BCrecimiento

Sistema de Gestión de Riesgos (SGR) en BCrecimiento

Metodología de Gestión de Riesgos

Versión 2.0

Fecha: 07/02/XXXX
BCRECIMIENTO

TABLA DE CONTENIDO

Página

1. OBJETIVO ...................................................................................................................................1
2. APLICABILIDAD .......................................................................................................................1
3. GLOSARIO ..................................................................................................................................1
4. RESPONSABILIDADES ............................................................................................................2
4.1. Responsabilidades del Directorio .......................................................................................2
4.2. Responsabilidad de la Gerencia General ............................................................................2
4.3. Responsabilidades del Comité de Riesgos .........................................................................3
4.4. Responsabilidades de la Alta Dirección (Dueños de Riesgo) ............................................3
4.5. Responsabilidades de los Dueños de Proceso ....................................................................3
4.6. Responsabilidades de la Gerencia de Riesgos y Aseguramiento de Ingresos ....................3
4.7. Responsabilidades de Auditoría Interna .............................................................................4
4.8. Responsabilidades de todos los funcionarios de BCrecimiento .........................................4
5. LINEAMIENTOS BÁSICOS .....................................................................................................5
5.1. Planeación ..........................................................................................................................5
6. CICLO DE GESTIÓN DE RIESGOS .......................................................................................6
6.1. Identificación de riesgos .....................................................................................................6
6.2. Evaluación de riesgos .........................................................................................................7
6.3. Medidas de mitigación .....................................................................................................11
6.4. Diseño y pruebas de mitigación de riesgos ......................................................................13
6.5. Monitoreo .........................................................................................................................14
BCrecimiento

METODOLOGIA DE GESTIÓN DE RIESGOS

1. OBJETIVO
Establecer la metodología detallada de las actividades que deben ser realizadas dentro del
Sistema de Gestión de Riesgos del BCrecimiento.

2. APLICABILIDAD
Aplica a todos los procesos y los funcionarios de BCrecimiento, incluyendo sus niveles
estratégicos y operativos.

3. GLOSARIO
Alta Dirección: Se refiere a la Gerencia General y a la segunda línea de reporte en El Banco,
es decir a los ejecutivos de las Gerencias Nacionales y a aquellos Gerentes que reportan
directamente a la Gerencia General (Gerencias de Staff).

Apetito de Riesgo: La cantidad de exposición al riesgo y las consecuencias negativas

potenciales que El Banco está dispuesta a aceptar, en un alto nivel, para lograr los objetivos
de negocio.

Dueños de Proceso: Son todos aquellos niveles del Banco encargados de cada uno de los
procesos de la compañía.

Dueños de Riesgo: Es el responsable tanto a nivel corporativo como de procesos de la

administración de medidas de mitigación y monitoreo de cada uno de los riesgos. (Ej. Para
un riesgo de entrenamiento el dueño es el Gerente Nacional de Desarrollo Organizacional).

Impacto: Es el efecto en el negocio y en el logro de los objetivos del Banco en caso que el
riesgo llegara a materializarse.

Indicador Clave de Riesgo (Key Risk Indicator - KRI): Representan métricas que indican
la presencia potencial, la materialización o una tendencia con relación a un evento de riesgo.
Diseñadas y usadas efectivamente, estas métricas tienen valor predictivo y actúan como
señales de alerta temprana.

Indicador Clave de Desempeño (Key Performance Indicator - KPI ): Son métricas que
ayudan a la organización a definir y medir el progreso hacia las metas organizacionales.
Normalmente incluyen aspectos financieros, operativos, de clientes, de crecimiento, entre
otros.
 Mapa de Calor de Riesgos o Mapa de Riesgos: Herramienta que permite priorizar riesgos
y obtener una imagen de su relación de impacto y vulnerabilidad contra otros riesgos.

