Manual de Gestion de Riesgo Operacional

Manual de Gestin de Riesgo Operacional El presente manual tiene por objetivo dar a conocer los procesos, polticas, responsabilidades de las reas involucradas y documentos relacionados a la Administracin de Riesgos Operacionales. rea responsable: Divisin de Riesgo Operativo

Pg: 2 de 59

Manual de Gestin de Riesgo Operacional

ndice

Inicio de vigencia

Mapa de Procedimientos 13/09/2010 Pg. 4

Captulo I Conceptos Generales

22/08/2011

Pg. 5

Captulo II Lineamientos Operativos

04/01/2012

Pg. 10

Captulo III Responsabilidades

04/01/2012

Pg. 19

Captulo IV Procedimientos

1. Captura de eventos de prdida 2. Seguimiento a la captura de eventos de prdida 3. Autoevaluacin de riesgos operacionales 4. Gestin de autoevaluacin de riesgos operacionales en

productos y cambios significativos. 5. Registro de autoevaluaciones manuales en el software de

gestin 6. Definicin de indicadores de riesgo 7. Monitoreo de indicadores de riesgo 8. Generacin y seguimiento de Issues y Planes de Accin 9. Procedimiento para actualizacin de Coordinadores de Riesgo 10. Actualizacin y seguimiento del tablero de control de riesgo

operativo. 11. Evaluacin de locaciones especiales y tercerizaciones

04/01/2012 10/06/2011 04/01/2012 04/01/2012

10/06/2011

07/01/2009 07/01/2009 07/01/2009 07/01/2009 10/06/2011 22/08/2011

Pg.27 Pg.31 Pg.32 Pg.35

Pg. 39

Pg. 40 Pg. 42 Pg. 44 Pg. 47 Pg. 48 Pg. 49

Captulo V Anexos

1. Reporte de evento de prdida 2. Tipos de evento de prdida 3. Categoras de riesgo 4. Contenido del expediente para documentar eventos de prdida 5. Documentacin para eventos de prdida superiores a

S/.150,000 6. Formato para evaluacin de Productos Nuevos y/o Cambios

Significativos operativos o informticos

11/11/2008 13/09/2010 13/09/2010 13/09/2010 13/09/2010

13/09/2010

Pg. 49 Pg.50 Pg. 52 Pg. 55 Pg. 56

Pg. 58

Pg: 3 de 59


Documentos relacionados Resolucin S.B.S. No. 037-2008 Reglamento de la Gestin Integral de Riesgos.

Resolucin S.B.S. No. 2115-2009 Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional.

Resolucin S.B.S. No. 2116-2009 Reglamento para la Gestin del Riesgo Operacional.

Circular No. G-140-2009 Gestin de la Seguridad de la Informacin.

Circular No. G-139-2009 Gestin de la Continuidad del Negocio.

Manual de polticas de Gestin Integral de Riesgos

Instructivo Contratacin de proveedores. La informacin contenida en este documento y sus anexos son propiedad de Interbank, es de uso privilegiado, confidencial y solo puede ser utilizado por sus colaboradores y/o entes reguladores. Si usted no se considera de ninguno de los grupos de inters antes mencionados no deber examinar, usar, copiar o distribuir parcial o totalmente este documento o la informacin que contiene. Si lleg a su poder por error, por favor elimnelo. Cualquier retencin o distribucin total o parcial no autorizada de este documento esta estrictamente prohibida y sancionada por ley.
http://ndoprd/ndo/RegistraLectura.asp?doc=Documentos/Manuales/Manuales%20de%20Politicas/Manual_de_Polticas_de_Gestin_Integral_de_Riesgos.pdfhttp://ndoprd/ndo/RegistraLectura.asp?doc=documentos/Instructivos/NYP%202011/VAR-015-INS2011.PDF

Pg: 4 de 59


Mapa de procedimientos

Marco general para la gestin de riesgos operacionales

La administracin de los riesgos operacionales se basa en:

Direccin: Establecimiento de polticas y definicin de la estructura de riesgos de operacin a fin de implementar dichas polticas.

Identificacin: Definicin y documentacin de la exposicin al riesgo entre las lneas de procesos y proyectos.

Medicin: Calificacin y cuantificacin de los riesgos y prdidas tanto en valores financieros como en calidad.

Control: Identificacin, seguimiento e inspeccin de los eventos de riesgo y resolucin de los mismos.

Mitigacin: Manejo proactivo de la exposicin al riesgo.

Identificacin

Medicin

Control

Mitigacin

Direccin

Autoevaluacin de Riesgos

Captura de Eventos de Prdida

Mejora de Procesos

Adelanto Tecnolgico

Plan de Continuidad de Negocio

Desarrollo de Controles de Negocio

Aseguramiento de Calidad de Proyectos

Evaluacin de preparacin

de proyectos

Tablero de Reportes

Reportes Regulatorios

Aseguramiento de Calidad

Asignacin de Capital

Consistencia en todos los niveles

Revisin Independiente

Control de Auditoria

Capital Econmico

Indicadores de Riesgos

Mapa de Procesos

Estrategia & Diseo

Implementacin Mitigacin

Pg: 5 de 59


1. Conceptos generales

1.1 Conceptos bsicos

ADMINISTRACIN DE RIESGOS

Proceso que consiste en identificar, medir, controlar y reportar los riesgos que la empresa enfrenta.

APETITO DE RIESGO.

El nivel de riesgo que el banco est dispuesto a asumir en su bsqueda de rentabilidad y valor.

COORDINADOR DE RIESGO

Miembro de la organizacin responsable de gestionar la implantacin de la metodologa de administracin de riesgos operacionales en el producto que participa.

GERENTE DEL PRODUCTO

Miembro de la organizacin responsable de liderar la gestin integral de un producto y/o servicio de manera integral.

EXPOSICIN AL RIESGO

Medida que representa el grado de posibilidad de ocurrencia de un evento negativo o adverso, as como el impacto del mismo en el banco al momento de materializarse.

LNEA DE NEGOCIO

Es una especializacin del negocio que agrupa procesos encaminados a generar productos y servicios especializados para atender un segmento de mercado objetivo definido en la planificacin estratgica.

NEGOCIO / PRODUCTO

Es la unidad operativa o foco de planeamiento que vende un conjunto de productos o servicios a un grupo identificable de clientes.

MAPEAR

Estructurar la informacin de los productos y servicios, asocindoles la Divisin responsable del producto (unidad de negocio), procesos que lo soportan y mbito geogrfico donde se ofrecen (ubicacin geogrfica).

PROCESO

Conjunto de actividades, tareas y procedimientos organizados y repetibles.

PROCESO CRTICO

Proceso considerado indispensable para la continuidad de las operaciones y servicios del banco.

RIESGO

La condicin en que existe la posibilidad de que un evento ocurra e impacte negativamente sobre los objetivos del banco.

RIESGO OPERACIONAL

La posibilidad de incurrir en prdidas debido a procesos inadecuados, fallas del personal, de la tecnologa de informacin, o eventos externos. Esta definicin incluye el riesgo legal, pero excluye el riesgo estratgico y de reputacin.

RIESGO LEGAL

Posibilidad de incurrir en prdidas financieras debido a la falla en la ejecucin de contratos o acuerdos, al incumplimiento no intencional de las normas, as como a factores externos, tales como cambios regulatorios, procesos judiciales, entre otros.

SERVICIOS CRTICOS PROVISTOS POR TERCEROS

Servicios relacionados a procesos crticos provistos por terceros, cuya realizacin podra ser razonablemente desarrollada por el banco.

Pg: 6 de 59


TERCERIZACIN / SUBCONTRATACIN

Modalidad de gestin mediante la cual una empresa contrata a un tercero para que ste desarrolle un proceso que podra ser realizado por la empresa contratante y que pertenezca a su giro de negocio.

TOLERANCIA AL RIESGO

Desviacin aceptable respecto a los objetivos empresariales trazados.

TECNOLOGA DE INFORMACIN

Incluye los sistemas informticos y la tecnologa asociada a dichos sistemas.

1.2 Conceptos relacionados a la autoevaluacin de riesgos

ACEPTACIN DE RIESGO

Es la decisin bajo la cual se aceptan las consecuencias de un riesgo en particular, dentro de las polticas aprobadas para el apetito y tolerancia por el riesgo.

CONTROL

Acciones o mecanismos que forman parte de un proceso o actividad, y cuyo objetivo es la reduccin de la probabilidad de ocurrencia de eventos asociados a los riesgos inherentes de dicho proceso o actividad.

MITIGADOR

Cualquier accin o mecanismo que permita disminuir el impacto de un riesgo sobre los resultados, operaciones o competitividad del banco.

FRECUENCIA

Es el nmero de ocurrencias de un evento en un periodo dado.

SEVERIDAD

Consecuencia o consecuencias de un evento, expresado en trminos cuantitativos. Usualmente se expresar en trminos monetarios, como prdidas financieras. Tambin es llamado impacto.

1.3 Conceptos relacionados a la recoleccin de eventos de prdida

EVENTO

Es un suceso o series de sucesos derivados de los factores de riesgo operacional originados por la(s) misma(s) causa(s), que ocurren durante un periodo de tiempo, afectando el curso normal de los procesos de la entidad.

SUCESO

Serie de ocurrencias relacionadas que impactan a los productos del banco durante un periodo de tiempo definido.

EVENTO DE PRDIDA POR RIESGO OPERACIONAL

Un evento de riesgo operacional es la prdida resultante de procesos inadecuados o de un fallo en la ejecucin de los mismos, el personal y los sistemas internos o bien de acontecimientos externos

PRDIDA OPERACIONAL

Todo impacto negativo o reduccin en la cuenta de resultados o en la situacin patrimonial del banco susceptible de tener reflejo contable, cuyo origen sea un evento de prdida por riesgo operacional.

EVENTOS DE PRDIDA ASOCIADOS CON EL RIESGO OPERACIONAL

Se consideran eventos de prdida asociados con la ocurrencia de riesgos operacionales las siguientes:

Fraude interno.- Prdidas derivadas de algn tipo de actuacin encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o polticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilcito.

