Manual del Usuario del ISOC - extranet.sbs.gob.pe Manual del Usuario-vf... · (formatos comprimidos), .mpp (MS Project), .vsd (MS Visio) y formato imagen (.jpg). En todas las pantallas

Sistema IG-ROP (“Informe de Gestión de Riesgo

Operacional”)

Manual de Usuario

Versión 1.3 - 2012

Lima – Perú

Manual de Usuario del Sistema IG-ROP

Elaborado por: Departamento de Supervisión de Riesgo Operacional

Versión de Documento : 1.3 Fecha de Actualización: Marzo 2012 Página 2 de 39

Nivel Confidencial

El presente documento es propiedad de la Superintendencia de Banca, Seguros y

AFP, tiene carácter confidencial y no podrá ser objeto de reproducción total o

parcial, tratamiento informático, ni transmisión de ninguna forma o por cualquier

medio, ya sea electrónico, mecánico, por fotocopia, registro o cualquiera otro.

Asimismo, tampoco podrá ser objeto de préstamo, alquiler o cualquier forma de

cesión de uso sin el permiso previo y escrito de la Superintendencia de Banca,

Seguros y AFP, titular del derecho de autor.

El incumplimiento de las limitaciones señaladas por cualquier persona que tenga

acceso a la documentación será perseguido conforme a ley.




Nivel Confidencial

I N D I C E 1. Introducción .............................................................................................................................................. 4

¿Qué es el IG-ROP? ................................................................................................................................ 4 ¿Qué se debe tomar en cuenta al ingresar información al IG-ROP? ....................................................... 4 ¿Qué es el Manual del Usuario del IG-ROP?........................................................................................... 4 ¿Quiénes deben leer este Manual? ......................................................................................................... 5

2. Arquitectura del Sistema ........................................................................................................................... 5 3. Roles y creación de usuarios para el IG-ROP .......................................................................................... 6

1. Responsable ............................................................................................................................... 6 2. Preparador .................................................................................................................................. 6

4. Ingreso al IG-ROP .................................................................................................................................... 6 Ingreso al Portal del Supervisado ........................................................................................................ 6 Ingreso al IG-ROP ................................................................................................................................ 8

5. Menú Principal del IG-ROP ....................................................................................................................... 9 6. Llenado del Informe ................................................................................................................................ 10

6.1 Datos del Registro Oficial ................................................................................................................. 10 6.2 Funcionario Responsable del Reporte de la Unidad de Riesgo Operacional ................................... 11

7. Validación del Llenado ............................................................................................................................ 30 8. Confirmación del Reporte ....................................................................................................................... 31 9. Revisión de las actualizaciones del Informe ........................................................................................... 31 10. Generación del reporte del Informe enviado ......................................................................................... 32 ANEXO 1: Taxonomía ................................................................................................................................ 34




Nivel Confidencial

1. Introducción

¿Qué es el IG-ROP? El IG-ROP, Informe de Gestión de Riesgo Operacional, es el servicio del Portal del Supervisado1 que permite reportar, a través de medios electrónicos, el informe anual de riesgo operacional, requerido mediante el artículo 15° del Reglamento para la Gestión del Riesgo Operacional, aprobado mediante Resolución SBS N° 2116-2009. El IG-ROP define una estructura de informe de gestión de riesgo operacional que incluye aspectos de cumplimiento normativo, mejores prácticas en la gestión de este riesgo, así como aspectos referidos a la gestión de la continuidad del negocio y de la seguridad de la información. A través de este servicio la Superintendencia podrá requerir información adicional o la actualización de la misma con información a una fecha específica.

¿Qué se debe tomar en cuenta al ingresar información al IG-ROP?

Se denomina año de reporte al último año de cierre de ejercicio efectivo, respecto del cual se ingresa información en el IG-ROP. Asimismo, se denomina año en curso, al año del ejercicio actual que corresponde a la fecha de ejecución del reporte.

Se deberá completar todas las secciones del aplicativo salvo que sea explícita su opcionalidad.

Se deberá completar todos los campos de datos solicitados salvo que sea explícita su opcionalidad.

Los archivos electrónicos que se solicite adjuntar podrán tener los siguientes formatos: .doc, .docx (MS Word), .xls, .xlsx (MS Excel), .ppt, .pptx (MS Power Point), .pdf (Acrobat Reader), .zip, .rar (formatos comprimidos), .mpp (MS Project), .vsd (MS Visio) y formato imagen (.jpg).

En todas las pantallas de cada sección, la información ingresada deberá ser grabada seleccionando el botón GUARDAR. Tomar en cuenta que, en caso contrario, la información ingresada no se recuperará.

¿Qué es el Manual del Usuario del IG-ROP?

El Manual del Usuario del IG-ROP es el documento oficial emitido por la Superintendencia, donde se explican las características técnicas requeridas para el procesamiento del servicio IG-ROP a través del Portal del Supervisado, esquema de perfiles de acceso al aplicativo así como las características funcionales para su correcto uso.

1 El Portal del Supervisado es el canal de comunicación privado entre la Superintendencia de Banca, Seguros y AFP y sus supervisados:

Bancos, Compañías de Seguro, AFPs , Financieras, Cajas Municipales, Cajas Rurales, Edpymes y otros.




Nivel Confidencial

¿Quiénes deben leer este Manual? Este Manual está destinado al responsable de la gestión del riesgo operacional en la empresa supervisada, al funcionario responsable de la información a ser ingresada en el IG-ROP así como al personal que la empresa supervisada autorice para el ingreso de información al aplicativo.

2. Arquitectura del Sistema Antes de ingresar al IG-ROP, el computador deberá contar con el siguiente software.

Software Obtener de

Microsoft Windows

Pueden ser adquiridos en los diversos distribuidores de software.

