Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
MANUAL DE GESTIÓN DEL
RIESGO OPERACIONAL
Pág. N° 2 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
REGISTRO DE CAMBIOS Y REVISIONES
Fecha Descripción del cambio o revisión Versión Responsable
11/11/2009 Elaboración y Aprobación del Manual de Gestión del Riesgo Operacional del FMV.
1.0 Federico Oyanguren / Carlos Zapata
13/12/2010 Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.
2.0 Federico Oyanguren / Carlos Zapata
17/11/2011
Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.
3.0 Federico Oyanguren / Carlos Zapata
06/12/2012 Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.
4.0 Federico Oyanguren / Carlos Zapata
27/03/2014
Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV, los cuales fueron detallados en el Memorando N° 139-2014-FMV/GR
5.0 Federico Oyanguren / Carlos Zapata
25/08/2014 Modificación al Manual de Gestión del Riesgo Operacional del FMV, según acuerdo N° 04-20D-2014
6.0 Federico Oyanguren / Carlos Zapata
12/01/2015
Modificación al Manual de Gestión del Riesgo Operacional del FMV, por A.D. N° 01-01D-2015. Se ha modificado los numerales: 9.3.4 Se ha insertado el literal c 9.3.7.Se ha insertado el literal e
6.0 Federico Oyanguren / Gustavo Rumiche
Pág. N° 3 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
INDICE
1. INTRODUCCION.-.......................................................................................................... 4
2. OBJETIVO.- ................................................................................................................... 4
3. BASE LEGAL.- ................................................................................................................ 4
4. ALCANCE.- .................................................................................................................... 5
5. RESPONSABILIDADES.- ................................................................................................ 5
6. VIGENCIA.- ................................................................................................................... 5
7. DEROGATORIAS Y/O MODIFICACIONES.- ..................................................................... 5
8. TERMINOS Y DEFINICIONES.- ...................................................................................... 5
9. DISPOSICIONES GENERALES.-.................................................................................... 11
9.1. GENERALIDADES.- ................................................................................................. 11 9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.- ......................................... 11 9.3. POLITICAS.- .......................................................................................................... 14 9.4. METODOLOGIA ...................................................................................................... 19 9.5. REPORTES.- ........................................................................................................... 38 9.6. PROCEDIMIENTOS.- ............................................................................................... 39
Pág. N° 4 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
1. INTRODUCCION.-
El presente manual describe un conjunto de políticas, metodologías y procedimientos que permitan una adecuada gestión del riesgo operacional, con el objetivo de mitigar los riesgos operacionales a los cuales se encuentra expuesta la Institución.
Ninguna organización puede eliminar completamente los riesgos de negocios, hecho inherente a la realidad de las empresas; por lo cual, El Fondo MIVIVIENDA S.A. promueve la creación de una estructura de gestión que mantenga su nivel de riesgo operacional en rangos acordes con la estrategia de negocio y dentro de límites apropiados. Así mismo, el presente manual se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente el riesgo operacional del Fondo MIVIVIENDA S.A.
2. OBJETIVO.-
Establecer las políticas, metodologías y procedimientos para realizar una adecuada gestión del Riesgo Operacional que enfrenta el Fondo MIVIVIENDA S.A.
3. BASE LEGAL.-
El marco legal para la elaboración del presente manual es:
Resolución SBS Nº 2116-2009 Reglamento para la Gestión de Riesgo Operacional.
Resolución SBS Nº 2115-2009 Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.
Circular SBS Nº G-139-2009 Gestión de la Continuidad del Negocio.
Circular SBS Nº G-140-2009 Gestión de la Seguridad de Información.
Resolución SBS Nº 037-2008 Reglamento de la Gestión Integral de Riesgos.
Resolución de Contraloría N° 320- 2006-CG – Normas de Control Interno.
Resolución SBS N° 7068 – 2012 que modifica el Reglamento de la Gestión Integral de Riesgos aprobado por Resolución N° 037 – 2008.
Circular G-165-2012 Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático.
Pág. N° 5 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Circular G-164-2012 Reporte de eventos de interrupción significativa de operaciones.
Resolución SBS N° 3127-2012, que realiza precisiones a la metodología de cálculo del requerimiento patrimonial establecida en el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.
Circular G-170-2013 Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático, reemplaza el segundo párrafo del numeral 3 de la Circular N° G-165-2012.
4. ALCANCE.-
El presente Manual es de aplicación para todas las Gerencias y/u Oficinas del Fondo MIVIVIENDA S.A.
5. RESPONSABILIDADES.-
La Gerencia de Riesgos es la responsable de gestionar, vigilar, verificar y/o evaluar el Riesgo Operacional siguiendo los lineamientos, metodología y procedimientos definidos en el presente manual. Asimismo, es la responsable de aplicar y vigilar su cumplimiento.
Es responsabilidad de los Directores, Gerentes y Jefes de Oficina, hacer cumplir el presente manual.
6. VIGENCIA.-
La presente política entrará en vigencia a partir de la publicación y difusión interna dentro del Fondo MIVIVIENDA S.A., una vez aprobado el Manual por el Directorio.
7. DEROGATORIAS Y/O MODIFICACIONES.-
El presente manual deja sin efecto el Manual de Gestión del Riesgo Operacional del Fondo Mivivienda S.A aprobado por Acuerdo de Directorio N° 02-07D-2013.
8. TERMINOS Y DEFINICIONES.-
Para una mejor comprensión y aplicación del presente manual, es pertinente tener en cuenta la definición y alcance de los términos utilizados en el ámbito de la administración de riesgos, establecidos en la Resolución SBS Nº 2116-2009. 8.1. RIESGO OPERACIONAL
Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.
Pág. N° 6 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
A continuación detallamos algunas definiciones relacionadas a riesgo operacional:
8.1.1. Indicadores de riesgo; Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo.
8.1.2. Pérdidas
Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención.
8.1.3. Perfil de Riesgo
Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.
8.1.4. Plan de continuidad del negocio
Tiene como objetivo dotar a la empresa de la capacidad de mantener, o de ser el caso recuperar, los principales procesos de negocio dentro de los parámetros previamente establecidos.
8.1.5. Riesgo
Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos objetivos
8.1.6. Riesgo inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
8.1.7. Riesgo residual
Nivel resultante del riesgo después de aplicar los controles.
8.1.8. Apetito por el riesgo y/o Grado de Exposición al Riesgo
Nivel de riesgo que la empresa está dispuesta a asumir en su búsqueda de rentabilidad y valor.
8.1.9. Tolerancia al riesgo
El nivel de variación que la empresa está dispuesta a asumir en caso de desviación de los objetivos empresariales trazados.
Pág. N° 7 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
8.1.10. Evento Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo.
8.1.11. Evento por riesgo operacional
El evento que conduce a una o varias pérdidas, cuyo origen corresponde al riesgo operacional. Se distingue dos tipos de evento, evento por perdida financiera y evento por lucro cesante.
8.1.12. Eventos por pérdida financiera
Cualquier impacto negativo registrado en cuentas de resultados o en la situación patrimonial de la Entidad, y que haya sido provocado a consecuencia de cualquier evento de riesgo operacional. La pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales.
8.1.13. Eventos por lucro cesante
Impacto negativo que no trasciende en cuentas de resultados o en la situación patrimonial de la Entidad.
8.1.14. Información
Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada.
8.1.15. Proceso
Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un resultado esperado.
8.1.16. Proceso Crítico
Conjunto de actividades indispensables para la continuidad de las operaciones y servicios que brinda la Institución, cuya falta o ejecución deficiente puede producir no cumplir con los objetivos del proceso, ni con los objetivos estratégicos de la Institución y/o generar pérdidas financieras.
