Aprueban el Reglamento de Gestión Integral de Riesgos

Resolución SMV

Nº 001-2023-SMV/01

Lima, 17 de enero de 2023

VISTOS:

El Expediente N° 2022029175, los Informes Conjuntos N° 1106-2022-SMV/06/12/13 y N° 26-2023-SMV/06/12/13 del 22 de agosto de 2022 y del 5 de enero de 2023, respectivamente, ambos emitidos por la Oficina de Asesoría Jurídica, la Superintendencia Adjunta de Investigación, Desarrollo e Innovación y la Superintendencia Adjunta de Riesgos; así como, el proyecto de Reglamento de Gestión Integral de Riesgos (en adelante, el Proyecto);

CONSIDERANDO:

Que, conforme a lo dispuesto en el literal a) del artículo 1 del Texto Único Concordado de la Ley Orgánica de la Superintendencia del Mercado de Valores - SMV, aprobado mediante Decreto Ley N° 26126 y modificado por la Ley de Fortalecimiento de la Supervisión del Mercado de Valores, Ley N° 29782 (en adelante, Ley Orgánica), la Superintendencia del Mercado de Valores - SMV está facultada para dictar las normas legales que regulen materias del mercado de valores;

Que, de acuerdo con el literal b) del artículo 5 de la Ley Orgánica, el Directorio de la SMV tiene por atribución aprobar la normativa del mercado de valores, así como a la que deben sujetarse las personas naturales y jurídicas sometidas a su supervisión;

Que, el artículo 8° de la Ley de Promoción del Mercado de Valores, que incorpora el artículo 16-B a la Ley del Mercado de Valores, establece que las personas jurídicas autorizadas por la SMV deberán constituir un Sistema de Administración de Riesgos;

Que, es objetivo de la SMV propender a que las empresas supervisadas cuenten con una gestión integral de riesgos de acuerdo a su tamaño, volumen de transacciones y complejidad de las operaciones que la entidad realiza;

Que, dicha gestión integral de riesgos debe estar diseñada para contar con un ambiente interno apropiado, debe incluir la identificación, evaluación, tratamiento, monitoreo e información y comunicación de los riesgos, así como elaborar los reportes pertinentes de los riesgos que enfrentan las entidades;

Que, el 20 de diciembre de 2015, se publicó en el Diario Oficial El Peruano el Reglamento de Gestión Integral de Riesgos aprobado mediante Resolución SMV N° 037-2015-SMV/01, el cual establece los criterios mínimos para que las Entidades a las que la SMV otorga autorización de funcionamiento desarrollen de manera adecuada su gestión integral de riesgos, considerando el tamaño, volumen de transacciones y complejidad de sus operaciones;

Que, desde la emisión del citado reglamento, se han realizado supervisiones y atendido consultas que han permitido contextualizar la aplicación de esta norma dentro de la gestión de riesgos de las Entidades. Asimismo, desde la fecha de expedición de dicho reglamento se han emitido y actualizado diversos estándares y/o normas internacionales que analizan desde la perspectiva teórica y práctica lo relacionado a la gestión de riesgos. Es por ello, que resulta necesario aprobar un nuevo Reglamento de Gestión Integral de Riesgos;

Que, según lo dispuesto en la Resolución SMV N° 016-2022-SMV/01, publicada el 25 de agosto de 2022 en el Diario Oficial El Peruano, el Proyecto fue sometido a consulta ciudadana, a través del Portal de la Superintendencia del Mercado de Valores (https://www.smv.gob.pe) por espacio de veinte (20) días calendario, a fin de que las personas interesadas formulen comentarios y sugerencias sobre las propuestas; y,

Que, mediante Resolución SMV N° 020-2022-SMV/01, publicada el 11 de septiembre de 2022 en el Diario Oficial El Peruano, se amplió el plazo establecido para la referida consulta hasta el día 10 de octubre de 2022;

Que, el 18 de noviembre de 2022 la Comisión Multisectorial de Calidad Regulatoria declaró que no es obligatorio para la SMV realizar el AIR ex ante por la entidad para la aprobación del presente proyecto normativo, de conformidad con lo señalado en el Reglamento que desarrolla el Marco Institucional que rige el Proceso de Mejora de la Calidad Regulatoria y establece los Lineamientos Generales para la aplicación del Análisis de Impacto Regulatorio Ex Ante, aprobado por Decreto Supremo Nº 063-2021-PCM; y,

Estando a lo dispuesto por el literal a) del artículo 1 y el literal b) del artículo 5 de la Ley Orgánica, el artículo 7 y 16-B de la LMV y el numeral 2 del artículo 9 del Reglamento de Organización y Funciones de la Superintendencia del Mercado de Valores (SMV), aprobado por Decreto Supremo Nº 216-2011-EF, así como a lo acordado por el Directorio de la SMV en su sesión del 16 de enero de 2023;

SE RESUELVE:

Artículo 1°.- Aprobar el Reglamento de Gestión Integral de Riesgos que consta de diecinueve (19) artículos, dos (2) disposiciones complementarias finales y dos (2) disposiciones complementarias transitorias, de acuerdo con el siguiente texto:

“REGLAMENTO DE GESTIÓN INTEGRAL DE RIESGOS

TÍTULO I

DISPOSICIONES GENERALES

Artículo 1.- ÁMBITO DE APLICACIÓN

Las disposiciones del presente reglamento son aplicables a aquellas Entidades a las que la SMV otorga autorización de funcionamiento, quienes deben contar con un sistema de gestión integral de riesgos.

