LIBRO I.

- NORMAS DE CONTROL PARA LAS ENTIDADES DE LOS SECTORES FINANCIEROS PÚBLICO Y PRIVADO
TITULO IX.- DE LA GESTIÓN Y ADMINISTRACIÓN DE RIESGOS
CAPÍTULO V.- NORMA DE CONTROL PARA LA GESTIÓN DEL RIESGO OPERATIVO (Capítulo sustituido por la Resolución No. SB-2018-771 d
2018-814 de 13 de agosto de 2018; reformado por Resolución No. SB- 2019-497 de 29 de abril de 2019; sustituido por la Resolución No
con Resolución No. SB-2021-2263 de 28 de diciembre de 2021 con la que sustituyó el nombre “Junta de Política y Regulación Monetaria
Financiera”; sustituido por la Resolución No. SB-2023-01901 de 12 de septiembre de 2023, resolución que fue reformada con Resolución
reformado por Resolución No. SB-2024-02855 de 28 de octubre de 2024).

SECCIÓN I.- ÁMBITO, DEFINICIONES Y ALCANCE

ARTÍCULO 1
 ARTÍCULO 3

SECCIÓN II.- ADMINISTRACION DEL RIESGO OPERATIVO

ARTÍCULO 4

ARTÍCULO 5
ARTÍCULO 5

ARTÍCULO 6

ARTÍCULO 7

ARTÍCULO 8

ARTÍCULO 9

ARTÍCULO 10
 ARTÍCULO 11

SECCIÓN III.- FACTORES DEL RIESGO OPERATIVO

ARTÍCULO 12

ARTÍCULO 13

ARTÍCULO 14
ARTÍCULO 14
 ARTÍCULO 16.-

SECCIÓN IV. GESTIÓN DE INCIDENTES Y PROBLEMAS

ARTÍCULO 17
SECCIÓN V. GESTIÓN DE LA CONTINUIDAD DE NEGOCIO

ARTÍCULO 18

ARTÍCULO 19
 ARTÍCULO 20

SECCIÓN VI.- RIESGO LEGAL

ARTÍCULO 21

ARTÍCULO 22

SECCIÓN VII.- SERVICIOS PROVISTOS POR TERCEROS

SECCIÓN VIII.- SEGURIDAD DE LA INFORMACIÓN

ARTÍCULO 24
ARTÍCULO 25

ARTÍCULO 26
SECCIÓN IX.- SEGURIDAD EN CANALES ELECTRÓNICOS

ARTÍCULO 27
ARTÍCULO 28

ARTÍCULO 29
 ARTÍCULO 30

ARTÍCULO 31

ARTÍCULO 32

ARTÍCULO 33

DISPOSICIONES GENERALES
generados a través de: sistemas de cómputo, programas electrónicos de computadoras, datos y medios electrónicos, v
a) Revelación ilegal de bases de datos;
b) Interceptación ilegal de datos;
nsferencia electrónica del activo patrimonial; y,
que a la integridad a los sistemas informáticos.
de medidas adicionales a las previstas en la presente norma, con el propósito de reducir la exposición al riesgo operativ
de la Nota Metodológica emitida por la Superintendencia de Bancos. (Disposición sustituida por Resolución No. SB-202
al de los eventos de riesgos operativos. (Disposición sustituida por Resolución No. SB-2024-02855 de 28 de octubre de
o puede realizar una supervisión a fin de verificar la implementación de la presente norma.
finirá la información que se requiera para la implementación de la presente norma.
mplados en la presente norma, serán resueltos por la Superintendencia de Bancos.

DISPOSICIONES TRANSITORIAS
más deben ser implementados en el plazo de 150 días a partir de su expedición, la verificación del cumplimiento de las
ser implementadas hasta máximo el 31 de diciembre de 2023. (reformada por Resolución No. SB-2023-02343 de 13 de
 NORMAS DE CONTROL PARA LAS ENTIDADES DE LOS SECTORES FINANCIEROS PÚBLICO Y PRIVADO
X.- DE LA GESTIÓN Y ADMINISTRACIÓN DE RIESGOS
V.- NORMA DE CONTROL PARA LA GESTIÓN DEL RIESGO OPERATIVO (Capítulo sustituido por la Resolución No. SB-2018-771 de 30 de julio de 2018; re
e 13 de agosto de 2018; reformado por Resolución No. SB- 2019-497 de 29 de abril de 2019; sustituido por la Resolución No. SB-2021-2126 de 02 de
ción No. SB-2021-2263 de 28 de diciembre de 2021 con la que sustituyó el nombre “Junta de Política y Regulación Monetaria y Financiera” por “Junta
; sustituido por la Resolución No. SB-2023-01901 de 12 de septiembre de 2023, resolución que fue reformada con Resolución No. SB-2023-02343 de
por Resolución No. SB-2024-02855 de 28 de octubre de 2024).

