Norma Legal Oficial del día 08 de enero del año 2002 (08/01/2002)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 30
Pag. 215284
NORMAS LEGALES
MORDAZA, martes 8 de enero de 2002
bien su responsabilidad el velar por el cumplimiento de las referidas politicas y procedimientos y de las disposiciones contenidas en el presente Reglamento. Correspondera a la Gerencia General la implementacion de las politicas y procedimientos generales establecidos por el Directorio. Unidad de riesgos Articulo 5º.- De conformidad con lo dispuesto en el Reglamento del Sistema de Control Interno, la Unidad de Riesgos sera la encargada de la administracion de los riesgos de operacion que enfrenta la empresa, pudiendo comprender a alguna unidad especializada para la evaluacion de dicho riesgo. Asimismo, para dicho fin, la unidad de riesgos o, de ser el caso, la unidad especializada, debera contar con la infraestructura adecuada, asi como con los recursos humanos, tecnicos y logisticos que le permitan el apropiado cumplimiento de sus funciones, de acuerdo a la dimension y estructura de la empresa, la naturaleza de sus operaciones y servicios y la complejidad de los mismos. Entre las funciones de la referida unidad responsable se incluiran por lo menos las siguientes: a. Preparacion y evaluacion de politicas para la administracion de los riesgos de operacion. b. Desarrollo de metodologias para la evaluacion cuantitativa y/o cualitativa de los riesgos de operacion. c. Evaluacion de los riesgos de operacion, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informatico. d. Consolidacion y desarrollo de reportes e informes sobre la administracion de los riesgos de operacion por MORDAZA, o unidades de negocio y apoyo. e. Identificacion de las necesidades de capacitacion y difusion para una adecuada administracion de los riesgos de operacion. f. Otras necesarias para el desarrollo de su funcion. Manual de organizacion y funciones Articulo 6º.- De conformidad con las disposiciones contenidas en la presente MORDAZA y en el Reglamento del Sistema de Control Interno, la empresa debera disponer de una estructura organizacional y administrativa que le permita una adecuada administracion de los riesgos de operacion. Dicha estructura debera establecerse de manera que exista independencia entre la unidad de riesgos y aquellas otras unidades de negocio, asi como una MORDAZA delimitacion de funciones, responsabilidades y perfil de puestos en todos sus niveles. Estos aspectos deberan encontrarse recogidos en el manual de organizacion y funciones de la empresa. Manuales de politicas y procedimientos Articulo 7º.- Las politicas y procedimientos establecidos para la administracion de los riesgos de operacion deberan estar claramente definidos en los manuales de politicas y procedimientos; asimismo, deberan ser consistentes con el tamano y naturaleza de la empresa y con la complejidad de sus operaciones y servicios. Manual de control de riesgos Articulo 8º.- El manual de control de riesgos debera contener una seccion especial sobre los riesgos de operacion. Dicha seccion debera contemplar por lo menos los siguientes aspectos: a. Politicas para la administracion de los riesgos de operacion. b. Funciones y responsabilidades de las unidades de negocio y de apoyo en la administracion de los riesgos de operacion. c. Descripcion de la metodologia aplicada para la medicion y evaluacion de los riesgos de operacion. d. La forma y periodicidad con la que se debera informar al Directorio y a la Gerencia General, entre otros, sobre la exposicion a los riesgos de operacion de la empresa y de cada unidad de negocio. e. El MORDAZA para la aprobacion de propuestas de nuevas operaciones, productos y servicios que debera contar,
entre otros aspectos, con una descripcion general de la nueva operacion, producto o servicio de que se trate, los riesgos identificados y las acciones a tomar para su control. CAPITULO II ADMINISTRACION DE LOS ASPECTOS QUE ORIGINAN LOS RIESGOS DE OPERACION Procesos internos Articulo 9º.- Las empresas deberan administrar apropiadamente los riesgos asociados a los procesos internos implementados para la realizacion de sus operaciones y servicios, de tal forma que se minimice la posibilidad de perdidas financieras relacionadas al diseno inapropiado de los procesos criticos, o a politicas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspension de los mismos. En tal sentido, podran considerarse entre otros, los riesgos asociados a las fallas en los modelos utilizados, los errores en las transacciones, la evaluacion inadecuada de contratos o de la complejidad de productos, operaciones y servicios, los errores en la informacion contable, la inadecuada compensacion, liquidacion o pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada documentacion de transacciones, asi como el incumplimiento de plazos y costos planeados. Tecnologia de informacion Articulo 10º.- Las empresas deberan administrar apropiadamente los riesgos asociados a la tecnologia de informacion, de tal modo que se minimice la posibilidad de perdidas financieras derivadas del uso de inadecuados sistemas informaticos y tecnologias relacionadas a ellos, que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al atentar contra la confidencialidad, integridad y disponibilidad de la informacion. Para este fin, las empresas podran considerar los riesgos vinculados a las fallas en la seguridad y continuidad operativa de los sistemas informaticos, los errores en el desarrollo e implementacion de dichos sistemas y la compatibilidad e integracion de los mismos, problemas de calidad de informacion, la inadecuada inversion en tecnologia, asi como las fallas en la adecuacion a los objetivos del negocio, entre otros aspectos. Personas Articulo 11º.- Las empresas deben administrar apropiadamente los riesgos asociados a las personas de la empresa, de tal modo que se minimice la posibilidad de perdidas financieras asociadas a inadecuada capacitacion del personal, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiacion de informacion sensible, MORDAZA de dinero y similares. Eventos externos Articulo 12º.- Las empresas deberan considerar en la administracion de los riesgos de operacion la posibilidad de perdidas derivada de la ocurrencia de eventos ajenos al control de la empresa que pudiesen alterar el desarrollo de sus actividades, afectando los aspectos que dan origen a los riesgos de operacion referidos en los Articulos 9º, 10º y 11º del presente Reglamento. En tal sentido, entre otros factores, se podran tomar en consideracion los riesgos que implican las contingencias legales, las fallas en los servicios publicos, la ocurrencia de desastres naturales, atentados y actos delictivos, asi como las fallas en servicios criticos provistos por terceros. CAPITULO III REQUERIMIENTOS DE INFORMACION Informe anual a la Superintendencia Articulo 13º.- Las empresas deberan presentar a la Superintendencia, dentro de los noventa (90) dias calendario siguientes al cierre de cada ejercicio anual, un informe referido a la evaluacion de los riesgos de operacion que en-