Medidas de Mitigación: Son procesos, políticas, dispositivos, prácticas u otras acciones, que
actúan para minimizar los riesgos negativos o potenciar oportunidades positivas.

Objetivos Estratégicos: Los objetivos estratégicos son metas de alto nivel del Banco, que
están alineados con la misión de la misma y definidos en el Plan Estratégico.

Riesgo: Todo evento de ocurrencia incierta que de materializarse genera un impacto, positivo
o negativo, en el logro o cumplimiento de los objetivos del Banco. Se puede medir en
términos de la vulnerabilidad e impacto potencial en el caso de la materialización del mismo.

Sistema de Gestión de Riesgos (SGR): Es un proceso que es llevado a cabo por la Gerencia
General, la Alta Dirección y todos los funcionarios de BSC, alineado con la planificación
estratégica, diseñado para identificar eventos potenciales que puedan afectar a El Banco y a
gestionar que el riesgo esté dentro de un nivel aceptable.

Tolerancia al Riesgo: La variación aceptable de las metas empresariales en relación con un

nivel objetivo específico deseado. La tolerancia al riesgo generalmente se expresa en
términos de determinados umbrales, límites o márgenes de desviación de un objetivo.

Vulnerabilidad: Nivel de exposición para que un riesgo se materialice, considerando la

estructura actual de BCrecimiento.

4. RESPONSABILIDADES
Se han definido roles y responsabilidades para la operación y aplicación del Sistema de
Gestión de Riesgos en El Banco, tal como se detalla a continuación.

4.1. Responsabilidades del Directorio

 Analizar la información recibida sobre los hallazgos y situaciones de riesgo que lo
ameriten y que sean informados por el Comité de Riesgos

4.2. Responsabilidad de la Gerencia General

 Aprobar el apetito de riesgo del Banco propuesto por el Comité de Riegos
 Establecer los lineamientos operativos para que El Banco actúe de acuerdo con el apetito
de riesgo establecido
 Supervisar el cumplimiento de lo establecido en el apetito de riesgo del Banco
 Supervisar el cumplimiento del Sistema de Gestión de Riesgos en El Banco a través del
Comité de Riesgos
 Todas las Responsabilidades de la Alta Dirección

-2-
4.3. Responsabilidades del Comité de Riesgos
 Determinar anualmente el apetito de riesgo del Banco con el apoyo de la Gerencia de
Riesgos y Aseguramiento de Ingresos
 Monitorear el Sistema de Gestión de Riesgos del Banco
 Asegurarse de la efectividad del Sistema de Gestión de Riesgos considerando la
información reportada por la Gerencia de Riesgos y Aseguramiento de Ingresos
 Informar al Directorio sobre los hallazgos y situaciones de riesgo que lo ameriten
 Hacer seguimiento y pronunciarse sobre el mapa de calor de riesgos del Banco
 Revisar y asegurar la eficacia y eficiencia de las medidas de mitigación de riesgos
 Liderar cuando sea necesario el establecimiento de iniciativas estratégicas o planes de
acción

4.4. Responsabilidades de la Alta Dirección (Dueños de Riesgo)

 Identificar y evaluar los Riesgos del Banco
 Administrar los riesgos en todos los procesos, de acuerdo con los lineamientos y el apoyo
de la Gerencia de Riesgos y Aseguramiento de Ingresos
 Implementar el Sistema de Gestión de Riesgos dentro de todas las áreas del Banco
 Revisar y asegurar la eficacia y eficiencia de las medidas de mitigación de riesgos
 Proveer oportunamente la información necesaria relacionada con riesgos a la Gerencia
de Riesgos y Aseguramiento de Ingresos
 Asegurar y promover la cultura en gestión de riesgos en todas las áreas, procesos y
personal del Banco
 Liderar cuando sea necesario el establecimiento de iniciativas estratégicas o planes de
acción para los cuales es dueño

