PLAN 10029 2015 Manual de Gestión de Riesgo Operacional Del FMV S.A., Modificado Mediante Acuerdo de Directorio #01-1D-2015 de Fecha 12.01.2015 PDF

MANUAL DE GESTIÓN DEL
RIESGO OPERACIONAL
MANUAL DE GESTIÓN DEL RIESGO Pág. N° 2 de 65
OPERACIONAL
REGISTRO DE CAMBIOS Y REVISIONES

Fecha Descripción del cambio o revisión Versión Responsable
Federico
Elaboración y Aprobación del Manual de Gestión
11/11/2009 1.0 Oyanguren /
del Riesgo Operacional del FMV.
Carlos Zapata
Federico
Se realizaron modificaciones al Manual de
13/12/2010 2.0 Oyanguren /
Gestión del Riesgo Operacional del FMV.
Carlos Zapata
Federico
3.0 Oyanguren /
17/11/2011 Gestión del Riesgo Operacional del FMV.
Carlos Zapata
Federico
06/12/2012 4.0 Oyanguren /
Gestión del Riesgo Operacional del FMV.
Carlos Zapata
Federico
Gestión del Riesgo Operacional del FMV, los
27/03/2014 5.0 Oyanguren /
cuales fueron detallados en el Memorando N°
Carlos Zapata
139-2014-FMV/GR
Modificación al Manual de Gestión del Riesgo Federico
25/08/2014 Operacional del FMV, según acuerdo N° 04-20D- 6.0 Oyanguren /
2014 Carlos Zapata
Modificación al Manual de Gestión del Riesgo
Operacional del FMV, por A.D. N° 01-01D-2015. Federico
12/01/2015 Se ha modificado los numerales: 6.0 Oyanguren /
9.3.4 Se ha insertado el literal c Gustavo Rumiche
9.3.7.Se ha insertado el literal e
Jefe de Oficina de Planeamiento,

Gerencia de Riesgos Gerente Legal
Prospectiva y Desarrollo
EN EL DOCUMENTO ORIGINAL SE CONSIGNAN LAS FIRMAS DE LOS
REPRESENTANTES DE LAS UNIDADES ORGANICAS AQUÍ SEÑALADAS
Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

OPERACIONAL
INDICE
1. INTRODUCCION.-.......................................................................................................... 4
2. OBJETIVO.- ................................................................................................................... 4
3. BASE LEGAL.- ................................................................................................................ 4
4. ALCANCE.- .................................................................................................................... 5
5. RESPONSABILIDADES.- ................................................................................................ 5
6. VIGENCIA.- ................................................................................................................... 5
7. DEROGATORIAS Y/O MODIFICACIONES.- ..................................................................... 5
8. TERMINOS Y DEFINICIONES.- ...................................................................................... 5
9. DISPOSICIONES GENERALES.-.................................................................................... 11
9.1. GENERALIDADES.- ................................................................................................. 11
9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.- ......................................... 11
9.3. POLITICAS.- .......................................................................................................... 14
9.4. METODOLOGIA ...................................................................................................... 19
9.5. REPORTES.-........................................................................................................... 38
9.6. PROCEDIMIENTOS.- ............................................................................................... 39


OPERACIONAL
1. INTRODUCCION.-
El presente manual describe un conjunto de políticas, metodologías y

procedimientos que permitan una adecuada gestión del riesgo operacional, con
el objetivo de mitigar los riesgos operacionales a los cuales se encuentra
expuesta la Institución.
Ninguna organización puede eliminar completamente los riesgos de negocios,

hecho inherente a la realidad de las empresas; por lo cual, El Fondo
MIVIVIENDA S.A. promueve la creación de una estructura de gestión que
mantenga su nivel de riesgo operacional en rangos acordes con la estrategia de
negocio y dentro de límites apropiados.
Así mismo, el presente manual se dicta en cumplimiento de las disposiciones

legales vigentes, con el objeto de gestionar adecuadamente el riesgo operacional
del Fondo MIVIVIENDA S.A.
2. OBJETIVO.-
Establecer las políticas, metodologías y procedimientos para realizar una
adecuada gestión del Riesgo Operacional que enfrenta el Fondo MIVIVIENDA
S.A.
3. BASE LEGAL.-
El marco legal para la elaboración del presente manual es:
 Resolución SBS Nº 2116-2009 Reglamento para la Gestión de Riesgo

Operacional.
 Resolución SBS Nº 2115-2009 Reglamento para el Requerimiento de

Patrimonio Efectivo por Riesgo Operacional.
 Circular SBS Nº G-139-2009 Gestión de la Continuidad del Negocio.
 Circular SBS Nº G-140-2009 Gestión de la Seguridad de Información.
 Resolución SBS Nº 037-2008 Reglamento de la Gestión Integral de

Riesgos.
 Resolución de Contraloría N° 320- 2006-CG – Normas de Control Interno.
 Resolución SBS N° 7068 – 2012 que modifica el Reglamento de la

Gestión Integral de Riesgos aprobado por Resolución N° 037 – 2008.
 Circular G-165-2012 Informe de riesgos por nuevos productos o cambios
importantes en el ambiente de negocios, operativo o informático.


OPERACIONAL
 Circular G-164-2012 Reporte de eventos de interrupción significativa de

operaciones.
 Resolución SBS N° 3127-2012, que realiza precisiones a la metodología

de cálculo del requerimiento patrimonial establecida en el Reglamento
para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.
 Circular G-170-2013 Informe de riesgos por nuevos productos o cambios

importantes en el ambiente de negocios, operativo o informático,
reemplaza el segundo párrafo del numeral 3 de la Circular N° G-165-
2012.
4. ALCANCE.-
El presente Manual es de aplicación para todas las Gerencias y/u Oficinas del
Fondo MIVIVIENDA S.A.
5. RESPONSABILIDADES.-
La Gerencia de Riesgos es la responsable de gestionar, vigilar, verificar y/o
evaluar el Riesgo Operacional siguiendo los lineamientos, metodología y
procedimientos definidos en el presente manual. Asimismo, es la responsable de
aplicar y vigilar su cumplimiento.
Es responsabilidad de los Directores, Gerentes y Jefes de Oficina, hacer cumplir

el presente manual.
6. VIGENCIA.-
La presente política entrará en vigencia a partir de la publicación y difusión
interna dentro del Fondo MIVIVIENDA S.A., una vez aprobado el Manual por el
Directorio.
7. DEROGATORIAS Y/O MODIFICACIONES.-

El presente manual deja sin efecto el Manual de Gestión del Riesgo Operacional
del Fondo Mivivienda S.A aprobado por Acuerdo de Directorio N° 02-07D-2013.
8. TERMINOS Y DEFINICIONES.-
Para una mejor comprensión y aplicación del presente manual, es pertinente
tener en cuenta la definición y alcance de los términos utilizados en el ámbito de
la administración de riesgos, establecidos en la Resolución SBS Nº 2116-2009.
8.1. RIESGO OPERACIONAL
Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas

debido a procesos inadecuados, fallas del personal, de la tecnología de
información, o eventos externos. Esta definición incluye el riesgo legal, pero
excluye el riesgo estratégico y de reputación.


OPERACIONAL
A continuación detallamos algunas definiciones relacionadas a riesgo

operacional:
8.1.1. Indicadores de riesgo;
Alarmas tempranas en los sistemas, procesos, productos, gente y el

ambiente externo.
8.1.2. Pérdidas
Cuantificación económica de la ocurrencia de un evento de riesgo

operativo, así como los gastos derivados de su atención.
8.1.3. Perfil de Riesgo
Resultado consolidado de la medición de los riesgos a los que se ve

expuesta una entidad.
8.1.4. Plan de continuidad del negocio
Tiene como objetivo dotar a la empresa de la capacidad de

mantener, o de ser el caso recuperar, los principales procesos de
negocio dentro de los parámetros previamente establecidos.
8.1.5. Riesgo
Es la posibilidad de que un evento ocurra y afecte en forma adversa

el cumplimiento de unos objetivos
8.1.6. Riesgo inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto

de los controles.
8.1.7. Riesgo residual
Nivel resultante del riesgo después de aplicar los controles.
8.1.8. Apetito por el riesgo y/o Grado de Exposición al Riesgo
Nivel de riesgo que la empresa está dispuesta a asumir en su

búsqueda de rentabilidad y valor.
8.1.9. Tolerancia al riesgo
El nivel de variación que la empresa está dispuesta a asumir en caso

de desviación de los objetivos empresariales trazados.


OPERACIONAL
8.1.10. Evento
Un suceso o serie de sucesos que pueden ser internos o externos a

la empresa, originados por la misma causa, que ocurren durante el
mismo periodo de tiempo.
8.1.11. Evento por riesgo operacional
El evento que conduce a una o varias pérdidas, cuyo origen

corresponde al riesgo operacional. Se distingue dos tipos de evento,
evento por perdida financiera y evento por lucro cesante.
8.1.12. Eventos por pérdida financiera
Cualquier impacto negativo registrado en cuentas de resultados o en

la situación patrimonial de la Entidad, y que haya sido provocado a
consecuencia de cualquier evento de riesgo operacional.
La pérdida está constituida por un registro contable contabilizado en
cuentas de resultados, en rúbricas de gastos generales y/o cuentas
patrimoniales.
8.1.13. Eventos por lucro cesante
Impacto negativo que no trasciende en cuentas de resultados o en la

situación patrimonial de la Entidad.
8.1.14. Información
Cualquier forma de registro electrónico, óptico, magnético o en otros

medios, susceptible de ser procesada, distribuida y almacenada.
8.1.15. Proceso
Conjunto de actividades, tareas y procedimientos organizados y

repetibles que producen un resultado esperado.
8.1.16. Proceso Crítico
Conjunto de actividades indispensables para la continuidad de las

operaciones y servicios que brinda la Institución, cuya falta o
ejecución deficiente puede producir no cumplir con los objetivos del
proceso, ni con los objetivos estratégicos de la Institución y/o
generar pérdidas financieras.
8.1.17. Riesgo legal
Posibilidad de ocurrencia de pérdidas financieras debido a la falla en

la ejecución de contratos o acuerdos, al incumplimiento no


OPERACIONAL
intencional de las normas, así como a factores externos, tales como

cambios regulatorios, procesos judiciales, entre otros.
8.1.18. Nuevo Producto
Producto lanzado por primera vez por la empresa, se considera

también un “nuevo producto” cuando se realiza un cambio en un
producto existente que modifica su perfil de riesgo
8.1.19. Producto
Bienes y/o servicios brindados por las empresas a sus clientes y

usuarios.
8.1.20. Subcontratación
Modalidad de gestión mediante la cual una empresa contrata a un

tercero para que éste desarrolle un proceso que podría ser
realizado por la empresa contratante.
8.1.21. Subcontratación Significativa
Es aquella subcontratación que, en caso de falla o suspensión del

servicio, puede poner en riesgo importante a la empresa, al afectar
sus ingresos, solvencia, o continuidad operativa.
8.1.22. Servicios
La actividad o labor que realiza una persona natural o jurídica para

atender una necesidad de la entidad, pudiendo estar sujeta a
resultados para considerar terminadas sus prestaciones.
8.1.23. Servicios Importantes
Son aquellos servicios que, en caso de falla o suspensión del

mismo, puede poner en riesgo importante a la empresa, al afectar
sus ingresos, solvencia o continuidad operativa, este servicio no
puede ser desarrollado por la empresa contratante.
8.1.24. Principales Proveedores de Servicios
Son aquellos proveedores cuyos servicios brindados son

considerados como subcontrataciones significativas o servicios
importantes cuya suspensión o falla puede poner en riesgo las
actividades del FMV.


OPERACIONAL
8.2. FACTORES QUE ORIGINAN EL RIESGO OPERACIONAL
Los factores de riesgo, son aquellas fuentes generadoras de eventos,

internas o externas, que pueden originar pérdidas en las operaciones o
afectar el cumplimiento de los objetivos estratégicos y/o operativos de la
Institución.
8.2.1. Personal
Las empresas deben gestionar apropiadamente los riesgos asociados

al personal de la empresa, relacionados a la inadecuada capacitación,
negligencia, error humano, sabotaje, fraude, robo, paralizaciones,
apropiación de información sensible, entre otros.
8.2.2. Procesos internos
Las empresas deben gestionar apropiadamente los riesgos asociados

a los procesos internos implementados para la realización de sus
operaciones y servicios, relacionados al diseño inapropiado de los
procesos o a políticas y procedimientos inadecuados o inexistentes
que puedan tener como consecuencia el desarrollo deficiente de las
operaciones y servicios o la suspensión de los mismos.
8.2.3. Tecnología de información
Las empresas deben gestionar los riesgos asociados a la tecnología

de información, relacionados a fallas en la seguridad y continuidad
operativa de los sistemas informáticos, los errores en el desarrollo e
implementación de dichos sistemas y la compatibilidad e integración
de los mismos, problemas de calidad de información, la inadecuada
inversión en tecnología, entre otros aspectos.
8.2.4. Eventos externos
Las empresas deberán gestionar los riesgos asociados a eventos

externos ajenos al control de la empresa, relacionados por ejemplo a
fallas en los servicios públicos, la ocurrencia de desastres naturales,
atentados y actos delictivos, entre otros factores.
8.3. CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS
Un evento es un incidente o situación que ocurre en un lugar particular

durante un intervalo de tiempo determinado, ocasionado por diferentes
causas y que puede conllevar consecuencias positivas o negativas.
Los eventos por riesgo operacional pueden ser agrupados de la manera

descrita a continuación:


OPERACIONAL
8.3.1. Fraude interno.-
Pérdidas derivadas de algún tipo de actuación encaminada a

defraudar, apropiarse de bienes indebidamente o incumplir
regulaciones, leyes o políticas empresariales en las que se
encuentra implicado, al menos, un miembro de la empresa, y que
tiene como fin obtener un beneficio ilícito.
8.3.2. Fraude externo.-
Pérdidas derivadas de algún tipo de actuación encaminada a

defraudar, apropiarse de bienes indebidamente o incumplir la
legislación, por parte de un tercero, con el fin de obtener un
beneficio ilícito.
8.3.3. Relaciones laborales y seguridad en el puesto de trabajo.-
Pérdidas derivadas de actuaciones incompatibles con la legislación

o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre
el pago de reclamos por daños personales, o sobre casos
relacionados con la diversidad o discriminación.
8.3.4. Clientes, productos y prácticas empresariales.-
Pérdidas derivadas del incumplimiento involuntario o negligente de

una obligación empresarial frente a clientes concretos (incluidos
requisitos fiduciarios y de adecuación), o de la naturaleza o diseño
de un producto.
8.3.5. Daños a activos materiales.-
Pérdidas derivadas de daños o perjuicios a activos materiales como

consecuencia de desastres naturales u otros acontecimientos.
8.3.6. Interrupción del negocio y fallos en los sistemas.-
Pérdidas derivadas de interrupciones en el negocio y de fallos en

los sistemas.
8.3.7. Ejecución, entrega y gestión de procesos.-
Pérdidas derivadas de errores en el procesamiento de operaciones

o en la gestión de procesos, así como de relaciones con
contrapartes comerciales y proveedores.


