manual de gestiÓn del riesgo operacional...2015/01/12 · del riesgo operacional del fmv. 1.0...

MANUAL DE GESTIÓN DEL

RIESGO OPERACIONAL

Pág. N° 2 de 65

Gerencia de Riesgos Gerente Legal Jefe de Oficina de Planeamiento,

Prospectiva y Desarrollo

EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL

REGISTRO DE CAMBIOS Y REVISIONES

Fecha Descripción del cambio o revisión Versión Responsable

11/11/2009 Elaboración y Aprobación del Manual de Gestión del Riesgo Operacional del FMV.

1.0 Federico Oyanguren / Carlos Zapata

13/12/2010 Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.


17/11/2011

Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.


06/12/2012 Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV.


27/03/2014

Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV, los cuales fueron detallados en el Memorando N° 139-2014-FMV/GR


25/08/2014 Modificación al Manual de Gestión del Riesgo Operacional del FMV, según acuerdo N° 04-20D-2014


12/01/2015

Modificación al Manual de Gestión del Riesgo Operacional del FMV, por A.D. N° 01-01D-2015. Se ha modificado los numerales: 9.3.4 Se ha insertado el literal c 9.3.7.Se ha insertado el literal e

6.0 Federico Oyanguren / Gustavo Rumiche

Pág. N° 3 de 65






INDICE

1. INTRODUCCION.-.......................................................................................................... 4

2. OBJETIVO.- ................................................................................................................... 4

3. BASE LEGAL.- ................................................................................................................ 4

4. ALCANCE.- .................................................................................................................... 5

5. RESPONSABILIDADES.- ................................................................................................ 5

6. VIGENCIA.- ................................................................................................................... 5

7. DEROGATORIAS Y/O MODIFICACIONES.- ..................................................................... 5

8. TERMINOS Y DEFINICIONES.- ...................................................................................... 5

9. DISPOSICIONES GENERALES.-.................................................................................... 11

9.1. GENERALIDADES.- ................................................................................................. 11 9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.- ......................................... 11 9.3. POLITICAS.- .......................................................................................................... 14 9.4. METODOLOGIA ...................................................................................................... 19 9.5. REPORTES.- ........................................................................................................... 38 9.6. PROCEDIMIENTOS.- ............................................................................................... 39

Pág. N° 4 de 65






1. INTRODUCCION.-

El presente manual describe un conjunto de políticas, metodologías y procedimientos que permitan una adecuada gestión del riesgo operacional, con el objetivo de mitigar los riesgos operacionales a los cuales se encuentra expuesta la Institución.

Ninguna organización puede eliminar completamente los riesgos de negocios, hecho inherente a la realidad de las empresas; por lo cual, El Fondo MIVIVIENDA S.A. promueve la creación de una estructura de gestión que mantenga su nivel de riesgo operacional en rangos acordes con la estrategia de negocio y dentro de límites apropiados. Así mismo, el presente manual se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente el riesgo operacional del Fondo MIVIVIENDA S.A.

2. OBJETIVO.-

Establecer las políticas, metodologías y procedimientos para realizar una adecuada gestión del Riesgo Operacional que enfrenta el Fondo MIVIVIENDA S.A.

3. BASE LEGAL.-

El marco legal para la elaboración del presente manual es:

Resolución SBS Nº 2116-2009 Reglamento para la Gestión de Riesgo Operacional.

Resolución SBS Nº 2115-2009 Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.

Circular SBS Nº G-139-2009 Gestión de la Continuidad del Negocio.

Circular SBS Nº G-140-2009 Gestión de la Seguridad de Información.

Resolución SBS Nº 037-2008 Reglamento de la Gestión Integral de Riesgos.

Resolución de Contraloría N° 320- 2006-CG – Normas de Control Interno.

Resolución SBS N° 7068 – 2012 que modifica el Reglamento de la Gestión Integral de Riesgos aprobado por Resolución N° 037 – 2008.

Circular G-165-2012 Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático.

Pág. N° 5 de 65






Circular G-164-2012 Reporte de eventos de interrupción significativa de operaciones.

Resolución SBS N° 3127-2012, que realiza precisiones a la metodología de cálculo del requerimiento patrimonial establecida en el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.

Circular G-170-2013 Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático, reemplaza el segundo párrafo del numeral 3 de la Circular N° G-165-2012.

4. ALCANCE.-

El presente Manual es de aplicación para todas las Gerencias y/u Oficinas del Fondo MIVIVIENDA S.A.

5. RESPONSABILIDADES.-

La Gerencia de Riesgos es la responsable de gestionar, vigilar, verificar y/o evaluar el Riesgo Operacional siguiendo los lineamientos, metodología y procedimientos definidos en el presente manual. Asimismo, es la responsable de aplicar y vigilar su cumplimiento.

Es responsabilidad de los Directores, Gerentes y Jefes de Oficina, hacer cumplir el presente manual.

6. VIGENCIA.-

La presente política entrará en vigencia a partir de la publicación y difusión interna dentro del Fondo MIVIVIENDA S.A., una vez aprobado el Manual por el Directorio.

7. DEROGATORIAS Y/O MODIFICACIONES.-

El presente manual deja sin efecto el Manual de Gestión del Riesgo Operacional del Fondo Mivivienda S.A aprobado por Acuerdo de Directorio N° 02-07D-2013.

8. TERMINOS Y DEFINICIONES.-

Para una mejor comprensión y aplicación del presente manual, es pertinente tener en cuenta la definición y alcance de los términos utilizados en el ámbito de la administración de riesgos, establecidos en la Resolución SBS Nº 2116-2009. 8.1. RIESGO OPERACIONAL

Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

Pág. N° 6 de 65






A continuación detallamos algunas definiciones relacionadas a riesgo operacional:

8.1.1. Indicadores de riesgo; Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo.

8.1.2. Pérdidas

Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención.

8.1.3. Perfil de Riesgo

Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

8.1.4. Plan de continuidad del negocio

Tiene como objetivo dotar a la empresa de la capacidad de mantener, o de ser el caso recuperar, los principales procesos de negocio dentro de los parámetros previamente establecidos.

8.1.5. Riesgo

Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos objetivos

8.1.6. Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

8.1.7. Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

8.1.8. Apetito por el riesgo y/o Grado de Exposición al Riesgo

Nivel de riesgo que la empresa está dispuesta a asumir en su búsqueda de rentabilidad y valor.

8.1.9. Tolerancia al riesgo

El nivel de variación que la empresa está dispuesta a asumir en caso de desviación de los objetivos empresariales trazados.

Pág. N° 7 de 65






8.1.10. Evento Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo.

8.1.11. Evento por riesgo operacional

El evento que conduce a una o varias pérdidas, cuyo origen corresponde al riesgo operacional. Se distingue dos tipos de evento, evento por perdida financiera y evento por lucro cesante.

8.1.12. Eventos por pérdida financiera

Cualquier impacto negativo registrado en cuentas de resultados o en la situación patrimonial de la Entidad, y que haya sido provocado a consecuencia de cualquier evento de riesgo operacional. La pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales.

8.1.13. Eventos por lucro cesante

Impacto negativo que no trasciende en cuentas de resultados o en la situación patrimonial de la Entidad.

8.1.14. Información

Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada.

8.1.15. Proceso

Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un resultado esperado.

8.1.16. Proceso Crítico

Conjunto de actividades indispensables para la continuidad de las operaciones y servicios que brinda la Institución, cuya falta o ejecución deficiente puede producir no cumplir con los objetivos del proceso, ni con los objetivos estratégicos de la Institución y/o generar pérdidas financieras.

