PROYECTO DE REFORMAS A LA NORMA SOBRE GESTIÓN INTEGRAL DE

RIESGOS

CAPÍTULO I
DISPOSICIONES GENERALES

ARTÍCULO 1.- OBJETO Y ALCANCE

La presente Norma tiene por objeto establecer los elementos mínimos que las instituciones
supervisadas por la Comisión Nacional de Bancos y Seguros (CNBS), en función del
tamaño, naturaleza y complejidad de sus operaciones, deben considerar para la gestión
integral de los riesgos asumidos o de aquellos que están dispuestas a asumir, cuyo proceso
de implementación es responsabilidad de su Directorio, así como los criterios bajo los
cuales este Ente Regulador, evaluará la forma en la cual las instituciones supervisadas
gestionan sus riesgos. Lo anterior, sin perjuicio de lo previsto en otras disposiciones legales
y normativas aplicables.

ARTÍCULO 2.- DEFINICIONES Y TÉRMINOS

Para efecto de la aplicación de las disposiciones contenidas en la presente Norma, se
entenderá por:
a) Alta Gerencia: Presidente Ejecutivo, Director Ejecutivo, Directorio de Especialistas,
Gerente General o su equivalente, o cualquier otra denominación con que se designe al
responsable de ejecutar las disposiciones del Directorio.
b) Apetito al Riesgo: Nivel de riesgo que la institución está dispuesta a asumir para el
logro de sus objetivos institucionales, considerando un equilibrio aceptable del
crecimiento, los riesgos y el entorno.
c) Comisión o CNBS: Comisión Nacional de Bancos y Seguros.
d) Directorio: Consejo de Administración, Junta Directiva, Órgano de Administración,
Asamblea de Participantes o cualquier otra denominación con que se designe al órgano
responsable de la administración de la institución.
e) Evento: Suceso o serie de sucesos, internos o externos a la institución, originados por
causas que ocurren durante un período de tiempo.
f) Gestión Integral de Riesgos: Proceso mediante el cual el Directorio de conformidad
con su apetito y tolerancia al riesgo establece las estrategias para que la Alta Gerencia
y el personal de todos los niveles de la institución implementen procedimientos y tareas
sistemáticas para identificar, evaluar, mitigar, monitorear y comunicar los riesgos que
puedan afectar el alcance de los objetivos institucionales.
g) Impacto o Severidad: Consecuencia o consecuencias de un evento, expresado ya sea
en términos cualitativos o cuantitativos, usualmente se expresará en términos
monetarios, como pérdidas financieras.
h) Incertidumbre: Corresponde a un evento sobre el cual no se conoce con seguridad si
ocurrirá y, de ocurrir, cómo se comportará en el futuro.
i) Institución (es): Instituciones Supervisadas por la Comisión.
j) Probabilidad: Medida de la ocurrencia o aparición de un determinado evento, en un
periodo de tiempo dado. Generalmente se expresa como un número comprendido entre
0 (probabilidad nula) y 1 (ocurrencia segura), o un porcentaje.
k) Riesgo Inherente: Nivel de riesgo propio de la actividad sin tener en cuenta el efecto de
los controles o mitigadores.
l) Riesgo Residual: Nivel resultante del riesgo inherente después de aplicar los controles
o mitigadores.
m) Riesgo: Posibilidad de generarse una pérdida económica por la ocurrencia de un evento
adverso que afecta negativamente el logro de los objetivos de la institución.
n) Sistema de Gestión Integral de Riesgos: Conjunto estructurado de elementos
relacionados entre sí que soportan y brindan las herramientas para realizar la Gestión
Integral de Riesgos, incluye gobierno corporativo, políticas, procedimientos, sistemas
tecnológicos, recurso humano, indicadores, metodologías, marco regulador, monitoreo
y control, entre otros.
o) Tolerancia al Riesgo: Variación que la institución está dispuesta a asumir en caso de
desviación del nivel de apetito al riesgo que se ha definido como aceptable para alcanzar
los objetivos institucionales.

CAPÍTULO II
GESTIÓN INTEGRAL DE RIESGOS

ARTÍCULO 3.- GESTIÓN INTEGRAL DE RIESGOS

La gestión integral de riesgos por parte de las instituciones debe ser en todo momento
adecuada al tamaño y a la complejidad de sus actividades, operaciones y servicios, así
como ser parte inherente de todas las actividades de la institución.

ARTÍCULO 4.- COMPONENTES O ELEMENTOS MÍNIMOS DE LA GESTIÓN INTEGRAL

DE RIESGOS
La gestión integral de riesgos a implementar por parte de las instituciones debe contar con
al menos los siguientes componentes o elementos:
a) Ambiente Interno: Comprende, entre otros, los valores éticos, la idoneidad técnica y
moral de su Directorio y funcionarios; la estructura organizacional y las condiciones para
la asignación de autoridad y responsabilidad.
b) Establecimiento de Objetivos: Proceso por el que se determinan los objetivos
estratégicos medibles y cuantificables, los cuales deben encontrarse alineados a la
visión y misión de la institución, y ser compatibles con el apetito y la tolerancia al riesgo.
c) Identificación de Riesgos: Proceso mediante el cual se identifican y documentan los
riesgos de una actividad, conjunto de actividades, área, portafolio, producto o servicio;
que pueden tener un impacto negativo sobre los objetivos de la institución y Grupo
Financiero en su conjunto.
d) Evaluación de Riesgos: Proceso mediante el cual se evalúan los riesgos identificados,
por medio de técnicas cualitativas y cuantitativas o una combinación de ambas,
considerando la probabilidad de ocurrencia de un evento de pérdida y su impacto en
caso de materializarse. La evaluación deberá resultar en una estimación del capital o
 ingresos en riesgo. Las instituciones deben medir su vulnerabilidad de pérdida bajo
condiciones de mercado, en condiciones normales y tensión, incluyendo un análisis de
los supuestos claves, y considerar estos resultados cuando se establezcan y revisen las
políticas y los límites para los diferentes riesgos.
e) Mitigación: Proceso por el que se opta en aceptar los riesgos evaluados, disminuir la
probabilidad de ocurrencia y el impacto, transferirlo total o parcialmente, evitarlo, o una
combinación de las medidas anteriores, de acuerdo al nivel de tolerancia al riesgo
definido, realizando un análisis de costo-beneficio de las diferentes alternativas a
considerar.
f) Monitoreo: Proceso que consiste en la evaluación del adecuado funcionamiento del
sistema de gestión integral de riesgos y la implementación de las modificaciones que
sean requeridas. Este debe realizarse en el curso normal de las actividades de la
institución, y complementarse por evaluaciones independientes. Este proceso incluye el
aseguramiento que las políticas, estándares, límites y procedimientos para el tratamiento
de los riesgos identificados sean implementados, con el propósito de garantizar la
eficacia y efectividad de las operaciones de la institución y del Grupo Financiero, la
confiabilidad de la información financiera u operativa, así como el cumplimiento de las
disposiciones legales que le sean aplicables. La administración de los límites de riesgo
forman parte del sistema de control interno de la institución.
g) Comunicación: Proceso por el que se genera y transmite información clara, suficiente,
concreta y oportuna al Directorio, Alta Gerencia, funcionarios, y resto del personal, así
como a interesados externos, tales como clientes, usuarios, participantes, beneficiarios,
proveedores, accionistas, asociados y reguladores. Esta información es interna y
externa, y puede incluir información de gestión, financiera y operativa. Los reportes de
los diferentes riesgos deben ser periódicos y establecer comparaciones de las
exposiciones con los limites, e identificar cualquier deficiencia en la gestión, modelos
metodologías, procesos, políticas etc.

