INDICE

RESUMEN

INTRODUCCION

CAPITULO 1: Concepto1.2 Riesgo operacional 41.3 Factores que originan el riesgo operacional 51.4 Eventos de pérdida por riesgo operacional 6

CAPITULO 2: Roles y Responsabilidades2.1 Responsabilidades del Directorio 102.2 Responsabilidades de la Gerencia 102.3 Comité de riesgos 112.4 Unidad de riesgos 11

CAPITULO 3: La Gestión del Riesgo Operacional3.1 Manual de gestión del riesgo operacional 123.2 Metodología para la gestión del riesgo operacional 123.3 Base de datos de eventos de pérdida 133.4 Gestión de la continuidad del negocio y de la seguridad de la información 183.5 Subcontratación 18

CAPITULO 4: Requerimientos de Información 4.1 Informe a la Superintendencia 194.2 Información adicional 19

CAPITULO 5: Colaboradores Externos 5.1 Auditoría Interna 205.2 Auditoría Externa 205.3 Empresas Clasificadoras de Riesgo 21

CONCLUSIONES 22

REFERENCIAS BIBLIOGRAFICAS 23

1

RESUMEN

La alta competitividad en el sector financiero ha impulsado a las instituciones bancarias a incursionar en nuevos mercados y a trabajar con nuevos productos, lo cual ha incrementado la complejidad de sus operaciones y de su perfil de riesgo, lo cual exige un mayor análisis de todos los riesgos. En este sentido, una adecuada administración y supervisión del riesgo operacional es uno de los desafíos más grandes por los que atraviesan las instituciones bancarias.

Teniendo en cuenta la importancia de una adecuada gestión y supervisión del riesgo operacional para generar un efectivo desempeño y estabilidad en el sistema bancario; el grupo ha decidido estudiar el riesgo operacional, basándonos en lo establecido por la Superintendencia de Banca, Seguros y AFP, en la Resolución SBS N° 2116 – 2009.

Empezando por estudiar que es el riesgo operacional, teniendo una definición de ello; revisando cuales son los factores que originan el riesgo operacional, que pueden ser factores internos, externos, personal y la tecnología; también conociendo cuales son los eventos de perdida, como: fraudes internos y externos, relaciones laborales y seguridad de trabajo, clientes productos, daños activos materiales, interrupción del negocio y, ejecución y gestión de procesos.

El Directorio es responsable del diseño e implementación de un marco adecuado para la prevención del riesgo operacional. También deberá revisar regularmente información del riesgo operacional que les permita comprender en todo momento el perfil del riesgo de la organización, por ello las unidades de riesgos deberán producir reportes periódicos sobre la exposición al riesgo operacional para el Directorio y la gerencia.

La administración del riesgo operacional es más efectiva cuando la cultura organizacional enfatiza altos estándares de comportamiento y desempeño en todos los niveles, lo cual debe ser resaltado y promovido por el Directorio y la Gerencia.

La base de datos interna de eventos de pérdidas de cada entidad es la piedra angular sobre la que se basa cualquier modelo interno. La información de pérdidas experimentada por cada entidad es el mejor reflejo del perfil de riesgo operacional de cada institución. De hecho, en la gestión de este riesgo, la mayoría de las entidades está comenzando por la elaboración de bases de datos internas de pérdidas, pues es una información muy útil para la gestión, independientemente de que vayan a abordar o no la construcción de un modelo interno de medición del riesgo.

El área de riesgos como la auditoría interna deberán verificar que la gerencia del banco haya establecido la metodología y los criterios y procedimientos necesarios para el adecuado desarrollo del modelo de administración del riesgo operacional.

2

ABSTRACT

The high competitiveness in the financial sector has prompted banking institutions to enter new markets and work with new products, which has increased the complexity of their operations and risk profile, which requires more analysis of all risks. In this sense, proper management and supervision of operational risk is one of the biggest challenges for those experiencing banking institutions.