8.1.17. Riesgo legal
Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no
Pág. N° 8 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, entre otros.
8.1.18. Nuevo Producto
Producto lanzado por primera vez por la empresa, se considera también un “nuevo producto” cuando se realiza un cambio en un producto existente que modifica su perfil de riesgo
8.1.19. Producto
Bienes y/o servicios brindados por las empresas a sus clientes y usuarios.
8.1.20. Subcontratación
Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizado por la empresa contratante.
8.1.21. Subcontratación Significativa
Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa.
8.1.22. Servicios
La actividad o labor que realiza una persona natural o jurídica para atender una necesidad de la entidad, pudiendo estar sujeta a resultados para considerar terminadas sus prestaciones.
8.1.23. Servicios Importantes
Son aquellos servicios que, en caso de falla o suspensión del mismo, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o continuidad operativa, este servicio no puede ser desarrollado por la empresa contratante.
8.1.24. Principales Proveedores de Servicios
Son aquellos proveedores cuyos servicios brindados son considerados como subcontrataciones significativas o servicios importantes cuya suspensión o falla puede poner en riesgo las actividades del FMV.
Pág. N° 9 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
8.2. FACTORES QUE ORIGINAN EL RIESGO OPERACIONAL Los factores de riesgo, son aquellas fuentes generadoras de eventos, internas o externas, que pueden originar pérdidas en las operaciones o afectar el cumplimiento de los objetivos estratégicos y/o operativos de la Institución.
8.2.1. Personal
Las empresas deben gestionar apropiadamente los riesgos asociados al personal de la empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, entre otros.
8.2.2. Procesos internos
Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, relacionados al diseño inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.
8.2.3. Tecnología de información Las empresas deben gestionar los riesgos asociados a la tecnología de información, relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología, entre otros aspectos.
8.2.4. Eventos externos Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, entre otros factores.
8.3. CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS Un evento es un incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado, ocasionado por diferentes causas y que puede conllevar consecuencias positivas o negativas.
Los eventos por riesgo operacional pueden ser agrupados de la manera descrita a continuación:
Pág. N° 10 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
8.3.1. Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilícito.
8.3.2. Fraude externo.-
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito.
8.3.3. Relaciones laborales y seguridad en el puesto de trabajo.-
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados con la diversidad o discriminación.
8.3.4. Clientes, productos y prácticas empresariales.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
8.3.5. Daños a activos materiales.-
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.
8.3.6. Interrupción del negocio y fallos en los sistemas.-
Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas.
8.3.7. Ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
Pág. N° 11 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
9. DISPOSICIONES GENERALES.-
9.1. GENERALIDADES.-
El Sistema de Gestión del Riesgo Operacional, es un conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional y responsabilidades, registro de eventos por riesgo operativo, órganos de control, plataforma tecnológica, divulgación de la información y capacitación, mediante los cuales la entidad identifica, mide, controla y monitorea el Riesgo Operacional.
9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.-
9.2.1. Estructura Organizacional.-
La administración de Riesgo Operacional involucra a todas las unidades de la Institución, cada una de ellas con diversas funciones y responsabilidades que permiten una adecuada gestión de los riesgos operacionales. El Fondo MIVIVIENDA S.A. ha definido la siguiente estructura organizacional (ver gráfico Nº 1), para la gestión de riesgos operacionales, así como las funciones y responsabilidades de cada una de las unidades involucradas.
Gráfico Nº 1: Estructura Organizacional para la
Administración Del Riesgo Operacional
Directorio
Gerencia
General
Gerencias y/u
Oficinas
Representantes de R.O de c/
u de las Gerencias y/u
Oficinas
Gerencia de Riesgos
Comités
SBS
FONAFE
Auditoria Externa
Estructura Organizacional para la Gestión de Riesgo Operacional
Pág. N° 12 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
9.2.2. Roles y Responsabilidades.-
A. Directorio.-
a. Definir la política general para la gestión del riesgo
operacional.
b. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados.
c. Establecer un sistema de incentivos que fomente la
adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos.
d. Aprobar el manual de gestión del riesgo operacional, el cual
incluye las políticas y la organización para la Gestión del Riesgo Operacional, así como las modificaciones que se realicen a los mismos.
e. Conocer los principales riesgos operacionales afrontados por
la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo.
f. Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización.
g. Obtener el aseguramiento razonable, a fin de que la
empresa cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que se hayan establecido.
B. Comité de Riesgos
El Comité de Riesgos, por delegación del Directorio y dentro de los límites que este fije, deberá asumir las siguientes funciones: a. Definir el nivel de tolerancia y el grado de exposición al
riesgo que la empresa está dispuesta a asumir en el desarrollo del negocio.
b. Decidir las acciones necesarias para la implementación de
las acciones correctivas requeridas, en caso existan desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposición asumidos.
Pág. N° 13 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
c. Aprobar la toma de exposiciones que involucren variaciones
significativas en el perfil de riesgo de la empresa o de los patrimonios administrados bajo responsabilidad de la empresa.
d. Evaluar la suficiencia de capital de la empresa para enfrentar
sus riesgos y alertar de las posibles insuficiencias. e. Proponer mejoras en la Gestión del Riesgo Operacional.
C. Gerencia General
a. La Gerencia General tiene la responsabilidad de
implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio.
b. Asignar los recursos necesarios para la adecuada gestión
del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados.
D. Gerencias y/u Oficinas
a. Los gerentes y/o jefes de las unidades organizativas tienen
la responsabilidad de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos.
b. Así mismo, fomentar la cultura de la administración del
riesgo operacional dentro de su ámbito de acción.
E. Gerencia de Riesgos
La Gerencia de Riesgos deberá cumplir con las siguientes funciones:
a. Proponer políticas para la gestión del riesgo operacional.
b. Participar en el diseño y permanente actualización del
Manual de Gestión del Riesgo Operacional.
c. Desarrollar la metodología para la gestión del riesgo operacional.
d. Apoyar y asistir a las demás unidades de la empresa para la
aplicación de la metodología de gestión del riesgo operacional.
Pág. N° 14 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
e. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático.
f. Informar a la gerencia general y al comité de riesgos los riesgos asociados a nuevos productos y a cambios importantes en el ambiente de negocios, el ambiente operativo o informático, de forma previa a su lanzamiento o ejecución; así como de las medidas de tratamiento propuestas o implementadas.
g. Consolidación y desarrollo de reportes e informes sobre la
gestión del riesgo operacional por proceso, o unidades de negocio y apoyo.
h. Identificación de las necesidades de capacitación y difusión
para una adecuada gestión del riesgo operacional.
i. Administrar el registro de eventos de riesgo operacional.
j. Realizar el cálculo de requerimiento de capital por riesgo operacional.
F. Representantes de Riesgo Operacional de las Gerencias y/o
Oficinas
a. Todas las Gerencias y/u Oficinas deberán nombrar sus Representantes de Riesgo Operacional, los cuales son responsables de la ocurrencia de incidencias cada vez que se presenten. No obstante todo el personal del Fondo MIVIVIENDA S.A., en virtud a una adecuada gestión del riesgo operacional, podrá reportar directamente las incidencias.
9.3. POLITICAS.-
Con el fin de asegurar el adecuado funcionamiento del Sistema de Gestión del Riesgo Operacional, se han definido las siguientes políticas:
9.3.1. Del ambiente adecuado de la Gestión de Riesgos:
a. Establecer y fortalecer la estructura organizacional para llevar a
cabo la Gestión del Riesgo Operacional teniendo en cuenta los roles y responsabilidades claramente establecidos, que permitan mantener una adecuada gestión del riesgo operacional de la Institución, así como la independencia entre las áreas de negocio y la Unidad de Riesgos para evitar conflictos de intereses.