Pg: 7 de 59


Fraude externo.- Prdidas derivadas de algn tipo de actuacin encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislacin, por parte de un tercero, con el fin de obtener un beneficio ilcito.

Relaciones laborales y seguridad en el puesto de trabajo.- Prdidas derivadas de actuaciones incompatibles con la legislacin o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daos personales, o sobre casos relacionados con la diversidad o discriminacin.

Clientes, productos y prcticas empresariales.- Prdidas derivadas del incumplimiento involuntario o negligente de una obligacin empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuacin), o de la naturaleza o diseo de un producto.

Daos a activos materiales.- Prdidas derivadas de daos o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.

Interrupcin del negocio y fallos en los sistemas.- Prdidas derivadas de interrupciones en el negocio y de fallos en los sistemas.

Ejecucin, entrega y gestin de procesos.- Prdidas derivadas de errores en el procesamiento de operaciones o en la gestin de procesos, as como de relaciones con contrapartes comerciales y proveedores.

RECUPERACIN

Porcin de la prdida que logra ser recuperada (por ejemplo, monto reconocido por compaa de seguros).

INVESTIGADOR DE EVENTOS

Responsable de realizar seguimiento, captura de informacin, clasificacin, elaboracin de los files con documentacin de acuerdo a polticas y registro de informacin complementaria de los eventos de prdidas en el sistema.

PERSONAL CLAVE

Miembro de la organizacin responsable de apoyar al Coordinador de Riesgo Operativo en la recoleccin de informacin y cuantificacin del evento de prdida.

BASE DE DATOS DE EVENTOS DE PRDIDA

La recopilacin sistemtica de los eventos de prdida y la informacin relacionada a estos, como son: descripcin, causas, recuperos y consecuencias se almacenar en una base de datos.

Los principales datos a registrarse en la base son:

Descripcin del evento

Nombre del Evento: Descripcin corta del evento.

Descripcin: Descripcin larga del evento incluye antecedentes y/o circunstancias del evento.

Cuenta Contable

Referencia Contable

Centro de Costo

Observaciones

Consecuencia del evento

- Prdida operacional

Todo evento que gener un impacto negativo en el estado de resultados o en el patrimonio de la entidad cuyo origen se deriva de un evento de riesgo operacional.

- Cuasi prdida

Evento de riesgo operacional que debiera o podra materializarse como evento de prdida, sin embargo, la prdida no se produce debido a una situacin fortuita distinta del control.

Pg: 8 de 59


- Ganancia

Son eventos de riesgo operacional, relacionados a operaciones de mercado de valores, monedas y tesorera donde las consecuencias de su materializacin generan nicamente ingresos extraordinarios

- Ingreso No Percibido

Ingreso real que la entidad deja de percibir por la ocurrencia de un evento de riesgo operacional, cuando la transaccin se ejecut. Por ejemplo, comisiones no cobradas a los clientes por algn evento de riesgo operacional.

Costes Asociados

Moneda : moneda en la que se registra contablemente el evento

Prdida total

Monto resultante de la materializacin de un evento por todos los riesgos asociados.

Prdida directa.

Monto como resultado directo de un evento de prdida por riesgo operacional.

Gastos por compensacin

Monto asumido como compensacin por eventos de riesgos operacionales materializados.

Gastos de investigacin

Monto resultante de los gastos ocasionados por la investigacin del evento.

Gastos legales

Monto resultante de los gastos legales por la gestin de un evento materializado.

Otros gastos

Cualquier otro gasto asumido por el banco como consecuencia de la materializacin del evento de riesgo operacional.

Monto bruto

Es el resultado de la agregacin de la prdida directa, gastos de compensacin, gastos de investigacin, gastos legales, otros gastos menos los ingresos por ganancias extraordinarias.

Monto neto de prdida

Es el Monto bruto de la prdida menos todos los recuperos realizados.

Fechas Asociadas

Fecha de identificacin.

Fecha en la cual se identific el evento de prdida

Fecha de contabilizacin

Fecha en la que se realiz el registro contable del evento.

Fecha del primer suceso

La fecha en la cual un evento ocurre o la primera ocurrencia de la serie de sucesos del evento (primera vez).

Fecha del ltimo suceso

Fecha en que ocurri por ltima vez un suceso del evento reportado. La combinacin de la primera fecha del suceso y ltima determinarn el periodo del evento.

Clasificacin del evento

Tipo de evento de prdida, ver anexo 4 del presente manual.

Categora de riesgo: causas

Pg: 9 de 59


Clasificacin del evento por riesgo de crdito, de mercado y/o operacional. Identificacin si el evento est asociado con otro tipo de riesgo.

Unidad que identifico el evento, clasificacin en funcin de la divisin del banco que report el evento

Confidencialidad criterio para restringir el acceso a la informacin del evento

Recuperacin

Tipo de recuperacin clasificacin segn su procedencia (recuperacin por seguros o por gestiones de la entidad)

Descripcin: descripcin genrica de los antecedentes de la recuperacin, ejemplo: tipo de pliza.

Comentarios: descripcin de los antecedentes y circunstancias especficas de la recuperacin, en el caso de la aplicacin de un seguro el nmero de pliza.

Fecha de recuperacin

Moneda (en la misma moneda del evento de prdida)

1.4 Conceptos relacionados a los planes de accin

ISSUE

Problema identificado por las exposiciones medidas en el proceso de auto evaluacin, recoleccin de eventos de prdidas o valorizacin de los indicadores y que requiere tratamiento de acuerdo a las polticas de apetito por riesgo operacional.

PLAN DE ACCIN

Conjunto de acciones enfocadas a mitigar la exposicin al riesgo operacional.

1.5 Conceptos relacionados a la definicin de indicadores de riesgo

INDICADOR DE RIESGO OPERACIONAL (KRI)

Medida utilizada para indicar que tan riesgosa es una actividad, permitiendo representar la dimensin terica o especfica de un factor de riesgo considerado clave. Dicho valor es calculado en base a datos reales de las operaciones del banco.

NIVEL DE ALERTA / NIVEL CRTICO

Umbral establecido para identificar si el valor del KRI se est moviendo en los niveles previstos. Estos lmites permiten identificar con antelacin cuando el nivel de exposicin se est incrementando, al punto que pudiese traducirse en prdidas futuras para el banco.

Pg: 10 de 59


2. Lineamientos operativos

Polticas generales

El Directorio propicia una eficiente gestin del riesgo operacional y un ambiente interno que facilite su desarrollo adecuado, delegando las facultades necesarias para dicho fin en el Comit de gestin integral de riesgos.

Las polticas generales que rigen la gestin de riesgo operacional y en particular las referidas al apetito y tolerancia al riesgo debern ser aprobadas por el Comit de gestin integral de riesgos.

Las polticas especficas, procesos y metodologas que formule la Divisin de Riesgo Operacional debern ser aprobadas por la Vicepresidencia de Riesgos y debern garantizar una adecuada gestin de riesgo operacional siendo de obligatorio cumplimiento y observancia de todo el personal.

La Vicepresidencia de Riesgos a travs de la Divisin de Riesgo Operacional es la encargada de apoyar y asistir a las dems unidades de negocios y soporte del banco en la gestin del riesgo operacional en sus reas de responsabilidad y para ello deber ser independiente de las unidades de negocio y soporte.

Los resultados de la gestin del riesgo operacional sern reportados bimestralmente al Comit de Gestin Integral de Riesgos. La Divisin de Riesgo Operativo ser responsable de preparar el respectivo informe. El Comit de Gestion Integral de Riesgos dar cuenta al Directorio de estos informes y en los casos que lo considere pertinente, solicitar a la VP de Riesgos y/o Gerente de la Divisin de Riesgo Operativo que exponga y sustente el referido informe ante el Directorio.

La gestin de riesgo operacional es integral y abarca a toda la organizacin teniendo como base a los responsables a las diversas unidades de negocio y soporte que la componen.

Los Gerentes de Divisin, Coordinadores de Riesgo Operativo y personal involucrado en los procesos de negocio y soporte, debern gestionar el riesgo operacional en los procesos y productos bajo su responsabilidad cumpliendo las polticas comprendidas en el presente manual.

La Divisin de Riesgo Operativo evaluar anualmente las necesidades de capacitacin de los Gerentes, Ejecutivos y Colaboradores de acuerdo al perfil del rol que desempeen en la Gestin de Riesgo Operacional.

La evaluacin de la gestin del riesgo operacional deber contar con una revisin independiente por parte de una Sociedad de Auditora Externa, al menos cada tres aos

Polticas relacionadas a la gestin de incentivos monetarios y no monetarios

Se debe establecer un sistema de incentivos monetarios y no monetarios dirigido a los Gerentes de Producto y Coordinadores de Riesgo responsables de la gestin de los riesgos operacionales en los productos que administran.

Los incentivos monetarios estarn directamente relacionados al grado de cumplimiento en la gestin de riesgo operacional.

La Divisin de Riesgo Operativo en coordinacin con la Divisin de Gestin y Desarrollo Humano disearn y presentarn al Comit de Gestin Integral de Riesgo la propuesta anual de incentivos Monetarios y No Monetarios.

El Comit de gestin integral de riesgos aprobar anualmente las metas para el indicador de cumplimiento, el cual deber reflejar el cumplimiento de reporte sobre la gestin de riesgos operacionales en los procesos habituales.

La Divisin de Riesgo Operativo reportar mensualmente a cada Gerente de Producto, Coordinador de Riesgo y al Vicepresidente correspondiente los resultados que van obteniendo.

El Comit de Gestin Integral de Riesgos tomar conocimiento del avance y resultados que se vayan obteniendo.

Se considerarn incumplimientos de las polticas de riesgo operacional los siguientes puntos:

- Omitir informar sobre eventos de prdida de riesgo operacional.

Pg: 11 de 59


- Omitir comunicar/gestionar la autoevaluacin de riesgos operacionales de forma previa al lanzamiento de nuevos productos o cambios significativos en el ambiente operativo e informtico.

