PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ ESCUELA DE POSGRADO Buenas Prácticas en la Gestión del Riesgo de Fraude Interno: Casos de tres bancos de Lima Metropolitana TESIS PARA OBTENER EL GRADO DE MAGÍSTER EN FINANZAS CORPORATIVAS Y RIESGO FINANCIERO OTORGADO POR LA PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ PRESENTADA POR Alejandra Ponce Del Águila Sandra Yamísk Pérez Horna Sonia Lamadrid Elera Susan Kelly Oliva Melgarejo Asesor: Carlos Eduardo Agüero Olivos Surco, agosto 2019 Agradecimientos A nuestros padres, por habernos apoyado y animado en la decisión de llevar esta maestría en pro de nuestro desarrollo profesional, como en el proceso de afrontar las responsabilidades laborales junto con los deberes de estudiante. A Dios, por permitirnos cumplir esta meta, bendecirnos con la fortaleza para enfrentar el cansancio físico y mental, y tener siempre una mentalidad positiva en todo el camino que nos ha llevado hasta aquí. A todos nuestros profesores del MCI VIII de Finanzas Corporativas y Riesgo Financiero, quienes nos trasmitieron su conocimiento en las diferentes materias impartidas, y sus enseñanzas ahora forman parte de nuestras habilidades profesionales. En lo referente a la elaboración del presente trabajo, nos han demostrado su compromiso con nosotras, apoyándonos cuando necesitamos su guía y respaldo. A nuestro asesor de tesis Carlos Agüero Olivos, quien nos ha orientado en el proceso a seguir, ha atendido nuestras consultas y aclarado nuestras dudas, siendo un colaborador activo, para que esta tesis se culmine con éxito y de la mejor manera posible. A nuestros compañeros, por habernos brindado hermosos recuerdos en estos casi dos años que hemos compartido, clases, aprendizaje, experiencias y sobre todo una linda amistad que llevaremos siempre con nosotras. Resumen Ejecutivo Las entidades del sistema financiero peruano se encuentran expuestas a diversos tipos de riesgo, entre ellos, el riesgo operacional, el cual incluye un tipo de evento de pérdida que es el fraude interno. Si bien, dicho riesgo está presente en todas las organizaciones, en el sector bancario es más relevante debido a que su actividad económica principal es la intermediación financiera, la cual involucra una alta cantidad de transacciones monetarias realizadas por sus empleados, siendo más vulnerable al fraude interno. De acuerdo a estudios realizados por el organismo Association of Certified Fraud Examiners (ACFE, 2016a), se encontró que el fraude realizado por los colaboradores de la empresa representa un alto porcentaje del total de fraudes efectuados en el sector. Ante ello, los organismos reguladores como el Fondos de Pensiones (SBS) han establecido un marco regulatorio con la finalidad de gestionar adecuadamente el riesgo operacional, y con ello brindar solidez y estabilidad al sistema bancario. Así también, diversas investigaciones sugieren las mejores prácticas para realizar esta gestión, como la implementación de procesos de prevención, detección, y un plan de acción ante eventos de fraude interno (Ernest & Young, 2016; Olcina, 2016; Riera & Ruano, 2016; Zayas, 2016). Por ello, en la presente tesis, con el objetivo de describir las buenas prácticas para la gestión del riesgo de fraude interno en el sistema financiero peruano, se realizó una investigación de enfoque cualitativo, a través de entrevistas a los funcionarios encargados de la gestión de este riesgo, y se contrastó la información obtenida con la literatura revisada. Se identificó un conjunto de buenas prácticas implementadas en los bancos seleccionados, encontrándose similitud entre ellos y lo recomendado por las diversas investigaciones. Asimismo, las entidades evaluadas coincidieron en que las pérdidas monetarias por este tipo de evento son variables de un año a otro, y por lo tanto es complicado predecirlas. Abstract The entities of the peruvian financial system are exposed to different types of risk, as well as operational risk, which includes a type of loss event that is internal fraud. Although, this risk takes place in every organization, in the banking sector it is more relevant because of its main economic activity is financial intermediation, which involves a high amount of monetary transactions carried out by its employees, being more vulnerable to internal fraud. According to studies carried out by the Association of Certified Fraud Examiners (ACFE, 2016a), it was found that, the fraud carried out by company employees represents a high percentage of the total events of fraud carried out in the sector. Given this, regulatory agencies such as the Basel Committee and in Peru, the Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones (SBS) have established a regulatory framework in which they establish the main activities for managing operational risk, and thereby providing solidity and stability to the system banking. Likewise, several investigations have identified the best practices to carry out this management, such as the implementation of prevention and detection processes and the definition of an action plan to confront event of internal fraud (Ernest & Young, 2016; Olcina, 2016; Riera & Ruano, 2016; Zayas, 2016). Therefore, in this thesis, seeking to identify good practices for the management of internal fraud risk in the peruvian financial system, it was conducted a qualitative approach investigation, in which, through interviews with the officials in charge of managing this risk, it has been obtained information that has been checked against the reviewed literature. A set of good practices implemented in the selected banks were identified, also similarities were found between them, and the best practices recommended by the various investigations. Likewise, the entities evaluated agreed that monetary losses for this type of event are variable from one year to another, and therefore it is difficult to predict them. ii Tabla de Contenidos Lista de Tablas ........................................................................................................................ vi Lista de Figuras .................................................................................................................... viii Capítulo I: Introducción ......................................................................................................... 1 1.1. Antecedentes ................................................................................................................... 1 1.2. Problema de Investigación .............................................................................................. 5 1.3. Propósito de la Investigación .......................................................................................... 6 1.3.1. Objetivos de investigación ....................................................................................... 6 1.3.2 Preguntas de investigación ........................................................................................ 