POLÍTICA DE GESTIÓN DE RIESGOS

Elaborado por: Revisado por: Aprobado por:

Nombre: Nombre: Nombre:

Cargo: Cargo: Cargo:

Firma: Firma: Firma:

Fecha Fecha Fecha

VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

CONTENIDO

I. INTRODUCCIÓN

1. Objetivo 3

2. Definición 3

3. Alcance 3

II. ESTRUCTURA Y GOBIERNO 3

III. GESTIÓN INTEGRADA DE RIESGOS

1. Apetito de riesgo 7

2. Identificación de riesgos 7

3. Evaluación de riesgos 7

4. Estrategias de respuesta al riesgo 9

5. Actividades de control y monitoreo 9

6. Información y reporte 9

IV. GLOSARIO 10

2
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

I. INTRODUCCIÓN

1. Objetivo

El objetivo de este documento es establecer los lineamientos de la Gestión de Riesgos y las

responsabilidades del personal de Alicorp y los miembros del Directorio para implementar y
gestionar la cultura y el proceso de Gestión de Riesgos en la organización.

2. Definición

La Gestión de Riesgos tiene como objetivo principal preservar el valor de la Organización a través
de la prevención de eventos internos y externos que pudiesen impactar negativamente en el logro
de los objetivos estratégicos de la Organización. Para dicho fin, la Gestión de Riesgos define y
evalúa el nivel de riesgo que la Organización está dispuesta a asumir en el desarrollo de las
actividades que forman parte de sus distintos procesos.

El proceso de Gestión de Riesgos comprende la implementación de un enfoque y lenguaje común

para asegurar que los riesgos sean identificados, evaluados, controlados y reportados de forma
consistente y oportuna.

Los objetivos anuales de la Gestión de Riesgos son definidos en función a los objetivos y
estrategias de la Organización.

3. Alcance

Esta Política aplica al Directorio, Gerencia General, Comité de Gerencia, Gerencia de Gestión de
Riesgos y todo el personal de la Organización.

La aplicación de esta Política en las subsidiarias de Alicorp, será expresa y oportunamente

comunicada por la Gerencia General de Alicorp S.A.A

II. ESTRUCTURA Y GOBIERNO

La estructura organizacional debe satisfacer los requerimientos de la Gestión de Riesgos de la

Organización en términos de cantidad y calidad de recursos. Los recursos deben tener acceso a
toda la información relevante de las operaciones de la Organización.

La estructura organizacional de la Gestión de Riesgos debe ser independiente de las funciones

operativas y de control de las mismas.

En caso se requiera tercerizar alguna función de la Gestión de Riesgos, el alcance de dichas

funciones y actividades tercerizadas deberá quedar formalizado en un contrato de nivel de servicio.
La necesidad de tercerizar ciertas actividades será propuesta por el Gerente de Gestión de
Riesgos, evaluada por el Vicepresidente de Finanzas y aprobada por el Gerente General

3
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

Roles y Funciones

Comité de Riesgos

El Comité de Riesgos es responsable de:

 Aprobar la Política de Gestión de Riesgos

 Aprobar la declaración de Apetito de Riesgo
 Aprobar los objetivos anuales de la Gestión de Riesgos (Plan anual) y monitorear su
cumplimiento
 Monitorear el mapa de riesgos claves de la Organización de manera semestral
 Recomendar estrategias de mitigación para los riesgos claves en función a los resultados de
la evaluación anual de riesgos.
 Alertar oportunamente al Comité de Gestión de Riesgos sobre riesgos emergentes
 Liderar la integración de las actividades de la Gestión de Riesgos con la ejecución de la
estrategia de la Organización

Comité de Auditoría

En relación a la Gestión de Riesgos, el Comité de Auditoría es responsable de:

 Aprobar el Plan Anual de Auditoría Interna

 Revisar y aprobar las conclusiones de la ejecución del Plan Anual de Auditoría Interna
 Evaluar la efectividad del servicio de auditoría interna

Comité de Gestión de Riesgos

Es responsable de soportar al Comité de Riesgos en:

 Definir el apetito de riesgo

 Aprobar la tolerancia al riesgo
 Promover el cumplimiento del rol de Dueño de Proceso
 Gestionar los riesgos claves de la organización según lo definido en el Apetito de Riesgo y
Tolerancia al Riesgo
 Monitorear el cumplimiento del Plan Anual de Auditoría Interna y revisar sus resultados
 Realizar seguimiento a las observaciones contenidas en la carta de control de Auditoría
Externa
 Monitorear el mapa de riesgos de la Organización y recomendar estrategias de mitigación con
frecuencia semestral
 Alertar sobre nuevos riesgos
 Aprobar la información de la Gestión de Riesgos que la Organización publique o comparta con
entidades externas.
 Aprobar los criterios cuantitativos para la evaluación de riesgos
 Aprobar la Matriz de KPI y KRI

Comité de Gerencia

Los miembros del Comité de Gerencia son responsables de:

4
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

 Promover la cultura de Gestión de Riesgos

 Monitorear la administración de los procesos y los riesgos identificados.

