L1 X Cap V

REPBLICA DEL ECUADOR
SUPERINTENDENCIA DE BANCOS Y SEGUROS

249

LIBRO I.- NORMAS GENERALES PARA LA APLICACIN DE LA LEY
GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO

TITULO X.- DE LA GESTION Y ADMINISTRACION DE RIESGOS

CAPTULO V.- DE LA GESTIN DEL RIESGO OPERATIVO (incluido con
resolucin No JB-2005-834 de 20 de octubre del 2005)

SECCIN I.- MBITO, DEFINICIONES Y ALCANCE

ARTCULO 1.- Las disposiciones de la presente norma son aplicables a las instituciones
financieras pblicas y privadas, al Banco Central del Ecuador, a las compaas de
arrendamiento mercantil, a las compaas emisoras y administradoras de tarjetas de crdito
y a las corporaciones de desarrollo de mercado secundario de hipotecas, cuyo control
compete a la Superintendencia de Bancos y Seguros, a las cuales, en el texto de este
captulo se las denominar como instituciones controladas.

Para efecto de administrar adecuadamente el riesgo operativo, adems de las disposiciones
contenidas en el captulo I De la gestin integral y control de riesgos, las instituciones
controladas observarn las disposiciones del presente captulo.

ARTCULO 2.- Para efectos de la aplicacin de las disposiciones del presente captulo, se
considerarn las siguientes definiciones:

2.1 Alta gerencia.- La integran los presidentes y vicepresidentes ejecutivos, gerentes
generales, vicepresidentes o gerentes departamentales, entre otros, responsables de
ejecutar las disposiciones del directorio u organismo que haga sus veces, quienes
toman decisiones de alto nivel, de acuerdo con las funciones asignadas y la
estructura organizacional definida en cada institucin controlada;

2.2 Evento de riesgo operativo.- Es el hecho que puede derivar en prdidas financieras
para la institucin controlada;

2.3 Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de riesgo
operativo. Los factores son los procesos, personas, tecnologa de informacin y
eventos externos;

2.4 Proceso.- Es el conjunto de actividades que transforman insumos en productos o
servicios con valor para el cliente, sea interno o externo;

2.5 Insumo.- Es el conjunto de materiales, datos o informacin que sirven como entrada
a un proceso;

2.6 Proceso crtico.- Es el indispensable para la continuidad del negocio y las
operaciones de la institucin controlada, y cuya falta de identificacin o aplicacin
deficiente puede generarle un impacto financiero negativo;

2.7 Actividad.- Es el conjunto de tareas;

2.8 Tarea.- Es el conjunto de pasos o procedimientos que conducen a un resultado final
visible y mesurable;

2.9 Procedimiento .- Es el mtodo que especifica los pasos a seguir para cumplir un
propsito determinado;

250

2.10 Lnea de negocio.- Es una especializacin del negocio que agrupa procesos
encaminados a generar productos y servicios especializados para atender un
segmento del mercado objetivo definido en la planificacin estratgica de la entidad;

2.11 Datos.- Es cualquier forma de registro electrnico, ptico, magntico, impreso o en
otros medios, susceptible de ser capturado, almacenado, procesado y distribuido;

2.12 Informacin.- Es cualquier forma de registro electrnico, ptico, magntico o en otros
medios, previamente procesado a partir de datos, que puede ser almacenado,
distribuido y sirve para anlisis, estudios, toma de decisiones, ejecucin de una
transaccin o entrega de un servicio; (reformado con resolucin No. JB-2012-2148 de 26
de abril del 2012)

2.13 Informacin crtica.- Es la informacin considerada esencial para la continuidad del
negocio y para la adecuada toma de decisiones;

2.14 Administracin de la informacin.- Es el proceso mediante el cual se captura,
procesa, almacena y transmite informacin, independientemente del medio que se
utilice; ya sea impreso, escrito en papel, almacenado electrnicamente, transmitido
por correo o por medios electrnicos o presentado en imgenes;

2.15 Tecnologa de informacin.- Es el conjunto de herramientas y mtodos empleados
para llevar a cabo la administracin de la informacin. Incluye el hardware, software,
sistemas operativos, sistemas de administracin de bases de datos, redes,
multimedia, servicios asociados, entre otros;

2.16 Aplicacin.- Se refiere a los procedimientos programados a travs de alguna
herramienta tecnolgica, que permiten la administracin de la informacin y la
oportuna toma de decisiones;

2.17 Instalaciones.- Es la infraestructura que permite alojar los recursos fsicos
relacionados con la tecnologa de informacin;

2.18 Responsable de la informacin.- Es la persona encargada de identificar y definir
claramente los diversos recursos y procesos de seguridad lgica relacionados con las
aplicaciones;

2.19 Seguridad de la informacin.- Son los mecanismos implantados que garantizan la
confidencialidad, integridad y disponibilidad de la informacin y los recursos
relacionados con ella;

2.20 Seguridades lgicas.- Se refieren a la seguridad en el uso del software, la
proteccin de los datos, procesos y programas, as como la del acceso ordenado y
autorizado de los usuarios a la informacin;

2.21 Confidencialidad.- Es la garanta de que slo el personal autorizado accede a la
informacin preestablecida;

2.22 Integridad.- Es la garanta de mantener la totalidad y exactitud de la informacin y de
los mtodos de procesamiento;

2.23 Disponibilidad.- Es la garanta de que los usuarios autorizados tienen acceso a la
informacin cada vez que lo requieran a travs de los medios adecuados que
satisfagan sus necesidades;

251

2.24 Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y acuerdos
contractuales a los que los procesos de las instituciones controladas estn sujetos;

2.25 Pista de auditora.- Es el registro de datos lgicos de las acciones o sucesos
ocurridos en los sistemas aplicativos u operativos, con el propsito de mantener
informacin histrica para fines de control, supervisin y auditora;

2.26 Medios electrnicos.- Son los elementos de la tecnologa que tienen caractersticas
digitales, magnticas, inalmbricas, pticas, electromagnticas u otras similares;

2.27 Transferencia electrnica de informacin.- Es la forma de enviar, recibir o transferir
en forma electrnica datos, informacin, archivos, mensajes, entre otros;

2.28 Encriptacin.- Es el proceso mediante el cual la informacin o archivos son alterados
en forma lgica, con el objetivo de evitar que alguien no autorizado pueda
interpretarlos al verlos o copiarlos, por lo que se utiliza una clave en el origen y en el
destino;

2.29 Plan de continuidad.- Est orientado a asegurar la continuidad del negocio, la
satisfaccin del cliente y la productividad a pesar de eventos inesperados. Se ejecuta
permanentemente como parte de la administracin de riesgos tanto en la informacin
como en la operacin. Un plan de continuidad incluye un plan de contingencia, un
plan de reanudacin y un plan de recuperacin;

2.30 Plan de contingencia.- Es el conjunto de procedimientos alternativos a la
operatividad normal de la entidad cuya finalidad es la de permitir su funcionamiento,
buscando minimizar el impacto financiero que pueda ocasionar cualquier evento
inesperado especfico. El plan de contingencia se ejecuta el momento en que se
produce dicho evento;

2.31 Plan de reanudacin.- Especifica los procesos y recursos para mantener la
continuidad de las operaciones en la misma ubicacin del problema;

2.32 Plan de recuperacin.- Especifica los procesos y recursos para recuperar las
funciones del negocio en una ubicacin alterna dentro o fuera de la institucin;

2.33 Eficacia.- Es la capacidad para contribuir al logro de los objetivos institucionales de
conformidad con los parmetros establecidos;

2.34 Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos disponibles
en pro del logro de los objetivos institucionales, procurando la optimizacin de
aquellos y evitando dispendios y errores;

2.35 Calidad de la informacin.- Es el resultado de la aplicacin de los mecanismos
implantados que garantizan la efectividad, eficiencia y confiabilidad de la informacin
y los recursos relacionados con ella; (incluido con resolucin No. JB-2012-2148 de 26 de
abril del 2012)

2.36 Efectividad.- Es la garanta de que la informacin es relevante y pertinente y que su
entrega es oportuna, correcta y consistente; (incluido con resolucin No. JB-2012-2148 de
26 de abril del 2012)

2.37 Confiabilidad.- Es la garanta de que la informacin es la apropiada para la
administracin de la entidad, ejecucin de transacciones y para el cumplimiento de
sus obligaciones; (incluido con resolucin No. JB-2012-2148 de 26 de abril del 2012)

252

2.38 Banca electrnica.- Son los servicios suministrados por las instituciones del sistema
financiero a los clientes a travs de internet en el sitio que corresponda a uno o ms
dominios de la institucin, indistintamente del dispositivo tecnolgico a travs del cual
se acceda; (incluido con resolucin No. JB-2012-2148 de 26 de abril del 2012)

2.39 Banca mvil.- Son los servicios suministrados por las instituciones del sistema
financiero a los clientes a travs de equipos celulares mediante los protocolos propios
de este tipo de dispositivos; (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012)

2.40 Tarjetas.- Para efectos del presente captulo, se refiere a las tarjetas de dbito, de
cajero automtico y tarjetas de crdito; (incluido con resolucin No. JB-2012-2148 de 26 de
abril del 2012)

