MANUAL DE GESTIÓN DEL RIESGO OPERACIONAL

Transcripción

1 MANUAL DE GESTIÓN DEL RIESGO

2 Pág. N 2 de 65 REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 11/11/ /12/ /11/ /12/ /03/ /08/ /01/2015 Elaboración y Aprobación del Manual de Gestión del Riesgo Operacional del FMV. Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV. Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV. Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV. Se realizaron modificaciones al Manual de Gestión del Riesgo Operacional del FMV, los cuales fueron detallados en el Memorando N FMV/GR Modificación al Manual de Gestión del Riesgo Operacional del FMV, según acuerdo N 04-20D Modificación al Manual de Gestión del Riesgo Operacional del FMV, por A.D. N 01-01D Se ha modificado los numerales: Se ha insertado el literal c Se ha insertado el literal e Federico Oyanguren / Carlos Zapata Federico Oyanguren / Carlos Zapata Federico Oyanguren / Carlos Zapata Federico Oyanguren / Carlos Zapata Federico Oyanguren / Carlos Zapata Federico Oyanguren / Carlos Zapata Federico Oyanguren / Gustavo Rumiche

3 Pág. N 3 de 65 INDICE 1. INTRODUCCION OBJETIVO BASE LEGAL ALCANCE RESPONSABILIDADES VIGENCIA DEROGATORIAS Y/O MODIFICACIONES TERMINOS Y DEFINICIONES DISPOSICIONES GENERALES GENERALIDADES ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES POLITICAS METODOLOGIA REPORTES PROCEDIMIENTOS

4 Pág. N 4 de INTRODUCCION.- El presente manual describe un conjunto de políticas, metodologías y procedimientos que permitan una adecuada gestión del riesgo operacional, con el objetivo de mitigar los riesgos operacionales a los cuales se encuentra expuesta la Institución. Ninguna organización puede eliminar completamente los riesgos de negocios, hecho inherente a la realidad de las empresas; por lo cual, El Fondo MIVIVIENDA S.A. promueve la creación de una estructura de gestión que mantenga su nivel de riesgo operacional en rangos acordes con la estrategia de negocio y dentro de límites apropiados. Así mismo, el presente manual se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente el riesgo operacional del Fondo MIVIVIENDA S.A. 2. OBJETIVO.- Establecer las políticas, metodologías y procedimientos para realizar una adecuada gestión del Riesgo Operacional que enfrenta el Fondo MIVIVIENDA S.A. 3. BASE LEGAL.- El marco legal para la elaboración del presente manual es: Resolución SBS Nº Reglamento para la Gestión de Riesgo Operacional. Resolución SBS Nº Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional. Circular SBS Nº G Gestión de la Continuidad del Negocio. Circular SBS Nº G Gestión de la Seguridad de Información. Resolución SBS Nº Reglamento de la Gestión Integral de Riesgos. Resolución de Contraloría N CG Normas de Control Interno. Resolución SBS N que modifica el Reglamento de la Gestión Integral de Riesgos aprobado por Resolución N Circular G Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático.

5 Pág. N 5 de 65 Circular G Reporte de eventos de interrupción significativa de operaciones. Resolución SBS N , que realiza precisiones a la metodología de cálculo del requerimiento patrimonial establecida en el Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo Operacional. Circular G Informe de riesgos por nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático, reemplaza el segundo párrafo del numeral 3 de la Circular N G ALCANCE.- El presente Manual es de aplicación para todas las Gerencias y/u Oficinas del Fondo MIVIVIENDA S.A. 5. RESPONSABILIDADES.- La es la responsable de gestionar, vigilar, verificar y/o evaluar el Riesgo Operacional siguiendo los lineamientos, metodología y procedimientos definidos en el presente manual. Asimismo, es la responsable de aplicar y vigilar su cumplimiento. Es responsabilidad de los Directores, Gerentes y Jefes de Oficina, hacer cumplir el presente manual. 6. VIGENCIA.- La presente política entrará en vigencia a partir de la publicación y difusión interna dentro del Fondo MIVIVIENDA S.A., una vez aprobado el Manual por el Directorio. 7. DEROGATORIAS Y/O MODIFICACIONES.- El presente manual deja sin efecto el Manual de Gestión del Riesgo Operacional del Fondo Mivivienda S.A aprobado por Acuerdo de Directorio N 02-07D TERMINOS Y DEFINICIONES.- Para una mejor comprensión y aplicación del presente manual, es pertinente tener en cuenta la definición y alcance de los términos utilizados en el ámbito de la administración de riesgos, establecidos en la Resolución SBS Nº RIESGO Entiéndase por riesgo operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

6 Pág. N 6 de 65 A continuación detallamos algunas definiciones relacionadas a riesgo operacional: Indicadores de riesgo; Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo Pérdidas Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención Perfil de Riesgo Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad Plan de continuidad del negocio Riesgo Tiene como objetivo dotar a la empresa de la capacidad de mantener, o de ser el caso recuperar, los principales procesos de negocio dentro de los parámetros previamente establecidos. Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos objetivos Riesgo inherente Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles Riesgo residual Nivel resultante del riesgo después de aplicar los controles Apetito por el riesgo y/o Grado de Exposición al Riesgo Nivel de riesgo que la empresa está dispuesta a asumir en su búsqueda de rentabilidad y valor Tolerancia al riesgo El nivel de variación que la empresa está dispuesta a asumir en caso de desviación de los objetivos empresariales trazados.