ARTÍCULO 5.- RIESGOS A GESTIONAR

Las instituciones en el desarrollo de sus actividades, operaciones y servicios deben
gestionar al menos los siguientes riesgos:
a) Riesgo de crédito o contraparte: Posibilidad de incurrir en pérdidas por el no pago o
pago inoportuno de las obligaciones a cargo de prestatarios, deudores de cualquier
tipo, anticipos otorgados a prestadores de servicios, riesgo de contraparte de las
inversiones y cualquier otra operación que determine una deuda a favor de la
institución. Este riesgo incluye el riesgo de concentración, el cual está asociado con la
posibilidad de que se produzcan pérdidas significativas que puedan amenazar la
viabilidad futura de una institución, como consecuencia de la concentración de este
riesgo en un grupo reducido de deudores, en un conjunto de deudores de
comportamiento similar, o en activos financieros especialmente correlacionados.
b) Riesgo de Liquidez: Probabilidad de que una institución no pueda financiar aumentos
en su nivel de activo y cumplir, ya sea en monto, en plazo o en ambos factores, con
sus obligaciones contractuales o contingentes sin incurrir en pérdidas excesivas por
dicho concepto.
c) Riesgo de Mercado: Posibilidad de incurrir en pérdidas derivadas del incremento no
esperado en el monto de las obligaciones con acreedores externos o pérdida en el valor
de activos, a causa de variaciones en los parámetros que sirvan de referencia o afecten
el precio de los instrumentos financieros. Las políticas de administración del riesgo de
mercado de sus inversiones y demás activos deben estar orientadas a combinar,
equilibradamente, los conceptos de rentabilidad, liquidez y seguridad. Estas políticas,
en adición, deben contemplar un seguimiento periódico de los efectos de los cambios
en las tasas de interés de mercado, internas o externas, los tipos de cambio o cualquier
otro parámetro de referencia en el valor de sus inversiones y en general de sus activos.
Dentro de esta categoría se contemplan los siguientes tipos de riesgos:
1) Riesgo de Tasas de Interés: Posibilidad de incurrir en pérdidas, bien sea desde el
punto de vista del nivel de utilidades o del valor económico de la institución, por la
no correspondencia en los períodos de ajuste de las tasas activas y pasivas dados
los movimientos de las tasas de mercado, o por movimientos no simétricos de estas
tasas o cambios en la curva de rendimientos.
2) Riesgo de Tipo de Cambio: Posibilidad de variaciones en los tipos de cambio
correspondientes a instrumentos financieros en los cuales la institución tiene
exposiciones, tanto en el balance como en operaciones fuera de balance.
3) Riesgo de Precio: Posibilidad de pérdidas por cambios en los precios de los
instrumentos financieros que posea la institución.
d) Riesgo Operativo: Posibilidad de ocurrencia de pérdidas debido a procesos
inadecuados, fallas del personal, de la tecnología de información, la infraestructura o
eventos externos. Se incluye dentro de éste el riesgo legal, pero se excluyen el riesgo
estratégico y de reputación.
e) Riesgo Legal: Posibilidad de incurrir en pérdidas derivadas del incumplimiento de
normas legales, errores u omisiones en la contratación, inobservancia de disposiciones
reglamentarias, de códigos de conducta o normas éticas. Asimismo, este riesgo puede
derivarse de situaciones de orden jurídico que afecten la titularidad o disponibilidad de
los activos, en detrimento de su valor.
f) Riesgo de Lavado de Activos y Financiamiento al Terrorismo: Posibilidad de
pérdida o daño que puede incurrir una institución, dado su propensión de poder ser
utilizada directamente o a través de sus operaciones como instrumento para el lavado
de activos, el ocultamiento de activos provenientes de actividades ilícitas, y la
canalización de recursos hacia la realización de actividades terroristas o la proliferación
de armas de destrucción masiva.
g) Riesgo Estratégico: Posibilidad de incurrir en pérdidas como consecuencia de
deficiencias en el diseño e implementación de los planes de negocio, las estrategias,
las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse
a los cambios en el entorno de los negocios. Asimismo, abarca el riesgo que emerge
de la pérdida de participación en el mercado o disminuciones en los ingresos que
puedan afectar la situación financiera de la institución.
h) Riesgo de Reputación: Posibilidad de que se produzca una pérdida debido a la
formación de una opinión pública negativa sobre los servicios prestados por la
institución (fundada o infundada), que fomente la creación de mala imagen o
 posicionamiento negativo ante los clientes, que conlleve a una disminución del volumen
de clientes, de ingresos, depósitos, entre otros. Una mala gestión de los demás riesgos
que afronta la institución inciden en la exposición del riesgo reputación.
i) Riesgos Técnicos de Seguros: Estos incluyen los siguientes:
1. Riesgo de Suscripción: Posibilidad de incurrir en pérdidas como consecuencia de
políticas y prácticas inadecuadas en el diseño de productos o en la colocación de
los mismos. Dicha categoría de riesgo se puede clasificar en:
a. Riesgo de Tarificación: Corresponde a la probabilidad de pérdida como
consecuencia de errores en el cálculo de primas al punto que resulten
insuficientes para cubrir los siniestros actuales y futuros, los gastos
administrativos y la rentabilidad esperada.
b. Riesgo de Descuentos sobre Primas: Corresponde a la probabilidad de pérdida
en que puede incurrir una entidad como consecuencia del otorgamiento
inadecuado de descuentos sobre primas.
c. Riesgo de Concentración: Corresponde a la probabilidad de pérdida en que
puede incurrir una institución como consecuencia de una inadecuada
diversificación de los riesgos asumidos.
d. Riesgos de Diferencias en Condiciones: Corresponde a la probabilidad de
pérdida que se genera como consecuencia de diferencias entre las condiciones
originalmente aceptadas de los tomadores de pólizas y las aceptadas a su vez
por los reaseguradores de la entidad.
2. Riesgo de Insuficiencia de Reservas Técnicas: Corresponde a la probabilidad de
pérdida como consecuencia de una subestimación en el cálculo de las reservas
técnicas y otras obligaciones contractuales. (Participación de utilidades, pago de
beneficios garantizados, etc.)
j) Riesgos Técnicos Actuariales: Estos incluyen:
1. Solvencia Actuarial: Capacidad de un fondo de pensiones de cumplir con los
compromisos adquiridos con sus participantes, mediante una cuantificación
actuarial de las obligaciones que ha contraído el fondo conforme a la estructura de
beneficios de la legislación aplicable.
2. Riesgo Actuarial por Supuestos Económicos: Corresponde a desviaciones en los
supuestos asumidos sobre el retorno de las inversiones, tasa de incremento salarial,
tasa de incremento de pensiones, tasa de descuento; que afecten la suficiencia de
la institución.
3. Riesgo Actuarial por Supuestos Demográficos: Corresponde a cambios en las
posibilidades de supervivencia, fallecimiento, tasas de empleo y despido, movilidad
laboral, distribución de edades de los miembros en servicio y de inicio de retiro; que
afecten la suficiencia de la institución.

