AUDITORÍA INTERNA

GRUPO N° 4
INTEGRANTES:
COBIT 5:
• Diana Bazurto
• Marco Lara
• Priscila Meneses
• Diego Ochoa
• Sofía Valladares
 COBIT 5:
• UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI DE LA EMPRESA.
CINCO PRINCIPIOS
BÁSICOS.
1º PRINCIPIO: ATENDER LAS NECESIDADES
DE LAS PARTES INTERESADAS
Crean valor para partes interesadas,

con el fin de mantener el equilibrio

entre la entrega de valor y la
optimización del riesgo y de los
recursos.

Independientemente del tamaño,

naturaleza y finalidad

debe tener la creación de valor como uno

de los objetivos de gobernanza.
Necesidades Cada Organización debe
de las partes identificar sus necesidades
interesadas

Y convertirlo en objetivos
corporativos de alto nivel

Ejemplo: sociales, económicos,

tecnológicos y ambientales,
Obtención de beneficios

Se relaciona con aspectos sociales

tecnológicos y/o ambientales

Misión (razón de ser) considerando:

naturaleza, área de acción y objetivos
 Optimización de recursos
Implica el
Optimización de reconocimiento,
riesgos evaluación de
impacto Se relaciona con los activos
de la empresa
Probabilidad de Estrategias para
ocurrencia minimizar los Uso eficaz, eficiente de los
riesgos
recursos

Con el fin de Humanos, financieros,

administrar la
empresa tecnológicos.
 CASCADA DE METAS DE COBIT 5
• CADA EMPRESA OPERA EN UN CONTEXTO
DIFERENTE
La cascada de metas de COBIT 5 es el
mecanismo para traducir las necesidades
de las partes interesadas en metas
Interno Externo corporativas, metas relacionadas con las
TI y metas catalizadoras específicas, y
Cultura, organización. Mercado, industria, útiles.
geopolítica
PASO 1. LOS MOTIVOS DE LAS PARTES INTERESADAS PASO 2. LAS NECESIDADES DE LAS PARTES
INFLUYEN EN LAS NECESIDADES DE LAS PARTES INTERESADAS DESENCADENAN METAS
INTERESADAS EMPRESARIALES

• INFLUENCIADAS POR DIFERENTES MOTIVOS. • Relacionado con las metas

empresariales genéricas

Cambios de
estrategia

Nuevas tecnologías
Este proceso ayuda y apoya efectiva y continuamente el alineamiento entra las
necesidades corporativas (procesos y productos) y de TI (servicios y soluciones) para
los negocios.
 Paso 3. Cascada de Metas de Empresa a
Metas Relacionadas con las TI
COBIT 5 DEFINE 17
OBJETIVOS
GENÉRICOS
• LA RELACIÓN CON LOS TRES
OBJETIVOS PRINCIPALES DE
GOBIERNO -- REALIZACIÓN DE
BENEFICIOS, OPTIMIZACIÓN DE
RIESGOS Y OPTIMIZACIÓN DE
RECURSOS.

(‘P’ indica una relación

primaria y ‘S’ una relación
secundaria, es decir una
relación menos fuerte).
La cascada de metas es
importante porque permite la
definición de prioridades de
implementación, mejora y
aseguramiento del gobierno
de las TI de la empresa, que
se basa en metas
corporativas (estratégicas) de
la empresa y el riesgo
relacionado.
 PASO 4. CASCADA DE METAS
RELACIONADAS CON LAS TI
HACIA METAS
CATALIZADORAS

