4092.011.01.

07

Auditora
Procesos
Exmenes de Auditora
Fecha de Vigencia: 09/06/2016
Fecha de Publicacin: 09/06/2016

1. Objetivos

Comunicar:

El proceso de emisin de los Informes sobre los Exmenes de Auditora y de la

correspondiente respuesta por parte de las unidades auditadas.

Los calificativos que se asignarn como resultado de los exmenes de evaluacin

efectuados por la Gerencia de Divisin Auditora.

Que los calificativos emitidos por la Gerencia de Divisin Auditora, sern tomados en
consideracin para las evaluaciones de los responsables de las Gerencias de Divisin,
Gerencias de rea, Gerencias, Subgerencias o Unidades examinadas.

Que las Unidades de Auditora Interna o UAI (conforme es definida por la Resolucin SBS
11699-2008 y otras normas aplicables) de Credicorp y sus subsidiarias y afiliadas,
reconocen la naturaleza obligatoria de la Definicin de Auditora Interna, el Cdigo de tica
y las Normas del Marco Internacional para la Prctica Profesional (MIPP) de la Auditora
Interna del Instituto de Auditores Internos Global (IIA por sus siglas en ingls), y tambin
tendrn en cuenta sus Guas de Implementacin / Consejos para la Prctica, as como los
documentos de Posicionamiento y Guas Prcticas regularmente publicadas por el IIA.
Asimismo, el BCP ha incorporado el cumplimiento del Marco Global de Competencias de
Auditora Interna 2014 definido por el IIA.

2. Alcance

Corporacin Credicorp Limited y subsidiarias y afiliadas.

3. De los Exmenes de Auditora

a) De la Reunin Preliminar

La Jefatura de la Gerencia de Divisin y/o las Jefaturas de las Gerencias que integran la Gerencia
de Divisin, presentarn a la unidad auditada y/o dueo/ owner / responsable del proceso
auditado (en adelante indistintamente unidad auditada), el equipo de trabajo designado para
desarrollar el Examen de Auditora, un resumen del objetivo principal y los objetivos secundarios,
el alcance de trabajo, los principales aspectos metodolgicos, los recursos necesarios y el tiempo
estimado para realizar el trabajo.

La unidad auditada prestar su colaboracin para el desarrollo de las funciones encargadas al

equipo de trabajo.

b) De la Reunin Final

-1-
Al finalizar la visita de Auditora, se convocar a una reunin de trabajo con los responsables de
la unidad auditada, para exponer los resultados de la misma.

Concluida la reunin de trabajo, la Jefatura de la unidad auditada, podr solicitar una copia de
las principales observaciones del resultado de la visita.

La unidad auditada, si lo considerara pertinente, podr alcanzar a la Gerencia de Divisin

Auditora en un plazo no mayor de 5 das tiles posteriores a la reunin de trabajo, sus
comentarios a las observaciones para ser incluidas en el Informe.

4. De la Emisin de los Informes de Auditora

Antes de la emisin del Informe sobre el resultado del Examen de Auditora, se remitir a la
unidad auditada el Borrador del Informe, para que, en un plazo no mayor de 3 das tiles, alcance
su conformidad o sus comentarios finales. Transcurrido los 3 das tiles y de no haber recibido
la conformidad o los comentarios finales, se asumir la conformidad respectiva.

La Gerencia de Divisin Auditora emitir el Informe sobre el resultado del Examen de Auditora
en un plazo no mayor a 30 das desde la entrega del Borrador de Informe por parte del Jefe de
Equipo al Supervisor.

El Informe incluir en forma detallada los objetivos y alcance del trabajo as como el resultado
del examen, todas las observaciones y deficiencias administrativas, financieras y operacionales
detectadas durante el Examen de Auditora, as como las recomendaciones y aspectos de mejora
encontrados durante el trabajo de campo, y los planes de accin para superarlas; en
concordancia con la Norma 2410 del IIA.

El contenido general de los Informes de Auditora ser el siguiente:

Objetivo del examen

Informacin relevante
Resultado del examen
Resultados de los principales controles evaluados
Gerencias responsables
Alcance del trabajo realizado y procedimientos aplicados
Riesgos y controles evaluados en la presente auditoria, se detallan en el Anexo A.
Aspectos del Control Interno conforme a la metodologa COSO (Committee Of Sponsoring
Organizations of the Treadway Commission) o COBIT (Control Objectives for Information
and related Technology) segn corresponda, se detallan en el Anexo B.
Seguimiento de observaciones y oportunidades de mejora de aos anteriores, se detallan
en Anexo C.
Observaciones y sus recomendaciones
Oportunidades de mejora

Asimismo, si durante el trabajo de auditora se encuentra una deficiencia, falta de control o error
de diseo que pone en riesgo inminente y sustancial el resultado de las actividades de la unidad
y/o proceso auditado, el auditor responsable deber informar de este hecho inmediatamente al
Gerente de la Divisin de Auditora para tomar las acciones correctivas necesarias. Entre estas
acciones se encuentran, sin carcter limitativo, informar al jefe de la unidad o proceso auditado
y/o a su lnea de reporte directo, informar a la Gerencia General, informar al Presidente del
Comit de Auditora.

-2-
4.1 Valoraciones dadas a los hallazgos/ observaciones

Las deficiencias u observaciones pueden ser de riesgo residual crtico, alto, relevante, moderado
o bajo y ellas se identifican como tal en la relacin de las observaciones del informe. El riesgo
residual es una combinacin del impacto, la frecuencia y la efectividad de los controles.

Impacto: extensin de la prdida ocasionada, del desgaste de la imagen de la Compaa, de la

reduccin de sus negocios, de su rentabilidad y liquidez y de su valor patrimonial o de mercado,
provocado por un evento determinado, no siempre sensible de medicin financiera, y est
subdividido en las siguientes categoras:

-3-
Frecuencia: dice respecto a la probabilidad de ocurrencia de cierto evento de riesgo,
considerando la frecuencia de ejecucin de la actividad en la cual est insertada, en un
determinado espacio de tiempo (hora, da, semana, mes y ao), y est subdividida en las
siguientes categoras:

El Riesgo Inherente es el resultado del producto del impacto y la frecuencia a las que el riesgo
est asociado, independientemente de los aspectos a los cules el Banco tiene implementados
para su mitigacin como son: procesos, ambiente de control, estructura organizacional,
tecnologa, entre otros.

A continuacin presentamos la Matriz de Riesgo Inherente, cuyos valores de Impacto y

Frecuencia han sido homologados con la Gerencia de rea Administracin de Riesgos de
Operacin y Gestin de Seguros y aprobados por el Comit de Riesgos:
Impacto (en miles de US$)

5.- Critico (De 405 a ms) Relevante (100) Relevante (167) Alto (500) Critico (1,000) Critico (6,000)

4.- Alto (De 180 a 405 Relevante (81) Relevante (135) Alto (405) Alto (810) Critico (4,860)

3.- Relevante (De 20 a 180) Moderado (36) Moderado (60) Relevante (180) Alto (360) Critico (2,160)

2.- Moderado (De 5 a 20) Bajo (4) Bajo (7) Bajo (20) Moderado (40) Relevante (240)

1.- Bajo (De 0 a 5) Bajo (1) Bajo (2) Bajo (5) Bajo (10) Moderado (60)

1.- Muy Raro (0.2) 2.- Raro (0.33) 3.- Eventual (1) 4.- Frecuente (2) 5.- Muy Frecuente (12)
Frecuencia (anual)

El Riesgo Residual es el resultado de aplicar un factor de reduccin (control y frecuencia) a la

Matriz de Riesgo Inherente (impacto y frecuencia), despus de haber efectuado la evaluacin de
los controles internos. Para este efecto, se ha adoptado el supuesto que el funcionamiento
adecuado de los controles slo mitiga la frecuencia del riesgo para el clculo matemtico del
modelo.