OPERACIONAL
9. DISPOSICIONES GENERALES.-
9.1. GENERALIDADES.-
El Sistema de Gestión del Riesgo Operacional, es un conjunto de

elementos tales como políticas, procedimientos, documentación,
estructura organizacional y responsabilidades, registro de eventos por
riesgo operativo, órganos de control, plataforma tecnológica, divulgación
de la información y capacitación, mediante los cuales la entidad identifica,
mide, controla y monitorea el Riesgo Operacional.
9.2. ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES.-
9.2.1. Estructura Organizacional.-
La administración de Riesgo Operacional involucra a todas las

unidades de la Institución, cada una de ellas con diversas funciones
y responsabilidades que permiten una adecuada gestión de los
riesgos operacionales.
El Fondo MIVIVIENDA S.A. ha definido la siguiente estructura

organizacional (ver gráfico Nº 1), para la gestión de riesgos
operacionales, así como las funciones y responsabilidades de cada
una de las unidades involucradas.
Gráfico Nº 1: Estructura Organizacional para la

Administración
Del Riesgo Operacional
Estructura Organizacional para la Gestión de Riesgo
Operacional
SBS
FONAFE Directorio Comités
Auditoria Externa
Gerencia
General
Gerencia de Riesgos
Gerencias y/u
Oficinas
Representantes de R.O de c/
u de las Gerencias y/u
Oficinas


OPERACIONAL
9.2.2. Roles y Responsabilidades.-
A. Directorio.-
a. Definir la política general para la gestión del riesgo

operacional.
b. Asignar los recursos necesarios para la adecuada gestión

del riesgo operacional, a fin de contar con la infraestructura,
metodología y personal apropiados.
c. Establecer un sistema de incentivos que fomente la

adecuada gestión del riesgo operacional y que no favorezca
la toma inapropiada de riesgos.
d. Aprobar el manual de gestión del riesgo operacional, el cual

incluye las políticas y la organización para la Gestión del
Riesgo Operacional, así como las modificaciones que se
realicen a los mismos.
e. Conocer los principales riesgos operacionales afrontados por

la entidad, estableciendo cuando ello sea posible,
adecuados niveles de tolerancia y apetito por el riesgo.
f. Establecer un sistema adecuado de delegación de

facultades y de segregación de funciones a través de toda la
organización.
g. Obtener el aseguramiento razonable, a fin de que la

empresa cuenta con una efectiva gestión del riesgo
operacional, y que los principales riesgos identificados se
encuentran bajo control dentro de los límites que se hayan
establecido.
B. Comité de Riesgos
El Comité de Riesgos, por delegación del Directorio y dentro de

los límites que este fije, deberá asumir las siguientes funciones:
a. Definir el nivel de tolerancia y el grado de exposición al

riesgo que la empresa está dispuesta a asumir en el
desarrollo del negocio.
b. Decidir las acciones necesarias para la implementación de

las acciones correctivas requeridas, en caso existan
desviaciones con respecto a los niveles de tolerancia al
riesgo y a los grados de exposición asumidos.


OPERACIONAL
c. Aprobar la toma de exposiciones que involucren variaciones

significativas en el perfil de riesgo de la empresa o de los
patrimonios administrados bajo responsabilidad de la
empresa.
d. Evaluar la suficiencia de capital de la empresa para enfrentar

sus riesgos y alertar de las posibles insuficiencias.
e. Proponer mejoras en la Gestión del Riesgo Operacional.
C. Gerencia General
a. La Gerencia General tiene la responsabilidad de

implementar la gestión del riesgo operacional conforme a las
disposiciones del Directorio.
b. Asignar los recursos necesarios para la adecuada gestión

del riesgo operacional, a fin de contar con la infraestructura,
metodología y personal apropiados.
D. Gerencias y/u Oficinas
a. Los gerentes y/o jefes de las unidades organizativas tienen

la responsabilidad de gestionar el riesgo operacional en su
ámbito de acción, dentro de las políticas, límites y
procedimientos establecidos.
b. Así mismo, fomentar la cultura de la administración del

riesgo operacional dentro de su ámbito de acción.
E. Gerencia de Riesgos
La Gerencia de Riesgos deberá cumplir con las siguientes

funciones:
a. Proponer políticas para la gestión del riesgo operacional.
b. Participar en el diseño y permanente actualización del

Manual de Gestión del Riesgo Operacional.
c. Desarrollar la metodología para la gestión del riesgo

operacional.
d. Apoyar y asistir a las demás unidades de la empresa para la

aplicación de la metodología de gestión del riesgo
operacional.


OPERACIONAL
e. Evaluación del riesgo operacional, de forma previa al

lanzamiento de nuevos productos y ante cambios
importantes en el ambiente operativo o informático.
f. Informar a la gerencia general y al comité de riesgos los

riesgos asociados a nuevos productos y a cambios
importantes en el ambiente de negocios, el ambiente
operativo o informático, de forma previa a su lanzamiento o
ejecución; así como de las medidas de tratamiento
propuestas o implementadas.
g. Consolidación y desarrollo de reportes e informes sobre la

gestión del riesgo operacional por proceso, o unidades de
negocio y apoyo.
h. Identificación de las necesidades de capacitación y difusión

para una adecuada gestión del riesgo operacional.
i. Administrar el registro de eventos de riesgo operacional.
j. Realizar el cálculo de requerimiento de capital por riesgo

operacional.
F. Representantes de Riesgo Operacional de las Gerencias y/o

Oficinas
a. Todas las Gerencias y/u Oficinas deberán nombrar sus

Representantes de Riesgo Operacional, los cuales son
responsables de la ocurrencia de incidencias cada vez que
se presenten. No obstante todo el personal del Fondo
MIVIVIENDA S.A., en virtud a una adecuada gestión del
riesgo operacional, podrá reportar directamente las
incidencias.
9.3. POLITICAS.-
Con el fin de asegurar el adecuado funcionamiento del Sistema de

Gestión del Riesgo Operacional, se han definido las siguientes políticas:
9.3.1. Del ambiente adecuado de la Gestión de Riesgos:
a. Establecer y fortalecer la estructura organizacional para llevar a

cabo la Gestión del Riesgo Operacional teniendo en cuenta los
roles y responsabilidades claramente establecidos, que permitan
mantener una adecuada gestión del riesgo operacional de la
Institución, así como la independencia entre las áreas de
negocio y la Unidad de Riesgos para evitar conflictos de
intereses.


OPERACIONAL
b. La responsabilidad inicial de la gestión del riesgo operacional

recae en las diferentes Gerencias y/u Oficinas de la
organización, como parte integral del desarrollo de sus
actividades de negocio, bajo un criterio de autocontrol, dado que
no es responsabilidad únicamente de la Gerencia de Riesgos.
c. Las políticas y procedimientos establecidos en el presente

manual deberán ser cumplidos por todas las unidades
involucradas de la organización y cada jefatura es responsable
de su cumplimiento dentro de su área de competencia.
d. Todo el personal de la Institución tiene la responsabilidad y

obligación de informar a la Gerencia de Riesgos, sobre los
riesgos operacionales o los probables eventos de pérdida que
podrían generarse.
e. La Gerencia de Riesgos deberá definir la forma y periocidad con

la que se deberá informar al Directorio, a la Gerencia General y
demás Gerencias y/u Oficinas, sobre la exposición del Riesgo
Operacional de la Institución y de cada una de las Gerencias y/u
Oficinas involucradas en los procesos críticos.
f. La Institución deberá contar con una base de datos de los

eventos por riesgo operacional.
g. La Gerencia de Riesgos debe de asegurarse que los riesgos

operacionales se traten como información confidencial de la
Institución. cualquier solicitud o entrega de información a
terceros debe ser aprobada por la Gerencia General.
h. El Fondo MIVIVIENDA S.A. deberá destinar patrimonio efectivo

para cubrir el riesgo operacional que enfrenta, el cual deberá ser
calculado por la Gerencia de Riesgos.
i. EI proceso de gestión del riesgo operacional, es un elemento del

Control Interno de la Institución.
9.3.2. Gestión del Riesgo Operacional:
a. Se deberá establecer un plan de trabajo que permita gestionar

los riesgos operacionales de la institución, dicho plan deberá ser
actualizado cada año.
b. Se deberán establecer los criterios necesarios para la

administración del riesgo operacional de la institución.
c. Para la identificación y evaluación de los riesgos operacionales,

se aplicará la metodología descrita en el presente manual.


OPERACIONAL
d. Se deberán desarrollar políticas, procesos y procedimientos

para controlar y mitigar el riesgo operacional identificado,
debiendo evaluar la viabilidad de estrategias alternativas de
control y limitación de los riesgos.
e. Para aquellos riesgos que se pueden controlar la Gerencia de

Riesgos recomendará Planes de Acción para contrastarlo
adecuadamente. Estos Planes de Acción de acuerdo a su
naturaleza y alcance, pueden ser implementadas por
recomendación, sin embargo, si el caso lo amerita, deberán ser
elevadas a consideración del Comité de Riesgos, para su
decisión en cuyo caso su aplicación será obligatoria.
9.3.3. Registro y Control de los Eventos por Riesgo Operacional:
a. Todo el personal del Fondo MIVIVIENDA S.A. es responsable

de detectar, registrar e informar, mediante la Bitacora de
Incidencias, todos los eventos de pérdida por Riesgo
Operacional mayores a S/. 1,000.00 (mil 00/100 Nuevos Soles),
dentro de cualquier proceso de la Institución, la pérdida está
constituida por un registro contable contabilizado en cuentas de
resultados, en rúbricas de gastos generales y/o cuentas
patrimoniales. Así mismo, debe de informar al Responsable de
Riesgo Operacional de su Gerencia y/u Oficina.
b. La Gerencia de Riesgos es responsable de realizar la

evaluación de riesgos operacionales, de acuerdo a la
metodología establecida.
c. La Gerencia de Riesgos debe de clasificar los eventos por

riesgo operacional en base al aspecto que lo origina y el tipo de
evento.
d. Para las pérdidas mayores a 6 UIT, se deberá abrir un

expediente físico o electrónico que contenga información
adicional que permita conocer el modo en que se produjo el
evento, características especiales y otra información relevante,
así como las acciones que hubiera tomado la Institución,
incluyendo entre otras, las mejoras o cambios requeridos en sus
políticas o procedimientos.
9.3.4. Requerimiento de Patrimonio Efectivo por Riesgo Operacional:
a. La Gerencia de Riesgos es la Responsable de realizar el

requerimiento de Patrimonio Efectivo por Riesgo Operacional.


OPERACIONAL
b. El método para realizar el cálculo del Requerimiento de

Patrimonio Efectivo por Riesgo Operacional, es el método
básico y/u otro que la Institución estime conveniente y sea
aprobado por la Superintendencia de Banca y Seguros (SBS).
c. El Especialista de Riesgo Operacional, es el responsable de la

elaboración y remisión vía SUCAVE, del Requerimiento de
Patrimonio Efectivo por Riesgo Operacional y es responsabilidad
del Supervisor de Riesgo Operacional la supervisión de dicha
acción(*).
(*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,
celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.
9.3.5. Gestión de la Continuidad del Negocio y de la Seguridad de la

Información:
a. El Sistema de Gestión de la Continuidad del Negocio, debe

tener como objetivo implementar respuestas efectivas, para que
la operatividad del negocio de la empresa continúe de una
manera razonable ante la ocurrencia de eventos que puedan
crear una interrupción o inestabilidad en las operaciones de la
empresa. Dicho sistema estará enmarcado en el Plan de
Continuidad del Negocio.
b. Asimismo, el Sistema de Gestión de la Seguridad de la

Información, debe tener como objetivo garantizar la integridad,
confidencialidad y disponibilidad de la información. Dicho
sistema estará enmarcado en la Política de Seguridad de la
Información y el Manual de Gestión de Seguridad de la
Información.
c. Tanto el Plan de Continuidad del Negocio, la Política de

Seguridad de la Información y el Plan de Seguridad de la
Información, deberán ser revisados periódicamente, como
mínimo una (1) vez al año, para asegurar que sean consistentes
con las operaciones y estrategias de la institución.
d. Se deberá asegurar que los principales proveedores de servicios

cuenten con un Plan de Continuidad
e. En las subcontrataciones significativas se deberá verificar que

se mantengan las características de seguridad de la información
de la entidad y asegurar que el procesamiento y la información,
se encuentre efectivamente aislada en todo momento.


