Normas Jurídicas
de Nicaragua
Materia: Banca y Finanzas
Rango: Resoluciones
-
NORMA SOBRE LA ADMINISTRACIÓN
INTEGRAL DE RIESGOS
RESOLUCIÓN No CD-SIBOIF-423-1-MAY30-2006
Publicada en La Gaceta No. 124 del 27 de Junio del 2006
El Consejo Directivo de la Superintendencia de Bancos y de Otras
Instituciones Financieras, después de las discusiones al respecto,
CONSIDERANDO
I
Que los numerales 1 y 2 del articulo 10 de la Ley de Reformas a la
Ley 316, Ley de la Superintendencia de Bancos y de Otras
Instituciones Financieras, Ley No. 552, establecen que corresponde
al Consejo Directivo de la Superintendencia: dictar normas
generales para fortalecer y preservar la seguridad y confianza del
público en las instituciones bajo la supervisión, inspección,
vigilancia y fiscalización de la Superintendencia; así como normas
generales que promuevan una adecuada, ágil, moderna y práctica
supervisión sobre las instituciones sujetas a la supervisión,
inspección, vigilancia y fiscalización de la
Superintendencia;
II
Que el artículo 40, numerales 6 y 10 de la Ley No. 561, Ley General
de Bancos, Instituciones Financieras no Bancarias y Grupos
Financieros (Ley General de Bancos) establecen que los preceptos
que regulan el gobierno corporativo de las instituciones
financieras, deben incluir, entre otros, las políticas sobre
procesos integrales que incluyan la administración de los diversos
riesgos a que pueda estar expuesta la institución, así como
sistemas de información adecuados y un Comité para la gestión de
dichos riesgos , así como políticas escritas sobre la
administración de los diferentes riesgos;
III
Que el artículo 38, numeral 4, de la Ley General de Bancos,
referente a las obligaciones de la junta directiva, señala que,
esta ultima, tiene entre sus responsabilidades el velar porque se
implementen e instruir para que se mantengan en adecuado
funcionamiento y ejecución, las políticas, sistemas y procesos que
sean necesarios para una correcta administración, evaluación y
control de los riesgos inherentes al negocio ;
IV
Que el artículo 40, numeral 9, también establece que entre las
políticas que regulan el gobierno corporativo de las instituciones
financieras se deben incluir aspectos sobre flujos de información
adecuados, tanto internos como para con el público;
V
Que conforme a lo indicado en el numeral 11 y en el último párrafo
del referido artículo 38, el Consejo Directivo de la
Superintendencia esta facultado para dictar normas de aplicación
general en las que se establezcan la forma en que se aplicarán y
ejecutarán las responsabilidades indicadas en los considerandos
anteriores.
En uso de sus facultades,
HA DICTADO
La siguiente:
NORMA SOBRE LA ADMINISTRACIÓN INTEGRAL DE RIESGOS
RESOLUCIÓN No. CD-SIBOIF-423-1-MAY30-2006
TITULO I
CAPITULO ÚNICO
OBJETO, ALCANCE Y DEFINICIONES
Artículo 1.- Objeto. La presente norma tiene por
objeto:
a) Establecerlas disposiciones mínimas sobre la administración
integral de riesgos con que las instituciones deberán contar para
identificar, medir, monitorear, limitar, controlar, informar y
revelar los distintos tipos de riesgos a que se encuentran
expuestas; con el fin de mitigar o eliminar el posible impacto
negativo de dichos riesgos.
b) Establecer los mecanismos que les permitan a las instituciones
realizar sus actividades con niveles de riesgo acordes a la
naturaleza, alcance, complejidad y perfil de riesgo de sus
operaciones.
Artículo 2.- Alcance. Las disposiciones de la presente norma
son aplicables a los bancos, sociedades financieras y las
sucursales de bancos y sociedades financieras extranjeras
establecidas en el país, las que en lo delante de la presente norma
serán conocidas como instituciones financieras, o simplemente
instituciones.
Artículo 3.- Definiciones. A los efectos de la presente
norma se entiende por:
a) Administración Integral de Riesgos: Conjunto de
objetivos, políticas, procedimientos y acciones que se implementan
para identificar, medir, monitorear, limitar, controlar, informar y
revelar los distintos tipos de riesgos a que se encuentran
expuestas las instituciones.
b) Capital en Riesgo: Es el capital necesario para cubrir
las perdidas inesperadas.
c) Factor de Riesgo: Variable económica u operativa cuyos
movimiento pueden generar cambios en los rendimientos o en el valor
de los activos, pasivos o patrimonio de la institución.
d) Gestión del Riesgo Estructural: Conjunto de técnicas,
herramientas y procedimientos que tienen por fin asegurar una
correcta torna de decisiones de inversión y financiamiento en la
institución teniendo en cuenta las relaciones existentes entre los
distintos componentes del balance de la misma.
e) Hechos Irregulares: Operaciones u actos en el ámbito
administrativo, que no se ajustan a las disposiciones legales,
normativas y sanas practicas.
f) Límite de Exposición al Riesgo: Magnitud permisible de
exposición cuando se toma una posición de riesgo determinada. La
estructura de límite de exposición al riesgo se podrá definir en
función de una línea de negocio, factor de riesgo, causa u origen
del mismo, entre otros.
g) Matriz Institucional de Riesgo: Herramienta de control
gerencial del proceso de administración integral de riesgos.
h) Nivel de Tolerancia al Riesgo: Magnitud permisible de
exposición a riesgos que no son producto de una toma de posición de
riesgo, para una institución en su totalidad.
i) Planes de Continuidad del Negocio: Conjunto de procesos
que tiene por objeto la identificación de riesgos potenciales a fin
de adoptar medidas preventivas para evitar o minimizar la
posibilidad de ocurrencia de estos, mediante el desarrollo de una
respuesta organizada, asegurándose de esta manera, que el negocio
continué durante el período de recuperación en caso de
materializarse dichos riesgos.
j) Riesgo: La probabilidad que se produzca un hecho
generador de pérdidas que afecten el valor económico de las
instituciones.
k) Riesgos Resultante de la Toma de una Posición de Riesgo,
tales como:
1. Riesgo de Crédito: Pérdida potencial por la falta de pago
de un deudor o contraparte en las operaciones que efectúan las
instituciones.
2. Riesgo de Liquidez: Pérdida potencial por la
imposibilidad de renovar pasivos o de contratar otros en
condiciones normales para la institución; por la venta anticipada o
forzosa de activos a descuentos inusuales para hacer frente a sus
obligaciones, o bien, por el hecho de que una posición no pueda ser
oportunamente enajenada, adquirida o cubierta mediante el
establecimiento de una posición contraria equivalente.
3. Riesgo de Mercado: Pérdida potencial por cambios en los
factores de riesgo que inciden sobre la valuación de las posiciones
por operaciones activas, pasivas o causantes de pasivo contingente,
tales como tasas de interés, tipo de cambio, índices de precio,
entre otros.
l) Riesgos que no son Producto de una Toma de Posición de
Riesgo, tales como:
1. Riesgo Operacional: El riesgo de pérdida debido a la
inadecuación o fallos de los procesos, el personal y los sistemas
internos o bien a causa de acontecimientos externos y comprende,
entre otros, los siguientes:
i. El Riesgo Tecnológico: Pérdida potencial por daños,
interrupción, alteración o fallas derivadas del uso o dependencia
en el hardware, software, sistemas, aplicaciones, redes y cualquier
otro canal de distribución de información en la prestación de
servicios financieros a los clientes de la institución.
ii. Riesgo de Lavado de Dinero y de Financiamiento al
Terrorismo: La gestión de este riesgo deberá realizarse de
conformidad con la normativa de la materia.
iii. El Riesgo Legal: Pérdida potencial por el
incumplimiento de las disposiciones legales y administrativas
aplicables, la afectación por resoluciones administrativas o
judiciales desfavorables y la aplicación de sanciones, en relación
con las operaciones que las instituciones llevan a cabo.
m) Unidad Estratégica de Negocios: Son centros generadores
de beneficios o utilidades.
n) Unidades de Soporte Operativo: Todas aquellas unidades de
la infraestructura operativa que la dan viabilidad a la actividad
que atienden las instituciones financieras.