4.5. Responsabilidades de los Dueños de Proceso

 Identificar y evaluar los riesgos de los procesos a su cargo
 Administrar los riesgos en los procesos a su cargo, de acuerdo con los lineamientos y el
apoyo de la Gerencia de Riesgos y Aseguramiento de Ingresos
 Liderar cuando sea necesario el establecimiento de planes de acción para los procesos a
su cargo
 Proveer oportunamente la información necesaria relacionada con riesgos a la Gerencia
de Riesgos y Aseguramiento de Ingresos
 Participar activamente en las actividades del Sistema de Gestión de Riesgos en las cuales
sean requeridos

4.6. Responsabilidades de la Gerencia de Riesgos y Aseguramiento de Ingresos

 Apoyar en la definición de las políticas de riesgos y velar por su adecuada aprobación
por la Gerencia o las instancias necesarias según los parámetros establecidos para esto

-3-
 en El Banco
 Mantener actualizada la Metodología de Gestión de Riesgos del Banco y someterla a la
aprobación correspondiente
 Velar por el cumplimiento efectivo de las políticas establecidas en materia de riesgos
 Asesorar a El Banco en la gestión de riesgos, incluyendo el apoyo en la identificación y
evaluación de riesgos realizada en los diferentes niveles del Banco, contribuyendo con la
alineación de las actuaciones del Banco con su apetito de riesgo
 Consolidar la información de riesgos del Banco
 Realizar un seguimiento permanente de las etapas y elementos constitutivos del SGR
 Elaborar y presentar un informe periódico, como mínimo trimestral al Comité de Riesgos
y a la Gerencia General, sobre la evolución y aspectos relevantes del SGR, incluyendo,
entre otros: las acciones preventivas y correctivas implementadas o por implementar y el
área responsable, los riesgos que se encuentran por encima de los niveles aceptables,
nuevos riesgos y situaciones identificadas que se hayan materializado
 Fomentar la consolidación de una cultura de gestión de riesgos a través de programas de
capacitación, sensibilización u otras formas que considere pertinentes

4.7. Responsabilidades de Auditoría Interna

 Evaluar el cumplimiento y efectividad de todos aquellos asuntos que a su juicio considere
necesarios en relación con las normas e instructivos que ha establecido El Banco sobre
el Sistema de Gestión de Riesgos
 Poner en conocimiento del Directorio del Banco los incumplimientos del SGR
 Hacer seguimiento al cumplimiento de las responsabilidades asignadas a los diferentes
niveles de BCrecimiento en lo relacionado con el Sistema de Gestión de Riesgos

4.8. Responsabilidades de todos los funcionarios de BCrecimiento

 Participar activamente en todas las actividades del Sistema de Gestión Riesgo según sea
requerido
 Informar a la Gerencia de Riesgos y Aseguramiento de Ingresos la materialización de
riesgos en el ámbito de su competencia

-4-
5. LINEAMIENTOS BÁSICOS
5.1. Planeación
La planeación debe realizarse anualmente y permite definir el alcance y los objetivos de la
aplicación del SGR, entre otros incluye: la definición de los recursos, tiempo, lineamientos,
procesos y herramientas requeridas.

Para la etapa de planeación se deben considerar los objetivos del SGR, la metodología que se
utiliza y los responsables de su desarrollo.

En esta etapa la Gerencia de Riesgos y Aseguramiento de Ingresos define el plan de Gestión

de Riesgos que incluye por lo menos:

 Cronograma: Definición de cuándo se deben ejecutar las actividades del Sistema de

Gestión de Riesgos y las etapas del ciclo de gestión de riesgos.