Por lo tanto, de la aplicacin del factor de reduccin a las matrices de impacto y probabilidad,
mediante frmulas definidas en el Manual de Metodologa de Auditora Interna, da como
resultado la clasificacin del riesgo residual:

Clasificacin del Riesgo Residual

-4-
 Riesgo Bajo Moderado Relevante Alto Crtico
Clasificacin Riesgo mnimo o Riesgo desgastante Riesgo medio Riesgo intolerable Riesgo de continuidad
tolerable o significativo del negocio o
catastrfico

Resultado Entre 1 y 35 Entre 36 y 80 Entre 81 y 359 Entre 360 y 999 Entre 1,000 a ms
del producto

4.2 Interpretacin de las observaciones

En base al apetito de riesgo aceptado por la alta direccin, al nivel de los riesgos residuales y a
los resultados de las pruebas realizadas sobre la efectividad de controles, las observaciones se
clasifican conforme a la metodologa expuestas lneas arriba. Sin embargo, la Unidad de
Auditora Interna considerar tambin aspectos cualitativos fundamentales al momento de la
evaluacin, primando el juicio profesional y la experiencia del equipo de auditora en su conjunto.
En consecuencia, las observaciones pueden catalogarse cualitativamente de la siguiente
manera:

Riesgo Crtico

a) Tienen el potencial de generar graves prdidas financieras y por tanto poner en riesgo
significativo la fortaleza financiera de la organizacin.

b) Representan graves casos de incumplimiento de leyes y regulaciones.

c) Tienen el potencial de poner en grave riesgo la reputacin del Banco.

d) Tienen el potencial de poner en grave riesgo la autorizacin de funcionamiento del Banco u

originar una intervencin.

e) Tienen el potencial de poner al Banco a Rgimen de Vigilancia.

Riesgo Alto

a) Tienen el potencial de generar significativas prdidas financieras, y poner en riesgo alto la

seguridad y fortaleza de la organizacin

b) Representan significativos casos de incumplimiento de leyes y regulaciones.

c) Tienen el potencial de poner en significativo riesgo la reputacin del Banco.

d) Tiene el potencial riesgo de suspensin de directores o empleados del Banco por parte de los
entes reguladores.

-5-
e) Tienen el potencial riesgo de suspensin de la colocacin de una oferta pblica o suspensin
de la negociacin de uno o ms valores por parte de la Superintendencia del Mercado de
Valores (SMV) o tienen el potencial riesgo de exclusin de un Valor del Registro Pblico del
Mercado de Valores por parte de la SMV o de otros reguladores de mercados de valores.

Riesgo Relevante

a) Tienen el potencial de generar importantes prdidas financieras.

b) Representan incumplimientos de normas internas del Banco.

c) Tienen el potencial de poner en moderado riesgo la reputacin del Banco.

d) Tienen el potencial de generar multas por parte de la SBS u otras autoridades.

e) Representan incumplimientos de clusulas contractuales que deriven en demandas y daos

a la entidad.

Riesgo Moderado

a) Tienen el potencial de generar moderadas prdidas financieras.

b) No aseguran un cumplimiento integral de normativas internas.

c) Tienen el potencial de poner en bajo riesgo la reputacin del Banco.

d) Tienen el potencial de exponer a la organizacin a amonestaciones de los entes reguladores.

e) Representan incumplimientos de clusulas contractuales que podran derivar en prdidas

menores a la entidad.

Riesgo Bajo

a) Tienen el potencial de generar prdidas menores para el Banco.

b) Son considerados necesarios para impedir que en el mediano plazo la actuacin o

administracin de las operaciones de la organizacin pierda su eficiencia.

Adicionalmente, una oportunidad de mejora es utilizada para mejorar los procesos, la gestin,
los controles y los resultados del proceso o unidad auditada conforme a las mejores prcticas
tanto de otras unidades o procesos de la Corporacin como de otras empresas y/o industrias y
servicios. Su implementacin es opcional.

5. De la Respuesta a los Informes de Auditora y Seguimiento de Observaciones

f) La Gerencia de Divisin de Auditora efectuar el seguimiento de las observaciones

efectuadas por los Organismos Reguladores, los Auditores Externos y la Gerencia de Divisin
Auditora. El estado de las observaciones emitidas por la (SBS) se reportan
cuatrimestralmente (dentro de los 20 das posteriores al cierre de cada cuatrimestre) a travs
del aplicativo SIRAI. Asimismo, se presenta al Comit de Auditora un informe conteniendo el
estado de las observaciones emitidas por la SBS, Auditora Externa y Auditora Interna.

-6-
g) La Divisin de Auditora cuenta con una herramienta tecnolgica llamada TeamMate en la
cual se registra la totalidad de observaciones. Para realizar un eficiente seguimiento de
observaciones se emplea uno de los mdulos de la herramienta, llamado TeamCentral. En
dicho mdulo se cargan las observaciones y los sustentos de las unidades auditadas, para
realizar esta labor se han definido los siguientes roles:

h) Observador (Gerente Central, Divisin, rea): visualiza la totalidad de las observaciones

asignadas a su unidad, por status (superada, en proceso o pendiente), nivel de riesgo, y
antigedad respecto a la fecha de implementacin del plan de accin. Asimismo visualiza las
respuestas de su Propietario y Colaboradores a la Divisin de Auditora.

i)

j) Propietario (Gerente, Sub-Gerente o Sub-Gerente Adjunto): centraliza y comunica la

respuesta final acerca de la situacin de las observaciones de la unidad auditada a la Divisin
de Auditora. Est definido que este rol sea ocupado por una persona a nivel de la unidad,
para casos excepcionales que se requiera ms de una persona, esta solicitud deber ser
evaluada y aprobada por la Divisin de Auditora. Este rol es el encargado de coordinar al
interno de su unidad, el cumplimiento de los planes y fechas de implementacin propuestas
as como ser el nexo entre la unidad auditada y la Unidad de Seguimiento de Observaciones.

k)

l) Colaborador: es el responsable de elaborar las respuestas acerca de la situacin de las

observaciones de la unidad auditada, y le comunica al Propietario cuando una observacin es
considerada como superada a fin de que ste realice el cambio de estado a Implementada
por Verificar en el TeamCentral.

m) El estado de las observaciones se clasifica de la siguiente manera:

n) Pendiente: Observacin por la cual an no se ha iniciado accin alguna por parte de la unidad
auditada.

o) En Proceso: Observacin por la cual ya se cuenta con un plan de accin en desarrollo y una
fecha estimada de implementacin.

p) Cerrada: Observacin ya implementada por la unidad auditada y verificada por la Divisin de

Auditora.

q) A continuacin se detallan los procedimientos empleados en la gestin de las observaciones

emitidas por Auditora Interna, SBS, y Auditora Externa:

Auditora Interna:

Observaciones emitidas por Auditora Interna: En un plazo no mayor a 30 das

calendarios de recibido el informe, la unidad auditada deber dar respuesta a sus
observaciones a travs del Sistema TeamCentral. En dicha respuesta deber sustentar las
regularizaciones efectuadas con posterioridad a la auditora y/o, exponer las medidas
correctivas a adoptar (plan de accin) para superar las observaciones efectuadas.