7 1.4. Justificación de la Investigación ..................................................................................... 7 1.5. Viabilidad de la Investigación ........................................................................................ 8 1.6. Limitaciones .................................................................................................................... 9 1.7. Delimitaciones ................................................................................................................ 9 1.8. Resumen del Capítulo ..................................................................................................... 9 Capítulo II: Marco Teórico ................................................................................................... 11 2.1. Mapa Conceptual con Autores ...................................................................................... 11 2.2. Sistema Financiero Peruano .......................................................................................... 12 2.2.1. Composición del sistema financiero peruano ........................................................ 12 2.2.2. Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones . 13 2.2.3. Sistema bancario peruano ...................................................................................... 14 2.3. Riesgo ........................................................................................................................... 15 2.3.1. Historia del riesgo .................................................................................................. 15 iii 2.3.2. Definición del riesgo .............................................................................................. 18 2.3.3. Tipos de riesgo ....................................................................................................... 19 2.3.4. Gestión de riesgos .................................................................................................. 21 2.3.5. Componentes de la gestión de riesgos ................................................................... 22 2.3.6. Marco regulatorio de la gestión de riesgos ............................................................ 24 2.3.7. Riesgo operacional ................................................................................................. 29 2.3.8. Fraude interno ........................................................................................................ 38 2. 4. Pérdidas monetarias en el Sistema financiero .............................................................. 48 2.4.1. Definición de pérdidas monetarias......................................................................... 48 2.4.2. Gestión de las pérdidas monetarias ........................................................................ 50 2.4.3. Medición de las pérdidas monetarias ..................................................................... 53 2.4.4. Pérdidas monetarias en el Sector Bancario ............................................................ 54 2.5. Buenas prácticas financieras en la gestión de riesgos ................................................... 55 2.5.1. Definición de buenas prácticas .............................................................................. 55 2.5.2. Buenas prácticas en la gestión del riesgo de fraude interno .................................. 56 2.5.3. Experiencias de las buenas prácticas en la gestión del riesgo de fraude interno y su impacto en las pérdidas monetarias ................................................................................. 61 2.5.4. Casos de pérdidas monetarias por fraude interno en el sector bancario ................ 63 2.5. Resumen del capítulo .................................................................................................... 64 Capítulo III: Metodología ..................................................................................................... 66 3.1. Diseño de la Investigación ............................................................................................ 66 3.2. Justificación del diseño ................................................................................................. 66 iv 3.3. Población....................................................................................................................... 67 3.4. Consentimiento Informado ........................................................................................... 68 3.5. Participantes de la Investigación ................................................................................... 68 3.6. Confidencialidad ........................................................................................................... 71 3.7. Instrumentos de medición o métodos para recopilar datos ........................................... 72 3.8. Análisis e Interpretación de Datos ................................................................................ 72 3.9. Validez y Confiabilidad ................................................................................................ 74 3.10. Resumen del Capítulo ................................................................................................. 74 Capítulo IV: Casos de Empresas del Sector Bancario ....................................................... 76 4.1. Perfil del Informante ..................................................................................................... 76 4.2. Resultados de la entrevista ............................................................................................ 77 4.3. Resumen del capítulo .................................................................................................... 91 Capítulo V: Conclusiones y Recomendaciones.................................................................... 93 5.1. Conclusiones ................................................................................................................. 93 5.1.1. Conclusiones según los objetivos de la investigación ........................................... 93 5.1.2. Comparación entre las conclusiones y la revisión de la literatura ......................... 94 5.2. Recomendaciones ......................................................................................................... 99 5.2.1. Recomendaciones prácticas ................................................................................... 99 Las siguientes recomendaciones las debe asumir la gerencia encargada de la gestión de riesgo de fraude interno: .................................................................................................. 99 5.2.2. Recomendaciones para futuras investigaciones ..................................................... 99 Referencias............................................................................................................................ 101 v Apéndice A: Consentimiento Informado ........................................................................... 