El Cronograma debe incluir por lo menos los siguientes aspectos:

a) Desarrollo del ciclo de gestión de riesgos tanto a nivel corporativo como de procesos
b) Entrenamientos
c) Actividades de sensibilización
d) Seguimiento y Monitoreo
e) Presentación de resultados
f) Definición de apetito de riesgo
g) Definición de tolerancia

 Plan de entrenamiento: Define la estrategia de capacitación con el objetivo de formar

y entrenar al personal del Banco sobre el Sistema de Gestión de Riesgos. Estas
actividades deben ser realizadas conjuntamente con la Gerencia Nacional de Desarrollo
Organizacional

 Plan de comunicación y sensibilización: Define como se debe realizar la divulgación a

las partes interesadas, tanto internas como externas, sobre los temas relacionados con el
sistema, el proceso y los resultados de la gestión de riesgos. Estas actividades deben ser
realizadas en coordinación con la Gerencia de Comunicación Social

-5-
6. CICLO DE GESTIÓN DE RIESGOS

El Ciclo de Gestión de Riesgos cuenta con las siguientes etapas:

 Identificación
 Evaluación
 Medidas de mitigación
 Diseño y pruebas de mitigación de riesgos
 Monitoreo

El éxito del Ciclo de Gestión de Riesgos dependerá de la aplicación de todas y cada una de
sus etapas, su aplicación parcial no permitirá la consecución final del objetivo de la gestión
de riesgos, que es permitir la identificación y aplicación de las medidas necesarias para
minimizar la vulnerabilidad e impacto de la materialización de un evento de riesgo y en el
caso de que suceda, evitar que afecte en forma extraordinaria las operaciones del Banco.

A continuación, se describen cada una de las etapas del Ciclo de Gestión de Riesgos:

6.1. Identificación de riesgos

Diseño y
Identificación Evaluación Medidas de pruebas de
Monitoreo
de Riesgos de Riesgos Mitigación mitigación de
Riesgos

La identificación de riesgos permite determinar los eventos que pueden afectar positiva o
negativamente el cumplimiento de los objetivos estratégicos del Banco.

En la identificación de riesgos es importante considerar los siguientes aspectos:

-6-
  Conocer las metas y objetivos claves del Banco
 Considerar reportes recientes de incidentes, de no cumplimiento y posibles eventos
inusuales de las unidades de negocio del Banco
 Realizar entrevistas estructuradas y sesiones de lluvia de ideas con personas clave dentro
del Banco
 Utilizar las herramientas de identificación de riesgos, las cuales se detallan en la sección
6.1.1
 Participación de especialistas externos en la materia

6.2. Evaluación de riesgos

Diseño y
Identificación Evaluación Medidas de pruebas de
Monitoreo
de Riesgos de Riesgos Mitigación mitigación de
Riesgos

En esta etapa se realiza la evaluación de riesgos Corporativos y de Procesos, permite calificar

y priorizar los riesgos del Banco según su nivel de impacto y vulnerabilidad.

6.2.1. Calificación de Riesgos

Para la calificación de riesgos se ha definido un conjunto de escalas para los criterios de
impacto y vulnerabilidad.

6.2.1.1. Impacto
Es el efecto en el negocio y en el logro de los objetivos del Banco en caso que el riesgo llegara
a materializarse. El impacto puede ser expresado en términos financieros y no financieros
como reputación y marca, excelencia en la gestión, servicio al cliente e innovación.

Utilizando los objetivos estratégicos de BCrecimiento, se han definido los factores que deben
ser considerados en la evaluación del impacto en cada uno de los riesgos:

 Financiero1: Pérdidas o disminución de ingresos por eventos en o fuera del control de la

Alta Dirección. No cumplimiento de objetivos financieros del Banco

La escala para la evaluación de impacto financiero en cada uno de los riesgos es la

siguiente:

1
Los valores de ingresos del Banco fueron tomados de los Estados Financieros del año 2014

-7-
 Financiero
Escalas Costo / Pérdida de Ingresos
(Expresado en USD)
SIGNIFICATIVO > 22,000,000
MAYOR 14,600,000 – 22,000,000
MODERADO 7,300,000 – 14,600,000
MENOR 220,000 – 7,300,000
INSIGNIFICANTE < 220,000

La escala financiera se definió considerando los ingresos anuales del Banco del año fiscal
cerrado, tomando en cuenta las siguientes consideraciones:

 El límite superior de la escala (Significativo) corresponde al 5% los ingresos

 El límite inferior de la escala (Insignificante) corresponde al 1% del valor del límite

superior

 Los límites intermedios fueron distribuidos equitativamente entre el límite superior e

inferior hasta completar las 5 escalas, es decir se dividió el valor máximo para el total
de escalas restantes y se aproximó a valores enteros.

