Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Hacienday Crédito Público.- Comisión Nacional Bancaria y de Valores.
La Comisión Nacional Bancaria y de Valores con fundamento en lo dispuesto por los artículos 97 de la Ley de Instituciones de Crédito y 4 fracciones II y VI, 6, 16 fracción I y 19 de la Ley de la Comisión Nacional Bancaria y de Valores, y
Que resulta necesario impulsar la cultura de la administración de riesgos en las instituciones de crédito, estableciendo al efecto lineamientos mínimos que habrán de ser implementados para llevar a cabo la identificación, medición, vigilancia, limitación, control y divulgación de los distintos tipos de riesgos que enfrentan en su actividad diaria;
Que la eficacia de la administración de riesgos depende en gran medida de un adecuado seguimiento por parte de los órganos sociales responsables de la marcha de las instituciones, así como de la instrumentación, difusión y correcta aplicación de manuales de políticas y procedimientos en la materia;
Que resulta conveniente que las instituciones de crédito incorporen en su proceso de administración integral de riesgos, aquéllos relacionados con el riesgo operativo, así como los derivados de la realización de operaciones bancarias a través de tecnologías de información, en particular, cuando se encuentren relacionadas con la prestación de sus servicios a través de la red electrónica mundial denominada Internet, y
Que es conveniente compilar y actualizar la normatividad relativa a la regulación prudencial en materia de administración integral de riesgos, aplicable a las instituciones de crédito, ha resuelto emitir las siguientes:
Artículo 1.- Las instituciones de crédito deberán observar los lineamientos mínimos seņalados en las presentes Disposiciones sobre administración integral de riesgos, y establecer mecanismos que les permitan realizar sus actividades con niveles de riesgo acordes con sus respectivos capital neto y capacidad operativa.
Las instituciones de crédito deberán proveer lo necesario para que las posiciones de riesgo de sus subsidiarias financieras se ajusten a lo previsto en estas Disposiciones. Tratándose de las inversiones que efectúen en sociedades de inversión, las instituciones de crédito considerarán como activos sujetos a riesgo, las inversiones que mantengan en la parte fija o variable del capital social de las sociedades mencionadas, con independencia de que éstas tengan o no el carácter de subsidiarias financieras.
Para efectos de las presentes Disposiciones se entenderá por:
I. Administración integral de riesgos, al conjunto de objetivos, políticas, procedimientos y acciones que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se encuentran expuestas las instituciones de crédito, así como sus subsidiarias financieras.
II. Comisión, a la Comisión Nacional Bancaria y de Valores.
III. Consejo, al consejo de administración en el caso de instituciones de banca múltiple y al consejo directivo tratándose de instituciones de banca de desarrollo.
IV. Factor de riesgo, a la variable económica u operativa cuyos movimientos pueden generar cambios en los rendimientos o en el valor de los activos, pasivos o patrimonio de la institución.
V. Independencia, a la condición que presenta una unidad respecto a otra en términos de no tener conflicto de interés alguno que afecte el adecuado desempeņo de sus funciones.
VI. Institución o instituciones de crédito, a las instituciones de banca múltiple y a las instituciones de banca de desarrollo.
VII. Límite específico de exposición al riesgo, a la magnitud permisible de exposición a un riesgo discrecional determinado, asignada desde a una línea de negocio, factor de riesgo, causa u origen del mismo hasta a un empleado o funcionario en específico al interior de una institución de crédito.
VIII. Límite global de exposición al riesgo, a la magnitud permisible de exposición a los distintos tipos de . riesgo discrecionales por unidad de negocio o por factor, causa u origen de los mismos, para una institución de crédito en su totalidad.
IX. Nivel de tolerancia al riesgo, a la magnitud permisible de exposición a un riesgo no discrecional, para una institución de crédito en su totalidad.
X. Riesgo consolidado, al riesgo de la institución y sus subsidiarias financieras, tomadas en su conjunto.
XI. Subsidiarias financieras, a las entidades financieras que sean objeto de consolidación contable de conformidad con los criterios de contabilidad para las instituciones, expedidos por la Comisión, exceptuando aquellas que estén sujetas a normas prudenciales emitidas por una autoridad financiera mexicana distinta a la Comisión.
XII. Unidad de negocio, a las áreas originadoras y tomadoras de riesgos discrecionales al interior de las instituciones.
Artículo 2.- Los riesgos a que se encuentran expuestas las instituciones, así como sus subsidiarias financieras, podrán clasificarse en los tipos siguientes:
I. Riesgos cuantificables, que son aquéllos para los cuales es posible conformar bases estadísticas que permitan medir sus pérdidas potenciales, y dentro de éstos, se encuentran los siguientes:
a. Riesgos discrecionales, que son aquéllos resultantes de la toma de una posición de riesgo, tales como el:
1. Riesgo de crédito o crediticio, que se define como la pérdida potencial por la falta de pago de un acreditado o contraparte en las operaciones que efectúan las instituciones, incluyendo las garantías reales o personales que les otorguen, así como cualquier otro mecanismo de mitigación utilizado por las instituciones de crédito.
2. Riesgo de liquidez, que se define como la pérdida potencial por la imposibilidad o dificultad de renovar pasivos o de contratar otros en condiciones normales para la institución, por la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a sus obligaciones, o bien, por el hecho de que una posición no pueda ser oportunamente enajenada, adquirida o cubierta mediante el establecimiento de una posición contraria equivalente.
3. Riesgo de mercado, que se define como la pérdida potencial por cambios en los factores de riesgo que inciden sobre la valuación o sobre los resultados esperados de las operaciones activas, pasivas o causantes de pasivo contingente, tales como tasas de interés, tipos de cambio, índices de precios, entre otros.
b) Riesgos no discrecionales, que son aquellos resultantes de la operación del negocio, pero que no son producto de la toma de una posición de riesgo, tales como el riesgo operativo que se define como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información, así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende, entre otros, al riesgo tecnológico y al riesgo legal, en el entendido de que:
1. El riesgo tecnológico, se define como la pérdida potencial por daņos, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución.
2. El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo.
II. Riesgos no cuantificables, que son aquéllos derivados de eventos imprevistos para los cuales no se puede conformar una base estadística que permita medir las pérdidas potenciales.
Artículo 3.- Las instituciones, para la administración integral de riesgos deberán:
I. Definir sus objetivos sobre la exposición al riesgo y desarrollar políticas y procedimientos para la administración de los distintos tipos de riesgo a los que se encuentran expuestas, sean éstos cuantificables o no.
II. Delimitar claramente las diferentes funciones, actividades y responsabilidades en materia de administración integral de riesgos entre sus distintos órganos sociales, unidades administrativas y personal de operación y de apoyo, en los términos de las presentes Disposiciones.
