1. Gestión de Riesgos y Continuidad Operativa

• ISO 31000 (Gestión de Riesgos):
  • No es obligatorio contar con la certificación ISO 31000.
  • Las entidades deben presentar una metodología robusta de administración de riesgos operativos, que incluya:
    • Un mapa de procesos.
    • Identificación, medición, control y monitoreo de riesgos.
    • Matriz de evaluación de riesgos (según el Anexo 11).
• ISO 22301 (Continuidad del Negocio):
  • No se exige certificación, pero las entidades deben entregar un Plan de Continuidad del Negocio basado en estándares y mejores prácticas internacionales (según el Anexo 13).
• ISO 27001 (Seguridad de la Información):
  • No es necesaria la certificación ISO 27001.
  • Se debe presentar evidencia de políticas, procesos y procedimientos de seguridad de la información alineados con estándares internacionales (según el Anexo 12).

2. Documentos Operativos y de Gobernanza:

• Manual de Buen Gobierno Corporativo: Adaptado a la estructura administrativa de la entidad.
• Plan de Contingencia Actualizado: Incluyendo medidas específicas para mitigar interrupciones operativas.
• Política de Protección de Datos Personales: Conforme a la Ley Orgánica de Protección de Datos Personales.
• Manual de Atención a Clientes y Usuarios: Que detalle:
  • Procesos para resolver reclamos.
  • Gestión de incidentes relacionados con los servicios ofrecidos.
  • Políticas de escalabilidad y tiempos de respuesta.

3. Infraestructura Tecnológica y Financiera:

• Esquema Operativo Detallado: Describiendo clientes, usuarios, comercios, entidades financieras, canales de pago, diagramas de flujo y conexión con otros participantes.
• Capacidad Tecnológica: Detalle de infraestructura, contratos con proveedores (locales y extranjeros), y diagramas de red (según el Anexo 10).
• Estados Financieros Actualizados: Incluyendo los dos últimos ejercicios fiscales y del mes previo.
• Informes de Auditoría Externa: Si corresponde.
• Proyecciones Financieras: Que demuestren viabilidad, sostenibilidad y factibilidad técnica.

4. Obligaciones de Reporte:

• Presentar mensualmente:
  • Detalle de transacciones procesadas.
  • Información sobre reservas de liquidez.
  • Incidentes registrados en los servicios.
• Notificar hechos extraordinarios dentro de las 48 horas posteriores al suceso.

Supervisión y Vigilancia:

• Las entidades serán sometidas a:
  • Supervisión in situ: Mediante visitas del Banco Central para verificar el cumplimiento de los requisitos.
  • Supervisión extra situ: A través de reportes remotos y análisis de documentación.
• Se aplicarán medidas correctivas si no cumplen con los requisitos establecidos.

Resumen de las Normas Relacionadas (31000, 22301, 27001):

• No se exige certificación formal de las normas ISO mencionadas, pero se requiere implementar y demostrar la existencia de políticas y procesos alineados con estos estándares internacionales.

Contribución de:

Raúl V. González C.

Socio Risk, Governance & Compliance

Russell Bedford Ecuador