I.- ÁMBITO, DEFINICIONES Y ALCANCE

Las disposiciones de la presente norma son aplicables a las entidades de los sectores financieros público y p
texto de esta norma, se las denominará entidades controladas.
El marco de la administración del riesgo operativo es de responsabilidad del órgano de gobierno y de los com
entidades controladas.
Entiéndase como sector financiero público a los bancos y corporaciones y como sector financiero privado a lo
especializados, entidades de servicios financieros y entidades de servicios auxiliares del sistema financiero,
Orgánico
Para efectoMonetario y Financiero.
de administrar adecuadamente el riesgo operativo, además de las disposiciones contenidas en la
entidades controladas observarán las disposiciones de la “Política para la gestión integral y administración d
de los sectores financieros público y privado”, emitida por la entonces Junta de Política y Regulación Moneta
de control para la gestión integral y administración de riesgos de las entidades de los sectores financieros pú
por la Superintendencia
Conforme de Bancos.
a las atribuciones dispuestas en el artículo 63 del Código Orgánico Monetario y Financiero, la Supe
podrá solicitar en cualquier momento, a cualquier entidad sometida a su control, la información que consider
alguno, en el ámbito de su competencia.
Para efectos de la aplicación de las disposiciones de la presente norma, se considerarán las siguientes defini
1. Actividad.- Es el conjunto de tareas que ejecutan las entidades controladas.
2. Administración de la continuidad del negocio.- Es un proceso permanente que garantiza la continuidad de
entidades controladas, a través del mantenimiento efectivo de un sistema de gestión de continuidad del neg
3. Administración de la información.- Es el proceso mediante el cual se captura, procesa, almacena y transm
independientemente del medio que se utilice; ya sea impreso, escrito, almacenado electrónicamente, transm
medios electrónicos o presentado en imágenes.
4. Alfanumérico.- Es el conjunto de caracteres conformado por letras y números.
5. Apetito al riesgo. - Es el nivel de exposición al riesgo operativo, definido por la entidad controlada, que est
aceptar, en el desarrollo de sus operaciones con la finalidad de alcanzar sus objetivos estratégicos.
6. Aplicación informática.- Se refiere a los procedimientos programados a través de alguna herramienta tecn
administración de la información y la oportuna toma de decisiones.
7. Banca electrónica.- Son los servicios suministrados por las entidades controladas a los clientes y/o usuario
internet, indistintamente del dispositivo tecnológico del cual se acceda.
8. Banca móvil.- Son los servicios suministrados por las entidades controladas a los clientes y/o usuarios, a tr
informáticas propias de los dispositivos móviles mediante los protocolos de estos equipos.
9. Cajeros automáticos (ATM).- Son máquinas conectadas informáticamente a una entidad controlada que pe
ciertas
10. transacciones.
Canales electrónicos.- Se refiere a todas las vías o formas a través de las cuales los clientes y/o usuarios
transacciones con las entidades controladas, mediante el uso de elementos o dispositivos electrónicos o tecn
tarjetas, conforme a los tipos de canales (tabla 107) definidos en el manual de tablas de la normativa vigent
Bancos.
11. Capacidad al riesgo operativo .- Es el nivel máximo de riesgo operativo que la entidad financiera puede s
en la continuidad de las operaciones.
12. Causa raíz.- Es la causa principal que genera un incidente o problema; su identificación permite aplicar s
prevenir y resolver sistemáticamente la ocurrencia de incidente o problema, con el objetivo de evitar futuras
13. Centro de procesamiento de datos.- Es la infraestructura que permite alojar los recursos relacionados co
el procesamiento, almacenamiento y transmisión de la información.
14. Ciberseguridad.- Conjunto de medidas de protección de la infraestructura tecnológica y de la información
de las amenazas que ponen en riesgo la información procesada por los diferentes componentes tecnológicos
15. Cifrar.- Es el proceso mediante el cual la información o archivos son alterados en forma lógica, con el obj
no autorizado pueda interpretarlos al verlos o copiarlos, por lo que se utiliza una clave en el origen y en el de
16. Computación en la nube.- Es la provisión de servicios informáticos accesibles a través de la internet, esto
infraestructura, plataforma y/o software.
17. Confidencialidad.- Es un principio y una práctica que se refiere a la protección y resguardo de la informac
evitar su acceso o divulgación no autorizada.
18. Cumplimiento.- Se refiere a la observancia y aplicación de las leyes, reglamentos y demás normativa, as
contractuales en los procesos, actividades y operaciones a los que las entidades están sujetas.
19. Corresponsales no bancarios (CNB).- Son canales mediante los cuales las entidades de los sectores finan
bajo su entera responsabilidad, pueden prestar sus servicios a través de terceros que estén conectados a la
mediante sistemas de transmisión de datos, previamente autorizados por el organismo de control, identifica
todas las condiciones de control interno, seguridades físicas y de tecnología de información, entre otras.
20. Datos.- Es cualquier forma de registro sea este electrónico, óptico, magnético, impreso o en otros medio
capturado, almacenado, procesado y distribuido.
21. Datos personales.- Datos que identifican o hacen identificable a una persona natural, directa o indirectam
22. Disponibilidad.- Es el atributo de que los usuarios autorizados tienen acceso a la información cada vez qu
los medios que satisfagan sus necesidades.
23. Evento de riesgo operativo.- Es el hecho que deriva en pérdidas para las entidades controladas, originad
en los factores de riesgo operativo.
24. Estándar ANSI TIA-942.- Guía que proporciona una serie de recomendaciones y directrices para la instala
de centros de procesamiento de datos en los aspectos de: telecomunicaciones, arquitectura, sistema eléctric
25. Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de riesgo operativo. Los factore
tecnología de la información y eventos externos.
26. Indicadores Claves de Riesgo.- Es una métrica que permite monitorear la exposición a un determinado ri
acciones oportunas en el caso de desviaciones.
27. Información.- Es cualquier forma de registro electrónico, óptico, magnético o en otros medios, previamen
datos, que puede ser almacenado, distribuido y sirve para análisis, estudios, toma de decisiones, ejecución d
entrega
28. de un servicio.
Incidente.- Es una interrupción no planificada de un servicio o la reducción de su calidad, que afecta el no
sus servicios.
29. Información crítica.- Es la información considerada esencial para la continuidad del negocio y para la ade
30. Insumo.- Es el conjunto de materiales, datos o información que sirven como entrada a un proceso.
31. Integridad.- Es el atributo de mantener la totalidad y exactitud de la información y de los métodos de pro
32. Línea de negocio.- Es una especialización del negocio que agrupa procesos encaminados a generar produ
especializados para atender un segmento del mercado objetivo, definido en la planificación estratégica de la
33. Medios electrónicos.- Son los elementos de la tecnología que tienen características digitales, magnéticas
electromagnéticas u otras similares.
34. Mensajería Móvil.- Comunicación basada en mensajes a través de dispositivos móviles que permitan el re
seguimiento a la trazabilidad.
35. Perfil de Riesgo Operativo.- Es el nivel del riesgo de la entidad que refleja la naturaleza y magnitud de lo
que Pista
36. está de
expuesto.
auditoría.- Es el registro de datos lógicos de las acciones o sucesos ocurridos en los sistemas ap
sistemas operativos y demás elementos tecnológicos, con el propósito de mantener información histórica pa
supervisión y auditoría.
37. Plan de continuidad del negocio.- Es el conjunto de procedimientos que orientan a las entidades a mante
caso de que ocurran interrupciones que afecten sus servicios.
38. POS y PIN Pad.- Son dispositivos de hardware y/o software fijos o móviles ubicados en puntos de venta qu
transacciones con tarjetas.
39. Primera línea de defensa.- Corresponde a la gestión operativa y de negocio que gestionan los riesgos ope
control interno efectivo para identificar, evaluar, controlar, mitigar y notificar los riesgos asociados con sus a
controles adecuados; y, de que se sigan las políticas y procedimientos establecidos.
40. Problema.- Consecuencia de uno o varios incidentes críticos o un incidente que se repite muchas veces y
su causa raíz.
41. Procedimiento.- Es la forma específica para llevar a cabo una actividad o un proceso.
42. Proceso.- Es el conjunto de actividades que transforman insumos en productos o servicios con valor para
utilizando recursos de la entidad.
43. Proceso crítico.- Es el conjunto de actividades indispensables para la continuidad del negocio y las opera
controlada, y cuya falta de identificación o aplicación deficiente puede generarle un impacto negativo.
44. Propietario de la información.- Es la persona encargada de cuidar la integridad, confidencialidad y dispon
debe tener autoridad para especificar y exigir las medidas de seguridad necesarias para cumplir con sus res
45. Protección de datos personales. - Es un conjunto de prácticas de seguridad para evitar el uso indebido e
para salvaguardarlos contra filtraciones, pérdida o compromiso de los datos.
46. Proveedor Sistémico. - Compañía que presta servicios a las entidades del sistema financiero que ante la
evento o una serie de eventos pueda ocasionar una severidad con consecuencias sistemáticas.
47. Punto de recuperación objetivo (RPO).- Es la cantidad máxima aceptable de pérdida de los datos medido
48. Resiliencia Operativa. - Capacidad de una entidad para seguir entregando los servicios críticos durante e
capacidad le permite a la entidad identificar y protegerse de amenazas y potenciales fallas, respondiendo y
como, recuperarse y aprender de los eventos disruptivos con la finalidad de minimizar su impacto hacia el fu
servicios
49. Segundacríticos.
línea de defensa. - Corresponde a las áreas especializadas, quienes establecen las políticas y es
operativo, monitorean y hacen contraposición de los controles diseñados y evaluados en la primera línea de
definir y mantener el marco de gestión de riesgos de la organización y proporcionan un monitoreo independi
riesgos.
50. Seguridad de la información. -Son los mecanismos adoptados por la entidad que le permiten preservar la
integridad y disponibilidad de la información y los recursos relacionados con ella, incluye los aspectos relacio
51. Sistema de audio respuesta (IVR).- Es un sistema automatizado de respuesta interactiva, orientado a ent
a través del teléfono.
52.Tarea.- Es el conjunto de pasos que conducen a un resultado final visible y mesurable.
53. Tecnología de la información.- Es el conjunto de herramientas y métodos empleados para llevar a cabo la
información. Incluye el hardware, software, sistemas operativos, sistemas de administración de bases de dat
comunicaciones, entre otros.
 54. Tarjeta con chip.- Es la tarjeta que posee circuitos integrados (chip) que permiten la ejecución de cierta l
contiene memoria y microprocesadores.
55. Tarjeta contactless.- Es la tarjeta que dispone de una tecnología NFC (Near Field Communication) que pe
comunicación inalámbrica de corto alcance y alta frecuencia, transaccionar al usuario con tan solo acercar la
lector.
56. Tercera línea de defensa.- Corresponde a la función de auditoría interna quien proporciona una evaluació
de la eficacia global del marco de gobierno, riesgo y control de una organización. A través de su trabajo de a
primeras líneas de defensa son efectivas en la identificación, evaluación, control y monitoreo de los riesgos o
57. Tiempo de recuperación objetivo (RTO).- Es el período de tiempo transcurrido después de un incidente, p
o recuperar los recursos antes de que la entidad controlada genere pérdidas significativas.
58. TIER III.- Certificación o clasificación de los centros de datos que permite el mantenimiento concurrente,
99.982% al año, y un tiempo de parada de 1.6 horas, e incluye redundancia en sus componentes de infraest
alternativas de electricidad y refrigeración en caso de emergencia.
59. Transacciones.- Son movimientos que realizan los clientes y/o usuarios a través de los canales que brind
ser monetarias y no monetarias.
a) Transacciones monetarias.- Son las que implican movimiento de dinero y son realizadas por los clientes a
presenciales o canales electrónicos, tales como: transferencias, depósitos, retiros, operaciones de crédito, pa
móvil, entre otras.
b) Transacciones no monetarias.- Son las que no implican movimiento de dinero y son realizadas por los clien
presenciales o canales electrónicos, tales como: consultas, cambios de clave, personalización de condiciones
60. Tolerancia al riesgo. Es el grado de desviación del riesgo operativo respecto del nivel de apetito de riesg
que la entidad puede soportar.
Para efectos de la presente norma, el riesgo operativo se entenderá como la posibilidad de que se ocasionen
derivados de fallas o insuficiencias en los factores de: procesos, personas, tecnología de la información y por
riesgo operativo incluye el riesgo legal, pero excluye los riesgos: sistémico, estratégico y de reputación.
El riesgo legal es la probabilidad de que las entidades controladas sufran pérdidas debido a que los activos y
encuentren expuestos a situaciones de mayor vulnerabilidad; que sus pasivos puedan verse incrementados
esperados, o que el desarrollo de sus operaciones enfrente la eventualidad de ser afectado negativamente,
impericia, imprudencia o dolo, que deriven de la inobservancia, incorrecta o inoportuna aplicación de disposi
normativas, así como de instrucciones de carácter general o particular emanadas de los organismos de cont
respectivas competencias; o, en sentencias o resoluciones jurisdiccionales o administrativas adversas; o, de
los textos, formalización o ejecución de actos, contratos o transacciones, inclusive distintos a los de su giro o
porque los derechos de las partes contratantes no han sido claramente estipulados.
II.- ADMINISTRACION DEL RIESGO OPERATIVO
En el marco de la administración integral de riesgos, y alineado al apetito y tolerancia del riesgo definidos po
entidad controlada debe definir políticas, procesos, procedimientos y metodologías para la administración de
riesgo específico; y, definirán y adoptarán un modelo basado en el esquema de tres líneas de defensa consid
tamaño, naturaleza, complejidad de sus operaciones y demás características propias.
Las líneas de defensa relacionadas con el riesgo operativo de las entidades controladas deben cumplir y sin
funciones:
1. Primera línea
a) Identificar y evaluar la materialidad de los riesgos operativos inherentes a su gestión de negocio y operati
herramientas de gestión de riesgos operativos;
b) Establecer controles apropiados para mitigar los riesgos operativos inherentes y evaluar el diseño y la efe
c) Reportar los perfiles de riesgo operativo de la gestión de negocio y operativa;
d) Informar sobre los riesgos operativos residuales no mitigados por los controles, incluidos los eventos de p
control, deficiencias de procesos y sus incumplimientos.
2. Segunda línea
a) Desarrollar una visión independiente con respecto a las unidades de negocio, identificar riesgos operativo
y monitorear permanentemente el apetito y la tolerancia al riesgo operativo;
b) Evaluar periódicamente en la gestión de negocio y operativa la implementación de las metodologías o her
riesgo operativo, manteniendo evidencias de la evaluación realizada;
c) Desarrollar y mantener políticas, estándares y directrices de gestión y medición de riesgos operativos;
d) Monitorear y reportar el perfil de riesgo operativo;
e) Diseñar y brindar capacitación y concientización sobre los riesgos operativos;
3. Tercera línea
a) Revisar el diseño y la implementación de los sistemas de gestión de riesgos operativo y los procesos asoc
segunda línea de defensa;
b) Revisar los procesos para garantizar que sean independientes y se implementen de manera coherente co
c) Asegurar que los sistemas de cuantificación utilizados para evaluar el riesgo operativo reflejen el perfil de
entidad;
Las entidades controladas deben identificar los riesgos operativos por la línea de negocio, tipo de evento, fac
las fallas o insuficiencias, utilizando para el efecto, una metodología debidamente documentada y aprobada
utilización de herramientas que se ajusten a las necesidades de la entidad, tales como: autoevaluación, map
tablas de control (scorecards), bases de datos u otras.
Los tipos de eventos de riesgo operativo que deben considerarse, al menos, son los listados a continuación;
referirse al Anexo No. 1, de la presente norma:
1. Fraude interno
2. Fraude externo
3. Prácticas laborales y seguridad del ambiente de trabajo;
4. Prácticas relacionadas con los clientes, los productos y el negocio;
5. Daños a los activos físicos;
6. Interrupción del negocio por fallas en la tecnología de la información; y,
7. Deficiencias en el diseño y/o la ejecución de procesos, en el procesamiento de operaciones y en las relacio
terceros.
Una vez identificados los riesgos operativos y las fallas o insuficiencias en relación con los factores de este ri
riesgo determinando su probabilidad de ocurrencia e impacto para la entidad, permitiendo al directorio y a la
una visión clara de la exposición al riesgo operativo, con el objetivo de alertarlos en la toma de decisiones y
directorio esté en capacidad de decidir si mitiga, transfiere, asume o evita el riesgo reduciendo sus efectos.
Las entidades controladas deben implementar mecanismos de cuantificación periódica sobre los eventos de
este tipo de riesgos, que permitan reevaluar la declaración de tolerancia institucional ante el riesgo operativ
Aspecto importante de la administración del riesgo operativo es el control, el cual requerirá que las entidade
planes de mitigación formalmente establecidos y validados periódicamente, mediante la revisión de estrateg
actualización o modificación de procesos y procedimientos establecidos; implementación o modificación de l
implementación o modificación de controles; plan de continuidad del negocio; revisión de términos de póliza
contratación de servicios provistos por terceros; u otros, según corresponda. Los controles deben formar par
actividades regulares de la entidad para generar respuestas oportunas ante diversos eventos de riesgo oper
insuficiencias que los ocasionaron. Las entidades controladas deberán implementar mecanismos efectivos pa
relacionados a los factores del riesgo operativo, adicionales a los señalados en la presente norma.
Las entidades controladas deben realizar un monitoreo permanente de los riesgos asociados a sus procesos,
deben contar con un esquema organizado de reportes e informes que permita tener información suficiente, p
la toma de decisiones, el cual debe incluir, como mínimo:
1. Reporte de indicadores claves de riesgo operativo que permitan evaluar la eficiencia y eficacia de las polít
procedimientos y metodologías aplicadas;
2. Reporte del grado de cumplimiento de los planes de mitigación;
3. Reporte de la matriz y mapas de riesgos operativos, que incluya, como mínimo: línea de negocio, proceso
riesgo, riesgo / evento de riesgo operativo, factor de riesgo operativo, fallas o insuficiencias, impacto inicial,
frecuencia, riesgo inherente/ inicial, controles existentes/ planes de mitigación, impacto final, probabilidad fi
Además, la entidad controlada en los informes trimestrales dirigidos al comité de administración integral de
niveles de exposición al riesgo operativo, la evolución de los riesgos reflejados en sus respectivos indicadore
eficiencia y eficacia de las políticas, procesos, procedimientos y metodologías aplicadas; el grado de cumplim
mitigación; y, conclusiones y recomendaciones; de manera que puedan ser analizados con una perspectiva d
desempeño en la administración del riesgo operativo; así como, para establecer o modificar políticas, proces
metodologías, entre otros.

En razón de que la administración del riesgo operativo constituye un proceso continuo y permanente; y, para
riesgo, las entidades controladas deben conformar bases de datos centralizadas, que permitan registrar, ord
de información sobre los riesgos y eventos de riesgo operativo incluidos los de orden legal, de seguridad de
provistos por terceros y de continuidad del negocio, el efecto cuantitativo de pérdida producida y estimada,
probabilidad, y otra información que las entidades controladas consideren necesaria y oportuna, para que se
atribuibles a este tipo de riesgo. La administración de la base de datos es responsabilidad de la unidad de rie

Las entidades controladas deben definir una política de comunicación formal sobre los eventos de riesgo ope
interna o externamente y que esté sujeta a revisión periódica, en función de las estrategias organizacionales
implementar un proceso para evaluar el impacto de la información a comunicar en función a su gestión de ri
 La función de auditoría interna, al encargarse del aseguramiento independiente, es la responsable de evalua
independientemente, que las unidades y las actividades de la institución relacionadas con la gestión del ries
y segunda línea de defensa, cumplan con los lineamientos establecidos en la presente norma, en concordan
Norma de Control para la Calificación de los Auditores Internos de las Entidades de los Sectores Financieros P
Codificación de Normas de la Superintendencia de Bancos en su parte pertinente. Sin perjuicio de lo mencion
eficacia de los controles implementados para mitigar el riesgo operativo en cada uno de sus factores y gene
que
1. Laevidencien
verificacióndicha
de lalabor, incluyendo:
efectividad de las medidas de seguridad que la entidad controlada debe implementar
electrónicos
2. La revisióny/o tarjetas.de la efectividad del sistema de gestión de continuidad del negocio y del sistema de
periódica
la información.
III.- FACTORES DEL RIESGO OPERATIVO

Con el propósito de minimizar la probabilidad de incurrir en pérdidas atribuibles al riesgo operativo, las entid
administrar el riesgo operativo para cada uno de sus factores, que son: procesos, personas, tecnología de la
externos.

