Velezmoro Latorre Oscar Modelo Gestion

FACULTAD
DE ADMINISTRACIÓN
Y CONTABILIDAD
Memoria de Desempeño Profesional para optar el título de

Licenciado en Administración
MODELO DE GESTIÓN DE RIESGO OPERACIONAL EN

UNA INSTITUCIÓN FINANCIERA PERUANA DENTRO DE
UN ENFOQUE INTEGRADO DE GESTIÓN DE RIESGOS
PRESENTADA POR:
Oscar Alejandro Velezmoro La Torre
Asesor: Profesor Jorge García Paz
San Miguel, Junio del 2010

ii
Dedicatoria
A mi familia por su constante motivación, afecto y

apoyo incondicional.
iii
Agradecimientos
Para los señores Javier Rodriguez y Marco Loayza

que me permitieron conocer y desarrollar la gestión
del riesgo operacional y las buenas prácticas de
gestión empresarial.
iv
Resumen
El presente documento tiene como propósito dar a conocer un modelo de
gestión de riesgo operacional bajo el enfoque de gestión integral de
riesgos COSO ERM, para ayudar a prevenir y reducir los niveles de
pérdida que ocurran por este riesgo en una empresa financiera peruana.
Para su desarrollo, se eligió una Institución Financiera del sector de las
microfinanzas, dado que el graduando, realizó un trabajo de consultoría
para adaptar su metodología de gestión de riesgo operacional al estándar
COSO ERM. Adicionalmente, se han tomado como referencia otras cuatro
experiencias profesionales donde también se aplicó este estándar.
La Memoria, se presenta a manera de Informe y consta de cinco
capítulos.
El capítulo 1, muestra el diagnóstico organizacional de la Institución
Financiera al cierre del 2009.
El capítulo 2, muestra un resumen del marco teórico que incluye el COSO
ERM, Basilea 2, regulación de la SBS en materia de riesgo operacional y
gestión integral de riesgos, con varias referencias bibliográficas a fin de
que el lector pueda ampliar lo expuesto y profundizar en otros aspectos
fuera del alcance de este informe.

v
El capítulo 3, describe la aplicación práctica desarrollada en la Institución
Financiera por cada uno de los componentes del COSO ERM.
El capítulo 4, indica los beneficios de aplicar la gestión de riesgo
operacional bajo un enfoque integral, y el impacto cuantitativo medido en
términos de ahorro de capital regulatorio.
El capítulo 5, presenta las conclusiones y recomendaciones a las que se
llegó al culminar el informe.
Además, incluye un glosario de términos utilizados y, anexos a modo de
ejemplos para comprender mejor lo desarrollado.
Finalmente, dado que el informe es el resultado de la experiencia
profesional del graduando, pretende ser un aporte a la comunidad
universitaria y ser objeto de inspiración para otros trabajos relacionados a
la gestión de riesgos.
vi
Índice general
Pág.
Resumen iv
Índice general vi
Índice de tablas viii
Índice de figuras ix
Introducción 1
Objetivos 2
Alcance 3
Capítulo I: Diagnóstico organizacional de la Institución
Financiera
1.1. Naturaleza del negocio 6

1.2. Reseña histórica
1.3. Ley y regulación aplicable 7
1.4. Misión y visión 8
1.5. Valores
1.6. Mercado objetivo 10
1.7. Productos y servicios financieros 11
1.8. Organización 12
1.9. Estructura de procesos 19
1.10. Problemática relacionada a la gestión del riesgo 24
operacional
Capítulo II: Marco Teórico para la Gestión del Riesgo
Operacional bajo un Enfoque de Gestión Integral de
Riesgos
vii
2.1. Antecedentes 27
2.2. Gestión de Riesgos Empresariales COSO ERM 30
2.3. Nuevo Acuerdo de Capital Basilea 2 38
2.4. Regulación de la SBS sobre riesgo operacional 41
Capítulo III: Actividades desarrolladas en la Institución
Financiera para aplicar la Gestión de Riesgo Operacional
bajo Enfoque COSO ERM
3.1. Elementos del Ambiente Interno 50

3.2. Proceso de establecimiento de objetivos 53
3.3. Identificación de riesgos operacionales 57
3.4. Autoevaluación de riesgos operacionales 62
3.5. Tratamiento de los riesgos operacionales 68
3.6. Reportes en la gestión de riesgo operacional 72
3.7. Monitoreo de la gestión de riesgo operacional 74
Capítulo IV: Evaluación del impacto del aporte realizado
4.1. Status de la problemática de la gestión de riesgo 78

operacional luego de la implementación del
modelo
4.2. Impacto en la gestión de riesgos 83
4.3. Impacto financiero en el requerimiento de capital 85
regulatorio
Capítulo V: Conclusiones y Recomendaciones
5.1. Conclusiones 89
5.2. Recomendaciones 90
Referencias Bibliográficas 92
Índice de Abreviaturas y siglas 94
Glosario 96
Anexos 106
viii
Índice de tablas
Pág.
Tabla 1.1: Número de Trabajadores a Diciembre 2009 12

Tabla 1.2: Roles de los principales puestos de la IF 15
Tabla 1.3: Procesos de la IF 21
Tabla 2.1: Pilares del Nuevo Acuerdo para Riesgo 40
Operacional
Tabla 2.2: Relación entre los Principios de Basilea 2 y la 45
Regulación SBS
Tabla 3.1: Análisis de brechas y planes de acción – 50
Ambiente interno
Tabla 3.2: Niveles de Impacto Financiero 54
Tabla 3.3: Objetivos aplicando COSO ERM 55
Tabla 3.4: Planes de acción – Establecimiento de objetivos 56
Tabla 3.5: Tipos de reporte 73
Tabla 4.1: Status de la problemática de la GRO de la IF al 79
finalizar el proyecto
Tabla 4.2: Líneas de negocio 85
Tabla 4.3: Porcentajes a aplicar por Línea de negocio 86
Tabla 4.4: Beneficio de la aplicación del método estándar 88
alternativo
ix
Índice de figuras
Pág.
Figura 1.1: Organigrama de la IF 13

Figura 1.2: Organigrama de Agencia de la IF 14
Figura 2.1: Matriz Tridimensional: Cubo COSO ERM 32
Figura 3.1: Componentes de la Gestión de Riesgos 48
Empresariales
Figura 3.2: Diagrama de Gantt del proyecto 49
Figura 3.3: Perfil de riesgo 58
Figura 3.4: Mapa del proceso de créditos 59
Figura 3.5: Matriz de Riesgos 61
Figura 3.6: Matriz de Riesgos - Evaluación 63
Figura 3.7: Matriz de Controles 66
Figura 3.8: Matriz de Riesgos y Controles - Evaluación 67
Figura 3.9: Plan de Acción 69
Figura 3.10: Resultado de las Pruebas 70
Figura 3.11: Matriz de Riesgos y Controles con Planes de 71
Acción y Pruebas
1
Introducción
La implementación de una Gestión de Riesgo Operacional integrada
permitirá a la Institución Financiera (IF) controlar a un nivel razonable los
riesgos operacionales, monitorearlos y estar adecuadamente preparados
para los cambios del negocio y el entorno, con una visión de las
situaciones que pueden incrementar su exposición.
La IF necesita diseñar e implementar un modelo o metodología de gestión
de riesgo operacional bajo un enfoque de gestión integral de riesgos
COSO ERM, por cumplimiento regulatorio, caso contrario puede ser
objeto de sanciones y/o multas.
Permitirá a la IF, reducir las pérdidas por riesgo operacional, por la
implementación de acciones correctivas y preventivas, además de
lecciones aprendidas.
La IF logrará obtener la autorización de la Superintendencia de Banca,
Seguros y AFP´s (SBS) para la aplicación del método estándar
alternativo, que permite asignar menor capital por la ley de
implementación del Nuevo Acuerdo de Capital Basilea 2 (NAC B2), es
decir, ahorro de capital, que puede ser destinado a una mayor inversión
en el negocio u otras actividades de inversión rentables, por lo cual existe
también un costo de oportunidad asociado al uso del capital.

2
Objetivos
Objetivo General
• Dar a conocer un modelo de gestión de riesgo operacional bajo el
enfoque de gestión integral de riesgos COSO ERM, para prevenir y
reducir niveles de pérdida que ocurran por este riesgo.
Objetivos Específicos
• Mantener informada a la gerencia sobre los niveles de riesgo
operacional y los aspectos que pueden influir en incrementar su
exposición, así como las estrategias a implementar para reducirlos a
niveles aceptables, lo cual ayudará a tomar decisiones mitigando los
riesgos de negocio asociados a las operaciones de la Institución
Financiera, es decir, controlar los riesgos en los niveles deseados.
• Asignar menor monto de capital por riesgo operacional (“ahorro de
capital”) en cumplimiento con las mejores prácticas de gestión y
cumplimiento regulatorio dentro del marco del Nuevo Acuerdo de
Capital Basilea 2 aplicable en el sistema financiero peruano a partir de
Julio 2009.
3
Alcance
El presente informe incluye lo siguiente:
• Diagnóstico organizacional de la Institución Financiera (IF) con
información a Diciembre 2009 sobre su marco legal, visión y misión,
mercado objetivo, productos y servicios, estructura organizacional y de
procesos, con una mención de la problemática relacionada a la gestión
del riesgo operacional.
• Referencia al estándar de gestión integral de riesgos COSO ERM, al
Nuevo Acuerdo de Capital Basilea 2 (NAC B2) en lo correspondiente
al riesgo operacional, y a las regulaciones de la SBS sobre gestión
integral de riesgos y gestión del riesgo operacional.
• Descripción de las actividades desarrolladas en la IF aplicando los
componentes del estándar COSO ERM y la regulación de la SBS, a
manera de guía para una adecuada gestión del riesgo operacional.
Para la descripción de las secciones de identificación, autoevaluación
y tratamiento de riesgos operacionales, se mostrará un riesgo típico
asociado al proceso de evaluación de créditos de la IF, dada su
importancia en la generación de ingresos para el negocio y los
recursos asociados.
4
• Impacto cualitativo explicando los beneficios en la gestión del riesgo
operacional, así como el impacto cuantitativo, medido en términos de
capital regulatorio (requerimiento de patrimonio efectivo por riesgo
operacional) comparando el uso del método del indicador básico y el
método estandarizado alternativo según la Resolución SBS Nº 2115-
2009 “Reglamento para el requerimiento de patrimonio efectivo por
riesgo operacional”, cuyo beneficio es un ahorro en la asignación de
capital regulatorio dentro de la implementación del NAC B2.
• Conclusiones y recomendaciones.
El presente informe no contempla:
• El proceso de planeamiento estratégico de la IF. Se ha tomado la
información disponible de la IF sobre su misión, visión y objetivos
estratégicos, y es sobre éstos que se ha trabajado la aplicación de los
conceptos del COSO ERM.
• Evaluación del ambiente de control interno de la IF. El informe no
incluye evaluaciones de control ni de la información utilizada o
mencionada, porque se asume que al ser documentos oficiales, la
información es consistente y confiable. La IF por regulación está sujeta
a revisiones de auditoría.
5
• Conceptos o metodologías para gestionar el riesgo de crédito,
mercado u otros riesgos, incluyendo los riesgos asociados a la
tecnología de información, que se gestionan con una adecuada
gestión de seguridad de información (GSI) y gestión de continuidad de
negocios (GCN).
Como limitaciones se tiene:
• La información de la Institución Financiera es confidencial, por tanto se
mostrará información de carácter público y de aspectos generales que
permitan comprender el dimensionamiento y aplicación de la
información disponible en cada punto desarrollado.
• Las cifras mostradas como resultado del cálculo de requerimiento de
patrimonio efectivo por riesgo operacional, son cifras modificadas en
base a factores. Sin embargo, es importante indicar que esto no
influye en el objetivo de mostrar el beneficio del aporte realizado.

6
Capítulo I
Diagnóstico organizacional de la Institución Financiera
1.1. Naturaleza del negocio
La organización es una Institución Financiera (IF) peruana1 que tiene
como giro de negocio la intermediación financiera, enfocada en las
microfinanzas, al brindar servicios financieros a las personas que no
reúnen los requisitos de la banca tradicional, entre los cuales se
encuentran principalmente, las personas naturales de bajos ingresos y los
sectores de las pequeñas y medianas empresas.
1.2. Reseña histórica
La IF es una institución formada por capitales privados bajo la
denominación de sociedad anónima, que inicia operaciones a fines del
año 1994 con la autorización de la Superintendencia de Banca, Seguros y
AFP´s (SBS) ofreciendo productos de crédito y ahorro.
Es una institución de carácter asociativo, que se valora en el desarrollo de
finanzas solidarias y en estar integrada por instituciones que, bajo los
principios de solidaridad y objetivos comunes, se han convertido en
elementos de carácter económico-productivo de gran importancia al
impulsar el crecimiento de las comunidades rurales y de los pequeños
empresarios, en su mayoría de perfil emprendedor.
1
Para el desarrollo del capítulo 1, la información ha sido obtenida de la página Web de la
Institución Financiera, de la SBS y, de servicios de consultoría en diagnóstico de procesos y
gestión de riesgo operacional realizados en la misma IF.
7
A lo largo de su historia ha demostrado su compromiso con el desarrollo
regional, contribuyendo al crecimiento económico del país.
1.3. Ley y regulación aplicable
Las IF peruanas se rigen por la Ley N° 26702 “Ley General del Sistema
Financiero y del Sistema de Seguros y Orgánica de la Superintendencia
de Banca, Seguros”, y sus modificatorias, así como de la Ley General de
Sociedades. Actualmente se clasifican en:
• Bancos
• Financieras
• Cajas Municipales2
• Cajas Rurales3
• Edpymes4
La IF está supervisada y regulada por la SBS y el Banco Central de
Reserva del Perú (BCRP). Asimismo, es miembro del Fondo de Seguro
2
Las Cajas Municipales de Ahorro y Crédito (CMACs) se rigen por el Decreto Supremo 157-90-EF,
siendo creadas en 1980 por el Decreto Ley N° 23039. Están sujetas a la fiscalización de la
Contraloría General de la República y a las normas de presupuesto del Ministerio de Economía y
Finanzas. Creadas con el fin de captar recursos del público, son especializadas en realizar
operaciones de financiamiento preferentemente a las micro y pequeñas empresas.
3
Las Cajas Rurales de Ahorro y Crédito (CRACs) se crearon mediante Decreto Ley 25612 del 22
de julio de 1992, para realizar intermediación financiera enfocada en el desarrollo rural y facilitar el
acceso al crédito a los agentes económicos de la zona.
4
La Resolución SBS Nº847-94 crea las Entidades para el Desarrollo de las Pequeñas y Medianas
Empresas (EDPYMEs), las cuales tienen por objeto otorgar financiamiento a personas naturales y
jurídicas que desarrollan actividades de pequeña y microempresa, utilizando para ello su propio
capital y los recursos que provengan de donaciones, líneas de crédito y otras fuentes, previa
autorización correspondiente. Las Edpymes se diferencian de las CRACs en que no pueden captar
depósitos a la vista desde un inicio, para lo que deben pasar un proceso de autorización de la
SBS.
8
de Depósitos (FSD), persona jurídica de derecho privado regulada por la
Ley Nº 26702, cuyo objeto es proteger a quienes realizan depósitos en las
Instituciones del Sistema Financiero Peruano.
1.4. Misión y Visión
La misión de la IF está ligada a la satisfacción de las necesidades del
cliente, al cual presta servicios y productos financieros accesibles,
oportunos, competitivos y confiables, que contribuyan con el desarrollo de
la sociedad y le permitan un crecimiento sostenible.
La visión de la IF está orientada a ser reconocida como una institución
líder de las Microfinanzas en el Perú por su solidez y calidad de servicio.
Todos los años se hacen ajustes al Plan Estratégico en base a los
resultados obtenidos, objetivos y metas propuestos para el año, y el
comportamiento y tendencias del mercado.
1.5. Valores
La IF tiene como principales valores los siguientes:
• Compromiso: trabajar alineado con los planes de desarrollo
estratégico de la empresa, con profesionalismo, responsabilidad y
efectividad, involucrándose en la mejora continua de los procesos
(Calidad).
9
• Servicio al Cliente: practicar una cultura de servicio con los clientes y
compañeros de trabajo, demostrando proactividad y sentido de
colaboración en la atención de sus requerimientos, tratando siempre
de superar las expectativas.
• Eficiencia y Eficacia: trabajar optimizando el uso de los recursos
disponibles, priorizando la simplicidad de los procedimientos y
descartando todo paso improductivo.
• Transparencia: Actuar de forma clara, sin esconder nada, de manera
de generar confianza en los demás.
• Innovación: Privilegiar la investigación y el desarrollo permanente de
nuevos productos y servicios para ser más competitivos, fidelizar a los
clientes y captar nuevos mercados.
• Trabajo en Equipo: Valorar el aporte de cada colaborador en los logros
de las metas de la empresa y alentar a que la integración de todas
esas capacidades y conocimientos, apoyados en una comunicación
abierta, respeto y confiabilidad, lleven al logro de sinergias que
enriquezcan el resultado final.

10
Como parte de su cultura organizacional, la IF tiene un fuerte componente
regional basado en sus orígenes que es utilizado en el diseño y ejecución
de sus estrategias de negocio para captar y mantener clientes.
1.6. Mercado objetivo
El mercado de microfinanzas es heterogéneo, por lo que las IF consideran
diferentes criterios de segmentación, como pueden ser el geográfico,
demográfico, psicográfico, entre otros5, dependiendo de los objetivos
estratégicos, oportunidades y recursos.
El mercado objetivo de la IF está compuesto por personas naturales o
jurídicas que realizan actividades económicas del ámbito rural o urbano,
las cuales incluyen uno o más de los siguientes perfiles:
• Para Depósitos:
o Personas Naturales mayores o menores de 18 años
o Personas Jurídicas Inscritas
o Personas Jurídicas no Inscritas (sin obligación de inscribirse)
o Municipalidades
o Colegios
o Núcleos Ejecutores (Convenios con Asociaciones)
o Asociaciones de Padres de Familia (APAFAS)
o Comunidades Campesinas
5
Para mayor detalle, ver artículo “Estrategias de mercadeo en las microfinanzas” (marzo 2007),
por Guido Gutiérrez / Coordinador Proyecto BID/FOMIN-FENACREP en Síntesis Cooperativo,
Boletín de la FENACREP.
11
• Para Créditos:
o Personas naturales (mayores de 18 años)
o Microempresas
o Personas naturales o jurídicas que desarrollan actividades de
producción, comercio o servicios
1.7. Productos y servicios financieros
La IF ofrece los siguientes productos y servicios:
• Productos de Depósitos:
o Cuentas de Ahorro
o Cuentas de Ahorro con Órdenes de Pago
o Cuentas de CTS
o Cuentas a Plazo Fijo
• Productos de Créditos:
o Créditos de Consumo personales
o Créditos Institucionales (por Convenios con descuentos por
planilla)
o Créditos para Vivienda (MIVIVIENDA)
o Créditos PYME
o Créditos Comerciales
o Cartas Fianza
12
• Servicios:
o Pago de agua
o Pago de electricidad
o Pago de teléfono
1.8. Organización
A Diciembre 2009 la IF cuenta con 241 trabajadores distribuidos de la
siguiente manera:
Tabla 1.1
Número de Trabajadores a Diciembre 2009
Categoría Nº
Gerentes 5
Funcionarios 20
Empleados 216
Total trabajadores 241
Fuente: SBS
Elaboración: Elaboración Propia
Cuenta con una Oficina Principal donde se encuentra el personal
administrativo, y con nueve Agencias y tres Oficinas Especiales. Las
siguientes figuras muestran la Estructura Organizacional de la IF. Luego,
se muestra una tabla que indica los roles de cada puesto.