(2000,XP, 2003, Vista, Windows 7, Ubuntu 10 en adelante, Linux (cualquier versión))

Internet Explorer versión 7.x o versión superior (*), Firefox 7 o superior, Google Chrome 10 o superior, Safari 4 o superior http://www.microsoft.com/windows/ie/default.asp

Para el caso de los navegadores web, si bien en los requisitos mínimos se menciona el uso de versiones anteriores, se recomienda (para una mejor experiencia de uso del sistema y menor posibilidad de errores relacionados con el aplicativo) que se utilicen las últimas versiones de éstos. Si desea instalar alguno de los navegadores web arriba indicados, pueden visitar los siguientes enlaces para la descarga de los instaladores: Google Chrome: https://www.google.com/chrome/index.html Internet Explorer (solo para sistemas operativos Windows): http://windows.microsoft.com/es-ES/internet-explorer/products/ie/home Mozilla Firefox: http://www.mozilla.org/en-US/firefox/new/ Safari http://www.apple.com/es/safari/download/ Nota: Es necesario que el software descrito se encuentre actualizado. Para el caso de los sistemas operativos basados en Windows, se recomienda que usted esté suscrito al boletín mensual de seguridad de Microsoft, el cual provee información valiosa sobre las actualizaciones del software mostrado en la Tabla 2.1. Para que pueda suscribirse a este boletín, ingrese a la dirección siguiente: http://www.microsoft.com/technet/security/secnews. (*) Para un correcto funcionamiento del Portal del Supervisado, el navegador Web Internet Explorer tiene que tener la posibilidad de aceptar cookies. Usted podrá configurar esta opción en Internet Options (Opciones de Internet)> Privacy (Privacidad) >Advanced Privacy Settings (Configuración Avanzada de Privacidad).

https://www.google.com/chrome/index.html

http://windows.microsoft.com/es-ES/internet-explorer/products/ie/home

http://www.mozilla.org/en-US/firefox/new/

http://www.apple.com/es/safari/download/




Nivel Confidencial

3. Roles y creación de usuarios para el IG-ROP Para el uso del IG-ROP, se han definido dos roles:

1. Responsable

Es el rol a ser asignado al funcionario responsable del contenido del informe de gestión de riesgo operacional a través del IG-ROP y de su envío a la Superintendencia a través del Registro Oficial, opción permitida solamente para este rol y accedida a través del Menú Principal del aplicativo. Los usuarios que tengan asignado este rol pueden ingresar y modificar la información en el sistema así como remitir el informe a la Superintendencia realizando el Registro Oficial citado. El esquema de acceso actual al IG-ROP contempla la opción de asignar este rol a un usuario por empresa supervisada.

2. Preparador

Es el rol a ser asignado a quienes la empresa supervisada designe para el ingreso de información al IG-ROP. Los usuarios que tengan asignado este rol pueden ingresar y modificar la información en el sistema y no deberán remitir el informe de gestión de riesgo operacional a través del Registro Oficial. El esquema actual de acceso al IG-ROP contempla la opción de asignar este rol a dos usuarios por empresa supervisada.

Para la creación de los usuarios y la respectiva asignación de roles, se seguirán los procedimientos establecidos para el uso de los servicios del Portal del Supervisado:

El “Administrador del Portal” asignado por cada empresa será el responsable de crear los usuarios que tendrán acceso al IG-ROP, y de asignar el rol correspondiente. Para ello, deberán seguirse los procedimientos señalados en la “Guía del Administrador del Portal del Supervisado”, la cual se encuentra publicada en el referido Portal.

Debe tenerse en cuenta que los usuarios que sean creados tendrán acceso a la información que se registre en el aplicativo sin ninguna restricción y podrán visualizar y modificar todo o parte de la información registrada, por lo cual la empresa deberá tomar las medidas necesarias para asegurar la confidencialidad y veracidad de la información, tal como restringir el acceso a los usuarios pertinentes, e implementar las medidas adicionales de seguridad que se requieran.

4. Ingreso al IG-ROP

Ingreso al Portal del Supervisado

Para ingresar al Portal del Supervisado, siga los pasos siguientes: 1. En el navegador de Internet, digite la siguiente dirección Web (URL):

http://extranet.sbs.gob.pe, con lo cual se le presentará la siguiente pantalla:




Nivel Confidencial

2. En Usuario ingrese su nombre de usuario, el cual será asignado por el administrador del Portal del

Supervisado. 3. En Clave ingrese la contraseña o clave del usuario, el cual será asignado por el administrador del

Portal del Supervisado.

4. Al seleccionar el botón Ingresar, tanto el usuario y la clave son validados para verificar los permisos correspondientes. Si la validación resulta exitosa, se mostrará la siguiente pantalla principal del Portal del Supervisado.

5. En el caso que el usuario tuviera acceso a otros módulos adicionales al IG-ROP, se les mostrará un

ícono por cada uno de ellos.

Pantalla Principal del Portal del Supervisado




Nivel Confidencial

6. En caso se verifique la invalidez del usuario o de la clave ingresadas, se mostrará un mensaje de error.

7. En algunos casos, se mostrará un mensaje cuando el número de usuarios habilitados excede a aquél establecido en la licencia. Para el caso del IG-ROP, según lo descrito en la sección 3 del presente manual, se podrá otorgar el rol de preparador a dos usuarios y el rol de responsable a un usuario.

En este caso, sírvase contactar al Departamento de Desarrollo de Sistemas de la Gerencia de Tecnologías de Información de esta Superintendencia al teléfono 630-9000 anexo 3000 a fin de habilitar los usuarios adicionales requeridos.

Ingreso al IG-ROP

Para ingresar al IG-ROP, siga los pasos siguientes:

1. Seleccionar la opción “IG-ROP” en la sección “Contenido del Portal”. 2. Usted habrá ingresado al Módulo del IG-ROP satisfactoriamente cuando se muestre la pantalla:




Nivel Confidencial

5. Menú Principal del IG-ROP El Menú Principal del IG-ROP aparecerá en la sección superior de todas las pantallas del aplicativo. Este menú le permitirá navegar y elegir las diferentes operaciones a realizar para el llenado, consulta y envío del Informe de Gestión de Riesgos de Operación.

