ANÁLISIS DEL

RIESGO
INTEGRANTES

Campos Gabriela
Chachalo Erika
Cruz Mishell
Idrovo Ismael
Padilla Cristian
Chanatasig Cristian
ANÁLISIS DEL RIESGO

OBJETIVO GENERAL

 Determinar las principales causas y factores que incurre en los riesgos

encontrados en el banco “Produbanco” agencia San Luis Shopping

OBJETIVOS ESPECÍFICOS

 Determinar los factores de riesgo para que afectan a Produbanco

 Analizar los controles existentes para intervenir en el riesgo existente.
 Definir la probabilidad y el grado de impacto del riesgo encontrado en
Produbanco, además de establecer prioridades para su control.
 Establecer acciones y responsables para el tratamiento del riesgo

HISTORIA DE PRODUBANCO.

En 1978 inició sus operaciones atendiendo al sector corporativo; sin embargo, a partir
de la primera década amplio los segmentos de negocio y la cobertura geográfica en
Ecuador y a nivel internacional. En marzo de 2014, Promerica Financial Corporation
(Grupo Promerica), adquirió un porcentaje mayoritario de acciones de Produbanco e
inició el proceso de consolidación con Banco Promerica Ecuador para en octubre de
2014, se convirtieran en una sola institución financiera. Se mantiene la razón social de
Banco de la Producción y su nombre comercial, Produbanco, debido a la exitosa
trayectoria. Todos los clientes de Banco Promerica Ecuador pasaron a formar parte de
Produbanco.

Produbanco posee una trayectoria de 40 años en el mercado, poseen reconocimientos

locales e internacionales que nos ratifican como uno de los bancos más prestigiosos. En
la actualidad, el banco cuenta con calificación de riesgo de AAA- y corresponde a una
de las más altas del sistema financiero nacional emitida por dos Calificadoras de
Riesgo: BankWatch Ratings y PCR-Pacific Credit Rating.
Se ubica como el tercer banco más grande del país, de los veintidós bancos presentes en
el sistema financiero ecuatoriano. Cuenta con 101 agencias a nivel nacional y un
personal de más de 3100 trabajadores.

De acuerdo con la Memoria de Responsabilidad Social 2015 de Produbanco, su plan

estratégico se asienta en cuatro pilares básicos:

 Administrar responsablemente los activos

 Crecer en las Bancas de Personas, Medios de Pago, PYMES y Empresarial
 Continuar con el liderazgo en la Banca Corporativa
 Ser líderes en omnicanalidad

INFORMACIÓN PRODUBANCO - AGENCIA SAN LUIS

 Personal del banco:

o 19 funcionarios.
 10 cajeros, 1 supervisora, 1 jefe de agencia, 4 ejecutivos
comerciales, 1 anfitrión, 1 guardia, 1 Señora de la limpieza.
 Ubicación:
o Dentro del Centro comercial San Luis, PB-014, en los parqueaderos, al
lado de Bebemundo,
 Área de la agencia:
o 429,35 m2
 Afluencia de personas:
o 800 a 1500, dependiendo de los días del mes y de las temporadas del
año.