- Omitir informar los indicadores de riesgos.

- No gestionar u omitir informar la situacin de mitigacin de los riesgos considerados dentro de planes de accin.

- No implementar acciones de mitigacin por parte de las Divisiones de Soporte; en el caso de que los planes para tratar los riesgos o prdidas operacionales requieran de su participacin.

- Incumplir en informar de manera previa la tercerizacin de procesos o funciones significativas segn las normas internas.

Una vez concluido el ao la Divisin de Riesgo Operativo reportar a la Divisin de Gestion y Desarrollo Humano los resultados finales y se proceder a efectivizar el incentivo econmico y no econmico. El plazo mnimo de gestin de los Gerentes de Producto y Coordinadores de Riesgo para ser incluidos en el beneficio ser de seis meses.

Polticas relacionadas al apetito y tolerancia por riesgo operacional

El Comit Gestin Integral de Riesgos es el rgano responsable de aprobar las polticas de apetito y tolerancia al riesgo.

El Comit de Gestin Integral de Riesgos podr solicitar a la unidad especializada la revisin de los lmites en caso considere que el perfil de riesgos del banco haya sufrido cambios significativos teniendo en cuenta la complejidad y tamao de la Institucin.

El apetito y tolerancia por riesgo operacional se expresa en los productos del banco, con el fin de facilitar su entendimiento y han sido clasificados segn el siguiente cuadro:

Tipo Descripcin

A Cambios, derivados, inversiones, tarjeta de crdito.

B Captaciones, convenios, depsitos PN, financiamientos comex, pagar, tarjeta de dbito.

C Arrendamiento financiero, cartas de crdito, cartas fianzas, crditos estructurados, depsitos PJ, hipotecario, negocio inmobiliario, pequea empresa, stand by, switching.

D Administrar las relaciones externas y atencin al usuario, cuenta corriente pj, factoring de importacin, forneas, servicio de pago, servicio de recaudacin, servicios no financieros de soporte en ti, servicios no financieros de soporte operativo (custodio)

E Administrar la informacin, administrar los recursos financieros y procesos contables, administrar los recursos fsicos, almacenamiento de depsitos (fsico y financiero), cobranza internacionales, desarrollar y administrar los recursos humanos, descuento de letras y facturas, factoring., prstamos efectivo y fcil, prstamos vehicular, transferencias internacionales.

F Administrar la mejora y el cambio, banca seguros, cuenta corriente pn, factoring de exportacin, forfaiting, remesas.

El Gerente de producto es responsable de garantizar que los riesgos operacionales cumplan con aplicar la poltica de apetito, estos son identificados y valorados dentro de las autoevaluaciones peridicas para los productos y productos nuevos / cambios importantes en el ambiente operativo e informtico.

El apetito por riesgo operacional se manifiesta en las decisiones de aceptar la situacin encontrada de exposicin al riesgo operacional en el momento de evaluacin; sin necesidad de establecer acciones adicionales para mitigarlos. Se considera parte activa del apetito la decisin de reducir la exposicin mediante acciones de mitigacin.

Pg: 12 de 59


Los niveles de autonoma del apetito son expresados como la exposicin anual a posibles prdidas operacionales; y permiten tomar la decisin de aceptar los riesgos asociados a las actividades de un producto y/o lnea de negocio, como sigue a continuacin:

Niveles de Autonoma para Apetito por Riesgo

(Exposicin Anual Expresado en miles de Nuevos Soles)

Niveles de Autonoma

Importe Anual por

Riesgo

Importe Anual Acumulado por Tipo de Producto

A B C D E F

Gerente de Divisin (Gerente del Producto)

< = 75 1,200 700 400 280 200 160

Gerente de Divisin y Vicepresidente del Producto

> 75 < = 150

3,000 1,750 1,000 700 500 400

Vicepresidente del Producto y Vicepresidente de Riesgos

> 150 < = 600

4,800 2,800 1,600 1,120 800 640

Comit de Gestin Integral de Riesgos

6,000 3,500 2,000 1,400 1,000 800

El Gerente de producto es responsable de garantizar que los principales riesgos operacionales cumplan con aplicar las polticas de tolerancia, estos son identificadas y valoradas dentro de los procesos de captura de eventos de prdida y seguimiento del cumplimiento de lmites de los indicadores de riesgo (KRI).

La tolerancia al riesgo operacional se manifiesta en las decisiones de aceptar la situacin encontrada durante la captura de eventos de prdida operativa neta; sin necesidad de establecer acciones adicionales para mitigarlos. Se considera parte activa de la tolerancia la decisin de reducir la exposicin mediante acciones de mitigacin.

Los niveles de autonoma de la tolerancia al riesgo son expresados para captura de eventos como el monto neto de las prdidas operacionales; y permiten tomar la decisin de aceptar los riesgos asociados a las actividades de un producto y/o lnea de negocio, como sigue a continuacin:

Pg: 13 de 59


Niveles de Autonoma para tolerancia al riesgo

(Exposicin Anual en miles de Nuevos Soles)

Niveles de Autonoma

Importe por

Evento de Perdida

Importe Anual Acumulado por Tipo de Producto

A B C D E F

Gerente de Divisin (Gerente del Producto)

< = 30 720 350 200 112 80 64

Gerente de Divisin y Vicepresidente del Producto

> 30 < = 150

1,800 875 500 280 200 160

Vicepresidente del Producto y Gerente General

>150 3,600 1,750 1,000 560 400 320

Lineamientos para la administracin de riesgos operacionales

PERSONAS

La Gerencia General deber garantizar que el banco cuente con personal calificado que ofrezca la necesaria experiencia, aptitudes tcnicas y acceso a recursos, y que la autoridad del personal encargado de controlar y asegurar el cumplimiento de las polticas para la gestin del riesgo no procede de las unidades que vigila.

Los procesos de administracin de personal, incluyendo su seleccin, evaluacin y retencin debern considerar los valores de transparencia, honestidad, integridad y otros factores, mitigando as los riesgos operacionales que puedan originarse por las personas.

El banco deber promover el desarrollo de las habilidades necesarias para garantizar el buen desempeo de los colaboradores.

Los colaboradores de Interbank desarrollarn sus funciones dentro de la normativa establecida por el banco incorporando las polticas y lineamientos de riesgo operacional y manteniendo una actitud proactiva en la gestin de los mismos.

PROCESOS

Las Divisiones del banco y sus colaboradores debern tener claramente definidas las responsabilidades y funciones del puesto que desempean con una segregacin de funciones adecuada para que no se generen conflicto de intereses y minimizar la exposicin a riesgos operacionales.

Los procesos debern contar con las mitigaciones necesarias para los principales riesgos inherentes, que garanticen el cumplimiento de las polticas de apetito y tolerancia al riesgo.

Para considerar como mitigadores a los controles definidos en los procesos debern estar definidos formalmente como polticas o procedimientos, especfico donde se describa la actividad a realizar, periodicidad y responsable de realizarla.

Los riesgos asociados a la suspensin de servicios, se gestionarn de acuerdo a las polticas de gestin de la continuidad y a travs de los planes de continuidad de negocio establecidos por sta.

Los riesgos legales relacionados a los contratos o complejidad de los productos y servicios del banco, se administrarn de acuerdo a los procesos internos para la adquisicin de bienes y servicios, as como los procesos de contratacin aprobados por el banco.

Las polticas y lineamientos para definir los servicios de terceros considerados como crticos, se establecern dentro de la gestin de la continuidad.

Pg: 14 de 59


Los servicios crticos provistos por terceros no considerados como tercerizaciones significativas, debern considerar en sus contratos los aspectos relacionados a los riesgos operacionales que podran originarse por la prestacin de los mismos.

TECNOLOGA DE INFORMACIN

La prudente gestin de los riesgos asociados a la seguridad de informacin, se administran a travs de las polticas y procedimientos para la Gestin de la Seguridad de Informacin.

Los riesgos asociados a la tecnologa de informacin cuya materializacin conlleve prdidas operacionales atribuibles a un producto y/o proceso en particular forman parte del riesgo operacional y por tanto su gestin es responsabilidad del Gerente de producto.

Los riesgos asociados a la tecnologa de informacin cuya materializacin conlleve prdidas operacionales no relacionados a un producto y/o proceso en particular, son responsabilidad de las Divisiones de tecnologa que administren el proceso afectado.

Los riesgos asociados a la interrupcin de los servicios de tecnologa, sern administrados de acuerdo a las polticas de gestin de la continuidad de negocio.

EVENTOS EXTERNOS

El rea de Seguridad de Informacin establecer las condiciones mnimas a cumplir por los proveedores para asegurar el cumplimiento de las polticas y lineamientos de seguridad de informacin en la tercerizacin significativa.

Los eventos de la naturaleza, atentados, y otros desastres razonablemente factibles de ocurrencia, debern mitigarse, en caso un anlisis costo/beneficio lo amerite, a travs del uso de seguros, plan de continuidad de negocios, o combinacin de stos segn sea la necesidad del banco.

Los contratos de seguros de los activos del banco y de los activos de sus clientes que respalden operaciones, se establecern de acuerdo a los criterios y niveles de cobertura definidos por la Divisin de Seguros.

Polticas especficas relacionadas a la autoevaluacin de riesgos

Anualmente, la Divisin de Riesgo Operacional deber preparar y ejecutar un plan de autoevaluacin de riesgos y controles en los principales productos asegurando la oportunidad y consistencia con las polticas de apetito y tolerancia al riesgo aprobadas.

La Divisin de Riesgo Operativo validar que, cada 2 aos, los procesos y productos del banco tengan autoevaluaciones para sus procesos sensibles en funcin de la posibilidad de materializar prdidas. En el caso de los productos crticos

1, estas autoevaluaciones se realizarn anualmente.

El Gerente de producto ser el responsable de la coherencia, calidad y veracidad de los resultados de la autoevaluacin, y as mismo de la gestin de los riesgos identificados de acuerdo a las polticas del presente manual.