7 Pág. N 7 de Evento Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo Evento por riesgo operacional El evento que conduce a una o varias pérdidas, cuyo origen corresponde al riesgo operacional. Se distingue dos tipos de evento, evento por perdida financiera y evento por lucro cesante Eventos por pérdida financiera Cualquier impacto negativo registrado en cuentas de resultados o en la situación patrimonial de la Entidad, y que haya sido provocado a consecuencia de cualquier evento de riesgo operacional. La pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales Eventos por lucro cesante Impacto negativo que no trasciende en cuentas de resultados o en la situación patrimonial de la Entidad Información Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada Proceso Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un resultado esperado Proceso Crítico Conjunto de actividades indispensables para la continuidad de las operaciones y servicios que brinda la Institución, cuya falta o ejecución deficiente puede producir no cumplir con los objetivos del proceso, ni con los objetivos estratégicos de la Institución y/o generar pérdidas financieras Riesgo legal Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no

8 Pág. N 8 de 65 intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, entre otros Nuevo Producto Producto lanzado por primera vez por la empresa, se considera también un nuevo producto cuando se realiza un cambio en un producto existente que modifica su perfil de riesgo Producto Bienes y/o servicios brindados por las empresas a sus clientes y usuarios Subcontratación Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizado por la empresa contratante Subcontratación Significativa Es aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa Servicios La actividad o labor que realiza una persona natural o jurídica para atender una necesidad de la entidad, pudiendo estar sujeta a resultados para considerar terminadas sus prestaciones Servicios Importantes Son aquellos servicios que, en caso de falla o suspensión del mismo, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia o continuidad operativa, este servicio no puede ser desarrollado por la empresa contratante Principales Proveedores de Servicios Son aquellos proveedores cuyos servicios brindados son considerados como subcontrataciones significativas o servicios importantes cuya suspensión o falla puede poner en riesgo las actividades del FMV.

9 Pág. N 9 de FACTORES QUE ORIGINAN EL RIESGO Los factores de riesgo, son aquellas fuentes generadoras de eventos, internas o externas, que pueden originar pérdidas en las operaciones o afectar el cumplimiento de los objetivos estratégicos y/o operativos de la Institución Personal Las empresas deben gestionar apropiadamente los riesgos asociados al personal de la empresa, relacionados a la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, entre otros Procesos internos Las empresas deben gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, relacionados al diseño inapropiado de los procesos o a políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos Tecnología de información Las empresas deben gestionar los riesgos asociados a la tecnología de información, relacionados a fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la compatibilidad e integración de los mismos, problemas de calidad de información, la inadecuada inversión en tecnología, entre otros aspectos Eventos externos Las empresas deberán gestionar los riesgos asociados a eventos externos ajenos al control de la empresa, relacionados por ejemplo a fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, entre otros factores CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS Un evento es un incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado, ocasionado por diferentes causas y que puede conllevar consecuencias positivas o negativas. Los eventos por riesgo operacional pueden ser agrupados de la manera descrita a continuación:

10 Pág. N 10 de Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales en las que se encuentra implicado, al menos, un miembro de la empresa, y que tiene como fin obtener un beneficio ilícito Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito Relaciones laborales y seguridad en el puesto de trabajo.- Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamos por daños personales, o sobre casos relacionados con la diversidad o discriminación Clientes, productos y prácticas empresariales.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación empresarial frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto Daños a activos materiales.- Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos Interrupción del negocio y fallos en los sistemas.- Pérdidas derivadas de interrupciones en el negocio y de fallos en los sistemas Ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.

11 Pág. N 11 de DISPOSICIONES GENERALES GENERALIDADES.- El Sistema de Gestión del Riesgo Operacional, es un conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional y responsabilidades, registro de eventos por riesgo operativo, órganos de control, plataforma tecnológica, divulgación de la información y capacitación, mediante los cuales la entidad identifica, mide, controla y monitorea el Riesgo Operacional ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES Estructura Organizacional.- La administración de Riesgo Operacional involucra a todas las unidades de la Institución, cada una de ellas con diversas funciones y responsabilidades que permiten una adecuada gestión de los riesgos operacionales. El Fondo MIVIVIENDA S.A. ha definido la siguiente estructura organizacional (ver gráfico Nº 1), para la gestión de riesgos operacionales, así como las funciones y responsabilidades de cada una de las unidades involucradas. Gráfico Nº 1: Estructura Organizacional para la Administración Del Riesgo Operacional Estructura Organizacional para la Gestión de Riesgo Operacional SBS FONAFE Auditoria Externa Directorio Comités Gerencia General Gerencias y/u Oficinas Representantes de R.O de c/ u de las Gerencias y/u Oficinas

12 Pág. N 12 de Roles y Responsabilidades.- A. Directorio.- a. Definir la política general para la gestión del riesgo operacional. b. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados. c. Establecer un sistema de incentivos que fomente la adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos. d. Aprobar el manual de gestión del riesgo operacional, el cual incluye las políticas y la organización para la Gestión del Riesgo Operacional, así como las modificaciones que se realicen a los mismos. e. Conocer los principales riesgos operacionales afrontados por la entidad, estableciendo cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo. f. Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización. g. Obtener el aseguramiento razonable, a fin de que la empresa cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que se hayan establecido. B. Comité de Riesgos El Comité de Riesgos, por delegación del Directorio y dentro de los límites que este fije, deberá asumir las siguientes funciones: a. Definir el nivel de tolerancia y el grado de exposición al riesgo que la empresa está dispuesta a asumir en el desarrollo del negocio. b. Decidir las acciones necesarias para la implementación de las acciones correctivas requeridas, en caso existan desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposición asumidos.