III. Identificar, medir, vigilar, limitar, controlar, informar y revelar los riesgos cuantificables a los que están expuestas, considerando, en lo conducente, los riesgos no cuantificables.
IV. Agrupar, considerando a sus subsidiarias financieras, los distintos tipos de riesgo a que se encuentran expuestas, por unidad de negocio o por factor de riesgo, causa u origen de éstos. Adicionalmente, los agruparán de forma global, incorporando para ello los riesgos de todas las unidades de negocio o los factores de riesgo, causa u origen de los mismos.
Artículo 4.- El Consejo de cada institución será responsable de aprobar los objetivos, lineamientos y políticas para la administración integral de riesgos, los límites globales y específicos de exposición a los distintos tipos de riesgo y los mecanismos para la realización de acciones correctivas. El Consejo podrá delegar al comité de riesgos la facultad de aprobar los límites específicos antes mencionados.
Asimismo, el Consejo deberá revisar cuando menos una vez al aņo los límites globales y específicos por tipo de riesgo y los objetivos, lineamientos y políticas de operación y control para la administración integral de riesgos de la institución.
Artículo 5.- El director general de la institución, será responsable de vigilar que se mantenga la independencia necesaria entre las unidades para la administración integral de riesgos y las de negocios. Adicionalmente deberá adoptar las medidas siguientes:
I. Establecer como mínimo programas semestrales de revisión por parte de la unidad para la administración integral de riesgos y de las de negocios, respecto al cumplimiento de objetivos, procedimientos y controles en la celebración de operaciones, así como de los límites de exposición y niveles de tolerancia al riesgo.
II. Asegurarse de la existencia de adecuados sistemas de almacenamiento, procesamiento y manejo de información.
III. Difundir y, en su caso, implementar planes de acción para casos de contingencia en los que por caso fortuito o fuerza mayor, se impida el cumplimiento de los límites de exposición y niveles de tolerancia al riesgo aplicables.
IV. Establecer programas de capacitación y actualización para el personal de la unidad para la administración integral de riesgos, y para todo aquél involucrado en las operaciones que impliquen riesgo para la institución.
V. Establecer procedimientos que aseguren un adecuado flujo, calidad y oportunidad de la información, entre las unidades de negocios y para la administración integral de riesgos, a fin de que esta última cuente con los elementos necesarios para llevar a cabo su función.
VI. Una vez aprobada por el comité de riesgos, suscribir la evaluación a que se refiere el artículo 14 de las presentes Disposiciones para su presentación al Consejo y a la Comisión.
Artículo 6.- El Consejo de cada institución deberá constituir un comité cuyo objeto será la administración de los riesgos a que se encuentra expuesta y vigilar que la realización de las operaciones se ajuste a los objetivos, políticas y procedimientos para la administración integral de riesgos, así como a los límites globales de exposición al riesgo, que hayan sido previamente aprobados por el citado Consejo.
El comité de riesgos deberá integrarse de conformidad con lo siguiente:
I. Tratándose de instituciones de banca múltiple por:
a. Cuando menos dos miembros propietarios del Consejo, uno de los cuales deberá presidir dicho comité.
b) El director general.
c) El responsable de la unidad para la administración integral de riesgos.
d) El auditor interno de la institución y las personas que sean invitadas al efecto, quienes como el primero podrán participar con voz pero sin voto.
En el caso de instituciones de banca múltiple filiales de instituciones financieras del exterior, el comité de riesgos deberá contar con la participación de al menos uno de los miembros del Consejo, siempre que no se trate de aquellas filiales que resulten de adquisiciones autorizadas por la Secretaría de Hacienda y Crédito Público, conforme a lo dispuesto en el artículo segundo transitorio del Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Ley para Regular las Agrupaciones Financieras, de la Ley de Instituciones de Crédito y de la Ley del Mercado de Valores, publicado en el Diario Oficial de la Federación el 15 de febrero de 1995.
II. Tratándose de instituciones de banca de desarrollo por:
a. Cuando menos un miembro del Consejo.
b) Cuando menos un experto independiente en riesgos designado por el Consejo.
c) El director general.
d) El responsable de la unidad para la administración integral de riesgos.
e) El responsable de la función de auditoría interna de la institución y las personas que sean invitadas al efecto, quienes como el primero podrán participar con voz pero sin voto.
El comité de riesgos, deberá reunirse cuando menos una vez al mes y todas las sesiones y acuerdos se harán constar en actas debidamente circunstanciadas y suscritas por todos y cada uno de los asistentes.
Artículo 7.- El comité de riesgos, para el desarrollo de su objeto, desempeņará las funciones siguientes:
I. Proponer para aprobación del Consejo:
a. Los objetivos, lineamientos y políticas para la administración integral de riesgos, así como las eventuales modificaciones que se realicen a los mismos.
b) Los límites globales y, en su caso, específicos para exposición a los distintos tipos de riesgo considerando el riesgo consolidado, desglosados por unidad de negocio o factor de riesgo, causa u origen de éstos, tomando en cuenta, según corresponda, lo establecido en los artículos 16 a 22 de estas disposiciones.
c) Los mecanismos para la implementación de acciones correctivas.
d) Los casos o circunstancias especiales en los cuales se puedan exceder tanto los límites . globales como los específicos.
II. Aprobar:
a. Los límites específicos para riesgos discrecionales, cuando tuviere facultades delegadas del Consejo para ello, así como los niveles de tolerancia tratándose de riesgos no discrecionales.
b) La metodología y procedimientos para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos tipos de riesgo a que se encuentra expuesta la institución, así como sus eventuales modificaciones.
c) Los modelos, parámetros y escenarios que habrán de utilizarse para llevar a cabo la valuación, medición y el control de los riesgos que proponga la unidad para la administración integral de riesgos, mismos que deberán ser acordes con la tecnología de la institución.
d) Las metodologías para la identificación, valuación, medición y control de los riesgos de las nuevas operaciones, productos y servicios que la institución pretenda ofrecer al mercado.
e) Las acciones correctivas propuestas por la unidad para la administración integral de riesgos.
f) La evaluación de los aspectos de la administración integral de riesgos a que se refiere el artículo 14 de las presentes disposiciones para su presentación al Consejo y a la Comisión.
g) Los manuales para la administración integral de riesgos, de acuerdo con los objetivos, lineamientos y políticas establecidos por el consejo, a que se refiere el último párrafo del artículo 15 de las presentes Disposiciones.
h) El informe a que se refiere el artículo 14 de las presentes Disposiciones.
III. Designar y remover al responsable de la unidad para la administración integral de riesgos.
La designación o remoción respectiva, deberá ratificarse por el Consejo de la institución.
IV. Informar al Consejo, cuando menos trimestralmente, sobre la exposición al riesgo asumida por la institución y los efectos negativos que se podrían producir en el funcionamiento de la misma, así como sobre la inobservancia de los límites de exposición y niveles de tolerancia al riesgo establecidos.
