Informe de Sugef detectó deficiencias en gestión de riesgos en Caja de Ande

El informe SGF-DSI-0053-2025, elaborado por la División de Supervisión de la Superintendencia General de Entidades Financieras (Sugef), alertó sobre deficiencias en la gestión de riesgos y fallas en tecnologías de información relacionadas con el manejo de créditos en la Caja de Ahorro y Préstamos de la Asociación Nacional de Educadores, conocida como Caja de Ande.

El análisis, al que tuvo acceso CR Hoy, señala que la junta directiva, la gerencia general y el Comité de Riesgos de esta entidad financiera —que agremia a 130 mil asociados del sector educación— deben corregir varios elementos que comprometen la seguridad de los fondos de sus ahorrantes.

Uno de los primeros aspectos señalados es la ausencia de un perfil de riesgo aceptable, que debe ser aprobado por la junta como parte del proceso de revisión del marco de apetito al riesgo de la entidad.

Sin este instrumento, el órgano de dirección no puede determinar si las decisiones corresponden con la naturaleza y magnitud de las exposiciones a riesgos, según el informe.

"(…) del mismo modo que impide evaluar en un momento en el tiempo, la exposición al riesgo asumida por la entidad. Muestra de ello es que únicamente se ha establecido el perfil para el riesgo de liquidez como conservador. Sin embargo, no se dispone de un perfil de riesgo integral que considere la totalidad de riesgos relevantes.

No se evidencia la existencia de un criterio técnico sobre las modificaciones a los límites para los niveles de capacidad de pago aprobados por Junta Directiva, cuyos umbrales vigentes son: Nivel 1: Menor o igual a 70%, Nivel 2: Entre 70,01% a 80%, Nivel 3: Entre 80,01% a 90% y Nivel 4: Mayor a 90%."

La valoración realizada sobre la gestión de riesgos también revela que no se ha cuantificado el impacto que genera en la estrategia de la Caja la demora o no ejecución de proyectos estratégicos clave como la modernización del Core Bancario y la transformación digital.

Otra deficiencia es que los criterios técnicos que justifican los umbrales de la matriz de riesgos no están sustentados ni basados en análisis históricos confiables, lo que "limita el enfoque prospectivo de la gestión de riesgos, así como la consideración de las vulnerabilidades derivadas de los acontecimientos actuales y futuros que podrían impactar el negocio".

Por ejemplo, un 80% de los deudores con compromiso salarial tiene un apetito de riesgo entre el 18% y 25% del total de la colocación del producto, pero esos límites carecen de justificación técnica.

En cuanto al riesgo de incumplimiento, la Caja de Ande solo dispone de un indicador: "Notificación del ente regulador por incumplimientos", el cual mide el nivel de cumplimiento normativo.

No obstante, omite reportes realizados por la Sugef, especialmente sobre temas como idoneidad, capacidad de pago y reclasificación de estimaciones.

"Lo anterior, hace que siempre se reporte en normalidad y sin desviaciones, revelando que dicho indicador no es aceptable para la gestión de dicho riesgo.

A partir de la evaluación realizada, se determina que no se comunica información relevante al Órgano de Dirección que alerte sobre los factores de riesgos a los que está expuesta la entidad. Por ejemplo, sobre los riesgos derivados por el alto endeudamiento de los deudores accionistas.

Además, se observa que los informes emitidos por la Unidad de Administración de Riesgos no profundizan por líneas de negocio significativas. Asimismo, se evidencia que el informe de riesgo operativo presenta información limitada de los incidentes".

Valoración de riesgos en TI

La Sugef también puso énfasis en los riesgos asociados a Tecnologías de Información (TI). Indicó que la directiva no ha tomado medidas para mitigar los riesgos operacionales sobre el Core Bancario, al no atender oportunamente las recomendaciones de órganos de control como la Auditoría Interna y la Unidad de Administración Integral de Riesgos.

