Principales requisitos de la norma de control para la gestión del riesgo operativo de Ecuador

La gestión del riesgo operativo se ha convertido con el tiempo en un aspecto fundamental para el buen funcionamiento de las entidades financieras, previniendo las pérdidas y protegiendo la reputación de las organizaciones, mejorando la eficiencia de los procesos internos y ayudando en el cumplimiento de las regulaciones y estándares aplicables. Esta gestión del riesgo implica la identificación, medición, monitoreo y control de los riesgos principales de los procesos y actividades internas de la organización, como, por ejemplo, errores operativos, fraudes, robos, incendios, etc.

Dentro de este contexto, y con el fin de preservar la seguridad, estabilidad, solidez y transparencia de las entidades de los sectores público y privado del sistema financiero de Ecuador, la superintendencia de bancos (SB) establece una serie de requisitos obligatorios de control y supervisión para este tipo de organizaciones financieras. Para ello, esta entidad ecuatoriana pone a disposición diversas normas y directrices que desarrollan, entre otras cuestiones, requisitos de liquidez y solvencia, normas de conducta, medidas de prevención de blanqueo de capitales o regulaciones que establecen los principios y criterios contables y de auditoría. A continuación, nos centraremos en los criterios establecidos para la gestión y administración de riesgos y, más concretamente, en los principales requisitos de la norma de gestión de riesgo operativo, la cual fija los requerimientos mínimos a cumplir por las entidades financieras con el propósito de minimizar la probabilidad de incurrir en pérdidas atribuibles al riesgo operativo.

En el marco de la gestión integral de riesgos, las entidades deberán adoptar un modelo basado en el esquema de las tres líneas de defensa. Estas tres líneas se dividen en:

• Primera línea de defensa: Áreas del negocio y operativas, responsables del diseño y evaluación de sus controles y la implementación de acciones preventivas.
• Segunda línea de defensa: función de monitorear los controles y los riesgos operativos.
• Tercera línea de defensa: asegurar de forma independiente y objetiva, las prácticas del gobierno y de la administración de riesgos operativos en cada línea de defensa.

Más información sobre como automatizar el modelo de las 3 líneas de defensa con GlobalSuite®

La norma establece requisitos específicos para los diferentes factores de riesgos considerados (procesos, personas, tecnología de la información y eventos externos). Los requisitos más relevantes y específicos para cada uno de los factores son:

• Factor procesos: se precisa la realización de un mapa de procesos y definir una metodología para el diseño, control, actualización, seguimiento y medición de los procesos de la entidad, tomando como referencia el estándar ISO 9001.
• Factor personas: la norma exige definir políticas y procedimientos con requerimientos específicos para las nuevas incorporaciones y las bajas del personal, requisitos de confidencialidad y seguridad de la información de los empleados y requerimientos para la gestión de competencias, capacitación y evaluaciones de desempeño de los usuarios.
• Factor Tecnología de la información: contar con un comité de tecnología, procedimientos para las operaciones tecnológicas, gestión de incidentes y gestión de respaldos, además de requisitos de monitorización, redundancias, disponibilidad y seguridad.
• Eventos externos: requisitos de continuidad de negocio con el fin de minimizar pérdidas en el caso de interrupción del negocio por eventos tales como desastres naturales, fuego, atentados, etc.

Las entidades controladas deberán diseñar planes de respuesta ante incidentes con requerimientos específicos, abarcando todo el ciclo de vida del incidente y con la necesidad de ejecutar pruebas controladas de estos eventos.

Asimismo, se enumeran una serie de condiciones a cumplir en materia de continuidad de negocio, entre las que destacan, la conformación de un comité de continuidad, la realización de para los procesos críticos y el establecimiento de metodologías, procedimientos, estrategias y planes de continuidad de negocio.

En definitiva, la norma obliga a las entidades financieras de Ecuador a implementar un , basándose, en la norma internacional ISO 22301, tal y como indica la superintendencia de bancos.

Una parte primordial para minimizar los riesgos operativos consiste en el control de los servicios proporcionados por terceros. Los requisitos en este apartado cubren todas las etapas de la relación con el proveedor (contratación, suscripción, cumplimiento y renovación del contrato), destacando los criterios definidos para la homologación y evaluación periódica de los suministradores, el establecimiento de cláusulas contractuales concretas (Niveles de servicio SLAs, confidencialidad, auditoría, etc), el control de los riesgos de terceros y los requisitos de certificación en los estándares ISO 27001 (Seguridad de la información), 27017 (controles de seguridad para servicios en la nube) e ISO 27018 (protección de información personal en la nube) para los proveedores de servicios en la nube.

