NORMA DE CONTROL PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO

Transcripción

1 NORMA DE CONTROL PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO Intendencia - dirección

2 ANTECEDENTES Quiebra por pérdida de USD 1.4 millones BARINGS BANK Fraude interno Fraude externo DAIWA BANK Pérdidas de USD 1.1 millones CAUSAS Prácticas inadecuadas Pérdidas por USD 750 millones ALLIED IRISH BANK Fallas en sistemas y procesos Hechos ocurridos a mediados de los 90s

3 EVOLUCIÓN DE LA GESTIÓN DE RIESGO Administración de Riesgos Integrada Gestión de Riesgos Operativos Gestión de Riesgos Financieros Estrategia Negocios OPERATIVO Gestión de Riesgos Crediticios Liquidez Operación Liquidez Crédito 1980 s Crédito Mediados 1990 s Crédito Principios 2000 s

4 PROBLEMÁTICA

5 PREVIENE ESQUEMA DE LA GESTIÓN RIESGO OPERATIVO MEJORA FALLAS ERRORES GESTIÓN DE FACTORES ORGANIZACIÓN POR PROCESOS DAÑOS A ACTIVOS Procesos Personas CONTROL DE VULNERABILIDADES FRAUDES Tecnología de información CUMPLIMIENTO REGULATORIO IMPACTO ECONÓMICO Eventos Externos SERVICIO DE CALIDAD

6

7 DEFINICIÓN Posibilidad de que se produzcan pérdidas para la entidad, debido a fallas o insuficiencias originadas en procesos, personas, tecnología de información y eventos externos. El riesgo operativo no trata sobre la posibilidad de pérdidas originadas en cambios inesperados en el entorno político, económico y social.

8 OBJETIVO DE NORMA Normar la administración de riesgo operativo y riesgo legal para una adecuada administración integral de riesgos de las entidades.

9 COMPONENTES Administración de riesgo operativo Factores de riesgo Continuidad del negocio Servicios provistos por terceros Riesgo Legal

10 MODELO DE GESTIÓN DE RIESGOS Identificación Comunicación Medición Monitoreo Reconocer los Seguimiento Actividades riesgos que que permite se Los Acciones realizan Priorizar riesgos con para aquellos deberán la finalidad reducir ser Establecer detectar cuantificados existentes y desarrollar corregir en riesgos los con cuales el un el plan objeto cada oportunamente de impacto de disminuir la operación, comunicación de un de medir el promover se evento deficiencias probabilidad enfocarán de riesgo posible producto, un proceso las y/o de y de minimizar ocurrencia impacto acciones empoderamiento incumplimientos las proceso económico. un y línea control pérdidas evento y mejora de negocio continua Priorización Mitigación Control

11 LÍNEAS DE NEGOCIO Es una especialización del negocio que agrupa procesos encaminados a generar productos y servicios especializados para atender un segmento del mercado objetivo definido en la planificación estratégica de la entidad.

12 Fraude interno Fraude externo TIPOS DE EVENTOS Prácticas de empleo y seguridad del ambiente de trabajo Prácticas relacionadas con los clientes, los productos y el negocio Daños a los activos físicos Interrupción del negocio Deficiencia en la ejecución de procesos

13 ADMINISTRACIÓN DEL RIESGO OPERATIVO Capacitación Bases de eventos Metodologías

14 ADMINISTRACIÓN DE LOS FACTORES DE RO EN LA NORMA Personas - Manual descriptivo de cargos - Base de datos Procesos - Clasificación. Gobernantes. Operativos. Soporte - Independencia de funciones Tecnología de la información - Estructura de gestión de tecnología. - Políticas, procesos y procedimientos. Eventos externos - Ocurrencia de eventos ajenos a su control. - Planes de contingencia y de continuidad del negocio.

15 CONTINUIDAD DEL NEGOCIO Calificación y selección Proveedores alternos Servicios provistos por terceros Plan de contingencia Plan de continuidad Lineamientos para su elaboración Proveedores del exterior

16 RIESGO LEGAL Aspectos de enfoque de riesgo legal Actos societarios Gestión de crédito Operaciones del giro financiero Actividades complementa rias de las operaciones del giro financiero Proveedores extranjeros Estipulaciones Contractuales Cumplimiento legal y normativo CLASIFICACIÓN Riesgo de documentación Riesgo de legislación Riesgo de capacidad

