Metodologías para la Gestión Integral de Riesgos en PCR
Transcript of Metodologías para la Gestión Integral de Riesgos en PCR
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 1 de 13
Metodologías para la Gestión Integral de Riesgos en PCR
Elaborado por:
Daniela Urquizo Rojas
Aprobado por:
Oscar Jasaui
Jefe de Cumplimiento Normativo y Auditoría Interna
Presidente Ejecutivo
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 2 de 13
Índice de contenido
BITÁCORA DE MODIFICACIONES ........................................................................................... 3
CAPÍTULO I. GENERALIDADES .............................................................................................. 4
I.1 Antecedentes ................................................................................................................. 4
I.2 Objetivo .......................................................................................................................... 4
I.3 Alcance .......................................................................................................................... 4
I.4 Base legal ....................................................................................................................... 4
I.5 Marco Referencial Interno .............................................................................................. 5
I.6 Responsables ................................................................................................................. 5
I.6.1 Responsables de Cumplimiento .................................................................................. 5
I.6.2 Responsables de Revisión y Periodicidad de Actualización ......................................... 5
CAPÍTULO II. METODOLOGÍAS ............................................................................................... 6
II.1 Metodologías para la Gestión del Riesgo Operativo u Operacional (incluye el Riesgo
Legal y el Riesgo Tecnológico) ....................................................................................... 6
II.1.1 Evaluación de Procesos (Matriz de Riesgos) .............................................................. 6
II.1.2 Base de Eventos de Riesgo Operativo u Operacional (BERO) ................................... 9
II.2 Metodologías para la Gestión del Riesgo de Seguridad de la Información .................. 10
II.2.1 Gestión de Vulnerabilidades Técnicas ...................................................................... 10
II.2.2 Gestión de Incidentes de Seguridad de la Información ............................................. 10
II.2.3 Monitoreo de Actividades de Usuarios ...................................................................... 11
II.2.4 Revisión de roles y privilegios ................................................................................... 11
II.3 Metodología para la Gestión del Riesgo de Contraparte .............................................. 11
II.4 Metodología para la Gestión del Riesgo de Liquidez ................................................... 12
II.5 Metodologías para la Gestión del Riesgo de Cumplimiento ......................................... 12
II.6 Metodología para la Gestión del Riesgo de Gobierno Corporativo............................... 12
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 3 de 13
BITÁCORA DE MODIFICACIONES
Bitácora de modificaciones
N° Sección y N° de página
modificada Descripción del cambio Fecha de modificación
- No aplica Primera Versión del Documento 09/04/2020
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 4 de 13
CAPÍTULO I. GENERALIDADES
I.1 Antecedentes
La gestión integral de riesgos (GIR) de Pacific Credit Rating (PCR) se fundamenta en los principios definidos
en la ISO 31000 “Risk Management Guidelines” publicado por el BSI1 para la identificación, evaluación y
análisis de riesgos.
El presente documento normativo describe las herramientas necesarias para la gestión integral de riesgos
de PCR como Calificadora/Clasificadora de Riesgos, adecuadas a la naturaleza, tamaño y complejidad de
sus operaciones.
I.2 Objetivo
Detallar y describir las metodologías empleadas por PCR para la identificación, evaluación y análisis de sus
riesgos.
I.3 Alcance
El presente documento tiene alcance a nivel corporativo, en todos los procesos y Oficinas donde PCR
presta sus servicios.
Se encuentran sujetos a esta normativa, todos los tipos de riesgo a los que PCR se encuentra expuesto:
Riesgo Operacional u Operativo (incluye Riesgo Tecnológico y Riesgo Legal)
Riesgo de Seguridad de la Información
Riesgo de Contraparte
Riesgo de Liquidez
Riesgo de Cumplimiento
Riesgo de Gobierno Corporativo
I.4 Base legal
El presente documento se elaboró en función a lo señalado en las siguientes normas:
País Título de la Norma Descripción
Bolivia Recopilación de Normas para el Mercado de Valores (ASFI), Libro 11º
Artículo 6º de la Sección 3, Capítulo I: Reglamento para la Gestión Integral de Riesgos, Título III, en lo relacionado con las metodologías y herramientas para la medición de riesgos y cómo éstas deben formar parte de los procedimientos para la gestión de riesgos.