La seguridad de la información cobra especial relevancia en esta norma sobre el riesgo operativo, como no podía ser de otra forma, dada la creciente preocupación de las organizaciones por los ciberataques y la protección de la información.

La norma exige implementar y mantener un sistema de gestión de seguridad de la información basado en el estándar ISO 27001 o equivalente, por lo que, entre otras cuestiones, las entidades controladas deberán:

• Establecer un Comité de Seguridad de la información.
• Mantener un inventario de activos de información y realizar un análisis de riesgos específico de seguridad de la información, llevando a cabo planes de tratamiento para la mitigación de estos riesgos.
• Evaluar el cumplimiento de los controles implementados, así como la realización de auditorías periódicas de seguridad.
• Actualizar procedimientos e implementar soluciones para, entre otras cuestiones, la gestión de privilegios y control de accesos, controles criptográficos, segregación y protección de las redes, gestión de vulnerabilidades, etc.
• Implementar un programa de capacitación y concienciación en la organización en materia de seguridad.

Relacionado con este apartado, cabe destacar la entrada en vigor en mayo de 2023  la , por lo que la gestión de la seguridad de la información y la protección de los datos personales cobran mayor importancia si cabe, de cara a evitar sanciones importantes para las entidades del país.

Con el objeto de que las transacciones realizadas a través de canales electrónicos cuenten con los controles de seguridad y mecanismos necesarios para evitar eventos de fraude y acciones no autorizadas por los usuarios, las entidades deben cumplir con algunos requerimientos adicionales en materia de seguridad como, por ejemplo, implementar estándares y buenas prácticas internacionales para el uso y manejo de canales electrónicos y , realizar evaluaciones periódicas de los controles de seguridad, establecer canales de comunicación cifrados, ejecutar pruebas de penetración de equipos y dispositivos implicados o el establecimiento de alarmas en línea con el fin de identificar intentos de fraude y fallos.

GlobalSuite Solutions puede ayudar a tu organización a cumplir con la norma de riesgos operativos de Ecuador de varias maneras

• Más que un GRC: Nuestro software está especializado en la gestión de riesgos operativos. GlobalSuite® permite identificar, evaluar y mitigar los riesgos operativos en su organización de manera eficiente y efectiva. Además, puedes realizar evaluaciones de riesgos, seguimiento de controles, análisis de incidentes y generar informes para cumplir con los requisitos de la norma.
• Automatización de procesos: La plataforma puede ayudarte a automatizar los procesos relacionados con la gestión de riesgos operativos. Esto incluye la recopilación de datos, el análisis de riesgos, la asignación de tareas y la generación de informes. La automatización ayuda a agilizar las operaciones, reducir errores y facilitar el cumplimiento de la norma.
• Capacitación y concienciación: Desde nuestra compañía ofrecemos capacitación y programas de concienciación para ayudar al personal de su organización para que comprenda los riesgos operativos y cómo cumplir con los requisitos de la norma. De esta manera, su equipo estará preparado para la correcta gestión de riesgos.
• Monitoreo y seguimiento continuo: GlobalSuite® te permite monitorear y realizar un seguimiento continuo de los riesgos operativos en tu organización. Puedes establecer indicadores clave de rendimiento (KPI) y alertas para detectar cualquier desviación o evento inusual. Esto te permite tomar medidas correctivas de manera oportuna y garantizar el cumplimiento constante de la norma.
• Soporte y asesoramiento experto: GlobalSuite Solutions cuenta con un equipo de expertos en gestión de riesgos operativos que pueden brindarle asesoramiento personalizado y apoyo en la implementación de la norma. Estos profesionales pueden ayudarlo a adaptar las soluciones a las necesidades específicas de su organización y guiarlo en cada etapa del proceso de cumplimiento.

¿Preocupado por los riesgos operativos en tu organización? No te arriesgues a sufrir pérdidas y daños innecesarios. Descubre cómo GlobalSuite Solutions puede ayudarte a gestionar y mitigar eficazmente los riesgos operativos. Solicita una demostración gratuita de nuestro software hoy mismo. ¡Haz clic aquí!