FACTOR DE RIESGO
INTERNO EXTERNO
Poca seguridad del banco al
momento del ingreso
Fallos en los sistemas de seguridad
Mal proceso de contracción de
seguridad
TIPO
RIESGO DESCRIPCIÓN POSIBLES CONSECUENCIAS
1) Una situación que se presenta dentro
del banco es que las personas encargadas
de la seguridad no toman las medidas
X
necesarias para que las personas accedan
a las instalaciones y evitar
aglomeraciones.
2). En el momento que e deja de hacer
mantenimiento a las cámaras como a los Pérdida de recursos económicas tanto para
X sistemas de seguridad se presentan clientes como para la empresa/Daños físicos y
ROBOS/ASALTO problemas ya que al momento de psicológicos a las personas involucradas/Daños
realizarlos el banco puede quedar físicos a la infraestructura/Perdida de imagen
vulnerable. corporativa
3). Las personas que son contratadas
deberías tener la preparación adecuada
ante posibles contingencias que se
X puedan presentar y como reaccionar ente
ellos, además de las personas que
ingresan a ser parte de la empresa lo
harán mediante un análisis de su perfil.
 1). Poco control en eliminar paginas
fraudulentas. Muchas personas crean una
réplica fraudulenta (phishing) del portal
del banco con la que atraer a usuarios
la seguridad informática del banco es
X incautos. Los delincuentes pueden acudir
poco eficiente
a anunciarse en la red e incluso pagar por
aparecer primero en los buscadores con
esta imitación.
2) no se invierte en un buen software de
seguridad informática que evite los
malware o en otras palabras los
programas maliciosos que dañan los
sistemas informáticos, muchas veces
pueden secuestrar el acceso a
Pérdida de recursos económicos la
documentos y liberarlos a cambio de una
CIBERNÉTICOS empresa/Perdida de imagen corporativa/
suma económica.
Perdida de clientes
3) cada día existe nueva forma de
vulnerar al software de seguridad
informática, por lo que estos deben estar
en una actualización continua y genera
poco control en la eliminación de
costes altos a los bancos.
páginas falsas. Poco conocimiento en X
4) A raíz del desarrollo de nuevas
la denegación de servicios (DoS)
tecnologías y soluciones digitales, la
exposición de las entidades al riesgo
cibernético se ha incrementado, debido a
que estas innovaciones han expandido el
rango y el número de puntos de entrada
que los hackers pueden atacar en busca
de deficiencias o debilidades en los
sistemas.
déficit de profesionales
especializados en materia de
ciberseguridad
Falta de seguridad que permite que
X
existan infiltrados internos
Presencia de grupos de delincuencia
organizada a nivel del sector bancario
en el país
Falta de establecimiento de políticas
internas en cuanto al uso de
información confidencial y
socialización de las consecuencias
jurídicas aplicables en caso de no
cumplir con dichas políticas.
Mal proceso de selección del
personal que no incluye la revisión de
los antecedentes del personal.
Poca restricción del acceso a
computadoras, archivos y áreas
clasificadas.
Fallos en el sistema eléctrico
Tormentas/Rayos
X
X
Situación donde se pretende obtener
riquezas a través de una trampa, cometer
un delito mediante el abuso de confianza
X
o la mentira, cuando clientes falsos que
se hacen pasar por funcionarios o clientes
por medio de suplantación de
ESTAFAS
identidades. La estafa puede ser definida
X como un delito que se ejecuta contra el
patrimonio o la propiedad y que se
perpetra por medio de un engaño. El
estafador se encarga de que la víctima
crea en algo que no tiene existencia real.
X
X FALLOS DE LOS El mantenimiento de cualquier equipo es Pérdida de recursos económicos la
X SISTEMAS fundamental, pero en el caso de los empresa/Perdida de imagen
El riesgo operativo, reputación y la imagen
corporativa, se ven afectados severamente por
causa del fraude. Las personas involucradas son:
los directivos, empezando por su reputación y
por la pérdida de confianza por parte de los
accionistas. Los empleados, quienes se ven
afectados por la desmoralización que un fraude
genera en un grupo de trabajo y los auditores,
quienes muchas veces no han podido o no han
sabido reconocer los indicios de fraude.
También los accionistas en los resultados
financieros, en el valor de la empresa y en la
imagen de la misma en el mercado.
 OPERATIVOS servidores en empresas se convierte en corporativa/Demostrar ineficiencia en la
INTERNOS vital, debido a que en él se concentra la atención al cliente/ Perdida de clientes. Cuando
gestión e información. Los apagones y el servidor falla la actividad de la empresa se ve
subidas de tensión son malos para tu seriamente afectada, no podemos atender las
equipo y tus datos. Cuando hay una solicitudes de nuestros clientes, los trabajos se
subida de tensión se traduce en una retrasan e inevitablemente nuestros clientes
parada inesperada de tu ordenador, y buscan soluciones en la competencia.
esta se cobra su peaje en los
componentes del ordenador. Los
Falta de mantenimiento de redes y sistemas operativos son complejos y
X
servidores deben seguir los procedimientos
adecuados para apagarlo y asegurarse de
que todos los procesos se ejecutan
correctamente. Una pérdida repentina de
la energía puede interrumpir estos
procedimientos delicados y provocar que
el equipo deje de funcionar.