ARTÍCULO 6.- APLICACIÓN CONJUNTA CON LA NORMA DE RIESGOS ESPECÍFICOS

Las instituciones deben adecuar sus políticas, lineamientos, procesos y normas internas
para cada tipo de riesgo en función a su apetito y tolerancia al riesgo, las cuales a su vez
deben sujetarse a las normas generales y específicas emitidas por la Comisión en cada
una de estas materias.
Para la gestión de los riesgos en los cuales la Comisión no ha emitido normativa, las
instituciones deben observar los lineamientos mínimos que se indican en el Anexo No. 1 de
la presente Norma.

CAPÍTULO III
DE LAS RESPONSABILIDADES Y FUNCIONES EN LA GESTIÓN INTEGRAL DE
RIESGOS

ARTÍCULO 7.- RESPONSABILIDADES DEL DIRECTORIO

Para una efectiva gestión de riesgos, los miembros del Directorio deben actuar con la
debida diligencia y prudencia en el manejo de la institución a su cargo, mostrando en todo
momento un alto nivel de involucramiento. En adición, a las funciones y responsabilidades
establecidas en la Ley o en la ley especial que rija la institución, sus estatutos y otras
normas, en materia de gestión integral de riesgo, corresponderá al Directorio:
a) Procurar tener un conocimiento amplio y actualizado del entorno en el cual opera la
institución, así como conocer las fortalezas y debilidades de la institución;
b) Conocer adecuadamente los riesgos que conlleva la incursión en nuevos mercados,
segmentos, la adopción de nuevos procedimientos o la introducción de nuevos productos
o servicios;
c) Crear una cultura organizacional con principios y valores de comportamiento ético que
priorice la gestión eficaz de los riesgos que se generan en la institución;
d) Velar para que la toma de riesgos por parte de la Alta Gerencia se realice de acuerdo
con una adecuada valoración de los beneficios a obtener, y, el mantenimiento de un nivel
de patrimonio que disminuya la probabilidad de quiebra a mínimos aceptables;
e) Establecer un sistema de incentivos que evite conflictos de interés en cuanto a la
administración de los riesgos;
f) Establecer un sistema adecuado de delegación de facultades y de segregación de
funciones a través de toda la institución;
g) Seleccionar la plana gerencial o de ejecutivos claves, con idoneidad técnica y moral que
actúen de forma prudente, diligente y apropiada en el desarrollo de sus negocios y
operaciones, así como en el cumplimiento de sus responsabilidades.
h) Establecer los objetivos institucionales, evaluando y aprobando sus planes de negocios
con la debida consideración a los riesgos asociados;
i) Conocer y comprender los riesgos a los que está expuesta la Institución y el Grupo
Financiero al cual pertenece, a fin de establecer una estrategia y lineamientos para la
gestión integral de riesgos, así como el perfil de riesgos que sea aceptable;
j) Aprobar el apetito y tolerancia al riesgo de la institución, así como los limites apropiados
a cada tipo de riesgo, en términos cuantitativos, propuestos por el Comité de Riesgos;
k) Conocer los reportes que le remita el Comité de Riesgos sobre la exposición total e
individual por tipo de riesgo, los cambios sustanciales de tales exposiciones, su
evolución en el tiempo, el cumplimiento de límites prudenciales y sus excepciones, así
como promover y aprobar las acciones correctivas y su seguimiento;
l) Conocer la situación patrimonial o de solvencia, frente a las exposiciones de riesgo
detectadas y tomar las medidas que procedan, tanto a nivel individual como del Grupo
Financiero al que pertenece;
m) Aprobar la constitución del Comité de Riesgos;
n) Conocer y aprobar el Plan Anual de la Gestión Integral de Riesgos;
o) Nombrar a propuesta de la Alta Gerencia al funcionario responsable de la Unidad de
Riesgos, de conformidad a la política de recursos humanos;
p) Aprobar los recursos necesarios para el adecuado desarrollo del Sistema de Gestión de
Riesgos, a fin de contar con la infraestructura, metodología y personal apropiados;
q) Aprobar el plan de capacitación para que los empleados de la institución posean o sean
dotados de una formación clara sobre el sistema de gestión integral de riesgos;
r) Aprobar las políticas, procedimientos para la gestión integral de riesgos. Asimismo
conocer y aprobar las propuestas de actualización y modificaciones respectivas;
s) Conocer los reportes sobre el nivel de cumplimiento de las políticas y procedimientos
aprobados y las propuestas sobre acciones a adoptar con relación a los incumplimientos.
Asimismo, sin perjuicio de las sanciones legales que el caso amerite, el Directorio deberá
adoptar las medidas que regularicen los casos de incumplimiento. Lo indicado en esta
literal deberá hacerse constar en el acta respectiva; y,
t) Aprobar el plan para la administración de la continuidad del negocio y seguridad de
información.