V. Informar al Consejo sobre las acciones correctivas implementadas, conforme a lo previsto en la fracción II, inciso e) de este artículo.
VI. Asegurar, en todo momento, el conocimiento por parte de todo el personal involucrado en la toma de riesgos, de los límites globales y específicos para riesgos discrecionales, así como los niveles de tolerancia tratándose de riesgos no discrecionales.
El comité de riesgos revisará cuando menos una vez al aņo, lo seņalado en los incisos a), b) y c) de la fracción II del presente artículo.
Artículo 8.- El comité de riesgos previa aprobación del Consejo podrá, de acuerdo con los objetivos, lineamientos y políticas para la administración integral de riesgos, ajustar o autorizar de manera excepcional que se excedan los límites específicos de exposición a los distintos tipos de riesgo, cuando las condiciones y el entorno de la institución así lo requieran. En los mismos términos, el comité podrá solicitar al Consejo el ajuste o la autorización para que se excedan excepcionalmente los límites globales de exposición a los distintos tipos de riesgo.
I. Medir, vigilar y controlar que la administración integral de riesgos considere todos los riesgos en que incurre la institución dentro de sus diversas unidades de negocio, incluyendo el riesgo consolidado.
II. Proponer al comité de riesgos para su aprobación las metodologías, modelos y parámetros para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos tipos de riesgos a que se encuentra expuesta la institución, así como sus modificaciones.
III. Verificar la observancia de los límites globales y específicos, así como los niveles de tolerancia aceptables por tipo de riesgo cuantificables considerando el riesgo consolidado, desglosados por unidad de negocio o factor de riesgo, causa u origen de éstos, utilizando, para tal efecto, los modelos, parámetros y escenarios para la medición y control del riesgo aprobados por el citado comité.
Tratándose de riesgos no cuantificables, la unidad para la administración integral de riesgos, deberá recabar la información que le permita evaluar el probable impacto que dichos riesgos pudieran tener en la adecuada operación de la institución.
IV. Proporcionar al comité de riesgos la información relativa a:
a. La exposición tratándose de riesgos discrecionales así como la incidencia e impacto en el caso de los riesgos no discrecionales, considerando el riesgo consolidado de la institución desglosado por unidad de negocio o factor de riesgo, causa u origen de éstos. Los informes sobre la exposición de riesgo, deberán incluir análisis de sensibilidad y pruebas bajo diferentes escenarios, incluyendo los extremos.
En este último caso deberán incluirse escenarios donde los supuestos fundamentales y los parámetros utilizados se colapsen, así como los planes de contingencia que consideren la capacidad de respuesta de la institución ante dichas condiciones.
b) Las desviaciones que, en su caso, se presenten con respecto a los límites de exposición y a los niveles de tolerancia al riesgo establecidos.
c) Las propuestas de acciones correctivas necesarias como resultado de una desviación observada respecto a los límites de exposición y niveles de tolerancia al riesgo autorizados.
d) La evolución histórica de los riesgos asumidos por la institución.
La información a que hace referencia el inciso a), relativa a los riesgos discrecionales deberá proporcionarse cuando menos mensualmente al comité de riesgos, al director general de la institución y a los responsables de las unidades de negocio, y por lo menos cada tres meses, al Consejo. Por su parte, la información correspondiente a los riesgos no discrecionales, deberá proporcionarse a las instancias citadas cuando menos trimestralmente.
La información que se genere con motivo de la medición del riesgo de mercado, deberá proporcionarse diariamente al director general de la institución y a los responsables de las unidades de negocio respectivas.
La información sobre las desviaciones a que hace referencia el inciso b), deberá entregarse al director general de la institución y a los responsables de las áreas de negocio involucradas en forma inmediata, así como al comité de riesgos y al Consejo, en su sesión inmediata siguiente. El director general deberá convocar una reunión extraordinaria del comité de riesgos, cuando la desviación detectada lo amerite.
Las propuestas de acciones correctivas a que hace referencia el inciso c), deberán presentarse en forma inmediata al comité de riesgos y al director general de la institución.
La información sobre la evolución histórica de los riesgos asumidos por la institución a que hace referencia el inciso d), deberá proporcionarse mensualmente al comité de riesgos y de manera trimestral al Consejo.
V. Investigar y documentar las causas que originan desviaciones a los límites establecidos de exposición al riesgo, identificar si dichas desviaciones se presentan en forma reiterada e informar de manera oportuna sus resultados al comité de riesgos, al director general y al responsable de las funciones de auditoría interna de la institución.
VI. Recomendar, en su caso, al director general y al comité de riesgos, disminuciones a las exposiciones observadas, y/o modificaciones a los límites globales y específicos de exposición al riesgo y niveles de tolerancia al riesgo según sea al caso.
VII. Calcular, con base en la información que habrán de proporcionarle las unidades administrativas correspondientes de la institución, los requerimientos de capitalización por riesgo de crédito o crediticio y riesgo de mercado con que deberá cumplir esta última, con el objeto de verificar que la misma se ajuste a las disposiciones aplicables.
VIII. Analizar mensualmente el impacto que la toma de riesgos asumida por la institución, tiene sobre el grado o nivel de suficiencia de capital a que hace referencia la fracción VII anterior.
IX. Elaborar y presentar al comité, las metodologías para la valuación, medición y control de los riesgos de nuevas operaciones, productos y servicios, así como la identificación de los riesgos implícitos que representan.
Artículo 11.- La unidad para la administración integral de riesgos, para llevar a cabo la medición, vigilancia y control de los diversos tipos de riesgo discrecionales y la valuación de las posiciones de la institución, deberá:
I. Contar con modelos y sistemas de medición de riesgos que reflejen en forma precisa el valor de las posiciones y su sensibilidad a diversos factores de riesgo, incorporando información proveniente de fuentes confiables. Dichos sistemas deberán:
a. Facilitar la medición, vigilancia y control de los riesgos a que se encuentra expuesta la institución, así como generar informes al respecto.
b) Considerar para efectos de análisis:
1. La exposición por todo tipo de riesgo considerando el riesgo consolidado de la institución, desglosados por unidad de negocio o factor de riesgo, causa u origen de éstos.
2. El impacto que, en el valor del capital y en el estado de resultados de la institución, provocan las alteraciones de los diferentes factores de riesgo, para lo cual las áreas encargadas del registro contable deberán proporcionar a la unidad la información necesaria para estos fines.
3. Las concentraciones de riesgo que puedan afectar el riesgo consolidado de la institución.
c) Evaluar el riesgo asociado con posiciones fuera de balance de la institución.
d) Contar con adecuados mecanismos de respaldo y control que permitan la recuperación de datos, de los sistemas de procesamiento de información empleados en la administración de riesgos y de modelos de valuación.
e) Analizar y evaluar permanentemente las técnicas de medición, los supuestos y parámetros utilizados en los análisis requeridos.
