UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

CENTRO UNIVERSITARIO DEL NORTE

CONTADURÍA PÚBLICA Y AUDITORÍA

TRABAJO SEMINARIO DE CASOS DE AUDITORÍA

SUPERVISIÓN BANCARIA BASADA EN RIESGOS

COBÁN, ALTA VERAPAZ, OCTUBRE DE 2019

 UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
CENTRO UNIVERSITARIO DEL NORTE
CARRERA DE CONTADURÍA PÚBLICA Y AUDITORÍA

TRABAJO SEMINARIO CASOS DE AUDITORÍA

PRESENTADO AL ASESOR DEL SEMINARIO CASOS DE

AUDITORÍA DEL CENTRO UNIVERSITARIO DEL NORTE
LICENCIADO SERGIO ANIBAL CALDERÓN

POR

WENDY CATARINA POROJ CHAJ 201541506

MAGDA DINORA CASTRO CHAMAM 201540489
ADA ABELINA WINTER GARCÍA 201542289
DELIA SELENY TOT CUCUL 201542412
ANA LUCÍA MONTERROSO 200213316
MARVIN EDUARDO OSORIO ALVA 201542079
MAYBELIN YUSELY RAX CAAL 201541825
YESSENIA JEMINA BEB COC 201542293
RIGOBERTO ESTUARDO XOL CAAL 201540589
HÉCTOR BALDOMERO COC ISEM 201144407

COBÁN, ALTA VERAPAZ, OCTUBRE DE 2019

 Contenido
INTRODUCCIÓN ......................................................................................................... 5

OBJETIVOS................................................................................................................... 7

General ....................................................................................................................... 7

Específicos ................................................................................................................. 7

CAPÍTULO 1 ................................................................................................................. 8

SUPERVISIÓN BASADA EN RIESGOS .................................................................... 8

1.1 Definición de Riesgo ........................................................................................ 8

1.2 Definición de Supervisión .................................................................................... 8

1.3 ¿Qué es la Supervisión Basada en Riesgos? ........................................................ 9

1.4 ¿Dónde nace la Supervisión Basada en Riesgos? .............................................. 10

1.5 El Gobierno Corporativo en la Supervisión Basada en Riesgos ........................ 13

1.6 Objetivos de la Supervisión Basada en Riesgos ................................................. 13

CAPÍTULO 2 ............................................................................................................... 15

INTRODUCCIÓN A LOS TIPOS DE RIESGOS ....................................................... 15

2.1 Riesgo Operacional ............................................................................................ 15

2.2 Fuentes ............................................................................................................... 16

2.3 Evaluación de Riesgos ....................................................................................... 17

2.4 ERM (Enterprise Risk Management) ................................................................. 18

2.5 Evaluación Interna de los Riesgos y de la Solvencia ......................................... 18

2.6 Normativa ........................................................................................................... 19

2.7 Tecnología de la Información ............................................................................ 19

2.8 Riesgo Tecnológico ............................................................................................ 20

2.9 Gestión de Riesgos Tecnológicos en la Organización ....................................... 21

2.10 Gestión de Riesgo de Créditos ......................................................................... 24

 2.11 Riesgo de Mercado ........................................................................................... 25

2.12 Riesgo de tasas de cambio................................................................................ 26

2.13 Riesgo de acciones ........................................................................................... 26

2.14 Riesgo de mercancías ....................................................................................... 26

2.15 Riesgo de Liquidez ........................................................................................... 27

CAPÍTULO 3 ............................................................................................................... 29

GESTIÓN EFECTIVA DE RIESGOS ........................................................................ 29

3.1 Fundamentos de la Gestión de Riesgo ............................................................... 29

3.2 Identificación de los Riesgos ............................................................................. 29

3.4 Impacto de los Riesgos en la Entidad ................................................................ 29

3.5 Evaluación de la efectividad de los controles .................................................... 30

3.6 Evaluación de Riesgos ....................................................................................... 30

3.7 Administración del Riesgo ................................................................................. 31

3.8 Condiciones previas para una supervisión bancaria efectiva ............................. 32

3.9 Principios de Supervisión ................................................................................... 33

3.9 Estrategia y proceso de supervisión ................................................................... 33

CONCLUSIONES ....................................................................................................... 35

BIBLIOGRAFÍAS ....................................................................................................... 37
 5

INTRODUCCIÓN

La Supervisión Basada en Riesgos constituye un enfoque que interrelaciona elementos

cuantitativos y cualitativos propios de las entidades, los cuales incluyen aspectos
importantes, tales como los requerimientos mínimos de capital, la implementación y
ejecución de un buen gobierno corporativo y el cumplimiento de políticas orientadas a una
adecuada disciplina de mercado.

Gestionar riesgos permite prevenir estos riesgos que se presentan en diferentes

momentos o situaciones, también ayuda a poder practicar lo que se conoce como el
desarrollo sostenible. Esto quiere decir que es cuando la gente pude vivir bien, con salud,
trabajo, sin dañar a nadie. Este tema es muy importante debido a que si se toman las
medidas necesarias o se atienden de forma rápida los riesgos estas no afectan a la entidad
y así se evitan los desastres.

En la gestión de riesgos también es importante que se tome en cuenta la supervisión,

¿Qué es la supervisión? La supervisión no es más que la observación de forma continua y
el registro de las actividades que se llevan a cabo en una entidad o institución es un proceso
de indagación de información sobre todos los aspectos de una entidad. Supervisar es
controlar qué tal progresan las actividades del proyecto a través de la observación,
observación sistemática e intencionada.

