06 04 2009 - Se1

Descargado desde www.elperuano.com.
pe
AO DE LA UNIN
NACIONAL FRENTE A
LA CRISIS EXTERNA
FUNDADO
EN 1825 POR
EL LIBERTADOR
SIMN BOLVAR
lunes 6 de abril de 2009
Resolucin SBS N 2115-2009 - Reglamento

para el Requerimiento de Patrimonio Efectivo por
Riesgo Operacional y Modificacin del Manual
de Contabilidad para las Empresas del Sistema
Financiero.
Resolucin SBS N 2116-2009 - Reglamento
para la Gestin del Riesgo Operacional, y
Sustitucin del artculo 117 del Ttulo VI del
Compendio de Normas de Superintendencia
Reglamentarias del SPP.
Circular N G-139-2009 - Gestin de la
Continuidad del Negocio.
Circular N G-140-2009 - Gestin de la Seguridad
de la Informacin.
NORMAS LEGALES
SEPARATA ESPECIAL
El Peruano
Lima, lunes 6 de abril de 2009
NORMAS LEGALES
RESOLUCIN SBS N 2115-2009
Descargado desde www.elperuano.com.pe
Lima, 2 de abril de 2009

EL SUPERINTENDENTE DE BANCA, SEGUROS Y
ADMINISTRADORAS PRIVADAS DE FONDOS DE
PENSIONES
CONSIDERANDO:
Que, mediante el Decreto Legislativo N 1028 se
modific la Ley General del Sistema Financiero y del
Sistema de Seguros y Orgnica de la Superintendencia
de Banca y Seguros - Ley N 26702, en adelante Ley
General, para permitir la implementacin en nuestro
pas a partir del 1 de julio de 2009 de los estndares
recomendados por el Comit de Supervisin Bancaria de
Basilea referidos a medidas y normas de capital;
Que, la implementacin en nuestro pas de los
estndares recomendados por el Comit de Supervisin
Bancaria de Basilea permitir adecuar los requerimientos
de patrimonio efectivo al riesgo efectivamente asumido
por las empresas;
Que, en el artculo 186 de la Ley General modificado
por el Decreto Legislativo N 1028 se establece que para
el clculo del requerimiento de patrimonio efectivo por
riesgo operacional, las empresas del sistema financiero
utilizarn el mtodo del indicador bsico, el mtodo
estndar alternativo o mtodos avanzados;
Que, en el artculo 194 de la Ley General modificado
por el Decreto Legislativo N 1028 se dispone que
las empresas del sistema financiero podrn iniciar el
clculo del requerimiento de patrimonio efectivo por
riesgo operacional mediante el mtodo del indicador
bsico o el mtodo estndar alternativo. No obstante, se
precisa que para el uso del mtodo estndar alternativo
se requiere previa autorizacin de la Superintendencia
segn las normas que establezca este rgano de
Control;
Que, asimismo, en el artculo 194 de la Ley General
modificado por el Decreto Legislativo N 1028 se seala
que para hacer uso de los mtodos avanzados se requiere,
tambin, autorizacin previa de esta Superintendencia
segn las normas que establezca este rgano de
Control;
Que, en consecuencia, resulta necesario establecer
la metodologa que deber aplicarse, as como los
requisitos que debern cumplirse, para efectuar el
clculo del requerimiento de patrimonio efectivo
por riesgo operacional bajo el mtodo del indicador
bsico, el mtodo estndar alternativo o los mtodos
avanzados;
Que, mediante Resolucin SBS N 895-98 y sus
normas modificatorias y complementarias se aprob el
Manual de Contabilidad para las Empresas del Sistema
Financiero;
Que, resulta necesario modificar el Captulo V
Informacin Complementaria del Manual de Contabilidad
para incorporar los Reportes correspondientes al clculo
de los requerimientos de patrimonio efectivo por riesgo
operacional;
Estando a lo opinado por las Superintendencias
Adjuntas de Banca y Microfinanzas, de Riesgos y de
Asesora Jurdica, as como por la Gerencia de Estudios
Econmicos; y,
En uso de las atribuciones conferidas en los numerales
7, 9 y 13 del artculo 349 de la Ley General.
RESUELVE:
Artculo Primero.- Aprobar el Reglamento para
el Requerimiento de Patrimonio Efectivo por Riesgo
Operacional que forma parte integrante de la presente
Resolucin.
Artculo Segundo.- Modifquese el Manual de
Contabilidad para las Empresas del Sistema Financiero
en los siguientes trminos:
Pg. 393905
Incorprese en el Captulo V Informacin

Complementaria los Reportes N 2-C1 y N 2-C2
denominados Requerimiento de Patrimonio Efectivo
por Riesgo Operacional Mtodo del Indicador
Bsico y Requerimiento de Patrimonio Efectivo por
Riesgo Operacional Mtodo Estndar Alternativo,
respectivamente, conforme a los formatos sealados en
los Anexos 4 y 5 del Reglamento aprobado por la presente
Resolucin.
La remisin de dichos reportes se efectuar por
medio del Submdulo de Captura y Validacin Externa
(SUCAVE).
Artculo Tercero.- Los anexos que forman parte
del Reglamento aprobado por la presente Resolucin
se publican en el Portal institucional (www.sbs.gob.pe),
conforme a lo dispuesto en el Decreto Supremo N 0012009-JUS.
Artculo Cuarto.- Incorprese el procedimiento
N 124 Autorizacin para utilizar el mtodo estndar
alternativo para el clculo del requerimiento de
patrimonio efectivo por riesgo operacional en el Texto
nico de Procedimientos Administrativos TUPA de la
Superintendencia de Banca, Seguros y AFP aprobado
mediante Resolucin SBS N 131-2002, cuyo texto se
anexa a la presente Resolucin y se publica conforme
lo dispuesto en el Decreto Supremo N 004-2008-PCM,
reglamento de la Ley N 29091. (Portal institucional:
www.sbs.gob.pe).
Artculo Quinto.- La presente Resolucin entrar en
vigencia a partir del 1 de julio de 2009.
Regstrese, comunquese y publquese.
FELIPE TAM FOX
Superintendente de Banca, Seguros y
Administradoras Privadas de Fondos de Pensiones
REGLAMENTO PARA EL REQUERIMIENTO
DE PATRIMONIO EFECTIVO POR RIESGO
OPERACIONAL
CAPTULO I
PRINCIPIOS GENERALES
Artculo 1.- Alcance

Las disposiciones de la presente norma son
aplicables a las empresas comprendidas en los
literales A y B del artculo 16 de la Ley General, al
Banco de la Nacin, a la Corporacin Financiera de
Desarrollo S.A. (COFIDE), al Banco Agropecuario,
al Fondo MIVIVIENDA S.A. y al Fondo de Garanta
para Prstamos a la Pequea Industria (FOGAPI), en
adelante las empresas.
Artculo 2.- Definiciones
Para los efectos de la presente norma deben considerarse
los siguientes trminos:
a. Casa Matriz: Se refiere a la sociedad principal o a la
que ejerza el control en un conglomerado financiero o
mixto.
b. Evento: Un suceso o serie de sucesos que pueden
ser internos o externos a la empresa, originados por la
misma causa, que ocurren durante el mismo perodo
de tiempo.
c. Evento de prdida por riesgo operacional: El evento
que conduce a una o varias prdidas, cuyo origen
corresponde al riesgo operacional.
d. Prdida: Es un impacto negativo en los ingresos o en
el valor patrimonial de la empresa.
e. Prdida esperada: Expectativa de prdida que se
encuentra asociada a la marcha regular del negocio.
f. Prdida no esperada: Es la diferencia entre la
mxima prdida que enfrentara la empresa dado un
nivel de confianza estadstico asociado, y la prdida
esperada.
Pg. 393906
g. Riesgo operacional: Es la posibilidad de ocurrencia

de prdidas debido a procesos inadecuados, fallas
del personal, de la tecnologa de informacin, o
eventos externos. Esta definicin incluye el riesgo
legal, pero excluye el riesgo estratgico y de
reputacin.
h. Superintendencia: Superintendencia de Banca,
Seguros y Administradoras Privadas de Fondos de
Pensiones.
Artculo 3.- Requerimiento de patrimonio efectivo por
riesgo operacional
Las empresas debern destinar patrimonio efectivo para
cubrir el riesgo operacional que enfrentan. Para el clculo
de dicho requerimiento patrimonial, las empresas debern
aplicar uno de los siguientes mtodos:
a. Mtodo del indicador bsico
b. Mtodo estndar alternativo
c. Mtodos avanzados
El uso del mtodo estndar alternativo o de los mtodos
avanzados requiere la autorizacin expresa de la
Superintendencia.
En tanto no cuenten con la autorizacin sealada en el
prrafo anterior, las empresas debern aplicar el mtodo
del indicador bsico.
la Superintendencia iniciar un proceso de validacin

que podr durar hasta dos (2) aos, durante el cual
se realizarn clculos paralelos del requerimiento
patrimonial. Luego de culminada la validacin y
habiendo obtenido la autorizacin de la SBS para el
uso del mtodo avanzado, las empresas autorizadas
debern aplicar durante los dos (2) primeros aos
pisos regulatorios para el clculo de requerimiento
patrimonial. Es decir, el requerimiento patrimonial
por riesgo operacional no podr ser menor que un
porcentaje del requerimiento establecido antes de la
aprobacin del mtodo avanzado. Los porcentajes a
aplicar sern los siguientes: 90% durante el primer ao
y 80% durante el segundo ao.
CAPTULO II
MTODO DEL INDICADOR BSICO
Artculo 5.- Definicin del indicador de exposicin

por riesgo operacional
Este mtodo de clculo considera como indicador de
exposicin el margen operacional bruto de la empresa,
el cual se define como la suma de los ingresos financieros
y los ingresos por servicios menos los gastos financieros
y los gastos por servicios.
En tal sentido, para calcular el margen operacional bruto,
se utilizarn las siguientes cuentas contables:
Para hallar el equivalente a los activos ponderados

por riesgo (APR) en el caso de riesgo operacional, se
multiplicar el requerimiento patrimonial calculado segn
los mtodos sealados al inicio de este artculo, por la
inversa del lmite global que establece la Ley General
en el artculo 199 y la Vigsima Cuarta Disposicin
Transitoria.
Composicin del indicador
Perodo
Factor de ajuste
Julio de 2009 - Junio de 2010
0,40
Julio de 2010 - Junio de 2011
0,40
Julio de 2011 Junio de 2012
0,50
Julio de 2012 En adelante
1,00
Artculo 4.- Proceso de autorizacin ante la

Superintendencia
Las empresas que deseen utilizar el mtodo estndar
alternativo o los mtodos avanzados, debern presentar a
la Superintendencia una solicitud de autorizacin suscrita
por el Gerente General, la cual deber ir acompaada de
los siguientes documentos:
Copia certificada del acuerdo del Directorio u

rgano social equivalente donde conste la decisin
de solicitar la autorizacin correspondiente a la
Superintendencia.
Declaracin de cumplimiento de los requisitos
establecidos en el presente reglamento, adjuntando
un Informe que describa la forma en que la empresa
cumple con cada requisito, segn el mtodo que
solicite. Dicho informe deber presentarse conforme
al formato publicado por la Superintendencia en el
Portal del Supervisado, debiendo mantenerse la
correspondiente informacin de sustento a disposicin
de la Superintendencia.
Cuentas del Manual de

Contabilidad
(+) Ingresos
Adicionalmente, el APR por riesgo operacional deber

ser multiplicado por un factor, cuyo valor corresponder al
indicado en la siguiente tabla:
El Peruano
NORMAS LEGALES
Ingresos financieros
5100
Ingresos por servicios
5200 + 5700
(-) Gastos
Gastos financieros
4100
Gastos por servicios
4200 + 4900
Para el clculo del requerimiento patrimonial, se

utilizar el saldo anualizado del margen operacional
bruto, es decir, el total de margen obtenido durante los
ltimos 12 meses. Para ello, se utilizarn los saldos
anualizados de las cuentas contables sealadas en
el cuadro anterior. La anualizacin de los saldos se
realizar conforme al procedimiento descrito en el
Anexo 1.
Artculo 6.- Clculo del requerimiento patrimonial
El requerimiento patrimonial por riesgo operacional
segn el mtodo del indicador bsico ser equivalente
al promedio de los saldos anualizados de los mrgenes
operacionales brutos de la empresa, considerando los
ltimos 3 aos, multiplicado por un factor fijo.
Si el margen operacional bruto correspondiente a alguno
de los tres ltimos aos es cero o es un nmero negativo,
dicho(s) ao(s) no debe(n) ser considerado(s) en el
clculo del promedio, en cuyo caso se calcular sobre la
base del nmero de aos cuyo margen operacional bruto
sea positivo.
La frmula de clculo a utilizar es la siguiente:
En el caso del mtodo estndar alternativo, luego de

recibida la solicitud con los documentos requeridos, la
Superintendencia emitir su pronunciamiento en un plazo
que no exceder de sesenta (60) das tiles.
(MO u D ) / n
i
i 1
donde:
En el caso de los mtodos avanzados, luego de
recibida la solicitud con los documentos requeridos,
: Requerimiento patrimonial por riesgo operacional
El Peruano
NORMAS LEGALES
MOi : Saldo anualizado del margen operacional bruto

