CAPÍTULO 3.2.

DE LA ADMINISTRACIÓN INTEGRAL DE RIESGOS

Para los efectos de los artículos 69, 70, 71, 72 y 337 de la LISF:

3.2.1.Como parte del sistema de gobierno corporativo cuya instrumentación y seguimiento es responsabilidad del consejo de administración, las Instituciones y Sociedades Mutualistas deberán establecer un sistema de administración integral de riesgos, eficaz y permanente.

Será responsabilidad del consejo de administración de cada Institución o Sociedad Mutualista aprobar el sistema de administración integral de riesgos, el cual deberá comprender de manera clara y explícita los objetivos, políticas y procedimientos para la administración integral de riesgos que sean consistentes con el plan de negocios de la Institución o Sociedad Mutualista, e incluirá los procesos y procedimientos necesarios para vigilar, administrar, medir, controlar, mitigar e informar de manera continua los riesgos a que, de manera individual y agregada, pueda estar expuesta la Institución o Sociedad Mutualista, así como los límites de tolerancia aplicables a cada uno de ellos.

En el caso de Instituciones que utilicen un modelo interno para el cálculo total o parcial del RCS, el sistema de administración integral de riesgos deberá considerar, además de lo señalado en el presente Capítulo, lo previsto en el Capítulo 6.9 de las presentes Disposiciones.

3.2.2.El sistema de administración integral de riesgos deberá abarcar los riesgos establecidos para el cálculo del RCS, así como cualquier otro riesgo que identifique la Institución o Sociedad Mutualista y que no se encuentre comprendido en dicho cálculo, incluyendo aquellos que se deriven de su relación y operaciones con el Grupo Empresarial o Consorcio al que, en su caso, pertenezca.

3.2.3.Para su adecuada operación, el sistema de administración integral de riesgos deberá formar parte de la estructura organizacional de la Institución o Sociedad Mutualista, encontrarse integrado a sus procesos de toma de decisiones y hallarse sustentado en un sistema eficaz de control interno. Al efecto, el consejo de administración deberá:

I. Designar el área específica de la Institución o Sociedad Mutualista que será la responsable de diseñar, implementar y dar seguimiento al sistema de administración integral de riesgos (en adelante, “Área de Administración de Riesgos”), así como nombrar al funcionario encargado de la misma, quien reportará directamente al director general de la Institución o Sociedad Mutualista, así como a las áreas, personas o comités de la Institución o del Grupo Empresarial al que ésta pertenezca, que el propio consejo de administración considere necesario para el adecuado funcionamiento del sistema de administración integral de riesgos.

El Área de Administración de Riesgos deberá establecerse de manera que exista independencia entre ésta y las áreas operativas de la Institución o Sociedad Mutualista, así como una clara delimitación de funciones y una adecuada descripción de las funciones de puestos en todos sus niveles. Para estos efectos, se entenderá por áreas operativas de la Institución o Sociedad Mutualista a aquellas relacionadas con sus procesos operativos y de negocio que son susceptibles de generar los diferentes riesgos a que esté o pueda llegar a estar expuesta la Institución o Sociedad Mutualista en el desarrollo de sus actividades, entre las que se encuentran las siguientes: comercialización; diseño de productos; suscripción de riesgos y responsabilidades; constitución y valuación de reservas técnicas; Reaseguro, Reafianzamiento y otros mecanismos de transferencia de riesgos y responsabilidades; administración de inversiones y otros activos; gestión de capital; ajuste, atención y pago de siniestros y reclamaciones, y registro de operaciones, y

II.Aprobar, a propuesta del Área de Administración de Riesgos, un manual de políticas y procedimientos para la administración integral de riesgos (en adelante, “Manual de Administración de Riesgos”).

3.2.4.El Área de Administración de Riesgos tendrá como objeto:

I.Vigilar, administrar, medir, controlar, mitigar e informar sobre los riesgos a que se encuentra expuesta la Institución o Sociedad Mutualista, incluyendo aquéllos que no sean perfectamente cuantificables, y

II.Vigilar que la realización de las operaciones de la Institución o Sociedad Mutualista se ajuste a los límites, objetivos, políticas y procedimientos para la administración integral de riesgos aprobados por el consejo de administración.

