Resolución, Norma sobre gestión de riesgo operacional

Publicada en La Gaceta No. 64 del 08 de Abril del 2010

El Consejo Directivo de la Superintendencia de Bancos y de Otras Instituciones Financieras,

CONSIDERANDO

I

Que el artículo 38, numeral 4), de la Ley General de Bancos, referente a las obligaciones de la junta directiva de las instituciones financieras, señala que, esta última, tiene entre sus responsabilidades el "velar porque se implementen e instruir para que se mantengan en adecuado funcionamiento y ejecución, las políticas, sistemas y procesos que sean necesarios para una correcta administración, evaluación y control de los riesgos inherentes al negocio", estableciendo dicho artículo la facultad del Consejo Directivo de dictar normas sobre esta materia.

II

Que el artículo 40, numerales 6) y 10) de la Ley No. 561, Ley General de Bancos, Instituciones Financieras no Bancarias y Grupos Financieros, publicada en La Gaceta, Diario Oficial No. 232, del 30 de noviembre de 2005, en sus partes conducentes establece que los preceptos que regulan el gobierno corporativo de las instituciones financieras, deben incluir, entre otros, políticas sobre procesos integrales que incluyan la administración de los diversos riesgos a que pueda estar expuesta la institución, establecimiento de sistemas de información adecuados, así como políticas escritas sobre la administración de los diferentes riesgos.

III

Que de acuerdo a lo antes expuesto y con base a las facultades establecidas en el artículo 3, numeral 13), y artículo 10, incisos 1), 2) y 3) de la Ley N° 316, Ley de la Superintendencia de Bancos y de Otras Instituciones Financieras y sus reformas.

En uso de sus facultades

HA DICTADO

La siguiente:

CD-SIBOIF-611-1-ENE22-2010

NORMA SOBRE GESTIÓN DE RIESGO OPERACIONAL

TÍTULO I

DISPOSICIONES GENERALES Artículos 1 a 17

CAPÍTULO ÚNICO Artículos 1 a 3

CONCEPTOS, OBJETO Y ALCANCE

Artículo 1 Conceptos.-

Para los fines de la presente norma, los términos indicados en este artículo, tanto en mayúsculas como en minúsculas, singular o plural, tendrán los significados siguientes:

1. Análisis de impacto en el negocio:

   Es un componente de la gestión de continuidad del negocio. Es el proceso de identificar y medir (cuantitativa y cualitativamente) el impacto o pérdida de los procesos del negocio en el caso de una interrupción. Es utilizado para identificar los aspectos prioritarios para la recuperación, los requisitos de recursos para la recuperación, el personal esencial y para ayudar a darle forma al plan de continuidad del negocio.

2. Continuidad del negocio:

   Estado continuo e ininterrumpido de operación de un negocio.

   Factores de riesgo operacional:

   Se refiere a las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operacional a nivel de la actividad o líneas de negocios, entre los cuales se encuentran: procesos internos, personas, eventos externos y tecnología de información

   .

5. Gestión de riesgos:

   El conjunto de objetivos, políticas, procedimientos y acciones que se implementan para identificar, medir, monitorear, limitar, controlar, informar y revelar los distintos tipos de riesgo a que se encuentran expuestas las instituciones.

   f)

   Información:

   Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada.

7. Institución o Institución Financiera:

   Se refiere a los bancos y sociedades financieras que de acuerdo a la Ley General de Bancos pueden captar depósitos del público. Incluye a las sucursales de bancos y sociedades financieras extranjeras establecidas en el país.

8. Interrupción operacional mayor:

   Interrupción significativa en las operaciones normales de la institución, que afecta un área geográfica y las comunidades adyacentes económicamente integradas con ella. Las interrupciones operacionales mayores pueden ser el resultado de una amplia gama de eventos, tales como: terremotos, huracanes y otros eventos relacionados con el clima, ataques terroristas, asonadas, virus informáticos, epidemias, pandemias y otros incidentes biológicos y otros actos intencionales o accidentales que pueden causar daños generalizados, directos o indirectos, a la infraestructura física.

9. Ley

   General de Bancos:

   Ley 561, Ley General de Bancos, Instituciones Financieras no Bancarias y Grupos Financieros, publicada en la Gaceta Diario Oficial N° 232, del 30 de noviembre de 2005.

10. Mejores Prácticas Aplicables:

    Se refiere a los marcos de referencia de control, estándares internacionales u otros estudios que ayuden a monitorear y mejorar las actividades críticas, aumentar el valor de negocio, y reducir riesgos, tales como; recomendaciones del Comité de Basilea, COSO, COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, entre otros.

