El día 19 de enero del presente año, la Superintendencia de Mercado de Valores (SMV) publicó en el diario oficial el Peruano, el Reglamento de Gestión Integral de Riesgos, las mismas que son aplicables para aquellas Entidades a las que la SMV otorga autorización de funcionamiento, quienes deberán contar con un sistema de gestión integral de riesgos. Dicha resolución entrará en vigencia a partir del 1 de marzo de 2023.
En esta resolución, la SMV indica que, de acuerdo a los tipos de riesgos a los que la Entidad se encuentre expuesta, se deberá establecer los lineamientos de conducta para un adecuado funcionamiento de la gestión de riesgos, estos lineamientos podrán ser parte de un código de conducta, normas internas de conducta o documento equivalente exigido por la regulación. Asimismo, se debe promover la cultura de riesgo, la toma de medidas correctivas y establecer mejoras en caso de incumplimiento, todo ello será de conocimiento y observancia obligatoria por parte del Directorio u órgano equivalente, órganos de control o administración, representantes autorizados y, en general, por todos los trabajadores de la entidad.
GESTIÓN INTEGRAL DE RIESGOS (GIR)
Este reglamento define a la gestión integral de riesgos como un proceso, efectuado por el Directorio u órgano equivalente, Comités, Gerencia General y el resto de los trabajadores, para el establecimiento de estrategias diseñadas para identificar eventos potenciales que puedan afectar a la consecución de estas en la organización, gestionar sus riesgos de acuerdo con su apetito y su capacidad para el riesgo y proporcionar una seguridad razonable para el logro de sus objetivos.
Por ello, la SMV señala que, la Entidad debe diseñar y aplicar una gestión integral de riesgos, según su naturaleza, el tamaño, volumen de transacciones y complejidad de sus operaciones, así como al entorno macroeconómico que afecta a los mercados en los que ésta realiza sus operaciones; para lo cual deberá considerar elementos como: El ambiente interno, el Establecimiento de objetivos, la identificación de los riesgos, la Evaluación de los riesgos, el tratamiento del riesgo, Información y comunicación y Monitoreo y/o revisión.
En lo referente al Manual de Gestión Integral de Riesgos, la SMV indica que el mismo deberá contener las políticas y/o procedimientos; la estructura organizacional; los límites internos sobre los riesgos residuales más significativos; la identificación de los riesgos inherentes; la elaboración de los distintos escenarios, que pueda enfrentar la Entidad en función a todos los riesgos a los que se encuentran expuestas sus operaciones, y su respectivo plan de contingencia; la elaboración de las políticas y/o procedimientos internos; las políticas y/o procedimientos para el seguimiento del plan anual de capacitación para la difusión de la cultura de riesgos.
Para la SMV, es necesario que, la Entidad cuente con toda la información documentada de la Gestión integral de riesgos considerando todos los aspectos requeridos en el reglamento e información adicional que considere pertinente, teniendo en cuenta que dicha documentación debe estar debidamente protegida y contar con controles para asegurar su disponibilidad, con la versión correspondiente y uso apropiado, como su respectivo control de cambios, además de documentar evidencia de su ejecución y resultados, los mismos que deben estar a disposición de la SMV. Toda la información deberá ser conservada por las Entidades por un plazo no menor de 10 años.
APROBACIÓN Y ENTREGA DEL INFORME ANUAL DE RIESGOS A LA SMV
En cuanto al Informe Anual de Riesgos, el Directorio de la entidad, es responsable del contenido, por lo que, la entidad debe aprobar y remitir a la SMV su Informe Anual de Riesgos que contenga los principales aspectos y resultados de la gestión integral de riesgos del ejercicio anterior, a más tardar el día 31 de marzo de cada año. Asimismo, debe remitir a la SMV el acta o documento equivalente en el cual conste el acuerdo del Directorio que contenga la aprobación correspondiente, dentro de los 10 días posteriores al 31 de marzo.