La Supervisión Basada en Riesgos constituye un enfoque que interrelaciona elementos

cuantitativos y cualitativos propios de las entidades, los cuales incluyen aspectos
importantes, tales como los requerimientos mínimos de capital, la implementación y
ejecución de un buen gobierno corporativo y el cumplimiento de políticas orientadas a una
adecuada disciplina de mercado.
6

Es importante mencionar que el Gobierno Corporativo también juega un papel muy

importante en cuando a la supervisión de riesgos, esto debido a que son las máximas
autoridades en las empresas y también será de gran ayuda en cuanto a la toma de decisiones.
Al momento de supervisar los riesgos hay que tomar en cuenta que existen varios tipos
de riesgos lo cuales son: riesgo operacional, riesgos tecnológicos, riesgos de créditos,
riesgos de mercado, riesgos de liquidez, entre otras, en donde se desarrolla un concepto de
lo que cada uno conlleva y generalidades de las mismas que se deben conocer para
gestionar riesgos.

Gestionar efectivamente los riesgos quiere decir que se debe de tomar en cuenta una
serie de pasos para poder evaluar los riesgos y considerarlos como tal, presentan como
medir y darle un valor al riesgo identificado. Jerarquizar que implica conocer los recursos
financieros de la empresa, para establecer el orden de prioridad para la atención de los
riesgos.

Existen herramientas o guías para poder evaluar los riesgos y administrarlos, métodos
para poder medir los riesgos y que de esta forma se logre identificar el tipo de riesgo que
se presenta.
 7

OBJETIVOS

General
Conocer la importancia de la supervisión bancaria basada en riesgos, así como también
su aplicación correcta dentro del sistema financiero guatemalteco.

Específicos
Distinguir cada uno de los riesgos que afrontan las entidades financieras y las estrategias
a seguir para la mitigación de las mismas.

Determinar los medios por el cual la Superintendencia de Bancos realiza la Supervisión

Basada en Riesgos.

Identificar el impacto de cada uno de los posibles riesgos dentro de una entidad y el
papel que desempeña el gobierno corporativo en cuanto a la toma de decisiones.
 8

CAPÍTULO 1
SUPERVISION BASADA EN RIESGOS

1.1 Definición de Riesgo

El riesgo es la probabilidad de que una amenaza se convierta en un desastre, la
vulnerabilidad o las amenazas que representan cierto peligro, por lo que al combinar estas
dos se convierten en un riesgo, es decir, en la probabilidad de que ocurra un desastre.

Sin embargo, los riesgos pueden reducirse o manejarse si somos cuidadosos en nuestra
relación con el ambiente, y si estamos conscientes de nuestras debilidades y
vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para
asegurarnos de que las amenazas no se conviertan en desastres.

La gestión del riesgo no solo nos permite prevenir desastres, también nos ayuda a
practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible cuando
la gente puede vivir bien, con salud y felicidad, sin dañar el ambiente o a otras personas a
largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando árboles y
vendiendo la madera, pero si no se siembran más árboles de los que se corta, pronto ya no
habrá árboles y el sustento se habrá acabado lo cual muestra que no es sostenible.

1.2 Definición de Supervisión

La supervisión es la observación regular y el registro de las actividades que se llevan a
cabo en una entidad o institución, es un proceso de indagación de información sobre todos
los aspectos de una entidad. Supervisar es controlar qué tal progresan las actividades del
proyecto a través de la observación, observación sistemática e intencionada.
9

La supervisión también implica comunicar los progresos a los involucrados,

implementadores y beneficiarios del proyecto. Los informes posibilitan el uso de la
información recabada en la toma de decisiones para mejorar el rendimiento de alguna
actividad.
La supervisión proporciona información que puede ser útil para:
 Analizar la situación de la entidad o institución

 Determinar si las aportaciones a la entidad se utilizan bien

 Identificar los problemas a los que se enfrenta la entidad y encontrar soluciones

 Asegurarse de que todas las actividades se llevan a cabo convenientemente, por las
personas adecuadas y a tiempo

 Determinar si la forma en la que se ha planificado la supervisión es la manera

óptima de solucionar el problema que nos ocupa.

1.3 ¿Qué es la Supervisión Basada en Riesgos?

Durante mucho tiempo, los supervisores han establecido su modelo de supervisión en
un enfoque tradicional, basado principalmente, en la verificación del cumplimiento de la
normativa legal y reglamentaria, en especial la relacionada con la liquidez, solvencia y
solidez patrimonial.

La Supervisión Basada en Riesgos constituye un enfoque que interrelaciona elementos

cuantitativos y cualitativos propios de las entidades, los cuales incluyen aspectos
importantes, tales como los requerimientos mínimos de capital, la implementación y
ejecución de un buen gobierno corporativo y el cumplimiento de políticas orientadas a una
adecuada disciplina de mercado. La incorporación de variables del ambiente económico y
factores de riesgo potenciales para el sistema financiero a los referidos elementos, permite
efectuar una evaluación integral de cada entidad, de un grupo consolidado de entidades y
del sistema en su conjunto, con el fin, entre otros, de evitar o mitigar cualquier riesgo
sistémico, permitiendo que la acción del supervisor preceda cualquier manifestación de
incumplimiento.
 10

Los recursos de supervisión se orienten a las entidades que presenten un perfil de riesgos
vulnerable y que por lo tanto requieran una supervisión más profunda, y que éstas
desarrollen planes de mitigación para minimizar su alta exposición al riesgo.

1.4 ¿Dónde nace la Supervisión Basada en Riesgos?

El Comité de Supervisión Bancaria de Basilea fue creado en 1975, con el objetivo de
crear marcos comunes entre los países para fomentar la estabilidad financiera. Dentro de
estos, aparecen tres acuerdos principales: Basilea I (1998), Basilea II (2004) y Basilea III
(2010). Además, se dieron reformas parciales significativas, la primera en 1993 conocida
como Basilea 1.5 y la segunda en el 2009, conocida como Basilea 2.5.

Cada reforma de Basilea ha profundizado en la supervisión y gestión de los riesgos, de

forma que los postulados han sido mejorados en cada una de las reformas y no son marcos
excluyentes, más bien, complementarios, donde cada uno incorpora nuevos marcos de
gestión sobre riesgos no cubiertos, o bien, da mejores prácticas a los ya normados.

BASILEA I

¿Qué es? ¿Qué establece? ¿Era una recomendación? ¿Qué papel ha jugado?