13
Figura 1.1
Organigrama de la IF
Junta General de
Accionistas
Comité de
Auditoría
Directorio
Comité de
Riesgos
Cumplimiento Auditoría Interna
Comité de
Gerencia General
Gerencia
Riesgos Desarrollo Legal Recuperaciones Comité de

Liquidez
Comité de
Administración y
Tecnología de
Finanzas
Información
Logística y
Tecnología de Recursos
Servicios Contabilidad Tesorería
Información Humanos
Generales
Créditos Operaciones
Atención al
Usuario
Mes Personal Comercial

Control de
Agencias
Administración de
Agencias Banca Electrónica Depósitos
Créditos
Fuente: Página Web de la IF

14
Figura 1.2
Organigrama de Agencia de la IF
Administrador de
Agencia
Asistente de
Agencia
Jefe de
Jefe de Créditos
Operaciones
Asistente de
Plataforma
Oficial de Gestor de Recibidor -

Negocios Cobranza Pagador
Fuente: Página Web de la IF

15
Tabla 1.2
Roles de los principales puestos de la IF
Puesto Área / Unidad Reporta a Rol

Dirigir las actividades estratégicas, operativas y de soporte alineadas a
Gerente General Gerencia Directorio
los objetivos y estrategias de negocios.
Vigilar el cumplimiento adecuado de las políticas y procedimientos
Auditor Interno Auditoría Interna Directorio
internos así como de la regulación y leyes vigentes.
Oficial de Monitorear el sistema de prevención de lavado de activos y el
Cumplimiento Directorio
Cumplimiento cumplimiento de la regulación y leyes.
Gerente de Gerencia Gestionar los riesgos a los que está expuesta la IF dentro de los niveles
Riesgos
Riesgos General aceptados por las políticas y procedimientos establecidos.
Establecer y mantener un sistema normativo interno que permita el
Jefe de Gerencia
Desarrollo desarrollo correcto y oportuno de los productos y servicios acorde con
Desarrollo General
las estrategias establecidas. Esto incluye la gestión de proyectos.
Asegurar que los productos y servicios operan dentro del marco legal
Gerencia
Jefe de Legal Legal vigente así como velar por los intereses de la IF frente a todos los
General
interesados del negocio.
Implementar y mantener un sistema de gestión de cobranzas y
Jefe de Gerencia
Recuperaciones recuperaciones que incluya mecanismos de negociación efectivos para
Recuperaciones General
obtener los niveles de recuperación objetivo.
Gerente de Dirigir las actividades de administración de la IF y de los aspectos
Administración Gerencia
Administración y financieros como el fondeo e inversión a niveles de riesgo que soporten
General General
Finanzas el crecimiento del negocio.
Implementar y mantener un soporte tecnológico efectivo y adecuado al
Jefe de Gerencia de
Tecnología de crecimiento de las operaciones del negocio para asegurar un
Tecnología de Administración
Información procesamiento de información bajo los principios de integridad,
Información y Finanzas
confidencialidad y disponibilidad.
Gerencia de
Jefe de Recursos Recursos Gestionar el capital humano de la IF bajo los principios y valores de la IF,
Administración
Humanos Humanos y mantener un sistema de administración de personal eficiente.
y Finanzas
16

Logística y Gerencia de Proveer oportunamente los requerimientos que necesiten las áreas de la
Jefe de Logística Servicios Administración IF para desarrollar sus actividades laborales dentro de los criterios
Generales y Finanzas establecidos de costo y calidad.
Gerencia de Asegurar el correcto y oportuno registro contable así como proveer de
Jefe de
Contabilidad Administración información financiera a la gerencia y distintas áreas para sus
Contabilidad
y Finanzas actividades de análisis y reporte para la toma de decisiones.
Gerencia de
Administrar el efectivo de la IF asegurando los niveles necesarios para
Tesorero Tesorería Administración
realizar las operaciones con los clientes y rentabilizar los excedentes.
y Finanzas
Administrar la cartera de créditos para el logro de las metas establecidas
Gerente de Gerencia
Créditos en el plan de negocios e implementar estrategias de productos y ajustes
Créditos General
a las políticas para mantener los niveles deseados de calidad de cartera.
Desarrollar e implementar estrategias para logro de metas de colocación
Jefe de Crédito
Gerencia de de créditos en los segmentos objetivo así como proponer nuevos
MES / Personal / Créditos
Créditos productos o servicios y desarrollar campañas para lograr los niveles de
Comercial
rentabilidad deseados.
Gestionar las operaciones de la IF asegurando que se ejecuten dentro
Gerente de Gerencia de las políticas y procedimientos establecidos, además de diseñar y
Operaciones
Operaciones General ejecutar estrategias para el crecimiento de las captaciones y el desarrollo
efectivo de los nuevos productos y servicios.
Oficial de Supervisar el cumplimiento de las políticas y procedimientos de servicio
Gerencia de
Atención al Operaciones al cliente dentro de las leyes y regulaciones vigentes, y reportar los
Operaciones
Usuario resultados de la gestión de servicio al cliente.
Supervisar y hacer seguimiento al correcto desempeño de las
Supervisor de Control de Gerencia de
operaciones realizadas en Agencias conforme a los objetivos,
Agencias Agencias Operaciones
estrategias, políticas y procedimientos establecidos.
Desarrollar e implementar el canal de banca por Internet para facilitar las
Jefe de Banca Gerencia de
Operaciones operaciones a través del medio electrónico acorde con los objetivos y
Electrónica Operaciones
estrategias establecidos.
17

Desarrollar e implementar estrategias para logro de metas de
Jefe de Gerencia de captaciones en los segmentos objetivo así como proponer nuevos
Operaciones
Depósitos Operaciones productos o servicios y desarrollar campañas para lograr los niveles de
rentabilidad deseados
Asegurar el correcto y oportuno desembolso de los créditos aprobados
Jefe de
Administración Gerencia de verificando el cumplimiento de los requisitos y los documentos de
Administración
de Créditos Operaciones sustento de las operaciones crediticias, así como, administrar las
de Créditos
garantías y colaterales exigidos.
Gerencia de Gestionar los recursos humanos, tecnológicos, logísticos y financieros de
Administrador de Operaciones / la Agencia para el logro de las metas comerciales establecidas así como
Agencia
Agencia Gerencia de supervisar el correcto funcionamiento de las políticas y procedimientos,
Créditos monitorear las actividades y reportar sus resultados.
Asistir al Administrador de Agencia en cubrir las necesidades de la
Asistente de Administrador
Agencia Agencia para el logro de las metas establecidas así como apoyo en el
Agencia de Agencia
monitoreo las actividades y sus resultados.
Liderar la colocación de créditos en los segmento objetivo para el logro
Administrador de las metas establecidas conforme a las políticas y procedimientos de
Jefe de Créditos Agencia
de Agencia créditos, lo cual incluye la supervisión y ayuda a los miembros del
Equipo.
Asegurar que las operaciones de crédito, depósitos y servicios se
realicen correctamente en cumplimiento con las políticas y
Jefe de Administrador
Agencia procedimientos establecidos así como supervisar al personal de
Operaciones de Agencia
operaciones de la Agencia y autorizar transacciones dentro de sus
niveles de autonomía.
Asistente de Asesorar al cliente para darle solución a sus requerimientos o guiarlos
Plataforma Jefe de para cumplir con sus requerimientos de acuerdo a las políticas y
Agencia
Atención al Operaciones procedimientos establecidos, así como promocionar productos y
Cliente servicios tanto a los clientes actuales como a los potenciales clientes.
18

Realizar las operaciones solicitadas por los clientes o terceros conforme
Recibidor - Jefe de
Agencia a las políticas y procedimientos de Agencias cumpliendo con el estándar
Pagador Operaciones
de calidad de servicio.
Promocionar los productos y servicios para lograr las metas de
Oficial de Jefe de
Agencia colocaciones y captaciones establecidas por Agencia de acuerdo a lo
Negocios Créditos
establecido por las áreas de Créditos y Operaciones.
Diseñar y ejecutar acciones de cobranza que permitan lograr las metas
Gestor de Jefe de
Agencia de recuperación por Agencia de acuerdo a las políticas y procedimientos
Cobranzas Créditos
establecidos.
Fuente: Trabajo de consultoría realizado en la IF

Elaboración: Elaboración propia
19
1.9. Estructura de procesos
Para establecer la estructura de procesos de la IF, se utilizaron las
siguientes definiciones consideradas en el enfoque por procesos6:
• “Proceso: conjunto de actividades que transforman insumos en
productos o servicios con valor para el cliente, sea interno o
externo” (Superintendencia de Bancos y Seguros de la República
del Ecuador 2005: 1).
• Procesos estratégicos: procesos que proporcionan directrices a los
demás procesos y son realizados por el directorio u organismo que haga
sus veces, y por la alta gerencia para poder cumplir con los objetivos y
políticas institucionales. Se refieren a la planificación estratégica, los
lineamientos de acción básicos, la estructura organizacional, la
administración integral de riesgos, entre otros. (Superintendencia de
Bancos y Seguros de la República del Ecuador 2005: 4-5)
• Procesos Operativos: “Son los procesos esenciales de la entidad
destinados a llevar a cabo las actividades que permitan ejecutar
efectivamente las políticas y estrategias relacionadas con la calidad
de los productos o servicios que ofrecen a sus clientes”
(Superintendencia de Bancos y Seguros de la República del
Ecuador 2005: 4-5).
6
El enfoque por procesos se puede definir como la visión y entendimiento de una organización a
través de los procesos que fluyen y son necesarios para su funcionamiento y logro de objetivos y
estrategias, diferente al enfoque departamental o por áreas. Estos procesos tienen un inicio y un
fin, se interrelacionan y se dan a todo nivel, a través de las áreas o departamentos que forman la
organización. Cada proceso tiene un dueño que es el responsable principal por el buen
funcionamiento del mismo.
20
• Procesos de soporte: procesos que apoyan a los procesos estratégicos y
operativos. Se encargan de proporcionar personal competente, reducir
los riesgos del trabajo, preservar la calidad de los materiales, equipos y
herramientas, mantener las condiciones de operatividad y
funcionamiento, coordinar y controlar la eficacia del desempeño
administrativo y la optimización de los recursos. (Superintendencia de
Bancos y Seguros de la República del Ecuador 2005: 4-5)
• Mapa de proceso de alto nivel7: el cual muestra un flujo con la
secuencia general a nivel de macroproceso, incluyendo las partes
o componentes y su interrelación dentro del mismo proceso. Es
una presentación del proceso de nivel alto que indica la secuencia
de procesos incluidos, también llamados subprocesos.
Se realizó un levantamiento y análisis de información, utilizando técnicas
como entrevistas, cuestionarios y análisis documentario, para completar el
entendimiento de la organización8, lo cual permitió, sobre la base de los
roles y responsabilidades de cada área, la identificación de dieciocho
procesos clasificados en procesos estratégicos, operativos y de soporte,
según se muestra en la tabla 1.3. La identificación y definición de la
estructura de procesos fueron validadas con los dueños de cada proceso.
7
Esta es una definición propia utilizada en los trabajos de consultoría realizados en diagnósticos y
mejoras de procesos, la cual sigue los principios del enfoque o gestión por procesos. Según el
alcance del presente informe, se utiliza este concepto como herramienta para el entendimiento del
funcionamiento de los procesos de la organización.
8
Sobre estas técnicas, ver el libro “La auditoría operativa en la práctica – Técnicas de mejora
organizativa” de Jordi Mas y Carles Ramió.
21
Tabla 1.3
Procesos de la IF
TIPO DE
CÓDIGO PROCESO (Nivel 1) SUBPROCESO (Nivel 2)
PROCESO
Planeamiento
PPT PLANEAMIENTO Seguimiento
Estudios económicos
Riesgo Crediticio
Riesgos de Mercado
RIS RIESGOS Riesgo Operacional
ESTRATÉGICOS
Riesgo de Liquidez
Control de límites
Gestión de Adeudados
FIN FINANZAS
Gestión de Inversiones
Planificación
MKT MARKETING
Ejecución
Promoción
Evaluación y Aprobación
Formalización de Garantías
CRE CREDITOS Desembolso
Seguimiento
Amortizaciones y Cancelaciones
OPERATIVOS Levantamiento de Garantías
Cobranza pre-judicial
Acuerdos de Negociación
REC RECUPERACIONES
Cobranza judicial
Castigos
Promoción
OPE OPERACIONES
Apertura
22
TIPO DE
PROCESO
Depósitos
Retiros
Transferencias
Bloqueos y Desbloqueos
Cuentas Inactivas
Servicios
Cancelaciones
Cierre, habilitaciones internas y extornos
Administración de Caja General
TES TESORERÍA Pagos
Control de Liquidez
Estructura Contable
Revisión de Cuentas Contables
CON CONTABILIDAD
Análisis de Información Contable
Elaboración y presentación de reportes
Planificación
Desarrollo
Producción
SOPORTE Administración de bases de datos
TEC TECNOLOGÍA DE INFORMACIÓN
Administración de comunicaciones
Soporte
Monitoreo
Administración de seguridad
Selección
Desarrollo
RRH RECURSOS HUMANOS Gastos de Personal
Mantenimiento de Recursos Humanos
Cierre Mensual
LOG LOGÍSTICA Adquisiciones
23
TIPO DE
PROCESO
Recepción y Distribución
Control y Mantenimiento de Activo Fijo
Bienes Adjudicados
Monitoreo
SEG SEGURIDAD
Mantenimiento
Revisión y difusión de Normas
Inscripción de documentos en Registros Públicos
LEG LEGAL
Contratos
Acciones judiciales
OYM ORGANIZACIÓN Y MÉTODOS Elaboración de Normas
Organización de Reuniones
RECEPCIÓN Y TRAMITE
RTD Recepción de Documentos
DOCUMENTARIO
Envío de Documentos
Planificación
PREVENCIÓN DE LAVADO DE
PLA Evaluación y Seguimiento
ACTIVOS
Reporte
Planeamiento
AUD AUDITORÍA INTERNA Ejecución
Seguimiento
Fuente: Trabajo de consultoría realizado en la IF

24
1.10. Problemática relacionada a la gestión del riesgo operacional
Respecto a la gestión del riesgo operacional, la Institución Financiera
presenta la siguiente problemática:
1. Carencia de personal especializado en gestión de riesgo
operacional. En general en el mercado peruano, las IF han
considerado dentro de su gestión al riesgo operacional a partir de
la regulación publicada el 2002, y con mayor énfasis durante los
últimos tres años.
2. El personal responsable de gestionar los riesgos incluyendo
Directores y Alta Gerencia, tienen conocimientos y experiencia de
la gestión de riesgos tradicional, y no del enfoque de gestión
integral de riesgos.
3. La Alta Dirección y la Gerencia no están involucradas directamente
con los riesgos operacionales o situaciones que los incrementan,
no hay una cultura del riesgo. Se valora más lograr objetivos de
volumen de negocio a costos posiblemente más altos que los que
se podría lograr considerando los riesgos asociados a las
operaciones. Las pérdidas pueden ser mayores.

25
4. Mayor y más compleja regulación exige mayor conocimiento y
adiestramiento del personal responsable de la gestión de riesgos,
directores y alta gerencia, para lograr el objetivo de cumplimiento
regulatorio, debe ser parte de la estrategia de la IF.
5. La gestión del capital (patrimonio) se ve impactada por los
requerimientos del Nuevo Acuerdo de Capital Basilea 2, incluyendo
variables no consideradas en el planeamiento del capital de la IF.
6. Gestión centralizada de riesgos, se tienen roles definidos
claramente para el área de Riesgos, pero no para las Gerencias y
niveles medio y operativo. Se tiene el paradigma de que el área de
Riesgos es responsable de gestionar y mantener niveles bajos del
riesgo, si ocurren pérdidas, “se cree” que es por la “mala gestión
del área de Riesgos”.
7. Metodología de gestión de riesgo operacional adoptada y escrita
pero con bajo nivel de dinamismo (“no viva”).
8. Carencia de una herramienta adecuada para soportar la gestión del
riesgo operacional de acuerdo al tamaño de las operaciones de la
IF.
26
Conforme al alcance definido en la sección correspondiente, para el
desarrollo del Capítulo III, se tomará la información disponible de la IF y lo
desarrollado para implementar la gestión de riesgo operacional bajo
enfoque COSO ERM. En las secciones de identificación, autoevaluación y
tratamiento de riesgos, se muestra un riesgo típico del proceso de
evaluación de créditos, seleccionado por los siguientes criterios:
• Proceso clave dentro del macroproceso de créditos, porque una
buena evaluación asegura una alta probabilidad de retorno y una
relación sana con el cliente.
• Se realiza previo al desembolso, por lo que se debe tener controles
altamente efectivos.
• Define el volumen de operaciones crediticias para los procesos
posteriores como son el desembolso y seguimiento de cartera, por
lo que puede hacer más efectivo el seguimiento en función de la
calidad de cartera.
• Requiere tecnología crediticia que debe ser permanentemente
actualizada conforme a las estrategias del negocio basadas en
riesgo.
27
Capítulo II
Marco Teórico para la Gestión del Riesgo Operacional bajo
un Enfoque de Gestión Integral de Riesgos
2.1. Antecedentes
Los riesgos son parte de las actividades diarias de las personas ya sea en
forma individual o conjunta. La humanidad, desde su existencia y a lo
largo de la historia, ha convivido y afrontado una serie de riesgos, algunos
con consecuencias funestas o sin ellas, frecuentes o no frecuentes9. De
forma análoga, la actividad empresarial, entre ellas la de las Instituciones
Financieras, está expuesta a riesgos, por lo tanto, sus decisiones deben
considerar los posibles riesgos a los que están expuestas así como la
manera de tratarlos.
Riesgo se define como “la posibilidad de que un evento ocurra y afecte
adversamente el logro de los objetivos” (COSO ERM 2004: 16).
Como resultado de una serie de eventos que afectaron la permanencia de
grandes empresas a partir de la década de los ‘80s, entre ellas varias
instituciones financieras, es que la gestión del riesgo operacional tomó
relevancia10. A nivel internacional, los principales bancos, reguladores, e
9
Sobre esto, puede consultar el libro “Against the Gods – The remarkable story of risk” de Peter L.
Bernstein.
10
Para mayor detalle ver el libro “Managing operational risk – 20 Firmwide Best Practice
Strategies” de Douglas Hoffman, el cual muestra varios casos de pérdidas o bancarrotas ocurridas.
28
instituciones como el Comité de Supervisión Bancaria de Basilea11, así
como la comunidad de profesionales de la administración de riesgos,
consideraron incluir dentro de la gestión de riesgos al riesgo operacional,
con lo cual pasó a ser parte de las buenas prácticas de gestión. Sobre
esta base, es que se dio inicio al establecimiento de metodologías,
políticas y procedimientos para gestionar los riesgos operacionales,
surgiendo la necesidad de asignar capital para cubrir posibles pérdidas
que pudieran ocurrir por este riesgo.
El riesgo operacional se define como “el riesgo de sufrir pérdidas debido a
la inadecuación o a fallos de los procesos, personas o sistemas internos o
bien a causa de acontecimientos externos. Esta definición también
engloba el riesgo legal pero excluye los riesgos estratégico y de
reputación” (Comité de Basilea 2003: 2).
El riesgo operacional se presenta a través de diferentes eventos que
pueden surgir por fallas, errores, omisiones, uso no autorizado o fraude,
de las personas, procesos, sistemas o externos, afectando una o más
líneas de negocio generando uno o más efectos que reducen valor a la
organización. Es inherente a todo negocio y abarca un amplio espectro de
temas (ver anexo 1 “Elementos del riesgo operacional”).
11
Conocido como Comité de Basilea, fue establecido a fines del año 1974 por los representantes
de los bancos centrales del Grupo de los Diez países o G10. Formula estándares, guías y
recomendaciones de mejores prácticas que se espera que las autoridades nacionales
implementen. Para mayor información ver la Web del Banco Internacional de Pagos en
<http://www.bis.org/bcbs/history.htm>
29
Dentro de este contexto, se desarrollaron varios estándares
internacionales de gestión de riesgos, entre los cuales, el más reconocido
en los últimos años es el COSO ERM, creado por El Comité de
Organizaciones Patrocinadoras de la Comisión Treadway (COSO)12, el
cual propone y define un marco para gestionar los riesgos de una manera
integrada.
Por su parte, el Comité de Basilea en julio de 1988, publicó el primero de
los Acuerdos de Basilea (Basilea 1), el cual fue un conjunto de
recomendaciones con el objetivo de establecer el capital mínimo que
debía tener una IF en función de los riesgos que afrontaba, denominado
capital regulatorio. Este capital cubre los riesgos de crédito y mercado, y
es equivalente al 8% de los activos ponderados por riesgo (APR) de la
IF13. Sin embargo, una IF puede tener o demostrar niveles de capital más
exactos o ajustados a su realidad, lo cual recibe el nombre de capital
económico14.
12
COSO se formó en 1985 para patrocinar la Comisión Nacional de Fraude de Información
Financiera (la Comisión Treadway). The Treadway Commission, la cual fue financiada y
patrocinada por cinco asociaciones profesionales de contabilidad e institutos de Estados Unidos: el
Instituto Americano de Contadores Públicos Certificados (AICPA), la Asociación Americana de
Contabilidad (AAA), Internacional de Ejecutivos Financieros (FEI), Instituto de Auditores Internos
(IIA) y el Institute of Management Accountants (IMA). The Treadway Commission recomendó que
las organizaciones patrocinadoras de la Comisión trabajen juntas para desarrollar sistemas
integrados de orientación sobre el control interno. Estas cinco organizaciones formaron lo que
ahora se denomina el Committee of Sponsoring Organizations of the Treadway Commission. Para
mayor información consultar la página Web: <http://www.coso.org/aboutus.htm>
13
Según el Acuerdo, cada uno de los países signatarios, así como cualquier otro país, quedaba
libre de incorporarlo en su ordenamiento regulatorio con las modificaciones que considerase
oportunas.
14
El capital económico es la mejor estimación del capital requerido que las instituciones
financieras pueden utilizar internamente para manejar los riesgos, dado que se calcula y asigna
entre las diferentes unidades de la organización. El capital económico considera el beneficio de la
diversificación, lo cual, el regulatorio omite para hacerlo más conservador.
30
A nivel regulatorio local15, la SBS en el año 1999, publicó la Resolución
SBS Nº 1040-1999 “Reglamento para la administración del sistema de
control interno”, donde, entre otros requerimientos, se exigía
principalmente el establecimiento, funcionamiento y monitoreo de un
adecuado sistema de control interno; y en el año 2002, publicó la
Resolución SBS Nº 006-2002 “Reglamento para la administración de
riesgos de operación”, donde se hizo exigible la implementación de un
sistema de gestión de riesgo operacional que incluía la Circular SBS G-
105-2002 “Riesgo de Tecnología de Información”.
2.2. Gestión de Riesgos Empresariales COSO ERM
En el contexto empresarial actual, el estándar internacional de gestión de
riesgos de mayor reconocimiento es el estándar COSO – ERM16,
publicado el año 2004 bajo el concepto integrado de gestión de riesgos.
El COSO, "Enterprise Risk Management – Integrated Framework"
publicado el 2004, define ERM como:
Gestión de riesgos empresariales es un proceso efectuado por el
directorio, gerentes, y otros funcionarios, aplicada en el establecimiento
de la estrategia en todos los niveles de la empresa, diseñado para
identificar potenciales eventos que puede afectar a la entidad, y gestionar
el riesgo dentro de su apetito de riesgo, para proveer seguridad razonable
en relación con el logro de objetivos empresariales. (COSO 2004: 4)
15
Puede disponerse de todas las normas publicadas por la SBS, en su página Web:
<http://www.sbs.gob.pe/PortalSBS/normatividad/index.asp>
16
Es una versión mejorada y enfocada en gestión de riesgos del texto “COSO, Control Interno –
Marco Integrado”, publicado en 1992 y modificado en 1994.
31
El marco para la gestión integrada de riesgos COSO ERM, busca ayudar
en la creación de valor para los accionistas a través de una estructura
adecuada e interrelacionada enfocada en gestionar los riesgos de la
organización de forma integral. El valor se maximiza en la medida en que
se cuente con objetivos y estrategias establecidas para lograr un
adecuado balance entre crecimiento, metas, rentabilidad, riesgos, y el uso
efectivo y eficiente de los recursos de la organización. Esta estructura,
fluye a través de los distintos niveles de la organización, con roles y
responsabilidades establecidos enfocados en la gestión de riesgos. Lo
que se busca es contar con un único marco o metodología estándar de
gestión de riesgos para ayudar a la gerencia a lograr el desempeño y
rentabilidad deseados previniendo la pérdida innecesaria de recursos, o
en su defecto, mantener las pérdidas en los niveles de apetito y tolerancia
al riesgo (COSO ERM 2004: 3-9).
COSO ERM incluye cuatro categorías de objetivos y ocho componentes,
indicando que el control interno es parte de la gestión integral de riesgos.
A continuación se muestra el esquema general de la relación entre los
objetivos y los componentes en una matriz tridimensional, llamado “cubo
COSO ERM”.
32
Figura 2.1
Matriz Tridimensional: Cubo COSO ERM
OBJETIVOS
o
nt
es
ie
s
ic
te
on
im
pl
or
ci
té
ep
m
ra
tra Cu
R
pe
O
Es
O
Ambiente Interno R
G
Unidad de Negocio
A
Establecer Objetivos
Subsidiaria
C N
O I
Identificación de Eventos Z
M
División
Nivel-Entidad
P A
O
Evaluación del Riesgo C
N I
E Respuesta al Riesgo O
N N
T Actividades de Control
E
S Información y Comunicación
Monitoreo
Supervisión
Fuente: COSO ERM

