer frente a sus
obligaciones, o bien, por el hecho de que una posición no pueda ser
oportunamente enajenada, adquirida o cubierta mediante el
establecimiento de una posición contraria equivalente.
l) Riesgo de Mercado: Pérdida potencial por cambios en los
factores de riesgo que inciden sobre la valuación de las posiciones
por operaciones activas, pasivas o causantes de pasivo contingente,
tales como, tasas de interés, tipo de cambio, índices de precio,
entre otros.
m) Riesgo Financiero: Se refiere al riesgo de mercado
y riesgo de liquidez.
n) Riesgo Legal: Pérdida potencial por el incumplimiento de
las disposiciones legales y administrativas aplicables, la
afectación por resoluciones administrativas o judiciales
desfavorables y la aplicación de sanciones, en relación con las
operaciones que las instituciones llevan a cabo.
o) Riesgo Operacional: El riesgo de pérdida asociado
a eventos no accidentales debido a la inadecuación o fallos de los
procesos, el personal y los sistemas internos o bien a causa de
acontecimientos externos y comprende, entre otros, el riesgo
tecnológico; riesgo de lavado de dinero, bienes o activos, y de
financiamiento al terrorismo; y riesgo legal.
p) Riesgo Tecnológico: Pérdida potencial por daños,
interrupción, alteración o fallas derivadas del uso o dependencia
en el hardware, software, sistemas, aplicaciones, redes y cualquier
otro canal de distribución de información en la prestación de
servicios financieros a los clientes de la institución.
q) Unidades de Negocios: Son centros generadores de
beneficios o utilidades.
r) Unidades de Soporte Operativo: Todas aquellas unidades de
la infraestructura operativa que le dan viabilidad a la actividad
que atienden las instituciones financieras.
CAPÍTULO II
GESTIÓN INTEGRAL DE RIESGOS
Artículo 4. Elementos básicos.- Para efectos de implementar
una adecuada gestión integral de riesgos, las instituciones deben
considerar los siguientes elementos básicos:
a) Definir sus objetivos sobre la exposición al riesgo y
desarrollar políticas y procedimientos para la gestión de los
distintos tipos de riesgo a los que se encuentran expuestas, sean
éstos cuantificables o no, conforme lo establecido en el artículo 5
de la presente norma.
b) Delimitar claramente las diferentes funciones, actividades y
responsabilidades en materia de gestión integral de riesgos entre
sus distintos órganos de administración, unidades administrativas y
personal de operación y de apoyo, en los términos del Capítulo III
de la presente norma.
c) Identificar, medir, monitorear y controlar los riesgos
cuantificables a los que están expuestas, considerando, en lo
conducente, los riesgos no cuantificables.
d) Agrupar, considerando a sus subsidiarias financieras, los
distintos tipos de riesgo a que se encuentran expuestas, por unidad
de negocio o por causa u origen de éstos. Adicionalmente, los
agruparán de forma global, incorporando para ello los riesgos de
todas las unidades de negocio o por causa u origen de los
mismos.
e) Establecer los criterios de tolerancia al riesgo y apetito por
riesgo.
Artículo 5. Objetivos, lineamientos y políticas.- Los
objetivos, lineamientos y políticas de la gestión integral de
riesgos deben ser congruentes con la naturaleza, complejidad y
volumen de operaciones de la institución, así como, con su tamaño y
perfil de riesgo; y deben contemplar, cuando menos, los siguientes
aspectos:
a) El perfil de riesgo y los objetivos de exposición al
mismo.
b) La estructura organizacional que soporta el proceso de gestión
integral de riesgos, la cual deberá seguir los preceptos
establecidos en la presente norma, así como, una clara delimitación
de funciones y perfil de puestos en todos sus niveles.
c) Las facultades y responsabilidades de aquellas personas que
desempeñen cargos que impliquen la toma de riesgos para la
institución.
d) La clasificación de los riesgos por tipo de operación y línea de
negocios.
e) Los límites generales y específicos de exposición al
riesgo.
f) La forma y periodicidad con que se debe informar a las dos
estructuras, estratégica y operativa a las que se hace referencia
en la presente norma, sobre la exposición al riesgo de la
institución y los inherentes a cada unidad de negocio.
g) Los controles internos, así como, las correspondientes medidas
para corregir las desviaciones que se observen sobre los niveles de
tolerancia y límites de exposición al riesgo.