Los Gerentes de Divisin son responsables de autoevaluar sus riesgos en los productos, servicios y procesos bajo su responsabilidad; cuya periodicidad no podr exceder los 2 aos (1 ao en el caso de productos crticos). Dicha evaluacin priorizar los procesos sensibles a materializar el riesgo operacional en prdidas econmicas.

Los principales aspectos de la gestin de cada producto y los avances y resultados del proceso de autoevaluacin de riesgos y controles deber ser informado a los niveles correspondientes.

La autoevaluacin de riesgo operacional permitir identificar y valorar los riesgos inherentes a las actividades del producto (se utilizar el escenario tpico para aplicar la poltica de apetito), por lo cual se debern identificar los factores claves que podran generar futuros eventos de prdida (Ver Tipos de Eventos de Prdida Anexo 4), con la finalidad de reconocer de manera oportuna el perfil de riesgo.

Los criterios utilizados en las autoevaluaciones para evaluacin cualitativa de la efectividad y calidad de los

controles y medidas de mitigacin, sern definidos y comunicados por la Divisin de Riesgo Operativo 2.

1 Arrendamiento Financiero, Cambios, Captaciones, Convenios, Depsitos PN, Derivados, Financiamientos Comex, Hipotecario, Inversiones, Pagar, Pequea Empresa, Tarjeta de Crdito, Tarjeta de Dbito.

2 Esta poltica no considera las pruebas de efectividad de los controles por ser parte de las actividades propias del control interno y auditora.

Pg: 15 de 59


Polticas especficas relacionadas a la recoleccin de eventos de prdida

Todo evento de prdida, informado al Coordinador de Riesgo Operativo, deber ser reportado a travs del sistema de riesgo operacional (Reveleus), a los 30 das de haberse puesto en conocimiento.

Los eventos que sean identificados por reas de soporte que afecten a los productos y servicios, debern ser reportados a los Coordinadores de Riesgos y la Divisin de Riesgo Operativo dentro de los 30 das de haberse tomado en conocimiento. En caso no se pueda identificar los productos afectados por el evento de prdida, se comunicar directamente a la Divisin de Riesgo Operativo para su anlisis.

Las reas de soporte debern asistir a los coordinadores de riesgo e investigadores de eventos en la cuantificacin, anlisis y sustento de la informacin de los eventos de prdida, proporcionndoles toda la documentacin necesaria.

El monto mnimo para el registro de eventos de prdida es de S/. 600 nuevos soles o su equivalente.

Todo evento que pudiera generar una prdida directa deber ser documentado por la divisin responsable del producto, inclusive en los casos en que el monto de la prdida fuera recuperado en su totalidad.

Los eventos de prdida operacional neta cuyos valores sean mayores a S/. 150,000 nuevos soles debern ser documentados por la divisin responsable y, adems, por la Divisin de Riesgo Operativo, la cual deber custodiar una copia electrnica idntica a los expedientes originales, pudiendo ser esta almacenada de forma electrnica (en el caso de los productos que no cuenten con Reveleus) o fsica.

Los eventos de prdida relacionados a riesgos operacionales debern ser asignados a las lneas de negocio de acuerdo a los productos y servicios asociados. En caso una prdida se relacione a ms de un producto, la Divisin de Riesgo Operativo definir el producto al cul se asignar la prdida, basndose en la mayor relacin del evento.

En caso los eventos de prdida se asocien a ms de un producto o lnea de negocio, el impacto ser distribuido de manera proporcional al total de las prdidas registradas en el ao, por cada producto o lnea vinculada para fines de gestin.

En caso los eventos de prdida sean originados por procesos de apoyo no vinculados directamente a los productos del banco, el impacto ser distribuido de manera proporcional al total de las prdidas registradas en el ao por cada uno de los productos para fines de gestin.

Los eventos de prdida que ocurran en reas de soporte debern ser reportados tanto al Coordinador de Riesgo correspondiente como a la Divisin de Riesgo Operativo.

Los eventos de prdida relacionados a un canal o a toda la institucin debern ser gestionados a nivel banco, siendo la Divisin de Riesgo Operativo quien defina el rea que realizar la investigacin y seguimiento del evento.

Las prdidas de riesgo de crdito, cuya causa u origen se relaciona a eventos de riesgo operacional, deben registrarse en la base de eventos de prdida de riesgo operacional y ser diferenciados en dicha base de datos.

Las prdidas de riesgo de mercado, cuya causa u origen se relacionan a eventos de riesgo operacional deben registrarse como eventos de prdida de riesgo operacional para todos los fines.

Los eventos de prdida se podrn cerrar en los casos donde ocurra lo siguiente:

- El evento no gener perdida efectiva de dinero, siendo que se evit la salida real del efectivo del banco. En este caso no deber quedar ninguna posibilidad que el dinero sea exigido por un tercero.

- El evento gener un perjuicio econmico para el banco y dicho perjuicio es susceptible de ser reflejado en los estados financieros; los recuperos (seguros, indemnizaciones y otras gestiones) han sido agotados por el banco y se encuentran contabilizados en cuentas de resultados al igual que las prdidas.

- El evento gener un perjuicio econmico para el banco que no es susceptible de reflejo contable; sin embargo, se ha cuantificado y bloqueado la posibilidad de futuros impactos econmicos o recuperos asociados al evento.

Pg: 16 de 59


Polticas especficas relacionadas a los planes de accin

Todo plan de accin definido deber estar siempre asociado al menos a un riesgo con exposicin no aceptada de acuerdo a las polticas de apetito y tolerancia al riesgo, as como un riesgo podr estar sujeto a varios planes de accin, a fin de lograr su mitigacin.

Los Gerentes de producto son responsables, de gestionar los planes de accin y los recursos necesarios para su ejecucin; en caso un plan de accin constituya un proyecto (duracin mayor a tres meses), deber gestionar con la aprobacin del nivel de aprobacin correspondiente.

Los Gerentes de producto tienen como plazo para el anlisis, evaluacin y registro en el sistema de las medidas que se adoptarn para llevar a cabo el plan de accin, este plazo comienza una vez tomada la decisin de mitigar el riesgo y depender de la envergadura del mismo segn el siguiente detalle:

Tipo de Plan de Accin Plazo para su Registro

Proyecto 1 mes

Accin de mejora 2 semanas

Tarea 1 semana

El Coordinador de Riesgos podr solicitar una ampliacin del plazo para el cumplimiento de un plan de accin adjuntando la aprobacin del respectivo Gerente de producto y Vice Presidente.

En el caso que la prrroga solicitada exceda los tres meses, se deber adjuntar la conformidad de la respectiva Vicepresidencia.

Polticas especficas relacionadas a la definicin de indicadores de riesgo

Los Gerentes de productos son responsables del cumplimiento de las polticas de tolerancia al riesgo. Para este fin los indicadores de riesgos son herramientas para el seguimiento; el cumplimiento de la tolerancia se realiza en cada indicador al no exceder los lmites establecidos en su definicin.

Los Gerentes de producto y Coordinadores de Riesgo Operativo debern gestionar los procesos de acuerdo a informacin generada por los indicadores, con la finalidad de garantizar que los riesgos operacionales asociados a stos se encuentren dentro de los lmites o se tomen las acciones del caso.

La Divisin de Riesgo Operativo y los Gerentes de producto debern establecer los indicadores de riesgos adecuados para cada proceso; con el fin de monitorear la exposicin al riesgo.

Los productos y procesos donde se identifiquen riesgos operacionales, cuya exposicin se considere crtica o exceda los S/. 150,000 nuevos soles y no se establezcan mitigaciones adicionales debern contar con indicadores de riesgos.

El Gerente de producto revisar los excesos de lmites en la medicin de los indicadores; aplicar acciones para su mitigacin (planes de accin) en caso sea necesario y de acuerdo a las polticas establecidas para apetito y tolerancia al riesgo.

Polticas especficas relacionadas al lanzamiento de nuevos productos y/o lineamientos relacionados a cambios significativos en el ambiente operativo o informtico

Los Gerentes de Producto y Coordinadores son responsables de gestionar los riesgos operacionales de todos los productos nuevos y cambios importantes en el ambiente operativo o informtico; para su implementacin es necesario cumplir con aplicar las polticas de apetito y tolerancia.

La mejora continua de procesos y el diseo de nuevos productos y servicios debern considerar la evaluacin de los aspectos relacionados al riesgo operacional y debern cumplir con las polticas y lineamientos del presente manual.

Se consideran lanzamientos de nuevos productos para la evaluacin de riesgos operacionales, los productos que introducen nuevos riesgos o generen cambios negativos e importantes en el nivel de exposicin al riesgo operacional.

Las polticas del banco no permiten aceptar los riesgos de incumplimiento expreso de las normas de los reguladores bancarios, polticas internas y estndares de operacin establecidos para el sistema financiero en el diseo de nuevos productos y cambios significativos en el ambiente operativo e informticos.

Pg: 17 de 59


Se consideran cambios significativos en los procesos operativos, los siguientes:

- Introduccin de nuevos riesgos o cambios importantes que afecten negativamente el nivel de exposicin al riesgo operacional. Incluye cambios en la forma de realizar las actividades de control.

- Implementacin de nuevos canales incluyendo la implantacin de una nueva sucursal en el exterior con caractersticas diferentes no revisadas anteriormente.

- Cambio en las actividades de control que afecten negativamente la segregacin de funciones.

- Eliminacin de actividades de control.

- Tercerizacin significativa de procesos que soporten a productos y/o servicios.

- Proyectos de rediseo de procesos o reingeniera de productos y/o servicios del banco.

Se consideran cambios significativos en el ambiente informtico del banco, los siguientes:

- Proyectos de tecnologa de informacin (administrados por las Divisiones de Sistemas y Tecnologa y Banca Electrnica).

- Implementacin de nuevas aplicaciones o actualizaciones de versiones con nuevas funcionalidades relacionadas al soporte de los productos y/o servicios del banco.

Se consideran cambios de menor magnitud o no significativos que no requieren de la evaluacin de riesgos operacionales en el ambiente operativo e informtico, los siguientes:

- Incrementos de planta.