II. Llevar a cabo estimaciones de la exposición por tipo de riesgo, considerando el riesgo consolidado de la institución.
III. Asegurarse de que las áreas responsables generen la información sobre las posiciones de la institución, utilizada en los modelos y sistemas de medición de riesgos, y se encuentre disponible de manera oportuna.
IV. Evaluar, al menos una vez al aņo, que los modelos y sistemas referidos en la fracción I anterior continúan siendo adecuados. Los resultados de dichas revisiones deberán presentarse al comité de riesgos.
V. Comparar, al menos una vez al mes, las estimaciones de la exposición por tipo de riesgo considerando el riesgo consolidado de la institución, contra los resultados efectivamente observados para el mismo periodo de medición y, en su caso, llevar a cabo las correcciones necesarias modificando el modelo cuando se presenten desviaciones.
VI. Asegurar que toda deficiencia detectada respecto a la calidad, oportunidad e integridad de la información empleada por la unidad sea reportada a las áreas responsables de su elaboración y control, así como al área encargada de las funciones de auditoría interna.
Artículo 12.- Las instituciones podrán dar cumplimiento a la normatividad de carácter prudencial en materia de crédito, en lo que respecta a la vigilancia del riesgo crediticio, designando a la unidad para la administración integral de riesgos para el cumplimiento de las actividades seņaladas en las fracciones I a IV y VI de la decimoquinta de dichas disposiciones. El resto de las actividades de evaluación y seguimiento ahí contenidas podrán ser realizadas por la unidad responsable de crédito o, en su caso, por la unidad para la administración integral de riesgos, lo cual deberá quedar documentado. La Comisión podrá objetar tales designaciones.
Artículo 13.- Las instituciones de banca múltiple deberán contar con un área de auditoría interna independiente de las unidades de negocio y administrativas, cuyo responsable o responsables serán designados por el Consejo o, en su caso, por el comité de auditoría que lleve a cabo, cuando menos una vez al aņo o al cierre de cada ejercicio una auditoría de administración integral de riesgos que contemple, entre . otros, los aspectos siguientes:
I. El desarrollo de la administración integral de riesgos de conformidad con lo establecido en las presentes Disposiciones, con los objetivos, lineamientos y políticas en la materia aprobados por el Consejo, así como con los manuales para la administración integral de riesgos a que se refiere el último párrafo del artículo 15 de las presentes Disposiciones.
II. La organización e integración de la unidad para la administración integral de riesgos y su independencia de las unidades de negocios.
III. La suficiencia, integridad, consistencia y grado de integración de los sistemas de procesamiento de información y para el análisis de riesgos, así como de su contenido.
IV. La consistencia, precisión, integridad, oportunidad y validez de las fuentes de información y bases de datos utilizadas en los modelos de medición.
V. La validación y documentación de las eventuales modificaciones en los modelos de medición de riesgos, y su correspondiente aprobación por el comité de riesgos.
VI. La validación y documentación del proceso de aprobación de los modelos de medición de riesgos utilizados por el personal de las unidades de negocios y de control de operaciones, así como de los sistemas informáticos utilizados.
VII. La modificación de los límites de exposición y niveles de tolerancia a los distintos tipos de riesgo y de los controles internos, de acuerdo a los objetivos, lineamientos y políticas para la administración integral de riesgos, aprobados por el Consejo.
VIII. El desarrollo de las funciones del área de contraloría interna, según se establece en las disposiciones de carácter prudencial en materia de control interno que les resulten aplicables.
Tratándose de instituciones de banca de desarrollo, la auditoría a que hace referencia el presente artículo, deberá comprender adicionalmente el desarrollo de las funciones de control contenidas en los puntos A, B, C y D del artículo 23 de las presentes Disposiciones.
Las instituciones de banca múltiple filiales, siempre que no se trate de aquellas filiales que resulten de adquisiciones autorizadas por la Secretaría de Hacienda y Crédito Público conforme a lo dispuesto en el artículo segundo transitorio del Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Ley para Regular las Agrupaciones Financieras, de la Ley de Instituciones de Crédito y de la Ley del Mercado de Valores, publicado en el Diario Oficial de la Federación el 15 de febrero de 1995, podrán asignar la función de auditoría interna a que hace referencia el presente artículo, al área que realice dicha función en la institución financiera del exterior a la que aquéllas pertenezcan, siempre que lo hagan del previo conocimiento de la Comisión, debiendo en todo momento mantener a disposición de esta misma Comisión toda la documentación, informes y papeles de trabajo relacionados con las auditorías realizadas.
Los resultados de la auditoría deberán asentarse en un informe que contendrá los criterios y procedimientos utilizados para su realización y, en su caso, las recomendaciones para solucionar las irregularidades observadas. Dicho informe se presentará a más tardar en el mes de febrero de cada aņo al Consejo, al comité de riesgos y al director general de la institución, debiendo también remitirse a la Comisión dentro de los primeros diez días hábiles del mes de marzo del mismo aņo.
Artículo 14.- Las instituciones adicionalmente a las funciones de auditoría interna a que alude el artículo anterior, deberán llevar a cabo una evaluación técnica de los aspectos de la administración integral de riesgos seņalados en el Anexo 1 de las presentes Disposiciones, cuando menos cada dos ejercicios sociales.
Los resultados de la evaluación se asentarán en un informe suscrito por el director general, en calidad de responsable. Dicho informe será aprobado por el comité de riesgos, sin el voto del director general, debiendo presentarse al Consejo de la institución y remitirse a la Comisión dentro de los primeros diez días hábiles del mes de marzo siguiente al periodo bianual al que esté referido el informe.
El informe contendrá las conclusiones generales sobre el estado que guarda la administración integral de riesgos de la institución, incluyendo las opiniones y observaciones respecto de cada uno de los aspectos que se contienen en el Anexo 1 citado anteriormente, así como las medidas correctivas que se estimen convenientes a fin de resolver las deficiencias que, en su caso, se hayan identificado.
La Comisión podrá ordenar antes de que concluya el referido periodo de dos ejercicios sociales, la realización de una evaluación que cumpla con los requisitos que contiene el Anexo 1 de las presentes Disposiciones, cuando a juicio de la propia Comisión, existan cambios significativos en los procesos y prácticas de administración integral de riesgos de la institución o en caso de que se observe un deterioro en la estabilidad financiera, solvencia y liquidez de la institución, acorde a lo previsto en el artículo 5, quinto párrafo de la Ley de la Comisión Nacional Bancaria y de Valores.