El Salvador NRP-011: Normas Técnicas para la Gestión Integral de Riesgos de las Entidades de los Mercados Bursátiles
Inciso b), Artículo 5°, en lo correspondiente a las metodologías para la medición de riesgos, y su establecimiento en conformidad con la estructura organizacional, volumen, naturaleza, y niveles de riesgo asumidos por la empresa.
1 BSI: The British Standards Institution 2018
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 5 de 13
País Título de la Norma Descripción
Perú Reglamento de Gestión Integral de Riesgos
Artículo 5º, Título II, en lo referente a los elementos que debe considerarse para la gestión integral de riesgos:
Ambiente interno
Establecimiento de objetivos
Identificación de riesgos
Evaluación de riesgos
Respuesta al riesgo
Control
Información y comunicación
Monitoreo
Honduras Norma sobre Gestión Integral de Riesgos
Circular CBNS 194/2011. Artículo 12º , inciso h), en lo relacionado con la revisión de las herramientas y metodologías utilizadas para la medición y monitoreo de riesgos.
Resto de los países
Sin normativa específica. En el resto de los países no se cuenta con normativa específica obligatoria sobre las metodologías de gestión de riesgos para Calificadoras/Clasificadoras de Riesgo.
I.5 Marco Referencial Interno
Los siguientes documentos normativos internos mantienen relación directa con las Metodologías para la
Gestión Integral de Riesgos de PCR:
- Manual de Gestión Integral de Riesgos - Política de Seguridad de la Información - Plan de Continuidad del Negocio
I.6 Responsables
I.6.1 Responsables de Cumplimiento
Son responsables de cumplir y hacer cumplir el presente documento:
- Gerentes / Coordinadores País - Personal “Portavoz de Riesgos”, designado por el Gerente / Coordinador País. - Jefe de la Unidad de Riesgos
I.6.2 Responsables de Revisión y Periodicidad de Actualización
El Jefe de la Unidad de Riesgos es el responsable de revisar y consecuentemente actualizar o proponer la
ratificación del presente documento normativo al menos una vez al año, o cuando las condiciones del
negocio y del entorno lo ameriten.
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 6 de 13
CAPÍTULO II. METODOLOGÍAS
II.1 Metodologías para la Gestión del Riesgo Operativo u Operacional (incluye el
Riesgo Legal y el Riesgo Tecnológico)
Las principales herramientas que se debe utilizar para gestionar y evaluar el riesgo operativo son: la Evaluación de Procesos (Matriz de Riesgos) y la Base de Eventos de Riesgo Operativo. En las siguientes subsecciones se detalla en qué consiste cada herramienta, y su forma de aplicación en PCR.
II.1.1 Evaluación de Procesos (Matriz de Riesgos)
La evaluación de procesos se constituye en una de las herramientas más utilizadas para la identificación,
medición y evaluación del riesgo operativo, basada en un análisis minucioso de los procesos de la entidad
a fin de identificar sus riesgos potenciales, las causas o factores que los originan, sus consecuencias, y los
controles que permiten prevenirlos y/o corregirlos2.
Al tratarse de una herramienta completa y compleja, requiere de un análisis conjunto entre el Jefe de la
Unidad de Riesgos y de los colaboradores a cargo de ejecutar los procesos a partir de entrevistas de
relevamiento que permitan el llenando una Matriz de Riesgos.
Para los fines del presente documento, se expone los campos mínimos que debe contener una Matriz de
Riesgos:
Parte 1. IDENTIFICACIÓN DE RIESGOS
Campo Descripción del Campo
Nº Código de Riesgo Identificado (R1, R2, R3, etc.)