Given the importance of adequate management and supervision of operational risk to generate effective performance and stability in the banking system; the group decided to study the operational risk, based on the provisions of Superintendencia de Banca, Seguros y AFP, in SBS Resolution No. 2116-2009.

Beginning study is operational risk, having a definition of it; reviewing what are the factors that give rise to operational risk factors that can be internal, external, personal and technology; also knowing what events are lost, such as internal and external fraud, employment relations and job security, customers products, assets, property damage, business interruption, and execution and process management.

The Board is responsible for the design and implementation of a framework for operational risk prevention. You should also regularly review operational risk information to enable them to understand at all times the risk profile of the organization, why risk units should produce regular reports on operational risk exposure for the Board and management. The operational risk management is most effective when the organizational culture emphasizes high standards of behavior and performance at all levels, which should be highlighted and promoted by the Board and management.

The internal database of loss events for each entity is the cornerstone of any internal model. Information loss experienced by each entity is the best reflection of the operational risk profile of each institution. In fact, in the management of this risk, most organizations are beginning with the development of internal databases of loss data, it is a very useful management information, regardless of whether they are to deal or not to build a internal risk measurement model.

The area of risk and the internal audit should ensure that bank management has established the methodology and criteria and procedures for the proper development of the model of operational risk management.

3

INTRODUCCION

La banca es un negocio arriesgado, que solo resulta cuando se asumen riesgos con profesionalidad. Sin embargo todos sabemos que la banca no es un negocio como los demás. Dada la importancia de la intermediación financiera para el conjunto de la economía y la necesidad de contar con una infraestructura eficaz que permita la transmisión de información rápida y segura entre todos los participantes, los distintos países han creado entidades específicamente dedicadas a supervisar o vigilar el buen funcionamiento de instituciones, sistemas y redes.

El desarrollo de instituciones financieras cada vez más grandes y sofisticadas ha sido impulsado principalmente por la desregulación financiera y la globalización. Estas instituciones realizan actividades en múltiples mercados y han desarrollado perfiles de riesgo cada vez más complejos. Debido a esto, la administración del riesgo operacional representa hoy en día uno de los grandes desafíos a los que se enfrentan los bancos.

Asimismo, el concepto de riesgo operacional ha adquirido una gran importancia en la comunidad financiera internacional debido al colapso de ciertas instituciones, financieras y no financieras, debido en parte a problemas de tipo operacional. Esto en general no significa que las instituciones financieras no prevengan, gestionen o implementen programas para disminuir los potenciales problemas de tipo operacional. Ciertas instituciones y organismos internacionales han buscado lograr con diversas iniciativas que las instituciones consoliden los eventos de pérdida por riesgo operacional y que se le considere a este último como una categoría especial de riesgo.

4

CAPITULO I

1.1 RIESGO OPERACIONAL

Un primer paso para tratar el riesgo operacional es establecer una definición compartida del mismo. El Comité de Basilea definió el riesgo operacional como “el riesgo de pérdidas que resultan de procesos internos fallidos o inadecuados, personas, sistemas o eventos externos. La definición incluye el riesgo legal pero excluye el riesgo estratégico y el riesgo reputacional”1.

Se entiende por riesgo operacional a la posibilidad de ocurrencia de pérdidas financieras debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación2.

1.2 FACTORES QUE ORIGINAN EL RIESGO OPERACIONAL

A. Procesos internosLas empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, relacionados al diseño inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.

En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los modelos utilizados, los errores en las transacciones, la evaluación inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los errores en la información contable, la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada documentación de transacciones, así como el incumplimiento de plazos y presupuestos planeados.

B. PersonalLas empresas deben gestionar apropiadamente los riesgos asociados al personal de la empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, lavado de dinero, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros factores. Se puede también incluir pérdidas asociadas con insuficiencia de personal o personal con destrezas inadecuadas, entrenamiento y capacitación inadecuada y/o prácticas débiles de contratación.

1. (2009) Asociación de Supervisores Bancarios de las Américas, Riesgo operacional en instituciones financieras.