• LOS CATALIZADORES INCLUYEN

PROCESOS, ESTRUCTURAS ORGANIZATIVAS
E INFORMACIÓN, Y PARA CADA
CATALIZADOR PUEDE DEFINIRSE UN
CONJUNTO DE METAS RELEVANTES EN
APOYO DE LAS METAS RELACIONADAS
CON LA TI.
 CAPÍTULO 3
PRINCIPIO 2: CUBRIR LA EMPRESA EXTREMO
A EXTREMO
 COBIT 5
Contempla el gobierno y la gestión de la
información y la tecnología relacionada desde
una perspectiva extremo-a-extremo y para
toda la empresa. Esto significa COBIT 5:
Integra el gobierno de la empresa TI en el
gobierno corporativo. Es decir, el sistema
de gobierno para la empresa TI propuesto
por COBIT 5 se integra sin problemas en
cualquier sistema de gobierno. COBIT 5 se
alinea con las últimas visiones sobre
gobierno.
Cubre todas las funciones y procesos
necesarios para gobernar y gestionar la
información corporativa y as tecnologías
relacionadas donde quiera que esa
información pueda ser procesada. Dado
este alcance corporativo amplio, COBIT 5
contempla todos los servicios TI internos y
externos relevantes, así como los procesos
de negocio internos y externos.
 COBIT 5 proporciona una visión integral y sistémica
del gobierno y la gestión de la empresa TI (ver el
principio 4), basada en varios catalizadores. Los
catalizadores son para toda la empresa y extremo-
a-extremo, es decir, incluyendo todo y a todos,
internos y externos, que sean relevantes para el
gobierno y la gestión de la información de la
empresa y TI relacionada, incluyendo las actividades
y responsabilidades tanto de las funciones TI como
de las funciones de negocio.
La información es una de las categorías de
catalizadores de COBIT. El modelo mediante el que
COBIT 5 define los catalizadores permite a cada
grupo de interés definir requisitos exhaustivos y
complejos para la información y el ciclo de vida de
procesamiento de la información, conectado de este
modo el negocio y su necesidad de una información
adecuada y la función TI, y soportando el negocio y
el enfoque de contexto.
 ENFOQUE DE GOBIERNO

El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado

en la figura 8, mostrando los
componentes clave de un sistema de gobierno4
 Los catalizadores de gobierno son los recursos
organizativos para el gobierno, tales como marcos de
referencia, principios, estructuras, procesos y prácticas, a
través de los que o hacia los que las acciones son
Catalizadores de Gobierno
dirigidas y los objetivos pueden ser alcanzados. Los Alcance de Gobierno
catalizadores también incluyen los recursos corporativos –
por ejemplo, capacidades de servicios (infraestructura TI,
aplicaciones, etc.), personas e información. Una falta de
recursos o catalizadores puede afectar a la capacidad
de la empresa de crear valor.

Un último elemento son los roles, actividades y

El gobierno puede ser aplicado a toda la empresa, a una
entidad, a un activo tangible o intangible, etc. Es decir, es
posible definir diferentes vistas de la empresa a la que se
aplica el gobierno, y es esencial definir bien este alcance
del sistema de gobierno. El alcance de COBIT 5 es la
empresa – pero en esencia, COBIT 5 puede tratar con
cualquiera de las diferentes vistas.
relaciones de gobierno. Definen quién está
involucrado en el gobierno, como se involucran,
lo que hacen y cómo interactúan, dentro del
alcance de cualquier sistema de gobierno. En
Roles, Actividades y COBIT 5, se hace una clara diferenciación entre
Relaciones las actividades de gobierno y de gestión en los
dominios de gobierno y gestión, así como en la
interconexión entre ellos y los actores implicados.
La figura 9 detalla la parte inferior de la figura
8, enumerando las interacciones entre los
diferentes roles
 CAPÍTULO 4
PRINCIPIO 3: APLICAR UN MARCO DE
REFERENCIA ÚNICO INTEGRADO

Es un marco de referencia único e integrado porque:
Se alinea con otros estándares y
marcos de referencia relevantes y,
por tanto, permite a la empresa
usar COBIT 5 como el marco
integrador general de gestión y
gobierno.
COBIT 5
Es completo en cuanto a la cobertura de la
empresa, proporcionando una base para
integrar de manera efectiva otros marcos,
estándares y prácticas utilizadas. Un marco
general único sirve como una fuente consistente
e integrada de guía en un lenguaje común, no-
técnico y tecnológicamente agnóstico.
• Proporciona una arquitectura
simple para estructurar los
materiales de guía y producir
un conjunto consistente
Integra todo el conocimiento
disperso previamente en los
diferentes marcos de ISACA.
ISACA ha investigado las áreas
clave del gobierno corporativo
durante muchos años y ha
desarrollado marcos tales como
COBIT, Val IT, Risk IT, BMIS, la
publicación Información sobre
Gobierno de TI para la
Dirección (Board Briefing on IT
Governance) e ITAF para
proporcionar guía y asistencia a
las empresas. COBIT 5 integra
todo este conocimiento.
MARCO INTEGRADOR DE COBIT 5
 COBIT 5

proporciona a sus grupos de interés la guía más

completa y actualizada (ver figura 11) sobre el
gobierno y la gestión de la empresa TI mediante:

Definiendo un conjunto de catalizadores

• Proporcionando una
de gobierno y gestión que proporcionan Poblando una base de referencia base de
una estructura para todos los materiales conocimiento COBIT 5 que buenas prácticas
• La investigación y utilización de un conjunto de
de guía contiene todas las guías y exhaustiva y sólida.
fuentes que han impulsado el nuevo contenido contenido producido hasta
desarrollado, incluyendo: ahora y que proporcionará
– La unión de todas las guías existentes de una estructura para
ISACA (COBIT4.1, Val IT 2.0, Risk IT, BMIS) en contenidos futuros
este único marco. adicionales
– Completar este contenido con áreas que
necesitaban más elaboración y actualización.
– El alineamiento a otros estándares y marcos
relevantes, tales como ITIL, TOGAF y estándares
ISO. Se puede encontrar
una lista completa de referencias en el
Apéndice A.
 CAPÍTULO 5
PRINCIPIO 4: HACER POSIBLE UN ENFOQUE HOLÍSTICO
CATALIZADORES COBIT 5

Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el
gobierno y la gestión de la empresa TI. Los catalizadores son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes catalizadores deberían conseguir

El marco de referencia COBIT 5 describe siete categorías de catalizadores (figura 12):

• Principios, políticas y marcos de referencia son el vehículo para traducir el comportamiento deseado en guías
prácticas para la gestión del día a día.
• Los procesos describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir
un conjunto de resultados que soporten las metas generales relacionadas con TI.

• Las estructuras organizativas son las entidades de toma de decisiones clave en una organización.

• La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo subestimados como factor
de éxito en las actividades de gobierno y gestión.

• La información impregna toda la organización e incluye toda la información producida y utilizada por la empresa.
La información es necesaria para mantener la organización funcionando y bien gobernada, pero a nivel operativo, la
información es muy a menudo el producto clave de la empresa en sí misma.

• Los servicios, infraestructuras y aplicaciones incluyen la infraestructura, tecnología y aplicaciones que

proporcionan a la empresa, servicios y tecnologías de procesamiento de la información.

• Las personas, habilidades y competencias están relacionadas con las personas y son necesarias para poder completar
de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas.
 Gobierno y Gestión Sistémicos Mediante Catalizadores
Interconectados

La figura 12 también transmite la mentalidad que debería ser

adoptada para el gobierno corporativo, incluyendo el
gobierno de TI, que es alcanzar las principales metas corporativas.
Cualquier empresa debe siempre considerar un
conjunto interconectado de catalizadores. Es decir, cada catalizador:

• Necesita del resultado de otros
catalizadores para ser completamente
efectivo, por ejemplo, los procesos necesitan
información, las estructuras organizativas
necesitan habilidades y comportamiento.
• Proporciona una salida para beneficio de
otros catalizadores, por ejemplo, los procesos
proporcionan información,
habilidades y el comportamiento hace los
procesos eficientes.
Por tanto, cuando se trata con el gobierno y
la gestión de la empresa TI, se pueden tomar
buenas decisiones solo cuando se
toma en consideración esta naturaleza
sistémica del gobierno y de la gestión. Esto
significa que para tratar con cualquier
necesidad de un grupo de interés, todos los
catalizadores interrelacionados tienen que
ser analizados para saber si son
relevantes y contemplados si fuera necesario.
Esta mentalidad tiene que estar dirigida por
la cabeza de la empresa, como
se ilustra en los ejemplos siguientes
 Dimensiones de los Catalizadores de COBIT 5

Todos los catalizadores tienen un conjunto de dimensiones comunes. Este conjunto de dimensiones
comunes (figura 13):
• Proporciona una manera común, simple y estructurada de tratar con los catalizadores
• Permite a una entidad manejar sus complejas interacciones
• Facilita resultados exitosos de los catalizadores
EJEMPLO DE CATALIZADORES EN LA PRÁCTICA
 CAPÍTULO 6
PRINCIPIO 5: SEPARAR EL GOBIERNO DE LA GESTIÓN
Gobierno y Gestión