El Menú se compone de las siguientes opciones: a) Registrar IG-ROp.- Permite ingresar el detalle del informe de gestión de riesgo operacional presentando en el margen izquierdo el índice del IG-ROP y, en la sección derecha, los formatos asociados a cada sección y sub-sección del aplicativo. b) Ver Reporte.- Permite visualizar la información ingresada al aplicativo con formato de reporte y generado en *.pdf para facilitar su almacenamiento e impresión. c) Validar Llenado.- Muestra el estado de avance en el ingreso de información al IG-ROP en forma de lista de chequeo así como presenta resúmenes porcentuales del progreso. d) Confirmar IG-ROp.- Permite realizar el registro oficial para el envío del Informe hacia la Superintendencia. Cabe resaltar que el registro oficial se realizará por única vez y constituirá el reporte oficial de la empresa. El registro oficial solo puede ser ejecutado por el funcionario responsable del reporte cuyos datos estarán consignados en la sección Nº 1 del IG-ROP. e) Ver Auditoría.- Muestra todas las operaciones de ingreso y de modificación de información realizados al IG-ROP registrando el usuario, sección, sub-sección, fecha y hora de ejecución.




Nivel Confidencial

6. Llenado del Informe Seleccionar la opción “Registrar IG-ROp” en el Menú Principal. A la izquierda de la pantalla, se podrá visualizar una sección que muestra las sub-secciones en las que se compone el informe de gestión de riesgo operacional, en adelante índice.

El índice del IG-ROP está compuesto por catorce secciones las que cuentan con sub-secciones definidas dentro de cada pantalla. A continuación, se presentará el detalle de estas sub-secciones del informe, las que deberán ser completadas en su totalidad, salvo opcionalidad indicada, para fines de reporte oficial a esta Superintendencia.

6.1 Datos del Registro Oficial Se ubica en la Sección 1 del IG-ROP. Se ingresará los datos del funcionario responsable de la información ingresada y del registro oficial a través del IG-ROP; dicho funcionario deberá tener asignado el rol de “Responsable” definido en la sección 3 del presente manual. El funcionario responsable podrá tener nivel gerencial, ser Director o ser funcionario principal según la definición establecida en la Circular G-119-2004 referida a las normas para el registro de Directores, Gerentes y Principales funcionarios – REDIR.




Nivel Confidencial

6.2 Funcionario Responsable del Reporte de la Unidad de Riesgo Operacional

Se ubica en la sección 2 del IG-ROP. Se ingresará los datos del funcionario responsable de la gestión del riesgo operacional en la empresa.

6.3 Líneas de Negocio, Tipo de Producto y Procesos de Soporte Se ubica en la sección 3 del IG-ROP. Se presentan las líneas de negocio y tipo de producto Nivel 1 y Nivel 2, (Ver Anexo 1 – Taxonomía)

En la Sección 3.1 se debe marcar los productos (Nivel 2) de acuerdo a la línea de negocio con los que cuenta la empresa a la fecha de realizar el informe.




Nivel Confidencial

6.4 Organización para la gestión del riesgo operacional Se encuentra en la Sección 4 del IG-ROp. En la Sección 4.1 se ingresa información relacionada con la organización y estructura para realizar la gestión de riesgo operacional, lo cual incluye indicar si se cuenta con un área y comité especializado, la cantidad de personal a dedicación parcial o exclusiva y la cantidad de coordinadores de riesgo operacional. En la Sección 4.2 es obligatorio adjuntar un archivo electrónico con el organigrama de la empresa supervisada el cual deberá contener el detalle suficiente para identificar al Área de Riesgo Operacional o aquella Unidad que realice su función. La Sección 4.3 permite, en forma opcional, ingresar comentarios o información adicional referida a la organización para la gestión del riesgo operacional, así como cualquier otra información complementaria a la ingresada en la sección 4.1 que resulte necesaria para describir la integridad de la estructura organizativa, su dinamismo y los principales cambios o novedades en las políticas o procedimientos que le atañen.

6.5 Responsabilidades de la gestión del riesgo operacional Se ubica en la Sección 5 del IG-ROP. La Sección 5.1 permite ingresar las responsabilidades de los involucrados que participan en las diferentes actividades de la gestión de riesgo operacional en la empresa.




Nivel Confidencial

La Sección 5.2 permite, en forma opcional, ingresar comentarios o información adicional.

6.6 Metodología para la gestión de riesgo operacional Se ubica en la Sección 6 del IG-ROP. La Sección 6.1 hace referencia a la definición de apetito y tolerancia por riesgo operacional. Asimismo, la empresa debe explicar cómo ha incorporado estas definiciones en la aplicación de la metodología.

En la Sección 6.2 se debe ingresar las características de los valores utilizados para medir la probabilidad y el impacto de los riesgo evaluados.

La Sección 6.3 se relaciona con la periodicidad con la que se informa al Directorio sobre la gestión de riesgo operacional.




Nivel Confidencial

Asimismo, la Sección 6.4 está referida a la periodicidad con la que se actualizan los riesgos identificados en los procesos críticos (reevaluación).

En la Sección 6.5 se debe ingresar información relacionada a la gestión del riesgo operacional en nuevos productos, lanzados en el periodo reportado.

En caso la empresa marque “si” como respuesta, deberá completar el cuadro que aparece a continuación:

Solo se mostrarán las líneas de negocio seleccionadas en la sección 3.1. Al respecto, deberán indicar el nombre del producto, una breve descripción, así como los resultados de la evaluación del riesgo operacional, expresados a través del número máximo de eventos esperados y el total de pérdida máxima esperada en un horizonte de 1 año. Deben adjuntar en forma obligatoria el informe de evaluación de riesgos.

En caso se requiera agregar líneas adicionales (máximo 10 filas), se utilizará el símbolo . En la Sección 6.6 se debe ingresar información relacionada a la gestión del riesgo operacional asociada a cambios significativos en el ambiente operativo o informático, realizados en el período reportado.