8.1.17. Riesgo legal

Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no

Pág. N° 8 de 65






intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, entre otros.

8.1.18. Nuevo Producto

Producto lanzado por primera vez por la empresa, se considera también un “nuevo producto” cuando se realiza un cambio en un producto existente que modifica su perfil de riesgo

8.1.19. Producto

Bienes y/o servicios brindados por las empresas a sus clientes y usuarios.

8.1.20. Subcontratación

Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizado por la empresa contratante.

8.1.21. Subcontratación Significativa

Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa.

8.1.22. Servicios

La actividad o labor que realiza una persona natural o jurídica para atender una necesidad de la entidad, pudiendo estar sujeta a resultados para considerar terminadas sus prestaciones.

8.1.23. Servicios Importantes

Son aquellos servicios que, en caso de falla o suspensión del mismo, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o continuidad operativa, este servicio no puede ser desarrollado por la empresa contratante.

8.1.24. Principales Proveedores de Servicios

Son aquellos proveedores cuyos servicios brindados son considerados como subcontrataciones significativas o servicios importantes cuya suspensión o falla puede poner en riesgo las actividades del FMV.

Pág. N° 9 de 65






8.2. FACTORES QUE ORIGINAN EL RIESGO OPERACIONAL Los factores de riesgo, son aquellas fuentes generadoras de eventos, internas o externas, que pueden originar pérdidas en las operaciones o afectar el cumplimiento de los objetivos estratégicos y/o operativos de la Institución.

8.2.1. Personal

Las empresas deben gestionar apropiadamente los riesgos asociados al personal de la empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, entre otros.

8.2.2. Procesos internos

Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, relacionados al diseño inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.

8.2.3. Tecnología de información Las empresas deben gestionar los riesgos asociados a la tecnología de información, relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología, entre otros aspectos.

8.2.4. Eventos externos Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, entre otros factores.

8.3. CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS Un evento es un incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado, ocasionado por diferentes causas y que puede conllevar consecuencias positivas o negativas.

Los eventos por riesgo operacional pueden ser agrupados de la manera descrita a continuación:

Pág. N° 10 de 65






8.3.1. Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilícito.

8.3.2. Fraude externo.-

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito.

8.3.3. Relaciones laborales y seguridad en el puesto de trabajo.-

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados con la diversidad o discriminación.

8.3.4. Clientes, productos y prácticas empresariales.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

8.3.5. Daños a activos materiales.-

Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

8.3.6. Interrupción del negocio y fallos en los sistemas.-

Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas.

8.3.7. Ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

Pág. N° 11 de 65






9. DISPOSICIONES GENERALES.-

9.1. GENERALIDADES.-

El Sistema de Gestión del Riesgo Operacional, es un conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional y responsabilidades, registro de eventos por riesgo operativo, órganos de control, plataforma tecnológica, divulgación de la información y capacitación, mediante los cuales la entidad identifica, mide, controla y monitorea el Riesgo Operacional.

9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.-

9.2.1. Estructura Organizacional.-

La administración de Riesgo Operacional involucra a todas las unidades de la Institución, cada una de ellas con diversas funciones y responsabilidades que permiten una adecuada gestión de los riesgos operacionales. El Fondo MIVIVIENDA S.A. ha definido la siguiente estructura organizacional (ver gráfico Nº 1), para la gestión de riesgos operacionales, así como las funciones y responsabilidades de cada una de las unidades involucradas.

Gráfico Nº 1: Estructura Organizacional para la

Administración Del Riesgo Operacional

Directorio

Gerencia

General

Gerencias y/u

Oficinas

Representantes de R.O de c/

u de las Gerencias y/u

Oficinas

Gerencia de Riesgos

Comités

SBS

FONAFE

Auditoria Externa

Estructura Organizacional para la Gestión de Riesgo Operacional

Pág. N° 12 de 65






9.2.2. Roles y Responsabilidades.-

A. Directorio.-

a. Definir la política general para la gestión del riesgo

operacional.

b. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados.

c. Establecer un sistema de incentivos que fomente la

adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos.

d. Aprobar el manual de gestión del riesgo operacional, el cual

incluye las políticas y la organización para la Gestión del Riesgo Operacional, así como las modificaciones que se realicen a los mismos.

e. Conocer los principales riesgos operacionales afrontados por

la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo.

f. Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización.

g. Obtener el aseguramiento razonable, a fin de que la

empresa cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que se hayan establecido.

B. Comité de Riesgos

El Comité de Riesgos, por delegación del Directorio y dentro de los límites que este fije, deberá asumir las siguientes funciones: a. Definir el nivel de tolerancia y el grado de exposición al

riesgo que la empresa está dispuesta a asumir en el desarrollo del negocio.

b. Decidir las acciones necesarias para la implementación de

las acciones correctivas requeridas, en caso existan desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposición asumidos.

Pág. N° 13 de 65






c. Aprobar la toma de exposiciones que involucren variaciones

significativas en el perfil de riesgo de la empresa o de los patrimonios administrados bajo responsabilidad de la empresa.

d. Evaluar la suficiencia de capital de la empresa para enfrentar

sus riesgos y alertar de las posibles insuficiencias. e. Proponer mejoras en la Gestión del Riesgo Operacional.

C. Gerencia General

a. La Gerencia General tiene la responsabilidad de

implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio.

b. Asignar los recursos necesarios para la adecuada gestión

del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados.

D. Gerencias y/u Oficinas

a. Los gerentes y/o jefes de las unidades organizativas tienen

la responsabilidad de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos.

b. Así mismo, fomentar la cultura de la administración del

riesgo operacional dentro de su ámbito de acción.

E. Gerencia de Riesgos

La Gerencia de Riesgos deberá cumplir con las siguientes funciones:

a. Proponer políticas para la gestión del riesgo operacional.

b. Participar en el diseño y permanente actualización del

Manual de Gestión del Riesgo Operacional.

c. Desarrollar la metodología para la gestión del riesgo operacional.

d. Apoyar y asistir a las demás unidades de la empresa para la

aplicación de la metodología de gestión del riesgo operacional.

Pág. N° 14 de 65






e. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático.

f. Informar a la gerencia general y al comité de riesgos los riesgos asociados a nuevos productos y a cambios importantes en el ambiente de negocios, el ambiente operativo o informático, de forma previa a su lanzamiento o ejecución; así como de las medidas de tratamiento propuestas o implementadas.

g. Consolidación y desarrollo de reportes e informes sobre la

gestión del riesgo operacional por proceso, o unidades de negocio y apoyo.

h. Identificación de las necesidades de capacitación y difusión

para una adecuada gestión del riesgo operacional.

i. Administrar el registro de eventos de riesgo operacional.

j. Realizar el cálculo de requerimiento de capital por riesgo operacional.

F. Representantes de Riesgo Operacional de las Gerencias y/o

Oficinas

a. Todas las Gerencias y/u Oficinas deberán nombrar sus Representantes de Riesgo Operacional, los cuales son responsables de la ocurrencia de incidencias cada vez que se presenten. No obstante todo el personal del Fondo MIVIVIENDA S.A., en virtud a una adecuada gestión del riesgo operacional, podrá reportar directamente las incidencias.