TITULO II
CAPITULO ÚNICO
ASPECTOS GENERALES DE LA ESTRUCTURA ORGANIZATIVA QUE SUSTENTA LA
ADMINISTRACIÓN INTEGRAL DE RIESGOS
Artículo 4.- Estructura Organizativa. Flujos de
Comunicación. A los efectos de la presente norma, el esquema
organizativo de una institución, con el fin de que esta pueda
gestionar de forma integral los riesgos inherentes a sus
actividades, se encuentra segmentado, en dos grandes estructuras de
responsabilidad:
a) Estructura Estratégica: Compuesta por la junta directiva
y el comité de riesgos a que se refiere la presente norma, los que
tienen como función genérica, sin perjuicio de las funciones
especificas establecidas en esta y demás normas, la definición y
aprobación de los objetivos, lineamientos y políticas para la
administración integral de riesgos de la institución, así como
asegurar la existencia de los recursos necesarios para la correcta
implantación de las mismas.
b) Estructura Operativa: Compuesta por el resto de
instancias de la institución, los cuales deben ejecutar los
objetivos, lineamientos y políticas para la administración integral
de riesgos, definidas y aprobadas por la estructura estratégica, en
el desarrollo de las funciones que cada una tenga asignada dentro
de la institución.
Entre estas dos estructuras deben existir flujos de información
bidireccionales de forma que se garantice la eficiencia de la
administración integral de riesgos dentro de la institución. En
este sentido, se tienen los siguientes lineamientos
generales:
- La estructura estratégica debe comunicar al resto de la
organización, de forma clara y explícita, los objetivos,
lineamientos y las políticas que han definido; igualmente debe
crear y definir una cultura corporativa de gestión de riesgos que
ayude a interiorizar a todos los estamentos de la institución la
importancia de dicho estilo de gestión.
- La estructura operativa debe informar a la estructura
estratégica, sobre los aspectos relevantes en relación a la
ejecución de los objetivos, lineamientos y políticas de la
administración integral de riesgos, de forma que el proceso pueda
enriquecerse y adaptarse a las necesidades de la institución y del
mercado en cada momento.
Artículo 5.- Independencia. A fin de evitar posibles
conflictos de interés que puedan afectar el desempeño de las
funciones de administración integral de riesgos, debe existir
independencia entre los órganos encargados de la administración
integral de riesgos y la gerencia general, así como con las
distintas unidades de negocios y operativas de la
institución.
TITULO III
ESTRUCTURA ESTRATÉGICA
CAPITULO I
JUNTA DIRECTIVA
Artículo 6.- Composición de la Estructura Estratégica. A los
efectos de la presente norma, y sin perjuicio de las demás
disposiciones aplicables, la estructura estratégica esta conformada
por la junta directiva de la institución y por el comité de
riesgos.
Artículo 7.- Junta Directiva. Sus Responsabilidades.
La junta directiva de cada institución será responsable de aprobar
los objetivos, lineamientos y políticas para la administración
integral de riesgos, los límites de exposición a los distintos
tipos de riesgos y los mecanismos para la realización de acciones
correctivas.
La asamblea general de accionistas esta obligada a requerirle a la
junta directiva que en el informe anual que esta última debe
presentarle, se incluya los aspectos referentes a la implementación
y ejecución del proceso de administración integral de riesgos en la
institución.
Asimismo, la junta directiva deberá revisar cuando menos una vez al
año los límites por tipo de riesgo y los objetivos, lineamientos y
políticas de operación y control para la administración integral de
riesgos de la institución.
CAPITULO II
COMITÉ DE RIESGOS
Artículo 8.- Comité de Riesgos y su Composición. La junta
directiva de cada institución deberá constituir un comité cuyo
objeto será la administración de los riesgos a que se encuentra
expuesta la institución y vigilar que la realización de las
operaciones se ajuste a los objetivos, lineamientos y políticas
para la administración integral de riesgos, así como a los limites
de exposición al riesgo, que hayan sido previamente aprobados por
la junta directiva.
A estos efectos, el comité de riesgos deberá estar conformado por
las personas siguientes:
a) Por un número impar, mayor de uno, de miembros propietarios de
la junta directiva, uno de los cuales deberá presidir dicho comité,
estos invitarán a las personas indicadas en los literales
siguientes, quienes participaran con voz pero sin voto;
b) El ejecutivo principal o gerente general;
c) El responsable de la unidad de administración integral de
riesgos;
d) El auditor interno de la institución y los responsables de las
distintas unidades de negocios y de soporte operativo involucradas
en la toma de riesgos que al efecto señale la propia junta
directiva.
Sin perjuicio de las sesiones extraordinarias que se requieran, el
comité de riesgos deberá reunirse cuando menos una vez
bimestralmente y todas las sesiones y acuerdos se harán constar en
actas debidamente circunstanciadas y suscritas por todos y cada uno
de los asistentes. En lo que respecta a los directores miembros del
comité, estos podrán participar de las sesiones sin necesidad de
presencia física, a través de la comunicación entre estos y los
demás miembros del comité por correo electrónico, teléfono, fax o
por cualquier medio de comunicación que evidencie la participación,
identificación y decisión de los participantes. En este caso el
ejecutivo principal o gerente general deberán constatar lo
anterior, levantando el acta correspondiente, en la que incorporen
los acuerdos tomados, misma que deberá ser suscrita por los
presentes, los directores deberán en su oportunidad ratificar en
documento aparte con su firma la participación en la respectiva
sesión.
Artículo 9.- Funciones del Comité de Riesgos. El comité de
riesgos, para el desarrollo de su objeto, desempeñará las funciones
siguientes:
a) Proponer para la aprobación de la junta directiva:
1. Los objetivos, lineamientos y políticas para la administración
integral de riesgos, así como las eventuales modificaciones que se
realicen a los mismos. Dichas políticas deberán considerar lo
establecido por el Título VI de la presente norma.
2. Los limites de exposición a los distintos tipos de riesgo,
desglosados por unidad de negocios o factor de riesgo, causa u
origen de estos.
3. Los mecanismos para la implementación de políticas de cobertura,
saneamiento y acciones correctivas.
4. Los casos o circunstancias especiales en los cuales se puedan
exceder los límites de exposición de los tipos de riesgos
aprobados.
5. La estrategia de asignación de recursos para la realización de
operaciones.
6. La designación del responsable de la unidad de administración
integral de riesgos.
b) Aprobar:
1. Las metodologías y procedimientos para identificar, medir,
vigilar, limitar, controlar, informar y revelar los distintos tipos
de riesgo a que se encuentra expuesta la institución, así como sus
eventuales modificaciones.
2. Los modelos, parámetros y escenarios que habrán de utilizarse
para llevar a cabo la medición y el control de los riesgos que
proponga la unidad de administración integral de riesgos, mismos
que deberán ser acordes con la complejidad, tamaño y naturaleza del
negocio de la institución.
3. Las metodologías para la identificación, valuación, medición y
control de los riesgos de las nuevas operaciones, productos y
servicios que la institución pretenda ofrecer.
4. Las acciones correctivas propuestas por la unidad de
administración integral de riesgos referentes a la administración
de riesgos.
5. Los manuales para la administración integral de riesgos, de
acuerdo con los objetivos, lineamientos y políticas establecidas
por la junta directiva.