11. Nivel de recuperación:

    Es el nivel de servicio a ser proveído con respecto a operaciones de negocios específicas después de una interrupción.

12. Objetivo de recuperación:

    Meta predefinida para la recuperación de operaciones específicas de negocios y sistemas de soportes a un nivel determinado de funcionamiento (nivel de recuperación) dentro de un periodo de tiempo definido después de ocurrida una interrupción.

13. Plan de continuidad del negocio:

    Un componente de la gestión de continuidad del negocio. Es un plan de acción detallado que establece los procedimientos y sistemas necesarios por línea de negocio para continuar o reestablecer las operaciones de una institución en el evento de una interrupción.

14. Políticas:

    Conjunto de prácticas establecidas por la junta directiva de la institución, por medio de las cuales se definen los cursos de acción a seguir por la administración.

15. Procedimiento:

    Método o sistema estructurado para ejecutar instrucciones. Lista detallada de la secuencia lógica y consistente de actividades y cursos de acción, por medio de las cuales se asegura el cumplimiento de una función operativa.

16. Proceso:

    Conjunto de actividades, tareas y procedimientos organizados y repetibles.

17. Proceso crítico:

    Proceso considerado indispensable para la continuidad de las operaciones y servicios de la institución, cuya falta o ejecución deficiente puede tener un impacto significativo para la institución

18. Recuperación:

    La restauración de operaciones especificas del negocio a un nivel suficiente para cumplir con las obligaciones de la institución, después de ocurrida una interrupción.

19. Resistencia:

    La capacidad de una institución financiera para absorber el impacto de una interrupción operacional mayor y continuar proveyendo operaciones y servicios críticos.

20. Riesgo:

    Es la posibilidad de que se produzca un hecho generador de pérdidas que afecten el valor económico de las instituciones.

21. Riesgo Legal:

    Pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la afectación por resoluciones administrativas o judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo.

22. Riesgo de Tecnología de Información:

    Daño, interrupción, alteración o fallas derivadas del uso de la TI que soporta los procesos críticos de la Institución y que conlleve a una pérdida potencial.

23. Riesgo Operacional:

    Es el riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, las personas o los sistemas o por eventos externos. Esta definición incluye al riesgo legal y tecnológico, pero excluye el riesgo estratégico y reputacional.

24. Servicios críticos provistos por terceros:

    Servicios relacionados a procesos críticos provistos por terceros, cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la institución.

25. Sitio alterno:

    Lugar habilitado para ser usado durante una interrupción, con el fin de mantener la continuidad del negocio de una institución. El término aplica tanto a espacio físico, como a requerimientos tecnológicos, localizado en un lugar distinto al lugar primario de negocios afectado. Las instituciones pueden contar con más de un sitio alterno. En algunos casos, un sitio alterno puede estar constituido por la infraestructura utilizada en las operaciones normales diarias de la institución pero con la capacidad para acomodar funciones adicionales de negocios cuando el lugar primario de negocios se vea afectado.

26. Superintendencia:

    Superintendencia de Bancos y de Otras Instituciones Financieras

    aa) Superintendente:

    Superintendente de Bancos y de Otras Instituciones Financieras.

    bb)

    Tecnología de información (TI):

    Conjunto de recursos necesarios para procesar la información, convertirla, almacenarla, administrarla, transmitirla y encontrarla, tales como: Hardware, Software, Sistemas de Información, Investigación Tecnológica, Redes Locales, Bases de Datos, Ingeniería de Software, Telecomunicaciones, Servicios y Organización de Informática.

    cc)

    Tiempo de recuperación:

    Es el periodo de tiempo en que se espera restablecer una operación de negocios específica. El tiempo de recuperación tiene dos componentes: el lapso entre la interrupción y la activación del plan de continuidad del negocio; y el lapso entre la activación del plan de continuidad del negocio y la recuperación de una actividad específica del negocio.

    dd) Unidad de negocio:

    Las áreas originadoras y tomadoras de riesgos discrecionales al interior de las instituciones.

    ee) UAIR:

    Unidad de Administración Integral de Riesgos establecida en la normativa que regula la materia sobre la administración integral de riesgos.

Artículo 2 Objeto.-

La presente norma tiene por objeto establecer las responsabilidades y lineamientos generales a seguir por las instituciones financieras para una adecuada gestión del riesgo operacional, a fin de controlar o mitigar el posible impacto negativo de...