h) El proceso para aprobar desde una perspectiva de gestión
integral de riesgos, operaciones, servicios, productos y líneas de
negocio que sean nuevos para la institución, así como, estrategias
de gestión integral de riesgos y, en su caso, de coberturas;
incluyendo modificaciones o actualizaciones a operaciones,
servicios, productos y líneas de negocios ya existentes.
i) Los planes de continuidad del negocio para restablecer niveles
mínimos de la operación de éste en caso de presentarse eventos
fortuitos o de fuerza mayor.
j) El proceso de autorización para exceder de manera excepcional
los niveles de tolerancia y límites de exposición al riesgo.
Las modificaciones que en su caso pretendan efectuarse a los
objetivos, lineamientos y políticas para la gestión integral de
riesgos deben ser propuestas por el comité de riesgos y aprobadas
por la junta directiva de la institución.
La institución debe contar con políticas de gestión para cada uno
de los riesgos, con mecanismos que permitan adecuarlas
oportunamente frente a los cambios en el entorno o en su perfil de
riesgo.
Artículo 6. Tipos de riesgos.- Para los efectos de la
presente norma, las instituciones deben gestionar de acuerdo a la
naturaleza, complejidad y volumen de sus operaciones, y de su
tamaño y perfil de riesgo, como mínimo, los siguientes riesgos:
crédito, financiero (liquidez, mercado), operacional y de grupo
financiero. Los riesgos de lavado de dinero, bienes o activos, y de
financiamiento al terrorismo serán evaluados conforme a la
normativa de la materia.
Artículo 7. Proceso para la gestión integral de riesgos.-
Las instituciones deben contar con un proceso continuo documentado
para la gestión integral de riesgos, el cual debe contener, al
menos, los siguientes procesos:
a) Identificación: Consiste en la toma de conocimiento de
los diferentes riesgos a que está expuesto el giro de negocios de
la institución;
b) Medición: Consiste en la determinación del tamaño e
impacto que tendría en el patrimonio de la institución la
materialización de los riesgos identificados;
c) Monitoreo: Consiste en el seguimiento de la evolución y
tendencia de los riesgos identificados; y
d) Control: Consiste en el conjunto de actividades que
ejecuta la institución para mantener los riesgos limitados a los
niveles de tolerancia y de exposición al riesgo definidos por la
organización.
El proceso para la gestión integral de riesgos debe ser revisado
periódicamente en función de los cambios que se produzcan en el
perfil de riesgo de la institución y en el mercado.
CAPÍTULO III
SISTEMA DE ORGANIZACIÓN
Artículo 8. Estructura organizacional.- Las instituciones
deben establecer una estructura organizacional que permita realizar
una adecuada gestión integral del riesgo, con la debida segregación
de funciones y niveles jerárquicos de áreas de soporte operativo,
negocios y control que participen en el proceso, así como, los
niveles de dependencia, de conformidad con la naturaleza,
complejidad y volumen de las operaciones, y del tamaño y perfil de
riesgos de la institución, que, como mínimo, debe considerar los
lineamientos indicados en los artículos siguientes.
Artículo 9. Estructura estratégica.- La estructura
estratégica está conformada por la junta directiva de la
institución y por el comité de riesgos, los que tienen como función
genérica, sin perjuicio de las funciones específicas establecidas
en ésta y demás normativas que regulan la materia sobre gestión de
riesgos, la definición y aprobación de los objetivos, lineamientos
y políticas para la gestión integral de riesgos de la institución,
así como, asegurar la existencia de los recursos necesarios para la
correcta implantación de las mismas.
Artículo 10. Estructura operativa.- La estructura operativa
está compuesta por las demás instancias de la institución, las
cuales deben ejecutar los objetivos, lineamientos y políticas para
la gestión integral de riesgos, definidas y aprobadas por la
estructura estratégica, en el desarrollo de las funciones que cada
una tenga asignada dentro de la institución.