2.41 Canales electrnicos.- Se refiere a todas las vas o formas a travs de las cuales los
clientes o usuarios pueden efectuar transacciones con las instituciones del sistema
financiero, mediante el uso de elementos o dispositivos electrnicos o tecnolgicos,
utilizando o no tarjetas. Principalmente son canales electrnicos: los cajeros
automticos (ATM), dispositivos de puntos de venta (POS y PIN Pad), sistemas de
audio respuesta (IVR), seal telefnica, celular e internet u otro similares; (incluido con
resolucin No. JB-2012-2148 de 26 de abril del 2012)

2.42 Tarjeta inteligente.- Tarjeta que posee circuitos integrados (chip) que permiten la
ejecucin de cierta lgica programada, contiene memoria y microprocesadores y es
capaz de proveer seguridad, principalmente en cuanto a la confidencialidad de la
informacin de la memoria; y, (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012)

2.43 Riesgo legal.- Es la probabilidad de que una institucin del sistema financiero sufra
prdidas directas o indirectas; de que sus activos se encuentren expuestos a
situaciones de mayor vulnerabilidad; de que sus pasivos y contingentes puedan verse
incrementados ms all de los niveles esperados, o de que el desarrollo de sus
operaciones enfrente la eventualidad de ser afectado negativamente, debido a error,
negligencia, impericia, imprudencia o dolo, que deriven de la inobservancia, incorrecta
o inoportuna aplicacin de disposiciones legales o normativas, as como de
instrucciones de carcter general o particular emanadas de los organismos de control,
dentro de sus respectivas competencias; o, en sentencias o resoluciones
jurisdiccionales o administrativas adversas; o de la deficiente redaccin de los textos,
formalizacin o ejecucin de actos, contratos o transacciones, inclusive distintos a los
de su giro ordinario de negocio, o porque los derechos de las partes contratantes no
han sido claramente estipuladas. (sustituido con resolucin No. JB-2008-1202 de 23 de
octubre del 2008 y renumerado con resolucin No. JB-2012-2148 de 26 de abril del 2012)

De acuerdo con lo dispuesto en el numeral 2 del artculo 18 del Cdigo Civil, los trminos
utilizados en la definicin de riesgo legal se entendern en su sentido natural y obvio, segn
el uso general de las mismas palabras, a menos de que tengan definiciones diferentes
expresadas en la ley, reglamentos y dems normativa. (incluido con resolucin No. JB-2008-
1202 de 23 de octubre del 2008)

ARTCULO 3.- Para efectos del presente captulo, el riesgo operativo se entender como la
posibilidad de que se ocasionen prdidas financieras por eventos derivados de fallas o
insuficiencias en los procesos, personas, tecnologa de informacin y por eventos externos.

El riesgo operativo incluye el riesgo legal en los trminos establecidos en el numeral 2.43
del artculo 2.

253

El riesgo operativo no trata sobre la posibilidad de prdidas originadas en cambios
inesperados en el entorno poltico, econmico y social.

SECCIN II.- FACTORES DEL RIESGO OPERATIVO

ARTCULO 4.- Con el propsito de que se minimice la probabilidad de incurrir en prdidas
financieras atribuibles al riesgo operativo, deben ser adecuadamente administrados los
siguientes aspectos, los cuales se interrelacionan entre s:

4.1 Procesos.- Con el objeto de garantizar la optimizacin de los recursos y la
estandarizacin de las actividades, las instituciones controladas deben contar con
procesos definidos de conformidad con la estrategia y las polticas adoptadas, que
debern ser agrupados de la siguiente manera:

4.1.1 Procesos gobernantes o estratgicos.- Se considerarn a aquellos que
proporcionan directrices a los dems procesos y son realizados por el
directorio u organismo que haga sus veces y por la alta gerencia para poder
cumplir con los objetivos y polticas institucionales. Se refieren a la
planificacin estratgica, los lineamientos de accin bsicos, la estructura
organizacional, la administracin integral de riesgos, entre otros;

4.1.2 Procesos productivos, fundamentales u operativos.- Son los procesos
esenciales de la entidad destinados a llevar a cabo las actividades que
permitan ejecutar efectivamente las polticas y estrategias relacionadas con
la calidad de los productos o servicios que ofrecen a sus clientes; y,

4.1.3 Procesos habilitantes, de soporte o apoyo.- Son aquellos que apoyan a
los procesos gobernantes y productivos, se encargan de proporcionar
personal competente, reducir los riesgos del trabajo, preservar la calidad de
los materiales, equipos y herramientas, mantener las condiciones de
operatividad y funcionamiento, coordinar y controlar la eficacia del
desempeo administrativo y la optimizacin de los recursos.

Identificados los procesos crticos, se implantarn mecanismos o alternativas que
ayuden a la entidad a evitar incurrir en prdidas o poner en riesgo la continuidad del
negocio y sus operaciones.

Para considerar la existencia de un apropiado ambiente de gestin de riesgo
operativo, las instituciones controladas debern definir formalmente polticas para un
adecuado diseo, control, actualizacin y seguimiento de los procesos.

Las polticas deben referirse por lo menos a: (i) diseo claro de los procesos, los
cuales deben ser adaptables y dinmicos; (ii) descripcin en secuencia lgica y
ordenada de las actividades, tareas, y controles; (iii) determinacin de los
responsables de los procesos, que sern aquellas personas encargadas de su
correcto funcionamiento, a travs de establecer medidas y fijar objetivos para
gestionarlos y mejorarlos, garantizar que las metas globales se cumplan, definir los
lmites y alcance, mantener contacto con los clientes internos y externos del proceso
para garantizar que se satisfagan y se conozcan sus expectativas, entre otros; (iv)
difusin y comunicacin de los procesos buscando garantizar su total aplicacin; y, (v)
actualizacin y mejora continua a travs del seguimiento permanente en su
aplicacin.

Deber existir una adecuada separacin de funciones que evite concentraciones de
carcter incompatible, entendidas stas como aquellas tareas cuya combinacin en

254

las competencias de una sola persona, eventualmente, podra permitir la realizacin o
el ocultamiento de fraudes, errores, omisiones u otros eventos de riesgo operativo.

Las instituciones controladas debern mantener inventarios actualizados de los
procesos existentes, que cuenten, como mnimo con la siguiente informacin: tipo de
proceso (gobernante, productivo y de apoyo), nombre del proceso, responsable,
productos y servicios que genera el proceso, clientes internos y externos, fecha de
aprobacin, fecha de actualizacin, adems de sealar si se trata de un proceso
crtico.

4.2 Personas.- Las instituciones controladas deben administrar el capital humano de
forma adecuada, e identificar apropiadamente las fallas o insuficiencias asociadas al
factor personas, tales como: falta de personal adecuado, negligencia, error humano,
nepotismo de conformidad con las disposiciones legales vigentes, inapropiadas
relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones
claras en los trminos de contratacin del personal, entre otros.

operativo, las instituciones controladas debern definir formalmente polticas,
procesos y procedimientos que aseguren una apropiada planificacin y administracin
del capital humano, los cuales considerarn los procesos de incorporacin,
permanencia y desvinculacin del personal al servicio de la institucin.

Dichos procesos corresponden a:

4.2.1 Los procesos de incorporacin.- Que comprenden la planificacin de
necesidades, el reclutamiento, la seleccin, la contratacin e induccin de
nuevo personal;

4.2.2 Los procesos de permanencia.- Que cubren la creacin de condiciones
laborales idneas; la promocin de actividades de capacitacin y formacin
que permitan al personal aumentar y perfeccionar sus conocimientos,
competencias y destrezas; la existencia de un sistema de evaluacin del
desempeo; desarrollo de carrera; rendicin de cuentas; e incentivos que
motiven la adhesin a los valores y controles institucionales; y,

4.2.3 Los procesos de desvinculacin.- Que comprenden la planificacin de la
salida del personal por causas regulares, preparacin de aspectos jurdicos
para llegar al finiquito y la finalizacin de la relacin laboral.

Los procesos de incorporacin, permanencia y desvinculacin antes indicados
debern ser soportados tcnicamente, ajustados a las disposiciones legales y
transparentes para garantizar condiciones laborales idneas.

Las instituciones controladas debern analizar su organizacin con el objeto de
evaluar si han definido el personal necesario y las competencias idneas para el
desempeo de cada puesto, considerando no slo experiencia profesional, formacin
acadmica, sino tambin los valores, actitudes y habilidades personales que puedan
servir como criterio para garantizar la excelencia institucional.

Las instituciones controladas mantendrn informacin actualizada del capital humano,
que permita una adecuada toma de decisiones por parte de los niveles directivos y la
realizacin de anlisis cualitativos y cuantitativos de acuerdo con sus necesidades.
Dicha informacin deber referirse al personal existente en la institucin; a la
formacin acadmica y experiencia; a la forma y fechas de seleccin, reclutamiento y

255

contratacin; informacin histrica sobre los eventos de capacitacin en los que han
participado; cargos que han desempeado en la institucin; resultados de
evaluaciones realizadas; fechas y causas de separacin del personal que se ha
desvinculado de la institucin; y, otra informacin que la institucin controlada
considere pertinente.

4.3 Tecnologa de informacin.- Las instituciones controladas deben contar con la
tecnologa de informacin que garantice la captura, procesamiento, almacenamiento y
transmisin de la informacin de manera oportuna y confiable; evitar interrupciones
del negocio y lograr que la informacin, inclusive aquella bajo la modalidad de
servicios provistos por terceros, sea ntegra, confidencial y est disponible para una
apropiada toma de decisiones.

operativo, las instituciones controladas debern definir formalmente polticas,
procesos y procedimientos que aseguren una adecuada planificacin y administracin
de la tecnologa de informacin.