correspondiente al ao i, en los casos que sea
positivo
: Factor fijo igual a 15%

n
: Nmero de aos en los que el saldo anualizado del
margen operacional bruto fue positivo, considerando
los 3 ltimos aos.
Las empresas debern presentar a la Superintendencia
el clculo del requerimiento patrimonial por riesgo
operacional segn el mtodo del indicador bsico en el
formato sealado en el Anexo 4. Esta informacin deber
ser remitida mensualmente va SUCAVE en un plazo que
no exceda de 15 das calendario de concluido el mes a
que corresponde dicho clculo.
Artculo 7.- Consideraciones adicionales
Las empresas que cuenten con menos de 36 meses
de operacin realizarn el clculo del requerimiento
patrimonial por riesgo operacional segn lo siguiente:
a) Durante los primeros 12 meses de operacin, el
requerimiento patrimonial ser equivalente al 15%
del margen operacional bruto acumulado durante el
perodo en que viene operando.
La frmula es la siguiente:
R = MO x
Donde:
R
: Requerimiento
patrimonial
por
riesgo
operacional
MO : Margen operacional bruto acumulado durante
el perodo que viene operando
CAPTULO III
MTODO STANDAR ALTERNATIVO
Artculo 8.- Requisitos mnimos para el uso del

mtodo estndar alternativo
Las empresas que deseen emplear el mtodo estndar
alternativo debern cumplir con los siguientes requisitos:
a. El Directorio y la Gerencia General deben participar
activamente en la gestin del riesgo operacional.
b. La empresa debe contar con una funcin de gestin
del riesgo operacional cuyas responsabilidades
se encuentren claramente especificadas, y que
consideren como mnimo los aspectos sealados
en el Reglamento para la Gestin del Riesgo
Operacional.
c. La empresa debe contar con un programa de
capacitacin profesional dirigido a perfeccionar
los conocimientos, aptitudes y otras competencias
del personal especializado en la gestin del riesgo
operacional.
d. La empresa debe contar con una metodologa
de gestin del riesgo operacional que sea
conceptualmente slida y que se encuentre
implementada en su totalidad.
e. La empresa debe contar con recursos suficientes
para aplicar su metodologa de gestin de riesgo
operacional, tanto en sus principales reas de negocio
como en sus reas de apoyo y de control.
f.
Si el margen operacional bruto acumulado es cero

o negativo, el requerimiento patrimonial, segn el
mtodo del indicador bsico, ser cero. No obstante,
deber tenerse en cuenta lo sealado en la Primera
Disposicin Final del presente Reglamento.
b) A partir del mes 13 y hasta el mes 23 de operacin,
el requerimiento patrimonial por riesgo operacional
ser igual al 15% del saldo anualizado del margen
operacional bruto considerando slo un perodo
completo que incluya los ltimos doce meses.
c) A partir del mes 24 y hasta el mes 35 de operacin, el
requerimiento patrimonial por riesgo operacional ser
igual al promedio del saldo anualizado del margen
operacional bruto considerando los dos ltimos
perodos de doce meses (dos aos), multiplicado por
15%. Se utilizar la siguiente frmula:
La empresa debe establecer reportes peridicos

sobre su exposicin al riesgo operacional, que
incluyan las prdidas importantes ocurridas, dirigidos
a las gerencias de las unidades de negocio y de
apoyo, gerencia general y al Directorio. La empresa
debe establecer procedimientos para tomar acciones
apropiadas segn la informacin incluida en dichos
reportes.
g. La empresa debe establecer procedimientos

que permitan asegurar el cumplimiento de su
metodologa de gestin del riesgo operacional, y
debe establecer polticas para tratar los casos de
incumplimiento.
h. La empresa debe establecer incentivos monetarios
y no monetarios a la apropiada gestin del riesgo
operacional, incluidos en el sistema de evaluacin
de desempeo de la Gerencia y los principales
participantes en dicha gestin.
i.
La empresa debe contar con una base de datos de

eventos de prdida por riesgo operacional, con las
caractersticas sealadas en la normativa vigente.
j.
La empresa deber implementar un sistema de gestin

de la continuidad del negocio conforme a la normativa
vigente, que tenga como objetivo asegurar un nivel
aceptable de operatividad de sus procesos crticos,
ante eventos que puedan afectar la continuidad de
sus operaciones.
(MO u D ) / n
Pg. 393907
i 1
Donde:
R
: Requerimiento
patrimonial
por
riesgo
operacional
MOi : Saldo anualizado del margen operacional bruto
correspondiente al ao i, en los casos que sea
positivo
N : Nmero de aos en los que el saldo anualizado
del margen operacional bruto fue positivo, que
ser como mximo 2
Si el margen operacional bruto correspondiente a
alguno de los dos aos de operacin es cero o es
un nmero negativo, dicho(s) ao(s) no debe(n) ser
considerado(s) en el clculo del promedio.
k. La empresa deber contar con un sistema de gestin

de la seguridad de la informacin conforme a la
normativa vigente, orientado a garantizar la integridad,
confidencialidad y disponibilidad de su informacin.
l.
La evaluacin de la gestin del riesgo operacional

deber contar con una revisin cuando menos anual,
por parte de la Unidad de Auditora Interna. Estas
revisiones deben considerar las actividades de las
reas de negocio y de apoyo, as como la funcin de
gestin del riesgo operacional, de acuerdo a su plan
de trabajo.
Pg. 393908
m. La evaluacin de la gestin del riesgo operacional

deber contar con una revisin independiente por
parte de una Sociedad de Auditora Externa, al
menos cada tres aos. El informe independiente
deber ser realizado por una empresa auditora
distinta o un equipo completamente distinto del que
emiti el informe anual de evaluacin de los estados
financieros, sujetndose a las disposiciones de
rotacin conforme con el reglamento de auditoria
externa.
b. Indicador de exposicin para las lneas de banca

comercial y banca minorista:
Para estas lneas de negocio se utilizar como
indicador de exposicin el saldo de los crditos y las
inversiones, multiplicado por un factor fijo.
Para su clculo, debern considerarse los saldos de
crditos e inversiones durante los ltimos 12 meses,
conforme a la siguiente frmula:
Artculo 9.- Determinacin de lneas de negocio

En este mtodo, las actividades de las empresas son
divididas en las siguientes lneas de negocio:
Lnea de negocio
Finanzas corporativas
El Peruano
NORMAS LEGALES
Definicin
Realizacin de operaciones de financiamiento estructurado
y participacin en procesos de titulizacin; underwriting;
asesoramiento financiero a empresas corporativas, grandes
y medianas empresas, as como al gobierno central y
entidades del sector pblico; entre otras actividades de
naturaleza similar.
Negociacin y ventas
Operaciones de tesorera; compra y venta de ttulos,

monedas y commodities por cuenta propia; entre otras
actividades de naturaleza similar.
Banca Minorista
Financiamiento a clientes minoristas incluyendo tarjetas de

crdito, prstamo automotriz, entre otros.
Banca Comercial
Financiamiento a clientes no minoristas, incluyendo: factoring,

descuento, arrendamiento financiero, entre otros.
Liquidacin y pagos
Actividades relacionadas con pagos y cobranzas,

transferencia interbancaria de fondos, compensacin y
liquidacin, entre otras actividades de naturaleza similar.
Otros servicios
Servicios de custodia, fideicomisos, comisiones de confianza

y otros servicios.
Artculo 10.- Definicin de los indicadores de

exposicin por riesgo operacional
Existen dos tipos de indicadores de exposicin para las
lneas de negocio:
a. Indicador de exposicin para las lneas de negocio
distintas a banca comercial y banca minorista:
Para estas lneas de negocio se utilizar como
indicador de exposicin al margen operacional
anualizado de cada lnea. Para ello, debe utilizarse la
siguiente frmula:
IE
mu
12
C / 12
i
i 1
Donde:
IE
m
Ci
: Indicador de exposicin anual para la lnea de

negocio banca comercial o banca minorista
: 0,035 (Factor fijo)
: Monto del saldo de crditos e inversiones
para el mes i para Banca Comercial o Banca
Minorista, segn corresponda.
Para calcular el monto del saldo de crditos e

inversiones correspondientes a Banca Comercial y
Banca Minorista se utilizarn las cuentas del Manual
de Contabilidad de la siguiente manera:
Para la informacin correspondiente al ao

2009 y anteriores se utilizar la agrupacin de
cuentas establecida en el Anexo 2A del presente
Reglamento.
2010 y siguientes se utilizar la agrupacin de
cuentas establecida en el Anexo 2B del presente
Reglamento.
Artculo 11.- Clculo del requerimiento patrimonial

Se obtienen los indicadores de exposicin correspondientes
a cada una de las lneas de negocio para los 3 ltimos
aos, y luego stos son multiplicados por un factor fijo ()
asociado con cada lnea segn se muestra en el siguiente
cuadro:
Valor del
factor fijo
Lneas de Negocio
IEi = Ingresosi Gastosi

Donde:
IEi
: Indicador de exposicin de la lnea de

negocio i
Ingresosi : Ingreso anualizado de la lnea de negocio
i
Gastosi : Gasto anualizado asignado a la lnea de
negocio i
El ingreso anualizado de cada lnea de negocio se
calcular como el total de los ingresos obtenidos
en los ltimos doce (12) meses. Asimismo, el gasto
anualizado de cada lnea de negocio se calcular
como el total de los gastos obtenidos en los ltimos
doce (12) meses.
Para la determinacin de los ingresos y gastos
anualizados por lneas de negocio se considerarn las
cuentas del Manual de Contabilidad de la siguiente
manera:

2009 y anteriores se utilizar la agrupacin de
cuentas establecida en el Anexo 2A del presente
Reglamento.
2010 y siguientes se utilizar la agrupacin de
cuentas establecida en el Anexo 2B del presente
Reglamento.
Finanzas corporativas (1)
18%
Negociacin y ventas (2)
18%
Banca minorista (3)
12%
Banca comercial (4)
15%
Liquidacin y pagos (5)
18%
Otros servicios (6)
15%
Luego, para cada uno de los aos se suman los valores

obtenidos para cada lnea de negocio (6 valores por
cada ao). Finalmente, se obtiene el promedio de las
sumas obtenidas. El promedio resultante constituir
el requerimiento patrimonial por riesgo operacional.
Si la suma de los productos para un ao determinado
resulta ser negativa, entonces se considerar el valor de
0 para ese ao, en el clculo del promedio.
El siguiente cuadro muestra el procedimiento de clculo:
Indicador de
exposicin
Indicador * Factor fijo
Lnea de negocio
Factor
fijo
Finanzas corporativas
18%
IE11
IE12
IE13
R11
R12
R13
Negociacin y ventas
18%
IE21
IE22
IE23
R21
R22
R23
Banca minorista
12%
IE31
IE32
IE33
R31
R32
R33
Banca comercial
15%
IE41
IE42
IE43
R41
R42
R43
Ao 1 Ao 2 Ao 3 Ao 1 Ao 2 Ao 3
El Peruano
Indicador de
exposicin
Lnea de negocio
Liquidacin y Pagos
18%
IE51
IE52
IE53
R51
R52
R53
Otros servicios
15%
IE61
IE62
IE63
R61
R62
R63
Sumas anuales
S1
S2
S3
Requerimiento
patrimonial
max(Si,0) / 3
i 1
Ao 1 Ao 2 Ao 3 Ao 1 Ao 2 Ao 3
: Indicador de exposicin de la lnea de negocio i en

el ao j
: Resultado de multiplicar el indicador de exposicin
por el factor fijo asociado a cada lnea de negocio.
: Suma de los productos obtenidos para el ao i
Si
CAPTULO IV
MTODOS AVANZADOS
Donde:
Rij
se calcular conforme al procedimiento de clculo

sealado en el artculo 11 del Reglamento, pero
aplicado a los dos ltimos perodos de doce meses
(dos aos). Si la suma de los productos obtenidos
para uno de los dos aos resulta ser negativa, se
considerar en el clculo del promedio el valor de 0
para ese ao.
Indicador * Factor fijo
Factor
fijo
IEij
Pg. 393909
NORMAS LEGALES

el clculo del requerimiento patrimonial por riesgo
operacional segn el mtodo estndar alternativo en el
formato sealado en el Anexo 5. Esta informacin deber
ser remitida mensualmente va SUCAVE en un plazo que
no exceda de 15 das calendario de concluido el mes a
que corresponde dicho clculo.
Artculo 12.- Consideraciones adicionales
Las empresas que cuenten con menos de 36 meses de
operacin al momento de utilizar el mtodo estndar
alternativo, realizarn el clculo del requerimiento
patrimonial por riesgo operacional segn lo siguiente:
a) Durante los primeros 12 meses de operacin, los
indicadores de exposicin sealados en el artculo
10 debern ser calculados considerando los datos
correspondientes al perodo que la empresa viene
operando, es decir:
Artculo 13.- Mtodos avanzados

La empresa autorizada a utilizar mtodos avanzados
calcular el requerimiento patrimonial por riesgo
operacional mediante su sistema interno de medicin del
riesgo operacional.
Artculo 14.- Uso parcial de los mtodos avanzados
La empresa podr ser autorizada a utilizar un mtodo
avanzado para una parte de sus operaciones y el mtodo
estndar alternativo en el resto de ellas, siempre que se
satisfagan cada una de las condiciones siguientes:
El uso de ambos mtodos, en conjunto, tiene

como alcance la totalidad de las operaciones de la
empresa.
Se satisfacen los requisitos para acceder a mtodos
avanzados para aquellas operaciones que sern
consideradas en la aplicacin del mtodo avanzado
seleccionado; de igual manera, se satisfacen los
requisitos del mtodo estndar alternativo a utilizar en
las dems operaciones.
En la fecha de aplicacin del mtodo avanzado, una
parte significativa del riesgo operacional de la empresa
est recogida en dicho mtodo.
La empresa presenta a la Superintendencia un plan
que especifique el calendario a seguir para aplicar
el mtodo avanzado en todas las operaciones
de la empresa (con excepcin de aquellas poco
significativas).
Para las lneas de negocio distintas a banca

minorista y banca comercial, se utilizar el margen
operacional acumulado de estas lneas.
Para banca minorista y banca comercial, se
utilizar el promedio de los saldos de las cuentas
asociadas, multiplicado por un factor fijo (0,035)
Artculo 15.- Requisitos mnimos para el uso de

mtodos avanzados
Las empresas que deseen emplear los mtodos
avanzados debern cumplir con los requisitos cualitativos
y cuantitativos establecidos en los artculos 16 y 17 del
presente Reglamento.
En este caso, el requerimiento patrimonial ser

equivalente a la suma de los resultados del producto
de los factores fijos () sealados en el artculo 11
del presente Reglamento por los indicadores de
exposicin calculados conforme a lo sealado al inicio
de este prrafo.
Artculo 16.- Requisitos cualitativos

