2019 05 29ManualRiesgos PDF

Código: GCRC-MAN-001
MANUAL DE RIESGOS Versión: 1.0

Fecha: 29/05/2019
USO INTERNO Vigente desde: 29 de mayo del 2019 Pág. 1/62
MANUAL DE RIESGOS
Este documento es de uso interno y exclusivo del Grupo Graña y Montero. Está prohibida su reproducción total o parcial
sin la autorización de la Gerencia o Jefatura (en caso este reporte directamente al Gerente General) que aprueba este
documento. Su versión impresa no es válida y solo podrá ser utilizada como referencia; salvo que esté expresamente
autorizado por la Gerencia o Jefatura correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
INDICE
1 INTRODUCCIÓN 4
1.1 Objetivo 4
1.2 Alcance 4
1.3 Responsabilidades 4
1.4 Vigencia 4
1.5 Normativa Relacionada 4
1.6 Modelo de tres líneas de defensa para la gestión de los riesgos 6
1.7 Características principales del modelo para la gestión de los riesgos 7
1.8 Definiciones Generales 9
2 RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS 18
2.1 Directorio 18
2.2 Comité de Riesgos y Cumplimiento 18
2.3 Gerencia Corporativa de Riesgos y Cumplimiento 19
2.4 Gerencia General Corporativa 20
2.5 Gerencias Corporativas o Primera Línea 20
2.6 Gerencia de Riesgos y Monitoreo 21
2.7 Funcionarios y Gerentes que reportan a Gerentes Corporativos 22
2.8 Función del Coordinador de Riesgo de Unidad de Negocio 23
2.9 Auditoría Corporativa 24
2.10 Colaboradores del Grupo Graña y Montero 24
3 PROCEDIMIENTO DE EVALUACION DE RIESGOS 25
3.1 Definición del Apetito y Tolerancia de Riesgos 25
3.2 Procedimiento de Priorización de Macro Procesos de Negocios 25
3.3 Taller de Autoevaluación de Riesgos 26
Código: GRC-MA-01
Fecha: 29/05/2019
3.4 Identificación de expertos o especialistas 26
3.5 Identificación de Riesgos 26
3.6 Análisis y evaluación de Riesgos 26
3.7 Establecimiento de Control 28
3.8 Diseño de los controles 29
3.9 Tratamiento de los riesgos 30
3.10 Seguimiento y control 31
3.11 Seguimiento al Plan Anual de Riesgo 32
3.12 Información y comunicación de la Matriz de Riesgos 32
3.13 Procedimientos de la Gestión de Indicadores 33
3.14 Procedimientos de Evaluación de Riesgos previo a Lanzamientos de Nuevos

Productos, servicios, proyectos y ante cambios en el Ambiente Operativo e Informático 34
4 ANEXOS 36
Anexo 1 – Ejemplos de Controles de prevención, detección y corrección 36
Anexo 2 – Esquema de Incentivos 38
Anexo 3 – Matriz de Toma de Riesgos (apetito y tolerancia) 40
Anexo 4 – Macro Procesos Grupo Graña y Montero 41
Anexo 5 – Cuadros de Probabilidad - Impacto 42
Anexo 6 – Tipos de Eventos de Pérdidas por Riesgos 45
Anexo 7 – Criterios para evaluar la Fortaleza del Control 51
Anexo 8 – Categorías de Pérdida operativas 52
Anexo 9 – Factores de Riesgo Operacional 54
Anexo 10 – Esquema para la Clasificación por Tipo de Evento 59
Anexo 11 – Cláusula de Riesgo Operacional 60
Anexo 12 – Niveles e indicadores de apetito y tolerancia al riesgo 61
Código: GRC-MA-01
Fecha: 29/05/2019
1 INTRODUCCIÓN
1.1 Objetivo
Establecer la metodología que servirán de marco para la gestión integral del riesgo del
Grupo Graña y Montero.
Es importante señalar, que todo colaborador que tenga acceso a este manual es
responsable de conocerlo en profundidad y velar por la máxima discreción y reserva en
su utilización, no debiendo trascender por ningún motivo a personas ajenas a la
institución.
1.2 Alcance
El alcance de este manual es para los directores, gerentes, colaboradores del Grupo Graña
y Montero, sus Subsidiarias y Consorcios con participación de control.
1.3 Responsabilidades
Este manual ha sido elaborado por la Gerencia de Riesgos y Monitoreo, de ahora en
adelante Gerencia Corporativa de Riesgos y Cumplimiento, siendo responsabilidad de esta
mantenerlo permanentemente actualizado o cuando el entorno de control interno varíe
o el Directorio lo considere pertinente.
En caso de preguntas sobre este Manual contacte al Gerente Corporativo de Riesgos y

Cumplimiento o al Gerente Riesgos y Monitoreo.
1.4 Vigencia
La presente versión de la política y procedimiento es aprobada y entra en vigencia el día
29 de mayo de 2019.
1.5 Normativa Relacionada
ENTIDAD DOCUMENTO NORMATIVO
Ley n° 30424 - ley que regula la responsabilidad

administrativa de las personas jurídicas por el delito de
cohecho activo transnacional
DS N°002-2019-JUS Reglamento de la ley n° 30424 – ley que

MINJUS regula la responsabilidad administrativa de la persona
jurídica.
Ley N° 30737 - ley que asegura el pago inmediato de la

reparación civil a favor del estado peruano en casos de
corrupción y delitos conexos
Código: GRC-MA-01
Fecha: 29/05/2019
ENTIDAD DOCUMENTO NORMATIVO
Departamento The Foreign Corrupt Practices Act of 1977 (FCPA)

de Justicia EEUU
Securities and Sarbanes-Oxley Act of 2002 - Ley de Reforma de la
Exchange Contabilidad Pública de Empresas y de Protección al
Commission Inversionista (SOX)
(SEC)
ISO -
International ISO 31000 – Gestión de Integral de Riesgos
Organization for ISO 37001 – Sistema de Gestión Anti soborno
Standardization
Committee of
Sponsoring
Organizations of ERM COSO 2013 -2017
the Treadway
Commission
Resolución SMV Nº 037-2015-SMV/01 - Reglamento de
Superintendencia Gestión Integral de Riesgos
del Mercado de
Valores Resolución SMV Nº 027-2016-SMV/01 - Reglamento de
Gestión del Riesgo Operacional
Superintendencia Circular G-139-2009 – Gestión de la Continuidad de Negocio

de Banca,
Circular G-140-2009 – Gestión de la Seguridad de Información
Seguros y AFP
Código de Conducta de los Negocios
Política Anticorrupción
Política de Lavado de Activos y Financiamiento del terrorismo

Grupo Graña y
Montero Manual de Seguridad de Información
Manual de Continuidad del Negocio
Política y Procedimiento Corporativo de DD
Código: GRC-MA-01
Fecha: 29/05/2019
1.6 Modelo de tres líneas de defensa para la gestión de los riesgos

El modelo de gestión de riesgos del Grupo Graña y Montero sigue el marco conceptual de
las Tres Líneas de Defensa.
El modelo distingue tres líneas de actividades que participan en la gestión y supervisión

de riesgos.
La primera línea está compuesta por el control de la gerencia, las divisiones, donde cada
área operativa de la organización pone en práctica la gestión de sus propios riesgos y
controles, para asegurar el cumplimiento de los objetivos de la organización a través de
un adecuado sistema de control interno.
La segunda línea contempla las funciones de supervisión de riesgos, y cumplimiento de

políticas y estándares establecidos por la administración, abordando riesgos
transversales, complejos y específicos; esta segunda línea, liderada por el gerente de
riesgos y cumplimiento corporativo, reporta al Directorio a través del Comité de Riesgos
y Cumplimiento.
En la tercera línea es la Auditoria Interna, la cual aporta el aseguramiento independiente

y la supervisión sobre las dos primeras líneas de defensa, evalúa el sistema de control
interno de la organización en su conjunto para identificar debilidades y recomendar
mejoras. La Auditoría Interna reporta al Directorio a través del comité de auditora y
procesos.
Finalmente, el modelo de líneas de defensa se sustenta en un adecuado gobierno

corporativo y el soporte concurrente de la Auditoría Externa, Organismos Reguladores y
reputación pública.
1.- El Negocio
2.- Riesgos y Cumplimiento
3.- Auditoría Interna
Código: GRC-MA-01
Fecha: 29/05/2019
1.7 Características principales del modelo para la gestión de los riesgos

Son principios para el diseño, aprobación, implementación, monitoreo y mejora continua
del modelo los siguientes:
1. Accesibilidad: las políticas, acciones, procedimientos, estrategias que componen el

modelo, así como los materiales de apoyo son de fácil acceso y formulados en un lenguaje
claro y comprensible, a fin de facilitar el acceso, promoción y conocimiento del modelo
entre los trabajadores y socios comerciales, y cuando corresponda a las partes
interesadas.
2. Adaptabilidad: las políticas, acciones, procedimientos y estrategias que componen el

modelo se adaptan a la naturaleza, necesidades, tamaño, estructura, operaciones
geográficas, modelo comercial y demás características concretas del Grupo Graña y
Montero, sobre la base de los riesgos a los que esta se encuentra expuesta, en cada caso
concreto.
3. Compromiso y liderazgo (Tone at the Top): los máximos órganos de gobierno, de

administración y la alta dirección del Grupo Graña y Montero, son los responsables de
liderar la implementación y funcionamiento adecuado del modelo de prevención, a través
de su compromiso y apoyo firme, activo y visible.
4. Continuidad: el modelo es un proceso continuo, que se adapta permanentemente a los

cambios del entorno comercial y de la compañía.
5. Documentación: el Grupo Graña y Montero documenta y evidencia los procesos, los

controles, la evaluación de riesgos y los resultados de esa evaluación, así como todos los
elementos que sustenten que el modelo de prevención funciona adecuadamente.
6. Eficiencia: el Grupo Graña y Montero debe emplear adecuadamente y optimizar sus

recursos para el diseño, aprobación e implementación del modelo, a fin de no incurrir en
costos y cargas innecesarias que puedan poner en riesgo su eficacia, efectividad y
sostenibilidad.
7. Evaluación continua del riesgo: implica la identificación, evaluación y monitoreo

continuo de las actividades riesgosas, así como aquellas que puedan incrementar o crear
nuevos riesgos, conocer sus consecuencias, así como valorar la existencia de factores que
puedan prevenir o mitigar la consumación del riesgo.
8. Independencia: la función de riesgos y cumplimiento está revestida de la máxima

independencia, de modo tal que la toma de decisiones y las acciones que emprenda el
encargado no puedan estar condicionadas por cuestiones o supuestos que le impidan o
dificulten el desarrollo de sus funciones.
Código: GRC-MA-01
Fecha: 29/05/2019
9. Proporcionalidad: los controles implementados por la compañía son proporcionales al

nivel del riesgo, a la probabilidad de materialización de los eventos y a sus efectos
potenciales.
10. Publicidad y comunicación preventiva: el Grupo Graña y Montero, con independencia

de su tamaño y capacidad, informan sobre sus programas, políticas y prácticas para
prevenir la comisión de delitos a sus trabajadores, y cuando corresponda a los socios
comerciales y partes interesadas. Esto no implica la divulgación o deber de informar sobre
cuestiones que atenten o puedan atentar contra los intereses del Grupo o de sus
subsidiarias.
En línea con las características principales descritas, el Modelo de Prevención de Riesgos

del Grupo es el siguiente:
Código: GRC-MA-01
Fecha: 29/05/2019
1.8 Definiciones Generales

1.8.1 Autonomía
Autoridad e independencia funcional del encargado de Riesgos y Cumplimiento,
quien cuenta con capacidad suficiente para supervisar y hacer cumplir el modelo
de riesgos. No implica necesariamente la dedicación exclusiva a la tarea ni la
pertenencia a la estructura interna de la organización.
1.8.2 Alta Dirección

Persona o grupo de personas que dirigen una persona jurídica al más alto nivel.
Tienen responsabilidad sobre el manejo de toda la organización de la persona
jurídica.
1.8.3 Conflicto de intereses

Situación donde los intereses de negocios, financieros, familiares, políticos o
personales pueden interferir, afectar, con el juicio de valor de las personas en el
desempeño imparcial y objetivo de sus funciones u obligaciones hacia la empresa.
El conflicto de interés (real o potencial) en sí mismo no es una falta, no declararlo

si lo es.
1.8.4 Debida diligencia

Proceso por el cual la persona jurídica identifica los riesgos derivados de las
relaciones de negocios con Terceros; como parte del Programa de Cumplimiento
de las leyes Anticorrupción, fraude y de Previsión de Lavado de Activos y
Financiamiento del Terrorismo aplicables. la cual permite la toma de decisiones
informadas, con la finalidad de prevenir o mitigar los riesgos, en el ámbito de las
transacciones comerciales, proyectos, actividades, socios comerciales y personal
considerado dentro de estas categorías.
1.8.5 Delitos
Los previstos en el artículo 1 de la Ley N° 30424, Ley que regula la responsabilidad
administrativa de las personas jurídicas y sus modificatorias.
1.8.6 Funcionario público o servidor público