Acuerdo publicado en 1988, en Ha jugado un papel muy

Basilea, Suiza, por el Comité de
Basilea, compuesto por los
gobernadores de los bancos
centrales de Alemania, Bélgica,
Canadá, España, EE. UU., Francia,
Italia, Japón, Luxemburgo, Holanda,
el Reino Unido, Suecia y Suiza
Se trataba de un conjunto de
recomendaciones para establecer un
capital mínimo que debía tener una
entidad bancaria en función de los
riesgos que afrontaba
Una definición de "capital regulatorio" compuesto importante en el
por elementos que se agrupan en 2 categorías (o fortalecimiento de los sistemas
"tiers") si cumplen ciertos requisitos de Cada uno de los países bancarios.
permanencia, de capacidad de absorción de signatarios, así como cualquier
pérdidas y de protección ante quiebra. La repercusión de ese acuerdo,
otro país, quedaba libre de en cuanto al grado de
Este capital debe ser suficiente para hacer frente a incorporarlo en su ordenamiento homogenización alcanzado en la
los riesgos de crédito, mercado y tipo de cambio. regulatorio con las regulación de los
modificaciones que considerase requerimientos de solvencia ha
oportunas sido extraordinaria.
Entró en vigor en más de 130
países.
Cada uno de estos riesgos se medía con unos
criterios aproximados y sencillos. El principal riesgo
era el riesgo de crédito, y se calculaba agrupando
las exposiciones de riesgo en 5 categorías según la
contraparte y asignándole una "ponderación"
diferente a cada categoría (0%, 10%, 20%, 50%, Dado que el acuerdo contenía
100%), la suma de los riesgos ponderados formaba ciertas limitaciones en su
los activos de riesgo. definición, en junio del 2004 fue
sustituido por el llamado
acuerdo Basilea II.

El capital mínimo de la entidad bancaria debía

tener debía ser el 8% del total de los activos de
riesgo (crédito, mercado y tipo de cambio
sumados).
11

Estas normas tienen como característica común la concepción de la actividad bancaria

como una actividad de riesgo y centran sus esfuerzos en la medición y control del riesgo,
bien sea mediante la exigencia de capital o mediante otros mecanismos de control, como
la imposición de límites.
 12

•Un conjunto integral de reformas elaborado por el Comité de Supervisión

es Bancaria de Basilea para fortalecer la regulación, supervisión y gestión de
riesgos del sector bancario
•Mejorar la capacidad del sector bancario para afrontar perturbaciones
Estas medidas ocasionadas por tensiones financieras o económicas de cualquier tipo
persiguen •Mejorar la gestión de riesgos y el bueno gobierno en los bancos
•Reforzar la transparencia y la divulgación de información de los bancos

•La regulación de los bancos a títulos individual (dimensión microprudencial),

para aumentar la capacidad de reacción de cada institución en periodos de
BASILEA III

Las reformas tensión

se dirigen a •Los riesgos sistémicos (dimensión macroprudencial) que puedan acumularse
en el sector bancario en su conjunto, así como la amplificación procíclica de
dichos riesgos a lo largo del tiempo.

•Estas dos dimensiones son complementarias, ya que aumentando la

resistencia de cada banco se reduce el riesgo de alteraciones en el conjunto
del sistema.
•El marco de Basilea III se resume en una tabla que recoge las distintas
Además medidas adoptadas por el Comité.
•Basilea III se enmarca en el esfuerzo continuo del Comité por mejorar el
marco de regulación bancaria. Las nuevas normas se basan en el documento
Convergencia internacional de medidas y normas de capital, más conocido
como Basilea II.

En todos los países centroamericanos existen normas generales para la gestión de los
riesgos y diferentes normativas para regular riesgos específicos. Esta regulación parte de
las reformas seguidas a través de Basilea, donde en primera instancia se consideró el riesgo
de crédito, para incorporar los riesgos de mercado y el riesgo operativo, impactando todos
los anteriores en el capital, mientras que recientemente con la reforma de Basilea III se
impulsó el marco regulatorio para el riesgo de liquidez.

Basilea I.5
 Riesgo de
Basilea III
Crédito
 Riesgo de
Riesgo de  Riesgo de Riesgo de
Crédito
Mercado
Crédito  Riesgo de Liquidez
Basilea I Mercado  Riesgo
operativo

Basilea II
13

1.5 El Gobierno Corporativo en la Supervisión Basada en Riesgos

En las normas integrales, uno de los componentes fundamentales es el estableciendo de
un marco de un marco de Gobierno Corporativo que permita la gestión del riesgo a través
de los diferentes órganos de la entidad y unidades, a saber: funciones de la Junta Directiva,
de la Alta Administración o Gerencia, del Comité de Riesgo y de la Auditoría o Control
Interno. Se encuentra que en todas las normativas se encuentran estos apartados y que
forman parte del buen gobierno en la gestión de los riesgos, con similitud en sus criterios,
aunque algunas normas son más exhaustivas que otras.
Se debe establecer una clara independencia de las Unidades de Riesgo de la Alta
Administración, respondiendo al Comité de Riesgo y este a la Junta Directiva, de forma
que es común una estructura organizacional donde la Unidad de Riesgo, al igual que la
Auditoría Interna, responden a sus respectivos Comités y estos a la Junta Directiva,
mientras que las demás áreas de negocio lo hacen con la Gerencia General.