2. Resolución Superintendencia de Banca, Seguros y AFP N° 2116 – 2009 – Capítulo I

5

C. Tecnología de informaciónLas empresas deben gestionar los riesgos asociados a la tecnología de información, relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología, entre otros aspectos.

D. Eventos externosLas empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Otros riesgos asociados con eventos externos incluyen: el rápido paso de cambio en las leyes, regulaciones o guías, así como el riesgo político o del país.

1.3 EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL

Los eventos de pérdida por riesgo operacional pueden ser agrupados de la manera descrita a continuación:

a. Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilícito.Por ejemplo, errores intencionados en el reporte de posiciones, robos por parte de empleados y utilización de información confidencial en beneficio de la cuenta del empleado.

b. Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito.

Por ejemplo, robo, falsificación, circulación de cheques en descubierto y daños por intrusión en los sistemas informáticos.

c. Relaciones laborales y seguridad en el puesto de trabajo.- Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados con la diversidad o discriminación.

Por ejemplo, solicitud de indemnizaciones por parte de los empleados, acusaciones de discriminación, infracción de las normas laborales de seguridad e higiene, organización de actividades laborales, y responsabilidades generales.

6

d. Clientes, productos y prácticas empresariales.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Por ejemplo, abuso de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco, blanqueo de capitales y venta de productos no autorizados.

e. Daños a activos materiales.- Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

Por ejemplo, terrorismo, vandalismo, terremotos, incendios e inundaciones.

f. Interrupción del negocio y fallos en los sistemas.- Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas.

Por ejemplo, fallos en el hardware o software, problemas en las telecomunicaciones e interrupción en la prestación de servicios públicos.

g. Ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

Por ejemplo, errores en la introducción de datos, fallos en la administración del colateral, documentación jurídica incompleta, acceso a cuentas de los clientes sin autorización, prácticas inadecuadas de contrapartes de clientes y disputas con distribuidores.

7

TIPOS DE EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL

Tipo de evento

(Nivel 1)Definición

Tipo de evento

(Nivel 2)Ejemplos

Fraude interno Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicado, al menos, un miembro de la empresa.

Actividades no autorizadas

Operaciones no reveladas (intencionalmente), operaciones no autorizadas (con pérdidas pecuniarias), valoración errónea de posiciones (intencional).

Robo y fraude Robo, malversación, falsificación, soborno, apropiación de cuentas, contrabando, evasión de impuestos (intencional).

Fraude externo Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte de un tercero.

Robo y fraude Robo, falsificación.

Seguridad de los sistemas

Daños por ataques informáticos, robo de información.

Relaciones laborales y seguridad en el puesto de trabajo

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con la diversidad o discriminación.

Relaciones laborales Cuestiones relativas a remuneración, prestaciones sociales, extinción de contratos.

Higiene y seguridad en el trabajo

Casos relacionados con las normas de higiene y seguridad en el trabajo; indemnización a los trabajadores.

Diversidad y discriminación

Todo tipo de discriminación.

Clientes, productos y prácticas empresariales

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Adecuación, divulgación de información y confianza

Abusos de confianza / incumplimiento de pautas, aspectos de adecuación / divulgación de información (conocimiento del cliente, etc.), quebrantamiento de la privacidad de información sobre clientes minoristas, quebrantamiento de privacidad, ventas agresivas, abuso de información confidencial.

Prácticas empresariales o de mercado improcedentes

Prácticas restrictivas de la competencia, prácticas comerciales / de mercado improcedentes, manipulación del mercado, abuso de información privilegiada (en favor de la empresa), lavado de dinero.

8

Productos defectuosos

Defectos del producto (no autorizado, etc.), error de los modelos.

Selección, patrocinio y riesgos

Ausencia de investigación a clientes conforme a las directrices, exceso de los límites de riesgo frente a clientes.

Actividades de asesoramiento

Litigios sobre resultados de las actividades de asesoramiento.

Daños a activos materiales

Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos

Desastres y otros acontecimientos

Pérdidas por desastres naturales, pérdidas humanas por causas externas (terrorismo, vandalismo).