Artículo 15.- Las instituciones deberán contemplar en los objetivos, lineamientos y políticas para la administración integral de riesgos, cuando menos, los aspectos siguientes:
I. El perfil de riesgo así como los objetivos de exposición al mismo.
II. La estructura organizacional que soporta el proceso de administración integral de riesgos.
Dicha estructura deberá establecerse de manera que exista independencia entre la unidad para la administración integral de riesgos y las unidades de negocio, así como una clara delimitación de funciones y perfil de puestos en todos sus niveles.
III. Las facultades y responsabilidades de aquellas personas que desempeņen empleos o cargos, que impliquen la toma de riesgos para la institución.
IV. La clasificación de los riesgos por tipo de operación y línea de negocios.
V. Los límites globales y, en su caso, específicos, de exposición al riesgo.
VI. La forma y periodicidad con la que se deberá informar al Consejo, al comité de riesgos, al director general y a las unidades de negocio, sobre la exposición al riesgo de la institución y de cada unidad de negocio.
VII. Las medidas de control interno, así como las correspondientes para corregir las desviaciones que se observen sobre los límites de exposición y niveles de tolerancia al riesgo.
VIII. El proceso para aprobar, desde una perspectiva de administración integral de riesgos, operaciones, servicios, productos y líneas de negocio que sean nuevos para la institución, así como estrategias de administración integral de riesgos y, en su caso, de coberturas. Las propuestas correspondientes deberán contar, entre otros aspectos, con una descripción general de la nueva operación, servicio o línea de que se trate, el análisis de sus riesgos implícitos a cargo de la unidad para la administración integral de riesgos, el procedimiento a utilizar para identificar, medir, vigilar, controlar, informar y revelar tales riesgos, así como una opinión sobre la viabilidad jurídica de la . propuesta.
IX. Los planes de acción para reestablecer niveles mínimos de la operación del negocio en caso de presentarse eventos fortuitos o de fuerza mayor.
X. El proceso para, en su caso, obtener la autorización para exceder de manera excepcional los límites de exposición y niveles de tolerancia al riesgo.
Las modificaciones que, en su caso, pretendan efectuarse a los objetivos, lineamientos y políticas para la administración integral de riesgos, deberán ser propuestas por el comité de riesgos de la institución y aprobadas por el Consejo.
Los manuales para la administración integral de riesgos deberán ser documentos técnicos que contengan, entre otros, los diagramas de flujo de información, modelos y metodologías para la valuación de los distintos tipos de riesgo, así como de los requerimientos de los sistemas de procesamiento de información y para el análisis de riesgos.
Artículo 16.- Las instituciones deberán llevar a cabo la administración por tipo de riesgo de acuerdo con la clasificación establecida en el artículo 2 de las presentes Disposiciones y en términos de lo que se establece a continuación.
Artículo 17.- Las instituciones en la administración del riesgo de crédito o crediticio, como mínimo deberán:
I. Por lo que hace al riesgo de crédito o crediticio en general:
a. Establecer políticas y procedimientos que contemplen los aspectos siguientes:
1. Límites de riesgo que la institución está dispuesta a asumir.
2. Límites de riesgo a cargo de personas que representen riesgo común, de conformidad con las "Reglas generales para la diversificación de riesgos en la realización de operaciones activas y pasivas aplicables a las instituciones de crédito", emitidas por la Comisión y publicadas en el Diario Oficial de la Federación el 30 de abril de 2003.
3. Vigilancia y control efectivo de la naturaleza, características, diversificación y calidad de la cartera de crédito.
II. Por lo que hace al riesgo de la cartera crediticia en específico:
a. Medir, evaluar y dar seguimiento a su concentración por tipo de financiamiento, calificación, sector económico, zona geográfica y acreditado.
b) Dar seguimiento periódico a su evolución y posible deterioro, con el propósito de anticipar pérdidas potenciales.
c) Calcular la probabilidad de incumplimiento, así como la exposición al riesgo por parte de los deudores.
d) Desarrollar sistemas de medición que permitan cuantificar las pérdidas esperadas de toda la cartera.
e) Estimar las pérdidas no esperadas de toda la cartera.
f) Comparar sus exposiciones estimadas de riesgo de crédito o crediticio, con los resultados efectivamente observados. En caso de que los resultados proyectados y los observados difieran significativamente, se deberán realizar las correcciones necesarias.
g) Calcular las pérdidas potenciales bajo distintos escenarios, incluyendo escenarios extremos.
III. Por lo que hace al riesgo específico en operaciones con instrumentos financieros, incluyendo los derivados:
a. Diseņar procedimientos de control del riesgo de crédito o crediticio de operaciones a plazo relacionados con la naturaleza de dicha operación, con su valor en el tiempo y con la calidad crediticia de la contraparte.
b) Estimar la exposición al riesgo con instrumentos financieros, incluyendo los derivados, tanto actual como futura, entendiéndose por esto el valor de reemplazo de la posición y a los cambios en dicho valor a lo largo de la vida remanente de la posición, respectivamente. Para tal efecto, las instituciones deberán considerar los medios de pago, así como las garantías en función de su liquidez y su riesgo de mercado.
c) Calcular la probabilidad de incumplimiento de la contraparte.
d) Analizar el valor de recuperación, así como los mecanismos de mitigación y estimar la pérdida . esperada en la operación.
e) Efectuar las comparaciones en los términos del inciso f) de la fracción II anterior.
f) Calcular las pérdidas potenciales bajo distintos escenarios, incluyendo escenarios extremos.
Artículo 18.- Las instituciones en la administración del riesgo de liquidez, como mínimo deberán:
I. Medir, evaluar y dar seguimiento al riesgo ocasionado por diferencias entre los flujos de efectivo proyectados en distintas fechas, considerando para tal efecto los activos y pasivos de la institución, denominados en moneda nacional, en moneda extranjera y en unidades de inversión.
II. Evaluar la diversificación de las fuentes de financiamiento a que tenga acceso la institución.
III. Cuantificar la pérdida potencial derivada de la venta anticipada o forzosa de activos a descuento inusual, para hacer frente a sus obligaciones inmediatas, así como por el hecho de que una posición no pueda ser oportunamente enajenada, adquirida o cubierta mediante el establecimiento de una posición contraria equivalente.
IV. Estimar la pérdida potencial ante la imposibilidad de renovar pasivos o de contratar otros en condiciones normales.
V. Asegurar que los modelos utilizados estén adecuadamente calibrados.
VI. Contar con un plan que incorpore las acciones a seguir en caso de presentarse requerimientos inesperados de liquidez.