Artículo 11. Flujos de comunicación.- Entre las estructuras
estratégica y operativa antes referidas, deben existir flujos de
información de forma que se garantice la eficiencia de la gestión
integral de riesgos dentro de la institución. En este sentido, las
instituciones deben tomar en cuenta los siguientes lineamientos
generales:
a) La estructura estratégica, a través de la estructura operativa
de la institución, debe comunicar al resto de la organización, de
forma clara y explícita, los objetivos, lineamientos y las
políticas que han definido; igualmente, debe crear y definir una
cultura corporativa de gestión integral de riesgos que ayude a
interiorizar a todos los niveles de la institución la importancia
de dicho estilo de gestión.
b) La estructura operativa debe informar a la estructura
estratégica sobre los aspectos relevantes en relación a la
ejecución de los objetivos, lineamientos y políticas de la gestión
integral de riesgos, de forma que el proceso pueda enriquecerse y
adaptarse a las necesidades de la institución y del mercado en cada
momento.
Artículo 12. Independencia.- A fin de evitar posibles
conflictos de interés que puedan afectar el desempeño de las
funciones de gestión integral de riesgos, debe existir
independencia entre los órganos encargados de la gestión integral
de riesgos y la gerencia general, así como, con las distintas
unidades de negocios y operativas de la institución.
Artículo 13. Funciones de la junta directiva.- La junta
directiva es la responsable de velar porque se implementen e
instruir para que se mantenga un adecuado funcionamiento y
ejecución de las políticas, sistemas y procesos que sean necesarios
para una correcta administración, evaluación y control de los
riesgos inherentes al negocio.
Para cumplir con lo indicado en el párrafo anterior, la junta
directiva deberá, como mínimo:
a) Aprobar los objetivos, lineamientos, políticas, niveles de
tolerancia y límites de exposición al riesgo para la gestión
integral de cada uno de los riesgos asumidos por la institución y
de las excepciones a las mismas, así como, los planes de
contingencia. Asimismo, deberá conocer y resolver sobre las
propuestas de actualización y autorizar las modificaciones
respectivas al menos una vez al año;
b) Aprobar y/o adoptar las medidas correctivas en caso de que los
objetivos, lineamientos, políticas, niveles de tolerancia y límites
de exposición al riesgo para la gestión integral de riesgos no se
cumplan, o se cumplan parcialmente o en forma incorrecta;
c) Aprobar, a propuesta del comité de riesgos, las herramientas,
modelos, metodologías y sistemas de acuerdo al perfil de riesgo de
la institución, y revisar su vigencia al menos una vez al
año;
d) Aprobar la incursión de la institución en nuevos productos,
operaciones y actividades, de acuerdo con las estrategias del
negocio y las políticas para la gestión de riesgos; incluyendo
modificaciones o actualizaciones a operaciones, servicios,
productos y líneas de negocios ya existentes;
e) Informar a los accionistas acerca de los resultados de la
implementación y ejecución del proceso de gestión integral de
riesgos;
f) Aprobar una estructura organizacional para la gestión integral
de riesgos y asignar los recursos suficientes para su
implantación;
g) Aprobar el manual de gestión integral de riesgos y los
respectivos manuales de gestión para cada tipo de riesgo, y sus
correspondientes modificaciones;
h) Crear el comité de riesgos, designar a sus miembros y garantizar
su carácter de independencia;
i) Conocer todos los riesgos inherentes a los negocios que
desarrolla la institución, su evolución en el tiempo, sus efectos
en los niveles patrimoniales y las metodologías para la gestión de
riesgos; y
j) Garantizar que la auditoría interna verifique la existencia y
cumplimiento del esquema de la gestión integral de riesgos de la
institución.
Artículo 14. Comité de Riesgos.- La junta directiva de cada
institución debe constituir un comité de riesgo, cuyo objeto será
la gestión de los riesgos a que se encuentra expuesta la
institución y vigilar que la realización de las operaciones se
ajuste a los objetivos, lineamientos y políticas para la gestión
integral de riesgos, así como, a los niveles de tolerancia y
límites de exposición al riesgo que hayan sido previamente
aprobados por la junta directiva.
El comité de riesgos depende de la junta directiva y debe estar
integrado, como mínimo, por un miembro de la junta directiva con
conocimiento en el negocio financiero, así como, por los
funcionarios de la institución o de algunas de las instituciones
miembros del grupo financiero que dicha junta designe. La forma de
gobierno, los miembros que la integran, la calidad en que actúan,
la frecuencia de reuniones y el proceso de toma de decisiones serán
establecidos por la junta directiva.
