Aprueban el Reglamento de Gestión de Riesgos de Modelo

RESOLUCIÓN SBS N° 00053-2023

Lima, 6 de enero de 2023

LA SUPERINTENDENTA DE BANCA, SEGUROS Y

ADMINISTRADORAS PRIVADAS DE FONDOS DE

PENSIONES

CONSIDERANDO:

Que, mediante Resolución SBS N° 272-2017 y sus normas modificatorias se aprobó el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el cual establece criterios relacionados con el gobierno corporativo y la gestión integral de riesgos;

Que, el uso de modelos para la gestión de riesgos está regulado por normas específicas a cada riesgo que abordan aspectos de los riesgos asumidos por las empresas bajo la supervisión de la Superintendencia;

Que, la gestión de riesgos de modelo tiene como objetivo mitigar la posibilidad de afrontar pérdidas ocasionadas por debilidades en el desarrollo, validación, implementación, uso y seguimiento de modelos que pueden conllevar a decisiones erróneas en el negocio de la empresa;

Que, el uso de modelos para la gestión de riesgos por parte de las empresas supervisadas se ha incrementado en los últimos años;

Que, en ese sentido, resulta necesario contar con un marco regulatorio que establezca lineamientos y requisitos mínimos para abordar los principales elementos para la gestión de riesgos de modelo tales como el desarrollo, validación, implementación, uso, seguimiento y contratación de proveedores de modelos;

Que, mediante Resolución SBS N° 11699-2008 y sus normas modificatorias se aprobó el Reglamento de Auditoría Interna, el cual establece criterios mínimos para su ejercicio de acuerdo con los estándares internacionales y mejores prácticas;

Que, resulta conveniente establecer como parte de las actividades programadas en el Plan Anual de Trabajo de la Unidad de Auditoría Interna, la revisión de las disposiciones establecidas en el Reglamento de Gestión de Riesgos de Modelo;

Que, a efectos de recoger las opiniones del público sobre la propuesta se dispuso la prepublicación del proyecto de norma en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en la Trigésima Segunda Disposición Final y Complementaria de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros - Ley N° 26702 y sus normas modificatorias, en adelante Ley General, así como del Decreto Supremo Nº 001-2009-JUS y sus modificatorias;

Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Seguros, de Riesgos, de Estudios Económicos y de Asesoría Jurídica;

En uso de las atribuciones conferidas en los numerales 7, 9, 13 y 19 del artículo 349º, así como en el artículo 350° de la Ley General.

RESUELVE:

Artículo Primero.- Aprobar el Reglamento de Gestión de Riesgos de Modelo, según se indica a continuación:

REGLAMENTO DE GESTIÓN

DE RIESGOS DE MODELO

TÍTULO I

DISPOSICIONES GENERALES

Artículo 1°.- Alcance

El presente Reglamento es aplicable a las empresas que empleen modelos para la gestión de riesgos y se encuentren comprendidas en los literales A, C y D del artículo 16° de la Ley General, al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE) y al Fondo MIVIVIENDA S.A., en adelante empresas.

Artículo 2°.- Definiciones y referencias

Para la aplicación del presente Reglamento deben considerarse las siguientes definiciones:

a) Apetito por el riesgo.- según lo definido en el literal a) del artículo 2° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

b) Bienes y/o servicios significativos provistos por terceros.- según lo señalado en el numeral 35.3 del artículo 35° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

c) Categorización de los modelos.- proceso que permite dar un ordenamiento a los modelos, en función del riesgo que representa para la empresa.

d) Complejidad del modelo.- nivel de dificultad del modelo que se identifica a partir de un conjunto de atributos asociados principalmente a su especificación, la técnica utilizada para la estimación, limitaciones de la técnica empleada, capacidad de interpretación de los resultados, el uso de datos alternativos y datos no estructurados, la posibilidad de sesgo en los datos, entre otros.

e) Desarrollo del modelo.- proceso que comprende la definición del propósito del modelo, el diseño (marco teórico, especificación matemática o estadística, entre otros), supuestos, criterios de juicio experto, la selección de datos, la estimación y las pruebas de consistencia del modelo.

f) Forzajes (overrides).- ajustes realizados, en función del juicio experto, a los resultados generados por el modelo.

g) Implementación del modelo.- proceso que comprende la integración del modelo en la gestión de la empresa.

h) Indicadores de calidad del modelo.- indicadores mediante los cuales se evalúa la precisión, poder de discriminación, robustez, bondad de ajuste, estabilidad y confiabilidad del modelo, entre otros.

i) Inventario de modelos.- registro de todos los modelos en uso en la gestión de riesgos de la empresa.

j) Materialidad.- variable que recoge la magnitud del riesgo asociado al uso del modelo.

k) Modelo.- método cuantitativo o sistema que aplica teorías matemáticas, técnicas estadísticas, económicas y/o financieras, y supuestos, para procesar información cuantitativa o cualitativa en estimaciones cuantitativas. Un modelo consta de tres componentes: un componente de entrada, que proporciona supuestos y datos para el modelo (incluidos los de juicio experto); un componente de procesamiento, que transforma los datos en estimaciones; y un componente de resultados, que traduce las estimaciones en información que es utilizada para la toma de decisiones.

l) Motor de cálculo.- herramienta que contiene los elementos necesarios para el cálculo de los resultados del modelo.

m) Proveedor.- según lo definido en el literal rr) del artículo 2° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

n) Pruebas retrospectivas (backtesting).- pruebas que comparan los resultados estimados por el modelo con lo efectivamente observado, para un periodo de tiempo determinado, con la finalidad de evaluar el desempeño de los modelos.