3.2.5.El Área de Administración de Riesgos, para el desarrollo de su objeto, desempeñará las siguientes funciones:

I. Proponer para aprobación del consejo de administración:

a)El Manual de Administración de Riesgos;

b)Los límites de exposición al riesgo de manera global y por tipo de riesgo, y

c)La realización de nuevas operaciones y servicios que por su propia naturaleza conlleven un riesgo;

II.Poner a disposición del consejo de administración, para su revisión y en su caso, aprobación, la Autoevaluación de Riesgos y Solvencia Institucionales (en adelante, “ARSI”) durante el primer semestre del ejercicio inmediato siguiente al evaluado;

III.Diseñar e implementar la metodología para, de manera continua, identificar, medir, dar seguimiento, mitigar, limitar y controlar, los distintos tipos de riesgos a que se encuentra expuesta la Institución o Sociedad Mutualista, de conformidad con los límites, objetivos, políticas y procedimientos aprobados por el consejo de administración;

IV.Asegurar que la información utilizada en los modelos y sistemas de medición de riesgos, sea suficiente, confiable, consistente, oportuna y relevante, garantizando que cualquier modificación a la citada información quede documentada y cuente con la explicación sobre su naturaleza y el motivo que originó su modificación;

V.Efectuar revisiones, al menos anualmente, a los supuestos contenidos en los modelos y sistemas utilizados para la identificación, medición, seguimiento y control de riesgos;

VI.Incluir en la medición de riesgos la realización de pruebas de estrés, las cuales deberán incluir la prueba de solvencia dinámica a que se refiere el artículo 245 de la LISF (en adelante, “Prueba de Solvencia Dinámica”), que permitan identificar el riesgo que enfrentaría la Institución o Sociedad Mutualista en dichas condiciones e identificar las áreas que la hacen más vulnerable, a efecto de establecer los planes de contingencia aplicables y considerar los resultados generados en la revisión de los objetivos, políticas, procedimientos  y límites para la toma de riesgos. En la realización de las pruebas de estrés, deberán considerarse las características y naturaleza de los riesgos bajo situaciones extremas, así como la posible variación de la correlación entre riesgos en tales situaciones;

VII.Informar al consejo de administración y al director general, así como a las áreas involucradas, sobre la exposición al riesgo asumida por la Institución o Sociedad Mutualista y sus posibles implicaciones en el cálculo del RCS, así como sobre el nivel de observancia de los límites de tolerancia al riesgo aprobados por el consejo de administración. Asimismo, deberá documentar las causas que, en su caso, originen desviaciones respecto a dichos límites y formular las recomendaciones necesarias para ajustar la exposición al riesgo.

Para tal efecto, el funcionario encargado del Área de Administración de Riesgos deberá presentar, al menos trimestralmente, un informe al consejo de administración que contenga, como mínimo:  

a)La exposición al riesgo global, por área de operación y por tipo de riesgo;

b)El grado de cumplimiento de los límites, objetivos, políticas y procedimientos en materia de administración integral de riesgos;

c)Los resultados del análisis de sensibilidad y pruebas de estrés, así como de la Prueba de Solvencia Dinámica cuando así corresponda en términos de lo previsto en el artículo 245 de la LISF y el Capítulo 7.2 de estas Disposiciones;

d)Los resultados de la función de auditoría interna respecto al cumplimiento de los límites, objetivos, políticas y procedimientos en materia de administración integral de riesgos, así como sobre las evaluaciones a los sistemas de medición de riesgos, y

e)Los casos en que los límites de exposición al riesgo fueron excedidos y las correspondientes medidas correctivas, y

VIII.Implementar las medidas necesarias cuya adopción haya sido definida y aprobada por el consejo de administración para corregir las desviaciones que se observen respecto de los límites, objetivos, políticas y procedimientos en materia de administración integral de riesgos.

3.2.6.En términos de lo previsto en la fracción II de la Disposición 3.2.5, el funcionario encargado del Área de Administración de Riesgos deberá presentar anualmente al consejo de administración la ARSI, la cual deberá comprender, cuando menos, lo siguiente:

I.El nivel de cumplimiento por parte de las áreas operativas de la Institución o Sociedad Mutualista, de los límites, objetivos, políticas y procedimientos en materia de administración integral de riesgos contenidos en el Manual de Administración de Riesgos a que se refiere la Disposición 3.2.10;

II.En el caso de las Instituciones, un análisis de las necesidades globales de solvencia atendiendo a su perfil de riesgo específico, los límites de tolerancia al riesgo aprobados por el consejo de administración y su estrategia comercial, incluyendo la revisión de los posibles impactos futuros sobre la solvencia con base en la realización de la Prueba de Solvencia Dinámica a que se refiere el artículo 245 de la LISF y el Capítulo 7.2 de estas Disposiciones;