114 Apéndice B: Guía de la Entrevista ..................................................................................... 116 Apéndice C: Protocolo del Caso ......................................................................................... 119 Apéndice D: Entrevista Banco 1 ......................................................................................... 120 Apéndice E: Entrevista a Banco 2 ...................................................................................... 128 Apéndice F: Entrevista Banco 3 ......................................................................................... 136 Apéndice G: Información detallada Interbank ................................................................. 150 Apéndice H: Información detallada Scotiabank ............................................................... 156 Apéndice I: Información detallada BCP............................................................................ 164 Apéndice J: Información detallada BBVA ........................................................................ 171 vi Lista de Tablas Tabla 1. Estructura del Sistema Financiero Peruano ............................................................ 12 Tabla 2. Empresas de Operaciones Múltiples ........................................................................ 13 Tabla 3. Evolución de la Supervisión de la SBS ..................................................................... 14 Tabla 4. Participación de Créditos, Depósitos y Patrimonio ................................................. 14 Tabla 5. Riesgo Operacional antes de Basilea II ................................................................... 34 Tabla 6. Valores de los Factores por Línea de Negocio del Método Estándar ...................... 35 Tabla 7. Roles y Responsabilidades para la Gestión del Riesgo Operacional. ...................... 36 Tabla 8. La Gestión de Riesgo Operacional ........................................................................... 37 Tabla 9. Métodos de Requerimiento de Patrimonio de Capital por SBS................................ 38 Tabla 10. Participación de Mercado en Colocación de Créditos y Depósitos, Mayo 2019... 67 Tabla 11. Créditos Directos (en miles de soles) otorgados por el Sistema Bancario Peruano, Mayo 2019 ............................................................................................................................... 69 Tabla 12. Requerimiento de Patrimonio Efectivo por Riesgo Operacional (en miles de soles) del Sistema Bancario Peruano, Mayo 2019 ............................................................................ 70 Tabla 13. Cantidad de Personal por cada Entidad Bancaria Peruana, Mayo 2019. ............. 71 Tabla 14. Formulación del Instrumento de Investigación ...................................................... 73 Tabla 15. Información de los Entrevistados ........................................................................... 76 Tabla 16. Prácticas Identificadas por Empresa según Entrevista .......................................... 76 Tabla 17. Marco de Gobierno para la Gestión del Riesgo de Fraude Interno ...................... 81 Tabla 18. Proceso de Identificación y Evaluación de Riesgos ............................................... 84 Tabla 19. Esquema de Implementación de Controles ............................................................. 86 Tabla 20. Posee Protocolos de Investigación Documentados ................................................ 86 Tabla 21. Plan de Acción ante Eventos de Fraude Interno .................................................... 87 Tabla 22. Cuenta con Actividades de Monitoreo .................................................................... 87 vii Tabla 23. Actividades de Monitoreo Documentadas .............................................................. 88 Tabla 24. Cuenta con Reportes de Monitoreo ........................................................................ 88 Tabla 25. Plan de Acción ante Eventos de Fraude Interno .................................................... 88 viii Lista de Figuras Figura 1. Mapa de revisión de la literatura. ............................................................................. 11 Figura 2. Historia del riesgo. ................................................................................................... 17 Figura 3. Proceso de evaluación de riesgos............................................................................. 23 Figura 4. Proceso de gestión de riesgos: aplicación práctica. ................................................. 24 Figura 5. El triángulo del fraude. ............................................................................................ 40 Figura 6. De la evaluación del riesgo de fraude a la gestión del riesgo de fraude. ................. 58 1 Capítulo I: Introducción 1.1. Antecedentes La crisis financiera mundial del año 2008 originada por las pérdidas provenientes del impago de las hipotecas estadounidenses y acrecentada de manera global debido a que dichas hipotecas habían sido aseguradas y distribuidas a inversores institucionales, expuso que si bien el Sistema Financiero ofrece oportunidades que generan beneficios extraordinarios a las comunidades, este a su vez posee una gran capacidad para generar errores que se reproducen de forma masiva (Ferreira & Marzábal, 2012). Los eventos sucedidos a partir de la crisis, así como un elevado número de casos individuales brindan indicios de que una colección de riesgos operacionales en la industria financiera puede tener efectos en cadena que podrían llevar a las instituciones a la zona de pérdidas extremas o incluso a la bancarrota. Además, los riesgos operacionales por su heterogeneidad y complejidad pueden ocasionar pérdidas desmedidas debido a su interacción con otros riesgos, multiplicando sus efectos, de esta forma en el contexto de la crisis financiera global, el riesgo operativo se convirtió en un riesgo dominante (Jednak & Jednak, 2013). Se entiende como riesgo financiero a la probabilidad de obtener rendimientos diferentes a los esperados como consecuencia de la volatilidad o movimientos en las variables financieras, estos riesgos se encuentran de forma inherente en las instituciones financieras debido a su actividad de intermediación, en la cual se obtienen y colocan recursos monetarios al público, por ello, es de suma importancia realizar estrategias que permitan mitigar dichos riesgos (Lizarzaburu, Berggrun, & Quispe, 2012). Así, es vital que las entidades financieras identifiquen e implementen buenas prácticas en la administración de sus portafolios, cabe mencionar que la definición de buenas prácticas se refiere al conjunto de ejemplos probados y soluciones que pueden contribuir a resolver los problemas de gestión de diversas índoles y que tienen una estrecha vinculación con los procesos de benchmarking, en 2 