Las empresas debern contar con los siguientes estndares
cualitativos antes de realizar el clculo del requerimiento
de patrimonio efectivo por riesgo operacional basado en
modelos internos:
La frmula es la siguiente:
a) La empresa deber contar con una unidad

especializada para la gestin del riesgo operacional.
R=
( IE xE )
i 1
Donde:
R
IEi
i
: Requerimiento
patrimonial
por
riesgo
operacional
: Indicador de exposicin de la lnea de negocio
i
: Factor fijo, asignado a la lnea de negocio i.
b) A partir del mes 13 y hasta el mes 23 de operacin,

se calcular considerando slo un perodo completo
que incluya los ltimos doce (12) meses. Se utilizar
el procedimiento y la frmula sealados en el literal
anterior.
c) A partir del mes 24 y hasta el mes 35 de operacin,
b) El sistema de medicin del riesgo operacional de

la empresa deber estar integrado a sus procesos
habituales de gestin de riesgos. La informacin que
se obtenga de dicho sistema deber ser utilizada como
parte integral del proceso de monitoreo y control del
perfil de riesgo operacional de la empresa. En ese
sentido, esta informacin deber ser incorporada en
los reportes sobre riesgos, reportes a la gerencia,
la asignacin de capital y el anlisis de riesgos. La
empresa deber implantar tcnicas para asignar
capital por riesgo operacional a sus principales
lneas de negocio y para establecer incentivos para
la mejora de la gestin de estos riesgos en toda la
entidad.
c) Deber existir un reporte cuando menos trimestral
sobre las exposiciones al riesgo operacional y la
experiencia de prdidas debidas a este riesgo, dirigido
a las gerencias de las unidades de negocio, a la
Gerencia General y al Directorio. La empresa deber
contar con procedimientos destinados a adoptar las
Pg. 393910
NORMAS LEGALES
acciones necesarias segn la informacin contenida

en dichos reportes de gerencia.
d) El sistema de gestin del riesgo operacional de la

empresa deber estar bien documentado. La empresa
deber contar con un mecanismo que le permita
asegurar el cumplimiento de las polticas, controles
y procedimientos internos referidos a la gestin del
riesgo operacional, que deben estar documentados, y
deber establecer polticas para el tratamiento de los
aspectos que no se cumplan.
e) Como parte de la revisin requerida a la Unidad de
Auditora Interna y a una Sociedad de Auditora
Externa, referida a las polticas y procedimientos
empleados por la empresa para la gestin del riesgo
operacional, debe incluirse una evaluacin del sistema
interno empleado por la empresa para la medicin de
este riesgo.
f)
La revisin del sistema de medicin del riesgo

operacional que lleven a cabo los auditores externos
deber verificar que los procesos de validacin
interna operen de manera satisfactoria y que el flujo
y el procesamiento de datos asociados al sistema de
medicin del riesgo sean transparentes y accesibles.
g) En el caso de empresas con casa matriz en el exterior,

la empresa deber contar con la no objecin del
supervisor bancario del pas donde se ubica dicha
casa matriz, respecto a la aplicacin del mtodo
avanzado en la empresa.
h) Otros que determine la Superintendencia.
Artculo 17.- Requisitos cuantitativos
Los mtodos avanzados utilizados para el clculo
del requerimiento de patrimonio efectivo por riesgo
operacional debern contar con los siguientes criterios
cuantitativos mnimos:
a) Criterio de solidez
La empresa deber ser capaz de demostrar que el
mtodo avanzado utilizado identifica eventos de
prdida situados en las colas de la distribucin de
probabilidad y que generan graves prdidas. Con
independencia del mtodo utilizado, la empresa deber
demostrar que su medida del riesgo operacional
satisface un criterio de solidez comparable a un
intervalo de confianza del 99,9 por ciento, a lo largo
de un perodo de un ao.
b) Criterios detallados
1. El sistema interno de medicin del riesgo
operacional deber ser consistente con el alcance
de la definicin de riesgo operacional sealada
en la normativa emitida por la Superintendencia,
y con los tipos de eventos de prdida definidos en
el Anexo N 3 de la presente norma.
2. El clculo del requerimiento patrimonial deber
incluir tanto la prdida esperada (PE) como la
prdida no esperada (PNE), a menos que la
empresa pueda demostrar que ya est recogiendo
adecuadamente la PE en sus prcticas internas
de negocio. Es decir, para que el requerimiento
patrimonial se base slo en la PNE, la empresa
deber poder demostrar, a satisfaccin de la
Superintendencia, que ha medido su exposicin
a la PE y que ha cubierto dicha prdida.
3. El sistema de medicin del riesgo de las empresas
deber identificar los principales factores de
riesgo operacional que influyen en la forma de
las colas de distribucin de las estimaciones de
prdida.
El Peruano
4. Para calcular el requerimiento patrimonial,

deben agregarse las mediciones obtenidas a
partir de las diferentes estimaciones de riesgo
operacional aplicadas. Sin embargo, la empresa
podr considerar las correlaciones existentes
en las prdidas por riesgo operacional,
siempre que pueda demostrar a satisfaccin
de la Superintendencia que sus mtodos para
determinar las correlaciones son slidos, se
aplican con integridad y tienen en cuenta la
incertidumbre asociada con dichas estimaciones
de correlacin. La empresa deber validar sus
supuestos de correlacin usando tcnicas
cualitativas y cuantitativas adecuadas.
5. El sistema de medicin de riesgo operacional
deber poseer elementos bsicos que satisfagan
el criterio de solidez enunciado en el literal a)
del presente artculo. Estos elementos debern
incluir el uso de datos internos, de datos externos
relevantes, de anlisis de escenarios y de factores
que reflejen el entorno del negocio y los sistemas
de control interno.
6. La empresa deber contar con un proceso
razonable, transparente, bien documentado
y verificable acerca de la determinacin de
la importancia relativa asignada a cada uno
de esos elementos fundamentales dentro de
su sistema general de medicin del riesgo
operacional. El enfoque utilizado deber ser
consistente internamente y evitar la doble
consideracin de evaluaciones cualitativas o
de coberturas del riesgo que ya se encuentren
reconocidas en otros elementos del sistema de
medicin utilizado.
c) Datos internos
1. Las empresas debern recopilar y analizar sus
datos internos sobre eventos de prdida por
riesgo operacional e incorporarlos como parte
del sistema interno de medicin. Esto puede
lograrse de diversas formas, incluyendo el uso
de los datos internos de prdida como base para
las estimaciones de riesgos, como un mtodo de
validacin de los datos de entrada y de salida
del sistema de medicin o como el enlace entre
la experiencia de prdidas y las decisiones de
gestin y control de riesgos.
2. La empresa deber contar con procedimientos
documentados para evaluar la importancia de los
datos histricos de prdida, incluyendo los casos
en que se utilicen juicios y opiniones, ajustes de
escala u otros tipos de ajustes, el grado en que
puedan introducirse dichos ajustes y el personal
autorizado para tomar tales decisiones.
3. Las mediciones del riesgo operacional generadas
internamente en la empresa y utilizadas para
determinar el requerimiento patrimonial debern
estar basadas en un perodo mnimo de cinco (5)
aos de observacin de datos internos de prdida,
ya sea que estos datos se empleen directamente
para estimar las mediciones de prdidas o para su
validacin.
4. Para efectos del requerimiento patrimonial, los
procesos internos de recopilacin de datos de
prdida de la empresa debern satisfacer los
siguientes criterios:
La empresa deber ser capaz de asignar sus

datos internos de prdida a las 6 lneas de
negocio consideradas en el mtodo estndar
alternativo y a los tipos de eventos de prdida
sealados en el Anexo 3 de la presente norma,
El Peruano
NORMAS LEGALES
(ya sean datos pblicos y/o datos agregados del

sector), especialmente cuando existan motivos
para creer que la empresa est expuesta a prdidas
poco frecuentes, pero potencialmente severas.
Estos datos externos debern incluir informacin
sobre el monto real de la prdida, el volumen de
operaciones de la entidad donde se produjo el
evento de prdida, las causas y circunstancias de
los eventos de prdida y cualquier otra informacin
que permita evaluar la importancia del evento de
prdida para otras empresas. La empresa deber
contar con un proceso sistemtico para determinar
las situaciones en las que debern utilizarse los
datos externos y las metodologas utilizadas para
incorporar estos datos (por ejemplo, aplicacin de
ajustes por tamao, ajustes cualitativos o en el
desarrollo de mejoras en el anlisis de escenarios).
Las condiciones y prcticas para el uso de los
datos externos debern ser revisadas anualmente,
documentadas y sometidas a revisiones peridicas
independientes a la empresa o su grupo de
control.
as como proporcionar dichos datos a la

Superintendencia en caso de ser requeridos.
La empresa deber contar con criterios
objetivos y documentados de asignacin de
las prdidas a las lneas de negocio y a los
tipos de eventos de prdida especificados.
Sin embargo, la empresa podr decidir en
qu medida desea aplicar esa clasificacin
por categoras dentro de su sistema interno
de medicin.
Los datos internos de prdida de la empresa

debern ser completos, es decir, deben
incluir la totalidad de las actividades y
exposiciones importantes existentes en todos
los subsistemas y todas las ubicaciones
geogrficas asociadas. La empresa deber
ser capaz de justificar que las actividades
o exposiciones excluidas, tanto en forma
individual como conjunta, no tienen un efecto
significativo sobre las estimaciones generales
de riesgo. La empresa deber establecer un
umbral mnimo adecuado de prdida bruta
para la recopilacin de datos internos de
prdida.
Adems del dato referido al monto de la

prdida bruta, la empresa deber recopilar
datos sobre la fecha del evento de prdida,
cualquier recuperacin del monto de la prdida
bruta, as como informacin descriptiva acerca
de las causas del evento de prdida. El nivel
de detalle de la informacin descriptiva
deber estar en proporcin con la cantidad de
la prdida bruta.
La empresa deber desarrollar criterios

especficos para la asignacin de datos de
prdidas procedentes de: (a) eventos sucedidos
en una funcin centralizada (por ejemplo, en un
departamento de tecnologas de informacin);
(b) eventos relacionados con una actividad
que incluya ms de una lnea de negocio; y (c)
eventos relacionados a lo largo del tiempo.
Las prdidas por riesgo operacional que

estn relacionadas con el riesgo de crdito
y que histricamente se hayan incluido en
las bases de datos de riesgo de crdito con
que cuentan las empresas (por ejemplo,
fallos en la gestin de garantas) continuarn
recibiendo el tratamiento de riesgo de crdito.
En consecuencia, tales prdidas no estarn
sujetas al requerimiento patrimonial por riesgo
operacional. Sin embargo, para efectos de la
gestin del riesgo operacional, las empresas
debern identificar todas las prdidas
importantes por estos riesgos en forma
consistente con el alcance de la definicin de
riesgo operacional sealada en la normativa
emitida por la Superintendencia y los tipos de
eventos de prdida detallados en el Anexo 3, lo
cual incluye los eventos de prdida generados
por riesgo operativo pero relacionados con el
riesgo de crdito. Tales eventos debern ser
identificados separadamente en la base de
datos de riesgo operacional de la empresa.
Las prdidas por riesgo operacional que estn

relacionadas con el riesgo de mercado debern
ser incluidas en el clculo del requerimiento
patrimonial por riesgo operacional.
d) Datos externos
El sistema de medicin del riesgo operacional de la
empresa deber utilizar datos externos relevantes
Pg. 393911
e) Anlisis de escenarios
La empresa deber utilizar anlisis de escenarios
basados en las opiniones de expertos, junto
con datos externos, para evaluar su exposicin
a prdidas severas. Este enfoque se apoya en
el conocimiento de gerentes experimentados y
de expertos en gestin de riesgos para obtener
evaluaciones razonables de las prdidas severas
que podra sufrir la entidad. Las evaluaciones
realizadas por los expertos podran ser expresadas
como parmetros de una distribucin estadstica
estimada de las prdidas. Adems, el anlisis de
escenarios debe utilizarse para evaluar el impacto
de las desviaciones que se produzcan respecto a
los supuestos de correlacin incorporados en el
sistema de medicin del riesgo operacional de la
empresa, en particular, para evaluar las prdidas
potenciales procedentes de eventos simultneos
de prdida. Estas evaluaciones deben ser
validadas y revisadas a travs de su comparacin
con la experiencia real de prdidas, con el fin de
asegurar su razonabilidad.
f)
Factores del entorno de negocio y de control

interno
Adems de los datos de prdida, ya sean reales
o basados en escenarios, la metodologa de
evaluacin de riesgos aplicada por la empresa
debe capturar los factores clave de su entorno
de negocio y de su control interno que puedan
cambiar su perfil de riesgo operacional. Estos
factores permitirn que las evaluaciones del
riesgo que realice la empresa estn ms
orientadas hacia el futuro, reflejarn de forma
ms directa la calidad de los entornos operativos
y de control de la empresa, ayudarn a alinear
las asignaciones de patrimonio efectivo con los
objetivos de la gestin de riesgos y permitirn
reconocer de una manera ms inmediata tanto
las mejoras como los deterioros en los perfiles de
riesgo operacional. Con el fin que sea aplicable
para el clculo del requerimiento patrimonial,
el uso de estos factores dentro del sistema de
medicin del riesgo operacional de la empresa
deber satisfacer los siguientes criterios:
La eleccin de cada factor deber ser justificada

por su influencia significativa en la exposicin
o mitigacin del riesgo, sobre la base de la
experiencia e incluyendo la opinin experta del
personal de las reas de negocio afectadas.
Cuando sea posible, los factores deben traducirse
en medidas cuantitativas que permitan su
verificacin.
Pg. 393912
NORMAS LEGALES
Deber considerarse adecuadamente la sensibilidad de las estimaciones de riesgo de la empresa

ante variaciones en los factores y su peso relativo.
Adems de identificar las variaciones en el riesgo
debido a mejoras en los controles, la metodologa
tambin debe identificar incrementos potenciales
del riesgo atribuibles a una mayor complejidad de
las actividades o a un incremento en el volumen
de negocios.
La metodologa y cada elemento de su aplicacin,
incluidos los supuestos que sustenten cualquier
ajuste a las estimaciones empricas, debern
ser documentados y sometidos a revisiones
independientes por parte de la empresa.
El proceso y los resultados obtenidos debern
ser validados mediante su comparacin con la
experiencia real de prdidas internas, con datos
externos relevantes y con los ajustes oportunos
introducidos.
Artculo 18.- Reconocimiento de los seguros