Plan de Accin: El dueo del proceso o unidad auditada es responsable de establecer y

ejecutar las medidas correctivas (incluye establecimiento de plazos o hitos importantes

-7-
para su ejecucin) relacionadas con la implementacin de las recomendaciones
registradas en TeamCentral.

Riesgo: Las observaciones emitidas por la Divisin de Auditora poseen los siguientes
niveles de criticidad:
Plazo mximo
Criticidad para su
implementacin
Crtico
90 das
Alto
Relevante
180 das
Moderado
Bajo 360 das

Para casos excepcionales, antes de la emisin del Informe, y cuando la medida correctiva
no pudiera ser implementada dentro del plazo establecido segn la criticidad, estos plazos
mximos de implementacin sern sujetos de ampliacin a solicitud de la gerencia
responsable del proceso o unidad auditada con previa aprobacin del Gerente de la
Divisin de Auditora.

En caso la unidad auditada acepte implementar una oportunidad de mejora, sta contar
con un plazo mximo de 360 das para su implementacin.

Cierre de las observaciones / oportunidades de mejora: La unidad auditada deber

documentar en el TeamCentral el plan de accin desarrollado para la superacin de la
observacin/oportunidad de mejora y cuando considere que sta se encuentra con los
sustentos necesarios, deber cambiar el estado de la observacin a Implementada por
Verificar (opcin habilitada solo para el Propietario) para que dichos sustentos puedan
ser verificados y validados por el auditor responsable, quien cuenta con 5 das tiles para
brindar una respuesta. Se deber dejar evidencia de la revisin efectuada por el auditor
en el TeamCentral. En caso la observacin amerite realizar una nueva prueba con la
finalidad de comprobar la superacin de la misma, el auditor responsable de la validacin
deber informar al Propietario de la unidad auditada la decisin de postergar la revisin
del estado final de la observacin.

La Divisin de Auditora puede cerrar algunas observaciones por considerar que la

exposicin al riesgo se ha reducido en forma significativa u otras consideraciones.

Para aquellas oportunidades de mejora sobre las cuales no se han tomado acciones
durante el transcurso de un ao desde su emisin y el auditado indica que no la
implementar (exponiendo los motivos), la unidad de Seguimiento de Observaciones
propondr el cierre y ser la Gerencia de rea de Auditora Continua y Desarrollo
Corporativo quien autorizar dicho cierre con la causal Cerrado-Auditora.

Aceptacin del Riesgo: El Gerente responsable del proceso puede decidir que el
riesgo de no implementar una recomendacin sea aceptado adjuntando en el
TeamCentral el resultado del anlisis que sustente dicha decisin y la conformidad de
acuerdo con el nivel que se detalla en el cuadro lneas abajo. Para el caso de
observaciones de riesgo Crtico o Alto, el Comit de Auditora podr observar esta
decisin ratificando la importancia de desarrollar un plan de accin para levantar la

-8-
 observacin. Para el caso de observaciones de riesgo Relevante, Moderado o Bajo, se
debe contar con la conformidad de acuerdo con el nivel correspondiente, luego de lo
cual la Gerencia de rea de Auditora Continua y Corporativa evaluar la razonabilidad
de dicha decisin antes de proceder al cierre de la misma.

Tabla de niveles a informar para la

aceptacin de riesgos por la Administracin
Criticidad Nivel
Crtico
Comit de Auditora
Alto
Gerente de Divisin,
Relevante Central o Gerente
General
Moderado Gerente de rea
Bajo Gerente

Ampliaciones de plazo: Las solicitudes de ampliacin de plazo, que se encuentren

dentro del mximo permitido segn criticidad, deben ser enviadas a la Unidad de
Seguimiento de Observaciones.

Las solicitudes para ampliacin de plazo, que excedan el mximo permitido segn
criticidad (primera solicitud), debern ser aprobadas por el Gerente de la Divisin de
Auditora quien informar de ser necesario al Comit de Auditora. Para el efecto, la
unidad auditada deber fundamentar las nuevas etapas del Plan de Accin y los plazos
estimados para la implementacin.

Cuando la unidad auditada haya incumplido el plazo de implementacin de la

recomendacin en la fecha ampliada, previamente autorizada por el Gerente de la
Divisin de Auditora, deber solicitar una nueva ampliacin, mediante carta formal
dirigida a la Presidencia del Comit de Auditora (riesgo Relevante o mayor) o Gerencia
General (riesgo Moderado o Bajo), la cual debe ser remitida a la Unidad de Seguimiento
de Observaciones para canalizarla segn corresponda. Esta Unidad registrar en el
TeamCentral la resolucin de la solicitud.

En caso la unidad auditada mantenga observaciones vencidas de riesgo Relevante a

mayor que cuenten con una ampliacin de plazo previamente aprobada por la
Presidencia del Comit de Auditora, Gerente General o Gerente de Divisin de
Auditora, stas sern expuestas al Comit de Auditora en su siguiente sesin.

Las solicitudes de ampliacin para oportunidades de mejora debern ser remitidas a la

Gerencia de Auditora Continua y Aseguramiento de la Calidad, quien ser la encargada
de autorizar dicha ampliacin.

Superintendencia de Banca, seguros y AFP:

Las ampliaciones de plazo deben ser solicitadas mediante carta dirigida al Intendente del
Departamento de Supervisin Bancaria C en fecha previa al vencimiento de la
observacin. Dicha carta debe ser canalizada por intermedio de la Gerencia de
Contabilidad Control Interno con copia a la Divisin de Auditora.

-9-
 Para solicitar el cierre de una observacin, el Propietario verificar que se haya
ingresado los sustentos suficientes en el aplicativo TeamCentral y deber modificar el
estado de la observacin a Implementada por Verificar. Los sustentos sern validados
por la Divisin de Auditora y en caso se consideren suficientes, se le informar al
Propietario para que en un plazo mximo de 15 das despus de la fecha de
vencimiento, proceda a solicitar el cierre de la observacin mediante carta dirigida a la
SBS. Dicha carta debe ser canalizada por intermedio de la Gerencia de Contabilidad
Control Interno con copia a la Divisin de Auditora.

Auditora Externa:

La solicitud de cierre deber cumplir con el mismo procedimiento descrito para las
observaciones emitidas por la Divisin de Auditora, sin embargo la validacin ser
realizada por el auditor externo en fechas pactadas previamente con la Unidad de
Seguimiento de Observaciones.

6. De los Calificativos que se asignarn como resultado de los Exmenes de la Gerencia

de Divisin Auditora

Los resultados de los exmenes realizados por la Gerencia de Divisin Auditora estarn
comprendidos dentro de los siguientes niveles:
Satisfactorio
Aceptable
Regular
Deficiente

La descripcin de cada uno de los niveles de calificacin, por tipo de Auditora, es la siguiente:

6.1. Auditora de Riesgos Corporativos

Satisfactorio

Los controles existentes son efectivos y sugieren mejores prcticas en la gestin de riesgo. No
son observadas necesidades de mejora significativas. Las operaciones / procesos son
ejecutados sobre una base slida en todos sus aspectos. Requiere monitoreo y supervisin
normal por parte de la Gerencia.