6. Las estrategias de información a fin de divulgar en la
organización toda la información inherente a la administración
integral de riesgos.
c) Conocer el monto de las estimaciones y las pérdidas
efectivamente realizadas, tanto por tipo de riesgo como por áreas y
líneas de negocios.
d) Evaluar los resultados de la cuantificación de las exposiciones
a las distintas categorías de riesgo.
e) Informar a la junta directiva de los puntos tratados y aprobados
en las sesiones del comité de riesgos.
f) Administrar estratégicamente la Matriz de Riesgo
Institucional.
g) Garantizar la adecuada implementación de las políticas,
metodologías y procedimientos para administrar y gestionar los
riesgos identificados en la Matriz de Riesgo Institucional.
h) Garantizar una óptima asignación del capital en riesgo de la
institución.
i) Evaluar los resultados operacionales en términos de rentabilidad
ajustada a riesgo. Es decir, el retorno obtenido por unidad de
negocios según los riesgos asumidos y el capital en riesgo
asignado.
j) Conocer el consumo de capital en riesgo de las unidades de
negocios.
k) Analizar la sensibilidad del resultado de los negocios a las
fluctuaciones de los factores de riesgo dados por el ambiente
externo.
l) Evaluar propuestas de gestión de riesgos que realicen las áreas
de negocios, de operaciones y demás áreas funcionales.
m) Examinar los reportes e informes de gestión emitidos por la
unidad de administración integral de riesgos, comité de activos y
pasivos y demás áreas vinculadas al sistema de gestión integral de
riesgos.
n) Informar a la junta directiva, cuando menos trimestralmente,
sobre la exposición al riesgo asumida por la institución y los
efectos negativos que se podrían producir en el funcionamiento de
la misma, así como sobre el incumplimiento de los límites de
exposición y niveles de tolerancia al riesgo establecidos.
o) Informar a la junta directiva sobre las medidas correctivas
implementadas, conforme lo previsto en el literal b), numeral 4,
del presente artículo.
p) Evaluar, promover y facilitar la gestión de riesgo estructural
por parte del comité de activos y pasivos, así como asignar las
atribuciones y funciones del citado comité, las que como mínimo
deberán ser las indicadas en la presente norma.
q) Garantizar que el comité de activos y pasivos y la instancia que
de él depende, este debidamente habilitada para el cumplimiento de
los roles y responsabilidades que dicho comité tiene en materia de
gestión del riesgo estructural.
El comité de riesgos revisará cuando menos una vez al año, lo
señalado en los numerales 1 y 2 del literal b) del presente
artículo, sin perjuicio de realizar dicha revisión con mayor
frecuencia, cuando así se requiera, dadas las condiciones del
mercado o en particular las de la institución.
El comité de riesgos previa aprobación de la junta directiva podrá,
de acuerdo con los objetivos, lineamientos y políticas para la
administración integral de riesgos, ajustar o autorizar de manera
excepcional que se excedan los límites de exposición a los
distintos tipos de riesgo, cuando las condiciones y el entorno de
la institución así lo requieran.
TITULO IV
ESTRUCTURA OPERATIVA
CAPITULO I
UNIDAD DE ADMINISTRACIÓN INTEGRAL DE RIESGOS
Artículo 10.- Composición de la Estructura Operativa. A los
efectos de la presente norma, y sin perjuicio de las demás
disposiciones aplicables, la estructura operativa esta conformada
por la unidad de administración integral de riesgos, el comité de
activos y pasivos y demás instancias de la institución (unidades de
negocios y unidades de soporte operativo).
Artículo 11.- Unidad de Administración Integral de Riesgos.
El comité de riesgos para llevar a cabo la administración de
riesgos, se apoyará en una unidad especializada cuyo objeto será
identificar, medir, vigilar e informar los riesgos que enfrenta la
institución en sus operaciones, ya sea que estos se registren
dentro o fuera del balance. A los efectos de esta norma dicha
unidad será conocida como la unidad de administración integral de
riesgos.
Artículo 12.- Funciones de la Unidad de Administración Integral
de Riesgos. La unidad de administración integral de riesgos
para el cumplimiento de su objeto desempeñará las siguientes
funciones:
a) Para efectos de control de riesgos:
1. Velar que la administración integral de riesgos considere todos
los riesgos en que incurre la institución dentro de sus diversas
unidades de negocios.
Con este fin deberá proponer al comité de riesgos para su
aprobación las metodologías, modelos y sistemas para identificar,
medir, vigilar, limitar, controlar e informar los distintos tipos
de riesgos a que se encuentra expuesta la institución, así como sus
modificaciones.
2. Proponer las políticas y estrategias en materia de
administración integral de riesgos de acuerdo a los lineamientos
que emanen de la junta directiva.
3. Verificar que se cumplan los límites a los distintos tipos de
riesgos, así como los niveles de tolerancia aceptables por tipo de
riesgo, desglosados por unidad de negocio o factor de riesgo, causa
u origen de estos, utilizando para tal efecto, los modelos,
parámetros y escenarios para la medición y control del riesgo
aprobados por el comité de riesgos.
4. Recabar la información que le permita evaluar el probable
impacto de aquellos riesgos no cuantificables o de difícil
cuantificación que pudieran afectar la adecuada operación de la
institución.
5. Calcular, con base en la información que habrán de
proporcionarle las unidades administrativas de la institución, los
requerimientos de capitalización por riesgo de crédito y riesgo de
mercado con que deberá cumplir esta última, con el objeto de
verificar que la misma se ajuste a las disposiciones
aplicables.
6. Investigar y documentar las causas que originan desviaciones a
los limites establecidos de exposición al riesgo, identificar si
dichas desviaciones se presentan en forma reiterada e informar de
manera oportuna sus resultados al comité de riesgos, al gerente
general y al auditor interno de la institución.
7. Recomendar, en su caso, al gerente general y al comité de
riesgos, variaciones a las exposiciones observadas, y/o
modificaciones a los límites globales y específicos de exposición
al riesgo y niveles de tolerancia al riesgo según sea el
caso.
8. Asegurarse que las áreas responsables generen la información
sobre las posiciones de riesgo de la institución, utilizada en los
modelos y sistemas de medición de riesgos, y se encuentren
disponibles de manera oportuna.
9. Evaluar, al menos una vez al año, que los modelos y sistemas
referidos en el segundo párrafo, del numeral 1 del presente
artículo, continúan siendo adecuados. Los resultados de dichas
revisiones deberán presentarse al comité de riesgos.
10. Asegurar que toda deficiencia detectada respecto a la calidad,
oportunidad e integridad de la información empleada por la unidad
sea reportada a las áreas responsables de su elaboración y control,
así como al área encargada de las funciones de auditoría
interna.
11. Estimar las medidas de desempeño ajustadas a riesgos para cada
unidad de negocios. Este ejercicio de cuantificación será el
resultado del esfuerzo colegiado de la unidad de administración
integral de riesgos y la entidad delegada por el comité de activos
y pasivos: la gerencia financiera o tesorería.
12. Establecer los mecanismos y líneas de comunicación con la
instancia encargada de administrar el programa de prevención de
lavado de dinero y financiamiento al terrorismo, así como con las
áreas de evaluación de activos, asesoría jurídica y auditoría
interna, entre otras.
b) Para efectos de análisis de riesgos:
1. Considerar la exposición por todo tipo de riesgo de la
institución, desglosados por unidad de negocio o factor de riesgo,
causa u origen de estos.
2. Analizar el impacto que, en el valor del capital y en el estado
de resultados de la institución, provocan las alteraciones de los
diferentes factores de riesgo, para lo cual las áreas contables
deberán proporcionar a la unidad para la administración integral de
riesgos la información necesaria para estos fines.
3. Analizar las concentraciones de riesgo que puedan afectar a la
institución.
4. Analizar mensualmente el impacto que la toma de riesgos asumida
por la institución, tiene sobre el grado o nivel de suficiencia del
capital a que hace referencia el numeral 5 del literal a)
anterior.
