RESOLUCIÓN que modifica las disposiciones de carácter general aplicables a las instituciones de crédito

Jueves 19 de Noviembre de 2020

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.- Comisión Nacional Bancaria y de Valores.

La Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno y con fundamento en lo dispuesto por el artículo 50 de la Ley de Instituciones de Crédito; así como 4, fracciones XXXVI y XXXVIII y 16, fracciones I y VI de la Ley de la Comisión Nacional Bancaria y de Valores, contando con la previa opinión del Banco de México, y

CONSIDERANDO

Que en atención al artículo 78 de la Ley General de Mejora Regulatoria y con la finalidad de reducir el costo de cumplimiento de las presentes disposiciones, la Comisión Nacional Bancaria y de Valores mediante la presente resolución, deroga, entre otras, las obligaciones contenidas en los artículos 2 Bis 112, 2 Bis 113, 2 Bis 114 y 2 Bis 114 a., de las Disposiciones de carácter general aplicables a las instituciones de crédito;

Que es necesario que las instituciones de crédito tengan un método más preciso y sensible al riesgo al que están expuestas en su operación para efectos de la determinación de sus requerimientos mínimos de capital neto por riesgo operacional, eliminando los demás métodos actualmente vigentes, y al mismo tiempo mantener el marco de capital del sistema financiero mexicano alineado a los estándares prudenciales internacionales emitidos por el Comité de Basilea de Supervisión Bancaria, y

Que es pertinente actualizar los tipos y subtipos de eventos en los que se encuentran clasificados cada uno de los indicadores contenidos en el Anexo 72 denominado “Indicadores de seguridad de la información” de las Disposiciones de carácter general aplicables a las instituciones de crédito, ha resuelto expedir la siguiente:

RESOLUCIÓN QUE MODIFICA LAS DISPOSICIONES DE CARÁCTER GENERAL  APLICABLES A LAS INSTITUCIONES DE CRÉDITO

ÚNICO.- Se REFORMAN los artículos 2 Bis, segundo párrafo; 2 Bis 111; 2 Bis 115; 88, primer párrafo, fracciones I, incisos b) y c), VII y VIII, primer párrafo e inciso a); 207 y 208, fracción II, incisos c), d), e), f) y g); se ADICIONAN los artículos 1, fracción CIX Bis; 2 Bis 114 b; 208, fracción II, inciso h); el Anexo 1-D Bis denominado “Requisitos mínimos para el uso del método del indicador de negocio en el cálculo del requerimiento de capital por Riesgo Operacional”; el Anexo 1-O Bis 1 denominado “Revelación de información relativa al cálculo del requerimiento de capital por Riesgo Operacional” y el Anexo 36 en la Serie “R28 Información de Riesgo Operacional”, en particular, el reporte A-2815 denominado “Asignación método del indicador de negocio para Riesgo Operacional”; se DEROGAN los artículos 1, fracciones CVIII, CIX, CXI y CXII; 2 Bis 112; 2 Bis 113; 2 Bis 114; 2 Bis 114 a; 88, fracción VIII, inciso c); el Anexo 1-D “Requisitos  y criterios mínimos para el uso del Método Estándar de Riesgo Operacional y Método Estándar Alternativo”; el Anexo 1-E “Requisitos mínimos para el uso de los Métodos Avanzados para calcular el requerimiento de capital por su exposición al Riesgo Operacional” y el Anexo 36 “Reportes Regulatorios” en la Serie “R28 Información de Riesgo Operacional”, en particular, el reporte A-2814 denominado “Asignación método estándar riesgo operacional y estándar alternativo”; y se SUSTITUYEN el Anexo 12-A “Requisitos para la elaboración y actualización de la base de datos histórica que contenga el registro sistemático de los diferentes tipos de pérdida asociada al riesgo operacional de las Instituciones”; el Anexo 72 “Indicadores de seguridad de la información” y el índice del Anexo 36 “Reportes Regulatorios” de las “Disposiciones de carácter general aplicables a las instituciones de crédito”, publicadas en el Diario Oficial de la Federación el 2 de diciembre de 2005 y reformadas por última vez mediante resolución publicada en el citado Diario el 21 de agosto de 2020, para quedar como sigue:

“ANEXO 1 al ANEXO 1-C . . .

ANEXO 1-D   Se deroga.

ANEXO 1-D Bis    Requisitos mínimos para el uso del método del Indicador de Negocio en el cálculo del requerimiento de capital por Riesgo Operacional.

ANEXO 1-E   Se deroga.

ANEXO1-F al ANEXO 1-O Bis . . .

ANEXO 1-O Bis 1     Revelación de información relativa al cálculo del requerimiento de capital por Riesgo Operacional.

ANEXO 1-P al ANEXO 12 . . .

ANEXO 12-A      Requisitos mínimos para la elaboración y actualización de la base de datos histórica que contenga el registro sistemático de los diferentes tipos de pérdida asociada al Riesgo Operacional de las instituciones.

ANEXO 12-B al ANEXO 71 . . .

ANEXO 72          Indicadores de seguridad de la información.

ANEXO 73 . . .”

“Artículo 1.- . . .

I. a CVII. . . .

CVIII.            Se deroga.

CIX.              Se deroga.

CIX Bis.       Método del Indicador de Negocio: al método para el Cálculo de los Requerimientos de Capital por Riesgo Operacional que se refiere el Artículo 2 Bis 114 b de estas disposiciones.

CX. . . .

CXI.              Se deroga.

CXII.             Se deroga.

CXIII. a CXCVII. . . .”

“Artículo 2 Bis.- . . .

Para tales efectos, tratándose del riesgo de crédito podrá aplicarse alguno de los dos enfoques, un Método Estándar, al cual se refiere la Sección Segunda del Capítulo III del presente Título Primero Bis, y otro basado en calificaciones internas, este último de tipo básico o avanzado, cuyo uso estará sujeto a lo dispuesto en la Sección Tercera del citado Capítulo III. En lo que se refiere a los riesgos de mercado y operacional, las Instituciones utilizarán los métodos estándar que se establecen en los Capítulos IV y V del presente título, respectivamente.”

“Artículo 2 Bis 111.- Las Instituciones para calcular el requerimiento de capital por su exposición al Riesgo Operacional, deberán utilizar el Método del Indicador de Negocio.

Artículo 2 Bis 112.- Se deroga.

Artículo 2 Bis 113.- Se deroga.

Artículo 2 Bis 114.- Se deroga.

Artículo 2 Bis 114 a.- Se deroga.

Artículo 2 Bis 114 b.- Para obtener el requerimiento de capital por Riesgo Operacional bajo el Método del Indicador de Negocio las Instituciones deberán previamente determinar lo siguiente:

I.        El indicador de negocio (IN) estará definido por la siguiente suma:

          En donde:

	Es el componente de intereses, arrendamiento y dividendos, el cual se calculará de conformidad con la fórmula que se señala en el inciso a) de la presente fracción.
	Es el componente de servicios, que se calculará de conformidad con la fórmula que se señala en el inciso b) de la presente fracción.
	Es el componente financiero, el cual se determinará de conformidad con la fórmula que se señala en el inciso c) de la presente fracción.

 

a)    Para el cálculo del componente de intereses, arrendamiento y dividendos (CIAD), las Instituciones deberán considerar la información correspondiente a los 36 meses anteriores a la fecha del cálculo del requerimiento de capital que se esté realizando conforme a la fórmula que se expresa a continuación. Para tal efecto, el mes t-1 representa el mes inmediato anterior para el cual se está calculando el requerimiento de capital; t-2 se trata de la información correspondiente a la de dos meses antes del mes de la fecha del citado cálculo, y así sucesivamente hasta t-36 que será la información de 36 meses antes del mes de la fecha del referido cálculo.

          En donde:

	Son los Ingresos Netos Anuales correspondientes al periodo j donde j= 1, 2 y 3.
	Son los Ingresos por Dividendos Anuales correspondientes al periodo j donde j= 1, 2 y 3.

 

          Las variables  e  serán las sumas de los flujos mensuales de los conceptos del estado de resultado integral que se indican en la Tabla 1 siguiente, o bien, de sus equivalentes calculadas conforme a las siguientes fórmulas:

Tabla 1. Conceptos a incluir en Ingresos por intereses, Gastos por intereses e Ingresos por Dividendos

(pesos corrientes)

Conceptos

La variable Ingresos por Intereses estará integrado por: a.1 Intereses de cartera de crédito con riesgo de crédito etapa 1. a.2 Intereses de cartera de crédito con riesgo de crédito etapa 2. b. Intereses de cartera de crédito con riesgo de crédito etapa 3. c. Intereses y rendimientos a favor provenientes de inversiones en instrumentos financieros. d. Intereses y rendimientos a favor en operaciones de reporto e. Intereses de efectivo y equivalentes de efectivo. f. Comisiones por el otorgamiento del crédito g. Premios a favor en operaciones de préstamo de valores h. Primas por colocación de deuda. i. Intereses y rendimientos a favor provenientes de cuentas de margen j. Ingresos provenientes de operaciones de cobertura k. Utilidad por valorización l. Incremento por actualización de ingresos por intereses m. Ingresos por arrendamiento n. Recuperación de cartera de crédito

La variable Gastos por Intereses se conformará por los siguientes conceptos: a. Intereses por depósitos de exigibilidad inmediata b. Intereses por depósitos a plazo c. Intereses, costos de transacción y descuentos a cargo por emisión de instrumentos financieros que califican como pasivo d. Intereses por préstamos interbancarios y de otros organismos e. Intereses y rendimientos a cargo en operaciones de reporto f. Premios a cargo en operaciones de préstamo de valores g. Costos y gastos asociados con el otorgamiento del crédito h Gastos provenientes de operaciones de cobertura i. Pérdida por valorización j. Intereses a cargo asociados con la cuenta global de captación sin movimientos k. Incremento por actualización de gastos por intereses

La variable Ingresos por Dividendos estará conformada por: a. Dividendos de inversiones permanentes b. Dividendos de instrumentos que califican como instrumentos financieros de capital

 

          Respecto de la variable Activos Productivos, esta deberá obtenerse como el promedio de los 36 meses de los saldos al cierre de cada mes reflejados en su estado de situación financiera de los conceptos que se precisan en la Tabla 2 de este inciso, o sus equivalentes.

Tabla 2. Conceptos a incluir en Activos productivos del CIAD

(pesos corrientes)

Conceptos

La variable Activos Productivos será la integración de: a. Efectivo y equivalentes de efectivo b.1 Cartera de crédito con riesgo de crédito etapa 1 b.2 Cartera de crédito con riesgo de crédito etapa 2 c. Inversiones en instrumentos financieros d. Préstamo de valores e. Instrumentos financieros derivados

 

b)    El componente de servicios (CS) deberá de ser calculado considerando:

        En donde:

	Son Otros Ingresos de la Operación Anuales correspondientes al periodo j donde j= 1, 2 y 3.
	Son Otros Gastos de la Operación Anuales correspondientes al periodo j donde j= 1, 2 y 3.
	Son las Comisiones y Tarifas Cobradas Anuales correspondientes al periodo j donde j= 1, 2 y 3.
	Son las Comisiones y Tarifas Pagadas Anuales correspondientes al periodo j donde j= 1, 2 y 3.

 

        Para las variables,  referidas, se deberán considerar las sumas de los flujos mensuales de los conceptos del estado de resultado integral, o sus equivalentes, que se indican en la Tabla 3 de este inciso, correspondientes a los 36 meses anteriores al mes para el cual se está calculando el requerimiento de capital, de conformidad a las siguientes fórmulas:

       

 

Tabla 3. Conceptos a incluir en Otros Ingresos de la Operación, Otros Gastos de la Operación, Comisiones y Tarifas Cobradas, y Comisiones y Tarifas Pagadas del componente de servicios (CS)

(pesos corrientes)

Conceptos

La variable Otros Ingresos de la Operación se integrará por: a. Recuperaciones b. Ingresos por adquisición de cartera de crédito c. Utilidad por venta de cartera de crédito d. Ingreso por opción de compra en operaciones de arrendamiento financiero e. Ingreso por participación del precio de venta de bienes en operaciones de arrendamiento financiero f. Resultado en venta de bienes adjudicados (siempre que sea positivo) g. Resultado por valuación de bienes adjudicados (siempre que sea positivo) h. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea positivo) i. Intereses a favor provenientes de préstamos a funcionarios y empleados j. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) k. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea positivo) l. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea positivo) m. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) n. Otras partidas de los ingresos (egresos) de la operación (siempre que sea positivo) ñ. Resultado por valorización de partidas no relacionadas con el margen financiero (siempre que sea positivo) o. Resultado por posición monetaria originado por partidas no relacionadas con el margen financiero p. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea positivo)

 

La variable Otros Gastos de la Operación se conformará por: a. Gastos por adquisición de cartera de crédito b. Pérdida por venta de cartera de crédito c. Quebrantos d. Donativos e. Pérdida por adjudicación de bienes f. Resultado en venta de bienes adjudicados (siempre que sea negativo) g. Resultado por valuación de bienes adjudicados (siempre que sea negativo) h. Pérdida en custodia y administración de bienes i. Pérdida en operaciones de fideicomiso j. Intereses a cargo en financiamiento para adquisición de activos k. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea negativo) l. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) m. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea negativo) n. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea negativo) ñ. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) o. Otras partidas de los ingresos (egresos) de la operación (siempre que sea negativo) p. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea negativo) q. Resultado por valorización de partidas no relacionadas con el margen financiero (siempre que sea negativo)