o) Reglamento.- Reglamento de Gestión de Riesgos de Modelo.

p) Reglamento de Gestión Actuarial.- Reglamento de Gestión Actuarial para Empresas de Seguros, aprobado por Resolución SBS N° 3863-2016 y sus normas modificatorias.

q) Reglamento de Gestión de Riesgos de LA/FT.- Reglamento de Gestión de Riesgos de Lavado de Activos y del Financiamiento del Terrorismo aprobado por Resolución SBS N° 2660-2015 y sus normas modificatorias.

r) Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.- Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por Resolución SBS N° 272-2017 y sus normas modificatorias.

s) Reglamento de la Gestión de Riesgo de Crédito.- Reglamento de Gestión de Riesgo de Crédito aprobado por Resolución SBS N° 3780-2011 y sus normas modificatorias.

t) Reglamento de Inversiones de Seguros.- Reglamento de las Inversiones de las Empresas de Seguros aprobado por Resolución SBS N° 1041-2016 y sus normas modificatorias.

u) Reglamentos para el Requerimiento de Patrimonio Efectivo.- Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Crédito aprobado por Resolución SBS N° 14354-2009 y sus normas modificatorias y Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Mercado aprobado por Resolución SBS N° 6328-2009 y sus normas modificatorias.

v) Reglamento para la Constitución de la Reserva de Riesgos Catastróficos.- Reglamento para la Constitución de la Reserva de Riesgos Catastróficos aprobado por Resolución SBS N° 3661-2021.

w) Reglamento para la Gestión de la Continuidad del Negocio.- Reglamento para la Gestión de la Continuidad del Negocio aprobado por Resolución SBS N° 877-2020 y sus normas modificatorias.

x) Reglamento para la Gestión del Riesgo de Liquidez.- Reglamento para la Gestión del Riesgo de Liquidez aprobado por Resolución SBS N° 9075-2012 y sus normas modificatorias.

y) Reglamento para la Gestión del Riesgo de Mercado.- Reglamento para la Gestión del Riesgo de Mercado aprobado por Resolución SBS N° 4906-2017 y sus normas modificatorias.

z) Reglamento para la Gestión del Riesgo Operacional.- Reglamento para la Gestión del Riesgo Operacional aprobado por Resolución SBS N° 2116-2009 y sus normas modificatorias.

aa) Réplica del modelo.- proceso que consiste en reproducir el desarrollo del modelo en base a la documentación de sustento de este, considerando los tres componentes del modelo, señalados en la definición de modelo del Reglamento.

bb) Seguimiento del modelo.- proceso que comprende la revisión periódica del desempeño del modelo.

cc) Subcontratación.- según lo definido en el literal jj) del artículo 2° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

dd) Superintendencia.- Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

ee) Uso del modelo.- proceso que consiste en emplear los resultados del modelo para la toma de decisiones de la empresa.

ff) Validación del modelo.- proceso que comprende la revisión independiente del desarrollo, implementación y uso del modelo.

TÍTULO II

GESTIÓN DE RIESGOS DE MODELO

CAPÍTULO I

ASPECTOS GENERALES

Artículo 3°.- Riesgos de modelo

3.1. El riesgo de modelo se define como la posibilidad de pérdidas o consecuencias adversas derivadas de debilidades en el desarrollo, validación, implementación, uso y seguimiento de los modelos. El riesgo de modelo puede presentarse a partir de especificaciones o metodologías inadecuadas; de estimaciones erradas; de supuestos incorrectos; de errores de cálculo; de datos inexactos, inapropiados o incompletos; del uso inapropiado, impropio o no previsto del modelo; de la falta de entendimiento de las limitaciones del modelo; y del seguimiento y/o controles inadecuados, principalmente.

3.2. La gestión de riesgos de modelo de la empresa debe ser coherente con el tamaño, naturaleza y complejidad de sus operaciones, productos y servicios. Las empresas deben cumplir con los criterios del presente Reglamento y con lo señalado en el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, a fin de asegurar un marco de gestión de riesgos de modelo sólido y consistente con la materialidad, uso y complejidad de los modelos.

Artículo 4°.- Modelos

4.1. Los modelos a los que se aplica el presente Reglamento son aquellos utilizados en la gestión de los riesgos de crédito, mercado, liquidez, operacional, y lavado de activos y del financiamiento del terrorismo, definidos en el artículo 23° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos. En las Notas Metodológicas del “Inventario de modelos” (Anexo A), se brinda una lista no limitativa de los modelos a los cuales aplica el presente Reglamento.

4.2. El presente Reglamento no aplica a los modelos actuariales utilizados para el cálculo de reservas técnicas y para la gestión del riesgo técnico, que se sujetan a lo dispuesto en el Reglamento de Gestión Actuarial; así como en las disposiciones del Reglamento para la Constitución de la Reserva de Riesgos Catastróficos.

4.3. La Superintendencia puede establecer que un método o sistema que no se ajuste a la definición de modelo señalada en el literal k) del artículo 2° del presente Reglamento esté sujeto al cumplimiento de algunas de las consideraciones del presente Reglamento.

Artículo 5°.- Inventario de modelos

5.1. Las empresas deben contar con un inventario de modelos, el cual debe encontrarse permanentemente actualizado e incluir por lo menos la información del formato señalado en el Anexo A “Inventario de Modelos” del presente Reglamento, que se encuentra en el Portal del Supervisado (https://extranet.sbs.gob.pe/).

5.2. Asimismo, las empresas deben presentar anualmente, vía el Submódulo de Captura y Validación Externa (SUCAVE), el Anexo A “Inventario de Modelos” con la información disponible actualizada al cierre del primer semestre del año en curso, en un plazo que no exceda de los treinta y un (31) días calendario posteriores al cierre del primer semestre del año.

