metodologías para la gestión integral de riesgos en pcr

Fecha de emisión: 09/04/2020

Vigencia: 04/05/2020

Código: PCR-SV-GIR-MET-RE-01

Versión: 01

Página: 1 de 13

Metodologías para la Gestión Integral de Riesgos en PCR

Elaborado por:

Daniela Urquizo Rojas

Aprobado por:

Oscar Jasaui

Jefe de Cumplimiento Normativo y Auditoría Interna

Presidente Ejecutivo




Versión: 01

Página: 2 de 13

Índice de contenido

BITÁCORA DE MODIFICACIONES ........................................................................................... 3

CAPÍTULO I. GENERALIDADES .............................................................................................. 4

I.1 Antecedentes ................................................................................................................. 4

I.2 Objetivo .......................................................................................................................... 4

I.3 Alcance .......................................................................................................................... 4

I.4 Base legal ....................................................................................................................... 4

I.5 Marco Referencial Interno .............................................................................................. 5

I.6 Responsables ................................................................................................................. 5

I.6.1 Responsables de Cumplimiento .................................................................................. 5

I.6.2 Responsables de Revisión y Periodicidad de Actualización ......................................... 5

CAPÍTULO II. METODOLOGÍAS ............................................................................................... 6

II.1 Metodologías para la Gestión del Riesgo Operativo u Operacional (incluye el Riesgo

Legal y el Riesgo Tecnológico) ....................................................................................... 6

II.1.1 Evaluación de Procesos (Matriz de Riesgos) .............................................................. 6

II.1.2 Base de Eventos de Riesgo Operativo u Operacional (BERO) ................................... 9

II.2 Metodologías para la Gestión del Riesgo de Seguridad de la Información .................. 10

II.2.1 Gestión de Vulnerabilidades Técnicas ...................................................................... 10

II.2.2 Gestión de Incidentes de Seguridad de la Información ............................................. 10

II.2.3 Monitoreo de Actividades de Usuarios ...................................................................... 11

II.2.4 Revisión de roles y privilegios ................................................................................... 11

II.3 Metodología para la Gestión del Riesgo de Contraparte .............................................. 11

II.4 Metodología para la Gestión del Riesgo de Liquidez ................................................... 12

II.5 Metodologías para la Gestión del Riesgo de Cumplimiento ......................................... 12

II.6 Metodología para la Gestión del Riesgo de Gobierno Corporativo............................... 12




Versión: 01

Página: 3 de 13

BITÁCORA DE MODIFICACIONES

Bitácora de modificaciones

N° Sección y N° de página

modificada Descripción del cambio Fecha de modificación

- No aplica Primera Versión del Documento 09/04/2020




Versión: 01

Página: 4 de 13

CAPÍTULO I. GENERALIDADES

I.1 Antecedentes

La gestión integral de riesgos (GIR) de Pacific Credit Rating (PCR) se fundamenta en los principios definidos

en la ISO 31000 “Risk Management Guidelines” publicado por el BSI1 para la identificación, evaluación y

análisis de riesgos.

El presente documento normativo describe las herramientas necesarias para la gestión integral de riesgos

de PCR como Calificadora/Clasificadora de Riesgos, adecuadas a la naturaleza, tamaño y complejidad de

sus operaciones.

I.2 Objetivo

Detallar y describir las metodologías empleadas por PCR para la identificación, evaluación y análisis de sus

riesgos.

I.3 Alcance

El presente documento tiene alcance a nivel corporativo, en todos los procesos y Oficinas donde PCR

presta sus servicios.