Vicepresidente de Finanzas

El Vicepresidente de Finanzas es responsable de:

 Aprobar la estructura, roles y funciones de la Gestión de Riesgos

Director de Contraloría Corporativo

El Director de Contraloría Corporativo es responsable de:

 Proponer la estructura, roles y funciones de la Gestión de Riesgos en coordinación con la

Gerencia de Gestión de Riesgos
 Proponer los criterios cuantitativos de evaluación de riesgos.

Gerente de Gestión de Riesgos

El Gerente de Gestión de Riesgos es responsable de:

 Proponer la Política de la Gestión de Riesgos

 Diseñar la Metodología para la Gestión de Riesgos
 Implementar la cultura de Gestión de Riesgos en la Organización
 Mantener vigente el mapa de riesgos y reportar su estado al Comité de Gestión de Riesgos.
 Proponer los objetivos anuales de la Gestión de Riesgos (Plan anual)
 Liderar la ejecución del Plan anual de la Gestión de Riesgos
 Monitorear el cumplimiento de los KRI
 Asesorar a los Dueños de Procesos para la ejecución de su rol
 Identificar nuevos riesgos y proponer cambios al plan de auditoría interna

Equipo de Gestión de Riesgos

El Equipo de Gestión de Riesgos es responsable de:

 Documentar y actualizar el inventario de procesos, riesgos y controles según lo definido en la

Metodología de Gestión de Riesgos
 Identificar riesgos y controles según lo definido en la Metodología de Gestión de Riesgos
 Brindar soporte en las actividades de evaluación de riesgos a los Dueños de Proceso
 Brindar soporte en las actividades de capacitación en Gestión de Riesgos
 Validar la vigencia de los procesos de la Organización según lo establecido en la Metodología
de la Gestión de Riesgos
 Brindar soporte en la ejecución del Plan anual de la Gestión de Riesgos

5
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

 Soportar en la identificación de oportunidades de mejora en los procesos bajo su

responsabilidad, gestionar su implementación con los Dueños de Proceso y monitorear el
cumplimiento de los planes de acción
 Administrar la herramienta ARIS y coordinar el soporte tecnológico con TI

Dueño de Proceso

El Dueño de Proceso es responsable de:

 Implementar la cultura de Gestión de Riesgos en los procesos bajo su responsabilidad

 Definir la tolerancia al riesgo en coordinación con el Gerente de Gestión de Riesgos y los
vicepresidentes, según corresponda
 Asegurar la aplicación de la metodología de Gestión de Riesgos en los procesos bajo su
responsabilidad
 Identificar oportunidades de mejora en los procesos bajo su responsabilidad, gestionar su
implementación y monitorear el cumplimiento de los planes de acción
 Comunicar los cambios en sus procesos y los riesgos asociados al Equipo de Gestión de
Riesgos
 Mantener vigente la documentación de sus procesos tal como se define en esta política
 Administrar los riesgos de sus procesos sobre la base de los resultados de la evaluación de
riesgos
 Monitorear el cumplimiento de los planes de acción y reportar los resultados a la Gerencia de
Gestión de Riesgos
 Velar por la efectividad de los controles asociados a los riesgos de sus procesos

Responsable de Riesgos de Subsidiaria

El Responsable de Riesgos designado en cada subsidiaria deberá mantener una comunicación

efectiva y oportuna con el Gerente de Gestión de Riesgos sobre la información relevante de los
procesos en términos de riesgos, correspondientes a la subsidiaria.

El Responsable de Riesgos de la subsidiaria será informado oportunamente por el Gerente de

Gestión de Riesgos de Alicorp S.A.A. sobre las funciones específicas y el alcance de las mismas.

6
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

III. GESTIÓN INTEGRADA DE RIESGOS

1. Apetito de Riesgo

El "Apetito de Riesgo" es el nivel de riesgo que la Organización está dispuesta a aceptar en el

desarrollo de sus operaciones y ejecución de sus estrategias para el logro de sus objetivos. El
apetito de riesgo es relativo a la situación de la Organización en un determinado momento y está
sujeto a una revisión y actualización anual por parte del Gerente General.

La declaración de Apetito de Riesgo de Alicorp S.A.A. aprobada por la Gerencia General es la

siguiente:

“La reputación de Alicorp, la de sus marcas y nuestro personal conforman nuestros principales
activos, razón por la cual no toleramos riesgos que pudieran impactar negativamente la imagen de
la organización y a las personas que la representan. Nuestro propósito es generar valor a todos
nuestros grupos de interés e innovar constantemente para que nuestros productos con los más
altos estándares de calidad, generen bienestar en nuestros consumidores”

La “Tolerancia al Riesgo” equivale al apetito de riesgo expresado a nivel de Vicepresidencia o

Unidad de Negocio.

