BANCO CENTRAL DEL ECUADOR
GESTIÓN DE RIESGOS
El riesgo es la posibilidad de que un evento ocurra y genere pérdidas financieras al Banco Central del Ecuador (BCE).
La gestión de riesgos es el proceso que evalúa, analiza, monitorea y comunica los riesgos a los que se encuentra expuesto el BCE, con el objetivo de definir el perfil de riesgo y el grado de exposición que está dispuesto a asumir en el desarrollo de sus operaciones.
Este proceso se materializa mediante el cumplimiento de la Política de Administración Integral de Riesgos y las Normas de Control Interno, diseñadas para garantizar una gestión estructurada y eficaz de los riesgos a los que enfrenta el BCE.
En este sentido, el BCE ha consolidado esfuerzos interinstitucionales para aplicar mejores prácticas y fortalecer el monitoreo de los principales componentes -monetarios y no monetarios- que respaldan la instrumentación de la política monetaria y refuerzan la sostenibilidad de la dolarización.
Entre estos componentes se destacan:
a) Los activos financieros del BCE;
b) El sistema de control interno;
c) La seguridad de la información; y,
d) Los mecanismos de control y prevención de lavado de activos y antisoborno.
TIPOS DE RIESGOS
Riesgo financiero: Pérdidas potenciales que puede sufrir el BCE por la exposición que registre a distintos tipos de riesgo, que incluyen los riesgos de mercado, riesgo de liquidez y riesgos de contraparte.
Riesgo operativo: Pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, sistemas internos, tecnología de la información y por eventos externos.
Riesgo de seguridad de la información: Posibilidad de que se produzcan eventos o condiciones que puedan comprometer la confidencialidad, integridad y disponibilidad de la información del BCE, independientemente del formato en el que se encuentre (digital, físico, verbal, etc.). Estos riesgos pueden surgir de amenazas internas o externas, acciones intencionales o no intencionales, y fallas en los procesos o controles de seguridad.
Riesgo de lavado de activos y financiación de otros delitos: Posibilidad de pérdida o daño que puede sufrir el BCE por su exposición a ser utilizado directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de otros delitos, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. Incluye el riesgo de soborno y corrupción.
GESTIÓN DEL BCE ANTE LOS RIESGOS
Riesgo financiero
Los activos financieros del BCE se encuentran sometidos a un monitoreo integral, alineado con los principios establecidos para el manejo de la información, el cumplimiento efectivo de las políticas y directrices emitidas, así como la constitución de provisiones que aseguren la adecuada razonabilidad de los estados financieros. En este marco, se realiza un seguimiento riguroso de las distintas exposiciones a riesgos, tales como riesgo de contraparte, de interés, de precio, de tipo de cambio y de liquidez, derivados de las operaciones previamente pactadas. Entre los aspectos supervisados se incluyen la composición del portafolio, los límites y plazos de colocación, la exposición en monedas distintas al dólar, la duración y la estimación de la pérdida esperada condicional, entre otros.
Se contemplan tres categorías principales:
- Riesgo de mercado: Pérdidas por variaciones adversas en tasas de interés, tipo de cambio y precios.
- Riesgo de liquidez: Dificultades para cumplir obligaciones por escasez de fondos o liquidación desfavorable de activos.
- Riesgo de crédito: Incumplimiento de contraparte y deterioro de calidad crediticia.
Continuidad del negocio
El Banco Central del Ecuador implementa el Plan de Continuidad como componente esencial de la administración de riesgos, con la finalidad de garantizar la capacidad para ejecutar sus procesos, productos o servicios críticos, en caso de registrarse una interrupción, independientemente de su origen o naturaleza. Durante 2024 se coordinó la ejecución de la Prueba Global de Contingencia el 21 de septiembre. El escenario planteado fue la “No disponibilidad del Centro de Datos en el sitio principal y la recuperación de los servicios tecnológicos para procesos críticos en el Centro de Datos alterno”. Como resultado de las pruebas, se emiten recomendaciones dirigidas a las áreas que presentan novedades durante su ejecución.
Seguridad de la información y resiliencia cibernética
La gobernanza en seguridad de la información constituye una base esencial para el fortalecimiento institucional, especialmente en entidades públicas y de la banca central, que gestionan información crítica y de alto valor estratégico. En este contexto, el Esquema Gubernamental de Seguridad de la Información (EGSI 3.0), expedido mediante el Acuerdo No. MINTEL-MINTEL-2024-0003 de marzo de 2024, establece un marco técnico estructurado y sistemático para proteger los activos de información del sector público ecuatoriano. Este esquema establece directrices claras para la gestión de la seguridad de la información, mediante un sistema que permite identificar, evaluar y mitigar los riesgos, definir políticas y procedimientos, y fomentar una cultura organizacional orientada a la seguridad.
El EGSI 3.0 está alineado con estándares internacionales ampliamente reconocidos, los cuales han sido adoptados por la institución para fortalecer la gestión de la seguridad de la información, tales como:
- ISO/IEC 27001:2022 Gestión de la Seguridad de la Información, Ciberseguridad y Protección de la Privacidad
- ISO/IEC 27002:2022 Controles de Seguridad de la Información
- ISO/IEC 27005:2022 Gestión de Riesgos de Seguridad de la Información.
Además, en el contexto de pagos internacionales, se aplica el Marco de Controles de Seguridad del Cliente de SWIFT (CSCF), el cual establece requisitos específicos para proteger los entornos conectados a la red SWIFT, incluyendo autenticación, monitoreo, gestión de accesos y protección contra amenazas cibernéticas.