El marco de COBIT 5 realiza una clara distinción entre gobierno y

gestión. Estas dos disciplinas engloban diferentes tipos de
actividades, requieren estructuras organizativas diferentes y sirven
para diferentes propósitos

Gobierno
El Gobierno asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través
de la priorización y la toma de decisiones; y
midiendo el rendimiento y el cumplimiento
respecto a la dirección y metas acordadas.
En la mayoría de las empresas, el gobierno es
responsabilidad del consejo de administración
bajo la dirección de su presidente.
Gestión
La gestión planifica, construye, ejecuta y
controla actividades alineadas con la
dirección establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
En la mayoría de las empresas, la gestión es
responsabilidad de la dirección ejecutiva
bajo la dirección del CEO.
 Interacciones entre Gobierno y Gestión

Partiendo de las definiciones entre gobierno y gestión, está claro que comprenden
diferentes tipos de actividades, con diferentes responsabilidades; sin embargo, dado
el papel de gobierno – evaluar, orientar y vigilar – se requiere un conjunto de
interacciones entre gobierno y gestión para obtener un sistema de gobierno eficiente
y eficaz. Estas interacciones, empleando una estructura de catalizadores, se muestran
a alto nivel en la figura 14.
 Modelo de Referencia de Procesos de COBIT 5

COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos

de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas, tal
y como se muestra en la figura 15.
 Modelo de Referencia de Procesos de COBIT 5
La figura 16 muestra el conjunto completo de los 37 procesos de gobierno y gestión
de COBIT 5. Los detalles de todos los procesos, de acuerdo con el modelo de proceso
anteriormente descrito, están recogidos en la guía COBIT 5: Procesos Catalizadores
GUÍA DE IMPLEMENTACIÓN
La implementación de COBIT en las organizaciones
debe tener en consideración factores tangibles e
intangibles en el contexto de la empresa. En relación
a los componentes intangibles, es necesario que las
organizaciones consideren desafíos relacionados con
los cambios internos y externos, cultura y
comportamiento de las personas en la aceptación o
rechazo del modelo

Valor óptimo aprovechando COBIT solo si es

adoptado y adaptado de manera eficaz para
ajustarse al entorno único de cada empresa
HERRAMIENTAS DE IMPLEMENTACIÓN
Herramientas de
autoevaluación, medición
y diagnóstico

Artículos relacionados y Disponibilidad de

explicaciones adicionales informaciones relevantes
acerca del uso del a las partes interesadas
documento involucradas
FACTORES PARA EL ÉXITO EN LA
IMPLEMENTACIÓN
Orientación y compromiso continuo de la
gerencia
Apoyo de las partes interesadas a los
procesos de gobernanza y gestión de TI
en la organización
Garantía de comunicación efectiva y
capacitación sobre los cambios necesarios
Adaptación de COBIT para atender las
necesidades y el contexto de la
organización
Enfoque en resultados rápidos y
priorización de acciones en las mejoras
mas beneficiosas y fáciles
Normalmente, las iniciativas de TI fallan debido a la
falta o fallas en la orientación, apoyo o supervisión de
las partes interesadas involucradas con la
implementación de la gobernanza o gestión de TI.
También, el apoyo y orientación de las principales
partes interesadas son elementos críticos para el éxito
en la implementación de COBIT. Además, en un
ambiente corporativo frágil, esto es, en que el modelo
operacional de negocios no es claro y objetivo y no es
efectivo en los habilitadores de gobernanza a nivel
corporativo, el apoyo y la participación de las partes
interesadas son instrumentos importantes y críticos.
PLANIFICACIÓN DE LA IMPLEMENTACIÓN
DE COBIT
ETAPAS PARA LA IMPLEMENTACIÓN
• entender el
Etapa 1 contexto de
la
organización

• crear el
Etapa 2 ambiente
apropiado
 ETAPA 1: ENTENDER EL CONTEXTO DE LA
ORGANIZACIÓN
Ética y cultura;

Leyes, reglamentos y políticas aplicables;

• La gobernanza y gestión de TI en una
organización no ocurre al azar. Toda Misión, visión y valores;
institución debe elaborar su propio plan Políticas y prácticas de gobernanza;
o guía de actividades de
Plan de negocios e intenciones estratégicas;
implementación que, entre otros
aspectos, debe contemplar factores Modelo operacional y nivel de madurez;

específicos del ambiente interno y Estilo de gestión

externo tales como: Inclinación o apetito por el riesgo;

Capacidades y recursos disponibles;

Prácticas específicas del sector o industria de la empresa.