13 Pág. N 13 de 65 c. Aprobar la toma de exposiciones que involucren variaciones significativas en el perfil de riesgo de la empresa o de los patrimonios administrados bajo responsabilidad de la empresa. d. Evaluar la suficiencia de capital de la empresa para enfrentar sus riesgos y alertar de las posibles insuficiencias. e. Proponer mejoras en la Gestión del Riesgo Operacional. C. Gerencia General a. La Gerencia General tiene la responsabilidad de implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio. b. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional, a fin de contar con la infraestructura, metodología y personal apropiados. D. Gerencias y/u Oficinas a. Los gerentes y/o jefes de las unidades organizativas tienen la responsabilidad de gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos. b. Así mismo, fomentar la cultura de la administración del riesgo operacional dentro de su ámbito de acción. E. La deberá cumplir con las siguientes funciones: a. Proponer políticas para la gestión del riesgo operacional. b. Participar en el diseño y permanente actualización del Manual de Gestión del Riesgo Operacional. c. Desarrollar la metodología para la gestión del riesgo operacional. d. Apoyar y asistir a las demás unidades de la empresa para la aplicación de la metodología de gestión del riesgo operacional.

14 Pág. N 14 de POLITICAS.- e. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático. f. Informar a la gerencia general y al comité de riesgos los riesgos asociados a nuevos productos y a cambios importantes en el ambiente de negocios, el ambiente operativo o informático, de forma previa a su lanzamiento o ejecución; así como de las medidas de tratamiento propuestas o implementadas. g. Consolidación y desarrollo de reportes e informes sobre la gestión del riesgo operacional por proceso, o unidades de negocio y apoyo. h. Identificación de las necesidades de capacitación y difusión para una adecuada gestión del riesgo operacional. i. Administrar el registro de eventos de riesgo operacional. j. Realizar el cálculo de requerimiento de capital por riesgo operacional. F. Representantes de Riesgo Operacional de las Gerencias y/o Oficinas a. Todas las Gerencias y/u Oficinas deberán nombrar sus Representantes de Riesgo Operacional, los cuales son responsables de la ocurrencia de incidencias cada vez que se presenten. No obstante todo el personal del Fondo MIVIVIENDA S.A., en virtud a una adecuada gestión del riesgo operacional, podrá reportar directamente las incidencias. Con el fin de asegurar el adecuado funcionamiento del Sistema de Gestión del Riesgo Operacional, se han definido las siguientes políticas: Del ambiente adecuado de la Gestión de Riesgos: a. Establecer y fortalecer la estructura organizacional para llevar a cabo la Gestión del Riesgo Operacional teniendo en cuenta los roles y responsabilidades claramente establecidos, que permitan mantener una adecuada gestión del riesgo operacional de la Institución, así como la independencia entre las áreas de negocio y la Unidad de Riesgos para evitar conflictos de intereses.

15 Pág. N 15 de 65 b. La responsabilidad inicial de la gestión del riesgo operacional recae en las diferentes Gerencias y/u Oficinas de la organización, como parte integral del desarrollo de sus actividades de negocio, bajo un criterio de autocontrol, dado que no es responsabilidad únicamente de la. c. Las políticas y procedimientos establecidos en el presente manual deberán ser cumplidos por todas las unidades involucradas de la organización y cada jefatura es responsable de su cumplimiento dentro de su área de competencia. d. Todo el personal de la Institución tiene la responsabilidad y obligación de informar a la, sobre los riesgos operacionales o los probables eventos de pérdida que podrían generarse. e. La deberá definir la forma y periocidad con la que se deberá informar al Directorio, a la Gerencia General y demás Gerencias y/u Oficinas, sobre la exposición del Riesgo Operacional de la Institución y de cada una de las Gerencias y/u Oficinas involucradas en los procesos críticos. f. La Institución deberá contar con una base de datos de los eventos por riesgo operacional. g. La debe de asegurarse que los riesgos operacionales se traten como información confidencial de la Institución. cualquier solicitud o entrega de información a terceros debe ser aprobada por la Gerencia General. h. El Fondo MIVIVIENDA S.A. deberá destinar patrimonio efectivo para cubrir el riesgo operacional que enfrenta, el cual deberá ser calculado por la. i. EI proceso de gestión del riesgo operacional, es un elemento del Control Interno de la Institución Gestión del Riesgo Operacional: a. Se deberá establecer un plan de trabajo que permita gestionar los riesgos operacionales de la institución, dicho plan deberá ser actualizado cada año. b. Se deberán establecer los criterios necesarios para la administración del riesgo operacional de la institución. c. Para la identificación y evaluación de los riesgos operacionales, se aplicará la metodología descrita en el presente manual.