Aceptable

Los controles existentes son adecuados y atienden de manera general sus objetivos. En los
controles o en las prcticas adoptadas fueron observadas debilidades que no comprometen el
ambiente de control del proceso. Las operaciones / procesos son ejecutados sobre una base
normal en todos sus aspectos; sin embargo, existen debilidades modestas que pueden ser
corregidas por la Gerencia en el curso normal de las operaciones.

Regular

En los controles o en las prcticas adoptadas, fueron observadas debilidades que, aisladamente
o en conjunto exponen el proceso a riesgos que exigen atencin y urgente aplicacin de acciones
correctivas. Las operaciones / procesos se encuentran con debilidades en cuanto a
administracin del riesgo, controles operacionales y cumplimiento. Requiere atencin inmediata
por parte de la Gerencia.

- 10 -
Deficiente

Altsima exposicin a riesgos. Los controles son inefectivos e inexistentes y determinan

fragilidades significativas a las principales rutinas o actividades del proceso. Exigen inmediata
intervencin estructural en el ambiente de control. Requieren urgente atencin por parte de la
Gerencia.

Mtodo de calificacin

Para obtener el calificativo descrito anteriormente se debern considerar los riesgos inherentes
del proceso y la eficacia de los controles establecidos para mitigarlos.

Por cada control evaluado se deber definir el riesgo inherente del sub-proceso o actividad de
acuerdo a la siguiente formula:

Riesgo Inherente = (Impacto * Frecuencia)

El puntaje obtenido por cada sub-proceso o actividad deber ser sumado a fin de obtener un
nivel general ponderado de riesgo del proceso.

Posteriormente se evaluar la efectividad de los controles dentro del clculo para lo que se
deber asignar a cada control un puntaje de acuerdo a la siguiente tabla:

Calificativo del Control Clasificacin

Efectivo 1.00
Efectivo no formalizado 0.75
Inefectivo Prueba 0.50
Inefectivo Diseo 0.25
Control inexistente 0.00

En el caso de los controles SOX los calificativos son los siguientes: Efectivo = 1, Inefectivo = 0.

Luego de obtener el grado de efectividad de cada control, se deber multiplicar el riesgo inherente
de cada sub-proceso o actividad por su respectivo calificativo de control para obtener un puntaje
final para cada control.

Finalmente para determinar el rango de efectividad del proceso, y por tanto obtener el calificativo
final, se deber dividir la sumatoria de riesgos inherentes ponderados entre la sumatoria de estos
riesgos multiplicados por su calificativo de control.

Rango de
Calificativo
Efectividad
Satisfactorio 100% - 85%
Aceptable 84% - 70%
Regular 69% - 55%
Deficiente < a 55%

- 11 -
6.1.1 Auditora de Riesgos Crediticios

6.1.1.1 Banca Corporativa, Empresarial, Gerencia de Divisin Comercial (Banca

Negocios, Exclusiva y Pequea Empresa) y Cuentas Especiales

Orden

Durante la visita, se verificar el cumplimiento de las Polticas de Crdito vigentes a la fecha de

corte de la Evaluacin, esto es, el Orden con que cada Funcionario de Negocios administra la
relacin con los clientes que atienden con productos de tipo comercial: CEM activado, fecha de
revisin vigente, crditos desembolsados dentro de Lneas de Crditos del CEM autorizado,
cumplimiento de las condiciones indicadas en las Resoluciones de Crditos, as como, el registro
de las garantas correspondientes en el Sistema de Crditos y CIF.

En la evaluacin de la Gerencia de Divisin Comercial se tomar en cuenta adicionalmente:

Segmento Banca Exclusiva: Cumplimiento por parte de los Funcionarios de Negocios de las
normas vigentes en la aprobacin de los crditos personales y tarjetas de crditos, dentro de
sus niveles de autonoma. Asimismo, verificar que los crditos y tarjetas de crdito, vendidos
por ellos y que hayan sido aprobados por la Gerencia de Procesos de Crditos Banca
Minorista, cumplan con los procedimientos establecidos en el Reglamento vigente de Crditos
Personales.

Segmento Pequea Empresa: Administracin y Activacin de las garantas de los crditos

en el Sistema de Crditos y CIF.

Calificativo

Para la calificacin del Orden Administrativo, se tomar en cuenta el porcentaje de nmero de

clientes y el porcentaje del monto de los riesgos de los clientes detectados con algn desorden,
calculados respecto al total de la muestra evaluada:

% de nmero x 0.5 + % de los x 0.5 = ndice

de Clientes con Riesgos de
algn los clientes
Desorden en
Desorden
Calificativo de orden administrativo
ndice
SATISFACTORIO Hasta 10
ACEPTABLE De 11 a 20
REGULAR De 21 a 30
DEFICIENTE Ms de 30

El Alcance de la Evaluacin de cada auditora, se detallaran en los Informes que se emiten como
resultado de cada Examen.

- 12 -
Composicin de Cartera - Ubicacin

La Cartera de Colocaciones ya no recibe una Calificacin por riesgos en concordancia con las
coordinaciones realizadas con las gerencias comerciales y de riesgos, sin embargo para efectos
del marco general de control se ha decidido otorgarle una categora de Ubicacin, la misma
que ser diferenciada en funcin de la composicin de la cartera y los niveles reglamentarios de
provisiones de acuerdo al examen que desarrollemos.

El indicador de Ubicacin se obtiene de la suma-producto del porcentaje obtenido en cada nivel

de clasificacin (Normal, CPP, Deficiente, Dudoso y Prdida), ponderada por un factor de
provisin requerida, asumiendo distintos porcentajes de cartera con garanta.

Los indicadores son:

a) Banca Corporativa

Se considera la mejor cartera de Crditos Comerciales del Sistema Financiero y una cobertura
del 35% con Garantas Preferidas.

ndice para Ubicacin

. De Hasta
A 0.70 2.33
B 2.34 2.69
C 2.70 3.47
D 3.48

b) Banca Empresarial

Se considera la mejor cartera de Crditos Comerciales del Sistema Financiero y una cobertura
del 60% con Garantas Preferidas.

ndice para Ubicacin

De Hasta
A 0.70 2.11
B 2.12 2.41
C 2.42 3.09
D 3.10

c) reas Comerciales Lima 1, 2 y 3 y Provincias 1 y 2

Se considera el promedio ponderado de la mejor cartera de Crditos Comerciales, MES,

Hipotecario y Consumo, del Sistema Financiero y una cobertura del 60% con Garantas

- 13 -
Preferidas.

ndice para Ubicacin

De Hasta
A 0.70 2.88
B 2.89 3.56
C 3.57 4.24
D 4.25

d) rea de Banca Negocios.

Se considera la mejor cartera de Crditos Comerciales del Sistema Financiero y una cobertura
del 70% con Garantas Preferidas.

ndice para Ubicacin

De Hasta
A 0.70 2.02
B 2.03 2.30
C 2.31 2.94
D 2.95

6.1.1.2. Banca Pequea y Micro Empresa - PYME

Orden

Se revisar el cumplimiento de las Polticas Crediticias de la Banca, verificando especialmente

que se hayan cumplido con el proceso de origen y aprobacin.