17 PRINCIPALES RESPONSABILIDADES SEGMENTOS 1,2, 3, CAJAS CENTRALES, MUTUALISTAS Y CORPORACIÓN Consejo de administración o directorio Crear una cultura que priorice el riesgo operativo Decidir si el riesgo identificado se debe asumir, compartir, mitigar o transferir Aprobar las políticas, procesos, procedimientos y metodologías propuestas por el CAIR Comité de administración integral de riesgos (CAIR) Evaluar y proponer al CAD las políticas y el proceso de administración del riesgo operativo Recomendar la aprobación de una metodología para administrar la matriz de riesgos Someter a aprobación del CAD los planes de contingencia y de continuidad Unidad o administrador de riesgos Monitorear y evaluar los cambios significativos y la exposición a riesgos Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y de continuidad del negocio Elaborar la metodología para definir y administrar la matriz de riesgos

18 RESPONSABILIDADES SEGMENTOS 4 Y 5. El Consejo de Administración será responsable de aprobar el documento en el que se definan los procesos de la entidad y el manual de administración del personal los mismos que deben estar previamente revisados y conocidos por el consejo de vigilancia El consejo de vigilancia deberá revisar el cumplimiento permanente de la aplicación de los procesos aprobados por el Consejo de Administración El representante legal implementará y dará continuidad a los lineamientos relacionados en la definición de procesos, registro de eventos de riesgo, adecuada segregación de funciones e implementación de políticas para líneas de negocio. Crear una cultura organizacional con principios y valores de comportamiento ético que priorice la gestión eficaz del riesgo operativo.

19 REQUERIMIENTOS NORMATIVOS N TEMA 1 Conformar el comité de tecnología de información 2 Conformar la unidad de tecnología de información 3 Nombrar al responsable de tecnología de información 4 Identificar las líneas de negocio 5 Construir la bases de datos del recurso humano de la entidad 6 Elaborar manual descriptivo de cargos 7 Definir el inventario de procesos 8 Elaborar manual de administración de procesos Implementar políticas, procesos, procedimientos y metodologías para la administración 9 de la tecnología de información (manual) 10 Implementar los planes de contingencia y continuidad del negocio 11 Elaborar o actualizar e implementar la matriz de riesgo operativo 12 Registro de eventos de riesgo 13 Elaborar manual de contratación de terceros 14 Elaborar manual de riesgo operativo

20 REQUERIMIENTOS NORMATIVOS N TEMA 1 Identificar líneas de negocio Definir documento en el que se encuentren los procesos de la 2 entidad 3 Elaborar e implementar la bitácora de eventos de riesgo 4 Elaborar un manual de administración del personal

21

22 NORMA DE CONTROL RESPECTO DE LA SEGURIDAD FÍSICA Y ELECTRÓNICA Intendencia de Riesgos de la EPS y SFPS Dirección Nacional de Riesgos del Sector Financiero Popular y Solidario

23 ANTECEDENTES 27 de Abril, 2018 Detienen a cinco supuestos asaltantes de bancos 6 de enero de 2018 Con llaves ingresaron a robar agencia bancaria del centro Guayaquil 12 de diciembre de 2017 Roban en cooperativa de Milagro y se llevan $ de julio 2017 Asalto a cooperativa de ahorro en Loja fue frustrado

24 IMPORTANCIA Riesgos Estrategias Control de accesos Humedad Sistemas de video vigilancia Inundaciones Iluminación adecuada Custodia Robos Transporte de valores Asaltos Custodia de documentos y especies valoradas

25 OBJETIVO DE NORMAR Normar las medidas de seguridad física y electrónica de las entidades, que permitan precautelar la seguridad de sus empleados, socios, clientes, usuarios, establecimientos y bienes, así como para el resguardo en el transporte de efectivo y valores. Se entenderá por establecimiento al lugar en el que la entidad realiza actividades de intermediación financiera; entre los cuales pueden ser: matriz, sucursales, agencias, oficinas operativas: ventanillas de extensión de servicios, oficinas temporales, oficinas especiales, oficinas móviles y corresponsales solidarios

26 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA Transporte de fondos y valores Medidas de seguridad Medidas de seguridad en cajeros automáticos Manual y políticas de seguridad y protección Sistemas de video vigilancia Personal de seguridad Sistemas de alarmas Bóvedas y cajas fuertes

27 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3 CAJAS CENTRALES Y CORPORACIÓN Medidas de seguridad Iluminación adecuada y suficiente Área de cajas de acceso restringido Puertas equipadas con dos cerraduras Manual de seguridad Las políticas, normas, principios y procesos. Medidas mínimas de seguridad contempladas en la presente norma. Dispositivos, sistemas y procedimientos para controlar la entrada y salida de los empleados, proveedores y socios Los planes de seguridad, emergencia, contingencia y continuidad de negocios Personal de seguridad Contar con un oficial de seguridad física debidamente capacitado Contar con agentes de seguridad que exclusivamente realicen labores de: Custodia de las instalaciones Revisión e inspección a los socios Orden en el área de atención al cliente