ARTÍCULO 8.- RESPONSABILIDADES DE LA ALTA GERENCIA

La Alta Gerencia debe ejercer el liderazgo permanente en la gestión de riesgos,
particularmente en el control de excesivas exposiciones. En ese sentido, en adición a las
responsabilidades y obligaciones establecidas en la Ley o Leyes aplicables, en esta
materia, corresponderá a la Alta Gerencia:
a) Actuar diligentemente en la implementación y adecuado funcionamiento de la gestión
integral de riesgos de acuerdo a las políticas aprobadas por el Directorio;
b) Mantener un adecuado flujo informativo a los integrantes del Directorio, así como al
Comité de Riesgos;
c) Promover una activa cultura de gestión de riesgos en la institución, lo cual abarca la
inclusión del tema en los planes de capacitación o programas de divulgación continua
de la institución;
d) Asegurar que exista una adecuada separación de funciones entre la Unidad de Riesgos,
unidades de negocio y de operaciones;
e) Apoyar la implementación del sistema de gestión de riesgos;
f) Realizar un seguimiento permanente con base en la información suministrada por la
Unidad de Riesgos y las áreas operativas, sobre el estado de las exposiciones al riesgo
de la institución y al Grupo Financiero al que pertenece, cuando corresponda;
g) Asegurar que la Unidad de Riesgos cuente con los recursos y la independencia
suficientes para su labor, y que su actividad alcance a la institución y al Grupo Financiero
al que pertenece, cuando corresponda;
h) Mantener la exposición de los diferentes riesgos dentro de los parámetros de los límites
establecidos por el Directorio;
i) Mantener lineamientos claros de autoridad y responsabilidad para la administración y
control de los riesgos;
j) Revisar tanto el diseño como lo resultados de las pruebas de estrés y asegurarse de
tener planes apropiados de contingencia; y,
k) Prestar rápida atención a las posiciones que excedan ciertos niveles de riesgo
predeterminados de acuerdo al sistema de límite establecido.

CAPÍTULO IV
DE LAS RESPONSABILIDADES Y FUNCIONES DEL COMITÉ DE RIESGOS

ARTÍCULO 9.- CONFORMACIÓN DEL COMITÉ DE RIESGOS

El seguimiento detallado de la gestión de riesgos corresponderá al Comité de Riesgos,
establecido de conformidad al Reglamento de Gobierno Corporativo. El Director
independiente presidirá este Comité, y estará integrado por el responsable de la Alta
Gerencia, el responsable de la Unidad de Riesgos y de manera opcional por otros miembros
del Directorio. Asimismo, los responsables de las áreas de negocios, el auditor interno, o
cualquier otro empleado o funcionario que el Comité considere necesario, podrán participar
en las reuniones como miembros sin derecho a voto.

En el caso de las instituciones que forman parte de un Grupo Financiero, estará permitido
que uno o más integrantes del Comité de Riesgos de una institución pertenezcan a los
Comités de Gestión de Riesgos de otras instituciones del mismo grupo. El Directorio de la
Sociedad Responsable del Grupo Financiero, designará las autoridades o funcionarios de
instituciones miembros que participarán en los Comités, en función a la complejidad y nivel
de riesgos que represente (n) para el Grupo Financiero en su conjunto.

El Comité de Riesgos puede establecer sub comités de riesgos específicos, los cuales
permiten dar operatividad las labores de gestión y control. Dichos sub comités comunicarán
los aspectos actuados al Comité de Riesgos para su aprobación formal.

ARTÍCULO 10.- RESPONSABILIDADES Y FUNCIONES DEL COMITÉ DE RIESGOS

Corresponde al Comité de Riesgos, al menos, las siguientes responsabilidades y funciones:
a) Sostener reuniones al menos de forma mensual, constando en actas las deliberaciones
y acuerdos tratados en cada sesión;
b) Conocer y analizar los informes que le remita la Unidad de Riesgos, sobre la gestión y
exposición total e individual por tipo de riesgo en sus principales líneas de negocio, los
cambios sustanciales de tales exposiciones, su evolución en el tiempo y el cumplimiento
de límites prudenciales, así como proponer las medidas correctivas correspondientes.
Lo anterior deberá reportarse al Directorio;
c) Analizar las propuestas presentadas por la Unidad de Riesgos sobre las metodologías,
herramientas y procedimientos para la gestión de los distintos riesgos a los que se
encuentra expuesta la institución;
d) Aprobar y presentar al menos de forma mensual, al Directorio el informe sobre las
actividades desarrolladas en materia de gestión de riesgos;
e) Aprobar la constitución de sub comités de riesgos específicos de considerarlo necesario;
f) Revisar anualmente, el Plan Anual de la Gestión de Riesgos, y elevarlo al Directorio para
su aprobación;
g) Solicitar informes con anterioridad, a la periodicidad establecida, cuando a su propio
juicio sea necesario o existan cambios significativos en los procesos y prácticas en el
sistema de gestión integral de riesgos o en caso de que se observe un deterioro en la
estabilidad financiera, solvencia y liquidez de la Institución o del Grupo Financiero, según
corresponda;
h) Evaluar y proponer al Directorio, cuando así se analice y determine, el tratamiento de
excepciones temporales a sus límites y políticas internas, relacionadas con la gestión de
cada riesgo en particular, las que deben contemplar mecanismos de control de riesgos,
cuando corresponda;
i) Proponer al Directorio, para su aprobación, las políticas, procedimientos y sistemas para
la gestión integral de riesgos, que incluyan los niveles de tolerancia y límites prudenciales
para cada tipo de riesgo. El Comité deberá asegurarse que las herramientas
tecnológicas, tanto las desarrolladas internamente como las provistas por terceros, estén
debidamente documentadas, corresponden y se adecúan al tipo y complejidad de las
operaciones de la institución y del Grupo Financiero al que pertenece y han sido
asimiladas metodológicamente por el personal de la Unidad de Riesgos;
j) Proponer al Directorio el manual de gestión integral de riesgos, así como los manuales
o lineamientos para la administración de cada tipo de riesgo;
k) Definir la estrategia general para la implementación de las políticas, procedimientos y
sistemas aprobados para la administración integral de riesgos y su adecuado
cumplimiento; y,
l) Otras que le asigne el Directorio.