Según el artículo 425 del Código Penal del Perú1. Son funcionario o servidores
públicos
i. Los que están comprendidos en la carrera administrativa.
1
La definición de funcionario público puede variar según la jurisdicción donde opere el Grupo Graña y
Montero. Para fines de este Manual se utilizará la definición de la Republica Peruana salvo que esta entre
en conflicto con la definición legal de la jurisdicción de operación la cual prevalecerá para fines legales.
Código: GRC-MA-01
Fecha: 29/05/2019
ii. Los que desempeñan cargos políticos o de confianza, incluso si emana

de elección popular.
iii. Todo aquel que, independientemente del régimen laboral en que se

encuentra, mantiene vínculo laboral o contractual de cualquier
naturaleza con entidades u organismos del Estado, incluidas las
empresas del Estado o sociedades de economía mixta comprendidas en
la actividad empresarial del Estado y que en virtud de ello ejerce
funciones en dichas entidades u organismos.
iv. Los administradores y depositarios de caudales embargados o

depositados por autoridad competente, aunque pertenezcan a
particulares.
v. Los miembros de las Fuerzas Armadas y Policía Nacional.
vi. Los designados, elegidos o proclamados, por autoridad competente,

para desempeñar actividades o funciones en nombre o al servicio del
Estado o sus entidades.
vii. Los demás indicados por la Constitución Política y la Ley.
1.8.7 Partes interesadas (Stakeholders)

Persona natural o jurídica que pueda afectar la consecución de los objetivos de una
persona jurídica o que puede ser afectada por la consecución de los mismos.
1.8.8 Socios comerciales

Aquellas personas naturales o jurídicas vinculadas a la persona jurídica por un
interés económico o comercial recíproco, que incluyen, pero no se limita a los
clientes, socios de operaciones conjuntas (joint venture), consorcios o cualquier
otra forma asociativa empresarial, proveedores, contratistas, subcontratistas,
agentes, distribuidores, intermediarios e inversores
1.8.9 Ley
Refiere a las leyes indicadas en el 1.5 Marco Referencial del presente manual.
1.8.10 Modelo de Riesgos

Sistema ordenado de normas, mecanismos y procedimientos de prevención,
vigilancia y control, implementados voluntariamente por la persona jurídica,
destinados a mitigar razonablemente los riesgos y a promover la integridad y
transparencia en la gestión de las personas jurídicas.
Código: GRC-MA-01
Fecha: 29/05/2019
1.8.11 Modelo de Prevención

El modelo de prevención forma parte del modelo de riesgos con énfasis en la
mitigación y prevención de los riesgos asociados a la Ley, FCPA y otros estándares
internacionales que buscan prevenir la comisión de delitos de corrupción, lavado
de activos y financiamiento de terrorismo.
1.8.12 Riesgo
La condición en que existe la posibilidad de que un evento ocurra e impacte
negativamente sobre el logro de los objetivos de la empresa. Efecto de la
incertidumbre en los objetivos. El riesgo se expresa en términos de una
combinación de las consecuencias de un evento (incluyendo cambios en las
circunstancias) y la “probabilidad” asociada de que ocurra.
1.8.13 Riesgo inherente

Es el nivel de riesgo al que se encuentra expuesta la persona jurídica en el ejercicio
de sus actividades en atención a todos los elementos y características que
conforman su perfil de riesgo. Se define combinando la probabilidad de ocurrencia
del riesgo en un plazo previsible y el impacto de la ocurrencia según el cálculo de
las consecuencias que impacten a la organización.
1.8.14 Riesgo residual

Es el nivel de riesgo remanente tras la implementación de los elementos y controles
del modelo de prevención destinados a mitigar el riesgo inherente de la persona
jurídica.
1.8.15 Riesgo Financiero

Es la posibilidad de ocurrencia de pérdidas debido a cambio en las condiciones
financieras de la empresa o de su entorno. Esta definición incluye el riesgo crédito,
mercado, liquidez y portafolio.
1.8.16 Riesgo Operacional

Es la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas
del personal, de la tecnología de información o eventos externos. Esta definición
incluye el riesgo legal, el riesgo de cumplimiento (LAFT, corrupción y normativo),
pero excluye el riesgo estratégico y de reputación.
 Factores que originan el Riesgo Operacional

o Procesos Internos: Son las fallas asociadas a los procesos llevados a cabo por
la compañía para la realización de las operaciones y servicios. Las fallas en
dichos procesos pueden deberse a su diseño inapropiado o a políticas y
procedimientos inadecuados o inexistentes que puedan tener como
consecuencia el desarrollo deficiente de las operaciones y servicios o la
Código: GRC-MA-01
Fecha: 29/05/2019
suspensión de los mismos.

o Personal: Son las fallas asociadas a la actuación del personal, relacionadas a la
inadecuada capacitación, negligencia, error humano, sabotaje, fraude,
corrupción y otras actividades no autorizadas, robo, paralizaciones,
apropiación de información sensible, entre otros.
o Tecnología de Información: Son las fallas asociadas a la tecnología de
información, relacionados a la seguridad y continuidad operativa de los
sistemas informáticos, los errores en el desarrollo e implementación de dichos
sistemas y la compatibilidad e integración de los mismos, problemas de calidad
de información, la inadecuada inversión en tecnología, entre otros aspectos.
o Eventos Externos: Son las fallas asociadas a eventos externos ajenos al control
de la empresa, relacionados por ejemplo a interrupción de los servicios
públicos, eventos de la naturaleza o paralizaciones relacionadas al riesgo de
Relacionamiento con los Stakeholders entre otros.
1.8.17 Riesgo Legal

Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución
de contratos o acuerdos, al incumplimiento no intencional de las normas, así como
a factores externos, tales como cambios regulatorios, procesos judiciales, entre
otros.
1.8.18 Riesgo Estratégico

La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de
ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades
en el análisis del mercado, tendencias e incertidumbre del entorno, competencias
claves de la empresa y en el proceso de generación e innovación de valor.
1.8.19 Riesgo Cumplimiento

La posibilidad de pérdidas por el incumplimiento de la normativa interna y externa
vigente. Se encuentra relacionado a fallas o debilidades en los procesos, el control
interno o personas.
1.8.20 Riesgo de Reputación

La posibilidad de pérdidas por la disminución en la confianza en la integridad de la
institución que surge cuando el buen nombre de la empresa es afectado. El riesgo
de reputación puede presentarse a partir de otros riesgos inherentes en las
actividades de una organización.
Código: GRC-MA-01
Fecha: 29/05/2019
1.8.21 Perfil de riesgo

Es el resultado de la evaluación de riesgos a la persona jurídica que permite conocer
el grado de vulnerabilidad a la que se encuentra expuesta, como consecuencia del
ejercicio de sus actividades.
1.8.22 Apetito por el Riesgo

El nivel de riesgo que la empresa está dispuesta a asumir en su búsqueda de
rentabilidad y valor. El Grupo Graña y Montero gestiona el apetito, utilizando
indicadores cualitativos y cuantitativos que permiten aproximar a un límite máximo
de pérdidas anuales respecto a su patrimonio.
1.8.23 Exposición al Riesgo

Se considera exposición al nivel de riesgos afrontados por el Grupo Graña y
Montero, medido cuantitativamente o cualitativamente a través de las
autoevaluaciones que se realicen por la Gerencia de Riesgos. La exposición
considera la posibilidad de pérdidas que afronta la empresa.
1.8.24 Límite de Exposición Global al Riesgo:

Es el monto máximo que el Grupo Graña y Montero puede asumir como exposición
total por el riesgo, representado por la agregación de las exposiciones de todos los
riesgos cuyas autoevaluaciones se encuentran actualizadas.
1.8.25 Tolerancia al riesgo

El nivel de variación en los niveles de exposición a pérdidas que la empresa está
dispuesta a asumir, sólo en caso de desviación positiva en el cumplimiento de las
metas del año. Expresado como un margen adicional sobre el apetito por riesgo
previamente aprobado por el Comité de Riesgos y Cumplimiento.
1.8.26 Sistema de Prevención del Lavado de Activos y Financiamiento del Terrorismo

El sistema de prevención del LA/FT está conformado por las políticas y
procedimientos establecidos por los sujetos obligados, de acuerdo a las
disposiciones normativas sobre la materia. A través de la gestión de riesgos de
LA/FT se busca prevenir y evitar que las actividades que desarrollan, o los servicios
que los sujetos obligados prestan al público, sean utilizados para la comisión de
delitos de lavado de activos o financiamiento del terrorismo, a través de la
detección de operaciones inusuales y de operaciones sospechosas realizadas o que
se hayan intentado realizar.
1.8.27 Acuerdo de Nivel de Servicio (SLAs)

Compromiso mandatorio o legal mediante el cual se definen los estándares de
servicios con los cuales serán atendidos los requerimientos por ejemplo hacia un
proveedor o subcontrata o entre dos áreas del a misma compañía.
Código: GRC-MA-01
Fecha: 29/05/2019
1.8.28 Autoevaluación de Riesgos

 Talleres
Dinámica de grupo donde participan presencialmente el dueño del Proceso, las
áreas involucradas y Riesgos, en su rol de facilitador de la autoevaluación.
 Proceso
Conjunto de actividades, tareas y procedimientos organizados y repetibles que
producen un resultado esperado.
 Dueño del Proceso o Producto / Proyecto

Miembro de la Organización responsable de liderar la gestión integral de un
producto o un negocio de forma integral
 Impacto
Es una estimación de la magnitud de la consecuencia si se materializa el riesgo,
expresada en términos económicos. El impacto es determinado por los asistentes
al taller de autoevaluación.
 Frecuencia o probabilidad
Está referida a la estimación del número de veces en que puede materializarse el
riesgo en una ventana de tiempo de 1 año, esto es determinado por los asistentes
al taller de autoevaluación.
 Controles
Son medidas de mitigación que reducen la probabilidad y/o impacto de ocurrencia
de los riesgos. Sobre la base de la identificación y evaluación de los riesgos
inherentes, asume e implementa controles y medidas de prevención, detección o
corrección. Estos controles y medidas son proporcionales, razonables y adecuados
a la probabilidad o consecuencias de los riesgos inherentes priorizados y de los
riesgos residuales. Los controles de prevención, detección y corrección de los
riesgos forman parte fundamental del modelo de prevención que implemente la
persona jurídica.
- Controles financieros: Sistemas de gestión y procesos con los que cuenta

la persona jurídica para identificar, controlar y registrar sus transacciones
financieras con precisión, integralmente y de manera oportuna.
- Controles no financieros: Procesos o herramientas con los que cuenta la
persona jurídica con la finalidad de gestionar y mitigar los riesgos en las
operaciones o actividades que se ejecutan en áreas sensibles o críticas,
tales como compras, operaciones, ventas, comercial, recursos humanos,
actividades legales, regulatorias y otros.
Código: GRC-MA-01
Fecha: 29/05/2019
 Fortaleza del control

Producto de la evaluación del control (a través de criterios de evaluación), se
determina que tan confiable es el control aplicado a una causa que genera un
riesgo, pudiendo ser débil, moderado o fuerte.
1.8.29 Gestión de Indicadores de Riesgo
 Indicadores Estratégicos
Los Indicadores considerados estratégicos constituyen indicadores ejecutivos de
alto nivel gerencial, que permiten el monitoreo agregado de los principales
aspectos de gestión, entre los que se encuentran indicadores del grado de
cumplimiento de la metodología y las principales exposiciones del Grupo Graña y
Montero.
 Indicadores Operativos
Los Indicadores considerados operativos permiten el seguimiento detallado de un
riesgo particular a nivel de producto y/o proceso permitiendo prevenir situaciones
de pérdida.
 Características de los Indicadores

o Indicadores Relevantes. -Los indicadores proporcionan información
importante para la toma de decisiones de las Gerencias del Grupo Graña y
Montero.
o Indicadores Cuantificables. - Los indicadores permiten establecer medidas
objetivas del estado de un riesgo identificado previamente.
o Indicadores Útiles. - Los indicadores permiten controlar el riesgo permitiendo
acciones preventivas o que minimicen pérdidas al posibilitar una acción
temprana.
El seguimiento de indicadores deberá ser progresivo en la medida que se obtenga
información para su análisis y categorización de los límites de apetito de riesgo y
tolerancia.
1.8.30 Nuevos Proyectos, Productos o Servicios, Fusiones o Adquisiciones (M&A) venta de

activos estratégicos y Cambios Importantes en el ambiente operativo e informático
Estos proyectos serán analizados de acuerdo a las políticas establecidas por el
comité de Riesgos y Cumplimiento del Grupo Graña y Montero.
De igual manera, previamente a la realización de la fusión, o adquisición de otras

entidades jurídicas o venta de activos estratégicos, la Gerencia General Corporativa
deberá asegurarse que previo a la firma de acuerdos vinculantes, la Gerencia
Corporativa de Riesgos y Cumplimiento haya realizado directa o indirectamente el
análisis integral de los riesgos incluyendo los de cumplimiento y emitido su opinión.
Código: GRC-MA-01
Fecha: 29/05/2019
1.8.31 Tipos de terceros.
 Proveedores
Los proveedores del Grupo Graña y Montero y en particular las características de
los servicios que brindan, se clasifican para fines de la gestión operativa de la
siguiente manera:
a. Proveedor de Bienes: Son personas naturales o jurídicas, de carácter público

o privado, que desarrollan actividades, de producción, fabricación,
importación, construcción, distribución o comercialización de bienes por las
que se cobra el precio establecido.
b. Proveedor de Servicios: Son personas naturales o jurídicas, de carácter
público o privado, que desarrollen actividades de prestación de servicios a
consumidores por las que se cobra la tarifa establecida.
 Cliente del Grupo Graña y Montero:

Contratos donde el Grupo Graña y Montero o sus subsidiarias brinda servicios a
cambio de una retribución económica. Los clientes pueden ser clientes privados o
clientes del sector públicos (estado).
 Socio de negocio:
También conocido como Socio Comercial, son empresas o personas que a cambio
de diferentes beneficios persigue el mismo objetivo que el Grupo Graña y Montero,
con las que nos asociamos para realizar un proyecto conjunto.
1.8.32 Información sensible

Conjunto de datos relevantes para el negocio tales como datos personales de
clientes, datos transaccionales, claves de acceso a servicios tecnológicos,
información comercial confidencial, contratos y propuestas de licitación u otros que
se determine podrían afectar a la continuidad del negocio.
1.8.33 Planes de Acción
 Plan de Acción
Es una medida de control adicional a implementar para mitigar la materialización
de un riesgo. Se establece un responsable para la implementación del plan y una
fecha para su cumplimiento.
 Responsable del Plan

Es el Funcionario encargado de fomentar y promover el desarrollo e
implementación del Plan de acción.
 Fecha de compromiso de implementación

Código: GRC-MA-01
Fecha: 29/05/2019
Es el plazo en el cual se debe ejecutar el plan de acción, el mismo que es definido

por el responsable de la implementación.
 Plan de Acción original (No Iniciado)

Los planes se consideran originales cuando aún no se ha implementado el plan de
acción y la fecha de cumplimiento no ha vencido o, los cambios en las
características del plan no modifican la fecha de implementación comprometida.
Desde la perspectiva de la implementación del plan, estos planes son considerados
no iniciados.
 Plan de Acción En Proceso

Los planes se consideran En Proceso cuando aún no se ha culminado el conjunto de
actividades necesarias para su implementación y la fecha de cumplimiento no ha
vencido o, los cambios en las características del plan no modifican la fecha de
implementación comprometida.
 Plan de Acción reprogramado

Los planes se consideran reprogramados cuando presentan modificaciones en la
fecha de implementación, se amplían los plazos sin alterar el alcance de las acciones
de mitigación y el objetivo de mitigación asociado. Las reprogramaciones de los
planes de acción deberán ser autorizadas por el nivel correspondiente.
 Plan de Acción vencido

Los planes se consideran vencidos cuando al día siguiente de haberse cumplido la
fecha de implementación, aún no se ha iniciado su implementación o cuando estas
fechas hayan sido reprogramadas más de 2 veces consecutivas.
Código: GRC-MA-01
Fecha: 29/05/2019
2 RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS

Las responsabilidades de los órganos de gobierno están definidas en el Reglamento
General Interno del Directorio del Grupo Graña y Montero adicionalmente en el Manual
del Modelo de Prevención se consideran responsabilidades adicionales relevantes para la
implementación de dicho modelo.
2.1 Directorio
1. El Directorio es el responsable final de la administración integral de los riesgos
asociados los procesos internos, la gestión y generación de proyectos, a los
proyectos, productos y servicios ofrecidos en los diversos mercados en los que
opera la organización.
2. Según lo dispuesto en el Reglamento General Interno del Directorio, esta
responsabilidad la ejercerá a través del Comité de Riesgos y Cumplimiento, el cual
podrá someter al Directorio los asuntos que considere conveniente tratar en su
seno.
2.2 Comité de Riesgos y Cumplimiento
1. Definir y aprobar las políticas generales que guíen las actividades del Grupo
Graña y Montero en la gestión de los riesgos que enfrenta, acorde con la
naturaleza, tamaño y complejidad de las operaciones y servicios del Grupo.
2. Aprobar los recursos necesarios para el adecuado desarrollo de la Gestión de
Riesgos, a fin de contar con la infraestructura, metodología y personal apropiado,
incluyendo la estructura y la evaluación del desempeño de la organización del
área de riesgos y cumplimiento.
3. Establecer un sistema de gestión e incentivos que fomente el adecuado
funcionamiento de una gestión integral de riesgos y que favorezca la toma
apropiada de riesgos.
4. Establecer un sistema adecuado de delegación de facultades, de segregación de
funciones a través de toda la organización y el manejo de conflictos de intereses
que favorezca la toma apropiada de riesgos.
5. Obtener aseguramiento razonable que la empresa cuenta con una efectiva
gestión del riesgo, y que los principales riesgos identificados se encuentran bajo
control dentro de los límites que han establecido.
6. Establecer y velar por el cumplimiento del nivel de apetito y tolerancia al riesgo.
7. Definir las acciones necesarias para la implementación de medidas correctivas en
caso existan desviaciones con respecto a los niveles de apetito y límites de riesgo
asumidos.
8. Aprobar la matriz de riesgos de la Sociedad, las Empresas y sus Subsidiarias, así
como las actualizaciones periódicas.
9. Valorar y controlar los principales riesgos de los proyectos en que participen las
empresas del Grupo, así como aprobar las asociaciones con terceros.
10.Velar por el cumplimiento de las políticas del Grupo, así como de las leyes
aplicables a los negocios.
Código: GRC-MA-01
Fecha: 29/05/2019
11.Generar políticas, directivas y/o procedimientos complementarios y proponer

medidas y controles para la gestión de la ética y la sostenibilidad en la Sociedad,
Empresas y Subsidiarias.
12.Proponer medidas para fortalecer la gestión de riesgos sociales, ambientales y de
gobernanza de la Sociedad, Empresas y Subsidiarias, supervisar los avances e
informarlos al Directorio.
13.Informar periódicamente al Directorio respecto a la gestión realizada para la
administración de los riesgos.
14.Aprobar la toma de riesgos que excedan los niveles de tolerancia aceptados, por
excepción, y priorizar sus planes de acción para mitigarlos.
2.3 Gerencia Corporativa de Riesgos y Cumplimiento
1. Diseñar para la aprobación del Comité de Riesgos y Cumplimiento, en
coordinación con la Gerencia,
a) Actualizaciones sobre la Política, Apetito de Riesgo y Tolerancia,
Procedimientos y Manuales de gestión de riesgos.
b) Iniciativas orientadas a fortalecer la cultura de Gestión de Riesgos a nivel
corporativo y en las empresas del grupo
2. Velar por el cumplimiento de las políticas y procedimientos de gestión de riesgos,
comprendidas en las diferentes normas de la empresa.
3. Supervisar el proceso corporativo de asignación de responsabilidades sobre la
gestión de riesgos en las empresas del grupo incluyendo la asignación de
“dueños” de riesgos y de controles.
4. Proveerles a las empresas del grupo de las herramientas, el conocimiento y el
soporte técnico suficientes para facilitar la implementación efectiva de la política
corporativa de gestión de riesgos en sus propias organizaciones.
5. Liderar los procesos de definición, actualización y monitoreo de los niveles de
apetito y tolerancia al riesgo y del mapa corporativo de riesgos, y brindar soporte
y supervisión a las gerencias de las empresas del grupo para hacer lo propio en
sus propias organizaciones.
6. Brindar soporte a las gerencias de las empresas del grupo para el diseño de
sistemas de control interno orientados a mitigar de manera efectiva y eficiente
los riesgos más críticos de sus negocios.
7. Diseñar, proponer y liderar la implementación de los reportes a la Alta Dirección
y al Comité de Riesgos y Cumplimiento, relacionados con la gestión de riesgos,
con la finalidad de proveerles de la información necesaria para una adecuada
supervisión.
8. Trabajar de forma coordinada con las diversas áreas con el objetivo de evaluar si
la metodología y las herramientas empleadas en el diseño y ejecución de los
programas de cumplimiento son apropiados para una correcta gestión de los
riesgos que pretenden cubrir.
Código: GRC-MA-01
Fecha: 29/05/2019
9. Diseñar y proponer la inclusión de indicadores claves de riesgo (KRI) a nivel

corporativo para fortalecer la gestión de riesgos, y brindar soporte a las empresas
para su correcta adopción.
10. Proveerle a la función de auditoría interna corporativa del grupo de los mapas de
riesgos y niveles de apetito y tolerancia al riesgo, con el objetivo de que estos
sean incorporados en el proceso de determinación del alcance de sus revisiones,
y recibir retroalimentación orientada a la mejora continua.
11. Supervisar el Monitoreo del avance de las pruebas y el cumplimiento del plan de
monitoreo, evaluación y remediación.
12. Reportar periódicamente al Comité de Riesgos y Cumplimiento la evolución de
los riesgos más importantes, incluyendo aquellos que excedan el apetito de
riesgo del Grupo.
2.4 Gerencia General Corporativa
1. Implementar la Gestión Integral de Riesgo conforme a las disposiciones del
Comité de Riesgos y Cumplimiento.
2. Velar por el cumplimiento del marco regulatorio y las normas relacionadas a la
Gestión de Riesgos.
3. Promover la cultura de gestión de riesgos en la organización, asegurándose de
que exista un marco de trabajo adecuado para la administración de los mismos.
4. Implementar las políticas y procesos generales establecidos por el Comité de
Riesgos y Cumplimiento, promoviendo conciencia de la necesidad de la
administración de los riesgos en la organización.
5. Establecer los límites de riesgo que la Sociedad, las Empresas y sus Subsidiarias
podrán asumir en el desarrollo de sus negocios en línea con el apetito de riesgo
establecido por el Comité de Riesgos y Cumplimiento.
6. Obtener aseguramiento razonable que exista un marco de trabajo adecuado para
identificar, medir, monitorear y reportar los riesgos en el Grupo Graña y Montero.
7. Proponer mejoras que fomenten la adecuada administración de riesgos.
8. Implementar un sistema de información para la recolección de datos para el
seguimiento, análisis y reporte de indicadores de riesgo.
9. Asignar responsables Corporativos para gestionar riesgos transversales que
impacten más de un macro proceso.
2.5 Gerencias Corporativas o Primera Línea
1. Responsable del riesgo y del control de su unidad operativa o aquellos asignados
por el Gerente General Corporativo (por ejemplo, los riesgos transversales a más
de un macro proceso).
2. Implementar la Gestión de Riesgos conforme a las disposiciones del Comité de
Riesgos y Cumplimiento y la Gerencia General Corporativa.
Código: GRC-MA-01
Fecha: 29/05/2019
4. Asegurar la adecuada gestión de las gerencias y jefaturas bajo su responsabilidad

permitiendo identificar, medir, monitorear y reportar los principales riesgos que
afecten el cumplimiento de sus objetivos.
5. Asegurar que los riesgos afrontados cumplan con los niveles de apetito y
tolerancia al riesgo aplicables a su ámbito de acción.
6. Velar por el cumplimiento del marco regulatorio, las normas relacionadas, el
modelo de prevención y la Gestión de Riesgos.
7. Velar por que durante el desarrollo de los proyectos e iniciativas de mejora de
procesos que se llevan a cabo en la empresa, se tomen en consideración las
políticas y lineamientos definidos para la administración de los riesgos.
8. Poner en conocimiento de la Gerencia de Riesgos y Monitoreo aquellos procesos
que pudiesen verse afectados por un cambio significativo, previo a la
implementación de los mismos.
9. Mantener un inventario actualizado de los contratos de la empresa, con
proveedores y clientes.
2.6 Gerencia de Riesgos y Monitoreo
1. Implementar la gestión de riesgos conforme a las disposiciones del Directorio y
el Comité de Riesgos y Cumplimiento.
2. Asistir a las Gerencias de negocio y soporte en la administración de los riesgos a
lo largo de la empresa.
4. Reportar al Gerente Corporativo de Riesgos y Cumplimiento la situación de la
gestión y sus principales exposiciones a los riesgos (resultados, indicadores de
riesgos, límites y cumplimiento de metas).
5. Proponer las políticas de administración de riesgos de la organización, así como
verificar el cumplimiento de las mismas.
6. Desarrollar y proponer la metodología para la administración de riesgos en la
organización.
7. Apoyar en la validación del entendimiento de los riesgos de los negocios,
servicios, productos y procesos.
8. Autoevaluación de Riesgos
a) Realizar un seguimiento continuo al grado de avance de las
autoevaluaciones, desde su generación hasta su cierre.
b) Definir los criterios para efectuar la autoevaluación y el diseño de los
controles y/o medidas de mitigación.
c) Asistir a las áreas de la empresa en las autoevaluaciones de los riesgos ante
el lanzamiento de nuevos productos o cambios significativos en el ambiente
operativo y/o informático.
9. Indicadores de Riesgos
Código: GRC-MA-01
Fecha: 29/05/2019
a) Asistir a los Gerentes / Usuarios de línea y Coordinadores de Riesgo, en la