1.6 Objetivos de la Supervisión Basada en Riesgos

Se pueden considerar como objetivos generales o principales de la SBR los siguientes:

a) Lograr con mayor eficiencia la misión de la Superintendencia de Bancos.

b) Acompañar de mejor forma el desarrollo y complejidad de los mercados.
c) Adecuarse a la tendencia internacional, pasando de lo conceptual y empírico, hacia
sistemas de supervisión basada en los riesgos; es decir, trascender de una supervisión
tradicional hacia una supervisión moderna basada en los riesgos asumidos por las
entidades supervisadas.
d) Incentivar el fortalecimiento de los sistemas de gestión de riesgos en las entidades
bancarias.
e) Trascender en la adecuación a estándares internacionales.
f) Conocer a las instituciones supervisadas, no solo determinando los niveles de riesgo
asumidos, sino también abarcando cuestiones clave como la solvencia y la
rentabilidad.
 14

g) Efectuar un diagnóstico certero de la situación actual de las entidades y de sus

perspectivas futuras, que permita tomar las decisiones para llevar a cabo las acciones
que sean necesarias en el momento oportuno y con verdadero conocimiento de causa.
 15

CAPÍTULO 2
INTRODUCCIÓN A LOS TIPOS DE RIESGOS

2.1 Riesgo Operacional

El riesgo operacional establece una definición causal, incluye el riesgo legal, pero
excluye los riesgos estratégicos, sistemático y reputacional. Es también, el riesgo de sufrir
pérdidas debido a procesos, personas o sistemas internos que han fallado o que han sido
inadecuados o bien por causa de eventos externos.

La Asociación Internacional de Supervisores de Seguros (IAIS) lo define como el riesgo

derivado de la insuficiencia o fallo de los sistemas internos, personal, procedimientos o
controles que conducen a la perdida financiera. El riesgo operativo también incluye el
riesgo de custodia.

El concepto de un riesgo operacional se convierte en algo clave para la comunidad

financiera internacional debido al colapso de ciertas instituciones financieras y no
financieras provocando, en parte, por problemas de tipo operacional.

Características:
El riesgo operacional es antiguo y está presente en cualquier clase de negocio.
Es inherente a toda actividad en que intervengan personas, procesos y plataformas
tecnológicas.
Es complejo, como consecuencia de la gran diversidad de causas que lo originan.
Se tiene poco conocimiento y faltan herramientas para su gestión, por ello es que ha
ocasionado grandes pérdidas.
16

2.2 Fuentes
Procesos Internos
Diseño inapropiado de procesos críticos o con políticas y procedimientos inadecuados
o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las
operaciones y servicios o la suspensión de los mismos.
Ejemplos: ejecución, entrega y gestión de procesos.

Personas
Negligencia, error humano, personal inadecuado, sabotaje, fraude, robo, paralizaciones,
apropiación de información, lavado de dinero, inapropiadas relaciones interpersonales,
ambiente de trabajo desfavorable, insuficiencia de personal, capacitación inadecuada, entre
otras.
Ejemplos: Fraude Interno, Fraude Externo, Relaciones y Seguridad Laboral; Clientes,
productos y prácticas laborales.

TIC Tecnología de la Información

Uso inadecuado que pueda afectar el desarrollo de las operaciones y servicios, que pueda
atentar contra la confidencialidad, integridad, disponibilidad y oportunidad de información.
Ejemplos: interrupción de negocios y sistemas.
Eventos externos
Eventos ajenos al control de la empresa que puedan alterar el desarrollo de las
actividades, procesos internos, personas y tecnología de información.
Ejemplos: daños o perdidas de activos, interrupción del negocio y sistemas.

La gestión de riesgos se logra percibir como una nueva forma de administración

estratégica de negocio, relacionado con la estrategia empresarial con los riesgos cotidianos.
Además, la administración del riesgo está ligada a la creación del valor. Esto quiere decir
que los riesgos no son únicamente peligros que se pueden evitar sin que también son
oportunidades que aprovechar.
 17

2.3 Evaluación de Riesgos

Los riegos deben ser evaluados de forma inherente y residual. Inherente es cuando el
riesgo existe antes de establecer controles. Residual, es el remanente tras establecer las
medidas de control.

INFORMADA

PROACTIVA
JUNTA RESPONSABLE
DIRECTIVA

PRUDENTE

La junta directiva es quien rechaza o bien acepta de que existe el riesgo y decide mitigar
y compartir.
18

2.4 ERM (Enterprise Risk Management)

Este es un proceso, que lo efectúa el Consejo de Administración de una entidad, su

dirección y restante personal, aplicable en el establecimiento de la estrategia y a lo largo
de la organización; diseñado para identificar eventos potenciales que pueden afectar a la
entidad y gestionar el riesgo de acuerdo a su tolerancia de riesgo, para proporcionar una
seguridad razonable en relación con el logro de objetivos de la organización.

Ventajas
Aprovecha oportunidades,
Reduce perdidas,
Sinergia riesgo y estrategia,
Y tiempo de respuesta.
Limitaciones
Beneficios intangibles,
Responsabilidad indefinida,
Recursos,
Y factor humano.

2.5 Evaluación Interna de los Riesgos y de la Solvencia

Esta mide la holgura o suficiencia de recursos propios de la entidad frente al riesgo total,
permitiendo evaluar su solvencia global para distintos horizontes temporales.

En Solvencia II hay varias referencias a esta figura de ORSA, pero solo dos artículos se
refieren a la misma: el 45 y el 246. Lo más probable es que sea desarrollado en forma
individual y concreta por cada miembro de la Unión Europea.

Referencias anteriores pueden encontrarse en el estándar de IAIS número 2.2.6 de

octubre de 2008 “Estándar sobre la gestión de riesgos empresarial para propósitos de
adecuación de capital y solvencia”.
Es un ejercicio prospectivo de viabilidad futura a base de:
 19

GOBIERNO
CORPORATIVO

CALIDAD DE
ESCENARIO RECURSOS PROPIOS
MACROECONOMICO

ORSA
TOLERANCIA AL
PLAN DE NEGOCIO RIESGO

2.6 Normativa
Ley de Supervisión Financiera
Artículo 3
Establece como función del supervisor, respecto a todas las entidades supervisadas,
evaluar las políticas, procedimientos, normas y sistemas para asegurarse que cuenten
con procesos integrales de administración de riesgos.
Ley de la Actividad Aseguradora
Artículo 29
Establece que las aseguradoras o reaseguradoras deberán contar con procesos
integrales que incluyan, según el caso, la administración de riesgos de suscripción,
operacional, de mercado, de liquidez y otros a que estén expuestos, que contengan
sistemas de información y de gestión de riesgos, todo ello con el propósito de identificar,
medir, monitorear, controlar y prevenir los riesgos.