Nivel Confidencial

Solo se mostrarán las líneas de negocio, productos y procesos de soporte seleccionados en la sección 3.1. Para todos los casos, se deberá escoger la línea de negocio donde se realizó el cambio significativo; asimismo, se deberá marcar el producto y/o proceso de soporte que afectó. Es obligatorio incluir una breve descripción de dicho cambio y adjuntar el informe de evaluación de riesgos.

En caso se requiera agregar líneas adicionales (máximo 5 filas), se utilizará el símbolo . En la Sección 6.7 se debe ingresar información relacionada a la gestión del riesgo operacional asociada a la subcontratación significativa, realizada en el período reportado.


Solo se mostrarán los productos y procesos de soporte seleccionados en la sección 3.1. Para todos los casos, se deberá escoger el producto y/o proceso de soporte que afectó. Es obligatorio incluir el nombre del proveedor y contestar las preguntas relacionadas.

En caso se requiera agregar líneas adicionales (máximo 10 filas), se utilizará el símbolo . La Sección 6.8 se relaciona con la implementación de un sistema de incentivos que fomente una adecuada gestión de riesgo operacional.


El aplicativo permite marcar las opciones de incentivos monetarios y no monetarios en forma simultánea; asimismo, deberá indicarse si dichos incentivos aplican para gerencias y/o personal operativo y/o personal de negocios. En la Sección 6.9 se deberá ingresar la periodicidad con la que se realizan las capacitaciones relacionadas a riesgo operacional.




Nivel Confidencial

En la Sección 6.10 es obligatorio adjuntar el Manual de Riesgo Operacional vigente al año de reporte.

La Sección 6.11 permite, en forma opcional, ingresar comentarios o información adicional referida a la metodología utilizada para evaluar el riesgo operacional, así como cualquier otra información complementaria a la ingresada.

6.7 Implementación de la Metodología para la gestión de riesgo operacional Se ubica en la Sección 7 del IG-ROP, y se ingresará información que sustente la implementación de la metodología en la empresa, relacionada con matrices de riesgo, indicadores clave de riesgos y base de datos de eventos de pérdida. En la Sección 7.1 se debe ingresar la información incluida en las matrices de riesgo de los diferentes productos, como el número de riesgos identificados, número de riesgos extremos y altos, número de riesgos extremos y altos con plan de acción implementado así como la pérdida máxima estimada del riesgo con mayor monto asociado en un horizonte temporal, que puede ser de 1 año, 5 años, 10 años, 20 años o más. Cabe resaltar que solo se mostrarán las líneas de negocio y productos seleccionados en la sección 3.1.

La Sección 7.2 está referida a la gestión de indicadores claves de riesgos (KRIs). En la Sección 7.2.1 se deberá ingresar si la empresa cuenta con políticas y procedimientos aprobados para la implementación de KRIs. En caso la empresa marque “si” como respuesta, deberá adjuntar el documento de las políticas y procedimientos aprobados, y continuar con la siguiente sección.




Nivel Confidencial

En la Sección 7.2.2 se ingresará información relacionada con los procedimientos para la implementación de KRIs, como si se ha implementado criterios para el desarrollo de indicadores así como procedimientos para su revisión y actualización. Asimismo, se debe indicar el número de KRIs con los que cuenta la empresa así como si dichos indicadores se encuentran alineados con los objetivos de la empresa y su apetito por el riesgo.

La Sección 7.3 está referida a la gestión de la base de datos de eventos de pérdida por riesgo operacional. En la Sección 7.3.1 se deberá ingresar si la empresa cuenta con políticas y procedimientos aprobados referidos a la gestión de dicha base de datos. En caso la empresa marque “si” como respuesta, deberá completar el cuadro adjunto, en el que se solicita información relacionada con la definición de criterios para la asignación de eventos de pérdida por tipos de evento y línea de negocio, así como si se han definido criterios para la asignación de aquellos eventos que estén asociados a más de una línea de negocio y criterios para identificar aquellos eventos asociados a otros tipos de riesgo diferente al operacional. Asimismo, deben indicar el umbral definido para el registro de los eventos de pérdida, así como el monto mínimo a partir del cual se generará un expediente físico. Por último, deben ingresar la frecuencia con la que se concilia la información de la base de datos con la información contable.

En la Sección 7.3.2 se ingresará información relacionada con los eventos de pérdida registrados en la base de datos, cabe resaltar que solo se mostrarán las líneas de negocio seleccionados en la Sección 3.1. Por cada línea de negocio, se deberá llenar según el tipo de evento, el número de eventos registrados, el monto total bruto de la pérdida (referido al total de número de eventos), el monto de la máxima pérdida registrada (el mayor evento registrado), así como el monto de recuperado con coberturas




Nivel Confidencial

existentes y finalmente el monto total recuperado. Asimismo, la empresa debe ingresar el año en que inició el registro de los eventos de pérdida.

La Sección 7.4 permite, en forma opcional, ingresar comentarios o información adicional referida a la implementación de la metodología, así como cualquier otra información complementaria a la ingresada.

6.8 Sistema Informático Se ubica en la Sección 8 del IG-ROP. Esta sección está referida a los sistemas informáticos utilizados por la empresa para la gestión del riesgo operacional.

En caso la empresa marque “si” como respuesta a la pregunta de la Sección 8.1, deberá continuar con las siguientes secciones. En la Sección 8.2, se ingresará información relacionada con las características del sistema informático. Debe indicarse si el sistema fue provisto por un tercero o fue un desarrollo interno, el aplicativo permitirá marcar las dos opciones en forma simultánea. En el caso que el sistema haya sido provisto por un tercero, debe especificarse el/los software(s) utilizados. De la misma manera, si fue un desarrollo interno, debe indicarse si fue desarrollado por la propia empresa o provisto por el Grupo.