Interrupción del negocio y fallos en los sistemas

Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas

Sistemas Pérdidas por fallas en equipos de hardware, software o telecomunicaciones; falla en energía eléctrica.

Ejecución, entrega y gestión de procesos

Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores

Recepción, ejecución y mantenimiento de operaciones

Errores de introducción de datos, mantenimiento o descarga, incumplimiento de plazos o de responsabilidades, ejecución errónea de modelos / sistemas, errores contables. Errores en el proceso de compensación de valores y liquidación de efectivo (p.ej. en el Delivery vs. Payment).

Seguimiento y presentación de informes

Incumplimiento de la obligación de informar, inexactitud de informes externos (con generación de pérdidas).

Aceptación de clientes y documentación

Inexistencia de autorizaciones / rechazos de clientes, documentos jurídicos inexistentes / incompletos.

Gestión de cuentas de clientes

Acceso no autorizado a cuentas, registros incorrectos de clientes (con generación de pérdidas), pérdida o daño de activos de clientes por negligencia.

Contrapartes comerciales

Fallos de contrapartes distintas de clientes, otros litigios con contrapartes distintas de clientes.

Distribuidores y proveedores

Subcontratación, litigios con proveedores.

Fuente: Resolución SBS N° 2116 – 2009

9

CAPITULO II

2.1 RESPONSABILIDADES DEL DIRECTORIO

El directorio tiene las siguientes responsabilidades respecto a la gestión del riesgo operacional:

a) Definir la política general para la gestión del riesgo operacional. El Comité de Basilea establece que la Junta Directiva debe aprobar un marco aplicable a toda la organización para gestionar explícitamente el riesgo operacional, estableciendo principios para identificar, evaluar, monitorear y controlar o mitigar este tipo de riesgo.

b) Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados. La Directiva debe establecer una estructura capaz de poner en práctica el marco adoptado para la gestión del riesgo operacional en la organización, fijando claras líneas de responsabilidad y asegurando que las políticas y los procedimientos se cumplan.

c) Establecer un sistema de incentivos que fomente la adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos.

d) Aprobar el manual de gestión del riesgo operacional.

e) Conocer los principales riesgos operacionales afrontados por la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo.

f) Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización.

g) Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que han establecido.

2.2 RESPONSABILIDADES DE LA GERENCIA

La gerencia general tiene la responsabilidad de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio.

Los gerentes de las unidades organizativas de negocios o de apoyo tienen la responsabilidad de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos.

Debe poner en práctica el marco adoptado por el Directorio, desarrollando políticas, procesos y procedimientos destinados a la gestión del riesgo operacional de todos los productos, actividades, procesos y controles de la organización. También debe asegurar la disponibilidad de recursos suficientes 8humanos y financieros) para gestionar el riesgo operacional en forma efectiva.

10

2.3 COMITÉ DE RIESGOS

Las funciones del Comité de Riesgos señaladas en el artículo 14° del Reglamento de la Gestión Integral de Riesgos, son de aplicación a la gestión del riesgo operacional en lo que corresponda.

Los Comités constituidos por el Directorio deberán contar con un Reglamento que contendrá las políticas y procedimientos necesarios para el cumplimiento de sus funciones, la periodicidad de sus reuniones, sus actividades programadas, la información que debe ser remitida, así como la forma que reportará al Directorio.

2.4 UNIDAD DE RIESGOS

De conformidad con el Reglamento de la Gestión Integral de Riesgos, las empresas podrán contar con una Unidad de Riesgos centralizada o con unidades especializadas en la gestión de riesgos específicos.

En ese sentido, la Unidad de Riesgos de la empresa o, de ser el caso, la unidad especializada de gestión del riesgo operacional deberá cumplir con las siguientes funciones:

a. Proponer políticas para la gestión del riesgo operacional.

b. Participar en el diseño y permanente actualización del Manual de gestión del riesgo operacional.

c. Desarrollar la metodología para la gestión del riesgo operacional.

d. Apoyar y asistir a las demás unidades de la empresa para la aplicación de la metodología de gestión del riesgo operacional.

e. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático.

f. Consolidación y desarrollo de reportes e informes sobre la gestión del riesgo operacional por proceso, o unidades de negocio y apoyo.

g. Identificación de las necesidades de capacitación y difusión para una adecuada gestión del riesgo operacional.

h. Otras necesarias para el desarrollo de la función.