definición de los indicadores de riesgo y sus límites asociados
b) Analizar e informar periódicamente los niveles de exposición, valor de los
indicadores y cumplimiento de límites establecidos
10. Planes de Acción
a) Realizar el seguimiento al grado de avance de los planes de acción
aprobados.
b) Comunicar al Comité de Riesgos y Cumplimiento la ampliación de los plazos
de implementación de los planes de acción solicitados por los responsables
del negocio para aquellos casos que resulten significativos.
11. Coordinar con las Gerencias de línea para que estos acepten conscientemente
los riesgos no mitigados mediante planes de acción de acuerdo con el alcance
establecido por el apetito por riesgo y los niveles de autonomía para la
aceptación del riesgo.
12. Realizar seguimiento e informar los avances en la administración de riesgos en la
empresa.
13. Asegurar la adecuada gestión del riesgo a través de la aplicación del sistema de
incentivos establecido por el Directorio.
14. Elaborar y mantener permanentemente actualizado, el Manual de Riesgos con la
finalidad de documentar y comunicar el modelo y las políticas aplicables a
riesgos.
15. Evaluar de acuerdo a las políticas los riesgos, de forma previa a la aceptación de
nuevos proyectos y ante cambios importantes en el ambiente operativo y/o
tecnológico para anticipar potenciales pérdidas económicas.
16. Asegurar que el personal de la empresa cuente con una adecuada
concientización y capacitación en la Gestión de Riesgo, validando para ello el
contenido mínimo que debe considerarse en cada evento de capacitación.
17. Identificar las necesidades de capacitación del personal especializado en la
Gestión de Riesgo, y asegurar el crecimiento continuo dirigido a perfeccionar los
conocimientos, aptitudes y otras competencias.
18. Cumplir con otros encargos que se reciban de la Gerencia Corporativa de Riesgos
y Cumplimiento.
2.7 Funcionarios y Gerentes que reportan a Gerentes Corporativos
1. Garantizar el cumplimiento de las políticas, lineamientos y metodología de
gestión de los riesgos operacionales para los productos bajo su responsabilidad.
2. Autoevaluación de riesgos
a) Garantizar la razonabilidad de la identificación, evaluación, seguimiento y
mitigación de los principales riesgos operacionales de todos sus productos,
actividades, procesos y sistemas relevantes para su producto.
Código: GRC-MA-01
Fecha: 29/05/2019
b) Evaluar los riesgos de forma previa al lanzamiento de proyectos o a la

realización de cambios significativos en los procesos y/o controles
establecidos.
3. Reporte de indicadores de Riesgos
a) Definir conjuntamente con la Gerencia de Riesgos y Monitoreo, los
indicadores de riesgo, niveles de exposición y límites para cada indicador.
b) Verificar la calidad y consistencia de la información de los indicadores de
riesgo, y que en caso de exceso en los límites se tomen las acciones de
mitigación pertinentes
4. Planes de Acción
a) Diseñar los planes de acción y controles para mitigar los riesgos que se
encuentren dentro del Apetito de Riesgo.
b) Implementar los planes de acción y controles de manera oportuna y
coherente con los riesgos a tratar.
c) Asegurar el buen funcionamiento de los planes de acción y controles
implementados e informar a la Gerencia de Riesgos y Monitoreo sobre
aquellos que no han conseguido su objetivo de mitigación.
5. Velar por que durante el desarrollo de los proyectos e iniciativas de mejora de
procesos que se llevan a cabo en la empresa, se tomen en consideración las
políticas y lineamientos definidos para la administración de los riesgos.
6. Poner en conocimiento de la Gerencia de Riesgos y Monitoreo aquellos procesos
que pudiesen verse afectados por un cambio significativo, previo a la
implementación de los mismos.
2.8 Función del Coordinador de Riesgo de Unidad de Negocio
1. Asistir a los Gerentes de primera línea en la gestión de los riesgos.
2. Autoevaluación de riesgos
a) Apoyar en la autoevaluación de los riesgos relacionados a los procesos
asociados a su función.
b) Participar en la autoevaluación de los riesgos de forma previa al
lanzamiento de nuevos productos o a la realización de cambios
significativos en el ambiente operativo y/o informático de los productos
asociados a su función.
3. Indicadores de Riesgos
a) Informar periódicamente al Gerente de línea líder sobre la situación de los
indicadores de gestión (KRI). Asistir al Área de Riesgos y Monitoreo, en la
definición de los límites niveles de alerta y críticos para cada indicador de
riesgo.
b) Analizar y gestionar la información generada por los indicadores con la
finalidad de mitigar los riesgos asociados a estos en sus negocios.
4. Planes de acción
Código: GRC-MA-01
Fecha: 29/05/2019
a) Identificar los riesgos que necesitan mitigaciones adicionales de acuerdo a

las políticas de la empresa.
b) Realizar el seguimiento a la ejecución de los planes de acción, informando
periódicamente al Gerente de Línea / Usuario Líder/ Área de Riesgos y
Monitoreo.
c) Comunicar al Área de Riesgos y Monitoreo los cambios significativos en el
plazo o forma de implementar los planes.
2.9 Auditoría Corporativa
1. Compartir información relativa a eventos de pérdida y otras situaciones de
potencial riesgo que sean de su conocimiento con la Gerencia de Riesgos y
Monitoreo.
2. Coordinar con el Gerente de Riesgos y Cumplimiento sobre aspectos relevantes
relacionados con la evaluación de los riesgos de la empresa.
3. Realizar anualmente un proceso de auditoría independiente al sistema de
gestión del Riesgo, con la finalidad de comprobar que las políticas y
procedimientos operativos están siendo realizados eficazmente.
4. Realizar el test de controles de forma periódica de acuerdo a su Plan de Auditoría.
5. Supervisar el diseño planes de prueba orientados a evaluar la efectividad de los
sistemas de control interno para mitigar razonablemente los riesgos críticos de
los negocios.
2.10 Colaboradores del Grupo Graña y Montero
1. Participar de la identificación y valorización de los riesgos inherentes a sus
funciones y a los procesos en los que intervienen (Participación en Talleres).
2. Asegurar que las medidas de mitigación implantadas en su unidad de negocio o
soporte funcionen en forma adecuada y en caso sean responsables de planes de
mitigación, cumplir con el compromiso de implementarlos.
3. Informar sobre la evolución de KRI (indicadores claves de Riesgo de la empresa),
en caso sean responsables y deberán de cumplir con el envío de los mismos en
la frecuencia pactada.
Código: GRC-MA-01
Fecha: 29/05/2019
3 PROCEDIMIENTO DE EVALUACION DE RIESGOS

3.1 Definición del Apetito y Tolerancia de Riesgos
El apetito de riesgo será aprobado por el Comité de Riesgos y Cumplimiento como un
límite global expresado en un indicador cualitativo equivalente a las perdidas máximas
esperadas anualmente y/o criterios cualitativos específicos. El nivel de tolerancia al
riesgo, será aprobado como un valor adicional que incrementará el nivel de exposición del
apetito por riesgo, elevando el valor del límite anterior. Estos indicadores son expresados
del 1 al 5.
El Comité de Riesgos y Cumplimiento monitoreará el perfil de riesgos de la empresa

mediante la exposición acumulada al riesgo y el nivel de pérdidas en cuanto sea posible,
teniendo en cuenta la complejidad y tamaño de la empresa, la evolución de las utilidades,
gastos y requerimientos patrimoniales a través de los límites establecidos en las políticas
de apetito y tolerancia.
Los límites de control para las exposiciones asociadas al apetito se miden por la exposición
acumulada anual para cada portafolio de riesgos asociados a un producto evaluado en las
matrices. Los límites para la aceptación de riesgos de acuerdo al tipo de producto, servicio
o proyecto se muestran en el Anexo 3 – Matriz de Toma de Riesgos (apetito y tolerancia)
3.2 Procedimiento de Priorización de Macro Procesos de Negocios
El grupo debe de identificar los macro procesos de la compañía, estos se pueden clasificar
por su naturaleza en:
 Estratégicos: son los que tienen como propósito definir estrategias para cumplir
con los objetivos de la empresa, de acuerdo a su misión, visión y valores.
 Operativos del Negocio (Core): Son los que permiten organizar la actividad
productiva de la compañía, se encargan de definir la forma de producción, el
desarrollo de productos y servicios y su venta.
 Soporte: son los procesos de apoyo, que permiten cumplir con los objetivos de la
organización, facilitando la ejecución de los procesos operativos y soportando la
capacidad de la compañía para lograr los objetivos estratégicos.
Una vez identificados, deberá priorizarlos para su evaluación utilizando de preferencia

criterios objetivos como generación de EBITDA o valor de las ventas, o en el caso de macro
procesos de soporte, se podrá utilizar criterios más subjetivos como su importancia
estratégica en la generación del valor de la compañía.
Para los macro procesos priorizados se deberá realizar un mapa de procesos, y estos
deberán ser evaluados por Riesgos para priorizar el establecimiento de controles en los
procesos y subprocesos componentes.
Código: GRC-MA-01
Fecha: 29/05/2019
3.3 Taller de Autoevaluación de Riesgos

La metodología de evaluación está basada en la probabilidad- impacto, el nivel de riesgo
se calcula a partir de la combinación de probabilidad – impacto según el Anexo 5 –
Cuadros de Probabilidad - Impacto.
3.4 Identificación de expertos o especialistas

En esta etapa se identifica a aquellas personas que, por su participación en las diferentes
actividades del proceso o del producto, tienen un mayor grado de conocimiento de los
riesgos asociados a éstos.
Esta labor es realizada por Riesgos y Monitoreo en coordinación con el dueño del
Producto o Proceso a evaluar.
Estas personas serán participantes de los talleres de autoevaluación de riesgos, y serán

las encargadas de validar a juicio experto los resultados de los mismos.
3.5 Identificación de Riesgos

La identificación de riesgos se realiza a través de una dinámica de grupo donde participan
las áreas involucradas en el Proceso.
Las herramientas a utilizar en esta etapa son la lluvia de ideas, juicio de expertos, análisis
de posibles sucesos, eventos de pérdida real y/o potencial.
El objetivo de esta etapa es conocer cómo funciona el proceso, considerando las

principales actividades que lo conforman y facilitando de esta manera, la identificación de
las debilidades o causas que originan el riesgo, pudiendo ser una o varias.
La identificación de los riesgos, abarca dos puntos de vista: el primero, como riesgos
asociados a las actividades y el segundo, como riesgos asociados a las dependencias
operacionales del producto o proceso, que pueden incluir dependencias externas, de
otras áreas de la organización, de proveedores, etc.
Cada riesgo identificado en este proceso será asociado a todos los tipos de eventos de
pérdida posibles para dicho riesgo (Ver Anexo 6 – Tipos de Eventos de Pérdidas por
Riesgos), los mismos que serán asignados por el Área de Riesgos y Monitoreo, en función
de la información provista por las áreas participantes en el taller de autoevaluación.
3.6 Análisis y evaluación de Riesgos

Después de la identificación de los riesgos y las causas que los originan, se procede con la
identificación de los controles, es decir, aquellas medidas que se vienen ejecutando a fin
de mitigar los riesgos operacionales y las áreas responsables de ello.
Por otro lado, se busca estimar la valoración del riesgo, es decir, en cuánto nos podría
impactar económicamente, si llegase a ocurrir y con qué frecuencia.
Código: GRC-MA-01
Fecha: 29/05/2019
Para la evaluación y calificación de los riesgos se definen criterios, los cuales están en
función de dos variables: frecuencia e impacto.
 Probabilidad (Frecuencia): Está referida al número de veces que puede

materializarse el riesgo, en una ventana de 1 año.
 Impacto: Es una estimación de la magnitud de la consecuencia si se
materializa el riesgo, expresada en términos económicos y/o criterios
cualitativos estratégicos a falta de lo primero.
El impacto es determinado en el taller de autoevaluación donde participan las áreas

involucradas en el Proceso y con el apoyo del área de Riesgos, como facilitador del Taller.
3.6.1.1 Calificación de la Probabilidad de Ocurrencia y del Impacto

La empresa ha definido 5 niveles, tanto para la probabilidad de
ocurrencia, como para el impacto (en base a los rangos definidos
para el apetito del riesgo). Tal como lo muestra el siguiente cuadro:
Probabilidad Impacto
Raro Insignificante
Poco Frecuente Menor
Moderado Moderado
Frecuente Mayor
Casi Cierto Catastrófico
Para calificar la probabilidad y el impacto de un riesgo, se deberá

usar la Tabla de Criterios para la Evaluación de Riesgos, y escoger el
criterio más apropiado (tanto para la probabilidad como para el
impacto); tomando siempre en cuenta el peor escenario (mayor
calificación). Esta actividad es realizada en el taller de
autoevaluación y son las áreas participantes quienes realizan esta
valoración.
3.6.1.2 Determinación del Nivel de Riesgo

El Nivel de Riesgo es una medida cualitativa que permite categorizar
el nivel de exposición que tiene el Grupo Graña y Montero frente a
un determinado riesgo.
Código: GRC-MA-01
Fecha: 29/05/2019
El nivel de riesgo que está dado por la combinación de las categorías

de Impacto y la Probabilidad de Ocurrencia, en este sentido se han
definido 5 Niveles:
Niveles de Riesgo
Muy Bajo
Bajo
Medio
Alto
Extremo
3.7 Establecimiento de Control

Los controles pueden ser tan variados como la casuística lo exija, sin embargo, se puede
establecer una tipología para facilitar su análisis. De acuerdo con el COSO2, los controles
pueden ser:
Naturaleza del Descripción