ETAPA 2: CREAR EL AMBIENTE
APROPIADO
el diagnóstico basado en puntos
débiles y en las tendencias actuales
deben ser identificados y aceptados El compromiso y la adhesión de las
por la administración como partes interesadas deben ser
directrices a ser tratadas para considerados desde el inicio de la
sensibilizar, crear consenso y generar implementación,
un compromiso de acción por todos
los responsables e involucrados

Estructuras y procesos apropiados

para la supervisión y orientación
deberán ser creados y mantenidos
para garantizar el alineamiento
continuo de los enfoques de
gobernanza y gestión de riesgo en
toda la empresa
 RECONOCIMIENTO DE PUNTOS DÉBILES Y EVENTOS
DE ACTIVACIÓN
• Frustración con iniciativas fracasadas, aumentando los costos
de TI y la percepción de bajo valor del negocio;
• Incidentes significativos relacionados al riesgo de TI, tales
como la pérdida de datos o fallas en proyectos;
• Problemas con la prestación de servicios tercerizados por el
no cumplimiento de los niveles de servicio acordados;
• No cumplimiento de las exigencias regulatorias o
contractuales;
• Limitación por parte del área de TI de la capacidad de
innovación de la empresa y de la agilidad del negocio;
• Frecuentes informes de auditoría sobre el bajo desempeño
de TI y/o de problemas con la calidad de servicios de TI
prestados;
• Gastos encubiertos y/o innecesarios en TI
• Duplicación o sobreposición de las iniciativas o
desperdicio de recursos, tales como cierres
prematuros de proyectos
• Recursos de TI insuficientes, personal con habilidades
inadecuadas, insatisfechos o desmotivados;
• Cambios en la capacitación de TI que no cubren las
necesidades de la empresa y demoran en dar un
retorno o por encima del presupuesto;
• Miembros del consejo, ejecutivos o gerentes senior
que rechazan involucrarse con TI o responsables de
TI de la empresa no satisfechos;
• Modelos operacionales de TI muy complejos.
EVENTOS QUE INVOLUCRAN AMBIENTES INTERNOS Y
EXTERNOS
• Fusión, adquisición o separación de otras organizaciones
• Cambios en el mercado, economía o en la posición competitiva
• Cambios en el modelo operacional de la empresa o en los arreglos de tercerización
• Nuevas exigencias regulatorias o de conformidad;
• Cambios significativos de la tecnología;
• Enfoque del proyecto de gobernanza para toda la empresa;
• Cambios en los liderazgos de la gerencia de la organización;
• Auditoría interna, externa, o evaluaciones de consultorías;
• Nuevas prioridades o estrategias de negocios.
 CAPACITACIÓN PARA EL CAMBIO
Una implementación con éxito
depende de implementar el
cambio apropiado
La mejora sostenible se puede
conseguir bien mediante la
adquisición del compromiso de las
partes implicadas mediante la
exigencia del cumplimiento
La posibilidad de desconocer y/o
la resistencia al cambio necesitan
ser resueltas mediante un enfoque
estructurado y proactivo
deben superarse las barreras
humanas, el comportamiento y la
cultura de modo que haya un
interés común en adoptar
apropiadamente el cambio,
infundiendo el deseo de adoptarlo
y asegurando la capacidad de
adopción.
 ENFOQUE DEL CICLO DE VIDA
COMPONENTES El proyecto debe englobar a
Ciclo de vida principal toda la organización, no puede
de mejora continua ser tratado de forma aislada

Capacitación para el El proyecto debe contemplar un

abordaje de los aspectos de
cambio; comportamiento y culturales de
la organización