Se encuentran sujetos a esta normativa, todos los tipos de riesgo a los que PCR se encuentra expuesto:

Riesgo Operacional u Operativo (incluye Riesgo Tecnológico y Riesgo Legal)

Riesgo de Seguridad de la Información

Riesgo de Contraparte

Riesgo de Liquidez

Riesgo de Cumplimiento

Riesgo de Gobierno Corporativo

I.4 Base legal

El presente documento se elaboró en función a lo señalado en las siguientes normas:

País Título de la Norma Descripción

Bolivia Recopilación de Normas para el Mercado de Valores (ASFI), Libro 11º

Artículo 6º de la Sección 3, Capítulo I: Reglamento para la Gestión Integral de Riesgos, Título III, en lo relacionado con las metodologías y herramientas para la medición de riesgos y cómo éstas deben formar parte de los procedimientos para la gestión de riesgos.

El Salvador NRP-011: Normas Técnicas para la Gestión Integral de Riesgos de las Entidades de los Mercados Bursátiles

Inciso b), Artículo 5°, en lo correspondiente a las metodologías para la medición de riesgos, y su establecimiento en conformidad con la estructura organizacional, volumen, naturaleza, y niveles de riesgo asumidos por la empresa.

1 BSI: The British Standards Institution 2018




Versión: 01

Página: 5 de 13

País Título de la Norma Descripción

Perú Reglamento de Gestión Integral de Riesgos

Artículo 5º, Título II, en lo referente a los elementos que debe considerarse para la gestión integral de riesgos:

Ambiente interno

Establecimiento de objetivos

Identificación de riesgos

Evaluación de riesgos

Respuesta al riesgo

Control

Información y comunicación

Monitoreo

Honduras Norma sobre Gestión Integral de Riesgos

Circular CBNS 194/2011. Artículo 12º , inciso h), en lo relacionado con la revisión de las herramientas y metodologías utilizadas para la medición y monitoreo de riesgos.

Resto de los países

Sin normativa específica. En el resto de los países no se cuenta con normativa específica obligatoria sobre las metodologías de gestión de riesgos para Calificadoras/Clasificadoras de Riesgo.

I.5 Marco Referencial Interno

Los siguientes documentos normativos internos mantienen relación directa con las Metodologías para la

Gestión Integral de Riesgos de PCR:

- Manual de Gestión Integral de Riesgos - Política de Seguridad de la Información - Plan de Continuidad del Negocio

I.6 Responsables

I.6.1 Responsables de Cumplimiento

Son responsables de cumplir y hacer cumplir el presente documento:

- Gerentes / Coordinadores País - Personal “Portavoz de Riesgos”, designado por el Gerente / Coordinador País. - Jefe de la Unidad de Riesgos

I.6.2 Responsables de Revisión y Periodicidad de Actualización

El Jefe de la Unidad de Riesgos es el responsable de revisar y consecuentemente actualizar o proponer la

ratificación del presente documento normativo al menos una vez al año, o cuando las condiciones del

negocio y del entorno lo ameriten.




Versión: 01

Página: 6 de 13

CAPÍTULO II. METODOLOGÍAS

II.1 Metodologías para la Gestión del Riesgo Operativo u Operacional (incluye el

Riesgo Legal y el Riesgo Tecnológico)

Las principales herramientas que se debe utilizar para gestionar y evaluar el riesgo operativo son: la Evaluación de Procesos (Matriz de Riesgos) y la Base de Eventos de Riesgo Operativo. En las siguientes subsecciones se detalla en qué consiste cada herramienta, y su forma de aplicación en PCR.

II.1.1 Evaluación de Procesos (Matriz de Riesgos)

La evaluación de procesos se constituye en una de las herramientas más utilizadas para la identificación,

medición y evaluación del riesgo operativo, basada en un análisis minucioso de los procesos de la entidad

a fin de identificar sus riesgos potenciales, las causas o factores que los originan, sus consecuencias, y los

controles que permiten prevenirlos y/o corregirlos2.

Al tratarse de una herramienta completa y compleja, requiere de un análisis conjunto entre el Jefe de la

Unidad de Riesgos y de los colaboradores a cargo de ejecutar los procesos a partir de entrevistas de

relevamiento que permitan el llenando una Matriz de Riesgos.