Control
1 Autorizaciones Una autorización o aprobación confirma la validez de una tarea. Es decir
que esta se encuentra dentro de los límites de las políticas establecida. El
autorizador debe tener los poderes adecuados para aprobar.
2 Verificaciones Las verificaciones comparan dos o más elementos entre sí, o comparan un
elemento con una política establecida
3 Controles Físicos Controles que buscan la protección física de activos, áreas o personas.
4 Controles de Controles que buscan la protección lógica de datos, restringiendo su
Datos acceso o uso a personas autorizadas. También son considerados controles
de datos los que generan copias de respaldo para garantizar la precisión,
integridad y validez de los mismos
5 Reconciliaciones Las reconciliaciones comparan dos o más fuentes independientes de

información, para garantizar la precisión, integridad y unicidad de los
mismos.
6 Controles de Son controles para verificar si se han llevado a cabo los controles o
Supervisión establecidos. Por ejemplo las pruebas que se realizan durante la auditoria
o los controles de seguimiento de avance de un proyecto o proceso.
2
Committee of Sponsoring Organizations of the Treadway Commission - ERM COSO 2013 -2017
Código: GRC-MA-01
Fecha: 29/05/2019
3.8 Diseño de los controles

Ver Anexo 7 – Criterios para evaluar la Fortaleza del Control y Anexo 1 – Ejemplos de
Controles de prevención, detección y corrección.
Los riesgos identificados pueden tener asociados, a su vez, medidas de mitigación

(controles), que permitan atenuar o reducir su impacto negativo.
Los controles existentes son señalados por los especialistas del proceso, en las sesiones
de los talleres de autoevaluación.
La evaluación del control o controles, es realizada por el Área de Riesgos y Monitoreo en

base a la información recogida en los talleres y bajo los 04 criterios establecidos
(Objetividad del control, periodicidad, formalización y automatización), a fin de
determinar su grado de efectividad (Fuerte, moderado o débil).
 Tipo del control, se evalúa si el control implementado es correctivo (se toman

acciones después de materializado el riesgo), detectivo (permite reconocer la
existencia del riesgo, previo a ejecutarse la actividad que lo genera), o preventivo (se
identifica y se reduce la incidencia del riesgo).
 Periodicidad del control, se evalúa la frecuencia con la que se realiza o ejecuta el
control, por ejemplo, si es con una periodicidad sistemática, diaria, mensual, anual,
etc.
 Formalización del control, se evalúa si el control se encuentra debidamente
formalizado o normado en un procedimiento o política y si existe evidencia alguna,
cuando éste es ejecutado.
 Automatización del control, se evalúa si el control implementado, es manual o
automático.
Cada criterio tendrá un puntaje asignado, al finalizar la evaluación del control, Área de
Riesgos y Monitoreo realizará la suma de los puntos obtenidos, y de acuerdo a la
puntuación alcanzada se determinará su fortaleza, es decir, si es un control débil,
moderado o fuerte.
El objetivo de evaluar al control o grupo de controles para un determinado riesgo, es

determinar el impacto en la reducción de la exposición del riesgo residual con respecto al
riesgo inherente.
Para lo cual, se han establecido rangos que permiten estimar las variaciones porcentuales
de los riesgos, de acuerdo a su efectividad alcanzada, tal como lo muestra el siguiente
cuadro:
Código: GRC-MA-01
Fecha: 29/05/2019
Reducción en la Exposición
Fortaleza del Control
Residual
Débil 10%
Moderado 20%
Fuerte 40%
La fortaleza del control tiene una relación directa con la exposición del riesgo residual, a
través de la reducción aplicada al riesgo inherente, en base al grado de control alcanzado.
Un determinado riesgo puede tener uno o más controles que mitiguen su materialización.
En ese sentido, cada control es evaluado y calificado individualmente, posteriormente se
agregarán utilizando el valor del control más débil, con el que se estimará la reducción de
la exposición del riesgo inherente, obteniéndose su nueva exposición residual.
Esta reducción porcentual será obtenida a través de los talleres y en base al criterio de
experto de los especialistas, pero siempre respetando los rangos anteriormente definidos
para cada efectividad.
3.9 Tratamiento de los riesgos
Los riesgos potenciales del producto o proceso, identificados en las etapas anteriores,
pueden tener medidas de mitigación que permitan atenuar o trasladar su impacto
negativo.
En esta etapa se deberá seleccionar y aplicar una o más opciones de tratamiento para los
riesgos identificados. Para lo cual se deberá establecer un plan de acción, definiendo el
alcance para tratar los principales riesgos inherentes identificados, así como el
responsable de diseñar e implementar el plan de acción y el plazo para ello.
Código: GRC-MA-01
Fecha: 29/05/2019
Entre estas opciones de tratamiento, tenemos:
Impacto bajo Impacto alto
No se realizan acciones de
mitigación ni control sobre el Se transfiere a un tercero
Probabilidad riesgo identificado; (Proveedor/ Reaseguro), la
Aceptar Transferir
baja asumiendo el nivel de obligación por las consecuencias
probabilidad e impacto del que puede originar el riesgo.
riesgo.
Se establece, planifica y
ejecuta medidas (planes de Esta opción de tratamiento
Probabilidad acción), dirigidas a reducir o implica eliminar o rediseñar las
Mitigar Evitar
alta disminuir el nivel de actividades o procesos, que dan
probabilidad de ocurrencia origen a situaciones de riesgo
y/o de impacto del riesgo.
En ninguno de los casos, el riesgo puede eliminarse, necesariamente se deberá aplicar una
o más de las opciones de tratamiento, anteriormente mencionadas.
3.10 Seguimiento y control

Los planes de acción se establecen producto de una exposición de riesgo no aceptada,
con el objetivo de mitigar los riesgos para lograr niveles aceptables.
El seguimiento al cumplimiento de los planes de acción, es realizada por el Área de Riesgos

y Cumplimiento, a través del buzón de correo.
Por otro lado, se informa, en forma mensual, a las Gerencias de segunda línea el estado
de los planes de acción respecto a su indicador de cumplimiento, a fin que éstas gestionen
y tomen las acciones que correspondan.
Los planes de acción (PA) acordados en las Matrices de Riesgos deberán tener un
responsable y una fecha de implementación, los cuales serán monitoreados con una
frecuencia mensual, a partir de la fecha de vencimiento del plan.
El seguimiento es realizado por el Área de Riesgos y Monitoreo a los responsables de la

implementación de los planes de acción, a través de correos electrónicos y/o otros medios
de monitoreo.
Los responsables de los planes informarán al Área de Riesgos y Monitoreo, sobre el grado
de avance en el cumplimiento de los Planes de Acción.
Los planes de acción deberán cumplirse en su fecha, será responsabilidad de cada área
velar por este compromiso.
Código: GRC-MA-01
Fecha: 29/05/2019
En caso el usuario responsable del plan solicite una nueva fecha de implementación, se le
asignará un estado de reprogramación, esto deberá contar con la autorización del nivel
correspondiente.
Un plan de acción puede tener hasta 2 reprogramaciones, posterior a ello, se le asigna un

estado de vencido.
En el caso que los planes de acción no resulten viables, tal cual, se establecieron en el
momento inicial del Taller o, el área usuaria decida implementar un mecanismo más
seguro, que lo ya establecido; se optará por la redefinición del plan, debiendo ser
comunicado al Área de Riesgos y Monitoreo, para fines de seguimiento.
El estado alcanzado de los planes de acción es reportado, en forma mensual, en el Comité

de Riesgos y Cumplimiento.
Todo plan de acción contará como mínimo, con la siguiente información:
• Definición del plan de acción

• Fecha de implementación del plan
• Responsables a nivel de Gerencia y Usuario
• Descripción del Riesgo asociado al plan de acción
• Proceso / Producto a la que pertenece el riesgo
3.11 Seguimiento al Plan Anual de Riesgo
El Área de Riesgos y Monitoreo en base a su plan de trabajo anual y la priorización,
coordina con las Gerencias correspondientes, el despliegue de las autoevaluaciones y
define el alcance de las mismas, a fin de facilitar la participación de los dueños o
responsables del proceso o producto a evaluar, en los talleres de Riesgos que se lleven a
cabo.
3.12 Información y comunicación de la Matriz de Riesgos

Es necesario que la información fluya en todos los niveles de la empresa, a fin de
identificar, evaluar y responder oportunamente al riesgo.
El informe de la autoevaluación considera el objetivo y alcance de la evaluación, el

diagrama de sub-procesos general, los riesgos identificados, la valoración de los mismos,
las medidas de mitigación existentes y los planes de acción a implementar (coordinados
previamente con los responsables del Proceso).
Una vez terminada la autoevaluación, dicha Matriz deberá ser alcanzada a todos los
participantes del taller y a sus respectivas Gerencias, para su validación y aprobación.
La Gerencia de Riesgos y Monitoreo reportará periódicamente al Comité de Riesgos y

Cumplimiento las exposiciones de los riesgos y el avance de la implementación de los
Código: GRC-MA-01
Fecha: 29/05/2019
Planes de acción, a fin de mantenerlos informados y puedan tomar decisiones a partir de

ello.
3.13 Procedimientos de la Gestión de Indicadores

El Área de Riesgos y Monitoreo en coordinación con las diferentes áreas de la empresa ha
definido la estructura de los indicadores de riesgos (KRI’s), los mismos que servirán como
herramienta de medida de exposición al riesgo en determinados productos o procesos
debido a que derivan de la identificación previa de riesgos a través de los Talleres de
Autoevaluación, los eventos de riesgo reportados y la información de la Base Pérdidas.
3.13.1 Detalle del Proceso

a. Construcción de Indicador
La identificación y estructuración de los indicadores a implementar estará a cargo

del Gerencia de Riesgos y Monitoreo. Se establecerán los límites, niveles de alerta,
fechas de envío y cálculo del indicador, luego se procederá a su seguimiento y
registro por parte del Área de Riesgos y Monitoreo.
b. Captura de Información
El Área de Riesgos y Monitoreo coordina con los responsables dentro las Unidades
de la empresa que poseen la información la disponibilidad de la misma y solicitará,
con una periodicidad mensual, la información actualizada con los valores
requeridos calculados según la métrica, para la elaboración de los indicadores,
verificando la calidad y consistencia de la información.
Los coordinadores de cada Unidad serán los responsables de proveer la información

y se encargarán de preparar y enviar la información revisada y validada en el plazo
establecido al Área de Riesgos y Monitoreo.
c. Consolidación de la información
El Área de Riesgos y Monitoreo de forma mensual recopila la información, contrasta

las observaciones con la información histórica, alimenta la base de datos histórica
del indicador en el sistema y analiza la tendencia.
La consolidación de la información actualizada y análisis de los indicadores será

revisado y validado mensualmente por la Gerencia de Riesgos y Monitoreo.
d. Identificación de señales de Alerta temprana
La ocurrencia de resultados inusuales, que pudieran afectar los niveles de

exposición del Grupo Graña y Montero que sean detectadas por las unidades de
negocio y el Área de Riesgos y Monitoreo serán informadas a la Gerencia de Riesgos
y Monitoreo, que podrá solicitar a la Unidad responsable información adicional
Código: GRC-MA-01
Fecha: 29/05/2019
para su análisis y determinar la pertinencia de acciones preventivas, controles o

Planes de Acción.
e. Selección de estrategia de solución / mitigación
En caso de presentarse tendencias y cambios en el nivel de exposición al riesgo, la

Gerencia de Riesgos y Monitoreo informa a la Gerencia responsable sobre estas
variaciones, coordina con las unidades generadoras del indicador los planes de
acción pertinentes para mitigar el riesgo y luego las presenta ante el Comité de
Riesgos y Cumplimiento para su aprobación.
3.14 Procedimientos de Evaluación de Riesgos previo a Lanzamientos de Nuevos Productos,

servicios, proyectos y ante cambios en el Ambiente Operativo e Informático
La evaluación de riesgos previa al lanzamiento de nuevos productos, servicios, proyectos
o ante cambios importantes a nivel operativo e informático se encuentra alineada a la
Política de Riesgos y los procesos de Autoevaluación que se realizan para los principales
procesos de la empresa. La principal característica de este tipo de evaluación es el carácter
preventivo que busca asegurar niveles óptimos de apetito y tolerancia al riesgo para la
empresa.
La Gerencia de Riegos y Monitoreo realizará un monitoreo de los principales cambios que

se generen dentro de la organización a través del flujo de control y aprobación de nuevas
iniciativas, la elaboración y control de documentos normativos establecidos, y los
requisitos formales que demanden las Gerencias.
La Gerencia de Riesgos y Monitoreo participa de manera activa en la identificación de

riesgo y validación de planes de acción que permitan mitigar los riesgos identificados.
3.14.1 Detalle del proceso general