OPERACIONAL
9.3.6. Aprobación de Nuevos Productos o cambios importantes en el

ambiente de negocios, operativo e informático.
a. Todo nuevo producto que requiera ser aprobado o todo cambio

importante en el ambiente de negocios, operativo o informático,
deberá pasar necesariamente por un proceso de Evaluación de
Riesgos.
b. Las Gerencias y/u Oficinas solo procederán a coordinar,

desarrollar, modificar o implementar nuevos productos o
cambios importantes en el ambiente de negocios, operativo o
informático si se cumple, entre otros, con lo establecido en el
párrafo anterior.
9.3.7. Determinación y Evaluación de Subcontratación Significativa

y/o Servicio Importante
a. La Gerencia de Riesgos deberá elaborar una metodología para

determinar si un servicio es considerado como una
subcontratación significativa o un servicio importante que genere
cambios en el ambiente de negocios, operativo e informático.
b. Las Gerencias y/u Oficinas, en coordinación con la Gerencia de

Riesgos, deberán evaluar dicho servicio en base a la
metodología propuesta por la Gerencia de Riesgos.
c. Para las subcontrataciones significativas, la Gerencia de

Riesgos deberá realizar una evaluación de riesgos, la cual
deberá ser puesto en conocimiento del Directorio, si este fuese
delegado para su aprobación.
d. Para los servicios importantes que generen cambios importantes

en el ambiente de negocios, operativo e informático la Gerencia
de Riesgos deberá realizar una evaluación de riesgos, la cual
deberá ser presentado a la Gerencia General y al Comité de
Riesgos.
e. A fin de asegurar una eficiente gestión de Riesgo Operacional

relacionado a las subcontrataciones significativas y/o servicios
importantes, se han determinado las responsabilidades, de
acuerdo al siguiente detalle:
 Es responsabilidad de la Gerencia de Administración, el
proceso de selección del proveedor del servicio y la gestión de
la elaboración del acuerdo de subcontratación.
 Es responsabilidad de las Gerencias y/u Oficinas, la gestión y
monitoreo de los riesgos asociados con el acuerdo de


OPERACIONAL
subcontratación, debiendo reportar incidentes a la bitácora de

Riesgo Operacional, a fin de asegurar un entorno de control
efectivo. Así mismo, se deberán asegurar que cuenten con
planes de continuidad, en el caso de principales proveedores
de servicios(*)
(*): Literal incorporado mediante Acuerdo de Directorio N° 01-01D-2015,
celebrado en la Sesión N° 01-2015 del 12 de enero del 2015.
9.3.8. Cumplimiento:
El no cumplimiento de las políticas establecidas en el presente

manual, así como la omisión del reporte de incidencias de pérdida por
Riesgo Operacional, son consideradas como falta y serán
sancionadas de acuerdo al Reglamento Interno de Trabajo (RIT).
9.4. METODOLOGIA
9.4.1. Marco General
Entendimiento de la organización / Establecer el Contexto:
En esta etapa inicial se deberá establecer el contexto mediante la

definición de los diferentes criterios para la gestión del riesgo
operacional.
Esta etapa involucra los siguientes aspectos:
- Definir los valores y matriz de frecuencia
Los valores de frecuencia han sido establecidos en base a cinco

niveles, dados por el número de eventos por riesgo operacional en
el periodo de un año, en el siguiente cuadro se muestran los
niveles establecidos:
Cuadro Nº 1: Valores de frecuencia

Nro. de Eventos
Niveles
en el año
1 0.5 veces
2 1 veces
3 4 veces
4 12 veces
5 24 veces
- Definir los valores y matriz de impacto
Los valores de impacto han sido establecidos en base a cinco

niveles.


MANUAL DE GESTIÓN DEL RIESGO Pág. N° 20 de
OPERACIONAL 65
El valor inicial de la matriz de impacto, estará dado por el 15% del

promedio de pérdidas por riesgo operacional de los últimos 5
años.
Los valores de los siguientes niveles serán determinados según la
distribución por nivel de exposición del riesgo del Mapa de Riesgo
Operacional FMV (Gráfico N° 2).
- Determinar el nivel de apetito al Riesgo del Fondo MIVIVIENDA

S.A.
Determinación del apetito en toda la organización

Recogemos los datos de valoración cuantitativa de riesgo
operacional:
a) Los datos acumulados en un periodo anual de los eventos de

pérdida por RO.
De las pérdidas registradas en la Bitácora de Riesgo
Operacional, se realizará la sumatoria de todas las pérdidas
registradas en un periodo anual, para dicho cálculo se tomara
en cuenta las pérdidas registradas en los últimos 5 años, luego
de calculado el total de pérdidas por periodo anual, se tomara
el valor máximo obtenido.
b) Las provisiones por contingencias legales.

De las provisiones registradas en las cuentas contables se
tomara el valor obtenido al cierre de cada año (diciembre) de
los últimos 5 años, para efectos del cálculo a realizar se
utilizara el valor más alto obtenido.
Se toma como supuesto que durante el periodo evaluado

todas las provisiones por contingencias legales se
materializan.
c) Estimación de las posibles pérdidas

Se estimaran las posibles pérdidas de las evaluaciones
cuantitativas de Riesgo Operacional por cada evento de
pérdida identificado.
Con los datos recopilados se establecerá, sumando los valores

totales de exposición, el nivel de apetito de riesgo operacional
para toda la organización en un periodo anual, el cual se
redondeará.
El apetito obtenido se deberá comparar con el promedio de las

utilidades del FMV de los últimos 5 años y con el promedio del
requerimiento de patrimonio efectivo por RO de los últimos 5
años.


OPERACIONAL
El apetito de toda la organización siempre deberá ser mayor al

apetito individual.
Determinación del apetito individual por riesgo operacional

La matriz de exposición de riesgo operacional vigente en la
metodología de RO expresa valores de exposición:
Gráfico Nº 2: Mapa de Riesgo Operacional FMV
5 V51 V52 V53 V54 V55

4 V41 V42 V43 V44 V45
3 V31 V32 V33 V34 V35
2 V21 V22 V23 V24 V25
1 V11 V12 V13 V14 V15
1 2 3 4 5
Por tanto, el apetito de riesgo operacional para cada riesgo

individual se establece en el valor más alto del nivel de exposición
moderado, debido a que este es el nivel de exposición máximo
aceptado por la institución.
- Determinar la Tolerancia al Riesgo del Fondo MIVIVIENDA S.A.:

El nivel de tolerancia de riesgo operacional en el FMV se
establece tomando en consideración el número de eventos por
riesgo operacional definido en la metodología de RO y siguiendo
la siguiente escala.
Cuadro Nº 2: Nivel de Tolerancia de Riesgo

Operacional
Número de eventos por Tolerancia a RO
año (expresado en % sobre el
apetito de RO)
0 a 10 Hasta 30%
11 a 15 Hasta 20%
16 a 20 Hasta 10%
21 a 25 Hasta 5%
Más de 25 Mismo nivel del apetito
Elaboración: Propia
- Seguimiento y calibración del modelo de estimación

Los parámetros de estimación, los niveles de exposición de la
matriz de RO, el seguimiento de los eventos de pérdida tanto a
nivel de número de eventos como del monto de pérdidas
acumuladas y la exposición por riesgo operacional así como
cualquier otro parámetro que se incluya en el modelo de


OPERACIONAL 65
estimación deberán ser calibrados de manera anual a efectos de

verificar su adecuada aplicación.
En caso se presenten cambios sustanciales en los valores de
estimación (mayores al máximo valor de la tolerancia por RO),
deberá determinarse un nuevo nivel de apetito de riesgo
operacional.
La siguiente calibración del modelo de estimación se realizará con

la información recopilada a diciembre del año 2014.
- Definir las categorías de riesgos/tipos de eventos. Los

eventos/riesgos se pueden agrupar de acuerdo con su naturaleza
en las siguientes categorías:
 Fraude Interno
 Fraude Externo
 Prácticas laborales y seguridad del ambiente de trabajo.
 Prácticas relacionadas con clientes, los productos y el
negocio.
 Daños a los activos físicos.
 Interrupción del negocio por fallas en la tecnología de
información.
 Deficiencias en la ejecución de procesos, en el procesamiento
de operaciones y en las relaciones con proveedores externos.
En el Anexo N° 5, se incluye una categorización de los tipos de

eventos de pérdida aplicable, donde se detalla los niveles 1, 2 y
actividades ejemplo (nivel 3).
- Definir los factores de riesgo.
Los factores de riesgo se seleccionan de acuerdo con su

naturaleza en el contexto de la Institución. La codificación según
el artículo 4º de la Resolución SBS Nº 2116-2009 establece como
factores de riesgo:
 Personal
 Procesos Internos
 Tecnología de Información
 Eventos Externos
- Definir los criterios para el tratamiento/mitigación de riesgos

operacionales. Una vez realizadas las pruebas a controles y
desarrollado el mapa de riesgos residuales, los criterios para
tomar decisiones sobre los riesgos serán:


OPERACIONAL 65
 Para los riesgos calificados como críticos y altos, estos serán

incluidos dentro de los planes de mitigación, y
 Para los riesgos calificados como moderados y bajos, estos
serán monitoreados.
- Definir los criterios para la evaluación de controles. Una vez

desarrollado el mapa de riesgos residuales e identificados los
controles que mitigan cada uno de los riesgos, es necesario definir
el alcance de las pruebas de controles. En los casos en que no
sea posible evaluar todos los controles con el objeto de optimizar
los recursos, es necesario definir los criterios con los cuales serán
seleccionados los controles a evaluar. Estos criterios serán:
-
 La selección de controles que mitiguen riesgos calificados
como “Críticos” y “Altos”
 La selección de controles que mitiguen más de un riesgo
 La selección de otros controles, que a criterio del evaluador o
dueño de proceso deben ser considerados en el proceso de
administración de riesgos.
- Categorizar los procedimientos de acuerdo a su nivel de

importancia en la operatividad de la Entidad, basado en las
siguientes actividades:
1) Se deberá identificar claramente los procesos, sub-procesos y

procedimientos de las unidades organizacionales.
2) Identificados los procedimientos se procederá a categorizarlos

de acuerdo a su nivel de importancia, para ello los analistas de
riesgo operacional coordinarán una reunión con el responsable
de los procedimientos con la finalidad de realizar un análisis
cualitativo del nivel de importancia de los procedimientos.
3) El responsable de los procedimientos con la guía del analista

de riesgo operacional asignará una calificación a cada criterio
de evaluación. Los criterios establecidos para el análisis del
nivel de importancia de los procedimientos se muestran en el
cuadro Nº 1:


OPERACIONAL 65
Cuadro Nº 3: Criterios para categorizar los procedimientos de

acuerdo a su nivel de importancia.
CODIFICACIÓN CRITERIOS DE EVALUACIÓN DESCRIPCIÓN CALIFICACIÓN PESO(%) CRITERIOS DE CALIFICACIÓN
Nada relacionado con el cumplimiento
1 de la misión
Poco relacionado con el cumplimiento de
Los Procedimientos Institucionales
2 la misión
orientados al cumplimiento de la misión
Medianamente relacionado con el
C1 Misión del FMV, según lo descrito en la ley 24%
3 cumplimiento de la misión
organica y reglamento de organización y
Altamente relacionado con el
funciones
Muy altamente relacionado con el
Alineado a 1 o ningún objetivo
Los procesos, subprocesos y 1 estratégicos
procedimientos orientados a dar 2 Alineado a 2 objetivos estratégicos
C2 Objetivos Estratégicos cumplimiento de los objetivos 21%
3 Alineado a 3 objetivos estratégicos
estrategicos establecidos por la Alta
Dirección del FMV
Sanciones o multas por incumplimiento
1 sin impacto significativo
Los procesos, subprocesos y
procedimientos cuya ejecución esta
2 sin impacto significativo
sujeta al cumplimiento del reglamento,
Sanciones o multas por incumplimiento:
C3 Normativa y Plazos normativa y procedimientos 9%
3 bajo advertencia
administrativos emitidos por la
Superintendencia de banca y Seguros
4 menores a 20 UIT
(SBS) y/o otro ente regulador
5 mayores a 20 UIT
Perdidas comprendidas entre 0 y 1'000
1 nuevos soles
Perdidas comprendidas entre 1'001 y
Los procesos, subprocesos y 2 10'000 nuevos soles
procedimientos que presentan el riesgo Perdidas comprendidas entre 10'001 y
C4 Impacto Económico 30%
potencial de generar perdidas 3 100'000 nuevos soles
económicas a la institución Perdidas comprendidas entre 100'001 y
4 un millon de nuevos soles
Perdidas mayores a un millón de nuevos
5 soles
1 Sin impacto en los desembolsos del mes
2 Menor al 1% de desembolsos del mes
Los procesos, subprocesos y
Impacto en la Imagen procedimientos orientados a la atención Mayor al 1% y menor al 5% de
C5 3 15% desembolsos del mes
Institucional de personas y/o empresas y que
exponen la imagen de la institución Mayor al 5% y menor a 10% de
4 desembolsos del mes
5 Mayor al 10% de desembolsos del mes
4) Una vez obtenida la calificación de cada criterio de evaluación

se procede a calcular la sumatoria lineal ponderada de los
productos entre el puntaje asignado a cada criterio y la
ponderación que le corresponde (el factor de ponderación de
cada criterio está en relación con el grado de importancia del
criterio en la ejecución del procedimiento para el logro de la
visión de la Entidad). Para hallar la sumatoria lineal ponderada
se aplica la siguiente expresión:
5 5
N = ∑ ∑ (CCi *Wj)
i=1 j=1


OPERACIONAL 65
Donde:
- N: Nivel de importancia del procedimiento en la operatividad

de Entidad.
- CCi: Calificación asignada al criterio de evaluación.
- Wj: Ponderación o peso que le corresponde al criterio de
evaluación.
5) El nivel de importancia del procedimiento se obtiene al ubicar

el valor “N” de la sumatoria lineal ponderada en el intervalo de
clasificación de nivel de importancia(alto, medio y bajo)al cual
pertenece, de acuerdo al cuadro Nº 2:
Cuadro Nº 4: Intervalo de clasificación del nivel de

Importancia de los Procedimiento.
Nivel de importancia
Bajo 1-2.16
Medio 2.17-3.33
Alto 3.34-5
La Gestión de Riesgo Operacional del Fondo MIVIVIENDA S.A.

consta de seis etapas:
A. Identificación de los Riesgos Operaciones.
B. Análisis de los Riesgos Operacionales.
C. Evaluación de los Riesgos Operacionales
D. Tratamiento/Mitigación de los Riesgos Operacionales.
E. Monitorear y Revisar.
F. Comunicar y Consultar.
Estas etapas son de vital importancia para desarrollar con éxito la

gestión del riesgo operacional. Se cuenta con la participación de las
personas que ejecutan los procesos, para lograr que las acciones de
control alcancen los niveles esperados. En el Anexo N° 1, se presenta
gráficamente la metodología para la gestión del Riesgo Operacional.
A. Identificación de los Riesgos Operacionales:

En esta etapa se identifican los eventos por riesgo operacional en
cada uno de los procesos y procedimientos. Debe entonces
responderse a las preguntas sobre:
- ¿qué puede suceder?,


OPERACIONAL 65
- ¿dónde?,
- ¿cuándo?,
- ¿cómo? y
- ¿por qué?
La identificación del riesgo, deberá ser permanente e interactiva y

debe estar basada en el análisis de los objetivos estratégicos de la
entidad para la obtención de resultados.
- Lograr un conocimiento del proceso a evaluar, identificando como

mínimo los siguientes aspectos:
 Objetivo del proceso o procedimiento.