Para los fines del presente documento, se expone los campos mínimos que debe contener una Matriz de

Riesgos:

Parte 1. IDENTIFICACIÓN DE RIESGOS

Campo Descripción del Campo

Nº Código de Riesgo Identificado (R1, R2, R3, etc.)

Causa / Situación Observada

Descripción de las posibles causas o situaciones que pueden generar el riesgo

Descripción del Riesgo

Descripción del riesgo inherente (sin tomar en cuenta controles)

Consecuencia

1. Pérdidas económicas para la compañía 2. Incumplimiento Normativo 3. Pérdida de confianza del cliente (interno o externo)

En caso de presentarse más de un tipo de consecuencia, se debe elegir la de mayor preponderancia.

Factor de Origen

1. Personal 2. Procesos Internos 3. Tecnología 4. Eventos Externos 5. Infraestructura

2 Los elementos citados también se exponen en el punto 6.4.2 “Risk Identification” de la ISO 31000




Versión: 01

Página: 7 de 13


Tipo de Evento

1. Fraude Interno 2. Fraude Externo 3. Relaciones laborales y seguridad en el puesto de trabajo 4. Prácticas relacionadas con los clientes, los productos y el negocio 5. Daños a activos físicos 6. Interrupción del negocio por fallas en la Tecnología de la Información 7. Deficiencia en la ejecución, entrega y gestión de procesos

Implicancia 1. Legal o Regulatoria 2. Reputacional 3. Todas (1 y 2)

Parte 2. IDENTIFICACIÓN DE CONTROLES


Nº Código de Control Identificado (C1, C2, C3, etc.)

Control Descripción de la tarea de control

¿Quién ejecuta el control?

Puesto que ejecuta la tarea de control

¿A quién controla?

Puesto que es sujeto de la tarea de control

Referencia Normativa

Nombre del documento normativo que señala la existencia del control

¿El control es verificable?

Sí o No

Evidencia de Control

Se describe la forma de evidencia del control (ej. Boletas, registros en sistemas, etc.)

Tipo de control 1. Preventivo 2. Correctivo

Nivel de automatización

1. Manual 2. Automático 3. Semiautomático

Calificación del Control

Parte 3. MEDICIÓN DE LOS RIESGOS


Frecuencia o Probabilidad

Las primeras cuatro escalas se miden en concordancia con la efectividad de los controles:

(*): Por criterio de prudencia, cuando 1 riesgo cuente con más de 1 control asociado, se asignará la probabilidad de ocurrencia asociada al control de menor efectividad. Por ejemplo, si existe 1 riesgo asociado a 3 controles, entre los cuales 2 son excelentes y 1 es deficiente, el riesgo adopta la frecuencia asociada al control deficiente: “Probable”

Nivel Descripción Indicador de efectividad

1 Excelente El control no presentó ni una falla en los últimos 12 meses

2 Bueno El control podría fallar o falló ocasionalmente (1 vez al año)

3 Regular El control podría fallar o falló periódicamente (2 veces al año)

4 DeficienteEl control no se ejecuta o falla frecuentemente (más de 2 veces al

año)

NIVELES DE EFECTIVIDAD DE LOS CONTROLES

Nivel Descripción Indicador de frecuencia*

1 Raro El control asociado al riesgo es “Excelente”

2 Improbable El control asociado al riesgo es “Bueno”

3 Posible El control asociado al riesgo es “Regular”

4 Probable El control asociado al riesgo es “Deficiente”

5 Frecuente El riesgo se materializó al menos 1 vez en los últimos 12 meses

PROBABILIDAD DE OCURRENCIA




Versión: 01

Página: 8 de 13


Impacto

Se mide de acuerdo con el tipo de impacto esperado y las siguientes escalas definidas:

Nivel de Exposición al Riesgo

(Frecuencia x Impacto): Resultado de la multiplicación de frecuencia por impacto. Se puede clasificar los riesgos en cuatro categorías, para luego ser graficados en un Mapa de Calor:

Parte 4. PLANES DE ACCIÓN PARA LA MITIGACIÓN DE RIESGOS

Los campos definidos para establecer planes de mitigación de los riesgos contemplan suficiente información para

realizar el seguimiento respectivo (Plan de acción, Área responsable y Plazo):


Plan de Acción Acciones correctivas a definir por líder de área

Área Área encargada de ejecutar el Plan de Acción

Plazo Fecha esperada de finalización del Plan de Acción

RENTABILIDAD LABORAL TECNOLÓGICO IMAGEN LEGAL REGULATORIO

Pérdida

monetaria

Salud y

seguridad

ocupacional

Tiempo de

interrupción de

los procesos

críticos

Reputacional Procesos Legales Cumplimiento Normativo

1 InsignificanteEntre USD 1 y USD

6,000

No requiere

atención médica

Igual o menor a 30

minutos

Reclamos por parte de terceros

que no son clientes de PCR

Demanda inadmisible o

improcedente en contra de

PCR

2 Bajo

De acuerdo al

apetito de riesgo

mensual vigente

por país en

términos

monetarios

Requiere atención

médica sin baja

laboral

Mayor a 30 minutos

y menor a 2 horas

Reclamos por parte de 1 de los

10 mayores clientes

Demanda contra PCR sin

monto involucrado o por un

monto igual al Nivel 2 de

"Pérdida Monetaria"

Observaciones corregibles en el

corto plazo (hasta 90 días), sin

sanciones pecuniarias

3 Moderado

De acuerdo a la

tolerancia de

riesgo mensual

vigente por país

en términos

monetarios

Requiere atención

médica con baja

laboral de hasta 5

días hábiles

Igual o mayor a 2

horas y menor a 4

horas

Reclamos por parte de 2 ó 3 de

los 10 mayores clientes

Incumplimiento normativo

sin sanción pecuniaria

Observaciones corregibles en el

largo plazo (más de 90 días), sin

sanciones pecuniarias

4 Alto

De acuerdo a la

tolerancia de

riesgo anual

vigente por país

en términos

monetarios

Hospitalización por

daño severo

(reversible)

Igual o mayor a 4

horas y menor a 24

horas

Reclamos por parte de más de 3

de los 10 mayores clientes

Incumplimiento normativo

con sanción pecuniaria

igual al Nivel 4 de "Pérdida

Monetaria"

Observaciones corregibles, con

sanción pecuniaria de hasta

USD 6,000

5 Extremo

De acuerdo a la

capacidad de

riesgo vigente por

país en términos

monetarios

Hospitalización por

daño severo

(irreversible)

Mayor a 24 horas

Noticia o publicación negativa

sobre PCR, difundida en medios

de comunicación (televisión,

prensa, periódico digital,

revistas), o vía LinkedIn / redes

sociales

Demanda contra PCR o

sanción pecuniaria del

regulador igual al Nivel 5

de "Pérdida Monetaria"

Observaciones relacionadas con

gestión del Gobierno Corporativo,

con sanción pecuniaria mayor a

USD 6,000 y/o con suspensión

temporal de licencia de

funcionamiento

TIPO DE IMPACTO

NivelDescripción

Tipo A 1-4 = Bajo

Tipo B 5-10 = Moderado

Tipo C 12-16 = Alto

Tipo D 20-25 = Extremo

Niveles de exposición al riesgo

Probabilidad

5 2 - - - 1

4 - 1 - 1 -

3 - - - - -

2 - - - - -

1 2 - - - -

1 2 3 4 5 Impacto

Mapa de Calor

(Ej. Proceso de Calificación de Riesgo)




Versión: 01

Página: 9 de 13

II.1.2 Base de Eventos de Riesgo Operativo u Operacional (BERO) Cada vez que se materializa un evento de riesgo, el Portavoz de Riesgo y/o el Gerente/Coordinador País,

deberá reportarlo al Jefe de la Unidad de Riesgos vía correo electrónico, con los siguientes datos

mínimamente:

- Fecha de inicio del evento - Fecha de finalización del evento (si corresponde) - Descripción del Evento - Acciones correctivas adoptadas - Personal involucrado (nombre y puesto)

Una vez reportado el evento, el Jefe de la Unidad de Riesgos debe registrarlo en una Base de Eventos con

los siguientes campos:


Código de Evento Código del Evento de Riesgo (PCR-00X)

Oficina BO, CR, EC, ES, GT, PA, PE, RD, PCS

Proceso Nombre del proceso asociado al evento

Factor de Origen

1. Personal 2. Procesos Internos 3. Tecnología 4. Eventos Externos 5. Infraestructura

Tipo de Evento

1. Fraude Interno 2. Fraude Externo 3. Relaciones laborales y seguridad en el puesto de trabajo 4. Prácticas relacionadas con los clientes, los productos y el negocio 5. Daños a activos físicos 6. Interrupción del negocio por fallas en la Tecnología de la Información 7. Deficiencia en la ejecución, entrega y gestión de procesos

Sub-Tipo de Evento Clasificación según Anexo 1 del Manual de GIR

Estado del Evento

1. Investigación: Cuando aún no se ha cuantificado la pérdida asociada al evento 2. Seguimiento: Cuando ya se conoce la pérdida asociada al evento, pero éste aún no fue solucionado 3. Solucionado: Cuando se finalizó la aplicación de medidas correctivas para solucionar el evento, y sus pérdidas

(si corresponde) fueron contabilizadas.

Descripción del Estado del Evento

Descripción de los pormenores del estado del evento

Acciones Correctivas

Descripción de las acciones adoptadas para solucionar el evento

Riesgos relacionados

Listado de los riesgos asociados al evento, además del riesgo operativo (si corresponde):

1. Riesgo de Seguridad de la Información 2. Riesgo de Contraparte 3. Riesgo de Liquidez 4. Riesgo de Mercado (Riesgo Cambiario) 5. Riesgo de Cumplimiento 6. Riesgo de Gobierno Corporativo

Fecha de inicio del evento

En formato DD/MM/YYYY

Fecha de finalización del evento

En formato DD/MM/YYYY, se registra cuando ya se implementaron las acciones correctivas para la solución del evento y cuando sus pérdidas asociadas (si corresponde), fueron contabilizadas.

Fecha de reporte del evento

En formato DD/MM/YYYY




Versión: 01

Página: 10 de 13


Pérdida por riesgo operativo (USD)

Pérdida asociada al evento de riesgo

Reportado por Nombre y apellido de quien reportó el evento al Jefe de la Unidad de Riesgos

Puesto Puesto de quien reportó el evento al Jefe de la Unidad de Riesgos

Respaldo Descripción de la documentación que respalda el evento (correos electrónicos, reportes, capturas de pantalla, etc.)

II.2 Metodologías para la Gestión del Riesgo de Seguridad de la Información

El análisis y evaluación de riesgos de seguridad de la información se basa en los resultados obtenidos de la aplicación de un conjunto de herramientas:

Gestión de Vulnerabilidades Técnicas

Gestión de Incidentes de Seguridad de la Información

Monitoreo de la Actividad de Usuarios

Revisión de roles y privilegios En las siguientes subsecciones se detalla en qué consiste cada herramienta, y su forma de aplicación en PCR.