DECLARACIÓN DE CUMPLIMIENTO
Anualmente, el Directorio debe suscribir una Declaración de Cumplimiento, en la que debe constar que: El Directorio conoce los estándares previstos en el Reglamento; así como que comprende la naturaleza, el marco de apetito por el riesgo, el nivel de riesgos asumidos, los límites internos, los escenarios establecidos en el Manual GIR y sus respectivos planes de contingencia; que la Entidad cuenta con una adecuada gestión de riesgos; que el Directorio ha establecido que las políticas, procesos y controles ejecutados por la Entidad, sean consistentes con la estrategia de la empresa, así como con los niveles de apetito y capacidad de riesgo; que el Directorio conoce los resultados de la gestión de riesgos y los riesgos específicos a los que está expuesto; que el Directorio conoce los acuerdos e informes de auditoria y de cualquier otra información que considere relevante respecto de la gestión integral de riesgos; y que las medidas correctivas dispuestas, incluyendo los plazos de implementación, consten en las actas correspondientes y que realiza el respectivo seguimiento. Esta declaración debe ser suscrita a más tardar el 30 de abril de cada año y debe ser enviada a la SMV dentro de los 5 días posteriores a dicha fecha.
COMITÉ DE GESTIÓN DE RIESGOS
La SMV indica que el Directorio puede constituir un Comité GIR, que estará integrado por: 1 director independiente, por lo menos 3 miembros, 2 de los cuales deben ser miembros del Directorio. El presidente del Comité GIR no puede presidir el Comité de Inversiones ni ningún otro comité. De constituirse este Comité, se debe desarrollar una normativa interna que indique su constitución, responsabilidades, funciones, periodicidad de sesiones, entre otros temas relevantes para su organización y adecuado funcionamiento. El Directorio puede crear los comités de riesgos especializados que considere necesarios, en razón de la naturaleza, tamaño y complejidad de las operaciones y servicios de la Entidad. La SMV, de manera excepcional, puede solicitar a las Entidades la creación de un Comité GIR o de comités de riesgos especializados cuando observe, en el ejercicio de las acciones de supervisión, que ésta no cumpla con una adecuada gestión integral de riesgos.
UNIDAD DE GESTIÓN DE RIESGOS
La Entidad debe contar al menos con una unidad, gerencia u órgano de gestión de riesgos centralizada o especializada en la gestión de riesgos específicos, para gestionar los riesgos a los que se encuentran expuestos. La SMV puede requerir a las entidades la creación de unidades de riesgos centralizadas o especializadas cuando lo considere necesario.
La unidad de gestión integral de riesgos (GIR) , será la encargada de apoyar y asistir a las demás áreas de la Entidad para la realización de una adecuada gestión de riesgos, a excepción de la gestión del riesgo de lavado de activos y financiamiento del terrorismo, que estará a cargo del Oficial de Cumplimiento de la Entidad.
La Unidad GIR debe contar con un plan anual de trabajo, que contiene, entre otros, los programas de revisión de cumplimiento de objetivos, de procedimientos y controles, así como de los límites de exposición al riesgo y el plan de capacitación. Asimismo, debe contar con procedimientos que permitan identificar, recoger, procesar y reportar información útil para la gestión de los riesgos que ayude a la efectiva toma de decisiones.
Dentro de las funciones de la Unidad de Gestión de Riesgos se pueden incluir: Proponer los niveles de la capacidad y el marco de apetito al riesgo de la Entidad, Proponer las políticas, procedimientos y metodologías apropiadas por cada tipo de riesgos que afronte la Entidad, Proponer el diseño y permanente mejora y adecuación de los manuales de gestión de ririesgos, deberá velar por una adecuada gestión integral de riesgos, Guiar la integración entre la gestión de riesgos con los planes de negocio y las actividades de gestión empresarial, Llevar a cabo el análisis y monitoreo del sistema de gestión integral de riesgos de la Entidad, Proponer al Directorio un plan anual de capacitaciones, así como las políticas y procedimientos en materia de difusión de la cultura de riesgos en toda la entidad, Proponer para aprobación del Directorio el plan anual de trabajo de la unidad, gerencia u órgano de gestión de riesgos, Informar al Comité GIR o Directorio, los aspectos relevantes de la gestión integral de riesgos.