Las presentes disposiciones no son de aplicación a las Empresas Clasificadoras de Riesgos. Las obligaciones sobre gestión de riesgos aplicables a estas empresas se establecen en sus respectivos reglamentos.

Artículo 2.- DEFINICIONES Y/O REFERENCIAS

Para la aplicación del presente reglamento deben considerarse las siguientes definiciones:

a) Apetito por el riesgo: El nivel de riesgo que una entidad está dispuesta a asumir para alcanzar sus objetivos, dentro de su capacidad de riesgo.

b) Capacidad de riesgo: El nivel máximo de riesgo que puede asumir una entidad dados sus recursos actuales, los objetivos de la entidad y sus obligaciones contractuales, sin incurrir en incumplimientos regulatorios.

c) Comité GIR: Comité de Gestión de Riesgos.

d) Días: Días hábiles.

e) Entidad: Persona jurídica con autorización de funcionamiento otorgada por la SMV.

f) Evento: Uno o varios sucesos que pueden ser internos o externos a la Entidad, originados por una misma causa, que ocurren durante el mismo periodo de tiempo.

g) Límites de riesgo: es el nivel máximo de riesgo, en función al apetito, expresado preferentemente en medidas cuantitativas por líneas de negocio, tipos de riesgo, concentraciones, u otros apropiados a la complejidad de las operaciones y servicios de la entidad y el sector al que pertenece.

h) Manual GIR: Manual o manuales de Gestión Integral de Riesgos.

i) Operaciones: Son aquellas que la Entidad puede realizar conforme a su autorización de funcionamiento otorgada por la SMV.

j) Proceso: Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un resultado esperado.

k) Riesgo: Efecto de la incertidumbre sobre los objetivos.

l) Riesgo inherente: Nivel de riesgo propio de la actividad de la entidad, sin tener en cuenta el efecto del tratamiento al riesgo realizado por la entidad.

m) Riesgo residual o neto: Nivel resultante de riesgo después del tratamiento al riesgo realizado por la entidad sobre el riesgo inherente.

n) Marco de apetito por el riesgo.- Conjunto de políticas, procesos, procedimientos, metodologías, controles y umbrales y/o límites a partir del cual la Entidad: (i) identifica los riesgos a los que está expuesta, (ii) evalúa si dichos riesgos se asumen, mitigan, evitan o transfieren, y (iii) monitorea y controla que dichos riesgos se encuentren dentro de los umbrales y/o límites definidos y aprobados por el Directorio, así como los roles y responsabilidades mediante los cuales el apetito por el riesgo es establecido, comunicado y vigilado.

o) SMV: Superintendencia del Mercado de Valores.

p) SAR: Superintendencia Adjunta de Riesgos.

En adelante, los términos antes mencionados pueden emplearse en forma singular o plural, sin que ello implique un cambio en su significado. Salvo mención en contrario, la referencia a artículos determinados debe entenderse efectuada a los correspondientes del presente reglamento.

Artículo 3.- FINALIDAD

El presente reglamento establece lineamientos, criterios y parámetros generales mínimos que la Entidad debe observar en el diseño, desarrollo y aplicación de su gestión integral de riesgos, la cual debe incluir la identificación, evaluación, tratamiento, información y comunicación, y monitoreo de los riesgos a los que están expuestos según el tamaño, volumen de transacciones y complejidad de las operaciones que realizan.

Artículo 4.- LINEAMIENTOS DE CONDUCTA

De acuerdo a los tipos de riesgos a los que la Entidad se encuentre expuesta, ésta debe establecer los lineamientos de conducta para un adecuado funcionamiento de la gestión de riesgos, promover la cultura de riesgo y tomar las medidas correctivas y de mejora en caso de incumplimiento. Estos lineamientos de conducta pueden formar parte del código de conducta, normas internas de conducta o documento equivalente exigido por la regulación especial que rija a la Entidad y serán de conocimiento y observancia obligatoria por parte del Directorio u órgano equivalente, órganos de control o administración, representantes autorizados y, en general, por todos los trabajadores de la entidad.

En el caso de grupos económicos o conglomerados financieros que cuenten con lineamientos de conducta para asegurar el adecuado funcionamiento de la gestión integral de riesgos de todas las personas jurídicas que lo integran, pueden aplicar de manera corporativa dichos lineamientos, siempre que éstos reconozcan las especiales características de sus operaciones para cada miembro.