 Diagrama de proceso o procedimiento.
 Entradas y Salidas.
 Comienzo del proceso o procedimiento y fin del proceso o
procedimiento.
 Factores críticos de éxito
 Indicadores de desempeño
 Sistemas de Información que soportan el proceso o
procedimiento.
 Recursos Humanos involucrados en el proceso o
procedimiento.
 Documentación relacionada
Se documenta el conocimiento del proceso o procedimiento en

formatos de caracterización de procesos. Anexo Nº 6 (Formato
para documentar la caracterización de los procesos).
- Identificar los problemas (eventos/riesgos) que pueden afectar el

cumplimiento del objetivo del proceso.
- Determinar los factores que originan los eventos por riesgo

operacional y clasificar los eventos/riesgos de acuerdo con las
categorías establecidas en el Anexo N° 5 del presente documento.
B. Análisis de los Riesgos Operacionales:
Esta etapa considera las fuentes de riesgos, sus consecuencias y las

probabilidades de ocurrencia de las mismas. Se analiza el riesgo
combinando las estimaciones de las probabilidades de ocurrencia
(frecuencia) y de las consecuencias (impacto), en el contexto de las
medidas de control existentes.


OPERACIONAL 65
Permitirá conocer el nivel de riesgos inherente al cual está expuesta

la Institución, evaluar la solidez de los controles (grado en que mitigan
los riesgos) y establecer el nivel de riesgo residual al cual está
expuesta la Institución.
- Determinar los riesgos brutos, mediante la valoración de los

riesgos inherentes a los procesos, sin tener en cuenta el diseño y
la eficiencia operativa de los controles existentes. Esta actividad
consiste en:
 Calificar los riesgos con base a los criterios establecidos para

la evaluación de riesgos (en términos de probabilidad de
ocurrencia del riesgo y nivel de impacto).
 Desarrollar el mapa de riesgos brutos.
- Determinar y evaluar los controles inherentes a los procesos,

valorando la efectividad del diseño de los controles. Esta actividad
consiste en:
 Identificar los controles propios de los procesos.
 Determinar las características de los controles, las que se

muestran en el siguiente cuadro.
Cuadro N° 5: Características de los controles

Frecuencia Tipo Implementación
Continua Preventivo Automático
Periódica Detectivo Semiautomático
Ocasional Ocasional Manual
 A continuación se detallan los tipos de control y la frecuencia:


OPERACIONAL 65
Cuadro N° 6: Tipos de control

TIPO DE CONTROL
Son controles orientados a prevenir las causas del riesgo en una

etapa muy temprana, ayudan a prevenir una pérdida.
Preventivo Feed-back
No
Entrada ? Proceso
Salida
Punto de Control
Orientados a detectar actos indeseables. El punto de control se ubica

dentro del proceso y las adecuaciones se enfocan a detectar y
compensar los errores o desviaciones antes de que se elabore el
resultado.
Detectivo
Adecuación
No
Entrada Proceso ? Salida

Punto de Control
Son controles orientados a corregir las causas que originan el riesgo.

El punto de control se ubica al final del flujo del proceso y las
adecuaciones se enfocan a corregir los errores sobre el resultado
obtenido.
Correctivo
Adecuación
No
Entrada Proceso ?
Salida
Punto de Control
Cuadro N° 7: Frecuencia de los controles

FRECUENCIA
Continua Cada vez que se le solicita como parte del flujo normal del proceso.
Se repite con frecuencia a intervalos determinados (mensual,
Periódica
trimestral, etc)
Cada vez que se le solicita fuera del flujo normal de recorrido del
Ocasional
proceso.
 Identificadas las características de los controles, se obtiene un

valor numérico que representa la efectividad del diseño del
control que se ubica en un intervalo que establece los límites
entre los niveles efectividad del control. A continuación se
presenta el intervalo predefinido:


OPERACIONAL 65
Cuadro N° 8: Intervalo de efectividad del control

Efectividad del control
Límite Límite
Descripción
inferior superior
Los controles son adecuados, dado que son efectivos en
Fuerte 0.10 0.16
la mitigación del riesgo residual.
Lo controles son adecuados, dado que su factor de
Moderado 0.16 0.55 reducción mitiga la frecuencia y/o impacto del riesgo
bruto, pero presentan debilidades pertinente a revisar.
Los controles no son adecuados y necesitan
Débil 0.55 1.00
rediseñarse.
 Con el nivel de efectividad y características de los controles,

se obtiene la valoración del factor de reducción del riesgo
inherente, el cual se multiplica acorde a su foco con la
frecuencia e impacto del riesgo bruto para obtener así la
exposición al riesgo residual (Ver Anexo N° 2).
- Determinar el perfil de riesgos residuales. Esta actividad consiste

en:
 Calificar los riesgos residuales teniendo en cuenta la

calificación final dada a los controles.
 Desarrollar la matriz de riesgos residuales y determinar el nivel

de exposición, como se muestra en el Anexo Nº 2:
- Elaborar una lista de los riesgos identificados ordenándolos de

mayor a menor según la calificación del riesgo residual obtenida.
C. Evaluación de los Riesgos Operacionales
En esta etapa se compara la calificación del riesgo residual contra los

niveles de tolerancia admisibles por la Institución, con el fin de tomar
acciones posteriores, optando por Aceptar o dar Tratamiento al
Riesgo.
El producto de una evaluación de riesgo es una lista de riesgos con
prioridades para una acción posterior.
D. Tratamiento / Mitigación de Riesgos Operacionales:
En esta etapa se identifican las opciones para mitigar/tratar los

riesgos, realizar la evaluación de dichas opciones, preparar los planes
de mitigación de riesgos y su implementación. Sin embargo, la
Institución puede decidir aceptar el riesgo sin tomar acciones
adicionales.


OPERACIONAL 65
Esta etapa involucra las siguientes actividades:
- Identificar las opciones para el tratamiento de riesgos. Las

opciones, que no son necesariamente excluyentes y apropiadas
en todas las circunstancias, incluyen lo siguiente:
 Aceptar el Riesgo.- Cuando se encuentra en un nivel que

puede ser aceptado por la Institución, sin necesidad de tomar
otras medidas de control diferentes a las que poseen.
 Evitar el Riesgo.- Se evita el riesgo si se decide no proceder

con la actividad que probablemente generaría el riesgo
(cuando esto es practicable).
 Reducir el Riesgo, Reducir o controlar la probabilidad de la

ocurrencia, Reducir o controlar las consecuencias
 Transferir los riesgos.- Esto involucra que otra parte soporte o

comparta parte del riesgo. Los mecanismos incluyen el uso de
contratos arreglos de seguros y estructuras organizacionales
tales como sociedades. La transferencia de un riesgo a otras
partes, o la transferencia física a otros lugares, reducirá el
riesgo para la Institución original, pero puede no disminuir el
nivel general del riesgo para la sociedad.
A continuación, en el gráfico Nº 3, se muestran las opciones para la

mitigación de riesgos, de acuerdo al nivel de exposición.
Gráfico Nº 3: Matriz de Riesgo Residual.
REDUCIR EVITAR
Frecuencia
ACEPTAR TRANSFERIR
Impacto
- Las opciones de transferir o reducir el riesgo deberá evaluarse

para cada caso particular, pero en general podría considerar las
siguientes opciones:
 Trasferir.- Para aquellos riesgos que presenten una frecuencia

moderada, baja y/o muy baja y un impacto importante, mayor
y/o superior.


OPERACIONAL
 Reducir.- Para aquellos riegos cuya frecuencia sea importante,

mayor y/o superior y el impacto sea moderada, baja y/o muy
baja.
- Evaluar las opciones de mitigación de riesgos.- Las opciones son

evaluadas sobre la base del alcance de la reducción del riesgo, y
el alcance de cualquier beneficio u oportunidad adicional creadas.
Se consideran y aplican una cantidad de opciones ya sea
individualmente o combinadas.
La selección de la opción más apropiada involucra balancear el

costo de implementar cada opción contra los beneficios derivados
de la misma. En general, el costo de administrar los riesgos es
conmensurado con los beneficios obtenidos, como se muestra en
el gráfico Nº 4:
Gráfico Nº 4: Evaluación del Nivel de Riesgo vs. Costo de reducir el

riesgo.
- Evaluar la efectividad de los planes de tratamiento, luego de

implementados los diferentes planes de tratamiento para la
mitigación de los riesgos identificados, según sea el caso, se
deberá evaluar tomando en cuenta primero si el control existe y si
esta implementado formalmente, si es apropiado y si existen
debilidades en los procedimientos para su aplicación.


OPERACIONAL 65
E. Monitorear y Revisar:
En esta etapa se monitorean los riesgos, la efectividad del plan de

tratamiento de los riesgos, las estrategias y el sistema de
administración que se establece para controlar la implementación del
plan.
Los riesgos y la efectividad de las medidas de control necesitan ser

monitoreadas para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos, ya que pocos riesgos
permanecen estáticos.
- Definir los indicadores de riesgos necesarios para monitorear el

nivel de exposición de la Institución.
- Definir los reportes necesarios para realizar el monitoreo de

riesgos, incluyendo la frecuencia de su generación y los
responsables de elaborarlos.
- Analizar los reportes con el fin de monitorear el nivel de

exposición de la Institución (analizar variación de resultados de
indicadores y evaluar la efectividad de los planes de mitigación).
- Realizar seguimiento a los planes de tratamiento/mitigación

definidos, con el fin de verificar su implementación. Para realizar
este seguimiento, es necesario definir cuáles serán las
responsabilidades de cada uno de los participantes en la
administración de riesgos, las cuales pueden ser:
 Dueños de proceso: Evaluación de controles y verificación de

implementación de los planes de acción a través del proceso
de autoevaluación.
 Unidad de riesgo: Preparar un plan de seguimiento que influya

las actividades más relevantes a las cuales debe realizarle el
seguimiento.
 Auditoría Interna: Incluye el seguimiento dentro de los

programas de auditoría, según las necesidades de la
Institución.
- Modificar y/o actualizar los planes de mitigación en los casos que

se requiera. Si luego del tratamiento hay un riesgo residual, la
Institución tomará la decisión de retener este riesgo o repetir el
proceso de tratamiento/mitigación.


OPERACIONAL 65
F. Comunicar y Consultar:
En esta etapa se mantiene informado al Directorio y/o Comité de

Riesgos y/o Gerencias y/o Oficinas sobre la exposición al riesgo al
que se enfrenta la Institución.
- Definir los reportes a remitir al Directorio y/o Comité de Riesgos

y/o Gerencias y/o Oficinas con el objetivo de informar acerca de
los resultados de la administración de riesgos. Los reportes
emitidos por la Gerencia de Riesgos, se pueden apreciar en el
cuadro Nº 7.
Cuadro Nº 9: Informes y Reportes emitidos de Riesgo

Operacional
DIRIGIDO A: TIPO DE REPORTE PERIOCIDAD
Reporte mensual de Riesgo

Directorio Mensual
Operativo de la Institución
Gerencia Reporte mensual de Riesgo
Mensual
General Operativo de la Institución
Reporte de Riesgo
Gerencias y/u
Operacional de cada una de Mensual
Oficinas
las Gerencias y/u Oficinas
Para el registro de eventos por Riesgo Operacional, se deberán

realizar las siguientes actividades:
- Todo el personal del Fondo MIVIVIENDA S.A. deberá identificar,

registrar e informar directamente o por intermedio del
representante de Riesgo Operacional de cada una de las
Gerencias y/u Oficinas, los eventos por Riesgo Operacional,
mediante el envío de un correo a: bitacora@mivivienda.com.pe.
En el anexo Nº 5, se muestran los campos mínimos de
información referida al evento y las pérdidas asociadas a este.
- La Gerencia de Riesgos después de determinar el tipo de evento

(por perdida financiera o por lucro cesante) la Gerencia de
Riesgos debe clasificar los eventos por riesgo operacional en
base a la causa que lo origina y al tipo de evento, de acuerdo a la
clasificación realizada en el anexo Nº 3.


OPERACIONAL 65
- La Gerencia de Riesgos, procederá a realizar la evaluación de

riesgo del evento de acuerdo a la metodología descrita para la
administración del riesgo operacional.
- Si las pérdidas son mayores a 6 UIT, la Gerencia de Riesgos

deberá abrir un expediente físico o electrónico que contenga
información adicional que permita conocer el modo en que se
produjo el evento, características especiales y otra información
relevante, así como las acciones que hubiera tomado la
Institución, incluyendo entre otras las mejoras o cambios
requeridos en sus políticas o procedimientos.
- Además la Gerencia de Riesgos es responsable de verificar el

registro de los montos de perdida en las cuentas contables.
- El método para calcular el requerimiento patrimonial por riesgo

operacional se basa en la Resolución SBS Nº 2115-2009
Reglamento para el Patrimonio Efectivo por Riesgo Operacional.
- En el anexo Nº 6 se adjunta el método utilizado por la Institución

para realizar el cálculo del requerimiento patrimonial por riesgo
operacional.
9.4.5. Gestión de la Continuidad del Negocio y de la Seguridad de la

Información:
La metodología para la Gestión de la Continuidad del Negocio está

basada en los lineamientos descritos en el Plan de Continuidad del
Negocio vigente del Fondo MIVIVIENDA S.A.
Asimismo, la metodología para la Gestión de la Seguridad de la

Información, debe tener como objetivo garantizar la integridad,
confidencialidad y disponibilidad de la información. Está enmarcado
en los lineamientos dados en la Política de Seguridad de la
Información y el Manual de Gestión de Seguridad de la Información.
Se deberá asegurar que los principales proveedores de servicios

cuenten con un Plan de Continuidad, además de verificar que se
mantengan las características de seguridad de la información de las
subcontrataciones significativas y asegurar que el procesamiento y la
información, se encuentre efectivamente aislada en todo momento.
Para asegurar la implementación de lo expuesto en el párrafo

anterior, se deberá realizar una de las siguientes actividades:


OPERACIONAL 65
1. Incluir una cláusula en el contrato de servicio, requiriendo el

cumplimiento de lo antes señalado.
2. De no poder incluir la cláusula se deberá requerir a las empresas
una Declaración Jurada que deje constancia del cumplimiento de
lo solicitado.
3. En caso no se pueda implementar los puntos 1 y 2 se deberá
comunicar a la SBS para su conocimiento.
9.4.6. Aprobación de nuevos productos o cambios importantes en el

ambiente de negocios, operativo o informático:
Para todo nuevo producto que requiera ser aprobado o presente

cambios importantes en el ambiente de negocio, operativo o
informático, deberán contar con una Evaluación de Riesgos, para lo
cual se deberán realizar las siguientes actividades:
 Evaluación del riesgo operacional, de acuerdo a la metodología

descrita en el presente manual.
 Una vez realizada la evaluación, la Gerencia de Riesgos emite su
informe con las recomendaciones y planes de acción de los riesgos
que deben ser mitigados.
 El informe emitido deberá ser presentado a la gerencia general y al
Comité de Riesgos.
Los informes deberán contener por lo menos la siguiente información:
 En el caso de los nuevos productos se deberá incluir según sea el

caso, lo siguiente:
a) Descripción del producto

b) Proceso operativo asociado
c) Canales y mercado objetivo
Para el caso de los cambios importantes en el ambiente de

negocio, operativo o informático, se deberá incluir una breve
descripción del cambio, indicando el objetivo que se busca
alcanzar.
 Además deberá contener la descripción de los riesgos
identificados como consecuencia del lanzamiento del nuevo
producto o por los cambios en el ambiente de negocios, operativo
o informático. Así mismo se incluirá claramente los tipos de
riesgos asociados.
 También se deberá incluir los resultados de la evaluación
realizada y medidas de tratamiento implementadas o propuestas
a fin de gestionar el riesgo.