Dichas polticas, procesos y procedimientos se referirn a:

4.3.1 Con el objeto de garantizar que la administracin de la tecnologa de
informacin soporte adecuadamente los requerimientos de operacin
actuales y futuros de la entidad, las instituciones controladas deben contar al
menos con lo siguiente:

4.3.1.1 El apoyo y compromiso formal del directorio u organismo que haga
sus veces y la alta gerencia;

4.3.1.2 Un plan funcional de tecnologa de informacin alineado con el plan
estratgico institucional; y, un plan operativo que establezca las
actividades a ejecutar en el corto plazo (un ao), de manera que se
asegure el logro de los objetivos institucionales propuestos;

4.3.1.3 Tecnologa de informacin acorde a las operaciones del negocio y
al volumen de transacciones, monitoreada y proyectada segn las
necesidades y crecimiento de la institucin;

4.3.1.4 Un responsable de la informacin que se encargue principalmente
de definir y autorizar de manera formal los accesos y cambios
funcionales a las aplicaciones y monitorear el cumplimiento de los
controles establecidos;

4.3.1.5 Polticas, procesos y procedimientos de tecnologa de informacin
definidos bajo estndares de general aceptacin que garanticen la
ejecucin de los criterios de control interno de eficacia, eficiencia y
cumplimiento, debidamente aprobados por el directorio u
organismo que haga sus veces, alineados a los objetivos y
actividades de la institucin;

4.3.1.6 Difusin y comunicacin a todo el personal involucrado de las
mencionadas polticas, procesos y procedimientos, de tal forma
que se asegure su implementacin; y,

4.3.1.7 Capacitacin y entrenamiento tcnico al personal del rea de
tecnologa de informacin y de los usuarios de la misma.

256

4.3.2 Con el objeto de garantizar que las operaciones de tecnologa de
informacin satisfagan los requerimientos de la entidad, las instituciones
controladas deben contar al menos con lo siguiente:

4.3.2.1 Manuales o reglamentos internos, debidamente aprobados por el
directorio u organismo que haga sus veces, que establezcan como
mnimo las responsabilidades y procedimientos para la operacin,
el uso de las instalaciones de procesamiento de informacin y
respuestas a incidentes de tecnologa de informacin;

4.3.2.2 Un procedimiento de clasificacin y control de activos de
tecnologa de informacin, que considere por lo menos, su registro
e identificacin, as como los responsables de su uso y
mantenimiento, especialmente de los ms importantes;

4.3.3 Con el objeto de garantizar que los recursos y servicios provistos por
terceros, se administren con base en responsabilidades claramente definidas
y estn sometidas a un monitoreo de su eficiencia y efectividad, las
instituciones controladas deben contar al menos con lo siguiente:

4.3.3.1 Requerimientos contractuales convenidos que definan la propiedad
de la informacin y de las aplicaciones; y, la responsabilidad de la
empresa proveedora de la tecnologa en caso de ser vulnerables
sus sistemas, a fin de mantener la integridad, disponibilidad y
confidencialidad de la informacin; y,

4.3.3.2 Requerimientos contractuales convenidos que establezcan que las
aplicaciones sean parametrizables, que exista una transferencia
del conocimiento y que se entregue documentacin tcnica y de
usuario, a fin de reducir la dependencia de las instituciones
controladas con proveedores externos y los eventos de riesgo
operativo que esto origina.

4.3.4 Con el objeto de garantizar que el sistema de administracin de seguridad
satisfaga las necesidades de la entidad para salvaguardar la informacin
contra el uso, revelacin y modificacin no autorizados, as como daos y
prdidas, las instituciones controladas deben contar al menos con lo
siguiente:

4.3.4.1 Polticas y procedimientos de seguridad de la informacin que
establezcan sus objetivos, importancia, normas, principios,
requisitos de cumplimiento, responsabilidades y comunicacin de
los incidentes relativos a la seguridad; considerando los aspectos
legales, as como las consecuencias de violacin de estas polticas;

4.3.4.2 La identificacin de los requerimientos de seguridad relacionados
con la tecnologa de informacin, considerando principalmente: la
evaluacin de los riesgos que enfrenta la institucin; los requisitos
legales, normativos, reglamentarios y contractuales; y, el conjunto
especfico de principios, objetivos y condiciones para el
procesamiento de la informacin que respalda sus operaciones;

4.3.4.3 Los controles necesarios para asegurar la integridad, disponibilidad
y confidencialidad de la informacin administrada;

257

4.3.4.4 Un sistema de administracin de las seguridades de acceso a la
informacin, que defina las facultades y atributos de los usuarios,
desde el registro, eliminacin y modificacin, pistas de auditora;
adems de los controles necesarios que permitan verificar su
cumplimiento en todos los ambientes de procesamiento;

4.3.4.5 Niveles de autorizacin de accesos y ejecucin de las funciones de
procesamiento de las aplicaciones, formalmente establecidos, que
garanticen una adecuada segregacin de funciones y reduzcan el
riesgo de error o fraude;

4.3.4.6 Adecuados sistemas de control y autenticacin para evitar accesos
no autorizados, inclusive de terceros; y, ataques externos
especialmente a la informacin crtica y a las instalaciones de
procesamiento;

4.3.4.7 Controles adecuados para detectar y evitar la instalacin de
software no autorizado o sin la respectiva licencia, as como instalar
y actualizar peridicamente aplicaciones de deteccin y
desinfeccin de virus informticos y dems software maliciosos;

4.3.4.8 Controles formales para proteger la informacin contenida en
documentos; medios de almacenamiento u otros dispositivos
externos; el uso e intercambio electrnico de datos contra dao,
robo, accesos, utilizacin o divulgacin no autorizada de
informacin para fines contrarios a los intereses de la entidad, por
parte de todo su personal y de sus proveedores;

4.3.4.9 Instalaciones de procesamiento de informacin crtica en reas
protegidas con los suficientes controles que eviten el acceso de
personal no autorizado y daos a los equipos de computacin y a la
informacin en ellos procesada, almacenada o distribuida;

4.3.4.10 Las condiciones fsicas y ambientales necesarias para garantizar el
correcto funcionamiento del entorno de la infraestructura de
tecnologa de informacin;

4.3.4.11 Un plan para evaluar el desempeo del sistema de administracin
de la seguridad de la informacin, que permita tomar acciones
orientadas a mejorarlo; y,

4.3.4.12 Las instituciones controladas que ofrezcan los servicios de
transferencias y transacciones electrnicas debern contar con
polticas y procedimientos de seguridad de la informacin que
garanticen que las operaciones slo pueden ser realizadas por
personas debidamente autorizadas; que el canal de comunicaciones
utilizado sea seguro, mediante tcnicas de encriptacin de
informacin; que existan mecanismos alternos que garanticen la
continuidad del servicio ofrecido; y, que aseguren la existencia de
pistas de auditora.

4.3.5 Con el objeto de garantizar la continuidad de las operaciones, las
instituciones controladas deben contar al menos con lo siguiente:

258

4.3.5.1 Controles para minimizar riesgos potenciales de sus equipos de
computacin ante eventos imprevistos, tales como: fallas, daos o
insuficiencia de los recursos de tecnologa de informacin; robo;
incendio; humo; inundaciones; polvo; interrupciones en el fluido
elctrico, desastres naturales; entre otros;

4.3.5.2 Polticas y procedimientos de respaldo de informacin peridicos,
que aseguren al menos que la informacin crtica pueda ser
recuperada en caso de falla de la tecnologa de informacin o con
posterioridad a un evento inesperado;

4.3.5.3 Mantener los sistemas de comunicacin y redundancia de los
mismos que permitan garantizar la continuidad de sus servicios; y,

4.3.5.4 Informacin de respaldo y procedimientos de restauracin en una
ubicacin remota, a una distancia adecuada que garantice su
disponibilidad ante eventos de desastre en el centro principal de
procesamiento.

4.3.6 Con el objeto de garantizar que el proceso de adquisicin, desarrollo,
implementacin y mantenimiento de las aplicaciones satisfagan los objetivos
del negocio, las instituciones controladas deben contar al menos con lo
siguiente:

4.3.6.1 Una metodologa que permita la adecuada administracin y control
del proceso de compra de software y del ciclo de vida de desarrollo
y mantenimiento de aplicaciones, con la aceptacin de los usuarios
involucrados;

4.3.6.2 Documentacin tcnica y de usuario permanentemente actualizada
de las aplicaciones de la institucin;

4.3.6.3 Controles que permitan asegurar la adecuada administracin de
versiones de las aplicaciones puestas en produccin; y,

4.3.6.4 Controles que permitan asegurar que la calidad de la informacin
sometida a migracin, cumple con las caractersticas de integridad,
disponibilidad y confidencialidad.

