Análisis de la Gestión de Riesgos de la empresa

1. Análisis de la Gestión de Riesgos de la empresa.    Rojo es lo que falta

3.1 Gestión de Riesgos para la Continuidad del Negocio

Caja Trujillo con el objetivo de asegurar la continuidad de los procesos críticos, cuenta con un sistema de gestión cuya normativa, criterios y características se encuentran detallados en el documento de Política de Gestión de Continuidad del Negocios.

        3.1.1. Niveles de Riesgo

1. Matriz de niveles de riesgos de continuidad del negocio

Los riesgos se miden en función de dos dimensiones: Probabilidad e Impacto.

1. Probabilidad

La posibilidad de ocurrencia de un evento que ocasione la paralización de los procesos críticos de la empresa.

1. Impacto

La consecuencia o consecuencias que podría generar la paralización de un proceso crítico de la empresa.

Basado en los niveles identificados en las variables de probabilidad e impacto se determina el nivel del riesgo de Continuidad del Negocio, de acuerdo a la siguiente matriz:

[pic 1]

Anexo 1

[pic 2]

Anexo 2

1. Análisis de riesgos para procesos críticos

1. Lineamientos para determinar el nivel del riesgo inherente

• El riesgo inherente es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que se ejecuten dentro del proceso para mitigarlo.  
• Las escalas para identificar el nivel de probabilidad inherente de un riesgo de Continuidad del Negocio se muestran en el Anexo 1.
• Las escalas y criterios para identificar el nivel de impacto de un riesgo de Continuidad del Negocio se muestra en el Anexo 2, para determinar el criterio con el que se evaluara el impacto del riesgo se debe tomar en cuenta el mismo criterio en el que se identificó el menor MTPD (Máximo Tiempo de Interrupción Tolerable) en el Análisis de Impacto al Negocio BIA para el procedimiento evaluado, si se presentara algún caso en el que en más de un criterio se identifica el menor MTPD prevalecerá el orden definido para los criterios en el Anexo N°2 – Niveles de Impactos.
• El nivel inherente del riesgo se determina haciendo el cruce de los niveles de probabilidad e impacto identificados haciendo uso de los anexos 1 y 2.

1. Lineamientos para determinar del nivel del riesgo residual  

• El nivel de riesgo residual es el nivel restante de riesgo luego de tomar medidas de tratamiento, teniendo en cuenta los controles que se ejecuten dentro del proceso para mitigarlo.  
• Para lograr mayor objetividad en el cálculo del nivel del riesgo residual se considerarán los lineamientos definidos en el Manual de Gestión de Riesgos Operativos.  

1. Análisis de riesgos para agencias 

1. Lineamientos para determinar el nivel del riesgo inherente

• Para hacer más eficiente el análisis de riesgos de continuidad del negocio en agencias, este se aplicará a grupos de agencias con riesgos similares, considerando como criterios de agrupación la ubicación geográfica, el tipo de agencia y el modelo operativo.  
• El riesgo inherente es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que se ejecuten dentro del proceso para mitigarlo.  
• Las escalas para identificar el nivel de probabilidad inherente de un riesgo de Continuidad del Negocio en una agencia se muestran en el Anexo N°1 – Niveles de Probabilidad.
• Para identificar el nivel de impacto inherente de riesgos en una agencia se utilizara mismo criterio en el que se identificó el menor MTPD (Máximo Tiempo de Interrupción Tolerable) en el Análisis de Impacto al Negocio BIA el criterio en el Análisis de Impacto al Negocio BIA para el grupo de agencias evaluado, si se presentara algún caso en el que en más de un criterio se identifica el menor MTPD prevalecerá el orden definido para los criterios en el Anexo N°2 – Niveles de Impactos.
• El nivel inherente del riesgo de agencia se determina haciendo el cruce de los niveles de probabilidad e impacto identificados haciendo uso de los anexos 1 y 2.

1. Lineamientos para determinar del nivel del riesgo residual  

• El nivel de riesgo residual es el nivel restante de riesgo luego de tomar medidas de tratamiento, teniendo en cuenta los controles que se ejecuten dentro del proceso para mitigarlo.  
• Para lograr mayor objetividad en el cálculo del nivel del riesgo residual se considerarán los lineamientos definidos en el Manual de Gestión de Riesgos Operativos.  