Elaboración: Comisión Treadway
Las cuatro categorías de objetivos son los siguientes:
• Estratégicos: metas de alto nivel, alineados con la visión y misión
de la organización. Reflejan la elección de la alta dirección en
cuanto a cómo la entidad procurará crear valor para sus grupos de
interés.
• Operativos: relacionados con la eficacia y eficiencia de las
operaciones de la entidad, incluyendo los objetivos de rendimiento
y rentabilidad y de salvaguarda de recursos frente a pérdidas.

33
• Reporte: relacionados con la confiabilidad de la información
reportada (sea interna o externa, de carácter financiero y no
financiero).
• Cumplimiento: relacionados al cumplimiento de las leyes y
regulaciones aplicables. (COSO ERM 2004:35-36)
Los ocho componentes se describen a continuación:
• Ambiente interno.- Abarca el entorno de la organización, es la base
de todos los componentes de la gestión de riesgos, proporcionando
disciplina y estructura. Influye en cómo se establecen las
estrategias y los objetivos; cómo se estructuran las actividades del
negocio; y cómo se identifican, evalúan y controlan / mitigan los
riesgos. Está comprendido por:
o Filosofía de gestión de riesgo
o Apetito por el riesgo
o Rol de supervisión del Directorio
o Integridad y valores éticos
o Compromiso de competencia
o Estructura organizacional y procesos
o Asignación de autoridad y responsabilidad
o Políticas y prácticas de Recursos Humanos
o Políticas y Procedimientos de Gestión de Riesgos
o Crear Área/Unidad de Riesgo (COSO ERM 2004: 27-34)

34
• Establecimiento de objetivos.- Los objetivos son definidos a nivel
estratégico alineados a la visión y misión de la organización,
estableciendo la base para los objetivos operativos, de reporte y
cumplimiento. Una condición previa para la efectiva identificación
de eventos, evaluación de riesgos y respuesta de riesgos es el
establecimiento de objetivos. Los objetivos están alineados con el
riesgo aceptado de la entidad, el cual impulsa sus niveles de
tolerancia al riesgo. Está comprendido por:
o Objetivos Estratégicos
o Objetivos de Operación
o Objetivos de Reporte
o Objetivos de Cumplimiento
o Apetito por el riesgo: El monto total de riesgo que una
compañía u otra entidad desea aceptar para la obtención de
su misión / visión
o Tolerancia al riesgo: La variación relativa aceptable para el
logro de un objetivo (COSO ERM 2004: 35-40)
• Identificación de eventos.- Un evento es un incidente o hecho,
derivado de fuentes internas o externas, que afecta la ejecución
correcta de la estrategia o el logro de objetivos. Eventos con
impacto negativo representan riesgos, mientras que eventos con
impacto positivo representan oportunidades. Está comprendido por:

35
o Eventos: positivos o negativos
o Factores externos: económicos, naturaleza y medio
ambiente, políticos, culturales, sociales, tecnológicos
o Factores internos: infraestructura, personal, procesos,
tecnología
o Técnicas de identificación de eventos
o Interdependencia de eventos
o Categorías de eventos
o Distinción de riesgos y oportunidades (COSO ERM 2004:
41-47)
• Evaluación de riesgos.- La evaluación de riesgos permite que la
organización estime en qué medida eventos potenciales afectan el
logro de sus objetivos. La evaluación de riesgos se realiza a través
de dos perspectivas: impacto y probabilidad. Los enfoques
cuantitativos no sustituyen necesariamente a los enfoques
cualitativos, más bien se complementan. Comprende lo siguiente:
o Riesgo inherente y residual
o Impacto y probabilidad
o Metodologías y técnicas:
Enfoques cualitativos
• Autoevaluación
• Mapas de riesgo
Enfoques cuantitativos
36
• Distribuciones de severidad y frecuencia
• Procesos estocásticos (COSO ERM 2004: 49-
54)
• Respuesta al riesgo.- Habiendo identificado los riesgos
significativos, la gerencia determina como responderá para
mitigarlos, eligiendo entre las estrategias alternativas de: evitar,
reducir, compartir o aceptar. Se evalúa el efecto en el impacto y
probabilidad del riesgo, así como el costo-beneficio, seleccionando
una respuesta que lleve al riesgo residual a ubicarse dentro de la
tolerancia del riesgo deseado. Comprende lo siguiente:
o Categorías de Respuestas
o Identificar respuestas al riesgo
o Evaluar efectos en impacto y probabilidad
o Evaluar costo-beneficio
o Selección de respuestas (COSO ERM 2004: 55-60)
• Actividades de control.- Establecimiento y revisión continua de
políticas y procedimientos que ayudan a la gerencia a asegurar que
las respuestas a los riesgos son llevadas a cabo; en sí mismas
estas actividades pueden ser la respuesta al riesgo. Ocurren a lo
largo de toda la organización, a todo nivel y función y logran
cumplir con los objetivos de la entidad en todas sus categorías.
Incluye lo siguiente:
37
o Integración con la respuesta al riesgo
o Tipos de actividades de control:
Preventivas vs. Detectivas
Manuales vs. Automatizadas
o Controles en sistemas de información:
- Controles generales
- Controles específicos (COSO ERM 2004: 61-66)
• Información y comunicación.- Se necesita información en todos los
niveles de la organización para identificar, evaluar y responder a
los riesgos. La información pertinente es identificada, capturada y
comunicada oportunamente, permitiendo que el personal lleve a
cabo sus responsabilidades. Comprende lo siguiente:
o Información: fuentes internas y externas, cuantitativa y
cualitativa, financiera y no financiera
o Sistemas estratégicos e integrados
o Nivel de detalle y oportunidad de la información
o Calidad de la información
o Comunicación (interna y externa, vertical y horizontal)
(COSO ERM 2004: 67-74)
• Monitoreo.- Consiste en determinar si el funcionamiento de la
gestión de riesgos corporativos continua siendo eficaz. Se logra a
través de la supervisión continua de las actividades o a través de

38
evaluaciones independientes, o una combinación de ambos. La
supervisión debe entenderse como el proceso de evaluar y
monitorear la presencia y funcionamiento de los componentes de
ERM. Incluye lo siguiente:
o Evaluaciones independientes:
Auditores internos
Auditores externos
Especialistas
o Evaluaciones continuas / supervisión permanente
o Reporte de Deficiencias (COSO ERM 2004: 75-81)
2.3. Nuevo Acuerdo de Capital Basilea 2
El Nuevo Acuerdo de Capital (NAC) publicado en junio de 2004, es el
segundo de los acuerdos de Basilea, por lo que recibe el nombre de
Basilea 2 (B2). En junio de 2006 se publicó la versión integral de los
trabajos del nuevo marco, con el nombre de Convergencia internacional
de medidas y normas de capital, el cual consolida los documentos
publicados por el Comité17. Su propósito es ser el estándar a seguir por
los reguladores para la asignación de capital de los bancos, con la
finalidad de proteger a las entidades financieras frente a los riesgos de
crédito, mercado y operacional.

17
En 1996 se incluyó el requerimiento patrimonial por riesgos de mercado; en 1999, se publicó un
primer documento consultivo, con un enfoque más sensible al riesgo; en enero 2001, se publicó el
segundo documento consultivo; en abril 2003, se publicó el tercer documento consultivo.
Asimismo, se realizaron 3 estudios cuantitativos (Quantitative Impact Study-QIS), el último
realizado en abril de 2003 a 43 países (365 bancos). Para mayor información, consultar la página
Web del Banco Internacional de Pagos: <http://www.bis.org>
39
Entre las principales diferencias con el primer acuerdo18, se tiene que el
NAC B2 introduce el riesgo de mercado formalmente y asigna capital por
riesgo operacional, dentro de un contexto de mayor sensibilidad al riesgo,
que debe funcionar sobre la base de tres pilares:
• Pilar I: El cálculo de los requisitos mínimos de capital (considerado
en el primer acuerdo)
• Pilar II: El proceso de supervisión del regulador
• Pilar III: La disciplina de mercado
En el anexo 2 puede verse un cuadro comparativo con las principales
diferencias entre Basilea 1 (B1) y B2.
Para riesgo operacional, el nuevo acuerdo incluye los siguientes puntos
por cada pilar19.
18
Tomado de la presentación “Basilea II: El Nuevo Acuerdo de Capital”, disponible en la página
Web de la SBS.
19
Tomado de la presentación “Gestión de Riesgos de Operación”, disponible en la página Web de
la SBS: <http://www.sbs.gob.pe/portalsbs/BASILEA/presentaciones.htm>
40
Tabla 2.1
Pilares del Nuevo Acuerdo para Riesgo Operacional
Pilar 1 Pilar 2 Pilar 3

Requerimiento de Revisión del Disciplina de mercado
capital Supervisor
• 3 Métodos: • 4 Principios de • Define aspectos

o Indicador Básico supervisión que deben ser
o Estandarizado orientados a informados al
o Avanzado (AMA) asegurar que los mercado respecto a
bancos posean un la gestión de cada
• Criterios de admisión nivel adecuado de riesgo:
para los Métodos capital o Nivel de capital
Estandarizado y asignado en
Avanzado • Referencia a 20 función al método
guías emitidas por el de capital
• El primer método no Comité sobre gestión utilizado
tiene requisitos de de riesgos (incluye o Estrategias y
entrada, aunque se control interno, banca procesos
recomienda el electrónica, riesgos o Estructura
cumplimiento de las operativos, etc.) organizativa
“Buenas prácticas”20 o Sistemas de
propuestas por el • Transparencia del medición y/o de
Comité supervisor reporte utilizados
o Políticas de
• Coordinación con cobertura y/o
otros supervisores mitigación del
riesgo
Fuente: “Gestión de Riesgos de Operación” – Presentaciones de Funcionarios SBS

Elaboración: Alejandro Medina
Para implementar el NAC B2, los reguladores bancarios consideran las
necesidades y características propias de cada país.
20
Ver documento “Buenas prácticas para la supervisión y gestión del riesgo operativo” publicado el
año 2003 por el Comité de Basilea.
41
2.4. Regulación de la SBS sobre riesgo operacional
Dentro del marco del COSO ERM y el NAC B2, la SBS ha publicado las
siguientes normas referentes a la gestión integral de riesgos y gestión de
riesgo operacional:
• Resolución SBS Nº 37-2008 “Reglamento para la Gestión Integral
de Riesgos”, que toma como marco de referencia al estándar
internacional de gestión de riesgos COSO ERM, e incluye lo
siguiente:
o Definición de gestión integral de riesgos (GIR), además de
las categorías de objetivos.
o Componentes de la gestión integral de riesgos.
o Tipos de riesgos, considerando los riesgos de crédito,
estratégico, de liquidez, de mercado, operacional, de
seguro, y de reputación, indicando que es una lista no
limitativa.
o Prácticas cuestionables, referido a que se debe contar con
sistemas internos apropiados para resolver los casos de
actividades ilícitas o fraudes.
o Relación entre la GIR y el Control Interno, indicando que la
GIR incluye al control interno con un alcance más amplio
enfocado en el riesgo. Además, indica que el objetivo de
confiabilidad de la información se refiere a toda la
información y no solamente a los estados financieros.

42
o Responsabilidades del Directorio, Gerencia General,
Gerencias, Unidad de Riesgos y Jefe de Riesgos.
o Criterios que debe cumplir el perfil del Jefe de Riesgos.
o Establecimiento del Comité de Riesgos y Comité de
Auditoría, indicando los requisitos mínimos para su
conformación así como sus funciones.
o Subcontratación, indicando la responsabilidad de las
empresas supervisadas de los servicios subcontratados;
además, introduce el concepto de subcontratación
significativa21 indicando que para éstas, se debe realizar un
análisis formal de riesgos el cual debe ser puesto en
conocimiento del Directorio para aprobación.
o Rol de Auditoría Interna y Auditoría Externa.
o Revelación de las principales características de la gestión
integral de riesgos en la Memoria Anual.
• Resolución SBS Nº 2116-2009 “Reglamento para la Gestión del
Riesgo Operacional”, que reemplaza a la Resolución SBS Nº 006-
2002 “Reglamento para la administración de riesgos de operación”,
e incluye lo siguiente:
o Definición de riesgo operacional.
21
En el artículo 21º se define como “…aquella subcontratación que, en caso de falla o suspensión
del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o
continuidad operativa” (Resolución SBS Nº 37-2008).
43
o Factores que originan el riesgo operacional: procesos
internos, personal, tecnología de información, y eventos
externos.
o Eventos de pérdida por riesgo operacional, conforme a
Basilea 2.
o Responsabilidades del Directorio, Gerencia, Comité de
Riesgos, Unidad de Riesgos.
o Aspectos mínimos del Manual de gestión del riesgo
operacional.
o Metodología para la gestión del riesgo operacional
enmarcada dentro de los componentes de la gestión integral
de riesgos, así como sus criterios de cumplimiento.
o Base de datos de eventos de pérdida y sus criterios de
cumplimiento.
o Sistema de gestión de la continuidad del negocio y un
sistema de gestión de la seguridad de la información,
indicando que se debe cumplir con lo establecido en las
normas específicas correspondientes22.
o Políticas y procedimientos para gestionar los riesgos
operacionales asociados a la subcontratación, así como su
alcance mínimo.
22
Para mayor detalle sobre estos temas, puede consultar la Circular SBS G-139-2009
“Reglamento para la Gestión de Continuidad del Negocio”, y la Circular SBS G-140-2009
“Reglamento para la Gestión de la Seguridad de la Información”, las cuales no forman parte del
alcance del presente documento.
44
o Informe anual de gestión de riesgo operacional para la SBS
según disposiciones establecidas para el contenido mínimo
y forma de envío.
o Roles de Auditoría Interna, Auditoría Externa, y de las
Empresas Clasificadoras de Riesgos.
o Presentación de las características principales de la gestión
del riesgo operacional en la Memoria Anual.
• Resolución SBS Nº 2115-2009 “Reglamento para el requerimiento
de patrimonio efectivo por riesgo operacional”, que incluye lo
siguiente:
o Destinar patrimonio efectivo (capital regulatorio) por riesgo
operacional aplicando uno de los siguientes métodos:
método del indicador básico, método estándar alternativo, o
método avanzado23. La utilización de los dos últimos
requiere pasar un proceso de autorización establecido por la
SBS24.
o Requisitos para solicitar autorización para la utilización del
método estándar alternativo o un método avanzado.
o Método del indicador básico.
o Método estándar alternativo25.
23
Para poder establecer estas reglas, previamente se modificó la Ley de Bancos en Junio 2008
incluyendo la implementación del NAC B2. Esta resolución está basada en el NAC B2.
24
Sobre esto puede consultar la columna de “Información General” del Portal del Supervisado en
<https://extranet.sbs.gob.pe/app/>
25
En el capítulo 4 se describe la aplicación del método estándar alternativo, así como su impacto
en el requerimiento de patrimonio efectivo por riesgo operacional.
45
o Métodos avanzados, que incluye los requisitos mínimos
cualitativos y cuantitativos para utilizarlo.
Para comprender cómo es que se enmarca la regulación peruana dentro
de lo establecido por el Comité de Basilea, se ha preparado la siguiente
tabla que muestra la relación entre los principios para las buenas
prácticas de gestión del riesgo operacional y la regulación de la SBS.
Tabla 2.2
Relación entre los Principios de Basilea 2 y la Regulación SBS
Principios de Basilea 2 Resolución SBS Nº 2116-2009
Principio 1: Artículo 6º
Participación del Directorio en el
monitoreo y aprobación de la
metodología utilizada por la empresa
para la gestión del riesgo operacional
Principio 2: Artículos 17º, 18º y 19º
Gestión del riesgo operacional sujeta a
un proceso eficaz e integral de auditoría
interna por parte de personal
independiente, capacitado y competente
Principio 3: Artículos 7º y 8º
Participación de la Gerencia General en
la aplicación de la metodología
Principio 4: Artículos 10º, 11º y 14º
Identificación de riesgos operacionales en
productos, procesos y sistemas
Principio 5: Artículos 8º, 10º
Monitoreo de los perfiles de riesgo
operacional y de las exposiciones
importantes a pérdidas
Principio 6: Artículos 9º, 10º, 11º y 12º
Establecer políticas, procesos y
procedimientos para controlar y/o mitigar
los riesgos relevantes
Principio 7: Artículo 13º y 14º
Contar con planes de contingencia y de
continuidad de negocios
46
Principios de Basilea 2 Resolución SBS Nº 2116-2009
Principio 8: Artículos 6º, 7º, 8º, 9º, 10º, 11º,

Supervisores deben exigir el 12º, 13º y 14º
mantenimiento de un marco eficaz para
gestionar los riesgos de operación
Principio 9: Artículos 15º y 16º
Supervisores deben evaluar
periódicamente las políticas, prácticas y
procedimientos utilizados por las
empresas para gestionar sus riesgos
operativos
Principio 10: Cuarta disposición final y
Divulgación de la gestión de riesgo transitoria
operacional
Fuentes: Buenas prácticas para la gestión del riesgo operacional / Resolución SBS Nº
2116-2009 Reglamento para la gestión del riesgo operacional
47
Capítulo III
Actividades desarrolladas en la Institución Financiera para
aplicar la Gestión de Riesgo Operacional bajo Enfoque
COSO ERM
En el presente capítulo se describe, a manera de guía, las actividades
realizadas en la IF para aplicar la gestión de riesgo operacional dentro del
enfoque de gestión integral de riesgos, COSO ERM. Para esto, es
necesario indicar, que a la fecha del trabajo, la IF ya contaba con una
metodología de gestión de riesgo operacional propia de acuerdo al
tamaño de su organización26, la cual ha sido adaptada de acuerdo a los
componentes del COSO ERM y a la regulación peruana vigente.
El propósito del capítulo es mostrar el modelo aplicado de gestión de
riesgo operacional bajo COSO ERM en la IF, el mismo que puede ser
aplicado a la realidad de cualquier otra organización. Es importante
indicar, que el COSO ERM es el marco integrado de gestión de riesgos,
por lo que la gestión de cada tipo de riesgo, como por ejemplo el riesgo
de crédito o los riesgos de mercado, tiene su propia metodología de
gestión. De acuerdo a este principio, este capítulo muestra cómo la
gestión del riesgo operacional puede adecuarse a lo establecido como
modelo de gestión integral de riesgos en el estándar COSO ERM.
26
La metodología de gestión de riesgo operacional utilizada por la IF, fue diseñada e
implementada en un trabajo de consultoría realizado el año 2003, basada en el estándar
australiano de gestión de riesgos AS/NZS 4360:1999, previo a la publicación del COSO ERM y su
exigencia en la regulación peruana que se inició el año 2009 (ver Capítulo 2).
48
El trabajo se realizó liderado por el Equipo Consultor con el patrocinio de
la Gerencia de Riesgos de la IF, para lo cual se preparó un cronograma
de actividades que incluyó el plan del proyecto, relevamiento de
información, análisis de brechas de cumplimiento, talleres de
capacitación, asignación de tareas, monitoreo de su cumplimiento, y
presentación de los entregables que incluyeron el plan de implementación
y la actualización de la metodología de gestión de riesgo operacional.
En términos generales, el tiempo de implementación puede variar
dependiendo de la complejidad de las brechas, así como del compromiso
y recursos asignados para la gestión de riesgos.
El siguiente esquema permite tener una visión de proyecto para la
implementación de la gestión de riesgo operacional bajo COSO ERM.
Figura 3.1
Componentes de la Gestión de Riesgos Empresariales
Ambiente Establecimiento Identificación Evaluación Respuesta Actividades

