REGLAMENTO DE LA
GESTIÓN INTEGRAL DE RIESGOS

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1º.- Alcance
El presente Reglamento será de aplicación a las empresas señaladas en los artículos 16° y 17° de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas.

También será de aplicación a las Cajas Municipales de Ahorro y Crédito (CMAC), la Caja Municipal de Crédito Popular, el Fondo de Garantía para Préstamos a la Pequeña Industria (FOGAPI), el Banco de la Nación, el Banco Agropecuario, la Corporación Financiera de Desarrollo (COFIDE), el Fondo MIVIVIENDA S.A., las Derramas y Cajas de Beneficios bajo control de la Superintendencia, la Federación Peruana de Cajas Municipales de Ahorro y Crédito (FEPCMAC) y el Fondo de Cajas Municipales de Ahorro y Crédito (FOCMAC), en tanto no se contrapongan con las normativas específicas que regulen el accionar de estas empresas.

Artículo 2º.- Definiciones
Para la aplicación de la presente Norma deberán considerarse las siguientes definiciones:
a) Apetito por el riesgo.- El nivel de riesgo que la empresa está dispuesta a asumir en su búsqueda de rentabilidad y valor.
b) Casa Matriz.- Se refiere a la sociedad principal o a la que ejerza el control en un conglomerado financiero o mixto.
c) Control interno.- Un proceso, realizado por el Directorio, la Gerencia y el personal, diseñado para proveer un aseguramiento razonable en el logro de objetivos referidos a la eficacia y eficiencia de las operaciones, confiabilidad de la información financiera, y cumplimiento de las leyes aplicables y regulaciones.
d) Directorio.- Toda referencia al Directorio, entiéndase realizada también a cualquier órgano equivalente.
e) Director Independiente .- Es aquel que es seleccionado por su prestigio profesional y que no se encuentra vinculado con la administración de la empresa, con el grupo económico de la misma, ni con los accionistas principales de la empresa. La vinculación se define en las Normas especiales sobre vinculación y grupo económico, aprobado mediante Resolución SBS N° 445-2000. Los accionistas principales son aquellas personas naturales o jurídicas que tienen la propiedad del cinco por ciento (5%) o más de las acciones de la empresa.
El director independiente de una empresa podrá ser director independiente de otras empresas de su grupo económico.
f) Evento.- Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por la misma causa, que ocurren durante el mismo periodo de tiempo.
g) Impacto.- La consecuencia o consecuencias de un evento, expresado ya sea en términos cualitativos o cuantitativos. Usualmente se expresará en términos monetarios, como pérdidas financieras. También es llamado severidad.
h) Manuales de gestión de riesgos.- Documentos que contienen las funciones, responsabilidades, políticas, metodologías y procedimientos dispuestos para la identificación, evaluación, tratamiento, control, reporte y monitoreo de los riesgos de la empresa.
i) Manuales de organización y funciones.- Documentos que detallan la estructura orgánica de la empresa, los objetivos y funciones de sus unidades, así como las obligaciones y responsabilidades de su personal.
j) Manuales de políticas y procedimientos.- Documentos que contienen funciones, responsabilidades, las políticas, metodologías y procedimientos establecidos por la empresa para la realización de las actividades de cada una de las unidades con las que cuenta, incluyendo las que corresponden a la gestión de riesgos.
k) Probabilidad.- La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una distribución estadística. En ausencia de información suficiente, o donde no resulta posible obtenerla, se puede aproximar mediante métodos cualitativos.
l) Proceso.- Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un resultado esperado.
m) Riesgo.- La condición en que existe la posibilidad de que un evento ocurra e impacte negativamente sobre los objetivos de la empresa.
n) Seguridad razonable.- Se refiere al nivel de seguridad que una empresa puede tener en alcanzar sus objetivos, considerando que siempre es posible que se produzcan desviaciones o impactos financieros importantes que no sean prevenidos o detectados, dada la incertidumbre inherente al futuro.
o) Subcontratación.- Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso que podría ser realizada por la empresa contratante.
p) Superintendencia.- Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.
q) Tolerancia al riesgo.- El nivel de variación que la empresa está dispuesta a asumir en caso de desviación a los objetivos empresariales trazados.
r) Política y Procedimientos de Cumplimiento Normativo: Documento aprobado por el Directorio en el que se establece la función de cumplimiento de la empresa.