OPERACIONAL 65
Los informes emitidos después de ser presentados al comité de

riesgos, deberán ser enviados a la SBS dentro de los diez (10) días
hábiles, además se deberá incluir, de ser posible, los acuerdos
tomados en el Comité de Riesgos.
No se realizara él envió de los informes que sean requeridos como

parte de un proceso de autorización.
Los cambios considerados como importantes son:
a) Cambios en la forma en la que se conducen los negocios y

operaciones, originados por modificaciones en las condiciones
económicas, políticas o legales.
b) Subcontrataciones significativas.
c) Alianzas, contratos asociativos, participación en negocios
conjuntos.
d) Reorganizaciones empresariales.
e) Proyectos cuya falla pueda generar pérdidas significativas.
f) Implementación de un nuevo canal de atención: Cajeros
Automáticos, Internet, Telefonía móvil, Cajeros corresponsales,
entre otros. En este caso, se considerará como cambio
importante la implementación por primera vez del nuevo canal de
atención y/o modificaciones importantes a su funcionamiento.
g) Cambio de la infraestructura tecnológica que soporta los
principales productos y/o servicios de la empresa.
h) Traslado de la oficina principal de la empresa.
i) Estructuración de Fideicomisos.
j) Servicios importantes, que generen cambio importante en el
ambiente de negocios, operativo e informático.
9.4.7. Determinación y Evaluación de una Subcontratación Significativa

y/o Servicio Importante
Para determinar si se trata de una subcontratación significativa o un

servicio importante las Gerencias y/u Oficinas, en coordinación con la
Gerencia de Riesgos, realizaran lo siguiente:
1. Se deberá evaluar si el servicio es considerado un servicio o una

subcontratación, para determinar esto se evaluara si este puede
ser realizado por la empresa mediante la identificación de
funciones en el MOF.
2. Para determinar si una subcontratación es significativa, se deberá

realizar una evaluación tomando en cuenta los siguientes aspectos:
a) Relación con el cumplimiento de la misión y alineamiento

con los objetivos estratégicos.
b) Impacto en los ingresos.


OPERACIONAL 65
c) Impacto económico que afecte la solvencia.

d) Impacto en la Continuidad Operativa.
e) Impacto en la imagen Institucional.
3. Para determinar si un servicio es importante se deberá realizar una

evaluación tomando en cuenta los siguientes aspectos:
a) Impacto económico que afecte la solvencia o a los ingresos.

b) Impacto en la Continuidad Operativa.
4. Para determinar si el servicio importante genera cambios

importantes en el ambiente de negocios, operativo o informático,
las Gerencias y/u Oficinas, en coordinación con la Gerencia de
Riesgos, deberán evaluar la importancia del cambio en los
siguientes ambientes:
c) Ambiente de negocios
d) Operativo
e) Informático
9.4.8. Subcontratación Significativa:
Las Gerencias y/o oficinas, en coordinación con la Gerencia de

Riesgos deberán evaluar si el servicio solicitado se clasifica como una
subcontratación significativa.
Si no se trata de una subcontratación significativa, las gerencias y/o

Oficinas seguirán con sus procedimientos establecidos.
Si se trata de una subcontratación significativa, las Gerencias y/o

Oficinas deberán informar a la Gerencia de Riesgo, una vez aprobado
el Plan Anual de Adquisiciones presentado al iniciar el año o en
cualquier modificación que sufra, para que esta realice una evaluación
de los riesgos a los cuales puede estar expuesta dicha
subcontratación significativa.
La Gerencia de Riesgos debe realizar una evaluación de riesgos

integral de la subcontratación significativa y elaborar informe de la
evaluación que debe ser elevado al Directorio para su aprobación.
Una vez que el Directorio apruebe el informe de riesgos este será

informado a la Gerencias y/o Oficinas a fin de que tomen acción, si
esto fuese necesario.


OPERACIONAL 65
9.5. REPORTES.-
La Gerencia de Riesgos, elaborara los siguientes reportes:
Cuadro Nº 10: Informes y Reportes por tipo de proceso

PROCESO DIRIGIDO A: NOMBRE DEL REPORTE PERIOCIDAD
SBS IGROP Anual
Gestión del Riesgo Reporte mensual de Riesgo

Directorio Mensual
Operacional Operativo de la Institución
Gerencia Reporte mensual de Riesgo
Mensual
General Operativo de la Institución
Informe de Evaluación de
Gerencias /
Riesgos de nuevos
Oficinas /
productos o cambios
Directorio A Solicitud
importantes en el ambiente
Aprobación de nuevos Comité de
de negocios, operativo o
productos o cambios Riesgos
informático
importantes en el
Informe de Evaluación de Dentro de los
ambiente de negocios,
Riesgos de nuevos diez (10) días
operativo o informático:
productos o cambios hábiles luego de
SBS
importantes en el ambiente ser presentado al
de negocios, operativo o Comité de
informático Riesgos
Informe de Evaluación de
Eventos por Riesgo Gerencia
Riesgos de los Eventos por De acuerdo a
Operacional: General / Comité
Riesgo Operacional Evento
de Riesgos
Cálculo del SBS Reportes 2-C1 Mensual

Requerimiento de
Patrimonio Efectivo por
Riesgo Operacional: Directorio /
Comité de Reporte 2D Mensual
Riesgos
Gestión de la Continuidad Informe de Pruebas del

Directorio / Anual
del Negocio y de la Plan de Continuidad
Comité de
Seguridad de la
Riesgos
Información: Planes de Acción Mensual
Gerencia /
Oficinas / Informe de Evaluación de
Directorio / Subcontratación A Solicitud
Comité de Significativa
Subcontratación Riesgos
Significativa: Informe de Evaluación de Dentro de los
Riesgos de nuevos diez (10) días
productos o cambios hábiles luego de
SBS
importantes en el ambiente ser presentado al
de negocios, operativo o Comité de
informático Riesgos


OPERACIONAL 65
9.6. PROCEDIMIENTOS.-
9.6.1.1 Secuencia de Operaciones:
N° Responsables Descripción de Actividades

Identificación de los Riesgos Operacionales
1.1 Recabar información del proceso o procesos de la
Gerencia y/o Oficina a analizar.
Gerencia de 1.2 Identificar el proceso y subprocesos a analizar y sus
1 respectivos procedimientos.
Riesgos
1.3 Comunicar a las Oficinas y/o Gerencias acerca de la
identificación y evaluación de riesgos operacionales a
realizar a sus procedimientos para coordinar las
entrevistas con los responsables de los procedimientos.
2.1 Tomar conocimiento de la evaluación cualitativa de riesgos
Gerencias y/o
2 operacionales a realizarse en su área, evaluación a cargo
Oficinas
de la Gerencia de Riesgos.
3.1 Coordinar el desarrollo de los talleres con el o los

Gerencia de responsables del proceso y de los procedimientos para el
3
Riesgos levantamiento de la información que permita la
identificación y evaluación de riesgos operacionales.
4.1 Fijar la fecha de los talleres con el Analista de Riesgos

Gerencias y/o Operacionales para el levantamiento de la información
4
Oficinas que permita la identificación y evaluación de los riesgos
operacionales.
5.1 Realizar el taller con el responsable del procedimiento y/o
procedimientos y solicitar la siguiente información:
5.1.1 Objetivos del Procedimiento.
5.1.2 Diagrama de Flujo del Procedimiento.
5.1.3 Entradas y Salidas.
5.1.4 Comienzo del Procedimiento y Fin del
Gerencia de
5 Procedimiento.
Riesgos
5.1.5 Factores Críticos de Éxito.
5.1.6 Indicadores de Desempeño.
5.1.7 Sistemas de información que soportan el
procedimiento.
5.1.8 Recursos Humanos involucrados en el
procedimiento.


OPERACIONAL 65

6.1 El colaborador a cargo de la ejecución de las actividades
que comprenden el procedimiento, identifica con la guía
del Analista de Riesgos Operacionales las entradas,
salidas, los eventos por riesgo operacional surgidos en la
Gerencias y/o ejecución de las actividades y los riesgos operacionales
6 producto de la ocurrencia de los eventos.
Oficinas
6.2 Determinar con la guía del Analista de Riesgos
Operacionales, la frecuencia de ocurrencia de los eventos
por riesgo operacional y el nivel de impacto de los riesgos
operacionales.
7.1 Completar la información de la ficha de caracterización de
procedimientos con la información del Ítem 1.3.
7.2 Clasificar los eventos por riesgo operacional del
procedimiento identificados con los colaboradores, de
acuerdo a las categorías propuestas por Basilea.
7.3 Elaborar el Diagrama de Flujo del procedimiento y/o
procedimientos en estudio en caso no hayan sido
diagramados.
7.3.1 Identificar y analizar los puntos de mejora del
procedimiento.
7.3.2 Identificar en el diagrama de flujo las actividades
que generan los eventos por riesgo operacional.
Análisis y Evaluación de los Riesgos Operacionales

7.4 Evaluar los Riesgos Brutos en términos de probabilidad
de ocurrencia y de nivel de impacto del Riesgo.
Gerencia de 7.5 Elaborar la matriz bruta para determinar el nivel de
7
Riesgos exposición del riesgo operacional identificado.
7.6 Determinar los controles existentes que mitigan los
riesgos identificados.
7.7 Calificar los tipos de controles según su efectividad y
ejecución.
7.8 Identificar los riesgos residuales después de haber sido
evaluados con sus respectivos controles.
7.9 Elaborar la matriz residual para determinar el nivel de
exposición de los riesgos residuales.
7.10 Elaborar un cuadro de los riesgos identificados de
acuerdo a su nivel de exposición.
7.11 Plantear el criterio de aceptación de riesgos optando por
Aceptar o dar Tratamiento al Riesgo.


OPERACIONAL

Tratamiento/ Mitigación de los Riesgos Operacionales
7.12 Identificar las opciones para la mitigación de los riesgos.

7.13 Coordinar con el responsable de los procedimientos la
elaboración de planes de mitigación, en caso que el nivel
de exposición de riesgos sea crítico o alto.
7.14 Establecer planes de mitigación con el responsable de los
procedimientos.
8.1 Elaborar los planes de mitigación con la guía del Analista
de Riesgos Operacionales:
Gerencias y/o
8 8.1.1 Determinar los indicadores de riesgo.
Oficinas
8.1.2 Establece la fecha de implementación.
8.1.3 Determinar el colaborador que estará a cargo de la
implementación de los planes de mitigación.
Categorización de los procedimientos de acuerdo a su nivel
de importancia en la operatividad de la Entidad.
9.1 Guía al responsable del procedimiento en la asignación

de calificación de los criterios de evaluación.
9.2 Asigna calificación a cada criterio de evaluación del
formato de criterios para categorización de los
procedimientos.
9.3 Determinar la categorización de los procedimientos de
acuerdo a su nivel de importancia teniendo en cuenta el
formato de categorización de los procedimientos.
9.3.1 Ponderar los criterios de categorización
Gerencia de multiplicando la calificación que el responsable
9
Riesgos del procedimiento le asignó a cada criterio con el
peso asignado al criterio conforme a su nivel de
importancia (nivel que se basa en el impacto que
puede producir el procedimiento en la Entidad).
9.3.2 Obtener el promedio de las ponderaciones de
los criterios de categorización, concluyendo si el
procedimiento analizado se encuentra
categorizado en un nivel de importancia alto,
medio o bajo.
Comunicar y Consultar
9.4 Elaborar informe de evaluación cualitativa de los riesgos
operacionales.


OPERACIONAL 65

9.5 Remitir informe de evaluación cualitativa de riesgos
operacionales a la Gerencia y/o Oficina en la que se llevó
a cabo el análisis.
9.6 Remitir copia del informe de evaluación cualitativa de
riesgos operacionales a la Gerencia General para
conocimiento.
Gerencia de Monitoreo y Revisión de los Riesgos Operacionales

9
Riesgos 9.7 Verificar la implementación de los planes de mitigación,
pueden surgir dos casos:
9.7.1 Caso I: La Gerencia y/o Oficina no ha

implementado los planes de mitigación, en ese
caso la Gerencia de Riesgos comunica a la
Gerencia y/o Oficina que no ha procedido con la
implementación de los planes de mitigación.
10.1 Recibir comunicado de incumplimiento de implementación
Gerencias y/o de los planes de mitigación.
10 Oficinas 10.2 Solicitar al Comité de Riesgos ampliación de plazo de
implementación de los planes de mitigación de los
riesgos operacionales de exposición alto y crítico.
11.1 Recibir solicitud de ampliación de plazo de
implementación de los planes de mitigación de los riesgos
operacionales.
11.2 Analizar solicitud de ampliación de plazo de
implementación de los planes de mitigación de los riesgos
Comité de Riesgos
11 operacionales.
11.3 Otorgar plazo de ampliación para la implementación de
los planes de mitigación.
11.4 Comunicar plazo de ampliación para la implementación
de los planes de mitigación a la Gerencia y/o Oficina
solicitante del plazo y a la Gerencia de Riesgos.
12.1 Caso II: La Gerencia y/o Oficina ha cumplido con la
implementación de los planes de mitigación en la fecha
establecida, en ese caso procede a lo siguiente:
12.1.1 Analizar los resultados de los indicadores y
Gerencia de
evaluar su efectividad en los planes de mitigación
Riesgos
12 12.1.2 Elaborar reporte de monitoreo de los planes de
mitigación.
12.1.3 Incorporar el reporte de monitoreo de los planes
de mitigación en el informe mensual de riesgos.
12.1.4 Remitir el informe mensual de riesgos al Comité
de Riesgos, Directorio y Gerencia General.