 

La variable Comisiones y Tarifas Cobradas se integrará por: a. Avales b. Cartas de crédito sin refinanciamiento c. Aceptaciones por cuenta de terceros d. Compraventa de instrumentos financieros e. Apertura de cuenta f. Manejo de cuenta g. Actividades fiduciarias h. Transferencia de fondos i. Giros bancarios j. Cheques de caja k. Cheques certificados l. Cheques de viajero m. Custodia o administración de bienes n. Alquiler de cajas de seguridad ñ. Servicios de Banca Electrónica o. Otras comisiones y tarifas cobradas p. Operaciones de crédito

La variable Comisiones y Tarifas Pagadas estará integrada por: a. Bancos corresponsales b. Comisionistas c. Transferencia de fondos d. Préstamos recibidos e. Colocación de deuda f. Otras comisiones y tarifas pagadas

 

c)     Por su parte, el componente Financiero (CF) se calculará de conformidad con la siguiente fórmula:

        En donde:

Es el Resultado por Compraventa Anual correspondiente al periodo j donde j= 1, 2 y 3 que se calculará como el flujo mensual de los conceptos del estado de resultado integral, o de sus equivalentes que se indican en la siguiente Tabla 4, de acuerdo a las siguientes fórmulas:

 

       

Tabla 4. Conceptos a incluir en Resultado por Compraventa del componente financiero (CF)

(pesos corrientes)

Conceptos

La variable Resultado por Compraventa se integrará por: a. Resultado por compraventa de instrumentos financieros e instrumentos financieros derivados b. Resultado por compraventa de divisas c. Resultado por compraventa de metales preciosos amonedados d. Resultado por venta de colaterales recibidos e. Costos de transacción

 

          El IN deberá ser calculado antes de cualquier deducción de reservas, salvo aquellas específicas para eventos de Riesgo Operacional y no deberá incluir los conceptos siguientes:

1.     Ingresos y gastos asociados con la comercialización o distribución de seguros.

2.     Primas pagadas y reembolsos recibidos de pólizas de seguro o reaseguro adquiridas.

3.     Gastos de administración y promoción.

4.     Recuperación de gastos de administración y promoción

5.     Gastos de instalaciones y activos fijos, excepto cuando estos gastos sean resultado de eventos de pérdida por Riesgo Operacional.

6.     Depreciación o amortización de activos tangibles e intangibles, excepto aquella depreciación relacionada a activos de arrendamiento financiero, la cual deberá considerarse como gasto por arrendamiento financiero.

7.     Provisiones o reversión de provisiones, salvo provisiones relacionadas con eventos de pérdidas por Riesgo Operacional.

8.     Gastos por reembolso de capital social.

9.     Deterioro del valor o reversión del deterioro del valor (por ejemplo, de activos financieros, activos no financieros, inversiones en subsidiarias, negocios conjuntos o asociadas).

10.  Cambios en la cuenta de crédito mercantil reconocida en el estado de resultado integral o su equivalente.

11.  Impuesto sobre la renta.

II.       El componente del indicador de negocio (CIN) deberá calcularse de manera incremental como se describe en la siguiente Tabla 5, considerando que IN es el resultado obtenido conforme a la fracción I de este artículo.

Tabla 5. Cálculo del componente del indicador de negocio (CIN) en función del ingreso correspondiente a cada tramo del IN

 

Nivel	Nivel de IN	Coeficiente marginal (a)	Determinación del CIN
I	Si IN < 3,500 millones de Udis	12 %
II	Si 3,500 millones de Udis < IN < 104,000 millones de Udis	15 %
III	Si IN > 104,000 millones de Udis	18 %

 

III.     Una vez obtenido el CIN a que se refiere la fracción anterior, este se utilizará para calcular el multiplicador de pérdidas internas (MPI) mediante la siguiente fórmula:

          En donde:

El componente del indicador de negocio que se obtenga conforme a la fracción II del presente artículo.

15 veces el promedio de pérdidas anuales por Riesgo Operacional incurridas durante los diez años previos al cálculo de los requerimientos de capital correspondiente. Las Instituciones para la determinación de tales pérdidas deberán cumplir lo establecido en los Anexos 1-D Bis y 12-A de las presentes disposiciones. Para efectos de calcular el promedio de las pérdidas anuales, se deberán considerar como cero tanto las pérdidas nulas o aquellas pérdidas que hayan resultado negativas después de haber considerado recuperaciones.

 

          Las Instituciones deberán solicitar autorización a la Comisión para utilizar un MPI menor a 1, siempre y cuando se cumplan las siguientes condiciones:

a)    Se haya determinado un MPI menor a 1 durante los 6 meses anteriores a la fecha en que se presenta la solicitud de autorización correspondiente si este indicador se calcula con la siguiente fórmula:

        En donde las variables CIN y PI se definen conforme lo señalado anteriormente.

b)    Acrediten el cumplimiento de los requisitos señalados en los Anexos 1-D Bis y 12-A de estas disposiciones, para lo cual deberán presentar un escrito firmado por el director general, incluyendo el resultado de la última revisión efectuada por un tercero independiente que cumpla con las características establecidas en dichos anexos, así como las evidencias que sustenten dicho resultado. Dicha revisión no podrá haberse realizado con información posterior al plazo referido en el inciso anterior.

          No obstante lo anterior, la Comisión podrá ordenar a las Instituciones utilizar un MPI para el cálculo del requerimiento de capital que considere las pérdidas por eventos operacionales incurridas en los últimos cinco años o en un periodo menor, si el MPI calculado con las pérdidas registradas en tales periodos es mayor a 1 y considera que estas son representativas de la exposición al Riesgo Operacional de la Institución de que se trate. Asimismo, podrá ordenar se utilice un MPI mayor a 1 cuando determine el incumplimiento de los requisitos señalados en los Anexos 1-D Bis y 12-A de las presentes disposiciones, que para ser corregido o subsanado, implique realizar ajustes a la base de datos histórica de eventos de pérdida por Riesgo Operacional, en cuyo caso el MPI para el cómputo de los requerimientos de capital será aquel que resulte de considerar dichos ajustes.

          La Comisión podrá requerir capital adicional en caso de que haya determinado el incumplimiento de los requisitos señalados en los Anexos 1-D Bis y 12-A referidos en el párrafo anterior, o bien, en la aplicación de lo contenido en el Capítulo IV del Título Segundo estas disposiciones relativas  a la administración del riesgo operacional.

El requerimiento de capital por Riesgo Operacional se determinará multiplicando el CIN y el MPI, previamente calculados de conformidad con las fracciones I, II y III anteriores.

En el caso de que las Instituciones no cuenten con una base de datos de pérdidas por Riesgo Operacional que haya sido constituida conforme a lo establecido en los Anexos 1-D Bis y 12-A, por lo menos en los últimos cinco años, o bien, tenga menos de cinco años del inicio de operaciones, su requerimiento de capital por Riesgo Operacional será igual al CIN.

Artículo 2 Bis 115.- Por lo que se refiere a las variables necesarias para determinar el indicador de negocio (IN) que se establece en la fracción I del artículo 2 Bis 114 b anterior, las Instituciones que no cuenten con información mínima de los últimos 36 meses, determinarán el requerimiento de capital por Riesgo Operacional con la información disponible a la fecha del cómputo, ajustando las correspondientes fórmulas a los periodos de información disponibles.”

“Artículo 88.- Las Instituciones deberán revelar al público al menos la información que se lista en las fracciones de este artículo, a través de su página de Internet. La información clasificada como cuantitativa deberá revelarse de manera trimestral, dentro del mes inmediato siguiente al de su fecha, a menos que se especifique otra manera de hacerlo; la información cualitativa deberá actualizarse al menos de manera anual, dentro de los primeros 90 días naturales siguientes al cierre de cada ejercicio:

I.        . . .

a)    . . .

b)    La estructura y organización de la función para la administración integral de riesgos y su función de control;

c)     El alcance, la naturaleza de los sistemas de información y medición y su reporteo para cada categoría de riesgo por separado;

d) y e) . . .

II. a VI. . . .

VII.    En relación con el riesgo operacional las Instituciones deberán revelar de manera anual cuando menos la información conforme a lo establecido en el Anexo 1-O Bis 1 de las presentes disposiciones.

VIII.   Información de los riesgos de mercado y liquidez a que esté expuesta la Institución a la fecha de emisión de los estados financieros, debiendo revelar, cuando menos, la información cuantitativa siguiente:

a)    Valor en riesgo de mercado.

b)    . . .

c)     Se deroga.

IX.     . . .

. . . ”

“Artículo 207.- Las Instituciones deberán proporcionar a la Comisión, con la periodicidad establecida en los artículos siguientes, la información que se adjunta a las presentes disposiciones como Anexo 36, la cual se identifica con las series y reportes que a continuación se relacionan:

Serie R01 Catálogo mínimo

A-0111           Catálogo mínimo

Serie R03 Inversiones en valores

E-0304          Asignaciones

E-0305          Órdenes

Serie R04 Cartera de crédito

Situación financiera

A-0411          Cartera por tipo de crédito, saldo promedio, intereses y comisiones

A-0417          Calificación de la cartera de crédito y estimación preventiva para riesgos crediticios

A-0419          Movimientos en la estimación preventiva para riesgos crediticios

A-0420          Movimientos en cartera con riesgo de crédito etapa 3

A-0424          Movimientos en cartera con riesgo de crédito etapas 1 y 2

Cartera comercial

Información detallada (Metodología de calificación de cartera Anexos 18 a 22)

C-0430          Alta de créditos comerciales a cargo de entidades federativas y municipios, entidades financieras, personas morales y físicas con actividad empresarial, gobierno federal, organismos descentralizados federales, estatales y municipales, empresas productivas del estado y créditos otorgados a proyectos de inversión o activos con fuente de pago propia

C-0431          Seguimiento de créditos comerciales a cargo de entidades federativas y municipios, entidades financieras, personas morales y físicas con actividad empresarial, gobierno federal, organismos descentralizados federales, estatales y municipales, empresas productivas del estado y créditos otorgados a proyectos de inversión o activos con fuente de pago propia

C-0432          Baja de créditos comerciales a cargo de entidades federativas y municipios, entidades financieras, personas morales y físicas con actividad empresarial, gobierno federal, organismos descentralizados federales, estatales y municipales, empresas productivas del estado y créditos otorgados a proyectos de inversión o activos con fuente de pago propia

C-0433          Reservas de créditos comerciales a cargo de entidades federativas y municipios, entidades financieras, personas morales y físicas con actividad empresarial, gobierno federal, organismos descentralizados federales, estatales y municipales y empresas productivas del estado

C-0434          Severidad de la Pérdida de créditos comerciales a cargo de entidades federativas y municipios, entidades financieras, personas morales y físicas con actividad empresarial, gobierno federal, organismos descentralizados federales, estatales y municipales y empresas productivas del estado

C-0435          Probabilidad de Incumplimiento de créditos comerciales a cargo de entidades federativas y municipios

C-0436          Probabilidad de Incumplimiento de créditos comerciales a cargo de entidades financieras

C-0437          Probabilidad de Incumplimiento de créditos comerciales a cargo de personas morales y físicas con actividad empresarial, del gobierno federal, organismos descentralizados federales, estatales y municipales y empresas productivas del estado con ventas o ingresos netos anuales menores a 14 millones de UDIS, distintas a entidades federativas, municipios y entidades financieras

C-0438          Probabilidad de Incumplimiento de créditos comerciales a cargo de personas morales y físicas con actividad empresarial, del gobierno federal, organismos descentralizados federales, estatales y municipales y empresas productivas del estado con ventas o ingresos netos anuales mayores o iguales a 14 millones de UDIS, distintas a entidades federativas, municipios y entidades financieras

C-0439          Método de calificación y provisionamiento aplicable a los créditos comerciales para proyectos de inversión o activos con fuente de pago propia (Anexo 19)

C-0440          Garantías de créditos comerciales

Información detallada de garantías de segundo piso

C-0447          Seguimiento de garantías

Cartera a la vivienda

H-0491          Altas de créditos a la vivienda

H-0492          Seguimiento de créditos a la vivienda

H-0493          Baja de créditos a la vivienda

H-0494          Reservas de créditos a la vivienda

Serie R06 Bienes adjudicados

A-0611          Bienes adjudicados

Serie R07 Impuestos a la utilidad y PTU diferidos

A-0711          Impuestos a la utilidad y PTU diferidos

Serie R08 Captación

A-0811          Captación tradicional y préstamos interbancarios y de otros organismos

A-0815          Préstamos interbancarios y de otros organismos, estratificados por plazos al vencimiento

A-0816          Depósitos de exigibilidad inmediata y préstamos interbancarios y de otros organismos, estratificados por montos

A-0819          Captación integral estratificada por montos

Serie R10 Reclasificaciones

A-1011          Reclasificaciones en el estado de situación financiera

A-1012          Reclasificaciones en el estado de resultado integral

Serie R12 Consolidación

A-1219          Consolidación del estado de situación financiera de la institución de crédito con sus subsidiarias

A-1220          Consolidación del estado de resultado integral de la institución de crédito con sus subsidiarias