los cuales a través de la comparación se evalúan diferentes procesos de las instituciones (Loffler, citado en Armijo, 2004). Por ello, la gestión de riesgos es un componente integral de las buenas prácticas, un método lógico utilizado para la identificación, análisis, evaluación, tratamiento, monitoreo, y comunicación de los riesgos de forma que contribuya a la minimización de pérdidas, maximización de oportunidades, así como a la mejora continua en la toma de decisiones de las entidades (Instituto Colombiano de Normas Técnicas y Certificación, 2014). Por otra parte, el Comité de Supervisión Bancaria de Basilea, en adelante Basilea, (2003a) definió al riesgo operacional como “el riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos” (p. 125), dicho riesgo se clasifica en siete categorías entre las cuales se encuentra el fraude interno, es decir, el fraude cometido en contra de la institución por sus propios empleados o directores generando pérdidas tanto monetarias como de reputación. El sistema financiero peruano está compuesto por 57 empresas que realizan diversas operaciones y poseen activos por más de S/ 400 mil millones, entre ellas se encuentran 15 bancos con una participación de aproximadamente el 90%. En la banca moderna se han automatizado diferentes transacciones, de tal forma que cada vez se depende más de la tecnología, esto se refleja en el creciente número de canales, tales como sitios web, plataformas en línea, aplicaciones móviles, redes sociales, además de los canales tradicionales que los bancos utilizan para brindar sus servicios, los cuales a su vez se han multiplicado y son mucho más complejos. Esta complejidad trae como resultado una mayor vulnerabilidad de las instituciones a ser víctimas de fraudes principalmente del fraude originado dentro de la organización debido al alto nivel de acceso a datos sensibles que se concede a miles de empleados para el desempeño de sus funciones (Robinson & Winteregg, 2016). Si bien en el sistema bancario peruano no se ha realizado un análisis de las pérdidas 3 generadas por fraude interno, en un estudio realizado en el 2018 por la organización ACFE, en el que se analizaron casos de fraude interno investigados entre enero de 2016 y octubre de 2017 correspondientes a 23 tipos de industria en 125 países, se identificó que el mayor número de casos ocurre en la industria bancaria con una pérdida promedio de USD 110 mil por caso. Considerando el alto impacto en pérdidas monetarias mencionadas en el estudio anterior y con la finalidad de prevenir una crisis económica y financiera, es necesario que las instituciones financieras cuenten con un marco regulatorio que proporcione las bases para una adecuada gestión de riesgos, dado el papel fundamental de los bancos en la economía de un país. En ese sentido, González y Solís (2012) indicaron que las entidades bancarias no pueden prevenir los efectos colaterales que genera su actividad, por lo que es indispensable la regulación como instrumento para prevenir y resolver las crisis, lo que contribuye a un crecimiento sostenido de la economía y a la estabilidad del sistema monetario y crediticio. En 1974 se formó el Comité de Supervisión Bancaria de Basilea, institución que promueve una mejor administración de los bancos mediante un control eficaz de sus riesgos y una mayor interacción con las empresas de auditoría y de calificación de riesgos externas (González & Solís, 2012). Dicho Comité ha definido tres marcos regulatorios internacionales, el más reciente Basilea III fue diseñado luego de la última crisis financiera, cuya finalidad es que el sistema bancario mejore la capacidad de enfrentar las perturbaciones económicas, la gestión de sus riesgos, y el buen gobierno corporativo, además refuerza la regulación microprudencial y macroprudencial, es decir, fomenta que las instituciones tengan la capacidad de soportar los ciclos de tensión y estén orientadas a afrontar el riesgo sistémico (Comité de Supervisión Bancaria Basilea, 2010a). Respecto a la gestión del riesgo operacional y a raíz de la reciente crisis que evidenció la falta de capital para cubrir las pérdidas por este tipo de riesgo, así como la dificultad en la aplicación de los modelos para 4 estimar los requerimientos de capital, el Comité simplificó el marco regulatorio, y reemplazó los anteriores por un solo método, el cual determina los requerimientos de capital de cada entidad a partir de dos componentes (a) los ingresos del banco, y (b) sus pérdidas históricas (Comité de Supervisión Bancaria de Basilea, 2017a). En el Perú, la SBS ha emitido la Resolución N° 272 -2017, la cual busca que las entidades financieras establezcan una adecuada gestión integral de riesgos de acuerdo a la naturaleza, volumen, y a la complejidad de sus operaciones y servicios, revisando el rol del cumplimiento normativo con la finalidad de fortalecer el desempeño y responsabilidad de las empresas (SBS, 2017a). Respecto a la gestión del riesgo operacional, la SBS ha emitido la Resolución N° 2116-2009, donde se establece los lineamientos para una adecuada gestión y la elaboración de una base de datos de eventos de pérdida, así como la implementación de un sistema de continuidad del negocio y seguridad de la información, definiendo los roles y responsabilidades en su implementación (SBS, 2009a). Asimismo, en el marco regulatorio establecido por Basilea, el Comité definió 10 principios relacionados a las buenas prácticas para una adecuada gestión y supervisión del riesgo operacional, los cuales deben considerar a este riesgo como una disciplina integral y comparable a la gestión de riesgo de crédito o de mercado (Comité de Supervisión Bancaria de Basilea, 2003b). Como componente del riesgo operacional, el incremento de fraude en las organizaciones ha ocasionado la necesidad de establecer medidas de prevención que busquen reducir su probabilidad de ocurrencia, las cuales deben estar basadas en un programa eficaz de ética, dado que una institución que fomenta la ética con sus empleados, clientes y proveedores será tratada de la misma manera, además debe contar con un código de buenas prácticas que incluya los valores que deben guiar las relaciones con los grupos de interés y establecer principios que permitan una óptima gestión del riesgo de fraude (Instituto de Auditores Internos de España, 2015). En ese sentido, el presente trabajo busca determinar 5 cuáles son las mejores prácticas en la gestión del riesgo de fraude interno que puedan servir de referencia para contrastar con la calidad de la gestión de riesgo aplicada por las instituciones financieras analizadas, las cuales deberán estar relacionadas con su apetito y tolerancia al riesgo. 