2. Identificación de riesgos

La identificación de los riesgos es un proceso permanente e interactivo que consiste en definir y

documentar los eventos internos y externos que podrían afectar negativamente los objetivos
estratégicos de la Organización. Los riesgos serán identificados principalmente a través del análisis
de los procesos de la Organización.

Los riesgos se clasifican en las siguientes categorías:

 Estratégicos
 Operativos
 Financieros
 De cumplimiento

3. Evaluación de riesgos

El objetivo de la evaluación de riegos es priorizar el inventario de riesgos de la Organización sobre

la base de los criterios estándares aprobados para la evaluación.

El proceso de evaluación de riesgos se realiza al menos una vez al año y es conducido por el
Gerente de Gestión de Riesgos. Los resultados de este proceso se reportarán oportunamente al
Comité de Riesgos

Criterios de evaluación de riesgos

Los criterios de evaluación de riesgos permiten evaluar los riesgos de forma uniforme en toda la
Organización, independientemente de los macroprocesos a los que corresponden.

7
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

Los criterios cualitativos y cuantitativos serán re-evaluados y actualizados según el contexto y

prioridades de la Organización. Los criterios vigentes para la evaluación de riesgo son Impacto y
Probabilidad.

Impacto: Representa el impacto más probable que se produciría si el riesgo identificado se

materializa. El puntaje (1 al 3) del impacto potencial se expresa en términos cuantitativos que
representan las pérdidas económicas, y/o cualitativos en términos de impacto reputacional en los
distintos grupos de interés de la Organización.

Puntaje Valores Materialidad Reputacional

Alto impacto en la reputación e imagen de la Organización

3 Alto >US$1MM en los siguientes grupos de interés: accionistas, clientes,
colaboradores y sociedad.

>US$100M Impacto medio en la reputación e imagen de la

2 Moderado Organización. Impacto en los siguientes grupos de interés:
<US$1MM autoridades, líderes de opinión y medios de comunicación.

Impacto bajo en la reputación de la Organización. Impacto

1 Bajo <US$100M en los siguientes grupos de interés: financieros,
proveedores y gremios.

Probabilidad: Representa la probabilidad de que un riesgo se materialice sin considerar los

controles específicos adoptados por la Organización. Para fines de esta evaluación se considerará
también el historial de ocurrencia del riesgo.

Puntaje Valores Frecuencia Probabilidad

3 Alto Mensual Al menos una vez en un mes

2 Ocasional Semestral Al menos una vez en seis meses

1 Bajo Anual Al menos una vez en un año

Priorización de riesgos

Una vez que los riesgos han sido evaluados según su impacto y probabilidad se analizará el
resultado con la finalidad de identificar los riesgos más críticos y tomar decisiones sobre la
naturaleza de los controles necesarios y los recursos requeridos para su implementación.

8
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

4. Estrategias de respuesta al riesgo

Las estrategias de respuesta determinan las acciones a seguir por la Organización para controlar
los riesgos al nivel deseado. Estas son:

 Reducir o mitigar
 Mantener
 Evitar
 Transferir

El Gerente de Gestión de Riesgos, en conjunto con el Dueño de Procesos, deberá evaluar los
costos y beneficios de las distintas estrategias, y seleccionará aquella estrategia que esté alineada
con el Apetito de Riesgo de la Organización.

5. Actividades de control y monitoreo

Las actividades de control le permiten a la Organización reducir la probabilidad de ocurrencia de un

evento de riesgo. Estas actividades están formalizadas y respaldadas a través de las Políticas,
Procedimientos y controles configurados en los sistemas operativos.

El cumplimiento de las actividades de control apoya el logro de los objetivos de la Organización.

Los controles se clasifican según (i) la oportunidad en la que se ejecutan, y (ii) el grado de
automatización.

Según la oportunidad de ejecución, los controles se clasifican en:

 Preventivo: Actividad de control que ayuda a reducir la probabilidad de ocurrencia de un

riesgo
 Detectivo: Actividad de control que permite identificar y corregir errores luego de ocurridos.

Según el grado de automatización, los controles se clasifican en:

 Manual: Control ejecutado por personas

 Manual dependiente de TI: Control ejecutado por personas con la ayuda de reportes o
información provista por los sistemas
 Automático: Control programado en los sistemas de información.

6. Información y reporte

Para que la Gestión de Riesgos sea efectiva es necesario contar con la información actualizada
sobre los procesos, riesgos y controles de la Organización. Alicorp ha optado por el uso de la
herramienta ARIS para el modelamiento de sus procesos.