9.3. POLITICAS.-

Con el fin de asegurar el adecuado funcionamiento del Sistema de Gestión del Riesgo Operacional, se han definido las siguientes políticas:

9.3.1. Del ambiente adecuado de la Gestión de Riesgos:

a. Establecer y fortalecer la estructura organizacional para llevar a

cabo la Gestión del Riesgo Operacional teniendo en cuenta los roles y responsabilidades claramente establecidos, que permitan mantener una adecuada gestión del riesgo operacional de la Institución, así como la independencia entre las áreas de negocio y la Unidad de Riesgos para evitar conflictos de intereses.

Pág. N° 15 de 65






b. La responsabilidad inicial de la gestión del riesgo operacional recae en las diferentes Gerencias y/u Oficinas de la organización, como parte integral del desarrollo de sus actividades de negocio, bajo un criterio de autocontrol, dado que no es responsabilidad únicamente de la Gerencia de Riesgos.

c. Las políticas y procedimientos establecidos en el presente

manual deberán ser cumplidos por todas las unidades involucradas de la organización y cada jefatura es responsable de su cumplimiento dentro de su área de competencia.

d. Todo el personal de la Institución tiene la responsabilidad y

obligación de informar a la Gerencia de Riesgos, sobre los riesgos operacionales o los probables eventos de pérdida que podrían generarse.

e. La Gerencia de Riesgos deberá definir la forma y periocidad con

la que se deberá informar al Directorio, a la Gerencia General y demás Gerencias y/u Oficinas, sobre la exposición del Riesgo Operacional de la Institución y de cada una de las Gerencias y/u Oficinas involucradas en los procesos críticos.

f. La Institución deberá contar con una base de datos de los

eventos por riesgo operacional.

g. La Gerencia de Riesgos debe de asegurarse que los riesgos operacionales se traten como información confidencial de la Institución. cualquier solicitud o entrega de información a terceros debe ser aprobada por la Gerencia General.

h. El Fondo MIVIVIENDA S.A. deberá destinar patrimonio efectivo para cubrir el riesgo operacional que enfrenta, el cual deberá ser calculado por la Gerencia de Riesgos.

i. EI proceso de gestión del riesgo operacional, es un elemento del

Control Interno de la Institución.

9.3.2. Gestión del Riesgo Operacional:

a. Se deberá establecer un plan de trabajo que permita gestionar los riesgos operacionales de la institución, dicho plan deberá ser actualizado cada año.

b. Se deberán establecer los criterios necesarios para la administración del riesgo operacional de la institución.

c. Para la identificación y evaluación de los riesgos operacionales,

se aplicará la metodología descrita en el presente manual.

Pág. N° 16 de 65






d. Se deberán desarrollar políticas, procesos y procedimientos

para controlar y mitigar el riesgo operacional identificado, debiendo evaluar la viabilidad de estrategias alternativas de control y limitación de los riesgos.

e. Para aquellos riesgos que se pueden controlar la Gerencia de

Riesgos recomendará Planes de Acción para contrastarlo adecuadamente. Estos Planes de Acción de acuerdo a su naturaleza y alcance, pueden ser implementadas por recomendación, sin embargo, si el caso lo amerita, deberán ser elevadas a consideración del Comité de Riesgos, para su decisión en cuyo caso su aplicación será obligatoria.

9.3.3. Registro y Control de los Eventos por Riesgo Operacional:

a. Todo el personal del Fondo MIVIVIENDA S.A. es responsable

de detectar, registrar e informar, mediante la Bitacora de Incidencias, todos los eventos de pérdida por Riesgo Operacional mayores a S/. 1,000.00 (mil 00/100 Nuevos Soles), dentro de cualquier proceso de la Institución, la pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales. Así mismo, debe de informar al Responsable de Riesgo Operacional de su Gerencia y/u Oficina.

b. La Gerencia de Riesgos es responsable de realizar la

evaluación de riesgos operacionales, de acuerdo a la metodología establecida.

c. La Gerencia de Riesgos debe de clasificar los eventos por

riesgo operacional en base al aspecto que lo origina y el tipo de evento.

d. Para las pérdidas mayores a 6 UIT, se deberá abrir un

expediente físico o electrónico que contenga información adicional que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la Institución, incluyendo entre otras, las mejoras o cambios requeridos en sus políticas o procedimientos.

9.3.4. Requerimiento de Patrimonio Efectivo por Riesgo Operacional:

a. La Gerencia de Riesgos es la Responsable de realizar el requerimiento de Patrimonio Efectivo por Riesgo Operacional.

Pág. N° 17 de 65






b. El método para realizar el cálculo del Requerimiento de Patrimonio Efectivo por Riesgo Operacional, es el método básico y/u otro que la Institución estime conveniente y sea aprobado por la Superintendencia de Banca y Seguros (SBS).

c. El Especialista de Riesgo Operacional, es el responsable de la elaboración y remisión vía SUCAVE, del Requerimiento de Patrimonio Efectivo por Riesgo Operacional y es responsabilidad del Supervisor de Riesgo Operacional la supervisión de dicha acción(*). (*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,

celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.

9.3.5. Gestión de la Continuidad del Negocio y de la Seguridad de la Información:

a. El Sistema de Gestión de la Continuidad del Negocio, debe

tener como objetivo implementar respuestas efectivas, para que la operatividad del negocio de la empresa continúe de una manera razonable ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la empresa. Dicho sistema estará enmarcado en el Plan de Continuidad del Negocio.

b. Asimismo, el Sistema de Gestión de la Seguridad de la

Información, debe tener como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Dicho sistema estará enmarcado en la Política de Seguridad de la Información y el Manual de Gestión de Seguridad de la Información.

c. Tanto el Plan de Continuidad del Negocio, la Política de

Seguridad de la Información y el Plan de Seguridad de la Información, deberán ser revisados periódicamente, como mínimo una (1) vez al año, para asegurar que sean consistentes con las operaciones y estrategias de la institución.

d. Se deberá asegurar que los principales proveedores de servicios cuenten con un Plan de Continuidad

e. En las subcontrataciones significativas se deberá verificar que se mantengan las características de seguridad de la información de la entidad y asegurar que el procesamiento y la información, se encuentre efectivamente aislada en todo momento.

Pág. N° 18 de 65






9.3.6. Aprobación de Nuevos Productos o cambios importantes en el ambiente de negocios, operativo e informático.

a. Todo nuevo producto que requiera ser aprobado o todo cambio

importante en el ambiente de negocios, operativo o informático, deberá pasar necesariamente por un proceso de Evaluación de Riesgos.

b. Las Gerencias y/u Oficinas solo procederán a coordinar, desarrollar, modificar o implementar nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático si se cumple, entre otros, con lo establecido en el párrafo anterior.

9.3.7. Determinación y Evaluación de Subcontratación Significativa

y/o Servicio Importante a. La Gerencia de Riesgos deberá elaborar una metodología para

determinar si un servicio es considerado como una subcontratación significativa o un servicio importante que genere cambios en el ambiente de negocios, operativo e informático.

b. Las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, deberán evaluar dicho servicio en base a la metodología propuesta por la Gerencia de Riesgos.

c. Para las subcontrataciones significativas, la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser puesto en conocimiento del Directorio, si este fuese delegado para su aprobación.

d. Para los servicios importantes que generen cambios importantes en el ambiente de negocios, operativo e informático la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser presentado a la Gerencia General y al Comité de Riesgos.

e. A fin de asegurar una eficiente gestión de Riesgo Operacional relacionado a las subcontrataciones significativas y/o servicios importantes, se han determinado las responsabilidades, de acuerdo al siguiente detalle:

Es responsabilidad de la Gerencia de Administración, el proceso de selección del proveedor del servicio y la gestión de la elaboración del acuerdo de subcontratación.