CAPÍTULO II

GESTIÓN INTEGRAL DE RIESGOS

Artículo 3º.- Gestión Integral de Riesgos
La Gestión Integral de Riesgos es un proceso, efectuado por el Directorio, la Gerencia y el personal aplicado en toda la empresa y en la definición de su estrategia, diseñado para identificar potenciales eventos que pueden afectarla, gestionarlos de acuerdo a su apetito por el riesgo y proveer una seguridad razonable en el logro de sus objetivos.

La Gestión Integral de Riesgos considera las siguientes categorías de objetivos:
a) Estrategia.- Son objetivos de alto nivel, vinculados a la visión y misión empresarial.
b) Operaciones.- Son objetivos vinculados al uso eficaz y eficiente de los recursos.
c) Información.- Son objetivos vinculados a la confiabilidad de la información suministrada.
d) Cumplimiento.- Son objetivos vinculados al cumplimiento de las leyes y regulaciones aplicables.

Las empresas deben efectuar una gestión integral de riesgos adecuada a su tamaño y a la complejidad de sus operaciones y servicios.

Artículo 4º.- Componentes
La Gestión Integral de Riesgos puede descomponerse en componentes, que se encuentran presentes en diverso grado, según se analice la totalidad de la empresa, una línea de negocio, un proceso o una unidad organizativa. La empresa podrá contar con una descomposición propia, que se adapte a su organización, pero ella debe considerar los principales elementos descritos a continuación:
a) Ambiente interno.- Que comprende, entre otros, los valores éticos, la idoneidad técnica y moral de sus funcionarios; la estructura organizacional; y las condiciones para la asignación de autoridad y responsabilidades.
b) Establecimiento de objetivos.- Proceso por el que se determinan los objetivos empresariales, los cuales deben encontrarse alineados a la visión y misión de la empresa, y ser compatibles con la tolerancia al riesgo y el grado de exposición al riesgo aceptado.
c) Identificación de riesgos.- Proceso por el que se identifican los riesgos internos y externos que pueden tener un impacto negativo sobre los objetivos de la empresa. Entre otros aspectos, considera la posible interdependencia entre eventos, así como los factores influyentes que los determinan.
d) Evaluación de riesgos.- Proceso por el que se evalúa el riesgo de una empresa, actividad, conjunto de actividades, área, portafolio, producto o servicio; mediante técnicas cualitativas, cuantitativas o una combinación de ambas.
e) Tratamiento.- Proceso por el que se opta por aceptar el riesgo, disminuir la probabilidad de ocurrencia, disminuir el impacto, transferirlo total o parcialmente, evitarlo, o una combinación de las medidas anteriores, de acuerdo al nivel de tolerancia al riesgo definido.
f) Actividades de control.- Proceso que busca asegurar que las políticas, estándares, límites y procedimientos para el tratamiento de riesgos son apropiadamente tomados y/o ejecutados. Las actividades de control están preferentemente incorporadas en los procesos de negocio y las actividades de apoyo. Incluye los controles generales así como los de aplicación a los sistemas de información, además de la tecnología de información relacionada. Buscan la eficacia y efectividad de las operaciones de la empresa, la confiabilidad de la información financiera u operativa, interna y externa, así como el cumplimiento de las disposiciones legales que le sean aplicables.
g) Información y comunicación.- Proceso por el que se genera y transmite información apropiada y oportuna a la dirección, la gerencia, el personal, así como a interesados externos tales como clientes, proveedores, accionistas y reguladores, entre ellos esta Superintendencia. Esta información es interna y externa, y puede incluir información de gestión, financiera y operativa.
h) Monitoreo.- Proceso que consiste en la evaluación del adecuado funcionamiento de la Gestión Integral de Riesgos y la implementación de las modificaciones que sean requeridas. El monitoreo debe realizarse en el curso normal de las actividades de la empresa, y complementarse por evaluaciones independientes o una combinación de ambas. Incluye el reporte de las deficiencias encontradas y su corrección.