5. Analizar en términos de riesgo, las propuestas de las áreas de
negocio en relación a nuevas operaciones, productos o servicios. En
este caso, deberá elaborar y presentar al comité de riesgos, las
metodologías para la valuación, medición y control de los riesgos
de nuevas operaciones, productos y servicios, así como la
identificación de los riesgos implícitos que representan.
6. Analizar y evaluar el riesgo asociado con posiciones fuera del
balance de la institución.
7. Analizar y evaluar permanentemente las técnicas de medición, los
supuestos y parámetros utilizados en los análisis requeridos.
8. Llevar a cabo estimaciones de la exposición por tipo de riesgo
de la institución.
9. Cuando aplique, realizar análisis comparativo, al menos una vez
al mes, de las estimaciones de la exposición por tipo de riesgo,
contra los resultados efectivamente observados para el mismo
período de medición y, en su caso, llevar a cabo las correcciones
necesarias modificando el modelo cuando se presenten
desviaciones.
La unidad de administración integral de riesgos para llevar a cabo
sus funciones de medición, monitoreo y control de los diversos
tipos de riesgos asumidos y la valuación de las posiciones de la
institución, deberá contar con modelos y sistemas de medición de
riesgos que reflejen en forma precisa el valor de las posiciones y
su sensibilidad a diversos factores de riesgos, incorporando
información proveniente de fuentes confiables. Adicionalmente,
dichos sistemas deberán facilitar la medición, vigilancia y control
de los riesgos a que se encuentra expuesta la institución, así como
generar informes al respecto.
Los referidos sistemas deben contar con adecuados mecanismos de
respaldo y control que permitan la recuperación de datos de los
sistemas de procesamiento de información empleados en la
administración de riesgos y de modelos de valuación.
Artículo 13.- Informes y su Periodicidad. Sin perjuicio de
los informes adicionales que puedan generarse como resultado de las
funciones establecidas en el artículo anterior, la unidad de
administración integral de riesgos deberá proporcionar al comité de
riesgos la información relativa a:
a) La exposición tratándose de los riesgos asumidos por la toma de
posiciones de riesgo, así como la incidencia e impacto en el caso
de los que no son resultado de una toma de posición de riesgo,
desglosado por unidad de negocio o factor de riesgo, causa u origen
de estos. Los informes sobre la exposición de riesgos, deberán
incluir análisis de sensibilidad y pruebas bajo diferentes
escenarios, incluyendo los extremos.
En este último caso deberán incluirse escenarios donde los
supuestos fundamentales y los parámetros utilizados se colapsen,
así como los planes de continuidad de negocios que consideren la
capacidad de respuesta de la institución ante dichas
condiciones.
En lo que respecta a aquellos riesgos derivados de eventos
imprevistos para los cuales no se puede conformar una base
estadística que permita medir las pérdidas potenciales, los
informes deberán contener una descripción del riesgo de que se
trate, las posibles causas y consecuencias de su materialización,
incluyendo en la medida de lo posible una estimación de su impacto
financiero y propuestas de acciones a fin de minimizar dicha
exposición.
b) Las desviaciones que, en su caso, se presenten con respecto a
los límites de exposición ya los niveles de tolerancia al riesgo
establecidos.
c) Las acciones correctivas tomadas como resultado de una
desviación observada respecto a los límites de exposición y niveles
de tolerancia al riesgo autorizados.
d) La evolución histórica de los riesgos asumidos por la
institución.
La información a que hace referencia el literal a) deberá
proporcionarse al comité de riesgos, al gerente general y a los
responsables de las unidades de negocio de forma oportuna de
acuerdo a la naturaleza y complejidad de cada riesgo.
La información sobre las desviaciones a que hace referencia el
literal b) deberá entregarse al gerente general de la institución y
a los responsables de las áreas de negocio involucradas en forma
inmediata, así como al comité de riesgos y a la junta directiva, en
su sesión inmediata siguiente. El comité de riesgo deberá reunirse
en sesión extraordinaria cuando la desviación detectada lo
amerite.
Las acciones correctivas a que hace referencia el literal c),
deberán presentarse en forma inmediata al comité de riesgos y de
manera oportuna a la junta directiva.
CAPITULO II
COMITÉ DE ACTIVOS Y PASIVOS
Artículo 14.- Comité de Activos y Pasivos y Sus Funciones.
Sin perjuicio de sus funciones estratégicas de negocio, el comité
de activos y pasivos tiene como responsabilidad la gestión global
de los riesgos de mercado y liquidez derivados de la estructura de
balance de la institución. El comité de activos y pasivos se
soportará operativamente en la gerencia financiera de la
institución, quien interactuará con la unidad de administración
integral de riesgos para alcanzar una gestión integral de los
riesgos de mercado asociados a la gestión del balance.
Artículo 15.- Composición del Comité de Activos y Pasivos.
Sin perjuicio de la participación de directores u otros
funcionarios de la institución, el comité de activos y pasivos, a
los efectos de la administración integral de riesgos, deberá estar
conformado por el gerente financiero y los gerentes de aquellas
unidades de negocio tomadoras de riesgo.
Las decisiones adoptadas por el comité de activos y pasivos serán
transmitidas al resto de la institución a través de los
responsables funcionales de las diferentes áreas que participan en
dicho comité. Es responsabilidad de cada partícipe la correcta
ejecución de las decisiones que afectan a su área, así como su
seguimiento y control. Cada responsable funcional deberá presentar
en el comité de activos y pasivos los correspondientes informes de
realización de las actuaciones que le fueron requeridas. Los
acuerdos tomados en este comité se harán constar en actas
debidamente circunstanciadas y suscritas por todos y cada uno de
los asistentes.
Artículo 16.- Funciones. El comité de activos y pasivos
tendrá como funciones las establecidas en los artículos 23 y 25 de
la presente norma, referentes a la gestión del riesgo de mercado y
riesgo de liquidez.
Artículo 17.- Informes y su Periodicidad. Sin perjuicio de
los informes adicionales que puedan generarse como resultado de sus
funciones, el comité de activos y pasivos deberá proporcionar al
comité de riesgos la información relativa a:
a) La exposición tratándose de los riesgos de mercado y liquidez,
desglosado por factor de riesgo, causa u origen de estos. Los
informes sobre la exposición de riesgos, deberán incluir análisis
de sensibilidad y pruebas bajo diferentes escenarios, incluyendo
los extremos.
En este último caso deberán incluirse escenarios donde los
supuestos fundamentales y los parámetros utilizados se colapsen,
así como los planes de contingencia que consideren la capacidad de
respuesta de la institución ante dichas condiciones.
b) Las desviaciones que, en su caso, se presenten con respecto a
los límites de exposición y a los niveles de tolerancia al riesgo
establecido.
c) Las propuestas de acciones correctivas necesarias como resultado
de una desviación observada respecto a los límites de exposición y
niveles de tolerancia al riesgo autorizado.
d) La evolución histórica de los riesgos asumidos por la
institución.
La información a que hace referencia el literal a) deberá
proporcionarse al comité de riesgos, al gerente general y a los
responsables de las unidades de negocio de forma oportuna de
acuerdo a la naturaleza y complejidad de cada riesgo.
La información sobre las desviaciones a que hace referencia el
literal b), deberá entregarse al gerente general de la institución
y a los responsables de las áreas de negocio involucradas en forma
inmediata, así como al comité de riesgos y a la junta directiva, en
su sesión inmediata siguiente. El comité de riesgo deberá reunirse
en sesión extraordinaria cuando la desviación detectada lo
amerite.
Las acciones correctivas a que hace referencia el literal c),
deberán presentarse en forma inmediata al comité de riesgos y de
manera oportuna a la junta directiva.