Nivel Confidencial

En la Sección 8.3 se deberá indicar el sistema informático que soporta las diferentes actividades de la gestión de riesgo operacional.

La Sección 8.4 permite, en forma opcional, ingresar comentarios o información adicional referida a los sistemas informáticos utilizados, así como cualquier otra información complementaria a la ingresada.

6.9 Controversias Judiciales y otros aspectos similares Se ubica en la Sección 9 del IG-ROp. Se debe ingresar información relacionada con las controversias judiciales y procesos arbitrales, en los que la empresa es la demandada. Asimismo, los procedimientos administrativos iniciados a la empresa. La Sección 9.1 se refiere a las controversias judiciales en los diferentes tipos de procesos, los datos a ingresar son acumulados, es decir el total de procesos que mantenga la empresa a la fecha de reporte. La información solicitada es el número de procesos, monto del petitorio2 y monto de provisión, en las diferentes instancias del proceso, así como el gasto reconocido3 al momento del fallo definitivo.

2 Monto petitorio – Monto con el cual se inicia el proceso o procedimiento, según requerimiento de la demanda o denuncia.

3 Gasto Reconocido – Incluye el monto ordenado por la sentencia, más los intereses, costos y costas que se generen por el proceso.




Nivel Confidencial

En caso se requiera agregar otro tipo de proceso, se utilizará el símbolo .

En la Sección 9.2 se ingresarán los procesos arbitrales, los datos a ingresar son acumulados, es decir el total de procesos que mantenga la empresa a la fecha de reporte. Se debe considerar como “gasto reconocido”, el monto ordenado por la sentencia, los intereses, costos y costas que se generen por el proceso.

En la Sección 9.3 se deben registrar los procedimientos administrativos iniciados a la empresa, los datos a ingresar son acumulados, es decir el total de procedimientos que mantenga la empresa a la fecha de reporte.

En caso se requiera agregar otro procedimiento, se utilizará el símbolo .

La Sección 9.4 permite, en forma opcional, ingresar comentarios o información adicional referida a los sistemas informáticos utilizados, así como cualquier otra información complementaria a la ingresada.

6.10 Gestión de Seguros Se ubica en la Sección 10 del IG-ROp. En la Sección 10.1 se debe ingresar información relacionada con las pólizas de seguro vigentes que la empresa cuenta a la fecha del reporte, así como la suma asegurada. Asimismo, se debe indicar el número de veces que se hizo uso del seguro así como la pérdida asociada y el monto recuperado.




Nivel Confidencial

La Sección 10.2 permite, en forma opcional, ingresar comentarios o información adicional referida a la gestión de seguros, así como cualquier otra información complementaria a la ingresada.

6.11 Plan de Trabajo

Se ubica en la Sección 11 del IG-ROP. Permite ingresar el plan de trabajo de la unidad de riesgo operacional o de la unidad que haga sus veces para el año de reporte. La información a presentar debe estar referida a las actividades detalladas en la Sección 11.1.

En caso se requiera agregar líneas adicionales, se utilizará el símbolo .

6.12 Gestión de la Continuidad del Negocio Los aspectos referidos a la gestión de la continuidad del negocio son reportadas a través de la Sección 12 del IG-ROP, las secciones que incluye son: estructura organizativa, análisis de impacto, planes de continuidad, pruebas y capacitaciones relacionadas.




Nivel Confidencial

Estructura Organizativa La Sección 12.1 recoge información de contacto del funcionario responsable de gestionar la continuidad del negocio, de su área y personal dedicado, y de su línea de reporte.

La Sección 12.2 permite ingresar datos relacionados a la organización para la gestión de crisis. Para las dos primeras preguntas, en caso que la respuesta sea afirmativa, es obligatorio adjuntar un archivo.

Análisis de Impacto y Evaluación de Riesgos La Sección 12.3 permite reportar los avances en la realización del análisis de impacto y la evaluación de riesgos por cada línea de negocio o producto seleccionado en la Sección 3.1, así como si se cuenta con un coordinador de continuidad por línea de negocio. Para esta sección, se ha considerado dos tipos de escenarios: una interrupción específica a la línea de negocio y una catástrofe que afecte a todo el sistema financiero, como por ejemplo, un sismo igual o superior a grado IX de Mercalli u 8 de Richter. De existir por lo menos una respuesta afirmativa, será obligatorio adjuntar un archivo de sustento.




Nivel Confidencial

Planes de Continuidad En la Sección 12.4 se ingresan los datos relacionados a la implementación de los planes de continuidad por cada línea de negocio y producto seleccionado en la Sección 3.1, tales como si cuentan con lineamientos de acción ante catástrofes de impacto sistémico, planes específicos para cada línea de negocio, sitios alternos de negocios y soporte informático. Asimismo, los tiempos objetivos de recuperación deben ser registrados en horas. Además, también debe indicar si se han considerado estrategias de continuidad para algunos medios de pago y mecanismos de compensación.

Planes de Emergencia La Sección 12.5 recoge datos sobre la implementación de los planes de emergencia y la cantidad de agencias y oficinas que cuentan con un plan de emergencia y cuántas de ellas han sido probadas durante el periodo de reporte.

Plan de Recuperación de los Servicio de Tecnología de la Información La Sección 12.6 referida a la gestión de la recuperación de los servicios de tecnologías de la información requiere información acerca de la existencia de un comité específico, en cuyo caso es obligatorio adjuntar un archivo, y la cantidad de personal previsto para su gestión.




Nivel Confidencial

En la Sección 12.7 se ingresan los datos referidos a la implementación de centros de procesamiento de datos, el nombre o denominación por el cual es conocido, el tipo, si se encuentra subcontratado, el proveedor, la ubicación (Lima/Provincias/Fuera del país) y sobre la existencia de un análisis sobre la ubicación del centro de procesamiento de datos alterno, el mismo que deberá ser adjuntado. Para reportar la información en la columna Tipo (de centro de procesamiento), debe tomarse en consideración lo siguiente:

- Principal, significa que el centro de procesamiento a reportar incluye únicamente ambientes de

producción de sistemas informáticos.