Es responsabilidad de las Gerencias y/u Oficinas, la gestión y monitoreo de los riesgos asociados con el acuerdo de

Pág. N° 19 de 65






subcontratación, debiendo reportar incidentes a la bitácora de Riesgo Operacional, a fin de asegurar un entorno de control efectivo. Así mismo, se deberán asegurar que cuenten con planes de continuidad, en el caso de principales proveedores de servicios(*)

(*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,

celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.

9.3.8. Cumplimiento: El no cumplimiento de las políticas establecidas en el presente manual, así como la omisión del reporte de incidencias de pérdida por Riesgo Operacional, son consideradas como falta y serán sancionadas de acuerdo al Reglamento Interno de Trabajo (RIT).

9.4. METODOLOGIA

9.4.1. Marco General

Entendimiento de la organización / Establecer el Contexto: En esta etapa inicial se deberá establecer el contexto mediante la definición de los diferentes criterios para la gestión del riesgo operacional. Esta etapa involucra los siguientes aspectos:

- Definir los valores y matriz de frecuencia

Los valores de frecuencia han sido establecidos en base a cinco niveles, dados por el número de eventos por riesgo operacional en el periodo de un año, en el siguiente cuadro se muestran los niveles establecidos:

Cuadro Nº 1: Valores de frecuencia

NivelesNro. de Eventos

en el año

1 0.5 veces

2 1 veces

3 4 veces

4 12 veces

5 24 veces

- Definir los valores y matriz de impacto

Los valores de impacto han sido establecidos en base a cinco niveles.

Pág. N° 20 de 65






El valor inicial de la matriz de impacto, estará dado por el 15% del promedio de pérdidas por riesgo operacional de los últimos 5 años. Los valores de los siguientes niveles serán determinados según la distribución por nivel de exposición del riesgo del Mapa de Riesgo Operacional FMV (Gráfico N° 2).

- Determinar el nivel de apetito al Riesgo del Fondo MIVIVIENDA

S.A. Determinación del apetito en toda la organización Recogemos los datos de valoración cuantitativa de riesgo operacional: a) Los datos acumulados en un periodo anual de los eventos de

pérdida por RO. De las pérdidas registradas en la Bitácora de Riesgo Operacional, se realizará la sumatoria de todas las pérdidas registradas en un periodo anual, para dicho cálculo se tomara en cuenta las pérdidas registradas en los últimos 5 años, luego de calculado el total de pérdidas por periodo anual, se tomara el valor máximo obtenido.

b) Las provisiones por contingencias legales. De las provisiones registradas en las cuentas contables se tomara el valor obtenido al cierre de cada año (diciembre) de los últimos 5 años, para efectos del cálculo a realizar se utilizara el valor más alto obtenido.

Se toma como supuesto que durante el periodo evaluado todas las provisiones por contingencias legales se materializan.

c) Estimación de las posibles pérdidas

Se estimaran las posibles pérdidas de las evaluaciones cuantitativas de Riesgo Operacional por cada evento de pérdida identificado.

Con los datos recopilados se establecerá, sumando los valores totales de exposición, el nivel de apetito de riesgo operacional para toda la organización en un periodo anual, el cual se redondeará. El apetito obtenido se deberá comparar con el promedio de las utilidades del FMV de los últimos 5 años y con el promedio del requerimiento de patrimonio efectivo por RO de los últimos 5 años.

Pág. N° 21 de 65






El apetito de toda la organización siempre deberá ser mayor al apetito individual. Determinación del apetito individual por riesgo operacional La matriz de exposición de riesgo operacional vigente en la metodología de RO expresa valores de exposición:

Gráfico Nº 2: Mapa de Riesgo Operacional FMV

5 V51 V52 V53 V54 V55 4 V41 V42 V43 V44 V45 3 V31 V32 V33 V34 V35 2 V21 V22 V23 V24 V25 1 V11 V12 V13 V14 V15

1 2 3 4 5 Por tanto, el apetito de riesgo operacional para cada riesgo individual se establece en el valor más alto del nivel de exposición moderado, debido a que este es el nivel de exposición máximo aceptado por la institución.

- Determinar la Tolerancia al Riesgo del Fondo MIVIVIENDA S.A.: El nivel de tolerancia de riesgo operacional en el FMV se establece tomando en consideración el número de eventos por riesgo operacional definido en la metodología de RO y siguiendo la siguiente escala.

Cuadro Nº 2: Nivel de Tolerancia de Riesgo Operacional

Número de eventos por año

Tolerancia a RO (expresado en % sobre el

apetito de RO)

0 a 10 Hasta 30%

11 a 15 Hasta 20%

16 a 20 Hasta 10%

21 a 25 Hasta 5%

Más de 25 Mismo nivel del apetito

Elaboración: Propia

- Seguimiento y calibración del modelo de estimación Los parámetros de estimación, los niveles de exposición de la matriz de RO, el seguimiento de los eventos de pérdida tanto a nivel de número de eventos como del monto de pérdidas acumuladas y la exposición por riesgo operacional así como cualquier otro parámetro que se incluya en el modelo de

Pág. N° 22 de 65






estimación deberán ser calibrados de manera anual a efectos de verificar su adecuada aplicación. En caso se presenten cambios sustanciales en los valores de estimación (mayores al máximo valor de la tolerancia por RO), deberá determinarse un nuevo nivel de apetito de riesgo operacional. La siguiente calibración del modelo de estimación se realizará con la información recopilada a diciembre del año 2014.

- Definir las categorías de riesgos/tipos de eventos. Los eventos/riesgos se pueden agrupar de acuerdo con su naturaleza en las siguientes categorías:

Fraude Interno Fraude Externo Prácticas laborales y seguridad del ambiente de trabajo. Prácticas relacionadas con clientes, los productos y el

negocio. Daños a los activos físicos. Interrupción del negocio por fallas en la tecnología de

información. Deficiencias en la ejecución de procesos, en el procesamiento

de operaciones y en las relaciones con proveedores externos.

En el Anexo N° 5, se incluye una categorización de los tipos de eventos de pérdida aplicable, donde se detalla los niveles 1, 2 y actividades ejemplo (nivel 3).

- Definir los factores de riesgo.

Los factores de riesgo se seleccionan de acuerdo con su naturaleza en el contexto de la Institución. La codificación según el artículo 4º de la Resolución SBS Nº 2116-2009 establece como factores de riesgo: Personal Procesos Internos Tecnología de Información Eventos Externos

- Definir los criterios para el tratamiento/mitigación de riesgos

operacionales. Una vez realizadas las pruebas a controles y desarrollado el mapa de riesgos residuales, los criterios para tomar decisiones sobre los riesgos serán:

Pág. N° 23 de 65






Para los riesgos calificados como críticos y altos, estos serán

incluidos dentro de los planes de mitigación, y Para los riesgos calificados como moderados y bajos, estos

serán monitoreados.

- Definir los criterios para la evaluación de controles. Una vez desarrollado el mapa de riesgos residuales e identificados los controles que mitigan cada uno de los riesgos, es necesario definir el alcance de las pruebas de controles. En los casos en que no sea posible evaluar todos los controles con el objeto de optimizar los recursos, es necesario definir los criterios con los cuales serán seleccionados los controles a evaluar. Estos criterios serán:

- La selección de controles que mitiguen riesgos calificados

como “Críticos” y “Altos” La selección de controles que mitiguen más de un riesgo La selección de otros controles, que a criterio del evaluador o

dueño de proceso deben ser considerados en el proceso de administración de riesgos.