Las empresas que estn autorizadas a aplicar un mtodo
avanzado podrn reconocer el efecto reductor del riesgo
que generan los seguros en el clculo del requerimiento
patrimonial por riesgo operacional. Dicho reconocimiento
se limitar al 20% del requerimiento patrimonial calculado
con dicho mtodo avanzado.
Para aplicar esta reduccin en el requerimiento patrimonial,
debern cumplirse los siguientes requisitos:
a) El proveedor del seguro deber contar con una
clasificacin de riesgo apropiada, y haber tenido dicha
clasificacin durante los dos semestres anteriores, de
acuerdo con lo siguiente:
el procedimiento de liquidacin de la empresa. No

obstante, el contrato de seguro puede excluir la
cobertura de multas u otras penalidades ocasionadas
por la accin de la Superintendencia.
e) Los clculos de la cobertura de riesgos considerando
los seguros debern ser realizados de una manera
que resulte transparente y consistente con los datos
de probabilidad e impacto de la prdida utilizados por
la empresa para calcular el requerimiento patrimonial
por riesgo operacional.
f)
Si el proveedor del seguro se encuentra

establecido en el pas, la clasificacin mnima
aceptable ser A, otorgada por empresas
debidamente registradas en la Superintendencia y
en la Comisin Nacional Supervisora de Empresas
y Valores (CONASEV).
Si el proveedor del seguro no se encuentra
establecido en el pas, la clasificacin mnima
aceptable ser la BBB- de Standard &
Poors o equivalente, otorgada por empresas
clasificadoras de riesgo del exterior de primera
categora que cuenten con autorizacin de
funcionamiento en alguno de los pases que
conforman el G10.
Si existiera discrepancia entre diferentes
clasificaciones otorgadas al proveedor del seguro,
debe considerarse la ms conservadora.
b) Los contratos de seguro a considerar debern tener

un plazo de vencimiento no menor de un ao. Para
contratos que tengan un plazo residual de vencimiento
inferior a un ao, la empresa deber aplicar los
descuentos proporcionales necesarios que reflejen
el plazo residual decreciente del contrato, hasta un
recorte completo del 100% para contratos con un
plazo residual de 90 das o menos.
c) Los contratos de seguro a considerar debern
contar con un perodo mnimo de preaviso para su
cancelacin de 90 das.
d) Los contratos de seguro a considerar no debern
tener exclusiones o limitaciones que dependan de
acciones de la Superintendencia y otros organismos
reguladores o, en el caso de liquidacin de la
empresa, que impidan a la empresa, al administrador
o al liquidador recuperarse de los daos y perjuicios
sufridos o gastos incurridos por la empresa, excepto
en el caso de eventos que ocurran despus de iniciado
El proveedor del seguro deber ser un tercero.

En el caso de seguros brindados por empresas
del mismo grupo econmico, la exposicin deber
estar reasegurada por un tercero independiente
que satisfaga los criterios de admisin sealados
anteriormente.
g) La metodologa de reconocimiento del seguro deber

estar adecuadamente sustentada y documentada.
h) La empresa deber incorporar como parte
de la informacin de sustento que enve a la
Superintendencia la forma en que utiliza los seguros
para mitigar sus riesgos.
La metodologa de reconocimiento del seguro en el
caso de una empresa que utilice un mtodo avanzado
deber, tambin, tomar en consideracin los siguientes
aspectos mediante la aplicacin de descuentos en
la cantidad correspondiente al reconocimiento del
seguro:
El Peruano
El plazo de vencimiento residual del contrato, en caso

de ser inferior a un ao, conforme se establece en el
literal b de la seccin anterior.
El plazo de cancelacin del contrato, cuando sea
inferior a un ao.
La incertidumbre del pago, as como los desfases
existentes en la cobertura del seguro.
La Superintendencia podr revisar posteriormente

el lmite establecido y los requisitos sealados para
el reconocimiento de los seguros en el clculo del
requerimiento patrimonial por riesgo operacional, sobre la
base de la experiencia acumulada.
DISPOSICIONES FINALES
Primera.- Requerimiento adicional

La Superintendencia podr exigir a las empresas un
requerimiento patrimonial mayor al calculado con el
mtodo al que la empresa ha sido autorizada a utilizar
cuando los niveles de requerimiento de patrimonio
efectivo no resulten adecuados a la naturaleza y escala
de las operaciones, perfil de riesgo y sistema de gestin
de riesgos de la empresa.
Segunda.- Revocatoria de autorizacin
Si la Superintendencia determina que una empresa
que ha sido autorizada a utilizar el mtodo estndar
alternativo o los mtodos avanzados, deja de satisfacer
los requisitos de autorizacin asociados con dicho
mtodo, podr revocar la autorizacin otorgada y exigirle
que utilice un mtodo ms simple para algunas o todas
sus operaciones, hasta que cumpla con las condiciones
estipuladas por la Superintendencia para poder volver al
mtodo del que fuera revocado, lo que se comunicar
mediante Oficio.
Tercera.- Vigencia
La presente norma entrar en vigencia el 1 de julio de
2009. Para la aplicacin del mtodo estndar alternativo
a partir de dicha fecha, las empresas podrn presentar su
solicitud de autorizacin de conformidad con lo sealado
en la presente norma, a partir de su publicacin.
El Peruano
NORMAS LEGALES
RESOLUCIN SBS N 2116-2009

EL SUPERINTENDENTE DE BANCA, SEGUROS Y
ADMINISTRADORAS PRIVADAS DE FONDOS DE
PENSIONES
CONSIDERANDO:
Que, mediante la Resolucin SBS N 37-2008 del 10
de enero de 2008, se aprob el Reglamento de la Gestin
Integral de Riesgos, que establece que las empresas
supervisadas deben contar con una gestin integral de
riesgos adecuada a su tamao y a la complejidad de sus
operaciones y servicios;
Que, entre los riesgos que enfrentan las empresas
supervisadas en el desarrollo de sus actividades se
encuentra el riesgo operacional, el cual puede generarse
por deficiencias o fallas en los procesos internos, en
la tecnologa de la informacin, en las personas o por
ocurrencia de eventos externos;
Que, mediante la Resolucin SBS N 006-2002 del
4 de enero de 2002 y sus modificatorias, se aprob el
Reglamento para la Administracin de los Riesgos de
Operacin;
Que, en consecuencia, resulta necesario realizar
modificaciones al Reglamento para la administracin
de los riesgos de operacin, a fin que dicha norma sea
consistente con las disposiciones del Reglamento de la
Gestin Integral de Riesgos, as como con los desarrollos
recientes sobre la materia;
Que, asimismo, resulta conveniente ampliar el alcance
de la regulacin referida a la gestin del riesgo operacional
a las Administradoras Privadas de Fondos de Pensiones;
Estando a lo opinado por las Superintendencias
Adjuntas de Banca y Microfinanzas, Seguros,
Administradoras Privadas de Fondos de Pensiones,
Riesgos y Asesora Jurdica; y,
En uso de las atribuciones conferidas por los numerales
7 y 9 del artculo 349 de la Ley General del Sistema
Financiero y del Sistema de Seguros y Orgnica de la
Superintendencia de Banca y Seguros, Ley N 26702
y sus modificatorias, y el inciso d) del artculo 57 del
Texto nico Ordenado de la Ley del Sistema Privado de
Administracin de Fondos de Pensiones, aprobado por
Decreto Supremo N 054-97-EF;
RESUELVE:
Artculo Primero.- Aprobar el Reglamento para
la Gestin del Riesgo Operacional, que forma parte
integrante de la presente Resolucin.
Los anexos que forman parte del Reglamento
aprobado por la presente Resolucin se publican en el
Portal institucional (http://www.sbs.gob.pe), conforme a lo
dispuesto en el Decreto Supremo N 001-2009-JUS.
Artculo Segundo.- Sustituir el artculo 117 del
Ttulo VI del Compendio de Normas de Superintendencia
Reglamentarias del Sistema Privado de Administracin de
Fondos de Pensiones (SPP), por el texto siguiente:
Artculo 117.- Riesgo Operacional. Para administrar
los riesgos operacionales asociados con el proceso de
inversiones, las AFP se sujetarn a las disposiciones
establecidas en el Reglamento para la Gestin del Riesgo
Operacional.
Asimismo, como parte de las medidas para el
tratamiento de este riesgo, las empresas debern realizar
lo siguiente:
a. Implementar procedimientos para que las
operaciones
de
inversin
cuenten
con
confirmaciones, ya sean escritas o por medios
auditivos o electrnicos, suscritas por los
intermediarios;
Pg. 393913
b. Implementar procedimientos para que las

operaciones de inversin cumplan con las
normas internas y externas aplicables y que las
mismas se hayan realizado bajo condiciones de
mercado, contando con los poderes y las firmas
autorizadas;
c. Implementar planes de contingencia ante fallas
tcnicas en los sistemas de informacin o ante
la ocurrencia de eventos de fuerza mayor que
puedan afectar la gestin de las inversiones;
d. Establecer
los
procedimientos
para
el
funcionamiento de sistemas de grabaciones de
audio adecuados para la concertacin de las
operaciones de inversin, y el mantenimiento
de dichas grabaciones por un mnimo de dos (2)
aos;
e. Establecer procedimientos relacionados a la
concertacin, registro, liquidacin, guarda fsica
y custodia de las operaciones de inversin y al
mantenimiento y control de expedientes;
f. Establecer polticas y procedimientos que
permitan una adecuada instrumentalizacin de
convenios y contratos a fin de delimitar derechos
y obligaciones contractuales tanto de las Carteras
Administradas como de la AFP en aspectos
vinculados con el proceso de inversin;
g. Establecer adecuados canales de difusin entre
sus funcionarios de las disposiciones legales y
administrativas aplicables a sus operaciones de
inversin;
h. Evaluar y monitorear los efectos que habrn
de producirse sobre los actos en materia de
inversiones que realice la AFP, de conformidad con
el rgimen legal nacional o extranjero aplicable;
i. Evaluar y monitorear las implicancias jurdicas
en caso de incumplimiento en el pago de una
inversin realizada por parte de un emisor o
contraparte y la factibilidad de ejecucin de las
garantas;
j. Establecer condiciones y requerimientos para el
accionar diligente de los funcionarios en el proceso
de inversin en resguardo de los recursos de las
Carteras Administradas; y,
k. Asegurar un adecuado cumplimiento de las
polticas sobre la conducta tica y las polticas
orientadas a evitar conflictos de inters u otras
irregularidades en la gestin de las inversiones de
los recursos de las Carteras Administradas.
Artculo Tercero.- Incorprese el procedimiento N 122
Autorizaciones especiales para la Gestin del Riesgo
Operacional y el procedimiento N 123 Autorizacin
del Procesamiento Principal en el Exterior en el Texto
nico de Procedimientos Administrativos TUPA de la
Superintendencia de Banca, Seguros y AFP aprobado
mediante Resolucin SBS N 131-2002, cuyos textos se
anexan a la presente Resolucin y se publican conforme
lo dispuesto en el Decreto Supremo N 004-2008-PCM,
reglamento de la Ley N 29091. (Portal institucional:
www.sbs.gob.pe).
Artculo Cuarto.- La presente Resolucin entra en
vigencia a partir del da siguiente a su publicacin en el
Diario Oficial El Peruano, otorgndose para su cumplimiento
un plazo de adecuacin hasta el 31 de marzo de 2010,
fecha a partir de la cual quedarn sin efecto la Resolucin
SBS N 006-2002 y sus normas modificatorias, la Circular
G-130-2007, as como todas aquellas disposiciones que se
le opongan de manera total o parcial.
Las Administradoras Privadas de Fondos de Pensiones
tendrn un plazo de adecuacin al Reglamento aprobado
por la presente Resolucin hasta el 30 de junio de 2010.
Regstrese, comunquese y publquese,
FELIPE TAM FOX
Pg. 393914
El Peruano
NORMAS LEGALES
REGLAMENTO PARA LA GESTIN DEL