El líder usuario tendrá la responsabilidad de elaborar el diseño del producto o proyecto
que desee implementar; para lo cual, deberá canalizar de manera formal su propuesta.
El Líder usuario se encargará de notificar a la Gerencia de Riesgos y Monitoreo acerca de

los proyectos que buscan ser implementados a fin de que ésta última determine la
evaluación de los riesgos. Asimismo, el Área de Riesgos y Monitoreo determinará los
riesgos inherentes mínimos del proyecto calificado como significativo.
El Líder usuario responsable diseñará la presentación respectiva, y hará una revisión de la

misma con todos los usuarios interesados. Una vez hecha la revisión, presentará el
proyecto ante el Comité de Desarrollo de Negocios y/o el Comité de Ejecutivo en la
medida de lo posible.
Este Comité tendrá la potestad y responsabilidad de aprobar, priorizar el proyecto y

asignar los recursos necesarios para la ejecución.
Código: GRC-MA-01
Fecha: 29/05/2019
Una vez formalizado, el proyecto será analizado por la Gerencia de Riesgos y Monitoreo,
a fin de determinar los potenciales riesgos asociados, así como la determinación de
controles existentes y medidas de mitigación necesarias. Este análisis tendrá como
resultado una Matriz de Riesgo de acuerdo al formato usado en las autoevaluaciones de
riesgos en los procesos de la empresa.
Es responsabilidad de la Gerencia Corporativa de TI asegurar que los Proyectos que

implican desarrollos tecnológicos no pasen a producción sin contar con la matriz de riesgo,
para el caso de proyectos sin desarrollo, la Gerencia Corporativa de Operaciones es la
responsable de asegurar que se cuenten con matriz de riesgo de manera previa al
lanzamiento.
3.14.2 Evaluación de nuevos proyectos

La evaluación y seguimiento de nuevos proyectos de negocio debe mantener
concordancia con las etapas de los procesos operativos (Comercial y Gestión de
Proyectos).
La evaluación inicial debe considerar las variables de riesgo relevantes para la adecuada
selección de proyectos. En este sentido la metodología debe permitir una evaluación de
las principales dimensiones de riesgo del proyecto:
a) Monto (Valor patrimonial al riesgo involucrado en el proyecto)
b) Complejidad del proyecto (Constructabilidad, gestión operativa, estándares

ambientales, etc.)
c) Idoneidad con los terceros (Socios de negocio, Clientes, Proveedores Estratégicos)
d) Idoneidad de los contratos (Definición del alcance, protección y claridad de los

mecanismos de resolución)
e) Capacidad de financiamiento y estructura de liquidez del proyecto.
En función a los niveles de riesgo inherentes evaluados y magnitud del patrimonio al

riesgo que representa el proyecto, este deberá ser autorizado en la instancia corporativa
adecuada. Ver Anexo 3 – Matriz de Toma de Riesgos (apetito y tolerancia)
Una vez el proyecto autorizado, durante la etapa de ejecución se deberá reportar de

manera mensual, al menos, los indicadores (KRI) relacionados a aquellos riesgos que
fueran evaluados como críticos (riesgos inherentes altos o extremos) en la etapa de
propuesta comercial.
Código: GRC-MA-01
Fecha: 29/05/2019
4 ANEXOS
Anexo 1 – Ejemplos de Controles de prevención, detección y corrección
Controles financieros
La persona jurídica implementa sistemas y procedimientos que le permitan gestionar sus

operaciones financieras y comerciales de modo correcto, y que le permita registrar estas
operaciones de modo preciso, completo y oportuno, a fin de mitigar el riesgo de la
comisión de delitos y adecuado uso de los recursos de la compañia. Los controles
financieros pueden tener medidas como:
1. Segregación de funciones en procedimientos de pagos.
2. Niveles de aprobación de pagos.
3. Mecanismos de verificación de la designación, trabajo y servicios se hayan dado de

modo correcto.
4. Más de una firma para pagos.
5. Documentación suficiente para la aprobación de pagos.
6. Restringir el uso de dinero en efectivo.
7. Implementar revisiones periódicas de las operaciones financieras.
8. Implementar auditorias financieras internas periódicas.
Controles no financieros
La persona jurídica implementa sistemas y procedimientos que le permitan asegurar que

sus adquisiciones, aspectos operacionales, comerciales y cualquier otro aspecto no
financiero están siendo gestionados de modo correcto.
Los controles no financieros pueden tener medidas como:
1. Procesos adecuados de verificación y calificación previa de contratistas,

subcontratistas, proveedores y consultores a fin de avaluar su probabilidad de participar
en alguno de los delitos previstos en el artículo 1 de la Ley.
2. Evaluar, la necesidad y legitimidad de los servicios brindados por un socio de negocios.
3. Si los servicios prestados fueron llevados de modo correcto.
4. Si los pagos que se realizaran son adecuados y proporcionables al servicio brindado.
Código: GRC-MA-01
Fecha: 29/05/2019
5. Siempre que sea posible, la adjudicación de los contratos debe darse después de un
proceso de evaluación con al menos tres postores.
6. Determinar de manera adecuada la separación de funciones de las personas que

participan en los procesos de contratos, incluida su supervisión y aprobación de los
trabajos.
7. Requerir más de una firma en los contratos, en los términos que los modifiquen y en la
aprobación de los trabajos o del cumplimiento del contrato.
8. Establecer directivas o documentos guía para los trabajadores y personal involucrado

en los procesos no financieros a fin de facilitar su labor e identificar los riesgos.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 2 – Esquema de Incentivos

Criterios evaluados en el Indicador de cumplimiento de la metodología
Gerentes y Jefaturas
N° Criterio Descripción Fecha de aplicación

1 Participación oportuna en Auto- Incentivar que los Gerentes destinen los recursos necesarios para cumplir con
Evaluaciones de Riesgos el Cronograma de Autoevaluaciones 2020
2 Participación activa en Auto- Promover que las autoevaluaciones sean realizadas con los participantes
Evaluaciones de Riesgos adecuados para realizar el proceso de manera eficiente. 2020
3 Seguimiento de Indicadores Promover el uso de indicadores para la gestión del riesgo de procesos críticos 2020
4 Implementación de Planes de Acción Promover entre los Gerentes el dotar con recursos suficientes a los
responsables para la implementación de los planes de acción. 2020
5 Cumplimiento de Políticas de Riesgos y Incentivar que los Gerentes apliquen adecuadamente las políticas vigentes por
Cumplimiento la Gerencia Corporativa de Riesgos y Cumplimiento 2020
6 Evaluación de Riesgos Previo al Incentivar que los Gerentes comuniquen a la Gerencia de Riesgos y
lanzamiento de nuevos proyectos o Cumplimiento sobre el lanzamiento de nuevos productos/ proyectos y/o
productos y ante cambios cambios significativos
significativos 2020
Este documento es de uso interno y exclusivo del Grupo Graña y Montero. Está prohibida su reproducción total o parcial sin la autorización de la Gerencia o Jefatura (en caso este reporte directamente
al Gerente General) que aprueba este documento. Su versión impresa no es válida y solo podrá ser utilizada como referencia; salvo que esté expresamente autorizado por la Gerencia o Jefatura
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
Colaboradores
N° Criterio Descripción Fecha de aplicación

1 Implementación y ejecución de planes Toma de acciones inmediatas dentro de los plazos establecidos en el plan de 2020
de acción acción sobre los riesgos identificados y/o sobre los eventos suscitados en sus
respectivas áreas a cargo.
2 Participación en los talleres de El Área de Riesgos y Monitoreo convoca a algunos usuarios a talleres de 2020
autoevaluación autoevaluación para el levantamiento de información de los procesos y/o
productos que estén contemplados en su Plan Anual de Trabajo. Se busca que
los colaboradores contribuyan en la identificación de riesgos, determinación
de controles existentes y propuesta de planes de acción.
3 Conocimiento de la Metodología de Los colaboradores de Riesgos recibirán un curso de E-Learning, luego del cual, 2020
Gestión de Riesgos serán evaluados sobre el aprendizaje del mismo y el puntaje aprobatorio
obtenido.
4 Cumplimiento de Políticas de Riesgos Incentivar que los colaboradores apliquen adecuadamente las políticas 2020
y Cumplimiento vigentes por la Gerencia Corporativa de Riesgos y Cumplimiento
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 3 – Matriz de Toma de Riesgos (apetito y tolerancia)
En función a los niveles de apetito de riesgo y tolerancia aprobado por el Comité de Riesgos y
Cumplimiento, la aprobación de nuevos proyectos, cambios significativos venta de activos o
fusiones y adquisiciones, deberán ser aprobados en la instancia correspondiente.
Las excepciones solo podrán ser aprobadas por el Comité de Riesgos y Cumplimiento. El
responsable de la propuesta (de negocio, modificación de procedimiento o modificación de
control) deberá sustentar de manera formal (presentación o informe) ante el nivel responsable
de la aprobación. La aprobación deberá constar por escrito, en un acta o documento de
aprobación con las firmas (físicas o electrónicas) de los responsables.
Para el caso de propuesta que se eleven al comité de desarrollo de negocios se deberá contar
con la opinión del Gerente de Riesgos y Monitoreo. Para el caso de propuestas que deban
elevarse al comité de riesgos y cumplimiento, la propuesta deberá contar con la opinión del
Gerente Corporativo de Riesgos y Cumplimiento.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 4 – Macro Procesos Grupo Graña y Montero

Áreas Macro procesos
1. Estrategicos 1.1 Gobierno Corporativo
1.2 Riesgos y Cumplimiento
1.3 Planificación estratégica y presupuestos
1.4 Inversiones
1.5 Gestión Humana
1.6 Innovación y TI
2. Operativos 2.1 Comercial
2.1.1 Prospección
2.1.2 Detección de Oportunidades
2.1.3 Selectividad
2.1.4 Propuestas y Contratos
2.1.4.1 Planeamiento
2.1.4.2 Elaboración
2.1.4.3 Análisis y evaluación
2.1.4.4 Aprobación propuesta
2.1.4.5 Negociación de Propuesta
2.2 Proyecto/negocio (ejecución)
2.2.1 Adjudicación
2.2.1.1 Revisión de Contrato
2.2.1.2 Análisis de riesgos
2.2.1.3 Validación
2.2.2 Planificación inicial
2.2.3 Ejecución
2.2.3.1 Gestión operativa
2.2.3.2 Gestión del Contrato
2.2.3.3 Gestión de cambios
2.2.4 Cierre
2.2.5 Post Venta
3. Soporte 3.1 Legal y Contratos
3.2 Finanzas y Administración
3.2.1 Contable
3.2.2 Seguros
3.2.3 Tesorería
3.2.4 Impuestos
3.2.5 Gestión de Inventarios
3.2.6 Gestión de Activos
3.3 CGP
3.4 Ingeniería
3.5 Calidad QA/QC
3.6 Procura y Subcontratas
3.7 Seguridad Física, Salud y Medio Ambiente
3.8 Relacionamiento con Grupos de Interés
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 5 – Cuadros de Probabilidad - Impacto

a. Cuadro de Impacto
IMPACTO Insignificante Menor Moderado Mayor Catastrófico

Nivel -> 1 2 3 4 5
Perdida del EBITDA
equivalente a (x) días como <7d EBITDA 30d EBITDA 60d EBITDA 90d EBITDA >90d EBITDA
máximo.
Porcentaje del EBITDA
1.90% 8.30% 16.60% 25% >25%
Proyectado
Interrupción de
<7d 30d 90d >90d
operaciones (días)
Imagen de un líder, La marca corporativa La marca corporativa La marca corporativa
Reputación, La
socio o proyecto sin con alcance regional con alcance nacional con alcance
materialización del riesgo
impactar a la marca internacional
implica un daño a la:
corporativa
No relevantes durante Relevantes durante la Relevantes durante la
No disponibilidad de
la ejecución de un ejecución de un ejecución de un
sistemas
proceso no crítico. proceso no crítico. proceso crítico
No relevantes durante Relevantes durante la Relevantes durante la
Falta de integridad en los
la ejecución de un ejecución de un ejecución de un
de datos:
proceso no crítico. proceso no crítico. proceso crítico.
No privilegiada, sin ser No privilegiada y/o no Información
Falla de seguridad, acceso
utilizada y/o divulgada. crítica y es utilizada y/o privilegiada y/o crítica y
no autorizados a
divulgada. es utilizada y/o
información:
divulgada.
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
b. Cuadro de Probabilidad
PROBABILIDAD Raro Poco Frecuente Moderado Frecuente Casi cierto

Nivel -> 1 2 3 4 5
Un evento cada (x) días
< 1/1800d 1/360d 1/90d 1/30d 1/7d<
como máximo:
Probabilidad: 0.10% 0.30% 1.10% 3.30% 14.30%
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
c. Cuadro de Combinaciones de Probabilidad – Impacto

Formula de agregación: = ( × )
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 6 – Tipos de Eventos de Pérdidas por Riesgos
Nivel I Detalle Nivel I Nivel II Detalle Nivel II

Técnico Pérdidas derivadas de eventos técnicos Idoneidad del tercero Pérdidas derivadas de relacionarse con
contenidos en el proceso de formulación de clientes, proveedores o socios con falta de
proyectos o ejecución de los mismos idoneidad técnica o moral, distinta de
delitos de corrupción.
Ingeniería Perdidas por incompatibilidad de
especialidades, Constructabilidad. Error en
el cálculo del metrado de construcción,
Demora en la ingeniería, Error en el diseño
(reproceso) Riesgo Topográfico, Geológico,
Hidrográfico, Geotécnico. Ubicación,
Potencia y cumplimiento de parámetros de
canteras, Impacto del EIA en Proyecto
(rediseño).
Construcción Uso de nuevas metodologías
(experimental), Demora en la gestión de
permisos, Eventos de clima, Evento
Arqueológico, Manejo de desechos
peligrosos, Cantera overburden, reparación
de accesos
Logística / equipos proyecto Retrasos en la compras, llegada tardía de
procura, sobrecosto de transporte por
emergencias, Fletes especiales (skids, pools,
tanques), Vuelos de emergencia (evacuar
heridos/enfermos, repuestos críticos
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019