Gestión del programa El programa debe ser

administrado continuamente de
forma tal que se identifiquen
cuellos de botella
Fase 1:
esta fase comienza con un
reconocimiento y aceptación de las
necesidades o iniciativas de la
implementación de cobit,
identificando los puntos débiles para
crear el deseo de cambio en los
niveles de gestión ejecutiva de la
empresa.
Fase 2:
esta fase se concentra en la definición
del alcance de la implementación,
usando un emparejamiento de los
objetivos corporativos de cobit con
objetivos de ti, de acuerdo a lo visto
en el capítulo 3, considerando,
además, los escenarios de riesgo de
los principales procesos relacionados.
Fase 3
en esta fase, se define una
meta de mejora para, a
continuación, realizar un
análisis más detallado según
las orientaciones de COBIT
para identificar fallas y
posibles soluciones. Las
soluciones propuestas pueden
presentar resultados rápidos,
en cuanto otras podrán exigir
actividades más desafiantes y
en un mayor plazo. COBIT
sugiere priorizar las iniciativas
más fáciles de alcanzar y que
producirán mejores beneficios
para la organización.
Fase 4 Fase 5
esta fase establece la
planificación de soluciones en esta fase, las
prácticas mediante la soluciones propuestas
definición de proyectos
apoyados por estudios de son implementadas
casos justificables. Un plan de en forma de
cambio para la prácticas diarias.
implementación de COBIT
también debe ser
desarrollado en esta fase. Un
estudio de caso bien
elaborado ayuda a
garantizar que los beneficios
del proyecto sean
identificados y monitoreados.
 Fase 6
esta fase se concentra en la operación
sustentable de los habilitadores, así como
el monitoreo de la consecución de los
beneficios esperados.
Fase 7
fase que se basa en el análisis de nuevos
requisitos para la gobernanza y gestión
de ti de la empresa, identificando
necesidades de mejora continua. El ciclo
de vida debe ser seguido de forma
interactiva paralelamente a la creación de
un enfoque sustentable para la
gobernanza y gestión de TI de la
empresa

GREC es una metodología
desarrollada por la
Superintendencia de Bancos y
Seguros del Ecuador (SBS)
para efectuar una evaluación
integral a las instituciones
financieras del país, basado
en un enfoque de riesgos,
contempla un sistema de
calificación denominado
(GREC)

por las áreas en las que se

realiza la evaluación:
gobierno corporativo, riesgos,
evaluación financiera y
cumplimiento. Un conjunto de
medidas de carácter
corrector (formulación
Un sistema de de requerimientos y
supervisión recomendaciones)
permanente de las
Un esquema de instituciones, integrado
regulación efectiva y por la recepción de
prudente, incluyendo información periódica,
Este modelo de normas de acceso a e inspecciones in situ.
supervisión bancaria la actividad
enfoca la supervisión financiera como
en: normas de ejercicio.

Este método de evaluación
está basado en riesgos
dado que efectúa una
supervisión según el perfil que
tiene cada entidad,
de manera continua y
fundamentalmente es
integrada ya que se coordina
el accionar de todas las áreas
lo cual facilita y permite la
detección oportuna de
problemas.
Este proceso y enfoque
estandarizado que integra a
todas las áreas de la
organización asegura
estándares mínimos,
así como modelos de reporte
que define de manera clara y
concreta las funciones y
productos a entregar por las
áreas de apoyo lo cual
mejora la coordinación de las
áreas y las formaliza.
El elemento más importante
que esta metodología aporta
a este estudio sin lugar a
dudas es el pasar del fuerte
énfasis en “compliance” y del
“check list” a la evaluación de
los procesos
así como a la identificación de
potenciales deficiencias en los
controles implementados con
regulación efectiva y
prudente.
El manual único de supervisión (MUS) de la Superintendencia de Bancos del Ecuador,

a fin de ampliar el radio de control sobre el sistema e intensificar la supervisión preventiva,

vigilar las practicas irregulares de los participantes del mercado y

contener los efectos sistemáticos de las vulnerabilidades del sector,

contiene un sistema de calificación de riesgo denominado GREC,

elaborado específicamente para esta superintendencia, para la evaluación en las áreas