VII. Calcular las pérdidas potenciales bajo distintos escenarios, incluyendo escenarios extremos.
Artículo 19.- Las instituciones en la administración del riesgo de mercado, por lo que hace a títulos para negociar, títulos disponibles para la venta, operaciones de reporto, otras operaciones con valores y los instrumentos derivados clasificados como de negociación así como los de cobertura para las posiciones primarias mencionadas en este artículo, como mínimo deberán:
I. Analizar, evaluar y dar seguimiento a todas las posiciones sujetas a riesgo de mercado antes mencionadas, utilizando para tal efecto modelos de valor en riesgo que tengan la capacidad de medir la pérdida potencial en dichas posiciones, asociada a movimientos de precios, tasas de interés o tipos de cambio, con un nivel de probabilidad dado y sobre un periodo específico.
II. Procurar la consistencia entre los modelos de valuación de las posiciones en instrumentos financieros, incluyendo los derivados, utilizados por la unidad para la administración integral de riesgos y aquellos aplicados por las diversas unidades de negocios.
III. Evaluar la concentración de sus posiciones sujetas a riesgo de mercado.
IV. Comparar las exposiciones de riesgo de mercado estimadas con los resultados efectivamente observados. En caso de que los resultados proyectados y los observados difieran significativamente, se deberán realizar las correcciones necesarias.
V. Contar con la información histórica de los factores de riesgo necesaria para el cálculo del riesgo de mercado.
VI. Calcular las pérdidas potenciales bajo distintos escenarios, incluyendo escenarios extremos.
Artículo 20.- Tratándose de títulos conservados a vencimiento, de instrumentos financieros derivados de cobertura de posiciones primarias distintas a las incluidas en el artículo 19 anterior, así como de las demás posiciones sujetas a riesgo de mercado no incluidas en el artículo seņalado, las instituciones para la administración del riesgo de mercado, deberán sujetarse a lo siguiente:
I. Analizar, evaluar y dar seguimiento a las variaciones de ingresos financieros y de valor económico como resultado del riesgo de mercado, utilizando para tal efecto modelos de riesgos que tengan la capacidad de medir la pérdida potencial en dichas posiciones, asociada a movimientos de tipos de cambio y tasas de interés por moneda, sobre un periodo específico.
II. Procurar la consistencia entre los modelos de valuación de las posiciones en instrumentos financieros, incluyendo los derivados, utilizados por la unidad para la administración integral de riesgos y aquéllos aplicados por las diversas unidades de negocios.
III. Comparar las variaciones de ingresos financieros estimadas con los resultados efectivamente observados. En caso de que los resultados proyectados y los observados difieran significativamente, se deberán realizar las correcciones necesarias.
IV. Contar con la información histórica de los factores de riesgo necesaria para cálculo de ingresos financieros en riesgo.
V. Calcular la exposición por riesgo bajo distintos escenarios, incluyendo escenarios extremos.
Artículo 21.- Las instituciones de crédito podrán aplicar a títulos clasificados como disponibles para la venta lo dispuesto en el artículo 20, exceptuándolos de lo establecido en el artículo 19, siempre y cuando:
I. Previa aprobación por parte de su comité de riesgos, justifiquen a la vicepresidencia de la Comisión encargada de su supervisión, las características de permanencia que presentan dichos títulos y demuestren que éstos serán gestionados como parte estructural del balance, y
II. Establezcan controles internos que aseguren la gestión de los títulos en los términos establecidos en la fracción I anterior.
La Comisión podrá ordenar se suspenda la aplicación del régimen de excepción a que se refiere este artículo, cuando detecte insuficiencias en el sistema de administración integral de riesgos o de control interno de la institución o, en su caso, cuando los supuestos que justificaban su aplicación dejen de tener sustento o validez.
Artículo 22.- Para que se reconozca el propósito único de cobertura de un instrumento financiero derivado y sea sujeto a lo establecido en los artículos 19 o 20 anteriores, se deberá cumplir con lo establecido al efecto en los criterios contables aplicables emitidos por la Comisión debiéndose demostrar, entre otros, que existe una relación inversa significativa entre los cambios en el valor razonable del instrumento financiero de cobertura y el valor del activo o pasivo a cubrir. Esta relación deberá ser sustentada por evidencia estadística suficiente, debiéndose además dar seguimiento a la efectividad de la cobertura.
Artículo 23.- Las instituciones de banca múltiple para llevar a cabo la administración del riesgo operativo, deberán asegurarse del cumplimiento de las disposiciones prudenciales en materia de control interno para las instituciones de banca múltiple emitidas por esta Comisión.
Por su parte, las instituciones de banca de desarrollo deberán asegurar:
A. La implementación de controles internos que procuren la seguridad en las operaciones, que permitan verificar la existencia de una clara delimitación de funciones y niveles de autorización.
B. El establecimiento de mecanismos para el control en la liquidación de las operaciones.
C. La existencia de sistemas de procesamiento de información para la administración de riesgos, que permitan reestablecer los niveles mínimos de la operación del negocio ante fallas técnicas, eventos fortuitos o de fuerza mayor.
D. El establecimiento de procedimientos relativos a la guarda, custodia, mantenimiento y control de expedientes que contengan lo relativo a los distintos tipos de servicios y operaciones que realiza la institución.
Las funciones anteriores que, en principio, corresponden a la dirección general de las instituciones de banca de desarrollo, podrán ser asignadas a un área específica o, en su caso, a personal distribuido en varias áreas, siempre y cuando la dirección general se asegure de que se trata de personas o unidades independientes.
En adición a lo expuesto, las instituciones de crédito deberán como mínimo desarrollar las funciones siguientes respecto de:
I. La administración del riesgo operativo:
a. Identificar y documentar los procesos que describen el quehacer de cada unidad de la institución.
b) Identificar y documentar los riesgos operativos implícitos a los procesos a que hace referencia el inciso a) anterior.
c) Evaluar e informar por lo menos trimestralmente, las consecuencias que sobre el negocio generaría la materialización de los riesgos identificados e informar los resultados a los responsables de las unidades implicadas, a fin de que se evalúen las diferentes medidas de control de dichos riesgos.
d) Establecer los niveles de tolerancia para cada tipo de riesgo identificado, definiendo sus causas, orígenes o factores de riesgo.
e) Para el registro de eventos de pérdida por riesgo operativo, incluyendo el tecnológico y legal, deberán:
1. Obtener una clasificación detallada de las distintas unidades y líneas de negocio al interior de la institución de crédito.
2. Identificar y clasificar los diferentes tipos de eventos de pérdida conforme al numeral anterior.
3. Mantener una base de datos histórica que contenga el registro sistemático de los diferentes tipos de pérdida y su costo, en correspondencia con su registro contable, debidamente identificados con la línea o unidad de negocio de origen, según las clasificaciones al efecto definidas por los numerales 1 y 2 anteriores.
El desempeņo de las funciones descritas en los incisos a), b), c) y d) a que hace referencia la presente fracción serán responsabilidad del comité de riesgos de la institución de crédito de que se trate, pudiendo auxiliarse en el área que se estime conveniente, siempre y cuando con ello no se susciten conflictos de interés.