Administración proyecto Fallas en la gestión del proyecto, por
demoras y eventos no controlados
adecuadamente.
Seguridad Casos relacionados con las normas de
higiene y seguridad en el trabajo;
indemnización a los trabajadores. Seguridad
laboral e Infraestructura
Contrato Perdidas por la aceptación de cláusulas de
castigo onerosas, o condiciones
desventajosas o gravosas no controlables.
Calidad Fallas en el proceso de QA
Probabilidad de ocurrencia de un evento Crédito Deterioro de la calidad crediticia de la

que tenga consecuencias financieras compañía y no poder financiar directa o
negativas para una organización. hace indirectamente la marcha adecuada de los
referencia a la incertidumbre producida en negocios a un costo razonable o no poder
el rendimiento de una inversión, debida a atender las obligaciones financieras en
los cambios producidos en el sector en el forma y plazo.
Financieros que se opera, a la imposibilidad de
devolución del capital por una de las partes Liquidez Deterioro de la calidad crediticia de la
y a la inestabilidad de los mercados compañía y no poder financiar directa o
financieros. indirectamente la marcha adecuada de los
negocios a un costo razonable o no poder
atender las obligaciones financieras en
forma y plazo.
Desfase negativo en el flujo de caja por el
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019

diferencia de plazo entre el vencimiento de
los activos y el de los pasivos
Riesgo de Mercado Riesgos derivados de los cambios en los

precios de los activos y pasivos financieros
(o volatilidades) cuyo impacto afecte
negativamente el patrimonio. Estos riesgos
se miden en el cambio de valor de
posiciones abierta (cuya valorización a
precios de mercado afecta directamente el
valor del patrimonio)
Portafolio Exceso de exposición a un solo tipo de
actividad/negocio/Tercero
posibilidad de ocurrencia de pérdidas, Clientes, productos y prácticas Pérdidas derivadas del incumplimiento
originadas por fallas o insuficiencias de empresariales involuntario o negligente de una obligación
procesos, personas, sistemas internos, empresarial frente a clientes concretos
Operacional
tecnología, y en la presencia de eventos (incluidos requisitos fiduciarios y de
externos imprevistos. adecuación), o de la naturaleza o diseño de
un producto.
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019

Ejecución, entrega y gestión de procesos Pérdidas derivadas de errores en el
procesamiento de operaciones o en la
gestión de procesos, así como de relaciones
con contrapartes comerciales y proveedores
Interrupción del negocio y fallos en los Pérdidas derivadas de interrupciones en el
sistemas negocio o de fallos en los sistemas
Daños a activos materiales Pérdidas derivadas de daños o perjuicios a

activos materiales como consecuencia de
desastres naturales u otros
acontecimientos.
Fraude interno Pérdidas derivadas de algún tipo de
actuación encaminada a defraudar,
apropiarse de bienes indebidamente o
soslayar regulaciones, leyes o políticas
empresariales (excluidos los eventos de
diversidad / discriminación) en las que se
encuentra implicado, al menos, un miembro
de la empresa y el móvil del evento sea
obtener un beneficio individual.
Fraude externo Pérdidas derivadas de algún tipo de
actuación encaminada a defraudar,
apropiarse de bienes indebidamente o
soslayar la legislación, por parte de un
tercero.
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019

Relaciones laborales y seguridad en el Pérdidas derivadas de actuaciones
puesto de trabajo incompatibles con la legislación o acuerdos
laborales, sobre higiene o seguridad en el
trabajo, sobre el pago de reclamaciones por
daños personales, o sobre casos
relacionados con la diversidad o
discriminación.
Pérdidas derivadas por fallas en el Incumplimiento normativo Pérdidas derivadas por fallas en el
cumplimiento de normativa interna, externa cumplimiento de normativa externa
o delitos relacionados a corrupción de
funcionarios nacionales o extranjeros,
lavado de activos o financiamiento al
terrorismo y cuyo móvil sea obtener un
beneficio para la empresa. Incumplimientos al código de conducta Pérdidas derivadas por fallas en el
cumplimiento de normativa interna,
actuación no acorde a los estándares éticos
en el trabajo o con terceros.
Cumplimiento Corrupción Pagos para agilización de trámites / ganar
licitaciones, obtención de licencias, etc.
LAFT Facilitar el ingreso de dinero de procedencia

ilegal al circuito económico formal.
Contribuir a una actividad cuyo
organizador/dueño promueva actividades
terroristas
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019

Pérdidas derivadas de falla en el Comunicación
relacionamiento/comunicación con los Falla en las comunicaciones (Mensajes no
stakeholders de la compañía: Estado, asertivos)
Sociedad, Media, Accionistas, Terceros. Gestión de Crisis Fallas en la gestión de Crisis en proyectos
Relacionamiento
Reputacional Fallas en la gestión de la reputación de la

compañía
Pérdidas en la compañía debido al cambio Sobre carga de trabajo en reportes /

del entorno regulatorio Cambio de Regulación Ambiental Impacto en las condiciones iniciales del
proyecto
Cambio de Regulación Fiscal Impacto económico en resultados
Regulatorio Incremento del riesgo Financiero de los
Cambio de Regulación Crediticia
proyectos
Sobre carga de trabajo en reportes /
Cambio de Regulación de
Impacto en las condiciones iniciales del
Cumplimiento/LAFT
proyecto
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 7 – Criterios para evaluar la Fortaleza del Control
CRITERIOS DÉBIL (1) MODERADO (2) FUERTE (3)
Preventivo: Identifica las situaciones de riesgos,

Correctivo: Este control corrige cualquier Detectivo: Identifica las situaciones de riesgos,
antes de iniciado el proceso o la actividad. Reduce
Tipo del control desviación significativa en el proceso luego que el luego de iniciado el proceso o la actividad sin que
la incidencia del Riesgo y reduce al mínimo la
riesgo se ha materializado. (1 Punto) el riesgo se haya materializado. (2 Puntos)
necesidad de acciones correctivas. (3 Puntos)
Es un control esporádico o que se efectúa en Es un control periódico que se efectúa en ciclos

Es un control sistemático que se efectúa en
periodos largos (ejemplo trimestral o anual) medios (ejemplo, mensual, quincenal)
Periodicidad del control periodos cortos, semanal, diaria o cada vez que
independientemente de la ocurrencia del evento. . independientemente de la ocurrencia del evento.
ocurre el evento. (3 Puntos)
(1 Punto) (2 Puntos)
Es un control que se efectúa, se encuentra

Formalización del Es un control que se efectúa, pero no se encuentra Es un control que se encuentra debidamente
formalizado y queda evidencia del mismo, en algún
Control formalizado en ningún Procedimiento (1 Punto) documentado, normado o formalizado. (2 Puntos)
documento. (3 Puntos)
Automatización del Es un control que se realiza de forma manual o Es un control que se realiza de forma automática.
No Aplica
Control dependiente de TI. (1 Punto) (3 Puntos)
Nivel del control (suma

de los puntajes Entre 4 y 7 Entre 8 y 10 Entre 11 y 12
obtenidos)
Fortaleza del Control

(depende directamente 10% (1-10%) 20% (1-20%) 40% (1-40%)
del puntaje anterior)
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 8 – Categorías de Pérdida operativas

Categoría Descripción Abreviada Definición
Fraude Fraude por Documentación Falsa o

Declaración Falsa
Fraude por ingreso de
Fraude por representación indebida información falsa
Contratos Fraudulentos
Fallas en Procesos Cambio tardío de normas internas

Procesos no definidos
Proceso no definido Claramente claramente o cambios en
los mismos que conllevan
Información distorsionada por sistema
a errores por parte de los
interno
colaboradores en la
Seguros no formalizados ejecución de las
actividades
Regularización de provisiones
Fallas en los Desperfectos eléctricos Cualquier tipo de

Sistemas desperfecto eléctrico, de
Desperfectos en comunicaciones comunicación, software.
Hardware que generen
Fallas en software hardware de aplicativos
retraso o suspensión
internos
temporal de las
actividades
Errores Pérdida de documentación

Administrativos Errores relacionados con
Llenado errado de datos el ámbito administrativo
de la empresa que
Descoordinaciones varias
generen algún tipo de
Interpretación errónea de normas riesgo o pérdida para le
entidad
Errores en la impresión de formatos
Errores Operativos Errores en ingreso de información en el

Errores relacionados con
sistema
la aplicación de algún
Errores en cancelación o cancelaciones no proceso o con la no
efectuadas por producto aplicación de las
condiciones estipuladas
Errores en renovaciones de proyectos en los contratos que
Código: GRC-MA-01
Fecha: 29/05/2019
Categoría Descripción Abreviada Definición
Operaciones realizadas fuera de tiempo conlleven a una gestión

inadecuada del producto.
Reprogramaciones erróneas
Descuadres contables
Procesos con fecha valor
Devoluciones en efectivo a clientes
Extorno y anulación de producto
Cancelación del producto por errores diversos
Abono errado en planilla
Abono errado en cuenta
Multas Municipios Entrega de documentación fuera de fecha Multas impuestas por

organismos municipales
Pagos extemporáneos
por el incumplimiento de
Infracciones municipales su normativa
Multas Entidades Infracción a la Ley de protección al

Regulatorias Consumidor Multas relacionadas con
perjuicio directo o
Infracción a la Ley de protección de datos indirecto a los clientes,
proveedores y/o
Transacciones extrajudiciales
colaboradores
Despidos Arbitrarios
Multas Sunat Declaración errada de tributos
Presentación extemporánea de formato
Robos Disminución del valor en los activos Reducción de activos

financieros físicos
Actividades No Pago para agilización de procesos (pago de

Delito de
autorizadas / facilitación)
Cohecho/Soborno
Cumplimiento
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 9 – Factores de Riesgo Operacional

 PROCESOS INTERNOS
Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos
internos implementados para la realización de sus operaciones y servicios. Los
factores de riesgo operacional están relacionados al diseño inapropiado de los
dichos procesos o a políticas y procedimientos inadecuados o inexistentes que
puedan tener como consecuencia el desarrollo deficiente de sus actividades o la
suspensión de las mismas.
En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en
los modelos utilizados, los errores en el diseño de proyectos, la evaluación
inadecuada de contratos o de la complejidad de productos, operaciones y servicios,
los errores en la información contable, la inadecuada compensación, liquidación o
pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada
documentación de operaciones, así como el incumplimiento de plazos y costos
planeados.
A continuación, se muestra una serie de ejemplos puntuales:
 Inadecuado diseño de procesos / proyectos o productos: cuando existe una

incorrecta estructura en la definición de los procesos proyectos o productos
de la empresa.
 Proceso no documentado: cuando no se ha formalizado y documentado un
proceso ejecutado.
 Documentación incompleta: cuando no se cuenta con la documentación
requerida de acuerdo a lo establecido en las políticas y procedimientos, o
porque la documentación presentada no es válida.
 Ausencia de políticas: cuando no existen políticas definidas para un proceso
o producto determinado.
 Políticas inadecuadas: cuando las políticas que han sido definidas para un
proceso o producto determinado, no corresponden a los lineamientos del
mismo.
 Capacidad instalada insuficiente: Cuando el conjunto de bienes de capital
que el Grupo Graña y Montero posee, limitan la oferta de productos y
servicios en un momento dado.
 Falta de automatización de los procesos: cuando se realizan tareas
habitualmente por operadores humanos, y que la realización de tales
procedimientos manuales, presentan falencias en el resultado final.
 Información desactualizada: cuando la información presentada carece de
confiabilidad por ser caduca y/o irreal.
 Debilidades en el control interno cuando el plan de organización y el
Código: GRC-MA-01
Fecha: 29/05/2019
conjunto de métodos y medidas de control adoptadas en los procedimientos

no protegen/resguardan sus activos, no verifican la exactitud y confiabilidad
de los datos contables, o no garantizan la eficiencia, productividad y custodia
en las operaciones según las exigencias ordenadas por la gerencia o las
entidades de control
 Debilidades en la seguridad física: cuando la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas
ante amenazas a los recursos e información confidencial, no protegen
eficazmente a los activos y a los medios de almacenamiento de datos.
 Contratos inadecuados (incompletos): cuando los contratos muestran
inconsistencias porque la información presentada no es correcta, o porque
las condiciones del mismo no son claras.
 Selección inadecuada de los proveedores: cuando los productos o servicios
del proveedor seleccionado no tienen un alto impacto positivo en la
productividad, calidad y competitividad de la empresa.
 Ausencia de un plan de contingencia: cuando ante una situación incierta, no
se han decidido escenarios y objetivos, ni se han definido las acciones
directivas y técnicas requeridas para superar la eventualidad y la estructura
de los posibles sistemas de respuesta con el fin de responder el incidente son
deficientes.
 Inadecuada implementación de procesos / productos: cuando los procesos
/ productos diseñados, presentan falencias en su funcionamiento, y no
tienen el alcance deseado.
 Deficiencias en el proceso de generación y manejo de información: cuando
los controles establecidos en determinada información no corresponden a su
nivel de clasificación.
 PERSONAL
Las empresas deben gestionar apropiadamente los riesgos asociados a las personas
de la empresa, relacionadas a la inadecuada capacitación del personal, negligencia,
error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información
sensible, entre otros.
Las personas son identificadas como factor de riesgo operacional por las siguientes
causas:
 Perfil inadecuado: cuando el perfil del funcionario no es el requerido por el