Artículo 5°.- Tipos de riesgos
Los riesgos pueden surgir por diversas fuentes, internas o externas, y pueden agruparse en diversas categorías o tipos. Algunos riesgos pueden encontrarse asociados a una actividad en particular, como en el proceso de inversión, que se encuentra expuesto a riesgos de crédito, de mercado, de operación, entre otros. A continuación se enumera una lista no limitativa de los diversos tipos de riesgos a que está expuesta una empresa:

a) Riesgo de crédito
La posibilidad de pérdidas por la incapacidad o falta de voluntad de los deudores, contrapartes, o terceros obligados, para cumplir sus obligaciones contractuales registradas dentro o fuera del balance.
b) Riesgo estratégico
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.
c) Riesgo de liquidez
La posibilidad de pérdidas por incumplir con los requerimientos de financiamiento y de aplicación de fondos que surgen de los descalces de flujos de efectivo, así como por no poder cerrar rápidamente posiciones abiertas, en la cantidad suficiente y a un precio razonable.
d) Riesgo de mercado
La posibilidad de pérdidas en posiciones dentro y fuera de balance derivadas de fluctuaciones en los precios de mercado.
e) Riesgo operacional
La posibilidad de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.
f) Riesgo de seguro
La posibilidad de pérdidas por las bases técnicas o actuariales empleadas en el cálculo de las primas y de las reservas técnicas de los seguros, insuficiencia de la cobertura de reaseguros, así como el aumento inesperado de los gastos y de la distribución en el tiempo de los siniestros. Se le conoce también como riesgo técnico.
g) Riesgo de reputación
La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización.

Artículo 6º.- Prácticas cuestionables
La empresa deberá establecer los sistemas internos apropiados que faciliten la oportuna denuncia e investigación de las actividades ilícitas, fraudulentas, identificadas por cualquier trabajador de la empresa o por alguna persona que interactúa con ésta. Dichas actividades deberán ser reportadas a la unidad de auditoría interna, para lo cual la empresa implementará procedimientos que permitan mantener la confidencialidad del denunciante. En el caso de que los hechos sean significativos, la unidad de auditoría interna deberá informar al Comité de Auditoría y a la Superintendencia.

Artículo 7°.- Relación de la Gestión Integral de Riesgos y el Control Interno
La Gestión Integral de Riesgos incluye al control interno del que es parte integral. La Gestión Integral de Riesgos expande y desarrolla los conceptos de control interno en una forma más amplia y sólida, con un mayor énfasis en el riesgo.

El objetivo de confiabilidad en la información financiera del control interno se encuentra principalmente referido a la confiabilidad de los estados financieros. En la Gestión Integral de Riesgos, este objetivo es expandido para incluir todos los reportes e informes generados por las empresas, tanto internos como externos. Entre ellos los usados por la Dirección y la Gerencia, aquellos enviados a terceros, información entregada a los reguladores, así como a accionistas y otros grupos de interés. El alcance también incorpora la información no financiera.

De acuerdo a lo indicado en el artículo 3°, una nueva categoría de objetivos referidos a la estrategia, y las categorías de objetivos referidos a las operaciones, información y cumplimiento deben encontrarse alineados a la estrategia. La Gestión Integral de Riesgos es aplicada también en la selección de objetivos.

Artículo 7-Aº.- Función de Cumplimiento Normativo
La función de cumplimiento normativo tiene como objetivo velar por el adecuado cumplimiento de la normativa que le sea aplicable a la empresa, tanto interna como externa.

Las empresas determinarán la forma más apropiada y eficiente de implementar el monitoreo y evaluación de la función de cumplimiento normativo de acuerdo a sus propias necesidades y organización interna, asegurando que dicha función cuente con recursos asignados suficientes para realizar una labor efectiva. Ello no implica necesariamente la conformación de una unidad organizativa pero sí el nombramiento de un encargado de dicha labor, el cual deberá contar con nivel gerencial que será designado por el Directorio de la empresa, de quien dependerá, y le reportará de manera directa.

La Superintendencia podrá requerir que se constituyan unidades organizativas dedicadas de manera exclusiva a la función de cumplimiento en las empresas, atendiendo a su tamaño y la complejidad de sus actividades.

Los encargados de llevar a cabo la función de cumplimiento deberán ser independientes respecto de las actividades de las unidades de negocios y contar con conocimientos sólidos de la normativa aplicable a la empresa así como de su impacto en las operaciones de ésta.