Las empresas deberán asignar recursos suficientes para la gestión del riesgo operacional, que les permita un adecuado cumplimiento de las funciones señaladas en el presente artículo y asegurar una adecuada independencia entre el área que asuma las funciones de gestión del riesgo operacional señaladas en el presente artículo y aquellas otras unidades de negocio o de apoyo.

Los bancos, las financieras, las empresas de seguros y las AFP deberán contar con una función especializada en riesgo operacional. De acuerdo al tamaño y complejidad de las operaciones que realice la empresa, la Superintendencia podrá requerir la creación de una unidad especializada.

11

CAPITULO III

3.1 MANUAL DE GESTION DEL RIESGO OPERACIONAL

Las empresas deberán contar con un manual de gestión del riesgo operacional, el cual deberá contemplar por lo menos los siguientes aspectos:

a. Políticas para la gestión del riesgo operacional.

b. Funciones y responsabilidades asociadas con la gestión del riesgo operacional del Directorio, la Gerencia General, el Comité de Riesgos, la Unidad de Riesgos (o la unidad especializada, si corresponde) y las unidades de negocio y de apoyo.

c. Descripción de la metodología aplicada para la gestión del riesgo operacional.

d. La forma y periodicidad con la que se deberá informar al Directorio y a la Gerencia General, entre otros, sobre la exposición al riesgo operacional de la empresa y de cada unidad de negocio.

e. El proceso para la aprobación de propuestas de nuevas operaciones, productos y servicios que deberá contar, entre otros aspectos, con una descripción general de la nueva operación, producto o servicio de que se trate, los riesgos identificados y las acciones a tomar para su control.

3.2 METODOLOGIA PARA LA GESTION DEL RIESGO OPERACIONAL

La metodología definida por la empresa para la gestión del riesgo operacional, cuando sea tomada en su conjunto, deberá considerar los componentes señalados en el artículo 4° del Reglamento de la Gestión Integral de Riesgos.

Asimismo, deberán cumplirse los siguientes criterios:

a. La metodología debe ser implementada en toda la empresa en forma consistente.

b. La empresa debe asignar recursos suficientes para aplicar su metodología en las principales líneas de negocio, y en los procesos de control y de apoyo.

c. La aplicación de la metodología debe estar integrada a los procesos de gestión de riesgos de la empresa.

d. Deben establecerse incentivos que permitan una mejora continua de la gestión del riesgo operacional.

e. La aplicación de la metodología de gestión del riesgo operacional debe estar adecuadamente documentada.

f. Deben establecerse procedimientos que permitan asegurar el cumplimiento de su metodología de gestión del riesgo operacional.

12

3.3 BASE DE DATOS DE EVENTOS DE PÉRDIDA

Las empresas deberán contar con una base de datos de los eventos de pérdida por riesgo operacional. Debe tenerse en cuenta que un evento puede tener como efecto una o más pérdidas, por lo cual las empresas deberán estar en capacidad de agrupar las pérdidas ocurridas por evento.La base de datos deberá cumplir con los siguientes criterios:

a. Deben registrarse los eventos de pérdida originados en toda la empresa, para lo cual se diseñarán políticas, procedimientos de captura, y entrenamiento al personal que interviene en el proceso.

b. Debe registrarse, como mínimo, la siguiente información referida al evento y a las pérdidas asociadas:

Código de identificación del evento. Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo 1 del presente

Reglamento). Línea de negocio asociada, según líneas señaladas en el Anexo 2 del presente Reglamento

para las empresas del sistema financiero, Anexo 3 para las empresas de seguros y Anexo 4 para las AFP. Deberán considerarse los niveles 1 y 2 de los cuadros señalados en los anexos. Estos cuadros podrán ser actualizados por la Superintendencia mediante Circular.

