BALOTARIO ASA – COORDINADORES DE RIESGOS AGENCIAS

1. ¿Sabe Ud. qué es Requerimiento Patrimonial?

Es el respaldo económico que toda entidad financiera necesita para realizar operaciones. En términos prácticos, por cada sol que Caja utiliza ya
sea en colocación de créditos, toma de inversiones, etc debe contar al menos con 0.14 soles de patrimonio efectivo. La SBS exige un monto de
requerimiento patrimonial por cada tipo de riesgo (riesgo de crédito, riesgo de mercado y riesgo operacional)

2. ¿Qué es el Proyecto ASA y para que le sirve a Caja Arequipa?

Para calcular el requerimiento patrimonial por riesgo operacional la SBS establece tres métodos de medición. De utilizar el método
Estándar Alternativo (ASA por sus siglas en inglés) el requerimiento patrimonial por riesgo operacional de Caja Arequipa disminuiría en más de
60 millones de soles en relación al monto de requerimiento actual.

El proyecto ASA busca obtener la autorización de la SBS para utilizar este método en Caja Arequipa y de este modo liberar capital para generar
más negocio.

RIESGO OPERACIONAL

3. ¿Qué es el Riesgo Operacional (ROP)?

Es la posibilidad de ocurrencia de pérdidas en Caja Arequipa debido a cuatro factores (procesos, personas, tecnología de información y
eventos externos). Un evento de pérdida por ROP (a diferencia de un riesgo) es la materialización de riesgos de operación durante un
proceso, originando pérdidas a Caja Arequipa.

La SBS agrupa los eventos de pérdida por riesgo operacional en siete (7) categorías. En anexo adjunto se muestra la Tabla Nº 1 que contiene el
detalle de la clasificación de los eventos de pérdida, su definición y algunos ejemplos tipo (esta información será de utilidad al momento que
se reporten eventos de pérdida a través del Sofware CERO).

4. ¿Qué es la Gestión de Riesgo Operacional?

Es un proceso efectuado por todos los colaboradores de la institución, diseñado para identificar y mitigar potenciales riesgos que
podrían afectarla. Los pasos que se siguen son los siguientes:

(*)

(*) Para determinar si el riesgo identificado es bajo, moderado, alto o extremo se aplican criterios de frecuencia / impacto pudiendo solicitar
apoyo del personal de riesgo operacional en el establecimiento del nivel de riesgo.

5. ¿Conoce Ud. cuál es el Apetito y Tolerancia al Riesgo Operacional de Caja Arequipa?

Apetito al Riesgo: Uno de los principales objetivos de Caja Arequipa es generar utilidades para lo cual realiza una serie de actividades que la
exponen a un conjunto de riesgos. En consecuencia, el apetito al riesgo se define como el nivel de pérdida que la empresa está dispuesta a
asumir al realizar operaciones de créditos, ahorros y prestación de otros servicios.

Tolerancia al Riesgo: Es la desviación máxima respecto al nivel de apetito al riesgo establecido.

Caja Arequipa ha fijado niveles de apetito y tolerancia para los distintos tipos de riesgo (riesgo de crédito, riesgo de mercado y riesgo
operacional); en el caso del riesgo operacional nuestra institución sólo está dispuesta a asumir riesgos de nivel bajo (Apetito) y como máximo
riesgos de nivel moderado (Tolerancia).