B-1230          Desagregado de inversiones permanentes en acciones

Serie R13 Estados financieros

A-1311          Estado de cambios en el capital contable

A-1316          Estado de flujos de efectivo

B-1321          Estado de situación financiera

B-1322          Estado de resultado integral

Serie R14 Información cualitativa

A-1411          Integración accionaria

A-1412          Funcionarios, empleados, jubilados, personal por honorarios y sucursales

Serie R15 Operaciones por servicio

B-1522          Usuarios no clientes de los medios electrónicos de la institución

B-1523          Operaciones de clientes por servicios de banca electrónica

B-1524          Clientes por servicio de banca electrónica

Serie R16 Riesgos

A-1611          Brechas de repreciación

A-1612          Brechas de vencimiento

B-1621          Portafolio global de juicios

Serie R24 Información operativa

B-2421          Información de operaciones referentes a productos de captación

B-2422          Información de operaciones referentes a sucursales, tarjetas de crédito y otras variables operativas

B-2423          Titulares garantizados por el IPAB

C-2431          Información de operaciones con partes relacionadas

D-2441          Información general sobre el uso de servicios financieros

D-2442          Información de frecuencia de uso de servicios financieros

D-2443          Información de ubicación de los puntos de transacciones de servicios financieros

E-2450          Número de clientes de cada producto o servicio por tipo de persona

E-2451          Número de operaciones de cada producto o servicio por tipo de moneda

E-2452          Número de operaciones de cada producto o servicio por zona geográfica

Serie R26 Información por comisionistas

A-2610          Altas y bajas de administradores de comisionistas

A-2611          Altas y bajas de comisionistas

B-2612          Altas y bajas de módulos o establecimientos de comisionistas

C-2613          Seguimiento de operaciones de comisionistas

Serie R27 Reclamaciones

A-2701          Reclamaciones

Serie R28 Información de riesgo operacional

A-2811           Eventos de pérdida por riesgo operacional

A-2812           Estimación de niveles de riesgo operacional

A-2813           Actualización de eventos de pérdida por riesgo operacional

A-2815          Asignación método del indicador de negocio para riesgo operacional

Serie R29 Aseguramientos, transferencias y desbloqueos de cuentas

A-2911           Aseguramientos, transferencias y desbloqueos de cuentas

Serie R32 Conciliaciones

A-3211           Conciliación contable fiscal

Serie 34 Razón de Apalancamiento

A-3401           Cálculo de la Razón de Apalancamiento

Las Instituciones requerirán de la previa autorización de la Comisión para la apertura de nuevos conceptos o niveles que no se encuentren contemplados en las series que correspondan exclusivamente para el envío de información de las nuevas operaciones que les sean autorizadas al efecto por la Secretaría, en términos de la legislación relativa, para lo cual solicitarán la referida autorización mediante escrito libre dentro de los quince días hábiles siguientes a la autorización hecha por la Secretaría. Asimismo, en caso de que por cambios en la normativa aplicable se requiera establecer conceptos o niveles adicionales a los previstos en las presentes disposiciones, la Comisión hará del conocimiento de las Instituciones la apertura de los nuevos conceptos o niveles respectivos.

En los dos casos previstos en el párrafo anterior la Comisión, a través del SITI, notificará a la Institución el mecanismo de registro y envío de la información correspondiente.”

“Artículo 208.-              . . .

I.       . . .

a) a b)    . . .

II.                     . . .

a) a b)    . . .

c)     La información relativa al reporte A-2815 de la serie R28, deberán proporcionarse a más tardar dentro de los 15 días hábiles siguientes al cierre del mes a que corresponda la información.

d)    La información relativa a las series R01; R04, exclusivamente por lo que se refiere a los reportes A-0411, A-0417, A-0419, A-0420 y A-0424, C-0433, C-0434, C-0435, C-0436, C-0437, C-0438, C-0439 y C-0440; R08; R10; R12; R13, únicamente por lo que se refiere a los reportes B-1321 y B-1322, deberá proporcionarse a más tardar el día 20 del mes inmediato siguiente al de su fecha.

        Con independencia del envío electrónico, los reportes B-1321 y B-1322 de la serie R13, deberán remitirse debidamente suscritos por los directivos y personas a que se refiere el Artículo 179 de las presentes disposiciones a la Comisión.

e)    La información relativa a las series R04, exclusivamente por lo que se refiere al reporte C-0447, R06 y R07 dentro de los 25 días del mes inmediato siguiente al de su fecha.

f)     La información relativa a la serie R16, exclusivamente por lo que se refiere a los reportes A-1611 y A-1612, la serie R24, únicamente los reportes B-2421, B-2422, C-2431, D-2441 y D-2442, así como la correspondiente a la serie R26 deberá enviarse a más tardar el último día del mes inmediato siguiente al de su fecha.

g)    La información del reporte B-2423 correspondiente a la serie R24, será enviada a más tardar a los 45 días siguientes de la fecha de cierre que se reporta.

h)    La información relativa a la serie R34 deberá proporcionarse a más tardar el último día hábil del mes inmediato siguiente al del mes cuyas cifras se utilicen para el cálculo de la razón de apalancamiento.

III. a IV.           . . .

. . .”

TRANSITORIOS

PRIMERO.- La presente Resolución entrará en vigor el 1º de enero de 2023, salvo por lo previsto en los siguientes artículos transitorios.

SEGUNDO.- Las instituciones de crédito deberán calcular su requerimiento de capital por Riesgo Operacional utilizando el Método del Indicador de Negocio a que hace referencia el artículo 2 Bis 114 b de la presente resolución modificatoria a más tardar el 1 de enero de 2023.

Para efectos del cálculo de la variable PI a que hace referencia de la fracción III del artículo 2 Bis 114 b de la presente resolución, hasta el año 2025 deberá considerar al menos el promedio del siguiente número de años previos al cálculo de los requerimientos de capital dependiendo del año al que corresponda la determinación de tales requerimientos de capital:

Año en que se calcula el requerimiento de capital	Número mínimo de años previos utilizados para obtener PI (promedio de las pérdidas anuales por riesgo operacional incurridas)
2023	8 años
2024	9 años

 

Para efectos de la información de los años establecidos en la tabla anterior, las instituciones de crédito deberán utilizar para la determinación de las pérdidas anuales por Riesgo Operacional incurridas durante los años 2014 a 2022, aquellas que hubieran sido registradas dando cumplimiento a lo establecido en el Anexo 12-A, vigente en esos años.

En caso de que las instituciones no cuenten con la información de pérdidas por riesgo operacional de los años referidos en la tabla y al párrafo anterior, su requerimiento de capital por riesgo operacional será igual al CIN de conformidad al último párrafo del artículo 2 Bis 114 b de la presente resolución.

TERCERO.- Las instituciones de crédito podrán calcular su requerimiento de capital por Riesgo Operacional bajo el Método del Indicador de Negocio a partir de las cifras de cierre de octubre de 2020 y antes del 1 de enero de 2023, debiendo presentar la solicitud de autorización a la Comisión Nacional Bancaria y de Valores. Dicha solicitud de autorización deberá incluir una descripción detallada sobre la manera en que cumplen los requisitos a que hace referencia los Anexo 1-D Bis y 12-A de las Disposiciones de carácter general aplicables a las instituciones de crédito sustituidos o adicionados con la presente resolución modificatoria, la evidencia documental en archivos electrónicos que sustente tal descripción, así como la estimación del requerimientos de capital por riesgo operacional calculada con el Método del Indicador de Negocio de los 6 meses previos al mes inmediato anterior.

Una vez recibida la solicitud de autorización referida, la Comisión Nacional Bancaria y de Valores tendrá 60 días hábiles para resolver lo conducente, dentro de los cuales podrá requerir información adicional, suspendiéndose el plazo antes señalado, en tanto la institución de crédito entregue la información que hubiere sido requerida. Transcurrido el plazo de 60 días hábiles sin que la Comisión se haya pronunciado, las instituciones de crédito podrán calcular el requerimiento de capital por Riesgo Operacional en términos del Método del Indicador de Negocio.

Las instituciones de crédito que obtengan la autorización de la Comisión Nacional Bancaria y de Valores para calcular el requerimiento de capital por Riesgo Operacional bajo el Método del Indicador de Negocio de conformidad con lo señalado en este artículo transitorio:

I. Deberán emplear para dicho cálculo hasta el 31 de diciembre de 2021 las siguientes cuentas de sus estados financieros, en sustitución de las cuentas que se presentan en las Tablas 1; 2; 3; y 4 de la fracción I del artículo 2 Bis 114 b de la presente resolución modificatoria:

Tabla 1. Conceptos a incluir en Ingresos por intereses, Gastos por  intereses e Ingresos por Dividendos

(pesos corrientes)

 

 

Tabla 2. Conceptos a incluir en Activos productivos del CIAD

(pesos corrientes)

 

Tabla 3. Conceptos a incluir en Otros Ingresos de la Operación, Otros Gastos de la Operación, Comisiones y Tarifas Cobradas, y Comisiones y Tarifas Pagadas del componente de servicios (CS)

(pesos corrientes)

Conceptos

La variable Otros Ingresos de la Operación se integrará por: a. Recuperaciones de cartera de crédito b. Recuperaciones c. Ingresos por adquisición de cartera de crédito d. Utilidad por cesión de cartera de crédito e. Ingreso por opción de compra en operaciones de arrendamiento capitalizable f. Ingreso por participación del precio de venta de bienes en operaciones de arrendamiento capitalizable g. Resultado en venta de bienes adjudicados (siempre que sea positivo) h. Resultado por valuación de bienes adjudicados (siempre que sea positivo) i. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea positivo) j. Intereses a favor provenientes de préstamos a funcionarios y empleados k. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) l. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea positivo) m. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea positivo) n. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) ñ. Otras partidas de los ingresos (egresos) de la operación (siempre que sea positivo) o. Utilidad por valorización de partidas no relacionadas con el margen financiero p. Resultado por posición monetaria originado por partidas no relacionadas con el margen financiero (siempre que sea positivo) q. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea positivo)

 

La variable Otros Gastos de la Operación se conformará por: a. Gastos por adquisición de cartera de crédito b. Pérdida por cesión de cartera de crédito c. Quebrantos d. Donativos e. Pérdida por adjudicación de bienes f. Resultado en venta de bienes adjudicados (siempre que sea negativo) g. Resultado por valuación de bienes adjudicados (siempre que sea negativo) h. Pérdida en custodia y administración de bienes i. Pérdida en operaciones de fideicomiso j. Intereses a cargo en financiamiento para adquisición de activos k. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea negativo) l. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) m. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea negativo) n. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea negativo) ñ. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) o. Otras partidas de los ingresos (egresos) de la operación (siempre que sea negativo) p. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea negativo) q. Pérdida por valorización de partidas no relacionadas con el margen financiero

 

La variable Comisiones y Tarifas Cobradas se integrará por: a. Avales b. Cartas de crédito sin refinanciamiento c. Aceptaciones por cuenta de terceros d. Compraventa de valores e. Apertura de cuenta f. Manejo de cuenta g. Actividades fiduciarias h. Transferencia de fondos i. Giros bancarios j. Cheques de caja k. Cheques certificados l. Cheques de viajero m. Custodia o administración de bienes n. Alquiler de cajas de seguridad ñ. Servicios de Banca Electrónica o. Otras comisiones y tarifas cobradas (distintas a las relacionadas con cartera de crédito) p. Operaciones de crédito

La variable Comisiones y Tarifas Pagadas estará integrada por: a. Bancos corresponsales b. Comisionistas c. Transferencia de fondos d. Préstamos recibidos e. Colocación de deuda f. Otras comisiones y tarifas pagadas (distintas a las relacionadas con cartera de crédito)

 

Tabla 4. Conceptos a incluir en Resultado por Compraventa del componente financiero (CF)

(pesos corrientes)

Conceptos

La variable Resultado por Compraventa se integrará por: a. Valores e Instrumentos derivados b. Divisas c. Metales d. Resultado por venta de colaterales recibidos e. Costos de transacción

 

Asimismo, en relación con la divulgación de la información contenida en el Apartado D del Anexo 1-D Bis, las instituciones deberán de utilizar la información correspondiente a los conceptos referidos en las tablas anteriores durante el periodo indicado en el primer párrafo de esta fracción.

II.      Para el cálculo de PI que se señala en la fracción III del artículo 2 Bis 114 b de la presente resolución modificatoria deberá considerar al menos el promedio del siguiente número de años previos al cálculo de los requerimientos de capital dependiendo del año al que corresponda la determinación de tales requerimientos de capital:

 

Para efectos de la información de los años establecidos en la tabla anterior, las instituciones de crédito deberán utilizar para la determinación de las pérdidas anuales por Riesgo Operacional incurridas durante los años 2014 a la fecha en que utilicen el método del indicador de negocio para el cálculo de sus requerimientos de capital por riesgo operacional, aquellas que hubieran sido registradas dando cumplimiento a lo establecido en el Anexo 12-A, vigente en esos años.

Las instituciones de crédito que, en los términos de este artículo Transitorio, calculen sus requerimientos de capital por Riesgo Operacional con el Método del Indicador de Negocio antes del 1 de enero de 2023, estarán obligadas, a partir de la fecha en que hayan adoptado dicho método, a remitir a la Comisión Nacional Bancaria y de Valores el reporte regulatorio A-2815 de la serie R28 contenido en el Anexo 36 conforme lo establece el artículo 207 y 208 de la presente resolución modificatoria; dichas instituciones que anteriormente al uso del Método del indicador de negocio para el cómputo de los requerimientos de capital por Riesgo Operacional, hubieran utilizado el método estándar o estándar alternativo para tal efecto, ya no estarán obligadas a remitir el reporte regulatorio A-2814.