Las sesiones y acuerdos del comité deben constar en acta suscrita
por los asistentes que intervinieron en la sesión. En lo que
respecta a los directores miembros del comité, estos podrán
participar de las sesiones sin necesidad de presencia física, a
través de la comunicación entre estos y los demás miembros del
comité por correo electrónico, teléfono, fax o por cualquier medio
de comunicación que evidencie la participación, identificación y
decisión de los participantes.
Los miembros del comité deben ser independientes de las unidades de
negocios, a fin de evitar conflictos de intereses y asegurar una
adecuada separación de funciones y asignación de
responsabilidades.
La junta directiva puede crear los comités de riesgos
especializados que considere necesarios, en razón de la naturaleza,
complejidad y volumen de las operaciones y servicios de la
institución.
Artículo 15. Funciones del comité de riesgos.- El comité de
riesgos tiene, como mínimo, las siguientes funciones:
a) Proponer a la junta directiva los objetivos, lineamientos,
políticas, niveles de tolerancia y límites de exposición por cada
tipo de riesgos y planes de contingencia, así como, las eventuales
modificaciones que se realicen a los mismos cuando las condiciones
y el entorno de la institución así lo requieran. Dichos objetivos,
lineamientos y políticas deberán considerar lo establecido en el
artículo 5 de la presente norma.
b) Proponer a la junta directiva las medidas correctivas y los
mecanismos para implementarlas en caso de que los objetivos,
lineamientos y políticas para la gestión integral de riesgos no se
cumplan, o se cumplan parcialmente o en forma incorrecta. El comité
deberá dar seguimiento a los planes o medidas correctivas
implementadas para normalizar incumplimientos a los límites de
exposición al riesgo o deficiencias reportadas e informar a la
junta directiva.
c) Analizar las metodologías, modelos y sistemas de gestión de cada
riesgo propuestas por la unidad de gestión integral de riesgos,
para su posterior presentación a la junta directiva, y revisar su
vigencia, al menos, una vez al año.
d) Analizar y evaluar las propuestas sobre la incursión de la
institución en nuevas operaciones, productos y servicios, de
acuerdo con las estrategias del negocio y las políticas para la
gestión integral de riesgos; e informar a la junta directiva los
resultados de su análisis sobre dichas propuestas, así como, las
estrategias de información a fin de divulgar en la organización
toda la información sobre la gestión integral de los riesgos
inherentes a estas nuevas operaciones, productos y servicios.
e) Informar a la junta directiva acerca de los resultados de la
implementación y ejecución del proceso de gestión de riesgos.
f) Proponer a la junta directiva y velar por que la institución
cuente con la adecuada estructura organizacional para la gestión
integral de riesgos, y la estrategia de asignación de recursos para
su implantación.
g) Proponer a la junta directiva el manual de gestión integral de
riesgo y los respectivos manuales de administración para cada tipo
de riesgo, y sus correspondientes modificaciones.
h) Proponer a la junta directiva la designación del responsable de
la unidad de gestión integral de riesgos.
i) Informar a la junta directiva sobre los riesgos asumidos por la
institución, su evolución, sus efectos en los niveles patrimoniales
y las necesidades adicionales de mitigación.
j) Garantizar la correcta ejecución de las estrategias y políticas
aprobadas.
k) Definir la estrategia general para la implementación de las
políticas, procedimientos y sistemas aprobados para la gestión
integral de riesgos, y su adecuado cumplimiento.
l) Evaluar las propuestas de gestión de riesgos que realicen las
áreas de negocios, de operaciones y demás áreas funcionales.
m) Analizar los reportes e informes de gestión emitidos por la
unidad de gestión integral de riesgos, y demás áreas vinculadas al
sistema de gestión de riesgos.
n) Analizar las propuestas sobre actualización de las políticas,
procedimientos y sistemas de gestión de riesgos y proponer a la
junta directiva, cuando así se requiera, la actualización de los
manuales indicados en el inciso g) de este artículo, dadas las
condiciones del mercado o en particular las de la
institución.
o) Garantizar que las herramientas informáticas, tanto las
desarrolladas internamente, como las provistas por terceros, se
encuentran debidamente documentadas, y se corresponden y adecúan al
tipo y complejidad de las operaciones de la institución, y han sido
asimiladas metodológicamente por el personal de la unidad de
gestión integral de riesgos.
p) Analizar los resultados de la evaluación realizada por la unidad
de gestión integral de riesgos sobre el desempeño y riesgos
asumidos por las principales líneas de negocio de la
institución.
q) Otras que le asigne la junta directiva o que sean dispuestas por
el Superintendente.