Descripción corta del evento. Descripción larga del evento. Fecha de ocurrencia o de inicio del evento. Fecha de descubrimiento del evento. Fecha de registro contable del evento. Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio. Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento,

moneda, tipo de cambio y tipo de cobertura aplicada. Monto total recuperado, moneda y tipo de cambio. Cuenta(s) contable(s) asociadas. Identificación si el evento está asociado con el riesgo de crédito (para empresas del

sistema financiero) o con el riesgo de seguros (para empresas del sistema de seguros).

En el caso de eventos con pérdidas múltiples, las empresas podrán registrar la información mínima requerida por cada pérdida, y establecer una forma de agrupar dicha información por el evento que las originó. De otro lado, podrá registrarse información parcial de un evento, en tanto se obtengan los demás datos requeridos. Por ejemplo, podrá registrarse primero el monto de la pérdida, para posteriormente añadir las recuperaciones asociadas.

c. Deben definirse y documentarse criterios objetivos para asignar los eventos de pérdida a los tipos de evento señalados en el Anexo 1 del presente Reglamento, así como a las líneas de negocio

13

señaladas en los Anexos 2, 3 y 4. Asimismo, deben definirse criterios específicos para aquellos casos en que un evento esté asociado a más de una línea de negocio.

d. Debe definirse un monto mínimo de pérdida a partir del cual se registrará un evento en la base de datos. Al respecto, se fija un monto mínimo de 3 000 nuevos soles para los bancos, las financieras, las compañías de seguros y las AFP, y de 1 000 nuevos soles para el resto de empresas. Las empresas podrán establecer un monto mínimo inferior al indicado, teniendo en cuenta su volumen de operaciones y complejidad asociada. La Superintendencia podrá actualizar el monto mínimo definido por medio de Circular.

e. Debe definirse un monto mínimo de pérdida a partir del cual deberá contarse con un expediente físico o electrónico que contenga información adicional a la solicitada en el literal b. y que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la empresa, incluyendo entre otras las mejoras o cambios requeridos en sus políticas o procedimientos. Dicho monto mínimo deberá ser aprobado por el Comité de Riesgos. La Superintendencia podrá establecer posteriormente un monto mínimo de carácter general.

En línea con el objetivo de monitorear efectivamente su exposición al riesgo operacional, una institución financiera debe contar con indicadores adecuados de alerta temprana para detectar aumentos en sus posiciones de riesgo.

El registro preciso de los eventos de pérdida es el insumo fundamental para la construcción de dichos indicadores, por lo que la confiabilidad de estos registros tiene una gran importancia.

En este sentido, se debe asegurar que los registros sean completos y que los mismos presenten una estructura adecuada que facilite el procesamiento de sus datos para la formulación de un grupo mínimo de indicadores, necesarios para la administración efectiva del riesgo operacional.

14

ANEXO N° 2

LÍNEAS DE NEGOCIO GENÉRICAS PARA EMPRESAS DEL SISTEMA FINANCIERO

Fuente: Resolución S.B.S. N° 2116 -2009. El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

15

ANEXO N° 3

LÍNEAS DE NEGOCIO GENÉRICAS PARA EMPRESAS DE SEGURO

Fuente: Resolución S.B.S. N° 2116 -2009. El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

16

Fuente: Resolución S.B.S. N° 2116 -2009. El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

17

3.4 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y DE LA SEGURIDAD DE LA INFORMACIÓN

Como parte de una adecuada gestión del riesgo operacional, las empresas deben implementar un sistema de gestión de la continuidad del negocio que tendrá como objetivo implementar respuestas efectivas para que la operatividad del negocio de la empresa continúe de una manera razonable, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la empresa. Asimismo, las empresas deben contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de la información. Para ello, las empresas deberán aplicar las disposiciones que se establezcan en las normas específicas sobre estos temas.