1.2. Problema de Investigación La exposición al riesgo es un factor inherente de todo negocio, es por ello que las compañías deben tomar medidas para controlarlo. El sector bancario no es ajeno a esta realidad, en los últimos años ha experimentado eventos por riesgo operacional, y específicamente fraude realizado por su propio personal como sustento de ello, en junio de 2017 el Banco de Crédito del Perú sufrió un fraude por S/ 5 millones cuando una cajera realizó un desvío de fondos (“Ningún cliente se vio afectado por desvío de S/ 5 millones que hizo cajera del BCP”, 2017); otro caso de conocimiento público, es el caso Cromwell, donde un funcionario del banco BBVA, utilizó para beneficio personal la falta de control en los programas del banco, malversando fondos a cuentas propias y de terceros (Paéz, Libón, & Hidalgo, 2003). La participación de los bancos representa aproximadamente el 90% de los activos del sistema financiero, siendo un gran aporte para el desarrollo económico del país (SBS, 2017b), es por ello la importancia de identificar las buenas prácticas en la gestión del riesgo de fraude interno. Velezmoro (2010) en su estudio del modelo de gestión de riesgo operacional en una institución financiera peruana recalcó la importancia de mantener controlada la exposición al riesgo, así como los beneficios de aplicar las mejores prácticas en la gestión del riesgo operacional para asignar menor capital por este tipo de riesgo, conforme con la regulación peruana, lo cual disminuye las provisiones por contingencias regulatorias y legales. Asimismo, Arcenegui, Martín y Obrero (2016) resaltaron el impacto económico, legal, y reputacional que ocasiona el fraude interno en la banca por sobre otros sectores, además de 6 plasmar la complejidad del estudio por motivos de confidencialidad que complican la construcción y acceso a bases de datos. De esta manera, el objetivo de su trabajo fue definir el perfil del defraudador donde mostró la relación entre las variables evaluadas externas (tasa de desempleo, renta media por hogar, evaluación del riesgo privado y porcentaje de población en riesgo de pobreza o exclusión social) e internas del banco (Número de empleados en entidades financieras y oficinas bancarias). Ambos estudios sirven de referencia para entender la complejidad de la problemática social; sin embargo, no profundizan en las prácticas que aplican las entidades bancarias para promover el control del riesgo operacional. Contar con buenas prácticas en la gestión de este riesgo es importante por el gran impacto económico y social, asociado a la reputación y seguridad que perciben los clientes de las entidades bancarias. 1.3. Propósito de la Investigación Después de establecer el problema y citar la literatura pertinente se establece el propósito del estudio. 1.3.1. Objetivos de investigación Objetivo principal. Identificar las buenas prácticas en la gestión del riesgo de fraude interno utilizadas en el sistema financiero peruano que reducen las pérdidas monetarias. Objetivos secundarios. Son los siguientes:  Identificar las entidades del sistema financiero peruano que se analizarán en el estudio.  Identificar las prácticas financieras en la gestión del riesgo de fraude interno que se desarrollan en el sistema financiero peruano.  Contrastar si las prácticas financieras en la gestión del riesgo de fraude interno que se realizan en el sistema financiero peruano corresponden a las buenas prácticas identificadas en la investigación. 7  Analizar la relación entre las buenas prácticas financieras en la gestión del riesgo de fraude interno y el nivel de pérdidas monetarias por riesgo operacional en el sistema financiero peruano. 1.3.2 Preguntas de investigación Pregunta principal. ¿Cuáles son las buenas prácticas en la gestión del riesgo de fraude interno que reducen pérdidas monetarias utilizadas en el sistema financiero peruano? Preguntas secundarias. Son los siguientes: ● ¿Cuáles son las entidades del sistema financiero peruano que se analizarán en el estudio? ● ¿Cuáles son las prácticas financieras que se desarrollan en la gestión del riesgo de fraude interno en el sistema financiero peruano? ● ¿Las prácticas financieras aplicadas en la gestión del riesgo de fraude interno en el sistema financiero peruano corresponden a las buenas prácticas identificadas en la investigación? ● ¿Cuál es la relación entre las buenas prácticas financieras en la gestión del riesgo de fraude interno y el nivel de pérdidas monetarias por riesgo operacional en el sistema financiero peruano? 1.4. Justificación de la Investigación Las entidades bancarias desempeñan un rol fundamental para la sociedad y ofrecen alternativas financieras que buscan satisfacer los requerimientos del mercado, a través de un interés asociado al riesgo asumido. Perú, en los últimos años, ha experimentado un crecimiento en la cantidad de hogares con acceso al sistema bancario promoviendo la mejora de las condiciones de vida de las personas (Alfageme & Ramírez, 2016). Asimismo, Carballo y Vinocur (2017) afirmaron que la inclusión en el sistema financiero es un elemento prioritario para el desarrollo social y económico, pero conlleva un incremento en el nivel de 8 riesgo de crédito por la incorporación de otros estratos económicos en las colocaciones y mayor exposición al riesgo operacional debido a que podría disminuir los estándares de contratación de personal. El riesgo operacional y específicamente el riesgo por fraude interno que sobrellevan las entidades bancarias está asociado a la naturaleza de sus actividades, donde los empleados generan pérdidas significativas que perjudican a la entidad bancaria y a sus clientes (Arcenegui et al., 2016). La vulnerabilidad de las entidades bancarias por fraude interno es mayor al ser los empleados quienes infringen la seguridad de los procedimientos para disponer de los recursos de la empresa, teniendo en consideración que a mayor cargo son mayores los conocimientos de los mecanismos internos (“Fraude interno, ¿qué hacer cuando el enemigo está en casa?”, 2015). Por ello, es necesario el estudio de las buenas prácticas en la gestión del riesgo de fraude interno de las entidades bancarias por la magnitud de las pérdidas que pueden generar la falta de medidas de control, teniendo en cuenta las limitadas investigaciones que existen al ser un tema que recientemente está siendo abordado por las organizaciones. Asimismo, se debe considerar que el avance acelerado de la tecnología implica que las prácticas para la gestión del riesgo de fraude interno se desarrollen en la misma medida y contribuyan a fortalecer el sistema bancario. 1.5. Viabilidad de la Investigación La investigación es viable porque se dispone de recursos logísticos, humanos y financieros para llevar a cabo el estudio. Adicionalmente, se cuenta con el apoyo de tres de los bancos seleccionados para la ejecución de las entrevistas en sus instalaciones. El tiempo destinado para llevar a cabo la investigación será de nueve meses, en los cuales participaran activamente los cuatro investigadores. 