TITULO V
CAPITULO ÚNICO
FUNCIONES DE LA AUDITORÍA INTERNA EN LA ADMINISTRACIÓN
INTEGRAL DE RIESGOS
Artículo 18.- Funciones. La unidad de auditoría interna, a
la que se refiere la norma sobre la materia, deberá llevar a cabo,
cuando menos una vez al año, una auditoría del proceso de
administración integral de riesgos que contemple, entre otros, los
aspectos siguientes:
a) El desarrollo de la administración integral de riesgos de
conformidad con lo establecido en la presente norma y en base a los
objetivos, lineamientos y políticas que sobre la materia han sido
aprobados por la junta directiva, así como con los manuales para la
administración integral de riesgos.
b) El grado de cumplimiento de los objetivos, lineamientos y
políticas para la administración integral de riesgos.
c) La organización e integración de la unidad de administración
integral de riesgos y su independencia de las unidades de negocios
y de soporte operativo y su relación con el comité de activos y
pasivos en la gestión del riesgo de mercado y liquidez.
d) La suficiencia, integridad, consistencia, oportunidad, validez y
grado de integración de los sistemas de procesamiento de
información y bases de datos utilizadas en los modelos de
medición.
e) La validación y documentación del proceso de aprobación de los
modelos de medición de riesgos por parte del comité de
riesgos.
f) La validación y documentación del uso de los modelos de medición
de riesgos utilizados por el personal de las unidades de negocios y
de control de operaciones, así como de los sistemas informáticos
utilizados.
g) La modificación de los limites de exposición y niveles de
tolerancia a los distintos tipos de riesgos y de los controles
internos, de acuerdo a los objetivos, lineamientos y políticas para
la administración integral de riesgos, aprobadas por la junta
directiva.
Los resultados de la auditoría deberán ser presentados en un
informe que contendrá los criterios y procedimientos utilizados
para su realización y, en su caso, las recomendaciones para
solucionar las irregularidades observadas. Dicho informe se
presentará a la junta directiva y al comité de riesgos con copia al
ejecutivo principal o gerente general de la institución.
TITULO VI
CAPITULO ÚNICO
OBJETIVOS, LINEAMIENTOS, POLÍTICAS Y MANUALES DE PROCEDIMIENTO
PARA
LA ADMINISTRACIÓN INTEGRAL DE RIESGOS
Artículo 19.- Objetivos, Lineamientos y Políticas. Las
instituciones deberán contemplar en los objetivos, lineamientos y
políticas para la administración integral de riesgos, cuando menos,
los aspectos siguientes:
a) El perfil de riesgo así como los objetivos de exposición al
mismo.
b) La estructura organizacional que soporta el proceso de
administración integral de riesgos. Estructura que deberá seguir
los preceptos establecidos en la presente norma, así como una clara
delimitación de funciones y perfil de puestos en todos sus
niveles.
c) Las facultades y responsabilidades de aquellas personas que
desempeñen cargos que impliquen la toma de riesgos para la
institución.
d) La clasificación de los riesgos por tipo de operación y línea de
negocios.
e) Los límites de exposición al riesgo.
f) La forma y periodicidad con que se deberá informar a la junta
directiva, al comité de riesgos, al ejecutivo principal o gerente
general y a las unidades de negocios y al comité de activos y
pasivos, sobre la exposición al riesgo de la institución y los
inherentes a cada unidad de negocio.
g) Las medidas de control interno, así como las correspondientes
para corregir las desviaciones que se observen sobre los límites de
exposición y niveles de tolerancia al riesgo.
h) El proceso para aprobar, desde una perspectiva de administración
integral de riesgos, operaciones, servicios, productos y líneas de
negocio que sean nuevos para la institución, así como estrategias
de administración integral de riesgos y, en su caso, de coberturas.
Las propuestas correspondientes deberán contar, entre otros
aspectos, con una descripción general de la nueva operación,
servicio o línea de que se trate, el análisis de sus riesgos
implícitos a cargo de la unidad, el procedimiento a utilizar para
identificar, medir, vigilar, controlar, informar y revelar tales
riesgos, así como una opinión, sobre la viabilidad jurídica de la
propuesta.
i) Los planes de continuidad del negocio para restablecer niveles
mínimos de la operación de este en caso de presentarse eventos
fortuitos o de fuerza mayor.
j) El proceso para, en su caso, obtener la autorización para
exceder de manera excepcional los limites de exposición y niveles
de tolerancia el riesgo.
k) Otros elementos que a juicio del Superintendente deben estar
incluidos. Las modificaciones que, en su caso, pretendan efectuarse
a los objetivos, lineamientos y políticas para la administración
integral de riesgos, deberán ser propuestas por el comité de
riesgos y aprobadas por la junta directiva de la institución.
Artículo 20.- Manuales para la Administración de Riesgos.
Los objetivos, lineamientos y políticas antes indicados deberán
constar en manuales que servirán como soporte funcional y operativo
al proceso de administración integral de riesgos. De manera
general, estos manuales deberán ser documentos técnicos que
contengan, entre otros, los diagramas de flujo de información,
modelos y metodologías para la valuación de los distintos tipos de
riesgo, así como de los requerimientos de los sistemas de
procesamiento de información y análisis de riesgos, como mínimo, se
deberán desarrollar los manuales siguientes:
a) Manual de Organización y Descripción de Funciones:
Detalla la organización funcional de la unidad de administración
integral de riesgos de la institución, así como, las funciones,
cargos y responsabilidades de ella y de los funcionarios y demás
trabajadores vinculados a la unidad.
b) Manual de Políticas y Procedimientos: Contiene las
políticas y procedimientos establecidos por la institución para la
identificación, medición, control, adecuación, seguimiento y
administración de todos los riesgos a los que esta expuesta; así
como, de las acciones correctivas a ser implementadas y del
seguimiento de las instrucciones impartidas, según sea el caso.
Contempla, entre otros, los sistemas preventivos para detectar los
riesgos a que pudiese estar expuesta la institución y los
mecanismos de vigilancia a los fines de no exceder los límites por
riesgo para las actividades u operaciones que ésta realiza.
c) Manual de Sistemas de Organización y Administración:
Permite la instauración de una adecuada estructura organizativa y
administrativa que delimite claramente las obligaciones,
responsabilidades y el grado de dependencia e interrelación
existente entre el área de sistemas y las distintas áreas de la
institución financiera, las cuales deben estar englobadas en el
respectivo Manual de Organización y Descripción de funciones.
d) Manual de Sistemas de Información: Incluye los mecanismos
dispuestos para elaborar e intercambiar información, tanto interna
como externa y los procedimientos necesarios para identificar,
desarrollar, administrar y controlar los riesgos de la institución.
Debe comprender las acciones previstas para la difusión de las
actividades que corresponden a los diferentes niveles directivos y
al personal sobre el control de sus tareas e incluir,
adicionalmente, las políticas y procedimientos contemplados para la
utilización de los sistemas informáticos y las medidas de
seguridad, así como los planes a ser implementados para afrontar
las contingencias que pudieran presentarse en dichos
sistemas.
TITULO VII
ADMINISTRACIÓN POR TIPO DE RIESGO:
RIESGOS RESULTANTES DE LA TOMA DE UNA POSICIÓN DE
RIESGO
CAPITULO I
RIESGO DE CRÉDITO
Artículo 21.- Funciones Básicas de la Junta Directiva en la
Administración del Riesgo de Crédito. La junta directiva de la
institución deberá aprobar, por lo que hace al riesgo de crédito en
general, como mínimo, políticas que contemplen los aspectos
siguientes:
a) Límites de riesgo que la institución esta dispuesta a
asumir.
b) Vigilancia y control efectivo de la naturaleza, características,
diversificación y calidad de la cartera de crédito.