Artículo 16. Unidad de Gestión Integral de Riesgos.- El
comité de riesgos para llevar a cabo su función, se deberá apoyar
en la unidad de gestión integral de riesgos, la cual tiene por
objeto identificar, medir, monitorear y controlar los riesgos que
enfrenta la institución en sus operaciones, ya sea que estos se
registren dentro o fuera del balance, incluyendo, en su caso, los
riesgos de las instituciones miembros del grupo financiero. Su
tamaño y ámbito debe estar en relación con la naturaleza,
complejidad y volumen de operaciones, así como, del tamaño y perfil
de riesgo de la institución.
La unidad de gestión integral de riesgos debe ser independiente de
las unidades de negocios, a fin de evitar conflictos de intereses y
asegurar una adecuada separación de funciones y asignación de
responsabilidades, y su posición jerárquica debe asegurar que sus
informes sean conocidos por la junta directiva o por la instancia
que ésta delegue.
Artículo 17. Funciones de la unidad de gestión integral de
riesgos.- La unidad de gestión integral de riesgos tendrá, como
mínimo, las siguientes funciones:
a) Diseñar y proponer al comité de riesgos sistemas para la gestión
integral de riesgos, que incluyan niveles de tolerancia, límites de
exposición, mecanismos de control de la exposición total e
individual por cada tipo de riesgo en las principales líneas de
negocio, planes de contingencia, así como, las eventuales
modificaciones que se realicen a los mismos, cuando las condiciones
y el entorno de la institución así lo requieran; todo de acuerdo a
los lineamientos y políticas que emanen de la junta
directiva.
b) Identificar las causas de los incumplimientos a las políticas y
procedimientos relacionados a la gestión integral de riesgos,
incluyendo las relacionadas a los niveles de tolerancia y límites
de exposición para cada tipo de riesgo; asimismo, determinar si
dichos incumplimientos se presentan en forma reiterada, informar
sus resultados al comité de riesgos, al gerente general de la
institución y proponer las medidas correctivas, debiendo mantener
registros históricos sobre tales incumplimientos.
c) Proponer al comité de riesgos las herramientas, metodologías,
modelos y sistemas de acuerdo al perfil de riesgo de la
institución, así como, sus modificaciones.
d) Analizar en términos de riesgo, las propuestas de las áreas de
negocio en relación a nuevas operaciones, productos y servicios. En
este caso, deberá elaborar y presentar al comité de riesgos las
metodologías para la identificación, medición, monitoreo y control
de los riesgos que representan las nuevas operaciones, productos y
servicios.
e) Informar al comité de riesgos periódicamente sobre los aspectos
relevantes en relación a la ejecución de los objetivos,
lineamientos y políticas de la gestión integral de riesgos, de
forma que el proceso pueda enriquecerse y adaptarse a las
necesidades de la institución y del mercado en cada momento.
f) Reportar al comité de riesgos periódicamente y cuando la
situación lo amerite, sobre la exposición total e individual por
tipo de riesgo en las principales líneas de negocio, los cambios
sustanciales de tales exposiciones, su evolución en el tiempo y el
cumplimiento de límites de exposición al riesgo, así como, proponer
al comité de riesgos las medidas correctivas
correspondientes.
g) Velar que la gestión integral de riesgos considere todos los
riesgos en que incurre la institución dentro de sus diversas
unidades de negocios.
h) Identificar, medir, monitorear y controlar los riesgos de
acuerdo a las metodologías, herramientas o modelos aprobados.
i) Revisar, al menos anualmente, las políticas, procedimientos,
metodologías, modelos y sistemas, y proponer su actualización al
comité de riesgos, atendiendo los cambios en las condiciones del
mercado, en la situación de la institución, en el nivel de
exposición a los riesgos o cuando lo requiera la normativa.
j) Analizar el impacto que la toma de riesgos asumida por la
institución tiene sobre el grado o nivel de suficiencia del
capital.
k) Difundir las políticas, procedimientos y sistemas aprobados para
la gestión integral de riesgos, de forma que su contenido y
objetivos sean comprendidos por todo el personal involucrado en
operaciones que impliquen riesgo para la institución.
l) Evaluar en forma regular el desempeño y riesgos asumidos por las
principales líneas de negocio de la institución.
m) Realizar monitoreo y análisis de tendencias macroeconómicas,
financieras, sectoriales y de mercado, así como, evaluar su impacto
en la situación financiera de la institución, tomando en cuenta la
información oficial disponible de fuentes calificadas o de
asociaciones gremiales u otras fuentes a criterio de la
institución.
n) Otras que le asigne el comité de riesgos.