La mayoría de los países reportó que todos o la mayoría de los bancos grandes tienen tales planes en vigencia.

3.5 SUBCONTRATACIÓN

Con el fin de gestionar los riesgos operacionales asociados a la subcontratación, las empresas deberán establecer políticas y procedimientos apropiados para evaluar, administrar y monitorear los procesos subcontratados. Dichas políticas y procedimientos deberán considerar:

a. El proceso de selección del proveedor del serviciob. La elaboración del acuerdo de subcontrataciónc. La gestión y monitoreo de los riesgos asociados con el acuerdo de subcontrataciónd. La implementación de un entorno de control efectivoe. Establecimiento de planes de continuidad

Los acuerdos de subcontratación deberán formalizarse mediante contratos firmados, los cuales deben incluir acuerdos de niveles de servicio, y definir claramente las responsabilidades del proveedor y de la empresa.

18

CAPITULO IV

4.1 INFORME A LA SUPERINTENDENCIA

Las empresas deberán presentar a la Superintendencia informes anuales referidos a la gestión del riesgo operacional, a través del software IG-ROp, el cual se encontrará disponible en el “Portal del Supervisado”. Dichos informes deberán ser remitidos a más tardar el 31 de enero del año siguiente al año de reporte. La Superintendencia podrá requerir, mediante Oficio, la actualización periódica de los informes.

En general, se encontró que las entidades más grandes son los más diligentes en reportar su exposición al riesgo operacional a la Junta Directiva y a la alta gerencia, más que las entidades medianas y pequeñas.

Los recientes episodios de colapsos de ciertas instituciones financieras dejan en claro la importancia de la transparencia y la divulgación de información en relación con la organización y gestión de los riesgos que asumen las entidades en su operación diaria. Por ello, resultan fundamentales los requerimientos establecidos por los supervisores en este sentido, junto con la práctica diaria de las entidades y las exigencias del funcionamiento de los mercados.

La información divulgada debe ser congruente con la contabilidad, para ellos de debe tener en cuenta las provisiones necesarias para cubrir adecuadamente las colocaciones y la exposición de los créditos contingentes y estos deben ser calculadas y constituidas mensualmente. Toda la información complementaria que se publique deberá poder cotejarse con los estados financieros auditados que actuarán en este caso como filtro de validación.

4.2 INFORMACIÓN ADICIONAL

La Superintendencia podrá requerir a la empresa cualquier otra información que considere necesaria para una adecuada supervisión de la gestión del riesgo operacional de la empresa.

Asimismo, la empresa deberá tener a disposición de la Superintendencia todos los documentos mencionados por el presente Reglamento, así como los informes de auditoría o revisiones realizadas por la casa matriz en caso de ser aplicable.

19

CAPITULO IV

5.1 AUDITORÍA INTERNA

La Unidad de Auditoría Interna deberá evaluar el cumplimiento de los procedimientos utilizados para la gestión del riesgo operacional, así como de lo dispuesto en el presente Reglamento Resolución S.B.S. N° 2116 -2009. El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, de conformidad con lo establecido en el Reglamento de Auditoría Interna.

5.1.1 Auditoría Interna del Riesgo OperacionalUn gobierno corporativo sólido requiere que un sistema de control interno efectivo debe ser acompañado por auditorías interna y externa independientes y efectivas. Asimismo, la experiencia en las instituciones bancarias indica que resulta fundamental establecer una relación constructiva y eficiente entre la alta gerencia, los auditores y los supervisores bancarios con el fin de garantizar la eficacia de las auditorías y de la supervisión.

El Comité de Basilea establece que la Junta Directiva de un banco es la responsable de asegurar que la alta gerencia establezca y mantenga un sistema de control interno adecuado y eficaz, así como un marco para asegurar el cumplimento de leyes, reglamento y políticas. En este sentido, es necesario que la Junta Directiva revise, al menos una vez al año, los sistemas de control interno.