En términos monetarios, Caja Arequipa podría asumir un importe de pérdida anual por riesgo operacional equivalente a más o menos 800 mil
soles (nivel de riesgo bajo) y como máximo un monto de alrededor 1.2 millones de soles (nivel de riesgo moderado). Es importante indicar que
estos importes se actualizan cada año por lo que debemos estar atentos a los cambios que se realicen.
6. ¿Qué herramientas se utiliza para identificar y evaluar los riesgos operacionales?

a. Talleres de Autoevaluación de Riesgos y Controles: Se convoca al dueño del proceso y personal clave que interviene en éste para
identificar y evaluar los riesgos que se pueden presentar en el flujo de actividades asimismo identificar los controles existentes y
proponer los planes de acción para el tratamiento de los riesgos altos y extremos (niveles por encima de la tolerancia al riesgo de
Caja Arequipa). Como resultado de estos talleres se obtiene la matriz de riesgos y controles respectiva que contiene el detalle de los
riesgos detectados, sus controles, planes de acción y KRI`s.

b. Base de Datos de Eventos de Pérdida: Esta base de datos se alimenta de los eventos de pérdida por riesgo operacional reportados
por el personal de Caja Arequipa a través del Software CERO. En base a esta información se hace posible identificar el riesgo asociado
y proponer las medidas de mitigación correspondientes para que el evento de pérdida no se repita.

7. ¿A qué se denomina mapa de riesgos?

El mapa de riesgos operacionales está compuesto por todos los riesgos identificados que podrían generar pérdidas a Caja Arequipa, estos
riesgos están contenidos en las matrices de riesgos y controles (archivos con el detalle de los riesgos detectados en el proceso, controles
implementados, nivel de riesgo, planes de acción, KRI`s, etc) que se obtienen como resultado de la ejecución de los talleres de autoevaluación
de riegos. Todos los dueños de procesos críticos deben mantener actualizada su matriz de riesgos.

8. ¿Conoce Ud. cuáles son procesos críticos de Caja Arequipa?

Un proceso crítico incide de forma directa en los resultados que

alcanza la organización. Caja Arequipa cuenta con 69 procesos, de los
cuales 14 han sido tipificados como críticos. Se han realizado talleres
de autoevaluación de riesgos para identificar los riesgos en estos 14
procesos críticos y en el mediano plazo se contará con las matrices de
riesgos y controles correspondientes a los procesos que no están
tipificados como críticos

9. ¿Quiénes son los coordinadores de Riesgos?

Son funcionarios de Caja Arequipa cuya función es canalizar el

reporte de los eventos de pérdida y riesgos identificados por personal
de la Caja (y por ellos mismos). En caso de ser dueños del proceso,
son responsables adicionalmente, de proponer los planes de acción
respectivos para la mitigación del riesgo y realizar el seguimiento a su
implementación. En agencias los coordinadores de Riesgos son:

• Gerente Regional
• Jefe Zonal
Coordinadores de Riesgo unidades administrativas
• Supervisor Regional de Operaciones
• Gerente de Agencia
• Jefe de Plataforma
10. ¿Qué acciones realiza Ud. como coordinador de riesgos cuando identifica o un colaborador de su área le reporta un riesgo operacional
o un evento de pérdida?

Para un mejor entendimiento se ha elaborado un flujo del proceso a seguir (anexo adjunto) en el que se detallan las actividades a realizar.
Considerar que en caso de duda en cualquiera de los pasos del proceso se debe solicitar apoyo al personal de riesgo operacional.

11. ¿Qué es un Indicador Clave de Riesgo o KRI?

Son indicadores que permiten monitorear si el riesgo que hemos identificado mantiene, disminuye o incrementa su nivel, se denominan KRI’s
por sus siglas en Inglés (Key Risk Indicators) y ayudan a tomar acciones oportunas y corregir las desviaciones de metas. De acuerdo a la
metodología vigente sólo se elaboran KRI`s en caso se detecten riesgos altos o extremos.

Ejemplo:

Riesgo: Desembolsar créditos sin la documentación correspondiente

Indicador Clave de Riesgo: N° de créditos desembolsados sin la documentación correspondiente / N° de créditos desembolsados

12. ¿Conoce Ud. la definición de nuevo producto y cambio importante?

Nuevo Producto: Producto lanzado por primera vez por Caja Arequipa. También se considera nuevo producto o servicio cuando se realiza un
cambio en un producto existente que modifica su perfil de riesgo.