Por lo que toca a las funciones relativas al riesgo operativo a que hace referencia el inciso e) anterior, su desempeņo corresponderá a la unidad de administración integral de riesgos de la institución de crédito correspondiente. Para ello, las instituciones deberán establecer mecanismos que aseguren un adecuado flujo, calidad y oportunidad de la información entre la referida unidad de administración integral de riesgos y el resto de las unidades al interior de la entidad, a fin de que estas últimas provean a la primera los elementos necesarios para llevar a cabo su función.
II. La administración del riesgo tecnológico:
a. Evaluar la vulnerabilidad en el hardware, software, sistemas, aplicaciones, seguridad, recuperación de información y redes, por errores de procesamiento u operativos, fallas en procedimientos, capacidades inadecuadas, insuficiencias de los controles instalados, entre otros.
b) Considerar en la implementación de controles internos, respecto del hardware, software, sistemas, aplicaciones, seguridad, recuperación de información y redes de la institución, cuando menos, los aspectos siguientes:
1. Mantener políticas y procedimientos que aseguren en todo momento el nivel de calidad del servicio y la seguridad e integridad de la información; lo anterior con especial énfasis cuando las instituciones contraten la prestación de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha información.
2. Asegurar que cada operación o actividad realizada por los usuarios deje constancia electrónica que conformen registros de auditoría.
3. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecución de las operaciones y servicios bancarios realizados.
c) En caso de mantener canales de distribución para operaciones bancarias con clientes realizadas a través de la red electrónica mundial denominada Internet, cajeros automáticos, banca telefónica, sucursales, entre otros, deberán en lo conducente:
1. Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generación, almacenamiento, transmisión y recepción de las claves de identificación y acceso para los usuarios.
2. Implementar medidas de control que garanticen la protección, seguridad y confidencialidad de la información generada por la realización de operaciones bancarias a través de cualquier medio tecnológico.
3. Contar con esquemas de control y políticas de operación, autorización y acceso a los sistemas, bases de datos y aplicaciones implementadas para la realización de operaciones bancarias a través de cualquier medio tecnológico.
4. Incorporar los medios adecuados para respaldar y, en su caso, recuperar la información que se genere respecto de las operaciones bancarias que se realicen a través de cualquier medio tecnológico.
5. Diseņar planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebración de operaciones bancarias, a través de cualquier medio tecnológico. Dichos planes deberán comprender, además, las medidas necesarias que permitan minimizar y reparar los efectos generados por eventualidades que, en su caso, llegaren a afectar el continuo y permanente funcionamiento de los servicios.
6. Establecer mecanismos para la identificación y resolución de aquellos actos o eventos que puedan generarle a la institución, riesgos derivados de:
i. Comisión de hechos, actos u operaciones fraudulentas a través de medios tecnológicos.
ii. Contingencias generadas en los sistemas relacionados con los servicios bancarios prestados y operaciones celebradas a través de cualquier medio tecnológico.
iii. El uso inadecuado por parte de los usuarios de los canales de distribución antes mencionados, para operar con la institución, a través de los medios citados en el presente artículo.
La institución deberá evaluar las circunstancias que en materia de riesgo tecnológico pudieran influir en su operación ordinaria, las cuales se sujetarán a vigilancia permanente a fin de verificar el desempeņo del proceso de administración integral de riesgos.
III. La administración del riesgo legal:
a. Establecer políticas y procedimientos para que en forma previa a la celebración de actos jurídicos, se analice la validez jurídica y procure la adecuada instrumentación legal de éstos, incluyendo la formalización de las garantías en favor de la institución, a fin de evitar vicios en la celebración de las operaciones.
b) Estimar el monto de pérdidas potenciales derivado de resoluciones judiciales o administrativas desfavorables, así como la posible aplicación de sanciones, en relación con las operaciones que se lleven a cabo. En dicha estimación, deberán incluirse los litigios en los que la institución sea actora o demandada, así como los procedimientos administrativos en que ésta participe.
c) Analizar los actos que realice la institución cuando se rijan por un sistema jurídico distinto al nacional, y evaluar las diferencias existentes entre el sistema de que se trate y el nacional, incluyendo lo relativo al procedimiento judicial.
d) Dar a conocer a sus directivos y empleados, las disposiciones legales y administrativas aplicables a las operaciones.
e) Realizar, cuando menos anualmente, auditorías legales internas. En todo caso, la persona o unidad responsable de dicha auditoría deberá ser independiente del departamento jurídico de la institución.
f) Mantener una base de datos histórica sobre las resoluciones judiciales y administrativas, sus causas y costos, asegurándose que aquellas resoluciones judiciales y administrativas que resulten eventos de pérdida sean incluidas en la fracción I, inciso e), numeral 3 de este artículo.
Corresponderá al comité de riesgos de la institución de crédito el cumplimiento de las funciones relativas al riesgo tecnológico y al riesgo legal a que hacen referencia las fracciones II y III anteriores, respectivamente, pudiendo auxiliarse en el área que se estime conveniente, siempre y cuando con ello no se susciten conflictos de interés.
Artículo 24.- Las instituciones deberán contar con informes que se basen en datos íntegros, precisos y oportunos relacionados con su administración de riesgos y que como mínimo contengan:
I. La exposición por tipo de riesgo en los casos de riesgos discrecionales, así como los niveles de incidencia e impacto en el caso de los riesgos no discrecionales, considerando el riesgo consolidado de la institución, desglosados por unidad de negocio o factor de riesgo, causa u origen de éstos. Los informes sobre la exposición de riesgo, deberán incluir análisis de sensibilidad y pruebas bajo condiciones extremas.
En este sentido y respecto a los riesgos no cuantificables, los informes deberán contener una descripción del riesgo de que se trate, las posibles causas y consecuencias de su materialización, incluyendo en la medida de lo posible una estimación de su impacto financiero y propuestas de acciones a fin de minimizar dicha exposición.
II. El grado de cumplimiento de los objetivos, lineamientos y políticas para la administración integral de riesgos.
III. Los resúmenes de los resultados de las auditorías o evaluaciones a que hacen referencia los artículos 13 y 14 de las presentes Disposiciones, según sea el caso, por lo que hace al cumplimiento de los objetivos, lineamientos y políticas para la administración integral de riesgos, así como sobre las evaluaciones de los sistemas de medición de riesgos.
IV. Los casos en que los límites de exposición o los niveles de tolerancia al riesgo fueron excedidos, según se trate de riesgos discrecionales o no discrecionales, ya sea que se contara o no con autorización previa.
Cualquier cambio significativo en el contenido y estructura de los informes, así como en las metodologías empleadas en la medición de riesgos, deberá especificarse dentro de los propios informes.