Por su parte, la alta gerencia del banco es la encargada de desarrollar procesos que identifiquen, calculen, vigilen y controlen los riesgos en los que incurre el banco. La alta gerencia del banco debe informar periódicamente a la Junta Directiva sobre el alcance y el funcionamiento de los sistemas de control interno.

Es responsabilidad de la auditoría interna supervisar el cumplimiento, y la idoneidad y efectividad de los sistemas y procedimientos de control interno, incluyendo los sistemas electrónicos de información.

5.2 AUDITORÍA EXTERNA

Las sociedades de auditoría externa deberán incluir en su informe sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con políticas y procedimientos para la gestión del riesgo operacional, considerando el cumplimiento de lo dispuesto en el presente Reglamento Resolución S.B.S. N° 2116 -2009. El Superintendente de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

20

5.3 EMPRESAS CLASIFICADORAS DE RIESGO

Las calificadoras de riesgo son sociedades anónimas constituidas con el objetivo exclusivo de calificar valores mobiliarios y otros riesgos (bonos soberanos, empresas, etc.).

Esta figura se introdujo en el mercado de capitales con el objetivo de facilitar la toma de decisiones por parte de los inversores

Las empresas clasificadoras de riesgo deberán tener en cuenta las políticas y procedimientos establecidos por la empresa para la gestión del riesgo operacional en el proceso de clasificación de las empresas supervisadas.

Ingrese a la información de las Clasificadoras de Riesgo:

Apoyo & Asociados Internacionales Class & Asociados S.A. PCR (Pacific Credit Rating) Equilibrium Microrate Latin América S.A.

21

CONCLUSIONES

- El riesgo operacional siempre ha estado presente en todo tipo de actividades, y no sólo en las financieras; pero ha tomado una importancia creciente de acuerdo a los cambios en el entorno y en la administración de los negocios; La gestión del riesgo operacional no debe estar desligada de la gestión de los otros riesgos inherentes en una financiera u otro tipo de entidad. Por el contrario, la gestión del riesgo operacional debe ser parte de un enfoque integral de gestión de riesgos.

- El directorio debe establecer líneas claras de responsabilidad y de rendición de cuentas en relación al riesgo operacional, y con la ayuda de la gerencia debe crear una cultura en la empresa que dé alta prioridad a la efectiva administración del riesgo operacional y a la adherencia a controles operativos sólidos.

- Las instituciones bancarias deben tratar al riesgo operacional no como parte de un riesgo netamente financiero sino como una clase de riesgo distinta que está presente en los varios productos, actividades, procedimientos y sistemas de todas las líneas de negocio de la organización.

- Las entidades financieras deben incluir en las publicaciones que efectúan sobre su situación financiera un apartado especial en el cual presentan la descripción resumida de sus políticas y procedimientos para gestionar el riesgo operacional, así como los enfoques empleados por la Junta Directiva y la alta gerencia para cuantificarlo y las medidas adoptadas para mitigarlo.

- La auditoría interna deberá evaluar si las políticas y procedimientos que conforman el modelo de gestión del riesgo operacional abarcan todos los procesos y actividades relevantes del banco y si han sido adecuadamente documentadas en un manual y transmitidas a toda la organización. Asimismo, deberá evaluar si se han establecido líneas claras de autoridad y responsabilidad para la gestión del riesgo operacional y si se han asignado recursos suficientes y herramientas cualitativas y cuantitativas adecuadas para gestionar este riesgo en forma eficaz.

22

REFERENCIAS BIBLIOGRAFICAS

- (2009) Resolución Superintendencia de Banca, Seguros y AFP N° 2116 – 2009

- (2009) Asociación de Supervisores Bancarios de las Américas; Riesgo operacional en

instituciones financieras.

- (2006) Centro de Estudios Monetarios Latinoamericanos; Riesgo Operacional, Pago,

Sistema de Pago y aplicación de Basilea II en América Latina.

- EL RIESGO OPERACIONAL: METODOLOGIAS PARA SU MEDICION Y CONTROL, ENRIQUE J.

JIMENEZ RODRIGUEZ , DELTA, 2010

23