- Pilotos comerciales o crediticios, sin impacto en procesos o sistemas.

- Cambios en tasas/precios.

- Lanzamiento de producto con caractersticas y procesos iguales / semejantes a los existentes.

- Campaas comerciales de productos / relanzamiento comercial de productos sin cambios significativos operativos e informticos.

- Nuevos servicios sin cambios en el proceso y que utilicen el mismo canal.

- Canales adicionales para un producto ya existente (donde el canal ya existe para productos semejantes)

- Cambios en los sistemas operativos y actualizaciones de los proveedores en las aplicaciones, tareas de mantenimiento y desarrollos menores de sistemas no considerados como proyectos sino como tareas dentro de la tipologa de pedidos a sistemas, de la Divisin de Tecnologa y Sistemas.

- Actividades de desarrollo de sistemas orientadas a solucionar cancelaciones y/o errores que afectan la operativa normal del banco categorizadas como urgencias dentro de la tipologa de pedidos a sistemas, de la Divisin de Tecnologa y Sistemas.

- Cambios rutinarios en el ambiente informtico realizados en los procesos de tecnologa y sistemas (cambios de configuracin de servidores, cambios de equipos e infraestructura).

Los lderes y Gerentes de Proyectos son los responsables de identificar y mitigar (controlar) los principales riesgos operacionales de los proyectos, as como velar porque se cuente con la informacin mnima para evaluar los riesgos operacionales y tecnolgicos en la implementacin del proyecto.

Los riesgos asociados a la integridad, consistencia y eficiencia de la informacin, producto de cambios en procesos y/o aplicaciones crticas, sern mitigados mediante el proceso de pruebas, cuyo cumplimiento es responsabilidad del Administrador del Producto.

Polticas especficas relacionadas a la contratacin de proveedores

Para efectos del cumplimiento de la regulacin vigente, se establece como tercerizacin a la delegacin o encargo de una o ms partes de un proceso del banco a otra empresa, cuando sta ltima cumple los siguientes requisitos:

Asume los servicios prestados por su cuenta y riesgo.

Pg: 18 de 59


Cuenta con propios recursos financieros, tcnicos o materiales.

Es responsable por los resultados de sus actividades.

Tiene bajo su exclusiva subordinacin a sus trabajadores; es decir, cuenta con facultades de direccin, fiscalizacin y sancin respecto de sus trabajadores.

Este concepto se acota a los casos que involucren procesos del core financiero del banco y a otros procesos que contribuyan de manera directa con la realizacin de estos.

Todos los contratos con proveedores que hayan sido determinados como tercerizaciones debern contar con la clusula estndar de riesgo operativo. Esta clusula tambin podr ser incluida en las locaciones simples que incluyan el manejo de valores3, efectivo y/o informacin confidencial, de acuerdo a lo evaluado.

Si fueran requeridas modificaciones a dicha clusula, estas debern ser aprobadas por la Vicepresidencia del Producto / Divisin afectado o Comit GIR (para tercerizaciones significativas) y, tanto el producto / Divisin como su Vicepresidencia, asumirn las consecuencias por la materializacin de un evento derivado de esta modificacin.

Si, producto de la tercerizacin, el proceso sufre cambios en la operativa y/o ambiente de control, en referencia a lo que se vena realizando en el banco, la Divisin de Riesgo Operativo deber determinar si requiere ser evaluado antes de realizar la contratacin.

Se entender por tercerizacin significativa a aquella que, en caso de una falla o suspensin del servicio, pueda poner o pone en riesgo importante al banco al afectar sus ingresos, solvencia o continuidad operativa.

Las divisiones o usuarios que requieran realizar una tercerizacin significativa deben cumplir todas las polticas relacionadas que se encuentran en el Manual de polticas de gestin integral de riesgos.

Para las tercerizaciones que resulten significativas, la gerencia de divisin solicitante deber gestionar la evaluacin del proceso a tercerizar, as como la presentacin del anlisis de factibilidad y resultados de la autoevaluacin ante el Comit de Gestin Integral de Riesgos (GIR).

El Comit GIR aprobar las tercerizaciones significativas de acuerdo a las polticas definidas para dicha evaluacin y sobre la base de la revisin de las conclusiones y recomendaciones contenidas en el informe de riesgos. En caso de observaciones, ser responsabilidad de la gerencia de divisin solicitante implementar el servicio habiendo subsanado las mismas.

La tercerizacin de una o ms funciones de gestin de riesgos es considerada significativa al igual que la del servicio de Auditora Interna.

2 Incluye ttulos valores emitidos (pagars, letras, facturas, fianzas, certificados bancarios, etc.), tarjetas de dbito y crdito (del banco y otros bancos), tarjetas empresariales, cheques de clientes y de gerencia (en blanco, girados, rechazados, vencidos, devueltos, de otro banco o giros).
http://ndoprd/ndo/RegistraLectura.asp?doc=Documentos/Manuales/Manuales%20de%20Politicas/Manual_de_Polticas_de_Gestin_Integral_de_Riesgos.pdf

Pg: 19 de 59


3. Responsabilidades

Responsables de la gestin de riesgo operacional

rea Responsabilidades

Directorio Responsable final de la administracin de los riesgos asociados a los productos y servicios ofrecidos en los diversos mercados en los que opera la organizacin.

Aprobar las polticas generales que guen las actividades del banco en la gestin de los riesgos operacionales que enfrenta.

Aprobar los recursos necesarios para el adecuado desarrollo de la Gestin de Riesgos Operacionales, a fin de contar con la infraestructura, metodologa y personal apropiado.

Establecer un sistema de gestin que fomente el adecuado funcionamiento de una gestin integral de riesgos y que favorezca la toma apropiada de riesgos.

Asegurar razonablemente que el patrimonio contable del banco sea suficiente para enfrentar los riesgos a los que est expuesto.

Comit de Gestin Integral de Riesgos

Obtener aseguramiento razonable de la implementacin de administracin de riesgos operacionales que resulte acorde a la dimensin y naturaleza de sus operaciones y servicios.

Asistir al Directorio en la responsabilidad de proveer un esquema de administracin de riesgos operacionales a travs de la organizacin.

Aprobar la organizacin y las polticas generales de Riesgos, as como las modificaciones que se realicen a los mismos.

Definir el nivel de apetito y tolerancia al riesgo operacional a asumir para el desarrollo del negocio.

Verificar que el nivel de exposicin a los riesgos operacionales afrontados

Pg: 20 de 59



este dentro del apetito y la tolerancia al riesgo y los planes de negocios aprobados.

Decidir las acciones necesarias para la implementacin de las acciones correctivas requeridas, en caso existan desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposicin asumidos.

Aprobar la sub-contratacin significativa de servicios.

Gerencia General Implementar la Gestin de Riesgo Operacional conforme a las disposiciones del Directorio y Comit de Gestin Integral Riesgos.

Velar por el cumplimiento del marco regulatorio y las normas relacionadas a la Gestin de Riesgos.

Promover la cultura de riesgos en la organizacin, asegurndose de que exista un marco de trabajo adecuado para la administracin de los mismos.

Implementar las polticas y procesos generales establecidos por el Directorio y Comit de Gestin Integral de Riesgos, promoviendo conciencia de la necesidad de la administracin de los riesgos operacionales en la organizacin.

Garantizar el cumplimiento de los niveles de exposicin al riesgo operacional aprobados en la poltica de apetito y la tolerancia al riesgo y los planes de negocios aprobados.

Obtener aseguramiento razonable que exista un marco de trabajo adecuado para identificar, medir, monitorear y reportar los riesgos operacionales en el banco.

Proponer mejoras que fomenten la adecuada administracin de riesgos operacionales.

Autorizar y/o priorizar los recursos para implementar los planes de accin aprobados.

La responsabilidad es delegada por el Directorio a la Gerencia General, quin a su vez cumple con sus responsabilidades a travs de la Vicepresidencia de Riesgos y especficamente la Divisin de Riesgo Operativo.

Vicepresidencia de Riesgos

Informar al Comit de Gestin Integral de Riesgos grado de exposicin al riesgo, de acuerdo a las polticas y procedimientos establecidos.

Proponer las polticas generales de administracin de riesgos operacionales, as como verificar el cumplimiento de las mismas.

Aprobar las polticas especficas, lineamientos, metodologa y procesos para la administracin de riesgos operacionales.

Dirigir la implementacin y desarrollo de la infraestructura de administracin de riesgos operacionales en la organizacin, a travs de la Divisin de Riesgo Operativo.

Monitorear la actual exposicin del riesgo operacional en funcin del apetito y tolerancia al riesgo, reportar las exposiciones significativas de acuerdo a las polticas.

Liderar el desarrollo e implementacin del programa de administracin de riesgos operacionales en el banco.

Reportar semestralmente, al Directorio, respecto a la gestin realizada

Pg: 21 de 59



para la administracin de los riesgos operacionales.

Vicepresidencias Implementar la Gestin de Riesgos conforme a las disposiciones del Comit de Gestin Integral de Riesgos y Gerencia General.

Velar por el cumplimiento de las polticas y procedimientos de gestin de riesgos, comprendidas en las diferentes normas del banco.

Asegurar la adecuada gestin de las Divisiones bajo su responsabilidad permitiendo identificar, medir, monitorear y reportar los principales riesgos que afecten el cumplimiento de sus objetivos.

Asegurar que los riesgos afrontados cumplan con los niveles de apetito y tolerancia al riesgo aplicables a su mbito de accin.

Velar por el cumplimiento del marco regulatorio y las normas relacionadas a la Gestin de Riesgos.

Informar sobre las principales exposiciones a riesgos afrontadas por sus Divisiones.

Autorizar y/o priorizar los planes de accin para mitigar los riesgos o eventos que lo requieran.

Evaluar los avances de las autoevaluaciones, informes, medidas de mitigacin y tratamiento de los riesgos operacionales.

Divisin de Riesgo Operativo

Implementar la gestin de riesgos operacionales conforme a las disposiciones del Comit de Gestin Integral de Riesgos.