- Categorizar los procedimientos de acuerdo a su nivel de

importancia en la operatividad de la Entidad, basado en las siguientes actividades:

1) Se deberá identificar claramente los procesos, sub-procesos y

procedimientos de las unidades organizacionales.

2) Identificados los procedimientos se procederá a categorizarlos de acuerdo a su nivel de importancia, para ello los analistas de riesgo operacional coordinarán una reunión con el responsable de los procedimientos con la finalidad de realizar un análisis cualitativo del nivel de importancia de los procedimientos.

3) El responsable de los procedimientos con la guía del analista

de riesgo operacional asignará una calificación a cada criterio de evaluación. Los criterios establecidos para el análisis del nivel de importancia de los procedimientos se muestran en el cuadro Nº 1:

Pág. N° 24 de 65






Cuadro Nº 3: Criterios para categorizar los procedimientos de acuerdo a su nivel de importancia.

CODIFICACIÓN CRITERIOS DE EVALUACIÓN DESCRIPCIÓN CALIFICACIÓN PESO(%) CRITERIOS DE CALIFICACIÓN

1Nada relacionado con el cumplimiento

de la misión

2Poco relacionado con el cumplimiento de

la misión

3Medianamente relacionado con el

cumplimiento de la misión

4Altamente relacionado con el


5Muy altamente relacionado con el


1Alineado a 1 o ningún objetivo

estratégicos

2 Alineado a 2 objetivos estratégicos




1Sanciones o multas por incumplimiento

sin impacto significativo


sin impacto significativo

3Sanciones o multas por incumplimiento:

bajo advertencia


menores a 20 UIT


mayores a 20 UIT

1Perdidas comprendidas entre 0 y 1'000

nuevos soles

2Perdidas comprendidas entre 1'001 y

10'000 nuevos soles


100'000 nuevos soles


un millon de nuevos soles

5Perdidas mayores a un millón de nuevos

soles

1 Sin impacto en los desembolsos del mes

2 Menor al 1% de desembolsos del mes

3Mayor al 1% y menor al 5% de

desembolsos del mes

4Mayor al 5% y menor a 10% de

desembolsos del mes

5 Mayor al 10% de desembolsos del mes

30%

Los procesos, subprocesos y

procedimientos que presentan el riesgo

potencial de generar perdidas

económicas a la institución

Impacto EconómicoC4


procedimientos orientados a la atención

de personas y/o empresas y que

exponen la imagen de la institución

Impacto en la Imagen

InstitucionalC5 15%

9%


procedimientos cuya ejecución esta

sujeta al cumplimiento del reglamento,

normativa y procedimientos

administrativos emitidos por la

Superintendencia de banca y Seguros

(SBS) y/o otro ente regulador

Normativa y PlazosC3


procedimientos orientados a dar

cumplimiento de los objetivos

estrategicos establecidos por la Alta

Dirección del FMV

Objetivos EstratégicosC2 21%

24%

Los Procedimientos Institucionales

orientados al cumplimiento de la misión

del FMV, según lo descrito en la ley

organica y reglamento de organización y

funciones

MisiónC1

4) Una vez obtenida la calificación de cada criterio de evaluación se procede a calcular la sumatoria lineal ponderada de los productos entre el puntaje asignado a cada criterio y la ponderación que le corresponde (el factor de ponderación de cada criterio está en relación con el grado de importancia del criterio en la ejecución del procedimiento para el logro de la visión de la Entidad). Para hallar la sumatoria lineal ponderada se aplica la siguiente expresión:

5 5

N = ∑ ∑ (CCi *Wj)

i=1 j=1

5 5

N = ∑ ∑ (CCi *Wj)

i=1 j=1

Pág. N° 25 de 65






Donde: - N: Nivel de importancia del procedimiento en la operatividad

de Entidad. - CCi: Calificación asignada al criterio de evaluación. - Wj: Ponderación o peso que le corresponde al criterio de

evaluación.

5) El nivel de importancia del procedimiento se obtiene al ubicar el valor “N” de la sumatoria lineal ponderada en el intervalo de clasificación de nivel de importancia(alto, medio y bajo)al cual pertenece, de acuerdo al cuadro Nº 2:

Cuadro Nº 4: Intervalo de clasificación del nivel de

Importancia de los Procedimiento.

Bajo

Medio

Alto

1-2.16

2.17-3.33

3.34-5

Nivel de importancia


La Gestión de Riesgo Operacional del Fondo MIVIVIENDA S.A. consta de seis etapas:

A. Identificación de los Riesgos Operaciones.

B. Análisis de los Riesgos Operacionales.

C. Evaluación de los Riesgos Operacionales

D. Tratamiento/Mitigación de los Riesgos Operacionales.

E. Monitorear y Revisar.

F. Comunicar y Consultar.

Estas etapas son de vital importancia para desarrollar con éxito la gestión del riesgo operacional. Se cuenta con la participación de las personas que ejecutan los procesos, para lograr que las acciones de control alcancen los niveles esperados. En el Anexo N° 1, se presenta gráficamente la metodología para la gestión del Riesgo Operacional.

A. Identificación de los Riesgos Operacionales:

En esta etapa se identifican los eventos por riesgo operacional en cada uno de los procesos y procedimientos. Debe entonces responderse a las preguntas sobre: - ¿qué puede suceder?,

Pág. N° 26 de 65






- ¿dónde?, - ¿cuándo?, - ¿cómo? y - ¿por qué?

La identificación del riesgo, deberá ser permanente e interactiva y debe estar basada en el análisis de los objetivos estratégicos de la entidad para la obtención de resultados. Esta etapa involucra los siguientes aspectos: - Lograr un conocimiento del proceso a evaluar, identificando como

mínimo los siguientes aspectos:

Objetivo del proceso o procedimiento. Diagrama de proceso o procedimiento. Entradas y Salidas. Comienzo del proceso o procedimiento y fin del proceso o

procedimiento. Factores críticos de éxito Indicadores de desempeño Sistemas de Información que soportan el proceso o

procedimiento. Recursos Humanos involucrados en el proceso o

procedimiento. Documentación relacionada

Se documenta el conocimiento del proceso o procedimiento en formatos de caracterización de procesos. Anexo Nº 6 (Formato para documentar la caracterización de los procesos).

- Identificar los problemas (eventos/riesgos) que pueden afectar el

cumplimiento del objetivo del proceso.

- Determinar los factores que originan los eventos por riesgo operacional y clasificar los eventos/riesgos de acuerdo con las categorías establecidas en el Anexo N° 5 del presente documento.

B. Análisis de los Riesgos Operacionales: Esta etapa considera las fuentes de riesgos, sus consecuencias y las probabilidades de ocurrencia de las mismas. Se analiza el riesgo combinando las estimaciones de las probabilidades de ocurrencia (frecuencia) y de las consecuencias (impacto), en el contexto de las medidas de control existentes.

Pág. N° 27 de 65






Permitirá conocer el nivel de riesgos inherente al cual está expuesta la Institución, evaluar la solidez de los controles (grado en que mitigan los riesgos) y establecer el nivel de riesgo residual al cual está expuesta la Institución.

Esta etapa involucra los siguientes aspectos:

- Determinar los riesgos brutos, mediante la valoración de los

riesgos inherentes a los procesos, sin tener en cuenta el diseño y la eficiencia operativa de los controles existentes. Esta actividad consiste en:

Calificar los riesgos con base a los criterios establecidos para

la evaluación de riesgos (en términos de probabilidad de ocurrencia del riesgo y nivel de impacto).

