CNBCR-03/2020

NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

EL COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR,

CONSIDERANDO:

I. Que el artículo 2 inciso tercero de la Ley para Facilitar la Inclusión Financiera, establece que
son integrantes del sistema financiero las Sociedades Proveedoras de Dinero Electrónico.

II. Que de conformidad al artículo 3 literal c) de la Ley de Supervisión y Regulación del Sistema
Financiero, le compete a la Superintendencia del Sistema Financiero monitorear
preventivamente los riesgos de los integrantes del sistema financiero y la forma en que éstos
los gestionan, velando por el prudente mantenimiento de su solvencia y liquidez.

III. Que de conformidad al artículo 35 literal d) de la Ley de Supervisión y Regulación del Sistema
Financiero, se estipula que los directores, gerentes y demás funcionarios que ostenten cargos
de dirección o de administración en los integrantes del sistema financiero deberán conducir sus
negocios, actos y operaciones cumpliendo con los más altos estándares éticos de conducta y
actuando con la diligencia debida de un buen comerciante en negocio propio, estando obligados
a cumplir y a velar porque en la institución que dirigen o laboran se cumpla con la adopción y
actualización de políticas y mecanismos para la gestión de riesgos, debiendo entre otras
acciones, identificarlos, evaluarlos, mitigarlos y revelarlos acorde a las mejores prácticas
internacionales.

IV. Que el artículo 99 literal a) de la Ley de Supervisión y Regulación del Sistema Financiero,
estipula que corresponderá al Comité de Normas la aprobación de normas técnicas, de
instructivos y disposiciones que las leyes que regulan a los supervisados establecen que deben
dictarse para facilitar su aplicación incluyendo aspectos inherentes a la gestión de riesgos por
parte de los supervisados.

V. Que de acuerdo a los estándares internacionales, resulta necesario disponer de un marco de

gestión de riesgos sólido, que permita gestionar de manera integral los riesgos de acuerdo al
perfil, magnitud de actividades, negocios, recursos de la entidad y mejores prácticas, de forma
que se propicie la implementación de medidas prudenciales para el funcionamiento
transparente, eficiente y ordenado del mercado.

POR TANTO,

en virtud de las facultades normativas que le confiere el artículo 99 de la Ley de Supervisión y

Regulación del Sistema Financiero,

ACUERDA, emitir las siguientes:

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 1 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS SOCIEDADES

PROVEEDORAS DE DINERO ELECTRÓNICO

CAPÍTULO I
OBJETO, SUJETOS Y TÉRMINOS

Objeto
Art. 1.-Las presentes Normas tienen como objeto establecer los elementos mínimos que deben
observar las entidades para la gestión integral de riesgos de conformidad con las leyes aplicables y
estándares internacionales en la materia, acordes con la naturaleza y escala de sus actividades.

Sujetos
Art. 2.-Los sujetos obligados al cumplimiento de las disposiciones establecidas en las presentes
Normas son las Sociedades Proveedoras de Dinero Electrónico

Términos
Art. 3.-Para efectos de las presentes Normas, los términos que se indican a continuación tienen el
significado siguiente:
a) Alta Gerencia: El Presidente Ejecutivo, Director Ejecutivo, Gerente General o quien haga sus
veces y los cargos ejecutivos que le reporten al mismo;
b) Acontecimientos externos: Son eventos asociados a la naturaleza u ocasionados por terceros,
que escapan en cuanto a su causa y origen al control de la entidad;
c) Apetito de Riesgo: El nivel y los tipos de riesgos que una entidad está dispuesta a asumir en
relación a sus actividades, para alcanzar sus objetivos estratégicos y planes de negocio;
d) Banco Central: Banco Central de Reserva de El Salvador;
e) Cliente: Persona natural titular de un registro de dinero electrónico;
f) Conflicto de Interés: Cualquier situación en la que se pueda percibir que un beneficio o interés
personal o de un tercero, puede influir en el juicio o decisión profesional de un miembro de la
entidad relativo al cumplimiento de sus obligaciones;
g) Cultura de gestión integral de riesgos: Normas, actitudes, conocimientos y comportamiento de
una entidad relacionada con el riesgo y las decisiones sobre la forma de gestionarlos y
controlarlos;
h) Dinero Electrónico: Valor monetario registrado a favor de un titular o cliente, que constituye una
obligación de pago exigible a su Proveedor de Dinero Electrónico, el cual es aceptado por los
demás actores que hayan convenido recibir o prestar este servicio, como un medio de pago en
un monto equivalente al dinero en efectivo entregado, y se almacena en un soporte electrónico;
i) Entidad: Sujeto obligado al cumplimiento de las disposiciones establecidas en las presentes
Normas;
j) Evento de riesgo operacional: Es un suceso o serie de sucesos, de origen interno o externo,
que puede o no derivar en pérdidas financieras para la entidad;