Para la calificacin del Orden Administrativo, se tomar en cuenta el porcentaje de cuentas

respecto al total evaluado, que presenten algn incumplimiento de las Polticas Crediticias de la
Banca.

ndice para calificacin

De Hasta
Satisfactorio 3%
Aceptable 4% 6%
Regular 7% 9%

- 14 -
 Deficiente 10%

6.1.2 Auditora de Riesgos Operativos y Agencias

Las auditoras a la red de Agencias son incluidas en el Plan Anual de Auditora, para ser aprobado
por el Comit de Auditora.

La Planificacin Estratgica de las evaluaciones de control interno a la Red de Agencias sigue

un modelo de Basada en Riesgos (ABR). En el Plan Anual de Auditora se detallan las Agencias,
los momentos en Auditora que tomarn lugar, el tiempo estimado y el costo de la implementacin
efectiva.

Auditoras presenciales

Las visitas de Auditora a la Red de Agencias toman en consideracin un modelo de

segmentacin basado en riesgos que establece tres categoras:
Visitas de Auditora anual (Roja).
Visitas de Auditora bajo un plan de rotacin cada tres aos (Amarilla).
Visitas de Auditora aleatorios segn la capacidad disponible (Verde).

A continuacin se aprecia grficamente la matriz de priorizacin de visitas:

Agencias a Plan de Rotacin % Aleatorio (segn

visitarse anualmente Trianual capacidad)

Cr
iti
ci
d Alto 1/3 1/3 1 1
a
d
d Medio % 1/3 1/3 1
e
la
A Bajo % % 1/3 1
g
e Satisfactorio Aceptable Regular Deficiente
n
ci Calificativo ltima Auditora
a

Las variables que se utilizan para la segmentacin de las Agencias consideran en el eje horizontal
el ltimo Calificativo de Auditora, mientras que las variables tomadas en consideracin para el
eje vertical de Criticidad de la Agencia son las siguientes:

Nmero de terminales financieros por Agencia.

Volumen de Transacciones financieras por Agencia.
Nmero de Cajeros Automticos por Agencia.
Tipo de esquema operativo de la Agencia.

- 15 -
 Lmite operativo de la Agencia (informacin proporcionada por la Gerencia de Gestin de
efectivo).
Errores detectados por la Gerencia de Auditora Continua y Aseguramiento de la Calidad
a travs de sus revisiones remotas, como son el nmero de diferencias por Caja, Canje,
Cuentas de Orden, Operaciones en Trnsito y Notas Sucursales.
Agencias que presentaron casos dolosos (informacin proporcionada por la Gerencia de
rea Seguridad Integral para los Negocios).
Evaluaciones de seguridad fsica en las Agencias (informacin proporcionada por la
Gerencia de rea Seguridad Integral para los Negocios).
Evaluaciones Transparencia de Informacin (informacin suministrada por la Gerencia de
Proteccin al Consumidor y Educacin Financiera).
ndice de Satisfaccin de las Agencias (informacin proporcionada por la Gerencia de
Experiencia con el Cliente).
Rotacin de personal (informacin proporcionada por la Gerencia de rea Asesora en
Gestin de Desarrollo Humano).
Fecha de ltima auditora.

Cabe indicar, que dentro de la Categora: Visitas de Auditora anual (Roja) se incluye las
Agencias de mayor riesgo para la Divisin Comercial, las cuales requieren ser visitadas con una
frecuencia de rotacin anual y son las siguientes:

rea Regin Cdigo Agencia

Lim1 Reg3 191000 Lima
Lim2 Reg3 194000 Miraflores
Lim3 Reg1 193000 San Isidro
Prov1 NorOriente 390000 Iquitos
Prov1 RegNorCh 310000 Chimbote
Prov1 RegNorCh 335000 Huacho
Prov1 RegNorte1 570000 Trujillo
Prov1 RegNorte2 305000 Chiclayo
Prov1 RegNorte3 475000 Piura
Prov1 RegOriente 480000 Pucallpa
Prov2 RegCentro 355000 Huancayo
Prov2 RegSur1 215000 Arequipa
Prov2 RegSur2 285000 Cusco
Prov2 RegSur3 540000 Tacna
Prov2 RegSurCh 315000 Chincha
Prov2 RegSurCh 380000 Ica

La metodologa de evaluacin a las Agencias considera la revisin de las actividades de control

relevantes para las Agencias, que son definidas en base a indicadores de riesgo operativo y de
cumplimiento identificados de la experiencia previa de la Subgerencia de Auditora de Riesgos
Operativos y Agencias; y a los Manuales de Polticas y Procedimientos en el Sistema Normativo
del Banco.

- 16 -
Los controles se resumen en cinco grupos:
Efectivo y medios de custodia.
Seguridad en Agencias.
Operaciones pendientes.
Transparencia de informacin.
Custodia.

En caso de evidenciar la ocurrencia u observacin de alto riesgo en Agencias, se realizar la

auditora pertinente en el mismo da o se programar para ser realizada en el mismo ao, De
acuerdo a lo definido para auditoras especiales en la seccin A5 Modalidades del Manual de
Metodologa de Auditora Interna.

El plazo de duracin de la auditora a una Agencia est en funcin del nmero de auditores que
conforman el equipo de trabajo y depender del tamao de la misma.

Sistema de puntuacin

Se ha establecido un Sistema de puntuacin basado en la importancia de cada uno de los

controles, asignando por cada control una puntuacin de 1 a 5. La calificacin se determina en
funcin del porcentaje del grado de satisfaccin de los controles evaluados de la siguiente
manera:
Se ha definido un Sistema de Calificacin, en base al porcentaje total de conformidad a la
medicin de cada uno de los controles.
Con la asignacin de puntajes a las Actividades de Control, tenemos un total de 110 puntos,
como Puntaje Ideal.
Si una de las Actividad de Control no es conforme, los puntos asignados a ste se castigan
del Puntaje Ideal.
Si una Actividad de Control es no aplicable al tipo de Agencia evaluada, no se considera el
puntaje de esta actividad para la calificacin de la Agencia.
Culminada la evaluacin se obtiene un total de puntos, el cual es dividido entre el puntaje
ideal, resultando el porcentaje del grado de satisfaccin de los controles evaluados.

Los calificativos de la evaluacin de la Agencia se determinan en funcin de los siguientes

rangos:

Calificativo Rango
Satisfactorio 100% al 90%
Aceptable <90% al 80%
Regular <80% al 70%
Deficiente < 70%

Satisfactorio

El resultado del examen demuestra que la Agencia se encuentra muy bien administrada. Los
aspectos operativos y/o administrativos se ejecutan de acuerdo a las normas y procedimientos
establecidos. Puede tener algunas deficiencias menores que en su conjunto no significan riesgo
para la Organizacin.

- 17 -
Las operaciones son ejecutadas sobre una base slida en todos sus aspectos. Requiere
monitoreo y supervisin normal por parte de la Gerencia.