Desarrollar el mapa de riesgos brutos.

- Determinar y evaluar los controles inherentes a los procesos,

valorando la efectividad del diseño de los controles. Esta actividad consiste en:

Identificar los controles propios de los procesos. Determinar las características de los controles, las que se

muestran en el siguiente cuadro.

Cuadro N° 5: Características de los controles

Frecuencia Tipo Implementación

Continua Preventivo Automático

Periódica Detectivo Semiautomático

Ocasional Ocasional Manual

A continuación se detallan los tipos de control y la frecuencia:

Pág. N° 28 de 65






Cuadro N° 6: Tipos de control

Son controles orientados a prevenir las causas del riesgo en una

etapa muy temprana, ayudan a prevenir una pérdida.

Orientados a detectar actos indeseables. El punto de control se ubica

dentro del proceso y las adecuaciones se enfocan a detectar y

compensar los errores o desviaciones antes de que se elabore el

resultado.

Son controles orientados a corregir las causas que originan el riesgo.

El punto de control se ubica al final del flujo del proceso y las

adecuaciones se enfocan a corregir los errores sobre el resultado

obtenido.

TIPO DE CONTROL

Preventivo

Detectivo

Correctivo

Entrada Salida?Proceso

Feed-back

No

Punto de Control


Feed-back

No

Punto de Control


Adecuación

No

Punto de Control


Adecuación

No

Punto de Control

Entrada Salida ?Proceso

Adecuación

No

Punto de Control

Entrada Salida ?Proceso

Adecuación

No

Punto de Control

Cuadro N° 7: Frecuencia de los controles

Continua Cada vez que se le solicita como parte del flujo normal del proceso.

PeriódicaSe repite con frecuencia a intervalos determinados (mensual,

trimestral, etc)

OcasionalCada vez que se le solicita fuera del flujo normal de recorrido del

proceso.

FRECUENCIA

Identificadas las características de los controles, se obtiene un valor numérico que representa la efectividad del diseño del control que se ubica en un intervalo que establece los límites entre los niveles efectividad del control. A continuación se presenta el intervalo predefinido:

Pág. N° 29 de 65






Cuadro N° 8: Intervalo de efectividad del control

Límite

superiorDescripción

Fuerte 0.16Los controles son adecuados, dado que son efectivos en

la mitigación del riesgo residual.

Moderado 0.55

Lo controles son adecuados, dado que su factor de

reducción mitiga la frecuencia y/o impacto del riesgo

bruto, pero presentan debilidades pertinente a revisar.

Débil 1.00Los controles no son adecuados y necesitan

rediseñarse.0.55

0.16

Límite

inferior

0.10

Efectividad del control

Con el nivel de efectividad y características de los controles, se obtiene la valoración del factor de reducción del riesgo inherente, el cual se multiplica acorde a su foco con la frecuencia e impacto del riesgo bruto para obtener así la exposición al riesgo residual (Ver Anexo N° 2).

- Determinar el perfil de riesgos residuales. Esta actividad consiste

en:

Calificar los riesgos residuales teniendo en cuenta la calificación final dada a los controles.

Desarrollar la matriz de riesgos residuales y determinar el nivel

de exposición, como se muestra en el Anexo Nº 2:

- Elaborar una lista de los riesgos identificados ordenándolos de mayor a menor según la calificación del riesgo residual obtenida.

C. Evaluación de los Riesgos Operacionales

En esta etapa se compara la calificación del riesgo residual contra los niveles de tolerancia admisibles por la Institución, con el fin de tomar acciones posteriores, optando por Aceptar o dar Tratamiento al Riesgo. El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior.

D. Tratamiento / Mitigación de Riesgos Operacionales: En esta etapa se identifican las opciones para mitigar/tratar los riesgos, realizar la evaluación de dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin embargo, la Institución puede decidir aceptar el riesgo sin tomar acciones adicionales.

Pág. N° 30 de 65






Esta etapa involucra las siguientes actividades:

- Identificar las opciones para el tratamiento de riesgos. Las opciones, que no son necesariamente excluyentes y apropiadas en todas las circunstancias, incluyen lo siguiente:

Aceptar el Riesgo.- Cuando se encuentra en un nivel que

puede ser aceptado por la Institución, sin necesidad de tomar otras medidas de control diferentes a las que poseen.

Evitar el Riesgo.- Se evita el riesgo si se decide no proceder

con la actividad que probablemente generaría el riesgo (cuando esto es practicable).

Reducir el Riesgo, Reducir o controlar la probabilidad de la

ocurrencia, Reducir o controlar las consecuencias

Transferir los riesgos.- Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos arreglos de seguros y estructuras organizacionales tales como sociedades. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reducirá el riesgo para la Institución original, pero puede no disminuir el nivel general del riesgo para la sociedad.

A continuación, en el gráfico Nº 3, se muestran las opciones para la mitigación de riesgos, de acuerdo al nivel de exposición.

Gráfico Nº 3: Matriz de Riesgo Residual.

REDUCIR EVITAR

ACEPTAR TRANSFERIR

Impacto

Fre

cuencia

- Las opciones de transferir o reducir el riesgo deberá evaluarse para cada caso particular, pero en general podría considerar las siguientes opciones:

Trasferir.- Para aquellos riesgos que presenten una frecuencia

moderada, baja y/o muy baja y un impacto importante, mayor y/o superior.

Pág. N° 31 de 65






Reducir.- Para aquellos riegos cuya frecuencia sea importante, mayor y/o superior y el impacto sea moderada, baja y/o muy baja.

- Evaluar las opciones de mitigación de riesgos.- Las opciones son

evaluadas sobre la base del alcance de la reducción del riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas. Se consideran y aplican una cantidad de opciones ya sea individualmente o combinadas. La selección de la opción más apropiada involucra balancear el costo de implementar cada opción contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos es conmensurado con los beneficios obtenidos, como se muestra en el gráfico Nº 4:

Gráfico Nº 4: Evaluación del Nivel de Riesgo vs. Costo de reducir el riesgo.

- Evaluar la efectividad de los planes de tratamiento, luego de

implementados los diferentes planes de tratamiento para la mitigación de los riesgos identificados, según sea el caso, se deberá evaluar tomando en cuenta primero si el control existe y si esta implementado formalmente, si es apropiado y si existen debilidades en los procedimientos para su aplicación.

Pág. N° 32 de 65






E. Monitorear y Revisar: En esta etapa se monitorean los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación del plan. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, ya que pocos riesgos permanecen estáticos. Esta etapa involucra las siguientes actividades: - Definir los indicadores de riesgos necesarios para monitorear el

nivel de exposición de la Institución. - Definir los reportes necesarios para realizar el monitoreo de

riesgos, incluyendo la frecuencia de su generación y los responsables de elaborarlos.

- Analizar los reportes con el fin de monitorear el nivel de

exposición de la Institución (analizar variación de resultados de indicadores y evaluar la efectividad de los planes de mitigación).

- Realizar seguimiento a los planes de tratamiento/mitigación

definidos, con el fin de verificar su implementación. Para realizar este seguimiento, es necesario definir cuáles serán las responsabilidades de cada uno de los participantes en la administración de riesgos, las cuales pueden ser:

Dueños de proceso: Evaluación de controles y verificación de

implementación de los planes de acción a través del proceso de autoevaluación.

Unidad de riesgo: Preparar un plan de seguimiento que influya

las actividades más relevantes a las cuales debe realizarle el seguimiento.