Artículo 6°.- Categorización de los modelos

6.1. Las empresas deben categorizar los modelos que se encuentren bajo el alcance del presente Reglamento, incluyendo los provistos por terceros, de acuerdo con el nivel de riesgo que implique su uso. La categorización de los modelos debe considerar por lo menos la materialidad, uso y complejidad del modelo. Asimismo, los criterios para definir la categorización deben ser aprobados por el comité de riesgos de modelo o quien haga sus veces.

6.2. Para cada categoría se debe establecer el alcance y profundidad del seguimiento y de la validación de los modelos; la frecuencia del seguimiento y de la validación periódica; así como la necesidad de la réplica completa. La Superintendencia puede requerir una categorización distinta a la determinada por la empresa para sus modelos.

Artículo 7°.- Procedimientos de control por parte de las empresas

7.1. Las empresas deben tomar acciones cuando se identifiquen debilidades como resultado de la validación o el seguimiento del modelo, cuando se identifique que no se ejerce una gestión adecuada del riesgo de modelo, y cuando se identifiquen debilidades como resultado de las evaluaciones realizadas por esta Superintendencia y/o la Unidad de Auditoría Interna.

7.2. Las empresas deben establecer medidas de mitigación temporales para el uso del modelo si las acciones no se pueden implementar de inmediato.

Artículo 8°.- Informe anual sobre la gestión de riesgos de modelo

8.1. De acuerdo con lo señalado en el artículo 27° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, la unidad de riesgos debe elaborar un informe anual de riesgos. En dicho informe, con respecto a la gestión de riesgos de modelo, la empresa debe incluir, por lo menos, lo siguiente:

a) El estado de las debilidades identificadas, las acciones que se hayan tomado al respecto de acuerdo con lo indicado en el artículo 7° del presente Reglamento, y la situación de dichas acciones.

b) El estado de los modelos que se planificó desarrollar o modificar en los últimos doce (12) meses.

c) El cronograma de actividades relacionadas con el desarrollo, validación, implementación y seguimiento de modelos que serán realizadas en los siguientes doce (12) meses.

8.2. La Superintendencia puede solicitar aspectos adicionales y ampliar el detalle del contenido relacionado con la gestión de riesgos de modelo.

CAPÍTULO II

AMBIENTE INTERNO

Artículo 9°.- Responsabilidades del Directorio

9.1. El Directorio es responsable de establecer una gestión de riesgos de modelo que considere como mínimo:

a) Asignar los recursos necesarios a fin de contar con infraestructura adecuada y personal con apropiado nivel de experiencia y capacitación.

b) Asignar las responsabilidades para el desarrollo, validación, implementación, uso y seguimiento de los modelos.

c) Aprobar las políticas para el desarrollo, validación, implementación, uso y seguimiento de modelos, así como los procedimientos para asegurar la calidad de los datos.

9.2. Cualquier excepción para el uso de modelos categorizados en los niveles de riesgo más altos que presenten debilidades relevantes en su desarrollo, debe ser aprobada por el Directorio, tomando conocimiento explícito de los riesgos inherentes al uso de dichos modelos.

Artículo 10°.- Comité de riesgos de modelo

10.1. Conforme a lo dispuesto en el artículo 11° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Directorio puede constituir los comités de riesgos especializados que considere necesarios, en razón de la naturaleza, tamaño y complejidad de las operaciones y servicios de la empresa. Considerando los aspectos señalados anteriormente, la Superintendencia puede requerir a las empresas la creación de un comité de riesgos de modelo en caso lo considere necesario.

10.2. En caso la empresa cuente con un comité de riesgos de modelo, este debe estar conformado por al menos un miembro del Directorio, el jefe de la unidad de riesgos y los funcionarios responsables del desarrollo, validación y seguimiento de los modelos. Quien lo presida no debe presidir ningún otro comité con el que presente conflicto de intereses y debe tener la experiencia y los conocimientos necesarios para cumplir adecuadamente sus funciones.

10.3. En tanto la empresa no disponga de un comité de riesgos de modelo, sus responsabilidades deben ser asumidas por el comité de riesgos.

10.4. El comité de riesgos de modelo o quien haga sus veces debe reunirse por lo menos trimestralmente, y todos los acuerdos que se tomen deben constar en actas, las cuales se encontrarán a disposición de esta Superintendencia. Dicha frecuencia podría ser mayor considerando el tamaño, naturaleza y la complejidad de las operaciones y servicios de la empresa.

Artículo 11°.- Responsabilidades del comité de riesgos de modelo

11.1. El comité de riesgos de modelo o quien haga sus veces asume las siguientes funciones:

I. Proponer al Directorio, para su aprobación, las políticas para el desarrollo, validación, implementación, uso y seguimiento de modelos; así como los procedimientos que aseguren la calidad de los datos.

II. Aprobar la contratación de proveedores para el desarrollo, validación e implementación de los modelos, de ser el caso.

III. Aprobar los criterios y umbrales de los indicadores de calidad de los modelos.

IV. Aprobar la periodicidad del seguimiento y validación periódica de los modelos.

V. Aprobar el propósito, uso y categorización de los modelos; y elevar al Directorio para conocimiento.

VI. Aprobar los informes de la validación y seguimiento de los modelos, y elevar al Directorio para conocimiento.

VII. Aprobar la toma de acciones ante debilidades identificadas en los modelos y monitorear su ejecución.

VIII. Aprobar el cronograma de actividades al que hace referencia el literal c) del párrafo 8.1 del artículo 8° del presente Reglamento y las modificaciones a dicho cronograma, en caso correspondan.