La Entidad puede: (i) establecer mecanismos de incentivos que fomenten una adecuada gestión de riesgos, acordes con una prudente asunción de riesgos, con el marco de apetito al riesgo, los objetivos a largo plazo y los niveles de capital y liquidez de la entidad; (ii) tipificar como faltas o infracciones el incumplimiento de los lineamientos de conducta relacionados a la gestión de riesgos; y/o (iii) determinar un régimen de sanciones o medidas correctivas por la comisión de dichas faltas o infracciones.

En caso de que dichos lineamientos formen parte del código de conducta, normas internas de conducta o documento equivalente exigido por la regulación especial que rija a la Entidad, éstos deben ser remitidos a la SMV según lo establecido por la normativa correspondiente.

TÍTULO II

LA GESTIÓN INTEGRAL DE RIESGOS

Artículo 5.- DEFINICIÓN Y ALCANCE

La gestión integral de riesgos es un proceso efectuado por el Directorio u órgano equivalente, Comités, Gerencia General y el resto de los trabajadores, aplicable al establecimiento de estrategias en toda la Entidad, diseñado para identificar eventos potenciales que puedan afectar a la consecución de estas en la organización, gestionar sus riesgos de acuerdo con su apetito y su capacidad por el riesgo y proporcionar una seguridad razonable para el logro de sus objetivos.

La gestión integral de riesgos comprende a todas las operaciones, procesos y unidades organizativas de la Entidad, a fin de identificar, evaluar, tratar y monitorear sus riesgos.

La Entidad debe diseñar y aplicar una gestión integral de riesgos, según su naturaleza, el tamaño, volumen de transacciones y complejidad de sus operaciones, así como al entorno macroeconómico que afecta a los mercados en los que ésta realiza sus operaciones; para lo cual debe considerar, como mínimo, los elementos descritos a continuación:

a) Ambiente interno.- Comprende la cultura y valores corporativos, la idoneidad técnica y moral de sus funcionarios; la estructura organizacional; y las condiciones para la delegación de facultades y asignación de responsabilidades, entre otros,

b) Establecimiento de objetivos.- Proceso por el que se determinan los objetivos que deben encontrarse de acuerdo con el apetito por riesgo y dentro de su capacidad de riesgos.

c) Identificación de riesgos.- Proceso por el que se identifican los riesgos internos y externos, y que considera, según sea apropiado, los posibles eventos y escenarios asociados.

d) Evaluación de riesgos.- Proceso por el que se evalúa el riesgo de una empresa, operaciones, portafolio, producto o servicio; mediante técnicas cualitativas o cuantitativas o una combinación de ambas.

e) Tratamiento del riesgo.- Proceso por el que se opta por aceptar el riesgo, disminuir la probabilidad de ocurrencia, disminuir el impacto, transferirlo total o parcialmente, evitarlo, o una combinación de las medidas anteriores, de acuerdo con el nivel de apetito y límites de riesgo definidos, adicionalmente comprende asegurar que las medidas de tratamiento del riesgo se cumplan de acuerdo con lo previsto.

f) Información y comunicación.- Proceso por el que se informa al Directorio y a la Gerencia, así como a los grupos de interés según corresponda.

g) Monitoreo y/o revisión.- Proceso que consiste en la evaluación periódica del adecuado funcionamiento de la gestión integral de riesgos.

Artículo 6.- TIPOS DE RIESGOS

Los riesgos pueden surgir por diversas fuentes, internas o externas, y pueden agruparse en diversas categorías o tipos. A continuación se enumera una lista no limitativa de los diversos tipos de riesgos a los que podría estar expuesta la Entidad:

a) Riesgo de Mercado: La posibilidad de pérdidas derivadas de las fluctuaciones de los precios de mercado que incidan sobre la valuación de las posiciones en los instrumentos financieros. Incluye el riesgo de tasa de interés, el riesgo de precio, riesgo cambiario y riesgo de commodities.

b) Riesgo de Liquidez: La posibilidad de pérdidas por la incapacidad para cumplir con las necesidades presentes y futuras de flujos de efectivo afectando la operación diaria o las condiciones financieras de la Entidad por la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a obligaciones, así como por el hecho de que una posición no pueda ser oportunamente enajenada, adquirida o cubierta en la cantidad suficiente y a su precio de mercado o precio razonable.

c) Riesgo de Crédito: La posibilidad de pérdidas por la incapacidad o falta de voluntad de las contrapartes, emisores, deudores o terceros obligados, para cumplir en una fecha determinada con sus obligaciones contractuales, de manera total o parcial, registradas dentro o fuera del estado de situación financiera de la Entidad.

d) Riesgo Operacional: La posibilidad de ocurrencias de pérdidas originadas por procesos inadecuados, errores del personal, fallas tecnológicas o por eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

e) Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, entre otros.

f) Riesgo estratégico: La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.

g) Riesgo de Reputación: La posibilidad de pérdidas por la disminución de la confianza en la integridad, solvencia y viabilidad de la Entidad, que surge cuando el nombre de esta es afectado.