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 2 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

k) Factor de riesgo operacional: Es la causa primaria o el origen de un evento operacional;

l) Junta Directiva: Órgano colegiado u órgano equivalente encargado de la administración de la
entidad, con funciones de supervisión, dirección y control;
m) Línea de negocio: Es una especialización del negocio que agrupa procesos encaminados a
generar productos y servicios para atender un segmento de mercado objetivo;
n) Mapa de riesgos: Es una herramienta que permite presentar una panorámica de los riesgos a
los que está expuesta la entidad; independiente de la forma de su presentación, en el que se
identifican y se ubican las áreas/actividades/activos (procesos) que podrían verse afectados
durante la ocurrencia de un evento adverso. Permite ver las amenazas y medir la magnitud de
cada riesgo (probabilidad e impacto económico). Son un instrumento gráfico de gestión de los
riesgos que permite comparar los riesgos por su importancia relativa así como en conjunto,
permitiendo a la entidad establecer niveles aceptables de riesgo;
o) Medidas de mitigación: Conjunto de acciones tomadas por las entidades para gestionar
técnicamente los riesgos, de forma que se minimicen las potenciales pérdidas derivadas de su
materialización;
p) Planes de acción: Consiste en un conjunto de medidas correctivas propuestas por la entidad.
Estos planes de acción contienen los objetivos, actividades, responsables y fechas de
finalización;
q) Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta
una entidad;
r) Personas: Es el conjunto de colaboradores vinculados directa o indirectamente con la ejecución
de los procesos de la entidad;
s) Proceso: Es el conjunto de interrelaciones de actividades para la transformación de elementos
de entrada en productos o servicios, para satisfacer una necesidad;
t) Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los
controles;
u) Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. Es el riesgo que
queda, una vez se han instrumentado los controles pertinentes para su tratamiento. En todo
caso exige un permanente monitoreo para observar su evolución;
v) Superintendencia: Superintendencia del Sistema Financiero; y
w) Tecnología de información: Es el conjunto de herramientas tecnológicas empleadas para
soportar los procesos de la entidad.

CAPÍTULO II
DE LA GESTIÓN INTEGRAL DE RIESGOS

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 3 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Gestión integral de riesgos

Art. 4.-Las Sociedades Proveedoras de Dinero Electrónico deberán establecer un sistema de gestión
integral de riesgos, que deberá entenderse como un proceso estratégico realizado por toda la
entidad, mediante el cual identifican, miden, controlan, mitigan, monitorean y comunican los distintos
tipos de riesgos a los que se encuentran expuestas y las interrelaciones que surgen entre estos,
para el logro de sus objetivos. Dicha gestión deberá estar de acuerdo con su naturaleza, perfil de
riesgos, volumen y complejidad de sus actividades, líneas de negocios, recursos propios y de
terceros, de forma que se propicie la implementación de medidas acordes a las mejores prácticas
para el funcionamiento transparente, eficiente y ordenado del mercado.

El proceso integral para la gestión de riesgos deberá estar debidamente documentado y revisado
periódicamente en función de los cambios que se produzcan en el perfil de riesgo de las entidades y
en el mercado. Las políticas, procedimientos y manuales que emitan las entidades deberán estar en
idioma castellano.

Etapas del proceso de gestión integral de riesgos

Art. 5.-Las entidades deberán contar con un proceso continuo documentado para la gestión integral
de sus riesgos, el cual deberá contener al menos las etapas siguientes:
a) Identificación: Es la etapa en la que se reconocen y se entienden los riesgos existentes en cada
operación, producto, servicio, proceso y línea de negocio que desarrolla la entidad y de aquéllos
que se puedan producir en las nuevas líneas de negocio. En esta etapa se identifican los
factores de riesgo que pueden generar cambios en el patrimonio de la entidad;
b) Medición: Es la etapa en la que los riesgos deberán ser cuantificados con el objeto de
determinar el cumplimiento o adecuación de las políticas, los límites fijados y medir el posible
impacto económico en los resultados financieros de la entidad. Las metodologías y
herramientas para medir cada tipo de riesgo deben estar de conformidad con el tamaño, la
naturaleza de sus operaciones y los niveles de riesgos asumidos por la entidad;
c) Control y mitigación: Es la etapa que busca asegurar que las políticas, límites y procedimientos
establecidos para el tratamiento y mitigación de los riesgos son apropiadamente tomados y
ejecutados; y
d) Monitoreo y comunicación: Es la etapa que da seguimiento sistemático y permanente a las
exposiciones de riesgo y de los resultados de las acciones adoptadas. Estos sistemas de
información deberán asegurar una revisión periódica y objetiva de las posiciones de riesgos y la
generación de información suficiente, para apoyar los procesos de toma de decisiones y
permitir comunicar en los resultados de la gestión de los riesgos en forma oportuna.

CAPÍTULO III
ENTORNO PARA LA GESTIÓN INTEGRAL DE RIESGOS

Sistema de organización
Art. 6.-Las entidades deberán establecer una estructura organizacional que permita una adecuada
Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 4 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

gestión integral del riesgo, con la debida segregación de funciones y niveles jerárquicos de áreas de
soporte operativo, negocios y control que participen en el proceso, así como los niveles de
dependencia, de conformidad con el perfil de riesgos, el tamaño y la naturaleza de sus operaciones.

Las entidades establecerán y aplicarán las metodologías que consideren apropiadas para el modelo
de gestión de riesgo, sin perjuicio de las normas y los requisitos mínimos que establezca el Banco
Central por medio de su Comité de Normas.