16 Pág. N 16 de 65 d. Se deberán desarrollar políticas, procesos y procedimientos para controlar y mitigar el riesgo operacional identificado, debiendo evaluar la viabilidad de estrategias alternativas de control y limitación de los riesgos. e. Para aquellos riesgos que se pueden controlar la Gerencia de Riesgos recomendará Planes de Acción para contrastarlo adecuadamente. Estos Planes de Acción de acuerdo a su naturaleza y alcance, pueden ser implementadas por recomendación, sin embargo, si el caso lo amerita, deberán ser elevadas a consideración del Comité de Riesgos, para su decisión en cuyo caso su aplicación será obligatoria Registro y Control de los Eventos por Riesgo Operacional: a. Todo el personal del Fondo MIVIVIENDA S.A. es responsable de detectar, registrar e informar, mediante la Bitacora de Incidencias, todos los eventos de pérdida por Riesgo Operacional mayores a S/. 1, (mil 00/100 Nuevos Soles), dentro de cualquier proceso de la Institución, la pérdida está constituida por un registro contable contabilizado en cuentas de resultados, en rúbricas de gastos generales y/o cuentas patrimoniales. Así mismo, debe de informar al Responsable de Riesgo Operacional de su Gerencia y/u Oficina. b. La es responsable de realizar la evaluación de riesgos operacionales, de acuerdo a la metodología establecida. c. La debe de clasificar los eventos por riesgo operacional en base al aspecto que lo origina y el tipo de evento. d. Para las pérdidas mayores a 6 UIT, se deberá abrir un expediente físico o electrónico que contenga información adicional que permita conocer el modo en que se produjo el evento, características especiales y otra información relevante, así como las acciones que hubiera tomado la Institución, incluyendo entre otras, las mejoras o cambios requeridos en sus políticas o procedimientos Requerimiento de Patrimonio Efectivo por Riesgo Operacional: a. La es la Responsable de realizar el requerimiento de Patrimonio Efectivo por Riesgo Operacional.

17 Pág. N 17 de 65 b. El método para realizar el cálculo del Requerimiento de Patrimonio Efectivo por Riesgo Operacional, es el método básico y/u otro que la Institución estime conveniente y sea aprobado por la Superintendencia de Banca y Seguros (SBS). c. El Especialista de Riesgo Operacional, es el responsable de la elaboración y remisión vía SUCAVE, del Requerimiento de Patrimonio Efectivo por Riesgo Operacional y es responsabilidad del Supervisor de Riesgo Operacional la supervisión de dicha acción(*). (*): Literal incorporado mediante Acuerdo de Directorio N 01-01D-2015, celebrado en la Sesión N del 12 de enero del Gestión de la Continuidad del Negocio y de la Seguridad de la Información: a. El Sistema de Gestión de la Continuidad del Negocio, debe tener como objetivo implementar respuestas efectivas, para que la operatividad del negocio de la empresa continúe de una manera razonable ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en las operaciones de la empresa. Dicho sistema estará enmarcado en el Plan de Continuidad del Negocio. b. Asimismo, el Sistema de Gestión de la Seguridad de la Información, debe tener como objetivo garantizar la integridad, confidencialidad y disponibilidad de la información. Dicho sistema estará enmarcado en la Política de Seguridad de la Información y el Manual de Gestión de Seguridad de la Información. c. Tanto el Plan de Continuidad del Negocio, la Política de Seguridad de la Información y el Plan de Seguridad de la Información, deberán ser revisados periódicamente, como mínimo una (1) vez al año, para asegurar que sean consistentes con las operaciones y estrategias de la institución. d. Se deberá asegurar que los principales proveedores de servicios cuenten con un Plan de Continuidad e. En las subcontrataciones significativas se deberá verificar que se mantengan las características de seguridad de la información de la entidad y asegurar que el procesamiento y la información, se encuentre efectivamente aislada en todo momento.

18 Pág. N 18 de Aprobación de Nuevos Productos o cambios importantes en el ambiente de negocios, operativo e informático. a. Todo nuevo producto que requiera ser aprobado o todo cambio importante en el ambiente de negocios, operativo o informático, deberá pasar necesariamente por un proceso de Evaluación de Riesgos. b. Las Gerencias y/u Oficinas solo procederán a coordinar, desarrollar, modificar o implementar nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático si se cumple, entre otros, con lo establecido en el párrafo anterior Determinación y Evaluación de Subcontratación Significativa y/o Servicio Importante a. La deberá elaborar una metodología para determinar si un servicio es considerado como una subcontratación significativa o un servicio importante que genere cambios en el ambiente de negocios, operativo e informático. b. Las Gerencias y/u Oficinas, en coordinación con la Gerencia de Riesgos, deberán evaluar dicho servicio en base a la metodología propuesta por la. c. Para las subcontrataciones significativas, la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser puesto en conocimiento del Directorio, si este fuese delegado para su aprobación. d. Para los servicios importantes que generen cambios importantes en el ambiente de negocios, operativo e informático la Gerencia de Riesgos deberá realizar una evaluación de riesgos, la cual deberá ser presentado a la Gerencia General y al Comité de Riesgos. e. A fin de asegurar una eficiente gestión de Riesgo Operacional relacionado a las subcontrataciones significativas y/o servicios importantes, se han determinado las responsabilidades, de acuerdo al siguiente detalle: Es responsabilidad de la Gerencia de Administración, el proceso de selección del proveedor del servicio y la gestión de la elaboración del acuerdo de subcontratación. Es responsabilidad de las Gerencias y/u Oficinas, la gestión y monitoreo de los riesgos asociados con el acuerdo de

19 Pág. N 19 de Cumplimiento: subcontratación, debiendo reportar incidentes a la bitácora de Riesgo Operacional, a fin de asegurar un entorno de control efectivo. Así mismo, se deberán asegurar que cuenten con planes de continuidad, en el caso de principales proveedores de servicios(*) (*): Literal incorporado mediante Acuerdo de Directorio N 01-01D-2015, celebrado en la Sesión N del 12 de enero del El no cumplimiento de las políticas establecidas en el presente manual, así como la omisión del reporte de incidencias de pérdida por Riesgo Operacional, son consideradas como falta y serán sancionadas de acuerdo al Reglamento Interno de Trabajo (RIT) METODOLOGIA Marco General Entendimiento de la organización / Establecer el Contexto: En esta etapa inicial se deberá establecer el contexto mediante la definición de los diferentes criterios para la gestión del riesgo operacional. Esta etapa involucra los siguientes aspectos: - Definir los valores y matriz de frecuencia Los valores de frecuencia han sido establecidos en base a cinco niveles, dados por el número de eventos por riesgo operacional en el periodo de un año, en el siguiente cuadro se muestran los niveles establecidos: Cuadro Nº 1: Valores de frecuencia Nro. de Eventos Niveles en el año veces 2 1 veces 3 4 veces 4 12 veces 5 24 veces - Definir los valores y matriz de impacto Los valores de impacto han sido establecidos en base a cinco niveles.