Artículo 7.- MANUAL DE GESTIÓN INTEGRAL DE RIESGOS

El Manual GIR es el documento técnico que desarrolla las políticas, metodologías y procedimientos establecidos por la entidad para la gestión integral de riesgos.

La entidad se encuentra facultada para desarrollar un solo Manual GIR que abarque todos los tipos de riesgos a los que se encuentra expuesta, o un Manual por cada tipo de riesgo.

El Manual GIR o manuales se actualizan cada vez que exista una situación que así lo amerite, a criterio de la entidad. Asimismo, debe ser revisado por ésta, al menos una vez al año.

Este documento o documentos, según sea el caso, deben contener como mínimo, además de los elementos señalados en el artículo 5, los siguientes:

a) Las políticas y/o procedimientos de gestión integral de riesgos acordes con la estrategia de negocios, el tamaño y complejidad de operaciones de la entidad.

b) La estructura organizacional, la identificación de los cargos de las personas responsables de la aplicación de las políticas y procedimientos de la gestión integral de riesgos, y la descripción de las funciones que les correspondan.

c) Límites internos sobre los riesgos residuales más significativos, teniendo en cuenta la capacidad del riesgo de la Entidad.

d) La identificación de los riesgos inherentes, su importancia relativa en relación con los objetivos de la Entidad y la protección de los intereses y activos de los clientes, y los mitigadores asociados, para cada una de las operaciones que desarrolla.

e) Elaboración de los distintos escenarios, incluyendo el más desfavorable, que pueda enfrentar la Entidad en función a todos los riesgos a los que se encuentran expuestas sus operaciones, y su respectivo plan de contingencia.

f) Elaboración de las políticas y/o procedimientos internos que incluyan la forma, periodicidad, el medio y el tipo de información (incluido el contenido mínimo de los reportes y/o informes u otros documentos de revelación de los riesgos) para comunicar al Directorio, Gerencia General u otros grupos de interés, según corresponda, sobre aquellos aspectos relevantes vinculados a la implementación, monitoreo y resultados de la gestión integral de riesgos.

g) Las políticas y/o procedimientos para el seguimiento del plan anual de capacitación para la difusión de la cultura de riesgos.

Artículo 8.- CAPACITACIÓN Y DIFUSIÓN DE LA CULTURA GIR

Las entidades diseñan, programan y coordinan un plan de capacitación para la difusión de la cultura de riesgos en toda la Entidad, así como de temas especializados de acuerdo al tipo de riesgo que corresponda.

El plan anual de capacitación debe contemplar como mínimo una capacitación por año dirigida tanto al Directorio u órgano equivalente de la Entidad, como a los distintos Comités, Gerencias y al resto de los trabajadores, tomando en cuenta sus responsabilidades. La ejecución y el resultado del respectivo plan deben ser remitidos al Directorio para su conocimiento.

Este plan anual contiene los programas de inducción dirigidos a los nuevos trabajadores, referidos a temas especializados de acuerdo al tipo de riesgo que corresponda.

Las capacitaciones que se incluyan en el plan anual, deben ser revisadas y actualizadas anualmente, además de contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichas capacitaciones y el alcance de los objetivos propuestos. Asimismo, estas capacitaciones pueden ser diseñadas y dictadas por miembros de la Entidad que cuenten con los conocimientos suficientes para ello o a través de terceros contratados con este fin.

Las actividades de capacitación y sensibilización deben estar debidamente documentadas.

Artículo 9.- INFORMACIÓN DOCUMENTADA

La gestión integral de riesgos de la Entidad debe incluir la información documentada de los aspectos requeridos en el presente reglamento y toda aquella información que considere pertinente para este tipo de gestión. Asimismo, esta documentación debe estar debidamente protegida y contar con controles para asegurar su disponibilidad y uso apropiado.

Se debe asegurar que los documentos relacionados a esta gestión precisen la versión correspondiente, así como su respectivo control de cambios, además de documentar evidencia de su ejecución y resultados.

Todos los documentos que se describen en el presente reglamento, así como todos aquellos que sustenten la gestión integral de riesgos de la entidad deben estar a disposición de la SMV.

Las Entidades deben conservar la información de que trata el presente reglamento por un plazo no menor de diez (10) años.

Artículo 10.- APROBACIÓN DE INFORME ANUAL DE RIESGOS

La entidad debe aprobar y remitir a la SMV su Informe Anual de Riesgos que contenga los principales aspectos y resultados de la gestión integral de riesgos del ejercicio anterior, a más tardar el día 31 de marzo de cada año. Asimismo, debe remitir a la SMV el acta o documento equivalente en el cual conste el acuerdo del Directorio que contenga la aprobación correspondiente, dentro de los diez (10) días posteriores al 31 de marzo.