Atentamente

Ciudad de México, a 5 de noviembre de 2020.- El Presidente de la Comisión Nacional Bancaria y de Valores, Juan Pablo Graf Noriega.- Rúbrica.

ANEXO 1-D BIS

REQUISITOS MÍNIMOS PARA EL USO DEL MÉTODO DEL INDICADOR DE NEGOCIO EN EL CÁLCULO DEL REQUERIMIENTO DE CAPITAL POR RIESGO OPERACIONAL

APARTADO A

REQUISITOS GENERALES PARA USO DEL MÉTODO DEL INDICADOR DE NEGOCIO

Las Instituciones deberán observar en todo momento y mantener a disposición de la Comisión la evidencia del cumplimiento de los requisitos generales mínimos siguientes:

I.        El director general deberá revisar el marco de gestión del Riesgo Operacional al menos anualmente y contar con la evidencia que soporte dicha revisión.

II.       Contar con una metodología de gestión del Riesgo Operacional basada en un marco conceptual de análisis sólido y actualizado de conformidad con estas disposiciones.

III.      Contar con una estructura organizacional y recursos suficientes para implementar la metodología para la gestión del Riesgo Operacional en las distintas líneas de negocio de las Instituciones, así como en los ámbitos de control y auditoría.

APARTADO B

CRITERIOS GENERALES PARA DETERMINAR EL MULTIPLICADOR DE PÉRDIDAS INTERNAS

Las Instituciones para determinar el Multiplicador de Pérdidas Internas (MPI) deberán cumplir con los requisitos establecidos en el Anexo 12-A de estas disposiciones respecto la identificación, recopilación y el tratamiento de los datos de pérdidas operacionales internas.

Asimismo, las Instituciones deberán llevar a cabo anualmente una revisión y validación de las políticas, procesos y procedimientos específicos para la identificación, recopilación y tratamiento de la información relacionada con las pérdidas internas por Riesgo Operacional, así como del proceso para la ejecución del cálculo del requerimiento de capital por Riesgo Operacional, la cual deberá ser realizada por auditores externos. Esta revisión deberá realizarse con mayor frecuencia cuando así lo consideren las Instituciones para nuevas actividades o cambios en sus operaciones.

Se considerará que un área interna es independiente, cuando estructural y funcionalmente no dependa de áreas encargadas de la administración de la base de datos de eventos de pérdidas operacionales y de las áreas encargadas de la administración de riesgos de la Institución.

APARTADO C

CRITERIOS ESPECÍFICOS SOBRE IDENTIFICACIÓN, RECOPILACIÓN Y TRATAMIENTO DE DATOS

I.        Para efectos del cálculo del Multiplicador de Pérdidas Internas (MPI) las Instituciones deberán apegarse a las siguientes definiciones:

a)    Pérdida bruta: a la pérdida antes de cualquier tipo de recuperación.

b)    Pérdida neta: a la pérdida después de tener en consideración los efectos contables de las recuperaciones.

c)     Recuperación: hecho independiente, relacionado con el evento de pérdida inicial pero separado en el tiempo, por el que el impacto de la pérdida es menor como resultado de la recepción de recursos económicos o ventajas económicas procedentes de un tercero, tales como reembolsos por pagos de seguros, recuperaciones de transferencias de recursos enviadas a destinatarios erróneos.

        Los derechos de cobro no son considerados como una recuperación, hasta que se reciba el pago.

II.       Para efectos del cálculo del MPI, las Instituciones deberán utilizar el monto de las pérdidas netas, siempre y cuando las recuperaciones hayan sido efectivamente pagadas y se tenga la evidencia de la recepción del pago. No obstante lo anterior, las Instituciones deberán identificar las pérdidas brutas, recuperaciones, separando los reembolsos no procedentes de seguros y recuperaciones procedentes de seguros para todos los eventos de pérdidas operacionales.

III.      En el cómputo de la pérdida bruta de la base de datos histórica de eventos de pérdida por Riesgo Operacional, las Instituciones deberán incluir los conceptos siguientes:

a)    Registros de pérdidas directas, incluyendo deterioros y liquidaciones contra cuentas contables de pérdidas y ganancias, así como reducciones por eventos de Riesgo Operacional.

b)    Costos y gastos internos como externos incurridos como consecuencia del evento de pérdida de Riesgo Operacional, tales como honorarios legales relacionados directamente con el evento, costos asociados para la reparación o sustitución en que se haya incurrido para restaurar la situación anterior al evento de Riesgo Operacional.

c)     Provisiones o reservas que se registren en el estado de resultado integral, o su equivalente, para cubrir los posibles efectos de las pérdidas operacionales.

d)    Pérdidas derivadas de eventos de Riesgo Operacional con un impacto financiero definitivo, pero que aún no se registren en el estado de resultado integral de las Instituciones, tales como contingencias registradas en cuentas de orden.

e)    Los impactos económicos negativos registrados en un ejercicio contable, que deriven de eventos de Riesgo Operacional que afecten los flujos de efectivo o los estados financieros de ejercicios contables previos.

IV.     Cuando la Institución pretenda la exclusión para el cálculo del MPI de algún evento de pérdida por Riesgo Operacional de la base de datos histórica a la que se refiere el Anexo 12-A de las presentes disposiciones, deberá solicitar autorización de la Comisión debidamente justificada, para lo cual se deberá tomar en consideración si la causa del evento de pérdidas podría producirse en otras áreas de operaciones de la Institución.

          En el caso de las exposiciones legales objeto de liquidación extrajudicial y de la descontinuación de líneas de negocio o actividades, las Instituciones tendrán que demostrar que no existe ninguna exposición legal similar a la anterior, o residual y que los eventos de pérdidas por Riesgo Operacional excluidos no tienen relevancia para otras actividades que continúen o para otros productos.

          Asimismo, las Instituciones podrán solicitar la autorización de la Comisión para excluir determinados eventos de pérdidas operacionales que ya hayan dejado de ser relevantes para el perfil de riesgo.

          Para efectos de que un evento de pérdida por Riesgo Operacional pueda ser excluido de la base de datos correspondiente, dicho evento deberá cumplir con cada una de las siguientes condiciones:

a)    Representar menos del 5 % del promedio de pérdidas históricas de la Institución de que se trate de los últimos 5 años.

b)    Haber permanecido en la base de datos de eventos de pérdida por Riesgo Operacional por un periodo mínimo de tres años, con excepción a los eventos asociados con actividades o Unidades de Negocio descontinuadas.

        Las Instituciones podrán solicitar a la Comisión autorización para excluir eventos de pérdidas operacionales para el cálculo del MPI, cuando derivado de modificaciones a su plan general de funcionamiento al que alude el artículo 10, fracción IV de la Ley, las Instituciones ya no realicen las actividades que dieron origen a tales eventos de pérdidas operacionales, para lo cual deberán demostrar previamente que no existe exposición residual por dichos eventos y que su exclusión no tiene relevancia para su operación bajo el plan general de funcionamiento modificado.

APARTADO D

CUENTAS QUE INTEGRAN EL CÁLCULO DEL INDICADOR DE NEGOCIO

Indicador de Negocio
Componente IN	Conceptos del estado de resultados integral y del estado de la situación financiera	Descripción	Cuenta o su equivalente

 

Interés, arrendamiento y dividendo	Ingreso por Interés	Ingreso por interés de todos los activos financieros y otros ingresos por interés (incluye ingreso de arrendamiento financiero y operativo, y ganancia de activos en renta).	a.1 Intereses de cartera de crédito con riesgo de crédito etapa 1. a.2 Intereses de cartera de crédito con riesgo de crédito etapa 2. b. Intereses de cartera de crédito con riesgo de crédito etapa 3. c. Intereses y rendimientos a favor provenientes de inversiones en instrumentos financieros. d. Intereses y rendimientos a favor en operaciones de reporto e. Intereses de efectivo y equivalentes de efectivo. f. Comisiones por el otorgamiento del crédito g. Premios a favor en operaciones de préstamo de valores h. Primas por colocación de deuda. i. Intereses y rendimientos a favor provenientes de cuentas de margen j. Ingresos provenientes de operaciones de cobertura k. Utilidad por valorización l. Incremento por actualización de ingresos por intereses m. Ingresos por arrendamiento n. Recuperación de cartera de crédito
	Gastos por Interés	Gastos por intereses de pasivos financieros y otros gastos por intereses (incluyendo gastos por intereses de arrendamiento financiero y operativo, pérdidas, depreciación y deterioro de activos en renta).	a. Intereses por depósitos de exigibilidad inmediata b. Intereses por depósitos a plazo c. Intereses, costos de transacción y descuentos a cargo por emisión de instrumentos financieros que califican como pasivo d. Intereses por préstamos interbancarios y de otros organismos e. Intereses y rendimientos a cargo en operaciones de reporto f. Premios a cargo en operaciones de préstamo de valores

 

			g. Costos y gastos asociados con el otorgamiento del crédito h Gastos provenientes de operaciones de cobertura i. Pérdida por valorización j. Intereses a cargo asociados con la cuenta global de captación sin movimientos k. Incremento por actualización de gastos por intereses
	Activos que generan interés (Cuentas del estado de la situación financiera)	Préstamos, créditos, ingresos por valores (incluyendo bonos de gobierno), activos en renta totales anuales.	a. Efectivo y equivalentes de efectivo b.1 Cartera de crédito con riesgo de crédito etapa 1 b.2 Cartera de crédito con riesgo de crédito etapa 2 c. Inversiones en instrumentos financieros d. Préstamo de valores e. Instrumentos financieros derivados
	Ingresos por dividendos	Ingresos por dividendos de inversiones en acciones y fondos no consolidados en los estados financieros de la Institución, incluyendo ingresos por dividendos de subsidiarias no consolidadas, asociadas y partes relacionadas.	a. Dividendos de inversiones permanentes b. Dividendos de instrumentos que califican como instrumentos financieros de capital

 

Servicios

Ingresos por comisiones y tarifas

Ingreso percibido por asesoría y servicios. Incluye ingresos recibidos por la Institución como un intermediario de servicios financieros.

a. Avales b. Cartas de crédito sin refinanciamiento c. Aceptaciones por cuenta de terceros d. Compraventa de instrumentos financieros e. Apertura de cuenta f. Manejo de cuenta g. Actividades fiduciarias h. Transferencia de fondos i. Giros bancarios j. Cheques de caja k. Cheques certificados l. Cheques de viajero m. Custodia o administración de bienes n. Alquiler de cajas de seguridad ñ. Servicios de Banca Electrónica o. Otras comisiones y tarifas cobradas p. Operaciones de crédito

 

Gastos por comisiones y tarifas

Gastos pagados por recibir de asesoría y servicios, incluidas los pagos por la contratación de terceros que ofrezcan la realización de servicios financieros, pero sin incluir los pagos por la contratación de terceros que ofrezcan servicios no financieros, como logística, tecnologías de la información y recursos humanos.

a. Bancos corresponsales b. Comisionistas c. Transferencia de fondos d. Préstamos recibidos e. Colocación de deuda f. Otras comisiones y tarifas pagadas

 

Otros ingresos operativos

Ingresos por operaciones bancarias ordinarias no incluidas en otras cuentas IN, pero de naturaleza similar (ingresos de operaciones de arrendamiento deberían ser excluidas).

a. Recuperaciones b. Ingresos por adquisición de cartera de crédito c. Utilidad por venta de cartera de crédito d. Ingreso por opción de compra en operaciones de arrendamiento financiero e. Ingreso por participación del precio de venta de bienes en operaciones de arrendamiento financiero f. Resultado en venta de bienes adjudicados (siempre que sea positivo) g. Resultado por valuación de bienes adjudicados (siempre que sea positivo) h. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea positivo) i. Intereses a favor provenientes de préstamos a funcionarios y empleados j. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) k. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea positivo) l. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea positivo) m. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea positivo) n. Otras partidas de los ingresos (egresos) de la operación (siempre que sea positivo) ñ. Resultado por valorización de partidas no relacionadas con el margen financiero (siempre que sea positivo) o. Resultado por posición monetaria originado por partidas no relacionadas con el margen financiero p. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea positivo)

 

Otros gastos operativos

Gastos y pérdidas de operaciones ordinarias no incluidas en otras cuentas IN, pero de naturaleza similar y de eventos con pérdida operacional (gastos de arrendamiento operativo debería ser excluido).

a. Gastos por adquisición de cartera de crédito b. Pérdida por venta de cartera de crédito c. Quebrantos d. Donativos e. Pérdida por adjudicación de bienes f. Resultado en venta de bienes adjudicados (siempre que sea negativo) g. Resultado por valuación de bienes adjudicados (siempre que sea negativo) h. Pérdida en custodia y administración de bienes i. Pérdida en operaciones de fideicomiso j. Intereses a cargo en financiamiento para adquisición de activos k. Resultado en venta de propiedades, mobiliario y equipo (siempre que sea negativo) l. Resultado por valuación de los beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) m. Resultado por valuación del activo por administración de activos financieros transferidos (siempre que sea negativo) n. Resultado por valuación del pasivo por administración de activos financieros transferidos (siempre que sea negativo) ñ. Resultado en beneficios por recibir en operaciones de bursatilización (siempre que sea negativo) o. Otras partidas de los ingresos (egresos) de la operación (siempre que sea negativo) p. Incremento por actualización de otros ingresos (egresos) de la operación (siempre que sea negativo) q. Resultado por valorización de partidas no relacionadas con el margen financiero (siempre que sea negativo)