Cambio importante en el ambiente de negocio, operativo e informático: Cambios de software, hardware, aplicaciones y/o procedimientos
considerados críticos para la Caja Municipal de Ahorro y Crédito de Arequipa.

En el Anexo Nº 1 del Procedimiento de Nuevos Productos y cambios importantes en el ambiente de negocios, operativo e informático se
detalla una lista (explicativa más no limitativa) de los cambios que pueden considerarse como importantes o significativos.
http://cajanet/index.php/2012-07-10-17-30-17/doc_view/1834-nuevos-productos-cambios-importantes-en-el-ambiente-de-negocios-
operativo-e-informatico

13. ¿Sabe Ud. que todo nuevo producto o cambio importante debe contar con una evaluación de riesgos previa a su lanzamiento o puesta
en producción?

- Esta evaluación de riesgos se realiza a través de un taller de autoevaluación de riesgos convocada por el líder del proyecto y en el que
deben participar personal clave involucrado en el mismo.
- La Unidad de Riesgos participa como facilitador y documentador del taller de autoevaluación por lo que se le debe comunicar y remitir
información con la debida anticipación.
- Contar con una evaluación de riesgos nos permite actuar de manera oportuna para evitar que se materialicen amenazas que eviten el
cumplimiento de los objetivos trazados.
- El detalle de la información que se debe remitir a la Unidad de Riesgos se encuentra en el Anexo Nº 2 del Procedimiento e incluye
información relativa a: Objetivo, Alcance del Proyecto, impacto Financiero, Estrategia de Comunicación, entre otros.

14. ¿Conoce Ud. la definición de proveedor crítico y Sub Contratación Significativa?

Proveedor crítico: aquellos proveedores cuyos servicios, en caso fallen o se suspendan pueden afectar la calidad de servicio, afectando
ingresos, solvencia o capacidad operativa.

Subcontratación significativa: Modalidad de gestión mediante la cual una empresa contrata a un tercero para que éste desarrolle un proceso
que podría ser realizado por Caja Arequipa y que en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al
afectar sus ingresos, solvencia, o continuidad operativa.

SEGURIDAD DE INFORMACIÓN

1. ¿Qué es confidencialidad? Característica que menciona que el acceso a la información solo puede ser por personas autorizadas.

2. ¿Qué es integridad? Característica que menciona que la información se debe de mantener la exactitud tal cual fue generada.

3. ¿Qué es la Disponibilidad? Característica que menciona que la información debe ser accedida en cualquier momento.

4. Propietario de la información, se define como: Es la entidad o persona quien tiene la responsabilidad gerencial aprobada de controlar la
producción, desarrollo, mantenimiento, uso y seguridad del activo.
5. ¿Cuáles son las prohibiciones del colaborador?
No proporcionar a terceros en general, documentos, información propia de la labor que desempeñan o cualquier otra.
No introducir programas informáticos, música, videos, chips, USB, etc.
No violar el secreto bancario, divulgar, publicar o publicitar sobre las operaciones, negocios, intereses en que intervenga la
institución o sus clientes y proveedores.

6. ¿Cuáles son las obligaciones del colaborador?

No utilizar el correo electrónico de la empresa para fines personales.
No copiar información de propiedad de la Caja en USB o CDs o cualquier dispositivo, sin la autorización debida.
Utilizar los servicios, bienes y las claves de acceso solo para fines laborales.

7. ¿Qué es la información de tipo confidencial? Es la información considerada crítica y no puede ser pública ya que afectaría las operaciones
y funciones de los colaboradores.

8. ¿Qué es la información de tipo Especial? Es la información que solo es de interés de determinadas agencias o departamentos.

9. ¿Qué es la información de tipo interna? Es la información que llega a todos los colaboradores pero no está aprobada para ser circulada
fuera del ámbito de la Caja

10. ¿Qué es la información de tipo pública? Es la información que cuya difusión no implica repercusiones a la Caja y cuyo contenido es de uso
general.