cargo a desempeñar.
 Rotación inadecuada del personal: cuando a un funcionario se le asigna una
nueva función, sin que sus competencias vayan acordes a lo requerido por el
Código: GRC-MA-01
Fecha: 29/05/2019
nuevo cargo.
 Pérdida del personal clave – concentración del conocimiento: cuando un
colaborador del Grupo Graña y Montero deja de pertenecer a la Institución,
afectando al desarrollo eficiente del proceso.
 Negligencia (descuido - olvido): cuando un funcionario comete una omisión
en su diligencia profesional exigible en el desempeño de su actividad,
generando pérdidas para la Institución.
 Falta de capacitación: cuando por falta de entrenamiento en las labores para
la que un funcionario fue contratado, no desempeña satisfactoriamente sus
funciones, presentando falencias en su gestión diaria.
 Ausencia de un régimen de sanciones: cuando la reincidencia de
negligencias graves cometidas por un funcionario, no son castigadas acorde
al impacto producido en la empresa.
 Proceso de selección de personal inadecuado: cuando un funcionario
ingresa al Banco sin cubrir los requerimientos del puesto.
 Accidente de trabajo: cuando la empresa no garantiza las condiciones del
lugar y del ambiente de trabajo por lo que pueden suceder accidentes de
trabajo con consecuencias en la integridad de sus empleados.
 Enfermedad laboral: cuando la empresa no garantiza las condiciones del
lugar y del ambiente de trabajo por lo que pueden generarse enfermedades
en sus empleados.
 Actividades no autorizadas: cuando un funcionario comete abuso de
confianza y ejecuta actividades que están explícitamente prohibidas para la
función que desempeña.
 Divulgación de información no autorizada: cuando un funcionario tiene
acceso a información confidencial y para beneficio propio o de terceros, la
da a conocer sin previa autorización.
 Fraude interno: cuando un funcionario comete actos indebidos, con la
finalidad de enriquecerse ilícitamente apropiándose indebidamente de
bienes o servicios de la empresa.
 TECNOLOGIA DE INFORMACION
Las empresas deben gestionar los riesgos asociados a la tecnología de información,

relacionados a fallas en la seguridad y continuidad operativa de los sistemas
informáticos, los errores en el desarrollo e implementación de dichos sistemas y la
compatibilidad e integración de los mismos, problemas de calidad de información,
la inadecuada inversión en tecnología, entre otros aspectos.
Una descripción más detallada se muestra a continuación:
Código: GRC-MA-01
Fecha: 29/05/2019
 Falta de capacidad de las telecomunicaciones: cuando la capacidad del

medio de comunicación se satura y en consecuencia se aborta la
comunicación de datos.
 Falta de capacidad del hardware: cuando el hardware se ha deteriorado por
su uso y en consecuencia la información almacenada puede perderse o
dañarse.
 Debilidades en la seguridad informática cuando existen vulnerabilidades de
seguridad en los sistemas informáticos debido a una falta de configuración
adecuada o a la falta de implementación de un Plan de Seguridad.
 Errores en el diseño de las interfaces: cuando el usuario no puede encontrar
la respuesta que espera porque el programa no le permite interactuar con la
información y la computadora.
 Errores en el diseño de los aplicativos: cuando los aplicativos diseñados no
cumplen los requerimientos del usuario final.
 Errores en la parametrización de las transacciones / productos: cuando los
parámetros, códigos o tablas de información general de los sistemas
informáticos no han sido ingresados adecuadamente, produciendo errores
en el procesamiento de información.
 Fallas en la asignación de perfiles de usuarios: cuando la unidad responsable
de ejecutar el control de acceso a los aplicativos, debido a un error o
limitación del software, produce que el usuario final no tenga acceso a los
aplicativos requeridos por su perfil, o en su defecto puede acceder a ciertos
aplicativos a los cuales no debería tener acceso.
 Fallas en el funcionamiento de hardware: cuando el hardware instalado se
bloquea o anula temporalmente, causando retraso en la ejecución de un
programa por parte del usuario final.
 Mal funcionamiento de software: cuando los programas instalados
necesarios para hacer posible la realización de una tarea específica presentan
falencias en su ejecución y desarrollo.
 Falla en redes: cuando se presentan interferencias en la transmisión, emisión
o recepción de la información, a través de uno de los sistemas utilizados para
hacer posible la comunicación entre uno o varios usuarios.
 Fallas en la definición de perfiles de usuario: cuando el Propietario de Perfil
y Propietarios de Información han definido y solicitado la implementación de
un perfil sin considerar la segregación de funciones.
Código: GRC-MA-01
Fecha: 29/05/2019
 EVENTOS EXTERNOS
Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al
control de la empresa. En tal sentido, entre otros factores, se tomarán en
consideración los riesgos legales, las fallas en los servicios públicos, la ocurrencia
de desastres naturales, atentados y actos delictivos, así como las fallas en servicios
críticos provistos por terceros.
Una descripción más detallada se muestra a continuación:
 Fallas en el suministro de energía: cuando se producen cortes de energía y/o

la planta de suministro de energía, no es puesta en funcionamiento
inmediatamente, generando la paralización temporal de las actividades de la
Institución.
 Catástrofes naturales: cuando se producen eventos naturales que atentan
contra la integridad de las instalaciones de la empresa.
 Disturbios civiles: cuando suceden revueltas sociales que atentan contra la
integridad de las instalaciones de la empresa.
 Actos terroristas: cuando se presentan actos violentos y vandálicos que
atentan contra la integridad de las instalaciones de la empresa.
 Incumplimiento de contratos de terceros: cuando a pesar de estar claras las
condiciones del contrato firmado con terceros, la parte contraria lo incumple
deliberadamente.
 Fraude externo / asalto / robo: cuando la empresa es estafada en
confabulación o no con funcionarios de Grupo Graña y Montero, y/o las
instalaciones del Grupo Graña y Montero son abordadas por los dueños de
lo ajeno.
 Negligencia profesional de terceros: cuando personas ajenas a la Institución,
cometen un error grave, atentando con los intereses del Grupo Graña y
Montero.
 Intrusión en los sistemas informáticos: cuando existe la presencia de
hackers, que atentan contra la integridad de los sistemas informáticos con el
propósito de cometer algún tipo de fraude en contra del Grupo Graña y
Montero.
 Intrusión en instalaciones físicas: cuando personas ajenas a la Entidad, se
apoderan Inescrupulosamente de las instalaciones físicas del Grupo Graña y
Montero, para obtener algún tipo de beneficio ilícito.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 10 – Esquema para la Clasificación por Tipo de Evento
correspondiente.
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 11 – Cláusula de Riesgo Operacional

Cláusula modelo a insertar en los contratos de los proveedores de servicios
Por la presente Cláusula, las partes acuerdan que las prestaciones pactadas en el presente
contrato que sean de cargo de EL PROVEEDOR, podrán ser objeto de revisión por parte
de El Grupo Graña y Montero y su sociedad de auditoría externa y en el momento que así
lo consideren conveniente, obligándose EL PROVEEDOR, consecuentemente, a facilitar
todos los medios necesarios a las personas antes mencionadas para efectuar dichas
revisiones.
Para tal fin, bastará que El Grupo Graña y Montero envíe una comunicación a EL
PROVEEDOR con tres días calendarios de anticipación.
El incumplimiento de las obligaciones asumidas por EL PROVEEDOR y El Grupo Graña y

Montero través de la presente cláusula, constituye causal de resolución del presente
Contrato
Código: GRC-MA-01
Fecha: 29/05/2019
Anexo 12 – Niveles e indicadores de apetito y tolerancia al riesgo
Código: GRC-MA-01
Fecha: 29/05/2019
Control de documento
El documento debe ser revisado ante cambios normativos y mejoras en el proceso.
HISTORIA DEL DOCUMENTO

Nombre del Documento Manual de Riesgos
Área responsable Gerencia de Riesgos y Monitoreo
Diego Cisneros
Revisado por Gerente Riesgos y Fecha de Revisión 29 – 05 – 2019
Monitoreo
Fernando Dyer
Gerente Corporativo
Fecha de Revisión 29 – 05 – 2019
de Riesgos y
Cumplimiento
Aprobado para Comité Riesgos y Fecha de

29 – 05 – 2019
publicación por Cumplimiento Aprobación
Directorio de Graña Fecha de

29 – 05 – 2019
y Montero S.A.A. Aprobación
CONTROL DE VERSIONES
Fecha de
Versión Creación o Responsable Comentario
actualización
Fernando Dyer
Gerente
1.0 29 – 05 – 2019 Corporativo de
Riesgos y
Cumplimiento
Diego Cisneros
Gerente de
1.1 04 – 02 – 2020 Actualización de logo
Riesgos y
Monitoreo

2019 05 29ManualRiesgos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2019 05 29ManualRiesgos PDF

Cargado por

Copyright:

Formatos disponibles

Código: GCRC-MAN-001

MANUAL DE RIESGOS Versión: 1.0

1.5 Normativa Relacionada 4

1.6 Modelo de tres líneas de defensa para la gestión de los riesgos 6

1.7 Características principales del modelo para la gestión de los riesgos 7

1.8 Definiciones Generales 9

2 RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS 18

2.2 Comité de Riesgos y Cumplimiento 18

2.3 Gerencia Corporativa de Riesgos y Cumplimiento 19

2.4 Gerencia General Corporativa 20

2.5 Gerencias Corporativas o Primera Línea 20

2.6 Gerencia de Riesgos y Monitoreo 21

2.7 Funcionarios y Gerentes que reportan a Gerentes Corporativos 22

2.8 Función del Coordinador de Riesgo de Unidad de Negocio 23

2.9 Auditoría Corporativa 24

2.10 Colaboradores del Grupo Graña y Montero 24

3 PROCEDIMIENTO DE EVALUACION DE RIESGOS 25

3.1 Definición del Apetito y Tolerancia de Riesgos 25

3.2 Procedimiento de Priorización de Macro Procesos de Negocios 25

3.3 Taller de Autoevaluación de Riesgos 26

3.4 Identificación de expertos o especialistas 26

3.5 Identificación de Riesgos 26

3.6 Análisis y evaluación de Riesgos 26

3.7 Establecimiento de Control 28

3.8 Diseño de los controles 29

3.9 Tratamiento de los riesgos 30

3.10 Seguimiento y control 31

3.11 Seguimiento al Plan Anual de Riesgo 32

3.12 Información y comunicación de la Matriz de Riesgos 32

3.13 Procedimientos de la Gestión de Indicadores 33

3.14 Procedimientos de Evaluación de Riesgos previo a Lanzamientos de Nuevos

Anexo 1 – Ejemplos de Controles de prevención, detección y corrección 36

Anexo 2 – Esquema de Incentivos 38

Anexo 3 – Matriz de Toma de Riesgos (apetito y tolerancia) 40

Anexo 4 – Macro Procesos Grupo Graña y Montero 41

Anexo 5 – Cuadros de Probabilidad - Impacto 42

Anexo 6 – Tipos de Eventos de Pérdidas por Riesgos 45

Anexo 7 – Criterios para evaluar la Fortaleza del Control 51

Anexo 8 – Categorías de Pérdida operativas 52

Anexo 9 – Factores de Riesgo Operacional 54

Anexo 10 – Esquema para la Clasificación por Tipo de Evento 59

Anexo 11 – Cláusula de Riesgo Operacional 60

Anexo 12 – Niveles e indicadores de apetito y tolerancia al riesgo 61

En caso de preguntas sobre este Manual contacte al Gerente Corporativo de Riesgos y

1.5 Normativa Relacionada

ENTIDAD DOCUMENTO NORMATIVO

Ley n° 30424 - ley que regula la responsabilidad

DS N°002-2019-JUS Reglamento de la ley n° 30424 – ley que

Ley N° 30737 - ley que asegura el pago inmediato de la

ENTIDAD DOCUMENTO NORMATIVO

Departamento The Foreign Corrupt Practices Act of 1977 (FCPA)

Superintendencia Circular G-139-2009 – Gestión de la Continuidad de Negocio

Política de Lavado de Activos y Financiamiento del terrorismo

Manual de Continuidad del Negocio

Política y Procedimiento Corporativo de DD

1.6 Modelo de tres líneas de defensa para la gestión de los riesgos

El modelo distingue tres líneas de actividades que participan en la gestión y supervisión

La segunda línea contempla las funciones de supervisión de riesgos, y cumplimiento de

En la tercera línea es la Auditoria Interna, la cual aporta el aseguramiento independiente

Finalmente, el modelo de líneas de defensa se sustenta en un adecuado gobierno

2.- Riesgos y Cumplimiento

3.- Auditoría Interna

1.7 Características principales del modelo para la gestión de los riesgos