La unidad de gestión integral de riesgos para llevar a cabo sus
funciones, debe contar con modelos y sistemas de medición de
riesgos que reflejen en forma precisa el valor de las posiciones y
su sensibilidad a diversos factores de riesgos, incorporando
información proveniente de fuentes confiables. Adicionalmente,
dichos sistemas deben facilitar la identificación, medición,
monitoreo y control de los riesgos a que se encuentra expuesta la
institución, así como generar informes al respecto.
Los sistemas deben contar con adecuados mecanismos de respaldo y
control que permitan la recuperación de datos de los sistemas de
procesamiento de información empleados en la gestión integral de
riesgos y de modelos de valuación.
La unidad de gestión integral de riesgos para llevar a cabo sus
funciones de identificación, medición, monitoreo y control de los
diversos tipos de riegos asumidos y la valuación de las posiciones
de la institución, y dar cumplimiento a las funciones antes
indicadas, podrá auxiliarse en el área que estime conveniente,
siempre y cuando con ello no se susciten conflictos de
interés.
Artículo 18. Responsabilidad de la gerencia.- El gerente
general debe apoyar la implementación y adecuado funcionamiento de
la gestión integral de riesgos de acuerdo a las políticas aprobadas
por la junta directiva. Asimismo, debe vigilar que se mantenga la
independencia entre la unidad de gestión integral de riesgos y las
unidades de negocios, tal como se establece en los artículos 12 y
16 de esta norma. El gerente general también debe garantizar que
los empleados y ejecutivos involucrados directamente en las
operaciones que impliquen riesgos para la institución sean
capacitados continuamente en dichos temas; asimismo, debe
establecer un programa de divulgación continua que genere una
cultura organizacional del riesgo en todos los empleados.
Los gerentes de las unidades de negocios y unidades operativas
tienen la responsabilidad de apoyar la gestión integral de riesgos,
en particular, en lo que se refiere a los riesgos específicos
relacionados con el logro de los objetivos de sus respectivas
unidades de acuerdo a las políticas, procedimientos y sistemas
aprobados. Para estos efectos deben mantener la coherencia entre
las actividades que realizan con los niveles de tolerancia y
límites de exposición al riesgo aplicables a su ámbito de acción.
CAPÍTULO IV
SISTEMAS DE INFORMACIÓN
Y CONTROL DE RIESGOS
Artículo 19. Sistemas de información.- La institución debe
contar con un sistema de información que le permita identificar,
medir, monitorear y controlar permanente y oportunamente los
riesgos que asume la institución en el desarrollo de sus
actividades, tanto dentro, como fuera del balance, y darles
seguimiento a los objetivos, lineamientos y políticas definidos por
la junta directiva, adecuado al volumen y complejidad de los
negocios.
El sistema de información debe permitirle a la institución guiar
adecuadamente la toma de decisiones y una adecuada cobertura y
profundidad de la información, tanto aquella respecto de la
situación individual de las operaciones, como aquella información
necesaria para un adecuado seguimiento del desempeño global de la
institución.
Artículo 20. Sistema de control de riesgos.- La institución
debe contar con un sistema de control de riesgos que le permita
verificar la existencia de mecanismos y técnicas de detección,
limitación y reconocimiento oportuno de los riesgos que asume la
institución en el desarrollo de sus actividades, tanto dentro, como
fuera del balance; así como, la suficiencia y eficacia de las
segregaciones funcionales, especialmente las que deben existir
entre las unidades de negocios y las encargadas de la función de
gestión del riesgo y de auditoría interna.
Las instituciones deben establecer los controles administrativos,
financieros, contables y tecnológicos necesarios, y el marco
regulatorio aplicables.