RIESGO OPERACIONAL
CAPTULO I
DISPOSICIONES GENERALES
Artculo 1.- Alcance

El presente Reglamento ser de aplicacin a las empresas
sealadas en el artculo 16 de la Ley General, as como
a las Administradoras Privadas de Fondos de Pensiones
(AFP), en adelante empresas.
Tambin ser de aplicacin a las Cajas Municipales de
Ahorro y Crdito (CMAC), la Caja Municipal de Crdito
Popular, el Fondo de Garanta para Prstamos a la Pequea
Industria (FOGAPI), el Banco de la Nacin, el Banco
Agropecuario, la Corporacin Financiera de Desarrollo
(COFIDE), el Fondo MIVIVIENDA S.A., y las Derramas y
Cajas de Beneficios bajo control de la Superintendencia, en
tanto no se contrapongan con las normativas especficas
que regulen el accionar de estas empresas.
Las empresas de servicios complementarios y conexos
sealadas en el artculo 17 de la Ley General se sujetarn,
para la gestin de su riesgo operacional, a lo establecido
en sus normas especficas. Asimismo, podrn tomar en
consideracin las disposiciones sealadas en el presente
Reglamento en funcin a su tamao y complejidad.
Artculo 2.- Definiciones
Para los efectos de la presente norma deben considerarse
los siguientes trminos:
a. Apetito por el riesgo: El nivel de riesgo que la
empresa est dispuesta a asumir en su bsqueda de
rentabilidad y valor.
b. Directorio: Toda referencia al directorio, entindase
realizada tambin a cualquier rgano equivalente.
c. Evento: Un suceso o serie de sucesos que pueden
de tiempo.
d. Evento de prdida por riesgo operacional: El evento
que conduce a una o varias prdidas, cuyo origen
corresponde al riesgo operacional.
e. Informacin: Cualquier forma de registro electrnico,
ptico, magntico o en otros medios, susceptible de
ser procesada, distribuida y almacenada.
f. Proceso: Conjunto de actividades, tareas y
procedimientos organizados y repetibles que producen
un resultado esperado.
g. Reglamento de la Gestin Integral de Riesgos:
Reglamento de la Gestin Integral de Riesgos
aprobado mediante la Resolucin SBS N 37-2008
del 10 de enero de 2008.
h. Riesgo legal: Posibilidad de ocurrencia de prdidas
financieras debido a la falla en la ejecucin de
contratos o acuerdos, al incumplimiento no intencional
de las normas, as como a factores externos, tales
como cambios regulatorios, procesos judiciales, entre
otros.
i. Subcontratacin: Modalidad de gestin mediante la
cual una empresa contrata a un tercero para que ste
desarrolle un proceso que podra ser realizado por la
empresa contratante.
j. Superintendencia: Superintendencia de Banca,
Seguros y Administradoras Privadas de Fondos de
Pensiones.
k. Tolerancia al riesgo: El nivel de variacin que
la empresa est dispuesta a asumir en caso de
desviacin de los objetivos empresariales trazados.
Artculo 3.- Riesgo operacional
Entindase por riesgo operacional a la posibilidad de
ocurrencia de prdidas debido a procesos inadecuados,
fallas del personal, de la tecnologa de informacin, o
eventos externos. Esta definicin incluye el riesgo legal,
pero excluye el riesgo estratgico y de reputacin.
Las empresas deben realizar una gestin adecuada

del riesgo operacional que enfrentan, para lo cual
observarn los criterios mnimos indicados en el presente
Reglamento.
Artculo 4.operacional
i)
Factores
que
originan
el
riesgo
Procesos internos
Las empresas deben gestionar apropiadamente
los riesgos asociados a los procesos internos
implementados para la realizacin de sus operaciones
y servicios, relacionados al diseo inapropiado de los
procesos o a polticas y procedimientos inadecuados
o inexistentes que puedan tener como consecuencia
el desarrollo deficiente de las operaciones y servicios
o la suspensin de los mismos.
ii) Personal
Las empresas deben gestionar apropiadamente
los riesgos asociados al personal de la empresa,
relacionados a la inadecuada capacitacin, negligencia,
error humano, sabotaje, fraude, robo, paralizaciones,
apropiacin de informacin sensible, entre otros.
iii) Tecnologa de informacin
Las empresas deben gestionar los riesgos asociados
a la tecnologa de informacin, relacionados a
fallas en la seguridad y continuidad operativa de los
sistemas informticos, los errores en el desarrollo e
implementacin de dichos sistemas y la compatibilidad
e integracin de los mismos, problemas de calidad de
informacin, la inadecuada inversin en tecnologa,
entre otros aspectos.
iv) Eventos externos
Las empresas debern gestionar los riesgos asociados
a eventos externos ajenos al control de la empresa,
relacionados por ejemplo a fallas en los servicios
pblicos, la ocurrencia de desastres naturales,
atentados y actos delictivos, entre otros factores.
Artculo 5.- Eventos de prdida por riesgo
operacional
Los eventos de prdida por riesgo operacional pueden ser
agrupados de la manera descrita a continuacin:
a. Fraude interno.- Prdidas derivadas de algn tipo de
actuacin encaminada a defraudar, apropiarse de
bienes indebidamente o incumplir regulaciones, leyes
o polticas empresariales en las que se encuentra
implicado, al menos, un miembro de la empresa, y
que tiene como fin obtener un beneficio ilcito.
b. Fraude externo.- Prdidas derivadas de algn tipo
de actuacin encaminada a defraudar, apropiarse de
bienes indebidamente o incumplir la legislacin, por
parte de un tercero, con el fin de obtener un beneficio
ilcito.
c. Relaciones laborales y seguridad en el puesto
de trabajo.- Prdidas derivadas de actuaciones
incompatibles con la legislacin o acuerdos laborales,
sobre higiene o seguridad en el trabajo, sobre el pago
de reclamos por daos personales, o sobre casos
relacionados con la diversidad o discriminacin.
d. Clientes, productos y prcticas empresariales.Prdidas derivadas del incumplimiento involuntario
o negligente de una obligacin empresarial frente a
clientes concretos (incluidos requisitos fiduciarios y
de adecuacin), o de la naturaleza o diseo de un
producto.
e. Daos a activos materiales.- Prdidas derivadas
de daos o perjuicios a activos materiales como
consecuencia de desastres naturales u otros
acontecimientos.
El Peruano
f.
NORMAS LEGALES
Interrupcin del negocio y fallos en los sistemas.Prdidas derivadas de interrupciones en el negocio y

de fallos en los sistemas.
g. Ejecucin, entrega y gestin de procesos.- Prdidas

derivadas de errores en el procesamiento de
operaciones o en la gestin de procesos, as como
de relaciones con contrapartes comerciales y
proveedores.
En el Anexo N 1, se incluye una categorizacin de los
tipos de eventos de prdida aplicable segn el sector al
que pertenece la empresa.
CAPTULO II
ROLES Y RESPONSABILIDADES
Artculo 6.- Responsabilidades del Directorio

El Directorio tiene las siguientes responsabilidades
especficas respecto a la gestin del riesgo operacional:
a) Definir la poltica general para la gestin del riesgo
operacional.
b) Asignar los recursos necesarios para la adecuada
gestin del riesgo operacional, a fin de contar con la
infraestructura, metodologa y personal apropiados.
c) Establecer un sistema de incentivos que fomente la
adecuada gestin del riesgo operacional y que no
favorezca la toma inapropiada de riesgos.
d) Aprobar el manual de gestin del riesgo operacional.
e) Conocer los principales riesgos operacionales
afrontados por la entidad, estableciendo cuando ello
sea posible, adecuados niveles de tolerancia y apetito
por el riesgo.
f) Establecer un sistema adecuado de delegacin de
facultades y de segregacin de funciones a travs de
toda la organizacin.
g) Obtener aseguramiento razonable que la empresa
cuenta con una efectiva gestin del riesgo operacional,
y que los principales riesgos identificados se
encuentran bajo control dentro de los lmites que han
establecido.
Artculo 7.- Responsabilidades de la Gerencia
La gerencia general tiene la responsabilidad de
implementar la gestin del riesgo operacional conforme a
las disposiciones del Directorio.
Los gerentes de las unidades organizativas de negocios
o de apoyo tienen la responsabilidad de gestionar el
riesgo operacional en su mbito de accin, dentro de las
polticas, lmites y procedimientos establecidos.
Artculo 8.- Comit de riesgos
Las funciones del Comit de Riesgos sealadas en el
Reglamento de la Gestin Integral de Riesgos, son de
aplicacin a la gestin del riesgo operacional en lo que
corresponda.
Artculo 9.- Unidad de riesgos
De conformidad con el Reglamento de la Gestin Integral
de Riesgos, las empresas podrn contar con una Unidad
de Riesgos centralizada o con unidades especializadas
en la gestin de riesgos especficos.
En ese sentido, la Unidad de Riesgos de la empresa o, de
ser el caso, la unidad especializada de gestin del riesgo
operacional deber cumplir con las siguientes funciones:
a. Proponer polticas para la gestin del riesgo
operacional.
b. Participar en el diseo y permanente actualizacin del
Manual de gestin del riesgo operacional.
c. Desarrollar la metodologa para la gestin del riesgo
operacional.
d. Apoyar y asistir a las dems unidades de la empresa
para la aplicacin de la metodologa de gestin del
riesgo operacional.
Pg. 393915
e. Evaluacin del riesgo operacional, de forma previa

al lanzamiento de nuevos productos y ante cambios
importantes en el ambiente operativo o informtico.
f. Consolidacin y desarrollo de reportes e informes
sobre la gestin del riesgo operacional por proceso, o
unidades de negocio y apoyo.
g. Identificacin de las necesidades de capacitacin
y difusin para una adecuada gestin del riesgo
operacional.
h. Otras necesarias para el desarrollo de la funcin.
Las empresas debern asignar recursos suficientes
para la gestin del riesgo operacional, que les permita
un adecuado cumplimiento de las funciones sealadas
en el presente artculo y asegurar una adecuada
independencia entre el rea que asuma las funciones
de gestin del riesgo operacional sealadas en el
presente artculo y aquellas otras unidades de negocio
o de apoyo.
Los bancos, las financieras, las empresas de seguros y
las AFP debern contar con una funcin especializada en
riesgo operacional. De acuerdo al tamao y complejidad de
las operaciones que realice la empresa, la Superintendencia
podr requerir la creacin de una unidad especializada.
CAPTULO III
LA GESTIN DEL RIESGO OPERACIONAL
Artculo 10.- Manual de gestin del riesgo

operacional
Las empresas debern contar con un manual de gestin
del riesgo operacional, el cual deber contemplar por lo
menos los siguientes aspectos:
a. Polticas para la gestin del riesgo operacional.
b. Funciones y responsabilidades asociadas con la
gestin del riesgo operacional del Directorio, la
Gerencia General, el Comit de Riesgos, la Unidad de
Riesgos (o la unidad especializada, si corresponde) y
las unidades de negocio y de apoyo.
c. Descripcin de la metodologa aplicada para la gestin
del riesgo operacional.
d. La forma y periodicidad con la que se deber informar
al Directorio y a la Gerencia General, entre otros, sobre
la exposicin al riesgo operacional de la empresa y de
cada unidad de negocio.
e. El proceso para la aprobacin de propuestas de
nuevas operaciones, productos y servicios que deber
contar, entre otros aspectos, con una descripcin
general de la nueva operacin, producto o servicio de
que se trate, los riesgos identificados y las acciones a
tomar para su control.
Artculo 11.- Metodologa para la gestin del riesgo
operacional
La metodologa definida por la empresa para la gestin
del riesgo operacional, cuando sea tomada en su
conjunto, deber considerar los componentes sealados
en el artculo 4 del Reglamento de la Gestin Integral de
Riesgos.
Asimismo, debern cumplirse los siguientes criterios:
a. La metodologa debe ser implementada en toda la
empresa en forma consistente.
b. La empresa debe asignar recursos suficientes para
aplicar su metodologa en las principales lneas de
negocio, y en los procesos de control y de apoyo.
c. La aplicacin de la metodologa debe estar integrada
a los procesos de gestin de riesgos de la empresa.
d. Deben establecerse incentivos que permitan una
mejora continua de la gestin del riesgo operacional.
e. La aplicacin de la metodologa de gestin del riesgo
operacional debe estar adecuadamente documentada.
f. Deben establecerse procedimientos que permitan
asegurar el cumplimiento de su metodologa de
gestin del riesgo operacional.
Pg. 393916
NORMAS LEGALES
El Peruano
cuenta su volumen de operaciones y complejidad

asociada. La Superintendencia podr actualizar el
monto mnimo definido por medio de Circular.
Debe tenerse en cuenta que un evento puede tener como

efecto una o ms prdidas, por lo cual las empresas
debern estar en capacidad de agrupar las prdidas
ocurridas por evento.
e. Debe definirse un monto mnimo de prdida a partir

del cual deber contarse con un expediente fsico
o electrnico que contenga informacin adicional a
la solicitada en el literal b. y que permita conocer el
modo en que se produjo el evento, caractersticas
especiales y otra informacin relevante, as como las
acciones que hubiera tomado la empresa, incluyendo
entre otras las mejoras o cambios requeridos en
sus polticas o procedimientos. Dicho monto mnimo
deber ser aprobado por el Comit de Riesgos. La
Superintendencia podr establecer posteriormente un
monto mnimo de carcter general.
Artculo 12.- Base de datos de eventos de prdida

Las empresas debern contar con una base de datos de
los eventos de prdida por riesgo operacional.
La base de datos deber cumplir con los siguientes

criterios:
a. Deben registrarse los eventos de prdida originados
en toda la empresa, para lo cual se disearn
polticas, procedimientos de captura, y entrenamiento
al personal que interviene en el proceso.
b. Debe registrarse, como mnimo, la siguiente
informacin referida al evento y a las prdidas
asociadas:
Cdigo de identificacin del evento.

