Política de Gestión de Riesgo Operacional

1. Objetivo

Establecer un marco integral para la identificación, evaluación, mitigación y monitoreo de riesgos operacionales en Bithonor, garantizando la continuidad del negocio y la protección de los clientes, empleados y activos de la empresa.

2. Alcance

Esta política aplica a todas las áreas, procesos, empleados, proveedores y terceros que interactúan con Bithonor.

3. Definición de Riesgo Operacional

Se entiende por riesgo operacional la posibilidad de pérdidas derivadas de fallos en procesos internos, sistemas, personas o eventos externos, incluyendo fraudes, errores humanos, fallas tecnológicas y desastres naturales.

4. Principios Generales

  • Implementación de un enfoque proactivo en la identificación y mitigación de riesgos.
  • Integración del riesgo operacional en la estrategia corporativa.
  • Asignación de responsabilidades claras para la gestión del riesgo.
  • Cumplimiento con regulaciones locales e internacionales aplicables.
  • Mejora continua mediante la revisión periódica de controles y procesos.

5. Identificación y Evaluación de Riesgos

5.1 Identificación

  • Cada área debe reportar los riesgos asociados a sus procesos.
  • Uso de herramientas como análisis de causa raíz, matrices de riesgo y auditorías internas.
  • Consideración de factores internos (errores humanos, fallas tecnológicas) y externos (ciberataques, cambios regulatorios, desastres naturales).

5.2 Evaluación

  • Clasificación de los riesgos con base en su impacto y probabilidad.
  • Aplicación de metodologías estándar como análisis FMEA (Failure Mode and Effects Analysis) o análisis de escenarios.
  • Priorización de riesgos críticos para su mitigación inmediata.

6. Mitigación y Controles

  • Implementación de controles preventivos (protocolos de seguridad, capacitación, auditorías internas).
  • Establecimiento de controles detectivos (monitoreo en tiempo real, alertas tempranas, pruebas de estrés).
  • Creación de planes de respuesta ante eventos adversos.
  • Segregación de funciones para evitar conflictos de interés.

7. Monitoreo y Reporte

  • Uso de sistemas de gestión de riesgos para documentar y dar seguimiento a los incidentes.
  • Reportes periódicos a la alta dirección y reguladores según lo requerido.
  • Indicadores clave de riesgo (KRIs) para medir la efectividad de los controles.

8. Gestión de Incidentes Operacionales

  • Establecimiento de un proceso formal de reporte de incidentes.
  • Análisis post-incidente para determinar causas y establecer acciones correctivas.
  • Implementación de mejoras en procesos y controles tras cada incidente.

9. Revisión y Actualización

Esta política será revisada y actualizada anualmente o cuando existan cambios significativos en el entorno regulatorio o en la estructura operativa de la empresa.