knowt logoknowt logo
HomeExploreExamsBlog
knowt logoKnowt
Rating
0.0(0)
Exam Icon
Take a practice test
Flashcard Icon
undefined Flashcards
0.0(0)

Studied by 0 people

Tags

CAPÍTULO II MARCO GENERAL PARA LA GESTIÓN DEL RIESGO OPERATIVO

IMEMCMC

12th

Explore Top Notes
Chapter 16: High Renaissance and Mannerism
noteNote
studied byStudied by 13 people
5.0 Stars(1)
Economics Semester 2
noteNote
studied byStudied by 20 people
5.0 Stars(1)
CLIMATE CHANGE REVIEW
noteNote
studied byStudied by 9 people
5.0 Stars(1)
Honors Biology Notes Grade 10 Highschool Unit 1:
noteNote
studied byStudied by 13 people
5.0 Stars(1)
3.3 US Presidency
noteNote
studied byStudied by 11 people
5.0 Stars(1)
Chapter 8 - Harmonic Composition 1: Fundamentals
noteNote
studied byStudied by 17 people
5.0 Stars(1)
knowt logo

New Note

CAPÍTULO II MARCO GENERAL PARA LA GESTIÓN DEL RIESGO OPERATIVO 

 

 

Artículo 4.    Contexto de la gestión del riesgo operativo 

 

La entidad, de conformidad con lo dispuesto en el Acuerdo SUGEF 2-10, debe contar con una estructura organizativa que le permita implementar efectivamente su estrategia para la gestión del riesgo operativo. 

 

La Junta Directiva o autoridad equivalente, junto con la Administración Superior, deben velar por que las acciones y herramientas que desarrolle la entidad para la gestión del riesgo operativo, estén plenamente integradas a su proceso institucional de administración integral de riesgos y que sean acordes con su tamaño, complejidad, volumen de sus operaciones y perfil de riesgo. En este sentido deben asignar los recursos necesarios para su implementación, sostenibilidad y mejora a través del tiempo. 

 

 

Artículo 5.    Estrategia para la gestión del riesgo operativo 

 

La entidad debe definir la estrategia para gestionar su riesgo operativo. La estrategia debe ser actualizada periódicamente en función al nivel de tolerancia al riesgo, a los cambios en el mercado y en el entorno económico que puedan afectar la operatividad de la entidad. Asimismo, debe estar debidamente aprobada por la Junta Directiva o autoridad equivalente, en línea con las responsabilidades asignadas en el Acuerdo SUGEF 2-10. 

 

La estrategia debe considerar el establecimiento y mantenimiento de límites de tolerancia al riesgo operativo conforme al artículo 9 del Acuerdo SUGEF 2-10 y de un marco o proceso que comprenda las siguientes etapas: 

 

  • Identificación. 

  • Medición y evaluación. 

  • Control y mitigación. 

  • Monitoreo e información. 


Artículo 6.      Políticas para la gestión del riesgo operativo

 

La Junta Directiva o autoridad equivalente debe aprobar y mantener actualizadas las políticas sobre riesgo operativo, dichas políticas deben considerar como mínimo los siguientes aspectos:


  • Las responsabilidades de la Junta Directiva o autoridad equivalente, de la Administración Superior, del Comité de Riesgos y de la función o unidad de riesgos.
  • Las pautas generales que observará la entidad en el manejo del riesgo operativo.
  • La periodicidad con la que se debe informar a las diferentes instancias de gobierno, sobre la exposición al riesgo operativo de la entidad y de cada unidad de negocio.
  • El nivel de riesgo aceptable por la entidad, en función de probabilidad (frecuencia) e impacto.
  • El proceso que se debe cumplir para la aprobación de propuestas de nuevas operaciones, productos, servicios y sistemas de información.
  • Indicadores de riesgo operativo.


En el marco de las funciones que establece el Acuerdo SUGEF 2-10, la Junta Directiva o autoridad equivalente y la Administración Superior deben velar por que se definan claramente las funciones que deben acometer el Comité de Riesgos y la unidad o función de riesgos en relación con el riesgo operativo.