 Reputación y Marca: Daño en la reputación y/o la marca del Banco.

La escala para la evaluación de impacto no financiero en Reputación y Marca en cada

uno de los riesgos es la siguiente:

KPI / KRI Reputación y Marca

Escalas
SIGNIFICATIVO La ocurrencia del riesgo generaría:
- Cobertura de los medios de comunicación a nivel internacional
- Impacto de largo plazo en la marca del Banco

MAYOR La ocurrencia del riesgo generaría:

- Cobertura de los medios de comunicación a nivel local
- Impacto de mediano plazo en la marca del Banco
MODERADO La ocurrencia del riesgo generaría:
- Cobertura de los medios de comunicación a nivel local
- Impacto pasajero en la marca del Banco
MENOR La ocurrencia del riesgo generaría cobertura de los medios de
comunicación a nivel local, sin impacto en la marca del Banco.

INSIGNIFICANTE No se generaría impacto en reputación o marca.

La escala no financiera de Reputación y Marca se definió considerando todos los posibles

impactos tanto en reputación (cobertura de prensa local o internacional) como en marca
(impacto en la marca de corto, mediano o largo plazo) si el riesgo llega a materializarse.

-8-
6.2.1.2. Vulnerabilidad
Es el nivel de exposición de BCrecimiento ante un riesgo determinado. Se han definido los
siguientes factores de vulnerabilidad, que deben ser considerados en la evaluación de cada
uno de los riesgos, tomando en consideración el tipo de negocio del Banco:

 Controles y Mitigación: Qué tanto se encuentra expuesto el Banco al riesgo a causa de

falta de medidas de mitigación o fallas en las que se encuentran establecidas

La escala para la calificación de vulnerabilidad considerando Controles y Mitigación es

la siguiente:

CONTROLES Y MITIGACIÓN
MUY ALTA Los controles no operan o no existen.
ALTA Los controles son detectivos, pero no
preventivos, no existe reporte efectivo.
MEDIA Los controles son detectivos, pero no
preventivos y hay reporte efectivo.
BAJA Los controles son apropiadamente detectivos y
preventivos pero no hay reporte efectivo
MUY BAJA Los controles son apropiadamente detectivos y
preventivos y hay reporte efectivo

La escala de Controles y Mitigación se definió tomando en consideración los objetivos de

prevención, detección y supervisión por medio de reportes de las medidas tomadas por el
Banco.

6.2.2. Priorización y Mapa de Calor

Los riesgos deben ser priorizados para asegurar que los recursos disponibles del Banco sean
utilizados para tratar los riesgos críticos, de acuerdo al nivel de exposición (vulnerabilidad)
y el efecto en BCrecimiento, en el logro de los objetivos en caso de materializarse (impacto).

Como resultado de la calificación de riesgos en función de impacto y vulnerabilidad es la

obtención de un mapa de riesgos tanto a nivel corporativo y de procesos. Se debe realizar un
mapa de riesgos por cada proceso.

El mapa de riesgos es una matriz que consta de cuatro cuadrantes organizados de la siguiente
manera:

-9-
 En este mapa se deben incluir los riesgos de acuerdo a la calificación realizada de
vulnerabilidad e impacto, por ejemplo:

6.2.3. Respuesta a los Riesgos

El tipo de respuesta que se da a los riesgos depende del cuadrante donde se encuentren
ubicados. El siguiente esquema muestra la respuesta estratégica que la Alta Dirección puede
establecer para cada uno.