 

Financiero

Utilidad (pérdida) neta en activos y pasivos

·          Utilidad/pérdida neta en activos y pasivos de derivados, valores de deuda, créditos, posiciones cortas, otros activos y pasivos. ·          Utilidad/pérdida de cuentas de coberturas ·          Utilidad/pérdida por diferencia cambiarias.

a. Resultado por compraventa de instrumentos financieros e instrumentos financieros derivados b. Resultado por compraventa de divisas c. Resultado por compraventa de metales preciosos amonedados d. Resultado por venta de colaterales recibidos e. Costos de transacción

 

ANEXO 1-O BIS 1

REVELACIÓN DE INFORMACIÓN RELATIVA AL CÁLCULO DEL REQUERIMIENTO  DE CAPITAL POR RIESGO OPERACIONAL

Las Instituciones deberán revelar la información contenida en los siguientes apartados:

I.        Requerimiento mínimo de capital por riesgo operacional;

II.       Indicador de negocio y subcomponentes;

III.      Pérdidas históricas.

Para efectos de la revelación de información a que se refiere el presente anexo, las Instituciones deberán proceder conforme a lo siguiente:

a.     Las cifras deberán presentarse en millones de pesos conforme al Artículo 176 de las presentes disposiciones.

b.     La información será la correspondiente a la Institución sin consolidar subsidiarias ni entidades de propósito específico y al cierre del ejercicio correspondiente.

c.     La información contenida en los apartados I a III del presente anexo debe calcularse en los términos señalados en el Artículo 2 Bis 114 b de las presentes disposiciones.

APARTADO I

REQUERIMIENTO MÍNIMO DE CAPITAL POR RIESGO OPERACIONAL

Las Instituciones deberán revelar el requerimiento de capital por riesgo operacional conforme al formato siguiente:

Definiciones

Referencia 1: El CIN corresponde al cálculo incremental establecido en la Tabla 5 del artículo 2 Bis 114 b, fracción II de las presentes disposiciones.

Referencia 2: El MPI corresponde al cálculo establecido en la fracción III del artículo 2 Bis 114 b de las presentes disposiciones.

Referencia 3: El Requerimiento de capital por Riesgo Operacional se determinará multiplicando el CIN y el MPI, mostrados previamente en la referencia 1 y 2, respectivamente. En caso de que las Instituciones no cuenten con una base de datos de pérdidas por Riesgo Operacional que haya sido constituida en cumplimiento con lo establecido en los Anexos 1-D Bis y 12-A por lo menos en los últimos cinco años, o bien, tenga menos de cinco años del inicio de operaciones, su requerimiento de capital por Riesgo Operacional será igual al CIN.

Referencia 4: Los Activos sujetos a Riesgo Operacional se determinan multiplicando el Requerimiento de capital por Riesgo Operacional, mostrado previamente en la referencia 3, por 12.5, de conformidad con lo establecido en el artículo 2 Bis 116 de las presentes disposiciones.

APARTADO II

INDICADOR DE NEGOCIO Y SUBCOMPONENTES

Las Instituciones deberán revelar el Indicador de Negocio (IN) y sus subcomponentes, mismos que se utilizan para calcular el Requerimiento de capital por Riesgo Operacional, conforme al formato siguiente:

Definiciones

Referencia 1: El Componente de Intereses, Arrendamiento y Dividendos (CIAD) se calcula de conformidad con la fórmula señalada en la fracción I, inciso a) del artículo 2 Bis 114 b de las presentes disposiciones. En la fórmula, los términos se calculan como el promedio de tres años: j=3, j=2 y j=1.

Referencia 1a, 1b y 1d: Los Ingresos y Gastos por Intereses e Ingresos por Dividendos, serán la suma de los flujos mensuales, según el año que se esté revelando, de los conceptos del estado de resultado integral que se indican en la Tabla 1 del artículo 2 Bis 114 b de las presentes disposiciones, según el concepto que corresponda.

Referencia 1c: Los Activos Productivos serán el promedio de los 36 meses de los saldos al cierre de cada mes reflejados en su estado de situación financiera de los conceptos que se indican en la Tabla 2 del artículo 2 Bis 114 b de las presentes disposiciones.

Referencia 2: Componente de servicios (SC) se calcula de conformidad con la fórmula señalada en la fracción I, inciso b) del artículo 2 Bis 114 b de las presentes disposiciones. En la fórmula, los términos se calculan como el promedio de tres años: j=3, j=2 y j=1.

Referencia 2a, 2b, 2c, 2d: Los Otros Ingresos y Otros Gastos de la Operación, así como las Comisiones y Tarifas Cobradas y Pagadas, serán la suma de los flujos mensuales, según el año que se esté revelando, de los conceptos del estado de resultado integral, o sus equivalentes, que se indican en la Tabla 3 del artículo 2 Bis 114 b de las presentes disposiciones, según el concepto que corresponda.

Referencia 3: Componente financiero (FC) se calcula de conformidad con la fórmula señalada en la fracción I, inciso c) del artículo 2 Bis 114 b de las presentes disposiciones. En la fórmula, los términos se calculan como el promedio de tres años: j=3, j=2 y j=1.

Referencia 3a: El Resultado por Compraventa serán la suma de los flujos mensuales, según el año que se esté revelando, de los conceptos del estado de resultado integral, o de sus equivalentes, que se indican en la Tabla 4 del artículo 2 Bis 114 b de las presentes disposiciones.

Referencia 4: El Indicador de Negocio (IN) es la suma de los tres componentes: CIAD, CS y CF, conforme lo establecido en la fracción I del artículo 2 Bis 114 b de las presentes disposiciones.

Referencia 5: El CIN corresponde al cálculo incremental establecido en la Tabla 5 del artículo 2 Bis 114 b, fracción II de las presentes disposiciones.

Columnas: j=3 indica el final del periodo anual de revelación, j=2 indica el final del año anterior, así sucesivamente.

Vínculos entre apartados: [Apartado II, referencia 5 columna “a”] corresponde a [Apartado I, referencia 1, columna “a”]

III. PÉRDIDAS HISTÓRICAS

Las Instituciones deberán revelar las pérdidas por Riesgo Operacional incurridas durante los diez años previos al cálculo de los requerimientos de capital correspondiente, clasificándolas en el año correspondiente a su fecha de registro contable, conforme al formato siguiente:

Ref

Descripción

a

b

c

d

e

f

g

h

i

j

k

j=10

j=9

j=8

j=7

j=6

j=5

j=4

j=3

j=2

j=1

Promedio 10 años

A.       Pérdidas

1

Monto total de pérdidas netas de recuperaciones (considerando las exclusiones)

2

Número total de pérdidas

3

Monto total de pérdidas excluidas

4

Número total de exclusiones

5

Monto total de pérdidas netas de recuperaciones y exclusiones

B.      Detalles del cálculo del capital por Riesgo Operacional

11

¿Se utilizan pérdidas para calcular el MPI? (Sí/No)

12

Si en la referencia 11 se respondido “No”, ¿La exclusión se debe al incumplimiento de contar con una base de datos de pérdidas que haya sido constituida en cumplimiento con lo establecido en los Anexos 1-D Bis y 12-A de las presentes disposiciones? (Sí/No)

Definiciones

Referencia 1: Revelar el monto total de las pérdidas netas de recuperaciones por eventos de pérdida por Riesgo Operacional, incurridas durante los diez años previos al cálculo del requerimiento de capital correspondiente, mismas que deberán cumplir lo establecido en los Anexos 1-D Bis y 12-A de las presentes disposiciones. Las pérdidas excluidas del cálculo deben incluirse en el monto total de pérdidas reveladas en esta referencia.

Referencia 2: Revelar el número total de pérdidas por Riesgo Operacional.

Referencia 3: Revelar el monto total de pérdidas que se han excluido del cálculo del capital por Riesgo Operacional, para cada uno de los diez años previos al cálculo del requerimiento de capital correspondiente.

Referencia 4: Revelar el número total de exclusiones.

Referencia 5: Revelar el monto total de pérdidas por Riesgo Operacional neto de recuperaciones y pérdidas excluidas.

Referencia 11: Se debe indicar si la institución utiliza las pérdidas por Riesgo Operacional para calcular el MPI, en caso de presentar un MPI=1 se deberá responder negativamente.

Referencia 12: En caso de haber respondido negativamente en la referencia 11, la institución debe indicar si la razón por la que no utiliza las pérdidas por Riesgo Operacional para calcular el MPI, es debido a que no cumplen con lo establecido en los Anexos 1-D Bis y 12-A de las presentes disposiciones. La solicitud de cualquier multiplicador diferente al resultante, deberá revelarse en la referencia 2 del apartado I del presente anexo, junto con una breve explicación.

Columnas: Para las referencias (a) a (j), j=10 indica el final del periodo anual de revelación, j=9 indica el final del año anterior, así sucesivamente. La Referencia (k) revela las pérdidas anuales promedio, según corresponda, incurridas durante los diez años previos al cálculo del requerimiento de capital correspondiente.

ANEXO 12-A

REQUISITOS PARA LA ELABORACIÓN Y ACTUALIZACIÓN DE LA BASE DE DATOS HISTÓRICA QUE CONTENGA EL REGISTRO SISTEMÁTICO DE LOS DIFERENTES TIPOS DE PÉRDIDA ASOCIADA AL RIESGO OPERACIONAL DE LAS INSTITUCIONES

Las Instituciones deberán generar una base de datos histórica que contenga el registro sistemático de los diferentes tipos de pérdida y su costo, el cual deberá incluir la pérdida económica originada por el evento, así como todos los gastos adicionales en los que incurrió la Institución como consecuencia de dicho evento, en correspondencia con su registro contable, el cual deberá realizarse de forma global en las cuentas de resultados y, de forma específica, a través de auxiliares en la contabilidad.

En caso de haber recuperaciones, estas deberán estar registradas por separado. Adicionalmente, deberán registrarse los montos de los beneficios y aquellos casos de fallos de riesgo de crédito y de mercado por causas atribuibles a Riesgo Operacional, así como las cuasi-pérdidas por Riesgo Operacional.

Se entenderá por cuasi-pérdida, aquellos eventos de riesgo operacional que no conduzcan a una pérdida, o bien, aquellos eventos de riesgo operacional que generen una pérdida que sea recuperada en un corto tiempo.

Los eventos de Riesgo Operacional deberán ser clasificados en cuando menos uno de los distintos tipos de Riesgo Operacional señalados en la Sección II del presente Anexo 12-A, sin que ello limite a las Instituciones a realizar una clasificación interna más detallada de las pérdidas.

Sección I

Consideraciones para la recolección de datos internos de eventos de pérdida por Riesgo Operacional

Las Instituciones para la identificación, recopilación y tratamiento de los datos de pérdidas operacionales que les permita generar y mantener una base de datos histórica, deberán:

a)      Contar dentro de sus objetivos, lineamientos y políticas para la Administración Integral de Riesgos con políticas, procesos y procedimientos específicos y documentados para la identificación, recopilación, clasificación y registro contable de la información relacionada con los eventos de pérdidas internas por riesgo operacional.

b)      Los datos internos históricos de eventos de pérdida por Riesgo Operacional deberán ser integrales e incluir los montos de pérdida asociados para la totalidad de las actividades de cada unidad de negocio y línea de negocio al interior de la Institución, incluyendo el reconocimiento de dichas actividades a nivel geográfico. La Institución deberá corresponder todos sus datos internos de eventos de pérdida a sus procesos, a sus riesgos operacionales y líneas de negocio.

c)      Los eventos de pérdida por Riesgo Operacional deberán ser incorporados a una base de datos que garantice la asignación tanto de los ingresos como de los costos financieros.

d)      En la constitución de la base de datos de eventos de pérdida por Riesgo Operacional, la Institución deberá identificar eventos sencillos, es decir, aquellos que generan un sólo impacto en la contabilidad, así como eventos múltiples que generen varios impactos en la contabilidad. Además, identificará para cada uno de los eventos, las líneas de negocio y áreas responsables tanto para la gestión de los eventos como para la asignación contable de las pérdidas que afecten a una sola o múltiples líneas de negocio.

e)      El área o unidad de negocio en la cual se genere el evento de pérdida, debe contar con evidencia del seguimiento que se dé a cada uno de los eventos de pérdida por Riesgo Operacional. Dicho seguimiento se podrá dar por concluido si no se presentan eventos subsecuentes durante los siguientes 12 meses posteriores a su ocurrencia, y en caso de que exista un evento subsecuente que se presente después de este periodo deberá considerarse como un nuevo evento.

          En el caso que se presenten eventos subsecuentes conforme a lo establecido en el párrafo anterior, se les deberá dar seguimiento junto con el evento que les dio origen.

          En caso de presentarse diversas pérdidas por causa de un evento en común, estas deberán agregarse y asociarse a un mismo evento. Para efectos de lo anterior, se podrá asociar cada registro en la base de datos con un mismo evento para identificar la totalidad de sus consecuencias.