Artículo 7.      Gestión del riesgo operativo

 

En consonancia con el marco normativo establecido en el Acuerdo SUGEF 16-09 y el Acuerdo SUGEF 2-10, la entidad debe considerar al riesgo operativo como un riesgo relevante, inherente a la actividad financiera y objeto de gestión en su proceso de administración integral de riesgos.


La entidad debe considerar en su gestión del riesgo operativo los siguientes factores de riesgo:


  • Procesos,
  • Recursos humanos (personas),
  • Tecnología de información , y
  • Eventos externos.

Artículo 8.    Identificación

 

La entidad debe establecer un proceso para identificar, catalogar y posteriormente documentar en su Manual de Administración Integral de Riesgos las líneas de negocio que desarrolla en su actividad comercial, junto con los procesos y subprocesos relacionados, a un nivel de detalle que le permita una adecuada identificación de los eventos de riesgo y la distinción de sus procesos críticos.


El Superintendente, mediante Lineamientos Generales, establecerá las líneas de negocio y categorías de eventos de riesgo operativo que pueden ser utilizados como referencia por la entidad.

En el proceso de identificación de riesgos, la entidad debe velar que se provea de información suficiente para determinar la exposición al riesgo operativo, la cual debe incluir lo correspondiente al riesgo legal.


A efecto de garantizar las condiciones e información necesarias para este ejercicio, la Administración Superior debe velar por que exista una comunicación efectiva entre las áreas de negocio y la unidad o función de riesgos; esta última responsable de coordinar los aspectos necesarios en torno a la identificación de los eventos de riesgo de la organización.


La entidad debe realizar una evaluación del riesgo operativo inherente a los productos, actividades, procesos y sistemas que previo análisis y clasificación, resulten relevantes para la entidad. Asimismo, la Administración Superior debe asegurar que, antes de introducir nuevos productos, se emprendan nuevas actividades o se establezcan nuevos procesos y sistemas, el riesgo operativo inherente a ellos esté sujeto a un procedimiento de evaluación. La unidad o función de riesgos, previo al lanzamiento o prestación de nuevos productos y servicios, debe rendir a la Junta Directiva o autoridad equivalente una opinión sobre la evaluación efectuada. Este requerimiento es obligatorio también cuando se trate del relanzamiento de un producto, servicio, proceso o sistema.



Artículo 9.    Medición y evaluación

 

La entidad debe evaluar los eventos de riesgo, esto implica la medición de las pérdidas potenciales en términos de probabilidad de ocurrencia (frecuencia) e impacto.


La metodología que implemente la entidad para la medición y evaluación debe ser cualitativa y cuantitativa en función al avance que vaya teniendo en su proceso de implementación de la gestión de riesgo operativo. La evaluación cualitativa busca desarrollar los criterios para priorizar la atención de los riesgos y la periodicidad para su seguimiento. La evaluación cuantitativa debe realizarse a través de la información histórica de eventos de riesgo para el caso de las incidencias de riesgo y en estimaciones para el caso de los eventos potencialesLa metodología utilizada debe constar en el Manual de Administración Integral de Riesgos.


Asimismo, la entidad debe considerar el establecimiento y mantenimiento de un proceso de recopilación y registro de eventos de riesgo considerando los procesos y líneas de negocio identificados. Dicho proceso debe garantizar que la información se computa oportunamente.



Artículo 10. Control y mitigación

 

El control y mitigación se refiere a las acciones o mecanismos de cobertura y a los controles implementados por la entidad con el propósito de modificar la probabilidad (frecuencia) de ocurrencia y/o el impacto de los eventos de riesgo operativo que conforme el análisis de riesgo excedan su apetito de riesgo operativo.


Para dichos eventos de riesgo, la entidad debe implementar y mantener un plan que establezca las acciones a efectuar, el plazo estimado de ejecución, el grado de avance y los responsables directos de dicha ejecución.


Asimismo, la entidad debe contar con un sistema de control interno que permita verificar el acatamiento de las políticas y procedimientos, incluyendo los planes de acción definidos por la entidad para la mitigación del riesgo operativo. La Administración Superior es responsable de tomar las acciones necesarias para subsanar debilidades del sistema de control interno de la entidad.


Las acciones y controles definidos deben ser proporcionales al riesgo identificado por la entidad de manera que se asegure que los costos de las acciones de mitigación y control no sean mayores a las pérdidas definidas o estimadas.