Pág. N° 15 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
b. La responsabilidad inicial de la gestión del riesgo operacional recae en las diferentes Gerencias y/u Oficinas de la organización, como parte integral del desarrollo de sus actividades de negocio, bajo un criterio de autocontrol, dado que no es responsabilidad únicamente de la Gerencia de Riesgos.
c. Las políticas y procedimientos establecidos en el presente
manual deberán ser cumplidos por todas las unidades involucradas de la organización y cada jefatura es responsable de su cumplimiento dentro de su área de competencia.
d. Todo el personal de la Institución tiene la responsabilidad y
obligación de informar a la Gerencia de Riesgos, sobre los riesgos operacionales o los probables eventos de pérdida que podrían generarse.
e. La Gerencia de Riesgos deberá definir la forma y periocidad con
la que se deberá informar al Directorio, a la Gerencia General y demás Gerencias y/u Oficinas, sobre la exposición del Riesgo Operacional de la Institución y de cada una de las Gerencias y/u Oficinas involucradas en los procesos críticos.
f. La Institución deberá contar con una base de datos de los
eventos por riesgo operacional.
g. La Gerencia de Riesgos debe de asegurarse que los riesgos operacionales se traten como información confidencial de la Institución. cualquier solicitud o entrega de información a terceros debe ser aprobada por la Gerencia General.
h. El Fondo MIVIVIENDA S.A. deberá destinar patrimonio efectivo para cubrir el riesgo operacional que enfrenta, el cual deberá ser calculado por la Gerencia de Riesgos.
i. EI proceso de gestión del riesgo operacional, es un elemento del
Control Interno de la Institución.
9.3.2. Gestión del Riesgo Operacional:
a. Se deberá establecer un plan de trabajo que permita gestionar los riesgos operacionales de la institución, dicho plan deberá ser actualizado cada año.
b. Se deberán establecer los criterios necesarios para la administración del riesgo operacional de la institución.
c. Para la identificación y evaluación de los riesgos operacionales,
se aplicará la metodología descrita en el presente manual.
Pág. N° 16 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
d. Se deberán desarrollar políticas, procesos y procedimientos
para controlar y mitigar el riesgo operacional identificado, debiendo evaluar la viabilidad de estrategias alternativas de control y limitación de los riesgos.
e. Para aquellos riesgos que se pueden controlar la Gerencia de
Riesgos recomendará Planes de Acción para contrastarlo adecuadamente. Estos Planes de Acción de acuerdo a su naturaleza y alcance, pueden ser implementadas por recomendación, sin embargo, si el caso lo amerita, deberán ser elevadas a consideración del Comité de Riesgos, para su decisión en cuyo caso su aplicación será obligatoria.
9.3.3. Registro y Control de los Eventos por Riesgo Operacional:
a. Todo el personal del Fondo MIVIVIENDA S.A. es responsable
de detectar, registrar e informar, mediante la Bitacora de Incidencias, todos los eventos de pérdida por Riesgo Operacional mayores a S/. 1,000.00 (mil 00/100 Nuevos Soles), dentro de cualquier proceso de la Institución, la pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales. Así mismo, debe de informar al Responsable de Riesgo Operacional de su Gerencia y/u Oficina.
b. La Gerencia de Riesgos es responsable de realizar la
evaluación de riesgos operacionales, de acuerdo a la metodología establecida.
c. La Gerencia de Riesgos debe de clasificar los eventos por
riesgo operacional en base al aspecto que lo origina y el tipo de evento.
d. Para las pérdidas mayores a 6 UIT, se deberá abrir un
expediente físico o electrónico que contenga información adicional que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la Institución, incluyendo entre otras, las mejoras o cambios requeridos en sus políticas o procedimientos.
9.3.4. Requerimiento de Patrimonio Efectivo por Riesgo Operacional:
a. La Gerencia de Riesgos es la Responsable de realizar el requerimiento de Patrimonio Efectivo por Riesgo Operacional.
Pág. N° 17 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
b. El método para realizar el cálculo del Requerimiento de Patrimonio Efectivo por Riesgo Operacional, es el método básico y/u otro que la Institución estime conveniente y sea aprobado por la Superintendencia de Banca y Seguros (SBS).
c. El Especialista de Riesgo Operacional, es el responsable de la elaboración y remisión vía SUCAVE, del Requerimiento de Patrimonio Efectivo por Riesgo Operacional y es responsabilidad del Supervisor de Riesgo Operacional la supervisión de dicha acción(*). (*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,
celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.
9.3.5. Gestión de la Continuidad del Negocio y de la Seguridad de la Información:
a. El Sistema de Gestión de la Continuidad del Negocio, debe
tener como objetivo implementar respuestas efectivas, para que la operatividad del negocio de la empresa continúe de una manera razonable ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la empresa. Dicho sistema estará enmarcado en el Plan de Continuidad del Negocio.
b. Asimismo, el Sistema de Gestión de la Seguridad de la
Información, debe tener como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Dicho sistema estará enmarcado en la Política de Seguridad de la Información y el Manual de Gestión de Seguridad de la Información.
c. Tanto el Plan de Continuidad del Negocio, la Política de
Seguridad de la Información y el Plan de Seguridad de la Información, deberán ser revisados periódicamente, como mínimo una (1) vez al año, para asegurar que sean consistentes con las operaciones y estrategias de la institución.
d. Se deberá asegurar que los principales proveedores de servicios cuenten con un Plan de Continuidad
e. En las subcontrataciones significativas se deberá verificar que se mantengan las características de seguridad de la información de la entidad y asegurar que el procesamiento y la información, se encuentre efectivamente aislada en todo momento.
Pág. N° 18 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
9.3.6. Aprobación de Nuevos Productos o cambios importantes en el ambiente de negocios, operativo e informático.
a. Todo nuevo producto que requiera ser aprobado o todo cambio
importante en el ambiente de negocios, operativo o informático, deberá pasar necesariamente por un proceso de Evaluación de Riesgos.
b. Las Gerencias y/u Oficinas solo procederán a coordinar, desarrollar, modificar o implementar nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático si se cumple, entre otros, con lo establecido en el párrafo anterior.
9.3.7. Determinación y Evaluación de Subcontratación Significativa
y/o Servicio Importante a. La Gerencia de Riesgos deberá elaborar una metodología para
determinar si un servicio es considerado como una subcontratación significativa o un servicio importante que genere cambios en el ambiente de negocios, operativo e informático.
b. Las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, deberán evaluar dicho servicio en base a la metodología propuesta por la Gerencia de Riesgos.
c. Para las subcontrataciones significativas, la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser puesto en conocimiento del Directorio, si este fuese delegado para su aprobación.
d. Para los servicios importantes que generen cambios importantes en el ambiente de negocios, operativo e informático la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser presentado a la Gerencia General y al Comité de Riesgos.
e. A fin de asegurar una eficiente gestión de Riesgo Operacional relacionado a las subcontrataciones significativas y/o servicios importantes, se han determinado las responsabilidades, de acuerdo al siguiente detalle:
Es responsabilidad de la Gerencia de Administración, el proceso de selección del proveedor del servicio y la gestión de la elaboración del acuerdo de subcontratación.
Es responsabilidad de las Gerencias y/u Oficinas, la gestión y monitoreo de los riesgos asociados con el acuerdo de
Pág. N° 19 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
subcontratación, debiendo reportar incidentes a la bitácora de Riesgo Operacional, a fin de asegurar un entorno de control efectivo. Así mismo, se deberán asegurar que cuenten con planes de continuidad, en el caso de principales proveedores de servicios(*)
(*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,
celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.