2.7 Tecnología de la Información

Es el uso de la tecnología para obtener, procesar, almacenar, transmitir, comunicar y
disponer de la información, para dar viabilidad a los procesos.
Procesos de negocios
20

Dirección
Procesos sustantivos
Aplicaciones
Gestión de pólizas
Gestión de Reaseguro
Gestión de clientes
Gestión de cobros y pagos.
Procesos de TI
Gestión de sistemas
Gestión de continuidad
Gestión de la infraestructura.

2.8 Riesgo Tecnológico

Se le denomina así a la interrupción, alteración, o falla de la infraestructura de TI,
sistemas de información, bases de datos y procesos TI, provoque pérdidas financieras a la
institución.
Es uno de los componentes de riesgo operacional.

Incidentes de seguridad
Preocupaciones en materia de la seguridad de la información en las empresas de
Latinoamérica: vulnerabilidad de software y sistemas, malware, acceso indebido a la
información, fraude, ataque de denegación de servicio, phishing, ataque de ingeniería
social.
Incidentes de la seguridad de la información en las empresas de Latinoamérica:
infección de malware, phishing, fraude interno y externo, explotación de vulnerabilidades,
ataque de denegación de servicio, acceso indebido a aplicaciones o base de datos, falta de
disponibilidad de servicios críticos, ataque de ingeniería social.

Riesgo tecnológico inherente

Las decisiones organizacionales conllevan un riesgo inherente o asociado. El riesgo de
dichas decisiones debe identificarse (conocerse), valorarlo y aprender a controlarlo.
 21

Cabe resaltar también que el riesgo no es únicamente una amenaza potencial es una
oportunidad de negocio.

¿Por qué gestionar el Riesgo Tecnológico?

 La tecnología de la información juega un rol importante en el desarrollo de las
actividades de las organizaciones.
 Aseguramiento del valor que las tecnologías de la información aportan al negocio.
 Marco normativo y de control.
 Parte del proceso de gestión de uno de los activos más importantes de las
organizaciones.

Regulación vigente y estándares internacionales

ISO 27000 series
COBIT
ITIL
ISO 31000
ISO 22301

2.9 Gestión de Riesgos Tecnológicos en la Organización

Consejo
Vela por que se implemente e instruye para que se mantenga una adecuada gestión de
riesgos; aprueba políticas, procedimientos, PETI, PCO; conoce el nivel de cumplimiento
de las políticas y procedimientos aprobados, adopta medias correspondientes.

Comité
Evalúa, analiza, propone y dirige la implementación de las directrices del Consejo de
Administración; analiza reportes que le remita la Unidad, sobre el nivel de exposición al
riesgo, cumplimiento y actualización de políticas y PETI, PCO, TI.
Define estrategias para la implementación de políticas. Es quien reporta al Consejo, al
menos semestralmente sobre la exposición al riesgo tecnológico, cumplimiento de políticas
y procedimientos aprobados.
22

Unidad
Es quien implementa, propone y monitorea la exposición al riesgo tecnológico.
Analiza el riesgo tecnológico inherente de las innovaciones de TI, reporta al comité al
menos trimestralmente sobre el nivel de exposición al riesgo, cumplimiento de políticas y
procedimientos. Propone también al comité: PETI, PCO, TI.

Plan estratégico de TI
Objetivos alineados a la estrategia del negocio
Planes tácticos –proyectos y actividades específicas
Presupuesto financiero

Organización de TI
Alineada al plan estratégico programas de entrenamiento y capacitación
Segregación de funciones
Marco de trabajo orientado a procesos

Manual de Administración de Riesgo Tecnológico

Políticas y procedimientos para la administración del RT
Aprobado por el CA

Infraestructura de TI, Sistemas de Información,Bases de Datos y Servicios de TI

Esquema de la información del negocio.
Inventarios de infraestructura de TI, sistemas de información y Bases de Datos.
Administración de las Bases de Datos.
Monitoreo de TI.
Adquisición, mantenimiento e implementación de TI.
Gestión de servicios de TI.
Ciclo de vida de los sistemas de información.

Seguridad de la Tecnología de la Información

Confidencialidad, integridad y disponibilidad de los datos.
 23

Clasificación de la información
Roles y responsabilidades
Monitoreo de la seguridad
Seguridad física
Seguridad lógica
Copias de respaldo

Seguridad de la Tecnología de la Información

Operaciones y servicios a través de canales electrónicos.
Seguridad en el intercambio de información.
Registro y bitácora de transacciones.
Control de la infraestructura.
Protección de datos.

Continuidad de operaciones de TI
Análisis de Impacto al Negocio (BIA).
Plan de Continuidad del Negocio (BCP).
Plan de Continuidad de Operaciones de TI (DRP).
Revisión, pruebas y actualización de los planes.
Personal clave para la continuidad.
Centro de cómputo alterno.

Procesamiento de información y tercerización

Procesamiento de información
Dentro o fuera del territorio nacional, contar con un centro de cómputo alterno, personal
técnico capacitado, replicación en tiempo real, libre acceso a la SIB.
Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio
Confidencialidad.
24

2.10 Gestión de Riesgo de Créditos

La gestión del riesgo de crédito tiene como objetivo básico preservar la solidez
financiera y patrimonial de una entidad financiera de forma acorde con sus decisiones
estratégicas en cuanto a metas de crecimiento y rentabilidad. En el caso de riesgo de crédito,
abarca a la totalidad del ciclo del crédito, que comprende los procesos cronológicos de
admisión, seguimiento y, si llega a ser necesario, recuperación.

A raíz de las recomendaciones surgidas de las conclusiones del Nuevo Acuerdo de

Capitales de Basilea (NACB) y de la normativa actual basada en el mismo, las entidades
financieras están llevando a cabo una revolución en el marco de la gestión del riesgo
considerado en su globalidad (crédito, mercado y operacional).