4.3.7 Con el objeto de garantizar que la infraestructura tecnolgica que soporta las
operaciones, sea administrada, monitoreada y documentada de forma
adecuada, las instituciones controladas debern contar con polticas y
procedimientos que permitan la adecuada administracin, monitoreo y
documentacin de las bases de datos, redes de datos, software de base y
hardware;

4.3.8 Medidas de seguridad en canales electrnicos.- Con el objeto de
garantizar que las transacciones realizadas a travs de canales electrnicos
cuenten con los controles, medidas y elementos de seguridad para evitar el
cometimiento de eventos fraudulentos y garantizar la seguridad y calidad de
la informacin de los usuarios as como los bienes de los clientes a cargo de
las instituciones controladas, stas debern cumplir como mnimo con lo
siguiente: (incluido con resolucin No. JB-2012-2148 de 26 de abril del 2012)

259

4.3.8.1. Las instituciones del sistema financiero debern adoptar e
implementar los estndares y buenas prcticas internacionales
de seguridad vigentes a nivel mundial para el uso y manejo de
canales electrnicos y consumos con tarjetas, los cuales deben
ser permanentemente monitoreados para asegurar su
cumplimiento; (incluido con resolucin No. JB-2012-2148 de 26 de
abril del 2012)

4.3.8.2. Establecer procedimientos y mecanismos para monitorear de
manera peridica la efectividad de los niveles de seguridad
implementados en hardware, software, redes y comunicaciones,
as como en cualquier otro elemento electrnico o tecnolgico
utilizado en los canales electrnicos, de tal manera que se
garantice permanentemente la seguridad y calidad de la
informacin; (incluido con resolucin No. JB-2012-2148 de 26 de abril
del 2012)

4.3.8.3. El envo de informacin confidencial de sus clientes y la
relacionada con tarjetas, debe ser realizado bajo condiciones de
seguridad de la informacin, considerando que cuando dicha
informacin se enve mediante correo electrnico o utilizando
algn otro medio va Internet, sta deber estar sometida a
tcnicas de encriptacin acordes con los estndares
internacionales vigentes; (incluido con resolucin No. JB-2012-2148
de 26 de abril del 2012)

4.3.8.4. La informacin que se transmita entre el canal electrnico y el
sitio principal de procesamiento de la entidad, deber estar en
todo momento protegida mediante el uso de tcnicas de
encriptacin y deber evaluarse con regularidad la efectividad y
vigencia del mecanismo de encriptacin utilizado; (incluido con

4.3.8.5. Las instituciones del sistema financiero debern contar en todos
sus canales electrnicos con software antimalware que est
permanentemente actualizado, el cual permita proteger el
software instalado, detectar oportunamente cualquier intento o
alteracin en su cdigo, configuracin y/o funcionalidad, y emitir
las alarmas correspondientes para el bloqueo del canal
electrnico, su inactivacin y revisin oportuna por parte de
personal tcnico autorizado de la institucin; (incluido con

4.3.8.6. Las instituciones del sistema financiero debern utilizar hardware
de propsito especfico para la generacin y validacin de claves
para ejecutar transacciones en los diferentes canales
electrnicos y dicha informacin no deber ser almacenada en
ningn momento; (incluido con resolucin No. JB-2012-2148 de 26 de
abril del 2012)

4.3.8.7. Establecer procedimientos para monitorear, controlar y emitir
alarmas en lnea que informen oportunamente sobre el estado
de los canales electrnicos, con el fin de identificar eventos
inusuales, fraudulentos o corregir las fallas; (incluido con

260

4.3.8.8. Ofrecer a los clientes los mecanismos necesarios para que
personalicen las condiciones bajo las cuales desean realizar sus
transacciones a travs de los diferentes canales electrnicos y
tarjetas, dentro de las condiciones o lmites mximos que deber
establecer cada entidad.

Entre las principales condiciones de personalizacin por cada
tipo de canal electrnico, debern estar: registro de las cuentas
a las cuales desea realizar transferencias, registro de
direcciones IP de computadores autorizados, el los nmeros
de telefona mvil autorizados, montos mximos por transaccin
diaria, semanal y mensual, entre otros.

Para el caso de consumos con tarjetas, se debern personalizar
los cupos mximos, principalmente para los siguientes servicios:
consumos nacionales, consumos en el exterior, compras por
internet, entre otros; (incluido con resolucin No. JB-2012-2148 de 26
de abril del 2012)

4.3.8.9. Incorporar en los procedimientos de administracin de seguridad
de la informacin la renovacin de por lo menos una vez (1) al
ao de las claves de acceso a cajeros automticos; dicha clave
deber ser diferente de aquella por la cual se accede a otros
canales electrnicos; (incluido con resolucin No. JB-2012-2148 de

4.3.8.10. Las instituciones debern establecer procedimientos de control y
mecanismos que permitan registrar el perfil de cada cliente
sobre sus costumbres transaccionales en el uso de canales
electrnicos y tarjetas y definir procedimientos para monitorear
en lnea y permitir o rechazar de manera oportuna la ejecucin
de transacciones que no correspondan a sus hbitos, lo cual
deber ser inmediatamente notificado al cliente mediante
mensajera mvil, correo electrnico, u otro mecanismo; (incluido
con resolucin No. JB-2012-2148 de 26 de abril del 2012)

4.3.8.11. Incorporar en los procedimientos de administracin de la
seguridad de la informacin, el bloqueo de los canales
electrnicos o de las tarjetas cuando se presenten eventos
inusuales que adviertan situaciones fraudulentas o despus de
un nmero mximo de tres (3) intentos de acceso fallido.
Adems, se debern establecer procedimientos que permitan la
notificacin en lnea al cliente a travs de mensajera mvil,
correo electrnico u otro mecanismo, as como su reactivacin
de manera segura; (incluido con resolucin No. JB-2012-2148 de 26
de abril del 2012)

4.3.8.12. Asegurar que exista una adecuada segregacin de funciones
entre el personal que administra, opera, mantiene y en general
accede a los dispositivos y sistemas usados en los diferentes
canales electrnicos y tarjetas; (incluido con resolucin No. JB-2012-
2148 de 26 de abril del 2012)

4.3.8.13. Las entidades debern establecer procedimientos y controles
para la administracin, transporte, instalacin y mantenimiento
de los elementos y dispositivos que permiten el uso de los

261

canales electrnicos y de tarjetas; (incluido con resolucin No. JB-
2012-2148 de 26 de abril del 2012)

4.3.8.14. Las instituciones del sistema financiero deben mantener
sincronizados todos los relojes de sus sistemas de informacin
que estn involucrados con el uso de canales electrnicos;
(incluido con resolucin No. JB-2012-2148 de 26 de abril del 2012)

4.3.8.15. Mantener como mnimo durante doce (12) meses el registro
histrico de todas las operaciones que se realicen a travs de
los canales electrnicos, el cual deber contener como mnimo:
fecha, hora, monto, nmeros de cuenta (origen y destino en caso
de aplicarse), cdigo de la institucin del sistema financiero de
origen y de destino, nmero de transaccin, cdigo del
dispositivo: para operaciones por cajero automtico: cdigo del
ATM, para transacciones por internet: la direccin IP, para
transacciones a travs de sistemas de audio respuesta - IVR y
para operaciones de banca electrnica mediante dispositivos
mviles: el nmero de telfono con el que se hizo la conexin.
En caso de presentarse reclamos, la informacin deber
conservarse hasta que se agoten las instancias legales. Si dicha
informacin constituye respaldo contable se aplicar lo previsto
en el tercer inciso del artculo 80 de la Ley General de
Instituciones del Sistema Financiero; (incluido con resolucin No.
JB-2012-2148 de 26 de abril del 2012)

4.3.8.16. Incorporar en los procedimientos de administracin de la
seguridad de la informacin, controles para impedir que
funcionarios de la entidad que no estn debidamente
autorizados tengan acceso a consultar informacin confidencial
de los clientes en ambiente de produccin. En el caso de
informacin contenida en ambientes de desarrollo y pruebas,
sta deber ser enmascarada o codificada. Todos estos
procedimientos debern estar debidamente documentados en
los manuales respectivos.

Adems, la entidad deber mantener y monitorear un log de
auditora sobre las consultas realizadas por los funcionarios a la
informacin confidencial de los clientes, la cual debe contener
como mnimo: identificacin del funcionario, sistema utilizado,
identificacin del equipo (IP), fecha, hora, e informacin
consultada. Esta informacin deber conservarse por lo menos
por doce (12) meses; (incluido con resolucin No. JB-2012-2148 de

4.3.8.17. Las instituciones del sistema financiero debern poner a
disposicin de sus clientes un acceso directo como parte de su
centro de atencin telefnica (call center) para el reporte de
emergencias bancarias, el cual deber funcionar las veinticuatro
(24) horas al da, los siete (7) das de la semana; (incluido con

4.3.8.18. Mantener por lo menos durante seis (6) meses la grabacin de
las llamadas telefnicas realizadas por los clientes a los centros
de atencin telefnica (call center), especficamente cuando se
consulten saldos, consumos o cupos disponibles; se realicen

262

reclamos; se reporten emergencias bancarias; o, cuando se
actualice su informacin. De presentarse reclamos, esa
informacin deber conservarse hasta que se agoten las
instancias legales; (incluido con resolucin No. JB-2012-2148 de 26
de abril del 2012)

4.3.8.19. Las entidades debern implementar los controles necesarios
para que la informacin de claves ingresadas por los clientes
mediante los centros de atencin telefnica (call center), estn
sometidas a tcnicas de encriptacin acordes con los estndares
internacionales vigentes; (incluido con resolucin No. JB-2012-2148

4.3.8.20. Las instituciones del sistema financiero debern ofrecer a los
clientes el envo en lnea a travs de mensajera mvil, correo
electrnico u otro mecanismo, la confirmacin del acceso a la
banca electrnica, as como de las transacciones realizadas
mediante cualquiera de los canales electrnicos disponibles, o
por medio de tarjetas; (incluido con resolucin No. JB-2012-2148 de

