TEXTO PAGINA: 30
Pág. 215284 NORMAS LEGALES Lima, martes 8 de enero de 2002 bién su responsabilidad el velar por el cumplimiento de las referidas políticas y procedimientos y de las dispo- siciones contenidas en el presente Reglamento. Corres- ponderá a la Gerencia General la implementación de las políticas y procedimientos generales establecidos por el Directorio. Unidad de riesgos Artículo 5º.- De conformidad con lo dispuesto en el Re- glamento del Sistema de Control Interno, la Unidad de Ries- gos será la encargada de la administración de los riesgos de operación que enfrenta la empresa, pudiendo compren- der a alguna unidad especializada para la evaluación de dicho riesgo. Asimismo, para dicho fin, la unidad de riesgos o, de ser el caso, la unidad especializada, deberá contar con la infraestructura adecuada, así como con los recursos humanos, técnicos y logísticos que le permitan el apro- piado cumplimiento de sus funciones, de acuerdo a la dimensión y estructura de la empresa, la naturaleza de sus operaciones y servicios y la complejidad de los mis- mos. Entre las funciones de la referida unidad responsable se incluirán por lo menos las siguientes: a. Preparación y evaluación de políticas para la admi- nistración de los riesgos de operación. b. Desarrollo de metodologías para la evaluación cuan- titativa y/o cualitativa de los riesgos de operación. c. Evaluación de los riesgos de operación, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático. d. Consolidación y desarrollo de reportes e informes sobre la administración de los riesgos de operación por proceso, o unidades de negocio y apoyo. e. Identificación de las necesidades de capacitación y difusión para una adecuada administración de los riesgos de operación. f. Otras necesarias para el desarrollo de su función. Manual de organización y funciones Artículo 6º.- De conformidad con las disposiciones con- tenidas en la presente norma y en el Reglamento del Sis- tema de Control Interno, la empresa deberá disponer de una estructura organizacional y administrativa que le per- mita una adecuada administración de los riesgos de ope- ración. Dicha estructura deberá establecerse de manera que exista independencia entre la unidad de riesgos y aque- llas otras unidades de negocio, así como una clara delimi- tación de funciones, responsabilidades y perfil de puestos en todos sus niveles. Estos aspectos deberán encontrarse recogidos en el manual de organización y funciones de la empresa. Manuales de políticas y procedimientos Artículo 7º.- Las políticas y procedimientos esta- blecidos para la administración de los riesgos de ope- ración deberán estar claramente definidos en los ma- nuales de políticas y procedimientos; asimismo, debe- rán ser consistentes con el tamaño y naturaleza de la empresa y con la complejidad de sus operaciones y servicios. Manual de control de riesgos Artículo 8º.- El manual de control de riesgos deberá contener una sección especial sobre los riesgos de opera- ción. Dicha sección deberá contemplar por lo menos los siguientes aspectos: a. Políticas para la administración de los riesgos de ope- ración. b. Funciones y responsabilidades de las unidades de negocio y de apoyo en la administración de los riesgos de operación. c. Descripción de la metodología aplicada para la medi- ción y evaluación de los riesgos de operación. d. La forma y periodicidad con la que se deberá infor- mar al Directorio y a la Gerencia General, entre otros, so- bre la exposición a los riesgos de operación de la empresa y de cada unidad de negocio. e. El proceso para la aprobación de propuestas de nue- vas operaciones, productos y servicios que deberá contar,entre otros aspectos, con una descripción general de la nueva operación, producto o servicio de que se trate, los riesgos identificados y las acciones a tomar para su con- trol. CAPITULO II ADMINISTRACION DE LOS ASPECTOS QUE ORIGINAN LOS RIESGOS DE OPERACION Procesos internos Artículo 9º.- Las empresas deberán administrar apro- piadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios, de tal forma que se minimice la posibilidad de pér- didas financieras relacionadas al diseño inapropiado de los procesos críticos, o a políticas y procedimientos inadecua- dos o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. En tal sentido, podrán considerarse entre otros, los riesgos asociados a las fallas en los modelos utiliza- dos, los errores en las transacciones, la evaluación in- adecuada de contratos o de la complejidad de produc- tos, operaciones y servicios, los errores en la informa- ción contable, la inadecuada compensación, liquidación o pago, la insuficiencia de recursos para el volumen de operaciones, la inadecuada documentación de transac- ciones, así como el incumplimiento de plazos y costos planeados. Tecnología de información Artículo 10º.- Las empresas deberán administrar apropiadamente los riesgos asociados a la tecnología de información, de tal modo que se minimice la posibi- lidad de pérdidas financieras derivadas del uso de in- adecuados sistemas informáticos y tecnologías relacio- nadas a ellos, que pueden afectar el desarrollo de las operaciones y servicios que realiza la empresa al aten- tar contra la confidencialidad, integridad y disponibili- dad de la información. Para este fin, las empresas podrán considerar los ries- gos vinculados a las fallas en la seguridad y continuidad operativa de los sistemas informáticos, los errores en el desarrollo e implementación de dichos sistemas y la com- patibilidad e integración de los mismos, problemas de cali- dad de información, la inadecuada inversión en tecnología, así como las fallas en la adecuación a los objetivos del negocio, entre otros aspectos. Personas Artículo 11º.- Las empresas deben administrar apro- piadamente los riesgos asociados a las personas de la em- presa, de tal modo que se minimice la posibilidad de pérdi- das financieras asociadas a inadecuada capacitación del personal, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, lava- do de dinero y similares. Eventos externos Artículo 12º.- Las empresas deberán considerar en la administración de los riesgos de operación la posibilidad de pérdidas derivada de la ocurrencia de eventos ajenos al control de la empresa que pudiesen alterar el desarrollo de sus actividades, afectando los aspectos que dan origen a los riesgos de operación referidos en los Artículos 9º, 10º y 11º del presente Reglamento. En tal sentido, entre otros factores, se podrán tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servi- cios públicos, la ocurrencia de desastres naturales, aten- tados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. CAPITULO III REQUERIMIENTOS DE INFORMACION Informe anual a la Superintendencia Artículo 13º.- Las empresas deberán presentar a la Su- perintendencia, dentro de los noventa (90) días calendario siguientes al cierre de cada ejercicio anual, un informe re- ferido a la evaluación de los riesgos de operación que en-