Aceptable

El resultado del examen demuestra que la Agencia, en trminos generales, se encuentra bien
administrada. Existen algunas desviaciones a las normas y procedimientos establecidos en los
aspectos operativos y/o administrativos que requieren correcciones. Las deficiencias en su
conjunto no significan mayor riesgo para la Organizacin.

Las operaciones son ejecutadas sobre una base normal en todos sus aspectos, sin embargo
existen debilidades modestas que pueden ser corregidas por la Gerencia en el transcurso normal
de operaciones.

Regular

El resultado del examen demuestra que en la Agencia existen desviaciones en los aspectos
operativos y/o administrativos, con relacin a las normas y procedimientos establecidos, que
requieren su inmediata correccin. Estas deficiencias significan un riesgo medio para la
Organizacin.

Las operaciones se encuentran con debilidades en cuanto a administracin del riesgo, controles
operacionales y cumplimiento. Requiere atencin inmediata por parte de la Gerencia.

Deficiente

El resultado del examen demuestra que en la Agencia existen importantes desviaciones en los
aspectos operativos y/o administrativos, con relacin a las normas y procedimientos
establecidos, que requieren su inmediata correccin con intervencin de las Jefaturas. Estas
deficiencias significan un alto riesgo para la Organizacin.

La Agencia presenta falta de controles y severas debilidades. Requiere atencin urgente por
parte de la Gerencia.

- 18 -
Auditoras no presenciales Revisin Documentaria

Las auditoras de la documentacin de sustento de: la atencin, ejecucin y procesamiento de

las operaciones de los clientes en las Agencias son incluidas en el Plan Anual de Auditora, para
ser aprobado por el Comit de Auditora.

La metodologa de seleccin de la documentacin de sustento a revisar, se basa en criterios

estadsticos para determinar el tamao de una muestra y que sta sea representativa de las
operaciones procesadas.

El mtodo de determinacin del tamao de la muestra y la seleccin de la misma, se basa en

funcin de las caractersticas del control a probar (periodicidad, poblacin, objetivo de la prueba).

Se obtiene de los sistemas las operaciones procesadas en las Agencias de la Divisin Comercial
comprendidas en un perodo de 6 meses, determinndose de esta forma el universo auditable.
Se selecciona una muestra estadstica de dicho universo, correspondiente al perodo de revisin
y para garantizar la representatividad se determina como umbral mnimo cubrir el 75% de las
operaciones, segn el atributo: Agencia y tipo de transaccin. El tamao de la muestra se calcula
de acuerdo a la frmula aplicable a poblacin finita.

2
( 1/2 )
= 2
4 2 ( 1) + 1/2

Teniendo el nmero determinado de la muestra, mediante el aplicativo Seleccin de muestras

operaciones de las Agencias DC se obtiene la seleccin aleatoria de las operaciones que se
encuentran registradas en tablas del ACL.

Se considera que la revisin documentaria se encuentra expuesta, principalmente, a los

siguientes Riesgos Inherentes: Riesgo de Operacin, Riesgo Legal o Riesgo de Cumplimiento y
Riesgo de Reputacin, los cuales son cuantificados (de una manera cualitativa) en la Matriz de
Riesgos IFC (Impacto y frecuencia combinada).

El Sistema de Calificacin aplicado a la revisin documentaria considera la ejecucin de 23

actividades de control que deben aplicarse en las operaciones de:

- Cheques pagadores, voucher y gerencia.

- Cargos en Cuenta Corriente y cuentas de Ahorros con carta orden.
- Venta de talonarios de cheques.
- Descargo de transferencias pas y del exterior.
- Ingreso de firmas de cuentas nuevas al Sistema de Firmas del Banco.
- Formularios de mayor cuanta por lavado de activos.
- Cancelaciones de Depsitos a Plazo, CBME, Cuentas Corrientes, Ahorros y CTS.

Adicionalmente, se evala el envo oportuno y correcto de los documentos que sustentan las
operaciones activas y la apertura de cuentas de depsito generadas en las Agencias, con
informacin proporcionada por Archivo RANSA.

- 19 -
La calificacin se determina en funcin del porcentaje del grado de efectividad de los controles
evaluados. Para la evaluacin de la efectividad de controles se toma en cuenta la prueba de
hiptesis de una sola cola.

Donde: n= Muestra
p= Valor hipottico que cumple con los estndares
q= 1-p
= Error estandar de la poblacin
Z= Distribucin Muestral

Para el Sistema de Calificacin se le asigna a cada control un puntaje de acuerdo a la siguiente

tabla:

Calificativo
del control Clasificacin
ptimo 1
Regular 0.5
Deficiente 0

El rango de efectividad del proceso para obtener el calificativo se obtiene del cociente de la
puntuacin de los controles efectivos entre la puntuacin del total de controles.

Los calificativos de la evaluacin de la Agencia se determinan en funcin de los siguientes

rangos:

Calificativo Rango
Satisfactorio 100% al 85%
Aceptable 84% al 70%
Regular 69% al 55%
Deficiente < 55%

En caso se evidencie la ocurrencia de Riesgo Alto en la operativa, a travs de los documentos

de sustento, se realizar la auditora pertinente en el mismo da o se programar para ser
realizada en el mismo ao. De acuerdo a lo definido para auditoras especiales en la seccin A5
Modalidades del Manual de Metodologa de Auditora Interna.

Auditoras no presenciales Evaluacin del Sistema de Control Interno Contable de

Agencias

Anualmente se realiza una auditora de los saldos contables de las Agencias evaluando los
controles realizados en la Gerencia de Contabilidad Operaciones, con la finalidad de asegurar el
adecuado registro contable de las operaciones de las oficinas. La evaluacin se basa en:
Revisin centralizada de los controles contables en las Agencias a nivel nacional.
Revisin de los Reportes Operativos y razonabilidad de saldos Contables.
Revisin de las cuentas de resultados por aquellos gastos afectados directamente por las
Agencias.

6.1.3 Auditora de Riesgos de Tecnologa

- 20 -
Satisfactorio
Los exmenes muestran que los Sistemas Computarizados estn diseados, desarrollados,
operados y/o administrados en forma ordenada y observando las normas y procedimientos
establecidos por el Banco. La informacin se encuentra debidamente protegida y los perfiles de
acceso al sistema se encuentran adecuadamente controlados. Los Sistemas pueden tener
algunas deficiencias menores que en su conjunto no significan riesgo para la Organizacin.

Aceptable
Los exmenes demuestran que en los Sistemas Computarizados existen algunas deficiencias
menores en alguno de los aspectos de diseo, desarrollo, operacin y/o administracin que
requieren correcciones. La informacin se encuentra debidamente protegida y los perfiles de
acceso al sistema se encuentran controlados. Las deficiencias en su conjunto significan un riesgo
bajo para la Organizacin.

Regular
Los exmenes demuestran que los Sistemas Computarizados tienen deficiencias en alguna de
las etapas del proceso, que ameritan inmediata intervencin de los responsables para corregirlas.
Alguna informacin puede no encontrarse debidamente protegida y/o la administracin de los
perfiles de acceso no estn controlados en su totalidad. En su conjunto estas desviaciones a las
normas y procedimientos significan un riesgo mediano para la Organizacin. Las deficiencias
requieren su inmediata correccin.