9.3.8. Cumplimiento: El no cumplimiento de las políticas establecidas en el presente manual, así como la omisión del reporte de incidencias de pérdida por Riesgo Operacional, son consideradas como falta y serán sancionadas de acuerdo al Reglamento Interno de Trabajo (RIT).
9.4. METODOLOGIA
9.4.1. Marco General
Entendimiento de la organización / Establecer el Contexto: En esta etapa inicial se deberá establecer el contexto mediante la definición de los diferentes criterios para la gestión del riesgo operacional. Esta etapa involucra los siguientes aspectos:
- Definir los valores y matriz de frecuencia
Los valores de frecuencia han sido establecidos en base a cinco niveles, dados por el número de eventos por riesgo operacional en el periodo de un año, en el siguiente cuadro se muestran los niveles establecidos:
Cuadro Nº 1: Valores de frecuencia
NivelesNro. de Eventos
en el año
1 0.5 veces
2 1 veces
3 4 veces
4 12 veces
5 24 veces
- Definir los valores y matriz de impacto
Los valores de impacto han sido establecidos en base a cinco niveles.
Pág. N° 20 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
El valor inicial de la matriz de impacto, estará dado por el 15% del promedio de pérdidas por riesgo operacional de los últimos 5 años. Los valores de los siguientes niveles serán determinados según la distribución por nivel de exposición del riesgo del Mapa de Riesgo Operacional FMV (Gráfico N° 2).
- Determinar el nivel de apetito al Riesgo del Fondo MIVIVIENDA
S.A. Determinación del apetito en toda la organización Recogemos los datos de valoración cuantitativa de riesgo operacional: a) Los datos acumulados en un periodo anual de los eventos de
pérdida por RO. De las pérdidas registradas en la Bitácora de Riesgo Operacional, se realizará la sumatoria de todas las pérdidas registradas en un periodo anual, para dicho cálculo se tomara en cuenta las pérdidas registradas en los últimos 5 años, luego de calculado el total de pérdidas por periodo anual, se tomara el valor máximo obtenido.
b) Las provisiones por contingencias legales. De las provisiones registradas en las cuentas contables se tomara el valor obtenido al cierre de cada año (diciembre) de los últimos 5 años, para efectos del cálculo a realizar se utilizara el valor más alto obtenido.
Se toma como supuesto que durante el periodo evaluado todas las provisiones por contingencias legales se materializan.
c) Estimación de las posibles pérdidas
Se estimaran las posibles pérdidas de las evaluaciones cuantitativas de Riesgo Operacional por cada evento de pérdida identificado.
Con los datos recopilados se establecerá, sumando los valores totales de exposición, el nivel de apetito de riesgo operacional para toda la organización en un periodo anual, el cual se redondeará. El apetito obtenido se deberá comparar con el promedio de las utilidades del FMV de los últimos 5 años y con el promedio del requerimiento de patrimonio efectivo por RO de los últimos 5 años.
Pág. N° 21 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
El apetito de toda la organización siempre deberá ser mayor al apetito individual. Determinación del apetito individual por riesgo operacional La matriz de exposición de riesgo operacional vigente en la metodología de RO expresa valores de exposición:
Gráfico Nº 2: Mapa de Riesgo Operacional FMV
5 V51 V52 V53 V54 V55 4 V41 V42 V43 V44 V45 3 V31 V32 V33 V34 V35 2 V21 V22 V23 V24 V25 1 V11 V12 V13 V14 V15
1 2 3 4 5 Por tanto, el apetito de riesgo operacional para cada riesgo individual se establece en el valor más alto del nivel de exposición moderado, debido a que este es el nivel de exposición máximo aceptado por la institución.
- Determinar la Tolerancia al Riesgo del Fondo MIVIVIENDA S.A.: El nivel de tolerancia de riesgo operacional en el FMV se establece tomando en consideración el número de eventos por riesgo operacional definido en la metodología de RO y siguiendo la siguiente escala.
Cuadro Nº 2: Nivel de Tolerancia de Riesgo Operacional
Número de eventos por año
Tolerancia a RO (expresado en % sobre el
apetito de RO)
0 a 10 Hasta 30%
11 a 15 Hasta 20%
16 a 20 Hasta 10%
21 a 25 Hasta 5%
Más de 25 Mismo nivel del apetito
Elaboración: Propia
- Seguimiento y calibración del modelo de estimación Los parámetros de estimación, los niveles de exposición de la matriz de RO, el seguimiento de los eventos de pérdida tanto a nivel de número de eventos como del monto de pérdidas acumuladas y la exposición por riesgo operacional así como cualquier otro parámetro que se incluya en el modelo de
Pág. N° 22 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
estimación deberán ser calibrados de manera anual a efectos de verificar su adecuada aplicación. En caso se presenten cambios sustanciales en los valores de estimación (mayores al máximo valor de la tolerancia por RO), deberá determinarse un nuevo nivel de apetito de riesgo operacional. La siguiente calibración del modelo de estimación se realizará con la información recopilada a diciembre del año 2014.
- Definir las categorías de riesgos/tipos de eventos. Los eventos/riesgos se pueden agrupar de acuerdo con su naturaleza en las siguientes categorías:
Fraude Interno Fraude Externo Prácticas laborales y seguridad del ambiente de trabajo. Prácticas relacionadas con clientes, los productos y el
negocio. Daños a los activos físicos. Interrupción del negocio por fallas en la tecnología de
información. Deficiencias en la ejecución de procesos, en el procesamiento
de operaciones y en las relaciones con proveedores externos.
En el Anexo N° 5, se incluye una categorización de los tipos de eventos de pérdida aplicable, donde se detalla los niveles 1, 2 y actividades ejemplo (nivel 3).
- Definir los factores de riesgo.
Los factores de riesgo se seleccionan de acuerdo con su naturaleza en el contexto de la Institución. La codificación según el artículo 4º de la Resolución SBS Nº 2116-2009 establece como factores de riesgo: Personal Procesos Internos Tecnología de Información Eventos Externos
- Definir los criterios para el tratamiento/mitigación de riesgos
operacionales. Una vez realizadas las pruebas a controles y desarrollado el mapa de riesgos residuales, los criterios para tomar decisiones sobre los riesgos serán:
Pág. N° 23 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Para los riesgos calificados como críticos y altos, estos serán
incluidos dentro de los planes de mitigación, y Para los riesgos calificados como moderados y bajos, estos
serán monitoreados.
- Definir los criterios para la evaluación de controles. Una vez desarrollado el mapa de riesgos residuales e identificados los controles que mitigan cada uno de los riesgos, es necesario definir el alcance de las pruebas de controles. En los casos en que no sea posible evaluar todos los controles con el objeto de optimizar los recursos, es necesario definir los criterios con los cuales serán seleccionados los controles a evaluar. Estos criterios serán:
- La selección de controles que mitiguen riesgos calificados
como “Críticos” y “Altos” La selección de controles que mitiguen más de un riesgo La selección de otros controles, que a criterio del evaluador o
dueño de proceso deben ser considerados en el proceso de administración de riesgos.
- Categorizar los procedimientos de acuerdo a su nivel de
importancia en la operatividad de la Entidad, basado en las siguientes actividades:
1) Se deberá identificar claramente los procesos, sub-procesos y
procedimientos de las unidades organizacionales.