III.El cumplimiento de los requisitos en materia de inversiones, reservas técnicas, Reaseguro, Reafianzamiento, garantías, RCS y capital mínimo pagado, según corresponda, previstos en la LISF y en estas Disposiciones;

IV.En el caso de las Instituciones, el grado en el que su perfil de riesgo se aparta de las hipótesis en que se basa el cálculo del RCS, con independencia de que la Institución emplee la fórmula general o un modelo interno, y

V.Una propuesta de medidas para atender las deficiencias en materia de administración integral de riesgos que, en su caso, se detecten como resultado de la realización de la ARSI.

3.2.7.Será responsabilidad del consejo de administración definir y aprobar las medidas que resulten necesarias para corregir las deficiencias en materia de administración integral de riesgos que, en su caso, hayan sido detectadas como resultado de la realización de la ARSI. El consejo de administración deberá instruir y vigilar que las áreas operativas responsables de la Institución o Sociedad Mutualista adopten dichas medidas.

3.2.8.El consejo de administración deberá revisar, cuando menos una vez al año, el funcionamiento del sistema de administración integral de riesgos de la Institución o Sociedad Mutualista. Para ello, deberá considerar los resultados de la ARSI, así como los informes periódicos sobre el cumplimiento de los límites, objetivos, políticas y procedimientos en materia de administración integral de riesgos previstos en el Manual de Administración de Riesgos. 

3.2.9.El documento que contenga la ARSI deberá ser presentado a la Comisión como parte del Reporte Regulatorio sobre Gobierno Corporativo (RR-2), en términos de lo previsto en el Capítulo 38.1 de estas Disposiciones.

3.2.10.El Manual de Administración de Riesgos a que se refiere la fracción II de la Disposición 3.2.3, deberá documentar el funcionamiento del sistema de administración integral de riesgos de la Institución o Sociedad Mutualista, y contemplará, cuando menos, los siguientes aspectos:

I.Los límites, objetivos, políticas y procedimientos de la Institución o Sociedad Mutualista en materia de administración integral de riesgos;

II.La estructura organizacional del Área de Administración de Riesgos, indicando las facultades y responsabilidades de las personas que formen parte de la misma;

III. La definición y categorización de los riesgos a que pueda estar expuesta la Institución o Sociedad Mutualista, debiendo considerar, al menos, los siguientes:

a) El riesgo de suscripción de seguros.

1)Para el caso de los seguros de vida, reflejará el riesgo derivado de la suscripción atendiendo a los siniestros cubiertos y a los procesos operativos vinculados a su atención y, considerará, cuando menos, los riesgos de mortalidad, longevidad, discapacidad, enfermedad, morbilidad, de gastos de administración, caducidad, conservación, rescate de pólizas y de eventos extremos en los seguros de vida;

2)Para el caso de los seguros de accidentes y enfermedades, reflejará el riesgo que se derive de la suscripción como consecuencia tanto de los siniestros cubiertos como de los procesos operativos vinculados a su atención, y considerará, cuando menos, los riesgos de primas y de reservas, de mortalidad, longevidad, discapacidad, enfermedad, morbilidad, de gastos de administración y riesgo de epidemia. Cuando en los seguros de accidentes y enfermedades las Instituciones de Seguros o Sociedades Mutualistas empleen bases técnicas similares a las del seguro de vida, el riesgo de suscripción deberá reflejar, en lo aplicable, los riesgos asociados a dichos seguros;

3)Para el caso de los seguros de daños, reflejará el riesgo que se derive de la suscripción como consecuencia tanto de los siniestros cubiertos como de los procesos operativos vinculados a su atención, y considerará, cuando menos, los riesgos de primas y de reservas, de gastos de administración, así como de eventos extremos en los seguros de daños, y

4)Para el caso del riesgo de suscripción por Reafianzamiento tomado, reflejará los riesgos señalados en el inciso b) de esta fracción;

b)El riesgo de suscripción de fianzas.