OPERACIONAL 65
9.6.1.2 Diagrama de Flujo

PROCESO : P04-OR - 01 Gestión de Riesgos Estado : Vigente
SUBPROCESO : SP01-P04-OR - 01 Gestión de Riesgo Operativo

FMV S.A. FLUJOGRAMA Desde : 03/03/14
PROCEDIMIENTO:
PR01-SP01-P04-OR - 01 Administración del Riesgo
Operacional.
Pâg. 1/4
Gerencia de Riesgos Gerencias y/o Oficinas
Inicio
1.1- Recaba información del proceso o

procesos de la Gerencia y/o Oficina a
analizar.
1.2- Identifica el proceso, subprocesos

y procedimientos de la Gerencia y/o
Oficina a analizar.
1.3- Comunica a las Gerencias y/o 2.1- Toma conocimiento de la

Oficinas acerca de la identificación y evaluación cualitativa de
evaluación de riesgos operacionales a riesgos operacionales a
realizar a sus procedimientos. realizarse en su área.
3.1- Coordina entrevista con el o los

4.1- Determina fecha de
responsables del proceso y de los
entrevista con el analista de
procedimientos para el levantamiento
riesgo operacional.
de la información.
5.1 Entrevista al o los responsables del 6.1- Identifica entradas,

proceso y de los procedimientos salidas, eventos de perdida
levantando información que permita por riesgo operacional y
identificar y evaluar los riesgos riesgos operacionales del
operacionales. procedimiento.
6.2- Provee de la frecuencia de

7.1- Completa la información requerida
ocurrencia de los eventos de
en la ficha de caracterización de
perdida y del nivel de impacto de
procedimientos.
los riesgo operacionales.
Ficha de caracterización
7.2- Clasifica los riesgos operacionales

identificados del procedimiento de
acuerdo a los tipos de eventos de
perdida propuestos por BASILEA.
7.3- Elabora el Diagrama de Flujo del

procedimiento y/o procedimientos.
Diagrama de Flujo
7.4- Evalúa los riesgos operacionales

identificados.
7.5- Elabora la matriz bruta para

determinar el nivel de exposición
del riesgo operacional
identificado.
ELABORADO POR: REVISADO POR: APROBADO POR:

Gerencia de Riesgos Federico Oyanguren (Usuario Coordinador) Carlos Zapata (Líder Usuario)


OPERACIONAL 65

PROCEDIMIENTO:
Operacional.
Pâg. 2/4
7.6- Determina los controles

existentes que mitigan los riesgos
identificados.
7.7- Califica los tipos de controles

según su efectividad y ejecución.
7.8- Identifica los riesgos

residuales después de haber sido
evaluados con sus respectivos
controles.
7.9- Elabora la matriz residual

para determinar el nivel de
exposición de los riesgos
residuales.
7.10- Elabora un cuadro de los

riesgos identificados de acuerdo a
su nivel de exposición.
7.11- Plantea el criterio de

aceptación de riesgos optando
por Aceptar o dar Tratamiento al
Riesgo.
7.12- Identifica las opciones para

la mitigación de los riesgos.
¿Tipo de niveles Establece medidas de

Bajo o muy bajo Moderado
B
de exposición? control.
Critico o alto
C
7.13- Coordina con el
responsable del procedimiento la
elaboración de los planes de
mitigación.
8.1. - Determina al o los

7.14- Establece planes de
responsables de implementar
mitigación.
8.1.1- Determina los

indicadores de riesgo.



OPERACIONAL 65

PROCEDIMIENTO:
Operacional.
Pâg. 3/4
8.1.2- Establece la fecha de

implementación.
8.1.3- Determinar el
colaborador que estará a
cargo de la implementación de
9.1- Guía al responsable del
procedimiento en la asignación de
C
B
calificación de los criterios de

evaluación.
9.2- Asigna calificación a cada

criterio de evaluación del
formato de criterios para
categorización de los
procedimientos.
9.3- Categoriza los
procedimientos de acuerdo a su
nivel de importancia en la
operatividad de la Entidad.
Presenta informe a la
Jefatura de Riesgos para 9.4- Elabora informe de
su revisión y aprobación evaluación cualitativa de los
Informe de Evaluación
de Riesgos
9.5 Remite informe de evaluación

cualitativa de los riesgos
operacionales a la Gerencia y/o
Oficinas
9.6- Remitir copia del informe de

evaluación cualitativa de riesgos
operacionales a la Gerencia
General para conocimiento.
Elabora y remite memorando

de respuesta al Informe.
Cumplida la fecha de
implementación
procede a verificarla
9.7- Verifica el cumplimiento de la
implementación de los planes de
E
mitigación.



OPERACIONAL 65

PROCEDIMIENTO:
Operacional.
Pâg. 4/4
Gerencia de Riesgos Gerencias y/o Oficinas Comité de Riesgos
9.7.1- Comunica 10.1- Recibe comunicado de

¿Cumple? incumplimiento de incumplimiento de
No
implementación de los implementación de los planes
planes de mitigación de mitigación.
Si 11.1- Recibe solicitud

de ampliación de plazo
12.1.1- Analiza los resultados de 10.2- Solicita ampliación de de implementación de
los indicadores y evaluar su plazo de implementación. los planes de
efectividad de planes de mitigación de los
mitigación. riesgos operacionales.
11.2- Analiza solicitud

12.1.2- Elabora reporte de de ampliación de plazo
monitoreo de los planes de de implementación de
mitigación. los planes de
mitigación de los
12.1.3- Incorpora el reporte de

monitoreo de los planes de 11.3- Otorga plazo de
mitigación en el informe mensual ampliación.
de riesgos.
11.4- Comunica plazo

de ampliación a la
12.1.4- Remite reporte como Oficina de Riesgos y a
parte del informe mensual de la Gerencia u Oficina.
riesgo al Comité de Riesgos,
Directorio y a Gerencia General.
E
Fin



OPERACIONAL 65
9.6.2.1 Secuencia de Operaciones
1.1 El personal informará directa o por intermedio del

representante de Riesgo Operacional de la
1 Gerencias/Oficinas Gerencia/Oficina, las incidencias o eventos por riesgo
operacional ocurridos en el transcurso de la semana
por medio del correo electrónico:
Bitacora@mivivienda.com.pe
2.1 Recibir correo electrónico de reporte de incidencia.
2.2 Personal de RO solicita información sobre la incidencia
reportada y se informa si se realizó algún procedimiento
de emergencia ante dicha incidencia.
2.3 Determinar el tipo de Evento: por perdida financiera o
2 Gerencia de Riesgos lucro cesante
2.4 Personal de RO coordina con la Gerencia y/o Oficina
para determinar:
2.4.1 Grado de impacto de la incidencia reportada.
2.4.2 Frecuencia de la incidencia reportada.
2.4.3 Controles adoptados para la incidencia
reportada.
3 Dpto. de Contabilidad 3.1 De tratarse de un evento por perdida financiera, registrara
en las cuentas contables correspondientes las perdidas.
4.1 Informar al personal de RO acerca de los controles
4 Gerencias/Oficinas adoptados para la incidencia reportada.
4.2 Informar al personal de RO sobre la frecuencia y grado de
impacto de la incidencia reportada.
5.1 Registrar la incidencia en la base de datos de la bitácora
de Incidencias.
5.2 Evaluar el riesgo operacional de la incidencia reportada.
5.3 Determinar el nivel de exposición de la incidencia
reportada.
5 Gerencia de Riesgos 5.4 Realizar seguimiento de la evaluación de las cuentas
contables registradas por perdida financiera.
5.5 Elaborar reporte mensual de las incidencias registradas.
5.6 Incorporar información del reporte mensual de las
incidencias registradas al informe mensual de riesgos.
5.7 Remitir informe mensual de riesgos al Comité de Riesgos.
6 Comité de Riesgos 6.1 Recibir informe mensual de riesgos.


OPERACIONAL 65


PROCEDIMIENTO: Registro y Control de los Eventos de
PR02-SP01-P04-OR - 01
Pérdida por Riesgo Operacional.
Pâg. 1/1
Gerencias y/o Oficinas Gerencia de Riesgos Dpto. de Contabilidad Comité de Riesgos
Inicio
1.1- Informa incidencias

2.1- Recibe incidencia reportada.
vía correo electrónico.
2.2- Solicita información de la

incidencia.
¿Evento por Si 3.1- Registra la perdida

2.3- Determina que tipo de evento es. perdida
en cuenta contable.
financiera?
4.1- Informa frecuencia, 2.4- Coordina determinación de la

grado de impacto y frecuencia, grado de impacto e Lucro cesante
controles adoptados para identificación de controles de la
la incidencia reportada. incidencia reportada.
5.1- Registra frecuencia, grado de

impacto y controles adoptados para la
incidencia en los campos de la base
de datos de la bitácora de incidencias.
5.2- Evalúa riesgo operacional de la

incidencia registrada.
5.3- Determina el nivel de exposición

de la incidencia reportada.
5.4- Realiza seguimiento de las

cuentas contables registradas por
perdida financiera.
5.5- Elabora reporte mensual de las

incidencias registradas.
5.6- Incorpora información del

reporte mensual de incidencias
registradas en el informe mensual
de riesgos.
5.7- Remite informe mensual de 6.1- Recibe informe

riesgos a Comité de Riesgos. mensual de riesgo.
Fin



OPERACIONAL 65

Departamento de 1.1 Cargar en el sistema SIGA los EEFF mensuales. Plazo
1
Contabilidad máximo día 12 de cada mes.
2.1 Descargar la información necesaria (Ingresos Financieros,
Ingresos por servicios, Gastos Financieros, Gastos por
servicios) de los EEFF en el sistema.
2.2 Proceder a realizar el cálculo del Patrimonio Efectivo por
Riesgo Operacional, por el Método de indicador básico.
2.2.1 ANUALIZAR LOS SALDOS, para ello, se utilizarán
los saldos anualizados de las cuentas contables de
los 3 últimos años:
A = Saldo Anualizado (j,i)
B = Saldo (j,i)
- INGRESOS FINANCIEROS
- INGRESOS POR SERVICIOS C = Saldo (Diciembre, i -1)
A=B+C-D
- GASTOS FINANCIEROS D = Saldo (j, i -1)
- GASTOS POR SERVICIOS
i = Mes
j = Año
2.2.2 CALCULAR EL MARGEN OPERACIONAL BRUTO

MOB = Margen Operacional Bruto
IF = Ingresos Financieros
IS = Ingresos por servicios MOB = IF + IS - (GF + GS)
Gerencia de GF = Gastos Financieros

2
Riesgos GS = Gastos por Servicios
Si el margen operacional bruto correspondiente a
alguno de los tres últimos años es cero o es un
número negativo, dicho(s) año(s) no debe(n) ser
considerado(s) en el cálculo del promedio, en cuyo
caso se calculará sobre la base del número de años
cuyo margen operacional bruto sea positivo.
2.2.3 CALCULAR EL REQUERIMIENTO PATRIMONIAL,
para ello se hará uso de la siguiente fórmula:
n
R   ( MOi   ) / n
i 1
dónde:
R: Requerimiento patrimonial por riesgo operacional
MOi: Saldo anualizado del margen operacional bruto
correspondiente al año i, en los casos que sea
positivo
α: Factor fijo igual a 15%
n: Número de años en los que el saldo anualizado
del margen operacional bruto fue positivo


OPERACIONAL 65

considerando los 3 últimos años.
2.2.4 CALCULAR LOS ACTIVOS PONDERADOS POR
RIESGO (APR) en el caso de riesgo operacional,
para ello, se multiplicará el Requerimiento
Patrimonial calculado por la inversa del límite global
que establece la Ley General en el artículo 199° y la
Vigésima Cuarta Disposición Transitoria (10%).
Además el APR por riesgo operacional debe ser
multiplicado por un factor, cuyo valor corresponderá
al indicado en la siguiente tabla:
Periodo Factor de ajuste
Julio de 2009 - Junio de 2010 0,40
Julio de 2010 - Junio de 2011 0,40
Julio de 2011 – Junio de 2012 0,50
Julio de 2014 – En adelante 1,00
2.3 Remitir el reporte de cálculo del Patrimonio Efectivo por
Riesgo operacional vía correo electrónico al
Departamento de Contabilidad
2.4 Envía reporte de cálculo del patrimonio efectivo por
riesgo operacional vía mail.
3.1 Recibir el reporte del cálculo de Patrimonio Efectivo por
Riesgo Operacional.
3.2 Verificar y conciliar la información.
3.3 Cargar la información en SUCAVE.
Departamento de 3.4 El responsable del Departamento de Contabilidad visa y
3
Contabilidad firma el reporte del cálculo de Patrimonio Efectivo por
Riesgo Operacional.
3.5 Remite reporte de calculo del Patrimonio efectivo por
riesgo operacional a la Gerencia de Riesgos y Gerencia
General para firma.
4.1 Recibir y firmar copia de reporte del cálculo de Patrimonio
Gerencia de Efectivo por Riesgo operacional.
4
Riesgos 4.2 Archiva copia del reporte de cálculo de patrimonio
efectivo por riesgo operacional.
5.1 Recibir y firmar reporte del Cálculo de Patrimonio Efectivo
5 Gerencia General
por Riesgo Operacional.
Departamento de 6.1 Si la información no es conforme, remitir observaciones a
6
Contabilidad Gerencia de Riesgos.
Gerencia de
7 7.1 Subsana observaciones dadas por el Dpto. de Contabilidad.
Riesgos


OPERACIONAL


Elaboración del Reporte del Cálculo
PROCEDIMIENTO:
PR03-SP01-P04-OR - 01 del Patrimonio Efectivo por Riesgo
Operacional.
Pâg. 1/1
Departamento de Contabilidad Gerencia de Riesgos Gerencia General
Inicio
2.1- Descarga información

1.1- Ingresa al SIGA los
requerida para el calculo del
estados financieros
patrimonio efectivo por riesgo
mensuales.
operacional.
2.2- Realiza el calculo del

patrimonio efectivo por riesgo
operacional por el método de
indicador básico.
2.3- Elabora reporte de calculo

del patrimonio efectivo por
riesgo operacional.
3.1- Recibe reporte del Cálculo 2.4- Envía reporte de calculo

de Patrimonio Efectivo por del patrimonio efectivo por
Riesgo Operacional. riesgo operacional vía mail.
3.2- Verifica información

1
contenida en el reporte.
¿Conforme? 6.1 Remite

No 7.1 Subsana.
observaciones.
Si
3.3- Ingresa información del

1
reporte en SUCAVE.
El Jefe de la
3.4- Firma reporte de calculo Oficina de
contabilidad
del patrimonio efectivo por firma el reporte
riesgo operacional.
3.5- Remite reporte de calculo

4.1- Recibe y firma copia de
del patrimonio efectivo por riesgo 5.1- Recibe y firma reporte del
reporte del Cálculo de
operacional a la Oficina de Cálculo de Patrimonio Efectivo
Patrimonio Efectivo por Riesgo
Riesgos y Gerencia General para por Riesgo Operacional.
Operacional.
firma
4.2- Archiva copia del reporte

de calculo del patrimonio
efectivo por riesgo operacional.
Fin



OPERACIONAL 65
9.6.4. Aprobación de nuevos productos o cambios importantes en el

ambiente de negocios, operativo o informático:

1.1 Elaborar memorando solicitando evaluación integral de
riesgos de nuevos productos o cambios importantes en el
ambiente de negocios, operativo o informático.
1.2 Remitir memorando de solicitud de evaluación integral de
riesgos de nuevos productos o cambios importantes en el
1 Gerencias/Oficinas ambiente de negocios, operativo o informático a la
Gerencia de Riesgos adjuntando lo siguiente:
1.2.1 Informes de Gerencias u Oficinas a las que se
les solicitó la evaluación.
2.1 Recibir memorando.