Funciones de la Junta Directiva u Órgano de Dirección equivalente

Art. 7.-La Junta Directiva es la responsable de velar por una adecuada gestión integral de riesgos,
teniendo entre sus funciones como mínimo las siguientes:
a) Definir y aprobar el apetito y tolerancia al riesgo de la entidad, así como los límites de
exposición de cada riesgo en particular de acuerdo al perfil de la misma; asimismo, deberá
establecer los controles respectivos a excepciones y desviaciones a dichos límites;
b) Aprobar la estructura organizacional o funcional interna de acuerdo a su modelo de negocio,
con sus respectivos manuales de organización y segregación de funciones, asignando los
recursos necesarios para implementar y mantener una adecuada gestión de los riesgos, en
forma efectiva y eficiente;
c) Aprobar las políticas y manuales para la gestión de riesgos asumidos por la entidad, velando
porque los mismos sean implementados;
d) Crear el Comité de Riesgos, conforme a lo establecido en las “Normas Técnicas de Gobierno
Corporativo” (NRP-17) aprobadas por el Banco Central, por medio de su Comité de Normas,
aprobando la designación y remoción de sus miembros, cuando aplique y asegurando su
independencia;
e) Crear la Unidad de Riesgos y nombrar a la persona encargada de la misma, asegurando su
independencia de las áreas de negocio y operativas de la entidad a fin de evitar conflictos de
interés, así como la separación de funciones y responsabilidades correspondiente y dotarle de
los recursos, materiales y capacitación técnica adecuada;
f) Conocer y comprender todos los riesgos inherentes a los negocios que desarrolla la entidad y a
los que se encuentra expuesta, su evolución y sus efectos, en especial en los niveles
patrimoniales; así como, las metodologías y herramientas para la gestión de riesgos;
g) Velar porque se implemente una cultura organizativa de gestión de riesgos dentro de la entidad;
y
h) Velar por que la Auditoría Interna verifique la existencia y cumplimiento del esquema de la
gestión integral de riesgos de la entidad.

Las políticas y manuales para la gestión de riesgos aprobados por la Junta Directiva, deberán ser
remitidas a la Superintendencia para su conocimiento dentro los primeros diez días hábiles
siguientes a su aprobación o su respectiva modificación. El período entre las revisiones y/o
actualizaciones sobre las Políticas o Manuales no deberá exceder los dos años.

Comité de Riesgos
Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 5 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Art. 8.-Las entidades deberán contar con un Comité de Riesgos el cual observará lo establecido en
las presentes Normas y en las “Normas Técnicas de Gobierno Corporativo” (NRP-17) aprobadas por
el Banco Central, por medio de su Comité de Normas

Funciones del Comité de Riesgos

Art. 9.-Las funciones del Comité de Riesgos o su equivalente, comprenderán como mínimo, las
actividades siguientes:
a) Aprobar lo siguiente:
i. Las metodologías para gestionar los distintos tipos de riesgos a los que se encuentra
expuesta la entidad, así como sus eventuales modificaciones, asegurándose que la
misma considere los riesgos relevantes de las actividades que realiza;
ii. Los mecanismos para la implementación de acciones correctivas; y
iii. Las acciones correctivas propuestas por la Unidad de Riesgos y las áreas involucradas
en el caso que exista desviación con respecto a los niveles o límites de exposición
asumidos.
b) Requerir y dar seguimiento a los planes correctivos para normalizar incumplimientos a los
límites de exposición o deficiencias reportadas;
c) Evaluar, avalar y proponer para aprobación de la Junta Directiva, al menos, lo siguiente:
i. Las estrategias, políticas y manuales para la gestión integral de riesgos, así como las
eventuales modificaciones que se realicen a los mismos;
ii. Los límites de tolerancia a la exposición de los distintos tipos de riesgos identificados por
la entidad, acordes al apetito de riesgo de ésta; y
iii. Los casos o circunstancias especiales en los cuales se puedan exceder los límites de
exposición, así como los controles especiales sobre dichas circunstancias.
d) Informar a la Junta Directiva sobre las exposiciones, desviaciones y excepciones de los riesgos
que son gestionados en la entidad, su evolución, sus efectos, en especial en los niveles
patrimoniales y las necesidades adicionales de mitigación, así como sus acciones correctivas;
e) Informar a la Junta Directiva la ejecución de las políticas aprobadas, según la periodicidad
establecida en cada una de ellas, velando por que la realización de las operaciones de la
entidad se ajuste a las políticas y procedimientos definidos para la gestión de los riesgos; y
f) Informar a la Junta Directiva sobre el resultado de los informes elaborados por la Unidad de
Riesgos o quien haga sus veces.

Reuniones y acuerdos del Comité de Riesgos

Art. 10.- El Comité de Riesgos o quien haga sus veces, deberá reunirse con la frecuencia necesaria
para desempeñar de forma eficaz sus funciones, al menos una vez cada tres meses. Los
responsables de las distintas áreas involucradas en las operaciones que generan riesgos, pueden
participar en las sesiones, con derecho a voz pero sin derecho a voto.

Funciones de la Alta Gerencia

Art. 11.-La Alta Gerencia es la responsable del establecimiento y la ejecución del marco estructural

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 6 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

del sistema de gestión de riesgos y dará cuenta a la Junta Directiva, debiendo adoptar y velar por el
cumplimiento, como mínimo de las medidas siguientes:
a) Establecer las condiciones necesarias a nivel de toda la organización para propiciar un
ambiente que procure el desarrollo del proceso de la gestión integral de riesgos;
b) Velar porque existan mecanismos que aseguren un adecuado flujo, calidad y oportunidad de la
información, entre las Unidades de Negocio y la Unidad de Riesgos o quien haga sus veces, a
fin de que esta última desarrolle apropiadamente su función;
c) Asegurar el establecimiento de mecanismos de divulgación de la cultura de gestión integral de
riesgos, en todos los niveles de la estructura organizacional; y
d) Velar por la ejecución de programas de capacitación y actualización para la gestión de riesgos
de la entidad.

Unidad de Riesgos
Art. 12.-Las entidades deberán contar con una unidad especializada para facilitar la evaluación de la
gestión integral de riesgos pudiendo a su vez, designar unidades adicionales para que supervisen y
gestionen riesgos específicos. La Junta Directiva de cada entidad creará dicha unidad y a su vez
designará a su responsable; su tamaño y ámbito deberán estar en relación con el tamaño, estructura
y perfil de riesgo de la entidad. Su objeto debe ser identificar, medir, controlar, monitorear e informar
los riesgos que enfrentan en el desarrollo de sus operaciones, ya sea que éstos afecten activos y
pasivos dentro o fuera del balance.