20 Pág. N 20 de 65 El valor inicial de la matriz de impacto, estará dado por el 15% del promedio de pérdidas por riesgo operacional de los últimos 5 años. Los valores de los siguientes niveles serán determinados según la distribución por nivel de exposición del riesgo del Mapa de Riesgo Operacional FMV (Gráfico N 2). - Determinar el nivel de apetito al Riesgo del Fondo MIVIVIENDA S.A. Determinación del apetito en toda la organización Recogemos los datos de valoración cuantitativa de riesgo operacional: a) Los datos acumulados en un periodo anual de los eventos de pérdida por RO. De las pérdidas registradas en la Bitácora de Riesgo Operacional, se realizará la sumatoria de todas las pérdidas registradas en un periodo anual, para dicho cálculo se tomara en cuenta las pérdidas registradas en los últimos 5 años, luego de calculado el total de pérdidas por periodo anual, se tomara el valor máximo obtenido. b) Las provisiones por contingencias legales. De las provisiones registradas en las cuentas contables se tomara el valor obtenido al cierre de cada año (diciembre) de los últimos 5 años, para efectos del cálculo a realizar se utilizara el valor más alto obtenido. Se toma como supuesto que durante el periodo evaluado todas las provisiones por contingencias legales se materializan. c) Estimación de las posibles pérdidas Se estimaran las posibles pérdidas de las evaluaciones cuantitativas de Riesgo Operacional por cada evento de pérdida identificado. Con los datos recopilados se establecerá, sumando los valores totales de exposición, el nivel de apetito de riesgo operacional para toda la organización en un periodo anual, el cual se redondeará. El apetito obtenido se deberá comparar con el promedio de las utilidades del FMV de los últimos 5 años y con el promedio del requerimiento de patrimonio efectivo por RO de los últimos 5 años.

21 Pág. N 21 de 65 El apetito de toda la organización siempre deberá ser mayor al apetito individual. Determinación del apetito individual por riesgo operacional La matriz de exposición de riesgo operacional vigente en la metodología de RO expresa valores de exposición: Gráfico Nº 2: Mapa de Riesgo Operacional FMV 5 V51 V52 V53 V54 V55 4 V41 V42 V43 V44 V45 3 V31 V32 V33 V34 V35 2 V21 V22 V23 V24 V25 1 V11 V12 V13 V14 V Por tanto, el apetito de riesgo operacional para cada riesgo individual se establece en el valor más alto del nivel de exposición moderado, debido a que este es el nivel de exposición máximo aceptado por la institución. - Determinar la Tolerancia al Riesgo del Fondo MIVIVIENDA S.A.: El nivel de tolerancia de riesgo operacional en el FMV se establece tomando en consideración el número de eventos por riesgo operacional definido en la metodología de RO y siguiendo la siguiente escala. Cuadro Nº 2: Nivel de Tolerancia de Riesgo Operacional Número de eventos por año Más de 25 Elaboración: Propia Tolerancia a RO (expresado en % sobre el apetito de RO) 0 a 10 Hasta 30% 11 a 15 Hasta 20% 16 a 20 Hasta 10% 21 a 25 Hasta 5% Mismo nivel del apetito - Seguimiento y calibración del modelo de estimación Los parámetros de estimación, los niveles de exposición de la matriz de RO, el seguimiento de los eventos de pérdida tanto a nivel de número de eventos como del monto de pérdidas acumuladas y la exposición por riesgo operacional así como cualquier otro parámetro que se incluya en el modelo de

22 Pág. N 22 de 65 estimación deberán ser calibrados de manera anual a efectos de verificar su adecuada aplicación. En caso se presenten cambios sustanciales en los valores de estimación (mayores al máximo valor de la tolerancia por RO), deberá determinarse un nuevo nivel de apetito de riesgo operacional. La siguiente calibración del modelo de estimación se realizará con la información recopilada a diciembre del año Definir las categorías de riesgos/tipos de eventos. Los eventos/riesgos se pueden agrupar de acuerdo con su naturaleza en las siguientes categorías: Fraude Interno Fraude Externo Prácticas laborales y seguridad del ambiente de trabajo. Prácticas relacionadas con clientes, los productos y el negocio. Daños a los activos físicos. Interrupción del negocio por fallas en la tecnología de información. Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores externos. En el Anexo N 5, se incluye una categorización de los tipos de eventos de pérdida aplicable, donde se detalla los niveles 1, 2 y actividades ejemplo (nivel 3). - Definir los factores de riesgo. Los factores de riesgo se seleccionan de acuerdo con su naturaleza en el contexto de la Institución. La codificación según el artículo 4º de la Resolución SBS Nº establece como factores de riesgo: Personal Procesos Internos Tecnología de Información Eventos Externos - Definir los criterios para el tratamiento/mitigación de riesgos operacionales. Una vez realizadas las pruebas a controles y desarrollado el mapa de riesgos residuales, los criterios para tomar decisiones sobre los riesgos serán:

23 Pág. N 23 de 65 Para los riesgos calificados como críticos y altos, estos serán incluidos dentro de los planes de mitigación, y Para los riesgos calificados como moderados y bajos, estos serán monitoreados. - Definir los criterios para la evaluación de controles. Una vez desarrollado el mapa de riesgos residuales e identificados los controles que mitigan cada uno de los riesgos, es necesario definir el alcance de las pruebas de controles. En los casos en que no sea posible evaluar todos los controles con el objeto de optimizar los recursos, es necesario definir los criterios con los cuales serán seleccionados los controles a evaluar. Estos criterios serán: - La selección de controles que mitiguen riesgos calificados como Críticos y Altos La selección de controles que mitiguen más de un riesgo La selección de otros controles, que a criterio del evaluador o dueño de proceso deben ser considerados en el proceso de administración de riesgos. - Categorizar los procedimientos de acuerdo a su nivel de importancia en la operatividad de la Entidad, basado en las siguientes actividades: 1) Se deberá identificar claramente los procesos, sub-procesos y procedimientos de las unidades organizacionales. 2) Identificados los procedimientos se procederá a categorizarlos de acuerdo a su nivel de importancia, para ello los analistas de riesgo operacional coordinarán una reunión con el responsable de los procedimientos con la finalidad de realizar un análisis cualitativo del nivel de importancia de los procedimientos. 3) El responsable de los procedimientos con la guía del analista de riesgo operacional asignará una calificación a cada criterio de evaluación. Los criterios establecidos para el análisis del nivel de importancia de los procedimientos se muestran en el cuadro Nº 1:

24 Pág. N 24 de 65 Cuadro Nº 3: Criterios para categorizar los procedimientos de acuerdo a su nivel de importancia. CODIFICACIÓN CRITERIOS DE EVALUACIÓN DESCRIPCIÓN CALIFICACIÓN PESO(%) CRITERIOS DE CALIFICACIÓN 1 Nada relacionado con el cumplimiento de la misión C1 Misión Poco relacionado con el cumplimiento de Los Procedimientos Institucionales 2 la misión orientados al cumplimiento de la misión Medianamente relacionado con el del FMV, según lo descrito en la ley 24% 3 cumplimiento de la misión organica y reglamento de organización y Altamente relacionado con el funciones 4 cumplimiento de la misión Muy altamente relacionado con el 5 cumplimiento de la misión Los procesos, subprocesos y 1 Alineado a 1 o ningún objetivo estratégicos procedimientos orientados a dar 2 Alineado a 2 objetivos estratégicos C2 Objetivos Estratégicos cumplimiento de los objetivos 21% 3 Alineado a 3 objetivos estratégicos estrategicos establecidos por la Alta 4 Alineado a 4 objetivos estratégicos Dirección del FMV 5 Alineado a 5 objetivos estratégicos C3 Normativa y Plazos Sanciones o multas por incumplimiento 1 sin impacto significativo Los procesos, subprocesos y Sanciones o multas por incumplimiento procedimientos cuya ejecución esta 2 sin impacto significativo sujeta al cumplimiento del reglamento, Sanciones o multas por incumplimiento: normativa y procedimientos 9% 3 bajo advertencia administrativos emitidos por la Sanciones o multas por incumplimiento Superintendencia de banca y Seguros 4 menores a 20 UIT (SBS) y/o otro ente regulador Sanciones o multas por incumplimiento 5 mayores a 20 UIT Perdidas comprendidas entre 0 y 1'000 1 nuevos soles Los procesos, subprocesos y 2 Perdidas comprendidas entre 1'001 y 10'000 nuevos soles C4 Impacto Económico procedimientos que presentan el riesgo Perdidas comprendidas entre 10'001 y 30% potencial de generar perdidas 3 100'000 nuevos soles económicas a la institución Perdidas comprendidas entre 100'001 y 4 un millon de nuevos soles Perdidas mayores a un millón de nuevos 5 soles 1 Sin impacto en los desembolsos del mes 2 Menor al 1% de desembolsos del mes Los procesos, subprocesos y Mayor al 1% y menor al 5% de C5 Impacto en la Imagen procedimientos orientados a la atención 3 Institucional de personas y/o empresas y que 15% desembolsos del mes exponen la imagen de la institución Mayor al 5% y menor a 10% de 4 desembolsos del mes 5 Mayor al 10% de desembolsos del mes 4) Una vez obtenida la calificación de cada criterio de evaluación se procede a calcular la sumatoria lineal ponderada de los productos entre el puntaje asignado a cada criterio y la ponderación que le corresponde (el factor de ponderación de cada criterio está en relación con el grado de importancia del criterio en la ejecución del procedimiento para el logro de la visión de la Entidad). Para hallar la sumatoria lineal ponderada se aplica la siguiente expresión: 5 5 N = (CCi *Wj) i=1 j=1