2.2 Evaluar integralmente los riesgos de nuevos productos o
cambios importantes en el ambiente de negocios, operativo o
informático, que comprende de lo siguiente:
2.2.1 Identificar y evaluar los potenciales riesgos
operacionales.
2.2.2 Evaluar el riesgo crediticio de nuevos productos
o cambios importantes en el ambiente de
negocios, operativo o informático.
Gerencia de
2 2.2.3 Evaluar el riesgo de mercado y liquidez de
Riesgos
nuevos productos o cambios importantes en el
2.3 Consolidar la información de la evaluación integral de
Riesgos.
2.4 Elaborar el informe de opinión de riesgo de nuevos
productos o cambios importantes en el ambiente de
2.5 Remite informe a las Gerencias involucradas en el tema.
3.1 Recibir el informe de opinión de nuevos productos o

cambios importantes en el ambiente de negocios, operativo
3 Gerencias/Oficinas o informático.
4.1 Presentar a la gerencia general y al comité de riesgos el

informe emitido.
Gerencia de
4 4.2 Dentro de los diez (10) días hábiles, enviar los informes
Riesgos
emitidos a la SBS.


OPERACIONAL 65


FMV S.A. FLUJOGRAMA Elaboración de Informe de Riesgos de Desde : 03/03/2014
PROCEDIMIENTO: nuevos productos o cambios importantes
PR04-SP01-P04-OR - 01
en el ambiente de negocios, operativo o
informático Pâg. 1/1
Gerencias y/o Oficinas Gerencia de Riesgos
Inicio
1.1- Elabora y remite memorando

solicitando evaluación de riesgos
de nuevos productos o cambios 2.1- Recibe memorando.
importantes en el ambiente de
negocios, operativo o informático. Los Jefe de cada área
2.2- Evalúa integralmente los riesgos de de la Oficina de
- Información de nuevos productos Riesgos están a cargo
nuevos productos o cambios importantes en
o cambios importantes en el de la evaluación
el ambiente de negocios, operativo o
ambiente de negocios, operativo o
informático.
informático
-Informe de evaluación de nuevos
productos o cambios importantes
2.2.1- Identifica y evalúa los potenciales
en el ambiente de negocios,
operativo o informático de las
Gerencias u Oficinas a las que se
les solicito la evaluación.
2.2.2- Evalúa el riesgo crediticio, de mercado
y liquidez de nuevos productos o cambios
importantes en el ambiente de negocios,
operativo o informático.
El Jefe de la Oficina de
2.3- Consolida información de evaluación de Riesgos esta a cargo de
riesgos operacionales, crediticios y de consolidar la
mercados y liquidez de nuevos productos o información
cambios importantes en el ambiente de
El Jefe de la Oficina de
Riesgos esta a cargo de
2.4- Elabora informe de opinión de riesgo de la elaboración del
nuevos productos o cambios importantes en el informe.
3.1- Recepciona informe de opinión de 2.5- Remite informe de opinión de riesgo de

riesgo de nuevos productos o cambios nuevos productos o cambios importantes en el
importantes en el ambiente de ambiente de negocios, operativo o informático
negocios, operativo o informático. a las Gerencias involucradas en el tema.
1 4.1- Presenta a la gerencia general y al comité

de riesgos el informe emitido.
Dentro de los 10 días hábiles
4.2- Envía los informes emitidos a la SBS
Fin



OPERACIONAL 65
9.6.5. Determinación y Evaluación de Subcontratación Significativa y/o

Servicio Importante

1.1 Identifica e informa sobre la contratación de un servicio en el
cuadro de necesidades.
1.2 En coordinación con la Gerencia de Riesgos, evaluar si el
servicio puede ser realizado por la institución o no.
Si el servicio puede ser realizado por la institución, entonces se

tratara de una subcontratación, caso contrario de un servicio.
Subcontratación:
1.3 Evalúa, en coordinación con la OR, si la subcontratación es

significativa
Para determinar si es una subcontratación significativa, se

deberá realizar una evaluación tomando en cuenta los
siguientes aspectos:
a) Relación con el cumplimiento de la misión y

alineamiento con los objetivos estratégicos.
1 Gerencias/Oficinas b) Impacto en los ingresos.
c) Impacto económico que afecte la solvencia.
d) Impacto en la Continuidad Operativa.
e) Impacto en la imagen Institucional.
1.4 De tratarse de una subcontratación significativa, solicita a la

OR realizar la evaluación de riesgos
Servicio:
1.5 Evalúa, en coordinación con la OR, si el servicio es

importante.
Para determinar si es un servicio importante se deberá

realizar una evaluación tomando en cuenta los siguientes
aspectos:
a) Impacto económico que afecte la solvencia o a los

ingresos.
b) Impacto en la Continuidad Operativa.


OPERACIONAL 65

1.6 Evalúa, en coordinación con la OR, si el servicio importante
genera cambios en el ambiente de negocios, operativo e
informático
Para determinar si el servicio importante genera cambios

importantes en el ambiente de negocios, operativo o
informático, las Gerencias y/u Oficinas, en coordinación con
la Gerencia de Riesgos, deberán evaluar la importancia del
cambio en los siguientes ambientes:
a) Ambiente de negocios
b) Operativo
c) Informático
1.7 De tratarse de un servicio importante, solicita a la OR realizar

la evaluación de riesgos
2.1 Elabora informe de opinión de riesgo de Subcontratación

Gerencia de Significativa y/o Servicios Importantes.
2
Riesgos


MANUAL DE GESTIÓN DEL RIESGO
OPERACIONAL. Pág. N° 55 de 65


PROCEDIMIENTO: Determinación y Evaluación de
PR05-SP01-P04-OR - 01 Subcontratación Significativa y/o
Servicio Importante
Pâg. 1/1
Gerencias y/o Oficinas Gerencia de Riesgos
Inicio
1.1 Identifica e informa las 1.2 Determina, en coordinación

necesidades de contratación con la OR, si el servicio a contratar
de servicios a ser incluidos en puede ser realizado por la
el Plan Anual de Adquisiciones institución
Si ¿Puede ser No
realizado por la
institución?
1.3 Se trata de una

subcontratación,
evalúa, en coordinación con la OR,
si la subcontratación es significativa
¿Es subcontratación No
Fin
significativa??
Si
1.4 Solicita a la OR realizar la

evaluación de riesgos
1
1.5 Se trata de un servicio,
evalúa, en coordinación con la
OR, si el servicio es importante
No ¿Es un servicio
Fin
importante?
Si
¿El servicio importante, 1.6 Evalúa, en coordinación con
No genera cambios la OR, si el servicio importante
Fin importantes en el genera cambios importantes en
ambiente de negocios, el ambiente de negocios, 1
operativo e informatico? operativo e informático
Si
2.1 Elabora informe de opinión de
1.7 Solicita a la OR realizar la riesgo de Subcontratación
evaluación de riesgos Significativa y/o Servicios
Importantes
Fin



9.6.6. Subcontratación Significativa:
9.6.6.1 Secuencia de Actividades
1.1 Informar a la Gerencia de Riesgos de las

1 Gerencias/Oficinas
subcontrataciones significativas.
2.1 Recibir información para la evaluación de Riesgos de

la subcontratación significativa.
2.2 Evaluar los riesgos de la contratación de servicios de
Gerencia de Terceros.
2
Riesgos
2.3 Elaborar el informe de evaluación de riesgos de la
subcontratación significativa de Terceros.
2.4 Remitir informe a la Gerencia General.
3.1 Recibir informe de evaluación de riesgos de la
3 Gerencia General 3.2 Proveer informe de evaluación de riesgos de la
3.3 Elevar informe al Directorio.
4.1 Recibir Informe de Evaluación de Riesgo de la
Subcontratación significativa de Terceros.
4.2 Revisar Informe de Evaluación de Riesgo de la
Subcontratación significativa de Terceros.
4 Directorio 4.3 Elaborar acuerdo de Directorio informando la aprobación
o desaprobación del informe de evaluación de riesgos de
la subcontratación significativa de Terceros.
4.4 Emitir acuerdo de Directorio comunicando la aprobación
o desaprobación del informe de evaluación de riesgos de
la subcontratación significativa de Terceros.
5.1 Comunicar a las Gerencias y/o Oficinas decisión de
acuerdo de Directorio en el que la aprobación o
desaprobación del informe de evaluación de riesgos de
5 Gerencia General
la subcontratación significativa de Terceros a las
Gerencias y /o Oficinas que solicitan, procesan y
supervisan la contratación.
6.1 Proceder con el proceso de Convocatoria y
6 Gerencias/Oficinas
Subcontratación significativa.
Gerencia de 7.1 Dentro de los diez (10) días hábiles, enviar los informes
7
Riesgos emitidos a la SBS.




Elaboración del Informe de
PROCEDIMIENTO:
PR06-SP01-P04-OR - 01 Evaluación de Riesgos de la
Subcontratación Significativa
Pâg. 1/1
Gerencias y/o Oficinas Gerencia de Riesgos Gerencia General Directorio
Inicio
1.1- Informa a la Oficina de 2.1- Recibe información

Riesgos de la para la Evaluación de
subcontratación significativa Riesgos de la
de Terceros en el cuadro de subcontratación
necesidades. significativa. La evaluación de
- Información acerca de la riesgos es integral:
-Riesgo operacional
contratación significativa a 2.2- Evalúa los riesgos de -Riesgo crediticio
Terceros. la contratación -Riesgo de mercado y
significativa. liquidez
2.3- Elabora informe de Presenta informe a

la Jefatura de
Evaluación de Riesgos de Riesgos para su
la Subcontratación revisión y
significativa de Terceros. aprobación
2.4- Remite informe de

3.1- Recibe informe
Evaluación de Riesgos de
la Subcontratación
la subcontratación
significativa a la Gerencia
significativa de Terceros.
General.
3.2- Provee informe de
la Subcontratación
significativa a Terceros.
3.3- Eleva informe de 4.1- Recibe informe

evaluación de riesgos de la Evaluación de Riesgos de
contratación significativa a la subcontratación
Terceros al Directorio. significativa de Terceros.
4.2- Revisa informe de

Evaluación de Riesgos
de la Subcontratación
significativa a Terceros.
4.3- Evalúa acuerdo de

Directorio informando la
aprobación o
1 desaprobación del informe
de Evaluación de Riesgos
de la subcontratación
significativa de Terceros.
8.1- Solicita
9.1- Remite información. información No ¿Aprueba?
adicional.
Si
5.1- Comunica decisión del
4.4- Emite acuerdo de
Directorio a las Gerencias y/
1 directorio comunicando
o Oficinas que solicitan,
aprobación del informe
procesan y supervisan la
de evaluación de riesgos.
contratación de terceros.
6.1- Procede con el proceso

7.1- Envía los informes
de Convocatoria y
emitidos a la SBS, dentro de
Subcontratación
los 10 días hábiles.
significativa.
Fin



ANEXO N° 1
REPRESENTACIÓN GRÁFICA DE LA METODOLOGÍA DEL PARA LA

GESTIÓN DEL RIESGO OPERACIONAL
Entendimiento de la organización / Establecer el

Contexto
 Establecimiento de Contexto de Riesgo Operacional
 Desarrollar criterios de Riesgo Operacional
Identificación de los Riesgos Operacionales
 Identificación por causas de riesgo

 Establecimiento de correspondencia o mapeo de
eventos de riesgo Formato de
Caracterización
de Procesos
Comunicar y Consultar
Análisis de los Riesgos Operacionales
Monitorear y Revisar
 Determinación de controles Formato
 Medición de frecuencia caracterización
 Medición de impacto de procesos y
formato de
GIRO
Evaluación de Riesgos Operacionales
 Definición de alternativa a emplear para minimizar el

riesgo Formato de
GIRO
Tratamiento/Mitigación de Riesgos Operacionales

 Aceptar y monitorear riesgos aceptados
 Desarrollar e implementar Planes de Acción de riesgos
con exposición alta y critica
Formato de
GIRO


ANEXO N° 2
FORMATO MATRIZ DE RIESGO
Evaluación del riesgo Evaluación del control
Detalle del Riesgo Riesgo bruto Detalle del control Características Evaluación Riesgo Residual
Factor de
Exposición Efectividad Efectividad Exposición
Cod Procedimiento Causa Cod Riesgo Cod Control Responsable Frecuencia Tipo Implementación Foco reducción Frecuencia Impacto
al riesgo del diseño del control al riesgo
del riesgo