II.2.1 Gestión de Vulnerabilidades Técnicas

La gestión de vulnerabilidades técnicas comienza por la realización de pruebas de intrusión por parte de un tercero (empresa de Ethical Hacking). El objetivo de estas pruebas, es dar a conocer los riesgos de seguridad informática a los que está expuesto PCR, además de las debilidades / amenazas que requieren de un tratamiento prioritario. Una vez que el proveedor ha identificado los riesgos “altos” asociados a las vulnerabilidades técnicas, el Oficial de Riesgos debe coordinar con el Outsourcing de Seguridad de la Información y con el Comité Operativo de TI para establecer planes de acción preventivos y/o correctivos en un plazo de hasta 10 días hábiles a fin de atender las vulnerabilidades que presenten mayor nivel de exposición al riesgo a la empresa. Asimismo, se establece que para aquellos riesgos “medios” y “bajos” identificados por el proveedor, se tiene un plazo de 90 días para implementar los planes de acción respectivos que permitirán reducir los niveles de exposición.

II.2.2 Gestión de Incidentes de Seguridad de la Información

Los incidentes reportados al Jefe de la Unidad de Riesgos deben ser registrados por este en una base de datos según campos definidos en la Base de Eventos de Riesgo Operativo (punto II.1.2 del presente documento). La información registrada de los incidentes de seguridad de la información, será válida para el análisis de riesgos de seguridad de la información, al constituirse en eventos materializados y con antecedente.




Versión: 01

Página: 11 de 13

II.2.3 Monitoreo de Actividades de Usuarios

Una de las herramientas preventivas / detectivas del riesgo de seguridad de la información, consiste en el monitoreo de logs de los usuarios de Office 365 y de Zoho. Los eventos de log que debe monitorearse al menos tres veces al año son:

Office365 o Acceso de usuarios no autorizados o Descarga de archivos por usuarios no autorizados. o Eliminación de archivos por usuarios no autorizados. o Vínculos compartidos a usuarios no autorizados. o Malware identificado en Office365.

Zoho o Acceso de usuarios no autorizados.

Los resultados del monitoreo deben reflejarse en un Reporte o Informe que exponga los principales resultados de la revisión, y de ser necesario, las acciones sugeridas para aquellos eventos que presenten desvíos a las políticas de seguridad de la información.

II.2.4 Revisión de roles y privilegios

Los roles y privilegios que gozan los usuarios de PCR se ven reflejados en la Matriz de Accesos de la compañía. El Jefe de la Unidad de Riesgos debe solicitar al Analista de TI la citada Matriz de Accesos al menos dos veces al año para asegurarse de la correcta asignación de roles y privilegios para el personal activo. Los resultados de la revisión deben estar expuestos en un Reporte o Informe que destaque los niveles de cumplimiento al Catálogo de Roles definido por PCR, alertando en los casos que amerite, sobre posibles asignaciones incorrectas de accesos.

II.3 Metodología para la Gestión del Riesgo de Contraparte

La principal herramienta para la gestión del riesgo de contraparte es el seguimiento al índice de mora. En términos monetarios, se define a la mora como el incumplimiento al que incurren los clientes de PCR en el pago de sus obligaciones por el servicio prestado de Calificación / Clasificación de Riesgos. En tal sentido, todo impago superior a los 30 días a partir de la fecha de pago pactada mediante contrato, es considerado cartera en mora. De ese modo, el índice de mora por Oficina, se mide mediante la siguiente fórmula:

𝐼𝑛𝑑𝑖𝑐𝑒 𝑑𝑒 𝑀𝑜𝑟𝑎 =𝑀𝑜𝑛𝑡𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝐶𝑎𝑟𝑡𝑒𝑟𝑎 𝑒𝑛 𝑀𝑜𝑟𝑎 𝑠𝑢𝑝𝑒𝑟𝑖𝑜𝑟 𝑎 30 𝑑í𝑎𝑠

𝑀𝑜𝑛𝑡𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝐶𝑎𝑟𝑡𝑒𝑟𝑎

Los límites del riesgo de contraparte se encuentran definidos en el Manual de Gestión Integral de Riesgos.