Artículo 22.- Funciones de la Unidad de Administración Integral
de Riesgos en la Administración del Riesgo de Crédito. Sin
perjuicio de las demás funciones establecidas en la presente norma,
la unidad, según la normativa de la materia, deberá:
a) Identificar, cuantificar, monitorear y gestionar la exposición
al riesgo de crédito de la entidad, y preservar la base de capital
y darle continuidad al negocio en marcha.
b) Proponer políticas y desarrollar procedimientos que contemplen
los aspectos siguientes:
1. Límites de riesgo de crédito que la institución está dispuesta a
asumir.
2. Vigilancia y control efectivo de la naturaleza, características,
diversificación y calidad de la cartera de crédito.
3. Elaborar análisis del riesgo crediticio de la institución,
considerando al efecto tanto las operaciones de otorgamiento de
crédito como con instrumentos financieros. Dichos análisis deberán
ser comparados con los límites de exposición al riesgo
aplicables.
c) Evaluar en forma sistemática las exposiciones de riesgo con los
principales clientes, sectores económicos por actividad, área
geográfica y tipo de productos de crédito.
d) Promover la definición del grado de tolerancia al riesgo y la
estructura de límites que refleje la estrategia de gestión de
riesgos de crédito.
e) Desarrollar los modelos y metodologías para la cuantificación de
la pérdidas esperadas y por ende la provisión para pérdidas
crediticias. Para ello la unidad de administración integral de
riesgos deberá coordinar esfuerzos con la instancia de créditos que
corresponda y otras áreas conexas para la estimación de los
componentes fundamentales de la pérdida esperada:
1. La Probabilidad de Incumplimiento (PD).
2. La Exposición dado el Incumplimiento.
3. La Severidad de la Pérdida dado el Incumplimiento.
f) Desarrollar Modelos Internos de Rating y Scoring para calificar
las operaciones crediticias antes de su aprobación y definir los
rangos o categorías de riesgos conforme el modelo de negocios de la
institución.
g) Participar en el proceso de definición de los criterios de
elegibilidad de los sujetos de crédito partiendo del uso de los
modelos internos para la estimación de probabilidades de
incumplimiento de clientes y contrapartes.
h) Desarrollar metodologías para la cuantificación de la tasa de
recuperación de la cartera de crédito.
i) Desarrollar y hacer propuestas metodológicas para la definición
de los criterios y políticas de precios basados en riesgos.
j) Desarrollar los modelos y metodologías para la cuantificación
del capital en riesgo crediticio.
k) Proponer la asignación capital en riesgo en función de la
estructura de límites para soportar cada una de las operaciones
crediticias.
l) Desarrollar metodologías para la estimación de la rentabilidad
ajustada a riesgos.
m) Monitorear el cumplimiento de las políticas de la entidad en
materia de riesgos de crédito de acuerdo con los lineamientos
fijados por el comité de riesgos y la junta directiva.
n) Monitorear y alertar acerca del grado de apalancamiento
financiero en operaciones crediticias de la institución.
o) Realizar análisis y ejercicios donde se vinculen la evolución de
la actividad económica con el perfil de riesgo de la cartera.
p) Ajustar las herramientas y modelos de medición de riesgos.
CAPITULO II
RIESGO DE LIQUIDEZ
Artículo 23.- Administración del Riesgo de Liquidez. El
comité de activos y pasivos se soportará operativamente en la
gerencia financiera de la institución, quien interactuará con la
unidad de administración integral de riesgos para alcanzar una
gestión integral del riesgo de liquidez asociado a la gestión del
balance; no obstante, sin perjuicio de las demás funciones
establecidas en la presente norma, el comité de activos y pasivos
en la administración del riesgo de liquidez y de conformidad con la
normativa de la materia, como mínimo deberá:
a) Procurar una adecuada capacidad en la institución, para
responder con fondos propios a todas las obligaciones contractuales
de corto plazo, especialmente los compromisos de préstamos e
inversiones, así como para enfrentar la demanda de retiros de los
depósitos y vencimientos de otros pasivos, todo esto, en el curso
normal de las operaciones y a un costo razonable.
b) Medir, evaluar y dar seguimiento al riesgo ocasionado por
descalce de plazos entre los activos y pasivos de la institución,
denominados en moneda nacional y en moneda extranjera.
c) Procurar una adecuada diversificación de las fuentes de
financiamiento, para lo que deberá:
1. Promover la diversidad en las fuentes de financiamiento.
2. Procurar que las fuentes de financiación estén debidamente
estructuradas y ampliamente diversificadas.
3. Evitar concentraciones no deseadas: recursos altamente volátiles
y susceptibles de ser retirados en forma inmediata.
d) Cuantificar la pérdida potencial derivada de la venta anticipada
o forzosa de activos a descuento inusual, para hacer frente a sus
obligaciones inmediatas, así como por el hecho de que una posición
no pueda ser oportunamente enajenada, adquirida o cubierta mediante
el establecimiento de una posición contraria equivalente.
e) Estimar la pérdida potencial ante la imposibilidad de renovar
pasivos o de contratar otros en condiciones normales.
f) Asegurar que los modelos utilizados estén adecuadamente
ajustados.
g) Contar con un plan que incorpore las acciones a seguir en caso
de presentarse requerimientos inesperados de liquidez.
h) Conocer para su respectiva gestión, las expectativas de entradas
y salidas contractuales de cajas, con sus agrupaciones por
plazos.
i) Monitorear de forma continua los factores internos y externos
que afecten la posición de liquidez de la institución.
j) Calcular las pérdidas potenciales bajo distintos escenarios,
incluyendo escenarios extremos.
k) Seguimiento y vigilancia diaria de la posición de liquidez de la
institución.
CAPITULO III
RIESGO DE MERCADO
Artículo 24.- Administración del Riesgo de Mercado
Correspondientes a la Unidad de Administración Integral de
Riesgos. Sin perjuicio de las demás funciones establecidas en
la presente norma, la unidad de administración integral de riesgos
en la administración del riesgo de mercado del libro de tesorería,
de conformidad con la normativa de la materia, como mínimo
deberá:
a) Identificar, cuantificar y monitorear la exposición la entidad
al riesgo de mercado, con el fin de facilitar la toma de decisiones
para maximizar la rentabilidad.
b) Proveer elementos y factores de evaluación para definir el
apetito y tolerancia al riesgo de mercado en el ámbito del comité
de riesgos.
c) Definir criterios coherentes para fijar la estructura de límites
en consonancia con la tolerancia al riesgo definido. Se trata
básicamente de minimizar pérdidas potenciales, mediante el
establecimiento periódico de límites máximos a los riesgos de
mercado.
d) Analizar la concentración de riesgos asociadas a la dinámica de
las actividades de tesorería que suponen riesgos de mercado.
e) Definir claramente los factores y tipos de riesgo de
mercado.
f) Medir los riesgos de mercado de las operaciones de tesorería por
factores de riesgos, mercados y productos.
g) Participar en el proceso de aprobación de nuevos
productos.
h) Desarrollar modelos, metodologías y herramientas para la
cuantificación y gestión de los riesgos de mercado, tanto para
aquellos asociados a la gestión de balance como aquellos inmersos
en el negocio de tesorería.
i) Aplicar la metodología a las diversas líneas y unidades de
negocio de la institución, a los fines de estimar las exposiciones
al riesgo mantenidas.
j) Analizar conjuntamente con la gerencia financiera, las
propuestas de límites para gestionar el riesgo estructural y
someter a consideración del comité de riesgos.
k) Analizar la situación económica de los diferentes sectores
económicos del país, a fin de medir la exposición de riesgo
mantenida por la institución.
l) Velar por la diversificación de la cartera de inversión de la
institución, a fin de reducir la exposición a riesgos
mantenida.
m) Evaluar las operaciones cambiarias; negociadas por la
institución y cuantificar la pérdida potencial por ventas
anticipadas de activos.
n) Identificar los activos que representan los mejores rendimientos
y menores riesgos para la institución.