1)Para el riesgo de pago de reclamaciones recibidas con expectativa de pago, reflejará el riesgo de que las Instituciones no cuenten con los recursos líquidos suficientes para financiar el pago del saldo acumulado de las reclamaciones recibidas con expectativa de pago, derivado de las obligaciones asumidas;

2)Para el riesgo por garantías de recuperación, reflejará el riesgo derivado de la exposición a pérdidas por parte de las Instituciones como resultado de la insuficiencia o deterioro de la calidad de las garantías de recuperación recabadas;

3)Para el riesgo de suscripción de fianzas no garantizadas, reflejará el riesgo derivado de la suscripción sin contar con suficientes garantías de recuperación, o bien de la suscripción en exceso a los límites máximos de retención previstos en la misma;

4)Para el caso de fianzas de fidelidad, reflejará el riesgo que se derive de la suscripción como consecuencia de las reclamaciones pagadas y considerará, cuando menos, los riesgos de primas y de reservas, y

5)Para el riesgo por Reafianzamiento tomado, reflejará los riesgos señalados en esta fracción;

c) El riesgo de mercado, el cual reflejará la pérdida potencial por cambios en los factores de riesgo que influyan en el valor de los activos y pasivos, tales como tasas de interés, tipos de cambio, índices de precios, entre otros;

d) El riesgo de descalce entre activos y pasivos, el cual reflejará la pérdida potencial derivada de la falta de correspondencia estructural entre los activos y los pasivos, por el hecho de que una posición no pueda ser cubierta mediante el establecimiento de una posición contraria equivalente, y considerará, cuando menos, la duración, moneda, tasa de interés, tipos de cambio, índices de precios, entre otros;

e)El riesgo de liquidez, el cual reflejará la pérdida potencial por la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a obligaciones, o bien, por el hecho de que una posición no pueda ser oportunamente enajenada o adquirida;

f)El riesgo de crédito, el cual reflejará la pérdida potencial derivada de la falta de pago, o deterioro de la solvencia de las contrapartes y los deudores en las operaciones que efectúen las Instituciones y Sociedades Mutualistas, incluyendo las garantías que les otorguen. Adicionalmente, el riesgo de crédito deberá considerar la pérdida potencial que se derive del incumplimiento de los contratos destinados a reducir el riesgo, tales como los contratos de Reaseguro, de Reafianzamiento, de transferencia de porciones del riesgo de la cartera relativa a riesgos técnicos al mercado de valores y de Operaciones Financieras Derivadas, así como las cuentas por cobrar de intermediarios y otros riesgos de crédito que no puedan estimarse respecto del nivel de la tasa de interés libre de riesgo;

g) El riesgo de concentración, el cual reflejará las pérdidas potenciales asociadas a una inadecuada diversificación de activos y pasivos, y que se deriva de las exposiciones causadas por riesgos de crédito, de mercado, de suscripción, de liquidez, o por la combinación o interacción de varios de ellos, por contraparte, por tipo de activo, área de actividad económica o área geográfica;

h) El riesgo operativo, el cual reflejará la pérdida potencial por deficiencias o fallas en los procesos operativos, en la tecnología de información, en los recursos humanos o cualquier otro evento externo adverso relacionado con la operación de las Instituciones y Sociedades Mutualistas, entre los cuales se encuentran los siguientes:

1)Los riesgos derivados de la realización de las operaciones a que se refieren los artículos 118, fracción I, 144, fracción I, y 341, fracción I, de la LISF. El cálculo del riesgo operativo tomará en consideración el volumen de esas operaciones, el cual se determinará a partir de las primas y las reservas técnicas constituidas en relación con las obligaciones de la Institución o Sociedad Mutualista de que se trate;

2)En el caso de las Instituciones, los riesgos derivados de la realización de las operaciones a que se refieren los artículos 118, fracción XXIII, 140, 144, fracción XVII, y 162 de la LISF;

3)En el caso de Instituciones de Seguros, los riesgos derivados de la realización de las operaciones a que se refieren las fracciones XXI y XXII del artículo 118 de la LISF;

4)El riesgo de procesos operativos, correspondiente a la pérdida potencial derivada del desapego a las políticas y procedimientos establecidos para la gestión de las operaciones de las Instituciones y Sociedades Mutualistas;

5)Los riesgos legales a que se encuentren expuestas las Instituciones y Sociedades Mutualistas, los cuales reflejarán la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que lleven a cabo;

6)El riesgo tecnológico, el cual reflejará la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia de sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la realización de las operaciones de las Instituciones y Sociedades Mutualistas;

7)El riesgo estratégico, el cual reflejará la pérdida potencial originada por decisiones de negocios adversas, así como la incorrecta implementación de las decisiones y la falta de respuesta de la Institución o Sociedad Mutualista ante cambios en la industria, y

8)El riesgo reputacional, el cual reflejará la pérdida potencial derivada del deterioro de su reputación o debido a una percepción negativa de la imagen de la Institución o Sociedad Mutualista entre los clientes, proveedores y accionistas;