La principal fuente de información para fines de la evaluación de riesgos es la Matriz de Riesgos y

Controles, la cual será administrada por el equipo de Gestión de Riesgos. La información de esta
matriz tendrá carácter de confidencial y se comunicará según los canales definidos por el equipo
de Gestión de Riesgos.

Con frecuencia no menor a un año, el equipo de Gestión de Riesgos deberá informar al Comité de
Gestión de Riesgos sobre el estado actual del mapa de riesgos de la Organización. Asimismo,
elaborará los reportes que sean requeridos por la Gerencia General y/o Vicepresidencia de
Finanzas.

9
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

IV. Glosario

1. Apetito de Riesgo: Nivel de riesgo que la organización está dispuesta a aceptar como parte
de la ejecución de las estrategias para el logro de sus objetivos.

2. Control: Mecanismo preventivo o detectivo adoptado por el responsable de administrar el

riesgo (Dueño de Riesgo) con el objetivo de minimizar desviaciones, ineficiencias e
incumplimientos en la ejecución de actividades.

3. Dueño de Riesgo: Persona responsable de la gestión, seguimiento y control de un riesgo

identificado en los procesos de los cuales es responsable, incluyendo la implementación de
controles.

4. Dueño de Control: Persona responsable de la ejecución de los controles adoptados en un

determinado proceso o grupo de procesos.

5. Estrategias de respuesta al riesgo:

a. Reducir o Mitigar: Establecer controles para disminuir la probabilidad de ocurrencia del
riesgo y/o el impacto financiero del riesgo.

b. Mantener: Conservar el riesgo en su nivel actual a través de un adecuado monitoreo del

mismo. Estrategia adoptada cuando el costo de implementar un control no justifica el
beneficio de reducir el riesgo.

c. Evitar: Dejar de realizar la actividad que genera el riesgo. Por lo general, implica
rediseñar el plan operativo o de negocios.

d. Transferir: Transferir las actividades que generan el riesgo a un tercero cuya capacidad
financiera o nivel de especialización en cierta materia le permita administrar
razonablemente el riesgo o enfrentar las pérdidas originadas ante la ocurrencia del
riesgo.

6. Gestión Integral de Riesgos: La Gestión de Riesgos es un enfoque sistemático para

minimizar la exposición de la organización al riesgo. Un sistema de Gestión de Riesgos
incluye diversas políticas, procedimientos, metodologías y prácticas que funcionan en conjunto
y con alcance a toda la organización para identificar, analizar, evaluar, y monitorear los
riesgos.

7. Macroproceso: Conjunto de procesos relacionados con un objetivo común. Tienen un inicio y

fin identificados que mutuamente generan valor y permiten el logro de objetivos afines.

8. Mapa de Riesgos: Herramienta que permite analizar la información sobre el nivel de

exposición de los riesgos a los que está expuesta la organización y establecer las estrategias
adecuadas de respuesta al riesgo.

9. Proceso: Conjunto de actividades o eventos que se realizan en secuencia con un objetivo

específico.

10. Proceso documentado: Para fines de la evaluación de riesgos, los flujogramas

documentados cumplen con las siguientes características:
a. Descripción de actividades secuenciales de inicio a fin.
b. Descripción de riesgos y controles asociados a cada actividad, según corresponda.
c. Identificación de roles participantes en cada actividad crítica.
d. Referencia a las Políticas y/o Procedimientos relacionados con la ejecución de
actividades, según corresponda.

10
VERSIÓN: 01 POLITICA DE GESTION DE RIESGOS

e. Referencia a los sistemas que soportan la ejecución de la actividad

11. Pruebas de efectividad de controles: Procedimientos realizados para comprobar la correcta

y consistente ejecución de las actividades de control.

12. Tolerancia al Riesgo: Nivel aceptable de riesgo que la organización está dispuesta a aceptar
con respecto al logro de un objetivo específico o grupo de objetivos. También se puede
entender como el Apetito de Riesgo aplicable a nivel de macroproceso o tipo de riesgos.

13. Riesgo: Cualquier evento interno o externo que puede afectar negativamente el logro de los
objetivos de la organización. Se clasifican en:

a. Riesgos estratégicos: Se asocian con la forma en que se administra la organización. El

manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y
el cumplimiento de los objetivos estratégicos.

b. Riesgos operativos: Comprende los riesgos relacionados con la operatividad de los

procesos y los sistemas de información que los soportan para el logro de sus objetivos.

c. Riesgos financieros: Relacionados con el manejo de los recursos financieros de la

organización. (ejecución presupuestal, elaboración de los estados financieros, pagos y
manejo de excedentes de tesorería)

d. Riesgos de cumplimiento: Aquellos relacionados con la capacidad de la organización

para cumplir con las exigencias legales, contractuales, de ética pública y en general con
su compromiso ante la comunidad.

11