Causa / Situación Observada
Descripción de las posibles causas o situaciones que pueden generar el riesgo
Descripción del Riesgo
Descripción del riesgo inherente (sin tomar en cuenta controles)
Consecuencia
1. Pérdidas económicas para la compañía 2. Incumplimiento Normativo 3. Pérdida de confianza del cliente (interno o externo)
En caso de presentarse más de un tipo de consecuencia, se debe elegir la de mayor preponderancia.
Factor de Origen
1. Personal 2. Procesos Internos 3. Tecnología 4. Eventos Externos 5. Infraestructura
2 Los elementos citados también se exponen en el punto 6.4.2 “Risk Identification” de la ISO 31000
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 7 de 13
Campo Descripción del Campo
Tipo de Evento
1. Fraude Interno 2. Fraude Externo 3. Relaciones laborales y seguridad en el puesto de trabajo 4. Prácticas relacionadas con los clientes, los productos y el negocio 5. Daños a activos físicos 6. Interrupción del negocio por fallas en la Tecnología de la Información 7. Deficiencia en la ejecución, entrega y gestión de procesos
Implicancia 1. Legal o Regulatoria 2. Reputacional 3. Todas (1 y 2)
Parte 2. IDENTIFICACIÓN DE CONTROLES
Campo Descripción del Campo
Nº Código de Control Identificado (C1, C2, C3, etc.)
Control Descripción de la tarea de control
¿Quién ejecuta el control?
Puesto que ejecuta la tarea de control
¿A quién controla?
Puesto que es sujeto de la tarea de control
Referencia Normativa
Nombre del documento normativo que señala la existencia del control
¿El control es verificable?
Sí o No
Evidencia de Control
Se describe la forma de evidencia del control (ej. Boletas, registros en sistemas, etc.)
Tipo de control 1. Preventivo 2. Correctivo
Nivel de automatización
1. Manual 2. Automático 3. Semiautomático
Calificación del Control
Parte 3. MEDICIÓN DE LOS RIESGOS
Campo Descripción del Campo
Frecuencia o Probabilidad
Las primeras cuatro escalas se miden en concordancia con la efectividad de los controles:
(*): Por criterio de prudencia, cuando 1 riesgo cuente con más de 1 control asociado, se asignará la probabilidad de ocurrencia asociada al control de menor efectividad. Por ejemplo, si existe 1 riesgo asociado a 3 controles, entre los cuales 2 son excelentes y 1 es deficiente, el riesgo adopta la frecuencia asociada al control deficiente: “Probable”
Nivel Descripción Indicador de efectividad
1 Excelente El control no presentó ni una falla en los últimos 12 meses
2 Bueno El control podría fallar o falló ocasionalmente (1 vez al año)
3 Regular El control podría fallar o falló periódicamente (2 veces al año)
4 DeficienteEl control no se ejecuta o falla frecuentemente (más de 2 veces al
año)
NIVELES DE EFECTIVIDAD DE LOS CONTROLES
Nivel Descripción Indicador de frecuencia*
1 Raro El control asociado al riesgo es “Excelente”
2 Improbable El control asociado al riesgo es “Bueno”
3 Posible El control asociado al riesgo es “Regular”
4 Probable El control asociado al riesgo es “Deficiente”
5 Frecuente El riesgo se materializó al menos 1 vez en los últimos 12 meses
PROBABILIDAD DE OCURRENCIA
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 8 de 13
Campo Descripción del Campo
Impacto
Se mide de acuerdo con el tipo de impacto esperado y las siguientes escalas definidas:
Nivel de Exposición al Riesgo
(Frecuencia x Impacto): Resultado de la multiplicación de frecuencia por impacto. Se puede clasificar los riesgos en cuatro categorías, para luego ser graficados en un Mapa de Calor:
Parte 4. PLANES DE ACCIÓN PARA LA MITIGACIÓN DE RIESGOS
Los campos definidos para establecer planes de mitigación de los riesgos contemplan suficiente información para
realizar el seguimiento respectivo (Plan de acción, Área responsable y Plazo):
Campo Descripción del Campo
Plan de Acción Acciones correctivas a definir por líder de área
Área Área encargada de ejecutar el Plan de Acción
Plazo Fecha esperada de finalización del Plan de Acción
RENTABILIDAD LABORAL TECNOLÓGICO IMAGEN LEGAL REGULATORIO
Pérdida
monetaria
Salud y
seguridad
ocupacional
Tiempo de
interrupción de
los procesos
críticos
Reputacional Procesos Legales Cumplimiento Normativo
1 InsignificanteEntre USD 1 y USD
6,000
No requiere
atención médica
Igual o menor a 30
minutos
Reclamos por parte de terceros
que no son clientes de PCR
Demanda inadmisible o
improcedente en contra de
PCR
2 Bajo
De acuerdo al
apetito de riesgo
mensual vigente
por país en
términos
monetarios
Requiere atención
médica sin baja
laboral
Mayor a 30 minutos
y menor a 2 horas
Reclamos por parte de 1 de los
10 mayores clientes
Demanda contra PCR sin
monto involucrado o por un
monto igual al Nivel 2 de
"Pérdida Monetaria"
Observaciones corregibles en el
corto plazo (hasta 90 días), sin
sanciones pecuniarias
3 Moderado
De acuerdo a la
tolerancia de
riesgo mensual
vigente por país
en términos
monetarios
Requiere atención
médica con baja
laboral de hasta 5
días hábiles
Igual o mayor a 2
horas y menor a 4
horas
Reclamos por parte de 2 ó 3 de
los 10 mayores clientes
Incumplimiento normativo
sin sanción pecuniaria
Observaciones corregibles en el
largo plazo (más de 90 días), sin
sanciones pecuniarias
4 Alto
De acuerdo a la
tolerancia de
riesgo anual
vigente por país
en términos
monetarios
Hospitalización por
daño severo
(reversible)
Igual o mayor a 4
horas y menor a 24
horas
Reclamos por parte de más de 3
de los 10 mayores clientes
Incumplimiento normativo
con sanción pecuniaria
igual al Nivel 4 de "Pérdida
Monetaria"
Observaciones corregibles, con
sanción pecuniaria de hasta
USD 6,000
5 Extremo
De acuerdo a la
capacidad de
riesgo vigente por
país en términos
monetarios
Hospitalización por
daño severo
(irreversible)
Mayor a 24 horas
Noticia o publicación negativa
sobre PCR, difundida en medios
de comunicación (televisión,
prensa, periódico digital,
revistas), o vía LinkedIn / redes
sociales
Demanda contra PCR o
sanción pecuniaria del
regulador igual al Nivel 5
de "Pérdida Monetaria"
Observaciones relacionadas con
gestión del Gobierno Corporativo,
con sanción pecuniaria mayor a
USD 6,000 y/o con suspensión
temporal de licencia de
funcionamiento
TIPO DE IMPACTO
NivelDescripción
Tipo A 1-4 = Bajo
Tipo B 5-10 = Moderado
Tipo C 12-16 = Alto
Tipo D 20-25 = Extremo
Niveles de exposición al riesgo
Probabilidad
5 2 - - - 1
4 - 1 - 1 -
3 - - - - -
2 - - - - -
1 2 - - - -
1 2 3 4 5 Impacto
Mapa de Calor
(Ej. Proceso de Calificación de Riesgo)
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 9 de 13
II.1.2 Base de Eventos de Riesgo Operativo u Operacional (BERO) Cada vez que se materializa un evento de riesgo, el Portavoz de Riesgo y/o el Gerente/Coordinador País,