CONTINUIDAD DEL NEGOCIO

1. ¿Qué es Gestión de continuidad del negocio (GCN)?

Es un proceso efectuado por el Directorio, la Gerencia Mancomunada y el personal, que implementa respuestas efectivas para que la
operatividad del negocio de la Caja continúe de una manera razonable, con el fin de salvaguardar los intereses de sus principales grupos de
interés, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la Organización.

2. ¿Qué es un proceso urgente?

Proceso considerado indispensable para la continuidad de las operaciones y servicios de la Organización, cuya realización podría ser
razonablemente desarrollada por la Caja.

3. ¿Cuáles son los procesos urgentes identificados por la Caja?

4. ¿Cuáles son las responsabilidades del Líder del equipo de Continuidad en Oficinas Administrativas
Identificar la naturaleza del evento de interrupción.
Activar el Plan de Continuidad de Negocios en Oficinas Administrativas, en coordinación con el Comité de Gestión de Crisis (en caso
aplique), en base a la naturaleza del evento de interrupción.
Convocar al Equipo de Continuidad en Oficinas Administrativas (personal clave o alterno), Ver Anexo 2 – Datos de contacto del
personal clave y alterno.
Coordinar con el equipo las actividades a realizar para dar continuidad a los procesos utilizados por la Caja dentro de los tiempos
objetivos de recuperación.
Gestionar las actividades relativas a la recuperación de los procesos desde el evento de interrupción hasta la restauración a la
normalidad, informando el estado de la operación al Comité de Gestión de Crisis.
Informar los problemas específicos ocurridos durante la operación en continuidad al Comité de Gestión de Crisis.
Mantener actualizado el Plan de Continuidad de Negocios en Oficinas Administrativas,
Mantener actualizado el listado de datos de contactos del personal clave y alterno, así como los datos de los proveedores claves.
Participar activamente de las capacitaciones y de las pruebas de continuidad del negocio.

5. ¿Cuáles son las responsabilidades del Líder del equipo de Continuidad en Agencias
Identificar la naturaleza del evento de interrupción.
 Activar el Plan de Continuidad de Negocios en la Agencia, en coordinación con el Comité de Gestión de Crisis (en caso aplique), en
base a la naturaleza del evento de interrupción.
Convocar al Equipo de Continuidad en Agencias. Ver Anexo 2 del presente documento y PL-UR020- Política de conformación del
comité de agencia
Coordinar con el equipo las actividades a realizar para dar continuidad a los procesos utilizados por La Caja dentro de los tiempos
objetivos de recuperación.
Gestionar las actividades relativas a la recuperación de los procesos desde el evento de interrupción hasta la restauración a la
normalidad, informando el estado de la operación al Comité de Gestión de Crisis.
Informar los problemas específicos ocurridos durante la operación en continuidad al Comité de Gestión de Crisis.
Mantener actualizado el Plan de Continuidad de Negocios en Agencias.
Participar activamente de las capacitaciones y de las pruebas de continuidad del negocio.

6. ¿Qué es un Centro de Negocios alterno?

Es un sitio mantenido en espera para ser utilizado cuando ocurra un evento de interrupción que involucre la no disponibilidad de las oficinas
principales. El personal clave principal como alterno deberá ser trasladado al centro

7. ¿Qué Implica trabajar con operaciones manuales en una contingencia?

Implica que se pueda atender las operacionen de forma manual, de tal forma se pueda trabajar solo las operaciones que estan permitidas en
caso de contingencia. Revisar en la intranet el procedimiento de “Ejecución de operaciones en caso de contingencias”.

8. ¿Quienes participan en las pruebas de continuidad del negocio?

En las pruebas de continuidad del negocio, todos estamos obligados a participar, todo ello dirigido por los líderes de cada Agencia.

9. ¿Qué es un plan de emergencia?