Interno de Objetivos de Eventos del Riesgo al Riesgo de Control
Información y Comunicación
Monitoreo
Fuente: COSO ERM

49
A continuación se muestra un diagrama de Gantt del proyecto que incluye las principales actividades realizadas para
implementar la gestión de riesgo operacional bajo COSO ERM en la IF.
Figura 3.2
Diagrama de Gantt del proyecto
Fuente: Trabajo de consultoría en la IF

50
3.1. Elementos del Ambiente Interno
En la IF se hizo una revisión del ambiente interno por cada elemento,
identificando la situación en la que se encontraba en la fecha de revisión y
estableciendo planes de acción para cerrar las brechas encontradas
respecto a la gestión del riesgo operacional, lo cual permitió a la IF,
cumplir adecuadamente con este componente. A continuación se muestra
el resumen del análisis y los planes de acción por cada elemento.
Tabla 3.1
Análisis de brechas y planes de acción – Ambiente interno
Situación encontrada / brecha

Elemento Plan de Acción
de cumplimiento
Filosofía de Gestionar los riesgos financieros • Elaborar y difundir el
gestión de que pueden afectar las Manual de Gestión
riesgo operaciones de la IF. Integral de Riesgos
• Actualizar la
Brechas: metodología de
• Falta de un enfoque de gestión de riesgo
gestión integral de riesgos operacional según
• Metodología de gestión de COSO ERM y
riesgo operacional enfocada capacitar al personal
en cumplimiento regulatorio y
no en agregar valor al Responsable: Gerente de
negocio Riesgos
Duración: 2 meses
Apetito por el Tienen definidos objetivos • Definir apetito por el

riesgo estratégicos pero no el apetito riesgo y tolerancia al
por el riesgo ni los niveles de riesgo en los objetivos
tolerancia. estratégicos
Brechas: Responsable:
• Falta definir apetito por el Gerente de Riesgos,
riesgo y tolerancia al riesgo Comité de Riesgos y
en los objetivos estratégicos Directorio
Duración: 2 meses
51

de cumplimiento
Rol de Directorio toma conocimiento de • Actualizar el
supervisión del la gestión de los riesgos Reglamento del
Directorio operativos anualmente o cuando Comité de Riesgos,
ocurren pérdidas importantes por del Grupo de Análisis
causas operativas. de Riesgos (GAR) y
del Directorio
Brecha:
• No se evidencia que para la Responsable: Gerente de
toma de decisiones se Riesgos
considere los reportes de Duración: 2 meses
gestión de riesgo operacional
Integridad y Se cuenta con valores éticos • Elaborar y difundir el

valores éticos como parte de la cultura Código de Conducta
organizacional.
Responsable: Oficial de
Brecha: Cumplimiento
• No se tiene un Código de Duración: 1 mes
Conducta
Compromiso Se cuenta con personal -

de competente para los puestos que
competencia desempeñan a través del
cumplimiento de las políticas y
procedimientos de recursos
humanos, y compromiso para
lograr la excelencia y
transparencia a través de los
valores.
Sin Brecha.
Estructura Se cuenta con una adecuada • Actualizar los

organizacional estructura organizacional para Manuales de
y procesos los procesos actuales, los Procedimientos
mismos que están identificados y conforme a la
se ha definido la estructura de estructura de
procesos de la IF. procesos establecida
y de ser necesario la
Brecha: estructura
• Manuales de Procedimientos organizacional
desactualizados respecto a la
estructura de procesos Responsable: Jefe de
definida27 Desarrollo
Duración: 6 meses
27
Ver sección Estructura de procesos en el Capítulo 1.
52

de cumplimiento
Asignación de Se cuenta con límites de -
autoridad y autonomía establecidos para las
responsabilidad operaciones de negocio (créditos
y operaciones) así como con
segregación de funciones
razonable.
Sin Brecha.
Políticas y Se cuenta con políticas y • Elaborar / actualizar y

prácticas de procedimientos de personal, así difundir los manuales
Recursos como un Programa de de políticas y
Humanos Capacitación. procedimientos de
recursos humanos,
Brecha: según la estructura de
• Los manuales de políticas y procesos
procedimientos de recursos • Implementar un
humanos están sistema de incentivos
desactualizados. para la gestión de
riesgos
Responsable: Gerente de
Administración
Duración: 3 meses
Políticas y Se cuenta con manuales de • Actualizar las políticas

Procedimientos gestión de riesgos, y de gestión y procedimientos de
de Gestión de de riesgo operacional. gestión de riesgo
Riesgos operacional según
Brecha: COSO ERM,
• Las políticas y incluyendo la GSI y
procedimientos de gestión de GCN
riesgo operacional no están
conforme al COSO ERM. Responsable: Gerente de
Riesgos
Duración: 2 meses
Crear Se cuenta con una Unidad de -

Área/Unidad de Riesgos, encargada de dirigir la
Riesgo gestión de riesgos, incluyendo el
Comité de Riesgos, el Comité de
Riesgo Operacional, Grupos de
Análisis de Riesgo (GAR).
Sin Brecha.

53
Una vez finalizados, se completa el cumplimiento adecuado del
componente ambiente interno, y como buena práctica, debe revisarse
anualmente a fin de identificar cambios y realizar las actualizaciones
correspondientes.
3.2. Proceso de establecimiento de objetivos
El trabajo realizado se basó en la información contenida en el Plan
Estratégico 2007 – 2011 de la IF y su Plan de Negocios 2008 – 2009.
Conforme al alcance, no incluyó una actualización de los objetivos, más
bien la forma de alinearlos a los conceptos del COSO ERM.
A la fecha del trabajo, la IF no contaba con el concepto de apetito al
riesgo formalmente establecido y solamente contaba con objetivos
estratégicos, en su mayoría relacionados al crecimiento del negocio. Por
lo tanto, estos objetivos no incluían las variaciones como parte del
concepto de tolerancia al riesgo. Dadas estas limitaciones, las actividades
desarrolladas para adecuarla a éste componente fueron:
1. Establecer valores de impacto en términos financieros por
riesgo operacional
Se requirió información a la Gerencia de Riesgos sobre
registros de pérdidas por riesgo operacional, utilidades del
ejercicio, niveles de ingresos, así como montos de pérdida que
podrían poner en riesgo el funcionamiento de la IF y montos de

54
pérdidas considerados insignificantes, con la finalidad de poder
establecer cualitativamente, rangos de impacto financiero, y
sobre ello, definir el apetito por riesgo operacional.
Con estos datos, y sobre la base del juicio experto de la
Gerencia de Riesgos, se propuso lo siguiente:
Tabla 3.2
Niveles de Impacto Financiero
IMPACTO VALOR EN S/.

Catastrófico De 1,000,001 a más
Mayor De 200,001 a 1,000,000
Moderado De 10,001 a 200,000
Menor De 2,001 a 10,000
Insignificante De 1 a 2,000

Esto indica, que un evento de pérdida operacional puede
aceptarse hasta un nivel máximo de S/. 200,000, es decir,
podría aceptarse como máximo hasta un nivel de impacto
moderado. Para cualquier nivel que se defina, por buenas
prácticas debe ser revisado al menos anualmente. En gestión
de riesgos, la ocurrencia de un solo evento puede significar una
pérdida catastrófica, lo cual generalmente se mitiga con la
cobertura de pólizas de seguros, y en caso de eventos de alto
nivel de ocurrencia, se mitigan estableciendo controles
adecuados para llegar al nivel de riesgo aceptable28.
28
Esto se explica en mayor detalle en la sección 3.5 Tratamiento de los riesgos operacionales.
55
2. Dar ejemplos de objetivos alineados al riesgo
Dado que el Plan Estratégico solo incluye objetivos
estratégicos, se tomó uno de ellos para formularlo conforme al
COSO ERM. Respecto a los otros objetivos, se propusieron a
manera de ejemplos, según se muestra en la siguiente tabla.
Tabla 3.3
Objetivos aplicando COSO ERM
Tipo de Descripción sin COSO

Descripción con COSO ERM
Objetivo ERM
Estratégico Posicionarse como una Posicionarse como una
institución financiera sólida, institución financiera sólida,
confiable, patrimonio de la confiable con un nivel de
región satisfacción de servicio al
cliente del 80% siendo
aceptable un 75%
Operación Incrementar las Incrementar las colocaciones

colocaciones en los en un promedio del 30% con un
mercados actuales mínimo aceptable del 27%, y un
nivel de morosidad de 20% por
debajo del promedio del
sistema financiero
Reporte Enviar los reportes a la SBS Enviar los reportes a la SBS

conforme a la forma y conforme a la forma y plazos
plazos establecidos establecidos sin tener ningún
reproceso salvo casos de
contingencia (tolerancia “0”)
Cumplimiento Resolver los reclamos de Resolver los reclamos de

clientes dentro de los plazos clientes dentro de los plazos
establecidos en establecidos con un 4% de los
cumplimiento con las leyes y casos elevados a otras
regulaciones vigentes instancias (por ejemplo
INDECOPI), máximo aceptable
6%

56
3. Establecer Plan de Acción
Luego de haber mostrado cómo se realiza el proceso de
establecimiento de objetivos según COSO ERM, con el fin de
completar las actividades que permitan lograr un cumplimiento
adecuado de este componente, se entregó el siguiente plan de
acción, el cual debe ser liderado por la Gerencia de Riesgos.
Tabla 3.4
Planes de acción – Establecimiento de objetivos
Responsable -
Duración
Apetito por • Revisar los niveles de impacto • Gerente de
riesgo financiero con el Comité de Gerencia Riesgos - 1 mes
operacional a fin de establecer la política de
niveles de riesgo aceptables
• Proponer para aprobación al Comité • Comité de
de Riesgos y Directorio Gerencia - 1 mes
• Actualizar la metodología de • Gerente de
evaluación de riesgo operacional y el Riesgos - 1 mes
manual de procedimiento
Misión, • Sobre la base del apetito por riesgo • Comité de

Visión, operacional, revisar la declaración de Gerencia - 2
objetivos misión y visión, y reformular los meses
estratégicos objetivos estratégicos indicando sus
metas
• Actualizar el Plan Estratégico y Plan • Comité de
de Negocios, considerando los tipos Gerencia - 3
de objetivo estratégicos, de operación, meses
de reporte y de cumplimiento
Tolerancia • Establecer las métricas y niveles de • Comité de

al riesgo tolerancia al riesgo para cada objetivo Gerencia - 2
meses

57
3.3. Identificación de riesgos operacionales
Para desarrollar esta etapa, como primer paso se procedió a revisar la
metodología de gestión de riesgo operacional de la IF, la cual incluía
procedimientos para realizar la identificación, evaluación y mitigación de
los riesgos. Esta metodología fue adecuada a lo establecido en los
componentes de identificación, evaluación, respuesta al riesgo y
actividades de control del COSO ERM.
En esta sección, se describe la aplicación del COSO ERM a la
metodología de riesgo operacional de la IF para identificar los riesgos
operacionales, según el siguiente procedimiento:
1. Se documentó el Perfil de Riesgo del macroproceso29 (ver figura
3.3), el cual incluye información de alto nivel respecto a la
estructura organizacional, actividades que se realizan, sistemas
o aplicaciones utilizados, relación con externos, normas y
regulaciones, relación con otros riesgos. Para tener una visión
general del macroproceso y la interrelación de los procesos que
lo componen, se utilizó como herramienta el mapa del proceso
de alto nivel (ver figura 3.4), lo cual facilita la identificación de
los riesgos asociados. Cada proceso tiene un objetivo
relacionado a un objetivo estratégico.
29
Esto puede aplicarse también para identificar riesgos en un área, proyecto o producto.
58
Figura 3.3
Perfil de riesgo
Identificación de Riesgos Operacionales
PERFIL DE RIESGO
I. Estructura organizacional
1. Nombre del área
2. Responsable
3. Organigrama
4. Roles principales
II. Actividades que realiza
1. Nombre del proceso / actividad
2. Entradas (actividades relacionadas, áreas que envían documentos e información)
3. Salidas (actividades relacionadas, áreas que reciben documentos e información)
4. Productos relacionados
III. Sistemas utilizados (aplicaciones, bases de datos, telecomunicaciones)
1. Sistemas internos
2. Sistemas externos
IV. Relación con externos
1. Clientes externos
2. Supervisores / Reguladores
3. Proveedores / Subcontratación
4. Alianzas / Socios estratégicos
V. Normas y regulaciones
1. Normatividad interna
2. Regulación / ley aplicable
VI. Relación con otros riesgos
1. Riesgo de Crédito
2. Riesgos de Mercado
3. Riesgo de Reputación
4. Otros

59
Figura 3.4
Mapa del proceso de créditos
CENTRAL DE
RIESGOS

60
2. En sesiones de trabajo con personal vinculado al proceso, se
identificaron los riesgos operacionales aplicando la técnica de
“lluvia o tormenta de ideas” considerando las siguientes
preguntas:
• ¿Qué puede ocurrir que nos haga perder dinero?
• ¿A qué estamos expuestos?
• ¿Qué puede fallar?
• ¿Qué puede ocurrir para no llegar al objetivo?
Es necesario precisar, que un evento de riesgo, está compuesto
por los siguientes elementos: hecho, causa(s), consecuencia(s),
para lo cual, se sugiere redactarlo en el orden que mejor pueda
ser comprendido.
3. Se identificó el tipo de riesgo a la cual pertenecía cada riesgo
según las Categorías de riesgos operacionales de la
metodología de la IF (ver anexo 3).
4. Se identificó si el riesgo está relacionado con otros tipos de
riesgo, como el riesgo de crédito, riesgos de mercado, riesgo de
liquidez, o riesgo de reputación.
5. Se identificó a qué objetivo afectaba el riesgo identificado.

61
6. Se documentó la información obtenida en una matriz de
riesgos30. A manera de análisis, en la figura 3.5 se muestra un
evento de riesgo del proceso de evaluación de créditos, que es
un proceso clave de la IF.
Figura 3.5
Matriz de Riesgos

30
La matriz de riesgos y controles utilizada, así como la forma de implementar el modelo, ha sido
el resultado de mejorar la metodología aplicada en trabajos relacionados como parte de la
experiencia profesional. Ver Anexo 21.
62
3.4. Autoevaluación de riesgos operacionales
Una vez identificados los riesgos, el siguiente paso es evaluarlos. Para
esto, se debe contar con información referente a ellos, como por ejemplo,
eventos de pérdida ocurridos en la organización, o en el sector donde
opera; factores que pueden incrementar su ocurrencia o daño potencial; el
conocimiento de la actividad, proceso, proyecto o producto donde puede
ocurrir el riesgo, así como del funcionamiento de sus controles y su
efectividad.
Según COSO ERM, los riesgos se deben evaluar con criterios de impacto
y probabilidad utilizando una combinación de técnicas o métodos
cualitativos y cuantitativos. Dado que en la IF no existía una data de
pérdidas que reúna los requisitos para realizar evaluaciones cuantitativas,
es que se utilizó la técnica cualitativa llamada autoevaluación, que se
basa en el conocimiento, criterio y experiencia de los evaluadores (ver
detalle en Anexo 4). Para realizarla, se tomaron los criterios de impacto y
probabilidad de la metodología establecida en la IF (ver Anexos 5 y 6), y
con cada gerencia de línea se definieron los Grupos de Análisis de
Riesgos (GARs), conformados por personal con experiencia y
conocimiento de las actividades a evaluar. Cada GAR incluía a dos
personas con el rol de Gestores de Riesgo del proceso a evaluar.
La autoevaluación se desarrolló de la siguiente manera:

63
1. Bajo el supuesto de la no existencia de controles, se determinó
el impacto y probabilidad de los riesgos, dando como resultado
el nivel riesgo absoluto o inherente (ver figura 3.6). Con esto se
pretende conocer el nivel de daño potencial que tiene el riesgo.
Figura 3.6
Matriz de Riesgos - Evaluación

64
2. Luego, se identificaron las actividades de control (componente
del COSO ERM) o controles actuales que se realizan para
mitigar el riesgo. Para esto, se considero quién hace la actividad
y quién es el responsable de ejecutarla. Además, para cada
control se indicó lo siguiente:
• Nombre del manual o texto normativo interno donde se
encuentra el control o se hace referencia al mismo.
• La situación de la implementación del control. Si el
control se realiza y además está documentado, entonces
está en un estado “IMP” o implementado (color verde); si
se encuentra documentado pero no se realiza, o se
realiza pero no está documentado, entonces el estado es
“IPP” o implementado parcialmente (color amarillo); si no
hay control, entonces se indica la frase “Brecha de
control” o “NIM” (color rojo).
• La efectividad del diseño. Si el control, tal como fue
diseñado, es efectivo para mitigar el riesgo, se le asigna
“DEF” (color verde); si ayuda en parte a la mitigación, se
le asigna “DPE” (color amarillo); o, si no es efectivo, se le
asigna “DNE” (color rojo).

65
• El tipo de control que es, visto en dos categorías. La
primera, si el control es preventivo, ayuda a prevenir el
riesgo, generalmente dentro de procedimientos; o si es
detectivo, se realiza posterior a la actividad donde puede
ocurrir el riesgo. La segunda categoría, está relacionada
a si el control es manual, es decir es realizado por una
persona, o si es automatizado, lo que significa que está
incorporado dentro de un sistema, el cual lo realiza. Ver
figura 3.7.
3. Se determinó el nivel de riesgo residual o “controlado”, para lo
cual, se realizó la evaluación del riesgo considerando los
controles actuales, lo que permite analizar qué tan buenos o
adecuados son para mitigar el riesgo. Se utilizó los mismos
criterios de impacto y probabilidad. Ver figura 3.8.

66
Figura 3.7
Matriz de Controles

67
Figura 3.8
Matriz de Riesgos y Controles - Evaluación

68
3.5. Tratamiento de los riesgos operacionales
En esta sección se describe la aplicación de los componentes “Respuesta
al riesgo”. Una vez elegida la respuesta considerando la efectividad en el
control del riesgo y el costo beneficio de la misma, puede requerir una o
más “Actividades de control” (segunda parte de este componente), ya sea
para mejorar los controles existentes, agregar nuevos, o reemplazarlos
por otros más efectivos. En la IF, se aplicó lo siguiente:
1. Se seleccionó los riesgos residuales que resultaron en los
niveles extremo o alto, para decidir la respuesta al riesgo según
COSO ERM:
• Reducir impacto, o nivel de daño
• Reducir probabilidad, o nivel de ocurrencia
• Compartir o transferir, a un tercero
• Aceptar
• Evitar
2. En los casos en que se decidió por reducir o compartir, se
documentó un Plan de Acción para mitigar el riesgo, que incluyó
el tratamiento elegido, las acciones a realizar, responsables y
fechas en que deben ser culminadas. El cumplimiento de estas
acciones debe ser monitoreado por el área de Riesgos. Ver
figura 3.9.
69
Figura 3.9
Plan de Acción

3. Una vez culminada la matriz de riesgos y controles con la
evaluación y los Planes de Acción respectivos, se comunicó al
área de Auditoría Interna para su revisión. Estos controles
deben ser incluidos como parte de las pruebas de auditoría
según las actividades de su plan anual. Luego de realizar la
prueba, Auditoría debe documentar el nivel de efectividad de
operación, de la siguiente manera: si es efectivo, se asigna
“EFE” (color verde); se es parcialmente efectivo, se asigna
“PEF” (color amarillo); o, si no es efectivo, se le asigna “NEF”
(color rojo). Además, se indicó la evidencia de la prueba
realizada y su resultado (ver figura 3.10). Esto ayuda a

70
confirmar o poner a prueba la efectividad de los controles así
como la forma en que lo vienen aplicando, y de ser necesario,
permite realizar ajustes a la evaluación.
Figura 3.10
Resultado de las Pruebas

A continuación, en la figura 3.11, se muestra la matriz de riesgos y
controles completa, incluyendo el plan de acción y la prueba de auditoría.
Esta documentación, debe ser ingresada a un sistema de información o
software especializado que soporte la gestión del riesgo operacional.