Factor Procesos.- Con el objeto de garantizar la optimización de los recursos y la estandarización de las activ
controladas adoptarán un enfoque eficiente y eficaz de gestión por procesos, tomando como referencia el es
incluir, pero no se limita a:
1. Definir el mapa de procesos de conformidad con la estrategia y las políticas adoptadas por la entidad, mis
agrupados de la siguiente manera:
a) Procesos gobernantes o estratégicos.- Se considerarán a aquellos que proporcionan directrices y políticas
responsabilidad compete al directorio y la alta gerencia para poder cumplir con los objetivos institucionales.
planificación estratégica, los lineamientos de acción básicos, la estructura organizacional, la administración i
continuidad
b) del negocio, fundamentales
Procesos productivos, seguridad de la uinformación,
operativos.-entre otros.
Son los procesos esenciales de la entidad, destinados
actividades que permiten ejecutar efectivamente las políticas y estrategias relacionadas con la calidad de lo
ofrecen a sus clientes; y,
c) Procesos habilitantes, de soporte o apoyo.- Son aquellos que permiten a los procesos gobernantes y produ
2. Asignar los procesos productivos a las líneas de negocio de acuerdo con los productos y servicios que gen
uno de los procesos le corresponda una línea de negocio y que ningún proceso permanezca sin asignar; si al
interviene en más de una línea de negocio, la entidad debe utilizar la metodología que haya establecido form
3. Definir formalmente una metodología para el diseño, control, actualización, seguimiento y medición de los
debe contener, al menos, pero sin limitarse a, lo siguiente:
a) Descripción y diagramación en secuencia lógica y ordenada de las actividades, tareas, y controles.
b) Determinación de los responsables de los procesos, que serán aquellas personas encargadas de su correc
establecimiento de controles y planes de acción para una correcta administración del riesgo operativo. Para
establecer controles o planes de mitigación que permitan minimizar la ocurrencia de posibles eventos de rie
garantizando su actualización.
c) Identificación de los clientes internos y externos.
d) Productos y servicios que genera.
e) Difusión y comunicación de los procesos buscando garantizar su correcta aplicación; y,
f) Actualización y mejora continua a través del seguimiento periódico en su aplicación, al menos, una vez al a
productivos; y, para el resto, al menos, una vez cada dos años.
4. Mantener inventarios actualizados de los procesos existentes, que cuenten, como mínimo, con la siguiente
proceso (gobernante, productivo, de apoyo), línea de negocio, nombre del proceso, tipo de proceso (crítico, n
procedimientos asociados al proceso, responsables del proceso (nombre, cargo, área), producto o servicio en
aprobación,
5. Mantener fecha de actualización.
separación de funciones que evite concentraciones de carácter incompatible, entendidas estas,
ejecución por una sola persona, eventualmente, podría permitir la realización o el ocultamiento de fraudes, e
eventos de riesgo operativo.
6. Definir indicadores para cada uno de los procesos que le permitan a la entidad medir la eficacia y eficienc
Factor Personas.- Las entidades controladas deben administrar el capital humano de forma que les permita g
asociados a este factor.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo operativo, las entidades contro
1. Definir formalmente políticas, procesos y procedimientos para la incorporación, permanencia y desvincula
de la entidad, soportados técnicamente y ajustados a las disposiciones legales, de manera que, aseguren la
administración del capital humano, mismos que corresponden a:
a) Incorporación.- Comprende la planificación de necesidades, el reclutamiento y la selección, la contratación
personal. Las entidades controladas deben evaluar su organización con el objeto de definir el personal mínim
de trabajo y las competencias idóneas para el desempeño de cada puesto, considerando no sólo experiencia
académica, sino también los valores, actitudes y habilidades personales que puedan servir como criterio par
institucional.
b) Permanencia.- Comprende la creación de condiciones laborales idóneas mediante la planificación y ejecuc
capacitación y formación que permitan al personal aumentar y perfeccionar sus conocimientos, competencia
de evaluación del desempeño que permita medir y estimular la gestión del personal de la entidad y a su vez
motiven la adhesión a los valores institucionales; identificar los puestos críticos y el personal clave de la enti
reemplazo en el caso de ausencia temporal o definitiva, con la finalidad de dar continuidad a las operaciones
c) Desvinculación.- Comprende la planificación de la salida del personal por causas regulares o irregulares a
aspectos jurídicos para llegar al finiquito y a la finalización de la relación laboral.
2. La entidad controlada debe asegurar que se mantengan actualizados los acuerdos de confidencialidad rela
que ejecuta el empleado y los riesgos asociados a las funciones que desempeña.
3. La entidad controlada debe determinar responsabilidades y deberes de seguridad de la información que p
después del cambio de funciones o de la terminación de la relación laboral, mismos que deben ser incluidos
confidencialidad.
4. Mantener un archivo digital centralizado con información actualizada del capital humano, misma que debe
académica y experiencia; forma y fechas de reclutamiento, selección y contratación; información histórica so
capacitación en los que ha participado; cargos que ha desempeñado en la entidad; resultados de evaluacion
realizadas; fechas y causas de separación del personal que se ha desvinculado; con la finalidad de permitir l
parte de los niveles directivos y la realización de análisis cualitativos y cuantitativos de acuerdo con sus nece
Factor Tecnología de la Información.- Las entidades controladas deben contar con tecnología de la informaci
procesamiento, almacenamiento y transmisión de la información de manera oportuna, confiable y segura; ev
negocio y lograr que la información, inclusive aquella bajo la modalidad de servicios provistos por terceros, e
de decisiones.
Para considerar la existencia de un apropiado ambiente de gestión de riesgo tecnológico, las entidades contr
mínimo, pero sin limitarse a:
1. Contar con un área de tecnología de la información en función del tamaño y complejidad de las operacion
de tecnología, que es el responsable de evaluar, y supervisar las actividades estratégicas de carácter tecnol
El comité de tecnología estará integrado como mínimo por: un miembro del directorio, quien lo presidirá, el r
entidad, el funcionario responsable del área de riesgo operativo, el funcionario responsable del área de segu
funcionario responsable del área de tecnología, quienes no podrán delegar su participación; a excepción del
podrá efectuar esta delegación solamente a quien le subrogue estatutariamente en sus funciones. En caso d
definitiva del miembro del directorio de la entidad del sector financiero público, el comité será presidido por
cuyo caso esta presidencia no será delegable.
El comité de tecnología expedirá un reglamento en donde se establezcan, como mínimo, el objetivo, sus fun
que será aprobado conforme corresponda dentro de la estructura organizacional de la entidad controlada.
Las reuniones de este comité se realizarán, al menos, trimestralmente o cuando la situación lo amerite, deja
decisiones adoptadas, mismas que deben ser comunicadas al Directorio.
2. Con el objeto de garantizar que la administración de la tecnología de la información soporte los requerimie
y futuros de la entidad, esta debe contar, al menos, con lo siguiente, pero sin limitarse a ello:
a) El apoyo y compromiso formal del directorio, a través de la aprobación de un plan estratégico de tecnolog
alineado con el plan estratégico institucional; y, un plan operativo anual que establezca las actividades a eje
traducido en tareas, cronogramas, personal responsable y presupuesto, de manera que se asegure el logro d
tecnológicos propuestos; y,
b) Políticas, procesos, procedimientos y metodologías de tecnología de la información, alineados a los objetiv
entidad, así como las consecuencias de su incumplimiento.
Las políticas, procesos, procedimientos y metodologías de tecnología de la información deben ser revisados
de tecnología y propuestos para la posterior aprobación del directorio; deben ser difundidos y comunicados a
involucrado de tal forma que se asegure su cumplimiento.
La aprobación de los manuales de procesos, procedimientos y metodologías de tecnología de la información
comité de tecnología de la información; y en estos casos debe poner en conocimiento del Directorio lo aprob
3. Con el objeto de garantizar que las operaciones de tecnología de la información satisfagan los requerimien
controladas, se debe implementar, al menos, lo siguiente, pero sin limitarse a ello:

a) Procedimientos que establezcan las actividades y responsables de la operación y el uso de los centros de
controles que eviten accesos no autorizados;

b) Procedimientos de gestión de incidentes y problemas de tecnología de la información, que considere al m

raíz del problema con personal técnico independiente del personal que administra y opera las plataformas af
mantener una base de conocimiento y errores conocidos; definición e implementación de planes de acción e
mitigar la recurrencia así como la correlación de eventos e incidentes catalogados como problemas; impleme
gestión de problemas de TI de acuerdo a la naturaleza, tamaño y complejidad de la entidad controlada; y de
de indicadores clave de rendimiento para la gestión de problemas de TI.

c) Procedimientos de respaldo de información periódicos, acorde a los requerimientos legales y de continuid

incluyan: la frecuencia de verificación, eliminación y el transporte seguro hacia una ubicación remota, que n
mismos riesgos del sitio principal y mantenga las condiciones físicas y ambientales necesarias para su prese
recuperación.
4. Con el objeto de garantizar que el proceso de adquisición, desarrollo, implementación y mantenimiento de
los objetivos del negocio, las entidades controladas deben implementar una metodología que permita la adm
ciclo de vida de desarrollo y mantenimiento de las aplicaciones informáticas, acorde a las mejores prácticas
función de su naturaleza, considere aspectos como los siguientes, pero sin limitarse a ellos:
a) Requerimientos funcionales aprobados por el área solicitante;
b) Requerimientos técnicos y el análisis de la relación y afectación a la capacidad de la infraestructura tecno
por el área técnica;
c) Técnicas de seguridad de la información en los procesos de desarrollo de las aplicaciones informáticas, co
codificación segura a fin de que en estos procesos se contemple la prevención de vulnerabilidades;

d) Levantamiento y actualización de la documentación técnica y de usuario de las aplicaciones informáticas

e) Aseguramiento de la calidad de software que incluya pruebas técnicas y funcionales que reflejen la acepta
autorizados, así como la verificación del cumplimiento de estándares de desarrollo definidos por la entidad, a
ejecutados por personal independiente al área de desarrollo y mantenimiento de software;

f) Controles para el paso a producción y versionamiento de las aplicaciones informáticas, que considere su re
respectivas e incluya los cambios emergentes;
g) Seguimiento postproducción que permita verificar que el sistema puesto en producción funciona de mane

h) Para los casos de migración de información, la entidad debe determinar y aplicar controles para garantiza
integridad, disponibilidad y confidencialidad; y,

i) En caso de que la entidad controlada contrate el servicio de desarrollo de software o adquiera un sistema i
que el proveedor cumple con las disposiciones descritas en los numerales precedentes.

5. Con el objeto de garantizar que la infraestructura tecnológica que soporta las operaciones sea administrad
documentada, las entidades controladas deben implementar, al menos, lo siguiente, pero sin limitarse a:

a) Infraestructura que soporta los procesos críticos con la redundancia necesaria para evitar puntos únicos d
mantener el inventario y respaldos de la configuración actualizada e informes de su mantenimiento periódico
de comunicación, debe considerar que la trayectoria de los enlaces principal y alterno sean diferentes;

b) Procedimientos que permitan la administración y monitoreo de las bases de datos, redes de datos, hardwa
incluya límites y alertas;

c) Un informe de análisis de la capacidad y desempeño de la infraestructura tecnológica, incluyendo entre ot

capacidad dinámica para adaptarse a demandas variables para los servicios de infraestructura, que soporten
negocio, que debe ser conocido y analizado por el comité de tecnología con una frecuencia mínima semestra
proporcionar a la entidad controlada información técnica sobre las necesidades de actualización de la infraes
obsolescencia de acuerdo con un proceso de madurez tecnológica, que le permita soportar las operaciones c
además, debe incluir las alertas que hayan sobrepasado los límites de operación segura, dentro de la platafo
para: almacenamiento, memoria, procesador, consumo de ancho de banda; y, para bases de datos: memoria
temporales de trabajo, log de transacciones, almacenamiento de datos, entre otras;
d) Para los casos de migración de la plataforma tecnológica crítica, controles para gestionar la continuidad d
notificación con, al menos, 21 días de anticipación;
 e) Centros de procesamiento de datos, principal y alterno, en áreas protegidas con los suficientes controles q
personal no autorizado, daños a los equipos de computación y a la información en ellos procesada, almacena
condiciones físicas y ambientales necesarias para garantizar el correcto funcionamiento del entorno de la inf
de la información. La ubicación del centro de procesamiento de datos alterno no debe estar expuesta a los m
principal;

f) Ambientes aislados con la debida segregación de accesos para desarrollo, pruebas y producción, los cuale
capacidad requerida para cumplir sus objetivos. Al menos, se debe contar con dos ambientes: desarrollo y p

g) Para el caso de infraestructura provista por terceros, asegurar el cumplimiento de las disposiciones incluid
precedentes.