4.3.8.21. Las tarjetas emitidas por las instituciones del sistema financiero
que las ofrezcan deben ser tarjetas inteligentes, es decir, deben
contar con microprocesador o chip; y, las entidades controladas
debern adoptar los estndares internacionales de seguridad y
las mejores prcticas vigentes sobre su uso y manejo; (incluido

4.3.8.22. Mantener permanentemente informados y capacitar a los
clientes sobre los riesgos derivados del uso de canales
electrnicos y de tarjetas; y, sobre las medidas de seguridad que
se deben tener en cuenta al momento de efectuar transacciones
a travs de stos; (incluido con resolucin No. JB-2012-2148 de 26 de
abril del 2012)

4.3.8.23. Informar y capacitar permanentemente a los clientes sobre los
procedimientos para el bloqueo, inactivacin, reactivacin y
cancelacin de los productos y servicios ofrecidos por la entidad;

4.3.8.24. Es funcin de auditora interna verificar oportunamente la
efectividad de las medidas de seguridad que las instituciones del
sistema financiero deben implementar en sus canales
electrnicos; as tambin debern informar sobre las medidas
correctivas establecidas en los casos de reclamos de los
usuarios financieros que involucren debilidades o violacin de
los niveles de seguridad; (incluido con resolucin No. JB-2012-2148

4.3.8.25. Implementar tcnicas de seguridad de la informacin en los
procesos de desarrollo de las aplicaciones que soportan los
canales electrnicos, con base en directrices de codificacin
segura a fin de que en estos procesos se contemple la
prevencin de vulnerabilidades; (incluido con resolucin No. JB-
2012-2148 de 26 de abril del 2012)

263

4.3.9. Cajeros automticos.- Con el objeto de garantizar la seguridad en las
transacciones realizadas a travs de los cajeros automticos, las
instituciones del sistema financiero debern cumplir con las disposiciones del
artculo 39, del captulo I Apertura y cierre de oficinas en el pas y en el
exterior, de las instituciones financieras privadas y pblicas sometidas al
control de la Superintendencia de Bancos y Seguros, del ttulo II De la
organizacin de las instituciones del sistema financiero privado, de este libro
y con lo siguiente: (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012 y reformado con resolucin No. JB-2013-2642 de 26 de septiembre del 2013,
pendiente de publicacin en el Registro Oficial)

4.3.9.1. Los dispositivos utilizados en los cajeros automticos para la
autenticacin del cliente o usuario, deben encriptar la
informacin ingresada a travs de ellos; y, la informacin de las
claves no debe ser almacenada en ningn momento; (incluido con

4.3.9.2. La institucin controlada debe implementar mecanismos internos
de autenticacin del cajero automtico que permitan asegurar
que es un dispositivo autorizado por la institucin del sistema
financiero a la que pertenece; (incluido con resolucin No. JB-2012-

4.3.9.3. Los cajeros automticos deben ser capaces de procesar la
informacin de tarjetas inteligentes o con chip; (incluido con

4.3.9.4. Los cajeros automticos deben estar instalados de acuerdo con
las especificaciones del fabricante, as como con los estndares
de seguridad definidos en las polticas de la institucin del
sistema financiero, incluyendo el cambio de las contraseas de
sistemas y otros parmetros de seguridad provistos por los
proveedores; (incluido con resolucin No. JB-2012-2148 de 26 de abril
del 2012)

4.3.9.5. Disponer de un programa o sistema de proteccin contra
intrusos (Anti-malware) que permita proteger el software
instalado en el cajero automtico y que detecte oportunamente
cualquier alteracin en su cdigo, configuracin y/o
funcionalidad. As mismo, se debern instalar mecanismos que
sean capaces de identificar conexiones no autorizadas a travs
de los puertos USB, comunicaciones remotas, cambio de los
discos duros y otros componentes que guarden o procesen
informacin. En una situacin de riesgo deben emitir alarmas a
un centro de monitoreo o dejar inactivo al cajero automtico
hasta que se realice la inspeccin por parte del personal
especializado de la institucin; (incluido con resolucin No. JB-2012-

4.3.9.6. Establecer y ejecutar procedimientos de auditora de seguridad
en sus cajeros automticos por lo menos una vez al ao, con el
fin de identificar vulnerabilidades y mitigar los riesgos que
podran afectar a la seguridad de los servicios que se brindan a
travs de estos. Los procedimientos de auditora debern ser
ejecutados por personal capacitado y con experiencia; (incluido
con resolucin No. JB-2012-2148 de 26 de abril del 2012 y y reformado

264

con resolucin No. JB-2013-2642 de 26 de septiembre del 2013,
pendiente de publicacin en el Registro Oficial)

4.3.9.7. Para la ejecucin de transacciones de clientes, se debern
implementar mecanismos de autenticacin que contemplen por
lo menos dos de tres factores: algo que se sabe, algo que se
tiene, o algo que se es; (incluido con resolucin No. JB-2012-2148
de 26 de abril del 2012 y reformado con resolucin No. JB-2013-2642
de 26 de septiembre del 2013, pendiente de publicacin en el Registro
Oficial)

4.3.9.8. Disponer de cerraduras de alta tecnologa y seguridades que
garanticen el acceso controlado al interior del cajero automtico
por parte del personal tcnico o de mantenimiento que disponga
de las respectivas llaves. Estas cerraduras deben operar con
llaves nicas y no genricas o maestras; y, (incluido con resolucin
No. JB-2013-2642 de 26 de septiembre del 2013, pendiente de
publicacin en el Registro Oficial)

4.3.9.9. Llevar a cabo campaas educativas para los usuarios acerca del
uso, ubicacin y medidas de seguridad pertinentes durante el
uso del cajero, incluyendo la colocacin de letreros alusivos a
stas en los recintos de los cajeros. (incluido con resolucin No. JB-
2013-2642 de 26 de septiembre del 2013, pendiente de publicacin en
el Registro Oficial)

4.3.10. Puntos de venta (POS y PIN Pad).- Con el objeto de garantizar la seguridad
en las transacciones realizadas a travs de los dispositivos de puntos de
venta, las instituciones del sistema financiero debern cumplir como mnimo
con lo siguiente: (incluido con resolucin No. JB-2012-2148 de 26 de abril del 2012)

4.3.10.1. Establecer procedimientos que exijan que los tcnicos que
efectan la instalacin, mantenimiento o desinstalacin de los
puntos de venta (POS y PIN Pad) en los establecimientos
comerciales confirmen su identidad a fin de asegurar que este
personal cuenta con la debida autorizacin; (incluido con

4.3.10.2. A fin de permitir que los establecimientos comerciales procesen
en presencia del cliente o usuario las transacciones efectuadas a
travs de los dispositivos de puntos de venta (POS o PIN Pad),
stos deben permitir establecer sus comunicaciones de forma
inalmbrica segura; y, (incluido con resolucin No. JB-2012-2148 de

4.3.10.3. Los dispositivos de puntos de venta (POS o PIN Pad) deben ser
capaces de procesar la informacin de tarjetas inteligentes o con
chip; (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012)

4.3.11. Banca electrnica.- Con el objeto de garantizar la seguridad en las
transacciones realizadas mediante la banca electrnica, las instituciones del
sistema financiero que ofrezcan servicios por medio de este canal
electrnico debern cumplir como mnimo con lo siguiente: (incluido con

265

4.3.11.1. Implementar los algoritmos y protocolos seguros, as como
certificados digitales, que ofrezcan las mximas seguridades en
vigor dentro de las pginas web de las entidades controladas, a
fin de garantizar una comunicacin segura, la cual debe incluir el
uso de tcnicas de encriptacin de los datos transmitidos
acordes con los estndares internacionales vigentes; (incluido con

4.3.11.2. Realizar como mnimo una vez (1) al ao una prueba de
vulnerabilidad y penetracin a los equipos, dispositivos y medios
de comunicacin utilizados en la ejecucin de transacciones por
banca electrnica; y, en caso de que se realicen cambios en la
plataforma que podran afectar a la seguridad de este canal, se
deber efectuar una prueba adicional.