IX. Proponer mejoras para la gestión de riesgos de modelo.

11.2. Cualquier excepción para el uso de modelos categorizados en los niveles distintos a los de riesgos más altos, que presenten debilidades relevantes en su desarrollo, debe ser aprobada por el comité de riesgos de modelo o quien haga sus veces, tomando conocimiento explícito de los riesgos inherentes al uso de dichos modelos.

Artículo 12°.- Funciones especializadas en la gestión de riesgos de modelo

12.1. Las empresas deben contar con funcionarios especializados en la gestión de riesgos de modelo, de acuerdo con la naturaleza, tamaño y complejidad de sus operaciones y servicios. En caso la empresa no cuente con unidades especializadas, las funciones serán asumidas por equipos de la unidad de riesgos. En caso todas las funciones sean asumidas por la unidad de riesgos la empresa debe estar en la capacidad de demostrar la independencia requerida entre los funcionarios.

12.2. Los funcionarios encargados del desarrollo de modelos no deben presentar conflictos de intereses y deben ser independientes de las unidades de negocios, de las unidades de inversiones u otras unidades que formen parte del proceso de evaluación y originación de operaciones. Dichos funcionarios son responsables de documentar e implementar las recomendaciones que se deriven de los procesos de validación del desarrollo y seguimiento de modelos.

12.3. Los funcionarios responsables de la validación de los modelos deben ser independientes de los funcionarios responsables del desarrollo, así como de aquellos que hacen uso de los resultados de los modelos, y de los encargados de la implementación del modelo.

12.4. Los funcionarios responsables de la implementación y uso de los modelos deben proveer de retroalimentación a los demás involucrados en la gestión de riesgos de modelo.

12.5. La Superintendencia puede requerir a las empresas la creación de unidades especializadas para la gestión de riesgos de modelo.

Artículo 13°.- Funcionarios y profesionales idóneos

13.1. Los funcionarios y profesionales involucrados en la gestión de riesgos de modelo deben tener adecuada formación, conocimiento y experiencia en temas relacionados con el tipo de uso y los riesgos gestionados por los modelos. La gerencia general debe velar por la capacitación permanente de estos funcionarios y profesionales.

13.2. Los funcionarios responsables de la validación y del seguimiento de los modelos deben tener por lo menos el mismo nivel organizacional que el responsable del desarrollo de los modelos.

Artículo 14°.- Manuales

14.1. Las empresas deben contar con manuales relacionados con la gestión de riesgos de modelo, que comprendan, al menos:

a) Políticas para el desarrollo, validación, implementación, uso y seguimiento de los modelos, incluyendo las medidas o acciones a implementar en función de los resultados de los indicadores de calidad de los modelos.

b) Lineamientos para la categorización de los modelos.

c) Procedimientos para asegurar la calidad de los datos.

d) Políticas y procedimientos para la contratación de proveedores, de acuerdo con lo señalado en el Reglamento para la Gestión del Riesgo Operacional.

14.2. Los manuales deben revisarse periódicamente, según las políticas y procedimientos que defina el Directorio; y deben encontrarse a disposición de la Superintendencia.

Artículo 15°.- Documentación de sustento

15.1. La documentación de sustento comprende, como mínimo, los documentos relacionados con el desarrollo, implementación, y los informes de validación y seguimiento del modelo según lo requerido en los artículos 16°, 18°, 20° y 22° del presente Reglamento; así como actas de comités, bases de datos, diccionarios de datos, códigos de programación y los informes que evidencien el aseguramiento de la calidad de los datos.

15.2. Las empresas deben actualizar y almacenar la documentación de sustento de los modelos. Asimismo, las empresas deben mantener un historial de las modificaciones efectuadas en los modelos, detallando el número de versión y la fecha de actualización del modelo. La documentación de sustento debe encontrarse a disposición de la Superintendencia.

CAPÍTULO III

DESARROLLO, APROBACIÓN,

IMPLEMENTACIÓN Y USO DE MODELOS

Artículo 16°.- Desarrollo de modelos

16.1. Las empresas, por lo menos, deben:

a) Definir el propósito e identificar los supuestos y limitaciones del modelo.

b) Asegurar la calidad de los datos y, en los casos que aplique, considerar que el modelo sea construido con datos que representen y que sean comparables a la población a la que se aplicará el modelo.

c) Asegurar que las variables seleccionadas presenten relaciones coherentes a fin de que capturen los factores de riesgo relevantes y sus interrelaciones, reflejen el propósito del modelo y consistencia con el uso, y presenten adecuados indicadores de calidad a nivel de cada variable.

d) Asegurar que los modelos presenten adecuados indicadores de calidad a nivel de modelo y sean coherentes con el apetito por el riesgo de la empresa a fin de que el desempeño del modelo sea el esperado.

e) Realizar análisis de sensibilidad al modelo y/o evaluaciones de comparación de resultados usando modelos alternativos (benchmark), en caso aplique. Los análisis de sensibilidad pueden considerar estrés de variables y/o variación de supuestos, entre otros, a fin de identificar situaciones en las que el modelo generaría información poco confiable.

16.2. En modelos construidos utilizando técnicas de inteligencia artificial, las empresas deben, por lo menos, realizar pruebas u otros análisis que permitan evaluar la interpretabilidad del modelo (entender el proceso de toma de decisiones y resultados del modelo), realizar la optimización de hiperparámetros como parte del proceso de aprendizaje del modelo; y realizar validaciones cruzadas u otras técnicas de similar impacto para evitar problemas de sobreajuste del modelo.