Asistir a las divisiones de negocio y soporte en la administracin de los riesgos operacionales a lo largo del banco.

Velar por el cumplimiento de las polticas y procedimientos de gestin de riesgos, comprendidas en las diferentes normas del banco.

Reportar al Comit de gestin integral de riesgos la situacin sobre la gestin y sus principales exposiciones a los riesgos operacionales (resultados, indicadores de riesgos, lmites y cumplimiento de metas).

Proponer las polticas de administracin de riesgos operacionales de la organizacin, as como verificar el cumplimiento de las mismas.

Desarrollar y proponer la metodologa para la administracin de riesgos operacionales en la organizacin.

Gestionar el programa de continuidad de negocio, de acuerdo a las polticas y procesos vigentes

Apoyar en la validacin del entendimiento de los productos y procesos

- Velar porque el anlisis correspondiente al entendimiento del producto refleje objetivamente su situacin.

- Definir los procedimientos crticos y su prioridad para la evaluacin de riesgos operacionales.

Autoevaluacin de Riesgos

- Realizar un seguimiento continuo al grado de avance de las autoevaluaciones va cuestionarios, desde su generacin hasta su cierre.

- Definir los criterios para efectuar la autoevaluacin cualitativa de la eficacia de los controles y medidas de mitigacin.

Pg: 22 de 59



- Asistir a las reas del banco en las autoevaluaciones de los riesgos ante el lanzamiento de nuevos productos cambios significativos en el ambiente operativo y/o informtico.

Recoleccin de eventos

- Hacer seguimiento de los eventos de prdida velando por la correcta identificacin, clasificacin y registro de los mismos, luego que han sido reportados por las reas de negocio y soporte, as como revisar el correcto anlisis de su criticidad.

- Verificar la calidad y consistencia de la informacin de los eventos de prdida recolectados.

- Reportar los eventos de prdidas operacionales que se han materializado al Comit de Gestin Integral de Riesgos y Directorio.


- Asistir a los Gerentes de Producto y Coordinadores de Riesgo Operativo, en la definicin de los indicadores de riesgo y sus lmites asociados.

- Analizar e informar peridicamente los niveles de exposicin, valor de los indicadores y cumplimiento de lmites establecidos.

Planes de Accin

- Realizar seguimiento al grado de avance de los planes de accin aprobados.

- Evaluar y comunicar el impacto de ampliar los plazos de implementacin de los planes de accin solicitados por los responsables de los productos.

Contratacin de proveedores

- Determinar la necesidad de evaluacin de tercerizaciones y apoyar a las reas usuarias en el caso que sean requeridas dichas evaluaciones.

- Participar, en calidad de asesor, en las presentaciones que realice la gerencia de divisin solicitante al Comit GIR por evaluaciones de riesgos realizadas para tercerizaciones significativas.

Reporte

- Realizar seguimiento e informar los avances en la administracin de riesgos operacionales en Interbank

- Administrar los riesgos de los procesos de negocio que trascienden las fronteras de las funciones de negocio, y en los cuales no es posible asignar un responsable de los mismos.

- Administrar el sistema Reveleus (accesos, mantenimiento, etc.).

Evaluar la gestin del riesgo operacional, medida por el indicador de cumplimiento en la aplicacin de la metodologa por los responsables de cada producto o proceso del banco.

Gerente de Producto Garantizar el cumplimiento de las polticas, lineamientos y metodologa de gestin de los riesgos operacionales para los productos bajo su responsabilidad.

Velar por que las polticas, procesos y controles, y contratos de servicios crticos del producto o proceso bajo su responsabilidad, se encuentren

Pg: 23 de 59



actualizados.

Garantizar que los riesgos legales relacionados a los procesos, productos y servicios que administra, se encuentren debidamente mitigados.

Establecer los niveles de servicios requeridos para los servicios de terceros relacionados a los productos bajo su gestin.

Autoevaluacin de riesgos

- Garantizar la veracidad de la identificacin, evaluacin, seguimiento y mitigacin de los principales riesgos operacionales de todos sus productos, actividades, procesos y sistemas relevantes para su producto.

- Gestionar la evaluacin de las tercerizaciones significativas con la asistencia de las Divisiones de Asuntos Legales y Riesgo Operativo; as mismo garantizar que los contratos de dichas tercerizaciones cuente con clusulas que aseguren la mitigacin de sus riesgos y cumplimiento de normas vigentes.

- Gestionar los riesgos de forma previa al lanzamiento de nuevos productos o a la realizacin de cambios significativos en el ambiente operativo y/o informtico.

Recoleccin de Eventos

- Liderar la identificacin y reporte de los eventos de prdida, as como la recoleccin de la informacin mnima requerida en las polticas del presente manual.

- Informar a la Divisin de Riesgo Operativo todos los eventos de prdidas identificados bajo su gestin.


- Definir conjuntamente con la Divisin de Riesgo Operativo, los indicadores de riesgo operacional, niveles de exposicin y lmites para cada indicador.

- Verificar la calidad y consistencia de la informacin de los indicadores de riesgo, y que en caso de exceso en los lmites se tomen las acciones de mitigacin pertinentes.

Planes de Accin

- Implementar los planes de accin de manera oportuna y coherente con los riesgos a tratar.

- Revisar peridicamente la efectividad de los planes de accin implementados.

Gestionar los riesgos operacionales asociados a la interrupcin de los servicios, de acuerdo a las polticas y procedimientos de gestin de la continuidad.

Gestionar los riesgos asociados a seguridad de informacin para los productos y servicios a su cargo.

Coordinador de Riesgo Asistir al Gerente en la administracin de los riesgos operacionales.

Autoevaluacin de riesgos

- Gestionar la autoevaluacin a travs de cuestionarios con los expertos en el proceso.

Pg: 24 de 59



- Gestionar la autoevaluacin de los riesgos de forma previa al lanzamiento de nuevos productos o a la realizacin de cambios significativos en el ambiente operativo y/o informtico.

- Garantizar la veracidad e integridad de los resultados de las autoevaluaciones.

- Velar por el cumplimiento de la poltica de apetito de riesgo.

Recoleccin de Eventos

- Gestionar la identificacin, valoracin y reporte de los eventos de prdida, as como garantizar la integridad y disponibilidad de la informacin en el sistema en el momento oportuno.

- Monitorear e informar a la Divisin de Riesgo Operativo respecto a cada evento de prdida encontrado a travs del software Reveleus. En caso no se pudiera realizar por medio de este sistema, se puede reportar mediante el formato Reporte de Evento de Prdida (Anexo 2).

- Velar por el cumplimiento de la poltica de tolerancia al riesgo y custodiar sus respectivos expedientes.


- Valorar y registrar en el sistema mensualmente los indicadores de riesgos (KRI) reflejando la situacin actual, informando al respectivo Gerente de Producto.

- Asistir a la Divisin de Riesgo Operativo, en la definicin de los lmites niveles de alerta y crticos para cada indicador de riesgo.

- Analizar y gestionar la informacin generada por los indicadores con la finalidad de mitigar los riesgos operacionales asociados a estos en sus negocios.

Planes de accin

- Identificar los riesgos que necesitan mitigaciones adicionales de acuerdo a las polticas del banco.

- Realizar el seguimiento a la ejecucin de los planes de accin, informando peridicamente al Gerente de Producto y Divisin de Riesgo Operativo a travs del sistema.

Comunicar los cambios significativos en el plazo o forma de implementar los planes.

Coordinadores Alternos de Riesgos Operativo

Asumir las responsabilidades del Coordinador de Riesgos Titular en ausencia temporal o permanente (vacaciones, licencias, cambio de reas, etc.).

Investigador de Eventos Capturar la informacin de los eventos de prdida, montos, fechas, sus recuperaciones y los costos asociados a los mismos.

Documentar la informacin vertida sobre el evento de prdida presentando informacin que sustenten el registro.

Divisin de Prevencin de Fraude

Gestin y seguimiento de las operaciones relacionadas al riesgo de fraude externo para los productos y servicios dentro de su mbito.

Gestionar la implementacin de polticas y procedimientos para prevenir el riesgo de fraude.

Pg: 25 de 59



Informar los eventos de prdida relacionados al fraude a la Divisin de Riesgo Operativo.

Desarrollar y proponer la metodologa para prevenir el riesgo de fraude para los productos y servicios dentro de su mbito.

Seguridad de Informacin Implementar el Sistema de Gestin de la Seguridad de Informacin.

Gestionar la implementacin de polticas y procedimientos de Seguridad de Informacin.

Informar los eventos de prdida relacionados al fraude a la Divisin de Riesgo Operativo.

Apoyar en el proceso de identificacin y valoracin de riesgos operacionales.

Divisin de Auditora Interna

Compartir informacin relativa a eventos de prdida y otras situaciones de potencial riesgo operacional con la Divisin de Riesgo Operativo.

Coordinar con el Comit de Gestin Integral de Riesgos aspectos relevantes relacionados con la evaluacin de los riesgos operacionales del banco.

Realizar anualmente un proceso de auditoria independiente a la Administracin del Riesgo Operacional, con la finalidad de comprobar que las polticas y procedimientos operativos estn siendo realizados eficazmente.

Divisin de Desarrollo Organizacional

Velar por que durante el desarrollo de los proyectos e iniciativas de mejora de procesos que se llevan a cabo en el banco, se tomen en consideracin las polticas y lineamientos definidos para la administracin de los riesgos operacionales.

Identificar e incluir en los documentos normativos, puntos de control que hagan referencia a las validaciones que las reas de negocio deben realizar para cerciorarse de la conformidad operativa de cada proceso.

Asistir al Gerente de Producto en su coordinacin con la Divisin de Riesgo Operativo sobre los nuevos productos y/o servicios a ser ofrecidos por el banco, previo a la realizacin de dichos lanzamientos.

Poner en conocimiento de la Divisin de Riesgo Operativo aquellos procesos que pudiesen verse afectados por un cambio significativo, previo a la implementacin de los mismos.