6. Con la finalidad de asegurar que los cambios a los aplicativos e infraestructura que soportan las operacion
autorizados, documentados, probados, y aprobados por el propietario de la información previo a su paso a pr
controladas deben implementar procedimientos de control de cambios, acorde a las metodologías y mejores
internacionales de la industria, que considere aspectos como los siguientes, pero sin limitarse a:
a) Mecanismos mediante los cuales se iniciarán las solicitudes de cambio;
b) Una metodología para analizar, dar prioridad y aprobar las solicitudes de cambio;
c) Evaluación del impacto de los cambios sobre los aplicativos e infraestructura de producción;
d) Mecanismos de marcha atrás, de modo que el impacto por cualquier falla pueda ser minimizado;
e) Librerías de desarrollo separadas de las librerías de producción, para evitar que una versión de prueba pu
autorizado;
f) Mecanismos que aseguren que los cambios a los aplicativos y a su documentación, se realizan sobre las ve
elementos en producción, y que los cambios realizados al código de las aplicaciones informáticas correspond
por el propietario de la información;
g) El responsable de aseguramiento de la calidad supervisa el mantenimiento de versiones de programa, cód
configuración de la infraestructura, para garantizar su integridad;
h) El responsable del aseguramiento de la calidad debe realizar, en ambientes no productivos, junto con el p
las pruebas y certificación sobre los cambios para garantizar que: ejecuten las funciones requeridas, que la f
existente no se vean afectadas por el cambio, que no se hayan generado riesgos de seguridad debido al cam
toda la documentación actualizada; una vez concluidas exitosamente las pruebas, se debe registrar la aprob
i) Mecanismos para garantizar que el paso de programas desde el ambiente de desarrollo a pruebas y de pro
un grupo independiente a los programadores; y,
j) Procedimientos de cambios de emergencia para casos excepcionales en donde no sea posible seguir el pro
de cambios que incluya su posterior regularización y que permitan asegurar que no se compromete la integr
infraestructura.
Eventos Externos.- En la administración del riesgo operativo, las entidades controladas deben considerar la p
derivadas de la ocurrencia de eventos ajenos a su control, tales como: fallas en los servicios públicos, ocurre
naturales, ataques cibernéticos, eventos de conmoción social, atentados y otros actos delictivos, los cuales p
desarrollo normal de sus actividades.
La gestión de los riesgos relacionados con eventos externos debe formar parte de la administración de la con
manteniendo procedimientos actualizados, a fin de garantizar su capacidad para operar en forma continua y
caso de una interrupción del negocio.
IV. GESTIÓN DE INCIDENTES Y PROBLEMAS
Las entidades controladas deben desarrollar e implementar planes de respuesta y recuperación para gestion
problemas que puedan afectar el normal funcionamiento de sus servicios, especialmente, de sus servicios cr
apetito y la tolerancia al riesgo definida por la entidad, de manera que contribuya a la resiliencia operativa d
las entidades controladas deben garantizar la disponibilidad de los servicios críticos que se ofrecen a los usu
99.99% anual; y, mantener lo siguiente pero sin limitarse a:
1. Asignar un gestor de incidentes y problemas, quien deberá encargarse de la trazabilidad hasta finalizar la
y problemas; y, su respectivo registro en la base de conocimiento.
2. Establecer políticas, procesos, procedimientos y metodologías para la gestión de incidentes y de problema
factores de riesgo operativo.
3. La gestión de incidentes debe abarcar el ciclo de vida del incidente, que incluya entre otros: registro, prio
gravedad, análisis, escalamiento, solución, monitoreo, lecciones aprendidas y reporte a las partes interesada
externas.
4. La gestión de problemas debe considerar al menos: el análisis de la causa raíz del problema con personal
personal que administra y opera las plataformas afectadas por los incidentes; y, mantener una base de cono
conocidos; definición e implementación de planes de acción efectivos que les permita mitigar la recurrencia,
eventos e incidentes catalogados como problemas.
5. Ejecutar pruebas controladas de gestión de incidentes y problemas.
6. Mantener una base de conocimiento de respuesta a incidentes y recuperación que incluya recursos intern
aplique, para respaldar las capacidades de respuesta y reanudación de los servicios. Los procedimientos aso
probarse y actualizarse periódicamente por las áreas involucradas;
 7. Las entidades controladas deberán notificar a la Superintendencia de Bancos cualquier incidente que afec
y servicios críticos. Esta notificación deberá realizarse al correo electrónico definido para el efecto, conforme
circulares emitidas por el organismo de control. Adicionalmente, las entidades controladas deberán remitir u
incidente en un plazo máximo de cinco (5) días posteriores a la ocurrencia del incidente; y, el informe definit
problema en un plazo de hasta diez (10) días a partir de la fecha del incidente. (Numeral sustituido por Reso
de 28 de octubre de 2024)
8. Las entidades controladas deben aplicar los planes de contingencia y continuidad del negocio cuando los i
servicios críticos conforme a la evaluación del impacto del incidente.
V. GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
Administración de la Continuidad del Negocio.- Las entidades controladas deben establecer, implementar, m
sistema de gestión de la continuidad del negocio, para garantizar su capacidad de operar de forma continua
caso de una interrupción grave del negocio, tomando como referencia los estándares de la serie ISO 22301,
mismo que debe contemplar eventos internos y externos, así como, las estrategias para la continuidad del n
contribuya a la resiliencia operativa de la entidad; por lo cual, debe contar con, al menos, con lo siguiente, p
1. Un comité de continuidad del negocio que esté conformado como mínimo por los siguientes miembros: un
quien lo presidirá, el representante legal de la entidad, los funcionarios responsables de las unidades de: ries
información, seguridad de la información, talento humano, y, el responsable de la continuidad del negocio qu
secretario. Los representantes de cada una de las áreas relacionadas con los procesos críticos de la entidad
participarán con voz sin voto. El representante legal podrá delegar su participación solamente a quien le sub
sus funciones. En caso de ausencia temporal o definitiva del miembro del directorio de la entidad del sector
comité será presidido por el representante legal, en cuyo caso esta presidencia no será delegable.
El comité de continuidad del negocio expedirá un reglamento en donde se establezcan, como mínimo, el obj
responsabilidades. Las reuniones de este comité se realizarán, al menos, trimestralmente, o cuando se las re
El comité de continuidad del negocio debe dejar evidencia de las decisiones adoptadas, las
cuales deben ser conocidas y aprobadas por el comité de administración integral de riesgos.
El comité de continuidad del negocio debe tener, al menos, las siguientes responsabilidades, pero sin limitar
a) Evaluar y supervisar el sistema de gestión de continuidad del negocio;
b) Monitorear la implementación del plan de continuidad del negocio y asegurar el alineamiento de este con
administración de la continuidad del negocio;
c) Proponer para la revisión y aceptación del comité de administración integral de riesgos, el plan de continu
actualizaciones;
d) Revisar el presupuesto del plan de continuidad del negocio y ponerlo en conocimiento del comité de admi
riesgos;
e) Dar seguimiento a las potenciales amenazas que pudieran derivar en una interrupción de la continuidad d
coordinar las acciones preventivas; y,
f) Realizar un seguimiento a las medidas adoptadas en caso de presentarse una interrupción de la continuida
2. La entidad debe contar con una persona o área responsable de la gestión de la continuidad de negocio, ac
complejidad de la entidad, que dirija el establecimiento, implementación, mantenimiento y mejora continua
continuidad del negocio de la entidad. El responsable debe tener la capacitación o formación, y experiencia
El marco de referencia del sistema de gestión de continuidad del negocio debe contener, al menos, lo siguie
1. Alcance del sistema de gestión de continuidad en términos del negocio que considere los procesos críticos
2. Políticas, estrategias, objetivos, procesos, procedimientos, metodologías, planes y presupuesto para la ad
continuidad del negocio, que deben ser revisados y actualizados al menos 1 vez al año o cuando existan cam
aceptados por el comité de continuidad del negocio; y, propuestos por el comité de administración integral d
aprobación del directorio. Esta documentación debe ser difundida y comunicada a todo el personal involucra
asegure su cumplimiento.
3. Funciones y responsables de las actividades de continuidad de las operaciones, que permitan cumplir con
para la disponibilidad de las operaciones, acorde al tamaño y complejidad de los procesos administrados por
4. Análisis de impacto del negocio (BIA) que tendría una interrupción de los procesos que soportan los produ
entidad. Para ello, deben aplicar los parámetros para la identificación de los procesos críticos, su punto de re
y tiempos de recuperación objetivo (RTO) definidos por el negocio, los cuales debe ser revisados y de ser el
1 vez al año; una vez identificados los procesos críticos, deben determinar las dependencias internas y exter
para estos procesos, incluyendo tecnología, personal, proveedores y otras partes interesadas. Los RPO y RTO
externos deben cumplir cuando menos con los valores de estos definidos por la entidad para sus procesos cr
El análisis de impacto del negocio (BIA) debe ser revisado al menos 1 vez al año y/o actualizado cuando exis
organización o en su entorno, que puedan afectar sus resultados.
5. Identificación de los principales escenarios de riesgos, incluyendo las fallas en la tecnología de la informac
impacto y la probabilidad de que sucedan. Para ello, debe seguirse una metodología consistente con aquella
de los demás riesgos.
6. Definición, evaluación y selección de estrategias de continuidad por cada proceso crítico que permitan ma
dentro del tiempo objetivo de recuperación definido para cada proceso, mismas que deben tomar en cuenta
seguridad del personal, habilidades y conocimientos asociados al proceso, instalaciones alternas de trabajo,
procesamiento, información necesaria para el proceso; proveedores y aplicativos relacionados.
7. Planes de contingencia y de continuidad del negocio que permita asegurar la disponibilidad de los product
entidad controlada y disminuir los efectos de eventos disruptivos.
 8. Procedimientos de pruebas de los planes de contingencia y del plan de continuidad del negocio que permi
efectividad y realizar los ajustes necesarios, cuando existan cambios que afecten la aplicabilidad del plan o,
las pruebas deben incluir el alcance y el detalle de los aspectos a probar, incluida la participación de los prov
conclusiones y recomendaciones
La entidad controlada obtenidas
periódicamente debe como resultado
monitorear de su el
y evaluar ejecución.
servicio prestado; así como verificar que
equivalente del proveedor de servicios asegure que los planes de contingencia y/o continuidad de las compa
soportan los servicios críticos de la entidad se encuentren actualizados, y que estos sean debidamente proba
precautelar los servicios brindados. Además, la entidad controlada debe incluirlos dentro de sus pruebas anu
resultado de estas debe ser comunicado a las instancias correspondientes.
9. Procedimientos para monitorear, medir y evaluar el desempeño y eficacia del sistema de gestión de la con
10. Procedimientos de difusión, comunicación, entrenamiento y concienciación de los planes de contingencia
negocio.
11. Incorporación del proceso de administración de la continuidad del negocio al proceso de administración i
garantice la actualización y mejora continua del plan de continuidad del negocio.
12. La entidad debe mantener una base de conocimiento de las lecciones aprendidas en función del resultad
al plan de continuidad del negocio, eventos de continuidad materializados, debilidades encontradas en las re
administración de la continuidad del negocio, entre otros.
Plan de Continuidad del Negocio.- Las entidades controladas deben contar con un plan de continuidad del ne
considere como mínimo lo siguiente, pero sin limitarse a:
1. Escenarios de riesgos y procesos críticos cubiertos por el plan;
2. Tiempo de recuperación objetivo (RTO) y punto de recuperación objetivo (RPO) de cada proceso crítico, c
el análisis de impacto en el negocio;
3. Estrategias de continuidad por cada proceso crítico con el detalle de, al menos, lo siguiente, pero sin limit
asociado, instalaciones alternas de trabajo, infraestructura alterna de procesamiento, proveedores, aplicativ
información vital de acuerdo con el análisis de la entidad y cómo acceder a ella;
4. Procedimientos operativos que incluyan las acciones para trasladar las actividades de la entidad controla
transitorias alternativas y para restablecer los procesos críticos de manera urgente; para lo cual deben estab
operaciones que no esté expuesto a los mismos riesgos del sitio principal;
5. Procedimientos de comunicaciones que incluyan: las estrategias de comunicación con el personal involuc
contactos de emergencia, con información tal como: direcciones, teléfonos, correos electrónicos, entre otros
de comunicación; y, comunicación con los grupos de interés;
6. Procedimientos de emergencias que describan las acciones a ejecutar para preservar la seguridad del pe
7. Plan de recuperación de desastres que detalle los procedimientos tecnológicos de restauración en una u
servicios de tecnología de la información, mismos que deben estar dentro de los parámetros establecidos en
negocio, permitiendo una posterior recuperación de las condiciones previas a su ocurrencia. La ubicación rem
expuesta a los mismos riesgos del sitio principal;
8. Roles y responsabilidades de las personas encargadas de ejecutar cada actividad en los procedimientos o
comunicaciones, de emergencia, plan de recuperación de desastres y aspectos logísticos;
9. Criterios de invocación y activación del plan de continuidad del negocio; y,
10. Las entidades que tengan dependencia tecnológica y/u operativa con su matriz en el exterior deben ten
local, conforme la presente norma, y deberá estar correlacionado con las estrategias del plan de continuidad
VI.- RIESGO LEGAL
Con la finalidad de gestionar el riesgo legal y minimizar la probabilidad de incurrir en pérdidas por este tipo d
controladas deben identificar, medir, controlar, mitigar y monitorear los eventos que podrían ocasionar la ma
legal de acuerdo con su propia percepción y perfil de riesgos, orientándolos pero sin limitarse a: los actos so
crédito, las operaciones del giro financiero, las actividades complementarias a las del objeto social, empresa
extranjeras,
Las entidades estipulaciones contractuales
controladas, en y, cumplimiento
función de su legal y normativo.
tamaño y complejidad de operaciones, mantendrán un área de a
nivel de reporte a la gerencia general, con atribuciones y funciones formales para gestionar el riesgo legal; y
capacitado y experimentado. La citada área como parte de sus funciones, mantendrá matrices de gestión de
pudieran estar expuesta la entidad controlada.
VII.- SERVICIOS PROVISTOS POR TERCEROS
Para mantener el control de los servicios provistos por terceros, incluidas las empresas de servicios auxiliare
entidades controladas deben implementar un proceso integral para la administración de proveedores de serv
actividades previas a la contratación, suscripción, cumplimiento y renovación del contrato; para lo cual, debe
con lo siguiente, pero sin limitarse a:
1. Para las actividades previas a la contratación, las entidades controladas deben establecer e implementar
procedimientos que aseguren la evaluación, calificación y selección de los proveedores, relacionados con y s
a) Evaluación de la experiencia de la empresa y de su personal;
b) Evaluación financiera para asegurar la viabilidad de la empresa durante todo el período de contratación p
c) Análisis de informes de auditoría externa, si los tuviere;
d) Evaluación de la capacidad del servicio, instalación y soporte e historial del desempeño con base en los re
controlada;
e) Evaluación de la capacidad logística de la empresa, incluyendo la infraestructura física y tecnológica y rec
f) Análisis del riesgo reputacional de la empresa; y,
g) Gestión de riesgos asociados a los servicios críticos provistos por terceros, que garanticen la gestión de se