En concreto, Basilea II promueve la mejora en la gestión, apoyándose en la implantación

de nuevas metodologías (sistemas de medición basados en conceptos que no son
conceptualmente nuevos pero que ahora se miden estadísticamente, como probabilidad de
default, severidad, pérdida esperada y capital económico) y en nuevas herramientas
(procesos de identificación, medición y control del riesgo acordes con dichas nuevas
metodologías)

Adicionalmente, los reguladores nacionales aconsejan a las entidades que establezcan

políticas y procedimientos claros y fácilmente aplicables para todos los procesos dentro del
ciclo de gestión integral del riesgo y exige que se facilite la transparencia metodológica en
todas las fases del mismo.

Esto supone la participación de múltiples órganos ejecutivos a varios niveles, con

funciones claras y delimitadas, que garanticen que los distintos riesgos en los que incurre
una entidad financiera en el desarrollo de sus actividades sean debidamente identificados,
valorados y gestionados.
¿A qué afecta el riesgo de crédito? A las cuentas patrimoniales y al resultado de la
entidad financiera, puede implicar su muerte de la entidad.
 25

¿Cómo puede gestionarse el riesgo de crédito?

Mediante políticas conservadoras y diseño de procedimientos adecuados de admisión,
seguimiento y recuperación, que incluye el soporte de herramientas de proceso de
información, así como sistemas propios de calificación de rating y herramientas
automáticas de decisión (credit scoring, sistemas expertos etc.). Finalmente, con el
establecimiento de límites de concentración y exposición a los riesgos
El desarrollo de modelos para medir el riesgo crediticio ha sido relativamente menor,
que el riesgo de mercado, siendo algunos obstáculos:
Información asimétrica.
Riesgo moral - Selección adversa.
La falta de una Teoría de la quiebra empresarial.
Ausencia de Información adecuada y el costo de elaborarla.

2.11 Riesgo de Mercado

El riesgo de mercado se define como la probabilidad de que se produzca una pérdida o
una disminución en el patrimonio debido a la diferencia en los precios que se registran en
el mercado, o en movimientos adversos conocidos como factores de riesgo, tales como
tasas de interés, tasas de cambio, cotizaciones de acciones, precios de mercancías, etc.
Existen dos conceptos que son útiles y se pueden aplicar a diferentes tipos de
operaciones, siendo los siguientes:
a) Riesgo potencial de mercado: se define como la exposición futura del riesgo que
enfrenta la empresa frente al mercado en el cual se desarrolla.

b) Riesgo actual de mercado: es el valor de riesgo que presenta la empresa en el

momento actual, como resultado del desarrollo de un proyecto o estrategia.

Este riesgo se deriva de cambios en los precios de los activos y pasivos financieros, se
mide a través de las variaciones en las posiciones abiertas. Se pueden mencionar dos
conceptos de mayor importancia, el riesgo base, que se presenta cuando se rompe o cambia
la relación entre los productos utilizados para cubrirse mutuamente y el riesgo gamma,
ocasionado por las relaciones no lineales entre los subyacentes y el precio o valor del
derivado.
26

2.12 Riesgo de tasas de cambio

Establece la exposición de la empresa cuando su valor depende del comportamiento que
tengan ciertos tipos de cambio, principalmente cuando:
1. El valor actual de los activos no coincida con el valor actual de los pasivos en la
misma divisa y la diferencia no se encuentre compensada por operaciones fuera de
balance.
2. Se encuentre expuesta a riesgo de tasas de interés, de acciones o de mercancías en
divisas diferentes a su moneda funcional, que puedan alterar el valor del activo y
pasivo de dicha divisa.
3. Su margen operación o no operacional dependa directamente de las tasas de
cambio.
4. Sus niveles de venta fluctúen con relación a la competencia cuyos costos dependan
de otras divisas (exportaciones, importaciones).
5. Cuando el efecto neto en la balanza comercial de la empresa genere pérdidas de
tipo cambiario. En las empresas del sector real se puede observar en la exportación
de mercancías menos la importación de insumos y materias primas.

2.13 Riesgo de acciones

Determina la exposición de una empresa cuando;
1. Su valor depende de la cotización de determinadas acciones o índices de acciones
en los mercados financieros.
2. Cuando posea inversiones en otras compañías, independiente que la inversión se
haya realizado con fines especulativos o como estrategia de integración.
3. Cuando posea instrumentos derivados cuyo subyacente está expuesto al riesgo de
acciones.

2.14 Riesgo de mercancías

Establece la exposición de la empresa cuando su valor depende del comportamiento del
precio de determinadas mercancías en mercados nacionales e internaciones y revela
exposición cuando:
1. La empresa requiere mercancías para el desarrollo de su objeto o como insumos en
su proceso productivo.
 27

2. Posea inversiones en mercancías con fines especulativos.

3. Posea instrumentos derivados cuyo subyacente está expuesto al riesgo de
mercancías.

2.15 Riesgo de Liquidez

El concepto de liquidez es un factor fundamental en la toma de decisiones en cuanto a
inversión y financiación y a su vez es un elemento indispensable a considerar en los
modelos de medición y control de riesgos financieros. Los inversionistas a la hora de
considerar la adquisición de un título, tienen en cuenta, además de su riesgo, la facilidad
de negociación de estos en cualquier momento en el tiempo, sin necesidad de experimentar
cambios representativos en su precio para poder liquidar el título.

Las entidades requieren para su funcionamiento recursos para hacer frente a las
inversiones necesarias, pues toda inversión requiere financiación. Teniendo en cuenta que
los recursos son escasos y de usos alternativos, se encuentran diversas estructuras de
activos y diferentes formas de financiación.

El riesgo de liquidez es la pérdida potencial por la venta anticipada o forzosa de activos

que requieren de descuentos inusuales, para dar cumplimiento a las obligaciones a cargo,
o bien, por el hecho de que una posición no pueda ser transferida, adquirida o cubierta. En
otras palabras, es el riesgo de no poder vender o transferir rápidamente y a precios de
mercado, los activos que integran un portafolio de inversión.