71
Figura 3.11
Matriz de Riesgos y Controles con Planes de Acción y Pruebas

72
3.6. Reportes en la gestión de riesgo operacional
Dado que la información es muy amplia y tiene diversos objetivos y
utilidad, y que la comunicación está presente en todos los niveles de las
organizaciones, es que en esta sección, se muestran los reportes para la
gestión del riesgo operacional desarrollados como parte de la experiencia
profesional, los que son comunicados oportunamente a las instancias
correspondientes. En su conjunto, soportan el sistema de información y
de comunicación que requiere la gestión del riesgo operacional, y aunque
pueden variar de una a otra IF, ambas tienen un patrón común: fluyen a
través de la organización, de su estructura de gobierno y sus procesos.
En riesgo operacional se maneja información para el análisis preventivo,
basado principalmente en las evaluaciones de riesgos, y para el análisis
correctivo, realizado como respuesta inmediata a las pérdidas ocurridas.
En ambos casos, es necesario realizar una mejora continua de la gestión,
por lo que se debe contar con reportes gerenciales que muestren los
principales riesgos de la IF.
Para tener una gestión efectiva y oportuna, es imprescindible contar con
un sistema de información, que permita manejar las bases de datos de las
evaluaciones realizadas así como de las pérdidas ocurridas. Los datos
que debe contener una base de datos de pérdidas están especificados en
la regulación peruana, resolución SBS N° 2116-2009, indicada en el
marco teórico del capítulo 2. En el anexo 7, se muestran los campos que

73
la IF viene manejando como data de pérdidas y su descripción. En el
anexo 8, se muestra los tipos de eventos de pérdida según Basilea.
La IF cuenta con procedimientos de reporte para asegurar la calidad y
oportunidad de la información, objetivo de la gestión integral de riesgos.
En la siguiente tabla, se muestra los tipos de reporte, su frecuencia,
responsable e instancias a las que están dirigidos, que fueron
implementados en la IF.
Tabla 3.5
Tipos de reporte
Reporte Frecuencia Responsable Dirigido a
• Evaluación • Anual • Gerentes • Riesgo

anual de Operacional
riesgos
• Eventos de • Cada vez que • Todo el • Riesgo

pérdida ocurre personal Operacional
• Riesgos • Mensual • Gestor de • Comité de

potenciales Riesgos de Riesgo
cada área Operacional
• Issues • Cada vez que • Gestor de • Comité de

ocurre Riesgos de Riesgo
cada área Operacional
• Evaluación • Cada vez que • Gestor de • Comité de

de riesgos de se requiera Riesgos de Riesgo
nuevos cada área Operacional
productos /
proyectos /
áreas /
sistemas
74
Reporte Frecuencia Responsable Dirigido a
• Indicadores • Mensual • Gestor de • Comité de

clave de Riesgos de Riesgo
riesgo cada área Operacional
• Gestión de • Mensual • Gerente de • Comité de

Riesgo • Trimestral Riesgos Riesgos
Operacional • Gerentes
• Informe • Anual • Gerente de • Gerencia

Anual de Riesgos General
Riesgos y • Directorio
Plan Anual • SBS
de Gestión
de Riesgo
Operacional
• Boletines de • Trimestral • Riesgo • Todo el

riesgo Operacional personal
operacional
• Comunicados • Cada vez que • Riesgo • Todo el

vía e-mail se requiera Operacional personal
• Gestores de
Riesgos

3.7. Monitoreo de la gestión de riesgo operacional
El monitoreo es el último componente del COSO ERM, siendo
fundamental para vigilar los avances en la gestión del riesgo operacional y
lograr una toma de decisiones oportuna sobre los niveles de riesgo, para
cada uno de los componentes descritos y en su conjunto.
Existe un monitoreo que se da en el día a día dentro del curso normal de
las actividades del negocio, y otro que se da mediante evaluaciones
separadas o específicas, para obtener un entendimiento más preciso

75
sobre las deficiencias o puntos de mejora, que una vez superados o
implementados, permiten el logro de los objetivos de la organización.
Según lo indicado, en la IF se implementaron las siguientes acciones de
monitoreo.
1. Control de cada Gerencia, a través de las evaluaciones
basadas en objetivos de desempeño, y supervisión de las
actividades desarrolladas por el personal operativo,
considerando el cumplimiento de los procedimientos que están
enfocados en la mitigación de los riesgos asociados. De esta
supervisión, la gerencia identifica y reporta las situaciones que
incrementan la exposición a los riesgos (“issues”), a través de
reportes de indicadores clave de riesgos (“key risk indicators”),
riesgos potenciales, reportes de eventos de pérdida, cambios
en la organización, los procesos o sistemas, así como cambios
en las leyes o regulaciones que impacten en la operativa de la
IF (ver anexos 9 y 10). Estas actividades complementan las
evaluaciones de riesgos.
2. Evaluaciones del área de Riesgos, que con la información
brindada por las gerencias, analiza, prepara y presenta reportes
gerenciales al Comité de Riesgo Operacional, Comité de
Riesgos, Comité de Auditoría, Directorio. Estos reportes,
incluyen: los Top Risks, reportes de eventos de pérdida, y el

76
seguimiento a los planes de acción (ver Anexos 11, 12 y 13).
Son compartidos por medio del Comité de Riesgo Operacional
con las áreas de Legal, Cumplimiento, Seguridad de
Información, Continuidad de Negocios, Seguridad y Prevención
de Fraudes, Operaciones, Contabilidad, Recursos Humanos,
para obtener su retroalimentación por su conocimiento y manejo
de los riesgos relacionados.
3. Informes de Auditoría Interna, resultado de las evaluaciones,
que incluyen observaciones y recomendaciones sobre la
gestión de las áreas enfocadas en riesgos (ver Anexo 14).
Dentro de estos informes, se incluye el reporte de deficiencias
encontradas u oportunidades de mejora, que una vez revisados
con cada gerencia, son reportados a la Gerencia General, y
seguidos por el Comité de Auditoría. Además, la gestión de
riesgo operacional es auditada como mínimo una vez al año.
4. Informes de Auditoría Externa, que incluye una revisión sobre el
cumplimiento de las normas de gestión de riesgo operacional.
Adicionalmente, si la SBS ha autorizado a la IF a utilizar el
método estándar alternativo para el cálculo de capital
regulatorio por riesgo operacional31, se requiere una revisión
31
Ver sección 2.4 y sección 4.2.
77
independiente respecto del cumplimiento de los criterios
señalados por la SBS, al menos cada tres años.
5. Informes de Consultorías, resultado de trabajos especializados
ya sea para implementar o actualizar metodologías,
procedimientos, sistemas o entrenamiento para mejorar la
gestión del riesgo operacional, en los que se obtiene opinión de
un tercero sobre alcances específicos relacionados a la gestión
de riesgos.
6. Informe de Visita Anual de la SBS, en el cual se muestran las
debilidades encontradas en la gestión de riesgos, que deben
ser subsanadas a criterio del regulador, y que son seguidas
también por Auditoría Interna y el Comité de Auditoría.

78
Capítulo 4
Evaluación del impacto del aporte realizado
4.1. Status de la problemática de la gestión de riesgo operacional

luego de la implementación del modelo
Para el caso de la IF, la implementación de la gestión de riesgo
operacional bajo COSO ERM ha permitido superar la problemática
relacionada a la gestión del riesgo operacional indicada en el Capítulo 1.
Conforme al capítulo 3, en el proyecto se desarrollaron cada uno de los
componentes del COSO ERM para diagnosticar la situación en la que se
encontraba la IF, analizar las brechas de cumplimiento y acordar un plan
de implementación que permitió a la IF cambiar la cultura y
funcionamiento de la gestión del riesgo operacional, a través de la
implementación del modelo mostrado.
La siguiente tabla muestra las actividades completadas durante el
proyecto para superar la referida problemática, sin quedar algún tema
pendiente.
79
Tabla 4.1
Status de la problemática de la GRO de la IF al finalizar el proyecto
Status al
Componente N° Actividad
Actividades realizadas en el término
N° Problemática COSO ERM principal
proyecto del
relacionado (Gantt)
proyecto
1 Carencia de personal En el Plan de Implementación se Ambiente 4,6,7,9 Cerrado
especializado en gestión de consideraron actividades que debía interno,
riesgo operacional. En general realizar la IF y las que formaron parte Establecimiento
en el mercado peruano, las IF del proyecto, realizando actividades de objetivos
han considerado dentro de su de concientización en todos los
gestión al riesgo operacional a niveles de la gestión de riesgos
partir de la regulación publicada empresariales (COSO ERM) y riesgo
el 2002, y con mayor énfasis operacional. Incluyó capacitación y
durante los últimos tres años. comunicados internos así como un
Plan de Capacitación para el personal
del área de Riesgos, Gerencias y
personal operativo.
2 El personal responsable de Se realizó capacitación en COSO Ambiente 6 Cerrado

gestionar los riesgos incluyendo ERM a la Dirección y Alta Gerencia, interno
Directores y Alta Gerencia, con énfasis en los casos de pérdidas
tienen conocimientos y ocurridos a nivel mundial, la
experiencia de la gestión de regulación y los beneficios de
riesgos tradicional, y no del implementar la gestión de riesgo
enfoque de gestión integral de operacional bajo COSO ERM. Se
riesgos. implemento la metodología, políticas
y procedimientos para gestionar el
riesgo operacional dentro del enfoque
de gestión integral de riesgos.
80
Status al
proyecto del
relacionado (Gantt)
proyecto
3 La Alta Dirección y la Gerencia Con las brechas identificadas y Ambiente 5,8,10 Cerrado
no están involucradas analizadas, se procedió a actualizar la interno,
directamente con los riesgos metodología de gestión de riesgo Establecimiento
operacionales o situaciones que operacional y a aplicarla en todos los de objetivos
los incrementan, no hay una niveles. La IF implementó una
cultura del riesgo. Se valora más estructura de Gobierno Corporativo
lograr objetivos de volumen de que permite una comunicación
negocio a costos posiblemente oportuna para tomar decisiones
más altos que los que se podría basadas en riesgo y no solo con
lograr considerando los riesgos proyecciones comerciales. Se
asociados a las operaciones. implementó una base de datos de
Las pérdidas pueden ser eventos de pérdida, y una métrica
mayores. que forma parte del Balanced
Scorecard (BSC).
4 Mayor y más compleja La IF incluyó la implementación y Ambiente 10 Cerrado

regulación exige mayor mantenimiento de la gestión de riesgo interno,
conocimiento y adiestramiento operacional bajo COSO ERM en el Establecimiento
del personal responsable de la Plan Estratégico, con lo cual se de objetivos
gestión de riesgos, directores y considero en sus Planes de Negocio,
alta gerencia, para lograr el Plan de Capacitación de la IF,
objetivo de cumplimiento Balanced Scorecard (BSC). Se
regulatorio, debe ser parte de la incluyeron objetivos relacionados a la
estrategia de la IF. GRO dentro del marco GIR y
monitoreo a su cumplimiento.
81
Status al
proyecto del
relacionado (Gantt)
proyecto
5 La gestión del capital La IF incluyó los requerimientos de Ambiente 5,10 Cerrado
(patrimonio) se ve impactada Basilea 2 (NAC B2) en la gestión de interno,
por los requerimientos del capital conforme a la Resolución SBS Establecimiento
Nuevo Acuerdo de Capital Nº 2115-2009 “Requerimiento de de objetivos
Basilea 2, incluyendo variables patrimonio efectivo por riesgo
no consideradas en el operacional”, cumpliendo con los
planeamiento del capital de la criterios para la aplicación del método
IF. estándar alternativo. Adicionalmente,
utiliza el método estándar tanto para
el patrimonio efectivo por riesgo de
crédito y por riesgo de mercado
conforme a las normas de SBS.
6 Gestión centralizada de riesgos, Descentralización de la gestión de Todos 5,8,10 Cerrado

se tienen roles definidos riesgos a través del cambio y ajustes
claramente para el área de de las políticas y procedimientos de
Riesgos, pero no para las toda la IF. La cultura de riesgo ha
Gerencias y niveles medio y sido implementada en todas las
operativo. Se tiene el paradigma líneas de negocio incluyendo las
de que el área de Riesgos es áreas de soporte. Cada Gerencia es
responsable de gestionar y responsable de gestionar sus riesgos
mantener niveles bajos del con la orientación y monitoreo del
riesgo, si ocurren pérdidas, "se área de Riesgos. A través de la red
cree" que es por la "mala de Gestores de Riesgo en cada área,
gestión del área de Riesgos". se asegura el funcionamiento efectivo
de la metodología.
82
Status al
proyecto del
relacionado (Gantt)
proyecto
7 Metodología de gestión de Metodología, políticas y Todos 8,9,10 Cerrado
riesgo operacional adoptada y procedimientos de riesgo operacional
escrita pero con bajo nivel de actualizados, los que deben tener
dinamismo ("no viva"). evidencia de la gestión realizada
según los procedimientos definidos
en los procesos y monitoreados por
las Gerencias y Comités, cambiando
de ser estáticos a ser dinámicos. Los
mecanismos de monitoreo
implementados ayudan a mejorar la
gestión con un enfoque integral.
8 Carencia de una herramienta Se implemento la herramienta Matriz Ambiente 8,9 En

adecuada para soportar la de Riesgos y Controles. interno proceso
gestión del riesgo operacional Adicionalmente, la IF ha iniciado la
de acuerdo al tamaño de las implementación de un software para
operaciones de la IF. soportar la metodología de gestión de
riesgo operacional, en lo siguiente:
Riesgos
Controles
Acciones
Indicadores clave de riesgo
Eventos de pérdida

83
4.2. Impacto en la gestión de riesgos
El desarrollo, aplicación y mantenimiento de una gestión de riesgo
operacional bajo el enfoque integral COSO ERM, beneficia la gestión de
riesgos en una organización, especialmente en la IF, de la siguiente
manera:
• Permite tomar decisiones y cursos de acción considerando la
variable riesgo, lo cual, bajo una adecuada planificación y
monitoreo, incrementa la posibilidad de lograr resultados en los
niveles deseados para los objetivos estratégicos, operativos, de
reporte, y de cumplimiento.
• Al tener como uno de los objetivos principales, la reducción de las
pérdidas, se incrementa la posibilidad de lograr la rentabilidad
deseada.
• El análisis preventivo, permite conocer los posibles efectos o
consecuencias que puedan ocurrir en el corto plazo, porque se
priorizan los esfuerzos y asignación de recursos enfocados en la
mitigación y/o control de riesgos que puedan afectar la
implementación de las estrategias de negocio.

84
• El análisis correctivo o post pérdida, permite identificar las causas
raíces de los eventos y sobre ellos, formular y establecer medidas
correctivas, ajustando políticas o procedimientos, corrigiendo los
errores o fallas, contribuyendo a la eficiencia operativa y al flujo
normal de las operaciones.
• Las evaluaciones de riesgos permiten identificar oportunidades de
mejora basadas en la priorización de los niveles de riesgo y de la
capacidad de respuesta de la organización.
• Agrega valor al negocio en la medida en que la información fluye
oportunamente en todos los niveles de la organización. Los nuevos
productos o proyectos tienen mayor posibilidad de éxito, si
consideran un análisis adecuado de riesgos en todas sus etapas,
ya que brinda conocimiento suficiente de los riesgos a mitigar, así
como de las situaciones y causas que los pueden incrementar.
• Financieramente, permite asignar menor capital para afrontar
pérdidas por riesgo operacional, dado que la SBS autorizará a la IF
a utilizar el método estándar alternativo en lugar del indicador
básico, con la posibilidad de poder desarrollar en el mediano plazo,
métodos cuantitativos que muestren niveles de riesgo más reales, y
además poder implementar un modelo propio de capital
económico.
85
• Los interesados en el negocio32, tendrán una percepción positiva y
mejores expectativas de la IF, al demostrar una adecuada gestión
del riesgo operacional, lo que tiene un impacto positivo en la
reputación de la marca, la dirección, y los productos y servicios
ofrecidos. Esto tiene un efecto importante sobre todo si la IF realiza
operaciones bursátiles.
4.3. Impacto financiero en el requerimiento de capital regulatorio
En la IF, previa autorización de la SBS (ver requisitos en el Anexo 15), se
aplicó el método estándar alternativo, el cual consiste en un enfoque de
asignación de capital basado en los ingresos de las líneas de negocio. La
siguiente tabla muestra la definición de las líneas de negocio.
Tabla 4.2
Líneas de negocio
Línea de negocio Definición

Finanzas corporativas Realización de operaciones de financiamiento
estructurado y participación en procesos de
titulización; underwriting; asesoramiento financiero
a empresas corporativas, grandes y medianas
empresas, así como al gobierno central y
entidades del sector público; entre otras
actividades de naturaleza similar.
Negociación y ventas Operaciones de tesorería; compra y venta de
títulos, monedas y commodities por cuenta propia;
entre otras actividades de naturaleza similar.
32
Los interesados en el negocio o “stakeholders”, se definen como una persona, grupo u
organización que tenga participación directa o indirecta en una empresa, ya que puede afectar o
verse afectado por las acciones de la misma, sus objetivos o políticas. Incluye a los acreedores,
clientes, directores, empleados, el gobierno y sus instituciones, los propietarios (accionistas), los
proveedores, los sindicatos y la comunidad de donde el negocio obtiene sus recursos. Tomado de
Business Dictionary, página Web <http://www.businessdictionary.com/definition/stakeholder.html>
86
Línea de negocio Definición

Banca Minorista Financiamiento a clientes minoristas incluyendo
tarjetas de crédito, préstamo automotriz, entre
otros.
Banca Comercial Financiamiento a clientes no minoristas,
incluyendo: factoring, descuento, arrendamiento
financiero, entre otros.
Liquidación y pagos Actividades relacionadas con pagos y cobranzas,
transferencia interbancaria de fondos,
compensación y liquidación, entre otras
actividades de naturaleza similar.
Otros servicios Servicios de custodia, fideicomisos, comisiones de
confianza y otros servicios.
Fuente: Resolución SBS N° 2115-2009

La data se obtuvo, conforma a la norma, de las cuentas contables del
balance general agrupadas por líneas de negocio (ver anexos 16 y 18).
Luego, se procedió a determinar los indicadores de exposición por cada
línea de negocio, de manera anualizada y acumulada por un lapso de 36
meses (ver Anexo 17). Con estos indicadores determinados, se aplicó a
cada línea de negocio el factor beta (β) correspondiente, según la
siguiente tabla.
Tabla 4.3
Porcentajes a aplicar por Línea de negocio
Líneas de Negocio Valor β

Finanzas corporativas (β1) 18%
Negociación y ventas (β2) 18%
Banca minorista (β3) 12%
Banca comercial (β4) 15%
Liquidación y pagos (β5) 18%
Otros servicios (β6) 15%
Fuente: Resolución SBS N° 2115-2009

87
“Beta se utiliza como una aproximación a la relación que existe en el
conjunto del sector bancario entre el historial de pérdidas debido al riesgo
operacional de cada línea de negocio y el nivel agregado de ingresos
brutos generados por esa misma línea” (Comité de Basilea 2006: 161-
162).
Adicionalmente, para el caso de las líneas de negocio de Banca Minorista
y Banca Comercial, se le aplicó el factor “m” equivalente al valor de 0.035.
Este factor, fue determinado por el Comité de Basilea en función a data
histórica de los márgenes de las colocaciones, bajo la premisa de que a
mayor tamaño de cartera, se tiene una mayor complejidad operativa, por
tanto se está expuesto a mayor riesgo operacional.
Luego de determinar estos valores, se realizó un promedio simple de lo
correspondiente a los tres últimos años, obteniendo el requerimiento de
patrimonio efectivo por riesgo operacional (ver anexo 19) el cual se debe
enviar a la SBS en el formato indicado en la norma (ver anexo 20).
Para poder mostrar el impacto cuantitativo, previamente se debió calcular
el requerimiento de patrimonio efectivo por riesgo operacional según el
método del indicador básico, el cual resulta de aplicar el factor de 15%33
al margen operativo utilizando las cuentas indicadas en el Anexo 18
33
“Parámetro establecido por el Comité, que relaciona el capital exigido al conjunto del sector con
el nivel del indicador en el conjunto del sector” (Comité de Basilea 2006: 172).
88
considerando también saldos anualizados, y determinando el promedio
simple de los tres últimos años.
Con los valores obtenidos aplicando ambos métodos, en la siguiente
tabla, se muestra el impacto financiero expresado como ahorro en la
asignación de capital regulatorio por riesgo operacional.
Tabla 4.4
Beneficio de la aplicación del método estándar alternativo
Expresado en miles de nuevos soles
Método
Ahorro % de
Periodo
Indicador Estándar S/. Ahorro
Básico Alternativo
Ene-10 5,808 3,413 2,395 41%
Fuente: IF
Por tanto, aplicando el método estándar alternativo se obtiene un
beneficio cuantitativo al asignar un menor monto de capital regulatorio por
riesgo operacional, lo cual permite a la IF, disponer de mayor capital para
invertir en productos o servicios, o poder aceptar niveles mayores de
riesgo de crédito o riesgo de mercado.
Dada la naturaleza del método, este ahorro crecerá conforme se
incrementen los ingresos.