2) Identificados los procedimientos se procederá a categorizarlos de acuerdo a su nivel de importancia, para ello los analistas de riesgo operacional coordinarán una reunión con el responsable de los procedimientos con la finalidad de realizar un análisis cualitativo del nivel de importancia de los procedimientos.
3) El responsable de los procedimientos con la guía del analista
de riesgo operacional asignará una calificación a cada criterio de evaluación. Los criterios establecidos para el análisis del nivel de importancia de los procedimientos se muestran en el cuadro Nº 1:
Pág. N° 24 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Cuadro Nº 3: Criterios para categorizar los procedimientos de acuerdo a su nivel de importancia.
CODIFICACIÓN CRITERIOS DE EVALUACIÓN DESCRIPCIÓN CALIFICACIÓN PESO(%) CRITERIOS DE CALIFICACIÓN
1Nada relacionado con el cumplimiento
de la misión
2Poco relacionado con el cumplimiento de
la misión
3Medianamente relacionado con el
cumplimiento de la misión
4Altamente relacionado con el
cumplimiento de la misión
5Muy altamente relacionado con el
cumplimiento de la misión
1Alineado a 1 o ningún objetivo
estratégicos
2 Alineado a 2 objetivos estratégicos
3 Alineado a 3 objetivos estratégicos
4 Alineado a 4 objetivos estratégicos
5 Alineado a 5 objetivos estratégicos
1Sanciones o multas por incumplimiento
sin impacto significativo
2Sanciones o multas por incumplimiento
sin impacto significativo
3Sanciones o multas por incumplimiento:
bajo advertencia
4Sanciones o multas por incumplimiento
menores a 20 UIT
5Sanciones o multas por incumplimiento
mayores a 20 UIT
1Perdidas comprendidas entre 0 y 1'000
nuevos soles
2Perdidas comprendidas entre 1'001 y
10'000 nuevos soles
3Perdidas comprendidas entre 10'001 y
100'000 nuevos soles
4Perdidas comprendidas entre 100'001 y
un millon de nuevos soles
5Perdidas mayores a un millón de nuevos
soles
1 Sin impacto en los desembolsos del mes
2 Menor al 1% de desembolsos del mes
3Mayor al 1% y menor al 5% de
desembolsos del mes
4Mayor al 5% y menor a 10% de
desembolsos del mes
5 Mayor al 10% de desembolsos del mes
30%
Los procesos, subprocesos y
procedimientos que presentan el riesgo
potencial de generar perdidas
económicas a la institución
Impacto EconómicoC4
Los procesos, subprocesos y
procedimientos orientados a la atención
de personas y/o empresas y que
exponen la imagen de la institución
Impacto en la Imagen
InstitucionalC5 15%
9%
Los procesos, subprocesos y
procedimientos cuya ejecución esta
sujeta al cumplimiento del reglamento,
normativa y procedimientos
administrativos emitidos por la
Superintendencia de banca y Seguros
(SBS) y/o otro ente regulador
Normativa y PlazosC3
Los procesos, subprocesos y
procedimientos orientados a dar
cumplimiento de los objetivos
estrategicos establecidos por la Alta
Dirección del FMV
Objetivos EstratégicosC2 21%
24%
Los Procedimientos Institucionales
orientados al cumplimiento de la misión
del FMV, según lo descrito en la ley
organica y reglamento de organización y
funciones
MisiónC1
4) Una vez obtenida la calificación de cada criterio de evaluación se procede a calcular la sumatoria lineal ponderada de los productos entre el puntaje asignado a cada criterio y la ponderación que le corresponde (el factor de ponderación de cada criterio está en relación con el grado de importancia del criterio en la ejecución del procedimiento para el logro de la visión de la Entidad). Para hallar la sumatoria lineal ponderada se aplica la siguiente expresión:
5 5
N = ∑ ∑ (CCi *Wj)
i=1 j=1
5 5
N = ∑ ∑ (CCi *Wj)
i=1 j=1
Pág. N° 25 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Donde: - N: Nivel de importancia del procedimiento en la operatividad
de Entidad. - CCi: Calificación asignada al criterio de evaluación. - Wj: Ponderación o peso que le corresponde al criterio de
evaluación.
5) El nivel de importancia del procedimiento se obtiene al ubicar el valor “N” de la sumatoria lineal ponderada en el intervalo de clasificación de nivel de importancia(alto, medio y bajo)al cual pertenece, de acuerdo al cuadro Nº 2:
Cuadro Nº 4: Intervalo de clasificación del nivel de
Importancia de los Procedimiento.
Bajo
Medio
Alto
1-2.16
2.17-3.33
3.34-5
Nivel de importancia
9.4.2. Gestión del Riesgo Operacional:
La Gestión de Riesgo Operacional del Fondo MIVIVIENDA S.A. consta de seis etapas:
A. Identificación de los Riesgos Operaciones.
B. Análisis de los Riesgos Operacionales.
C. Evaluación de los Riesgos Operacionales
D. Tratamiento/Mitigación de los Riesgos Operacionales.
E. Monitorear y Revisar.
F. Comunicar y Consultar.
Estas etapas son de vital importancia para desarrollar con éxito la gestión del riesgo operacional. Se cuenta con la participación de las personas que ejecutan los procesos, para lograr que las acciones de control alcancen los niveles esperados. En el Anexo N° 1, se presenta gráficamente la metodología para la gestión del Riesgo Operacional.
A. Identificación de los Riesgos Operacionales:
En esta etapa se identifican los eventos por riesgo operacional en cada uno de los procesos y procedimientos. Debe entonces responderse a las preguntas sobre: - ¿qué puede suceder?,
Pág. N° 26 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
- ¿dónde?, - ¿cuándo?, - ¿cómo? y - ¿por qué?
La identificación del riesgo, deberá ser permanente e interactiva y debe estar basada en el análisis de los objetivos estratégicos de la entidad para la obtención de resultados. Esta etapa involucra los siguientes aspectos: - Lograr un conocimiento del proceso a evaluar, identificando como
mínimo los siguientes aspectos:
Objetivo del proceso o procedimiento. Diagrama de proceso o procedimiento. Entradas y Salidas. Comienzo del proceso o procedimiento y fin del proceso o
procedimiento. Factores críticos de éxito Indicadores de desempeño Sistemas de Información que soportan el proceso o
procedimiento. Recursos Humanos involucrados en el proceso o
procedimiento. Documentación relacionada
Se documenta el conocimiento del proceso o procedimiento en formatos de caracterización de procesos. Anexo Nº 6 (Formato para documentar la caracterización de los procesos).
- Identificar los problemas (eventos/riesgos) que pueden afectar el
cumplimiento del objetivo del proceso.
- Determinar los factores que originan los eventos por riesgo operacional y clasificar los eventos/riesgos de acuerdo con las categorías establecidas en el Anexo N° 5 del presente documento.
B. Análisis de los Riesgos Operacionales: Esta etapa considera las fuentes de riesgos, sus consecuencias y las probabilidades de ocurrencia de las mismas. Se analiza el riesgo combinando las estimaciones de las probabilidades de ocurrencia (frecuencia) y de las consecuencias (impacto), en el contexto de las medidas de control existentes.
Pág. N° 27 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Permitirá conocer el nivel de riesgos inherente al cual está expuesta la Institución, evaluar la solidez de los controles (grado en que mitigan los riesgos) y establecer el nivel de riesgo residual al cual está expuesta la Institución.
Esta etapa involucra los siguientes aspectos:
- Determinar los riesgos brutos, mediante la valoración de los
riesgos inherentes a los procesos, sin tener en cuenta el diseño y la eficiencia operativa de los controles existentes. Esta actividad consiste en:
Calificar los riesgos con base a los criterios establecidos para
la evaluación de riesgos (en términos de probabilidad de ocurrencia del riesgo y nivel de impacto).
