Norma Legal Oficial del día 20 de diciembre del año 2015 (20/12/2015)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 80
569190
NORMAS LEGALES
Domingo 20 de diciembre de 2015 /
El Peruano
del personal, fallas tecnológicas o por eventos externos. El riesgo operacional incluye el riesgo legal. No constituye riesgo operacional el riesgo estratégico y el de reputación. Artículo 15.FACTORES DE RIESGO OPERACIONAL a) Personal: La Entidad debe gestionar los riesgos asociados a su personal como: la inadecuada capacitación, negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiación de información sensible, alta rotación, concentración de funciones, entre otros. b) Procesos internos: La Entidad debe gestionar apropiadamente los riesgos asociados a los procesos internos implementados para la realización de sus operaciones y servicios. Estos riesgos están relacionados con el diseño inapropiado de los procesos, políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos. c) Tecnología: Las entidades deben contar con la tecnología de información que garantice la captura, procesamiento, almacenamiento y transmisión de la información de manera oportuna y confiable; evitar interrupciones del negocio y lograr que la información sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones. d) Eventos Externos: Las entidades deben gestionar los riesgos de pérdidas derivadas de la ocurrencia de eventos ajenos al control de la entidad que pueden alterar el desarrollo de sus actividades. Se deben tomar en consideración los riesgos que implican las contingencias legales, las fallas en los servicios públicos, la ocurrencia de desastres naturales, atentados y actos delictivos, así como las fallas en servicios críticos provistos por terceros. Artículo 16.- EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL Las entidades deben identificar los eventos de riesgo operacional agrupándolos de la siguiente manera, tal como se amplía en el Anexo del presente reglamento: a) Fraude interno.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, leyes o políticas internas en las que se encuentran implicados empleados de la entidad, y que tiene como fin obtener un beneficio ilícito. b) Fraude externo.- Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de un activo indebidamente o incumplir la legislación, por parte de un tercero, con el fin de obtener un beneficio ilícito. c) Relaciones laborales y seguridad en el puesto de trabajo.- Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, sobre salud o seguridad en el trabajo, el pago de reclamos por daños personales, o casos relacionados con la diversidad o discriminación. d) Prácticas relacionadas con los clientes, los productos y el negocio.- Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación frente a clientes o generadas por la deficiencia en el producto o servicio. e) Daños a activos físicos.- Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos. f) Interrupción del negocio por fallas en la tecnología de información.- Pérdidas derivadas de interrupciones en el negocio y de fallas en los sistemas. g) Deficiencia en la ejecución, entrega y gestión de procesos.- Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes (proveedores, clientes, etc.). La identificación de los eventos de pérdida puede agruparse de acuerdo con las operaciones de la Entidad, conforme al Anexo del presente Reglamento. Artículo 17.- METODOLOGÍA La metodología definida por la Entidad para la gestión del riesgo operacional deberá considerar los elementos señalados en el artículo 5 del presente reglamento. Asimismo, deberá cumplir con los requisitos descritos a continuación: a) La metodología debe ser implementada en toda la Entidad en forma consistente.
b) La Entidad debe asignar recursos suficientes para aplicar su metodología en sus operaciones y en los procesos de control y de apoyo. c) La aplicación de la metodología debe estar integrada a los procesos de gestión de riesgos de la Entidad. d) La aplicación de la metodología de gestión del riesgo operacional debe estar adecuadamente documentada. e) Deben establecerse procedimientos que permitan asegurar el cumplimiento de su metodología de gestión del riesgo operacional. CAPÍTULO I OTRAS DISPOSICIONES SOBRE LA GESTIÓN DE RIESGO OPERACIONAL Artículo 18.- PLAN DE CONTINUIDAD DE NEGOCIOS Y SEGURIDAD DE LA INFORMACIÓN. Como parte de una adecuada gestión del riesgo operacional, las Entidades deben implementar un sistema de gestión de la continuidad del negocio, mediante el conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar las operaciones en caso de interrupción. Tendrá como objetivo principal brindar respuestas efectivas para que la operatividad del negocio continúe de una manera razonable, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en sus operaciones. Asimismo, deben contar con un sistema de gestión de la seguridad de la información, orientado a garantizar la integridad, confidencialidad y disponibilidad de la información mediante la adecuada combinación de políticas, procedimientos, controles, estructura organizacional y herramientas informáticas especializadas. Artículo 19.- BASES DE DATOS DE EVENTOS DE PÉRDIDA La gestión del riesgo operacional constituye un proceso continuo y permanente, siendo necesario que la Entidad elabore bases de datos para cumplir, al menos, los siguientes criterios: a) Registrar los eventos de pérdida originados en toda la Entidad, para lo cual se diseñarán políticas, procedimientos de captura y entrenamiento al personal que interviene en el proceso. b) Registrar la siguiente información referida al evento y a las pérdidas asociadas: - Código de identificación del evento (asignado por la entidad, registro sistemático). - Tipo de evento de pérdida (según tipos de eventos señalados en el Anexo del presente Reglamento). - Operaciones - Descripción del evento. - Proceso o área a la que pertenece el evento. - Fecha de ocurrencia o de inicio del evento. - Fecha de descubrimiento del evento. - Fecha de registro contable del evento. - Monto(s) bruto(s) de la(s) pérdida(s), moneda y tipo de cambio. - Monto(s) recuperado(s) mediante coberturas existentes de forma previa al evento, moneda y tipo de cambio y tipo de cobertura aplicada. - Monto total recuperado, moneda y tipo de cambio. - Cuenta(s) contable(s) asociadas, de ser el caso. En el caso de eventos con pérdidas múltiples, la Entidad puede registrar la información mínima requerida por cada pérdida, y establecer una forma de agrupar dicha información por el evento que las originó. La Entidad podrá registrar información parcial de un evento, en tanto se obtengan los demás datos requeridos. Por ejemplo, podrá registrarse primero el monto de la pérdida, para posteriormente añadir las recuperaciones asociadas. La Base de Datos de Eventos de Pérdida estará a disposición de la SMV a su requerimiento para los fines de supervisión y control. DISPOSICIONES COMPLEMENTARIAS FINALES Primera.- Las Normas de Conducta y el Manual de Gestión Integral de Riesgos, establecidos en los artículos