- Alterno, significa que el centro de procesamiento a reportar incluye únicamente ambientes que

no son de producción de sistemas informáticos.

- Mixto, significa que el centro de procesamiento a reportar alberga por lo menos un ambiente de

producción de sistemas informáticos y un ambiente procesamiento para casos de contingencia.

La Sección 12.8 permite seleccionar las características de configuración del centro de procesamiento de datos alterno. De existir un sitio alterno pre configurado con datos restaurados, se deberá indicar la frecuencia de actualización en horas.

Pruebas de Continuidad En la Sección 12.9 se registrará la información concerniente a la naturaleza y resultados de las pruebas de continuidad realizados por cada línea de negocio y producto seleccionados en la sección 3.1; deberá precisarse información de los escenarios probados, la utilización de instalaciones alternas, el tiempo recuperación y los resultados obtenidos para la prueba del escenario de indisponibilidad total de la oficina principal:

„Bueno‟: la prueba se concluyó, se alcanzaron los objetivos de la prueba

„Con posibles mejoras‟: la prueba de concluyó, pero con incidentes en el desarrollo de la misma como, por ejemplo, no se cumplieron los tiempos de recuperación objetivo, no se contaron con algunos recursos, entre otros.




Nivel Confidencial

„Malo‟: la prueba no pudo concluir

En la Sección 12.10 se permite describir otros escenarios de contingencia probados que no hayan sido contemplados en la sección anterior.

Capacitación La Sección 12.11 permite registrar las actividades de capacitación y entrenamiento realizadas, recogiendo la cantidad de horas y personas capacitadas y entrenadas.

Otros La Sección 12.12 permite adjuntar un documento con comentarios adicionales acerca del sistema de gestión de la continuidad del negocio.




Nivel Confidencial

6.13 Gestión de la Seguridad de la Información El propósito de la Sección 13 del IG-ROP es permitir el registro de diversos aspectos acerca de la gestión de la seguridad de la información, tales como la estructura organizativa, el ambiente de control de los sistemas informáticos, la gestión de activos de información y de tecnologías de la información, herramientas para su gestión, revisiones periódicas y capacitaciones.

Estructura Organizativa La Sección 13.1 recaba los datos de contacto del funcionario responsable de gestionar la seguridad de la información, de su área y personal designado, así como su línea de reporte.

Ambiente de Control de los Sistemas Informáticos En la Sección 13.2 se registra la información acerca de los sistemas informáticos que brindan soporte a las líneas de negocio y productos seleccionados en la Sección 3.1, indicando la cantidad de sistemas informáticos que son utilizados, cuántos de ellos están sujetos a procedimientos de control de accesos, revisiones de accesos concedidos, o están sometidos a procedimientos de control de cambios.

Gestión de Activos de Información La Sección 13.3 permite registrar datos sobre la información en medios físicos utilizada en diferentes líneas de negocio o productos con los que opera y que fueron previamente seleccionados en la sección 3.1. Si ésta ha sido clasificada en su totalidad, deberá indicar „Si‟; si no ha sido clasificada en su totalidad, se colocará „No‟, y si ha sido clasificada en algunos casos, se señalará „Parcialmente‟; además, se debe indicar si se han tomado medidas de protección ante pérdida o daño como la generación de microformas de valor legal, almacenamiento remoto u otro medio.




Nivel Confidencial

En la Sección 13.4 se permite registrar el esquema de respaldo de la información digital, mediante respaldo en línea o copias de respaldo, indicando, de ser el caso, la frecuencia y si es almacenada en el centro de procesamiento de datos alterno u otra ubicación alternativa.

Gestión de Activos de Tecnología de la Información La Sección 13.5 permite registrar si se mantiene un inventario actualizado del hardware y software, y si es verificado periódicamente. Por otra parte, la sección 13.6 permite registrar si se realiza una verificación periódica del licenciamiento del software utilizado. En caso de registrarse una respuesta afirmativa, es obligatorio adjuntar evidencia.




Nivel Confidencial

Disponibilidad de Herramientas para la Gestión de la Seguridad de la Información En la Sección 13.7 permite registrar información acerca del soporte informático para gestionar la seguridad de la información, indicando para diversas actividades de la seguridad de la información, si se cuenta o no con una herramienta de soporte y el nombre o denominación de la misma.

Revisiones periódicas a cargo de la función de seguridad de la información La Sección 13.8 recopila información acerca de si se han realizado o no las revisiones periódicas correspondientes al periodo de reporte.

Capacitación y Difusión La Sección 13.9 permite registrar las actividades de capacitación realizadas, incluyendo la cantidad de horas invertidas y el número de personas capacitadas; así como si se difunden las políticas y buenas prácticas de seguridad de la información a todo el personal.




Nivel Confidencial

Otros La Sección 13.10 permite adjuntar un documento con comentarios adicionales acerca del sistema de gestión de la seguridad de la información.

6.14 Revisiones de Auditoría Interna y Externa Se ubica en la Sección 14 del IG-ROP. Se refiere a las revisiones que realiza la unidad de Auditoría Interna a las gestiones de riesgo operacional, continuidad el negocio y seguridad de la información. Del mismo modo, se solicita información sobre las revisiones realizadas por una sociedad auditora externa. En la Sección 14.1 se debe indicar si la Unidad de Auditoría Interna ha realizado una revisión a la gestión de riesgo operacional, si la respuesta es afirmativa, deberá incluir el informe respectivo. En la Sección 14.2 se debe indicar si una Sociedad de Auditoría Externa ha realizado una revisión sobre dicha gestión, en caso sea afirmativo la respuesta, deberá indicar la fecha en que se realizó y adjuntar el informe respectivo.

En la Sección 14.3 se debe indicar si la Unidad de Auditoría Interna ha realizado una revisión a la gestión de seguridad de la información, si la respuesta es afirmativa, deberá incluir el informe respectivo.