Artículo 11. Monitoreo e Información

 

La entidad debe establecer, en su sistema de información, los indicadores y reportes que estime necesarios para realizar un seguimiento de su perfil de riesgo operativo. La periodicidad establecida del seguimiento debe permitir una adecuada retroalimentación sobre las acciones ejecutadas y sobre los cambios del perfil de riesgo operativo, de lo cual la entidad debe mantener evidencia. Dicha periodicidad no podrá ser mayor a seis meses.

 
MP
homeHome

New Note

CAPÍTULO II MARCO GENERAL PARA LA GESTIÓN DEL RIESGO OPERATIVO 

 

 

Artículo 4.    Contexto de la gestión del riesgo operativo 

 

La entidad, de conformidad con lo dispuesto en el Acuerdo SUGEF 2-10, debe contar con una estructura organizativa que le permita implementar efectivamente su estrategia para la gestión del riesgo operativo. 

 

La Junta Directiva o autoridad equivalente, junto con la Administración Superior, deben velar por que las acciones y herramientas que desarrolle la entidad para la gestión del riesgo operativo, estén plenamente integradas a su proceso institucional de administración integral de riesgos y que sean acordes con su tamaño, complejidad, volumen de sus operaciones y perfil de riesgo. En este sentido deben asignar los recursos necesarios para su implementación, sostenibilidad y mejora a través del tiempo. 

 

 

Artículo 5.    Estrategia para la gestión del riesgo operativo 

 

La entidad debe definir la estrategia para gestionar su riesgo operativo. La estrategia debe ser actualizada periódicamente en función al nivel de tolerancia al riesgo, a los cambios en el mercado y en el entorno económico que puedan afectar la operatividad de la entidad. Asimismo, debe estar debidamente aprobada por la Junta Directiva o autoridad equivalente, en línea con las responsabilidades asignadas en el Acuerdo SUGEF 2-10. 

 

La estrategia debe considerar el establecimiento y mantenimiento de límites de tolerancia al riesgo operativo conforme al artículo 9 del Acuerdo SUGEF 2-10 y de un marco o proceso que comprenda las siguientes etapas: 

 

  • Identificación. 

  • Medición y evaluación. 

  • Control y mitigación. 

  • Monitoreo e información. 


Artículo 6.      Políticas para la gestión del riesgo operativo

 

La Junta Directiva o autoridad equivalente debe aprobar y mantener actualizadas las políticas sobre riesgo operativo, dichas políticas deben considerar como mínimo los siguientes aspectos:


  • Las responsabilidades de la Junta Directiva o autoridad equivalente, de la Administración Superior, del Comité de Riesgos y de la función o unidad de riesgos.
  • Las pautas generales que observará la entidad en el manejo del riesgo operativo.
  • La periodicidad con la que se debe informar a las diferentes instancias de gobierno, sobre la exposición al riesgo operativo de la entidad y de cada unidad de negocio.
  • El nivel de riesgo aceptable por la entidad, en función de probabilidad (frecuencia) e impacto.
  • El proceso que se debe cumplir para la aprobación de propuestas de nuevas operaciones, productos, servicios y sistemas de información.
  • Indicadores de riesgo operativo.


En el marco de las funciones que establece el Acuerdo SUGEF 2-10, la Junta Directiva o autoridad equivalente y la Administración Superior deben velar por que se definan claramente las funciones que deben acometer el Comité de Riesgos y la unidad o función de riesgos en relación con el riesgo operativo.



Artículo 7.      Gestión del riesgo operativo

 

En consonancia con el marco normativo establecido en el Acuerdo SUGEF 16-09 y el Acuerdo SUGEF 2-10, la entidad debe considerar al riesgo operativo como un riesgo relevante, inherente a la actividad financiera y objeto de gestión en su proceso de administración integral de riesgos.


La entidad debe considerar en su gestión del riesgo operativo los siguientes factores de riesgo:


  • Procesos,
  • Recursos humanos (personas),
  • Tecnología de información , y
  • Eventos externos.