Desarrollar el mapa de riesgos brutos.
- Determinar y evaluar los controles inherentes a los procesos,
valorando la efectividad del diseño de los controles. Esta actividad consiste en:
Identificar los controles propios de los procesos. Determinar las características de los controles, las que se
muestran en el siguiente cuadro.
Cuadro N° 5: Características de los controles
Frecuencia Tipo Implementación
Continua Preventivo Automático
Periódica Detectivo Semiautomático
Ocasional Ocasional Manual
A continuación se detallan los tipos de control y la frecuencia:
Pág. N° 28 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Cuadro N° 6: Tipos de control
Son controles orientados a prevenir las causas del riesgo en una
etapa muy temprana, ayudan a prevenir una pérdida.
Orientados a detectar actos indeseables. El punto de control se ubica
dentro del proceso y las adecuaciones se enfocan a detectar y
compensar los errores o desviaciones antes de que se elabore el
resultado.
Son controles orientados a corregir las causas que originan el riesgo.
El punto de control se ubica al final del flujo del proceso y las
adecuaciones se enfocan a corregir los errores sobre el resultado
obtenido.
TIPO DE CONTROL
Preventivo
Detectivo
Correctivo
Entrada Salida?Proceso
Feed-back
No
Punto de Control
Entrada Salida?Proceso
Feed-back
No
Punto de Control
Entrada Salida?Proceso
Adecuación
No
Punto de Control
Entrada Salida?Proceso
Adecuación
No
Punto de Control
Entrada Salida ?Proceso
Adecuación
No
Punto de Control
Entrada Salida ?Proceso
Adecuación
No
Punto de Control
Cuadro N° 7: Frecuencia de los controles
Continua Cada vez que se le solicita como parte del flujo normal del proceso.
PeriódicaSe repite con frecuencia a intervalos determinados (mensual,
trimestral, etc)
OcasionalCada vez que se le solicita fuera del flujo normal de recorrido del
proceso.
FRECUENCIA
Identificadas las características de los controles, se obtiene un valor numérico que representa la efectividad del diseño del control que se ubica en un intervalo que establece los límites entre los niveles efectividad del control. A continuación se presenta el intervalo predefinido:
Pág. N° 29 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Cuadro N° 8: Intervalo de efectividad del control
Límite
superiorDescripción
Fuerte 0.16Los controles son adecuados, dado que son efectivos en
la mitigación del riesgo residual.
Moderado 0.55
Lo controles son adecuados, dado que su factor de
reducción mitiga la frecuencia y/o impacto del riesgo
bruto, pero presentan debilidades pertinente a revisar.
Débil 1.00Los controles no son adecuados y necesitan
rediseñarse.0.55
0.16
Límite
inferior
0.10
Efectividad del control
Con el nivel de efectividad y características de los controles, se obtiene la valoración del factor de reducción del riesgo inherente, el cual se multiplica acorde a su foco con la frecuencia e impacto del riesgo bruto para obtener así la exposición al riesgo residual (Ver Anexo N° 2).
- Determinar el perfil de riesgos residuales. Esta actividad consiste
en:
Calificar los riesgos residuales teniendo en cuenta la calificación final dada a los controles.
Desarrollar la matriz de riesgos residuales y determinar el nivel
de exposición, como se muestra en el Anexo Nº 2:
- Elaborar una lista de los riesgos identificados ordenándolos de mayor a menor según la calificación del riesgo residual obtenida.
C. Evaluación de los Riesgos Operacionales
En esta etapa se compara la calificación del riesgo residual contra los niveles de tolerancia admisibles por la Institución, con el fin de tomar acciones posteriores, optando por Aceptar o dar Tratamiento al Riesgo. El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior.
D. Tratamiento / Mitigación de Riesgos Operacionales: En esta etapa se identifican las opciones para mitigar/tratar los riesgos, realizar la evaluación de dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin embargo, la Institución puede decidir aceptar el riesgo sin tomar acciones adicionales.
Pág. N° 30 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Esta etapa involucra las siguientes actividades:
- Identificar las opciones para el tratamiento de riesgos. Las opciones, que no son necesariamente excluyentes y apropiadas en todas las circunstancias, incluyen lo siguiente:
Aceptar el Riesgo.- Cuando se encuentra en un nivel que
puede ser aceptado por la Institución, sin necesidad de tomar otras medidas de control diferentes a las que poseen.
Evitar el Riesgo.- Se evita el riesgo si se decide no proceder
con la actividad que probablemente generaría el riesgo (cuando esto es practicable).
Reducir el Riesgo, Reducir o controlar la probabilidad de la
ocurrencia, Reducir o controlar las consecuencias
Transferir los riesgos.- Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos arreglos de seguros y estructuras organizacionales tales como sociedades. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reducirá el riesgo para la Institución original, pero puede no disminuir el nivel general del riesgo para la sociedad.
A continuación, en el gráfico Nº 3, se muestran las opciones para la mitigación de riesgos, de acuerdo al nivel de exposición.
Gráfico Nº 3: Matriz de Riesgo Residual.
REDUCIR EVITAR
ACEPTAR TRANSFERIR
Impacto
Fre
cuencia
- Las opciones de transferir o reducir el riesgo deberá evaluarse para cada caso particular, pero en general podría considerar las siguientes opciones:
Trasferir.- Para aquellos riesgos que presenten una frecuencia
moderada, baja y/o muy baja y un impacto importante, mayor y/o superior.
Pág. N° 31 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Reducir.- Para aquellos riegos cuya frecuencia sea importante, mayor y/o superior y el impacto sea moderada, baja y/o muy baja.
- Evaluar las opciones de mitigación de riesgos.- Las opciones son
evaluadas sobre la base del alcance de la reducción del riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas. Se consideran y aplican una cantidad de opciones ya sea individualmente o combinadas. La selección de la opción más apropiada involucra balancear el costo de implementar cada opción contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos es conmensurado con los beneficios obtenidos, como se muestra en el gráfico Nº 4:
Gráfico Nº 4: Evaluación del Nivel de Riesgo vs. Costo de reducir el riesgo.
- Evaluar la efectividad de los planes de tratamiento, luego de
implementados los diferentes planes de tratamiento para la mitigación de los riesgos identificados, según sea el caso, se deberá evaluar tomando en cuenta primero si el control existe y si esta implementado formalmente, si es apropiado y si existen debilidades en los procedimientos para su aplicación.
Pág. N° 32 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
E. Monitorear y Revisar: En esta etapa se monitorean los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación del plan. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, ya que pocos riesgos permanecen estáticos. Esta etapa involucra las siguientes actividades: - Definir los indicadores de riesgos necesarios para monitorear el
nivel de exposición de la Institución. - Definir los reportes necesarios para realizar el monitoreo de
riesgos, incluyendo la frecuencia de su generación y los responsables de elaborarlos.
- Analizar los reportes con el fin de monitorear el nivel de
exposición de la Institución (analizar variación de resultados de indicadores y evaluar la efectividad de los planes de mitigación).
- Realizar seguimiento a los planes de tratamiento/mitigación
definidos, con el fin de verificar su implementación. Para realizar este seguimiento, es necesario definir cuáles serán las responsabilidades de cada uno de los participantes en la administración de riesgos, las cuales pueden ser:
Dueños de proceso: Evaluación de controles y verificación de
implementación de los planes de acción a través del proceso de autoevaluación.
Unidad de riesgo: Preparar un plan de seguimiento que influya
las actividades más relevantes a las cuales debe realizarle el seguimiento.