Artículo 25.- Las instituciones deberán revelar al público inversionista, a través de notas a sus estados financieros y de manera trimestral a través de su página en la red electrónica mundial denominada Internet, la información relativa a las políticas, metodologías, niveles de riesgo asumidos y demás medidas relevantes adoptadas para la administración de cada tipo de riesgo, debiendo contemplar, como mínimo lo siguiente:
I. Información cualitativa:
a. Descripción de los aspectos cualitativos relacionados con el proceso de administración integral de riesgos.
b) Los principales elementos de las metodologías empleadas en la administración de los riesgos de mercado, liquidez, crédito o crediticio y operativo, incluyendo:
1. Breve descripción de las metodologías para identificar y cuantificar los riesgos de crédito, liquidez y mercado.
2. Breve descripción de las metodologías empleadas para la administración y control del riesgo operativo, incluyendo el tecnológico y el legal.
c) Carteras y portafolios a los que se les está aplicando.
d) Breve explicación de la forma en que se deben interpretar los resultados de las cifras de riesgo que se den a conocer, incorporando, entre otros, la descripción del nivel de confianza y horizonte de tiempo utilizados en cada metodología, así como una descripción del tratamiento de riesgo de mercado aplicado a los títulos disponibles para la venta.
II. Información cuantitativa:
Revelación de los riesgos de mercado, crédito, liquidez y operativo, incluyendo el tecnológico y legal, a que esté expuesta la institución a la fecha de emisión de los estados financieros. En este sentido deberán revelar, cuando menos lo siguiente:
a. Valor en riesgo.
b) Evaluación de variaciones en los ingresos financieros y en el valor económico.
c) Estadística descriptiva del riesgo de crédito o crediticio, incluyendo, entre otros, los niveles de riesgo y las pérdidas esperadas.
d) Valores promedio de la exposición por tipo de riesgo correspondiente al periodo de revelación.
e) Informe de las consecuencias y pérdidas que sobre el negocio generaría la materialización de los riesgos operativos identificados.
La Comisión se reserva la facultad de hacer requerimientos adicionales de revelación de información.
Artículo 26.- Las instituciones deberán proporcionar a la Comisión, en la forma y términos que la misma establezca, la información que en ejercicio de sus facultades de supervisión les requiera, relativa a la administración integral de riesgos que lleven a cabo.
PRIMERA.- Las presentes Disposiciones entrarán en vigor el día siguiente al de su publicación en el Diario Oficial de la Federación.
SEGUNDA.- A la entrada en vigor de estas Disposiciones quedarán derogadas las Circulares 1423 y 1473 expedidas por la Comisión Nacional Bancaria y de Valores. Lo anterior, sin perjuicio de lo previsto en las disposiciones tercera y cuarta siguientes.
TERCERA.- Las instituciones que a la fecha de entrada en vigor de estas Disposiciones, aún no hubieran presentado a la Comisión el informe a que se referían las disposiciones decimanovena y decimoctava de las circulares 1423 y 1473, respectivamente, correspondiente al ejercicio de 2003, podrán hacerlo en términos de lo dispuesto por el artículo 14 de las presentes Disposiciones, siempre que se presente a la vicepresidencia encargada de su supervisión, a más tardar el 15 de julio de 2004.
CUARTA.- Las instituciones contarán con un plazo de 90 días hábiles contado a partir de la entrada en vigor de las presentes Disposiciones, para presentar a la vicepresidencia encargada de su supervisión, un plan estratégico de implementación para todos los aspectos contenidos en las mismas.
Asimismo, las instituciones contarán con un término que vencerá el 30 de junio de 2005 para implementar lo establecido en las presentes Disposiciones, salvo por lo que corresponde a lo seņalado en la fracción I del artículo 23, para lo cual tendrán un plazo que concluirá el 30 de junio de 2007.
Los plazos previstos en esta disposición transitoria no serán aplicables para la implementación de las disposiciones prudenciales en materia de administración de riesgos que con anterioridad a la entrada en vigor de las presentes Disposiciones ya fueran exigibles a las instituciones de crédito.
Atentamente
México, D.F., a 1 de junio de 2004.- El Presidente de la Comisión Nacional Bancaria y de Valores, Jonathan Davis Arzac.- Rúbrica.
I. El reporte deberá abarcar los distintos tipos de riesgo a que se encuentran expuestas las instituciones en su parte cuantificable. Tratándose de proyectos en desarrollo, deberá describir y evaluar los avances y el proyecto de implementación que se tengan al día de la evaluación.
II. Los aspectos relevantes a revisar para cada uno de los tipos de riesgo, relativos a las metodologías de los sistemas de medición de riesgos, son:
a. Procedimientos y criterios utilizados para evaluar el grado de confiabilidad estadística de los modelos utilizados, su justificación teórica, así como su estabilidad ante cambios en las condiciones normales de operación del mercado y de la Institución.
b) Procedimientos y criterios utilizados para evaluar que los resultados proporcionados por los modelos internos de medición de riesgos, garanticen que el modelo proporciona una medida confiable de las pérdidas potenciales en el tiempo.
c) Procedimientos y criterios utilizados para evaluar la adecuación y suficiencia de los factores de riesgo que afectan a la Institución.
d) Procedimientos y criterios utilizados para evaluar la adecuación y suficiencia de las pruebas de desempeņo bajo diferentes escenarios, que utiliza la Institución, incluyendo escenarios extremos.
e) Procedimientos y criterios utilizados para comparar la consistencia entre las valuaciones realizadas por los sistemas de riesgos, en relación con las presentadas por otras fuentes de información (p.e. proveedor de precios, calificadoras, entre otros).
f) Procedimientos y criterios que sean utilizados por la Institución, para evaluar la capacidad predictiva y la exactitud de los resultados obtenidos con los modelos.
Por otro lado, la Institución deberá informar si a la fecha del reporte conoce que se realizarán en el futuro cambios relevantes en sus parámetros, portafolios, posiciones y/o metodologías, así como una calendarización de los mismos.
El reporte de la Institución deberá, cuando menos:
a. Ser un documento técnico.
b) Contener pruebas y evidencia de los avances y mejoras en los proyectos, sistemas, metodologías y cambios que han realizado.
c) Contener evidencia de que los modelos, metodologías y sistemas de medición de riesgos continúan siendo funcionales y acordes a la operación de la Institución.
d) Incluir los mecanismos mediante los cuales se asegure que el producto y los resultados de los modelos, son considerados para la toma de decisiones.
e) Contener una evaluación del grado de conciliación alcanzado por las estimaciones derivadas de la aplicación de los modelos de riesgo y los resultados efectivamente registrados contablemente. Asimismo, de presentarse desviaciones, éstas deberán ser analizadas y deberán proponerse las medidas correctivas que se estimen necesarias para alcanzar su conciliación.