1. Lineamientos para el tratamiento de riesgos de Continuidad del Negocio

• Para riesgos cuyo nivel están fuera del apetito de la empresa (altos o extremos), es indispensable definir la estrategia a seguir para mitigar su nivel hasta que este se encuentre dentro del apetito de la empresa. Esta estrategia no puede ser “Aceptar” el riesgo, las excepciones a estos casos serán sugeridas por la Gerencia Central responsable del riesgo y aprobado por el Comité de Riesgos (para riesgos altos) o por el Directorio (para riesgos extremos).
• Los riesgos en niveles medios o bajos podrán ser aceptados por el Gestor de Riesgo de Proceso respectivo, de acuerdo a la evaluación realizada. Una vez se opte por tomar cualquier estrategia se deberá levantar un acta que certifique la decisión tomada.  
• La estrategia de tratamiento a ser implementada (evitar, reducir, transferir o aceptar) será determinada por cada responsable de acuerdo al nivel de riesgo residual. Estos tratamientos deben ser los adecuados para mitigar el nivel del riesgo hasta que este se encuentre dentro del apetito al riesgo de la empresa y hasta obtener un nivel aceptable para el Gestor de Riesgo del Proceso.
• El plazo máximo de definición de las estrategias de tratamiento es de 1 mes, caso contrario deberá de ser autorizado por el Jefe Departamento Riesgos
• Operacionales, Continuidad Negocio y Seguridad Información e informado a la Comisión SICONRO.
• La Tolerancia establecida para mantener un riesgo en nivel Extremo o Alto es de 6 meses desde que es comunicado al Comité de Riesgos, por lo cual se deberá implementar los planes de acción y/o mitigantes en este periodo.
• Los Planes de Acción asociados a riesgos con nivel residual Alto y Extremo serán monitoreados e informados mensualmente a la Comisión SICONRO. Al finalizar la implementación del plan de acción este debe mitigar el riesgo hasta un nivel aceptable por la empresa (Medios y Bajos). El periodo de implementación de estos planes de acción no debe ser mayor a 6 meses después de identificado el riesgo (Periodo de Tolerancia a riesgos fuera del apetito de la empresa). Si la implementación del plan de acción supera los 6 meses se deberá aprobar la ampliación del periodo de tolerancia por el Comité de Riesgos (Para riesgos Altos) o por el Directorio (Para riesgos Extremos). En el caso de planes de acción de Riesgos Medios y Bajos, la aprobación deberá de ser del Jefe Riesgos Operacionales, Continuidad Negocio y Seguridad Información.
• Las solicitudes de reprogramaciones de acciones en el Software CERO se realizarán de acuerdo a lo indicado en el Manual de Gestión de Riesgos Operativos.

1. PROCEDIMIENTO DE GESTIÓN DE RIESGOS PARA LA CONTINUIDAD DEL NEGOCIO

La metodología se desarrolla con una periodicidad de 24 meses, de acuerdo a los procedimientos detallados a continuación:

1. Establecimiento del contexto  

El Establecimiento del contexto se realizará acorde con el procedimiento del Contexto de la Gestión de Riesgos Operativos.

1. Identificación de los riesgos  

En esta etapa se identifican los escenarios y por ende los riesgos

para la continuidad del negocio de acuerdo al procedimiento de

Identificación de Riesgos para la Continuidad del Negocio.

1. Análisis y Evaluación de los riesgos  

En esta etapa se determinan los niveles de probabilidad e impacto, se realiza el análisis de controles existentes y se determinan los riesgos residuales de acuerdo al procedimiento Análisis y Evaluación de Riesgos para la Continuidad del Negocio.

1. Tratamiento de los riesgos                                          

En la etapa de Tratamiento se establecen e implementan controles de acuerdo a lo detallado en el procedimiento de Tratamiento de los Riesgos para la Continuidad del Negocio”.

1. Monitoreo y revisión

El monitoreo y revisión se realizará acorde con el Procedimiento de Monitoreo y Revisión de la Gestión de Riesgos Operativos.

1. Comunicación y consulta  

La comunicación y consulta se realizará acorde con el Procedimiento de Comunicación de Riesgos Operativos.

1. INFORMES DE LA GESTIÓN DE RIESGOS PARA LA CONTINUIDAD DEL NEGOCIO

Los informes mínimos requeridos se consideran acorde al Manual de Gestión de Riesgos Operativos:

• Informe trimestral de gestión de riesgos al Directorio. 
• Informe de análisis de riesgos por nuevos productos. 
• Informe anual de gestión de riesgos operacionales (IGROP) para la SBS. 

3.2 Gestión del Riesgo de Liquidez

3.2.1. Identificación Del Riesgo De Liquidez

Se deberá determinar el grado de exposición al riesgo de liquidez, determinando los vencimientos (maduración) de los activos y pasivos de Caja Trujillo, los mismo que deberán ser distribuidos conforme a los saldos registrados en los estados de resultados de acuerdo a sus vencimientos contractuales.

...