En la Sección 14.4 se debe indicar si una Sociedad de Auditoría Externa ha realizado una revisión sobre dicha gestión, en caso sea afirmativo la respuesta, deberá adjuntar el informe respectivo.




Nivel Confidencial

En la Sección 14.5 se debe indicar si la Unidad de Auditoría Interna ha realizado una revisión a la gestión de continuidad del negocio, si la respuesta es afirmativa, deberá incluir el informe respectivo.

En la Sección 14.6 se debe indicar si una Sociedad de Auditoría Externa ha realizado una revisión sobre dicha gestión, en caso sea afirmativo la respuesta, deberá adjuntar el informe respectivo.

La Sección 14.7 permite, en forma opcional, ingresar comentarios o información adicional referida a la gestión de seguros, así como cualquier otra información complementaria a la ingresada.

7. Validación del Llenado En el Menú Principal se puede elegir la opción “Validar Llenado” a fin de conocer el estado de avance del registro de las secciones del IG-ROP.

Está compuesto de dos partes: a) resumen porcentual del llenado; y b) Lista de chequeo del llenado por sección del IG-ROP.




Nivel Confidencial

8. Confirmación del Reporte En el Menú Principal, la opción “Confirmar IG-ROp” permite al usuario que tenga asignado el rol de “Responsable” y cuyos datos fueron reportados en la Sección 1: Datos del Registro Oficial, realizar el reporte oficial del IG-ROP enviándolo a través del Portal del Supervisado.

El registro oficial se podrá realizar por única vez. La empresa deberá haber ingresado toda la información requerida por el IG-ROP dentro del periodo de reporte que la Superintendencia asigne para tal fin. En el caso que la empresa no realice el registro oficial dentro del plazo establecido, se registrará el retraso en la presentación del informe el cual constituye un incumplimiento normativo. El Funcionario Responsable deberá tomar en cuenta el acuerdo de registro que se presenta en la pantalla y que contiene el siguiente texto para evitar inconvenientes: “Usted realizará el Reporte Oficial del Informe de Gestión de Riesgo Operacional en cumplimiento de la Resolución SBS Nº 2116-2009, la Circular G-139-2009 y la Circular G-140-2009. Sírvase verificar que la información consignada es correcta y completa, ya que una vez confirmada no se podrá modificar su contenido. ¿Desea continuar con el registro oficial?”. El sustento de los datos consignados deberá permanecer en la empresa y estar a disposición de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

9. Revisión de las actualizaciones del Informe En el Menú Principal se podrá elegir la opción “Ver Auditoría” para acceder al registro de actualizaciones realizadas en las sub-secciones del IG-ROP.




Nivel Confidencial

La información disponible consta de la sección modificada, el campo modificado, el último usuario que realizó la actualización y la última fecha de actualización.

Si desea ver el detalle histórico de un campo en particular, se selecciona el enlace “Más...” en la columna “Acciones” que se encuentra en la fila correspondiente:

10. Generación del reporte del Informe enviado En el Menú Principal se podrá elegir la opción “Ver Reporte” a fin de visualizar en formato reporte e imprimir el contenido ingresado al IG-ROP. Cabe resaltar que los reportes diseñados indicarán si se adjuntó información en determinada sección mas no la imprimirá. Las impresiones podrán ser realizadas antes y después de efectuar el registro oficial.




Nivel Confidencial

ANEXO 1: Taxonomía

a. SISTEMA FINANCIERO: El presente cuadro presenta las líneas de negocio y tipo de producto de las empresas del sistema financiero, que deben ser considerados para completar la Sección 3.1.

Línea de Negocios

Nivel 1

Tipo de producto

Nivel 1Tipo de producto Nivel 2

Emisión de acciones

Emisión de bonos

Emisión de productos estructurados

Titulización de activos

Oferta Privada

Financiamiento sindicado

Fusión y adquisición

Servicios de asesoría corporativa

Renta Fija

Renta variable (acciones)

Moneda extranjera e instrumentos del mercado monetario

Repos

OTC y Títulos derivados de tasa de interés

OTC y derivados crediticios

OTC y derivados de tipo de cambio / moneda extranjera

OTC y derivados de renta variable

OTC y derivados de commodities

Otros OTC e instrumentos derivados

Prestamos

Mivivienda

Capitalización inmobiliaria

Otros créditos hipotecarios

Avances en cuenta corriente

Tarjetas de crédito

Sobregiros en cuenta corriente

Arrendamiento financiero

Lease-back

Pignoraticio

Crédito automotriz

Créditos con garantía hipotecaria (revolventes y no revolventes)

Préstamos revolventes (inc. Convenios)

Préstamos no revolventes (inc. Convenios)

Avales / Cartas fianza / Carta de crédito

Otros créditos




Descuentos (pagarés y letras)

Préstamos revolventes

Préstamos no revolventes


Factoring


Lease-back

Comercio exterior

Crédito inmobiliario


Otros créditos

Banca minorista

Crédito minorista

microempresas

Finanzas

corporativas

Emisión de valores

representativos de

capital

Servicios financieros

corporativos

Negociación y ventas

Derivados e

Instrumentos

negociables

Crédito minorista de

consumo

Crédito minorista

hipotecario




Nivel Confidencial

Línea de Negocios

Nivel 1

Tipo de producto





Descuentos (pagarés y letras)




Factoring


Lease-back

Comercio exterior



Otros créditos

Depósitos en cuenta corriente

Depósitos de ahorro (activos e inactivos)

Cuentas a plazo

Depósitos para planes progresivos

Depósitos compensación de tiempo de servicios




Descuentos




Factoring


Lease-back

Comercio exterior


Financiación estructurada


Otros créditos




Descuentos




Factoring


Lease-back

Comercio exterior




Otros créditos

Banca comercial

Banca Minorista

Crédito grandes

empresas

Depósito minorista

Crédito minorista

pequeñas empresas

Crédito medianas

empresas




Nivel Confidencial

Línea de Negocios

Nivel 1

Tipo de producto





Descuentos




Factoring


Lease-back

Comercio exterior




Otros créditos

Depósitos en cuenta corriente

Depósitos de ahorro (activos e inactivos)