Existe una relación directamente proporcional en el riesgo de liquidez presentado por

un título y la rentabilidad exigida por los inversionistas, a mayor sea al riesgo de liquidez
expuesto por un título, mayor será el rendimiento requerido del mismo.

El riesgo de liquidez está asociado al riesgo crediticio, por ejemplo, una empresa como
resultado del incumplimiento de un compromiso en una obligación, deberá efectuar según
lo estipulado en el contrato un prepago de la deuda financiera a cargo, el cual no tiene
28

planeado en su flujo de efectivo, por ello recurre a la enajenación de activos que

considera fácilmente negociables.

El riesgo de liquidez juega un papel fundamental con respecto a la capacidad de la

empresa de atender sus obligaciones de corto plazo, planeadas o no planeadas, y en el caso
de requerir enajenar activos, tener unas posiciones lo suficientemente negociables para
obtener por lo menos su valor de mercado.

Opciones contenidas en el concepto de liquidez

En el manejo eficiente de los activos que componen la liquidez de una empresa, se
deben tomar en cuenta algunos factores tales como
a) Prepagos: corresponde al pago anticipado parcial o total de la obligación a cargo
de la empresa, que pueden generar necesidades de liquidez.
b) Expectativas de crecimiento: normalmente se encuentran justificadas en políticas
y estrategias internas tendientes a incrementar la captación o colocación de
recursos.
c) Acceso al mercado de fondos: es la facilidad o dificultad que tenga una empresa
de ubicar recursos inmediatos de liquidez. Normalmente este hecho está ligado a
la calificación de riesgo que haya recibido la organización.
d) Vencimiento de las obligaciones: en este caso se refiere exclusivamente a las
obligaciones financieras, y corresponde a la fecha en la cual éstas se vencen.
 29

CAPÍTULO 3
GESTION EFECTIVA DE RIESGOS

3.1 Fundamentos de la Gestión de Riesgo

El análisis proporciona la información suficiente a fin de estar en condiciones de hacer

una evaluación aceptable de los riesgos.
Lo más importante para poder evaluar un riesgo es poder medirlo y jerarquizarlo. Medir
es darle un valor al riesgo identificado. Jerarquizar implica conocer los recursos
financieros de la empresa, para establecer el orden de prioridad para la atención de los
riesgos.

3.2 Identificación de los Riesgos

El primer paso para la aplicación de un programa de gerencia de riesgos es la

identificación de los riesgos que pueden ocurrir en una actividad determinada. Se debe
hacer uso de distintas informaciones que son obtenidas de distintas fuentes.
Se considera la interrelación de tres elementos:
a) Exposiciones al riesgo
b) El riesgo como acontecimiento del riesgo no deseado (es la más importante porque
se considera que es para perder)
c) Objetos o personas sobre los que puede repercutir el acontecimiento

3.4 Impacto de los Riesgos en la Entidad

Las técnicas y procedimientos usados para el análisis, identificación, evaluación y
control de aquellos efectos adversos consecuencia de los riesgos o eventualidades a los que
se expone una empresa, deben de alguna manera lograr reducirlos, evitarlos,
30

retenerlos o transferirlos. Por lo que debe aplicarse cualquier mecanismo en la etapa de

un trabajo, actividad, proyecto o producto para evitar y minimizar las perdidas, identificar
oportunidades y la manera de aprovecharlas para una mejora continua en la toma de
decisiones de la entidad.
3.5 Evaluación de la efectividad de los controles
Eficacia

Alta Media Alta Muy alta

Media Baja Media Alta
Baja Muy baja Baja Media
Baja Media Alta

Eficiencia

Nivel de Decisión
efectividad
Alta El control es viable, se puede implementar
Media Se realiza un estudio de costos para definir factibilidad del
control
Baja Se replantea el control propuesto o se define otro que resulte
más efectivo

3.6 Evaluación de Riesgos

La evaluación de un riesgo se realiza tomando en consideración la ocurrencia de tres
dimensiones:
a) Severidad: magnitud de los daños o pérdidas, fijadas en una cantidad monetaria.
Existen cuatro tipos de severidad:
1. Absoluta: registro de un siniestro en una cierta fecha y el importe de su pérdida.
 31

2. Relativa: es aquella en la que se relaciona algún valor de los bienes con respecto
a las pérdidas por siniestro.
3. Global: acumulación total de la pérdida en unidades monetarias, en un lapso de
tiempo predeterminado.
4. Media: es el promedio aritmético de las pérdidas por siniestros ocurridos en un
cierto periodo de tiempo.

3.7 Administración del Riesgo

La administración de Riesgos es la disciplina que combina los recursos financieros,
humanos, materiales y técnicos de una empresa, para identificar o evaluar los riesgos
potenciales y decidir cómo manejarlos con la combinación óptima de costo-efectividad.

La administración de riesgos en un marco amplio implica que las estrategias, procesos,

personas, tecnología y conocimiento están alineados para manejar toda la incertidumbre
que una organización enfrenta.

Por otro lado, los riesgos y oportunidades van siempre de la mano, y la clave es
determinar los beneficios potenciales de estas sobre los riesgos.
Podemos agregar que es una función empresarial cuyo objetivo es la conservación de
los activos y del poder de generación de beneficios mediante la minimización a largo plazo
del efecto financiero de las pérdidas accidentales.

A la administración del riesgo los únicos que le interesan son los riesgos directos; es
decir, los riesgos puros.
a) Riesgos físicos de la empresa:
1) Riesgos naturales
2) Riesgos de tipo crediticio (hipotecas)
b) Riesgos por actos criminales:
1) Sabotaje
2) Asalto: en presencia
32

3) Robo: sin la presencia

c) Riesgos nacidos por ley judicial
d) Responsabilidad civil
e) Riesgos consecuenciales e intangibles:
Parálisis en la empresa (venta de la empresa, procedimiento fabril).
f) Riesgos personales: se consideran porque el activo más valioso de la compañía es el
personal
g) Riesgos de producción
h) Riesgos políticos.