Divisin de Asuntos Legales

Gestionar la implementacin de polticas y procedimientos para prevenir el riesgo legal.

Informar los eventos de prdida a la Divisin de Riesgo Operativo relacionados a:

- Relaciones laborales y seguridad en el puesto de trabajo

- Demandas y juicios contra el banco.

Verificar que los contratos incluyan las clusulas estndar en los casos de tercerizaciones significativa.

Verificar que los contratos incluyan las clusulas estndar en los servicios crticos provistos por terceros.

Divisin de Seguros Definir los criterios y niveles de cobertura de los activos del banco y de

Pg: 26 de 59



los activos de sus clientes que respaldan operaciones.

Asesorar en el desarrollo de las alternativas para la reduccin de prdidas por riesgos operacionales, asegurables y no asegurables.

Mantener un inventario actualizado de los contratos de seguros del banco.

Divisin de Tecnologa y Sistemas

Velar por que durante el desarrollo de los proyectos e iniciativas de mejora de procesos que se llevan a cabo en el banco, se tomen en consideracin las polticas y lineamientos definidos para la administracin de los riesgos operacionales.

Poner en conocimiento de la Divisin de Riesgo Operativo aquellos procesos que pudiesen verse afectados por un cambio significativo, previo a la implementacin de los mismos.

Colaboradores del Banco (Personal Clave)

Informar los riesgos y eventos de prdida al Jefe inmediato, coordinador de riesgo y a la Divisin de Riesgo Operativo.

Participar de la identificacin y valorizacin de los riesgos operacionales inherentes a sus funciones y a los procesos en los que intervienen.

Asegurar que las medidas de mitigacin implantadas en su unidad de negocio o soporte funcionen en forma adecuada.

Pg: 27 de 59


4. Procedimientos

N Posicin Descripcin de la Actividad

1 Colaborador Personal Clave

Identifica un posible evento de prdida y lo reporta al Coordinador de Riesgo del respectivo producto a travs de un correo con copia al buzn de Riesgo Operativo el cual deber considerar:

Proceso

Fecha de ocurrencia

Nombre del Evento

Descripcin del Evento

En caso se presenten dudas respecto a la validez de un evento de prdida, el Colaborador podr realizar sus consultas directamente al buzn de Riesgo Operativo.

2

Coordinador de Riesgo Revisa las caractersticas del evento y basndose en las Pautas para el Reconocimiento de Eventos de Prdida (Anexo 3), valida que el evento corresponda a un caso de riesgo operacional

Pg: 28 de 59



En caso que el producto an no cuenta con el software Reveleus lo registra en el Formato de Reporte de Evento de Prdida (Anexo 2).

Para el caso que no corresponda a un evento de riesgo operacional, deber enviar un correo informativo al Colaborador con copia al buzn de Riesgo Operativo.

Evidencia: Reporte o registro del Evento de prdida.

Nota: En caso no se presente ningn evento de prdida durante el mes, el Coordinador de Riesgo deber enviar un correo electrnico comunicando sobre tal hecho al Buzn de Riesgo Operativo, durante los cinco primeros das tiles del mes siguiente.

3 Coordinador de Riesgo Ingresa al aplicativo Reveleus y abre el expediente electrnico del nuevo evento de prdida relacionndolo al mapeo del producto que est afectando.

Completa la siguiente informacin bsica del evento:

Nombre del evento de prdida

Descripcin del evento de prdida

Investigador de Eventos

Fecha de identificacin

Terminado el registro de los datos bsicos para abrir el evento de prdida, graba la informacin en el sistema.

Nota:

En el caso que el producto an no cuenta con el software Reveleus no considerar esta actividad.

4 Coordinador de Riesgo Remite el evento de prdida al Investigador de Eventos designado para que complete la evaluacin del caso.

Para los productos que an no cuenten con Reveleus, la informacin le ser remitida por correo electrnico.

Nota: La presente accin la realizar eligiendo la opcin Procesar de la pantalla general y luego, la opcin Solicitar Informacin de la siguiente pantalla.

5 Investigador de Eventos Recibe el requerimiento de informacin a travs de la Bandeja de Entrada del Reveleus.

Coordina para obtener el detalle del evento de prdida con las distintas reas involucradas as como a travs de consultas a los aplicativos correspondientes.

La presente actividad implica realizar las siguientes acciones:

Valorar la prdida total.

Valorar la prdida directa.

Identificar los gastos asociados.

Identificar las fechas crticas asociadas al evento.

Identificar si se produjeron recuperaciones relacionadas al evento.

Luego de contar con la informacin contable del evento de prdida, registra a travs de la opcin de edicin de eventos de prdida en Reveleus, la siguiente informacin:

Gastos asociados

Fechas asociadas

Recuperaciones asociadas

Nota: El registro de cada recuperacin en el sistema se dar de forma independiente, esto significa, que a medida que se vayan obteniendo recuperos, stos se irn registrando dentro de la informacin del evento de prdida hasta que se cierre.

Pg: 29 de 59



En el caso de productos que no cuenten con Reveleus la informacin ser remitida por correo electrnico correo electrnico al Coordinador de Riesgo.

6 Investigador de Eventos Antes de cerrar un evento en Reveleus

Enva por correo electrnico al buzn de Riesgo Operativo, los sustentos que soporten la informacin registrada sobre el evento de prdida, a fin de que pueda ser adjuntada a dicho evento en Reveleus.

Los tipos de sustentos que debern presentarse se muestran en el Anexo 6. Contenido del Expediente para documentar Eventos de Prdida, y de ser el caso, en el Anexo 7. Documentacin para Eventos de Prdida con prdida total (bruta antes de recuperos) superior a S/. 150,000.

7 Analista de Riesgo Operativo Registra en el sistema los documentos de sustento enviados por el Investigador de Eventos relacionndolo al mapeo del evento de prdida.

Confirma por correo electrnico al Investigador de Eventos los nombres de los documentos de sustento que se cargaron en el Reveleus.

8 Investigador de Eventos Procede a relacionar los documentos de sustento al respectivo evento de prdida al cual soportan, utilizando la opcin adjuntar documentos donde se ubica el nombre del archivo cargado en Reveleus, y luego, se graba la actualizacin del evento de prdida.

Nota: La accin de adjuntar documentacin podr realizarse en cualquier momento, mientras el evento de prdida se encuentre en proceso de investigacin.

9 Investigador de Eventos Solicita al Coordinador de Riesgo va Reveleus, validar y aprobar la informacin del evento de prdida.

Nota: La presente accin la realizar a travs de la Bandeja de Entrada eligiendo la opcin Accin y luego, la opcin Solicitar Verificacin de la siguiente pantalla.

10

Coordinador de Riesgo Verifica que el evento de prdida se encuentre debidamente registrado, validando:

La informacin relacionada a la descripcin, gastos y fechas asociadas al evento.

Que los documentos que sustenten el evento de prdida solventen la informacin mostrada.

Que se hayan registrado las recuperaciones asociadas al evento, de ser el caso

Evidencia: Solicitud de aprobacin dirigida al Analista de Riesgo

Operacional va Reveleus, en caso de estar todo conforme.

11 Coordinador de Riesgo Informacin conforme?

S, procede con la actividad 12.

No, regresa a la actividad 4.

12

Analista de Riesgo Operativo Verifica que el evento de prdida se encuentre cerrado, segn las polticas de riesgos del presente manual.

La informacin est completa

Sustentos

Clasificar el evento segn la categora a la que pertenece, basndose en el cuadro de Tipos de Eventos de Prdida (Anexo 4).

Clasificar el evento de prdida segn la causa que lo origin, basndose en el cuadro de Categoras de Riesgo (Anexo 5).

Pg: 30 de 59



Evidencia: Aprobacin del evento de prdida en Reveleus.

13 Analista de Riesgo Operativo Evento de prdida cerrado?


No, procede con la actividad 17.

14

Analista de Base de Datos de Eventos de Prdida - RO

Valida que la informacin del evento de prdida se encuentre debidamente registrada, revisando que:

Los datos relacionados a la descripcin, gastos y fechas asociadas al evento estn correctamente registrados.

La clasificacin del evento se haya realizado correctamente.

Los documentos que sustenten el evento de prdida solventen la informacin mostrada.

Que la aprobacin del evento cuente con los niveles correspondientes segn la poltica de riesgos del presente manual.

Evidencia: Cierre del evento de prdida en Reveleus.

15 Responsable de Base de Datos de Eventos de Prdida - RO

Informacin conforme?



16 Analista de Riesgo Operativo Analiza si la criticidad del evento de perdida justifica la creacin de un issue.

Contina con la actividad 18.

Nota: El anlisis de la criticidad deber guardar estrecha relacin con las polticas de riesgos del presente manual.

17 Analista de Base de Datos de Eventos de Prdida - RO

Rechaza el evento de prdida en Reveleus e indica el motivo del rechazo.

Regresa a la actividad 4.

18 Analista de Riesgo Operativo Prdida justifica se abra un issue?


No, da por terminado el proceso.

19

Analista de Riesgo Operativo Procede segn lo establecido en el procedimiento de Generacin y Seguimiento de Issues y Planes de Accin del presente manual.

Pg: 31 de 59


SEGUIMIENTO A LA CAPTURA DE EVENTOS DE PRDIDA

4

Respuesta / actualizacin en el

tiempo establecido? No

Inicio

Fin

A

A

Analista RO 1

Ingresa a Reveleus y obtiene reportes de

eventos

2

Analista RO

Identifica eventos que requieran actualizacin y la

solicita al Coordinador

3Coordinador de Riesgo

Revisa requerimiento, inicia proceso de Captura de Eventos de Prdida y/o

remite descargos

S

Analista RO 5

Registra los sustentos en archivo compartido

N Posicin Descripcin de la actividad

1

Analista de Riesgo Operativo Ingresa quincenalmente al aplicativo Reveleus y obtiene los reportes Seguimiento y Seguimiento detail de eventos de prdida.

2

Analista de Riesgo Operativo Identifica, segn lo establecido, los eventos de prdida que requieren ser actualizados / completados y enva e-mail, al Coordinador de Riesgo responsable, haciendo la solicitud correspondiente.