Ubicación cercana al Cotopaxi X

Debido a que El Cotopaxi es considerado

uno de los volcanes más activos del
mundo Pérdida de recursos económicos/ Perdida de
ERUPCIÓN DEL
representando una constante amenaza activos fijos y financieros/ Daños físicos y
VOLCAN
Activación del cinturón de fuego del para sus alrededores, su peligrosidad psicológicos a las personas
X COTOPAXI Y
Pacífico radica en que sus erupciones pueden dar involucradas/Pérdidas totales / muerte de
TEMBLORES
lugar a la formación de enormes lahares personas
que afectarán directamente a la
infraestructura donde se sitúa el banco.

Fallas en el proceso de aceptación de
clientes, identificación de clientes y
seguimiento de relaciones
comerciales y operaciones, así como
falta de comunicación de
X X
movimientos extraños en la zona o
actitudes extrañas de personas o
clientes que visitan la agencia, por
parte de colaboradores y guardias del
banco.
Actos terroristas como amenaza de
bomba.
1) La amenaza de bomba es falsa: Se
puede dar el caso en el cual personas
ajenas a la institución, se acerquen a la
agencia para conocer el movimiento de la
misma, analizarlo y estudiarlo, así como
también personas se hacen clientes del
banco para conocer procesos u obtener
Pérdida total de activos fijos y financieros,
información de los funcionarios del
muerte (en el caso que la amenaza de bomba
banco, pero su fin es únicamente conocer
sea real), pánico en los clientes, personas dentro
TERRORISMO el movimiento de la agencia para saber
del cc San Luis y funcionarios del banco, ya que
en qué momento ésta puede ser
no se sabe si la amenaza es real o no , daños
vulnerable para actos terroristas como
físicos y psicológicos a los involucrados
colocación de presunta bomba, para
únicamente alejar a los clientes que se
encuentren en la agencia y sacar a
personal innecesario de la agencia, solo
permiten que se queden los que manejan
claves y bóvedas para ellos poder ingresar
y obtener todo el dinero de la agencia.
2) La amenaza de bomba es cierta. En
este caso el fin es únicamente terrorismo.
 PROBABILIDAD IMPACTO PRIORIDAD
RIESGO Alta media baja alta media baja a b c
x x x
ROBOS Y ASALTOS
CIBERNÉTICOS x x x
ESTAFAS X x x
FALLOS EN EL SISTEMA
X x x
OPERATIVO INTERNO
ERUPCIÓN COTOTPAXI-
x x x
TEMBLORES
TERRORISMO x x X

 Desde el año 2003 se registran incrementos en la actividad volcánica, siendo el año 2015, el de mayor actividad reportada. Desde el 14 de agosto de
2015, 138 años después de su última gran erupción, el volcán Cotopaxi experimentó un incremento de actividad con la expulsión de material
volcánico y fue puesto bajo vigilancia constante por parte del Instituto Geofísico de la EPN. Actualmente el volcán Cotopaxi se encuentra en alerta
blanca, es decir que no existe la probabilidad de una erupción en este año.

 PRIORIDAD ANALISIS DE CONTROLES

CONTROL
NO NO CONTROL NO CONTROL
RIESGO (A,B o C) EXISTE DESCRIPCIÒN CONTROLES EXISTENTES EFECTIVO DOCUMENTADO DOCUMENTADO

La empresa tiene capacitaciones para los trabajadores y las personas encargadas de la

seguridad del Banco sobre cómo actuar en el caso de aglomeraciones o que al X
momento de ingreso observar la actitud de personas sospechosas, de esta forma
también tienen apoyo con las cámaras que se encuentran funcionando las 24 horas del
día al igual que los sistemas de seguridad que cuida del dinero y la salud física de los
ROBOS Y ASALTOS B trabajadores así como de los clientes.
La estrategia de defensa de Produbanco no se basa solo en la protección, sino en la
monitorización para prevenir ataques y en la definición de mecanismos de respuesta
que minimicen el impacto. Además, Produbanco utiliza la contratación de proveedores
de servicios de seguridad gestionada (MSSP), que aportan desde la protección frente a
X
spam y virus hasta la gestión de redes privadas virtuales (VPN) o la actualización de
sistemas. Posee seguros contra Riesgos Cibernéticos. Existe una buena Capacitación al
personal sobre las posibles maneras de ser hackeados y cuáles serían los mecanismos
CIBERNÉTICOS A a seguir para controlarlos.
La empresa realiza una auditoría de puntos críticos, la misma que consiste en el
examen de cuentas y registros a los efectos de detectar síntomas de manipulaciones y X
ESTAFAS B conversiones fraudulentas. El resultado de la misma es una lista de síntomas
 fraudulentos o aspectos posiblemente fraudulentos a partir de los cuales cabe iniciar
actividades de investigación.
En la empresa realiza controles mensuales o quincenales según como este la parte
FALLOS EN EL informática ya que este puede variar a la noche a la mañana como por fallas en el
SISTEMA sistema o errores humanos en la encriptación de datos, por lo cuales se tienen x
OPERATIVO capacitaciones para este evento, o se deja a la empresa encargada de los servidores
INTERNO C actuar de la manera más correcta y rápida posible.