89
Capítulo 5
Conclusiones y Recomendaciones
5.1. Conclusiones
• Para establecer, mantener y desarrollar una gestión de riesgo
operacional bajo COSO ERM es necesario que la Dirección y
Alta Gerencia estén involucrados y comprometidos con roles
claramente asignados y con una filosofía de riesgo evidenciada
a través de su aplicación en la estructura organizacional y
procesos de la IF.
• El riesgo operacional es un riesgo que está presente en todas
las actividades de la IF, en mayor o menor nivel, dependiendo
de la efectividad de los controles implementados y de las
estrategias que se elijan para gestionarlo. Los Gerentes de
cada área son responsables de mantenerlos en los niveles
aceptables según el apetito y tolerancia definidos.
• La gestión de riesgo operacional bajo COSO ERM agrega valor
a la organización en la medida en que contribuye al
cumplimiento de los objetivos, provee conocimiento de la
ocurrencia de posibles eventos y su mitigación, mejora la
eficiencia, asegura que los productos y servicios se brinden

90
dentro del apetito de riesgo aceptado con mayor posibilidad de
éxito, y refuerza la reputación de la IF con los stakeholders.
• El modelo de gestión de riesgo operacional dentro de un
enfoque integrado de gestión de riesgos permite a la IF obtener
un ahorro en la asignación de capital regulatorio por riesgo
operacional, con la posibilidad de desarrollar métodos
avanzados que muestren un nivel de riesgo más real y poder
establecer su propio modelo de capital económico.
• Para el caso de la IF en estudio, la aplicación del método
estándar alternativo le permitirá asignar menor capital que el del
método básico, habiendo logrando un ahorro a Enero 2010 de
S/ 2,395 miles (dos millones tres cientos noventa y cinco mil
nuevos soles), lo que permite aceptar mayor riesgo de crédito
y/o de mercado, al realizar una mayor inversión en productos o
servicios financieros. Este ahorro variará en función del
crecimiento y los cambios en el portafolio, que tenga a futuro.
5.2. Recomendaciones
• Para la correcta implementación del modelo se debe realizar un
diagnóstico organizacional basado en riesgos, y definir un plan
por etapas que incluya capacitación y concientización, así como

91
una clara definición de los roles y responsabilidades en todos
los niveles de la organización.
• Dentro de la estructura organizacional se debe contar con una
red de Gestores de Riesgo, lo cuales son designados por los
Gerentes por su conocimiento, experiencia, liderazgo y
capacidad analítica para integrar los conceptos del modelo a las
actividades cotidianas.
• Implementar un software de gestión de riesgo operacional que
permita soportar el modelo desarrollado.
• Realizar una mejora continua en el flujo de información y utilizar
términos de “uso común” equivalentes a los manejados en la
gestión de riesgo operacional y gestión integral de riesgos.
• Efectuar análisis de las bases de datos de pérdidas para
familiarizarse con los eventos ocurridos y observar su severidad
y frecuencia, con la finalidad de que, luego de haber pasado por
un periodo entre mediano a largo plazo, evaluar el costo
beneficio de aplicar métodos cuantitativos que complementen el
modelo expuesto, y permitan a la IF implementar un modelo de
capital económico con medidas más sensibles al riesgo.

92
Referencias Bibliográficas
BERNSTEIN, Peter L
1998 Against the Gods – The remarkable story of risk. New York:
John Wiley & Sons, Inc.
COMITÉ DE SUPERVISIÓN BANCARIA DE BASILEA

2006 Convergencia internacional de medidas y normas de capital.
Basilea: Banco de Pagos Internacionales.
2003 Buenas prácticas para la supervisión y gestión del riesgo

operativo”. Basilea: Banco de Pagos Internacionales.
COSO
2004 Enterprise Risk Management – Integrated Framework. The
Committee of Sponsoring Organizations of the Treadway
Commission. New York: COSO.
GUTIERREZ, Guido
2007 “Estrategias de mercadeo en las microfinanzas”. Síntesis
Cooperativo. Boletín de la FENACREP. Lima, marzo 2007.
Consulta: 25 de setiembre de 2009.
< http://www.fenacrep.org/web/sintesis_info_i.php?id=70>
HOFFMAN, Douglas
2002 Managing operational risk. New York: John Wiley & Sons,
Inc.
MANIC, Ivana
2007 Mathematical Models for Estimation of Operational Risk and
Risk Management. Tesis de maestría en Matemáticas –
Matemáticas Financieras. Serbia: Universidad de Novi Sad,
Departamento de Matemáticas e Informática, Facultad de
Ciencias. Consulta: 2 de diciembre de 2009.
<http://sites.im.ns.ac.yu/personal/krejicn/ivana.pdf>
MAS, Jordi y Carles RAMIÓ

1997 La auditoría operativa en la práctica –Técnicas de mejora
organizativa. Barcelona: Marcombo S.A.
MEDINA, Alejandro
2006 “Gestión de Riesgos de Operación”. Ponencia presentada
en el Evento: Gestión integral de riesgos en el marco del
Nuevo Acuerdo de Capital Basilea II. Cusco. Consulta: 4 de
agosto de 2009.
<http://www.sbs.gob.pe/portalsbs/BASILEA/presentaciones.
htm>
93
NETCONSUL
2009 “Control Risk Self Assessment”. Técnicas y herramientas.
Consulta: 09 de febrero de 2010.
<http://www.netconsul.com/tecnicas/index.php?ver=crsa>
POGGI, Javier y Manuel LUY

2006 “Basilea II: El Nuevo Acuerdo de Capital”. Ponencia
presentada en el Evento: Gestión integral de riesgos en el
marco del Nuevo Acuerdo de Capital Basilea II. Cusco.
Consulta: 4 de agosto de 2009.
<http://www.sbs.gob.pe/portalsbs/BASILEA/presentaciones.
htm>
SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS

PRIVADAS DE FONDOS DE PENSIONES DE LA REPÚBLICA DEL
PERÚ
2009a Resolución SBS Nº 2116-2009. Reglamento para la Gestión
del Riesgo Operacional. 2 de abril.
2009b Resolución SBS Nº 2115-2009 Reglamento para el

requerimiento de patrimonio efectivo por riesgo operacional.
2 de abril.
2008 Resolución SBS Nº 37-2008 Reglamento para la Gestión

Integral de Riesgos. 10 de enero.
SUPERINTENDENCIA DE BANCOS Y SEGUROS DE LA REPÚBLICA

DEL ECUADOR
2005 Resolución No JB-2005-834. Capítulo V.- De la Gestión del
Riesgo Operativo. 20 de octubre.
94
Índice de Abreviaturas y siglas
AFP: Administradora de Fondo de Pensiones
AMA: Advanced measurement approach (Método de medición avanzado)
APAFA: Asociación de Padres de Familia
APR: Activos ponderados por riesgo
B1: Basilea 1
B2: Basilea 2
BCRP: Banco Central de Reserva del Perú
COSO: Committee of Sponsoring Organizations (Comité de

Organizaciones Patrocinadoras de la Comisión Treadway)
COSO ERM: Committee of Sponsoring Organizations - Enterprise Risk

Management (Comité de Organizaciones Patrocinadoras de la Comisión
Treadway – Gestión de Riesgos Empresariales)
CRSA: Control Risk Self Assessment (Autoevaluación de Riesgos y

Controles)
CTS: Compensación por tiempo de servicios
DEF: Diseño efectivo de un control
DNE: Diseño no efectivo de un control
DPE: Diseño parcialmente efectivo de un control
EFE: Efectivo, referido a la efectividad de operación
ERM: Enterprise Risk Management (Gestión de Riesgos Empresariales)
etc.: Etcétera
FSD: Fondo de Seguro de Depósitos
G10: Grupo de los Diez países
GAR: Grupo de Análisis de Riesgos

95
GCN: Gestión de Continuidad de Negocios
GIR: Gestión Integral de Riesgos
GRO: Gestión de Riesgo Operacional
GSI: Gestión de Seguridad de Información
IF: Institución Financiera
IMP: Implementado
IPP: Implementado parcialmente
KRI: Key risk indicador (Indicador clave de riesgo)
NAC B2: Nuevo Acuerdo de Capital Basilea 2
NEF: No efectivo, referido a la efectividad de operación
NIM: No implementado
OECD: Organisation for Economic Co-operation and Development

(Organización para la Cooperación y el Desarrollo Económico)
PEF: Parcialmente efectivo, referido a la efectividad de operación
PYME: Pequeña y mediana empresa
SBS: Superintendencia de Banca, Seguros y AFPs

96
Glosario
Activos ponderados por riesgo.- Activos de un banco ponderados por
riesgo de crédito. Algunos activos, como obligaciones, se les asigna un
mayor riesgo que otros, tales como dinero en efectivo. Este tipo de cálculo
del activo se utiliza para determinar la exigencia de capital por una
institución financiera, y está regulado por la SBS.
Ahorro con órdenes de pago.- Producto de ahorros para personas
naturales o jurídicas similar a una cuenta de ahorros pero con la
característica de manejar un talonario de órdenes de pago, usadas como
medio de pago para girar al portador o a nombre de una persona o
empresa. La orden de pago no representa un título valor.
Apetito por riesgo.- El monto total de riesgo que una compañía u otra
entidad desea aceptar para la obtención de su misión / visión. El nivel de
riesgo que la empresa está dispuesta a asumir en su búsqueda de
rentabilidad y valor.
Autoevaluación.- Proceso continuo a través del cual los gerentes de
todos los niveles, evalúa la eficacia de su desempeño en todos los
ámbitos de responsabilidad, y determinar lo que se requieren mejoras.

97
Basilea 2.- Segundo acuerdo de capital publicado por el Comité de
Supervisión Bancaria de Basilea.
Capital regulatorio.- El patrimonio neto de una empresa definido de
acuerdo a las normas de un organismo regulador. Para una IF peruana,
es el patrimonio efectivo determinado por la SBS en base a sus activos
ponderados por riesgo, que ha sido adaptado conforme a los lineamientos
de Basilea 2.
Capital económico.- Es la cantidad de capital de riesgo que una
empresa necesita para cubrir los riesgos a los que está expuesto. En el
caso de una IF, debe cubrir el riesgo de mercado, riesgo de crédito y
riesgo operacional. Es la cantidad de dinero que se necesita para
asegurar la supervivencia en un escenario del peor caso.
Casi pérdida.- Evento que no llega a materializarse en pérdida por una
acción correctiva realizada a tiempo o un factor fuera del control de la IF.
Comité de Supervisión Bancaria de Basilea.- Establecido a fines del
año 1974 por los representantes de los bancos centrales del Grupo de los
Diez países o G10. Formula estándares, guías y recomendaciones de
mejores prácticas que se espera que las autoridades nacionales
implementen.
98
Control.- Actividad de monitorear los resultados de una acción y tomar
medidas para hacer correcciones inmediatas y medidas preventivas para
evitar eventos indeseables en el futuro.
Control Interno.- Un proceso, realizado por el Directorio, la Gerencia y el
personal, diseñado para proveer un aseguramiento razonable en el logro
de objetivos referidos a la eficacia y eficiencia de las operaciones,
confiabilidad de la información financiera, y cumplimiento de las leyes
aplicables y regulaciones.
COSO ERM.- Marco Integrado para la Gestión de Riesgos Corporativos,
publicado por el Committee of Sponsoring Organizations of the Treadway
Commission (COSO)
Evento de pérdida por riesgo operacional.- El evento que conduce a
una o varias pérdidas, cuyo origen corresponde al riesgo operacional.
Según Basilea 2, se agrupan de la siguiente manera:
• Fraude interno: Pérdidas derivadas de algún tipo de actuación
encaminada a defraudar, apropiarse de bienes indebidamente o
incumplir regulaciones, leyes o políticas empresariales en las que
se encuentra implicado, al menos, un miembro de la empresa, y
que tiene como fin obtener un beneficio ilícito.

99
• Fraude externo: Pérdidas derivadas de algún tipo de actuación
encaminada a defraudar, apropiarse de bienes indebidamente o
incumplir la legislación, por parte de un tercero, con el fin de
obtener un beneficio ilícito.
• Relaciones laborales y seguridad en el puesto de trabajo:
Pérdidas derivadas de actuaciones incompatibles con la legislación
o acuerdos laborales, sobre higiene o seguridad en el trabajo,
sobre el pago de reclamos por daños personales, o sobre casos
relacionados con la diversidad o discriminación.
• Clientes, productos y prácticas empresariales: Pérdidas
derivadas del incumplimiento involuntario o negligente de una
obligación empresarial frente a clientes concretos (incluidos
requisitos fiduciarios y de adecuación), o de la naturaleza o diseño
de un producto.
• Daños a activos materiales: Pérdidas derivadas de daños o
perjuicios a activos materiales como consecuencia de desastres
naturales u otros acontecimientos.
• Interrupción del negocio y fallos en los sistemas: Pérdidas
derivadas de interrupciones en el negocio y de fallos en los
sistemas.
100
• Ejecución, entrega y gestión de procesos: Pérdidas derivadas
de errores en el procesamiento de operaciones o en la gestión de
procesos, así como de relaciones con contrapartes comerciales y
proveedores.
Efecto.- Consecuencia positiva o negativa, de la ocurrencia de un evento.
Evento que se origina por otro llamado efecto.
Factores del riesgo operacional.- También llamados fuente u origen de
riesgo operacional, están compuestos por:
• Procesos internos: Las empresas deben gestionar
apropiadamente los riesgos asociados a los procesos internos
implementados para la realización de sus operaciones y servicios,
relacionados al diseño inapropiado de los procesos o a políticas y
procedimientos inadecuados o inexistentes que puedan tener como
consecuencia el desarrollo deficiente de las operaciones y servicios
o la suspensión de los mismos.
• Personas: Las empresas deben gestionar apropiadamente los
riesgos asociados al personal de la empresa, relacionados a la
inadecuada capacitación, negligencia, error humano, sabotaje,
fraude, robo, paralizaciones, apropiación de información sensible,
entre otros.
101
• Tecnología de información: Las empresas deben gestionar los
riesgos asociados a la tecnología de información, relacionados a
fallas en la seguridad y continuidad operativa de los sistemas
informáticos, los errores en el desarrollo e implementación de
dichos sistemas y la compatibilidad e integración de los mismos,
problemas de calidad de información, la inadecuada inversión en
tecnología, entre otros aspectos.
• Eventos externos: Las empresas deberán gestionar los riesgos
asociados a eventos externos ajenos al control de la empresa,
relacionados por ejemplo a fallas en los servicios públicos, la
ocurrencia de desastres naturales, atentados y actos delictivos,
entre otros factores.
Frecuencia.- Medida del número de veces que ocurre o puede ocurrir un
evento de riesgo o pérdida. Se utiliza para formular criterios de
probabilidad que forman parte de la evaluación de riesgos.
Gestión integral de riesgos.- Proceso efectuado por el Directorio, la
Gerencia y el personal de toda la empresa, en la definición de su
estrategia, diseñado para identificar potenciales eventos que pueden
afectarla, gestionarlos de acuerdo a su apetito por el riesgo y proveer una
seguridad razonable en el logro de sus objetivos.

102
Gestión de riesgo operacional (GRO).- Un proceso cíclico continuo que
incluye la evaluación de riesgos, la toma de decisiones de riesgo, y la
aplicación de controles de riesgo, lo que resulta en la aceptar, mitigar,
compartir, o evitar el riesgo. GRO es la supervisión de riesgo operacional,
incluyendo el riesgo de pérdidas resultantes de procesos internos
inadecuados o fallidos y los sistemas, los factores humanos, o de
acontecimientos externos.
Impacto.- También llamado “severidad”, describe el daño potencial del
riesgo medido usualmente en valores monetarios, y consecuencias en el
servicio al cliente, continuidad del negocio, personal de la organización,
multas o sanciones, y también en el nivel de vulnerabilidad de los
sistemas.
Indicador clave de riesgo (KRI).- Es una medida utilizada en la gestión
para indicar que tanto riesgo puede tener una actividad. Se diferencia de
un indicador clave de rendimiento en que ésta se entiende como una
medida de cuán bien se está haciendo algo mientras que el primero es un
indicador de la posibilidad de efectos adversos futuro. KRI nos da una
alerta temprana para identificar eventos potenciales que puedan
perjudicar la operativa de una actividad / proyecto.

103
Institución Financiera.- Institución que recoge fondos del público y los
coloca en activos financieros, como depósitos, préstamos y bonos, en
lugar de bienes materiales.
Issue.- Situación que se presenta como una limitación, ausencia de
control, incumplimiento normativo o problema que incrementa la
probabilidad de un riesgo de materializarse en pérdidas o casi pérdidas.
Línea de negocio.- Es una especialización del negocio que agrupa
procesos encaminados a generar productos y servicios especializados
para atender un segmento del mercado objetivo definido en la
planificación estratégica de la entidad.
Macroproceso.- Agrupación de procesos de una organización.
Mapa de proceso.- Herramienta que muestra en un diagrama de flujo o
bloques, la secuencia general de un proceso, incluyendo las partes o
componentes y su interrelación dentro del mismo proceso. Es una
presentación del proceso de nivel alto que indica la secuencia de
procesos incluidos, que tiene entradas y salidas.
Mapa de riesgos.- Herramienta utilizada para mostrar el impacto y la
probabilidad de los eventos de riesgo analizados según criterios
previamente definidos.
104
Matriz cualitativa de evaluación de riesgos.- Herramienta utilizada para
combinar los valores de impacto y probabilidad que permitan determinar
el nivel de riesgo residual sobre el que se elegirá la forma de tratarlo a
través de la elección de una estrategia.
Matriz de riesgos y controles.- Herramienta utilizada para documentar
los riesgos y controles identificados, así como realizar su evaluación
según criterios establecidos de impacto y probabilidad.
Microfinanzas.- Provisión de servicios financieros como préstamos,
ahorro, seguros o transferencias a hogares con bajos ingresos. Entre
estas posibilidades, la mayoría de las instituciones están dedicadas al
microcrédito. Reúnen cuatro condiciones: permanencia, para prestar
servicios financieros a largo plazo; escala, a fin de alcanzar a un número
suficiente de clientes; focalización, con el objeto de llegar a la población
pobre; y sustentabilidad financiera.
Núcleos Ejecutores.- El núcleo es la comunidad organizada que prioriza
sus proyectos obteniendo apoyo técnico para su implementación,
mantenimiento y sostenibilidad.
Patrimonio efectivo.- Ver “Capital regulatorio”.