Tipo de evento de prdida (segn tipos de
eventos sealados en el Anexo 1 del presente
Reglamento).
Lnea de negocio asociada, segn lneas
sealadas en el Anexo 2 del presente Reglamento
para las empresas del sistema financiero, Anexo 3
para las empresas de seguros y Anexo 4 para las
AFP. Debern considerarse los niveles 1 y 2 de los
cuadros sealados en los anexos. Estos cuadros
podrn ser actualizados por la Superintendencia
mediante Circular.
Descripcin corta del evento.
Descripcin larga del evento.
Fecha de ocurrencia o de inicio del evento.
Fecha de descubrimiento del evento.
Fecha de registro contable del evento.
Monto(s) bruto(s) de la(s) prdida(s), moneda y
tipo de cambio.
Monto(s) recuperado(s) mediante coberturas
existentes de forma previa al evento, moneda,
tipo de cambio y tipo de cobertura aplicada.
Monto total recuperado, moneda y tipo de
cambio.
Cuenta(s) contable(s) asociadas.
Identificacin si el evento est asociado con el
riesgo de crdito (para empresas del sistema
financiero) o con el riesgo de seguros (para
empresas del sistema de seguros).
En el caso de eventos con prdidas mltiples, las

empresas podrn registrar la informacin mnima
requerida por cada prdida, y establecer una forma
de agrupar dicha informacin por el evento que las
origin.
De otro lado, podr registrarse informacin parcial
de un evento, en tanto se obtengan los dems datos
requeridos. Por ejemplo, podr registrarse primero el
monto de la prdida, para posteriormente aadir las
recuperaciones asociadas.
c. Deben definirse y documentarse criterios objetivos para
asignar los eventos de prdida a los tipos de evento
sealados en el Anexo 1 del presente Reglamento,
as como a las lneas de negocio sealadas en los
Anexos 2, 3 y 4. Asimismo, deben definirse criterios
especficos para aquellos casos en que un evento
est asociado a ms de una lnea de negocio.
d. Debe definirse un monto mnimo de prdida a partir
del cual se registrar un evento en la base de datos.
Al respecto, se fija un monto mnimo de 3 000 nuevos
soles para los bancos, las financieras, las compaas
de seguros y las AFP, y de 1 000 nuevos soles para el
resto de empresas. Las empresas podrn establecer
un monto mnimo inferior al indicado, teniendo en
Artculo 13.- Gestin de la continuidad del negocio y

de la seguridad de la informacin
Como parte de una adecuada gestin del riesgo
operacional, las empresas deben implementar un sistema
de gestin de la continuidad del negocio que tendr
como objetivo implementar respuestas efectivas para
que la operatividad del negocio de la empresa contine
de una manera razonable, ante la ocurrencia de eventos
que pueden crear una interrupcin o inestabilidad en las
operaciones de la empresa.
Asimismo, las empresas deben contar con un sistema
de gestin de la seguridad de la informacin, orientado a
garantizar la integridad, confidencialidad y disponibilidad
de la informacin.
Para ello, las empresas debern aplicar las disposiciones
que se establezcan en las normas especficas sobre estos
temas.
Artculo 14.- Subcontratacin
Con el fin de gestionar los riesgos operacionales
asociados a la subcontratacin, las empresas debern
establecer polticas y procedimientos apropiados
para evaluar, administrar y monitorear los procesos
subcontratados. Dichas polticas y procedimientos
debern considerar:
a. El proceso de seleccin del proveedor del servicio
b. La elaboracin del acuerdo de subcontratacin
c. La gestin y monitoreo de los riesgos asociados con
el acuerdo de subcontratacin
d. La implementacin de un entorno de control efectivo
e. Establecimiento de planes de continuidad
Los acuerdos de subcontratacin debern formalizarse
mediante contratos firmados, los cuales deben incluir
acuerdos de niveles de servicio, y definir claramente las
responsabilidades del proveedor y de la empresa.
CAPTULO IV
REQUERIMIENTOS DE INFORMACIN
Artculo 15.- Informe a la Superintendencia

informes anuales referidos a la gestin del riesgo
operacional, a travs del software IG-ROp, el cual se
encontrar disponible en el Portal del Supervisado.
Dichos informes debern ser remitidos a ms tardar
el 31 de enero del ao siguiente al ao de reporte. La
Superintendencia podr requerir, mediante Oficio, la
actualizacin peridica de los informes.
El contenido mnimo del referido informe, as como los
aspectos operativos del IG-ROp, relacionados con las
instrucciones, responsables y dems aspectos necesarios
para su adecuado funcionamiento, se establecen en el
Manual del IG-ROp, el cual estar publicado en el Portal
del Supervisado de la SBS. Asimismo, en el Portal, se
publicarn instrucciones adicionales para el adecuado
uso del sistema.
El Peruano
Pg. 393917
NORMAS LEGALES
Las empresas supervisadas debern designar un

funcionario responsable por la informacin a ser reportada
a travs del IG-ROp, y tomarn las medidas necesarias
para asegurar la veracidad de dicha informacin.
El funcionario responsable deber corresponder a
cualquiera de las siguientes clasificaciones: Director,
Gerente o Funcionario Principal, segn las disposiciones
de la Circular G-119-2004, referida a las normas
para el registro de Directores, Gerentes y Principales
Funcionarios REDIR.
Artculo 16.- Informacin adicional
La Superintendencia podr requerir a la empresa cualquier
otra informacin que considere necesaria para una
adecuada supervisin de la gestin del riesgo operacional
de la empresa.
Asimismo, la empresa deber tener a disposicin de la
Superintendencia todos los documentos mencionados
por el presente Reglamento, as como los informes de
auditora o revisiones realizadas por la casa matriz en
caso de ser aplicable.
CAPTULO V
COLABORADORES EXTERNOS
Artculo 17.- Auditora Interna

La Unidad de Auditora Interna deber evaluar el
cumplimiento de los procedimientos utilizados para la
gestin del riesgo operacional, as como de lo dispuesto
en el presente Reglamento, de conformidad con lo
establecido en el Reglamento de Auditora Interna.
Artculo 18.- Auditora Externa
Las sociedades de auditora externa debern incluir en su
informe sobre el sistema de control interno comentarios
dirigidos a indicar si la entidad cuenta con polticas y
procedimientos para la gestin del riesgo operacional,
considerando el cumplimiento de lo dispuesto en el
presente Reglamento.
Artculo 19.- Empresas Clasificadoras de Riesgo
Las empresas clasificadoras de riesgo debern tener en
cuenta las polticas y procedimientos establecidos por
la empresa para la gestin del riesgo operacional en el
proceso de clasificacin de las empresas supervisadas.
DISPOSICIONES FINALES Y TRANSITORIAS
Primera.- Autorizaciones especiales

Las empresas podrn solicitar a la Superintendencia
exoneracin especfica de alguno de los requerimientos
normativos indicados en este Reglamento, adjuntando
la documentacin de sustento correspondiente, para lo
cual sern de aplicacin los requisitos sealados en la
Primera Disposicin Final y Transitoria del Reglamento de
la Gestin Integral de Riesgos, en lo que sea aplicable a
la gestin del riesgo operacional.
Segunda.- Rgimen simplificado para las Edpymes
Las Edpymes no estn obligadas a implementar la
base de datos de eventos de prdida requerida en el
artculo 12 del presente Reglamento. No obstante, la
Superintendencia podr exigir la aplicacin de dicho
artculo a aquellas Edpymes que considere apropiadas,
teniendo en consideracin su tamao, complejidad y
volumen de operaciones.
Tercera.- Sanciones
En caso de incumplimiento de las disposiciones contenidas
en el presente Reglamento la Superintendencia aplicar
las sanciones correspondientes de conformidad con lo
establecido en el Reglamento de Sanciones.
Cuarta.- Transparencia
Como parte de la informacin que debe ser revelada
en la Memoria Anual de las empresas, conforme a lo
sealado en el Reglamento de la Gestin Integral de
Riesgos, deben incluirse las caractersticas principales

de la gestin del riesgo operacional implementada por
la empresa.
Quinta.- Adecuacin de las Administradoras Privadas
de Fondos de Pensiones
En un plazo que no exceder de noventa (90) das
calendario de haberse publicado el presente Reglamento,
las AFP debern remitir a la Superintendencia un plan de
adecuacin a las disposiciones contenidas en la presente
norma.
Dicho plan deber incluir un diagnstico de la situacin
existente en la AFP respecto al cumplimiento de cada uno
de los artculos del presente Reglamento, las acciones
previstas para la total adecuacin y el cronograma de
las mismas, as como los funcionarios responsables del
cumplimiento de dicho plan.
CIRCULAR N G-139-2009

---------------------------------------------Ref.: Gestin de la continuidad del
negocio
---------------------------------------------Seor
Gerente General
Srvase tomar nota que, en uso de las atribuciones
conferidas por el numeral 7 del artculo 349 de la Ley
General del Sistema Financiero y del Sistema de Seguros
y Orgnica de la Superintendencia de Banca y Seguros Ley N 26702 y sus modificatorias en adelante Ley General,
y por el inciso d) del artculo 57 del Texto nico Ordenado
de la Ley del Sistema Privado de Administracin de
Fondos de Pensiones aprobado por el Decreto Supremo
N 054-97-EF, con la finalidad de establecer criterios
mnimos para la gestin de la continuidad del negocio,
que forma parte de una adecuada gestin del riesgo
operacional que enfrentan las empresas supervisadas,
esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones, las cuales toman
como referencia estndares internacionales como el
BS-25999, disponindose su publicacin en virtud de lo
sealado en el Decreto Supremo N 001-2009-JUS:
Alcance
Artculo 1.- La presente Circular ser de aplicacin a
las empresas sealadas en los artculos 16 y 17 de la
Ley General, as como a las Administradoras Privadas de
Fondos de Pensiones (AFP), en adelante empresas.
Popular, el Fondo de Garanta para Prstamos a la Pequea
Industria (FOGAPI), el Banco de la Nacin, el Banco
Agropecuario, la Corporacin Financiera de Desarrollo
(COFIDE), el Fondo MIVIVIENDA S.A., las Derramas y
Cajas de Beneficios bajo control de la Superintendencia,
la Federacin Peruana de Cajas Municipales de Ahorro y
Crdito (FEPCMAC) y el Fondo de Cajas Municipales de
Ahorro y Crdito (FOCMAC), en tanto no se contrapongan
con las normativas especficas que regulen el accionar de
estas empresas.
Definiciones
Artculo 2.- Para efectos de la presente norma, sern de
aplicacin las siguientes definiciones:
a. Evento: Un suceso o serie de sucesos que pueden
de tiempo.
Pg. 393918
NORMAS LEGALES
b. Grupos de inters: Personas u organizaciones que se

ven impactadas por las operaciones de una empresa.
Ejemplos: clientes, socios del negocio, empleados,
proveedores, accionistas, entidades gubernamentales,
entre otros.
El Peruano
Responsabilidad de la Unidad de Riesgos

Artculo 6.- La Unidad de Riesgos deber asegurarse
que la gestin de la continuidad del negocio que realice la
empresa sea consistente con las polticas y procedimientos
aplicados para la gestin de riesgos.
c. Informacin: Cualquier forma de registro electrnico,

ptico, magntico o en otros medios similares,
susceptible de ser procesada, distribuida y
almacenada.
Funcin de continuidad del negocio

Artculo 7.- Las empresas debern contar con una
funcin de continuidad del negocio, la cual tendr a su
cargo las siguientes responsabilidades:
d. Ley General: Ley General del Sistema Financiero

y del Sistema de Seguros y Orgnica de la
Superintendencia de Banca y Seguros - Ley N 26702
y sus modificatorias.
a. Proponer las polticas, procedimientos y metodologa

apropiados para la gestin de la continuidad del
negocio en la empresa, incluyendo la asignacin de
roles y responsabilidades;
b. Velar por una gestin de la continuidad del negocio
competente;
c. Informar a la gerencia general y al comit de
riesgos los aspectos relevantes de la gestin de la
continuidad del negocio para una oportuna toma de
decisiones.
e. Periodo mximo tolerable de interrupcin: Es el

perodo de tiempo luego del cual la viabilidad de la
empresa sera afectada seriamente, si un producto o
servicio en particular no es reanudado.
f.
Proceso: Conjunto de actividades, tareas y

procedimientos organizados y repetibles que producen
un resultado esperado.
g. Riesgo: La condicin en que existe la posibilidad de

que un evento ocurra e impacte negativamente sobre
los objetivos de la empresa.
h. Riesgo operacional: La posibilidad de prdidas
debido a procesos inadecuados, fallas del personal,
de la tecnologa de informacin, o eventos externos.
Esta definicin incluye el riesgo legal, pero excluye el
riesgo estratgico y de reputacin.
i.
Tiempo objetivo de recuperacin: Es el tiempo

establecido por la empresa para reanudar un proceso,
en caso de ocurrencia de un evento de interrupcin de
operaciones. Es menor al perodo mximo tolerable
de interrupcin.
Gestin de la continuidad del negocio