incluyendo ciberseguridad y la gestión de la continuidad del negocio, en función a la naturaleza del servicio c
2. Establecer políticas, procesos y procedimientos que aseguren la contratación de servicios en función de lo
entidad controlada, y garanticen que los contratos incluyan, como mínimo, las siguientes cláusulas:
a) Niveles mínimos de calidad del servicio acordado.
b) Garantías financieras y técnicas, tales como: buen uso del anticipo, fiel cumplimiento del contrato, buen fu
disponibilidad del servicio, entre otros.
c) Multas y penalizaciones por incumplimiento.
d) Personal suficiente y calificado para brindar el servicio en los niveles acordados.
e) Capacitación, en los casos que aplique, del servicio contratado y entrega de toda la documentación que so
asociado a los procesos críticos.
f) Seguridad de la información incluyendo Ciberseguridad y protección de datos personales sobre la gestión
entidad controlada en la provisión del servicio proporcionado por el proveedor.
g) Derechos de propiedad intelectual, cuando aplique.
h) Definición del equipo de contraparte y administrador del contrato tanto de la entidad controlada como del
i) Definición detallada de los productos y servicios a ser entregados por el proveedor.
j) Cumplimiento por parte del proveedor de las políticas que establezca la entidad controlada, las cuales deb
norma expedida por la Superintendencia de Bancos, aplicable en función del servicio a ser contratado.
k) Facilidades para la revisión y seguimiento del servicio prestado a las entidades controladas, por parte de l
interna u otra área que estas designen, así como de los auditores externos y la Superintendencia de Bancos,
definidos como críticos.
l) Informes de auditoría externa sobre el cumplimiento de los aspectos relacionados con la seguridad de la in
del negocio referidos en la presente norma, practicados por personal o empresas independientes con experi
emitidos en el último año; o, certificaciones en temas de Seguridad de la Información incluida ciberseguridad
vigentes obtenidas ante certificadoras acreditadas, el alcance de los informes o certificaciones debe ser apli
3. Administrar los riesgos a los que se exponen al contratar servicios provistos por terceros, particularmente
los procesos críticos.
4. Establecer políticas, procesos y procedimientos que aseguren el control y monitoreo de los servicios contr
evaluación, gestión y vigilancia de éstos, a fin de garantizar que se cumplan en todo momento con los nivele
acordados y demás cláusulas establecidas en el contrato. La información utilizada para el monitoreo de los s
ser obtenida por la entidad controlada de manera independiente de aquella que proporcione el proveedor, p
mecanismos técnicos que considere pertinentes, que le permita confirmar el cumplimiento de las condicione
5. Contar con proveedores alternos de los servicios que soportan a los procesos críticos, que tengan la capac
para mitigar el riesgo de dependencia en un solo proveedor; en los casos de proveedor único, la entidad con
que el proveedor cuenta con planes de contingencia y continuidad de negocio, que han sido probados y se e
menos, anualmente y sincronizados con los tiempos definidos por el banco.
6. Para el caso de contratación de servicios de infraestructura, plataforma y/o software, en la nube tanto con
extranjeros; las entidades controladas deberán disponer conforme el servicio contratado: Un informe técnico
información y uno legal, emitido por el personal de la entidad controlada en función de sus competencias, en
identificado los riesgos operativos asociados al servicio y la gestión respectiva.
Además, de identificar y gestionar los riesgos asociados a estos servicios la entidad debe:
a) Informar a la Superintendencia de Bancos sobre el detalle de los servicios asociados a los procesos crítico
incluya entre otros: el tipo de servicio contratado, el detalle del servicio alojado, la arquitectura tecnológica c
el análisis de los riesgos operativos, legales, tecnológicos, de seguridad de la información incluida la ciberse
operaciones a los que se exponen al adoptar este servicio; así como los controles para mitigarlos;
b) Los centros de procesamiento de datos principal y/o alterno, contratados en la nube tanto con proveedore
deben haber sido implementados siguiendo el estándar ANSI-TIA-942 o superior y contar como mínimo con la
equivalente para diseño, implementación y operación y así garantizar la disponibilidad de los servicios brinda
c) El proveedor de servicios en la nube tanto con proveedores nacionales o extranjeros, debe contar, para lo
mínimo, con certificación ISO 27001 en seguridad de la información, así como, la implementación de los con
estándares ISO 27017 (controles de seguridad para servicios en la nube), ISO 27018 (protección de informac
otras similares que aplique conforme el servicio ofertado;
7. Si los servicios provistos por terceros son de carácter financiero, estos están sujetos al cumplimiento de la
Junta de Política y Regulación Financiera y la Superintendencia de Bancos, en lo que corresponda.
8. Para los casos en que las entidades financieras contraten la adquisición o acceso a bases de datos con inf
naturales o jurídicas o de otra naturaleza, deberán aplicar procedimientos para asegurarse que el origen de
encuentra acorde con las leyes vigentes en el país.
9. Para la contratación total o parcial de servicios para ejecución de los procesos críticos, en el exterior, las e
deben notificar a la Superintendencia de Bancos, adjuntando la documentación de respaldo que asegure el c
sección conforme la naturaleza del servicio contratado.
10. Para los casos en que las entidades financieras contraten servicios con las sociedades especializadas de
electrónicos (SEDPES); y, con las administradoras de Sistemas Auxiliares de Pago (ASAP); deben garantizar q
según corresponda de la presente Norma.
 11. La Superintendencia de Bancos definirá los proveedores sistémicos en función de los servicios que ofrezc
mantengan en las entidades controladas. El detalle de los proveedores sistémicos será puesto en conocimien
controladas a fin de que esta característica sea considerada dentro de la gestión integral de sus proveedores
VIII.- SEGURIDAD DE LA INFORMACIÓN
Con el objeto de gestionar la seguridad de la información, para satisfacer las necesidades de la entidad y sal
contra el uso, revelación y modificación no autorizados, así como daños y pérdidas, las entidades controlada
referencia la serie de estándares ISO/IEC 27000, otras normas internacionales aplicables en materia de ciber
sustituyan, y cumplir con las disposiciones legales y normativas vigentes en el país en esta materia; por lo c
con lo siguiente pero sin limitarse a:
1. Funciones y responsables de las actividades de la seguridad de la información que incluya ciberseguridad
definidas, que permitan establecer, implementar, mantener y mejorar continuamente el sistema de gestión
información, acorde al tamaño y complejidad de la entidad.
2. Un comité de seguridad de la información que se encargue de evaluar y supervisar el sistema de gestión d
información.
El comité debe estar conformado como mínimo por: el miembro del directorio quien lo presidirá, el represent
los funcionarios responsables de las áreas de: riesgos, tecnología de la información y seguridad de la informa
delegar su participación; a excepción del representante legal, quien podrá delegar su participación solament
estatutariamente en sus funciones. En caso de ausencia temporal o definitiva del miembro del directorio de
financiero público, el comité será presidido por el representante legal, en cuyo caso esta presidencia no será
El comité de seguridad de la información expedirá un reglamento en donde se establezcan, como mínimo, el
responsabilidades. Las reuniones de este comité se realizarán, al menos, trimestralmente, o cuando la situac
evidencia de las decisiones adoptadas. El comité de seguridad de la información reportará directamente al D
informado permanentemente a la alta gerencia y al comité de administración integral de riesgos.
3. Un área independiente y especializada de Seguridad de la Información que reporte a la máxima autoridad
con personal formado y experiencia en gestión de seguridad de la información y ciberseguridad, acorde al ta
operaciones, que defina estrategias y objetivos de seguridad de la información alineados a las estrategias y
que lidere el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de
de la entidad; y, que debe mantener la independencia funcional de las áreas del negocio, tecnología, riesgos
4. Un responsable del área de seguridad de la información.
Las entidades controladas deben establecer, implementar, mantener y mejorar continuamente un sistema d
la información que incluya, al menos, lo siguiente, pero sin limitarse a:
1. Alcance del sistema de gestión de seguridad de la información.
2. Políticas, procesos, procedimientos y metodologías de seguridad de la información que incluya aspectos d
bajo estándares de general aceptación, alineados a los objetivos y actividades de la entidad, así como las co
incumplimiento. Las políticas, procesos, procedimientos y metodologías de seguridad de la información inclu
ser revisados al menos, una (1) vez al año o cuando se producen cambios significativos; y aceptados por el C
información; y, propuestos para la posterior aprobación del Directorio; así como, ser difundidos y comunicad
involucrado
La aprobacióndede
tallos
forma que sede
manuales asegure su cumplimiento.
procesos, procedimientos y metodologías de seguridad de la información
delegada al Comité de Seguridad de la Información, y en estos casos debe poner en conocimiento del Direct
Comité.
La entidad controlada debe asegurar que sus empleados cumplan con lo establecido en el sistema de seguri
como, proporcionar la capacitación y actualizaciones periódicas relacionadas con el mismo.
3. Inventario de activos de la información acorde al alcance del sistema de gestión de seguridad de la inform
clasificación en términos de: valor, requerimientos legales, sensibilidad y criticidad para la entidad, propietar
4. La designación de los propietarios de los activos de información, que deben tener como mínimo las siguie
a) Clasificar los activos de información y revisar periódicamente el inventario de activos de información, con
actualizado.
b) Definir y revisar periódicamente las restricciones para el uso aceptable de la información y accesos a los a
tomando en cuenta las políticas de control de acceso aplicables; y,
c) Autorizar los cambios funcionales a las aplicaciones informáticas y modificaciones a la información a travé
base
5. La de datos.
gestión de riesgos de seguridad de la información incluidos los de ciberseguridad, se debe realizar med
le permita identificar, medir, controlar/mitigar y monitorear los riesgos asociados a los activos de informació
confidencialidad, integridad y disponibilidad; esta metodología debe estar alineada a la metodología de gest
la entidad.
6. Plan de seguridad de la información que permita la implementación de los controles identificados y accion
los riesgos de seguridad de la información y ciberseguridad. Para el caso de los controles de seguridad de la
con aspectos tecnológicos, estos deben responder a soluciones implementables a través de infraestructuras
respondan a la arquitectura tecnológica definida por el área de Tecnología de la Información, conforme a las
7. Monitoreo, con una frecuencia al menos semestral del cumplimiento y efectividad de los controles estable
del monitoreo en informes que serán comunicados al Comité de Seguridad de la Información y al Directorio.
8. Evaluación, al menos, una vez al año del desempeño del sistema de gestión de la seguridad de la informa
resultados de: auditorías de seguridad, gestión de incidentes de seguridad, monitoreo de los controles, resul
de riesgos, sugerencias, retroalimentación de las partes interesadas, entre otros aspectos; a fin de tomar ac
mejorarlo. El resultado de estas evaluaciones, así como las acciones de mejora deben ser conocidas y aprob
seguridad de la información.
9. Para considerar la existencia de un apropiado ambiente de gestión de seguridad de la información, la unid
establecer, implementar y controlar, al menos, lo siguiente, pero sin limitarse a:
a) Procedimientos para la clasificación de los activos de la información.
b) Medidas para proteger la información contenida en: documentos, medios de almacenamiento u otros disp
intercambio electrónico, contra: robo, utilización, divulgación no autorizada de información, traslados, entre
a los intereses de la entidad, por parte de su personal o de terceros.
c) Procedimientos de eliminación de la información crítica de la entidad, de manera segura y considerando lo
regulatorios. Además, se deberá controlar la eliminación de la información crítica en las bases de datos o rep
proveedores de la entidad después de que presten sus servicios.
d) Procedimientos para el control de accesos a la información que considere la concesión; administración de
registro, eliminación y modificación de la información, que garanticen una adecuada segregación de funcion
error o fraude; así como, la revocación de usuarios, tanto de aplicativos, software base, red, dispositivos de s
de datos, entre otros. También se deberá controlar el acceso de los proveedores a la información de la entid
de sus servicios. Concluida la vigencia del contrato, los accesos deberán ser eliminados.
e) Procedimientos para la gestión de usuarios privilegiados que incluya la utilización de credenciales de usua
autenticación multifactor, registro de la trazabilidad de las acciones ejecutadas y su monitoreo permanente.
usuarios que vienen configuradas por default en las infraestructuras y plataformas tecnológicas deben ser cu
seguridad de la información, y su uso se realizará únicamente en casos excepcionales debidamente justifica
f) Procedimientos para el monitoreo permanente de accesos, operaciones privilegiadas e intentos de acceso
asegurar que los usuarios solo estén realizando actividades para las cuales han sido autorizados tanto a nive
proveedores que por sus actividades tengan accesos permitidos.
g) Procedimientos que permitan contar con pistas de auditoría a nivel de dispositivos de infraestructura, apli
sistemas operativos, entre otros, que registren los cambios realizados a la información crítica de la entidad.
deben tener permiso para borrar ni desactivar las pistas de sus propias actividades.
h) Procedimientos para el uso, protección y tiempo de vida de las llaves criptográficas utilizadas para cifrar l
i) Técnicas de cifrado sobre la información que lo requiera como resultado del análisis de riesgos de segurida
j) Políticas y controles para detectar y evitar la instalación de software no autorizado o sin la respectiva licen
actualizar periódicamente aplicaciones informáticas para detección y desinfección de virus informáticos y de
k) La ejecución de auditorías de seguridad de la información que incluya ciberseguridad, con base en el perfi
por lo menos una (1) vez al año, o antes si se produjeren eventos que ameriten, con el fin de identificar vuln
riesgos que podrían afectar la confidencialidad, integridad y disponibilidad de la información de los servicios
procedimientos de auditoría deben ser ejecutados por personal independiente a la entidad, capacitado y con
estándares vigentes y reconocidos a nivel internacional; estas auditorías deben incluir, al menos, pruebas de
penetración aplicadas a los equipos, dispositivos, canales de comunicación, aplicaciones informáticas, entre
definir
l) y ejecutar planes
La segmentación de la de
redacción sobre
de datos las vulnerabilidades
e implementación detectadas.
de sistemas de control y autenticación tales como:
intrusos (IPS), firewalls, firewall de aplicaciones web (WAF), entre otros, con base en un análisis de riesgos, d
necesidades del negocio y conforme la arquitectura tecnológica definida en la entidad; con el fin de minimiza
inclusive de terceros,
m) Procedimientos especialmente,
para a la
la definición de información crítica.
requerimientos, revisión y actualización de seguridad de la informac
su mantenimiento.
n) Escaneo automatizado de vulnerabilidades en código fuente para mitigar los riesgos de seguridad de las a
liberación, y de aquellas que se encuentran en producción.
o) Procedimientos de afectación directa a las bases de datos que permitan identificar los solicitantes y autor
modificación a la información, así como, el registro de pistas de auditoría que facilite la trazabilidad del camb
p) Procedimientos de difusión, comunicación, entrenamiento y concienciación del sistema de gestión de segu
las partes interesadas internas y externas, según corresponda.
Las entidades controladas deben definir una estrategia y un marco de ciberseguridad alineados a las mejore