CAPÍTULO V
DE LAS RESPONSABILIDADES Y FUNCIONES DE LA UNIDAD DE RIESGOS

ARTÍCULO 11.- CONFORMACIÓN DE LA UNIDAD DE RIESGOS

De conformidad a lo dispuesto en el Reglamento de Gobierno Corporativo, la institución en
función de sus características, modelo de negocio, grado de complejidad de sus
operaciones y el perfil de riesgo, podrá conformar una Unidad de Riesgos o bien designar
las responsabilidades de esta unidad a un funcionario responsable.

La Unidad de Riesgos o el funcionario responsable, actuará de manera independiente

respecto a las áreas de negocio y tendrá el mismo nivel jerárquico de éstas últimas.

Los funcionarios y empleados asignados a la Unidad de Riesgos o el funcionario

responsable, por ningún motivo podrán tener responsabilidades o funciones operativas, ni
realizar, cerrar o promover negocios de la institución.
Esta unidad debe contar con suficientes recursos para ejecutar las actividades de gestión
de riesgos y para reasignar las funciones por ausencia temporal del personal clave de la
Unidad o del funcionario responsable.

ARTÍCULO 12.- RESPONSABILIDADES Y FUNCIONES DE LA UNIDAD DE RIESGOS

Corresponde a la Unidad de Riesgos o al funcionario responsable, al menos las siguientes
responsabilidades y funciones:
a) Participar activamente en las tareas de identificación, evaluación, mitigación, monitoreo,
comunicación de los riesgos, para lo cual deberá sujetarse al Sistema de Gestión de
Riesgos aprobado por el Directorio, marco regulatorio y normativo aplicable, apoyándose
en las mejores prácticas;
b) Proponer al Comité de Riesgos políticas, procedimientos y sistemas para la gestión
integral de riesgos que incluyan niveles de tolerancia, metodologías, herramientas,
modelos, límites prudenciales y otros mecanismos de control de la exposición total e
individual por tipo de riesgo en las principales líneas de negocio;
c) Elaborar el Plan Anual de la Gestión de Riesgos y presentarlo al Comité de Riesgos para
su revisión y aprobación;
d) Realizar el seguimiento continuo de todas las exposiciones de la institución y medir los
impactos esperados de la materialización de los distintos riesgos;
e) Transmitir a las áreas operativas, a la Alta Gerencia y al Comité de Riesgos alertas sobre
situaciones de riesgo inminentes;
f) Verificar e informar al Comité, periódicamente, sobre el cumplimiento de políticas,
procedimientos y límites de riesgo aprobados, revisando los niveles de tolerancia
permitidos y cómo se han aplicado las excepciones;
g) Proponer oportunamente mitigadores y estrategias de administración frente a los riesgos
detectados;
h) Revisar, al menos anualmente, las políticas, procedimientos y sistemas, así como
proponer su actualización al Comité, atendiendo los cambios en las condiciones del
mercado, en la situación de la institución y del Grupo Financiero al que pertenece, en el
nivel de exposición a los riesgos o cuando lo requiera la normativa vigente o en base a
mejores prácticas internacionales;
i) Apoyar a las áreas operativas en sus tareas respecto a la gestión de riesgos, así como
darles capacitación en los temas de riesgo;
j) Difundir las políticas, procedimientos y sistemas aprobados para la gestión integral de
riesgos, de forma que su contenido y objetivos sean comprendidos por todo el personal
involucrado en operaciones que impliquen riesgo para la institución;
k) Hacer del conocimiento del Comité de Riesgos al menos bimensualmente y cuando la
situación lo amerite, informes de gestión de riesgo, de conformidad a lo establecido en
el Artículo 18 de la presente Norma;
l) Velar que la gestión integral de riesgos considere todos los tipos de riesgos en que
incurre la institución y el Grupo Financiero al que pertenece, dentro de sus diversas
unidades de operaciones y negocios, así como la interrelación que puede existir entre
estos;
m) Comparar la suficiencia de patrimonio de la institución y del Grupo Financiero al que
pertenece, frente a las exposiciones de riesgo detectadas y tomar las medidas que
procedan;
n) Analizar el riesgo de los nuevos productos y servicios propuestos por las unidades de
negocios, a nivel de institución y de Grupo Financiero al que pertenece. Los análisis
realizados deberán de contener al menos:
i. Una descripción relevante de la estrategia, el producto o servicio.
ii. Una identificación de los recursos necesarios para establecer una sólida y efectiva
administración de los riesgos por el producto, servicio o producto, servicio o actividad.
iii. Un análisis de la razonabilidad de los productos y actividades propuestas en relación
con los niveles de capital y condición financiera de la institución.
iv. Los procedimientos que se utilizaran en medir, monitorear y controla los riesgos de la
actividad o producto propuesto, entre otros.
o) Realizar monitoreo y análisis de tendencias macroeconómicas, financieras, sectoriales
y de mercado, así como evaluar su impacto en la situación financiera de la institución y
del Grupo Financiero al que pertenece, tomando en cuenta la información oficial
disponible, de fuentes calificadas o de asociaciones gremiales u otras fuentes a criterio
de la institución;
p) Proponer al Comité de Riesgos los planes de contingencia o continuidad de operaciones
para su aprobación por parte del Directorio; y,
q) Otras que le asigne el Comité de Riesgos.