Artículo 17°.- Aprobación de modelos

17.1. Todo modelo nuevo, modificado o cuyo uso haya cambiado requiere la aprobación del comité de riesgos de modelo o quien haga sus veces, de manera previa a su uso. Se considera que el modelo ha sido modificado si se han cambiado sus variables, supuestos y/o parámetros. Las modificaciones antes señaladas, así como cambios en el uso del modelo, deben ser sustentados.

17.2. Para aprobar el propósito y uso del modelo, el comité de riesgos de modelo o quien haga sus veces debe considerar previamente, por lo menos, la categorización, los resultados de la validación del desarrollo de modelo, los supuestos utilizados para el desarrollo del modelo, así como las limitaciones del modelo y el apetito por el riesgo de la empresa.

17.3. El acta de aprobación del modelo debe indicar, por lo menos, el propósito, uso específico, y categorización del modelo.

Artículo 18°.- Implementación de modelos

Para una adecuada implementación del modelo, las empresas deben asegurar que:

a) Se han identificado las situaciones en las que el modelo podría brindar resultados erróneos, así como circunstancias o limitaciones que podrían impedir su adecuado funcionamiento.

b) El nivel de automatización y soporte informático sean acordes con el alcance y uso del modelo.

c) Los accesos a los sistemas corresponden con el perfil asignado a los funcionarios encargados del desarrollo, validación, implementación, uso y seguimiento del modelo.

d) Las unidades que utilizan el modelo cuenten con acceso y disponibilidad oportuna a los resultados del modelo, y que estos sean presentados de forma clara y comprensible.

Artículo 19°.- Uso de modelos

19.1. Las empresas deben asegurar que el uso de los modelos sea consistente con el propósito y los criterios con los que fueron desarrollados, aprobados e implementados.

19.2. Las empresas deben realizar actividades de capacitación respecto al uso de los modelos y asegurar que los funcionarios que utilizan el modelo entienden sus resultados, considerando la razonabilidad y/o materialidad de los forzajes y excepciones, según el riesgo gestionado.

CAPÍTULO IV

VALIDACIÓN DE MODELOS

Artículo 20°.- Validación de modelos

20.1. La validación de modelos incluye la validación inicial y la validación periódica.

20.2. La validación inicial debe ser realizada de manera previa a la aprobación del uso del modelo. Todo modelo que haya sido modificado, de acuerdo con lo señalado en el artículo 17° del presente Reglamento, requiere, de manera previa a su aprobación e implementación, una nueva validación. La validación inicial incluye la validación del desarrollo y de la implementación.

20.2.1 Como parte del proceso de validación del desarrollo de modelos, las empresas deben:

a) Verificar los documentos de sustento señalados en el artículo 15° del presente Reglamento.

b) Evaluar si el diseño del modelo, el proceso de selección de variables y los criterios de juicio experto son consistentes con el marco teórico, prácticas de la industria, el propósito del modelo y la política de riesgos de la empresa.

c) Verificar que la calidad de los datos utilizados cumpla con los requisitos mínimos previamente establecidos por la empresa y, en los casos que aplique, evaluar que el modelo haya sido construido con una muestra representativa de la población sobre la que se aplicará el modelo.

d) Verificar que las variables seleccionadas presenten relaciones coherentes, reflejen el propósito del modelo y presenten adecuados indicadores de calidad a nivel de variable.

e) Verificar que los modelos registren adecuados indicadores de calidad.

f) Realizar análisis de sensibilidad a los modelos, estresando variables y/o supuestos, entre otros, o aplicando el modelo a diferentes poblaciones para identificar los cambios en los resultados del modelo.

g) Comparar los resultados de los modelos con los resultados de un modelo benchmark.

h) Evaluar la metodología de las pruebas retrospectivas (backtesting) realizadas a los modelos.

i) Evaluar la selección de hiperparámetros u otros factores y comparar con valores alternativos, en el caso de modelos construidos utilizando técnicas de inteligencia artificial.

La aplicación de los literales señalados anteriormente depende de la categoría asignada al modelo, del tipo de modelo y del riesgo gestionado con dicho modelo.

Tratándose de modelos categorizados en los niveles de riesgo más altos, el proceso de validación debe incluir la réplica completa del modelo.

20.2.2 La validación de la implementación del modelo debe realizarse de manera previa al uso del modelo. Esta debe considerar pruebas que evidencien el adecuado funcionamiento del motor de cálculo y del soporte informático, así como la verificación del cumplimiento de lo señalado en el artículo 18° del presente Reglamento.

20.3. Las empresas deben realizar validaciones periódicas de los modelos; la profundidad y frecuencia de dichas validaciones se encontrarán en función de la categorización del modelo. Dichas validaciones deben incluir la validación del uso (verificar que el modelo esté siendo usado de acuerdo con lo aprobado), la revisión de la categoría de riesgo asignada al modelo, entre otros aspectos que la empresa considere necesarios. Asimismo, deben incluir la evaluación de la razonabilidad de los forzajes (overrides) y su relevancia en los resultados de los modelos, en caso aplique.

20.4. Las empresas deben priorizar las debilidades que se identifiquen en la validación considerando su importancia en los resultados del modelo, establecer la toma de acciones, así como los plazos de subsanación de las debilidades.

20.5. Los informes de validación deben presentarse al comité de riesgos de modelo, o quien haga sus veces, para su aprobación.