105
Plan de acción.- Actividades a realizar con una fecha de término,
responsable y recursos que pueda requerir para su correcta ejecución.
Proceso.- Conjunto de actividades que transforman insumos en
productos o servicios con valor para el cliente, sea interno o externo.
Riesgo.- La posibilidad de que un evento ocurra y afecte adversamente el
logro de los objetivos.
Riesgo Operacional.- La posibilidad de ocurrencia de pérdidas debido a
procesos inadecuados, fallas del personal, de la tecnología de
información, o eventos externos. Esta definición incluye el riesgo legal,
pero excluye el riesgo estratégico y de reputación.
Tolerancia al riesgo.- El nivel de variación que la empresa está
dispuesta a asumir en caso de desviación de los objetivos empresariales
trazados.
106
Anexos
Pág.
Anexo 1: Elementos del riesgo operacional 107

Anexo 2: Principales diferencias entre Basilea 1 y Basilea 2 108
Anexo 3: Categorías de riesgo operacional 109
Anexo 4: Autoevaluación de riesgos y controles 110
Anexo 5: Criterios Cualitativos 116
Anexo 6: Matriz de Evaluación Cualitativa 117
Anexo 7: Data de eventos de perdida 118
Anexo 8: Tipos de eventos de pérdida 123
Anexo 9: Información para la Unidad de Riesgo Operacional 127
– Ejemplo
Anexo 10: Reporte de indicadores clave de riesgo – 128
Ejemplo
Anexo 11: Top Risks – Ejemplo 129
Anexo 12: Reporte de eventos de perdida – Ejemplo 130
Anexo 13: Reporte de seguimiento a planes de acción – 131
Ejemplo
Anexo 14: Reporte de observaciones de auditoría – 132
Ejemplo
Anexo 15: Requisitos mínimos para el uso del método 133
estándar alternativo
Anexo 16: Reporte de datos para cálculo de requerimiento 136
de patrimonio efectivo por riesgo operacional – Extracto
Anexo 17: Anualización de saldos para cálculo de 137
requerimiento de patrimonio por riesgo operacional
Anexo 18: Cuentas contables para calcular los indicadores 138
de exposición de las líneas de negocio
Anexo 19: Resumen del cálculo de requerimiento de 143
patrimonio efectivo por riesgo operacional
Anexo 20: Reporte de Requerimiento de Patrimonio 144
Efectivo por Riesgo Operacional – Formato SBS
Anexo 21: Experiencias relacionadas al presente informe 145
107
Anexo 1
Elementos del riesgo operacional
Origen Línea de Negocio Tipo de Evento Efectos
1. Personas 1. Finanzas Corporativas 1. Fraude Interno 1. Pérdida de Recursos
2. Procesos 2. Negociación y Ventas 2. Fraude Externo 2. Castigos
3. Sistemas 3. Banca Minorista 3. Prácticas de Empleo y 3. Pérdida de Bienes

Seguridad
4. Externos 4. Banca Comercial 4. Restitución
4. Clientes, Productos y
5. Pagos y Liquidaciones Prácticas de Negocio 5. Pagos / Costos Legales
6. Servicios de Agencia 5. Daño a Activos Físicos 6. Pérdida de dinero
7. Gestión de Activos 6. Interrupción de 7. Pérdida de información

Negocios y Fallas
8. Intermediación de Sistemas
Minorista
7. Ejecución, Entrega y
Gestión de Procesos
Fuente: Tesis de maestría “Modelos matemáticos para estimación del riesgo operacional y gestión de riesgos”
Elaboración: Ivana Mánic
108
Anexo 2
Principales diferencias entre Basilea 1 y Basilea 2
BASILEA I (1988) BASILEA II (2003)

Estructura basada en un Pilar Se establecen 3 Pilares:
1. Requerimientos mínimos de capital
2. Revisión de la entidad supervisora
3. Disciplina de mercado
Medición del Riesgo Crediticio : Riesgo Crediticio:

aplicación de ponderaciones dadas por el aplicación de ponderaciones externas
regulador (calificadoras) o por métodos internos.
Cálculo del Riesgo Crediticio por medio del Cálculo del Riesgo Crediticio mediante 3
enfoque estandarizado métodos:
1. Estandarizado
2. IRB (fundacional)
3. RB (avanzado)
Incorpora la medición del Riesgo de Mercado Permanece igual

desde 1996
No incorpora la medición del Riesgo Operativo Incorpora la medición del Riesgo Operativo
Países de la OECD reciben un trato preferencial No existe trato diferenciado para los países
miembros de la OECD
No incluye posibilidad de requerimiento El Pilar 2 da la posibilidad al ente supervisor de

adicional por otros requerir mayor capital por otros riesgos (ej.
riesgos Concentración de
mercado)
Fuente: “Basilea II: El Nuevo Acuerdo de Capital” – Presentaciones de Funcionarios SBS

Elaboración: Javier Poggi y Manuel Luy
109
Anexo 3
Categorías de riesgo operacional
Ambiente Código Categorías de Riesgo Operacional
RO01 Competencia
RO02 Innovación Tecnológica
RO03 Soberano Político
RO04 Legal
Entorno
RO05 Regulatorio
RO06 Sector
RO07 Mercado
RO08 Catastrófico
RO09 Pánico financiero
RO10 Recursos Humanos
RO11 Ineficiencia en el diseño de procesos
RO12 Quejas o reclamos de clientes
RO13 Incumplimiento o error humano
RO14 Interrupción de procesos de negocios
RO15 Falla en los productos o servicios
RO16 Salud y seguridad
Interno
RO17 Límite de autoridad

RO18 Tercerización
RO19 Integridad
RO20 Confidencialidad
RO21 Disponibilidad
RO22 Distorsión de información financiera
RO23 Fraudes
RO24 Actos ilegales
RO25 Uso no autorizado
Fuente: Trabajo de consultoría

110
Anexo 4
Autoevaluación de riesgos y controles
En los últimos años un creciente número de auditores, gerentes y otros
profesionales, han dedicado un gran esfuerzo al desarrollo de un nuevo enfoque
para examinar y evaluar la efectividad del control interno. Este nuevo enfoque se
denomina Control Risk Self Assessment (Autoevaluación de Riesgos y
Controles), y se lo identifica con la sigla CRSA.
Implementado por primera vez en Gulf Canada Resources Ltd., sus principios
básicos han sido utilizados en una amplia variedad de organizaciones. El
concepto inicial ha evolucionado hacia el desarrollo gerencial más excitante en
años: una técnica amplia, flexible, que puede ser "afinada" para examinar los
temas gerenciales de más alto nivel o auditar los procesos más detallados.
CRSA emergió como una herramienta poderosa que puede ser utilizada tanto
por la Auditoría Interna como por la contraloría o cualquier otra área de la
entidad, para examinar y evaluar los procesos y controlar la eficacia dentro de
sus respectivas organizaciones.
Autoevaluación es una metodología específica que requiere reuniones de trabajo
o workshops conducidos por un facilitador en las que se plantea una discusión
abierta durante la cual los participantes evalúan sus propios procesos. Como se
puede ver, la autoevaluación se refiere específicamente a reuniones grupales
manejadas por un facilitador que fomentan el intercambio de información.

111
En la autoevaluación, llevada a cabo mediante reuniones de trabajo, los
facilitadores guían a los participantes en sus discusiones, pero las
recomendaciones son desarrolladas directamente por el grupo durante la
reunión.
En la figura puede apreciarse el flujo continuo del proceso de autoevaluación y
mejoramiento.
Etapas y características
Se puede definir al Control Risk Self Assessment como un proceso con las
siguientes etapas y características principales:
1. Análisis preliminar
En esta etapa el responsable del CRSA efectúa un relevamiento exhaustivo de
la operación, función o actividad a evaluar, del cual extrae una conclusión
preliminar sobre la efectividad del sistema de control interno y de los riesgos
existentes. En esta parte del proceso se utilizan técnicas tradicionales para

112
captar información y evaluarla, es decir, cuestionarios, entrevistas,
comprobaciones, etc. El objetivo de esta etapa es adquirir un conocimiento
profundo de la operatoria a analizar y sus problemas o limitaciones, requisito
indispensable para poder llevar a cabo una eficiente coordinación en la reunión
de evaluación propiamente dicha.
2. Reunión de trabajo
Podemos diferenciar dos etapas: Preparación y Desarrollo.
Etapa de Preparación
La etapa de preparación de la reunión de trabajo involucra, entre otros, los
siguientes aspectos:
• Definición precisa del objetivo a evaluar.
• Obtención del respaldo de la dirección sobre el objetivo a evaluar.
• Selección de los participantes.
• Capacitación de los participantes sobre la temática del control interno y
sobre la metodología particular del CRSA.
• Definición de la estructura de control a utilizar.
• Cronograma detallado de la o las reuniones.
• Acondicionamiento del espacio físico y de los elementos de apoyo
necesarios para el desarrollo de una reunión eficiente.
Etapa de Desarrollo
El desarrollo propiamente dicho de la reunión de trabajo tiene las siguientes
características básicas:
113
• La reunión es coordinada por un facilitador. El facilitador no impone su
opinión ni tiene poder de decisión. Su función consiste en coordinar los
criterios expuestos por los "dueños del proceso" a fin de que se logre el
objetivo de evaluación planteado para la reunión. Todo ello, basado en su
profundo conocimiento de la operación bajo análisis y en su condición de
experto en control interno.
• Prácticamente siempre existe un co-facilitador que se encarga de ir
registrando toda la información que surge de la reunión como forma de
documentar su evolución y resultados.
• Una reunión de CRSA genera mucha más información que cualquier otra
metodología convencional. Por tal razón, la registración on-line de la
misma se torna una cuestión crítica. En tal sentido, normalmente se
emplea un software de apoyo que facilita y asegura este aspecto
importante.
• La comunicación debe ser abierta y profunda entre los participantes. Esto
origina una discusión cruzada de los temas que es enriquecedora para
todos.
• Para los casos en que los participantes deban emitir sus opiniones a
través de la votación, también resultará altamente conveniente utilizar un
software de apoyo.
3. Informe de las conclusiones
Una vez finalizada la reunión de trabajo (si bien la terminación de esta tarea
puede concretarse en los días posteriores inmediatos), el equipo emite un
informe con sus conclusiones sobre la evaluación efectuada. Para esta función
114
también puede utilizarse el software mencionado anteriormente, que permita
documentar las conclusiones. En tal sentido, pueden darse las siguientes
situaciones:
• Que el equipo considere aceptable el riesgo residual existente en la
operatoria evaluada y que la cartera de control vigente sea óptima.
• Que el equipo considere aceptable el riesgo residual existente en la
operatoria evaluada pero que la cartera de control necesite ser
optimizada, en cuyo caso formulará las recomendaciones pertinentes.
• Que el equipo considere inaceptable el riesgo residual existente en la
operatoria evaluada, en cuyo caso:
• Recomendará replantear la operatoria evaluada proponiendo
soluciones alternativas teniendo en cuenta los objetivos del negocio,
• Rediseñará la cartera de control vigente proponiéndole la nueva
versión a la dirección de la entidad.
Cabe recordar, por último, que si bien esta técnica se originó en la auditoría
interna, la autoevaluación es realmente una herramienta gerencial y por
extensión, una técnica útil de consultoría interna de la entidad.
Beneficios concretos que se obtienen
CRSA es una poderosa herramienta gerencial que enfoca al personal en los
métodos para cumplir efectiva y eficientemente con los objetivos del negocio. El
"control", definido en forma amplia, constituye acciones o actividades que
aumentan la probabilidad de lograr los objetivos. Estas acciones y actividades

115
diarias ayudan a la gerencia a alcanzar los objetivos y contribuyen por lo tanto, al
éxito de la compañía.
En consecuencia, podemos resumir sus beneficios de la siguiente forma:
• Estimula el trabajo en equipo y la confianza.
• Promueve la responsabilidad en la gente, ayuda a compartir el
conocimiento y logra un compromiso de mejoramiento continuo. Una
característica clave de este enfoque es la habilidad para comprender los
riesgos y amenazas que se pueden esperar en el entorno actual de los
negocios y para los cuales pueden planearse controles a costos mínimos.
• Aumenta la cantidad y calidad de información confiable sobre el estado
del control y los riesgos existentes, que está a disposición de las
unidades de negocio, la gerencia y el directorio.
• Aumenta la motivación y la capacidad de las unidades de negocio para
diseñar, construir y mantener sistemas de gerenciamiento del control y
del riesgo que sean efectivos y de bajo costo.
• Minimiza la desconfianza sobre la inspecciones ex post requeridas por
los sistemas de control.
• Mejora la capacidad del directorio para evaluar el grado en que la
gerencia identifica, mide, supervisa y controla los riesgos clave.
Fuente: “Control Risk Self Assessment” – Técnicas y herramientas

Elaboración: NetConsul
116
Anexo 5
Criterios Cualitativos
CRITERIOS CUALITATIVOS DE IMPACTO

Nivel Descriptivo Impacto
Pérdida menor; riesgo aceptable en el sector; no hay
1 Insignificante daño a la reputación, no hay cobertura en los medios,
no aumentan las quejas de los clientes
Pérdida moderada, cobertura de medios local;
aumento en los reclamos de los clientes; riesgo
2 Menor
aceptable en el sector; posible cierre de cuentas; no
hay impacto negativo en el valor de las acciones
Pérdida o daño significativo; riesgo inusual en el

sector; cobertura de medios nacionales limitada;
reclamos de clientes a gran escala; pérdida de
3 Moderado
algunos clientes; indagaciones informales del
regulador; efecto negativo potencial en el valor de las
acciones; posible involucramiento de la alta gerencia
Pérdida o daño mayor, pérdida de valor de las
acciones; riesgo inusual o inaceptable en el sector;
4 Mayor cobertura de medios nacionales sostenida; pérdida
importante de clientes; investigación formal del
regulador; involucramiento de la alta gerencia
Pérdida o daño catastrófico; pérdida importante del
valor de las acciones; riesgo inusual o inaceptable en
5 Catastrófico el sector; intervención regulatoria formal y multas;
pérdida de clientes a gran escala; involucramiento
directo de la alta gerencia o directorio
CRITERIOS CUALITATIVOS DE PROBABILIDAD

Nivel Descriptivo Probabilidad
5 Casi seguro Ocurrirá en la mayoría de las circunstancias

Probablemente ocurrirá en la mayoría de las
4 Probable
circunstancias
3 Posible Puede ocurrir en algún momento
2 Improbable Podría ocurrir en algún momento
1 Raro Puede ocurrir en circunstancias excepcionales

117
Anexo 6
Matriz de Evaluación Cualitativa
IMPACTO
Insignificante Menor Moderado Mayor Catastrófico

PROBABILIDAD
Casi seguro A A E E E
Probable M A A E E
Posible B M A E E
Improbable B B M A E
Raro B B M A A
NIVEL DE RIESGO
E Extremo Requieren acción inmediata de la alta dirección

A Alto Se necesita atención de la alta dirección
M Medio Definir responsabilidades gerenciales
B Bajo Aplicar procedimientos rutinarios

118
Anexo 7
Data de eventos de pérdida
La siguiente tabla muestra todos los campos que debe contener la base de datos de eventos de pérdida que deben ser
completados a partir del registro de eventos de pérdida.
10. Monto de
5. Jefatura 9. Monto 11. 13. Impacto 18. Evento de Riesgo
4. Proceso involucrado 6. Responsable 7. Causas de cobertura de pérdida 14. 16. Tipo de 17. 19. Incluido 20. Situación 23. Fecha de
1. Nº de 2. Descripción 3. Fecha de involucrada 8. Acciones estimado/ Real Pérdida 12. Impacto cualitativo 15. Nivel (según inventario) 21. Acciones a 22. Situación de la
la ocurrencia US$ Probabilidad de Evento de Categoria en la Matriz del Evento última
evento del Evento ocurrencia realizadas de pérdida real neta cuantitativo de Riesgo implementar implementación
4.1. 4.2. 5.2. 6.2 del evento 10.1 13.1 Riesgo Pérdida de Evento de Riesgos? de Pérdida actualización
5.1. Jefatura 6.1 Area US$ 10.2 Otros US$ Impacto Código Descripción
Proceso Subproceso Area Evento Seguro Nivel
En cada campo se debe registrar lo siguiente:
1. Nº de evento: Número de correlativo del evento de pérdida reportado.
2. Descripción del evento: Descripción resumida del evento de pérdida, indicar motivo, periodo ocurrido, otros.
3. Fecha de ocurrencia: Fecha de ocurrencia del evento de pérdida.
4. Proceso involucrado: Proceso y subproceso afectado por el evento de pérdida.

119
5. Jefatura involucrada: Jefatura o Gerencia a cargo del proceso involucrado en el evento de pérdida, así como el
nombre del área.
6. Responsable: Nombre del responsable del Área involucrada, así como el nombre de la persona encargada de realizar
la actividad donde ocurrió el evento de pérdida.
7. Causas de la ocurrencia del evento: Descripción numerada de las causas que originaron la ocurrencia del evento de
pérdida.
8. Acciones realizadas: Descripción numerada de las acciones realizadas al detectarse el evento de pérdida.
9. Monto estimado / real de pérdida US$: Monto real o estimado (en caso fuera necesario realizar investigaciones) del
evento de pérdida.
10. Monto de cobertura de pérdida US$:
1.1 Seguro: Monto de cobertura a ser recuperado mediante el seguro por causas de un evento de pérdida.
1.2 Otros: Monto a ser recuperado mediante mecanismos internos por causas de un evento de pérdida, así como
otros gastos ocasionados por recuperos.
11. Pérdida real neta US$: Diferencia entre el monto real/estimado de pérdida menos el monto de total de cobertura de
pérdida (seguro y otros).
12. Impacto cuantitativo: Calificación cuantitativa del evento de pérdida, utilizando niveles:
0: Sin impacto
120
1: Impacto menor
2: Impacto moderado
3: Impacto Mayor
13. Impacto cualitativo:
13.1 Nivel: Nivel o calificación de impacto cualitativo, considerando la posibilidad de ocurrencia futura del evento de
pérdida:
• 1: Impacto insignificante
• 2: Impacto menor
• 3: Impacto moderado
• 4: Impacto mayor
• 5: Impacto catastrófico
13.2 Impacto: Descripción de la calificación de impacto cualitativo.
14. Probabilidad de riesgo: Probabilidad de ocurrencia del evento de pérdida, considerando niveles de probabilidad:
1: Raro
2: Improbable
3: Posible
4: Probable
121
5: Casi seguro
15. Nivel de riesgo: Calificación del nivel de pérdida en base a la combinación de impacto cualitativo y probabilidad, se
consideran niveles:
B: Bajo
M: Medio
A: Alto
E: Extremo
16. Tipo de evento de pérdida: Código de tipo de evento de pérdida según categorización del Comité de Basilea (ver
Anexo 8).
17. Categoría de evento: Código de categoría del tipo de evento de pérdida según categorización del Comité de Basilea
(ver Anexo 8).
18. Evento de riesgo (según Categorías de Riesgos de Operación):
18.1 Código: Código del evento de riesgo según categorías de riesgos.
18.2 Descripción: Descripción del código del evento de riesgo según categorías de riesgos.
19. Incluido en la Matriz de Riesgos?: Señalar si se encuentra incluido el evento de pérdida en la matriz de riesgos,
señalar SI o NO.
20. Situación del evento de pérdida: Describir el estado de situación del evento de pérdida mediante lo siguiente:
122
Pendiente: si aún no se han concluido las investigaciones y se encuentra en proceso de investigación o definición.
Resuelto: si se han concluido las investigaciones y se ha determinado la pérdida real neta.
21. Acciones a implementar: Descripción numerada de acciones a ser implementadas con el fin de implementar o reforzar
los controles relacionados al evento de pérdida, además de las lecciones aprendidas.
22. Situación de la implementación: Descripción de la situación sobre la implementación de controles, señalar si se
encuentra:
IMP: Implementado
IPP: En proceso de implementación
NIM: No implementado
23. Fecha de última actualización: Registro de la fecha de última actualización del evento de pérdida.

123
Anexo 8
Tipos de eventos de pérdida
Tipo de Evento Definición Categorías Ejemplo de Actividades

(Nivel 1) (Nivel 2) (Nivel 3)
1. Fraude Pérdidas causadas por acciones 1. Actividad no 1. Transacciones no reportadas, (intencional)
interno que buscan defraudar, malversar autorizada 2. Tipo de transacción no autorizado, (con
activos o evadir regulaciones, la pérdida monetaria)
ley o las políticas de la entidad 3. Falsificar los precios al aplicar la valorización
(excluyendo eventos de a precios de mercado de la posición (“mismarking of
diversidad / discriminación) que position”)
involucran al menos una persona
al interior de ella. 2. Robo y 1. Fraude / fraude crediticio/ depósitos sin valor
fraude 2. Robo / extorsión / desfalco / asalto
3. Malversación de activos
4. Destrucción maliciosa de activos
5. Falsificación
6. Carrusel de cheques (“Check kiting”)
7. Contrabando
8. Toma de cuentas / sustitución de identidad
9. Incumplimiento tributario / evasión intencional
10. Soborno / “comisiones”
11. Tráfico de información privilegiada/ “Insider
trading” (no por cuenta de la entidad).
2. Fraude Pérdidas causadas por acciones 1. Robo y 1. Robo / asalto
externo que buscan defraudar, apropiarse fraude 2. Asalto
de activos o evadir la ley 3. Carrusel de cheques (“Check kiting”)
realizadas por terceros. 2. Seguridad de 1. Daño por hackeo
sistemas 2. Robo de información, con pérdida monetaria
124

(Nivel 1) de
3. Prácticas Pérdidas que resultan de: 1. (Nivel 2)
Relaciones 1. Compensación,(Nivel 3) separación
beneficio,
empleo y • actos inconsistentes con leyes con el personal 2. Actividades sindicales
seguridad y acuerdos laborales, de salud y
laboral seguridad
• pagos por lesiones personales 2. Ambiente 1. Responsabilidad general (resbalar y caer,
seguro etc.)
2. Eventos relacionados con reglas de salud y
seguridad del personal
3. Compensación por accidentes de trabajo
(“Workers compensation”)
• eventos de diversidad / 3. Diversidad y 1. Todos los tipos de discriminación
discriminación discriminación
4. Clientes, Pérdidas que resultan de: 1. 1. Incumplimiento fiduciario / violación de
productos y • fallas involuntarias o Conveniencia, políticas
prácticas de negligentes en el cumplimiento revelación y 2. Conveniencia / temas de revelación (“know
negocios de obligaciones profesionales con responsabilidad your customer”, etc.)
clientes específicos (incluyendo fiduciaria 3. Violaciones a las revelaciones sobre clientes
los requerimientos fiduciarios y (Suitability, minoristas
de suficiencia) Disclosure & 4. Violación de privacidad
Fiduciary) 5. Ventas agresivas
6. Excesiva actividad de compra y venta en la
cuenta de un cliente para generar comisiones
(“Account churning”)
7. Mal uso de información confidencial
8. Responsabilidad en la concesión del crédito
(“Lender Liability”)
• la naturaleza o diseño del 2. Prácticas de 1. Acciones antimonopolio
producto mercado o de 2. Prácticas de mercado / trading indebidas
negocios no 3. Manipulación del mercado
apropiadas 4. Insider trading (por cuenta de la entidad)
5. Actividades sin licencia
125