- 10 -
 El Banco ha definido que para los riesgos que se encuentra ubicados en el cuadrante II, la
Alta Dirección debe establecer planes de acción con el objetivo de reducir o mitigar los
riesgos que se encuentran ubicados en dicho cuadrante.

Estos planes de acción deben disminuir o aprovechar las causas básicas que puedan generar
los riesgos y tratar las consecuencias que se presentarían en caso de materializarse.

6.3. Medidas de mitigación

Diseño y
Identificación Evaluación Medidas de pruebas de
Monitoreo
de Riesgos de Riesgos Mitigación mitigación de
Riesgos

Considerando los resultados de la evaluación de riesgos, la Alta Dirección y los Dueños de

Proceso deben determinar cómo responder a ellos.

Las siguientes son las posibles respuestas a los riesgos:

 Evitar el riesgo eligiendo no perseguir la oportunidad o no realizar la actividad

 Transferir el riesgo compartiéndolo con otros terceros:

a) Contratos
b) Asociaciones o joint ventures
c) Seguros

 Mitigar el riesgo intentando disminuir su probabilidad de ocurrencia, la vulnerabilidad a

él y la severidad de sus consecuencias. La mitigación puede tener una variedad de formas
e incluye actividades y mecanismos como:

d) Prevenir que los eventos de riesgos ocurran

e) Detectar si los eventos de riesgo ocurrieron o están por ocurrir
f) Corregir la situación después de que el evento de riesgo ha ocurrido

 Aceptar el riesgo, lo que sucede por defecto cuando el riesgo no es evitado. El riesgo
neto retenido es reducido por las iniciativas de transferencia y mitigación

6.3.1. Procedimiento para el establecimiento de medidas de mitigación

 La Alta Dirección establece un plan de acción para los riesgos que se encuentran ubicados
en el cuadrante II del Mapa de Riesgos, resultado de la fase de Evaluación, para esto se
utiliza el formato “Plan de Acción” (Ver Anexo x)

El plan de acción debe contemplar los siguientes parámetros:

- 11 -
a) Identificador del plan de acción
b) Nombre del plan de acción, denominación del plan de acción
c) Descripción plan(es) de acción, actividades que se van a realizar en El Banco
d) Prioridad de la realización del plan de acción:

 Alta: Planes de acción que por su importancia estratégica y en la mitigación de riesgo

se debería iniciar inmediatamente

 Media: Planes de acción que se pueden diferir/postergar por un periodo inferior a

tres meses, pero que siguen considerándose relevantes estratégicamente o en la
mitigación de riesgos

 Baja: Planes de acción que se pueden diferir/postergar por un período mayor a tres
meses

e) Facilidad de Implementación:

 Difícil: Corresponde a un proyecto de duración mayor a 6 meses y requiere recursos

importantes (Tecnología de la Información, presupuesto, Recursos Humanos)

 Medio: Puede implementarse en un período de entre 3 y 6 meses. Requiere algunos

recursos pero no de forma importante

 Fácil: Corresponde a una actividades o tarea de rápida implementación y sin

requerimientos relevantes de recursos (Diseño de formatos, procedimientos,
aprobaciones entre otros)

f) Responsable (nombre, cargo, área) se refiere al funcionario encargado de la coordinación

del plan de acción

g) Riesgo Asociado, evento para el cual se ha definido el plan de acción

h) Estado, Plan de Acción en Implementación o Por Implementarse

i) Mapa Estratégico, se refiere a la(s) perspectiva(s) de la Planeación Estratégica del Banco

asociada(s) al plan de acción

j) Fecha Inicio para la implementación del plan de acción

k) Fecha Fin para la culminación del plan de acción

l) Observaciones

- 12 -
 Para que la Alta Dirección pueda seleccionar más fácilmente las medidas de mitigación a
implementar se debe utilizar el formato “Priorización de Planes de Acción” (ver Anexo 11).