para preservar la integridad, confidencialidad y disponibilidad de los activos de información, que le permita i
detectar, responder y recuperarse de manera resiliente y oportuna ante amenazas, eventos e incidentes de
internos como Disponer
1. Identificar.- externos,ypara lo cualprocesos,
mantener debe considerar, pero
prácticas, sin limitarse
recursos humanosa: y tecnológicos, para identificar y
cibernética en los procesos de negocio, en busca de debilidades o vulnerabilidad que podrían ser explotadas
internos y/o externos.
2. Proteger.- Diseñar, implementar y mantener medidas y controles ciberseguridad preventivos de múltiples
defender sus activos tecnológicos.
3. Detectar.- Diseñar, implementar y mantener actividades continuas de detección e identificación oportuna
de ciberseguridad, a través de: registro continuo y centralizado de eventos de ciberseguridad; gestión de for
de ciberseguridad para facilitar la detección y alertas tempranas; y, definición de roles y responsabilidades p
de ciberseguridad, entre otros.
4. Responder.- Desarrollar e implementar actividades para tomar las medidas oportunas ante un incidente d
y contener su impacto dentro de la Entidad.
Además, la entidad controlada debe asegurar la alineación e integración entre: protocolos de ciberseguridad
tecnológica, gestión de crisis, planes de comunicación, y planes de continuidad de negocio para disminuir rie
continuidad de sus procesos críticos.
5. Recuperar.- Desarrollar e implementar actividades para mantener los planes de resiliencia, para restaurar
servicio que se haya visto afectado debido a un incidente de ciberseguridad y la recuperación oportuna a la
IX.- SEGURIDAD EN CANALES ELECTRÓNICOS
Con el objeto de que las transacciones realizadas a través de canales electrónicos cuenten con los controles
el cometimiento de eventos fraudulentos o no autorizados por los usuarios y preservar la seguridad de la info
recursos de los clientes a cargo de las entidades controladas; estas deben cumplir, como mínimo, con lo sigu
1. Las entidades controladas deben adoptar e implementar los estándares y buenas prácticas internacionale
información y ciberseguridad vigentes a nivel mundial para el uso y manejo de canales electrónicos y consum
deben ser permanentemente monitoreados para asegurar su cumplimiento.
2. Establecer procedimientos y mecanismos para monitorear de manera periódica la efectividad de los nivele
implementados en hardware, software, redes y comunicaciones, así como, en cualquier otro elemento electr
utilizado en los canales electrónicos y para la gestión de tarjetas, de tal manera que, se garantice permanen
debe generar informes trimestrales dirigidos al comité de seguridad de la información.
3. Canales de comunicación seguros mediante la utilización de técnicas de cifrado acorde con los estándares
4. Realizar como mínimo una vez al año, o cuando la situación lo amerite, una prueba de vulnerabilidad y pe
dispositivos y medios de comunicación utilizados en la ejecución de transacciones por canales electrónicos y
y, en caso de que se realicen cambios en la plataforma que podrían afectar a la seguridad, se deberá efectua
Las pruebas de vulnerabilidad y penetración deben ser efectuadas por personas natural o jurídica independie
comprobada competencia y aplicando estándares vigentes y reconocidos a nivel internacional. Las entidades
planes de acción sobre las vulnerabilidades detectadas.
Los informes de las pruebas de vulnerabilidad deben estar a disposición de la Superintendencia de Bancos, i
comparativo del informe actual respecto del inmediatamente anterior.
5. Transferencia de información de sus clientes relacionada con, al menos, números de cuentas y de tarjetas
condiciones de seguridad de la información, considerando que cuando dicha información se envíe mediante
electrónico u otro mecanismo, esta deberá ser enmascarada.
6. La información confidencial debe transmitirse por canales de comunicación seguros debe estar en todo m
el uso de técnicas de cifrado, acorde con los estándares internacionales vigentes y debe evaluarse con regul
mecanismo utilizado.
7. Las entidades controladas deben contar en todos sus canales electrónicos con software antimalware que e
actualizado, el cual permita proteger el software instalado, detectar oportunamente cualquier intento o alter
configuración y/o funcionalidad, y emitir las alarmas correspondientes para el bloqueo del canal electrónico,
oportuna por parte de personal técnico autorizado de la entidad.
8. Las entidades controladas deben utilizar tecnología de propósito específico para la generación y validación
transacciones en los diferentes canales electrónicos, cuya información en todo momento debe estar cifrada.
9. Establecer procedimientos para monitorear, controlar y emitir alarmas en línea, que informen oportuname
canales electrónicos, con el fin de identificar eventos inusuales, fraudulentos o corregir las fallas.
10. Ofrecer a los clientes y/o usuarios los mecanismos necesarios para que personalicen las condiciones bajo
sus transacciones monetarias a través de los diferentes canales electrónicos y tarjetas, dentro de las condici
que deberá establecer cada entidad y se debe validar o verificar la autenticidad del cliente a través de méto
fuerte.
Entre las principales condiciones de personalización por cada tipo de canal electrónico, deberá constar: el re
favoritas a las cuales desea realizar transacciones monetarias, números de suministros de servicios básicos,
móvil; y, montos máximos por transacción por cuenta.
11. Requerir mecanismos de autenticación fuerte para el registro y modificación de la información referente
móvil y correo electrónico, cuando los clientes los realicen por cualquier canal no presencial o presencial, en
una notificación a los datos de contacto anteriores y nuevos. La entidad deberá mantener las evidencias resp
12. Ofrecer a los clientes mecanismos para habilitar o deshabilitar redes de consumo con tarjetas, tales com
presenciales nacionales, presenciales internacionales; ATM nacional, ATM internacional; internet nacional, in
otros mecanismos que la entidad considere apropiados.
13. Incorporar en los procedimientos de administración de seguridad de la información la renovación de, por
de las claves de acceso a los canales electrónicos y claves de tarjetas; las claves de banca electrónica y ban
diferentes de aquella por la cual se accede a otros canales electrónicos.
14. Las entidades deben establecer procedimientos de control y mecanismos que permitan monitorear las tr
comportamiento de los clientes en el uso de canales electrónicos y tarjetas; para el efecto las entidades deb
digitales e inteligentes de prevención de fraude los mismos que deben alertar al cliente sobre posibles fraud
su información de datos personales debiendo para tal efecto realizar la debida autenticación fuerte. En tales
entidades deben dejar evidencia de lo actuado a través de notificaciones por mensajería móvil y correo elect
conforme a la definición del cliente. Particular que será considerado en el análisis de los reclamos de los usu
15. Incorporar en los procedimientos de administración de la seguridad de la información, el bloqueo de los c
las tarjetas cuando se presenten eventos inusuales que adviertan situaciones fraudulentas o después de un
intentos de acceso fallido. Además, se deben establecer procedimientos que permitan la notificación en línea
mensajería móvil, correo electrónico u otro mecanismo, así como su reactivación de manera segura.
16. Las entidades controladas deben mantener sincronizados todos los relojes de sus sistemas de informació
gestionan tarjetas y los dispositivos que estén involucrados con el uso de canales electrónicos.
17. Mantener como mínimo durante doce (12) meses el registro histórico de todas las transacciones que se r
canales electrónicos, incluye transacciones realizadas con tarjetas, el cual deberá contener como mínimo: fe
de cuenta origen y destino en caso de aplicarse, código de la entidad controlada de origen y destino, número
de teléfono y correo electrónico al que se notificaron las transacciones y claves de una sola vez; además, pa
automático: código del ATM; para transacciones por internet: la dirección IP; para transacciones a través de
respuesta - IVR: el número de teléfono con el que se hizo la conexión. En caso de presentarse reclamos, la in
conservarse hasta que se agoten las instancias legales. Si dicha información constituye respaldo contable se
Código Orgánico
18. Incorporar enFinanciero, sobre el de
los procedimientos archivo de la información.
administración de la seguridad de la información, controles para imp
entidad que no estén debidamente autorizados tengan acceso a consultar información confidencial de los cli
producción, mediante los aplicativos y bases de datos. En el caso de información contenida en ambientes de
debe ser enmascarada o codificada por personal independiente al área de desarrollo. Todos estos procedimi
debidamente documentados en los manuales respectivos.
Además, la entidad debe mantener y monitorear un log de auditoría sobre las consultas realizadas por los fu
confidencial de los clientes, la cual debe contener como mínimo: identificación del funcionario, sistema utiliz
equipo (IP), fecha, hora, e información consultada. Esta información debe conservarse por lo menos por doce
19. Las entidades controladas deben poner a disposición de sus clientes un acceso directo como parte de su
telefónica (call center) u otro medio, para el reporte de emergencias bancarias, el cual deberá funcionar las
día, los siete (7) días de la semana; a través de este centro de atención se podrá suspender, bloquear o canc
de canales electrónicos y/o tarjetas con el respectivo procedimiento de seguridad y autenticación del cliente
20. Mantener, por lo menos, durante doce meses la grabación de las llamadas telefónicas realizadas por los
atención telefónica (call center), específicamente cuando se consulten saldos, consumos o cupos disponibles
se reporten emergencias bancarias; para lo cual, se deben establecer procedimientos que permitan validar d
identidad del cliente. De presentarse reclamos, esa información deberá conservarse hasta que se agoten las
21. Las entidades controladas deben enviar a sus clientes mensajes en línea, a través de mensajería móvil y
mecanismo, de manera simultánea, notificando la ejecución de transacciones monetarias tales como: pagos
consumos. Para las demás transacciones monetarias la notificación se realizará a través de mensajería móvi
mecanismo conforme a la definición que realice el cliente mediante cualquiera de los canales electrónicos di
cualquier medioemitidas
22. Las tarjetas de pago.por las entidades controladas deben contar con microprocesador o chip; además, p
NFC (Near Field Communication), y, deben adoptar los estándares internacionales de seguridad y las mejore
su uso y manejo.
23. Mantener permanentemente informados y capacitar a los clientes sobre los riesgos derivados del uso de
tarjetas; y, sobre las medidas de seguridad que se deben tener en cuenta al momento de efectuar transaccio
incluyendo los montos máximos permitidos y los mecanismos para actualizar estos parámetros.
24. Informar y capacitar permanentemente a los clientes sobre los procedimientos para el bloqueo, inactivac
cancelación de los canales electrónicos y/o tarjetas ofrecidas por la entidad.
25. En todo momento en donde se solicite el ingreso de una clave, ésta debe aparecer enmascarada.
26. Los pedidos de informes de auditoría interna, realizados por el organismo de control deberán ser atendid
requeridos.
27. Para el caso de servicios provistos por terceros, asegurar el cumplimiento de las disposiciones incluidas e
precedentes.
28. Las entidades controladas deben ofrecer a sus clientes la matriculación y/o registro de cuentas mediante
autenticación fuerte que contemplen una clave de una sola vez OTP ( one time password).
Cajeros Automáticos.- Con el objeto de garantizar la seguridad en las transacciones realizadas a través de lo
entidades controladas deben cumplir con las disposiciones de la “Norma de control para la apertura y cierre
entidades bajo el control de la Superintendencia de Bancos” y, como mínimo, con lo siguiente:
1. Los dispositivos utilizados en los cajeros automáticos para la autenticación del cliente o usuario deben cifr
a través de ellos; y, la información de las claves no debe ser almacenada en ningún momento.
2. La entidad controlada debe implementar mecanismos internos de autenticación del cajero automático que
un dispositivo autorizado por la entidad controlada a la que pertenece.
3. Los cajeros automáticos deben estar instalados con los estándares de seguridad definidos en las políticas
incluyendo el cambio de las contraseñas de sistemas y otros parámetros de seguridad.
4. Establecer y ejecutar procedimientos de auditoría de seguridad en sus cajeros automáticos, por lo menos,
de identificar vulnerabilidades y mitigar los riesgos que podrían afectar a la seguridad de los servicios que se
Los procedimientos de auditoría deben ser ejecutados por personal independiente, capacitado y con experie
Puntos de venta (POS y PIN Pad).- Con el objeto de garantizar la seguridad en las transacciones realizadas a
de puntos de venta, las entidades controladas deben sujetarse a las medidas de seguridad dispuestas en can
electrónica de esta norma, en lo que aplique; y, cumplir, como mínimo, con lo siguiente:
1. Establecer procedimientos que exijan que los técnicos que efectúan la instalación, mantenimiento o desin
venta (POS y PIN Pad) en los establecimientos comerciales confirmen su identidad a fin de asegurar que este
debida
2. A fin autorización.
de permitir que los establecimientos comerciales procesen en presencia del cliente o usuario las tran
efectuadas a través de los dispositivos de puntos de venta (POS o PIN Pad), éstos deben permitir establecer
forma
3. inalámbrica
Establecer segura.
procedimientos que permitan restringir consumos consecutivos en el mismo establecimiento co
débito.
 Banca Electrónica.- Con el objeto de garantizar la seguridad en las transacciones realizadas mediante la ban
entidades controladas que ofrezcan servicios por medio de este canal electrónico deben cumplir, como mínim
1. Implementar los algoritmos y protocolos seguros, así como certificados digitales, que ofrezcan las máxima
páginas web de las entidades controladas, a fin de garantizar una comunicación segura, la cual debe incluir
cifrado de los datos transmitidos acordes con los estándares internacionales vigentes.
2. Implementar mecanismos de control, y monitoreo que reduzcan la posibilidad de que los clientes accedan
similares a las propias de las entidades controladas.
3. Enviar a sus clientes mensajes en línea a través de mensajería móvil, correo electrónico u otro mecanismo
banca electrónica.
4. Establecer un tiempo máximo de inactividad, después del cual deberá ser cancelada la sesión y exigir un
autenticación al cliente para realizar otras transacciones.
5. Informar al cliente al inicio de cada sesión, la fecha y hora del último ingreso al canal de banca electrónica
asegurarse de mantener una sola sesión activa independientemente del dispositivo que use el cliente.
6. Implementar mecanismos para detectar la copia de los diferentes componentes de su sitio web, verificar c
sean modificados sus enlaces (links), suplantados sus certificados digitales, ni modificada indebidamente la
nombres de dominio (DNS).
7. Implementar mecanismos de autenticación al inicio de sesión de los clientes, en donde el nombre de usua
número de cédula de identidad.
El nombre de usuario y clave de acceso deben combinar caracteres alfanuméricos con una longitud mínima
8. Para el ingreso a la banca electrónica, ejecución de transacciones monetarias a cuentas no registradas, as
créditos, se deben implementar métodos de autenticación fuerte que contemplen, por lo menos, dos (2) de t
se sabe, algo que se tiene o algo que se es”, considerando que uno de ellos debe: ser dinámico por cada vez
transacción, ser una clave de una sola vez OTP (one time password), tener controles biométricos, token virtu
Banca Móvil.- Con el objeto de garantizar la seguridad en las transacciones realizadas mediante la banca mó
números telefónicos autorizados, las entidades controladas que ofrezcan servicios por medio de este canal e
con los numerales 3,4,5,7,8 del artículo 30 de Banca Electrónica.
Las entidades controladas que presten servicios a través de IVR deben sujetarse, en lo que corresponda, a la
dispuestas en canales electrónicos y banca electrónica de esta norma.
Las entidades controladas que presten servicios a través de corresponsales no bancarios deben sujetarse, en
medidas de seguridad de la información y ciberseguridad, canales electrónicos, banca electrónica, POS y PIN
norma.