Primera línea de defensa: Gestión operativa. Integrada por las áreas operativas del BCE, como Inversiones, Medios de Pago, Estadísticas, Tecnología, entre otras.
Responsabilidad: Identificar, evaluar y gestionar los riesgos en sus procesos diarios. Deben aplicar controles internos y seguir las políticas establecidas.
Segunda línea de defensa: Funciones de monitoreo y control. Aquí están las unidades de middle office, la gestión de riesgos financieros, operativos, de seguridad de la información y lavado de activos, y financiamiento de delitos.
Responsabilidad: Supervisar, asesorar y apoyar a la primera línea. Desarrollan metodologías, políticas y herramientas para la gestión de riesgos.
Tercera línea de defensa: Auditoría interna. integrada por la Unidad de Auditoría Interna del BCE.
Responsabilidad: Evaluar de forma independiente la eficacia de las dos primeras líneas. Reportan directamente a la Alta Dirección y a la Junta de Política y Regulación Financiera y Monetaria.
- Establecimiento del contexto: Define el entorno interno y externo de la institución, así como los criterios de riesgos que guiarán el proceso.
- Evaluación de riesgo
a. Identificación: Se reconocen y describen los eventos o situaciones que podrían afectar el logro de objetivos. Su propósito es generar un detalle de riesgos, para lo cual se debe considerar: procesos, actividades, sistemas, tecnología, entorno legal o regulatorio, experiencias pasadas, auditorías, incidentes y criterios de expertos.
b. Análisis: Se examina la causa, probabilidad y consecuencias de los riesgos identificados, así como la eficacia de los controles existentes.
c. Valoración: Se comparan los resultados del análisis con los criterios definidos en el contexto para determinar cuáles riesgos requieren tratamiento. A partir de esto se decidirá si se acepta el riesgo y se prioriza para darle tratamiento o se mantiene bajo observación y análisis.
d. Tratamiento del riesgo: Selecciona e implementa medidas para modificar el riesgo, reduciendo su probabilidad e impacto o ambos. Entre las principales opciones se puede evitar el riesgo, reducirlo, compartirlo o transferirlo y aceptarlo, siempre y cuando esté dentro del nivel de tolerancia definido.
- Revisión y seguimiento: Asegurar que los controles y tratamientos sean eficaces, detecten cambios en el contexto interno o externo y mantengan actualizada la información del riesgo, todo esto mediante revisiones periódicas y reportes de desempeño.
- Comunicación y consulta: Es un proceso transversal y se ejecuta en todas las etapas. Permite asegurar que las partes interesadas comprendan los riesgos, participen en las decisiones y se genere una cultura de gestión de riesgos.
El Banco Central del Ecuador mantiene un firme compromiso con la PLA/FOD. Para tal efecto, cuenta con una Política para la Administración del Riesgo de Lavado de Activos y Financiamiento de Delitos, cuyo objetivo es prevenir el uso indebido de sus productos y servicios en actividades ilícitas, en cumplimiento de la normativa vigente y en alineación con las mejores prácticas internacionales.
Como parte de este compromiso, el Banco ha implementado un Sistema de Administración del Riesgo de Lavado de Activos y Financiamiento de Delitos (SARLAFT), el cual contempla procedimientos, controles y mecanismos de capacitación orientados a la identificación, evaluación, monitoreo y mitigación de dichos riesgos.
- Aplicación de controles y procedimientos contenidos en el Manual para la Administración del Riesgo de Lavado de Activos y Financiamiento de Delitos, de cumplimiento obligatorio para todos los funcionarios del BCE.
- Capacitación obligatoria a todos los funcionarios, mediante inducción básica y programas específicos.
- Procesos de Debida Diligencia a todas las contrapartes del BCE.
- Identificación de señales de alerta en los productos y servicios con riesgo de lavado de activos y financiamiento de delitos.
- Reporte de Operaciones Sospechosas a la Unidad de Análisis Financiero y Económico (UAFE).
- Responsabilidad de la alta gerencia en ejercer control sobre las operaciones y negocios de sus áreas, en estricto cumplimiento con la normativa legal y las mejores prácticas internacionales de gestión de riesgos.
Las operaciones del Banco se ejecutan en estricto apego a las disposiciones legales, normativas y de control orientadas a la prevención del lavado de activos, financiamiento de delitos y en el marco de las mejoras prácticas internacionales (GAFI).
Resultados:
En el marco del fortalecimiento de la cultura de cumplimiento normativo en materia de prevención del riesgo de lavado de activos y financiamiento de delitos, en 2024 el BCE capacitó a 738 funcionarios de Quito, Guayaquil y Cuenca, promoviendo la sensibilización y el conocimiento sobre la aplicación de los procedimientos internos de control.
Asimismo, se cuenta con la Guía Interna para el Análisis Integral de Comportamientos Inusuales de las Contrapartes y la Guía Interna de Comportamientos Inusuales y Señales de Alerta de las Contrapartes, documentos que establecen los procedimientos internos para la detección y análisis de operaciones o tentativas de operaciones que, tras una evaluación integral, puedan ser consideradas sospechosas.
Durante el año 2024, se efectuó el análisis de diez (10) casos identificados con un mayor nivel de riesgo asociado a tipologías de lavado de activos y financiamiento de delitos, aplicando los procedimientos de debida diligencia correspondientes.
Los informes elaborados, de carácter confidencial y reservado, fueron presentados al Comité de Administración Integral de Riesgos para su conocimiento y, con la autorización de dicho Comité, fueron reportados a la UAFE, conforme a la normativa vigente.