IV. La definición de los procesos y procedimientos necesarios para identificar, vigilar, administrar, medir, controlar, mitigar, dar seguimiento e informar los riesgos a que pueda estar expuesta la Institución o Sociedad Mutualista. Dichos procesos y procedimientos deberán considerar, al menos, lo siguiente:

a) Para el riesgo de suscripción:

1)El grado de exposición a riesgos de concentración específicos;

2)Los criterios y límites que se deberán observar para la aceptación de negocios y de las operaciones que pretenda realizar la Institución o Sociedad Mutualista, considerando los riesgos que pudieran derivarse de ellos y el impacto en su solvencia y liquidez;

3)Las funciones y responsabilidades de las distintas áreas y del personal involucrado en la suscripción y administración de los negocios, procurando evitar, en todo momento, conflictos de interés;

4)Las facultades de los funcionarios autorizados para la suscripción, estableciendo los niveles y criterios de autorización  en función del monto y tipo de negocio;

5)Los manuales o documentos en los que se establezcan las normas internas respecto a la formalización y conservación de soportes documentales, relativos a la suscripción;

6)Los lineamientos y criterios para mitigar los riesgos que se deriven de la aceptación de negocios, a través de la política de Reaseguro y Reafianzamiento, así como de otros mecanismos de transferencia de riesgo;

7)Los procedimientos para verificar que la información necesaria para la suscripción y la constitución de reservas técnicas sea suficiente, confiable, consistente, oportuna y relevante;

8)Los mecanismos previstos en el marco del sistema de control interno, utilizados para verificar que las políticas y procedimientos establecidos para la suscripción se apliquen en todos los canales de comercialización, y sean observados por el personal involucrado en el proceso de suscripción, así como los correspondientes para corregir las desviaciones;

9)Tratándose del riesgo de suscripción de seguros deberá considerarse, en su caso, lo establecido en el manual de suscripción respectivo en lo relativo a:

i.En el caso de seguros de vida, las condiciones y características fisiológicas y de morbilidad, así como de ocupación, que se considerarán en los procesos de suscripción respectivos;

ii.En el caso de seguros de accidentes y enfermedades, las condiciones y características fisiológicas, de morbilidad y de ocupación, así como los criterios de preexistencia, períodos de espera y exclusión que se considerarán en los procesos de suscripción respectivos, y

iii.En el caso de los seguros de daños, las políticas de inspección, análisis, evaluación, aceptación y tipos de riesgos que serán sujetos de aseguramiento, de acuerdo al grado de exposición que tengan dichos riesgos en función de su ubicación, giro comercial y actividades;

10)Tratándose del riesgo de suscripción de fianzas deberá considerarse lo establecido en el manual de suscripción respectivo en lo relativo a:

i.Los procedimientos para realizar la evaluación de la capacidad del fiado para cumplir con la obligación que se pretenda garantizar;

ii.Los procedimientos para valorar la solvencia del fiado o de los obligados solidarios;

iii.Los procedimientos para la evaluación de las garantías de recuperación, y

iv. Los procedimientos para dar seguimiento al cumplimiento de las obligaciones garantizadas;

b) Para el riesgo de mercado:

1)Los objetivos aprobados por el consejo de administración respecto de la exposición al riesgo de mercado;

2)El proceso para la aprobación por parte del consejo de administración de propuestas, estrategias o iniciativas de administración de riesgos de mercado. Dichas propuestas deberán contar, entre otros aspectos, con una descripción general de la nueva operación, el análisis de los riesgos implícitos, el procedimiento a utilizar para vigilar, administrar, medir, controlar, mitigar, dar seguimiento e informar y revelar tales riesgos, así como una opinión sobre la viabilidad jurídica de la propuesta;

3)Los modelos y metodologías para la valuación del riesgo de mercado, aprobados por el consejo de administración;

4)La información de los factores de riesgo que afectan las posiciones de la Institución o Sociedad Mutualista, a fin de calcular el riesgo de mercado;

5)Los requerimientos de los sistemas de procesamiento de información para el análisis del riesgo de mercado;

6)El procedimiento para determinar los límites para la toma de riesgos de mercado;

7)El proceso para la autorización por parte del consejo de administración de los límites de exposición al riesgo de mercado;