Dicha unidad deberá ser independiente de las unidades de negocio, o cualquier otra área operativa o
de soporte, a fin de evitar conflictos de interés y asegurar una adecuada separación de funciones y
responsabilidades y su posición jerárquica deberá permitirle acceso a la información necesaria para
el desempeño de sus funciones y asegurar que sus informes sean conocidos por la Junta Directiva o
por la instancia que ésta delegue.

La Unidad de Riesgos o encargado, deberá elaborar un plan anual de trabajo, el cual deberá ser
aprobado por el Comité de Riesgos, para efectos de cumplir adecuadamente las funciones de
gestión de riesgos.

El encargado de la Unidad de Riesgos deberá poseer un perfil acorde a las funciones a desempeñar,
para esto, la entidad deberá considerar su formación académica, experiencia y capacitación en
gestión de riesgos.

Funciones y responsabilidades de la Unidad de Riesgos

Art. 13.-La Unidad de Riesgos o el encargado correspondiente, deberán cumplir al menos con las
funciones siguientes:
a) Identificar, medir, controlar, monitorear y comunicar los riesgos en que incurre la entidad dentro
de sus diversas unidades de negocio y sus efectos en la solvencia de la entidad;

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 7 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

b) Elaborar el plan anual de trabajo de la Unidad y someterlo a aprobación del Comité de Riesgos;
c) Diseñar y proponer al Comité de Riesgos para la aprobación de la Junta Directiva las
estrategias, políticas, procedimientos y los manuales respectivos para la gestión integral de
riesgos y de cada uno de los riesgos específicos identificados, así como sus modificaciones;
d) Proponer para su aprobación las metodologías, modelos y parámetros para la gestión de los
distintos tipos de riesgos a que se encuentra expuesta la entidad;
e) Informar periódicamente al Comité de Riesgos o quien haga sus veces, así como a la Alta
Gerencia, sobre la evolución de los principales riesgos asumidos por la entidad, incluyendo el
detalle de cambios en los factores de riesgos aplicables y la evolución histórica de los riesgos
asumidos por la misma;
f) Dar seguimiento periódico a las acciones correctivas presentadas por las unidades para la
mejora en la gestión integral de riesgos, los cuales deberá hacer del conocimiento al Comité de
Riesgos y la Alta Gerencia;
g) Dar seguimiento al cumplimiento de los límites de exposiciones al riesgo, sus niveles de
tolerancia por tipo de riesgo cuantificables y proponer mecanismos de mitigación a las
exposiciones e informar al Comité de Riesgos; y
h) Realizar monitoreo periódico de los resultados de la aplicación de las metodologías,
herramientas, modelos y cumplimiento de límites de tolerancia.

Programas de capacitación
Art. 14.-Debido a que la gestión integral de riesgos es un proceso dinámico, la Alta Gerencia deberá
garantizar que la Junta Directiva, los empleados y ejecutivos involucrados directamente en la gestión
de riesgos sean capacitados en dichos temas, desarrollando para ello un plan de capacitación anual,
el cual podrá estar incorporado en el plan general de capacitación anual de la entidad, en el cual se
incorpore personal a capacitar, temas a desarrollar y la calendarización de los mismos. Asimismo,
dado que esta gestión involucra a toda la organización, se deberá establecer un programa de
divulgación que genere una cultura organizacional del riesgo en todos los empleados, niveles de la
organización y en los programas de inducción al personal de nuevo ingreso.

El Plan de Capacitación podrá ser revisado cada seis meses a fin de realizar las actualizaciones
pertinentes, para responder a las necesidades de la entidad, disponibilidad de los temas a
desarrollar y la cantidad de personal a capacitar.

CAPÍTULO IV
MARCO DE GESTIÓN DE RIESGOS

Políticas para la gestión de riesgos

Art. 15.-Las entidades deberán aprobar y desarrollar políticas para definir el marco de gestión de
cada uno de los tipos de riesgos a los que se encuentran expuestas, que les permitan reducir su
vulnerabilidad y pérdidas por dichos riesgos e impulsar a nivel de toda la organización la cultura de
prevención y gestión de riesgos.

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 8 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Las políticas, manuales y procedimientos para la gestión integral de riesgos deben considerar, entre
otros aspectos, las funciones y responsabilidades en dicha gestión, así como los criterios y
mecanismos para la identificación, medición, control, mitigación, monitoreo y comunicación de los
riesgos que presente la entidad.

Las políticas, manuales y procedimientos de la entidad deberán ser consistentes con su estructura,
naturaleza, tamaño, complejidad de sus actividades, operaciones, líneas de negocio, tipo de clientes
que atiende y con las obligaciones aplicables a su actividad. Estas políticas, manuales y
procedimientos también deberán estar conforme a las operaciones autorizadas según su objeto y
régimen legal aplicable.

Manual de gestión de riesgos

Art. 16.-Las entidades deben contar con un manual o manuales de gestión de riesgos que con base
a las políticas agrupe para la gestión de cada uno de los riesgos que enfrenta la entidad, como
mínimo: los procesos asociados, las funciones y responsabilidades de las áreas involucradas,
señalando la segregación de funciones de los puestos claves susceptibles de riesgos; la
metodología para medir el riesgo detallando variables, criterios, herramientas utilizadas y la
periodicidad con la que se debe informar sobre la exposición a cada uno de los tipos de riesgos al
Comité de Riesgos o quien haga sus veces, a la Junta Directiva y a la Alta Gerencia.