En el caso excepcional de que la entidad decida que las funciones de la unidad, gerencia u órgano de gestión de riesgos puedan ser realizadas por otro órgano de control o funcionario de control de la Entidad, el mismo debe constar en un informe técnico aprobado por el Directorio u órgano equivalente, indicando las características especiales de la entidad que justifican esta decisión. Asimismo, el informe técnico debe adjuntar el sustento de la experiencia y capacitación del órgano o funcionario así como los demás documentos que sustentan esta decisión. La SMV, puede solicitar en cualquier momento el informe técnico de sustento.
Las entidades que integren conglomerados financieros, deben contar obligatoriamente y de forma independiente, con una unidad, gerencia u órgano de gestión de riesgos, pudiendo organizarse de manera corporativa, para que dicha unidad ejerza sus funciones en todas o en algunas de las personas jurídicas integrantes del conglomerado financiero, incluyendo a la Entidad. Los grupos económicos pueden contar con una unidad, gerencia u órgano de riesgos organizada de manera corporativa. La SMV puede requerir a la Entidad la creación de una unidad, gerencia u órgano de gestión de riesgos independiente cuando observe, que ésta no cumpla con una adecuada gestión integral de riesgos conforme a lo previsto en el reglamento.
En los casos en que las Entidades utilicen la tercerización de las funciones de Gestión de Riesgos, deben contar con la aprobación del Directorio de la Entidad, así como un acuerdo de Directorio en el que conste la aprobación de la tercerización y el detalle de los servicios a tercerizar, que también se incluirán en el contrato a suscribir con los proveedores del servicio. Las Entidades mantienen la responsabilidad del cumplimiento de las obligaciones del presente reglamento que hayan sido tercerizadas.
EL ROL DE LA AUDITORÍA INTERNA PARA LA GESTIÓN INTEGRAL DE RIESGOS
La Auditoría Interna de la Entidad debe evaluar el cumplimiento de las políticas, los procedimientos y las metodologías utilizados para todos los tipos riesgos gestionados. A su vez, debe evaluar los resultados de la gestión integral de riesgos e informar oportunamente al Directorio. Dicha evaluación debe incluirse en las actividades permanentes del Plan Anual de Auditoría Interna de la Entidad. La Auditoría Interna debe emitir, un informe anual que contenga las observaciones y/u oportunidades de mejora que se deriven de su evaluación. En el caso que la Entidad no cuente con una Auditoría Interna, pero que, de acuerdo con las disposiciones emitidas por la SMV, tenga un funcionario u órgano que ejerza las atribuciones y responsabilidades respecto del control interno de la Entidad, debe cumplir con las funciones establecidas en el reglamento.
DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS
-Las entidades que no formen parte de un conglomerado financiero deben implementar la GIR en l
os términos previstos en el reglamento, a más tardar el 30 de junio de 2024, para el caso de las entidades que formen parte de un conglomerado financiero, la fecha límite será a más tardar el 31 de diciembre de 2023.
– Las entidades que se encuentran dentro del ámbito de aplicación de la Resolución de Superintendente N° 045-2021-SMV/02, Reglamento de la Actividad de Financiamiento Participativo Financiero y sus Sociedades Administradoras, deben implementar la GIR en los términos previstos en el reglamento, a más tardar el 30 de septiembre de 2024.
– Las Entidades que a la fecha de entrada en vigencia del reglamento cuenten con políticas y procedimientos para la gestión de sus riesgos, deben verificar que cumplen con las exigencias mínimas establecidas en el reglamento.