Produbanco se acoge al plan de contingencia realizado por la Secretaría de Gestión de x

ERUPCIÓN Riesgos, el cual conlleva acciones de preparación para dar respuesta a una posible
COTOTPAXI- erupción del volcán Cotopaxi protegiéndose de los efectos negativos que se pueden
TEMBLORES B producir.

En cada puesto de trabajo de los funcionarios existe el botón de pánico, que sirve para
notificar a los supervisores de guardias sobre cualquier novedad de carácter urgente,
B por lo que ayudaría a alertar a las autoridades competentes para el caso. En caso de X
que ellos se demoren en actuar, existen cámaras en todos lados de la agencia y la
misma está siendo monitoreada todo el tiempo, si el personal que lo hace nota alguna
situación de peligro debe notificar a las autoridades para actuar lo más rápido posible.
El guardia que se encuentra en la agencia está capacitado para cualquier situación de
peligro, por lo que él sabe qué proceso seguir en una amenaza de bomba. Dentro del
centro comercial se encuentra un UPC, ellos junto al personal de seguridad de la
TERRORISMO agencia pueden colaborar con la situación de riesgo.
 CRONOGRAMA
RIESGO TRATAMIENTO ACCIONES RESPONSABLE (S) FECHA FECHA
EN EL PROCESO INICIO FINAL INDICADORES
1). Capacitación al personal
encargado de la seguridad en canto
se refiere al control en el ingreso de
personas la cual este acorde con la
capacidad de las instalaciones y dar
solución a las mismas ya que esto
reduciría la probabilidad de que
personas entre para robar y asaltar a
los clientes.
Se puede disminuir el riesgo y
2). Realizar un mantenimiento - Agencias de
el impacto que puede tener el
periódico de los sistemas de seguridad
ROBOS Y banco y sus clientes mediante enero diciembre
seguridad en un horario que no
ASALTOS una constante capacitación y 2018 2018
perjudique las actividades del Banco
actualización en los sistemas
para poder brindar seguridad al
de seguridad.
personal y a los clientes ya que
mediante estas se puede identificar a -Pernal de
quienes tengan malas intenciones mantenimiento y -Contrato con agencias de
dentro del banco. seguridad del Banco seguridad y mantenimiento
3). El departamento de talento de los sistemas de
humano deberá realizar un análisis seguridad.
minucioso del curriculum de las
personas que van a formar parte de la - Gerente de talento -Seguros contra robos y
empresa ya que de ellos depende la humano asaltos.