Mediante circular u oficio múltiple, el Superintendente Adjunto de Riesgos establece, considerando lo dispuesto en el presente reglamento, la estructura e información mínima a consignar en dicho informe, sin perjuicio de su competencia para requerir adecuaciones al mismo, en caso sea necesario.

El Directorio de la entidad, es responsable del contenido del informe Anual de Riesgos.

CAPÍTULO I

ROL DEL DIRECTORIO Y GERENCIA EN LA GESTIÓN INTEGRAL DE RIESGOS

Artículo 11.- RESPONSABILIDAD DEL DIRECTORIO

El Directorio u órgano equivalente de la Entidad es el responsable de:

a) Establecer las políticas y procedimientos para gestionar apropiadamente los riesgos que la Entidad afronta, con la finalidad de cumplir con las estrategias y objetivos propuestos, así como velar por el cumplimiento por parte de la entidad de las disposiciones contenidas en el presente reglamento.

b) Definir los roles y líneas de reporte para la adecuada gestión de riesgos.

c) Aprobar el documento que contenga los lineamientos de conducta relacionadas a la gestión de riesgos, el Manual GIR de la Entidad y sus respectivas modificaciones o actualizaciones.

d) Establecer un sistema de gestión integral de riesgos acorde a la naturaleza, tamaño, volumen de transacciones y complejidad de las operaciones de la Entidad, que tome en cuenta el entorno competitivo y macroeconómico que afecta a los mercados en los que opera la Entidad, los requerimientos regulatorios y sus objetivos.

e) Aprobar los recursos necesarios para la adecuada gestión integral de riesgos, a fin de contar con la infraestructura, la metodología y su aplicación, el personal apropiado y las respectivas herramientas y capacitaciones relacionadas.

f) Designar al responsable de las funciones de la gestión integral de riesgos de la Entidad, quien reportará directamente a dicho órgano o al Comité de Riesgos, según sea su organización, y tendrá canales de comunicación con la Gerencia General y otras áreas, respecto de los aspectos relevantes de la gestión de riesgos para una adecuada toma de decisiones, así como evaluar su desempeño.

g) Aprobar la tercerización de una o más de las funciones de gestión de riesgos.

h) Aprobar la conformación del Comité GIR, de optarse por ello y las responsabilidades o funciones asignadas.

i) Establecer respecto a la gestión de riesgos un sistema adecuado de delegación de facultades, separación y asignación de funciones, así como de tratamiento de posibles conflictos de interés en la Entidad.

j) Aprobar el plan anual de trabajo de la unidad, gerencia u órgano de gestión de riesgos.

k) Aprobar la capacidad de riesgo de la Entidad y el Marco de Apetito por Riesgo, los mismos que deben estar a disposición de la SMV.

l) Disponer las medidas necesarias para que la entidad opere en línea con el marco de apetito por el riesgo, para lo cual debe conocer las necesidades de capital y liquidez asociadas a su estrategia.

m) Aprobar el plan anual de capacitaciones, así como las políticas y procedimientos en materia de difusión de la cultura de riesgos en toda la entidad, respecto a la normativa vigente relacionada con la gestión de riesgos; así como a las políticas y procedimientos en materia de estos, incluyendo las capacitaciones especializadas, dirigidas a los miembros de la unidad, gerencia u órgano de gestión de riesgos, de acuerdo a sus responsabilidades.

n) Aprobar el Informe Anual de Riesgos.

o) Suscribir anualmente la Declaración de Cumplimiento, conforme lo señalado en el artículo 12 del presente reglamento.

p) Realizar seguimiento, por lo menos una vez al año de los informes, reportes o documentos similares remitidos al Directorio producto de evaluaciones relacionadas a la gestión integral de riesgos realizadas por las auditorías internas y/o externas, o de la SMV.

q) Aprobar los cambios significativos para su implementación, en función a la evaluación de riesgos asociados a estos propuestos por la Unidad de Gestión de Riesgos.

r) Revisar periódicamente los informes, reportes o documentos similares elaborados por la Unidad de gestión de Riesgos, relacionados a la gestión integral de riesgos, principalmente aquellos que hagan referencia a los riesgos más críticos identificados y gestionados, con la finalidad de lograr una adecuada toma de decisiones.