          Para efectos de este inciso e), las recuperaciones no se considerarán como eventos subsecuentes.

f)       La base de datos de eventos de pérdida por Riesgo Operacional se deberá actualizar al menos de forma trimestral o antes cuando así lo considere la Institución.

g)      La base de datos de eventos de pérdidas históricas por Riesgo Operacional deberá incluir además de los importes brutos de las pérdidas, las fechas de referencia de los eventos de riesgo operacional de conformidad con los criterios siguientes:

i.      Fecha de ocurrencia del evento, en que se produjo o inicio el evento de pérdida, cuando se cuente con ella.

ii.     Fecha de descubrimiento, en la que la Institución tuvo conocimiento del evento de pérdida.

iii.    Fecha de registro contable, en la que el evento de pérdida se registró contablemente en el estado de resultado integral de las Instituciones, o su equivalente, ya sea en su carácter de pérdida, reserva o provisión para pérdidas.

iv.    Fecha de registro herramienta de Riesgo Operacional, en la que el evento de pérdida se registró en el sistema o en la herramienta para su control y gestión.

          Las Instituciones deberán utilizar la fecha del registro contable del evento de pérdida por Riesgo Operacional para la integración de la base de datos histórica de eventos de pérdida por Riesgo Operacional. Tratándose de pérdidas asociadas a eventos legales, la fecha de registro deberá ser la correspondiente a la fecha en la que se constituye una reserva legal con cargo al estado de resultado integral, o su equivalente, para efectos de cubrir la pérdida estimada probable.

          Las pérdidas causadas por un evento de Riesgo Operacional en particular o por varios eventos de Riesgo Operacional relacionados a lo largo del tiempo, pero registrados contablemente en el transcurso de varios años deberán asignarse a los años que les corresponda en la base de datos histórica de eventos de pérdida por Riesgo Operacional, en consistencia con su tratamiento contable.

h)      Además, la Institución deberá recopilar información sobre:

i.         El número de evento sencillo.

ii.        El número de evento múltiple en su caso.

iii.       El tipo de Riesgo Operacional.

iv.       El monto del gasto asociado.

v.        El monto de la recuperación con respecto a las cantidades brutas de las pérdidas.

vi.       El número de líneas de negocio afectadas.

vii       La línea de negocio con mayor impacto.

viii.     El número de procesos afectados.

ix.       El proceso con mayor impacto.

x.        El número de productos afectados.

xi.       El producto con mayor impacto.

xii.      El canal por medio del cual se realizó la operación o transacción bancaria.

xiii.     La causa.

xiv.     Cuenta contable de acuerdo al catálogo mínimo R01.

xv.      Folio de Riesgo Operacional del inventario de riesgos operacionales asociados a la pérdida.

xvi.     Riesgo asociado (si es un evento de riesgo legal, riesgo tecnológico, riesgo de crédito, riesgo de mercado o si corresponde a un riesgo operacional puro).

xvii.    Breve descripción del evento de pérdida por Riesgo Operacional.

i)       Adicionalmente, las Instituciones deberán identificar y registrar en la base de datos de eventos de pérdidas histórica, la información correspondiente a las recuperaciones de los montos de las pérdidas brutas que se obtengan, así como una descripción de los factores determinantes  o las causas del evento de pérdida (causa-raíz del evento).

j)       Asegurarse que en los eventos de pérdida donde se involucre un proceso legal, se identifiquen las pérdidas y los gastos legales directamente imputables a dichos eventos de pérdida, no así los gastos propios de la operación jurídica. Los gastos directamente imputables serán los que se generen a partir del evento de pérdida, tales como honorarios, viáticos, etcétera.

k)      Las pérdidas por Riesgo Operacional que estén relacionadas con el riesgo de crédito y que históricamente se hayan incluido para determinar los activos ponderados por riesgo de crédito de las Instituciones (por ejemplo, fallos en la gestión de la garantía), no deberán incluirse en el conjunto de la base de datos de eventos de pérdidas por Riesgo Operacional; y continuarán recibiendo el tratamiento del riesgo de crédito a efectos del cálculo del capital regulatorio sin estar sujetas a requerimiento de capital por riesgo operacional.

          En el caso de que las pérdidas referidas en el párrafo anterior no sean consideradas para determinar los activos ponderados por riesgo de crédito, estas deberán considerarse para determinar el requerimiento de capital por Riesgo Operacional y por consiguiente estar incluidas en la base de datos de eventos de pérdidas por este tipo de riesgo.

l)       En la base de datos histórica de eventos de pérdida por Riesgo Operacional se deberán excluir los conceptos siguientes:

i.      Los costos y gastos asociados a contratos de mantenimiento general de inmuebles, mobiliario, planta y equipo.

ii.     Los gastos internos o externos destinados a mejorar el negocio después de incurrir en un evento de pérdida por Riesgo Operacional, así como de cualquier actualización, mejora, iniciativa y fortalecimiento de la evaluación o gestión del riesgo.

iii.    El monto pagado de primas de seguros.

m)     Las pérdidas por Riesgo Operacional relacionadas con el riesgo de mercado deberán identificarse en la base de datos de eventos de pérdida por Riesgo Operacional y se considerarán como Riesgo Operacional a efectos de cálculo del requerimiento de capital.

n)      Los datos internos de pérdidas deberán asignarse a alguna de las categorías de tipos de Riesgo Operacional previstas en la Sección II del presente Anexo 12-A.

          Para la asignación de las actividades a las líneas de negocio, las Instituciones observarán los siguientes principios:

i.      Todas las actividades bancarias deberán asignarse entre las ocho líneas de negocio de nivel 1 señaladas en la Sección III del presente anexo, se realizará de forma que a cada una de las actividades le corresponda una sola línea de negocio y no permanezca actividad alguna sin asignar. Las Instituciones deberán demostrar que cuentan con criterios documentados y procedimientos sistemáticos de asignación a las líneas de negocio de la estructura contable indicando por lo menos número y concepto de la cuenta contable y la línea de negocio a la que está asignada cada cuenta contable, tanto de los ingresos como de los costos financieros, así como de las pérdidas por Riesgo Operacional asociadas a la línea de negocio correspondiente. Para el caso de las cuentas en las que se registren ingresos de más de una línea de negocio se deberá especificar el porcentaje que aporta cada línea de negocio.

ii.     Cualquier actividad bancaria o no bancaria que no pueda asignarse con facilidad al marco de las líneas de negocio pero que represente una función auxiliar a una actividad, deberá ser asignada a la línea de negocio a la que preste apoyo. Si la actividad auxiliar presta apoyo a más de una línea de negocio deberá utilizarse un criterio de asignación objetivo y consistente.

iii.    La asignación de actividades a líneas de negocio deberá ser coherente con las definiciones de líneas de negocio utilizadas en los cálculos de requerimientos de capital en otras categorías  de riesgo (es decir, riesgo de crédito y de mercado). Cualquier desviación de este principio deberá estar justificada y documentada por las Instituciones.

iv.    El proceso de asignación de las actividades a las líneas de negocio deberá documentarse con claridad, en particular, las definiciones de las líneas de negocio deberán ser claras y detalladas para que su asignación pueda ser reproducida por terceros. La documentación deberá contener los argumentos para sustentar cualquier excepción o salvedad existente y deberá conservarse.

v.     Los ingresos y costos generados en una línea que sean imputables a otra línea de negocio distinta deberán clasificarse en esta última.

vi.    La Dirección General de las Instituciones será responsable de la política de asignación, la cual deberá ser sometida a la aprobación del Consejo.

vii.   El proceso de asignación a líneas de negocio deberá someterse a una revisión independiente al área que la elabore, pudiendo ser interna o externa. Para efectos de determinar si un área interna es independiente, deberá de considerarse lo señalado en el tercer párrafo del Apartado B del Anexo 1-D Bis.

ñ)      Las Instituciones deberán llevar a cabo una revisión y validación anual por parte de un auditor externo independiente de la integridad y consistencia de la base de datos de eventos de pérdidas operacionales.

Sección II

Categorías de tipos de Riesgo Operacional

1.      Fraude Interno: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicada, al menos, una parte interna a la empresa. Dentro de esta categoría se encuentran cuatro clases de eventos de pérdida las cuales son:

a)    Actividades no autorizadas

·         Uso indebido de facultades y poderes

·         Operaciones no reveladas (intencionalmente)

·         Operaciones no autorizadas (con pérdidas pecuniarias)

·         Valoración errónea de posiciones (intencional)

b)    Fraude Interno

·         Fraude / fraude crediticio / depósitos sin valor

·         Hurto / extorsión / malversación / robo

·         Apropiación indebida de activos

·         Destrucción dolosa de activos

·         Falsificación Interna

·         Utilización de cheques sin fondos

·         Contrabando

·         Apropiación de cuentas, de identidad, entre otros

·         Incumplimiento / evasión de impuestos (intencional)

·         Soborno / cohecho

·         Abuso de información privilegiada (no a favor de la empresa)

c)     Vulnerabilidad a la seguridad de los sistemas

·         Vulneración de sistemas de seguridad

·         Daños por ataques informáticos

·         Robo de información (con pérdidas pecuniarias)

·         Utilización inadecuada de claves de acceso y/o niveles de autorización

d)    Suplantación de identidad

·         Falsificación interna / suplantación de personalidad

2.      Fraude Externo: Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte de un tercero. En esta categoría se encuentran las clases de eventos de pérdida siguientes:

a)    Fraude Externo

·         Utilización fraudulenta de cheques

·         Uso y/o divulgación de información privilegiada

·         Espionaje industrial

·         Contrabando

b)    Seguridad de los sistemas

·         Vulneración de sistemas de seguridad

·         Daños por ataques informáticos

·         Robo de información (con pérdidas pecuniarias)

·         Utilización inadecuada de claves de acceso y/o niveles de autorización

c)     Fraude con tarjetas bancarias

·         Utilización fraudulenta de tarjetas de crédito y débito

d)    Asalto o robo

·         Asalto / hurto / robo / estafa / extorsión / soborno

e)    Suplantación de identidad

·         Falsificación externa / suplantación de personalidad

3.      Relaciones Laborales y Seguridad en el Puesto de Trabajo: Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con la diversidad/discriminación. Dentro de esta categoría se encuentran las siguientes clases de eventos de pérdida:

a)    Deficiencias en la gestión de las relaciones laborales

·         Cuestiones relativas a la remuneración, prestaciones sociales, extinción de contratos y recursos humanos

·         Organización laboral

b)    Incumplimiento de higiene y seguridad en el trabajo

·         Casos relacionados con las normas de higiene y seguridad en el trabajo

·         Indemnización a los trabajadores

c)     Discriminación laboral, difamación y acoso personal

·         Todo tipo de discriminación

·         Invasión a la intimidad, acoso y/o hostigamiento

4.      Clientes, Productos y Prácticas Empresariales: Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto. Las clases de eventos de pérdida que se encuentran dentro de esta categoría son:

a)    Adecuación, divulgación de información y confianza

·         Abusos de confianza / incumplimiento de pautas

·         Aspectos de adecuación / divulgación de información

·         Quebrantamiento de la privacidad de información sobre clientes minoristas

·         Quebrantamiento de privacidad

·         Ventas agresivas

·         Confusión de cuentas

·         Abuso de información confidencial

·         Responsabilidad del prestamista

b)    Prácticas empresariales, de mercado o comerciales improcedentes o impropias

·         Prácticas restrictivas de la competencia

·         Prácticas comerciales / de mercado improcedentes

·         Manipulación del mercado

·         Abuso de información privilegiada (a favor de la empresa)

·         Actividades no autorizadas

·         Lavado de dinero

c)     Productos Defectuosos

·         Defectos del producto

·         Error de los modelos

d)    Selección, Patrocinio y Riesgos

·         Ausencia de investigación a clientes conforme a las directrices

e)    Asesoramiento deficiente a los clientes

·         Litigios sobre resultados de las actividades de asesoramiento

5.      Eventos externos: Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos. Dentro de esta categoría existen las clases de evento de pérdida siguientes:

a)    Desastres naturales

·         Pérdidas por desastres naturales

b)    Acontecimientos o siniestros provocados

·         Pérdidas por causas externas (terrorismo, vandalismo)

6.      Incidencias en el Negocio y Fallos en los Sistemas: Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas. De igual modo, en esta categoría existen las clases de evento de pérdida definidas como:

a)    Hardware

·         Fallas físicas en la operación de los equipos

b)    Software

·         Afectación en la integridad y confidencialidad de la información procesada en los sistemas / materialización de eventos que se apartan de los parámetros habituales

c)     Telecomunicaciones

·         Afectación en la disponibilidad de los servicios / fallas en la operación de los equipos / incumplimiento con los niveles de servicio.

d)    Interrupción / incidencias en el suministro de energía

·         Interrupción o afectación de la operación del negocio debidas al suministro de energía.

e)    Daños en la infraestructura

·         Interrupción del negocio debido a daños en la infraestructura

7.      Ejecución, Entrega y Gestión de Procesos: Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores. Esta categoría está compuesta por siete clases de eventos de pérdida, los cuales son los siguientes:

a)    Recepción, Ejecución y Mantenimiento de Operaciones

·         Comunicación defectuosa

·         Errores de introducción de datos, mantenimiento o descarga

·         Incumplimiento de plazos o de responsabilidades

·         Ejecución errónea de modelos / sistemas

·         Error contable / atribución a entidades erróneas

·         Errores en otras tareas

·         Fallo en la entrega

·         Fallo en la gestión del colateral

·         Mantenimiento de datos de referencia

b)    Seguimiento y Presentación de Informes

·         Incumplimiento de la obligación de informar

·         Inexactitud de informes externos (con generación de pérdidas)

c)     Deficiencias en el proceso de aceptación de clientes, documentación y contratación

·         Inexistencia de autorizaciones / rechazos de clientes

·         Documentos jurídicos inexistentes / incompletos

·         Errores en los contratos (diseño deficiente, errores tipográficos, cláusulas erróneas, entre otros).

d)    Errores en la gestión de cuentas de clientes

·         Acceso no autorizado a cuentas

·         Registros incorrectos de clientes (con generación de pérdidas)

·         Pérdida o daño de activos de clientes por negligencia

e)    Pérdidas derivadas del incumplimiento de la Normativa

·         De la normativa fiscal

·         De la normativa bancaria - multas

·         De otras normas.

f)     Fallos de contrapartes comerciales

·         Otros litigios con contrapartes distintas de clientes

·         Errores en los contratos (diseño deficiente, errores tipográficos, cláusulas erróneas, entre otros).

g)    Distribuidores y Proveedores / Subcontratación

·         Subcontratación

·         Litigios con distribuidores

·         Errores en los contratos (diseño deficiente, errores tipográficos, cláusulas erróneas, entre otros).