28 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3 CAJAS CENTRALES Y CORPORACIÓN Bóvedas y cajas fuertes Son de acceso restringido, por lo que deben contar con elementos y sistemas que proporcionen una adecuada seguridad y protección. Las puertas de las bóvedas cuenten con cerraduras temporizadas y sistemas de ventilación. Las cajas fuertes deben ubicarse en un lugar seguro, libres de material u objetos eléctricos o inflamables. Sistemas de alarmas Contar con sistemas de alarma contra robo e incendio, enlazados por frecuencia de radio o cable con centrales de monitoreo y respuesta. Verificar que los sistemas de comunicación con la Policía Nacional, ECU 911, Cuerpo de Bomberos y las empresas de seguridad privada. Deben estar operativos en todo momento, captar, grabar, tanto las señales de alarma como las escenas de hechos delictivos o siniestros. Sistemas de video vigilancia Contar con un número adecuado de cámaras fijas y móviles de circuito cerrado de televisión. Las cámaras de ubicación fija, como mínimo deben cubrir adecuadamente los lugares de acceso al público. Considerar que los sistemas de grabación y almacenamiento de imágenes deben garantizar el archivo de por lo menos tres (3) meses de grabación.

29 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 1, 2, 3 CAJAS CENTRALES Y CORPORACIÓN Cajeros automáticos Ubicación y entorno Protección al teclado Protección contra clonación de tarjetas Iluminación Programas de vigilancia en sitio Mecanismo de anclaje Mantenimiento preventivo y correctivo Accesos físicos al interior de ATM Cámaras de vigilancia Transporte de fondos y valores Brindar seguridad en coordinación con la Policía Nacional. La recepción y envío de efectivo y valores se debe efectuar en áreas de acceso restringido al público. Empresas debidamente autorizadas, utilizando vehículos blindados que cumplan con las disposiciones del Ministerio del Interior

30 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 4 Y 5 Medidas de seguridad Iluminación suficiente en lugares en donde se maneje efectivo. Medidas de seguridad y vigilancia con botón de pánico Manual de seguridad Medidas mínimas de seguridad contempladas en la presente norma. Dispositivos, sistemas y procedimientos para controlar la entrada y salida de los empleados, proveedores y socios Bóvedas y cajas fuertes Son de acceso restringido, por lo que deben contar con elementos y sistemas que proporcionen una adecuada seguridad y protección. Sistemas de alarmas Emitan señales de alerta en el caso de algún siniestro o acto delictivo. Coordinación con la Policía Nacional

31 MEDIDAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA SEG 4 Y 5 Sistema de video vigilancia Las cámaras de ubicación fija, como mínimo deben cubrir adecuadamente los lugares de acceso al público. Considerar que los sistemas de grabación y almacenamiento de imágenes deben garantizar el archivo de por lo menos tres (3) meses de grabación. Transporte de fondos valores Brindar seguridad en coordinación con la Policía Nacional. La recepción y envío de efectivo y valores se debe efectuar en áreas de acceso restringido al público.

32 Responsabilidades entidades segmentos 1,2, 3, cajas centrales, mutualistas y Corporación El consejo de administración o directorio, según corresponda, aprobará las políticas, normas, principios y procesos básicos de seguridad y protección para sus empleados, socios, clientes, establecimientos, bienes, activos y patrimonio, así como para el resguardo en el transporte de efectivo y valores. El comité de administración integral de riesgos, analizará y propondrá al consejo de administración las políticas, normas, principios y procesos básicos de seguridad y protección. El representante legal implementará en sus entidades las políticas, principios y procesos básicos de seguridad y protección contemplados en la presente norma. La unidad de seguridad de la información o el responsable de seguridad de la información, según corresponda, elaborará y propondrá al Comité de Administración Integral de Riesgos las políticas, principios y procesos básicos de seguridad y protección referentes a la seguridad física y electrónica.

33 Responsabilidades entidades segmentos 1,2, 3, cajas centrales, mutualistas y Corporación

34 Responsabilidades entidades segmentos 4 y 5 Representante legal Proponer al consejo de administración las políticas, principios y procesos básicos de seguridad y protección referentes a la seguridad física y electrónica referentes a la seguridad en los canales electrónicos, para su aprobación Consejo de Vigilancia Verificará el cumplimiento de las políticas, principios y procesos básicos de seguridad y protección referentes a la seguridad física y electrónica

35