Responsabilidades de la función de cumplimiento normativo
Las principales responsabilidades de la función de cumplimiento normativo son:

a) Asesorar al Directorio en el manejo efectivo del cumplimiento de la normativa aplicable a la empresa.
b) Informar de manera continua y oportuna al Directorio y a la Gerencia General respecto a las acciones necesarias para un buen cumplimiento normativo y las posibles brechas existentes, así como de los principales cambios en el ambiente normativo que puedan producir un impacto en las operaciones de la empresa.
c) Vigilar el cumplimiento normativo aplicable a la entidad.
d) Informar semestralmente al Directorio y a la Gerencia General sobre el progreso de la implementación de las medidas de adecuación normativa.
e) Orientar al personal de la empresa respecto a la importancia del cumplimiento normativo, y de las responsabilidades que se derivan en caso de incumplimiento.
f) Asegurar la existencia de procedimientos y controles para garantizar que el personal cumple las decisiones adoptadas y las funciones encomendadas.
g) Brindar seguridad razonable al Directorio y a la Gerencia General de que las políticas y procedimientos relacionados con el cumplimiento normativo logran que la empresa cumpla con los requerimientos regulatorios.
h) Proponer para aprobación del Directorio antes del 31 de diciembre de cada año, un programa de cumplimiento anual que exponga las actividades programadas y la implementación de éstas y sus recomendaciones; dicho programa deberá estar a disposición de esta Superintendencia
i) Proponer al Directorio medidas correctivas en caso de presentarse fallas en la aplicación de la Función de Cumplimiento Normativo.

El Directorio de la empresa deberá aprobar la Política y Procedimientos de Cumplimiento Normativo, que consistirá en un documento formal en el que se establezca una función de cumplimiento normativo permanente y efectivo en la empresa. Dicho documento deberá contener los principios básicos a seguir por la Gerencia General y el personal y explicar los principales procesos que permitirán prevenir, identificar y mitigar el incumplimiento normativo en todos los niveles de la organización.

Relación de la función de cumplimiento normativo con la función de prevención de lavado de activos y financiamiento del terrorismo así como con la función del sistema de atención al usuario
La función de cumplimiento normativo incorpora la evaluación y monitoreo del cumplimiento de toda la normativa aplicable a la empresa supervisada. Sin embargo, la evaluación y monitoreo de lo dispuesto en materia de prevención de lavado de activos y financiamiento del terrorismo así como del sistema de atención al usuario será responsabilidad del Oficial de Cumplimiento y del Oficial de Atención al Usuario, respectivamente, los cuales deben ser diferentes del encargado de la función de cumplimiento normativo.

Función de cumplimiento normativo implementado a nivel corporativo
La función de cumplimiento normativo puede ser implementada a nivel corporativo, lo cual debe ser previamente evaluado por la empresa tomando en cuenta para ello la compatibilidad con lo estipulado en las Normas Complementarías para la Prevención del Lavado de Activos y Financiamiento del Terrorismo así como el Reglamento de Transparencia de Información y Disposiciones aplicables a la contratación con usuarios del Sistema Financiero, emitidos por esta Superintendencia. El desarrollo de la función de cumplimiento normativo a nivel corporativo deberá ser comunicado a este organismo de control. Conforme a las citadas normas complementarias de lavado de activos y financiamiento del terrorismo, el Oficial de Cumplimiento Corporativo de Lavado de Activos debe contar con dedicación exclusiva, estando imposibilitado de asumir las funciones del encargado de cumplimiento normativo corporativo.

Unidad de Auditoría Interna
Las actividades realizadas en el marco de la función de cumplimiento normativo deberán estar sujetas a revisión periódica por parte de la Unidad de Auditoría Interna, no encontrándose ésta sujeta al monitoreo y evaluación de los encargados de la función de cumplimiento normativo.