8)Los procedimientos de evaluación y seguimiento a todas las posiciones sujetas a riesgo de mercado, utilizando para tal efecto modelos del tipo Valor en Riesgo que tengan la capacidad de medir la pérdida potencial en dichas posiciones, asociada a movimientos de precios, tasas de interés o tipos de cambio, con un nivel de probabilidad dado y sobre un período específico;

9)Las normas cuantitativas y cualitativas para la elaboración y uso de los modelos del tipo Valor en Riesgo;

10)Las políticas y normas para la diversificación del riesgo de mercado de sus posiciones;

11)Los procedimientos para la comparación de sus exposiciones estimadas de riesgo de mercado con los resultados efectivamente observados, de tal forma que en caso de que los resultados proyectados y los observados difieran significativamente, se analicen los supuestos y modelos utilizados para realizar las proyecciones y, en su caso, se modifiquen dichos supuestos o modelos;

12)Los programas que, en el marco del sistema de control interno, permitan la revisión del cumplimiento de objetivos, procedimientos y controles en la celebración de operaciones, al menos semestralmente, o bien, con una mayor frecuencia cuando por las condiciones del mercado se justifique;

13)La forma y periodicidad con la que se deberá informar la exposición al riesgo de mercado al consejo de administración, y

14)Las medidas de control interno, así como las que complementariamente resulten necesarias para corregir las desviaciones que se observen sobre los límites de exposición al riesgo de mercado aprobados por el consejo de administración;

c) Para el riesgo de descalce entre activos y pasivos:

1)La estrategia de gestión de activos y pasivos aprobada por el consejo de administración, la cual deberá tener en cuenta, al menos:

i.El horizonte temporal de activos y pasivos, así como la moneda, tasa de interés e índices de precios, a los que se encuentren vinculados;

ii.La cartera de activos y pasivos, la cual deberá incluir las obligaciones por pagar derivadas de las primas emitidas;

iii.Las pruebas de estrés y la Prueba de Solvencia Dinámica que deberán realizarse;

iv.La realización de pruebas para validar las hipótesis y parámetros de comparación establecidos, con los resultados obtenidos, y

v.La interacción entre la política de gestión de activos y pasivos y la política de inversión;

2)Las herramientas de medición que utilizará la Institución o Sociedad Mutualista para definir la técnica que empleará en la gestión de activos y pasivos, y para la medición del riesgo de descalce. Dichas herramientas deberán ser consistentes con las líneas de negocio, la política de inversión y los niveles de tolerancia al riesgo aprobados por el consejo de administración;

3)Los procedimientos y procesos que, en el marco del sistema de control interno, regulen la relación entre las diferentes áreas involucradas en la gestión de activos y pasivos;

4)Los procedimientos de control y gestión de las posiciones de activo y pasivo para garantizar una inversión adecuada de los activos con relación al perfil de riesgo de sus obligaciones, así como los procedimientos correspondientes para corregir las desviaciones;

5)Los procedimientos para incorporar en la gestión de activos y pasivos la interrelación con otro tipo de riesgos, y

6)Las políticas de gestión de activos y pasivos aplicables a las diferentes líneas de productos, de tal forma que se optimice la gestión general de activos y pasivos de la Institución o Sociedad Mutualista;

d) Para el riesgo de liquidez:

1)Los procedimientos para medir y  dar seguimiento al riesgo ocasionado por diferencias entre los flujos de efectivo proyectados en distintas fechas, considerando para tal efecto todos los activos y pasivos de la Institución o Sociedad Mutualista, así como el riesgo por la imposibilidad de vender o transferir rápidamente y a un precio razonable, un activo para cubrir compromisos;

2)La metodología para cuantificar la pérdida potencial derivada de la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente de manera oportuna a las obligaciones contraídas por la Institución o Sociedad Mutualista;

3)La estrategia para garantizar una correcta gestión del riesgo de liquidez de la Institución o Sociedad Mutualista que considere, al menos:

i.El nivel de descalce en los flujos de efectivo de los activos y pasivos; 

ii.El nivel de descalce de los flujos esperados de efectivo derivados tanto de la operación directa, como del Reaseguro, Reafianzamiento u otros mecanismos de transferencia de riesgo;

iii.El total de necesidades de liquidez en el corto y mediano plazos, según corresponda, incluyendo un margen adecuado para cubrir un posible déficit de liquidez;

iv.El nivel y seguimiento de activos líquidos, incluida la cuantificación de los posibles costos o pérdidas financieras derivados de una venta forzosa;

v.Las proyecciones de salidas de efectivo derivadas de las actividades propias de la Institución o Sociedad Mutualista, tales como el pago de reclamaciones, cancelaciones, rescates, imposibilidad para hacer líquidas las garantías de recuperación, y de la evaluación de la incertidumbre respecto del monto de las reclamaciones y el momento de su exigibilidad, y

vi.El costo de financiamiento y la identificación de otras herramientas de financiamiento y sus costos asociados, y

