TEXTO PAGINA: 49
NORMAS LEGALES El Peruano Lima, viernes 11 de enero de 2008 363707 grado, según se analice la totalidad de la empresa, una línea de negocio, un proceso o una unidad organizativa. La empresa podrá contar con una descomposición propia, que se adapte a su organización, pero ella debe considerar los principales elementos descritos a continuación: a) Ambiente interno.- Que comprende, entre otros, los valores éticos, la idoneidad técnica y moral de sus funcionarios; la estructura organizacional; y las condiciones para la asignación de autoridad y responsabilidades. b) Establecimiento de objetivos.- Proceso por el que se determinan los objetivos empresariales, los cuales deben encontrarse alineados a la visión y misión de la empresa, y ser compatibles con la tolerancia al riesgo y el grado de exposición al riesgo aceptado. c) Identifi cación de riesgos.- Proceso por el que se identifi can los riesgos internos y externos que pueden tener un impacto negativo sobre los objetivos de la empresa. Entre otros aspectos, considera la posible interdependencia entre eventos, así como los factores infl uyentes que los determinan. d) Evaluación de riesgos .- Proceso por el que se evalúa el riesgo de una empresa, actividad, conjunto de actividades, área, portafolio, producto o servicio; mediante técnicas cualitativas, cuantitativas o una combinación de ambas. e) Tratamiento.- Proceso por el que se opta por aceptar el riesgo, disminuir la probabilidad de ocurrencia, disminuir el impacto, transferirlo total o parcialmente, evitarlo, o una combinación de las medidas anteriores, de acuerdo al nivel de tolerancia al riesgo defi nido. f) Actividades de control.- Proceso que busca asegurar que las políticas, estándares, límites y procedimientos para el tratamiento de riesgos son apropiadamente tomados y/o ejecutados. Las actividades de control están preferentemente incorporadas en los procesos de negocio y las actividades de apoyo. Incluye los controles generales así como los de aplicación a los sistemas de información, además de la tecnología de información relacionada. Buscan la efi cacia y efectividad de las operaciones de la empresa, la confi abilidad de la información fi nanciera u operativa, interna y externa, así como el cumplimiento de las disposiciones legales que le sean aplicables. g) Información y comunicación .- Proceso por el que se genera y transmite información apropiada y oportuna a la dirección, la gerencia, el personal, así como a interesados externos tales como clientes, proveedores, accionistas y reguladores, entre ellos esta Superintendencia. Esta información es interna y externa, y puede incluir información de gestión, fi nanciera y operativa. h) Monitoreo.- Proceso que consiste en la evaluación del adecuado funcionamiento de la Gestión Integral de Riesgos y la implementación de las modifi caciones que sean requeridas. El monitoreo debe realizarse en el curso normal de las actividades de la empresa, y complementarse por evaluaciones independientes o una combinación de ambas. Incluye el reporte de las defi ciencias encontradas y su corrección. Artículo 5º.- Tipos de riesgosLos riesgos pueden surgir por diversas fuentes, internas o externas, y pueden agruparse en diversas categorías o tipos. Algunos riesgos pueden encontrarse asociados a una actividad en particular, como en el proceso de inversión, que se encuentra expuesto a riesgos de crédito, de mercado, de operación, entre otros. A continuación se enumera una lista no limitativa de los diversos tipos de riesgos a que está expuesta una empresa: a) Riesgo de crédito La posibilidad de pérdidas por la imposibilidad o falta de voluntad de los deudores o contrapartes, o terceros obligados para cumplir completamente sus obligaciones contractuales registradas dentro o fuera del balance general. b) Riesgo estratégico La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor. c) Riesgo de liquidezLa posibilidad de pérdidas por incumplir con los requerimientos de fi nanciamiento y de aplicación de fondos que surgen de los descalces de fl ujos de efectivo, así como por no poder cerrar rápidamente posiciones abiertas, en la cantidad sufi ciente y a un precio razonable. d) Riesgo de mercadoLa posibilidad de pérdidas en posiciones dentro y fuera de balance derivadas de fl uctuaciones en los precios de mercado. e) Riesgo operacional La posibilidad de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta defi nición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación . f) Riesgo de seguroLa posibilidad de pérdidas por las bases técnicas o actuariales empleadas en el cálculo de las primas y de las reservas técnicas de los seguros, insufi ciencia de la cobertura de reaseguros, así como el aumento inesperado de los gastos y de la distribución en el tiempo de los siniestros. Se le conoce también como riesgo técnico. g) Riesgo de reputaciónLa posibilidad de pérdidas por la disminución en la confi anza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización. Artículo 6º.- Prácticas cuestionablesLa empresa deberá establecer los sistemas internos apropiados que faciliten la oportuna denuncia e investigación de las actividades ilícitas, fraudulentas, identifi cadas por cualquier trabajador de la empresa o por alguna persona que interactúa con ésta. Dichas actividades deberán ser reportadas a la unidad de auditoría interna, para lo cual la empresa implementará procedimientos que permitan mantener la confi dencialidad del denunciante. En el caso de que los hechos sean signifi cativos, la unidad de auditoría interna deberá informar al Comité de Auditoría y a la Superintendencia. Artículo 7º.- Relación de la Gestión Integral de Riesgos y el Control Interno La Gestión Integral de Riesgos incluye al control interno del que es parte integral. La Gestión Integral de Riesgos expande y desarrolla los conceptos de control interno en una forma más amplia y sólida, con un mayor énfasis en el riesgo. El objetivo de confi abilidad en la información fi nanciera del control interno se encuentra principalmente referido a la confi abilidad de los estados fi nancieros. En la Gestión Integral de Riesgos, este objetivo es expandido para incluir todos los reportes e informes generados por las empresas, tanto internos como externos. Entre ellos los usados por la Dirección y la Gerencia, aquellos enviados a terceros, información entregada a los reguladores, así como a accionistas y otros grupos de interés. El alcance también incorpora la información no fi nanciera. De acuerdo a lo indicado en el artículo 3º, una nueva categoría de objetivos referidos a la estrategia, y las categorías de objetivos referidos a las operaciones, información y cumplimiento deben encontrarse alineados a la estrategia. La Gestión Integral de Riesgos es aplicada también en la selección de objetivos. CAPÍTULO III EL DIRECTORIO Y LA GERENCIA Artículo 8º.- Responsabilidad del Directorio El Directorio es responsable de establecer una gestión integral de riesgos y de propiciar un ambiente interno que facilite su desarrollo adecuado. Entre sus responsabilidades específi cas están: a) Aprobar las políticas generales que guíen las actividades de la empresa en la gestión de los diversos riesgos que enfrenta. b) Seleccionar una plana gerencial con idoneidad técnica y moral, que actúe de forma prudente y apropiada en el desarrollo de sus negocios y operaciones, así como en el cumplimiento de sus responsabilidades.