25 Pág. N 25 de 65 Donde: - N: Nivel de importancia del procedimiento en la operatividad de Entidad. - CCi: Calificación asignada al criterio de evaluación. - Wj: Ponderación o peso que le corresponde al criterio de evaluación. 5) El nivel de importancia del procedimiento se obtiene al ubicar el valor N de la sumatoria lineal ponderada en el intervalo de clasificación de nivel de importancia(alto, medio y bajo)al cual pertenece, de acuerdo al cuadro Nº 2: Gestión del Riesgo Operacional: Cuadro Nº 4: Intervalo de clasificación del nivel de Importancia de los Procedimiento. Nivel de importancia Bajo Medio Alto La Gestión de Riesgo Operacional del Fondo MIVIVIENDA S.A. consta de seis etapas: A. Identificación de los Riesgos Operaciones. B. Análisis de los Riesgos Operacionales. C. Evaluación de los Riesgos Operacionales D. Tratamiento/Mitigación de los Riesgos Operacionales. E. Monitorear y Revisar. F. Comunicar y Consultar. Estas etapas son de vital importancia para desarrollar con éxito la gestión del riesgo operacional. Se cuenta con la participación de las personas que ejecutan los procesos, para lograr que las acciones de control alcancen los niveles esperados. En el Anexo N 1, se presenta gráficamente la metodología para la gestión del Riesgo Operacional. A. Identificación de los Riesgos Operacionales: En esta etapa se identifican los eventos por riesgo operacional en cada uno de los procesos y procedimientos. Debe entonces responderse a las preguntas sobre: - qué puede suceder?,

26 Pág. N 26 de 65 - dónde?, - cuándo?, - cómo? y - por qué? La identificación del riesgo, deberá ser permanente e interactiva y debe estar basada en el análisis de los objetivos estratégicos de la entidad para la obtención de resultados. Esta etapa involucra los siguientes aspectos: - Lograr un conocimiento del proceso a evaluar, identificando como mínimo los siguientes aspectos: Objetivo del proceso o procedimiento. Diagrama de proceso o procedimiento. Entradas y Salidas. Comienzo del proceso o procedimiento y fin del proceso o procedimiento. Factores críticos de éxito Indicadores de desempeño Sistemas de Información que soportan el proceso o procedimiento. Recursos Humanos involucrados en el proceso o procedimiento. Documentación relacionada Se documenta el conocimiento del proceso o procedimiento en formatos de caracterización de procesos. Anexo Nº 6 (Formato para documentar la caracterización de los procesos). - Identificar los problemas (eventos/riesgos) que pueden afectar el cumplimiento del objetivo del proceso. - Determinar los factores que originan los eventos por riesgo operacional y clasificar los eventos/riesgos de acuerdo con las categorías establecidas en el Anexo N 5 del presente documento. B. Análisis de los Riesgos Operacionales: Esta etapa considera las fuentes de riesgos, sus consecuencias y las probabilidades de ocurrencia de las mismas. Se analiza el riesgo combinando las estimaciones de las probabilidades de ocurrencia (frecuencia) y de las consecuencias (impacto), en el contexto de las medidas de control existentes.

27 Pág. N 27 de 65 Permitirá conocer el nivel de riesgos inherente al cual está expuesta la Institución, evaluar la solidez de los controles (grado en que mitigan los riesgos) y establecer el nivel de riesgo residual al cual está expuesta la Institución. Esta etapa involucra los siguientes aspectos: - Determinar los riesgos brutos, mediante la valoración de los riesgos inherentes a los procesos, sin tener en cuenta el diseño y la eficiencia operativa de los controles existentes. Esta actividad consiste en: Calificar los riesgos con base a los criterios establecidos para la evaluación de riesgos (en términos de probabilidad de ocurrencia del riesgo y nivel de impacto). Desarrollar el mapa de riesgos brutos. - Determinar y evaluar los controles inherentes a los procesos, valorando la efectividad del diseño de los controles. Esta actividad consiste en: Identificar los controles propios de los procesos. Determinar las características de los controles, las que se muestran en el siguiente cuadro. Cuadro N 5: Características de los controles Frecuencia Tipo Implementación Continua Preventivo Automático Periódica Detectivo Semiautomático Ocasional Ocasional Manual A continuación se detallan los tipos de control y la frecuencia:

28 Pág. N 28 de 65 Cuadro N 6: Tipos de control TIPO DE CONTROL Son controles orientados a prevenir las causas del riesgo en una etapa muy temprana, ayudan a prevenir una pérdida. Preventivo Feed-back No Entrada? Proceso Salida Punto de Control Detectivo Correctivo Orientados a detectar actos indeseables. El punto de control se ubica dentro del proceso y las adecuaciones se enfocan a detectar y compensar los errores o desviaciones antes de que se elabore el resultado. Entrada Proceso Adecuación Salida Son controles orientados a corregir las causas que originan el riesgo. El punto de control se ubica al final del flujo del proceso y las adecuaciones se enfocan a corregir los errores sobre el resultado obtenido.? No Punto de Control Adecuación Entrada Proceso Salida? No Punto de Control Cuadro N 7: Frecuencia de los controles FRECUENCIA Continua Periódica Ocasional Cada vez que se le solicita como parte del flujo normal del proceso. Se repite con frecuencia a intervalos determinados (mensual, trimestral, etc) Cada vez que se le solicita fuera del flujo normal de recorrido del proceso. Identificadas las características de los controles, se obtiene un valor numérico que representa la efectividad del diseño del control que se ubica en un intervalo que establece los límites entre los niveles efectividad del control. A continuación se presenta el intervalo predefinido:

29 Pág. N 29 de 65 Límite inferior Cuadro N 8: Intervalo de efectividad del control Límite superior Fuerte Moderado Débil Efectividad del control Descripción Los controles son adecuados, dado que son efectivos en la mitigación del riesgo residual. Lo controles son adecuados, dado que su factor de reducción mitiga la frecuencia y/o impacto del riesgo bruto, pero presentan debilidades pertinente a revisar. Los controles no son adecuados y necesitan rediseñarse. Con el nivel de efectividad y características de los controles, se obtiene la valoración del factor de reducción del riesgo inherente, el cual se multiplica acorde a su foco con la frecuencia e impacto del riesgo bruto para obtener así la exposición al riesgo residual (Ver Anexo N 2). - Determinar el perfil de riesgos residuales. Esta actividad consiste en: Calificar los riesgos residuales teniendo en cuenta la calificación final dada a los controles. Desarrollar la matriz de riesgos residuales y determinar el nivel de exposición, como se muestra en el Anexo Nº 2: - Elaborar una lista de los riesgos identificados ordenándolos de mayor a menor según la calificación del riesgo residual obtenida. C. Evaluación de los Riesgos Operacionales En esta etapa se compara la calificación del riesgo residual contra los niveles de tolerancia admisibles por la Institución, con el fin de tomar acciones posteriores, optando por Aceptar o dar Tratamiento al Riesgo. El producto de una evaluación de riesgo es una lista de riesgos con prioridades para una acción posterior. D. Tratamiento / Mitigación de Riesgos Operacionales: En esta etapa se identifican las opciones para mitigar/tratar los riesgos, realizar la evaluación de dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin embargo, la Institución puede decidir aceptar el riesgo sin tomar acciones adicionales.

30 Frecuencia MANUAL DE GESTIÓN DEL RIESGO Pág. N 30 de 65 Esta etapa involucra las siguientes actividades: - Identificar las opciones para el tratamiento de riesgos. Las opciones, que no son necesariamente excluyentes y apropiadas en todas las circunstancias, incluyen lo siguiente: Aceptar el Riesgo.- Cuando se encuentra en un nivel que puede ser aceptado por la Institución, sin necesidad de tomar otras medidas de control diferentes a las que poseen. Evitar el Riesgo.- Se evita el riesgo si se decide no proceder con la actividad que probablemente generaría el riesgo (cuando esto es practicable). Reducir el Riesgo, Reducir o controlar la probabilidad de la ocurrencia, Reducir o controlar las consecuencias Transferir los riesgos.- Esto involucra que otra parte soporte o comparta parte del riesgo. Los mecanismos incluyen el uso de contratos arreglos de seguros y estructuras organizacionales tales como sociedades. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reducirá el riesgo para la Institución original, pero puede no disminuir el nivel general del riesgo para la sociedad. A continuación, en el gráfico Nº 3, se muestran las opciones para la mitigación de riesgos, de acuerdo al nivel de exposición. Gráfico Nº 3: Matriz de Riesgo Residual. REDUCIR EVITAR ACEPTAR TRANSFERIR Impacto - Las opciones de transferir o reducir el riesgo deberá evaluarse para cada caso particular, pero en general podría considerar las siguientes opciones: Trasferir.- Para aquellos riesgos que presenten una frecuencia moderada, baja y/o muy baja y un impacto importante, mayor y/o superior.

31 Pág. N 31 de 65 Reducir.- Para aquellos riegos cuya frecuencia sea importante, mayor y/o superior y el impacto sea moderada, baja y/o muy baja. - Evaluar las opciones de mitigación de riesgos.- Las opciones son evaluadas sobre la base del alcance de la reducción del riesgo, y el alcance de cualquier beneficio u oportunidad adicional creadas. Se consideran y aplican una cantidad de opciones ya sea individualmente o combinadas. La selección de la opción más apropiada involucra balancear el costo de implementar cada opción contra los beneficios derivados de la misma. En general, el costo de administrar los riesgos es conmensurado con los beneficios obtenidos, como se muestra en el gráfico Nº 4: Gráfico Nº 4: Evaluación del Nivel de Riesgo vs. Costo de reducir el riesgo. - Evaluar la efectividad de los planes de tratamiento, luego de implementados los diferentes planes de tratamiento para la mitigación de los riesgos identificados, según sea el caso, se deberá evaluar tomando en cuenta primero si el control existe y si esta implementado formalmente, si es apropiado y si existen debilidades en los procedimientos para su aplicación.

32 Pág. N 32 de 65 E. Monitorear y Revisar: En esta etapa se monitorean los riesgos, la efectividad del plan de tratamiento de los riesgos, las estrategias y el sistema de administración que se establece para controlar la implementación del plan. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, ya que pocos riesgos permanecen estáticos. Esta etapa involucra las siguientes actividades: - Definir los indicadores de riesgos necesarios para monitorear el nivel de exposición de la Institución. - Definir los reportes necesarios para realizar el monitoreo de riesgos, incluyendo la frecuencia de su generación y los responsables de elaborarlos. - Analizar los reportes con el fin de monitorear el nivel de exposición de la Institución (analizar variación de resultados de indicadores y evaluar la efectividad de los planes de mitigación). - Realizar seguimiento a los planes de tratamiento/mitigación definidos, con el fin de verificar su implementación. Para realizar este seguimiento, es necesario definir cuáles serán las responsabilidades de cada uno de los participantes en la administración de riesgos, las cuales pueden ser: Dueños de proceso: Evaluación de controles y verificación de implementación de los planes de acción a través del proceso de autoevaluación. Unidad de riesgo: Preparar un plan de seguimiento que influya las actividades más relevantes a las cuales debe realizarle el seguimiento. Auditoría Interna: Incluye el seguimiento dentro de los programas de auditoría, según las necesidades de la Institución. - Modificar y/o actualizar los planes de mitigación en los casos que se requiera. Si luego del tratamiento hay un riesgo residual, la Institución tomará la decisión de retener este riesgo o repetir el proceso de tratamiento/mitigación.