Artículo 12.- DECLARACIÓN DE CUMPLIMIENTO

El Directorio debe suscribir anualmente una Declaración de Cumplimiento, que debe contener como mínimo lo siguiente:

a) Que el Directorio conoce los estándares previstos en el Reglamento, así como sus responsabilidades.

b) Que el Directorio comprende la naturaleza, el marco de apetito por el riesgo, el nivel de riesgos asumidos, los límites internos, los escenarios establecidos en el Manual GIR y sus respectivos planes de contingencia.

c) Que la Entidad cuenta con una gestión de riesgos consistente con la complejidad de sus operaciones; la cual cumple, como mínimo, con los criterios indicados en el Reglamento, con la excepción de posibles deficiencias identificadas y que serán comunicadas en la declaración.

d) Que el Directorio ha establecido que las políticas, procesos y controles ejecutados por la Entidad, incluyendo una adecuada gestión integral de riesgos, sean consistentes con la estrategia de la empresa, así como con los niveles de apetito y capacidad de riesgo.

e) Que el Directorio es informado de los resultados de la gestión de riesgos y los riesgos específicos a los que está expuesta la entidad.

f) Que el Directorio ha tomado conocimiento de los acuerdos e informes de auditoría, de los comités en caso de contar con ellos, y de cualquier otra información que el Directorio considere relevante respecto de la gestión integral de riesgos, y que las medidas correctivas dispuestas, incluyendo los plazos de implementación, consten en las actas correspondientes y que realiza el respectivo seguimiento a las medidas correctivas establecidas.

Esta declaración debe acompañarse en un documento que contenga las acciones correctivas y los plazos de implementación, en caso de que el Directorio haya identificado deficiencias en la gestión de riesgos de la Entidad. Además debe ser suscrita a más tardar el 30 de abril de cada año y debe ser enviada a la SMV dentro de los cinco (5) días posteriores a dicha fecha.

Artículo 13.- RESPONSABILIDAD DE LA GERENCIA

La Gerencia General de la Entidad es la responsable de implementar la gestión integral de riesgos de acuerdo con las políticas y procedimientos aprobadas por el Directorio, velando por su adecuado seguimiento y cumplimiento al interior de la Entidad.

CAPÍTULO II

ÓRGANOS OPERATIVOS DE LA GESTIÓN INTEGRAL DE RIESGOS

Artículo 14.- COMITÉ DE GESTIÓN DE RIESGOS

El Directorio puede constituir un Comité GIR, que estará integrado por al menos tres (3) miembros, dos (2) de los cuales deben ser miembros del Directorio y debe ser presidido por un (1) director independiente conforme a la Resolución SMV N° 016-2019-SMV/01, o uno que no desempeñe cargo ejecutivo. El presidente del Comité GIR no puede presidir el Comité de Inversiones ni ningún otro comité con el que pueda presentar conflicto de intereses.

Los integrantes del Comité GIR deben tener los conocimientos y la experiencia necesaria para cumplir adecuadamente sus funciones. De constituirse este Comité, se debe desarrollar una normativa interna que indique su constitución, responsabilidades, funciones, periodicidad de sesiones, entre otros temas relevantes para su organización y adecuado funcionamiento.

El Comité GIR, asume las funciones que el Directorio le delegue, dentro de los límites que este fije, pudiendo considerarse dentro de estas una o más de las funciones descritas en el artículo 11 del presente reglamento. El ejercicio de las funciones delegadas debe realizarse conforme a las condiciones y requisitos señalados en el presente reglamento, según corresponda.

Sin perjuicio de lo señalado anteriormente, el Directorio puede crear los comités de riesgos especializados que considere necesarios, en razón de la naturaleza, tamaño y complejidad de las operaciones y servicios de la Entidad. Estos comités especializados pueden tener la conformación que la Entidad considere necesaria de acuerdo a las funciones que otorgue a cada comité.

La SMV, de manera excepcional y fundamentada, puede solicitar a las Entidades la creación de un Comité GIR o de comités de riesgos especializados cuando observe, en el ejercicio de las acciones de supervisión, que ésta no cumpla con una adecuada gestión integral de riesgos conforme a lo previsto en el presente reglamento, tomando en cuenta la naturaleza, tamaño, volumen de transacciones, complejidad de las operaciones y servicios que brinda la entidad.

Los acuerdos que correspondan a las funciones del Directorio indicadas en el artículo 11 del presente reglamento que sean adoptados por comités especializados, comités corporativos u otro tipo de comité cuya conformación no corresponda a la indicada en el primer párrafo del presente artículo, deben ser ratificados por el Comité GIR o por el Directorio.

Artículo 15.- UNIDAD DE GESTIÓN DE RIESGOS

La Entidad debe organizarse para gestionar los riesgos a los que se encuentran expuestos; para lo cual debe contar al menos con una unidad, gerencia u órgano de gestión de riesgos centralizada o especializada en la gestión de riesgos específicos, de acuerdo con la naturaleza, tamaño, volumen de transacciones, complejidad de las operaciones y servicios de la Entidad.

La SMV puede requerir a las entidades la creación de unidades de riesgos centralizadas o especializadas cuando lo considere necesario conforme a la naturaleza, tamaño, volumen de transacciones, complejidad de las operaciones y servicios que brinda la entidad.