4)Las acciones a seguir en caso de requerimientos extraordinarios de liquidez;

e) Para el riesgo de crédito:

1)Establecimiento de las políticas y procedimientos que contemplen los límites de exposición al riesgo de crédito, tanto en el activo como fuera del balance general, que la Institución o Sociedad Mutualista esté dispuesta a asumir y hayan sido aprobados por su consejo de administración. Para los efectos de la presente Disposición, se entenderá por riesgos fuera del balance general aquéllos que no se reflejan en las cuentas de balance general;

2)Definir un proceso de gestión de riesgo de crédito para identificar y establecer acciones para mitigar cualquier riesgo de crédito en relación con los límites definidos por el consejo de administración, tanto en lo individual, como consolidado y su interrelación en cada caso;

3)Establecimiento de un proceso de gestión del riesgo de crédito  que garantice que la exposición al riesgo de crédito es lo suficientemente diversificada. Este proceso debe asegurar que la exposición a cualquier contraparte individual, incluyendo la derivada de contratos de Reaseguro y Reafianzamiento, así como de cualquier otro mecanismo de transferencia de riesgo o responsabilidades, esté limitada de tal forma que dicha exposición no comprometa la solvencia de la Institución o Sociedad Mutualista;

4)Los procedimientos de control y seguimiento del riesgo de crédito de sus operaciones, los cuales deberán establecerse con base en la calificación de contraparte o, en su caso, mediante la determinación de una calificación de riesgo tomando en consideración la probabilidad de incumplimiento, así como los procedimientos correspondientes para corregir las desviaciones;

5)Los procedimientos para la evaluación y seguimiento del nivel de riesgo crediticio de sus contrapartes, así como de la estimación de la posibilidad de incumplimiento, incluyendo a aquellas contrapartes que no cuenten con una calificación crediticia;

6)Para las Instituciones que pertenezcan a algún Grupo Empresarial o Consorcio, deberán detallarse los procedimientos para evaluar y medir la exposición al riesgo de crédito intra-grupo como cualquier otra exposición externa, y

7)Definición, en el caso del riesgo de crédito en Operaciones Financieras Derivadas, de los procedimientos para la estimación de la exposición tanto actual como futura;

f) Para el riesgo de concentración:

1)Definición de los límites de concentración, tanto en el activo como en el pasivo, especificando los límites de concentración por contrapartes, industria o actividad económica, o tipo de riesgo, así como su interacción con los riesgos de mercado, de crédito, de suscripción y de liquidez;

2)Definición detallada de una estrategia de control del riesgo de concentración que considere, como mínimo:

i.Las políticas de suscripción; 

ii.La política de inversión, y

iii.La estrategia de utilización de Reaseguro, Reafianzamiento y otras técnicas de transferencia y mitigación de riesgos.

La estrategia deberá considerar lo previsto en los manuales específicos relativos a estos aspectos, así como los procedimientos necesarios para corregir las desviaciones, y

3)Procedimientos para dar seguimiento al riesgo de concentración, tanto en el activo y pasivo, como fuera del balance general de la Institución o Sociedad Mutualista, así como la identificación de las fuentes que originan dicho riesgo, incluyendo áreas geográficas, contrapartes de la Institución, Sociedad Mutualista o del Grupo Empresarial o Consorcio al que en su caso pertenezcan, sectores de actividad económica, tipo de productos, proveedores de servicios, Reaseguro y Reafianzamiento, y exposiciones acumuladas derivadas de contratos de seguros o de fianzas. Para los efectos de la presente Disposición, se entenderá por riesgos fuera del balance general aquéllos que no se reflejan en las cuentas de balance general;

g) Para el riesgo operativo:

1)Descripción de los mecanismos que, en el marco del sistema de control interno, se implementarán para monitorizar la seguridad en las operaciones, y que permitan verificar la existencia de una clara delimitación de funciones, previendo distintos niveles de autorización en razón a la toma de posiciones de riesgo. En este sentido, la estrategia general debe incorporar un proceso para establecer estrategias de alto nivel y traducirlas en objetivos detallados a corto plazo en el plan de negocio de la Institución o Sociedad Mutualista;