CAPÍTULO III

EL DIRECTORIO Y LA GERENCIA

Artículo 8º.- Responsabilidad del Directorio
El Directorio es responsable de establecer una gestión integral de riesgos y de propiciar un ambiente interno que facilite su desarrollo adecuado. Entre sus responsabilidades específicas están:
a) Aprobar las políticas generales que guíen las actividades de la empresa en la gestión de los diversos riesgos que enfrenta.
b) Seleccionar una plana gerencial con idoneidad técnica y moral, que actúe de forma prudente y apropiada en el desarrollo de sus negocios y operaciones, así como en el cumplimiento de sus responsabilidades.
c) Aprobar los recursos necesarios para el adecuado desarrollo de la Gestión Integral de Riesgos, a fin de contar con la infraestructura, metodología y personal apropiado.
d) Establecer un sistema de incentivos que fomente el adecuado funcionamiento de una gestión integral de riesgos y que no favorezca la toma inapropiada de riesgos.
e) Aprobar los manuales de organización y funciones, de políticas y procedimientos y demás manuales de la empresa.
f) Aprobar políticas generales para las responsabilidades a cargo de la empresa, incluyendo:
f.1 La administración prudente y según los acuerdos establecidos o la regulación aplicable, de los activos en depósito y en custodia, administrados o invertidos por cuenta de clientes y terceros, evitando conflictos de interés.
f.2 Asegurar razonablemente que los consejos de inversión o similares realizados en su ámbito, son presentados con la información apropiada, al tener en cuenta la tolerancia al riesgo y expectativa de rendimiento del cliente.
g) Establecer los objetivos empresariales, evaluar y aprobar sus planes de negocios con debida consideración a los riesgos asociados.
h) Conocer los principales riesgos afrontados por la entidad estableciendo, cuando ello sea posible, adecuados niveles de tolerancia y apetito por el riesgo.
i) Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización.
j) Asegurar razonablemente que el patrimonio contable de la empresa sea suficiente para enfrentar los riesgos a los que está expuesto, para lo cual debe conocer las necesidades de capital y establecer políticas de gestión que apoye las necesidades de la empresa, cumpliendo con los requerimientos regulatorios de manera apropiada.
k) Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión de los riesgos a que está expuesta, y que los principales riesgos se encuentran bajo control dentro de los límites que han establecido.
l) Asegurar el adecuado desempeño de la función de cumplimiento normativo, aprobar la Política y Procedimientos de Cumplimiento Normativo de la empresa y establecer los mecanismos de información periódica de dicha función.

Artículo 9°.- Declaración de cumplimiento del Directorio
El Directorio es responsable de evaluar el adecuado funcionamiento de los criterios definidos en la presente normativa. Anualmente, el Directorio suscribirá una Declaración de cumplimiento, que contendrá cuando menos lo indicado a continuación, pudiendo la Superintendencia definir criterios mínimos adicionales mediante oficio múltiple de aplicación general:
a) Que el Directorio conoce los estándares previstos en la presente norma, así como sus responsabilidades.
b) Que la empresa cuenta con una gestión apropiada de sus riesgos para la complejidad y tamaño de la empresa, así como de los criterios indicados en la presente norma, con la excepción de posibles deficiencias identificadas y comunicadas en la declaración.
c) Que el Directorio ha tomado conocimiento de la información de la Gerencia, de los informes del Comité de Auditoría, del Comité de Riesgos, de Auditoría Externa, y de otra información que el Directorio considere relevante, y que las medidas correctivas dispuestas consten en las actas correspondientes.

Esta declaración será suscrita en un plazo que no excederá de ciento veinte (120) días calendario posterior al ejercicio anual, debiendo estar a disposición de esta Superintendencia.

Artículo 10º.- Responsabilidad de la Gerencia
La gerencia general tiene la responsabilidad de implementar la Gestión Integral de Riesgos conforme a las disposiciones del Directorio, además de las responsabilidades dadas por otras normas.

La gerencia podrá constituir comités para el cumplimiento de sus responsabilidades.

Los gerentes de las unidades organizativas de negocios o de apoyo, en su ámbito de acción, tienen la responsabilidad de administrar los riesgos relacionados al logro de los objetivos de sus unidades. Entre sus responsabilidades específicas están:
a) Asegurar la consistencia entre las operaciones y los niveles de tolerancia al riesgo definidos aplicables a su ámbito de acción.
b) Asumir, ante el gerente de nivel inmediato superior, los resultados de la gestión de riesgos correspondiente a su unidad; y así hasta llegar al gerente general que tiene esta responsabilidad ante el Directorio.

CAPÍTULO IV

LOS COMITÉS DEL DIRECTORIO

Artículo 11º.- Comités
El Directorio podrá constituir los comités que considere necesarios con la finalidad de dar cumplimiento a las disposiciones contenidas en el presente reglamento y a las responsabilidades señaladas por el artículo 8° anteriormente citado.

Para el caso de las empresas de operaciones múltiples y las empresas de seguros a las que se refiere el artículo 16° de la Ley General, así como para las AFP, será obligatoria la constitución de un comité de auditoría y un comité de riesgos. En el caso de aquellas empresas que no se encuentren obligadas a constituir los comités y que, además, decidan no hacerlo, todas las funciones atribuidas a el(los) comité(s) no constituido(s) serán asumidas por el Directorio.