Los integrantes de la unidad, gerencia u órgano de gestión de riesgos deben poseer la experiencia y los conocimientos que les permitan el adecuado cumplimiento de sus funciones. Adicionalmente a los conocimientos adquiridos de forma anterior al inicio del cargo, se debe establecer un plan de capacitación especializado de acuerdo a sus responsabilidades. Este será presentado anualmente al Directorio u órgano equivalente.

La unidad, gerencia u órgano de gestión de riesgos, para el cumplimiento de sus funciones, debe ser independiente funcionalmente de las áreas de negocios, contabilidad y de finanzas, dependiendo organizacionalmente del Comité GIR o directamente del Directorio, según sea el caso. Será la encargada de apoyar y asistir a las demás áreas de la Entidad para la realización de una adecuada gestión de riesgos en sus áreas de responsabilidad, a excepción de la gestión del riesgo de lavado de activos y financiamiento del terrorismo, que estará a cargo del Oficial de Cumplimiento de la Entidad, de acuerdo con la normativa de la materia.

La Unidad GIR debe contar con un plan anual de trabajo, que contiene, entre otros, los programas de revisión de cumplimiento de objetivos, de procedimientos y controles, así como de los límites de exposición al riesgo y el plan de capacitación.

Asimismo, debe contar con procedimientos que permitan identificar, recoger, procesar y reportar información útil para la gestión de los riesgos que ayude a la efectiva toma de decisiones.

Artículo 16. FUNCIONES DE LA UNIDAD DE GESTIÓN DE RIESGOS

Las funciones de la Unidad de Gestión de Riesgos pueden incluir:

a) Proponer los niveles de la capacidad y el marco de apetito al riesgo de la Entidad, así como la metodología para el cálculo y seguimiento correspondiente, según cada tipo de riesgo.

b) Proponer las políticas, procedimientos y metodologías apropiadas por cada tipo de riesgos que afronte la Entidad incluyendo los roles y responsabilidades.

c) Proponer el diseño y permanente mejora y adecuación de los manuales de gestión de riesgos.

d) Velar por una adecuada gestión integral de riesgos, promoviendo el alineamiento y solicitando los recursos necesarios, a fin de contar con la infraestructura, la metodología y su aplicación, el personal apropiado y las respectivas herramientas y capacitaciones relacionadas.

e) Guiar la integración entre la gestión de riesgos con los planes de negocio y las actividades de gestión empresarial.

f) Llevar a cabo el análisis y monitoreo del sistema de gestión integral de riesgos de la Entidad.

g) Proponer al Directorio para su aprobación un plan anual de capacitaciones, así como las políticas y procedimientos en materia de difusión de la cultura de riesgos en toda la entidad, respecto a la normativa vigente relacionada con la gestión de riesgos; así como a las políticas y procedimientos en materia de estos, incluyendo las capacitaciones especializadas, dirigidas a los miembros de la unidad, gerencia u órgano de gestión de riesgos, de acuerdo a sus responsabilidades.

h) Proponer para aprobación del Directorio el plan anual de trabajo de la unidad, gerencia u órgano de gestión de riesgos.

i) Informar al Comité GIR o Directorio, según sea el caso, los aspectos relevantes de la gestión integral de riesgos.

Artículo 17.- PROPORCIONALIDAD CON RESPECTO A LA GESTIÓN INTEGRAL DE RIESGOS

De acuerdo con sus necesidades, tamaño, organización y operaciones, las funciones de la unidad, gerencia u órgano de gestión de riesgos pueden ser realizadas excepcionalmente por otro órgano de control o funcionario de control de la Entidad, quien debe contar con la suficiente experiencia y conocimiento para el cumplimiento de estas funciones.

La decisión de la Entidad de que las funciones de la unidad, gerencia u órgano de gestión de riesgos sean realizadas por otro órgano o funcionario conforme lo señalado en el párrafo precedente, debe constar en un informe técnico aprobado por el Directorio u órgano equivalente, indicando las características especiales de la entidad que justifican esta decisión, así como el análisis de viabilidad y necesidad que conlleva a esta. Asimismo, el informe técnico debe adjuntar el sustento de la experiencia y capacitación del órgano o funcionario así como los demás documentos que sustentan esta decisión.

La SMV, puede requerir en cualquier momento el informe técnico de sustento señalado en el párrafo anterior.

En ningún caso las funciones de la unidad de gestión de riesgos pueden ser realizadas por los miembros del Directorio, el Gerente General y las personas directamente relacionadas con las actividades previstas en el objeto social de la Entidad o el desarrollo operativo de la misma.

Las entidades que integren conglomerados financieros, deben contar obligatoriamente, de forma independiente, con una unidad, gerencia u órgano de gestión de riesgos, pudiendo organizarse de manera corporativa, para que dicha unidad ejerza sus funciones en todas o en algunas de las personas jurídicas integrantes del conglomerado financiero, incluyendo a la Entidad.