o) Estimar el Valor en Riesgo VaR asociado a las operaciones de
tesorería, por portafolio e instrumentos de inversión. Derivar el
Capital en Riesgo CeR de estas operaciones.
p) Realizar las especificaciones de los modelos de valuación,
cálculo de volatilidades y correlaciones.
q) Mantener un proceso continuo de investigación y desarrollo de
prácticas metodológicas para la cuantificación y gestión de los
riesgos de mercado.
r) Comparar resultados obtenidos con los supuestos de rentabilidad
ajustada a riesgos presupuestado.
s) Dar seguimiento a la relación rentabilidad - riesgo asumido, con
el objeto de optimizar la asignación periódica de límites
máximos.
t) Elaborar el Plan de Contingencia.
u) Controlar el cumplimiento de los límites máximos establecidos a
los riesgos de mercado y seguir la política de información
establecida para el exceso sobre estos límites.
v) Controlar y dar seguimiento del riesgo crédito gestionado en el
área de Tesorería.
w) Diseñar escenarios extremos relevantes, para medir y
sensibilizar en el balance el impacto de condiciones de mercado
excepcionales.
x) Diseñar escenarios para analizar la sensibilidad del valor de la
cartera ante movimientos de las variables de mercados.
y) Validar y calibrar el modelo de riesgos de mercados.
z) Contar con sistemas y controles que garanticen que todas las
operaciones se registren oportunamente, y que las posiciones de las
instituciones se revalúan con frecuencia utilizando datos de
mercado prudentes y confiables.
aa) Contar con la información histórica de los factores de riesgo
que afectan las posiciones de la institución, a fin de calcular el
riesgo de mercado.
Artículo 25.- Administración del Riesgo de Mercado
correspondiente al Comité de Activos y Pasivos. Sin perjuicio
de las demás funciones establecidas en la presente norma, el comité
de activos y pasivos en la gestión del riesgo de mercado, como
mínimo, de conformidad con la normativa de la materia,
deberá:
a) Garantizar la adecuada gestión y control del riesgo de tasa de
interés, tanto en moneda local como en cualquier otra moneda,
utilizando para tal efecto modelos y herramientas de medición de
riesgo que tenga la capacidad de estimar la pérdida potencial en
dichas posiciones asociados a movimientos en la tasa de
interés.
b) Administrar la brecha entre activos y pasivos sensibles al tipo
de interés.
c) Monitorear los desfases entre los activos y pasivos sensibles a
variaciones de los tipos de interés para identificar
concentraciones de riesgos de reprecio no deseadas.
d) Gestionar concentraciones de riesgos de tasa de interés por
plazos o vencimiento de operaciones.
e) Evaluar y gestionar la sensibilidad del margen financiero ante
movimientos paralelos en la curva de tasa de interés.
f) Proponer para la aprobación del comité de riesgos, políticas
para la efectiva administración del riesgo de tasa de interés
asociado al balance.
g) Proponer la estructura de límites que refleje la estrategia
global de riesgo definida por el comité de riesgos.
h) Definir y proponer para la aprobación del comité de riesgos las
políticas y criterios de clasificación de activos, pasivos y
operaciones contingentes.
i) Evaluar y proponer estrategias de gestión, para impactos
negativos en la rentabilidad como consecuencia de cambios adversos
en el diferencial de tasas de interés.
TITULO VIII
RIESGOS QUE NO SON PRODUCTOS DE LA TOMA DE UNA POSICIÓN DE
RIESGO
CAPITULO I
ASPECTOS GENERALES DE LA ADMINISTRACIÓN DEL RIESGO
OPERATIVO
Artículo 26.- Administración del Riesgo Operativo. Sin
perjuicio de lo indicado por la Norma Auditoría y Control Interno,
los órganos indicados a continuación, deberán como mínimo,
desarrollar las funciones siguientes respecto de la administración
del riesgo operativo:
a) Funciones que le corresponden al comité de riesgos:
1. Evaluar e informar por lo menos trimestralmente, las
consecuencias que sobre el negocio generaría la materialización de
los riesgos identificados e informar los resultados a los
responsables de las unidades implicadas, a fin de que se evalúen
las diferentes medidas de control de dichos riesgos.
2. Establecer los niveles de tolerancia para cada tipo de riesgo
identificado, definiendo sus causas, orígenes o factores de
riesgo.
El comité de riesgos, en el desempeño de estas funciones podrá
auxiliarse en el área que estime conveniente, siempre y cuando con
ello no se susciten conflictos de interés.
b) Funciones que le corresponden a la unidad de administración
integral de riesgos:
1. Identificar y documentar los procesos que describen el quehacer
de cada unidad de la institución.
2. Identificar y documentar los riesgos operativos implícitos a los
procesos a que hace referencia el numeral anterior.
3. Establecer los niveles de tolerancia para cada tipo de riesgo
identificado, definiendo sus causas, orígenes o factores de
riesgo.
4. Creación de cultura de riesgo operacional a través de la
divulgación de documentos informativos, que permita crear
conciencia en los empleados de la institución, sobre la necesidad
imprescindible de considerar este riesgo en el proceso de toma de
decisiones.
5. Desarrollo de un método de almacenamiento de las pérdidas
operacionales, para que con base en esta estadística, puedan en un
futuro, pronosticarse las pérdidas operacionales esperadas e
inesperadas.
6. Implementar la metodología para la administración del riesgo
operacional, en la cual se conozcan y cuantifiquen los principales
riesgos operacionales de la institución, se enfoquen los esfuerzos
de control para su mitigación en las áreas de mayor sensibilidad, y
se mejoren los distintos procesos de toma de decisiones.
7. Recibir la información correspondiente a los eventos de pérdidas
por riesgo operacional, y determinar: área que genera el riesgo,
área que registra la pérdida, causas, medidas correctivas,
categoría.
8. Monitorear el cumplimiento de las recomendaciones de Auditoría
Interna y Externa.
9. Promover evaluaciones anuales de segregación de funciones y de
posibles conflictos de interés en los procesos.
10. Evaluar e informar por lo menos trimestralmente, las
consecuencias que sobre el negocio generaría la materialización de
los riesgos identificados e informar los resultados a los
responsables de las unidades implicadas, a fin de que se evalúen
las diferentes medidas de control de dichos riesgos.
11. Para el registro de eventos de pérdida por riesgo operativo,
incluyendo el tecnológico y legal, será conveniente:
i. Obtener una clasificación detallada de las distintas unidades y
líneas de negocio al interior de la institución de crédito.
ii. Identificar y clasificar los diferentes tipos de eventos de
pérdida conforme el numeral anterior.
Para el desempeño de estas funciones por parte de la unidad de
análisis y control de riesgos, las instituciones deberán establecer
mecanismos que aseguren un adecuado flujo, calidad y oportunidad de
la información entre la referida unidad y el resto de órganos al
interior de la institución, a fin de que estas últimas provean a la
primera los elementos necesarios para llevar a cabo su
función.
CAPITULO II
RIESGO TECNOLÓGICO
Artículo 27.- Riesgo Operativo: Administración del Riesgo
Tecnológico. Corresponde a la unidad de administración integral
de riesgos, como mínimo, desarrollar las funciones siguientes
respecto de la administración del riesgo tecnológico:
a) Evaluar la vulnerabilidad en el hardware, software, seguridad,
recuperación de información y redes, por errores de procesamiento u
operativos, fallas en procedimientos, capacidades inadecuadas,
insuficiencia de los controles instalados, entre otros.
b) Considerar en la implementación de controles internos, respecto
del hardware, software, seguridad, recuperación de información y
redes de la institución, cuando menos, los aspectos
siguientes:
1. Proponer políticas y desarrollar procedimientos que aseguren en
todo momento el nivel de calidad del servicio, la seguridad,
disponibilidad e integridad de la información; lo anterior con
especial énfasis cuando las instituciones contraten la prestación
de servicios por parte de proveedores externos.