9 1.6. Limitaciones La investigación tiene las siguientes limitaciones (a) la gestión del riesgo operacional en el Perú es relativamente nueva, es por ello que recientemente ha recibido importancia y exigencia por parte del regulador posterior a la emisión de Basilea II en el 2003; (b) las entidades bancarias consideradas en el estudio tienen presencia en todo el país, por lo que tomar una muestra nacional no es factible por la limitación de recursos de los investigadores, entonces, al encontrarse la mayoría de la plana gerencial, a quienes están dirigidas las entrevistas a profundidad, en la ciudad de Lima, se acotará la muestra a este sector demográfico; (c) las entidades financieras consideradas dentro de la muestra no otorgaron su consentimiento para que se publique la información brindada, por tal motivo en la presente tesis, se han nombrado como Banco 1, Banco 2 y Banco 3; y (d) si bien, la muestra elegida y las entrevistas realizadas fueron a cuatro bancos, uno de ellos decidió retirar su consentimiento para el uso de la información recabada en la presente tesis. 1.7. Delimitaciones La investigación tiene las siguientes delimitaciones (a) se realizará el estudio a los bancos seleccionados; (b) se realizará exclusivamente en la ciudad de Lima, dado que el área de riesgos de los bancos y la plana gerencial a la cual irán dirigidas las entrevistas se encuentran en esta ciudad; y (c) las entrevistas se realizarán al inicio el segundo semestre del 2019, en tal sentido, las conclusiones serán realizadas en base a la gestión del riesgo de fraude interno. 1.8. Resumen del Capítulo La última crisis financiera producida en el 2008 demostró que los riesgos operacionales en la industria pueden ocasionar quiebras en las instituciones, teniendo un efecto multiplicador en la economía y afectando a la sociedad. En ese sentido, es importante que las entidades identifiquen e implementen buenas prácticas en la gestión del riesgo 10 operacional que incluya la identificación, evaluación, tratamiento, y monitoreo, y cuente con un marco regulatorio que sirva como instrumento para prevenir las crisis y minimizar las pérdidas. Dentro del riesgo operacional, el fraude interno es un factor relevante que ocasiona pérdidas a la organización, este tipo de fraude es aquel donde los empleados detectan las debilidades de control interno y vulnerabilidades de la empresa con el fin de aprovecharse y acceder a los activos de la entidad. Es por ello que, el objetivo principal de esta investigación es identificar las buenas prácticas en la gestión de riesgo de fraude interno en el sistema financiero peruano que reducen las pérdidas monetarias. Este estudio se encuentra delimitado al sector bancario peruano, siendo la muestra elegida correspondiente a cuatro bancos, cuyas sedes principales se encuentran en la ciudad de Lima. 11 Capítulo II: Marco Teórico 2.1. Mapa Conceptual con Autores Bhasin. (2016). Frauds in the Banking Sector: Superintendencia de Banca, Seguros y AFP. Experience of a Developing Country. (2019). Sistema Financiero Peruano. Ernest and Young (2016). Implementación Superintendencia de Banca, Seguros y AFP. efectiva en la nueva Guía Antifraude de COSO (2019). Carpeta de Información del sistema Global Corporate Governance Forum. (2011). Financiero. Yego. (2016). The Impact of Fraud in the Superintendencia de Banca, Seguros y AFP. Banking Industry: A Case of Standard Chartered (2017). Programa Finanzas en el cole. Bank Superintendencia de Banca, Seguros y AFP (2019). Quienes somos. Superintendencia de Banca, Seguros y AFP. (2019). Reportes de Sistema Financiero. Superintendencia de Banca, Seguros y AFP. (2019). Información estadística de banca múltiple. Buenas Prácticas Financieras en la gestión de Riesgos Sistema Financiero Peruano Definición de Buenas Prácticas Composición del Sistema Financiero Peruano Buenas Prácticas Financieras en la gestión de Fraude Interno Superintendencia de Banca, Seguros y AFP'S Experiencias de las Buenas prácticas en la Gestión de Sistema Bancario Peruano Fraude Interno y su Impacto en las Pérdidas Monetarias Buenas prácticas en la gestión del fraude interno en algunos bancos de Lima Casos de Pérdidas Monetarias por Fraude Interno en el Sector Bancario metropolitana Pérdidas Monetarias en el Sistema Financiero Riesgo Definición de Pérdidas Monetarias Historia del Riesgo Gestión de Pérdidas Monetarias Definición del riesgo Medición de las Pérdidas Monetarias Tipos de riesgo Pérdidas Monetarias en el Sector Bancario Gestión de riesgo Componentes de la Gestión de Riesgos Marco Regulatorio de la Gestión de Riesgos Riesgo Operacional Fraude Interno Asociación de Examinadores de Fraude ACFE. (2016). Reporte a las naciones sobre el Certificados. (2016). Reporte a las naciones abuso y fraude Ocupacional sobre el abuso y fraude Ocupacional Arcenegui, Martín, y Obrero. (2016). Propuesta Superintendencia de Banca, Seguros y AFP. de un modelo para la prevención y gestión del (2019). Carpeta de cuadros estadísticos - riesgo de fraude interno por banca paralela en Sistema Financiero los bancos españoles Basilea. (2017). Resumen de las reformas de Basilea III. Chance, Kenneth y Marsland. (2017). Chávez. (2018). El concepto de Riesgo Diaz. (2017). Gestión de Riesgos en entornos empresariales alienados a las normas ISO 31000 Gonzales y Solis. (2012). El ABC de la Regulación Bancaria de Basilea Lizarzaburo, Berggrun y Quispe. (2008). Gestión de RiesgosFinancieros. Experiencia en un banco latinoamericano. Mejía. (2013). Identificación de Riesgos Pacheco. (2009). Riesgo operacional, conceptos y mediciones. Sotelsek y Pavón. (2002). Evolución de los acuerdos de Basilea: Diagnóstico de los estándares de la regulación bancaria internacional. Figura 1. Mapa de revisión de la literatura. 12 2.2. Sistema Financiero Peruano 2.2.1. Composición del sistema financiero peruano El Sistema Financiero está compuesto por organizaciones privadas y públicas que tienen la finalidad de captar, administrar, y regular recursos financieros operando como intermediarios financieros. Es decir, captan recursos de los agentes superavitarios y los ofertan a los agentes deficitarios. (SBS, 2017c) Al cierre de mayo de 2019, el sistema financiero peruano estaba formado por 57 empresas, de las cuales 54 efectúan operaciones múltiples y poseen activos que representan aproximadamente el 90% del total de activos del sistema financiero peruano, en la Tabla 1 se muestra la distribución de las empresas. (SBS, 2019a) Tabla 1. Estructura del Sistema Financiero Peruano Activ os Créd itos Depós itos Empresas Cantida d Mon to Mon to Mon to (Miles de S/) (Miles de S/) (Miles de S/) Banca Múltiple 15 404,543 ,930 274,32 3,082 258,37 6,324 Empresas Financieras 11 15,600 ,366 13,35 5,174 7,96 2,771 Cajas municipales (CM) 12 27,987 ,564 22,10 9,918 22,07 5,199 Cajas rurales de ahorro y crédito (CRAC) 7 2,890 ,491 2,38 2,259 1,89 2,096 Entidades de Desarrollo de la Pequeña y Microempresa 9 2,592 ,376 2,37 2,639 - Empresas de Arrendamiento Financiero 1 316 ,524 25 5,506 - Banco de la Nación 1 28,730 ,172 6,03 2,595 24,02 8,851 Banco Agropecuario (Agrobanco) 1 614 ,006 91 5,228 - Total 57 483,275 ,431 321,74 6,401 314,33 5,242 Nota: Adaptado de “Carpeta de Información del Sistema Financiero”, por SBS, 2019a. Recuperado de http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=14# En la Tabla 2 se muestra las empresas que realizan operaciones múltiples, el negocio de estas empresas consiste en recibir dinero de las personas en depósito o bajo cualquier modalidad contractual y utilizar esos fondos junto con su capital y fuentes de financiamiento en otorgar créditos de distintas modalidades. (SBS, 2017c) 13 Tabla 2. Empresas de Operaciones Múltiples Banca Múltiple Empresas Financieras Cajas Municipales Cajas Entidades de Desarrollo de la Rurales Pequeña y Microempresa 1. Banco de 1. Amérika 1. CMAC Arequipa 1. CRAC 1. EDPYME Alternativa Comercio Financiera Raíz 2. Banco de Crédito 2. Compartamo 2. CMAC Cusco 2. CRAC 2. EDPYME Acceso Crediticio del Perú s Financiera Sipán 3. Banco 3. Crediscotia 3. CMAC Del Santa 3. CRAC 3. EDPYME Credivisión Interamericano de Financiera Los Finanzas Andes 4. Banco Pichincha 4. Financiera 4. CMAC Huancayo 4. CRAC 4. EDPYME Micasita Confianza Prymera 5. BBVA Continental 5. Financiera 5. CMAC Ica 5. CRAC 5. EDPYME Marcimex Credinka Incasur 6. Citibank Perú 6. Financiera 6. CMAC Maynas 6. CRAC 6. EDPYME Inversiones La Efectiva del Cruz Centro 7. Interbank 7. Financiera 7. CMAC Paita 7. CRAC 7. EDPYME BBVA Consumer Oh! CAT Finance 8. MiBanco 8. Financiera 8. CMAC Piura 8. EDPYME GMG Proempresa 9. Scotiabank Perú 9. Financiera 9. CMAC Sullana 9. EDPYME Santander Qapaq 10. Banco GNB Perú 10. Financiera 10. CMAC Tacna TFC S.A. 11. Banco Falabella 11. Mitsui Auto 11. CMAC Trujillo Finance 12. Banco Ripley 12. Caja Municipal de Crédito Popular Lima 13. Banco Santander Perú 14. Banco Azteca 15. ICBC PERU BANK Nota: Adaptado de “Reportes del Sistema Financiero”, por SBS, 2019b. Recuperado de http://www.sbs.gob.pe/estadisticas- y-publicaciones/estadisticas-/sistema-financiero_ 2.2.2. Superintendencia de Banca, Seguros y Administradora de Fondos de Pensiones Es el organismo que se encarga de regular y supervisar a los integrantes del sistema financiero, así como prevenir y alertar el lavado de activos y financiamiento del terrorismo. La autonomía de la SBS es reconocida por la Constitución Política del Perú y sus funciones están establecidas en Ley N° 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca, Seguros y AFP (SBS, 2019c). 14 Tabla 3. Evolución de la Supervisión de la SBS Año Evento histórico 1931 Creación de la Superintendencia de Bancos 1936 Se incluye compañías de capitalización y empresas de seguros al ámbito de supervisión de la SBS 1968 Se incluye las empresas financieras y las mutuales de vivienda al ámbito de competencia de la SBS 1979 SBS adquiere rango constitucional 1996 Se promulga la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la SBS 2000 Se incorpora a las AFP al control y supervisión de la SBS 2005 Se dicta la Ley número 28587, que regula la protección del usuario de servicios financieros 2007 Se incorpora la Unidad de Inteligencia Financiera del Perú a la SBS 2018 Se incorpora las cooperativas de Ahorro y Crédito a la supervisión de la SBS Nota: Adaptado de “Quienes somos”, por SBS, 2019c. Recuperado de http://www.sbs.gob.pe/quienessomos 2.2.3. Sistema bancario peruano A partir de marzo de 2019, el sistema bancario peruano está compuesto por 15 empresas de banca múltiple, luego de que Banco Cencosud se convirtiera en Caja Rural de Ahorro y Crédito (SBS, 2019d). En la Tabla 4 se muestra la participación por empresa al 31 de mayo de 2019. Tabla 4. Participación de Créditos, Depósitos y Patrimonio Créditos directos Depósitos totales Patrimonio Empresas Miles de S/ % Miles de S/ % Miles de S/ % B. de Crédito del Perú 89,915,521 32.89 85,313,577 32.99 17,163,277 35.79 B. BBVA Perú 55,652,786 20.36 53,814,431 20.81 8,953,614 18.67 Scotiabank Perú 47,803,400 17.49 41,602,099 16.09 8,217,238 17.13 Interbank 33,951,934 12.42 32,749,590 12.67 5,369,245 11.2 B. Interamericano de Finanzas 10,196,087 3.73 10,539,192 4.08 1,874,735 3.91 Mibanco 10,171,376 3.72 8,232,086 3.18 1,110,677 2.32 B. Pichincha 7,799,240 2.85 6,667,113 2.58 991,805 2.07 B. Santander Perú 4,035,968 1.48 4,825,502 1.87 821,123 1.71 B. GNB 3,782,493 1.38 4,629,323 1.79 799,086 1.67 B. Falabella Perú 3,009,541 1.1 3,953,294 1.53 757,671 1.58 Citibank 2,601,299 0.95 2,477,658 0.96 736,552 1.54 B. Ripley 1,904,789 0.7 1,416,881 0.55 449,253 0.94 B. de Comercio 1,545,251 0.57 1,376,248 0.53 316,238 0.66 B. ICBC 624,114 0.23 645,533 0.25 259,427 0.54 B. Azteca Perú 367,225 0.13 337,803 0.13 139,109 0.29 Nota: Adaptado de “Información estadística de banca múltiple”, por SBS, 2019d. Recuperado de http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1# 15 2.3. Riesgo 2.3.1. Historia del riesgo El riesgo ha acompañado a la humanidad en cada una de las decisiones que ha tomado a lo largo del tiempo, Chávez (2018) mencionó que los bosquejos de la definición de riesgo datan de 3200 A.C., donde algunos grupos de habitantes denominados Asipu brindaban consejos en decisiones difíciles en el Valle del Tigris y el Éufrates, pero que la definición de riesgo se popularizó con la llegada de la imprenta. En la década de los 60 hubo un progreso en la planificación contingente, incorporando la prevención de fraude y autoprotección en algunas actividades, como explicó Dionne (2013), y para la década siguiente se incorporó el uso de algunos derivados como instrumento de gestión del riesgo, siendo en los 80 que tomó mayor importancia la gestión de riesgos financieros por parte de compañías y bancos. La gestión del riesgo comenzó a estudiarse posterior a la segunda guerra mundial, comentó Dionne (2013) que los primeros libros publicados sobre el tema fueron en 1963 por Mehr y Hedges, y en 1964 por Williams y Hems, los cuales abarcaban la gestión del riesgo puro. Asimismo, Sotelsek y Pavón (2012) comentaron que el Comité de Basilea para la Supervisión Bancaria (BCBS) estableció el Acuerdo de Basilea sobre Supervisión de Sucursales Bancarias en el Extranjero en 1975, el cual buscaba asignar responsabilidad y monitoreo en bancos con sucursales en otros países para el país de origen (donde se ubica la casa matriz); en 1983 actualizaron los acuerdos para incorporar el principio de revisión consolidada de los estados financieros, asignando la responsabilidad al país de origen y destino en la supervisión; luego en 1992 se volvió a actualizar el acuerdo donde se incorporó que todos los bancos internacionales debían ser supervisados de manera consolidada en el país de origen, y se debía contar con la autorización del país origen y destino para crear un banco en un país extranjero, además los supervisores del país de origen tenían derecho a pedir 16 información de las sucursales extranjeras, y si alguno de los puntos anteriores no se cumpliera satisfactoriamente el país de destino podría imponer restricciones hasta prohibir las operaciones de bancos