deberá reportarlo al Jefe de la Unidad de Riesgos vía correo electrónico, con los siguientes datos
mínimamente:
- Fecha de inicio del evento - Fecha de finalización del evento (si corresponde) - Descripción del Evento - Acciones correctivas adoptadas - Personal involucrado (nombre y puesto)
Una vez reportado el evento, el Jefe de la Unidad de Riesgos debe registrarlo en una Base de Eventos con
los siguientes campos:
Campo Descripción del Campo
Código de Evento Código del Evento de Riesgo (PCR-00X)
Oficina BO, CR, EC, ES, GT, PA, PE, RD, PCS
Proceso Nombre del proceso asociado al evento
Factor de Origen
1. Personal 2. Procesos Internos 3. Tecnología 4. Eventos Externos 5. Infraestructura
Tipo de Evento
1. Fraude Interno 2. Fraude Externo 3. Relaciones laborales y seguridad en el puesto de trabajo 4. Prácticas relacionadas con los clientes, los productos y el negocio 5. Daños a activos físicos 6. Interrupción del negocio por fallas en la Tecnología de la Información 7. Deficiencia en la ejecución, entrega y gestión de procesos
Sub-Tipo de Evento Clasificación según Anexo 1 del Manual de GIR
Estado del Evento
1. Investigación: Cuando aún no se ha cuantificado la pérdida asociada al evento 2. Seguimiento: Cuando ya se conoce la pérdida asociada al evento, pero éste aún no fue solucionado 3. Solucionado: Cuando se finalizó la aplicación de medidas correctivas para solucionar el evento, y sus pérdidas
(si corresponde) fueron contabilizadas.
Descripción del Estado del Evento
Descripción de los pormenores del estado del evento
Acciones Correctivas
Descripción de las acciones adoptadas para solucionar el evento
Riesgos relacionados
Listado de los riesgos asociados al evento, además del riesgo operativo (si corresponde):
1. Riesgo de Seguridad de la Información 2. Riesgo de Contraparte 3. Riesgo de Liquidez 4. Riesgo de Mercado (Riesgo Cambiario) 5. Riesgo de Cumplimiento 6. Riesgo de Gobierno Corporativo
Fecha de inicio del evento
En formato DD/MM/YYYY
Fecha de finalización del evento
En formato DD/MM/YYYY, se registra cuando ya se implementaron las acciones correctivas para la solución del evento y cuando sus pérdidas asociadas (si corresponde), fueron contabilizadas.
Fecha de reporte del evento
En formato DD/MM/YYYY
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 10 de 13
Campo Descripción del Campo
Pérdida por riesgo operativo (USD)
Pérdida asociada al evento de riesgo
Reportado por Nombre y apellido de quien reportó el evento al Jefe de la Unidad de Riesgos
Puesto Puesto de quien reportó el evento al Jefe de la Unidad de Riesgos
Respaldo Descripción de la documentación que respalda el evento (correos electrónicos, reportes, capturas de pantalla, etc.)
II.2 Metodologías para la Gestión del Riesgo de Seguridad de la Información
El análisis y evaluación de riesgos de seguridad de la información se basa en los resultados obtenidos de la aplicación de un conjunto de herramientas:
Gestión de Vulnerabilidades Técnicas
Gestión de Incidentes de Seguridad de la Información
Monitoreo de la Actividad de Usuarios
Revisión de roles y privilegios En las siguientes subsecciones se detalla en qué consiste cada herramienta, y su forma de aplicación en PCR.