CAPÍTULO VI
DE LAS RESPONSABILIDADES Y FUNCIONES DE OTRAS ÁREAS INVOLUCRADAS
EN LA GESTIÓN INTEGRAL DE RIESGOS

ARTÍCULO 13.- DE LAS ÁREAS OPERATIVAS Y DEMÁS ÁREAS DE LA INSTITUCIÓN

La gestión de riesgos es una actividad transversal y es una función en la que deben
involucrarse todos los empleados de la institución; por tanto, todas las áreas de negocio y
de apoyo deben desarrollar al menos las siguientes funciones:
a) Conocer el Manual de Riesgos, las políticas generales y los límites de exposición que
deben cumplir;
b) Identificar las exposiciones al riesgo en su área de actividad e informarlas a la Unidad
de Riesgos;
c) Mantener la coherencia entre las actividades que realizan con los límites establecidos y
los niveles de tolerancia al riesgo aplicables a su ámbito de acción;
d) Conocer el perfil de riesgo de su área; y,
e) Alertar a la Unidad de Riesgos sobre desfases o insuficiencias de las políticas o normas
existentes.

ARTÍCULO 14.- DE LA AUDITORÍA INTERNA

Respecto a la gestión de riesgos, corresponde a la auditoría interna:
a) Examinar y valorar regularmente, de forma independiente, la idoneidad y efectividad del
proceso de gestión integral de riesgos de la institución y del Grupo Financiero al que
pertenece, en todas sus etapas.
b) Verificar la implantación real del Sistema de Gestión Integral de Riesgos.
c) Informar al Directorio a través del Comité de Auditoría de cualquier debilidad relevante
que haya detectado como consecuencia de los análisis realizados y proponer soluciones
alternativas.

ARTÍCULO 15.- DE LOS AUDITORES EXTERNOS

Los auditores externos de la institución deberán incluir en su evaluación periódica, la
revisión del adecuado funcionamiento del Sistema de Gestión de Riesgos, de conformidad
a la norma emitida por la Comisión, sobre esta materia.

CAPÍTULO VII
DE LOS DOCUMENTOS E INFORMES

ARTÍCULO 16.- MANUAL DE RIESGOS

Las instituciones deben contar con un Manual de Riesgos, permanentemente actualizado,
donde se registren los objetivos, actividades, funciones y demás aspectos relevantes
referentes al Sistema de Gestión de Riesgos. El referido manual debe tener en cuenta,
cuando menos, los siguientes aspectos:
1) Políticas: Las instituciones deben diseñar las políticas de riesgo operativo, que deben
incluir como mínimo lo siguiente:
i) Políticas para limitar y controlar los diferentes riesgos, estas deben ser aplicadas
a toda la institución inclusive a las demás empresas del Grupo Financiero o
económico cuando aplique. En estas se deben identificar los parámetros
cuantitativos que definen el nivel del riesgo aceptable para la institución, definiendo
con claridad los instrumentos utilizados y las estrategias de coberturas, entre otros;
ii) Procedimientos específicos y las aprobaciones necesarias para efectuar
excepciones a las políticas, límites y autorizaciones incluyendo la forma en que
serán informadas;
iii) Funciones en materia de gestión de riesgos de todas las áreas o unidades de la
institución, las cuales establezcan en forma clara las líneas de responsabilidad y
capacidad de decisiones de la gestión de los diferentes riesgos;
iv) Establecimiento de límites para los distintos riesgos los cuales deben ser
apropiados al tamaño, complejidad y nivel de solvencia de las Instituciones, así
como los niveles de tolerancia y desviación, y su procedimiento de fijación y nivel
de aprobación;
v) Políticas sobre la forma y periodicidad en que se informará al Directorio, Alta
Gerencia, Comité de Riesgo, Unidad de Gestión de Riesgos, Sub Comités y las
unidades operativas sobre exposiciones de riesgo de la institución;
2) Metodologías para la gestión de riesgos definidos en el Artículo 5 de la presente Norma,
aplicables a la institución o Grupo Financiero al que pertenece; la cual debe incluir al
 menos, la identificación de riesgos inherentes y factores de riesgo, medición de la
efectividad de los controles y mitigadores; y determinación del riesgo residual.
3) Estrategias de continuidad de negocio.
4) La descripción de las principales líneas de negocio, los riesgos que las mismas
incorporan y su interrelación con otros riesgos.
5) Alcance de la administración que debe desarrollarse en cada riesgo;
6) Tipos de acciones correctivas a aplicar en caso de desviaciones a los límites
establecidos;
7) El proceso para la elaboración de análisis de riesgos previo a la creación o ampliación
de líneas de negocio, incluyendo productos y servicios.
8) Proceso para la elaboración de los distintos escenarios de estrés, los cuales deben
incluir cambios significativos en los factores de riesgo, así como las condiciones bajo
las cuales los supuestos claves y parámetros de negocio no funcionarán. Se debe
considerar el escenario más desfavorable, que puedan enfrentar las instituciones en
función de sus riesgos y sobre los cuales diseñará los planes de contingencia.
9) Establecer la periodicidad de revisión o actualización del manual, la cual deberá ser al
menos una vez al año o cuando existan cambios significativos en la institución y su
entorno.