CAPÍTULO V

SEGUIMIENTO DE MODELOS

Artículo 21°.- Seguimiento de modelos

21.1. Las empresas deben establecer indicadores de calidad del modelo, cualitativos y/o cuantitativos, y umbrales sobre estos indicadores para determinar si los modelos presentan niveles aceptables en dichos indicadores. Los indicadores de calidad y sus umbrales deben ser establecidos de acuerdo con el marco teórico, buenas prácticas y políticas de gestión de riesgos de las empresas, el apetito por el riesgo y los tipos de uso del modelo en la gestión de riesgos.

21.2. Las empresas deben establecer procedimientos y alertas, sobre la base de los indicadores de calidad, para la identificación oportuna de un incremento en los riesgos de modelo con el fin de tomar acciones.

21.3. Las empresas deben elaborar periódicamente informes de seguimiento de modelos, los cuales deben ser presentados al comité de riesgos de modelo, o quien haga sus veces, para su aprobación. La frecuencia de estos informes, que debe ser por lo menos anual, depende de la categorización de los modelos.

Artículo 22°.- Informes de seguimiento

22.1. Los informes de seguimiento deben contener:

a) El seguimiento de los indicadores de calidad de los modelos y sus desviaciones respecto a los umbrales previamente definidos y a los niveles obtenidos en la etapa de desarrollo.

b) El seguimiento de las variables y factores de riesgo que puedan tener impacto en los resultados del modelo.

c) El seguimiento de la validez de los supuestos empleados en el modelo.

d) Los resultados de las pruebas retrospectivas (backtesting) realizadas a los modelos, de acuerdo con los riesgos que se gestionen a través de estos.

e) La actualización de los análisis de sensibilidad a los modelos, para monitorear si los indicadores de calidad del modelo se ven afectados.

f) El seguimiento de los forzajes (overrides), explicando las razones por las que se recurrieron a estos, y registrando el número de forzajes efectuados respecto del total de casos evaluados con el modelo.

g) Las propuestas de acciones necesarias, incluyendo la modificación o limitación del uso del modelo, entre otras.

h) El seguimiento de la implementación de las acciones tomadas ante debilidades identificadas en los modelos, incluyendo las recomendaciones de la Superintendencia y la Unidad de Auditoría Interna.

i) Las evaluaciones de impacto de factores externos o situaciones de crisis que puedan afectar el desempeño de los modelos, señalando propuestas de acciones o estrategias a fin de mitigar dicho impacto.

j) La evaluación del nivel del sobreajuste en modelos construidos utilizando técnicas de inteligencia artificial.

22.2. La aplicación de los literales antes señalados debe ser consistente con la categoría asignada al modelo, el tipo de modelo evaluado y el riesgo gestionado con dicho modelo.

CAPÍTULO VI

SERVICIOS PROVISTOS POR TERCEROS EN LA GESTIÓN DE RIESGOS DE MODELO

Artículo 23°.- Procesos realizados por proveedores

23.1. Los procesos de desarrollo y validación, así como el de implementación en soporte informático, pueden ser realizados por proveedores, mientras que el seguimiento de modelos debe ser realizado por la empresa.

23.2. Los casos en los que un tercero provea a la empresa solo la información de los resultados de modelos y/o remita periódicamente los resultados para una muestra específica, tales como niveles de score, ingresos, entre otros, el servicio provisto en tales casos también corresponde a una contratación de proveedores.

Artículo 24°.- Responsabilidad de la empresa en la contratación de proveedores de modelos

24.1. Las empresas asumen plena responsabilidad del uso de modelos desarrollados, validados y/o implementados por proveedores, así como del riesgo de modelo asociado.

24.2. Para tal efecto, el proceso de selección del proveedor y la gestión de los riesgos operacionales asociados a su contratación deben realizarse según las políticas y procedimientos establecidos por la empresa para tal fin, en cumplimiento de lo dispuesto en el Reglamento para la Gestión del Riesgo Operacional y en el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

24.3. En caso el modelo desarrollado por un tercero sea identificado como un servicio priorizado, en cumplimiento del Reglamento para la Gestión de la Continuidad del Negocio, se debe contar con una estrategia que asegure la continuidad del uso del modelo. Dicha estrategia debería prever, entre otros aspectos, las acciones que, de ser necesario, permitan la migración del modelo a la empresa o a otro proveedor.

Artículo 25°.- Alcance del Reglamento en modelos desarrollados por proveedores

25.1. En el caso de modelos de proveedores (se incluyen modelos de la casa matriz), que no son desarrollados específicamente para la empresa, las empresas deben tener conocimiento, por lo menos, de los siguientes aspectos del desarrollo del modelo: i) diseño del modelo, población y objetivo para los cuales fue elaborado el modelo, ii) fuentes de información empleadas, iii) limitaciones y potenciales riesgos del uso del modelo, iv) supuestos asociados e v) indicadores de calidad del desarrollo; y deben evaluar que estos aspectos sean consistentes con las políticas de gestión de riesgos de la empresa. Las empresas deben evaluar la aplicación del modelo a sus productos o a su población objetivo y determinar si el modelo es apropiado para el uso de la empresa.

25.2. En el caso de modelos desarrollados específicamente para la empresa, se debe cumplir con los lineamientos del presente Reglamento, aunque algunos procesos y/o requerimientos del referido Reglamento pueden ser modificados dependiendo de las limitaciones relacionadas con componentes que sean considerados parte de la propiedad intelectual de los proveedores.

25.3. Para la validación de los modelos desarrollados por proveedores que se encuentren categorizados en los niveles de riesgo más altos, se debe realizar la réplica completa como parte de la validación del modelo, de manera previa a su aprobación. En caso no se pueda realizar dicha réplica debido a limitantes en el acceso a la información del modelo por temas de propiedad intelectual del proveedor, las empresas deben evidenciar dicha limitante y emplear técnicas alternativas como benchmarking u otros.