Cuentas a plazo

Liquidación y pagos Administración de cuentas personales

Administración de cuentas empresariales

Pagos electrónicos

Pagos manuales

Compensación

Liquidaciones

Remesas

Servicio de compra/venta de moneda extranjera

Otros Servicios Servicios de custodia

Fideicomisos

Servicios por acciones corporativas

Servicios de registo y administración de títulos valores

Corretaje

Asesoría financiera

Servicios de gestión de portafolio

Servicios de ejecución de operaciones

Servicios de asesoría en gestión de portafolios

Créditos interbancarios colateralizados

Administración de fondos

Administración de activos de inversionistas institucionales tradicional

Administración de activos de inversionistas institucionales alternativo

Servicio de corretaje completo

Servicio de corretaje autodirigido

Otros servicios Otros servicios

Banca comercial

Crédito corporativo

Depósito comercial

Administración de

efectivo, pagos y

liquidaciones

Gestión de inversiones

y encargos de

confianza

Productos de inversión

Corretaje /Brokerage




Nivel Confidencial

b. SISTEMA DE SEGUROS Y ADMINISTRADORAS DE FONDOS DE PENSIONES: El cuadro adjunto presenta las líneas de negocio y tipo de producto del sistema de Seguros y AFP, que deben ser considerados para completar la Sección 3.1.

LINEAS DE NEGOCIO GENÉRICAS PARA SEGUROS

Tipo de producto Tipo de producto

Nivel 1 Nivel 2

Pólizas contra incendios

Pólizas Líneas Aliadas Incendio

Pólizas Lucro Cesante

Pólizas Cristales

Pólizas Terremoto

Pólizas Domiciliario

Pólizas todo riesgo para contratistas

Pólizas Rotura de maquinaria

Pólizas Lucro cesante de Rotura de maquinaria

Pólizas Montaje contra todo riesgo

Pólizas todo riesgo equipo electrónico

Pólizas todo riesgo equipo para contratistas

Pólizas Calderas

Pólizas Robo y asalto

Pólizas Deshonestidad frente a la empresa

Pólizas Comprensivo contra deshonestidad

Pólizas Seguro de Bancos

Responsabilidad civil Pólizas emitidas por responsabilidad civil

Póliz Transportes Pólizas Marítimo – Cascos

Aviación

Se refiere a pólizas emitidas frente a los siguientes riesgos:

Pólizas Vehículos

Pólizas Líneas aliadas vehículos

Pólizas SOAT

Pólizas ccidentes personales

Pólizas Escolares

Asistencia médica Se refiere a pólizas emitidas por asistencia médica

Pólizas Cauciones

Pólizas Crédito Interno

Pólizas Crédito a la exportación

Pólizas Multiseguros

Pólizas Agrícola

Pólizas Misceláneos

Pólizas Animales

Línea de Negocios

Nivel 1

Ramos generales

Incendio y Domiciliario

Ramos Técnicos

Robo, Bancos y 3D

Cascos, Transportes y Aviación

Autos y SOAT

Accidentes personales

Otros




Nivel Confidencial

Tipo de producto Tipo de producto

Nivel 1 Nivel 2

Pólizas seguro de Vida en Grupo Particular

Pólizas Seguro de Vida para Trabajadores

Pólizas Seguro de Desgravamen

Pólizas Seguro de Vida Individual de Corto Plazo

Pólizas Sepelio de Corto Plazo

Pólizas Seguro de Vida Individual de Largo Plazo

Pólizas Sepelio de Largo Plazo

Pólizas Seguro de Vida para ex - Trabajadores

Pólizas Renta Particular

Pólizas Pensiones del Seguro Complementario de Trabajo

de Riesgo

Pólizas Renta de Jubilación

Pólizas Pensión de Invalidez

Pensión de Sobrevivencia

Pólizas pensión de Invalidez-Régimen Temporal

Póliza pensión de Sobrevivencia-Régimen Temporal

Pólizas Seguro Complementario de Trabajo de Riesgo

Pólizas Invalidez

Pólizas Sobrevivencia

Pólizas Gastos de Sepelio

Finanzas corporativas Deuda subordinada

Emitir acciones

Ofertas públicas iniciales

colocaciones en mercado secundario, fideicomiso

Negociación y ventasNegociación y ventasRenta fija, renta variable, divisas, posiciones propias en

valores, operaciones con pacto de recompra.

Línea de Negocios

Nivel 1

Créditos Créditos Fianzas, créditos hipotecarios para trabajadores.

Ramos de vida

Seguros de Vida en Grupo

Seguros de Vida Individual y Rentas

Seguros Previsionales y SCTR

Finanzas corporativas

LINEAS DE NEGOCIO PARA DERRAMAS Y CAJA MILITAR POLICIAL

Línea de Negocios

Nivel 1

Tipo de producto

Nivel 1

Tipo de producto

Nivel 2

Ahorro previsional Pensiones Pensiones

Derramas Derramas Derramas

Pérstamos de consumo Préstamos de consumo

Préstamos hipotecarios Préstamos hipotecarios

Inversiones Inversiones Inversiones

Otros servicios Otros servicios Otros servicios

Créditos a los asociados




Nivel Confidencial

LINEAS DE NEGOCIO GENÉRICAS PARA AFP

Línea de Negocio : Nivel 1

Tipo de producto: Nivel 1

Administración de fondos Administración de aportes obligatorios

Administración de aportes voluntarios

Documents

Manual del Usuario del ISOC - extranet.sbs.gob.pe Manual del Usuario-vf... · (formatos comprimidos), .mpp (MS Project), .vsd (MS Visio) y formato imagen (.jpg). En todas las pantallas