cada una de las cuales tiene componentes y subcomponentes de evaluación,

 Gobierno Evaluación de Evaluación Nivel de
AREAS Corporativo Riesgos (R), Económico- Cumplimiento
(G), Financiera (E) (C),
 SISTEMA GREC
Con calificaciones que irán del 1
al 5. Con 1 como la mejor nota
posible en esta calificación
Esta parte de la calificación está
asociada a los modernos enfoques
de supervisión basada en riesgos
y es la de mayor peso en la
calificación compuesta.
La combinación de estos
componentes busca como objetivo
final obtener una evaluación Los dos primeros componentes (G,
compuesta que mida la exposición R) abarcan elementos asociados
de la IFI a los riesgos de principalmente a la gestión de la
insolvencia y/o iliquidez y a las IFI.
debilidades de gobierno
corporativo y calidad de gestión.
La evaluación de estos dos
componentes induce a los supervisores
a adoptar necesariamente un enfoque
a riesgos, a través de requerir la
evaluación de la calidad del gobierno
corporativo y de la gestión de riesgos
de la institución.
• abarcan elementos asociados a la
situación económico-financiera y de
cumplimiento normativo.
• La revisión de estas dos áreas
asegura que además de los
elementos cualitativos los
supervisores atiendan a la situación
económico-financiera de la IFIs y el
cumplimiento de las regulaciones a
las que están sujetas.
Los dos últimos
componentes (E, C)
• - Macro y Micro planificación de
Inspecciones
• Manual Único de Supervisión on line
• - Administrador de Tareas
• Sistema de Alerta Temprana
(indicadores, proyecciones, estrés
test, balances y PT ajustado).
Aparte de este sistema se
contará con tecnología y
herramientas de apoyo
como son:
 El sistema tiene una serie de procesos y dentro de estos procesos se
ha creado un Manual Único de Supervisión (MUS).

Que sirve específicamente para supervisar de una manera mucho más

eficiente a las entidades financieras mediante un sistema basado en
riesgos, que combina en su mejor forma inspecciones “in situ” y extra
situ”.

La base de este sistema estaba a cargo de Rosa Matilde Guerrero

que es especialista del BID y que está al frente de este programa y
vela por su implementación.

La supervisión “in situ y extra situ” se aplicará progresivamente sobre

los principales activos de riesgo de bancos, cooperativas y
mutualistas, como portafolio de inversiones, fondos disponibles,
cartera de crédito, contingentes y otras cuentas.
Con este nuevo sistema se logra
que la Superintendencia de
Bancos tenga control en todo
momento de cada una de las
instituciones financieras (IFIs),
Dentro del sistema que se está
tratando, el Manual Único de
Supervisión implementa una
metodología que permitirá
calificar a las instituciones
financieras de una manera
integral, sin dejar de lado
aspectos importantes.
midiendo también en cada
momento y cuando la
Superintendencia lo decida, su
nivel de riesgo
“Nuestra meta siempre ha sido el
fortalecimiento del marco
normativo y los esquemas de
supervisión, con base en las
mejores prácticas prudenciales y
de solvencia financiera.
así también como una información
detallada del nicho de mercado
de cada institución lo que
facilitará su clasificación en el
sistema financiero ecuatoriano.
El MUS recoge las mejores
prácticas internacionales y está a
la vanguardia en la región”
(Gloria Sabando, al suscribir la
resolución SBS-2009-676 con la
que se aprobó el MUS y el
GREC).
Las principales normas o actualizaciones
propuestas se refieren a:
• Gestión Integral y Control de Riesgos
• Delimitación de las funciones y el alcance de trabajo desarrollado por
las unidades de riesgo, Auditoría Interna, Auditoría Externa y
Calificadoras de Riesgo de las instituciones financieras.
• Supervisión de Grupos Económicos y Conglomerados Financieros.
• Supervisión Consolidada y Transfronteriza
• Gobierno Corporativo
• Reglamentación de los procesos de adquisición, fusión y absorción de
entidades financieras.
• Titularización de activos por parte de las instituciones financieras
• Establecimiento de un régimen común de sanciones para todas las
entidades del sistema financiero; entre otras.
 Con este nuevo sistema GREC y el
Manual Único de Supervisión, la
Superintendencia de Bancos y
Seguros cambia el sistema de
supervisión basado en el
cumplimiento de la normativa

por una supervisión

La elaboración tanto del
GREC como del MUS contó
con el asesoramiento del
BID y fue elaborado por la
consultora FIT & PROPER.
preventiva e integrada de
las entidades (cualitativa y
cuantitativa) con un enfoque
en el buen manejo de
riesgos de forma que se
determine las necesidades
de mejoramiento de gestión
y requerimientos de capital
o patrimonio en efectivo