25.4. Las empresas deben estar en la capacidad de realizar el seguimiento de los modelos aplicados sobre su portafolio, aun cuando el desarrollo y/o la validación sean realizados por proveedores.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- Relación con otros reglamentos

En lo que corresponda, aplican los criterios señalados en el Reglamento de Gestión de Riesgo de Crédito, LA/FT, Liquidez, Mercado, Operacional y de Inversiones de Seguros. Asimismo, en lo que corresponda a la infraestructura de tecnología de información, arquitectura de aplicaciones y datos, y gestión de datos, aplican los criterios señalados en el formato (secciones del 305 al 321 del “Informe de Cumplimiento”) publicado por la Superintendencia en el Portal del Supervisado, el cual es empleado para enviar el informe requerido en el artículo 60° del Reglamento para el Requerimiento de Patrimonio Efectivo por Riesgo de Crédito, para los Métodos basados en calificaciones internas (IRB).

Segunda.- Modelos Internos para requerimientos patrimoniales de empresas del sistema financiero

Las empresas del sistema financiero que postulen a modelos internos para requerimientos patrimoniales por riesgo de crédito o de mercado, deben cumplir con lo señalado en el presente Reglamento, además de lo establecido en los Reglamentos para el Requerimiento de Patrimonio Efectivo correspondientes.

Tercera.- Modelos para la gestión de los riesgos de lavado de activos y del financiamiento del terrorismo

El literal a) del artículo 2° y el empleo de estas definiciones en los artículos 16°, 17° y 21° del presente Reglamento, no aplican a los modelos que gestionen los riesgos de lavado de activos y del financiamiento del terrorismo.

Cuarta.- Requerimientos adicionales de la Superintendencia

La Superintendencia, en caso lo considere necesario, puede requerir a las empresas estudios externos, que pueden ser elaborados por consultores especializados, para evaluar el cumplimiento parcial o total de los aspectos contemplados en el presente Reglamento.

Artículo Segundo.- Modificar el Reglamento de Auditoría Interna, aprobado por la Resolución SBS N° 11699-2008 y sus normas modificatorias, de conformidad con el siguiente texto:

1. Incorporar el numeral 22) en la Sección I del Anexo “Actividades Programadas”, conforme al siguiente texto:

“I. EMPRESAS SEÑALADAS EN LOS LITERALES A, B Y C DEL ARTÍCULO 16° DE LA LEY GENERAL (EXCEPTO LAS EMPRESAS AFIANZADORAS Y DE GARANTÍAS), BANCO DE LA NACIÓN, BANCO AGROPECUARIO, FONDO MIVIVIENDA Y CORPORACIÓN FINANCIERA DE DESARROLLO (COFIDE):

(…)

22) Evaluación del cumplimiento de las disposiciones señaladas en el Reglamento de la Gestión de Riesgos de Modelo, en caso el citado reglamento resulte aplicable.”

2. Modificar el numeral 1) en la sección II del Anexo “Actividades Programadas”, conforme al siguiente texto:

“II. EMPRESAS DE SEGUROS Y/O DE REASEGUROS:

1) Evaluación de la gestión de los riesgos distintos a los riesgos técnicos de seguros, que incluyen riesgo operacional, de mercado, de crédito, de modelo, entre otros; así como, evaluación del cumplimiento de los procedimientos utilizados para la identificación, medición, control y reporte de dichos riesgos”

Artículo Tercero.- La presente Resolución entra en vigencia al día siguiente de su publicación en el Diario Oficial El Peruano. Las empresas deben remitir por primera vez el Reporte “Inventario de Modelos” como máximo el 30 de noviembre de 2023. Los envíos posteriores del Reporte “Inventario de Modelos” se realizarán dentro de los treinta y un (31) días calendario posteriores al cierre del primer semestre de cada año.

Artículo Cuarto.- Las empresas contarán con un plazo de adecuación hasta el 31 de diciembre de 2023, para cumplir con las disposiciones contempladas en los Capítulos I y II del Título II del Reglamento aprobado en el artículo primero de la presente Resolución.

Artículo Quinto.- Para los modelos utilizados en la gestión de riesgo de crédito, liquidez y mercado, la aplicación de los Capítulos IIl, IV, V y VI del Título II del Reglamento aprobado en el artículo primero de la presente Resolución, se realizará de forma gradual de acuerdo con la siguiente tabla:

Para los modelos utilizados en la gestión de riesgo operacional, y de riesgo de lavado de activos y de financiamiento del terrorismo, los Capítulos IIl, IV, V y VI del Título II del Reglamento aprobado por el artículo primero de la presente Resolución aplicarán a partir del 30 de noviembre del 2025.

Artículo Sexto.- A fin de cumplir con lo dispuesto en los artículos tercero, cuarto y quinto de la presente Resolución, las empresas deben remitir a la Superintendencia un plan de acción hasta el 31 de marzo de 2023. El plan debe ser aprobado por el Directorio, y debe contener las acciones previstas y el cronograma, para la total adecuación, y los funcionarios responsables del cumplimiento de dicho plan.

Regístrese, comuníquese y publíquese.

MARIA DEL SOCORRO HEYSEN ZEGARRA

Superintendenta de Banca, Seguros y AFP

ANEXO A

INVENTARIO DE MODELOS

Mes/Año

Empresa:………………………………………

NOTAS METODOLÓGICAS DEL “INVENTARIO DE MODELOS”

Las presentes notas metodológicas proporcionan el detalle de los campos que las empresas deben incluir con relación a todos los modelos que emplean en la gestión de los riesgos comprendidos en el artículo 4 del Reglamento de Gestión de Riesgos de Modelo.