II.2.1 Gestión de Vulnerabilidades Técnicas
La gestión de vulnerabilidades técnicas comienza por la realización de pruebas de intrusión por parte de un tercero (empresa de Ethical Hacking). El objetivo de estas pruebas, es dar a conocer los riesgos de seguridad informática a los que está expuesto PCR, además de las debilidades / amenazas que requieren de un tratamiento prioritario. Una vez que el proveedor ha identificado los riesgos “altos” asociados a las vulnerabilidades técnicas, el Oficial de Riesgos debe coordinar con el Outsourcing de Seguridad de la Información y con el Comité Operativo de TI para establecer planes de acción preventivos y/o correctivos en un plazo de hasta 10 días hábiles a fin de atender las vulnerabilidades que presenten mayor nivel de exposición al riesgo a la empresa. Asimismo, se establece que para aquellos riesgos “medios” y “bajos” identificados por el proveedor, se tiene un plazo de 90 días para implementar los planes de acción respectivos que permitirán reducir los niveles de exposición.
II.2.2 Gestión de Incidentes de Seguridad de la Información
Los incidentes reportados al Jefe de la Unidad de Riesgos deben ser registrados por este en una base de datos según campos definidos en la Base de Eventos de Riesgo Operativo (punto II.1.2 del presente documento). La información registrada de los incidentes de seguridad de la información, será válida para el análisis de riesgos de seguridad de la información, al constituirse en eventos materializados y con antecedente.
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 11 de 13
II.2.3 Monitoreo de Actividades de Usuarios
Una de las herramientas preventivas / detectivas del riesgo de seguridad de la información, consiste en el monitoreo de logs de los usuarios de Office 365 y de Zoho. Los eventos de log que debe monitorearse al menos tres veces al año son:
Office365 o Acceso de usuarios no autorizados o Descarga de archivos por usuarios no autorizados. o Eliminación de archivos por usuarios no autorizados. o Vínculos compartidos a usuarios no autorizados. o Malware identificado en Office365.
Zoho o Acceso de usuarios no autorizados.
Los resultados del monitoreo deben reflejarse en un Reporte o Informe que exponga los principales resultados de la revisión, y de ser necesario, las acciones sugeridas para aquellos eventos que presenten desvíos a las políticas de seguridad de la información.
II.2.4 Revisión de roles y privilegios
Los roles y privilegios que gozan los usuarios de PCR se ven reflejados en la Matriz de Accesos de la compañía. El Jefe de la Unidad de Riesgos debe solicitar al Analista de TI la citada Matriz de Accesos al menos dos veces al año para asegurarse de la correcta asignación de roles y privilegios para el personal activo. Los resultados de la revisión deben estar expuestos en un Reporte o Informe que destaque los niveles de cumplimiento al Catálogo de Roles definido por PCR, alertando en los casos que amerite, sobre posibles asignaciones incorrectas de accesos.
II.3 Metodología para la Gestión del Riesgo de Contraparte
La principal herramienta para la gestión del riesgo de contraparte es el seguimiento al índice de mora. En términos monetarios, se define a la mora como el incumplimiento al que incurren los clientes de PCR en el pago de sus obligaciones por el servicio prestado de Calificación / Clasificación de Riesgos. En tal sentido, todo impago superior a los 30 días a partir de la fecha de pago pactada mediante contrato, es considerado cartera en mora. De ese modo, el índice de mora por Oficina, se mide mediante la siguiente fórmula:
𝐼𝑛𝑑𝑖𝑐𝑒 𝑑𝑒 𝑀𝑜𝑟𝑎 =𝑀𝑜𝑛𝑡𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝐶𝑎𝑟𝑡𝑒𝑟𝑎 𝑒𝑛 𝑀𝑜𝑟𝑎 𝑠𝑢𝑝𝑒𝑟𝑖𝑜𝑟 𝑎 30 𝑑í𝑎𝑠
𝑀𝑜𝑛𝑡𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝐶𝑎𝑟𝑡𝑒𝑟𝑎
Los límites del riesgo de contraparte se encuentran definidos en el Manual de Gestión Integral de Riesgos.