Si fuera el caso, reitera o eleva al siguiente nivel de autonoma la solicitud de la semana anterior.

Evidencia: correo electrnico al Coordinador de Riesgo.

3

Coordinador de Riesgo Revisa los eventos indicados y, segn corresponda, determina:

Aquellos que deben ser actualizados o completados para detonar el proceso Captura de Eventos de Prdida.

Aquellos que carecen de informacin para ser sustentados. En este caso, enva por e-mail los descargos correspondientes.

4

Analista de Riesgo Operativo Obtiene respuesta / actualizacin dentro del plazo establecido?

S, procede con la actividad 5. No, regresa a la actividad 2.

5

Analista de Riesgo Operativo Revisa, registra informacin y archiva los sustentos recibidos, segn lo establecido en la carpeta compartida 3 Base de Datos de Prdidas.

Evidencia: correo electrnico del Coordinador y/o adjuntos (informe de auditora, cartas GDH, etc.).

Pg: 32 de 59



1 Gerente de Producto/ Coordinador de Riesgo/ Analista de Riesgo Operativo

Define el alcance de la autoevaluacin identificando lo siguiente:

Procesos crticos a evaluar.

Expertos de los procesos crticos a consultar.

Plazos para realizar el proceso de autoevaluacin.

2 Coordinador de Riesgo/ Analista de Riesgo Operativo

Revisa los productos y procesos crticos a evaluarse e identifica los principales riesgos que pueden generar perjuicios econmicos para el banco.

La identificacin de los riesgos est basada en la informacin existente en la normativa vigente as como en entrevistas con los Expertos del Producto, cuando el caso lo requiere.

3 Analista de Riesgo Operativo Prepara la documentacin correspondiente al entendimiento del producto y solicita al Coordinador de Riesgo, validar lo siguiente:

Diagrama de bloque del producto.

Relacin de los procesos que soportan al producto.

Diagramas de flujo de los procesos crticos.

Relacin de riesgos asociados a los procesos a evaluar.

La documentacin del entendimiento del producto se elabora en base a la informacin de la normativa vigente que lo soporta y de ser el caso, mediante entrevistas con los Expertos del Producto.

4 Coordinador de Riesgo Verifica que la documentacin del entendimiento del producto refleje la situacin real del mismo y que se hayan identificado los

Pg: 33 de 59



riesgos crticos del proceso en evaluacin.

Evidencia: Conformidad emitida del coordinador.

5 Analista de Riesgo Operativo Capacita al coordinador de riesgos y colaboradores que participaran sobre el llenado del cuestionario que incluya informacin sobre la metodologa y conceptos, entre otros temas.

6 Analista de Riesgo Operativo Realiza lo siguiente:

Apoyar al coordinador de riesgos en la identificacin y validacin de los riesgos operacionales.

Revisar que la descripcin se ajuste a riesgos operacionales.

Clasifica los riesgos identificados para el producto.

Registra la informacin de los riesgos identificados en el Reveleus, asociando las preguntas definidas para la valoracin, segn la Metodologa.

Nota: La clasificacin de los riesgos deber realizarse tanto por la Clasificacin del evento como por la categora de riesgo, segn lo indicado en el Anexo 4. Tipos de Eventos de Prdida y Anexo 5. Categoras de Riesgo, del presente manual.

7 Analista de Riesgo Operativo Detalla el cuestionario de autoevaluacin en el sistema, relacionndolo al mapeo del producto en evaluacin.

Remite el cuestionario de autoevaluacin al Coordinador de Riesgo, a travs de la opcin de inicio de la autoevaluacin, en Reveleus.

8 Coordinador de Riesgo Revisa que los riesgos evaluados en el cuestionario coincidan con los identificados en los documentos del entendimiento del producto.

9 Coordinador de Riesgo Revisa los cuestionarios con los colaboradores que cumplirn el rol de expertos en la operativa del producto, proceden a responder las preguntas de cada riesgo.

Realiza lo siguiente:

Detalla las causas que permitiran se materialice cada riesgo.

Analiza las condiciones existentes para los riesgos identificados y los evala en los escenarios mnimo, mximo y tpico (utilizados para valorar la posible frecuencia y severidad de materializarse el riesgo).

Identifica, describe y evala la efectividad de los controles existentes para mitigar los riesgos.

Graba las respuestas en el sistema Reveleus y remite el cuestionario para la aprobacin del Gerente de Producto.

10

Gerente de Producto Analiza las respuestas al cuestionario de autoevaluacin y valida que lo registrado en el sistema refleje el nivel de exposicin al riesgo que enfrenta la operativa del producto.

Evidencia: Aprobacin del cuestionario de autoevaluacin en

Reveleus.

11 Gerente de Producto Cuestionario conforme?



12 Gerente de Producto Rechaza el cuestionario en Reveleus e indicando los motivos de su disconformidad mediante correo electrnico.

Regresa a la actividad 10.

Pg: 34 de 59



13

Gerente de Producto / Analista de Riesgo Operativo

Verifica la criticidad de los riesgos identificados y si stos se encuentran dentro de los lmites establecidos o si cuentan con la aprobacin de los niveles establecidos segn las polticas del presente manual.

Evidencia: Creacin de un issue en el sistema, en caso lo

amerite.

Nota: Los niveles de aprobacin de riesgos y lmites establecidos se sealan en las Polticas de Identificacin de Riesgos del presente manual.

14 Analista de Riesgo Operativo El riesgo justifica la generacin de un issue?


No, da por terminado el proceso.

15

Analista de Riesgo Operativo Procede segn lo establecido en el procedimiento de Generacin y Seguimiento de Issues y Planes de Accin del presente manual.

Pg: 35 de 59



1 Gerente / Jefe de Producto Identifica la necesidad del mercado de:

Crear un producto.

Realizar mejoras a los procesos existentes.

Realizar cambios en los canales de atencin.

Realizar cambios en el ambiente informtico que soporta el producto.

Comunicar al coordinador del Riesgo responsable sobre los cambios a realizarse, y su impacto en las responsabilidades, procesos y sistemas.

2 Coordinador de Riesgo Operativo / Gerente / Jefe de Producto

Realiza lo siguiente:

Informa a la Divisin de Riesgo Operativo mediante un correo electrnico sobre la creacin de un nuevo producto o cambios en el ambiente informtico, en procesos y/o canales de

Pg: 36 de 59



atencin, de acuerdo a la poltica establecida.

Coordina con la Divisin de Riesgo Operativo para estimar la necesidad de autoevaluar riesgos de acuerdo a las polticas.

3 Analista de Riesgo Operativo Revisa informacin proporcionada y las caractersticas operativas.

Revisa el alcance de los proyectos de tecnologa de informacin, rediseo de procesos o reingeniera.

Analiza los procesos y sistemas impactados, determina los posibles cambios a nivel de exposicin al riesgo operacional.

4

Coordinador de Riesgo / Analista de Riesgo Operativo

Verifica el impacto del lanzamiento del producto y/o cambio en ambiente operativo o informtico. Determina si cumple con los criterios sealados en las polticas de lanzamiento de nuevos productos y/o cambios significativos en el ambiente operativo e informtico.

Determina si es necesario evaluar los riesgos operacionales de forma previa a la implementacin.

Evidencia: Correo de la Divisin de Riesgo Operativo indicando si es necesario o no realizar la autoevaluacin.

5 Analista de Riesgo Operativo Es lanzamiento de producto nuevo o cambio significativo?



6 Analista de Riesgo Operativo Informa al Gerente de Producto y Coordinador de Riesgos la necesidad de evaluar los riesgos operacionales.

Coordina con los responsables del lanzamiento del producto o cambio e identifica los principales riesgos que pueden generar perjuicios econmicos para el banco.

Nota: La identificacin de los riesgos est basada en la informacin existente en la normativa vigente as como en entrevistas con los Expertos del Producto, cuando el caso lo requiere.

7 Analista de Riesgo Operativo En caso el producto utilice Reveleus para gestionar sus riesgos, realiza lo siguiente:

Actualiza la informacin de los productos y procesos.

Clasifica los riesgos identificados para dicho proceso, producto y ubicacin geogrfica.

Registra los riesgos identificados en el software, asociando los riesgos a las preguntas definidas para la evaluacin.

En caso el producto no tenga implementado Reveleus, realiza lo siguiente:

Registra los riesgos identificados en la plantilla Evaluacin de productos nuevos y/o cambios significativos operativa o informtica, ver anexo 8.

Clasifica los riesgos identificados para dicho proceso y producto.

Nota: La clasificacin de los riesgos deber realizarse tanto por la categora de evento como por la categora de riesgo, segn lo indicado en el Anexo 4. Tipos de Eventos de Prdida y Anexo 5. Categoras de Riesgo, del presente manual.

8 Analista de Riesgo Operativo En caso el Producto utilice Reveleus para gestionar sus riesgos, realiza lo siguiente:

Registra el cuestionario de autoevaluacin en el sistema, relacionndolo al producto, proceso, ubicacin geogrfica y unidad de negocio a evaluar.

Remite el cuestionario de autoevaluacin al Coordinador de

Pg: 37 de 59



Riesgo a travs de la opcin de inicio de la autoevaluacin, en Reveleus.

En caso el Producto no tenga implementado Reveleus, realiza lo siguiente:

Remite por correo electrnico el Formato para Evaluacin de Nuevos Productos y/o Cambios Operativos o Informticos al Coordinador de Riesgo (Anexo 8).

Contina con la actividad 10.

9 Analista de Riesgo Operativo Informa mediante correo electrnico al Gerente de Producto / Jefe de Producto y Coordinador de Riesgo, que el producto o cambio no requiere evaluacin de los riesgos operacionales de acuerdo a las polticas del banco.

Da por terminado el proceso.

10 Coordinador de Riesgo Analiza los riesgos identificados y realiza lo siguiente:

Identi

Manual de Gestion de Riesgo Operacional

Documents

Transcript of Manual de Gestion de Riesgo Operacional