Disposiciones generales:

a. El presente inventario debe comprender el detalle de todos los modelos en uso por la empresa en la gestión de los riesgos comprendidos en el artículo 4 del Reglamento de Gestión de Riesgos de Modelo.

b. Incluir una fila considerando el tipo de modelo y tipo de uso.

Aspectos generales del modelo

1. Nombre. Indicar el nombre del modelo. Los modelos que presentan parámetros o coeficientes estimados distintos serán considerados como modelos diferentes, aun cuando estos tengan las mismas variables explicativas.

2. Categorización. Indicar la categoría asignada al modelo.

3. Contratación de proveedor: Indicar si el modelo es:

1. Provisto por un tercero – significativo

2. Provisto por un tercero – no significativo

3. Desarrollado por la propia empresa

4. Riesgos gestionados con los modelos. Indicar: RC, RM, RL, RO o RLA/FT, si el modelo es utilizado en la gestión de riesgos de crédito, de mercado, de liquidez, operacional o de lavado de activos y del financiamiento del terrorismo, respectivamente.

5. Tipo de modelo. A continuación, se señalan los principales tipos de modelo por cada riesgo gestionado comprendido en el artículo 4 del Reglamento de Gestión de Riesgos de Modelo:

a. Riesgos de Crédito: modelos de calificación (1. scoring y 2. rating), 3. de estimación de ingresos, 4. relacionados con las pruebas de estrés de riesgo de crédito, 5. de pricing de operaciones, 6. de tasaciones de garantías, 7. de optimización de ofertas de crédito o de líneas de crédito, 8. modelos de cobranza, 9. modelos de recuperaciones, 10. otros modelos utilizados en la gestión de riesgo de crédito (modelos de sobre endeudamiento, riesgo cambiario crediticio, riesgo país, otros).

b. Riesgos de mercado: 1. Valor en Riesgo (VaR) y Valor en Riesgo estresado (SVaR), 2. Valor en Riesgo Condicional (CVaR) y sus variantes, 3. modelos factoriales de portafolios de inversiones, 4. modelos de medición del riesgo de tasa de interés estructural basados en valor económico y ganancias en riesgo, 5. modelos de estrés de riesgos de mercado, 6. modelos de valorización de instrumentos financieros ilíquidos sin precio de mercado, en función de la aplicación del último párrafo del artículo 4 del presente Reglamento, 7. modelos de valorización de instrumentos derivados, en función de la aplicación del último párrafo del artículo 4 del presente Reglamento, 8. otros modelos utilizados en la gestión de riesgo de mercado.

c. Riesgo de liquidez: 1. modelos de estrés de riesgos de liquidez, 2. Liquidity at Risk (LaR), 3. modelos de distribución para partidas sin vencimiento contractual, 4. otros modelos utilizados en la gestión de riesgo de liquidez.

d. Riesgo operacional: 1. modelos para la estimación del nivel de exposición al riesgo operacional, que cuentan con niveles de confianza y especificaciones estadísticas, 2. modelos para detección de fraudes, y 3. otros modelos utilizados para la gestión del riesgo operacional.

e. Riesgos de lavado de activos y del financiamiento del terrorismo: 1. modelos de calificación de riesgos de LA/FT para clientes (scoring), 2. modelos para la estimación del nivel de exposición a los riesgos de LA/FT, 3. otros modelos utilizados en la gestión de riesgos de LA/FT.

6. Productos. Indicar los productos a los que se aplica el modelo utilizando el “Tipo de producto Nivel 2” establecido en el Anexo N°1 “Taxonomía” del Manual de Usuario” Informe de gestión de riesgo operacional”.

7. Tipos de uso. Indicar los procesos en los que se utilizan los resultados del modelo. Listar los procedimientos 1. aprobación de productos, 2. campañas de créditos, 3. valorización de instrumentos, 4. identificación de sobre endeudamiento, 5. seguimiento individual de crédito, 6. seguimiento de calidad crediticia de contraparte, 7. establecimiento de umbrales de apetito por el riesgo, 8. cobranzas, 9. Recuperaciones, 10. estimación de provisiones, 11. pricing de productos, 12. gestión de activos y pasivos, 13. gestión de portafolio de inversiones, 14. parámetros de riesgo, 15. parámetros de capital, 16. IFRS9, 17. gestión de riesgos de LA/FT, 18. gestión de riesgo operacional, 19. otros.

8. Exposición asociada Indicar la exposición asociada, es decir, el monto estimado de las exposiciones que se gestionen con el modelo a la fecha de corte de la presentación del “Inventario de Modelos”.

9. Tipo de exposición asociada. Indicar si el monto de la exposición asociada, en soles, se encuentra expresada como: 1. saldo de colocaciones, 2. monto de línea de crédito no utilizada, 3. saldo de depósitos, 4. valor de mercado (incluyendo estimados), 5. valor contable de activos, 6. valor contable de pasivos, 7. valor contable de activos sensibles a tasa de interés, 8. valor contable de pasivos sensibles a tasa de interés, 9. no aplica y 10. otros.

Metodología del modelo

En caso se utilicen modelos agregados que anidan modelos individuales o módulos, se debe presentar la información por cada modelo individual.

10. Especificación. Indicar el tipo de especificación: logit, árboles de clasificación, regresión lineal, redes neuronales, boosting, entre otros.

11. Variable dependiente. Indicar la definición de la variable dependiente del modelo o el resultado que se quiere obtener con el modelo.

2141173-1