Artculo 3.- La gestin de la continuidad del negocio es
un proceso, efectuado por el Directorio, la Gerencia y el
personal, que implementa respuestas efectivas para que
la operatividad del negocio de la empresa contine de una
manera razonable, con el fin de salvaguardar los intereses
de sus principales grupos de inters, ante la ocurrencia de
eventos que pueden crear una interrupcin o inestabilidad
en las operaciones de la empresa.
Las empresas deben realizar una gestin de la continuidad
del negocio adecuada a su tamao y a la complejidad de
sus operaciones y servicios.
Responsabilidad del Directorio
Artculo 4.- El Directorio es responsable de establecer
una adecuada gestin de la continuidad del negocio.
Entre sus responsabilidades especficas estn:
a. Aprobar una poltica general que defina el alcance,
principios y guas que orienten la gestin de la
continuidad del negocio.
b. Aprobar los recursos necesarios para el adecuado
desarrollo de la gestin de la continuidad del negocio,
a fin de contar con la infraestructura, metodologa y
personal apropiados.
c. Obtener aseguramiento razonable que la empresa
cuenta con una efectiva gestin de la continuidad del
negocio.
Responsabilidad de la Gerencia
Artculo 5.- La gerencia general tiene la responsabilidad
de implementar la gestin de la continuidad del negocio
conforme a las disposiciones del Directorio. La gerencia
podr constituir comits para el cumplimiento de sus
responsabilidades relacionadas con la gestin de la
continuidad del negocio.
En funcin a su tamao y complejidad de operaciones

y servicios, esta funcin ser desempeada por una
unidad especializada o asignada a otra unidad de la
empresa.
Fases de la gestin de la continuidad del negocio
Artculo 8.- Las empresas debern desarrollar como
mnimo las siguientes fases como parte de la gestin de
la continuidad del negocio:
8.1. Entendimiento de la organizacin
Esta fase consiste en conocer los objetivos y metas de la
empresa; identificar los principales procesos, productos,
servicios y proveedores, as como las actividades y
recursos requeridos; evaluar los riesgos que podran
causar una interrupcin de dichas actividades, y el impacto
que podra tener dicha interrupcin.
Las actividades mnimas a desarrollar durante esta fase
son las siguientes:
a. Anlisis de impacto: Consiste en determinar el
impacto que tendra una interrupcin de los procesos
que soportan los principales productos y servicios
de la empresa. Para ello, deben considerarse
aspectos como: daos a la viabilidad financiera de
la empresa, daos a su reputacin, incumplimiento
de requerimientos regulatorios, daos al personal o
al pblico en general. Segn ello, debe establecerse
el perodo mximo tolerable de interrupcin por cada
uno de estos procesos.
El anlisis de impacto debe ser revisado
peridicamente y actualizado cuando existan cambios
en la organizacin o en su entorno, que puedan
afectar sus resultados.
b. Evaluacin de riesgos: Consiste en identificar
y evaluar los riesgos que podran causar una
interrupcin del negocio. Para ello, deber seguirse
una metodologa consistente con aquella utilizada
para la evaluacin de los dems riesgos que enfrenta
la empresa.
La empresa debe definir qu procesos requieren contar con
una estrategia de continuidad de negocios, considerando
los resultados del anlisis de impacto y de la evaluacin
de riesgos.
8.2. Seleccin de la estrategia de continuidad
En esta fase, se determinan las estrategias de continuidad
que permitirn mantener las actividades y procesos de
negocio luego de ocurrido un evento de interrupcin de
operaciones.
Debe desarrollarse, como mnimo, la siguiente actividad:
El Peruano
NORMAS LEGALES
a. Evaluacin y seleccin de estrategias de continuidad

por proceso: Se refiere a seleccionar las estrategias
que permitirn mantener la continuidad de los
procesos que soportan los principales productos y
servicios de la empresa, dentro del tiempo objetivo
de recuperacin, definido para cada proceso. Las
estrategias de continuidad deben tomar en cuenta los
siguientes aspectos, segn sea aplicable para cada
proceso:
-
Seguridad del personal.

Habilidades y conocimientos asociados al
proceso.
Instalaciones alternas de trabajo.
Infraestructura alterna de tecnologa de
informacin que soporte el proceso.
Seguridad de la informacin.
Equipamiento necesario para el proceso.
8.3. Desarrollo e implementacin de la estrategia de

continuidad
En esta fase, se deben desarrollar los planes de
respuesta ante los eventos analizados en las fases
previas, e implementar un modelo de respuesta flexible
y escalable que permita cubrir los eventos inesperados y
proveer los recursos necesarios, acorde con la estrategia
seleccionada, para enfrentar con xito un evento de
interrupcin de operaciones. Para este fin, las empresas
debern implementar dos tipos de planes:
a. Plan de Gestin de Crisis: Consiste en preparar
a la empresa para enfrentar la fase aguda de un
evento de interrupcin de operaciones, incluso de
aquellos no esperados. Debe incluir los siguientes
aspectos:
-
Propsito y alcance
Roles y responsabilidades
Criterios de invocacin y activacin
Responsable de su actualizacin
Planes de accin
Comunicaciones con el personal, familiares y
contactos de emergencia
Interaccin con los medios de comunicacin
Comunicacin con los grupos de inters
Establecimiento de un centro de comando
(considerar al menos un sitio principal, y uno
alterno)
b. Plan(es) de Continuidad del Negocio: Tiene(n) como

objetivo dotar a la empresa de la capacidad de
mantener, o de ser el caso recuperar, los principales
procesos de negocio dentro de los parmetros
previamente establecidos. Debe(n) considerar, como
mnimo, los siguientes aspectos:
-
Propsito y alcance
Roles y responsabilidades
Criterios de invocacin y activacin
Responsable de su actualizacin
Planes de accin para reanudar los procesos
conforme a la estrategia seleccionada.
Requerimiento de recursos
Informacin vital y cmo acceder a ella (incluye
informacin de clientes, contratos, plizas de
seguro, entre otros)
Se deben desarrollar planes especficos considerando,

por lo menos, los siguientes:
Plan de Emergencia: Plan que tiene como objetivo
salvaguardar la integridad fsica del personal.
Plan de Recuperacin de los servicios de tecnologa
de informacin: Plan que busca inicialmente restaurar
los servicios de tecnologa de informacin dentro de
los parmetros establecidos, permitiendo una posterior
recuperacin de las condiciones previas a su ocurrencia.
Pg. 393919
8.4. Pruebas y actualizacin

Los planes de continuidad del negocio debern ser
probados cuando menos una vez al ao. A continuacin se
detallan las actividades mnimas que deben ser aplicadas
en esta fase:
a. Ejecucin de pruebas: El alcance de las pruebas
debe ser consistente con el alcance de los planes
de continuidad del negocio. Cada prueba debe
tener objetivos definidos y un reporte que resuma
los resultados alcanzados y recomendaciones. Esta
informacin debera ser usada para mejorar los
planes de continuidad del negocio en forma oportuna.
Pueden aplicarse diferentes tipos de prueba, desde las
pruebas de escritorio hasta las simulaciones completas
de escenarios de interrupcin de operaciones.
Las empresas debern asegurarse que sus principales
proveedores de servicios cuenten con planes de
continuidad y que stos cumplan con lo sealado en
el presente numeral.
b. Actualizacin de los planes: Las empresas deben
definir polticas y procedimientos para la actualizacin
de los planes de gestin de la continuidad del negocio,
de tal manera que cualquier cambio que impacte a la
empresa (ya sea interno o externo) sea revisado en
relacin con la continuidad del negocio.
8.5. Integrar la gestin de la continuidad del negocio a
la cultura organizacional
Las actividades mnimas a desarrollar en esta fase son
las siguientes:
a. Evaluacin del grado de conocimiento sobre la gestin
de continuidad: Tiene como objetivo determinar el
nivel de conocimiento actual y esperado sobre la
gestin de continuidad del negocio, los procedimientos
implementados, las tareas especficas sealadas en
los planes de continuidad, entre otros aspectos.
b. Desarrollo y mejora de la cultura de continuidad:
Disear e implementar planes de capacitacin
y entrenamiento, a fin de cubrir las deficiencias
encontradas en la actividad previa.
c. Monitoreo permanente: Revisar peridicamente el
nivel de entendimiento de la gestin de continuidad del
negocio a fin de identificar requerimientos adicionales.
Documentacin Sustentatoria
Artculo 9.- Las empresas debern mantener a disposicin
de la Superintendencia la documentacin necesaria que
permita sustentar el desarrollo de cada una de las fases y
actividades descritas en el artculo anterior.
Los principales aspectos de la gestin de la continuidad del
negocio, incluyendo el programa de pruebas de los planes
de continuidad, sern reportados a travs del aplicativo
IG-ROp en el plazo establecido en el Reglamento para la
Gestin del Riesgo Operacional.
Cambios significativos
Artculo 10.- Las empresas analizarn el impacto que
tienen los cambios significativos sobre la continuidad del
negocio.
Los cambios significativos podrn considerar entre otros:
cambio de la infraestructura tecnolgica que soporta
los principales productos y/o servicios, fusin con otra
empresa, implementacin de un nuevo producto, cambio
de un proveedor principal, cambio de oficina principal,
entre otros.
Auditora Interna
Artculo 11.- La Unidad de Auditora Interna evaluar
el cumplimiento de lo dispuesto en la presente norma de
acuerdo a su plan de trabajo.
Pg. 393920
NORMAS LEGALES
Plan de Adecuacin
Artculo 12.- En un plazo que no exceder de noventa (90)
das calendario de haberse publicado la presente Circular,
las empresas debern remitir a la Superintendencia un
plan de adecuacin a las disposiciones contenidas en la
presente norma.
existente en la empresa respecto al cumplimiento de cada
uno de los artculos de la presente Circular, las acciones
Vigencia y Plazo de Adecuacin
Artculo 13.- La presente Circular entra en vigencia
a partir del da siguiente a su publicacin en el Diario
Oficial El Peruano, otorgndose para su cumplimiento
un plazo de adecuacin hasta el 31 de marzo de 2010. A
partir de dicha fecha, queda derogado el artculo 83 del
Ttulo III del Compendio de Normas de Superintendencia
Reglamentarias del Sistema Privado de Administracin de
Fondos de Pensiones, referido a Gestin Empresarial.
Atentamente,
FELIPE TAM FOX
CIRCULAR N G-140-2009

---------------------------------------------Ref.: Gestin de la seguridad de la
informacin
---------------------------------------------Seor
Gerente General
Srvase tomar nota que, en uso de las atribuciones
conferidas por el numeral 7 del artculo 349 de la
Ley General del Sistema Financiero y del Sistema de
Seguros y Orgnica de la Superintendencia de Banca
y Seguros - Ley N 26702 y sus modificatorias en
adelante Ley General, y por el inciso d) del artculo
57 del Texto nico Ordenado de la Ley del Sistema
Privado de Administracin de Fondos de Pensiones,
aprobado por Decreto Supremo N 054-97-EF, con
la finalidad de establecer criterios mnimos para una
adecuada gestin de la seguridad de la informacin,
esta Superintendencia ha considerado conveniente
establecer las siguientes disposiciones, las cuales
toman como referencia estndares internacionales
como el ISO 17799 e ISO 27001, disponindose su
publicacin en virtud de lo sealado en el Decreto
Supremo N 001-2009-JUS:
Alcance
Artculo 1.- La presente Circular ser de aplicacin
a las empresas sealadas en los artculos 16 y 17
de la Ley General, as como a las Administradoras
Privadas de Fondos de Pensiones (AFP), en adelante
empresas.
Popular, el Fondo de Garanta para Prstamos a la
Pequea Industria (FOGAPI), el Banco de la Nacin,
el Banco Agropecuario, la Corporacin Financiera de
Desarrollo (COFIDE), el Fondo MIVIVIENDA S.A., y
las Derramas y Cajas de Beneficios bajo control de la
Superintendencia, la Federacin Peruana de Cajas
Municipales de Ahorro y Crdito (FEPCMAC) y el Fondo
El Peruano
de Cajas Municipales de Ahorro y Crdito (FOCMAC), en

tanto no se contrapongan con las normativas especficas
que regulen el accionar de estas empresas.
Definiciones
Artculo 2.- Para efectos de la presente norma, sern de
aplicacin las siguientes definiciones:
a. Evento: Un suceso o serie de sucesos que pueden
de tiempo.
b. Factor de autenticacin: Informacin utilizada para
verificar la identidad de una persona. Pueden
clasificarse de la siguiente manera:
Algo que el usuario conoce (por ejemplo: una

clave de identificacin)
Algo que el usuario posee (por ejemplo: una
tarjeta)
Algo que el usuario es (por ejemplo: caractersticas
biomtricas)
c. Incidente de seguridad de informacin: Evento

asociado a una posible falla en la poltica de seguridad,
una falla en los controles, o una situacin previamente
desconocida relevante para la seguridad, que tiene
una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de
la informacin.
d. Informacin: Cualquier forma de registro electrnico,
ptico, magntico o en otros medios similares, susceptible
de ser procesada, distribuida y almacenada.
e. Ley General: Ley General del Sistema Financiero
y del Sistema de Seguros y Orgnica de la
Superintendencia de Banca y Seguros - Ley N 26702
y sus modificatorias.
f.
Seguridad de la informacin: Caracterstica de la

informacin que se logra mediante la adecuada
combinacin de polticas, procedimientos, estructura
organizacional
y
herramientas
informticas
especializadas a efectos que dicha informacin
cumpla los criterios de confidencialidad, integridad y
disponibilidad, definidos de la siguiente manera:
I.
Confidencialidad: La informacin debe ser

accesible slo a aquellos que se encuentren
debidamente autorizados.
II. Integridad: La informacin debe ser completa,
exacta y vlida.
III. Disponibilidad: La informacin debe estar
disponible en forma organizada para los usuarios
autorizados cuando sea requerida.
g. Subcontratacin: Modalidad de gestin mediante la
cual una empresa contrata a un tercero para que ste
desarrolle un proceso que podra ser realizado por la
empresa contratante.
h. Subcontratacin significativa: Aquella subcontratacin
que, en caso de falla o suspensin del servicio, puede
poner en riesgo importante a la empresa, al afectar
sus ingresos, solvencia, o continuidad operativa.
Sistema de gestin de la seguridad de la informacin
Artculo 3.- Las empresas debern establecer, mantener
y documentar un sistema de gestin de la seguridad de la
informacin (SGSI).
Las actividades mnimas que deben desarrollarse para
implementar el SGSI, son las siguientes:
a. Definicin de una poltica de seguridad de informacin
aprobada por el Directorio.
El Peruano
NORMAS LEGALES
b. Definicin e implementacin de una metodologa de