3.8 Condiciones previas para una supervisión bancaria efectiva

Conforme a los Principios Básicos para una Supervisión Bancaria Efectiva, emitidos
por el Comité de Supervisión Bancaria de Basilea, un sistema de supervisión bancaria
efectivo debe basarse en una serie de elementos externos o condiciones previas. Aunque
en la mayoría de los casos se encuentran fuera de la jurisdicción de los supervisores, en la
práctica estas condiciones repercuten directamente en la efectividad de la supervisión.

Si hay inconvenientes, los supervisores deben lograr que el gobierno los reconozca y
tome conciencia de las consecuencias negativas, reales o potenciales que pueden ocasionar
para los objetivos de supervisión. Los supervisores también deben reaccionar, como parte
de su proceder habitual, con el objetivo de mitigar los efectos de esos inconvenientes sobre
la eficiencia de la regulación y supervisión bancaria. Algunos de los elementos externos
son:
Políticas macroeconómicas sólidas y sostenibles.
Infraestructura pública bien desarrollada.
Disciplina de mercado efectiva.
 33

3.9 Principios de Supervisión

Es necesario un estilo de supervisión dinámico y flexible, que se adecue a las
características de cada entidad supervisada; en esta dirección, la Superintendencia de
Bancos busca poner en práctica una supervisión especializada, integral y discrecional.

a) Especializada se refiere a que la Superintendencia de Bancos pretende implementar

un enfoque de supervisión por tipo de riesgo, ello implica contar con personal especializado
en la evaluación de los diversos tipos de riesgo, tales como riesgo de crédito, de mercado,
operacional y otros.

b) Integral tiene el objetivo de generar una apreciación sobre la administración de los

riesgos por parte de las entidades supervisadas.

c) Discrecional se enfoca al contenido, alcance y frecuencia de la supervisión, el cual

debe estar en función del diagnóstico de los riesgos que enfrenta cada entidad supervisada.

3.9 Estrategia y proceso de supervisión

La implementación del enfoque de supervisión requiere adoptar una estrategia de
supervisión de las entidades consideradas individualmente, que guarde una estrecha
relación con el modo en que se estructura la organización y se asignan las responsabilidades
de supervisión de las diferentes entidades.

Así pues, dentro de este orden de ideas, la estrategia de supervisión debe formular y
establecer los objetivos que se desean alcanzar como consecuencia del ejercicio de la
función de supervisión, utilizando para ello la evaluación integral de la entidad y la
calificación obtenida en el perfil de entidad.

Una vez elegida y establecida la estrategia de supervisión, deben desarrollarse en

consecuencia las siguientes cuestiones: a) el proceso de supervisión, en cuanto al modo
34

en que se pretenden alcanzar los objetivos estratégicos definidos; y, b) la organización

de la supervisión, en cuanto a asignación de entidades y supervisores.

Con base en lo anterior, la estrategia y el proceso de supervisión se fundamentan entre

otras cosas en lo siguiente:
Un adecuado gobierno corporativo de las entidades.
La participación de entes externos tales como auditores, calificadoras de riesgo y
supervisores de otros países. Estos entes ejercen un monitoreo de las entidades que están
bajo la supervisión de la Superintendencia de Bancos y la estrategia es buscar que su
participación sea permanente y consistente con la regulación.

En el caso de auditores y calificadoras de riesgo se busca que, adicionalmente a las

labores que realicen estos agentes, se pronuncien sobre la calidad de la administración de
riesgos de las entidades; y, para el caso de los supervisores de otros países, la estrategia se
basa en propiciar la cooperación y el intercambio de información.
 35

CONCLUSIONES

GENERAL
La incorporación de una Supervisión Basada en Riesgos para el sistema financiero,
permite efectuar una evaluación integral de cada entidad, de un grupo consolidado de
entidades y del sistema en su conjunto, con el fin de evitar o mitigar cualquier riesgo
general, permitiendo que la acción del supervisor preceda cualquier manifestación de
incumplimiento, que los recursos de supervisión se orienten a las entidades que presenten
un perfil de riesgos vulnerable y que por lo tanto requieran una supervisión más profunda,
y que éstas desarrollen planes de mitigación para minimizar su alta exposición al riesgo.

ESPECÍFICAS
Los riesgos dentro de una entidad se consideran como una amenaza para los negocios,
es por ello que, al momento de ser identificado el riesgo, sea establecido el riesgo agregado
para determinar el perfil de riesgos de la entidad. En este proceso la clave es identificar
para cada riesgo su impacto potencial para la entidad.

La Metodología de Supervisión Basada en Riesgos que aplica la Superintendencia de

Bancos tiene como objeto, el hacer cumplir las leyes, reglamentos, disposiciones y
resoluciones aplicables, a fin de que las entidades sujetas a su vigilancia e inspección
mantengan la liquidez y solvencia adecuadas que les permita atender oportuna y totalmente
sus obligaciones, así mismo evaluar y gestionar los riesgos que asumen en sus operaciones.

El papel que desempeña el Gobierno Corporativo en cuanto a la mitigación de riesgos se

refiere a la manera en la que el consejo de administración y la alta gerencia dirigen las
actividades y negocios, lo cual influye en la forma de fijar objetivos corporativos que
36

apoyen al desarrollo de la entidad, asumiendo sus responsabilidades frente al gobierno

corporativo, y tener en cuenta los intereses de otras partes con intereses reconocidos.
También el de asegurar que las actividades y el comportamiento de la entidad estén a la
altura de la seguridad y solidez que de la misma se espera y que cumplan las leyes y
reglamentos en vigor con la finalidad de proteger los intereses de los depositantes e
inversionistas
 37

BIBLIOGRAFÍAS

Enfoque de Supervisión Basada en Riesgos: Superintendencia de Bancos de Guatemala.

Aguilar M. P. (2016) Estado de la Supervisión Basada en Riesgos en Centroamérica

según Basilea III.

Riquelme, M. (2017). Administración de Riesgos. Recuperado de:

https://www.webyempresas.com/administracion-de-riesgos/