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 12 de 13
II.4 Metodología para la Gestión del Riesgo de Liquidez
El riesgo de liquidez se gestiona mediante el seguimiento a los límites del ratio de liquidez estructural de cada Oficina:
𝑅𝑎𝑡𝑖𝑜 𝑑𝑒 𝐿𝑖𝑞𝑢𝑖𝑑𝑒𝑧 =𝐴𝑐𝑡𝑖𝑣𝑜𝑠 𝐿í𝑞𝑢𝑖𝑑𝑜𝑠
𝑇𝑜𝑡𝑎𝑙 𝑂𝑏𝑙𝑖𝑔𝑎𝑐𝑖𝑜𝑛𝑒𝑠 (𝑃𝑎𝑠𝑖𝑣𝑜𝑠)
Donde: Activos líquidos: Comprenden todo el efectivo disponible, en cuentas de ahorro, cuentas
corrientes y CDFs con vencimiento menor o igual a 30 días. Total Obligaciones: Comprende al total de pasivos de cada Oficina País, tanto aquellos de corto plazo,
como aquellos de largo plazo. Los límites del ratio de liquidez estructural se encuentran definidos en el Manual de Gestión Integral de Riesgos.
II.5 Metodologías para la Gestión del Riesgo de Cumplimiento
La gestión del riesgo de cumplimiento se realiza mediante el seguimiento mensual de las obligaciones regulatorias de cada Oficina País, según calendarios definidos para el año en curso. El Jefe de la Unidad de Riesgos debe solicitar a los Gerentes / Coordinadores País que declaren el nivel de cumplimiento de sus obligaciones regulatorias de forma mensual, detallando los descargos que permitirán verificar dicho cumplimiento, cuando sea requerido por el Área de Riesgos, o el Área de Auditoría Interna. En caso de presentarse algún incumplimiento que derive en sanciones pecuniarias para PCR, el evento debe registrarse en la Base de Eventos de Riesgo Operativo (punto II.1.2 del presente documento), de manera acorde para su seguimiento y establecimiento de cursos de acción preventivos y/o correctivos.
II.6 Metodología para la Gestión del Riesgo de Gobierno Corporativo
Cada año, las Oficinas del Grupo realizan el planteamiento de nuevas metas para el incremento de su rentabilidad, ya sea mediante estrategias de incremento de las ventas, como mediante la mejora en los niveles de eficiencia administrativa (disminución de gastos). Al tratarse de un esfuerzo conjunto que parte de la Dirección, la Alta Gerencia y los cargos ejecutivos para su cumplimiento, la gestión del riesgo de gobierno corporativo se enfoca en el cumplimiento de las metas planteadas para alcanzar los niveles de rentabilidad deseados, por cada Oficina País. En tal sentido, es responsabilidad del Jefe de la Unidad de Riesgos realizar un seguimiento trimestral del principal indicador de rentabilidad ROE, de cada Oficina, para así anticiparse a posibles desvíos injustificados en el cumplimiento de metas.
Fecha de emisión: 09/04/2020
Vigencia: 04/05/2020
Código: PCR-SV-GIR-MET-RE-01
Versión: 01
Página: 13 de 13
Se define, por tanto, que el ROE (Return over Equity), se expresa mediante la siguiente fórmula3:
𝑅𝑂𝐸 =𝑈𝑡𝑖𝑙𝑖𝑑𝑎𝑑 𝑁𝑒𝑡𝑎 𝐴𝑛𝑢𝑎𝑙𝑖𝑧𝑎𝑑𝑎 𝑑𝑒𝑙 𝑚𝑒𝑠
𝑃𝑎𝑡𝑟𝑖𝑚𝑜𝑛𝑖𝑜 𝑁𝑒𝑡𝑜 𝑃𝑟𝑜𝑚𝑒𝑑𝑖𝑜 𝑑𝑒 𝑙𝑜𝑠 ú𝑙𝑡𝑖𝑚𝑜𝑠 13 𝑚𝑒𝑠𝑒𝑠
3 FELABAN (2014), “Indicadores Financieros Homologados para Latinoamérica” (metodología aprobada para el
cálculo del ROE y de otros ratios financieros de la Banca)