Las pruebas de vulnerabilidad y penetracin debern ser
efectuadas por personal independiente a la entidad, de
comprobada competencia y aplicando estndares vigentes y
reconocidos a nivel internacional. Las instituciones debern
definir y ejecutar planes de accin sobre las vulnerabilidades
detectadas; (incluido con resolucin No. JB-2012-2148 de 26 de abril
del 2012)

4.3.11.3. Los informes de las pruebas de vulnerabilidad debern estar a
disposicin de la Superintendencia de Bancos y Seguros,
incluyendo un anlisis comparativo del informe actual respecto
del inmediatamente anterior; (incluido con resolucin No. JB-2012-

4.3.11.4. Implementar mecanismos de control, autenticacin mutua y
monitoreo, que reduzcan la posibilidad de que los clientes
accedan a pginas web falsas similares a las propias de las
instituciones del sistema financiero; (incluido con resolucin No.
JB-2012-2148 de 26 de abril del 2012)

4.3.11.5. Implementar mecanismos de seguridad incluyendo dispositivos
tales como IDS, IPS, firewalls, entre otros, que reduzcan la
posibilidad de que la informacin de las transacciones de los
clientes sea capturada por terceros no autorizados durante la
sesin; (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012)

4.3.11.6. Establecer un tiempo mximo de inactividad, despus del cual
deber ser cancelada la sesin y exigir un nuevo proceso de
autenticacin al cliente para realizar otras transacciones; (incluido

4.3.11.7. Se deber informar al cliente al inicio de cada sesin, la fecha y
hora del ltimo ingreso al canal de banca electrnica; (incluido

4.3.11.8. La institucin del sistema financiero deber implementar
mecanismos para impedir la copia de los diferentes
componentes de su sitio web, verificar constantemente que no
sean modificados sus enlaces (links), suplantados sus
certificados digitales, ni modificada indebidamente la resolucin

265.1

de su sistema de nombres de dominio (DNS); (incluido con

4.3.11.9. La institucin del sistema financiero debe implementar
mecanismos de autenticacin al inicio de sesin de los clientes,
en donde el nombre de usuario debe ser distinto al nmero de
cdula de identidad y ste as como su clave de acceso deben
combinar caracteres numricos y alfanumricos con una longitud
mnima de seis (6) caracteres; (incluido con resolucin No. JB-2012-

4.3.11.10. Para la ejecucin de transacciones de clientes, se debern
implementar mecanismos de autenticacin que contemplen por
lo menos dos de tres factores: algo que se sabe, algo que se
tiene, o algo que se es, considerando que uno de ellos debe:
ser dinmico por cada vez que se efecta una operacin, ser
una clave de una sola vez OTP (one time password), tener
controles biomtricos, entre otros; (incluido con resolucin No. JB-
2012-2148 de 26 de abril del 2012)

4.3.11.11. En todo momento en donde se solicite el ingreso de una clave
numrica, los sitios web de las entidades deben exigir el ingreso
de stas a travs de teclados virtuales, las mismas que debern
estar enmascaradas; (incluido con resolucin No. JB-2012-2148 de

4.3.12. Banca mvil.- Las instituciones del sistema financiero que presten servicios
a travs de banca mvil debern sujetarse en lo que corresponda a las
medidas de seguridad dispuestas en los subnumerales 4.3.8. y 4.3.11;

4.3.13. Sistemas de audio respuestas (IVR).- Las instituciones del sistema
financiero que presten servicios a travs de IVR debern sujetarse en lo que
corresponda a las medidas de seguridad dispuestas en los subnumerales
4.3.8. y 4.3.11; y, (incluido con resolucin No. JB-2012-2148 de 26 de abril del
2012)

4.3.14. Corresponsales no bancarios.- Las instituciones financieras controladas
que presten servicios a travs de corresponsales no bancarios debern
sujetarse en lo que corresponda a las medidas de seguridad dispuestas en
los subnumerales 4.3.8, 4.3.10 y 4.3.11. (incluido con resolucin No. JB-2012-

4.4 Eventos externos.- En la administracin del riesgo operativo, las instituciones
controladas deben considerar la posibilidad de prdidas derivadas de la ocurrencia
de eventos ajenos a su control, tales como: fallas en los servicios pblicos,
ocurrencia de desastres naturales, atentados y otros actos delictivos, los cuales
pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar
con planes de contingencia y de continuidad del negocio.

SECCIN III.- ADMINISTRACIN DEL RIESGO OPERATIVO

ARTCULO 5.- En el marco de la administracin integral de riesgos, establecido en la
seccin II Administracin de riesgos, del captulo I De la gestin integral y control de
riesgos, las instituciones controladas incluirn el proceso para administrar el riesgo

265.2

operativo como un riesgo especfico, el cual, si no es administrado adecuadamente puede
afectar el logro de los objetivos de estabilidad a largo plazo y la continuidad del negocio.

El diseo del proceso de administracin de riesgo operativo deber permitir a las
instituciones controladas identificar, medir, controlar/mitigar y monitorear sus exposiciones
a este riesgo al que se encuentran expuestas en el desarrollo de sus negocios y
operaciones. Cada institucin desarrollar sus propias tcnicas o esquemas de
administracin, considerando su objeto social, tamao, naturaleza, complejidad y dems
caractersticas propias.

El directorio u organismo que haga sus veces de las instituciones del sistema financiero
aprobar las polticas, normas, principios y procesos bsicos de seguridad y proteccin para
sus empleados, usuarios, clientes, establecimientos, bienes y patrimonio, as como para el
resguardo en el transporte de efectivo y valores. (incluido con resolucin No. JB-2011-1851 de
11 de enero del 2011)

ARTCULO 6.- Para una adecuada administracin del riesgo operativo las instituciones
controladas debern cumplir las disposiciones del artculo 4 del presente captulo y
adicionalmente, debern contar con cdigos de tica y de conducta formalmente
establecidos; con la supervisin del directorio u organismo que haga sus veces y de la alta
gerencia; con una slida cultura de control interno; con planes de contingencias y de
continuidad del negocio debidamente probados; y, con la tecnologa de informacin
adecuada.

ARTCULO 7.- Con la finalidad de que las instituciones controladas administren
adecuadamente el riesgo operativo es necesario que agrupen sus procesos por lneas de
negocio, de acuerdo con una metodologa establecida de manera formal y por escrito, para
lo cual debern observar los siguientes lineamientos:

7.1 Los procesos productivos debern asignarse a las lneas de negocio de acuerdo con
los productos y servicios que generan, de forma que a cada uno de los procesos le
corresponda una sola lnea de negocio y que ningn proceso permanezca sin asignar;
y,

7.2 Las lneas de negocio tambin debern agrupar los procesos gobernantes y los
procesos habilitantes que intervienen en las mismas. Si algn proceso gobernante o
proceso habilitante interviene en ms de una lnea de negocio, la entidad deber
utilizar un criterio de asignacin objetivo.

ARTCULO 8.- Las instituciones controladas debern identificar, por lnea de negocio, los
eventos de riesgo operativo, agrupados por tipo de evento, y, las fallas o insuficiencias en
los procesos, las personas, la tecnologa de informacin y los eventos externos.

Los tipos de eventos son los siguientes:

8.1 Fraude interno;

8.2 Fraude externo;

8.3 Prcticas laborales y seguridad del ambiente de trabajo;

8.4 Prcticas relacionadas con los clientes, los productos y el negocio;

8.5 Daos a los activos fsicos;

8.6 Interrupcin del negocio por fallas en la tecnologa de informacin; y,

265.3

8.7 Deficiencias en la ejecucin de procesos, en el procesamiento de operaciones y en
las relaciones con proveedores y terceros.

En el anexo No. 1 se incluyen algunos casos de eventos de riesgo operativo, agrupados por
tipo de evento, fallas o insuficiencias que podran presentarse en las instituciones
controladas y su relacin con los factores de riesgo operativo.

Los eventos de riesgo operativo y las fallas o insuficiencias sern identificados en relacin
con los factores de este riesgo a travs de una metodologa formal, debidamente
documentada y aprobada. Dicha metodologa podr incorporar la utilizacin de las
herramientas que ms se ajusten a las necesidades de la institucin, entre las cuales
podran estar: autoevaluacin, mapas de riesgos, indicadores, tablas de control
(scorecards), bases de datos u otras.

ARTICULO 9.- Dentro del proceso de identificacin al que se refiere el artculo anterior, las
instituciones deben adicionalmente determinar de manera puntual las fallas o insuficiencias
de orden legal, de tal manera que les proporcione una visin clara sobre su exposicin al
riesgo legal, debiendo tener como referencia para el efecto los tipos de evento de riesgo
operativo indicados en dicho artculo.

Las fallas o insuficiencias de orden legal deben ser establecidas por las instituciones de
acuerdo con su propia percepcin y perfil de riesgos, pero deben enfocar por lo menos los
siguientes campos: actos societarios; gestin de crdito; operaciones del giro financiero;
actividades complementarias no financieras; y, cumplimiento legal y normativo,
entendindolos dentro de las siguientes conceptualizaciones:

9.1 Actos societarios.- Son todos aquellos procesos jurdicos que debe realizar la
institucin en orden a ejecutar y perfeccionar las decisiones de la junta general de
accionistas o asamblea general de socios o representantes, segn sea del caso, y
del directorio o cuerpo colegiado que haga sus veces, necesarios para el
desenvolvimiento societario de la institucin del sistema financiero, atenta su
naturaleza jurdica;

9.2 Gestin de crdito.- Es el conjunto de actividades que debe ejecutar la institucin
del sistema financiero relacionadas con el otorgamiento de operaciones crediticias.
Se inicia con la recepcin de la solicitud de crdito y termina con la recuperacin del
valor prestado, sus intereses y comisiones. Incluye la gestin de recuperacin de
cartera tanto judicial como extrajudicial, la misma que debe proseguir an cuando la
operacin crediticia hubiere sido castigada;

9.3 Operaciones del giro financiero.- Es el conjunto de actividades o procesos que
realiza la institucin del sistema financiero para la ejecucin de operaciones propias
del giro financiero, distintas a la gestin de crdito;

9.4 Actividades complementarias de las operaciones del giro financiero.- Es el
conjunto de actividades o procesos que debe ejecutar la institucin del sistema
financiero que sin ser propias del giro financiero, son necesarias para el
cumplimiento y desarrollo de su objeto social; y,

9.5 Cumplimiento legal y normativo.- Es el proceso mediante el cual la institucin del
sistema financiero controla que sus actividades y sus operaciones se ajusten a las
disposiciones legales y normativas vigentes, as como la capacidad de adecuarse
rpida y efectivamente a nuevas disposiciones legales y normativas. (artculo incluido
con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

265.4

ARTCULO 10.- Una vez identificados los eventos de riesgo operativo y las fallas o
insuficiencias en relacin con los factores de este riesgo y su incidencia para la institucin,
los niveles directivos estn en capacidad de decidir si el riesgo se debe asumir, compartirlo,
evitarlo o transferirlo, reduciendo sus consecuencias y efectos.