Deficiente
Los exmenes demuestran que los Sistemas Computarizados tienen deficiencias importantes en
alguna etapa del proceso. La Seguridad de la Informacin, es dbil y/o los perfiles de acceso son
deficientemente administrados. Requieren la inmediata intervencin de la Jefatura
correspondiente. En su conjunto las deficiencias encontradas son de alto riesgo para la
Organizacin.

Adicionalmente para facilitar la mejora de los procesos de TI y determinar la capacidad de la

organizacin en ejecutarlos de una manera rigurosa y confiable se considera la utilizacin del
Modelo de Evaluacin de Procesos (PAM por sus siglas en ingls) de ISACA. Este modelo est
basado en los objetivos de control definidos en COBIT y en los atributos de los procesos definidos
en la ISO/IEC 15504 (Information Technology Process Assessment). La capacidad de cada
proceso evaluado es expresada en trminos de una escala de clasificacin del 0 al 5:

Nivel de Atributos del nivel de

Capacidad Descripcin del nivel de capacidad capacidad
5 - Optimizado El proceso es mejorado
continuamente para alcanzar los
objetivos del negocio planeados y
actualmente relevantes
4 - Predecible El proceso opera con limites
definidos para alcanzar sus
resultados
3- Establecido Implementado usando un proceso
definido basado en un proceso
estndar
PA 5.1Innovacin del proceso
PA 5.2 Optimizacin del
proceso
PA 4.1 Medicin del proceso
PA 4.2 Control del proceso
PA 3.1 Definicin del proceso
PA 3.2 Despliegue del proceso

- 21 -
 2 - Administrado El proceso es administrado y los PA 2.1 Gestin del desempeo
productos trabajados son PA 2.2 Gestin del producto
establecidos, controlados y trabajado
mantenidos)
1 - Ejecutado El proceso es implementado y logra PA 1.1 Desempeo del proceso
su propsito
0 - Incompleto El proceso no es implementado o
falla al conseguir su objetivo
Fuente: Process Assessment Model (PAM): Using COBIT 5, USA, 2013
Elaboracin propia

6.1.4 Auditora de Subsidiarias, Sucursal y Agencias del Exterior

Satisfactorio
Las operaciones son ejecutadas sobre una base slida en todos sus aspectos. Requiere
monitoreo y supervisin normal por parte de la Gerencia.

Aceptable
Las operaciones son ejecutadas sobre una base normal en todos sus aspectos, sin embargo
existen debilidades modestas que pueden ser corregidas por la Gerencia en el transcurso normal
de operaciones.

Regular
Las operaciones se encuentran con debilidades en cuanto a administracin del riesgo, controles
operacionales y cumplimiento. Requiere atencin inmediata por parte de la Gerencia.

Deficiente
La Unidad presenta falta de controles y severas debilidades. Requiere atencin urgente por parte
de la Gerencia y monitoreo cercano por parte de la Casa Matriz.

7. Del anlisis de riesgos en el proceso de planeamiento de las auditoras a agencias y

subsidiarias Credicorp Ltd. as como en el proceso de preparacin del Plan Anual de
Trabajo

Para determinar el grado de exposicin de riesgos, la calidad de administracin del riesgo, el

nivel de riesgo y la calificacin de riesgos, en el proceso de planeamiento de las auditoras a
agencias y subsidiarias Credicorp Ltd. as como en el proceso de preparacin del Plan Anual de
Trabajo, se tomar como referencia el Federal Branches and Agencies Supervision
Comptrollers Handbook 2014 y el Large Bank Supervision 2010 emitidos por The Office of the
Comptroller of the Currency (OCC):

A.- Anlisis de Riesgos por Falla de Control:

Anexo - I Consideraciones para la Evaluacin de Riesgos Inherentes y Efectividad del
Sistema de Administracin de Riesgos.
Anexo - II Nivel de Riesgo Compuesto y Determinacin del Perfil de Riesgo.
B.- Anlisis de Riesgos por Mala Representacin de Estados Financieros.

- 22 -
A.- ANLISIS DE RIESGOS POR FALLA DE CONTROL

ANEXO - I

CONSIDERACIONES PARA LA EVALUACIN DE RIESGOS INHERENTES Y EFECTIVIDAD

DEL SISTEMA DE ADMINISTRACIN DE RIESGOS
Riesgo Inherente

La evaluacin del Grado de Exposicin de Riesgo Inherente refleja la naturaleza, complejidad y

volumen de las actividades del Banco que originan el riesgo bajo evaluacin. Esta evaluacin es
realizada sin considerar los procesos y controles establecidos por la Gerencia, factores que son
considerados en la evaluacin de la efectividad del Sistema de Administracin de Riesgos del
Banco. El nivel de Riesgo Inherente es descrito como Alto, Moderado y Bajo de la siguiente
manera:

Alto
(3)
Existe donde:
(a) la actividad evaluada es
significativa o existen
posiciones financieras
materiales en relacin a los
recursos totales de la
Institucin o de su Grupo,
(b) donde existe un nmero
significativo de
transacciones o,
(c) donde la naturaleza de las
actividades es
extremadamente compleja.
As, la actividad podra
originar prdidas
significativas o perjudiciales
a la Institucin.
Riesgo Inherente
Moderado Bajo
(2) (1)
Existe donde: Existe donde el volumen,
(a) las posiciones tamao, o naturaleza de la
representan un promedio actividad es tal que aunque
en relacin a los recursos el sistema de controles
totales de la Institucin o internos presente
de su Grupo, debilidades, el riesgo de
(b) donde existe un nmero prdida es remoto o en caso
promedio o normal de de ocurrir, sta tendr un
transacciones o, mnimo impacto en la
(c) donde la naturaleza de posicin financiera de la
las actividades es tpica o Institucin.
tradicional. La actividad
podra originar alguna
prdida a la Institucin,
dicha prdida podra ser
absorbida por la
Institucin en el curso
normal de sus
operaciones.

Efectividad del Sistema de Administracin de Riesgos

Para la evaluacin de la efectividad del Sistema de Administracin de Riesgos para cada una de
las funciones o actividades identificadas en el sistema, debe considerarse como prioridad los
hallazgos relacionados con los siguientes aspectos:

a) Supervisin Activa del Directorio y la Gerencia,

b) Establecimiento y definicin adecuada de polticas, procedimientos y lmites,

- 23 -
c) Administracin de Riesgos, Monitoreo y Sistemas de Informacin adecuados, y
d) completa estructura de control.

Tomando estos elementos en consideracin, debe evaluarse la efectividad del Sistema de

Administracin de Riesgos y controles establecidos para cada actividad o funcin. La efectividad
deber ser catalogada como: Efectiva, Aceptable o Inefectiva de la siguiente manera:

Efectividad del Sistema de Administracin de Riesgo

Efectiva Aceptable Inefectiva
(1) (2) (3)
La Gerencia identifica y La Gerencia controla las El sistema de
controla en forma efectiva principales categoras de administracin de
las principales categoras riesgo, sin embargo, riesgos presenta fallas
de riesgo relativas a una existen algunas importantes y por ende
determinada actividad deficiencias en su representan una causa
funcin. aplicacin. que requiere supervisin
de la Casa Matriz ms
all de la normal.