Sección III

Definición de las Líneas de Negocio

Para efectos del presente Anexo 12-A, las Instituciones deberán dividir sus actividades en ocho líneas de negocio Nivel 1 de acuerdo con la tabla siguiente:

Nivel 1	Nivel 2	Grupos de Actividades
Finanzas corporativas	Finanzas corporativas	Fusiones y adquisiciones, suscripción de emisiones, privatizaciones, bursatilizaciones, servicio de estudios, deuda, acciones, sindicaciones, ofertas públicas iniciales, colocaciones privadas en mercados secundarios.
	Finanzas de Administraciones locales / públicas
	Banca de inversión
	Servicios de consultoría
Negociación y ventas	Compras y ventas	Renta fija, renta variable, divisas, crédito, posiciones propias en valores, préstamo de valores, reportos y operaciones similares, operaciones financieras derivadas, intermediación y servicios adicionales, y deuda.
	Formación de mercado
	Posiciones propias
	Tesorería
Banca minorista	Banca minorista	Créditos y depósitos de clientes minoristas, servicios bancarios, fideicomisos y testamentarias.
	Banca privada o patrimonial	Créditos y depósitos de clientes de banca privada o patrimonial, servicios bancarios, fideicomisos y testamentarías, y asesoría de inversión.
	Servicios de tarjetas	Tarjetas de empresa / comerciales, de marca privada y minoristas

 

Banca comercial	Banca comercial	Financiamiento de proyectos, bienes raíces, financiamiento de exportaciones, financiamiento comercial, factoraje, arrendamiento financiero, préstamo, garantías, letras de cambio.
Pago y liquidación1	Clientes externos	Pagos y cobranzas, transferencia de fondos, compensación y liquidación.
Servicios de agencia	Custodia	Depósitos en custodia, certificados de depósito, operaciones de sociedades (clientes) para préstamo de valores.
	Agencia para empresas	Agentes de emisiones y pagos
	Fideicomisos de empresas
Administración de activos	Administración discrecional de fondos	Agrupados, segregados, minoristas, institucionales, cerrados, abiertos, participaciones accionarias.
	Administración no discrecional de fondos	Agrupados, segregados, minoristas, institucionales, de capital fijo, de capital variable
Intermediación minorista / operaciones de corretaje al menudeo	Operaciones de corretaje al menudeo	Recepción, registro, ejecución y asignación.

^1/ Las pérdidas derivadas de las operaciones de pago y liquidación relacionadas con las actividades propias de las Instituciones, se incorporarán al historial de pérdidas de la línea de negocio afectada.

 

ANEXO 36

SERIE R28 INFORMACIÓN DE RIESGO OPERACIONAL

La frecuencia de elaboración y presentación debe ser mensual para el reporte A-2815.

Reporte A-2815

Asignación del Método del Indicador de Negocio. En este reporte se solicita información respecto a los conceptos utilizados para el cálculo del Indicador de Negocio, las cuentas contables de acuerdo al reporte regulatorio R01 A-0111 del Catálogo Mínimo, los saldos correspondientes y su asignación en los tres componentes que integra el método.

 

FORMATO DE CAPTURA

Las Instituciones llevarán a cabo el envío de la información relacionada con el reporte A-2815 descrito anteriormente, mediante la utilización del siguiente formato de captura:

INFORMACIÓN SOLICITADA
SECCIÓN IDENTIFICADOR DEL REPORTE	PERIODO
	CLAVE DE LA INSTITUCIÓN
	REPORTE
SECCIÓN DE ASIGNACIÓN A LOS COMPONENTES DE LA ESTRUCTURA CONTABLE	FECHA DEL REGISTRO CONTABLE
	CLASIFICACIÓN CONTABLE R01 A-0111
	INTEGRACIÓN DE LOS COMPONENTES
	COMPONENTES
	SALDO

 

ANEXO 72

Indicadores de seguridad de la información

El oficial en jefe de seguridad de la información de la Institución, en relación con los indicadores de seguridad de la información a que se refiere la fracción XII del Artículo 168 Bis 14, de las presentes disposiciones, deberá:

1.      Evaluar dichos indicadores, los cuales deberán ajustarse a los umbrales contenidos en este anexo para cada indicador. En caso de definir umbrales diferentes, deberá documentar el motivo, el cual deberá estar alineado al nivel de tolerancia al riesgo de la Institución.

2.      Definir planes de remediación para aquellos riesgos en los que los resultados de la evaluación arrojen valores que se encuentren dentro de los umbrales medios y altos de riesgo establecidos en el presente anexo o, en su caso, aquellos definidos por la Institución, siempre que estos se encuentren en un umbral alto por, al menos, dos periodos consecutivos.

3.      Dar mantenimiento continuo, ya sea para agregar, eliminar o actualizar los indicadores claves de riesgo y de desempeño de seguridad de la información ya existentes, los cuales siempre deberán estar alineados a la estrategia de la Institución y al Plan Director de Seguridad de la información de esta.

4.      Medir y evaluar su evolución con la periodicidad indicada en las siguientes tablas, o antes en caso de eventos inusuales.

5.      En caso de que no apliquen todos los supuestos, indicar que no son aplicables y explicar el motivo.

El tipo, subtipo y subclase de eventos en los que se encuentran clasificados cada uno de los indicadores que se enuncian a continuación, tienen su fundamento en la Sección II del Anexo 12-A de las presentes disposiciones:

Tipo	Definición	Sub Tipo	Sub Clase de Eventos	Ejemplos
I. Fraude Interno	Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente, o bien, soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicada, al menos, una parte interna a la Institución.	1.1 Actividades no autorizadas.	1.1.1 Uso indebido de facultades y poderes 1.1.2 Operaciones no reveladas (intencionalmente). 1.1.3 Operaciones no autorizadas (con pérdidas pecuniarias). 1.1.4 Valoración errónea de posiciones (intencional).	Operaciones no comunicadas; operaciones no autorizadas (con pérdidas pecuniarias); valoración errónea de posiciones, y omisión intencional de normativa.
		1.2 Fraude Interno.	1.2.1 Fraude / fraude crediticio / depósitos sin valor. 1.2.2 Hurto / Extorsión / malversación / robo. 1.2.3 Apropiación indebida de activos. 1.2.4  Destrucción dolosa de activos. 1.2.5 Falsificación Interna. 1.2.6 Utilización de cheques sin fondos. 1.2.7 Contrabando. 1.2.8 Apropiación de cuentas, de identidad, entre otros. 1.2.9 Incumplimiento / evasión de impuestos (intencional). 1.2.10 Soborno / Cohecho. 1.2.11 Abuso de información privilegiada (no a favor de la empresa).	Robo; malversación; apropiación indebida; destrucción de activos; falsificaciones; suplantación de identidad;  y cohechos; manipulación de cuentas.

 

		1.3. Vulnerabilidad a la seguridad de los sistemas.	1.3.1 Vulneración de sistemas de seguridad. 1.3.2 Daños por ataques informáticos. 1.3.3 Robo de información (con pérdidas pecuniarias). 1.3.4 Utilización inadecuada de claves de acceso y/o niveles de autorización.	Abuso y utilización de información privilegiada o confidencial; alteración de aplicaciones informáticas; robo de contraseñas, y accesos informáticos prohibidos.
		1.4. Suplantación de identidad	1.4.1 Falsificación interna / suplantación de personalidad	Falsificación interna y suplantación de personalidad
II. Fraude Externo	Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte de un tercero.	2.1 Fraude Externo.	2.1.1 Utilización fraudulenta de cheques. 2.1.2 Uso y/o divulgación de información privilegiada. 2.1.3 Espionaje industrial. 2.1.4 Contrabando.	Uso indebido de tarjetas robadas, falsificadas, robadas o en listas negras.
		2.2 Seguridad de los Sistemas.	2.2.1 Vulneración de sistemas de seguridad. 2.2.2 Daños por ataques informáticos. 2.2.3 Robo de información (con pérdidas pecuniarias). 2.2.4 Utilización inadecuada de claves de acceso y/o niveles de autorización.	Acceso informático no autorizado; manipulación de aplicaciones informáticas; daños por ataques informáticos, y robo de información.
		2.3 Fraude con tarjetas bancarias	2.3.1 Utilización fraudulenta de tarjetas de crédito y débito	Utilización fraudulenta de tarjetas de crédito y débito
		2.4 Asalto o robo	2.4.1 Asalto / hurto / robo / estafa / extorsión / soborno	Robos en las dependencias de la Institución, en las valijas internas, transportes de efectivo o en paquetes postales.
		2.5 Suplantación de identidad	2.5 1 Falsificación externa / suplantación de personalidad	Documentaciones falsificadas o manipuladas (cheques, transferencias, etc.); suplantación de identidad; disposiciones indebidas; monedas falsas; billetes deteriorados o fuera de curso legal.
VI. Incidencias en el Negocio y Fallos en los Sistemas	Pérdidas derivadas de incidencias en el negocio y de fallas en los sistemas.	6.1 Sistemas	6.1.1 Hardware. 6.1.2 Software. 6.1.3 Telecomunicaciones. 6.1.4 Interrupción / incidencias en el suministro.	Interrupción / incidencias en los suministros y líneas de comunicación; errores en los programas informáticos; fallos en hardware y software; sabotajes; interrupciones del negocio; fallos informáticos y programación de virus.

 

ID

Nombre

Descripción

Dominio

Tipo

Sub Tipo

Sub Clase de Eventos

Tipo de Indicador

Periodo

Unidad de Medi-ción

Cálculo

Variable X

Variable Y

Riesgo Alto

Riesgo Medio

Riesgo Bajo

KRI0001

Incidentes mediante ataques directos contra los sistemas internos.

Número de incidentes que hayan sido originados por ataques hacia los sistemas internos de la Institución, en el periodo establecido.

Ataques lógicos.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Reactivo.

Trimestral.

Cantidad.

Variable X

Número de casos de incidentes identificados.

-

Más de 1.

Igual a 1.

Igual a 0.

KRI0002

Casos de fraude en Banca Electrónica.

Porcentaje de casos donde se identifica un fraude, que haya sido originado por ataques hacia los sistemas de banca electrónica de la Institución, en el periodo establecido.

Ataques lógicos.

II. Fraude Externo

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100

Número de casos de fraude en banca electrónica.

Número de usuarios de banca electrónica activos.

Más del  .01 %.

Entre el 0.005 % y el 0.01 %.

Menos del 0.005 %.

KRI0003

Equipos de la Infraestructura Tecnológica de los que se gestiona su configuración de seguridad.

Porcentaje de equipos de Infraestructura Tecnológica dentro de la plataforma y/o proceso de revisión de estándares de configuración segura, con respecto al total de los equipos de la Institución durante el periodo establecido.

Cumplimiento.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Preventivo.

Mensual.

Porcentual.

(X/Y)*100

Número de equipos dentro de la plataforma o proceso de revisión de estándares de configuración segura.

Número total de equipos.

Menos del 85 %.

Entre 85 % y  95 %.

Más de 95 %.

KRI0004

Nivel de cumplimiento de configuración segura de servidores UNIX/Linux.

Porcentaje promedio de nivel de cumplimiento de servidores UNIX/Linux contemplados dentro de la herramienta y/o proceso de revisión de estándares de configuración segura.

Cumplimiento.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Preventivo.

Mensual.

Promedio porcentual.

Promedio(X)

% de cumplimiento del estándar de configuración segura de cada uno de los Servidores UNIX/Linux.

-

Menos del 90 %.

Entre 90 % y 95 %.

Más de 95 %.

KRI0005

Usuarios con roles y perfiles inadecuados.

Porcentaje de usuarios con perfiles inadecuados dentro de las aplicaciones de la Institución, con respecto al total de usuarios en todas las aplicaciones de la Institución.

Cumplimiento.

I. Fraude Interno

1.3. Vulnerabilidad a la seguridad de los sistemas.

1.3.3 Robo de información (con pérdidas pecuniarias). 1.3.4 Utilización inadecuada de claves de acceso y/o niveles de autorización.