Una consecuencia directa de esta omisión son las interrupciones en el sistema SisteCA, que forma parte del proceso crediticio, según lo indica el informe de la Auditoría Interna N.° 07-2023.

"Los informes de riesgo tecnológico presentados entre 2018 y 2022 por parte de la UAR3, contemplan, con base en los informes de Continuidad y riesgos del DTI, los incidentes que implicaron una afectación de la capacidad y/o disponibilidad del Core Bancario y, a partir de este último año (2022), mencionan aspectos relacionados con la renovación del contrato con GBM", describe la auditoría.

Desde la implementación del sistema SisteCA en 2017 hasta 2023, se reportaron 237 incidentes que generaron algún grado de interrupción en el servicio.

"El informe más reciente de la UAR correspondiente al 2024 señala la ocurrencia de 24 eventos materializados, de los cuales, al momento de elaboración del presente estudio, algunos aún no han sido resueltos y se encuentran en proceso de investigación para determinar su causa raíz. Cabe destacar que dichos eventos presentan afectación directa sobre procesos críticos del negocio".

También se identificaron incumplimientos normativos relacionados con la gestión de riesgos asociados a la resiliencia operativa digital, que mide la capacidad de la entidad para asegurar la continuidad de sus operaciones tecnológicas.

• No se evidencian medidas estratégicas para mantener la operatividad digital de forma segura y continua.
• La junta incumple la normativa vigente al no integrar la resiliencia digital en sus planes de contingencia ni en los protocolos de respuesta y recuperación ante incidentes.
• Se asigna una calificación 3 al componente "Calidad de Gestión de Riesgos", siendo 4 la peor nota. Esto refleja deficiencias en identificación, medición, evaluación y seguimiento de los riesgos.
• La función de riesgos no cumple con los estándares del gobierno corporativo ni con las mejores prácticas internacionales en esta materia.

Tal como lo reveló en primicia CR Hoy el viernes, estas alertas se suman a la degradación de la calificación de Caja de Ande a Irregularidad Financiera I.

También destacan la falta de idoneidad de la presidenta de la directiva, Dixie Campos Salazar, y de la gerente Carmen María Martínez Cubero, quienes, según el informe, no cumplen los requisitos para ocupar sus cargos.

El documento también señala debilidades en la cultura de control, como la omisión de decenas de recomendaciones emitidas por la Auditoría Interna desde 2019, así como cuestionamientos al funcionamiento de esa oficina.

Respuestas de instituciones

CR Hoy consultó a la entidad sobre los nombramientos y las advertencias de la Sugef. Caja de Ande respondió sobre la salud de sus finanzas y su apego a la normativa nacional, pero no explicó las causas de los señalamientos de la Superintendencia.

"Al día de hoy, a sus 81 años es importante recalcar que, tanto nuestra liquidez financiera y posición patrimonial, mantienen una fortaleza reconocida y respaldada por una sana administración; información que puede ser verificada en el sitio web de la Superintendencia General de Entidades Financieras (SUGEF).

Desde la creación de Caja de ANDE, hemos trabajado de la mano con las entidades regulatorias que aportan oportunidades de mejora continua; lo que demuestra a nuestros accionistas que sus recursos están seguros y que pueden seguir confiando en esta entidad financiera.

Caja de ANDE, reitera su compromiso de administrar de manera segura y eficiente los recursos de nuestros accionistas".

Consultada sobre si adoptará medidas y cuál es la expectativa frente a la advertencia, Caja de Ande no se refirió al tema.

También se le preguntó por qué prorrogó, el 1 de octubre, el nombramiento de la presidenta de la junta directiva si la Sugef advirtió que no cumplía con el requisito de idoneidad en experiencia, uno de los ejes que afectó la calificación actual. La institución tampoco respondió esta consulta.

Consultada sobre este caso, la oficina de prensa de Sugef indicó que: "El artículo 132 de la Ley Orgánica del Banco Central nos prohíbe referirnos a aspectos específicos de cualquier supervisado por lo que no es posible contestar las consultas".