El Directorio y la Gerencia El Directorio y la Alta El Directorio y la Alta

participan activamente en Gerencia supervisa Gerencia son dbiles en
el proceso y aseguran que polticas y lmites, la supervisin de las
existan polticas y lmites procedimientos de polticas y lmites,
apropiados y que los monitoreo, reportes y los procedimientos de
entienden, revisan y sistemas de informacin monitoreo, reportes y los
aprueban. gerencial son sistemas de informacin
considerados efectivos gerencial no son
en cuanto a mantener considerados efectivos
una Institucin estable y en cuanto a mantener
segura. una Institucin estable y
segura.

Las polticas y lmites son Las polticas y lmites Las polticas y lmites no
respaldados por son respaldados por son respaldados por
procedimientos de procedimientos de procedimientos de
monitoreo, reportes y monitoreo, reportes y monitoreo, reportes y
sistemas de informacin sistemas de informacin sistemas de informacin
que proveen, en forma que proveen informacin que proveen informacin
oportuna y precisa, la para efectuar anlisis de para efectuar anlisis de
informacin necesaria para los riesgos. los riesgos.
realizar anlisis y proceder
con respuestas apropiadas
a los riesgos.

- 24 -
 Efectividad del Sistema de Administracin de Riesgo
Efectiva Aceptable Inefectiva
(1) (2) (3)
Los controles internos y Los controles internos y El sistema de control
procedimientos de procedimientos de interno presenta fallas
auditora son apropiados auditora son adecuados importantes de diseo
considerando el tamao y para controlar los riesgos que implican constantes
actividades de la de una manera que no excepciones continuas
Institucin. requiere supervisin ms faltas a las polticas y
all de lo normal. procedimientos internos
de la Institucin.

Existen pocas excepciones Existen excepciones a Existen muchas

a las polticas y las polticas y excepciones a las
procedimientos procedimientos polticas y
establecidos y ninguna de establecidos y ninguna procedimientos
stas resultaran en de stas resultaran en establecidos y stas
prdidas significativas para prdidas significativas podran resultar en
la Institucin. para la Institucin. prdidas significativas
para la Institucin.

ANEXO II

NIVEL DE RIESGO COMPUESTO

El nivel de Riesgo Compuesto para cada actividad o rea de riesgo es determinado por el balance
existente entre el nivel de Riesgo Inherente y la efectividad del sistema de Administracin de
Riesgos para cada actividad. La siguiente matriz provee una gua para determinar el nivel
compuesto de cada actividad combinando la cantidad o nivel de riesgo y el grado de efectividad
percibido del sistema de Administracin de Riesgos:

RIESGO COMPUESTO
ADMINISTRACION DE RIESGO

Moderado Alto Mximo

Inefectiva (3)
(3) (6) (9)

Bajo Moderado Alto

Aceptable (2)
(2) (4) (6)

Mnimo Bajo Moderado

Efectiva (1)
(1) (2) (3)

Bajo (1) Moderado (2) Alto (3)

NIVEL DE RIESGO INHERENTE

DETERMINACIN DEL PERFIL DE RIESGO

Las definiciones acerca del nivel de riesgo inherente, administracin del riesgo, riesgo

- 25 -
compuesto, y direccin del riesgo compuesto se completan segn la siguiente tabla:

Categora de Riesgo Administracin Riesgo Direccin del

Inherente del Riesgo Compuesto Riesgo
Riesgo (Bajo, (Efectivo, (Bajo, (Incrementando,
Moderado, Aceptable, Moderado, Estable,
Alto) Inefectivo) Alto) Disminuyendo)
1.Crdito
2.Tasa de Inters
3.Liquidez
4.Precio
5.Operacional
6.Cumplimiento
7.Pas 3
8.Estratgico
9.Reputacional

La preparacin de la Matriz guardar consistencia a las definiciones generales del nivel de riesgo
conforme a lo definido en el Manual de Metodologa de Auditora Interna.

B.- ANLISIS DEL RIESGO DE MALA REPRESENTACIN DE ESTADOS FINANCIEROS

1. Se determina el error tolerable a nivel del grupo:

Utilidad antes Utilidad antes

impuesto real impuestos
Rubro Factor
2013 Presupuestada 2014
S/(000) S/(000)
Utilidad antes del
impuesto a la renta (UAI)
Materialidad planeada
(MP) 5% UAI
Error Tolerable (ET) 50% MP

2. Se considera los siguientes criterios para seleccionar las cuentas contables materiales a
revisar:

Error Tolerable Credicorp > a S/. 80 millones

Cuentas sujetas a estimacin contable (Cualitativo)
Exposicin a errores en el registro de informacin (Cualitativo)
Exposicin a Riesgo de Fraude Interno o Externo (Cualitativo)
Saldos significativos en Operaciones No Relacionadas con el Negocio (Cualitativo)
Cuentas representativas para la Consolidacin de Estados Financieros (Cualitativo)

- 26 -
 Observaciones de Auditoria (Cualitativo)
Cambios en Procesos (Cualitativo)
Rotacin de Personal (Cualitativo)

3. Se aplica estos criterios a las cuentas contables de las Subsidiarias y se asocia a los
procesos definidos.

Saldos
Saldo / Cuentas Exposici Rotaci
Riesg significativ Obs. de
Error sujetas a na n del
Rubro Cuenta o de os no Auditor
Tolerab estimaci errores de person
fraude relacionado a
le (ET) n registro al
s
Activos
Banco Central
Disponible
de Reserva
Otras
disponibilidad
es
Inversiones a
Inversiones valor
razonable
Inversiones
disponibles
para la venta
Crditos
Crditos
vigentes
Crditos
vencidos
Rendimientos
devengados
Provisiones
Inversiones
Inversiones
participacin
subsidiarias
patrimonial
Inmuebles
Activo
intangible
Otros activos
Pasivos
Obligaciones Cuentas a
con el pblico plazo
Fondos
interbancario
s
Depsitos
empresas Depsitos a
sistema plazo
financiero
Adeudos Adeudos con
corto plazo empresas

- 27 -
 Saldos
Saldo / Cuentas Exposici Rotaci
Riesg significativ Obs. de
Error sujetas a na n del
Rubro Cuenta o de os no Auditor
Tolerab estimaci errores de person
fraude relacionado a
le (ET) n registro al
s
Cuentas por
pagar
Adeudos con
Adeudos
empresas
largo plazo
pas
Adeudos con
empresas
exterior
Bonos
Valores
comunes
Bonos
subordinados
Patrimonio
Patrimonio Capital social
Capital
adicional
Contingente
s
Lneas de
Contingentes crdito no
utilizadas
Responsabilid
ad contratos
derivados
Estado de
Ganancias y
Prdidas
Intereses y
Ingresos comisiones
financieros por cartera de
crditos
Intereses por
Gastos adeudos y
financieros obligaciones
financieras
Gastos Gastos de
administrativ personal y
os directorio
Gastos por
servicios de
terceros

- 28 -
8. De las Evaluaciones de Desempeo

Las Gerencias Centrales, las Jefaturas de las Gerencia de Divisin, Gerencia de rea, Gerencia,
Subgerencias y/o Unidades, tomarn en consideracin para las Evaluaciones de Desempeo del
Personal bajo su cargo, el calificativo que la Gerencia de Divisin Auditora ha asignado a la
unidad examinada, el cual ser comunicado a la Gerencia correspondiente.

Documento aprobado por:

Jos Esposito Gerencia de Divisin de Auditora

- 29 -