Auditoría Interna: Incluye el seguimiento dentro de los

programas de auditoría, según las necesidades de la Institución.

- Modificar y/o actualizar los planes de mitigación en los casos que

se requiera. Si luego del tratamiento hay un riesgo residual, la Institución tomará la decisión de retener este riesgo o repetir el proceso de tratamiento/mitigación.

Pág. N° 33 de 65






F. Comunicar y Consultar: En esta etapa se mantiene informado al Directorio y/o Comité de Riesgos y/o Gerencias y/o Oficinas sobre la exposición al riesgo al que se enfrenta la Institución. Esta etapa involucra las siguientes actividades: - Definir los reportes a remitir al Directorio y/o Comité de Riesgos

y/o Gerencias y/o Oficinas con el objetivo de informar acerca de los resultados de la administración de riesgos. Los reportes emitidos por la Gerencia de Riesgos, se pueden apreciar en el cuadro Nº 7.

Cuadro Nº 9: Informes y Reportes emitidos de Riesgo

Operacional

DIRIGIDO A: TIPO DE REPORTE PERIOCIDAD

Directorio Reporte mensual de Riesgo Operativo de la Institución

Mensual

Gerencia General

Reporte mensual de Riesgo Operativo de la Institución

Mensual

Gerencias y/u Oficinas

Reporte de Riesgo Operacional de cada una de las Gerencias y/u Oficinas

Mensual

9.4.3. Registro y Control de los Eventos por Riesgo Operacional:

Para el registro de eventos por Riesgo Operacional, se deberán realizar las siguientes actividades: - Todo el personal del Fondo MIVIVIENDA S.A. deberá identificar,

registrar e informar directamente o por intermedio del representante de Riesgo Operacional de cada una de las Gerencias y/u Oficinas, los eventos por Riesgo Operacional, mediante el envío de un correo a: [email protected]. En el anexo Nº 5, se muestran los campos mínimos de información referida al evento y las pérdidas asociadas a este.

- La Gerencia de Riesgos después de determinar el tipo de evento

(por perdida financiera o por lucro cesante) la Gerencia de Riesgos debe clasificar los eventos por riesgo operacional en base a la causa que lo origina y al tipo de evento, de acuerdo a la clasificación realizada en el anexo Nº 3.

mailto:[email protected]

Pág. N° 34 de 65






- La Gerencia de Riesgos, procederá a realizar la evaluación de riesgo del evento de acuerdo a la metodología descrita para la administración del riesgo operacional.

- Si las pérdidas son mayores a 6 UIT, la Gerencia de Riesgos

deberá abrir un expediente físico o electrónico que contenga información adicional que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la Institución, incluyendo entre otras las mejoras o cambios requeridos en sus políticas o procedimientos.

- Además la Gerencia de Riesgos es responsable de verificar el registro de los montos de perdida en las cuentas contables.

9.4.4. Requerimiento de Patrimonio Efectivo por Riesgo Operacional:

- El método para calcular el requerimiento patrimonial por riesgo

operacional se basa en la Resolución SBS Nº 2115-2009 Reglamento para el Patrimonio Efectivo por Riesgo Operacional.

- En el anexo Nº 6 se adjunta el método utilizado por la Institución

para realizar el cálculo del requerimiento patrimonial por riesgo operacional.

9.4.5. Gestión de la Continuidad del Negocio y de la Seguridad de la Información:

La metodología para la Gestión de la Continuidad del Negocio está basada en los lineamientos descritos en el Plan de Continuidad del Negocio vigente del Fondo MIVIVIENDA S.A. Asimismo, la metodología para la Gestión de la Seguridad de la Información, debe tener como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Está enmarcado en los lineamientos dados en la Política de Seguridad de la Información y el Manual de Gestión de Seguridad de la Información. Se deberá asegurar que los principales proveedores de servicios cuenten con un Plan de Continuidad, además de verificar que se mantengan las características de seguridad de la información de las subcontrataciones significativas y asegurar que el procesamiento y la información, se encuentre efectivamente aislada en todo momento. Para asegurar la implementación de lo expuesto en el párrafo anterior, se deberá realizar una de las siguientes actividades:

Pág. N° 35 de 65






1. Incluir una cláusula en el contrato de servicio, requiriendo el

cumplimiento de lo antes señalado.

2. De no poder incluir la cláusula se deberá requerir a las empresas

una Declaración Jurada que deje constancia del cumplimiento de

lo solicitado.

3. En caso no se pueda implementar los puntos 1 y 2 se deberá

comunicar a la SBS para su conocimiento.

9.4.6. Aprobación de nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático: Para todo nuevo producto que requiera ser aprobado o presente cambios importantes en el ambiente de negocio, operativo o informático, deberán contar con una Evaluación de Riesgos, para lo cual se deberán realizar las siguientes actividades:

Evaluación del riesgo operacional, de acuerdo a la metodología descrita en el presente manual.

Una vez realizada la evaluación, la Gerencia de Riesgos emite su informe con las recomendaciones y planes de acción de los riesgos que deben ser mitigados.

El informe emitido deberá ser presentado a la gerencia general y al Comité de Riesgos.

Los informes deberán contener por lo menos la siguiente información:

En el caso de los nuevos productos se deberá incluir según sea el caso, lo siguiente:

a) Descripción del producto b) Proceso operativo asociado c) Canales y mercado objetivo

Para el caso de los cambios importantes en el ambiente de negocio, operativo o informático, se deberá incluir una breve descripción del cambio, indicando el objetivo que se busca alcanzar.

Además deberá contener la descripción de los riesgos identificados como consecuencia del lanzamiento del nuevo producto o por los cambios en el ambiente de negocios, operativo o informático. Así mismo se incluirá claramente los tipos de riesgos asociados.

También se deberá incluir los resultados de la evaluación realizada y medidas de tratamiento implementadas o propuestas a fin de gestionar el riesgo.

Pág. N° 36 de 65






Los informes emitidos después de ser presentados al comité de riesgos, deberán ser enviados a la SBS dentro de los diez (10) días hábiles, además se deberá incluir, de ser posible, los acuerdos tomados en el Comité de Riesgos. No se realizara él envió de los informes que sean requeridos como parte de un proceso de autorización. Los cambios considerados como importantes son: a) Cambios en la forma en la que se conducen los negocios y

operaciones, originados por modificaciones en las condiciones económicas, políticas o legales.

b) Subcontrataciones significativas. c) Alianzas, contratos asociativos, participación en negocios

conjuntos. d) Reorganizaciones empresariales. e) Proyectos cuya falla pueda generar pérdidas significativas. f) Implementación de un nuevo canal de atención: Cajeros

Automáticos, Internet, Telefonía móvil, Cajeros corresponsales, entre otros. En este caso, se considerará como cambio importante la implementación por primera vez del nuevo canal de atención y/o modificaciones importantes a su funcionamiento.

g) Cambio de la infraestructura tecnológica que soporta los principales productos y/o servicios de la empresa.

h) Traslado de la oficina principal de la empresa. i) Estructuración de Fideicomisos. j) Servicios importantes, que generen cambio importante en el

ambiente de negocios, operativo e informático.

9.4.7. Determinación y Evaluación de una Subcontratación Significativa y/o Servicio Importante Para determinar si se trata de una subcontratación significativa o un servicio importante las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, realizaran lo siguiente: 1. Se deberá evaluar si el servicio es considerado un servicio o una

subcontratación, para determinar esto se evaluara si este puede ser realizado por la empresa mediante la identificación de funciones en el MOF.