ANEXO N° 3
ASPECTOS QUE GENERAN RIESGOS
Aspectos que Categoría de
Categorías Ejemplos de Actividad
generan riesgos Tipo de Evento Definición
(Nivel 2) (Nivel 3)
(Nivel Inicial) (Nivel 1)
Transacciones no reportadas (intencionalmente)
Actividades no Transacciones no autorizadas (con pérdida monetaria)
autorizadas / Valoración errónea de posición (intencional)
Faltas en Abuso de información privilegiada
Pérdidas operaciones Front running (utilización de información de un cliente para beneficio propio)
derivadas de bursátiles Manipulación del mercado
algún tipo de Operaciones bursátiles por encima de los límites
actuación Fraude / fraude crediticio / depósitos sin valor
encaminada a Extorsión / malversación de fondos / robo
defraudar, Apropiación indebida de activos
apropiarse de
Destrucción maliciosa de bienes
bienes
Falsificación
indebidamente o
Giro de cheques sin fondo (Check kiting)
soslayar
Actos Internos Contrabando (Smuggling)
regulaciones, Robo y Fraude
Posesión de cuentas / suplantación / etc.
leyes o políticas
empresariales Incumplimiento tributario / evasión (dolosa)
(excluidos los Sobornos
eventos de Abuso de información privilegiada (no en cuentas de la empresa)
diversidad / Transferencia de fondos sin autorización
discriminación) en Fraude electrónico
las que se Lavado de dinero
encuentra Robo de información (con pérdida monetaria)
implicado, al Hacking
Delitos
Manipulación de datos
informáticos
Descontrol de la página web (defiance)
(internos)
Contraseñas inadecuadas
Fallas del cortafuegos (firewall)
Compensaciones, beneficios, problemas de terminación
Actividad laboral organizada
Ambiente hostil
Pérdidas Terminación ilícita
Relaciones con
derivadas de Acoso
los empleados
actuaciones Difamación / Calumnia
incompatibles con Enfermedades
Riesgo de
la legislación o Incumplimiento de competencias
Personas /
acuerdos Cese improcedente
Relaciones
laborales, sobre Responsabilidad civil
El riesgo de
Relaciones higiene o Salud de los empleados y eventos de normas de seguridad
pérdida
laborales y seguridad en el Compensación a trabajadores (asuntos médicos)
intencional o no
seguridad en el trabajo, sobre el Ambiente seguro Compensación a trabajadores (indemnización)
intencional
puesto de trabajo pago de / Trabajadores y Cobertura por accidente a trabajadores
causada por un
reclamaciones terceras personas Uso negligente de automóviles y otros vehículos
empleado o que
por daños Contaminación
involucre
personales, o Otros eventos que causan BI o PD a operaciones en generales por parte de terceras
empleados, o
sobre casos partes (reponsabilidades no profesionales)
pérdida causada
relacionados con Discriminación de género
por la relación o
la diversidad o Discriminación racial
contacto que la
discriminación. Diversidad y
empresa tiene Discriminación de edad
con clientes, Discriminación Discriminación de religión
accionistas, Otros tipos de discriminación
terceras partes o Discriminación de nacionalidades
reguladores Abusos de confianza / incumplimiento de pautas
Aspectos de adecuación / divulgación de información (Kow Your Customer, etc.)
Quebrantamiento de revelación de información sobre clientes minoristas
Violación de privacidad
Ventas agresivas
Adecuación / Transacciones excesivas (inflar la bolsa)
divulgación de Uso indebido de información confidencial
información y Responsabilidad del prestamista
confianza Incumplimiento de contrato
Pérdidas Asesoramiento negligente
derivadas del Ocultamiento de pérdidas
incumplimiento Ocultamiento de temas sensibles
involuntario o Mal uso de información importante
negligente de una Acceso a cuentas sin aprobación previa
obligación Defensa de la competencia (antimonopolio)
Prácticas con empresarial frente Malas prácticas de mercado / operaciones
Clientes, a clientes Manipulación del mercado
Productos y concretos Abuso de información privilegiada (a cuenta de la empresa)
Negocios (incluidos Actividad sin licencia
requisitos
Prácticas Lavado de dinero
fiduciarios y de
inadecuadas de Negligencia de directores / jefes
adecuación), o de
negocio o de Errores y omisiones
la naturaleza o
mercado Publicidad inadecuada
diseño de un
Infracción al copyright
producto.
Negligencia profesional
Fusiones y adquisiciones
Discriminación en la venta
Difamación
Defectos de Defectos del producto (no autorizados)
productos Errores de los modelos
Selección, Ausencia de investigación de clientes conforme a directrices
patrocinio y Superación de los límites de exposición frente a los clientes
Actividades de Litigios sobre resultados de las actividades de asesoramiento
asesoramiento Denegación del servicio


Aspectos que Categoría de

Categorías Ejemplos de Actividad
generan riesgos Tipo de Evento Definición
(Nivel 2) (Nivel 3)
(Nivel Inicial) (Nivel 1)
Comunicación defectuosa
Errores de introducción de datos, mantenimiento o carga
Incumplimiento de plazos o de responsabilidades
Recepción,
Funcionamiento erróneo de modelos / sistemas
ejecución y
Pérdidas Error contable / atribución a entidades erróneas
mantenimiento de
Procesos derivadas de Errores en otras tareas
operaciones
Pérdidas errores en el Fallo en la entrega
derivadas de procesamiento de Fallo en la gestión colateral
fallas en Ejecución, operaciones o en Mantenimiento de datos de referencia
transacciones, Entrega y la gestión de Seguimiento y Incumplimiento de la obligación de informar
cuentas de Gestión de procesos, así comunicación de Inexactitud de informes externos (con generación de pérdidas)
clientes, Procesos como de Admisión de Inexistencia de autorizaciones / rechazos de clientes
asentamientos y relaciones con clientes y Documentos jurídicos inexistentes / incompletos
días hábiles contrapartes Gestión de Acceso no autorizado a cuentas
pérdidos comerciales y cuentas de Registros incorrectos de clientes (con generación de pérdidas)
proveedores clientes Pérdida o daño por negligencia de activos de clientes
Contrapartes Prácticas inadecuadas de contrapartes distintas a clientes
comerciales Otros litigios de contrapartes distintas a clientes
Proveedores y Tercerización
distribuidores Litigios con distribuidores
Fallas en el hardware
Fallas en el software
Fallas en las telecomunicaciones
Sistemas Interrupción de suministros (no teléfono)
Pérdidas DOS
derivadas de
Pérdidas Fallas en la copia de respaldo (backup)
interrupciones al
derivadas de Error o falla imprevista en la programación
negocio por Tecnologías de
interrupciones en Errores humanos
problemas con Información y Sistemas
el negocio y de Interrupción del servicio de distribución
los sistemas o utilidades
fallos en los Virus de computador
falta de
sistemas Fallo técnico
infraestructura de
tecnología de la Software incompatible
información Fallas en el sistema de alimentación (UPS)
Fallas relacionadas al teléfono
Fallas relacionadas al internet
Fallas relacionadas al fax
Tormentas
Huracanes / tifones / tornados
Granizo
Heladas
Inundaciones
Pérdidas Terremotos / erupciones volcánicas
derivadas de Deslizamiento de tierra / aludes de lodo
Daño a activos
daños o perjuicios Avalancha / fuego / explosión
físicos
Externos / Activos Daño o pérdida a activos Rayos
Físicos materiales como Fugas de gas
de activos
Riesgo de consecuencia de Sobretensión
pérdida de las desastres Fallas mecánicas
acciones de naturales u otros Terrorismo
terceros, incluido acontecimientos Amenaza de bomba
el fraude externo, Colisiones aéreas
daños a bienes Guerra
materiales o Expropiación
Política
activos, o del Huelgas / Conmociones civiles
cambio en las Leyes del gobierno
regulaciones que Pérdidas Robo / hurto / extorsión / malversación de fondos
podrían alterar la derivadas de Falsificación
capacidad de la algún tipo de Giro de cheques sin fondo (Check kiting)
empresa para actuación Contrabando (Smuggling)
seguir haciendo encaminada a Fraude externo
Posesión de cuentas / suplantación / etc.
negocios en det defraudar,
Sobornos
apropiarse de
Apropiación indebida de activos
Actos Externos bienes
Fraude / fraude crediticio / depósitos sin valor
indebidamente o
soslayar la Robo de información (con pérdida monetaria)
legislación, por Hacking
Delitos
parte de un Manipulación de datos
informáticos
tercero, con el fin Descontrol de la página web (defiance)
(externos)
de obtener un Contraseñas inadecuadas
beneficio ilícito. Fallas del cortafuegos (firewall)


ANEXO N° 4
FORMATO PARA DOCUMENTAR LA CARACTERIZACION DE LOS
PROCEDIMIENTOS


ANEXO N° 5
TIPOS DE EVENTOS POR RIESGO OPERACIONAL - BITACORA DE
INCIDENCIAS
BITACORA DE INCIDENCIAS
Datos Generales Control del Riesgo

N° Incidencia Nombre del Control
Gerencia que registra Eficiencia de Control
Oficina que registra Observación
Fecha y hora aproximada de la Ocurrencia Mitigación del Plan de acción
Fecha y hora que fue reportada la incidencia Estrategia
Identificación del Riesgo Determinar responsables del evento
Linea de Negocio para los sistemas Financieros Solución del problema/Contingencia
Aspecto que genera el riesgo Detalle de la solución del problema/Contingencia
Tipo Evento - Nivel 1
Recomendación
Tipo Evento - Nivel 2
Gerencia en la que ocurrio la incidencia Evaluación de la Pérdida
Oficina en la que ocurrio la incidencia Perdidas estimadas: Costo oportunidad
Proceso que se vió afecado por la incidencia Monto total recuperado
Tipo de Riesgo Monto bruto de la pérdida
¿Hubo perdida económica? Fecha del registro contable del evento
¿Cuenta con un control? Monto recuperado mediante cobertura
¿El evento esta asociado con el riesgo de crédito?
Cuentas contables asociadas
Detalles del Riesgo
Causa que origina el riesgo Medición Riesgo Residual
Descripción corta del evento Frecuencia aproximada de la Incidencia
Descripción larga del evento
Cual es la severidad estimada
Consecuencia/Efecto
Medición del Riesgo Monitoreo
Frecuencia aproximada de la Incidencia ¿Existe indicador de desempeño?
Cual es la severidad estimada Especificar


ANEXO N° 6
METODO DEL INDICADOR BASICO
CALCULO DEL REQUERIMIENTO PATRIMONIAL POR RIESGO OPERACIONAL
El requerimiento patrimonial por riesgo operacional según el método del indicador

básico será equivalente al promedio de los saldos anualizados de los márgenes
operacionales brutos de la empresa, considerando los últimos 3 años, multiplicado
por un factor fijo.
Si el margen operacional bruto correspondiente a alguno de los tres últimos años es

cero o es un número negativo, dicho(s) año(s) no debe(n) ser considerado(s) en el
cálculo del promedio, en cuyo caso se calculará sobre la base del número de años
cuyo margen operacional bruto sea positivo.
La fórmula de cálculo a utilizar es la siguiente:
n
R   ( MOi   ) / n
i 1
Donde:
Variables Descripción
R Requerimiento patrimonial por riesgo operacional.
Saldo anualizado del margen operacional bruto correspondiente al año i (en los
MOi
casos que sea un valo positivo).
α
Factor fijo igual a 15%.
Número de años en los que el saldo anualizado del margen operacional bruto fue
n
positivo, considerando los 3 últimos años.


PLAN 10029 2015 Manual de Gestión de Riesgo Operacional Del FMV S.A., Modificado Mediante Acuerdo de Directorio #01-1D-2015 de Fecha 12.01.2015 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PLAN 10029 2015 Manual de Gestión de Riesgo Operacional Del FMV S.A., Modificado Mediante Acuerdo de Directorio #01-1D-2015 de Fecha 12.01.2015 PDF

Cargado por

Copyright:

Formatos disponibles

MANUAL DE GESTIÓN DEL

REGISTRO DE CAMBIOS Y REVISIONES

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

El presente manual describe un conjunto de políticas, metodologías y

Ninguna organización puede eliminar completamente los riesgos de negocios,

Así mismo, el presente manual se dicta en cumplimiento de las disposiciones

El marco legal para la elaboración del presente manual es:

 Resolución SBS Nº 2116-2009 Reglamento para la Gestión de Riesgo

 Resolución SBS Nº 2115-2009 Reglamento para el Requerimiento de

 Circular SBS Nº G-139-2009 Gestión de la Continuidad del Negocio.

 Circular SBS Nº G-140-2009 Gestión de la Seguridad de Información.

 Resolución SBS Nº 037-2008 Reglamento de la Gestión Integral de

 Resolución de Contraloría N° 320- 2006-CG – Normas de Control Interno.

 Resolución SBS N° 7068 – 2012 que modifica el Reglamento de la

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

 Circular G-164-2012 Reporte de eventos de interrupción significativa de

 Resolución SBS N° 3127-2012, que realiza precisiones a la metodología

 Circular G-170-2013 Informe de riesgos por nuevos productos o cambios

Es responsabilidad de los Directores, Gerentes y Jefes de Oficina, hacer cumplir

7. DEROGATORIAS Y/O MODIFICACIONES.-

8.1. RIESGO OPERACIONAL

Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

A continuación detallamos algunas definiciones relacionadas a riesgo

8.1.1. Indicadores de riesgo;

Alarmas tempranas en los sistemas, procesos, productos, gente y el

Cuantificación económica de la ocurrencia de un evento de riesgo

8.1.3. Perfil de Riesgo

Resultado consolidado de la medición de los riesgos a los que se ve

8.1.4. Plan de continuidad del negocio

Tiene como objetivo dotar a la empresa de la capacidad de

Es la posibilidad de que un evento ocurra y afecte en forma adversa

8.1.6. Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto

8.1.7. Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

8.1.8. Apetito por el riesgo y/o Grado de Exposición al Riesgo

Nivel de riesgo que la empresa está dispuesta a asumir en su

8.1.9. Tolerancia al riesgo

El nivel de variación que la empresa está dispuesta a asumir en caso

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

Un suceso o serie de sucesos que pueden ser internos o externos a

8.1.11. Evento por riesgo operacional

El evento que conduce a una o varias pérdidas, cuyo origen

8.1.12. Eventos por pérdida financiera

Cualquier impacto negativo registrado en cuentas de resultados o en

8.1.13. Eventos por lucro cesante

Impacto negativo que no trasciende en cuentas de resultados o en la

Cualquier forma de registro electrónico, óptico, magnético o en otros

Conjunto de actividades, tareas y procedimientos organizados y

8.1.16. Proceso Crítico

Conjunto de actividades indispensables para la continuidad de las

8.1.17. Riesgo legal

Posibilidad de ocurrencia de pérdidas financieras debido a la falla en

Jefe de Oficina de Planeamiento,

Carlos Zapata Paulini Mauricio Gustin De Olarte Rosa Flores de Higa

intencional de las normas, así como a factores externos, tales como