gestin de riesgos, que guarde consistencia con la
gestin de riesgos operacionales de la empresa.
c. Mantenimiento de registros adecuados que permitan
verificar el cumplimiento de las normas, estndares,
polticas, procedimientos y otros definidos por la
empresa, as como mantener pistas adecuadas de
auditora.
Estructura organizacional
Artculo 4.- Las empresas deben contar con una
estructura organizacional que les permita implementar
y mantener el sistema de gestin de la seguridad de
informacin sealado en el artculo anterior.
Asimismo, deben asegurarse que se desarrollen las siguientes
funciones, ya sea a travs de una unidad especializada o a
travs de alguna de las reas de la empresa:
a. Asegurar el cumplimiento de la poltica de seguridad
de informacin y de la metodologa definida por la
empresa.
b. Coordinar y monitorear la implementacin de los
controles de seguridad de informacin.
c. Desarrollar actividades de concientizacin y
entrenamiento en seguridad de informacin.
d. Evaluar los incidentes de seguridad de informacin y
recomendar acciones apropiadas.
La Superintendencia podr requerir la creacin de
una unidad especializada en gestin de la seguridad
de informacin en empresas que a su criterio resulten
complejas, y cuando se observe en el ejercicio de las
acciones de supervisin que no se cumple con los criterios
previstos en la normativa vigente.
Controles de seguridad de informacin
Artculo 5.- Como parte de su sistema de gestin de la
seguridad de informacin, las empresas debern considerar,
como mnimo, la implementacin de los controles generales
que se indican en el presente artculo.
5.1 Seguridad lgica
a) Procedimientos formales para la concesin,
administracin de derechos y perfiles, as como la
revocacin de usuarios.
b) Revisiones peridicas sobre los derechos concedidos
a los usuarios.
c) Los usuarios deben contar con una identificacin
para su uso personal, de tal manera que las
posibles responsabilidades puedan ser seguidas e
identificadas.
d) Controles especiales sobre utilidades del sistema y
herramientas de auditora.
e) Seguimiento sobre el acceso y uso de los sistemas
para detectar actividades no autorizadas.
f) Controles especiales sobre usuarios remotos y
computacin mvil.
5.2 Seguridad de personal
a) Definicin de roles y responsabilidades establecidos
sobre la seguridad de informacin.
b) Verificacin de antecedentes, de conformidad con la
legislacin laboral vigente.
c) Concientizacin y entrenamiento.
d) Procesos disciplinarios en caso de incumplimiento
de las polticas de seguridad, de conformidad con la
legislacin laboral vigente.
e) Procedimientos definidos en caso de cese del personal,
que incluyan aspectos como la revocacin de los
derechos de acceso y la devolucin de activos.
5.3 Seguridad fsica y ambiental
a) Controles para evitar el acceso fsico no autorizado,
daos o interferencias a los locales y a la informacin
de la empresa.
Pg. 393921
b) Controles para prevenir prdidas, daos o robos de

los activos, incluyendo la proteccin de los equipos
frente a amenazas fsicas y ambientales.
5.4 Inventario de activos y clasificacin de la informacin
a) Realizar y mantener un inventario de activos asociados a
la tecnologa de informacin y asignar responsabilidades
respecto a la proteccin de estos activos.
b) Realizar una clasificacin de la informacin, que debe
indicar el nivel de riesgo existente para la empresa,
as como las medidas apropiadas de control que
deben asociarse a las clasificaciones.
5.5. Administracin de las operaciones y comunicaciones
a) Procedimientos documentados para la operacin de
los sistemas.
b) Control sobre los cambios en el ambiente operativo,
que incluye cambios en los sistemas de informacin, las
instalaciones de procesamiento y los procedimientos.
c) Separacin de funciones para reducir el riesgo de
error o fraude.
d) Separacin de los ambientes de desarrollo, pruebas y
produccin.
e) Monitoreo del servicio dado por terceras partes.
f) Administracin de la capacidad de procesamiento.
g) Controles preventivos y de deteccin sobre el uso
de software de procedencia dudosa, virus y otros
similares.
h) Seguridad sobre las redes, medios de almacenamiento
y documentacin de sistemas.
i) Seguridad sobre el intercambio de la informacin,
incluido el correo electrnico.
j) Seguridad sobre canales electrnicos.
k) Mantenimiento de registros de auditora y monitoreo
del uso de los sistemas.
5.6. Adquisicin, desarrollo y mantenimiento de sistemas
informticos
Para la administracin de la seguridad en la adquisicin,
desarrollo y mantenimiento de sistemas informticos,
se debe tomar en cuenta, entre otros, los siguientes
criterios:
a) Incluir en el anlisis de requerimientos para nuevos
sistemas o mejoras a los sistemas actuales, controles
sobre el ingreso de informacin, el procesamiento y la
informacin de salida.
b) Aplicar tcnicas de encriptacin sobre la informacin
crtica que debe ser protegida.
c) Definir controles sobre la implementacin de
aplicaciones antes del ingreso a produccin.
d) Controlar el acceso a las libreras de programas
fuente.
e) Mantener un estricto y formal control de cambios, que
ser debidamente apoyado por sistemas informticos
en el caso de ambientes complejos o con alto nmero
de cambios.
f) Controlar las vulnerabilidades tcnicas existentes en
los sistemas de la empresa.
5.7. Procedimientos de respaldo
a) Procedimientos de respaldo regulares y peridicamente
validados. Estos procedimientos deben incluir las
medidas necesarias para asegurar que la informacin
esencial pueda ser recuperada en caso de falla en
los medios o luego de un desastre. Estas medidas
sern coherentes con la estrategia de continuidad de
negocios de la empresa.
b) Conservar la informacin de respaldo y los
procedimientos de restauracin en una ubicacin
a suficiente distancia, que evite exponerlos ante
posibles eventos que comprometan la operacin del
centro principal de procesamiento.
Pg. 393922
NORMAS LEGALES
5.8. Gestin de incidentes de seguridad de informacin
Para asegurar que los incidentes y vulnerabilidades de

seguridad sean controlados de manera oportuna, las
empresas debern considerar los siguientes aspectos:
a) Procedimientos formales para el reporte de incidentes
de seguridad de la informacin y las vulnerabilidades
asociadas con los sistemas de informacin.
b) Procedimientos establecidos para dar una respuesta
adecuada a los incidentes y vulnerabilidades de
seguridad reportadas.
5.9. Cumplimiento normativo
Las empresas debern asegurar que los requerimientos
legales, contractuales, o de regulacin sean cumplidos, y
cuando corresponda, incorporados en la lgica interna de
las aplicaciones informticas.
5.10. Privacidad de la informacin
Las empresas deben adoptar medidas que aseguren
razonablemente la privacidad de la informacin que
reciben de sus clientes y usuarios de servicios, conforme
a la normatividad vigente sobre la materia.
Seguridad en operaciones de transferencia de fondos
por canales electrnicos
Artculo 6.- En el caso de las operaciones de transferencia
de fondos a terceros ofrecidas por las empresas para su
realizacin a travs de canales electrnicos, las empresas
debern implementar un esquema de autenticacin de
los clientes basado en dos factores como mnimo. Para
el caso en que el canal electrnico sea Internet, uno de
los factores de autenticacin deber ser de generacin o
asignacin dinmica. Las empresas podrn utilizar otros
factores de autenticacin, en tanto stos proporcionen un
nivel de seguridad equivalente o superior respecto a los
dos factores sealados, en particular cuando se trate de
operaciones importantes segn los lmites que el banco
determine de acuerdo a las caractersticas del producto o
servicio ofrecido.
La empresa deber tomar en cuenta los riesgos operacionales
asociados, en el diseo de los procedimientos, las
definiciones de lmites y las consideraciones de seguridad e
infraestructura requeridas para un funcionamiento seguro y
apropiado en las operaciones de transferencia de fondos.
Subcontratacin
Artculo 7.- Las empresas son responsables y deben
verificar que se mantengan las caractersticas de seguridad
de la informacin contempladas en la presente norma,
incluso cuando ciertas funciones o procesos puedan ser
objeto de una subcontratacin. Para ello se tendr en
cuenta lo dispuesto en el artculo 21 del Reglamento de
la Gestin Integral de Riesgos. Asimismo, las empresas
deben asegurarse que el procesamiento y la informacin
objeto de la subcontratacin, se encuentre efectivamente
aislada en todo momento.
En caso que las empresas deseen realizar una
subcontratacin significativa de su procesamiento de
datos, de tal manera que ste sea realizado en el exterior,
requerirn de la autorizacin previa y expresa de la
Superintendencia. Para ello, la empresa debe asegurar un
adecuado cumplimiento de la presente Circular, en lo que
sea aplicable al servicio de procesamiento contratado.
La Superintendencia podr requerir cuando as lo
considere apropiado que el proveedor del servicio en el
exterior se encuentre sujeto a una supervisin efectiva por
parte de la autoridad supervisora del pas en el cual se
brindar dicho servicio.
En el Anexo A que forma parte de la presente norma y se
publica en el Portal electrnico institucional (www.sbs.gob.pe),
El Peruano
conforme a lo dispuesto en el Decreto Supremo N 0012009-JUS, se detalla la informacin que debe remitir
la empresa adjunta a su solicitud de autorizacin. Una
vez recibida la documentacin completa, dentro de un
plazo que no exceder de sesenta (60) das tiles, la
Superintendencia emitir la resolucin que autoriza
o el oficio que deniega la solicitud presentada por la
empresa.
Las empresas que obtengan la autorizacin para realizar
su procesamiento de datos en el exterior, debern
asegurar, con una frecuencia anual, que el servicio
subcontratado sea sometido a un examen de auditora
independiente, por una empresa auditora de prestigio, que
guarde conformidad con el estndar SAS 70 emitido por el
Instituto Americano de Contadores Pblicos Certificados
(AICPA). En tal sentido, las empresas debern remitir a
la Superintendencia el Reporte de Auditora de Tipo II
considerado en dicho estndar, el cual entre otros aspectos
considera la evaluacin de los controles implementados y
las pruebas de su efectividad.
Informacin a la Superintendencia
Artculo 8.- Como parte de los informes peridicos
sobre gestin del riesgo operacional requeridos por
el Reglamento para la gestin del riesgo operacional,
emitido por la SBS, las empresas debern incluir
informacin sobre la gestin de la seguridad de la
informacin.
Informacin adicional
Artculo 9.- La Superintendencia podr requerir a
la empresa cualquier otra informacin que considere
necesaria para una adecuada supervisin de la gestin
de la seguridad de la informacin de la empresa.
Asimismo, la empresa deber tener a disposicin de la
Superintendencia todos los documentos a que hace
mencin la presente Circular, as como la informacin de
auditora o revisiones realizadas por la casa matriz en
caso de ser aplicable.
Sanciones
Artculo 10.- En caso de incumplimiento de las
disposiciones contenidas en la presente norma, la
Superintendencia aplicar las sanciones correspondientes
de conformidad con lo establecido en el Reglamento de
Sanciones.
Vigencia
Artculo 11.- Las disposiciones de la presente Circular
entran en vigencia al da siguiente de su publicacin
en el Diario Oficial El Peruano, otorgndose para su
cumplimiento un plazo de adecuacin hasta el 31 de
marzo de 2010, fecha a partir de la cual quedar sin efecto
la Circular SBS N G-105-2002.
Adecuacin de las AFP
Artculo 12.- En un plazo que no exceder de noventa
(90) das calendario de haberse publicado la presente
Circular, las AFP debern remitir a la Superintendencia un
plan de adecuacin a las disposiciones contenidas en la
presente norma.
existente en la AFP respecto al cumplimiento de cada
uno de los artculos de la presente Circular, las acciones
Atentamente,
FELIPE TAM FOX
332465-1

06 04 2009 - Se1

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

06 04 2009 - Se1

Încărcat de

Drepturi de autor:

Formate disponibile

Descargado desde www.elperuano.com.

lunes 6 de abril de 2009

Resolucin SBS N 2115-2009 - Reglamento

RESOLUCIN SBS N 2115-2009

Descargado desde www.elperuano.com.pe

Lima, 2 de abril de 2009

Incorprese en el Captulo V Informacin

Artculo 1.- Alcance

Descargado desde www.elperuano.com.pe

g. Riesgo operacional: Es la posibilidad de ocurrencia

la Superintendencia iniciar un proceso de validacin

Artculo 5.- Definicin del indicador de exposicin

Para hallar el equivalente a los activos ponderados

Composicin del indicador

Julio de 2009 - Junio de 2010

Julio de 2010 - Junio de 2011

Julio de 2011 Junio de 2012

Julio de 2012 En adelante

Artculo 4.- Proceso de autorizacin ante la

Copia certificada del acuerdo del Directorio u

Cuentas del Manual de

Adicionalmente, el APR por riesgo operacional deber

Ingresos por servicios

Gastos por servicios

Para el clculo del requerimiento patrimonial, se

En el caso del mtodo estndar alternativo, luego de

: Requerimiento patrimonial por riesgo operacional

Descargado desde www.elperuano.com.pe

MOi : Saldo anualizado del margen operacional bruto

: Factor fijo igual a 15%

Artculo 8.- Requisitos mnimos para el uso del

Si el margen operacional bruto acumulado es cero

La empresa debe establecer reportes peridicos

g. La empresa debe establecer procedimientos

La empresa debe contar con una base de datos de

La empresa deber implementar un sistema de gestin

k. La empresa deber contar con un sistema de gestin

La evaluacin de la gestin del riesgo operacional

Descargado desde www.elperuano.com.pe

m. La evaluacin de la gestin del riesgo operacional

b. Indicador de exposicin para las lneas de banca

Artculo 9.- Determinacin de lneas de negocio

Operaciones de tesorera; compra y venta de ttulos,

Financiamiento a clientes minoristas incluyendo tarjetas de

Financiamiento a clientes no minoristas, incluyendo: factoring,

Actividades relacionadas con pagos y cobranzas,

Servicios de custodia, fideicomisos, comisiones de confianza

Artculo 10.- Definicin de los indicadores de

: Indicador de exposicin anual para la lnea de

Para calcular el monto del saldo de crditos e

Para la informacin correspondiente al ao

Artculo 11.- Clculo del requerimiento patrimonial

IEi = Ingresosi Gastosi

: Indicador de exposicin de la lnea de

Para la informacin correspondiente al ao

Finanzas corporativas (1)

Negociacin y ventas (2)

Banca minorista (3)

Banca comercial (4)

Liquidacin y pagos (5)

Otros servicios (6)

Luego, para cada uno de los aos se suman los valores

Indicador * Factor fijo