2. Para determinar si una subcontratación es significativa, se deberá realizar una evaluación tomando en cuenta los siguientes aspectos:

a) Relación con el cumplimiento de la misión y alineamiento

con los objetivos estratégicos. b) Impacto en los ingresos.

Pág. N° 37 de 65






c) Impacto económico que afecte la solvencia. d) Impacto en la Continuidad Operativa. e) Impacto en la imagen Institucional.

3. Para determinar si un servicio es importante se deberá realizar una

evaluación tomando en cuenta los siguientes aspectos:

a) Impacto económico que afecte la solvencia o a los ingresos. b) Impacto en la Continuidad Operativa.

4. Para determinar si el servicio importante genera cambios

importantes en el ambiente de negocios, operativo o informático, las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, deberán evaluar la importancia del cambio en los siguientes ambientes:

c) Ambiente de negocios d) Operativo e) Informático

9.4.8. Subcontratación Significativa:

Las Gerencias y/o oficinas, en coordinación con la Gerencia de Riesgos deberán evaluar si el servicio solicitado se clasifica como una subcontratación significativa. Si no se trata de una subcontratación significativa, las gerencias y/o Oficinas seguirán con sus procedimientos establecidos. Si se trata de una subcontratación significativa, las Gerencias y/o Oficinas deberán informar a la Gerencia de Riesgo, una vez aprobado el Plan Anual de Adquisiciones presentado al iniciar el año o en cualquier modificación que sufra, para que esta realice una evaluación de los riesgos a los cuales puede estar expuesta dicha subcontratación significativa. La Gerencia de Riesgos debe realizar una evaluación de riesgos integral de la subcontratación significativa y elaborar informe de la evaluación que debe ser elevado al Directorio para su aprobación. Una vez que el Directorio apruebe el informe de riesgos este será informado a la Gerencias y/o Oficinas a fin de que tomen acción, si esto fuese necesario.

Pág. N° 38 de 65






9.5. REPORTES.-

La Gerencia de Riesgos, elaborara los siguientes reportes:

Cuadro Nº 10: Informes y Reportes por tipo de proceso

PROCESO DIRIGIDO A: NOMBRE DEL REPORTE PERIOCIDAD

Gestión del Riesgo Operacional

SBS IGROP Anual

Directorio Reporte mensual de Riesgo Operativo de la Institución

Mensual

Gerencia General

Reporte mensual de Riesgo Operativo de la Institución

Mensual

Aprobación de nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático:

Gerencias / Oficinas / Directorio Comité de Riesgos

Informe de Evaluación de Riesgos de nuevos

productos o cambios importantes en el ambiente

de negocios, operativo o informático

A Solicitud

SBS




Dentro de los diez (10) días

hábiles luego de ser presentado al

Comité de Riesgos

Eventos por Riesgo Operacional:

Gerencia General / Comité

de Riesgos

Informe de Evaluación de Riesgos de los Eventos por

Riesgo Operacional

De acuerdo a Evento

Cálculo del Requerimiento de Patrimonio Efectivo por Riesgo Operacional:

SBS Reportes 2-C1 Mensual

Directorio / Comité de Riesgos

Reporte 2D Mensual

Gestión de la Continuidad del Negocio y de la Seguridad de la Información:


Informe de Pruebas del Plan de Continuidad

Anual

Planes de Acción Mensual

Subcontratación Significativa:

Gerencia / Oficinas /


Informe de Evaluación de Subcontratación

Significativa A Solicitud

SBS




Dentro de los diez (10) días

hábiles luego de ser presentado al

Comité de Riesgos

Pág. N° 39 de 65






9.6. PROCEDIMIENTOS.-


9.6.1.1 Secuencia de Operaciones:

N° Responsables Descripción de Actividades

1 Gerencia de

Riesgos

Identificación de los Riesgos Operacionales

1.1 Recabar información del proceso o procesos de la Gerencia y/o Oficina a analizar.

1.2 Identificar el proceso y subprocesos a analizar y sus respectivos procedimientos.

1.3 Comunicar a las Oficinas y/o Gerencias acerca de la identificación y evaluación de riesgos operacionales a realizar a sus procedimientos para coordinar las entrevistas con los responsables de los procedimientos.

2 Gerencias y/o

Oficinas

2.1 Tomar conocimiento de la evaluación cualitativa de riesgos operacionales a realizarse en su área, evaluación a cargo de la Gerencia de Riesgos.

3 Gerencia de

Riesgos

3.1 Coordinar el desarrollo de los talleres con el o los responsables del proceso y de los procedimientos para el levantamiento de la información que permita la identificación y evaluación de riesgos operacionales.

4 Gerencias y/o

Oficinas

4.1 Fijar la fecha de los talleres con el Analista de Riesgos Operacionales para el levantamiento de la información que permita la identificación y evaluación de los riesgos operacionales.

5 Gerencia de

Riesgos

5.1 Realizar el taller con el responsable del procedimiento y/o procedimientos y solicitar la siguiente información:

5.1.1 Objetivos del Procedimiento.

5.1.2 Diagrama de Flujo del Procedimiento.

5.1.3 Entradas y Salidas.

5.1.4 Comienzo del Procedimiento y Fin del Procedimiento.

5.1.5 Factores Críticos de Éxito.

5.1.6 Indicadores de Desempeño.

5.1.7 Sistemas de información que soportan el procedimiento.

5.1.8 Recursos Humanos involucrados en el procedimiento.

Pág. N° 40 de 65






N° Responsables Descripción de Actividades

6 Gerencias y/o

Oficinas

6.1 El colaborador a cargo de la ejecución de las actividades que comprenden el procedimiento, identifica con la guía del Analista de Riesgos Operacionales las entradas, salidas, los eventos por riesgo operacional surgidos en la ejecución de las actividades y los riesgos operacionales producto de la ocurrencia de los eventos.

6.2 Determinar con la guía del Analista de Riesgos Operacionales, la frecuencia de ocurrencia de los eventos por riesgo operacional y el nivel de impacto de los riesgos operacionales.

7 Gerencia de

Riesgos

7.1 Completar la información de la ficha de caracterización de procedimientos con la información del Ítem 1.3.

7.2 Clasificar los eventos por riesgo operacional del procedimiento identificados con los colaboradores, de acuerdo a las categorías propuestas por Basilea.

7.3 Elaborar el Diagrama de Flujo del procedimiento y/o procedimientos en estudio en caso no hayan sido diagramados.

7.3.1 Identificar y analizar los puntos de mejora del procedimiento.

7.3.2 Identificar en el diagrama de flujo las actividades que generan los eventos por riesgo operacional.

Análisis y Evaluación de los Riesgos Operacionales

7.4 Evaluar los Riesgos Brutos en términos de probabilidad de ocurrencia y de nivel de impacto del Riesgo.

7.5 Elaborar la matriz bruta para determinar el nivel de exposición del riesgo operacional identificado.

7.6 Determinar los controles existentes que mitigan los riesgos identificados.

7.7 Calificar los tipos de controles según su efectividad y ejecución.

7.8 Identificar los riesgos residuales después de haber sido evaluados con sus respectivos controles.

7.9 Elaborar la matriz residual para determinar el nivel de exposición de los riesgos residuales.

7.10 Elaborar un cuadro de los riesgos identificados de acuerdo a su nivel de exposición.

manual de gestiÓn del riesgo operacional...2015/01/12 · del riesgo operacional del fmv. 1.0...

Documents