ARTÍCULO 17.- PLAN ANUAL DE LA UNIDAD DE RIESGOS

La Unidad de Riesgos o el funcionario responsable de dichas funciones, en coordinación
con la Alta Gerencia, debe presentar a consideración del Comité de Riesgos con la debida
antelación, un plan anual de actividades, con su respectivo cronograma de ejecución que
contenga al menos lo siguiente:
a) Actividades para implementar o mejorar la administración de los principales riesgos a los
cuales está expuesta la institución o el Grupo Financiero de acuerdo a su perfil de
riesgos;
b) Herramientas o metodologías a calibrar o desarrollar en el año;
c) Actividades especiales a desarrollar en áreas específicas;
d) Actividades de capacitación para la Unidad de Riesgos;
e) Actividades de capacitación para todo el personal de la institución en el tema de riesgos;
f) Asesorías o metodologías a adquirir externamente;
g) Recursos económicos necesarios para desarrollar las anteriores actividades;
h) Revisión y actualización de políticas y procedimientos; y,
i) Proponer ajustes a los límites y niveles de tolerancia vigentes.

ARTÍCULO 18.- INFORME DE GESTIÓN DE RIESGOS

El informe presentado por la Unidad de Riesgos al Comité de Riesgos, deberá revelar la
exposición total e individual por tipo de riesgo en las principales líneas de negocio, los
cambios sustanciales de tales exposiciones, su evolución en el tiempo y el cumplimiento de
límites prudenciales, todo ello con base a la tolerancia y apetito de riesgo definido por la
institución.
Los informes realizados deberán proporcionar información agregada, así como suficiente
soporte de detalle que permita a la administración evaluar la sensibilidad de la institución
ante los cambios en las condiciones de mercado y otros factores de riesgos. Este deberá
contener como mínimo, lo establecido en el Anexo 1 de la presente Norma, de acuerdo al
sector al que pertenece la institución.

En todos los informes y reportes que prepare la Unidad de Riesgos de la Sociedad

Responsable del Grupo Financiero, se deberá incluir un apartado específico relativo a los
aspectos vinculados a la gestión del riesgo a nivel del Grupo Financiero y demás empresas
o instituciones no supervisadas.

CAPÍTULO VIII
GRUPOS FINANCIEROS

ARTÍCULO 19.- RESPONSABILIDAD DE LA SOCIEDAD RESPONSABLE

La institución designada como Sociedad Responsable del Grupo Financiero deberá
incorporar en su esquema de gestión integral de riesgos lo referente al Grupo como un todo.
En este sentido, las distintas instancias de la Sociedad Responsable (Directorio, Alta
Gerencia, Comité de Riesgos y Unidad de Riesgos) ejercerán las funciones previstas en la
presente Norma tanto a nivel de la Sociedad Responsable como a nivel agregado de todo
el Grupo Financiero.

ARTÍCULO 20.- ELEMENTOS ESPECÍFICOS DE LA GESTIÓN DE RIESGO A NIVEL

DEL GRUPO FINANCIERO
La Sociedad Responsable del Grupo Financiero, mediante su Comité de Riesgos, deberá
definir los lineamientos y políticas para determinar la exposición al riesgo global del Grupo,
derivados de los riesgos individuales de las instituciones o sociedades que lo integran, y su
interrelación por medio del análisis y evaluación como mínimo, de los siguientes aspectos:
a) Agravantes o atenuantes en los distintos tipos de riesgo individuales por la exposición
consolidada del Grupo Financiero;
b) Aparición de nuevos riesgos derivados de las vinculaciones entre los distintos
integrantes del Grupo Financiero;
c) Adecuación de los procedimientos existentes para el intercambio de información entre
los distintos integrantes del grupo, principalmente con la Sociedad Responsable;
d) Criterios para la consolidación de la información por integrante a nivel del grupo;
e) Armonización de las políticas seguidas por cada integrante, si éstos desarrollan sus
actividades en sectores o jurisdicciones diferentes a la Sociedad Responsable.
f) Exposición total por cada tipo de riesgo de las instituciones del Grupo Financiero, así
como sus mitigantes definidos.
g) Importancia relativa de cada una de las instituciones del Grupo Financiero;
h) Vínculos financieros de la Sociedad Responsable con cada una de las demás
instituciones del Grupo Financiero, así como el impacto del deterioro de dicha relación
en su propia liquidez y solvencia;
i) Solvencia del Grupo Financiero, con base en la evaluación de la posición patrimonial
consolidada;
j) Solvencia de cada una de las instituciones o sociedades del Grupo Financiero y su
comparación con las respectivas exposiciones totales al riesgo.

CAPITULO IX
INFORMES A REMITIR

ARTÍCULO 21.- REQUERIMIENTO DE INFORMACIÓN

La institución deberá remitir a la Comisión, a más tardar el 31 de enero y 31 de julio de cada
año, un informe semestral sobre la gestión integral de riesgos, el cual deberá ser
acompañado de la certificación de punto de acta en donde se haga constar que dicho
informe fue de conocimiento del Directorio. Dicho informe deberá contener la siguiente
información:
a) Nivel de exposición de cada tipo riesgo, definido en el Artículo 5 de la presente Norma,
en lo aplicable a la Institución (inherente y residual);
b) Estrategias adoptadas de mitigación de riesgos;
c) Desviaciones a los límites previamente establecidos y acciones correctivas
implementadas
d) Resultados del monitoreo de cada uno de los riesgos; y,
e) Resultados de los escenarios de estrés aplicados a cada uno de los riesgos.

La Comisión podrá requerir este informe fuera de los plazos antes señalados, con la
frecuencia y contenido que considere necesario.

ARTÍCULO 22.- REQUERIMIENTO DE INFORMACIÓN A NIVEL DE GRUPO

FINANCIERO
La Sociedad Responsable del Grupo Financiero deberá presentar a esta Comisión, a más
tardar el 31 de marzo y el 30 de septiembre de cada año, un informe semestral sobre la
gestión integral de riesgos del Grupo, que contenga como mínimo, los siguientes aspectos:
a) Descripción de las actividades que desarrollan las instituciones o sociedades que
conforman el Grupo Financiero;
b) Descripción de los riesgos que enfrenta el Grupo Financiero, identificando tipos y
características, que atañen a cada institución integrante, así como los mecanismos
implementados para su administración o gestión;
c) Resumen de los mecanismos utilizados para la gestión integral de riesgos de Grupo;
d) Detalle de operaciones intra-grupo;
e) Cumplimiento de los límites legales establecidos para cada institución integrante y como
Grupo Financiero;
f) Las excepciones temporales que se generaron a las políticas y límites internos, si
corresponde;
g) Análisis de la situación patrimonial y de solvencia del Grupo Financiero, señalando
cuando corresponda, la existencia de un déficit patrimonial a nivel consolidado o
 individual y las acciones que se están asumiendo a efecto de revertir dicha situación,
con cifras al 31 de diciembre y 30 de junio respectivamente;
h) Perfil de riesgo de cada institución y consolidado del Grupo Financiero; y,
i) Monitoreo a las variaciones en los perfiles de riesgos de cada institución y del Grupo
Financiero.