Auditoría Interna: Incluye el seguimiento dentro de los
programas de auditoría, según las necesidades de la Institución.
- Modificar y/o actualizar los planes de mitigación en los casos que
se requiera. Si luego del tratamiento hay un riesgo residual, la Institución tomará la decisión de retener este riesgo o repetir el proceso de tratamiento/mitigación.
Pág. N° 33 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
F. Comunicar y Consultar: En esta etapa se mantiene informado al Directorio y/o Comité de Riesgos y/o Gerencias y/o Oficinas sobre la exposición al riesgo al que se enfrenta la Institución. Esta etapa involucra las siguientes actividades: - Definir los reportes a remitir al Directorio y/o Comité de Riesgos
y/o Gerencias y/o Oficinas con el objetivo de informar acerca de los resultados de la administración de riesgos. Los reportes emitidos por la Gerencia de Riesgos, se pueden apreciar en el cuadro Nº 7.
Cuadro Nº 9: Informes y Reportes emitidos de Riesgo
Operacional
DIRIGIDO A: TIPO DE REPORTE PERIOCIDAD
Directorio Reporte mensual de Riesgo Operativo de la Institución
Mensual
Gerencia General
Reporte mensual de Riesgo Operativo de la Institución
Mensual
Gerencias y/u Oficinas
Reporte de Riesgo Operacional de cada una de las Gerencias y/u Oficinas
Mensual
9.4.3. Registro y Control de los Eventos por Riesgo Operacional:
Para el registro de eventos por Riesgo Operacional, se deberán realizar las siguientes actividades: - Todo el personal del Fondo MIVIVIENDA S.A. deberá identificar,
registrar e informar directamente o por intermedio del representante de Riesgo Operacional de cada una de las Gerencias y/u Oficinas, los eventos por Riesgo Operacional, mediante el envío de un correo a: [email protected]. En el anexo Nº 5, se muestran los campos mínimos de información referida al evento y las pérdidas asociadas a este.
- La Gerencia de Riesgos después de determinar el tipo de evento
(por perdida financiera o por lucro cesante) la Gerencia de Riesgos debe clasificar los eventos por riesgo operacional en base a la causa que lo origina y al tipo de evento, de acuerdo a la clasificación realizada en el anexo Nº 3.
mailto:[email protected]
Pág. N° 34 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
- La Gerencia de Riesgos, procederá a realizar la evaluación de riesgo del evento de acuerdo a la metodología descrita para la administración del riesgo operacional.
- Si las pérdidas son mayores a 6 UIT, la Gerencia de Riesgos
deberá abrir un expediente físico o electrónico que contenga información adicional que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la Institución, incluyendo entre otras las mejoras o cambios requeridos en sus políticas o procedimientos.
- Además la Gerencia de Riesgos es responsable de verificar el registro de los montos de perdida en las cuentas contables.
9.4.4. Requerimiento de Patrimonio Efectivo por Riesgo Operacional:
- El método para calcular el requerimiento patrimonial por riesgo
operacional se basa en la Resolución SBS Nº 2115-2009 Reglamento para el Patrimonio Efectivo por Riesgo Operacional.
- En el anexo Nº 6 se adjunta el método utilizado por la Institución
para realizar el cálculo del requerimiento patrimonial por riesgo operacional.
9.4.5. Gestión de la Continuidad del Negocio y de la Seguridad de la Información:
La metodología para la Gestión de la Continuidad del Negocio está basada en los lineamientos descritos en el Plan de Continuidad del Negocio vigente del Fondo MIVIVIENDA S.A. Asimismo, la metodología para la Gestión de la Seguridad de la Información, debe tener como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Está enmarcado en los lineamientos dados en la Política de Seguridad de la Información y el Manual de Gestión de Seguridad de la Información. Se deberá asegurar que los principales proveedores de servicios cuenten con un Plan de Continuidad, además de verificar que se mantengan las características de seguridad de la información de las subcontrataciones significativas y asegurar que el procesamiento y la información, se encuentre efectivamente aislada en todo momento. Para asegurar la implementación de lo expuesto en el párrafo anterior, se deberá realizar una de las siguientes actividades:
Pág. N° 35 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
1. Incluir una cláusula en el contrato de servicio, requiriendo el
cumplimiento de lo antes señalado.
2. De no poder incluir la cláusula se deberá requerir a las empresas
una Declaración Jurada que deje constancia del cumplimiento de
lo solicitado.
3. En caso no se pueda implementar los puntos 1 y 2 se deberá
comunicar a la SBS para su conocimiento.
9.4.6. Aprobación de nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático: Para todo nuevo producto que requiera ser aprobado o presente cambios importantes en el ambiente de negocio, operativo o informático, deberán contar con una Evaluación de Riesgos, para lo cual se deberán realizar las siguientes actividades:
Evaluación del riesgo operacional, de acuerdo a la metodología descrita en el presente manual.
Una vez realizada la evaluación, la Gerencia de Riesgos emite su informe con las recomendaciones y planes de acción de los riesgos que deben ser mitigados.
El informe emitido deberá ser presentado a la gerencia general y al Comité de Riesgos.
Los informes deberán contener por lo menos la siguiente información:
En el caso de los nuevos productos se deberá incluir según sea el caso, lo siguiente:
a) Descripción del producto b) Proceso operativo asociado c) Canales y mercado objetivo
Para el caso de los cambios importantes en el ambiente de negocio, operativo o informático, se deberá incluir una breve descripción del cambio, indicando el objetivo que se busca alcanzar.
Además deberá contener la descripción de los riesgos identificados como consecuencia del lanzamiento del nuevo producto o por los cambios en el ambiente de negocios, operativo o informático. Así mismo se incluirá claramente los tipos de riesgos asociados.
También se deberá incluir los resultados de la evaluación realizada y medidas de tratamiento implementadas o propuestas a fin de gestionar el riesgo.
Pág. N° 36 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
Los informes emitidos después de ser presentados al comité de riesgos, deberán ser enviados a la SBS dentro de los diez (10) días hábiles, además se deberá incluir, de ser posible, los acuerdos tomados en el Comité de Riesgos. No se realizara él envió de los informes que sean requeridos como parte de un proceso de autorización. Los cambios considerados como importantes son: a) Cambios en la forma en la que se conducen los negocios y
operaciones, originados por modificaciones en las condiciones económicas, políticas o legales.
b) Subcontrataciones significativas. c) Alianzas, contratos asociativos, participación en negocios
conjuntos. d) Reorganizaciones empresariales. e) Proyectos cuya falla pueda generar pérdidas significativas. f) Implementación de un nuevo canal de atención: Cajeros
Automáticos, Internet, Telefonía móvil, Cajeros corresponsales, entre otros. En este caso, se considerará como cambio importante la implementación por primera vez del nuevo canal de atención y/o modificaciones importantes a su funcionamiento.
g) Cambio de la infraestructura tecnológica que soporta los principales productos y/o servicios de la empresa.
h) Traslado de la oficina principal de la empresa. i) Estructuración de Fideicomisos. j) Servicios importantes, que generen cambio importante en el
ambiente de negocios, operativo e informático.
9.4.7. Determinación y Evaluación de una Subcontratación Significativa y/o Servicio Importante Para determinar si se trata de una subcontratación significativa o un servicio importante las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, realizaran lo siguiente: 1. Se deberá evaluar si el servicio es considerado un servicio o una
subcontratación, para determinar esto se evaluara si este puede ser realizado por la empresa mediante la identificación de funciones en el MOF.