Artículo 12°.- Reglamento de los Comités
Los Comités constituidos por el Directorio deberán contar con un Reglamento que contendrá las políticas y procedimientos necesarios para el cumplimiento de sus funciones. Dicho reglamento establecerá, entre otros aspectos, los criterios para evitar conflictos de intereses, incompatibilidad de funciones, la periodicidad de sus reuniones, sus actividades programadas, la información que debe ser remitida, así como la forma como reportará al Directorio. Los acuerdos adoptados en las reuniones deberán constar en un Libro de Actas.

SUB-CAPÍTULO I

COMITÉ DE RIESGOS

Artículo 13º.- Conformación del comité de riesgos
El comité de riesgos deberá estar conformado por al menos un miembro del Directorio, y se organizará como un comité integral, que deberán abarcar las decisiones que atañen a los riesgos significativos a los que esté expuesta la empresa. Los integrantes del Comité de Riesgos deben tener los conocimientos y la experiencia necesaria para cumplir adecuadamente sus funciones.

El Directorio podrá crear los comités de riesgos especializados que considere necesarios, en razón del tamaño y complejidad de las operaciones y servicios de la empresa.

Artículo 14°.- Funciones del comité de riesgos
El comité de riesgos, por delegación del Directorio y dentro de los límites que éste fije, podrá asumir las siguientes funciones:
a) Aprobar las políticas y la organización para la Gestión Integral de Riesgos, así como las modificaciones que se realicen a los mismos.
b) Definir el nivel de tolerancia y el grado de exposición al riesgo que la empresa está dispuesta a asumir en el desarrollo del negocio.
c) Decidir las acciones necesarias para la implementación de las acciones correctivas requeridas, en caso existan desviaciones con respecto a los niveles de tolerancia al riesgo y a los grados de exposición asumidos.
d) Aprobar la toma de exposiciones que involucren variaciones significativas en el perfil de riesgo de la empresa o de los patrimonios administrados bajo responsabilidad de la empresa.
e) Evaluar la suficiencia de capital de la empresa para enfrentar sus riesgos y alertar de las posibles insuficiencias.
f) Proponer mejoras en la Gestión Integral de Riesgos.

SUB-CAPÍTULO II

COMITÉ DE AUDITORÍA

Artículo 15º.- Conformación del comité de auditoría
El comité de auditoría deberá estar conformado por miembros del Directorio que no realicen actividades de gestión en la empresa. Dicho comité tendrá como mínimo tres (3) miembros, debiendo renovarse cada tres (3) años, al menos, uno de ellos. Los integrantes del comité de auditoría deben tener los conocimientos y la experiencia necesarios para cumplir adecuadamente sus funciones.

Para el caso de las empresas de operaciones múltiples y las empresas de seguros a las que se refiere el artículo 16° de la Ley General; así como para las AFP; el comité de auditoría deberá estar conformado por al menos un director independiente.

Artículo 16°.- Funciones del comité de auditoría
El comité de auditoría tiene como propósito principal vigilar que los procesos contables y de reporte financiero sean apropiados, así como evaluar las actividades realizadas por los auditores internos y externos.

Entre sus principales funciones están:
a) Vigilar el adecuado funcionamiento del sistema de control interno;
b) Informar al Directorio sobre la existencia de limitaciones en la confiabilidad de los procesos contables y financieros;
c) Vigilar y mantener informado al Directorio sobre el cumplimiento de las políticas y procedimientos internos y sobre la detección de problemas de control y administración interna, así como de las medidas correctivas implementadas en función de las evaluaciones realizadas por la unidad de auditoría interna, los auditores externos y esta Superintendencia;
d) Definir los criterios para la selección y contratación de los auditores externos, evaluar su desempeño así como determinar los informes complementarios que requieran para el mejor desempeño de sus funciones o el cumplimiento de requisitos legales, salvo en aquellos casos en los que el comité de auditoría de la casa matriz asuma las funciones de definir los criterios para la selección y contratación de los auditores externos, así como la evaluación de sus desempeño; y,
e) Definir los criterios para la selección y contratación del auditor interno y sus principales colaboradores, fijar su remuneración y evaluar su desempeño, así como su régimen de incentivos monetarios, salvo que dichas funciones sean asumidas por el comité de auditoría de la casa matriz.

CAPÍTULO V

UNIDAD DE RIESGOS

Artículo 17º.- Unidad de Riesgos
La Gestión Integral de Riesgos requiere que las empresas se organicen de acuerdo a su complejidad y líneas de negocio en que operan. En este sentido, las empresas podrán contar con una unidad centralizada o con unidades especializadas en la gestión de riesgos específicos, de acuerdo a la naturaleza de las operaciones y la estructura de la empresa, siempre que cuando sean éstas tomadas en su conjunto, permitan la implementación de los criterios previstos en la presente norma.