Para el desarrollo del manual de gestión de riesgos las entidades deberán considerar la
implementación de medidas prudenciales y las mejores prácticas referidas a la gestión de riesgos.

CAPÍTULO V
GESTIÓN POR TIPOS DE RIESGOS

Tipos de riesgos
Art. 17.-Para los efectos de las presentes Normas, las entidades deberán gestionar, de acuerdo a
sus estructuras, tamaño, negocios y recursos, como mínimo los siguientes riesgos:
a) Riesgo de liquidez: Es la posibilidad de incurrir en pérdidas por no disponer de los recursos
suficientes para cumplir con las obligaciones asumidas, incurrir en costos excesivos y no poder
desarrollar el negocio en las condiciones previstas;
b) Riesgo operacional: Es la posibilidad de incurrir en pérdidas, debido a las fallas en los procesos,
el personal, los sistemas de información y a causa de acontecimientos externos; incluye la
gestión de la seguridad de la información, la continuidad del negocio y el riesgo legal;
c) Riesgo reputacional: Es la posibilidad de incurrir en pérdidas, producto del deterioro de imagen
de la entidad, debido al incumplimiento de leyes, normas internas, códigos de gobierno
corporativo, códigos de conducta, lavado de dinero, entre otros.

Con referencia a la gestión de riesgos de lavado de dinero y de activos, y de financiamiento al

terrorismo las entidades deberán aplicar lo establecido en las “Normas Técnicas para la Gestión de

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 9 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

los Riesgos de Lavado de Dinero y de Activos, y de Financiamiento al Terrorismo”, (NRP-08)

aprobadas por el Banco Central, por medio de su Comité de Normas.

CAPÍTULO VI
GESTIÓN DEL RIESGO OPERACIONAL

Art. 18.-Las entidades deben gestionar los diferentes factores generadores de riesgo operacional,
siendo éstos los siguientes:
a) Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización de
las actividades, las entidades deben contar con procesos documentados, definidos y
actualizados periódicamente de acuerdo a las políticas de la entidad, que pueden ser
agrupados en tipos de procesos de acuerdo a lo establecido por la entidad. Las entidades
deben gestionar apropiadamente los riesgos asociados a dichos procesos, con énfasis en las
fallas o debilidades que presenten, dado que éstas pueden tener como consecuencia el
desarrollo deficiente de las operaciones;
b) Personas: Las entidades deben establecer políticas, procesos y procedimientos que procuren
una adecuada planificación y administración del capital humano, que incluyan el proceso de
contratación, permanencia y desvinculación del personal. Asimismo, deben establecer
mecanismos preventivos que permitan identificar y gestionar fallas, insuficiencias, negligencia,
sabotaje, robo, inadecuada capacitación, apropiación indebida de información, entre otros,
asociadas al personal, vinculado directa o indirectamente a la entidad; de tal modo que se
minimice la posibilidad de pérdidas económicas. La vinculación directa es aquélla que está
basada en un contrato individual de trabajo, de acuerdo a la legislación laboral respectiva. La
vinculación indirecta está referida a aquellas personas que tienen una relación jurídica con la
entidad para la prestación de determinados servicios, diferente de aquélla que se origina de un
contrato interno de trabajo;
c) Tecnología de información: Las entidades deben gestionar los riesgos asociados a la tecnología
de información, entre otros, los relacionados a fallas en la seguridad y continuidad operativa de
los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la
compatibilidad e integración de los mismos, así como la calidad de la información y una
adecuada inversión en tecnología; y
d) Acontecimientos externos: Las entidades deben gestionar los riesgos asociados a
acontecimientos externos ajenos al control de la entidad que pudiesen alterar el desarrollo
normal de sus actividades, relacionados a fallas en los servicios críticos provistos por terceros,
contingencias legales, la ocurrencia de desastres naturales, atentados y actos delictivos, entre
otros factores.

Con referencia a la gestión de los factores de tecnología de información la entidad deberá aplicar lo
establecido en las Normas Técnicas que para tales efectos emita Banco Central a través de su
Comité de Normas relativas a la Seguridad de la Información y la Continuidad del Negocio.