2. Para determinar si una subcontratación es significativa, se deberá realizar una evaluación tomando en cuenta los siguientes aspectos:
a) Relación con el cumplimiento de la misión y alineamiento
con los objetivos estratégicos. b) Impacto en los ingresos.
Pág. N° 37 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
c) Impacto económico que afecte la solvencia. d) Impacto en la Continuidad Operativa. e) Impacto en la imagen Institucional.
3. Para determinar si un servicio es importante se deberá realizar una
evaluación tomando en cuenta los siguientes aspectos:
a) Impacto económico que afecte la solvencia o a los ingresos. b) Impacto en la Continuidad Operativa.
4. Para determinar si el servicio importante genera cambios
importantes en el ambiente de negocios, operativo o informático, las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, deberán evaluar la importancia del cambio en los siguientes ambientes:
c) Ambiente de negocios d) Operativo e) Informático
9.4.8. Subcontratación Significativa:
Las Gerencias y/o oficinas, en coordinación con la Gerencia de Riesgos deberán evaluar si el servicio solicitado se clasifica como una subcontratación significativa. Si no se trata de una subcontratación significativa, las gerencias y/o Oficinas seguirán con sus procedimientos establecidos. Si se trata de una subcontratación significativa, las Gerencias y/o Oficinas deberán informar a la Gerencia de Riesgo, una vez aprobado el Plan Anual de Adquisiciones presentado al iniciar el año o en cualquier modificación que sufra, para que esta realice una evaluación de los riesgos a los cuales puede estar expuesta dicha subcontratación significativa. La Gerencia de Riesgos debe realizar una evaluación de riesgos integral de la subcontratación significativa y elaborar informe de la evaluación que debe ser elevado al Directorio para su aprobación. Una vez que el Directorio apruebe el informe de riesgos este será informado a la Gerencias y/o Oficinas a fin de que tomen acción, si esto fuese necesario.
Pág. N° 38 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
9.5. REPORTES.-
La Gerencia de Riesgos, elaborara los siguientes reportes:
Cuadro Nº 10: Informes y Reportes por tipo de proceso
PROCESO DIRIGIDO A: NOMBRE DEL REPORTE PERIOCIDAD
Gestión del Riesgo Operacional
SBS IGROP Anual
Directorio Reporte mensual de Riesgo Operativo de la Institución
Mensual
Gerencia General
Reporte mensual de Riesgo Operativo de la Institución
Mensual
Aprobación de nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático:
Gerencias / Oficinas / Directorio Comité de Riesgos
Informe de Evaluación de Riesgos de nuevos
productos o cambios importantes en el ambiente
de negocios, operativo o informático
A Solicitud
SBS
Informe de Evaluación de Riesgos de nuevos
productos o cambios importantes en el ambiente
de negocios, operativo o informático
Dentro de los diez (10) días
hábiles luego de ser presentado al
Comité de Riesgos
Eventos por Riesgo Operacional:
Gerencia General / Comité
de Riesgos
Informe de Evaluación de Riesgos de los Eventos por
Riesgo Operacional
De acuerdo a Evento
Cálculo del Requerimiento de Patrimonio Efectivo por Riesgo Operacional:
SBS Reportes 2-C1 Mensual
Directorio / Comité de Riesgos
Reporte 2D Mensual
Gestión de la Continuidad del Negocio y de la Seguridad de la Información:
Directorio / Comité de Riesgos
Informe de Pruebas del Plan de Continuidad
Anual
Planes de Acción Mensual
Subcontratación Significativa:
Gerencia / Oficinas /
Directorio / Comité de Riesgos
Informe de Evaluación de Subcontratación
Significativa A Solicitud
SBS
Informe de Evaluación de Riesgos de nuevos
productos o cambios importantes en el ambiente
de negocios, operativo o informático
Dentro de los diez (10) días
hábiles luego de ser presentado al
Comité de Riesgos
Pág. N° 39 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
9.6. PROCEDIMIENTOS.-
9.6.1. Gestión del Riesgo Operacional:
9.6.1.1 Secuencia de Operaciones:
N° Responsables Descripción de Actividades
1 Gerencia de
Riesgos
Identificación de los Riesgos Operacionales
1.1 Recabar información del proceso o procesos de la Gerencia y/o Oficina a analizar.
1.2 Identificar el proceso y subprocesos a analizar y sus respectivos procedimientos.
1.3 Comunicar a las Oficinas y/o Gerencias acerca de la identificación y evaluación de riesgos operacionales a realizar a sus procedimientos para coordinar las entrevistas con los responsables de los procedimientos.
2 Gerencias y/o
Oficinas
2.1 Tomar conocimiento de la evaluación cualitativa de riesgos operacionales a realizarse en su área, evaluación a cargo de la Gerencia de Riesgos.
3 Gerencia de
Riesgos
3.1 Coordinar el desarrollo de los talleres con el o los responsables del proceso y de los procedimientos para el levantamiento de la información que permita la identificación y evaluación de riesgos operacionales.
4 Gerencias y/o
Oficinas
4.1 Fijar la fecha de los talleres con el Analista de Riesgos Operacionales para el levantamiento de la información que permita la identificación y evaluación de los riesgos operacionales.
5 Gerencia de
Riesgos
5.1 Realizar el taller con el responsable del procedimiento y/o procedimientos y solicitar la siguiente información:
5.1.1 Objetivos del Procedimiento.
5.1.2 Diagrama de Flujo del Procedimiento.
5.1.3 Entradas y Salidas.
5.1.4 Comienzo del Procedimiento y Fin del Procedimiento.
5.1.5 Factores Críticos de Éxito.
5.1.6 Indicadores de Desempeño.
5.1.7 Sistemas de información que soportan el procedimiento.
5.1.8 Recursos Humanos involucrados en el procedimiento.
Pág. N° 40 de 65
Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa
MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL
N° Responsables Descripción de Actividades
6 Gerencias y/o
Oficinas
6.1 El colaborador a cargo de la ejecución de las actividades que comprenden el procedimiento, identifica con la guía del Analista de Riesgos Operacionales las entradas, salidas, los eventos por riesgo operacional surgidos en la ejecución de las actividades y los riesgos operacionales producto de la ocurrencia de los eventos.
6.2 Determinar con la guía del Analista de Riesgos Operacionales, la frecuencia de ocurrencia de los eventos por riesgo operacional y el nivel de impacto de los riesgos operacionales.
7 Gerencia de
Riesgos
7.1 Completar la información de la ficha de caracterización de procedimientos con la información del Ítem 1.3.
7.2 Clasificar los eventos por riesgo operacional del procedimiento identificados con los colaboradores, de acuerdo a las categorías propuestas por Basilea.
7.3 Elaborar el Diagrama de Flujo del procedimiento y/o procedimientos en estudio en caso no hayan sido diagramados.
7.3.1 Identificar y analizar los puntos de mejora del procedimiento.
7.3.2 Identificar en el diagrama de flujo las actividades que generan los eventos por riesgo operacional.
Análisis y Evaluación de los Riesgos Operacionales
7.4 Evaluar los Riesgos Brutos en términos de probabilidad de ocurrencia y de nivel de impacto del Riesgo.
7.5 Elaborar la matriz bruta para determinar el nivel de exposición del riesgo operacional identificado.
7.6 Determinar los controles existentes que mitigan los riesgos identificados.
7.7 Calificar los tipos de controles según su efectividad y ejecución.
7.8 Identificar los riesgos residuales después de haber sido evaluados con sus respectivos controles.
7.9 Elaborar la matriz residual para determinar el nivel de exposición de los riesgos residuales.
7.10 Elaborar un cuadro de los riesgos identificados de acuerdo a su nivel de exposición.