Se debe transferir el riesgo
porque el banco, frente a un
ataque informático puede
CIBERNÉTICOS perder millones de dólares
que no podrá cubrir con un
auto seguro o fondos propios
del banco.
seguridad e información que posee el
Banco es por eso que deben contratar
a personal que cumpla con las
políticas de la misma.
Contratación de empresas
proveedores de servicios de
seguridad gestionada (MSSP), que
ayuden a disminuir la probabilidad de
impacto frente a un riesgo
cibernético, además de la
contratación de una póliza de riesgos
cibernéticos que le ayude a asumir y
enfrentar los siniestros que esto trae.
enero diciembre
Antivirus; firewalls; políticas y
2018 2018
procedimientos frente a protección
de datos; conocimiento del manejo
de información por parte de los
empleados; contar con un método La póliza de Responsabilidad
para almacenar la información -Proveedores de Civil para Riesgos
confidencial; realizar auditorías de servicios de Cibernéticos vigente /
control interno para determinar el seguridad contrato con la empresa de
uso de la información y la gestionada (MSSP) / seguridad cibernética
autorización para los empleados. Gerente General vigente
 Se puede disminuir la
Inteligencia empresarial: desde una
probabilidad e impacto
perspectiva de detección de fraudes,
mediante la actuación
la inteligencia empresarial trata de
contundente y sin dilación de
asegurarse de que las transacciones y
la empresa frente a
suministros de la empresa no se vean -Supervisor enero diciembre
ESTAFAS situaciones de fraude interno Seguro vigente
perjudicados por prácticas de -Jefe de agencia 2018 2018
y se genera controles
competencia desleal por parte de los
mediante la activación del
empleados por medio del monitoreo
protocolo interno para estafas
exhaustivo a los empleados en sus
que manejan los mandos
procesos de trabajo.
superiores.
 1) El hardware de los servidores
requiere un mantenimiento similar al
de los ordenadores de uso común, si
bien con algunas salvedades. Al estar
más tiempo encendidos, es más fácil
que sufran sobrecalentamientos, que
la suciedad penetre en su interior y
sean más sensibles a la falta de
limpieza. Por eso, los servidores
suelen muchas veces aislarse en
armarios rack, que son unos estantes
Se puede disminuir el impacto metálicos en forma vertical,
de los fallos en el sistema especialmente preparados para
mediante mantenimiento conectar diversos tipos de servidores
FALLOS EN EL -Proveedores de
constante del software y y dispositivos.
SISTEMA servidores enero diciembre Seguro vigente contra daños
hardware de la empresa, de la 2) Mantenimiento de los servidores
OPERATIVO - Departamento de 2018 2018 en servidores o eléctricos.
INTERNO
misma manera las fuentes de es el mantenimiento de software.
alimentación de energía la cual Instalación de actualizaciones del informática
es muy utilizada por las sistema operativo, actualizaciones del
grandes empresas (SAI) antivirus y asegurar la configuración
del firewall, lo que resulta
imprescindible para prevenir las
entradas no autorizadas.
3) Estado de la fuente de
alimentación, de modo que no se
produzcan apagones constantes que
puedan minar el rendimiento del
servidor. Un SAI (Sistema de
Alimentación Ininterrumpida) es la
medida de seguridad más habitual
para proporcionar electricidad

Se puede disminuir el impacto
ERUPCIÓN de los efectos que
COTOPAXI- desencadenan este tipo de
TEMBLORES
eventos, tanto para el
personal como para los
alternativa en caso de una caída o
pérdida de la tensión eléctrica.
Mediante videos informativos dentro
del establecimiento que detallen que Seguro vigente que cubra
Departamento de enero diciembre
medidas y que se debe hacer en casos daños por desastres
Riesgos 2018 2018
de erupción así como sobre zonas naturales
seguras cercanas al lugar para evitar
 clientes que se encuentren
dentro del establecimiento,
puesto que los daños a la
infraestructura no se pueden
controlar.
Se puede disminuir la
probabilidad mediante el
monitoreo y vigilancia
constante de la agencia, esta
misma situación genera
controles constantes, tanto
del personal de seguridad
TERRORISMO
como del personal de la
agencia. Y realizando
capacitaciones y simulacros
cada cierto tiempo, para
evaluar conocimientos.
el impacto negativo en las personas.
Existen capacitaciones constantes
dirigidas a los empleados para saber
cómo actuar en caso de amenaza de
bomba, mediante estas
capacitaciones el funcionario sabe Haciendo un check list del
cómo manejar la situación, que mantenimiento que se
realizar en el momento de la amenaza realiza para las diferentes
y como ayudar a las autoridades con Departamento de cámaras de seguridad, para
la información de los implicados, al Riesgos de verificar su funcionalidad.
igual de cómo manejar la información Produbanco, Jefe de
enero diciembre Haciendo un check list del
con los medios de comunicación. El agencia con ayuda
2018 2018 análisis de las evaluaciones
personal de seguridad realiza de la Supervisora de que se realizan al personal
simulacros lo más acercado a la cajas, Supervisor de despues de cada
realidad para que los funcionarios seguridad
capacitación y de cada
sientan la presión y el miedo, para así,
simulacro.
poder corregir los errores y evitar los
mismos en la situación de riesgo real.
Todas las capacitaciones y simulacros
quedan documentados, así como
también los dos se evalúan para
asegurar la comprensión del personal.