Artículo 8.    Identificación

 

La entidad debe establecer un proceso para identificar, catalogar y posteriormente documentar en su Manual de Administración Integral de Riesgos las líneas de negocio que desarrolla en su actividad comercial, junto con los procesos y subprocesos relacionados, a un nivel de detalle que le permita una adecuada identificación de los eventos de riesgo y la distinción de sus procesos críticos.


El Superintendente, mediante Lineamientos Generales, establecerá las líneas de negocio y categorías de eventos de riesgo operativo que pueden ser utilizados como referencia por la entidad.

En el proceso de identificación de riesgos, la entidad debe velar que se provea de información suficiente para determinar la exposición al riesgo operativo, la cual debe incluir lo correspondiente al riesgo legal.


A efecto de garantizar las condiciones e información necesarias para este ejercicio, la Administración Superior debe velar por que exista una comunicación efectiva entre las áreas de negocio y la unidad o función de riesgos; esta última responsable de coordinar los aspectos necesarios en torno a la identificación de los eventos de riesgo de la organización.


La entidad debe realizar una evaluación del riesgo operativo inherente a los productos, actividades, procesos y sistemas que previo análisis y clasificación, resulten relevantes para la entidad. Asimismo, la Administración Superior debe asegurar que, antes de introducir nuevos productos, se emprendan nuevas actividades o se establezcan nuevos procesos y sistemas, el riesgo operativo inherente a ellos esté sujeto a un procedimiento de evaluación. La unidad o función de riesgos, previo al lanzamiento o prestación de nuevos productos y servicios, debe rendir a la Junta Directiva o autoridad equivalente una opinión sobre la evaluación efectuada. Este requerimiento es obligatorio también cuando se trate del relanzamiento de un producto, servicio, proceso o sistema.



Artículo 9.    Medición y evaluación

 

La entidad debe evaluar los eventos de riesgo, esto implica la medición de las pérdidas potenciales en términos de probabilidad de ocurrencia (frecuencia) e impacto.


La metodología que implemente la entidad para la medición y evaluación debe ser cualitativa y cuantitativa en función al avance que vaya teniendo en su proceso de implementación de la gestión de riesgo operativo. La evaluación cualitativa busca desarrollar los criterios para priorizar la atención de los riesgos y la periodicidad para su seguimiento. La evaluación cuantitativa debe realizarse a través de la información histórica de eventos de riesgo para el caso de las incidencias de riesgo y en estimaciones para el caso de los eventos potencialesLa metodología utilizada debe constar en el Manual de Administración Integral de Riesgos.


Asimismo, la entidad debe considerar el establecimiento y mantenimiento de un proceso de recopilación y registro de eventos de riesgo considerando los procesos y líneas de negocio identificados. Dicho proceso debe garantizar que la información se computa oportunamente.



Artículo 10. Control y mitigación

 

El control y mitigación se refiere a las acciones o mecanismos de cobertura y a los controles implementados por la entidad con el propósito de modificar la probabilidad (frecuencia) de ocurrencia y/o el impacto de los eventos de riesgo operativo que conforme el análisis de riesgo excedan su apetito de riesgo operativo.


Para dichos eventos de riesgo, la entidad debe implementar y mantener un plan que establezca las acciones a efectuar, el plazo estimado de ejecución, el grado de avance y los responsables directos de dicha ejecución.


Asimismo, la entidad debe contar con un sistema de control interno que permita verificar el acatamiento de las políticas y procedimientos, incluyendo los planes de acción definidos por la entidad para la mitigación del riesgo operativo. La Administración Superior es responsable de tomar las acciones necesarias para subsanar debilidades del sistema de control interno de la entidad.


Las acciones y controles definidos deben ser proporcionales al riesgo identificado por la entidad de manera que se asegure que los costos de las acciones de mitigación y control no sean mayores a las pérdidas definidas o estimadas.



Artículo 11. Monitoreo e Información

 

La entidad debe establecer, en su sistema de información, los indicadores y reportes que estime necesarios para realizar un seguimiento de su perfil de riesgo operativo. La periodicidad establecida del seguimiento debe permitir una adecuada retroalimentación sobre las acciones ejecutadas y sobre los cambios del perfil de riesgo operativo, de lo cual la entidad debe mantener evidencia. Dicha periodicidad no podrá ser mayor a seis meses.