La Superintendencia podrá requerir la creación de una unidad de riesgos integral en empresas que a su criterio resulten complejas, y cuando se observe en el ejercicio de las acciones de supervisión que no se cumple con los criterios previstos en la normativa vigente.

Siempre que no sea requerido por la normativa vigente, cuando no exista una unidad de riesgos especializada, y en ausencia de delegación del Directorio, se entenderá que estas funciones han sido asignadas a la gerencia general.

Los integrantes de la Unidad de Riesgos deberán poseer la experiencia y conocimientos que les permitan el apropiado cumplimiento de sus funciones, para lo cual deberá establecerse un plan de capacitación que será presentado al directorio anualmente.

Artículo 18º.- Funciones de la Unidad de Riesgos
La Unidad de Riesgos deberá participar en el diseño y permanente adecuación de los manuales de gestión de riesgos y demás normas internas que tengan por objeto definir las responsabilidades de las unidades de negocios y sus funcionarios en el control de riesgos de la empresa.

La Unidad de Riesgos es la encargada de apoyar y asistir a las demás unidades de la empresa para la realización de una buena gestión de riesgos en sus áreas de responsabilidad, y para ello debe ser independiente de las unidades de negocios.

Las principales responsabilidades de la unidad de riesgos son las siguientes:
a) Proponer las políticas, procedimientos y metodologías apropiadas para la Gestión Integral de Riesgos en la empresa, incluyendo los roles y responsabilidades;
b) Velar por una Gestión Integral de Riesgos competente, promoviendo el alineamiento de las medidas de tratamiento de los riesgos de la empresa con los niveles de tolerancia al riesgo y el desarrollo de controles apropiados;
c) Guiar la integración entre la gestión de riesgos, los planes de negocio y las actividades de gestión empresarial;
d) Establecer un lenguaje común de gestión de riesgos basado en las definiciones de esta norma y de los demás reglamentos aplicables;
e) Estimar los requerimientos patrimoniales que permitan cubrir los riesgos que enfrenta la empresa, así como los requerimientos regulatorios, de ser el caso. Además, alertar sobre las posibles insuficiencias de patrimonio efectivo para cubrir los riesgos identificados; y,
f) Informar a la gerencia general y al comité de riesgos los aspectos relevantes de la gestión de riesgos para una oportuna toma de decisiones.

Artículo 19º.- Jefe de la Unidad de Riesgos
El jefe de la Unidad de Riesgos deberá tener apropiada formación académica y experiencia relevante, quién debe coordinar permanentemente con la gerencia, el comité de riesgos, el comité de auditoría, los comités especializados, las unidades de negocio y de apoyo, así como con esta Superintendencia, en cuanto a la Gestión Integral de Riesgos realizada por la empresa.

Además, es responsable de informar al Directorio, comités respectivos y a las áreas de decisión correspondientes, sobre los riesgos, el grado de exposición al riesgo aceptado y la gestión de éstos, de acuerdo a las políticas y procedimientos establecidos por la empresa.

Los criterios mencionados son de aplicación a los jefes de las unidades de riesgos especializadas, en caso que no exista una unidad centralizada.

El jefe de la Unidad de Riesgos, en caso que la Unidad de Riesgos sea centralizada, deberá tener nivel gerencial.

Artículo 20º.- Informe Anual de Riesgos
La Unidad de Riesgos deberá elaborar al cierre de cada ejercicio, un informe anual de riesgos, el que deberá incluir el plan de actividades para el ejercicio siguiente. La presentación del referido informe se realizará dentro de los noventa (90) días calendario posteriores al cierre de cada año.

Posteriormente, mediante Oficio Múltiple, la Superintendencia podrá definir la estructura mínima del informe anual de riesgos, informes parciales por riesgos, informes periódicos de situación, así como su presentación por medios electrónicos.

CAPÍTULO VI

SUBCONTRATACIÓN

Artículo 21º.- Subcontratación
Las empresas y las personas cuyas responsabilidades se hayan determinado en el presente reglamento y demás normas, asumen plena responsabilidad sobre los resultados de los procesos subcontratados con terceros, pudiendo ser sancionados por su incumplimiento. Asimismo deben asegurarse que se mantenga reserva y confidencialidad sobre la información que pudiera serles proporcionada. En toda subcontratación significativa, un análisis formal de los riesgos asociados deberá ser realizado y puesto en conocimiento del Directorio para su aprobación. Se entenderá por significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa.