6.4. Diseño y pruebas de mitigación de riesgos

Diseño y
Identificación Evaluación Medidas de pruebas de
Monitoreo
de Riesgos de Riesgos Mitigación mitigación de
Riesgos

El objetivo de esta etapa es evaluar con criterio conservador, las medidas de mitigación
existentes y su efectividad, mediante un proceso de valoración realizado con base en la
experiencia y un análisis razonable y objetivo de los eventos ocurridos.

Es importante probar regularmente las medidas de mitigación para establecer:

 Los objetivos del proceso de mitigación

 La existencia del proceso de mitigación
 El funcionamiento de las medidas de mitigación
 La efectividad y eficiencia de las medidas de mitigación
 Las medidas en conjunto mitigan adecuadamente el riesgo
Las pruebas de mitigación de riesgos se deben diseñar de acuerdo a las necesidades del
Banco, algunas de las pruebas que se pueden realizar son:

 Evaluación de datos, consiste en evaluar la razonabilidad de un conjunto de datos. Por

ejemplo, la revisión de las tarifas ingresadas en el sistema contra las aprobadas

 Revisión de documentación, consiste en revisar la debida ejecución de la medida de

mitigación establecida por medio de la revisión de la documentación soporte. Por
ejemplo, la revisión de autorizaciones de compra en los formatos de requisición del Banco

 Entrevistas, consiste en entrevistar a personas clave de la organización con el fin de

determinar la efectividad de las medidas de mitigación implementadas

 Mapeo de procesos y análisis de deficiencias, consiste en revisar la documentación de los

procesos, como flujogramas, narrativas, entre otros, con el fin de identificar errores en el
diseño de las medidas de mitigación en los procesos

 Conciliaciones, consiste en comparar información de dos fuentes diferentes con el fin de

encontrar inconsistencias que permitan identificar fallas en las medidas de mitigación
establecidas. Por ejemplo, la conciliación entre los minutos utilizados contra los
facturados.

- 13 -
  Análisis de transacciones, consiste en analizar las características de un grupo de
transacciones con el fin de establecer su razonabilidad. Por ejemplo, la revisión de las
facturas emitidas en terminales no autorizadas o en horarios no establecidos para esto

 Comparación contra estándares y requerimientos, consiste en comparar las prácticas

realizadas por El Banco contra los requerimientos establecidos en las regulaciones o en
los estándares de mejores prácticas, para identificar brechas en las medidas de mitigación
u oportunidades de mejora respectivamente

Para realizar estas pruebas El Banco puede adoptar alguno de los siguientes esquemas:

 Pruebas realizadas por la Gerencia: El Banco establece un área independiente

encargada de realizar las pruebas

 Pruebas cruzadas entre especialistas: Las pruebas son realizadas de forma cruzada por
especialistas de diferentes Jefaturas o Gerencias

 Evaluadores Independientes: Pruebas realizadas por un tercero especializado

independiente a El Banco

Una vez se haya seleccionado el esquema se deben establecer por lo menos los siguientes
aspectos:

 Alcance de las pruebas (periodo y medidas de mitigación que van a ser probadas)

 Tipo de pruebas (ej. revisión de documentos, reprocesos, etc.)

 Periodicidad

6.5. Monitoreo

Diseño y
Identificación Evaluación Medidas de pruebas de
Monitoreo
de Riesgos de Riesgos Mitigación mitigación de
Riesgos

El objetivo de la etapa es el seguimiento y control del nivel de riesgo y de los planes de acción
establecidos, con lo cual se verifica la aplicación del Sistema de Gestión de Riesgos y sus
resultados.