(Nivel 1) (Nivel 2) 6. (Nivel 3)
Lavado de dinero
3. Fallas de los 1. Defectos de los productos (no autorizados,
productos etc.)
2. Errores en los modelos
4. Selección, 1. No investigar a los clientes de acuerdo con
patrocinio y las políticas
exposición 2. Exceder los límites de exposición con los
clientes
5. Actividades 1. Disputas sobre la ejecución de actividades de
de asesoría asesoría
5. Daño a Pérdidas que resultan del 1. Desastres y 1. Pérdidas por desastres naturales
activos físicos extravío o daño a activos físicos otros eventos
2. Pérdidas humanas por causas externas
por desastres naturales u otros
(terrorismo, vandalismo)
eventos.
6. Interrupción Pérdidas que resultan de la 1. Sistemas 1. Hardware
de operaciones interrupción de operaciones y 2. Software
y fallas de fallas de sistemas 3. Telecomunicaciones
sistemas 4. Caída / interrupción de servicios públicos
7. Deficiencias Pérdidas que resultan de: 1. Captura de 1. Fallas en la comunicación
en la ejecución • fallas en el procesamiento de transacciones, 2. Error en ingreso de datos, mantenimiento o
de procesos, transacciones o gestión de ejecución y carga
procesamiento procesos mantenimiento 3. Incumplimiento de fechas límite
de operaciones, 4. Mala operación de modelos / sistemas
en relaciones 5. Error contable / error en la atribución de
con entidad
proveedores y 6. Otras tareas mal ejecutadas
otros 7. Falla en proporcionar el servicio
8. Falla en la gestión de colaterales
9. Mantenimiento de datos de referencias
2. Monitoreo y 1. Incumplimiento de entrega de información
reporte obligatoria
126

(Nivel 1) (Nivel 2) 2. (Nivel
Reportes externos 3)
imprecisos (se incurre en
pérdida)
3. Admisión y 1. Permisos de clientes / exoneraciones de
documentación de responsabilidad perdidos
clientes 2. Documentos legales perdidos o incompletos
4. Manejo de 1. Acceso no aprobado a las cuentas

cuentas de clientes 2. Registros de clientes incorrectos (se incurre
en pérdida)
3. Daño o pérdida de activos de clientes por
negligencia
• relaciones con contrapartes de 5. Contrapartes 1. Incumplimiento por una contraparte que no es
trading o proveedores de trading cliente
2. Otras disputas con contrapartes que no son
clientes
6. Proveedores 1. Tercerización
2. Disputas con proveedores
Fuente: Buenas prácticas para la supervisión y gestión del riesgo operativo

Elaboración: Comité de Basilea
127
Anexo 9
Información para la Unidad de Riesgo Operacional – Ejemplo
Fuente: IF
128
Anexo 10
Reporte de indicadores clave de riesgo - Ejemplo
Fuente: IF
129
Anexo 11
Top Risks - Ejemplo
Fuente: IF
130
Anexo 12
Reporte de evento de pérdida - Ejemplo
Fuente: IF
131
Anexo 13
Reporte de seguimiento a planes de acción - Ejemplo
Fuente: IF
132
Anexo 14
Reporte de observaciones de auditoría - Ejemplo
Fuente: IF
133
Anexo 15
Requisitos mínimos para el uso del método estándar alternativo
Las empresas que deseen emplear el método estándar alternativo deberán
cumplir con los siguientes requisitos:
a. El Directorio y la Gerencia General deben participar activamente en la
gestión del riesgo operacional.
b. La empresa debe contar con una función de gestión del riesgo operacional
cuyas responsabilidades se encuentren claramente especificadas, y que
consideren como mínimo los aspectos señalados en el Reglamento para la
Gestión del Riesgo Operacional.
c. La empresa debe contar con un programa de capacitación profesional
dirigido a perfeccionar los conocimientos, aptitudes y otras competencias del
personal especializado en la gestión del riesgo operacional.
d. La empresa debe contar con una metodología de gestión del riesgo
operacional que sea conceptualmente sólida y que se encuentre
implementada en su totalidad.
e. La empresa debe contar con recursos suficientes para aplicar su
metodología de gestión de riesgo operacional, tanto en sus principales áreas
de negocio como en sus áreas de apoyo y de control.

134
f. La empresa debe establecer reportes periódicos sobre su exposición al
riesgo operacional, que incluyan las pérdidas importantes ocurridas, dirigidos
a las gerencias de las unidades de negocio y de apoyo, gerencia general y al
Directorio. La empresa debe establecer procedimientos para tomar acciones
apropiadas según la información incluida en dichos reportes.
g. La empresa debe establecer procedimientos que permitan asegurar el
cumplimiento de su metodología de gestión del riesgo operacional, y debe
establecer políticas para tratar los casos de incumplimiento.
h. La empresa debe establecer incentivos monetarios y no monetarios a la
apropiada gestión del riesgo operacional, incluidos en el sistema de
evaluación de desempeño de la Gerencia y los principales participantes en
dicha gestión.
i. La empresa debe contar con una base de datos de eventos de pérdida por
riesgo operacional, con las características señaladas en la normativa vigente.
j. La empresa deberá implementar un sistema de gestión de la continuidad del
negocio conforme a la normativa vigente, que tenga como objetivo asegurar
un nivel aceptable de operatividad de sus procesos críticos, ante eventos que
puedan afectar la continuidad de sus operaciones.
k. La empresa deberá contar con un sistema de gestión de la seguridad de la
información conforme a la normativa vigente, orientado a garantizar la
integridad, confidencialidad y disponibilidad de su información.

135
l. La evaluación de la gestión del riesgo operacional deberá contar con una
revisión cuando menos anual, por parte de la Unidad de Auditoría Interna.
Estas revisiones deben considerar las actividades de las áreas de negocio y
de apoyo, así como la función de gestión del riesgo operacional, de acuerdo
a su plan de trabajo.
m. La evaluación de la gestión del riesgo operacional deberá contar con una
revisión independiente por parte de una Sociedad de Auditoría Externa, al
menos cada tres años. El informe independiente deberá ser realizado por
una empresa auditora distinta o un equipo completamente distinto del que
emitió el informe anual de evaluación de los estados financieros, sujetándose
a las disposiciones de rotación conforme con el reglamento de auditoria
externa.
Fuente: Artículo 8º del Reglamento para el requerimiento de patrimonio efectivo por

riesgo operacional
Elaboración: SBS
136
Anexo 16
Reporte de datos para cálculo de requerimiento de patrimonio efectivo por riesgo operacional – Extracto
Fuente: IF
137
Anexo 17
Anualización de saldos para cálculo de requerimiento de patrimonio
efectivo por riesgo operacional
La anualización se deberá aplicar a los saldos de las cuentas de ingresos y
gastos que se requieran para el cálculo del requerimiento de patrimonio efectivo
por riesgo operacional según los métodos del Indicador Básico y Estándar
Alternativo, conforme a lo establecido en la presente norma.
La fórmula es la siguiente:
Saldo anualizado (j, i) = Saldo (j,i) + Saldo (diciembre, i-1) – Saldo (j,i-1)
Donde:
j: mes
i: año
Así por ejemplo, si en julio de 2009, se desea calcular los márgenes
operacionales brutos correspondientes a los últimos 3 años bajo el método del
indicar básico, se deberán obtener previamente los saldos anualizados de las
cuentas contables señaladas en el artículo 5° del presente Reglamento, de la
siguiente manera:
Saldo anualizado (julio, 2009) = Saldo (julio, 2009) + Saldo (diciembre, 2008) –
Saldo (julio, 2008)
Saldo (julio, 2007)
Saldo (julio, 2006)
Fuente: Reglamento para el requerimiento de patrimonio efectivo por riesgo operacional

Elaboración: SBS
138
Anexo 18
Cuentas contables para calcular los indicadores de exposición de las
líneas de negocio
Indicador de exposición del “margen operacional bruto” para cálculo de

indicador básico
Composición del indicador Cuentas del Manual de

Contabilidad
(+) Ingresos
Ingresos financieros 5100
Ingresos por servicios 5200 + 5700

(-) Gastos
Gastos financieros 4100
Gastos por servicios 4200 + 4900
Líneas de negocio distintas a banca comercial y banca minorista
Para obtener los ingresos y gastos de los últimos 12 meses por cada línea de
negocio, deben sumarse los saldos anualizados de las siguientes cuentas del
Manual de Contabilidad, según corresponda a cada línea de negocio.
Ingresos
Línea de Negocio Cuentas Asociadas Cuentas del Manual

de Contabilidad
Finanzas Intereses por créditos sindicados 5104.01.01.13
corporativas Ing. por op. contingentes: 5201.08 + 5202.24
contratos de underwriting
Ing. por servicios financieros
diversos: suscripción y
colocaciones garantizadas de
valores
Ing. por servicios financieros 5202.15
diversos: asesoría financiera
Negociación y Intereses por disponibles 5101
ventas Intereses y comisiones por 5102 + 5107.02
fondos interbancarios
Ingresos por inversiones a valor 5103.01 + 5103.02 +
razonable con cambios en 5103.06
resultados y commodities
Diferencia de cambio 5108
139

de Contabilidad
Reajuste por indexación 5109.01
Ingresos por valorización de 5109.11 + 5109.12 +
inversiones a valor razonable 5109.15 + 5109.16 +
con cambios en resultados, 5109.17 + 5109.18
commodities, productos
financieros derivados y
obligaciones relacionadas con
inversiones negociables y a
vencimiento
Otros ingresos 5109.21 + 5109.24
Ingresos por servicios 5202.18 + 5202.19
financieros diversos:
compraventa de ME (spot y
futuro)
Ingresos por servicios 5202.25
financieros diversos: otros inst.
financieros derivados
Liquidación y Ingresos por servicios 5202.02
pagos financieros diversos: cobranzas
financieros diversos: giros
transferencias
financieros diversos: órdenes de
pago
financieros diversos: cobro de
tributos
Otros servicios Ingresos de cuentas por cobrar 5105
Comisiones por cuentas por 5107.05 + 5107.09
cobrar y otros
Otros ingresos financieros 5109.19
diversos
Ingresos por operaciones 5201.09
contingentes: litigios, demandas
pendientes y otras contingencias
Ingresos por servicios 5202.03+5202.13
financieros diversos: custodia
de valores, alquiler de cajas de
seguridad
Ingresos por servicios 5202.04 + 5202.05
fideicomisos y comisiones de
confianza
Ing. por servicios financieros 5202.14
diversos: estudios técnicos y
legales
140

de Contabilidad
compraventa de valores
financieros diversos: servicios
de caja
Otros ingresos por servicios 5202.29
financieros diversos
Ingresos por arrendamientos 5203
Ventas de bienes y servicios 5700
Gastos
Línea de Cuentas Asociadas Cuentas del

negocio Manual de
Contabilidad
Negociación y Intereses y fluctuación de 4101.05 + 4109.18
ventas obligaciones relacionadas con
inversiones negociables y a
vencimiento
Intereses por fondos interbancarios 4102
Comisiones por fondos 4107.02
interbancarios
Diferencia de cambio y rendimiento 4108 + 4109.02
aleatorio
Reajuste por indexación 4109.01
Gastos por valorización de 4109.11 + 4109.12
inversiones a valor razonable con + 4109.15
cambios en resultados y
commodities
Fluctuación de valor de productos 4109.16 + 4109.17
financieros derivados y otros + 4109.21 +
4109.24
Gastos por servicios financieros 4202.10 + 4202.11
diversos: compraventa de ME (spot y
futuro)
Gastos por servicios financieros 4202.25
diversos: otros instrumentos
financieros derivados
Para calcular los gastos de las demás líneas de negocio, se utilizará un factor de
ponderación por cada línea, que permitirá obtener un monto aproximado de los
gastos. Dicho factor se calculará de la siguiente manera:

141
Fi = Ii / TI
Donde:
Fi : Factor de ponderación de la línea i
Ii : Ingresos anualizados de la línea i, según distribución de cuentas
contables señalada en la sección anterior.
TI : Total de ingresos calculados de la siguiente forma: Ingresos
financieros (cuenta 5100) más los ingresos por servicios (cuentas 5200 + 5700)
menos los ingresos de la línea Negociación y ventas. Se utilizarán los saldos
anualizados de las cuentas contables señaladas.
Para estimar los gastos de cada línea, se aplicará la siguiente fórmula:
Gi = Fi * TG
Donde:
Gi : Gastos anualizados de la línea i
Fi : Factor de ponderación de la línea i
TG : Total de gastos calculados de la siguiente forma: gastos
financieros (cuenta 4100) más gastos por servicios (4200 + 4900) menos los
gastos de la línea Negociación y ventas. Se utilizarán los saldos anualizados de
las cuentas contables señaladas.
Banca comercial
Banca Comercial Cuentas

Créditos Comerciales 1401.01+ 1403.01 + 1404.01 + 1405.01+ 1406.01
1401.01.13 + 1404.01.13 + 1405.01.13 +

Menos Sindicados
1405.01.19.13 + 1406.01.13 + 1406.01.19.13
2901.01 + 2901.02 + 2901.04.01.01 +
Menos Ingresos
2901.04.01.04 + 2901.04.03.01 + 2901.04.03.04 +
Diferidos
2901.04.04.01 + 2901.04.04.04 + 2901.04.05.01 +
2901.04.05.04 + 2901.04.06.01 + 2901.04.06.04
142
Banca Comercial Cuentas

Más Inversiones
Disponibles para la
1303+1304+1305
Venta e Inversiones a
Vencimiento
Más Inversiones en
1700
Subsidiarias y Asociadas
Banca minorista
Banca Minorista Cuentas

Créditos MES, Consumo
1401 - 1401.01+ 1403 - 1403.01 + 1404 - 1404.01
e Hipotecarios para
+ 1405 - 1405.01+ 1406 - 1406.01
Vivienda
2901.04 - 2901.04.01.01 - 2901.04.01.04 -
Menos Ingresos
2901.04.03.01 - 2901.04.03.04 - 2901.04.04.01 -
Diferidos
2901.04.04.04 - 2901.04.05.01 - 2901.04.05.04 -
2901.04.06.01 - 2901.04.06.04
Fuente: Reglamento para el requerimiento de patrimonio efectivo por riesgo operacional

Elaboración: SBS
143
Anexo 19
Resumen del cálculo de requerimiento de patrimonio efectivo por riesgo operacional
Fuente: IF
144
Anexo 20
Reporte de Requerimiento de Patrimonio Efectivo por Riesgo Operacional – Formato SBS
Fuente: IF
145
Anexo 21
Experiencias relacionadas al presente informe
Adicionalmente a los estándares y regulación indicados, se utilizó como
referencia, la experiencia práctica tomada de algunos trabajos realizados
como parte del desempeño profesional, donde también se aplicó el
estándar COSO ERM y la regulación vigente en materia de gestión de
riesgo operacional. Estos trabajos, fueron desarrollados en el campo de la
consultoría en empresas del sector financiero en Perú y Ecuador, y
recientemente como responsable de la gestión de riesgo operacional de
un banco en Perú. En todos ellos, se aplicó el estándar COSO ERM,
Basilea 2, el enfoque por procesos, y la regulación correspondiente en
materia de gestión de riesgos, los cuales, se describen brevemente a
continuación:
• Caja Municipal de Ahorro y Crédito de Ica, donde se realizaron los
trabajos de consultoría en “Mejoramiento Integral de Procesos” e
“Implementación de la Gestión de Riesgo Operacional y Riesgo de
Tecnología de Información”, que incluyó diagnóstico
organizacional, manuales de políticas y procedimientos; rediseño
organizacional con manuales de organización y funciones, además
del diseño e implementación de la Unidad de Riesgo Operacional,
metodología, políticas y procedimientos basados en COSO ERM, la
regulación peruana y Basilea 2, vigentes al año 2004. El proyecto
tuvo una duración de un año.

146
• Caja Rural de Ahorro y Crédito Profinanzas, donde se realizó el
trabajo de consultoría en “Análisis y Rediseño de Procesos, con
requerimientos funcionales para todas las áreas del nuevo
sistema”, lo cual incluyó un diagnóstico integral de procesos
enfocado en riesgos, rediseño y mejoramiento de los procesos,
identificando las necesidades de automatización y definiendo los
requerimientos funcionales para el nuevo sistema de información
principal. En este trabajo, se aplicó la metodología de gestión por
procesos con enfoque en riesgos, desarrollada para la firma
consultora en un periodo de diez meses durante el año 2006.
• Administradora de Fondos y Fideicomisos del Banco de Guayaquil
– Ecuador. Trabajo de consultoría realizado en cinco meses a
finales del año 2006 y primer trimestre del 2007, denominado
“Asistencia en la Documentación de Procesos, Análisis de Riesgos
del Negocio y Gestión de Riesgos Operativos en los Procesos de la
Administradora de Fondos y Fideicomisos del Banco de
Guayaquil”. Esto, incluyó documentación de los procesos aplicando
un modelo de Gestión por Procesos basado en las cadenas de
valor desde el primer nivel de los mega / macroprocesos hasta los
procesos de piso; un análisis de los riesgos de negocio que afectan
los objetivos estratégicos, y, la metodología de gestión de riesgos
operativos aplicando COSO ERM.

147
• Caja Rural de Ahorro y Crédito CREDINKA, donde se dictaron
charlas y desarrollaron talleres de aplicación práctica para la
adecuación de la metodología de gestión de riesgo operacional al
estándar COSO ERM, en un lapso de 6 meses durante el año
2008.
• HSBC Bank Perú, donde se implementó la gestión de riesgo
operacional conforme a la metodología de la casa matriz y en
cumplimiento con la regulación peruana. El trabajo se inició en
Febrero 2007, realizando un análisis de brechas respecto a la
regulación peruana y la metodología de la casa matriz. Dado que el
banco inició operaciones desde cero (“start-up”) en Octubre 2006,
se diseñó e implementó un plan a mediano plazo para implementar
y mantener el cumplimiento de la metodología de gestión de riesgo
operacional del banco en todas las áreas, dirigiendo y gestionando
las actividades de riesgo operacional. Esto permitió que en Agosto
2009, la SBS otorgue al banco, la autorización para la aplicación
del método estándar alternativo para el cálculo del requerimiento
de capital regulatorio según Basilea II, con consecuente ahorro de
capital desde el inicio de la nueva regulación en Julio 2009.

Velezmoro Latorre Oscar Modelo Gestion

Cargado por

Copyright:

Formatos disponibles

Velezmoro Latorre Oscar Modelo Gestion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Velezmoro Latorre Oscar Modelo Gestion

Cargado por

Copyright:

Formatos disponibles

FACULTAD

Memoria de Desempeño Profesional para optar el título de

MODELO DE GESTIÓN DE RIESGO OPERACIONAL EN

Oscar Alejandro Velezmoro La Torre

Asesor: Profesor Jorge García Paz

San Miguel, Junio del 2010

A mi familia por su constante motivación, afecto y

Para los señores Javier Rodriguez y Marco Loayza

El presente documento tiene como propósito dar a conocer un modelo de

gestión de riesgo operacional bajo el enfoque de gestión integral de

riesgos COSO ERM, para ayudar a prevenir y reducir los niveles de

Para su desarrollo, se eligió una Institución Financiera del sector de las

microfinanzas, dado que el graduando, realizó un trabajo de consultoría

para adaptar su metodología de gestión de riesgo operacional al estándar

COSO ERM. Adicionalmente, se han tomado como referencia otras cuatro

experiencias profesionales donde también se aplicó este estándar.

La Memoria, se presenta a manera de Informe y consta de cinco

El capítulo 1, muestra el diagnóstico organizacional de la Institución

Financiera al cierre del 2009.

El capítulo 2, muestra un resumen del marco teórico que incluye el COSO

ERM, Basilea 2, regulación de la SBS en materia de riesgo operacional y

gestión integral de riesgos, con varias referencias bibliográficas a fin de

que el lector pueda ampliar lo expuesto y profundizar en otros aspectos

fuera del alcance de este informe.

El capítulo 3, describe la aplicación práctica desarrollada en la Institución

Financiera por cada uno de los componentes del COSO ERM.

El capítulo 4, indica los beneficios de aplicar la gestión de riesgo

operacional bajo un enfoque integral, y el impacto cuantitativo medido en

términos de ahorro de capital regulatorio.

El capítulo 5, presenta las conclusiones y recomendaciones a las que se

llegó al culminar el informe.

Además, incluye un glosario de términos utilizados y, anexos a modo de

ejemplos para comprender mejor lo desarrollado.

Finalmente, dado que el informe es el resultado de la experiencia

profesional del graduando, pretende ser un aporte a la comunidad

universitaria y ser objeto de inspiración para otros trabajos relacionados a

Capítulo I: Diagnóstico organizacional de la Institución

1.1. Naturaleza del negocio 6

Capítulo II: Marco Teórico para la Gestión del Riesgo

Operacional bajo un Enfoque de Gestión Integral de

Capítulo III: Actividades desarrolladas en la Institución

Financiera para aplicar la Gestión de Riesgo Operacional

bajo Enfoque COSO ERM

3.1. Elementos del Ambiente Interno 50

Capítulo IV: Evaluación del impacto del aporte realizado

4.1. Status de la problemática de la gestión de riesgo 78

Capítulo V: Conclusiones y Recomendaciones

Tabla 1.1: Número de Trabajadores a Diciembre 2009 12

Figura 1.1: Organigrama de la IF 13

La implementación de una Gestión de Riesgo Operacional integrada

permitirá a la Institución Financiera (IF) controlar a un nivel razonable los

riesgos operacionales, monitorearlos y estar adecuadamente preparados

situaciones que pueden incrementar su exposición.

La IF necesita diseñar e implementar un modelo o metodología de gestión

de riesgo operacional bajo un enfoque de gestión integral de riesgos

COSO ERM, por cumplimiento regulatorio, caso contrario puede ser

objeto de sanciones y/o multas.

Permitirá a la IF, reducir las pérdidas por riesgo operacional, por la

implementación de acciones correctivas y preventivas, además de

La IF logrará obtener la autorización de la Superintendencia de Banca,