La subcontratación de una o más funciones de la gestión de riesgos será considerada como significativa para fines de este reglamento.

Las empresas deberán asegurarse de que en los casos de subcontratación significativa, los contratos suscritos con los proveedores correspondientes incluyan cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la Unidad de Auditoría Interna, de la Sociedad de Auditoría Externa, así como por parte de la Superintendencia o la persona que ésta designe.

En el caso de subcontratación significativa del servicio de auditoría interna, se sujetará a lo establecido en el Reglamento de Auditoría Interna.

CAPÍTULO VII

ROL DE LA AUDITORÍA INTERNA Y EXTERNA

Artículo 22º.- Unidad de Auditoría Interna
La Auditoría Interna, desempeña un rol independiente a la gestión, que vigila la adecuación de la Gestión Integral de Riesgos, debiendo sujetarse a las disposiciones específicas que regulan su actividad en el Reglamento de Auditoría Interna.

Artículo 23º.- Auditores Externos
La Auditoría Externa es independiente a la empresa y tiene como función principal la evaluación de la confiabilidad de la información financiera, debiendo sujetarse a las disposiciones específicas que regulan su actividad en el Reglamento de Auditoría Externa.

DISPOSICIONES FINALES Y TRANSITORIAS

Primera.- Autorizaciones especiales
En caso justificado, la empresa podrá solicitar a la Superintendencia, exoneración específica de alguno de los requerimientos normativos indicados en este Reglamento, adjuntando la documentación de sustento correspondiente respecto a alguno de los siguientes requisitos en lo que sea apropiado para la debida evaluación de esta Superintendencia:
a) La empresa cuenta con un sistema de gestión que, tomado en su conjunto, cumple sustancialmente con los criterios mínimos indicados en la presente normativa.
b) Cuando la organización recibe diversos servicios de su casa matriz, de la empresa que ejerce el control directo o indirecto, o de la que tenga responsabilidad directa de la operación, siempre que tomados en su conjunto igualen o excedan los criterios previstos en el Reglamento.
c) Cuando por limitación legal, le resulta imposible cumplir con parte de la normativa.
d) Cuando se requiera por fines de estandarización y lenguaje común con su casa matriz, o con la empresa que ejerza el control directo o indirecto o la que tenga responsabilidad directa de la operación, a fin de aprovechar ventajas metodológicas, como por ejemplo conocimiento y experiencia demostrada en diseño e implementación de gestión de riesgos acorde con buenas prácticas, infraestructura, y métodos y procedimientos que demuestren un claro conocimiento y gestión de los riesgos a los que están expuestos.

Las funciones del comité de auditoría podrán ser asumidas por la Casa Matriz, previa autorización expresa de la Superintendencia. Para ello, las empresas deberán solicitar autorización indicando la forma en que se cumplirán las disposiciones establecidas en el presente Reglamento, obligación que permanece mientras se encuentre vigente la autorización.

Las Resoluciones de autorización correspondientes, serán publicadas en el Diario Oficial El Peruano.

Esta Superintendencia podrá suspender en cualquier momento las autorizaciones especiales concedidas a que hace referencia esta norma, cuando en el ejercicio de su función supervisora observe que las circunstancias lo ameritan, que la empresa ha incumplido con las obligaciones previstas, o que la autorización concedida no ha contribuido a una mejora de su práctica de gestión de riesgos, lo que comunicará a la empresa mediante oficio.

Segunda.- Transparencia
La empresa deberá revelar en su Memoria Anual, cuando menos una descripción general de las principales características de la Gestión Integral de Riesgos.

Tercera.- Plazo y Plan de Adecuación
En un plazo que no excederá de noventa (90) días calendario de haberse publicado el presente Reglamento, las empresas deberán remitir a esta Superintendencia un plan de adecuación a las disposiciones contenidas en la presente norma.

Dicho plan deberá incluir un diagnóstico preliminar de la situación existente en la empresa, las acciones previstas para la total adecuación y el cronograma de las mismas, así como los funcionarios responsables del cumplimiento de dicho plan.

Cuarta.- Declaración del Directorio
La primera declaración a que hace referencia el artículo 9° será exigible, por el ejercicio correspondiente al 2008, lo cual se encontrará a disposición de esta Superintendencia dentro de los 120 días calendario del 2009.