Gestión del Riesgo Operacional

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 10 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Art. 19.-La gestión del riesgo operacional deberá considerar los aspectos siguientes:
a) Identificar los eventos de riesgo operacional agrupándolos de acuerdo al Anexo No. 1 de las
presentes Normas, de tal forma que le permitan establecer su mapa de riesgo operacional. Los
sujetos de aplicación de estas Normas deberán identificar los eventos agrupándolos de acuerdo
a las líneas de negocio que la entidad mantiene, tal como se establece en el Anexo No. 2 de las
presentes Normas;
b) La entidad deben estimar o cuantificar el riesgo operacional considerando la probabilidad de
ocurrencia y el impacto económico en los resultados de la entidad. Esta cuantificación es
esencial para la entidad porque en función a ellas se establecen las medidas de control y
mitigación que buscan minimizar pérdidas por este riesgo. Las metodologías y herramientas
para estimar o cuantificar el riesgo operacional deben estar de conformidad con el tamaño,
naturaleza de los niveles de riesgos asumidos por la entidad y volumen de sus operaciones;
c) Implementar los controles para evitar, detectar o prevenir eventos de riesgos operacionales. Se
deberán establecer las acciones o mecanismos de cobertura y control implementados por la
entidad con la finalidad de prevenir o reducir los efectos negativos en caso de materializarse los
eventos adversos de riesgo operacional. Debe establecerse un plan de acción para
implementar medidas que busquen mitigar los eventos de riesgo identificados. Este plan debe
detallar las acciones a implementar, el plazo estimado de ejecución y los responsables directos
de dicha ejecución;
d) Las entidades deben dar seguimiento sistemático y oportuno a los eventos de riesgo
operacional materializados, así como a los resultados de las acciones adoptadas. El
seguimiento deberá asegurar una revisión periódica y la generación de información suficiente
para apoyar los procesos de toma de decisiones;
e) Las entidades deben realizar un monitoreo periódico de su mapa de riesgos y exposición a
pérdidas por riesgo operacional, debiendo cumplir como mínimo con los siguientes aspectos:
i. Desarrollar procesos de seguimiento efectivo y periódico que permitan la rápida
detección y corrección de las deficiencias;
ii. Establecer indicadores que evidencien potenciales riesgos operacionales;
iii. Asegurar que los controles internos establecidos se encuentren funcionando en forma
efectiva y eficiente; y
iv. Asegurar que los riesgos residuales se encuentren bajo el nivel de tolerancia establecido
por cada entidad.
f) Las entidades deben conformar una base de datos centralizada que permita registrar, ordenar,
clasificar y disponer de información sobre los eventos de riesgo operacional materializados. Se
deberá clasificar éstos por factores, determinando la frecuencia del evento y el efecto
producido, debiendo contener como mínimo los campos que se detallan en el Anexo No. 3 de
las presentes Normas y remitirlo a la Superintendencia de conformidad a lo establecido en las
presentes Normas; y
g) Analizar y ordenar por prioridad los riesgos identificados, clasificándolos de acuerdo al impacto
y probabilidad sobre los objetivos institucionales.

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 11 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Art. 20.-Las entidades deben enviar a la Superintendencia, de forma anual y a más tardar el 31 de
enero de cada año, los eventos contenidos en las “Bases de Datos de Registro de Eventos” del
Anexo No. 3 a la que se hace referencia en las presentes Normas, iniciando con la base de datos del
año 2020, remitiéndolo por medios electrónicos o de la forma que la Superintendencia lo determine.

CAPITULO VII
SISTEMAS DE INFORMACIÓN Y DE CONTROL

Sistemas de información gerencial

Art. 21.-La entidad deberá contar con un sistema de información gerencial y bases de datos
estadísticas, que posibiliten la generación de información oportuna, confiable, consistente y
homogénea que permitan elaborar reportes periódicos para la Junta Directiva, el Comité de Riesgos
y la Alta Gerencia, así como para otros interesados responsables de la toma de decisiones en la
gestión de riesgos.

Sistema de control interno

Art. 22.- El sistema de control interno incluye la gestión integral de riesgos lo que permite verificar el
cumplimiento de las políticas, límites, procesos y procedimientos establecidos durante la ejecución
de las operaciones de la entidad.

Para este propósito, las entidades deben establecer los controles administrativos, financieros,
contables y tecnológicos necesarios, conforme a los estándares internacionales sobre la materia y
leyes aplicables.

Rol de la Auditoría Interna

Art. 23.-La Unidad de Auditoría Interna deberá apoyar a la entidad a cumplir sus objetivos aportando
un enfoque sistemático y disciplinado para evaluar y mejorar la calidad de la efectividad y eficiencia
de los procesos de gestión de riesgos, control y gobierno corporativo, de conformidad a lo
establecido en las “Normas Técnicas de Auditoría Interna para los Integrantes del Sistema
Financiero” (NRP-15), emitidas por el Banco Central por medio de su Comité de Normas.

De los Auditores externos

Art. 24.-Los auditores externos de la entidad, deberán incluir en su evaluación periódica la revisión
de las funciones de gestión de riesgos y sus resultados deben ser incorporados en los respectivos
informes que estos emitan de conformidad a lo establecido en las “Normas Técnicas para la
Prestación de Servicios de Auditoría Externa a los Integrantes del Sistema Financiero” (NRP-18),
emitidas por el Banco Central por medio de su Comité de Normas.

Informe anual
Art. 25.-Las entidades deberán remitir a la Superintendencia, dentro de los primeros ciento veinte
días posteriores a la finalización del ejercicio contable que se reporta, el “Informe de Evaluación
Técnica de la Gestión Integral de Riesgos”, previa aprobación de la Junta Directiva, el cual deberá
Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 12 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

contener como mínimo lo siguiente:

a) La estructura organizativa para la gestión integral de riesgos;
b) Detalle de los principales riesgos asumidos por las actividades de la entidad;
c) Listado de las políticas, manuales y procedimientos para la gestión integral de riesgos,
incluyendo la fecha de la última modificación;
d) Descripción de las metodologías, sistemas y herramientas utilizadas para cada uno de los
riesgos;
e) Los resultados de las evaluaciones efectuadas a la gestión integral de riesgos, de conformidad
a lo establecido en las “Normas Técnicas de Auditoría Interna para los Integrantes del Sistema
Financiero” (NRP-15), aprobadas por el Banco Central por medio de su Comité de Normas;
f) La ejecución del plan de capacitación relacionado a la gestión integral de riesgos establecido en
el artículo 14 de las presentes Normas;
g) Proyectos asociados a la gestión de riesgos a desarrollar en el ejercicio siguiente al reportado; y
h) Conclusiones generales sobre la gestión de riesgos de la entidad.

No obstante, lo anterior, la Junta Directiva deberá informar inmediatamente a la Superintendencia al

tener conocimiento de cualquier aspecto relacionado con la exposición de riesgos, que puedan
impactar en forma cualitativa o cuantitativa a la entidad.