Conjunto de procedimientos pre establecidos para dar respuesta a situaciones de emergencias en la instalación

10. ¿Cuáles son las funciones de un Coordinador de Brigada?

Asignar las funciones y responsabilidades de los miembros de la brigada de emergencias.
Organizar, planificar y dirigir las acciones destinadas a salvaguardar la vida de todos los colaboradores y los visitantes.
Asegurar que la identidad de los miembros de las brigadas de emergencia estén disponibles para todos los colaboradores.
Coordinar con el responsable de la brigada los simulacros a efectuarse en la instalación.
Determina la necesidad de ayuda externa y realizar las coordinaciones pertinentes.
Comunicar sobre el estado de la situación de emergencia al comité de gestión de crisis
 TABLA Nº 1 – EVENTOS DE PÉRDIDA POR RIESGO OPERACIONAL

Evento de Pérdida Definición Ejemplos

por ROP
Son los eventos derivados de errores en la ejecución y
Ejecución, entrega y Incumplimiento de procedimientos internos y externos /Error en
administración de los procesos, cuyo origen está en las deficiencias
gestión de procesos la introducción y mantenimiento de datos/Términos de contratos
de los procesos de Caja Arequipa.
inapropiados/Fecha de entregas no cumplidas.

Son los eventos derivados de errores en la ejecución y Clonación de tarjetas de débito/Robos y atracos perpetrados
Fraude externo administración de los procesos, cuyo origen está en las deficiencias contra activos de Caja Arequipa/Ataques de hackers/Uso
de los procesos de Caja Arequipa. Pueden deberse a errores en la fraudulento de órdenes de pago y transferencias
operativa, controles deficientes o incumplimiento de la normativa.

Son los eventos causados por actos que, de forma intencionada, Falsificación de documentos/Utilización fraudulenta de passwords
Fraude interno buscan defraudar o apropiarse indebidamente de los activos de por personas distintas al titular/Uso indebido de facultades y
Caja Arequipa o incumplir normas o leyes en los que está poderes/Divulgación intencionada de información privilegiada.
implicado, al menos, un colaborador
Pérdidas originadas por la utilización de sistemas y aplicaciones
Interrupción del que no soportan la carga de trabajo/ Deficiente funcionamiento
negocio y fallas en el Son los riesgos derivados de incidentes por fallas tecnológicas. de los sistemas por errores en el diseño, construcción e
sistema implementación de nuevas funcionalidades/Fallas en las
comunicaciones y redes.

Multas y sanciones impuestas por las autoridades laborales

Relaciones laborales y Son los eventos asociados con actos que son incompatibles con la relacionadas con el incumplimiento de las normas de Seguridad e
seguridad en el legislación laboral, con los acuerdos internos de trabajo y, en Higiene en el trabajo/ Multas, sanciones e indemnizaciones
puesto de trabajo general, con la legislación vigente sobre la materia. relacionadas con la discriminación laboral.
Despidos improcedentes.

Clientes, productos y Asesoramiento deficiente a los clientes/Publicidad engañosa, lo

Son los eventos ocasionados por fallas negligentes o involuntarias
prácticas que causa pérdidas por sanciones y reclamaciones/Información
de los colaboradores frente a los clientes.
empresariales desfasada o incompleta respecto a las tasas de interés y
comisiones cobradas por los productos ofrecidos.

Son los eventos por daños o perjuicios a los activos físicos de Caja Incendios / explosiones /Desastres naturales/Terrorismo / huelga
Arequipa, los cuales son producto de acontecimientos externos / conmoción civil/Fallas en las telecomunicaciones.
Daños a activos naturales y/o provocados, que originan la interrupción de las
materiales actividades.
FLUJO DE ACTIVIDADES A REALIZAR POR LOS COORDINADORES DE RIESGOS (AGENCIAS) ANTE LA
IDENTIFICACIÓN DE RIESGOS, EVENTOS PÉRDIDA E INCIDENTES DE SEGURIDAD Y CONTINUIDAD