El monitoreo debe incluir los siguientes aspectos:

 Establecimiento de un programa de monitoreo y reporte sistemático que provea a la Alta

Dirección una visión dinámica del portafolio de riesgos

- 14 -
  Uso de KRIs como señales de alertas tempranas para medir la efectividad del sistema de
gestión de riesgos

 Utilización de niveles de tolerancia establecidos para los procesos/riesgos críticos

 Seguimiento al cumplimiento de los planes de acción

 Establecimiento de un proceso de escalamiento en el cual asuntos importantes sean

reportados a la Alta Dirección y al Directorio

La etapa de monitoreo debe considerar una retroalimentación sistemática que brinde alertas
tempranas del avance registrado, en cuanto al logro de los resultados u objetivos previstos a
través de la línea de reporte correspondiente.

6.5.1. Indicadores clave de Riesgo (KRI – Key Risk Indicator)

Los indicadores clave de Riesgo KRI (Key Risk Indicators) son métricas utilizadas para
monitorear el riesgo, los cuales permiten a los Dueños de Riesgo y de Procesos tener alertas
tempranas.

Para un proceso adecuado de monitoreo, los KRI´s deben ser generados en un proceso que
involucre a los expertos de negocio y operacionales en El Banco.

Se deben establecer KRI para todos los riesgos que de acuerdo con la evaluación realizada se
encuentran en el cuadrante II del mapa de riesgos, tanto para la evaluación corporativa como
a nivel de procesos.

Todas las métricas designadas o diseñadas como KRI´s deben tener atributos clave que deben
ser documentados para ayudar con su administración, estos son:

 Nombre del KRI, en caso que el indicador ya sea utilizado en El Banco se debe mantener
el nombre que es usado, de lo contrario se le debe asignar un nombre

 Descripción del KRI, una definición clara permite un entendimiento común en todos los
niveles del Banco

 Metodología de cálculo, la forma detallada del cálculo por ejemplo X/Y donde X es el
número de unidades vendidas sin garantía y es el total de unidades vendidas en el período

 Origen de los datos, fuente de los datos para el cálculo periódico del KRI

 Propietario del KRI, nombre y cargo de la persona encargada de calcular y reportar el

KRI a la Gerencia de Riesgos y Aseguramiento de Ingresos

- 15 -
La responsabilidad de cálculo y reporte es de los propietarios de los KRI quienes
normalmente tienen familiaridad con los datos usados, ellos deben encargarse de:

 Asegurar que la metodología utilizada para el cálculo está completa y actualizada

 Asegurar que los datos utilizados están completos, son exactos y recopilados
periódicamente

 Asegurar que los KRI son calculados con datos actualizados

 Establecer límites apropiados para el seguimiento y explicar cualquier desviación y

cambio periódico o estacional en los límites

 Determinar si se requiere un plan de acción cuando un KRI se encuentra por fuera de los
límites establecidos

La Gerencia de Riesgos y Aseguramiento de Ingresos es la encargada de realizar la

consolidación y el monitoreo de los KRI y para aquellos que se encuentren sobre los límites
establecidos, informar y realizar seguimiento con las Gerencias correspondientes, esto le
permite crear un tablero de alto nivel para el uso de la Alta Dirección.

El establecimiento de límites y su monitoreo es un factor crítico, se determinan dos límites

para cada KRI, son designados como rojo y amarillo y se deben tener en cuenta las siguientes
consideraciones al asignarlos:

 Niveles históricos

 Nivel en el que indica que se está saliendo de la normalidad del proceso/sistema

 Nivel que indica que se deben tomar medidas

 Expectativas regulatorias y de la Alta Dirección

Cuando se superan los límites establecidos se debe tener una de las siguientes respuestas:

 Si el límite Amarillo es superado, esto debe ser tomado como advertencia y no se

requieren acciones adicionales

 Si el límite rojo es superado, se muestra un nivel elevado de riesgo y el propietario del

KRI debe realizar un análisis con el soporte y acompañamiento de la Gerencia de Riesgos
y Aseguramiento de Ingresos, donde se deben identificar las causas de esta situación y
establecer un plan de acción si es necesario.

- 16 -