Divulgación sobre la gestión integral de riesgos

Art. 26.-Las entidades deberán divulgar de manera resumida en un apartado de su sitio Web, dentro
de los primeros noventa días calendario de cada año, la información relativa a las políticas,
metodologías y demás medidas relevantes adoptadas para la gestión de cada tipo de riesgos.

Las entidades deberán divulgar de manera resumida en las notas a los estados financieros de cierre
anual la forma de cómo gestiona los riesgos y el cumplimiento de sus políticas.

Información adicional
Art. 27.-La Superintendencia podrá requerir a las entidades cualquier información adicional que
considere necesaria para la adecuada supervisión de la gestión integral de riesgos y de cada uno de
los riesgos específicos a los que se encuentre expuesta la entidad de que se trate.

Las entidades deberán tener en todo momento a disposición de la Superintendencia todos los
documentos, registros, archivos, en forma física, electrónica o por cualquier otro medio, a que se
refieren las presentes Normas.

La información a que hace referencia el inciso anterior deberá resguardarse por un plazo mínimo de
cinco años, a partir de la generación de la misma; transcurrido dicho plazo, las entidades podrán
destruir la información una vez cuente con el respaldo digital correspondiente, siempre y cuando no
exista obligación legal de mantenerla de manera física.

CAPÍTULO VIII
Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 13 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

OTRAS DISPOSICIONES Y VIGENCIA

Sanciones
Art. 28.-Los incumplimientos a las disposiciones contenidas en las presentes Normas, serán
sancionados de conformidad a lo establecido en la Ley de Supervisión y Regulación del Sistema
Financiero.

Detalles técnicos del envío de información

Art. 29.-La Superintendencia remitirá a las entidades, en un plazo máximo de noventa días
posteriores a la fecha de entrada en vigencia de las presentes Normas, con copia al Banco Central,
los detalles técnicos relacionados con el envío de la información requerida. Los requerimientos de
información se circunscribirán a la recopilación de información conforme lo regulado en las presentes
Normas.

Las entidades deberán implementar los mecanismos necesarios para la remisión de información
antes referida en un plazo máximo de ciento veinte días después de recibida la comunicación del
inciso anterior, de conformidad a los detalles técnicos remitidos por la Superintendencia.

Transitorio
Art. 30.-Las entidades para cumplir las disposiciones establecidas en las presentes Normas, deberán
presentar a la Superintendencia un plan de adecuación, dentro de ciento cincuenta días siguientes a
la vigencia de las presentes Normas. Una vez presentado el plan, las entidades deberán
implementarlo en un plazo máximo de nueve meses contados a partir de su presentación. (1)

Aspectos no previstos
Art. 31.-Los aspectos no previstos en materia de regulación en las presentes Normas, serán
resueltos por el Banco Central por medio de su Comité de Normas.

Vigencia
Art. 32.-Las presentes Normas entrarán en vigencia a partir del uno de abril del año dos mil veinte.

(1) Modificación al artículo 30 aprobado por el Banco Central por medio de su Comité de
Normas, en Sesión No. CN-10/2020 de fecha 18 de junio de dos mil veinte, con vigencia a
partir de 23 de junio de dos mil veinte.

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 14 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Anexo No. 1

TIPOS DE EVENTOS POR RIESGO OPERACIONAL

Tipo de evento Tipo de evento

Definición Ejemplos
(Nivel 1) (Nivel 2)
Operaciones no reveladas
(intencionalmente), operaciones
Pérdidas derivadas de algún tipo de Actividades no no autorizadas (con pérdidas
actuación encaminada a defraudar, autorizadas económicas), valoración
apropiarse de bienes indebidamente o errónea de posiciones
Fraude interno eludir regulaciones, leyes o políticas (intencional).
empresariales en las que se Robo, malversación,
encuentra implicado, al menos, un falsificación, soborno,
miembro de la entidad. Robo y fraude apropiación indebida de
cuentas, contrabando, evasión
de impuestos (intencional).
Pérdidas derivadas de algún tipo de
Robo y fraude Robo, falsificación.
actuación encaminada a defraudar,
Fraude externo apropiarse de bienes indebidamente o
eludir la legislación, por parte de un Daños por ataques
Seguridad de
tercero. informáticos, robo de
los sistemas
información.
Cuestiones relativas a
Pérdidas derivadas de actuaciones Relaciones
remuneración, prestaciones
incompatibles con la legislación o laborales
Relaciones sociales, extinción de contratos.
acuerdos laborales, sobre higiene o
laborales y Casos relacionados con las
seguridad en el trabajo, sobre el pago Higiene y
seguridad en el normas de higiene y seguridad
de reclamaciones por daños seguridad en el
puesto de en el trabajo; indemnización a
personales, o sobre casos trabajo
trabajo los trabajadores.
relacionados con la diversidad o
discriminación. Diversidad y
Todo tipo de discriminación.
discriminación

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 15 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Anexo No. 1