Los grupos económicos pueden contar con una unidad, gerencia u órgano de riesgos organizada de manera corporativa.

La SMV puede requerir a la Entidad la creación de una unidad, gerencia u órgano de gestión de riesgos independiente cuando observe, en el ejercicio de las acciones de supervisión, que ésta no cumpla con una adecuada gestión integral de riesgos conforme a lo previsto en el presente reglamento, tomando en cuenta la naturaleza, tamaño, volumen de transacciones, complejidad de las operaciones y servicios que brinda la entidad.

Articulo 18.- TERCERIZACIÓN DE LAS FUNCIONES DE GESTIÓN DE RIESGOS

En los casos en que las Entidades utilicen terceros para dar cumplimiento a una o más de las obligaciones establecidas en el presente reglamento relacionadas con la gestión de sus riesgos, deben contar con la aprobación previa del Directorio de la Entidad.

El acuerdo de Directorio en el cual conste la aprobación de la tercerización del servicio debe contener el detalle de los servicios a tercerizar, los mismos que se incluirán en el contrato a suscribir con los proveedores del servicio. Estos contratos deben incluir además las cláusulas que faciliten una adecuada revisión de la prestación por parte de la Entidad, su órgano de control interno y de la SMV.

Las Entidades mantienen la responsabilidad del cumplimiento de las obligaciones del presente reglamento que hayan sido tercerizadas.

CAPÍTULO III

ÓRGANO DE CONTROL

Artículo 19.- ROL DE LA AUDITORÍA INTERNA PARA LA GESTIÓN INTEGRAL DE RIESGOS

La Auditoría Interna de la Entidad debe evaluar el cumplimiento de las políticas, los procedimientos y las metodologías utilizados para todos los tipos riesgos gestionados. A su vez, debe evaluar los resultados de la gestión integral de riesgos e informar oportunamente al Directorio.

Dicha evaluación debe incluirse en las actividades permanentes del Plan Anual de Auditoría Interna de la Entidad. La Auditoría Interna debe emitir, al menos, un informe anual que contenga las observaciones y/u oportunidades de mejora que se deriven de su evaluación.

La Entidad que no cuente con una Auditoría Interna, pero que, de acuerdo con las disposiciones emitidas por la SMV, tenga un funcionario u órgano que ejerza las atribuciones y responsabilidades respecto del control interno de la Entidad, debe cumplir con las funciones establecidas en el presente artículo, a través de dichos funcionarios u órganos.

DISPOSICIONES COMPLEMENTARIAS

FINALES

Primera.- Los Lineamientos de Conducta y el Manual de Gestión Integral de Riesgos, establecidos en los artículos 4 y 7 del presente reglamento, constituyen requisitos para la autorización de funcionamiento

Segunda.- Las Entidades que emitan informes sobre gestión de riesgos de conformidad con su normativa específica y con una periodicidad distinta a la establecida en el presente reglamento, deben seguir emitiendo dichos informes en la forma, plazo y condiciones señaladas en dicha normativa especial.

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

Primera.- Para los fines de la aplicación del presente reglamento, la Entidad debe observar lo siguiente:

1.1 Las entidades que no formen parte de un conglomerado financiero deben implementar la gestión integral de riesgos en los términos previstos en el presente reglamento, a más tardar el 30 de junio de 2024.

1.2 Las entidades que formen parte de un conglomerado financiero, deben implementar la gestión integral de riesgos en los términos previstos en el presente reglamento, a más tardar el 31 de diciembre de 2023.

1.3 Las entidades que se encuentran dentro del ámbito de aplicación de la Resolución de Superintendente N° 045-2021-SMV/02, Reglamento de la Actividad de Financiamiento Participativo Financiero y sus Sociedades Administradoras, deben implementar la gestión integral de riesgos en los términos previstos en el presente reglamento, a más tardar el 30 de septiembre de 2024.

Segunda.- Las Entidades que a la fecha de entrada en vigencia del reglamento cuenten con políticas y procedimientos para la gestión de sus riesgos, deben verificar que cumplen con las exigencias mínimas establecidas en el presente reglamento.”

Artículo 2°.- Derogar el Reglamento de Gestión Integral de Riesgos, aprobado por Resolución SMV N° 037-2015-SMV/01.

Artículo 3°.- Las referencias al Reglamento de Gestión Integral de Riesgos contenidas en otros reglamentos aprobados por la Superintendencia del Mercado de Valores, deben entenderse al reglamento aprobado por la presente resolución.

Artículo 4°.- Publicar la presente resolución en el Diario Oficial El Peruano y en el Portal de la Superintendencia del Mercado de Valores (www.smv.gob.pe).

Artículo 5°.- La presente resolución entrará en vigencia a partir del 1 de marzo de 2023.

Regístrese, comuníquese y publíquese.

JOSÉ MANUEL PESCHIERA REBAGLIATI

Superintendente del Mercado de Valores

2144211-1