CAPITULO X
DISPOSICIONES FINALES

ARTÍCULO 23.- ENFOQUE DE SUPERVISIÓN BASADA EN RIESGOS

La Comisión orientará sus actividades de control de las instituciones supervisadas de
acuerdo con el enfoque de supervisión basada en riesgos, en el cual evalúa tanto los
riesgos de cada institución como la forma en que los administra, para lo cual tomará en
consideración el cumplimiento de los lineamientos establecidos en la presente Norma,
dentro de su objetivo general de preservar la solidez de las instituciones.

ARTÍCULO 24.- REQUERIMIENTOS ADICIONALES DE CAPITAL

La Comisión podrá exigir a las instituciones el requerimiento de capital adicional,
estimaciones, reservas o el cumplimiento de un índice de adecuación de capital o solvencia,
superior al mínimo requerido, según sea el caso, cuando determine una falta de adecuación
en sus procesos de gestión de los riesgos, un grado de concentración de tales riesgos o se
presenten desviaciones significativas a la tolerancia y apetito del riesgos. Lo anterior, de
conformidad con las mejores prácticas internacionales y al último párrafo del Artículo 37 de
la Ley del Sistema Financiero.

ARTÍCULO 25.- TRANSPARENCIA

Las instituciones deben revelar en su memoria anual, página web o cualquier otro medio de
comunicación masiva, los aspectos fundamentales de la gestión de riesgo que desarrolla la
institución y del Grupo Financiero al que pertenece, incorporando los objetivos y logros
alcanzados.

ARTÍCULO 26.- SANCIONES

Los incumplimientos a las disposiciones contenidas en la presente Norma, serán
sancionadas por la Comisión de conformidad con lo establecido en las Leyes aplicables y
en el Reglamento de Sanciones a ser aplicado a las Instituciones Supervisadas vigente.

ARTÍCULO 27.- CASOS NO PREVISTOS

Lo no previsto en la presente Norma será resuelto por la Comisión, conforme a lo
establecido en la legislación vigente aplicable, mejores prácticas y estándares
internacionales.

ARTÍCULO 28.- PLAZO DE ADECUACIÓN

Para efectos de adecuación a las disposiciones contenidas en la presente Norma, las
instituciones deberán sujetarse a los siguientes plazos:
 Programa Plazo Observaciones
Instituciones del Sistema Financiero, BANHPROVI, RAP PENSIONES
1. Plan de acción para Treinta (30) Se deberá desarrollar un plan de acción con
adecuarse a las días hábiles plazo límite máximo de seis (6) meses a
modificaciones de la contados a partir de la entrada en vigencia de la Norma,
presente Norma, con su partir de la para adecuar su proceso de gestión integral
respectiva aprobación por entrada en de riesgo a las modificaciones de la misma.
el Directorio vigencia de la El proceso de adecuación de esta norma, no
Norma para exime de responsabilidad al Directorio en
remitir el plan velar porque se gestionen los riesgos a que
de acción. se expone la institución. Este plan de acción
deberá incluir al menos: Fechas de inicio y
finalización de las actividades, responsables
de ejecución, descripción de las actividades
a realizar, entre otros.
2. Informe semestral sobre la 31 de enero y El primer envío será con cifras al cierre del
gestión de riesgos 31 de julio segundo semestre del año 2019.
3. Informe semestral sobre la 31 de marzo y El primer envío será con cifras al cierre del
gestión de riesgos del 30 de segundo semestre del año 2019.
Grupo Financiero septiembre
4. Cumplimiento Artículo 15 – De inmediato
De la Auditoria Interna
Demás Instituciones Supervisadas
1. Plan de acción para Treinta (30) Se deberá desarrollar un plan de acción con
adecuarse a los días hábiles plazo límite máximo de veinte y cuatro (24)
lineamientos de la presente contados a meses a partir de la entrada en vigencia de
Norma, con su respectiva partir de la la Norma para dar cumplimiento total a la
aprobación por el Directorio. entrada en misma.
vigencia de la El proceso de implementación de esta
Norma para norma, no exime de responsabilidad al
remitir el plan Directorio en velar porque se gestionen los
de acción. riesgos a que se expone la institución. Este
plan de acción deberá incluir al menos:
Fechas de inicio y finalización de las
actividades, responsables de ejecución,
descripción de las actividades a realizar,
entre otros.
2. Informe trimestral sobre los Diez (10) días Según Anexo No. 2, a partir del cierre del
avances en la hábiles tercer trimestre del año 2019.
implementación de la después del
Norma de Gestión Integral cierre del
de Riesgo. trimestre.
3. Manual de Riesgos. Seis (6) meses Según fechas establecidas en Articulo No.
contados a 22
partir de la
entrada en
 Programa Plazo Observaciones
vigencia de la
Norma.
4. Informe semestral sobre la 31 de enero y El primer envío será con cifras del cierre
gestión de riesgos 31 de julio del primer semestre del año 2020.
5. Informe semestral sobre la 31 de marzo y El primer envío será con cifras del cierre
gestión de riesgos del 30 de del primer semestre del año 2021.
Grupo Financiero septiembre
6. Cumplimiento Artículo 15 – De inmediato
De la Auditoria Interna

ARTÍCULO 29.- DEROGATORIA

A partir de la entrada en vigencia de la presente Norma, queda sin valor y efecto la
Resolución SB No. 1320/02-08-2011, contentiva de la "Norma de Gestión Integral de
Riesgo", así como cualquier otra disposición emitida sobre la materia que se oponga a la
presente Norma.