ES GENERALES
de: sistemas de cómputo, programas electrónicos de computadoras, datos y medios electrónicos, virus de computadora
al de bases de datos;
n ilegal de datos;
ca del activo patrimonial; y,
a los sistemas informáticos.
les a las previstas en la presente norma, con el propósito de reducir la exposición al riesgo operativo que enfrenten las
ógica emitida por la Superintendencia de Bancos. (Disposición sustituida por Resolución No. SB-2024-02855 de 28 de o
riesgos operativos. (Disposición sustituida por Resolución No. SB-2024-02855 de 28 de octubre de 2024)
supervisión a fin de verificar la implementación de la presente norma.
n que se requiera para la implementación de la presente norma.
ente norma, serán resueltos por la Superintendencia de Bancos.

S TRANSITORIAS
ementados en el plazo de 150 días a partir de su expedición, la verificación del cumplimiento de las disposiciones debe
hasta máximo el 31 de diciembre de 2023. (reformada por Resolución No. SB-2023-02343 de 13 de noviembre de 2023
O (cumplido, parcialmente cumplido, no cumplido, no aplica)
OBSERVACION

El Banco se encuentra identificado de forma correcta dentro

del sector financiero privado y sujeto a las disposiciones de
las normas que emana el ente de control; las
responsabilidades sobre la administración del riesgo
operativo están claramente asignadas. El Banco cumple con
CUMPLIDO
los requerimientos de información solicitada por el ente de
control en cualquier momento y el Banco sigue las políticas
y normas establecidas en la Junta de Política y regulación
Monetaria y Financiera y la Norma de Control para la
Gestión Integral y Administración de Riesgos.
 El Banco cumple con el artículo que define el riesgo
operativo y legal, el Banco tiene documentado la
CUMPLIDO información señalada en el artículo dentro del Procedimiento
de Gestión de Riesgo Operativo y Manual de Riesgo
Operativo.

El Banco tiene implementado un sistema de gestión de

riesgo operativo mismo que se encuentra alineado con el
modelo de tres líneas e defensa; el sistema de gestión es
parte integra del marco de andinistración integral de riesgos
definido con su apetito y tolerancia al riesgo. Se tienen
CUMPLIDO
establecidas políticas, procedimiento y metodologías para la
gestión, la aplicación de las tres líneas de defensa está
segmentada en primera línea - Unidad operativa, segunda
línea - Riesgos, Cumplimiento y tercera línea -Auditoría
interna.

El Banco ha implementado un proceso sistemático que

identifica, clasifica y registra los eventos de riesgo operativo
conforme a los tipos de eventos exigidos por la normativa,
se identifican los eventos por línea de negocio, tipo de
CUMPLIDO
evento y factor de riesgo, el proceso se encuentra
documentado para la identificación y evaluación de riesgos;
se dispone de una herramienta para el reporte y gestión de
 El Banco ha implementado un proceso sistemático que
identifica, clasifica y registra los eventos de riesgo operativo
conforme a los tipos de eventos exigidos por la normativa,
se identifican los eventos por línea de negocio, tipo de
CUMPLIDO
evento y factor de riesgo, el proceso se encuentra
documentado para la identificación y evaluación de riesgos;
se dispone de una herramienta para el reporte y gestión de
los eventos de riesgo operativo materializados (RDS).

ser identificados los eventos son medidos en términos de

impacto y probabilidad (inicialmente riesgo cualitativo),
resultados que permiten tomar decisiones (mitigar, evitar,
PARCIALMENTE CUMPLIDOaceptar o transferir). Todavía no se miden impactos reales
de eventos ocurridos, se trabaja en información de pérdidas
operativas y posterior realizar reevaluación a la tolerancia al
riesgo operativo.
El cumplimiento del artículo se basa en los planes de
mitigación que se generan para los riesgo operativos que
deben estar debidamente documentados y se los maneja a
través de la heramienta (RDS). A través de la validación
CUMPLIDO
periódica de los planes en la herramienta se validan su
cumplimiento, procedimientos y políticas que se actualizan
en cada periodo de tiempo establecido para prevenir o
mitigar nuevos riesgos.

El Banco realiza un monitoreo permanente de riesgo

operativo acorde a los esquemas que se poseen para el
reporte. Se está actualmente trabajando en la
implementación de indicadores de riesgo (KRI) para registro,
PARCIALMENTE CUMPLIDO monitoreo y seguimiento. De igual manera se está
empezando a crear planes de mitigación,se tiene el reporte
de la matriz de riesgos y la matriz de eventos
materializados, se presentan informes mensuales (8) y
trimestrales (4).

El Banco gestiona el riesgo operativo de forma permanente

con sus respectivos procedimientos formalizados. El Banco
tiene una herramienta de gestión de riesgo operativo (RISK
DICOVERY SOLUTION) de la empresa BSOFT en el cual
ingresan los eventos de riesgo el personal asignado
debidamente asignados con roles definidos por la Unidad de
Riesgos. Desde la misma herramienta se generan los
CUMPLIDO reportes de eventos de riesgo operativo clasificados por
tipos y categorías. Antes de que un riesgo sea registrado a
la matriz pasa por una revisión de la Unidad. La herramienta
para el registro de eventos puede generarse como
potenciales pérdidas y también como pérdidas
materializadas. La administración de la gestión de riesgo
operativo y manejo de la herramienta está bajo el Analista
de Riesgotiene
Riesgos Operativo.
definida los criterios y procedimiento para la
comunicación de los eventos de riesgo operativo. De igual
manera de acuerdo a la normativa que rige a Riesgo
Operativo se definen que tipos de eventos deben ser
CUMPLIDO
counicados de forma interna y también de forma externa.
Las poíticas, manuales y procedimiento se revisan de forma
periódica para conocer si deben ser actualizadas acorde a
los cambios que se den en el Banco o del entorno.
 Auditoría Interna es un área objetiva y que tiene
independencia sobre la gestión de riesgos. Su funcón de ser
control de la primera y segunda línea de defensa. De
CUMPLIDO
manera trimestral Auditoría Interna hace una revisión de la
gestión de riesgo operativo y valida que los controles estén
funcionando correctamente.

La gestión de riesgo operativo del banco considera y toma

de forma diferenciada los factores de riesgo de acuerdo a la
normativa euatoriana vigente. Procesos, TI, personas y
CUMPLIDO
eventos externos. De igual manera la gestión presenta está
enfocada en controles preventivos, planes de mitigación,
indicadores e informes periódicos.