La identificacin antes indicada permitir al directorio u organismo que haga sus veces y a
la alta gerencia de la entidad contar con una visin clara de la importancia relativa de los
diferentes tipos de exposicin al riesgo operativo y su prioridad, con el objeto de alertarlos
en la toma de decisiones y acciones, que entre otras, pueden ser: revisar estrategias y
polticas; actualizar o modificar procesos y procedimientos establecidos; implantar o
modificar lmites de riesgo; constituir, incrementar o modificar controles; implantar planes de
contingencias y de continuidad del negocio; revisar trminos de plizas de seguro
contratadas; contratar servicios provistos por terceros; u otros, segn corresponda.
(renumerado con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

ARTCULO 11.- En razn de que la administracin del riesgo operativo constituye un
proceso continuo y permanente, ser necesario que adicionalmente las instituciones
controladas conformen bases de datos centralizadas, suficientes y de calidad, que permitan
registrar, ordenar, clasificar y disponer de informacin sobre los eventos de riesgo operativo;
fallas o insuficiencias incluidas las de orden legal; y, factores de riesgo operativo
clasificados por lnea de negocio, determinando la frecuencia con que se repite cada evento
y el efecto cuantitativo de prdida producida y otra informacin que las instituciones
controladas consideren necesaria y oportuna, para que a futuro se pueda estimar las
prdidas esperadas e inesperadas atribuibles a este riesgo. (artculo renumerado y reformado
con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

ARTCULO 12.- Aspecto importante de la administracin del riesgo operativo es el control,
el cual requerir que las instituciones controladas cuenten con sistemas de control interno
adecuados, esto es, polticas, procesos, procedimientos y niveles de control formalmente
establecidos y validados peridicamente. Los controles deben formar parte integral de las
actividades regulares de la entidad para generar respuestas oportunas ante diversos
eventos de riesgo operativo y las fallas o insuficiencias que los ocasionaron. (renumerado con
resolucin No. JB-2008-1202 de 23 de octubre del 2008)

ARTCULO 13.- El esquema de administracin del riesgo operativo de las instituciones
controladas debe estar sujeto a una auditora interna efectiva e integral, por parte de
personal competente, debidamente capacitado y operativamente independiente.

La funcin de auditora interna coadyuva al mejoramiento de la efectividad de la
administracin de riesgos a travs de una evaluacin peridica, pero no es directamente
responsable de la gestin del riesgo operativo. (renumerado con resolucin No. JB-2008-1202 de
23 de octubre del 2008)

ARTCULO 14.- Las instituciones controladas deben contar permanentemente con un
esquema organizado de reportes que permitan disponer de informacin suficiente y
adecuada para gestionar el riesgo operativo en forma continua y oportuna. (renumerado con

Los reportes debern contener al menos lo siguiente:

14.1 Detalle de los eventos de riesgo operativo, agrupados por tipo de evento; las fallas o
insuficiencias que los originaron relacionados con los factores de riesgo operativo y
clasificados por lneas de negocio;

265.5

14.2 Informes de evaluacin del grado de cumplimiento de las polticas relacionadas con
los factores de riesgo operativo y los procesos y procedimientos establecidos por la
institucin; y,

14.3 Indicadores de gestin que permitan evaluar la eficiencia y eficacia de las polticas,
procesos y procedimientos aplicados.

Estos informes deben ser dirigidos a los niveles adecuados de la institucin de manera que
puedan ser analizados con una perspectiva de mejora constante del desempeo en la
administracin del riesgo operativo; as como para establecer o modificar polticas,
procesos, procedimientos, entre otros.

SECCIN IV.- CONTINUIDAD DEL NEGOCIO

ARTCULO 15.- Las instituciones controladas deben implementar planes de contingencia y
de continuidad, a fin de garantizar su capacidad para operar en forma continua y minimizar
las prdidas en caso de una interrupcin severa del negocio. (renumerado con resolucin No.
JB-2008-1202 de 23 de octubre del 2008)

Para el efecto, debern efectuar adecuados estudios de riesgos y balancear el costo de la
implementacin de un plan de continuidad con el riesgo de no tenerlo, esto depender de la
criticidad de cada proceso de la entidad; para aquellos de muy alta criticidad se deber
implementar un plan de continuidad, para otros, bastar con un plan de contingencia.

Las instituciones controladas debern establecer un proceso de administracin de la
continuidad de los negocios, que comprenda los siguientes aspectos claves:

15.1 Definicin de una estrategia de continuidad de los negocios en lnea con los objetivos
institucionales;

15.2 Identificacin de los procesos crticos del negocio, an en los provistos por terceros;

15.3 Identificacin de los riesgos por fallas en la tecnologa de informacin;

15.4 Anlisis que identifique los principales escenarios de contingencia tomando en cuenta
el impacto y la probabilidad de que sucedan;

15.5 Evaluacin de los riesgos para determinar el impacto en trminos de magnitud de
daos, el perodo de recuperacin y tiempos mximos de interrupcin que puedan
ocasionar los siniestros;

15.6 Elaboracin del plan de continuidad del negocio para someterlo a la aprobacin del
directorio u organismo que haga sus veces;

15.7 Realizacin de pruebas peridicas del plan y los procesos implantados que permitan
comprobar su aplicabilidad y realizar los ajustes necesarios; y,

15.8 Incorporacin del proceso de administracin del plan de continuidad del negocio al
proceso de administracin integral de riesgos.

ARTCULO 16.- Los planes de contingencia y de continuidad de los negocios deben
comprender las previsiones para la reanudacin y recuperacin de las operaciones.

Los planes de contingencia y de continuidad debern incluir, al menos, lo siguiente:

265.6

16.1 Las personas responsables de ejecutar cada actividad y la informacin (direcciones,
telfonos, correos electrnicos, entre otros) necesaria para contactarlos
oportunamente;

16.2 Acciones a ejecutar antes, durante y una vez ocurrido el incidente que ponga en
peligro la operatividad de la institucin;

16.3 Acciones a realizar para trasladar las actividades de la institucin a ubicaciones
transitorias alternativas y para el restablecimiento de los negocios de manera urgente;

16.4 Cronograma y procedimientos de prueba y mantenimiento del plan; y,

16.5 Procedimientos de difusin, comunicacin y concienciacin del plan y su
cumplimiento.

SECCIN V.- RESPONSABILIDADES EN LA ADMINISTRACIN DEL RIESGO
OPERATIVO

ARTCULO 17.- Las responsabilidades del directorio u organismo que haga sus veces, en
cuanto a la administracin del riesgo operativo, se regirn por lo dispuesto en la seccin III
Responsabilidad en la administracin de riesgos, del captulo I De la gestin integral y
control de riesgos. (renumerado con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

Adicionalmente, el directorio u organismo que haga sus veces tendr las siguientes
responsabilidades en relacin con la administracin del riesgo operativo:

17.1 Crear una cultura organizacional con principios y valores de comportamiento tico
que priorice la gestin eficaz del riesgo operativo;

17.2 Aprobar las disposiciones relativas a los procesos establecidos en el numeral 4.1 del
artculo 4;

17.3 Aprobar las polticas, procesos y procedimientos para la administracin del capital
humano conforme con los lineamientos establecidos en el numeral 4.2 del artculo 4;

17.4 Aprobar las polticas y procedimientos de tecnologa de informacin establecidos en
el numeral 4.3 del artculo 4; y,

17.5 Aprobar los planes de contingencia y de continuidad del negocio a los que se refiere
la seccin IV de este captulo.

ARTCULO 18.- Las funciones y responsabilidades del comit de administracin integral de
riesgos se regirn por lo dispuesto en la seccin III "Responsabilidad en la administracin
del riesgos", del captulo I "De la gestin integral y control de riesgos". (renumerado con

Adicionalmente, el comit de administracin integral de riesgos tendrn las siguientes
responsabilidades en relacin con la administracin del riesgo operativo:

18.1 Evaluar y proponer al directorio u organismo que haga sus veces las polticas y el
proceso de administracin del riesgo operativo y asegurarse que sean implementados
en toda la institucin y que todos los niveles del personal entiendan sus
responsabilidades con relacin al riesgo operativo;

265.7

18.2 Evaluar las polticas y procedimientos de procesos, personas y tecnologa de
informacin y someterlas a aprobacin del directorio u organismo que haga sus
veces;

18.3 Definir los mecanismos para monitorear y evaluar los cambios significativos y la
exposicin a riesgos;

18.4 Evaluar y someter a aprobacin del directorio u organismo que haga sus veces los
planes de contingencia y de continuidad del negocio a los que se refiere la seccin IV
del este captulo; asegurar la aplicabilidad; y, cumplimiento de los mismos; y,

18.5 Analizar y aprobar la designacin de lderes encargados de llevar a cabo las
actividades previstas en el plan de contingencia y de continuidad del negocio.