Artículo 21. Funciones de la auditoría interna.- La
auditoría interna desempeña un rol independiente a la gestión, que
vigila la adecuación de la gestión integral de riesgos, debiendo
sujetarse a las disposiciones específicas que regulan su actividad,
contenidas en la normativa que regula la materia sobre control y
auditoría interna de bancos y sociedades financieras.
Artículo 22. Informe del comité de riesgos.- El comité de
riesgos debe presentar anualmente un informe a la junta directiva,
quien deberá conocerlo dentro del trimestre siguiente a la
finalización del año que corresponda. Dicho informe debe contener,
al menos, lo siguiente:
a) Las labores realizadas por el comité de riesgo y los objetivos
alcanzados;
b) La exposición total e individual por tipo de riesgo de la
institución en sus principales líneas de negocio, y el posible
impacto en los resultados y en el capital;
c) Los casos donde se excedieron los límites de exposición al
riesgo, si los hubiere, y sus causas;
d) Las medidas correctivas adoptadas, derivadas del resultado de
las verificaciones efectuadas, así como, las propuestas de acciones
a adoptar con relación a incumplimientos de políticas y
procedimientos relacionados a la gestión integral de riesgos;
e) Un resumen estadístico sobre el comportamiento histórico y
tendencia de la exposición a los riesgos, así como, de los
diferentes incumplimientos, si los hubiere, incluyendo el análisis
de su reincidencia;
f) Los resultados del monitoreo y análisis de tendencias
macroeconómicas, financieras, sectoriales y de mercado, así como,
las recomendaciones pertinentes;
g) Un resumen de las verificaciones del cumplimiento de las
políticas y procedimientos de gestión integral de riesgos,
incluyendo las metodologías, herramientas o modelos para la
medición de riesgos;
h) Cambios en las metodologías, herramientas o modelos empleados
por la institución para la gestión integral de riesgos;
i) Resultados de la evaluación del desempeño y riesgos asumidos por
las principales líneas de negocio de la institución; y
j) Otros aspectos que la junta directiva requiera.
Artículo 23. Informe de la unidad de gestión integral de
riesgos.- Sin perjuicio de los informes adicionales que puedan
generarse como resultado de las funciones establecidas en el
artículo 17 de la presente norma, la unidad de gestión integral de
riesgos debe presentar un informe al comité de riesgos al menos
semestralmente, dentro del mes siguiente a la finalización del
semestre calendario que corresponda. Dicho informe debe contener,
al menos, lo siguiente:
a) Las labores realizadas por la unidad y los objetivos
alcanzados;
b) La exposición total e individual por tipo de riesgo de la
institución en sus principales líneas de negocio, y el posible
impacto en los resultados y en el capital, incluyendo el análisis
de la aplicación de las metodologías, herramientas o modelos
aprobados por el comité de riesgos;
c) Los casos donde se excedieron los límites de exposición al
riesgo establecidos, si los hubiere, y la explicación detallada de
las causas;
d) Las propuestas de medidas correctivas con relación a las
verificaciones efectuadas;
e) Un resumen estadístico sobre el comportamiento histórico y
tendencia de la exposición a los riesgos, así como de los
diferentes incumplimientos, si los hubiere, incluyendo el análisis
detallado de su reincidencia;
f) Los resultados del monitoreo y análisis de tendencias
macroeconómicas, financieras, sectoriales y de mercado y su impacto
en la situación financiera de la institución;
g) La información acerca del cumplimiento de las políticas y
procedimientos de administración integral de riesgos, incluyendo
las metodologías, herramientas o modelos para la medición de
riesgos;
h) Propuestas de cambios en las metodologías, herramientas o
modelos empleados por la institución para la gestión integral de
riesgos;
i) Los resultados de la evaluación del desempeño y riesgos asumidos
por las principales líneas de negocio de la institución; y
j) Otros aspectos que el comité de riesgos requiera.
Artículo 24. Divulgación.- Las instituciones deben revelar
al público depositante, inversionista y otros acreedores, conforme
la normativa de la materia, a través de notas a sus estados
financieros y de manera trimestral a través de su página Web, la
información relativa a las políticas, metodologías, niveles de
riesgo asumidos y demás medidas relevantes adoptadas para la
gestión de cada tipo de riesgo.
Asimismo, las instituciones deben revelar al público depositante,
inversionista y otros acreedores, conforme la normativa de la
materia, a través de su página Web la calificación de riesgo y su
informe de sustento emitido por agencia calificadora reconocida por
la Superintendencia. También se debe autorizar a la agencia
calificadora que dé a conocer esta calificación en su respectiva
página Web.