2. Asegurar que para cada operación o actividad realizada por los
usuarios existan registros de auditoría en las bases de datos y
software utilizados.
3. Implementar mecanismos que midan y aseguren niveles de
disponibilidad y tiempos de respuesta, que garanticen la adecuada
ejecución y desempeño de las operaciones y servicios
realizados.
c) En caso de mantener canales de distribución para operaciones
bancarias con clientes a través de Internet, cajeros automáticos,
banca telefónica, sucursales, entre otros, deberán en lo
conducente:
1. Establecer medidas y controles necesarios que permitan asegurar
la confidencialidad en la generación, almacenamiento, transmisión y
recepción de las claves de identificación y acceso para los
usuarios.
2. Implementar medidas de control que garanticen la protección,
seguridad y confidencialidad de la información generada por la
realización de operaciones bancarias a través de cualquier medio
tecnológico.
3. Contar con esquemas de control y políticas de operación,
autorización y acceso a los sistemas, bases de datos y aplicaciones
implementadas para la realización de operaciones bancarias a través
de cualquier medio tecnológico.
4. Incorporar los medios adecuados para respaldar y, en su caso
recuperar, la información que se genere respecto de las operaciones
bancarias que se realicen a través de cualquier medio
tecnológico.
5. Diseñar planes de contingencia y recuperación, a fin de asegurar
la capacidad y continuidad de los sistemas implementados para la
celebración de operaciones bancarias, a través de cualquier medio
tecnológico.
6. Establecer mecanismos para la identificación y resolución de
aquellos actos o eventos que puedan generarle a la institución,
riesgos derivados de:
i. Comisión de hechos, actos u hechos irregulares a través de
medios tecnológicos.
ii. Contingencias generadas en los sistemas relacionados con los
servicios bancarios prestados y operaciones celebradas a través de
cualquier medio tecnológico.
iii. El uso inadecuado por parte de los usuarios de los canales de
distribución antes mencionados, para operar con la institución, a
través de los medios citados en el presente artículo.
La unidad de administración integral de riesgos deberá evaluar las
circunstancias que en materia de riesgo tecnológico pudieran
influir en su operación ordinaria, las cuales se sujetarán a
vigilancia permanente a fin de verificar el desempeño del proceso
de administración integral de riesgos.
La unidad de administración integral de riesgos para dar
cumplimiento a las funciones antes indicadas podrá auxiliarse en el
área que se estime conveniente, siempre y cuando con ello no se
susciten conflictos de interés.
CAPITULO III
RIESGO LEGAL
Artículo 28.- Riesgo Operativo: Administración del Riesgo
Legal. Corresponde a la unidad de administración integral de
riesgo, como mínimo, desarrollar las funciones siguientes respecto
de la administración del riesgo:
a) Proponer políticas y desarrollar procedimientos para que en
forma previa a la celebración de actos jurídicos, se analice la
validez jurídica y procure la adecuada instrumentación legal de
estos, incluyendo la formalización de las garantías a favor de la
institución, a fin de evitar deficiencias en la celebración de las
operaciones.
b) Estimar el monto de pérdidas potenciales derivado de
resoluciones judiciales o administrativas adversas, así como la
posible aplicación de sanciones, en relación con las operaciones
que se lleven acabo. En dicha estimación, deberán incluirse los
litigios en los que la institución sea actora o demandada, así como
los procedimientos administrativos en que esta participe.
c) Analizar los actos que realice la institución cuando se rijan
por un sistema jurídico distinto al nacional, y evaluar las
diferencias existentes entre el sistema de que se trate y el
nacional, incluyendo lo relativo al procedimiento judicial.
d) Dar a conocer a sus directivos y empleados, las disposiciones
legales y administrativas aplicables a las operaciones.
e) Mantener una base de datos histórica sobre las resoluciones
judiciales y administrativas, sus causas y costos.
TITULO IX
CAPITULO ÚNICO
DIVULGACIÓN DE INFORMACIÓN, TRANSITORIEDAD Y VIGENCIA
Artículo 29.- Divulgación de Información. Las instituciones
deberán revelar al público depositante, inversionista y otros
acreedores, conforme la normativa de la materia, a través de notas
a sus estados financieros y de manera trimestral a través de su
página en Internet, la información relativa a las políticas,
metodologías, niveles de riesgo asumidos y demás medidas relevantes
adoptadas para la administración de cada tipo de riesgo, debiendo
contemplar como mínimo lo siguiente:
a) Información cuantitativa: Revelación de los riesgos de mercado,
crédito, liquidez y operativo, incluyendo el tecnológico y legal, a
que este expuesta la institución a la fecha de emisión de los
estados financieros. En este sentido deberán revelar cuando menos
la información siguiente:
1. Valor en riesgo.
2. Evaluación de variaciones en los ingresos financieros y en el
valor económico.
3. Estadística descriptiva del riesgo de crédito, incluyendo, entre
otros, los niveles de riesgo y las pérdidas esperadas.
4. Valores promedio de la exposición por tipo de riesgo
correspondiente al período de revelación.
5. Informe de las consecuencias y pérdidas que sobre el negocio
generaría la materialización de los riesgos operativos
identificados.
b) Información cualitativa:
1. Descripción de los aspectos cualitativos relacionados con el
proceso de administración integral de riesgos.
2. Los principales elementos de las metodologías empleadas en la
administración de los riesgos de mercado, liquidez, crédito y
operativo, incluyendo:
i. Breve descripción de las metodologías empleadas para la
administración y control del riesgo operativo, incluyendo el
tecnológico y el legal.
ii. Breve descripción de las metodologías para identificar y
cuantificar los riesgos de crédito, liquidez y mercado.
3. Carteras y portafolios a los que se les está aplicando.
4. Breve explicación de la forma en que se deben interpretar los
resultados de las cifras de riesgo que se den a conocer,
incorporando, entre otros, la descripción del nivel de confianza y
horizonte de tiempo utilizados en cada metodología, así como una
descripción del tratamiento de riesgo de mercado aplicado a los
títulos disponibles para la venta.
Así mismo, las instituciones deberán revelar al público
depositante, inversionista y otros acreedores, conforme la
normativa de la materia, a través de su página en Internet la
calificación de riesgo y su informe de sustento emitido por agencia
calificadora reconocida por la Superintendencia. También se deberá
autorizar a la agencia calificadora que de a conocer esta
calificación en su respectiva página de Internet.
Artículo 30.- Información a la Superintendencia. Las
instituciones deberán proporcionar a la Superintendencia, en la
forma y términos que la misma establezca, la información que en el
ejercicio de sus facultades de supervisión les requiera, relativa a
la administración integral de riesgos que lleven a cabo.
Artículo 31.- Transitoriedad. Las instituciones financieras
deberán aplicar las disposiciones de la presente norma dentro de un
plazo de 12 meses contados a partir de la fecha de entrada en
vigencia de la misma, conforme lo indicado en el artículo
siguiente.
A los efectos de verificar el grado de avance de la implementación
de las disposiciones aquí referidas, las instituciones financieras
deberán, de manera trimestral, remitir un informe de avance al
Superintendente.
Artículo 32.- Dejase sin efecto la resolución
CD-SIBOIF-419-1-MAY4-2006, dictada en sesión número 419 del 04 de
mayo del año 2006.
Artículo 33.- Vigencia. La presente Norma entrará en
vigencia a partir de su publicación en la Gaceta, Diario Oficial.
(f) J. S. Chamorro (f) M. Arana S. (f) V. Urcuyo
V. (f) Antenor Rosales Bolaños (f) Gabriel Pasos
Lacayo (f) Alfredo Cuadra G. (f) Roberto Solórzano
Chacón (f) U. Cerna B. URIEL CERNA BARQUERO, Secretario
Consejo Directivo SIBOIF.
-
© 2025 Justia