ARTICULO 19.- Las funciones y responsabilidades de la unidad de riesgos se regirn por lo
dispuesto en la seccin III "Responsabilidad en la administracin del riesgos", del captulo I
"De la gestin integral y control de riesgos. (renumerado con resolucin No. JB-2008-1202 de 23
de octubre del 2008)

Adicionalmente, la unidad de riesgos tendrn las siguientes responsabilidades en relacin
con la administracin del riesgo operativo:

19.1 Disear las polticas y el proceso de administracin del riesgo operativo;

19.2 Monitorear y evaluar los cambios significativos y la exposicin a riesgos provenientes
de los procesos, las personas, la tecnologa de informacin y los eventos externos;

19.3 Analizar las polticas y procedimientos propuestos por el rea respectiva, para los
procesos, personas, eventos externos y tecnologa de informacin, especialmente
aquellas relacionadas con la seguridad de la informacin; (sustituido con resolucin No.
JB-2008-1202 de 23 de octubre del 2008)

19.4 Liderar el desarrollo, la aplicabilidad y cumplimiento de los planes de contingencia y
de continuidad del negocio, al que se refiere la seccin IV de este captulo; as como
proponer los lderes de las reas que deban cubrir el plan de contingencias y de
continuidad del negocio; y, (reformado con resolucin No. JB-2008-1202 de 23 de octubre
del 2008)

19.5 Analizar, monitorear y evaluar los procedimientos de orden legal de la institucin; y,
en coordinacin con las reas legales, emitir informes que determinen su real
exposicin al riesgo legal, los cuales deben ser puestos en conocimiento del comit
de administracin integral de riesgos. (incluido con resolucin No. JB-2008-1202 de 23 de
octubre del 2008)

SECCIN VI.- DISPOSICIONES GENERALES

ARTCULO 20.- Para mantener un adecuado control de los servicios provistos por terceros,
incluidas las integrantes de un grupo financiero, las instituciones controladas debern
observar lo siguiente: (renumerado con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

20.1 Contar con polticas, procesos y procedimientos efectivos que aseguren una
adecuada seleccin y calificacin de los proveedores, tales como:

20.1.1 Evaluacin de la experiencia pertinente;

20.1.2 Desempeo de los proveedores en relacin con los competidores;

265.8

20.1.3 Evaluacin financiera para asegurar la viabilidad del proveedor durante todo
el perodo de suministro y cooperacin previsto;

20.1.4 Respuesta del proveedor a consultas, solicitudes de presupuesto y de
ofertas;

20.1.5 Capacidad del servicio, instalacin y apoyo e historial del desempeo en
base a los requisitos;

20.1.6 Capacidad logstica del proveedor incluyendo las instalaciones y recursos; y,

20.1.7 La reputacin comercial del proveedor en la sociedad.

20.2 Contratos debidamente suscritos y legalizados que contengan clusulas que detallen,
entre otros, los niveles mnimos de servicio acordado; las penalizaciones por
incumplimiento; y, que prevean facilidades para la revisin y seguimiento del servicio
prestado, ya sea, por la unidad de auditora interna u otra rea que la entidad
designe, as como, por parte de los auditores externos o de la Superintendencia de
Bancos y Seguros; y,

20.3 Contar con proveedores alternos que tengan la capacidad de prestar el servicio.

ARTCULO 21.- El manual que contempla el esquema de administracin integral de
riesgos, de que trata el artculo 15 del captulo I "De la gestin integral y control de riesgos,
incluir la administracin del riesgo operativo. (renumerado con resolucin No. JB-2008-1202 de
23 de octubre del 2008)

ARTCULO 22.- La Superintendencia de Bancos y Seguros podr disponer la adopcin de
medidas adicionales a las previstas en el presente captulo, con el propsito de atenuar la
exposicin al riesgo operativo que enfrenten las instituciones controladas. (renumerado con

Adicionalmente, la Superintendencia de Bancos y Seguros podr requerir a las instituciones
controladas, la informacin que considere necesaria para una adecuada supervisin del
riesgo operativo.

ARTCULO 23.- En caso de incumplimiento de las disposiciones contenidas en este
captulo, la Superintendencia de Bancos y Seguros aplicar las sanciones correspondientes
de conformidad con lo establecido en el captulo I Normas para la aplicacin de sanciones
pecuniarias, del ttulo XVI. (renumerado con resolucin No. JB-2008-1202 de 23 de octubre del
2008)

ARTICULO 24.- Los casos de duda y los no contemplados en el presente captulo, sern
resueltos por Junta Bancaria o el Superintendente de Bancos y Seguros, segn el caso.

SECCIN VII.- DISPOSICIONES TRANSITORIAS

PRIMERA.- Las disposiciones de esta norma deber cumplirse en los siguientes plazos:

1. Nueve (9) meses para los numerales: 4.3.8.4, 4.3.8.5, 4.3.8.7, 4.3.8.8, 4.3.8.9,
4.3.8.11, 4.3.8.12, 4.3.8.13, 4.3.8.14, 4.3.8.15, 4.3.8.16, 4.3.8.17, 4.3.8.18, 4.3.8.19,
4.3.8.20, 4.3.8.22, 4.3.8.23, 4.3.8.24, 4.3.9.2, 4.3.9.4, 4.3.9.5, 4.3.9.6, 4.3.10.1,
4.3.11.1, 4.3.11.2, 4.3.11.3, 4.3.11.4, 4.3.11.5, 4.3.11.6, 4.3.11.7, 4.3.11.8, 4.3.11.9 y
4.3.11.11; (reformado con resolucin No. JB-2013-2440 de 4 de abril del 2013)

265.9

2. Dieciocho (18) meses para los numerales: 4.3.8.1, 4.3.8.2, 4.3.8.3, 4.3.8.6, 4.3.8.10,
4.3.8.25, 4.3.9.1, 4.3.9.7 y 4.3.11.10; (reformado con resolucin No. JB-2013-2440 de 4 de
abril del 2013)

3. Para los numerales 4.3.12, 4.3.13 y 4.3.14 los plazos sern los estipulados para cada
subnumeral a los que se hace referencia; y.

4. Para los numerales 4.3.8.21, 4.3.9.3, 4.3.10.2, 4.3.10.3, debern sujetarse al siguiente
cronograma:

FASE DESCRIPCIN
TIEMPO
(meses)
0

DIAGNSTICO INICIAL DE LA ENTIDAD PARA IMPLEMENTAR TARJETAS
INTELIGENTES 6
1
IMPLEMENTAR ADECUACIONES PARA OPERAR CON TARJETAS
INTELIGENTES, EN: 12
CAJEROS AUTOMATICOS
ADQUIRENCIAS
TARJETAS DE DBITO
TARJETAS DE CRDITO
2 ENTREGA DE TARJETAS INTELIGENTES 18
PLAZO FINAL 36

Las instituciones controladas deben presentar a la Superintendencia de Bancos y Seguros,
en un plazo de noventa (90) das contados a partir de la fecha en la que se publiquen en el
Registro Oficial, las disposiciones incorporadas en el referido artculo 4, el cronograma de
las acciones a tomar por la entidad para cumplir con los subnumerales 4.3.8 hasta el 4.3.14
de acuerdo con el formato establecido que se har conocer a travs de circular; dicho
cronograma deber estar sustentado en un diagnstico de brechas y en un portafolio de
proyectos para su cumplimiento. Todos estos documentos debern estar debidamente
aprobados por el directorio u organismo que haga sus veces.

Con el objeto de que la Superintendencia de Bancos y Seguros mantenga un oportuno
conocimiento sobre el avance de la implementacin de las disposiciones contenidas en el
artculo 4 de este captulo, las instituciones controladas debern remitir a la
Superintendencia de Bancos y Seguros, cada 90 das, contados a partir del envo inicial del
cronograma de implementacin, el reporte de avance de la implementacin de las presentes
disposiciones normativas, cuidando de no exceder el plazo mximo establecido para su
cumplimiento. (sustituida con resolucin No. JB-2012-2148 de 26 de abril del 2012)

SEGUNDA.- La implementacin de las disposiciones previstas en este captulo no podr
exceder del 31 de marzo del 2013. (reformada con resolucin No. JB-2008-1223 de 18 de
diciembre del 2008 y sustituida con resolucin No. JB-2009-1491 de 26 de octubre del 2009,
resolucin No. JB-2011-1983 de 26 de agosto del 2011 y resolucin No. JB-2012-2358 de 25 de
octubre del 2012)

TERCERA.- El cumplimiento de las disposiciones constantes en el presente captulo por
parte de las instituciones del sistema financiero, deber realizarse dentro de los plazos
previstos en la disposicin transitoria segunda, para cuyo efecto debern ajustar sus planes
de implementacin de la norma de gestin de riesgo operativo, remitidos al organismo de
control. (incluida con resolucin No. JB-2008-1202 de 23 de octubre del 2008)

265.10

CUARTA.- Hasta el 31 de diciembre del 2012, las instituciones del sistema financiero,
previa aprobacin del directorio, presentarn a este organismo de control el plan de avance
y cumplimiento de las disposiciones de este captulo. (incluida con resolucin No. JB-2008-1223
de 18 de diciembre del 2008 y sustiuida con resolucin No. JB-2012-2358 de 25 de octubre del 2012)

265.11

L1 X Cap V

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

L1 X Cap V

Uploaded by

Copyright:

Available Formats

REPBLICA DEL ECUADOR

SUPERINTENDENCIA DE BANCOS Y SEGUROS

You might also like