CAPÍTULO V
MANUALES
Artículo 25. Manual de gestión integral de riesgos.- Los
objetivos, lineamientos y políticas aprobadas por la junta
directiva de la institución deben constar en un manual que servirá
como soporte funcional y operativo al proceso de gestión integral
de riesgos.
De manera general, este manual debe ser un documento técnico que
contenga, entre otros aspectos:
a) La descripción de las principales líneas de negocio y de los
productos y servicios, así como, los riesgos que los mismos
incorporan, incluyendo diagramas de flujo que ilustren los procesos
y que permitan identificar dónde y cuándo se manifiestan los
riesgos, su interrelación y posibles acciones para controlar y
mitigar los mismos;
b) El proceso para la aprobación de propuestas de nuevas
operaciones, productos y servicios, el cual deberá incluir un
análisis de los riesgos implícitos, un planteamiento de iniciativas
para la gestión integral de riesgos y de los mecanismos para
informar y revelar a quien corresponda y, una opinión sobre la
viabilidad financiera, jurídica y operativa de estas nuevas
operaciones, productos y servicios;
c) La estructura organizacional para llevar a cabo la gestión
integral de riesgos; y
d) El detalle de las funciones y responsabilidades claramente
definidas del comité de riesgos, de la unidad de gestión integral
de riesgos y de las diferentes unidades de negocios de la
institución, de manera que se garantice la independencia funcional
de cada una de éstas.
Las modificaciones que en su caso pretendan efectuarse a los
objetivos, lineamientos y políticas para la gestión integral de
riesgos, deben ser propuestas por el comité de riesgos y aprobadas
por la junta directiva de la institución.
Artículo 26. Manuales para la gestión de riesgos
específicos.- La junta directiva establecerá los objetivos,
lineamientos y políticas idóneas para la gestión de cada tipo de
riesgo en manuales para la gestión de riesgos específicos. Estos
manuales incluirán respecto del riesgo de que se trate, como
mínimo, los aspectos contemplados en los principios de buenas
prácticas de gestión de riesgos y en la normativa específica.
CAPÍTULO VI
ASPECTOS DE SUPERVISIÓN
Artículo 27. Criterios de evaluación.- El cumplimiento de la
presente norma será evaluado conforme a los principios de buenas
prácticas de gestión de riesgos adoptados por la institución
financiera, establecidos en la Resolución No. SIB-OIF-XX-242-2012,
emitida por el Superintendente el 5 de septiembre de 2012, mediante
la cual aprueba el nuevo sistema de clasificación de bancos y
financieras con enfoque de supervisión basada en riesgos; así como,
conforme a los requerimientos específicos previstos en las
presentes disposiciones.
CAPÍTULO VII
DISPOSICIONES FINALES
Artículo 28. Transitorio.- Las instituciones financieras
tendrán un plazo de doce (12) meses contados a partir de la entrada
en vigencia de la presente norma para ajustar sus políticas y
procedimientos para gestionar los riesgos de grupo
financiero.
Artículo 29. Derogación.- Deróguese la Norma sobre
Administración Integral de Riesgos contenida en Resolución No.
CD-SIBOIF-423-1-MAY30-2006, publicada en La Gaceta, Diario Oficial
No. 124 del 27 de junio de 2006 y su reforma contenida en la Norma
de reforma de los Artículos 22,24,25,29 y 31 de la Norma sobre
Administración Integral de Riesgos, contenida en Resolución
CD-SIBOIF-581-1-ABR17-2009, publicada en la Gaceta, Diario Oficial
No. 116 del 23 de junio 2009.
Artículo 30. Vigencia.- La presente Norma entra en vigencia
a partir de su notificación, sin perjuicio de su posterior
publicación en La Gaceta, Diario Oficial. (f) Ovidio Reyes (f) V.
Urcuyo V. (f) Gabriel Pasos Lacayo (f) Fausto Reyes B. (f) ilegible
(Silvio Moisés Casco Marenco) (f) ilegible (Freddy José Blandón
Argeñal) (f) U. Cerna B. URIEL CERNA BARQUERO Secretario Consejo
Directivo SIBOIF.
-
© 2024 Justia