Versión: 01

Página: 12 de 13

II.4 Metodología para la Gestión del Riesgo de Liquidez

El riesgo de liquidez se gestiona mediante el seguimiento a los límites del ratio de liquidez estructural de cada Oficina:

𝑅𝑎𝑡𝑖𝑜 𝑑𝑒 𝐿𝑖𝑞𝑢𝑖𝑑𝑒𝑧 =𝐴𝑐𝑡𝑖𝑣𝑜𝑠 𝐿í𝑞𝑢𝑖𝑑𝑜𝑠

𝑇𝑜𝑡𝑎𝑙 𝑂𝑏𝑙𝑖𝑔𝑎𝑐𝑖𝑜𝑛𝑒𝑠 (𝑃𝑎𝑠𝑖𝑣𝑜𝑠)

Donde: Activos líquidos: Comprenden todo el efectivo disponible, en cuentas de ahorro, cuentas

corrientes y CDFs con vencimiento menor o igual a 30 días. Total Obligaciones: Comprende al total de pasivos de cada Oficina País, tanto aquellos de corto plazo,

como aquellos de largo plazo. Los límites del ratio de liquidez estructural se encuentran definidos en el Manual de Gestión Integral de Riesgos.

II.5 Metodologías para la Gestión del Riesgo de Cumplimiento

La gestión del riesgo de cumplimiento se realiza mediante el seguimiento mensual de las obligaciones regulatorias de cada Oficina País, según calendarios definidos para el año en curso. El Jefe de la Unidad de Riesgos debe solicitar a los Gerentes / Coordinadores País que declaren el nivel de cumplimiento de sus obligaciones regulatorias de forma mensual, detallando los descargos que permitirán verificar dicho cumplimiento, cuando sea requerido por el Área de Riesgos, o el Área de Auditoría Interna. En caso de presentarse algún incumplimiento que derive en sanciones pecuniarias para PCR, el evento debe registrarse en la Base de Eventos de Riesgo Operativo (punto II.1.2 del presente documento), de manera acorde para su seguimiento y establecimiento de cursos de acción preventivos y/o correctivos.

II.6 Metodología para la Gestión del Riesgo de Gobierno Corporativo

Cada año, las Oficinas del Grupo realizan el planteamiento de nuevas metas para el incremento de su rentabilidad, ya sea mediante estrategias de incremento de las ventas, como mediante la mejora en los niveles de eficiencia administrativa (disminución de gastos). Al tratarse de un esfuerzo conjunto que parte de la Dirección, la Alta Gerencia y los cargos ejecutivos para su cumplimiento, la gestión del riesgo de gobierno corporativo se enfoca en el cumplimiento de las metas planteadas para alcanzar los niveles de rentabilidad deseados, por cada Oficina País. En tal sentido, es responsabilidad del Jefe de la Unidad de Riesgos realizar un seguimiento trimestral del principal indicador de rentabilidad ROE, de cada Oficina, para así anticiparse a posibles desvíos injustificados en el cumplimiento de metas.




Versión: 01

Página: 13 de 13

Se define, por tanto, que el ROE (Return over Equity), se expresa mediante la siguiente fórmula3:

𝑅𝑂𝐸 =𝑈𝑡𝑖𝑙𝑖𝑑𝑎𝑑 𝑁𝑒𝑡𝑎 𝐴𝑛𝑢𝑎𝑙𝑖𝑧𝑎𝑑𝑎 𝑑𝑒𝑙 𝑚𝑒𝑠

𝑃𝑎𝑡𝑟𝑖𝑚𝑜𝑛𝑖𝑜 𝑁𝑒𝑡𝑜 𝑃𝑟𝑜𝑚𝑒𝑑𝑖𝑜 𝑑𝑒 𝑙𝑜𝑠 ú𝑙𝑡𝑖𝑚𝑜𝑠 13 𝑚𝑒𝑠𝑒𝑠

3 FELABAN (2014), “Indicadores Financieros Homologados para Latinoamérica” (metodología aprobada para el

cálculo del ROE y de otros ratios financieros de la Banca)

metodologías para la gestión integral de riesgos en pcr

Documents