2)Descripción de los sistemas de procesamiento de información para la administración de riesgos que contemplen planes de contingencia en el evento de fallas técnicas, o de caso fortuito o fuerza mayor;

3)Establecimiento de procedimientos relativos a la guarda, custodia, mantenimiento y control de expedientes que correspondan a sus operaciones;

4)Establecimiento de sistemas, procedimientos y mecanismos eficaces para identificar, evaluar, mitigar, gestionar, supervisar e informar de los riesgos a los que está o pudiera estar sujeta la Institución o Sociedad Mutualista, llevando un registro de los mismos;

5)Descripción de una estrategia detallada para garantizar una correcta gestión de los riesgos operativos, teniendo en cuenta:

i.El conjunto de las actividades y procesos internos de la Institución o Sociedad Mutualista, incluido cualquier sistema de tecnología de la información;

ii.El riesgo operativo de eventos a los que esté o pueda estar expuesta y la manera de mitigarlos, y

iii.La necesidad de un sistema de alerta temprana que permita una intervención eficaz y oportuna;

6)La identificación efectiva del riesgo operativo debiendo considerar el entorno empresarial y los factores de control interno, entre ellos:

i.Factores internos, tales como la estructura de la Institución o Sociedad Mutualista, la naturaleza de sus actividades, productos y procesos, la calidad de sus recursos humanos, cambios organizacionales y la rotación de los empleados, y 

ii.Factores externos, incluidos los cambios en la industria, el entorno jurídico y los avances tecnológicos que podrían afectar negativamente la operación de la Institución o Sociedad Mutualista;

7)Las políticas y procedimientos que procuren una adecuada instrumentación de los convenios y contratos en los que participe la Institución o Sociedad Mutualista, a fin de evitar pérdidas derivadas de la celebración de operaciones;

8)Los criterios generales empleados para estimar la posibilidad de que se emitan resoluciones judiciales o administrativas desfavorables, así como la posible aplicación de sanciones, en relación con las operaciones que se lleven a cabo, incluyendo los litigios en los que la Institución o Sociedad Mutualista sea actora o demandada, así como los procedimientos administrativos en que participe;

9)Los métodos para la evaluación de los efectos que habrán de producirse sobre los actos que realice la Institución o Sociedad Mutualista, cuando los mismos se rijan por un sistema jurídico distinto al propio;

10)Los procedimientos para identificar y medir el riesgo estratégico, a partir de la posible incompatibilidad entre dos o más de los siguientes componentes: los objetivos estratégicos de la Institución o Sociedad Mutualista, las estrategias empresariales desarrolladas y los recursos empleados para lograr estos objetivos, y la calidad de la implementación y la situación económica de los mercados en los que opera la Institución o Sociedad Mutualista;

11)La definición de los recursos necesarios, tanto tangibles como intangibles, para llevar a cabo las estrategias empresariales. Entre ellos se deberán incluir los canales de comunicación, sistemas operativos, canales de distribución y la capacidad de gestión;

12)Los procedimientos para evaluar los impactos derivados de los cambios en el entorno económico, tecnológico, competitivo y regulatorio, entre otros, y

13)Los procedimientos para identificar los factores clave que afectan o puedan afectar su reputación, teniendo en cuenta las expectativas de las partes interesadas, la sensibilidad del mercado y su vinculación con el Grupo Empresarial o Consorcio al que, en su caso, pertenezca. En este sentido, el consejo de administración debe considerar la correlación del riesgo reputacional con los demás riesgos a los que está expuesta la Institución o Sociedad Mutualista;

V. La definición de los procedimientos de reporte periódico al consejo de administración, a la dirección general y a las áreas operativas de la Institución o Sociedad Mutualista, para garantizar que se da seguimiento de manera oportuna a la información de los riesgos por parte de las áreas relevantes de la administración, y

VI.Los programas de capacitación para el personal del Área de Administración de Riesgos y, en general, para todo el personal de la Institución o Sociedad Mutualista en esta materia.

3.2.11.El Manual de Administración de Riesgos, así como sus modificaciones, deberán ser presentados a la Comisión como parte del Reporte Regulatorio sobre Gobierno Corporativo (RR-2), en términos de lo previsto en el Capítulo 38.1 de estas Disposiciones.

3.2.12.La evidencia de la operación del sistema de administración integral de riesgos de la Institución o Sociedad Mutualista deberá estar documentada y disponible en caso de que la Comisión la solicite para fines de inspección y vigilancia.