Tipo de
Tipo de evento
evento Definición Ejemplos
(Nivel 2)
(Nivel 1)
Abusos de confianza/
Adecuación, incumplimiento de pautas, aspectos
divulgación de de adecuación/ divulgación de
información y información, infringir la privacidad de
confianza información sobre clientes, abuso de
información confidencial.
Prácticas restrictivas de la
competencia, prácticas comerciales/
Pérdidas derivadas del Prácticas de mercado improcedentes,
incumplimiento involuntario o empresariales o de realización de transacciones
Clientes, negligente de una obligación mercado ficticias, manipulación del mercado,
productos y empresarial frente a clientes improcedentes abuso de información privilegiada
prácticas de concretos (incluidos requisitos (en favor de la entidad), lavado de
negocios fiduciarios y de adecuación), o dinero.
de la naturaleza o diseño de un
producto. Defectos del servicio (no autorizado,
Servicio etc.), error en los modelos de los
defectuosos contratos, error en servicio o
prestación brindada al cliente.
Ausencia de investigación a clientes
Selección,
conforme a las directrices, exceso
patrocinio y
de los límites de riesgo frente a
riesgos
clientes.
Pérdidas derivadas de daños o
Daños a perjuicios a activos materiales Desastres naturales, pérdidas
Desastres y otros
activos como consecuencia de causadas por personas externas
acontecimientos
materiales desastres naturales u otros (terrorismo, vandalismo).
acontecimientos.
Interrupción
Pérdidas derivadas de Deficiencias de los sistemas de
del negocio y
interrupciones en el negocio y Sistemas información o telecomunicaciones;
fallos en los
de fallos en los sistemas. fallas en energía eléctrica.
sistemas

Anexo No. 1

Tipo de Definición Tipo de evento Ejemplos

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 16 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

evento (Nivel 2)
(Nivel 1)
Recepción, ejecución
Errores de introducción de
y mantenimiento de
datos.
operaciones
Incumplimiento de la
Seguimiento y obligación de informar,
presentación de inexactitud de informes
informes externos (con generación de
pérdidas).
Pérdidas derivadas de errores en
Ejecución, el procesamiento de operaciones Inexistencia de autorizaciones
Aceptación de
entrega y o en la gestión de procesos, así o rechazos de clientes,
clientes y
gestión de como de relaciones con documentos jurídicos
documentación
procesos contrapartes comerciales y inexistentes o incompletos.
proveedores.
Fallos de contrapartes
Contrapartes distintas de clientes, otros
comerciales litigios con contrapartes
distintas de clientes.
Prestaciones de Subcontratación,
servicios con incumplimiento de las
terceros, obligaciones estipuladas (con
distribuidores y generación de perdidas),
proveedores litigios con proveedores.

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 17 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

Anexo No. 2

DETALLE DE LÍNEAS DE NEGOCIO

Nivel 1 Nivel 2 Grupos de Actividades

Proveeduría de Dinero Registros de Dinero Electrónico. Vinculación de los participantes y
Electrónico. titulares del registro.

Medios de Pago móviles. Pagos, transferencia de fondos y

liquidación.

Recepción de dinero. Recepción de dinero proveniente

del exterior.

Conversión de dinero electrónico Conversión de registros de dinero

a dinero en efectivo. electrónico a dinero en efectivo.

Anexo No. 3

TABLA DE CONTENIDO DE LA BASE DE DATOS DE REGISTRO DE EVENTOS

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 18 de 19
www.bcr.gob.sv
 CNBCR-03/2020
NRP-22
Aprobación: 26/02/2020 NORMAS TÉCNICAS PARA LA GESTIÓN INTEGRAL DE RIESGOS DE LAS
SOCIEDADES PROVEEDORAS DE DINERO ELECTRÓNICO
Vigencia: 01/04/2020

N° Nombre Descripción
1 Referencia Código interno que identifique el evento en forma secuencial.
2 Factor de riesgo operacional De acuerdo al artículo 18 de las presentes Normas.
3 Tipo de evento de pérdida Identifica el tipo de pérdida, de acuerdo con la clasificación del
Anexo No. 1.
4 Líneas de negocio Identificación de la línea de negocio que originó el evento,
detalladas en Anexo No. 2.
5 Descripción del evento Descripción detallada del evento. Canal de servicio o atención al
cliente (cuando aplique). Zona geográfica.
6 Fecha de inicio del evento Fecha en que se inicia el evento: día, mes y año.
7 Fecha de finalización del evento Fecha en que finaliza el evento: día, mes y año.
8 Fecha del descubrimiento Fecha en que se descubre el evento: día, mes y año.
9 Fecha de contabilización Fecha en que se registra contablemente la pérdida económica
por el evento: día, mes y año.
10 Monto El monto a que asciende la pérdida, cuantificación económica de
la ocurrencia del evento de riesgo operacional y los gastos
derivados de su atención.
11 Divisa Moneda extranjera en la que se materializa el evento.
12 Cuentas contables afectadas Identifica las cuentas del Catálogo de Cuentas afectadas.
13 Proceso Identifica el proceso afectado.
14 Valor total recuperado El valor total recuperado por la acción directa de la entidad.
Incluye los montos recuperados por seguros.
15 Valor recuperado por seguros Corresponde al valor recuperado por la cobertura a través de un
seguro.
16 Producto o servicio afectado Identifica el producto o servicio afectado por el evento de riesgo
operacional.
17 Cuantificación de la severidad Monto a que asciende la pérdida (neta de cualquier mitigante o
del daño recuperación).

Para la creación del registro de eventos de riesgo operacional las entidades podrán utilizar, además de los
campos descritos anteriormente, otros que se consideren relevantes.

Las entidades que consideren que las bases de datos de eventos de riesgo operacional sean insuficientes
para cuantificar el riesgo operacional, podrán optar por la utilización de bases de datos de fuentes externas,
siempre que dichas bases de datos sean normalizadas y adecuadas a las bases de datos internas de la
entidad.

Alameda Juan Pablo II, entre 15 y 17 Av. Norte, San Salvador, El Salvador.
Tel. (503) 2281-8000 Página 19 de 19
www.bcr.gob.sv