Correctivo.

Semestral.

Porcentual.

(X/Y)*100

Número de usuarios con perfiles incorrectos, considerando todas las aplicaciones.

Número total de usuarios considerando todas las aplicaciones.

Más del 3 %.

Entre 1% y 3 %.

Menos del 1 %.

KRI0006

Aplicaciones sin roles y perfiles.

Porcentaje de aplicaciones las cuales no poseen la capacidad un perfilamiento de roles y permisos, o que dichos perfiles no están implementados, esto con respecto al total de aplicaciones.

Cumplimiento.

I. Fraude Interno.

1.3. Vulnerabilidad a la seguridad de los sistemas.

1.3.3 Robo de información (con pérdidas pecuniarias). 1.3.4 Utilización inadecuada de claves de acceso y/o niveles de autorización

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de aplicaciones sin capacidad de perfilamiento, o perfilamiento no implementado.

Número total de aplicaciones.

Más del 5 %.

Entre 2 % y 5 %.

Menos del 2 %.

KRI0007

Incidentes de seguridad de la información en general

Número total de incidentes reportados durante el periodo establecido referentes a seguridad de la información.

Información.

Aplica a: I. Fraude Interno II. Fraude Externo VI. Incidencias en el Negocio y Fallos en los Sistemas.

Aplican a: 1.3. Vulnerabilidad a la seguridad de los sistemas 2.2 Seguridad de los Sistemas. 6.1 Sistemas.

Aplican a: 1.3.1 Vulneración de sistemas de seguridad 1.3.2 Daños por ataques informáticos. 1.3.3 Robo de información (con pérdidas pecuniarias). 1.3.4 Utilización inadecuada de claves de acceso y/o niveles de autorización. 2.2.1 Vulneración de sistemas de seguridad. 2.2.2 Daños por ataques informáticos. 2.2.3 Robo de información (con pérdidas pecuniarias). 2.2.4 Utilización inadecuada de claves de acceso y/o niveles de autorización. 6.1.1 Hardware. 6.1.2 Software. 6.1.3 Telecomunicaciones. 6.1.4 Interrupción / incidencias en el Suministro

Reactivo.

Mensual.

Cantidad.

Variable X.

Número de incidentes de seguridad. de la información

-

Más de 5.

De 2 a 5.

Menos de 2.

KRI0008

Plataformas tecnológicas obsoletas y/o desactualizadas

Porcentaje de plataformas tecnológicas que se encuentran sobre versiones obsoletas y/o sin soporte por el fabricante

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Semestral

Porcentual.

(X/Y)*10.

Número de plataformas tecnológicas obsoletas.

Total de plataformas tecnológicas.

Más del 5 %.

Entre 2 % y 5 %.

Menos del 2 %

KRI0009

Caídas de sistemas relacionados con la red de cajeros automáticos.

Número de caídas de sistemas relacionados con la red de cajeros automáticos mayores a 10 minutos.

Infraestructura.

VI. Incidencias en el Negocio y Fallas en los Sistemas.

6.1 Sistemas.

6.1.4 Interrupción / incidencias en el Suministro.

Reactivo.

Mensual.

Cantidad.

Variable X.

Numero de caídas de sistemas.

-

Más de 1.

Igual a 1.

Igual a 0.

 

KRI0010

Incidentes de seguridad por vulnerabilidades de sistemas provistos por proveedores (terceros).

Porcentaje de incidentes de seguridad causados por vulnerabilidades en sistemas e infraestructura tecnológica provistos por proveedores (terceros) que no pertenezcan a la nómina de la institución, reportados durante el periodo establecido, con respecto al total de incidentes de seguridad.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad. 2.2.2 Daños por ataques informáticos. 2.2.3 Robo de información (con pérdidas pecuniarias). 2.2.4 Utilización inadecuada de claves de acceso y/o niveles de autorización.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de incidentes de seguridad de atribuidos a vulnerabilidades en sistemas provistos por proveedores (terceros).

Número total de incidentes de seguridad.

Más del 5 %.

Entre 0.1 % y 5 %.

Menor a 0.1 %.

KRI0011

Vulnerabilidades críticas pendientes de corregir detectadas en las pruebas de hackeo ético.

Número de vulnerabilidades en los sistemas de información que, de acuerdo con las pruebas de hackeo ético, se cataloguen como críticas, las cuales tengan más de un mes de antigüedad a partir de su fecha de detección.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Preventivo.

Mensual.

Cantidad.

Variable X.

Número de vulnerabilidades críticas pendientes de corregir con antigüedad de más de un mes.

-

Más de 2.

Entre 1 y 2.

Igual a 0.

KRI0012

Indisponibilidad de los sistemas de TI.

Porcentaje promedio del tiempo de indisponibilidad de los sistemas contra el tiempo total del periodo establecido.

Infraestructura.

VI. Incidencias en el Negocio y Fallas en los Sistemas.

6.1 Sistemas.

6.1.4 Interrupción / incidencias en el Suministro.

Reactivo.

Mensual.

Promedio Porcentual.

Promedio(X).

Promedio de tiempo de indisponibilidad de los sistemas de TI.

-

Más del  0.5 %.

Entre 0.25 %  y 0.5 %.

Menos de  0.25 %.

KRI0013

Indisponibilidad de banca electrónica.

Porcentaje del tiempo indisponibilidad contra el tiempo total del sistema de banca electrónica contra el mes en cuestión.

Infraestructura.

VI. Incidencias en el Negocio y Fallos en los Sistemas.

6.1 Sistemas.

6.1.4 Interrupción / incidencias en el Suministro.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100.

Tiempo de indisponibilidad de la banca electrónica.

Tiempo total establecido para la banca electrónica.

Más del  0.25 %.

Entre 0.15 %  y 0.25 %.

Menos de  0.15 %.

KRI0014

Incidentes críticos y de alta prioridad en ambientes productivos.

Porcentaje de incidentes calificados como críticos y de alta prioridad en ambientes de producción respecto al total de incidentes en producción.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de incidentes en producción calificados como críticos.

Número total de incidentes en producción.

Mayor o igual a 0.5 %.

Mayor a 0% y menor 0.5 %.

Igual a 0 %.

KRI0015

Componentes de la infraestructura tecnológica expuestos a internet sin pruebas de hackeo ético y/o análisis de vulnerabilidades.

Porcentaje de los componentes de la infraestructura tecnológica de la organización expuestos hacia internet a los cuales no se haya realizado hackeo ético o análisis de vulnerabilidades, con respecto al total de equipos en más de 3 meses.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de activos expuestos a internet que no hayan realizado pruebas de hackeo ético o análisis de vulnerabilidades.

Número de activos expuestos a internet.

Más del 3 %.

Entre el 1 % y 3 %.

Menos del 1 %.

KRI0016

Vulnerabilidades críticas pendientes de corregir detectadas en los análisis de vulnerabilidades.

Número de vulnerabilidades en los sistemas de información que, de acuerdo con los análisis de vulnerabilidades se cataloguen como críticas, las cuales, tengan más de un mes de antigüedad a partir de su fecha de detección.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Cantidad.

Variable X.

Número total de vulnerabilidades críticas.

-

Más de 2

Entre 1 y 2

Igual a 0

KRI0017

Casos de fraude reportados por los clientes de banca electrónica.

Porcentaje de casos de fraude reportados por los clientes de la banca electrónica de la Institución, considerando el número total de clientes de banca electrónica en el periodo establecido.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de casos de fraude reportados  en banca electrónica.

Número de clientes de banca electrónica.

Más de 0.005 %

Entre 0.003 % y 0.005 %

Menor a 0.003 %

KRI0018

Infraestructura Tecnológica obsoleta y/o sin soporte.

Cantidad de equipos e Infraestructura Tecnológica, que se encuentran en versiones obsoletas o sin soporte, en comparación con toda la infraestructura de IT activa en el periodo establecido.

Infraestructura.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de equipos e infraestructura obsoleta.

Número total de equipos activos.

Más del 5 %.

Entre 2 % y 5 %.

Menos del 2 %.

KRI0019

Servidores sin solución antimalware.

Porcentaje de servidores sin antimalware respecto del total de servidores.

Malware.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de servidores sin antimalware.

Número total de servidores.

Más del 6 %.

Entre 3% y 6 %.

Menor a 3 %.

KRI0020

Servidores con firmas de  antimalware desactualizadas.

Porcentaje de servidores con firmas de antimalware (malware signatures) desactualizados respecto del total de servidores con antimalware en cada Institución

Malware.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de servidores con firmas antimalware desactualizadas.

Número total de servidores con antimalware.

Más del 6 %

Entre 3% y 6 %

Menor a 3 %

 

KRI0021

Workstations sin solución antimalware

Porcentaje de workstations sin antimalware con respecto al total de equipos

Malware.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de workstations sin antimalware.

Número total de workstations.

Más del 8 %.

Entre 4% y 8 %.

Menor a 4 %.

KRI0022

Workstations con firmas de antimalware desactualizadas.

Porcentaje de las workstations  que cuentan con las firmas de antimalware (malware signatures) desactualizadas con respecto al total de equipos de cómputo con antimalware instalado.

Malware.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de workstations con firmas antimalware desactualizadas.

Número de workstations con antimalware.

Más del 8 %.

Entre 4% y 8 %.

Menor a 4 %.

KRI0023

Incidentes de seguridad atribuidos a personal de proveedores (terceros).

Porcentaje de incidentes de seguridad relacionados a personal de proveedores (terceros) que no pertenezcan a la nómina de la Institución, reportadas durante el periodo establecido, con respecto al total de incidentes de seguridad.

Incidentes.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Reactivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de incidentes de seguridad relacionados con personal de proveedores (terceros).

Número de incidentes de seguridad total de personal de proveedores (terceros).

Más del 5 %.

Mayor a 0 % y menor 5 %.

Igual a 0 %.

KRI0024

Servidores con versiones de sistema operativo obsoletas.

Porcentaje total de servidores con versiones de sistema operativo obsoletas comparado contra número total de servidores.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de servidores con versiones de sistema operativo obsoletas.

Número total de servidores.

Más de  10 %.

Entre 5% y 10 %.

Menor a 5 %.

KRI0025

Aplicaciones en producción con cumplimiento parcial o deficiente de los controles de seguridad.

Porcentaje de las aplicaciones en producción con cumplimientos parciales o deficientes, con respecto a las políticas de seguridad establecidas,  en cuestiones de seguridad, con respecto al total de aplicaciones.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de controles de seguridad deficientes en aplicaciones en producción.

Número total de controles de seguridad.

Más de 5 %.

Entre 2 % y 5 %.

Menos de 2 %.

KRI0026

Data base managers (DBM) con versiones de tecnología obsoletas o no soportadas.

Porcentaje de manejadores de data base managers(DBM), los cuales son versiones de tecnologías obsoletas o no soportadas por el fabricante, en comparación con el total de data base managers (DBM) activos en el periodo establecido.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de data base managers (DBM) obsoletas o no soportadas.

Número total data base managers (DBM).

Más del  10 %.

Entre 5 % y 10 %.

Menos del 5 %.

KRI0027

Aplicaciones obsoletas o no soportadas.

Porcentaje de aplicaciones dentro de la Institución, las cuales se encuentran obsoletas o sin soporte por el fabricante, con relación a todas las aplicaciones activas durante el periodo establecido.

Software.

II. Fraude Externo. VI. Incidencias en el Negocio y Fallos en los Sistemas.

2.2 Seguridad de los Sistemas. 6.1 Sistemas.

2.2.1 Vulneración de sistemas de seguridad. 6.1.2 Software.

Correctivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de aplicaciones obsoletas o no soportadas.

Total de aplicaciones activas.

Más de 5 %.

Entre 2 % y 5 %.

Menos de 2 %.

KRI0028

Servidores Windows  y UNIX/Linux sin cobertura de parches de seguridad.

Porcentaje de servidores sin los parches de seguridad más recientes en sistemas operativos Windows y UNIX/Linux, con respecto al total de servidores activos durante el periodo establecido.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y)*100.

Número de servidores sin los parches de seguridad más recientes instalados.

Total de servidores.

Más del 5 %.

Entre 2 % y 5 %.

Menos del 2 %.

KRI0029

Workstations sin cobertura de parches de seguridad.

Porcentaje de workstations sin los de parches de seguridad más recientes indistinto del sistema operativo de que se trate, con respecto al total de workstations de la institución.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Correctivo.

Mensual.

Porcentual.

(X/Y))*100.

Número workstations sin los parches de seguridad más recientes instaladas totales.

Número de workstations totales.

Más del 3 %.

Entre 1 % y 3 %.

Menos del 1 %.

KRI0030

Data base managers (DBM) sin cobertura de parches de seguridad.

Porcentaje de data base managers (DBM) sin cobertura de los parches de seguridad más recientes, con respecto al total de data base managers (DBM)  durante el periodo establecido.

Software.

II. Fraude Externo.

2.2 Seguridad de los Sistemas.

2.2.1 Vulneración de sistemas de seguridad.

Preventivo.

Trimestral.

Porcentual.

(X/Y)*100.

Número de data base managers (DBM) sin cobertura de parches de seguridad.

Número total de data base managers (DBM).

Más del 5 %.

Entre 2 % y 5 %.

Menos del 2 %.