El Banco con relación al factor Procesos dispone de un

manual de Procesos alineado a la ISO 9001 y
procedimientos documentados bajo el ciclo PHVA (planear,
hacer, verificar actuar). Se dispone de un mapa de procesos
institucional categorizado por macroprocesos, procesos y
subprocesos y alineados con los obejtivos estratégicos. Se
mantiene un inventario de procesos que se actualiza de
forma trimestral. Dentro de los subprocesos (procedimiento)
CUMPLIDO se incluyen responsables, la descripción, controles,
productos y servicios generados y su respectiva difusión con
el personal del Banco. La matriz de procesos presenta la
información necesaria como es: categoría, línea de negocio,
tipo, responsable, productos y fehas. De igual manera se
gestiona la segregación de funciones con el fin de evitar
incompatibilidades en cargos que pueden terminar en
fraudes o errores. Se gestiona a través de KPI´s definidos
por el área de PROCESOS.

El área de Gente y Cultura mantiene un inventario de

procedimientos que van desde el proceso de Incorporación,
Permanencia y Desvinculación debidamente documentados,
CUMPLIDO
vigentes y aplicado de forma permanente. Adicional se
mantienen un manual de gente y Cultura actualizado y
vigente. Se tiene un manual descriptivo de funciones
 El área de Gente y Cultura mantiene un inventario de
procedimientos que van desde el proceso de Incorporación,
Permanencia y Desvinculación debidamente documentados,
CUMPLIDO
vigentes y aplicado de forma permanente. Adicional se
mantienen un manual de gente y Cultura actualizado y
vigente. Se tiene un manual descriptivo de funciones

Tecnología de la Información está conformado por el

CUMPLIDO Gerente de Tecnología, Analistas y Asistente de acuerdo al
organigrama institucional y manual de funciones.

Se tiene el plan PL-TI-RT-01 Plan Estratégico de Tecnología

CUMPLIDO
de la Información versión 1.7 (actualizado a marzo 2024)

Tecnología de la Información registra manuales,

procedimientos e instructivos definidos dentro del área. Los
procedimiento de Tecnología de la Infotrmación se
CUMPLIDO
actualizan en la periodicidad establecida en el Banco. Se
revisó las actualizaciones de los documentos institucionales
mismas que cumplen los tiempos para actualización.

En el Manual de Tecnología de la Información están

registradas las políticas de administración y control de los
CUMPLIDO recursos tecnológicos. Seguridad de la Información tiene
procedimientos y establece las políticas para el control de
El Banco acceso
tiene elaprocedimiento
las áreas restringidas del Banco.
PR-TI-SU-01 Administración
de mesa de setrvicios versión 1.4 (actualizado a septiembre
2024) que sirve para responder a los clientes internos con
relación a consultas, requerimientos e incidentes sobre la
CUMPLIDO
infraestructura tecnológica del Banco. Se ha completado la
implementación del módulo FAQ en el software OTIS y se ha
implementado el procedimiento PR-TI-RT-01 Gestión de
incidentes y problemas (creado en marzo 2025).
El respaldo de información crítica se lo realiza de forma
diaria como parte del proceso de Cierre Diario; detallado en
el procedimiento PR-TI-CI-02 Custodia de respaldos versión
CUMPLIDO 1.5 (actualizado a diciembre 2024). Se mantienen registros
de los respaldos de información realizados sobre la base de
datos que son realizados en la nube en base al formato FO-
TI-CI-02 Bitácora de copias de seguridad en la nube.
 Sonarlint - Verificación de sintaxis de codificación
XUnit - Pruebas unitarias sobre desarrollos internos
Los procedimientos que tiene relación con el proceso de
CUMPLIDO
gestión de cambios se enceuntan documentados y
Se tiene documentado actualizdos.
el procedimiento PR-TI-DM-02
Desarrollo y actualización de programas versión 1.6
CUMPLIDO (actualizado a septiembre 2024) el cual es aplicado acorde
con la necesidad presentada.
Aseguramiento de calidad no dispone el Banco en sí como
área. En base al procedimiento PR-TI-DM-02 Pruebas de
aceptación el usuario requirente realiza las pruebas de
CUMPLIDO
aceptación y entrega recepción del release. A inicios de abril
2025 se implementará la versión 2.5 del core bancario
FINANCIAL para todo el personal
El Banco tiene documentado el procedimiento PR-TI-DM-03 Puesta en producción rel
Se encuentra descrito y forma parte del procedimiento PR-
CUMPLIDO TI-DM-04 Seguimiento post producción (actualizado en
marzo 2025).
El Banco tiene el procedimiento PR-TI-RT-08 Migración de
información que determina controles a ser aplicados para
CUMPLIDO
garantizar la disponibilidad, confidencialidad e integridad de
la información.
En los contratos con proveedores se establecen los
controles pricipales como son: acuerdos de nivel de
servicios que deben ser aplicados y verificar su
CUMPLIDO
cumplimiento, acción que se realiza en base al
procedimiento PR-TI-RT-03 Administrar servicios de terceros
(actualizado en diciembre 2023).

Descripción de la infraestructura implementada en el Plan

Estratégico de Tecnología de la Información en los cuales se
identifica los procesos críticos y la infraestructura que los
soporta.
Se cuenta con diagramas:
Red LAN – WAN
Inventario de Servidores
CUMPLIDO Inventario de Equipos de computación.
Se cuenta con redundancia para los servicios más críticos
como enlaces de datos. Como parte del proceso se realiza el
respaldo de los principales servidores y de las bases de
datos en la nube de AWS. Se realiza el mantenimiento
periódico de la infraestructura tecnológica implementada en
el banco. Se cuenta con sitio alterno de procesamiento en la
procesamiento
Nube. de datos versión 1.4 (actualizada en
septiembre 2024). De igual manera se cuenta con las
siguientes herramientas:
IBM Guardium - Monitoreo de base de datos.
CUMPLIDO SAN de SolarWind - Revisión de estado de infraestructura
tecnológica.
PANDORA FMS - Alertas en tiempo real por pérdida de
conectividad.

Se elaboran informes técnicos mensuales de capacidad y

rendimiento de servicios críticos, internet y datos.
 El Data Center se encuentra ubicado en la oficina Matriz en
la ciudad de Ibarra que cuenta con seguridad física y
ambiental adecuada, también tiene controles de acceso
CUMPLIDO
para personal autorizado.
El Data center Alterno está alojado en la nube de Microsoft
El Banco cuenta con tres ambientes destinados para
Azure.
pruebas: DESARROLLO, PRUEBAS Y PRODUCCION separadas
CUMPLIDO por VLAN's diferentes. Se tiene el Listado de Accesos que
está definido para controlar el acceso a los ambientes por
Tanto Amazon parte
Webdel personal
Service y elautorizado.
Sitio Alterno alojado en
Microsoft Azure mantienen contratos de servicos definidos,
CUMPLIDO en los cuales se incluyen niveles de acuerdos de servicios
que son monitoreados por parte del departamento de
Tecnología de la Información.
s electrónicas o telefax, transmisiones electrónicas, valores electrónicos y similares, como mínimo, ante los siguientes
idado por la unidad de Auditoría Interna y remitido en sus informes periódicos. (reformada por Resolución No. SB-2023
COMENTARIO
TI-DM-03 Puesta en producción release que abarca al formato
como mínimo, ante los siguientes riesgos:
mada por Resolución No. SB-2023-02343 de 13 de noviembre de 2023).
CUMPLIDO

PARCIALMENTE CUMPLIDO
NO CUMPLIDO

NO APLICA
ANEXO 1. EVENTOS DE RIESGO OPERATIVO DE ACUERDO CON BASILEA

Categoría de Tipo de Categoría

Eventos (nivel 1) Definición (nivel 2) Ejemplos de actividades (Nivel 3)
Pérdidas derActividades i) Operaciones no reveladas intencionalmente;
indebidamente o soslayarii) Operaciones no autorizadas con pérdidas
monetarias; y
iii) Valoración errónea intencional de posiciones

Fraude interno i) Fraude / fraude crediticio/ depósitos sin valor Hurto / extorsión /
ii) Apropiación indebida de activos;
iii) Destrucción dolosa de activos;
iv) Falsifi
v) Utilización de cheques sin fondos;
vi) Contra
Hurto y frauvii) Apropiación de cuentas, de identidad, etc.;
viii) Incumplimiento / evasión intencional de impuestos;
ix) Soborno / cohecho; y
x) Abuso de información privilegiada
Pérdidas derHurto y fraui) robo; Hurto/
indebidamente o ii) y Falsificación;
soslayar la iii) Utilización de cheques sin fondos
Fraude externo legislación, por parte un tercero
i) Daños por ataques informáticos; y
Seguridad dii) Robo de información con pérdidas
monetarias
Pérdidas derRelaciones li) Cuestiones relativas a remuneración,
reclamaciones por daños prestaciones sociales, extinción de contratos; y
ii) Organización laboral
Relaciones
laborales y seguridad en el puestHigiene y sei) Imposibilidad en general (resbalones, caídas,
etc.);
ii) Casos relacionados con las normas de higiene y seguridad en
iii) Indemnización a los trabajadores
Diversidad Todo tipo de discriminación
discriminación
Incidencias en el negoPérdidas derivadas de ini)
Sistemas ii)
iii) Telecomunicaciones; y
iv) Interrupción / incidencias en el suministro

Categoría de Tipo de Categoría

Eventos (nivel 1) Definición (nivel 2) Ejemplos de actividades (Nivel 3)
Pérdidas derivadas por daños o perjuicios a activos materiales como consecuen
Daños a activos materiales Desastres y i) Pérdidas por desastres naturales;
ii) Pérdidas humanas por causas externas (terrorismo
i) Abusos de confianza / incumplimiento de pautas;
ii) Apropiamiento / divulgación de información;
Adecuación,ii) Violación de la privacidad de clientes minoristas;
iii) Quebrantamiento de privacidad;
iv) Ventas agresivas;
v) Pérdidas de cuentas;
vi) Mal uso de información confidencial; y
 vii) Responsabilidad del prestamista

Pérdidas derivadas del ii) Prácticas anti-competencia;

Prácticas e ii) Prácticas impropias comerciales y de mercado;
iii) Manipulación del mercado;
Clientes, productos y prácticas empresariales iv) Comercialización de información
privilegiada a favor de la empresa;
v) Actividades no autorizadas; y
vi) Lavado de dinero
Productos di) Defectos producto;
del
ii) Error de modelo
Selección, pi) Fallida investigación a clientes según los protocolos
ii) Superación de los límites de exposición
frente a clientes
Actividades Litigios sobre resultados de las actividades de asesoram
Pérdidas derivadas de ei) Comunicación defectuosa;
relaciones con contrapaii) Errores de introducción de datos, mantenimient
iii) Incumplimiento de plazos o de responsabilidad
Ejecución, entrega gestión procesos Recepción, iv) Ejecución errónea de modelos / sistemas;
y de v) Error contable / atribución a entidades
erróneas;
vi) Errores en otras tareas;
vii) Fallo en la entrega;
viii) Fallo en la gestión del colateral; y
ix) Mantenimiento de datos de referencia

Categoría de Tipo de Categoría

Eventos (nivel 1) Definición (nivel 2) Ejemplos de actividades (Nivel 3)
Seguimientoi) Incumplimiento en la obligación reportar; y
ii) Inexactitud de informes externos (incurriendo
en pérdidas)
Aceptación i) Extravío de autorizaciones / rechazos de clientes; y
ii) Documentos jurídicos inexistentes / incompletos
Gestión de i) Acceso no autorizado a cuentas;
cuentas de cii) Registros incorrectos de clientes (incurriendo en pérdidas); y
iii) Pérdida o daño de activos de clientes por negligencia
Contrapartei) Fallos con contrapartes no-clientes; y
ii) Otros litigios con contrapartes distintas de clientes
Distribuidor i) Subcontratación; y
ii) Litigios con distribuidores
onalmente;

e posiciones

os sin valor Hurto / extorsión / malversación / robo;

Falsificación;

Contrabando;
ntidad, etc.;
ncional de impuestos;

ontratos; y

nes, caídas,

mas de higiene y seguridad en el trabajo; y

Hardware;
Software;
aciones; y

vos materiales como consecuencia de desastres naturales u otros eventos

astres naturales;
por causas externas (terrorismo, vandalismo)
/ incumplimiento de pautas;
lgación de información;
acidad de clientes minoristas;
to de privacidad;
ntas agresivas;

ción confidencial; y
prestamista

cas anti-competencia;
s comerciales y de mercado;
ión del mercado;
ión de información

autorizadas; y

a clientes según los protocolos; y

mites de exposición

de las actividades de asesoramiento

unicación defectuosa;
ucción de datos, mantenimiento o descarga;
de plazos o de responsabilidades;
e modelos / sistemas;
bución a entidades

otras tareas;
a entrega;
ón del colateral; y
tos de referencia

reportar; y
(incurriendo

hazos de clientes; y
entes / incompletos

(incurriendo en pérdidas); y
entes por negligencia

istintas de clientes