extranjeros. En 1997 publicaron el documento Principios Básicos para una Supervisión Bancaria Efectiva, que abarcó cinco categorías:  pre requisitos para la supervisión bancaria efectiva,  licencia y estructura,  regulaciones prudenciales y requerimientos,  métodos para la supervisión bancaria, y  banca internacional. Dentro de los puntos más destacados se rescató la independencia operativa, recursos y un marco legal adecuado, y requerimientos de capital mínimo en base a los riesgos del banco; estos principios fueron revisados y afinados en el 2003 (Sotelsek & Pavón, 2012). Ante el incremento de instrumentos financieros y la evolución del sistema, muchas empresas empezaron a quebrar por malos manejos administrativos, financieros, elevado apetito al riesgo, y una mala gestión de los mismos por lo cual Estados Unidos introdujo algunas reglas de gobierno en la regulación Sarbanes-Oxley del 2002 (Dionne, 2013). En lo referente a riesgo operacional se presentó un concepto general en 1991 por la organización Committee of Sponsoring Organizations of the Treadway Commission (COSO) en su publicación “Internal Control Integrated Framework”, el cual no adquirió mucha exposición hasta mediados de los 90 cuando se desarrollaron las propuestas para Basilea II en junio de 1999 (1991, citado en Power, 2003). Asimismo, se plantearon varias reformas para el sistema financiero, emitiendo actualizaciones en el 2001 y 2002, que concluyeron en el 2003 (Sotelsek & Pavón, 2012). 17 Posterior a ello, Pacheco (2009), señaló que el Comité de Basilea en el 2006 realizó la publicación del Estudio de Impacto Cuantitativo 5, donde mostró como parte de sus resultados que el riesgo operacional era más significativo que el riesgo de mercado en los países del G-10. En el 2010, se aprobó un acuerdo final denominado Basilea III, donde participaron los 20 países más representativos económicamente. En su artículo Sotelsek y Pavón (2012) mencionaron algunos temas abordados en Basilea III respecto a su versión anterior, los cuales se agruparon en tres puntos (a) la redefinición de calidad del capital asociado al incremento de complejidad en los instrumentos financieros; (b) la incorporación de soportes que respalden el apalancamiento de los bancos y diversidad de los productos financieros que complican la supervisión a los reguladores y generan su riesgo sistémico; y (c) la visión macro-prudencial como escudo ante el riesgo sistémico (buscando una relación entre riesgo de impacto al sistema financiero y exigencia en la norma, donde los bancos más grandes cumplan más requisitos). Años Hechos 3200 a.c. Bosquejos de la definición de riesgo 0 d.c. 1960 Actividades de prevención de fraude y autoprotección 1963-1964 Salen los libros asociado a la gestión de riesgo puro de Mehr y Hedges y Williams and Hems 1972 Introducción de los contratos de futuros sobre divisas en la Bolsa Mercantil de Chicago 1973 1975 Acuerdo de Basilea sobre Supervisión de Sucursales Bancarias en el Extranjero 1983 Actualización de Acuerdo de 1975, incorpora la revisión consolidada de los estados financieros. 1988 Basilea I, incorpora el concepto de Valor en riesgo (VaR) y el cálculo de capital óptima 1991 Definición de concepto de riesgo operacional en "Committee of Sponsoring Organizations of the Treadway Commission" (COSO) 1997 Principios Básicos para una Supervisión Bancaria Efectiva 2002 Introducción de regulación Sarbanes-Oxley en Estados Unidos 2004 Basilea II 2006 Estudio de Impacto Cuantitativo 5, muestra en resultados la relevancia del Riesgo operacional en el G-10. 2008-2009 Crisis Financiera, contagio mundial. 2009 Solvencia II (todavía no implementado en abril de 2013) 2010 Basilea III 2013-2019 Implemantación de controles en Basilea III. Figura 2. Historia del riesgo. 18 2.3.2. Definición del riesgo La palabra riesgo es ampliamente utilizada y es tan antigua como la existencia humana, por tanto, de acuerdo al contexto en que se encuentre el riesgo tiene múltiples significados. En ese sentido, Mejía (2011, citado en Mejía, 2013) indicó que la palabra riesgo desde sus orígenes se relaciona con peligro: Desde el punto de vista etimológico, el origen de la palabra riesgo se atribuye tanto al latín como al árabe. Se dice que llega al italiano a través de la palabra risico o rischio, y ésta del árabe clásico rizq (lo que depara la providencia), o del latín resecu (riesgo en el mar, roca, risco) y risicare (desafiar, retar, enfrentar, atreverse o transitar por un sendero peligroso). El significado de riesgo se relacionaba con el peligro que en la antigüedad representaban los riscos marinos para las embarcaciones. (p. 25) Por otro lado, la Real Academia de la Lengua Española (2019) definió al riesgo con dos acepciones (a) Contingencia o proximidad de un daño; y (b) Contingencias que pueden ser objeto de un contrato de seguro. El riesgo es inherente a la propia empresa y está presente en cualquier actividad de la misma. En ese sentido, Díaz (2017) definió al riesgo como “el efecto de la incertidumbre sobre los objetivos, toda desviación de los resultados esperados que son positivos o negativos y que tienen un impacto en el cumplimiento de los objetivos” (p. 3). Asimismo, de acuerdo a Lizarzaburu et al. (2012) “en finanzas, suele entenderse el riesgo como la probabilidad de enfrentar pérdidas” (p. 97). Las organizaciones están expuestas a todo tipo de riesgos que pueden ocasionar pérdidas económicas, por ello es importante identificar los tipos de riesgos a las que se encuentran expuestas. De acuerdo a la Norma ISO 31000 (s.f.), los riesgos pueden clasificarse de la siguiente manera: En base a su naturaleza: 19  Riesgo puro, definido como incertidumbre de que ocurra un determinado suceso que ocasione una pérdida económica.  Riesgo especulativo, definido como incertidumbre de que ocurra un determinado hecho que ocasione la materialización de una expectativa de beneficio o pérdida. En base al tipo de actividad:  Riesgo sistemático, aquel riesgo que proviene del sistema económico o del mercado en su conjunto.  Riesgo no sistemático, aquel riesgo que proviene de la gestión financiera y administrativa de cada organización. 2.3.3. Tipos de riesgo En el 2007, Chartered Financial Analysis Institute (CFA), en su libro Managing Investment portfolios identificó los siguientes tipos de riesgo:  Riesgo de mercado, posibilidad de incurrir en pérdidas relacionadas con disminuciones de valor de activos por cambios en las cotizaciones de precios de mercado. Los principales tipos de riesgos de mercado son tasa de interés, precios de acciones, tipos de cambio, y precios de los commodities.  Riesgo de crédito, posibilidad de pérdida por deterioro de cuentas por cobrar (incobrables) relacionada con la imposibilidad de pago de una contraparte deudora de algún activo sobre el cual se es acreedor. Es importante mencionar que al comprar un bono o un derivado financiero relacionado con bonos también estamos afectos al riesgo de crédito y al riesgo de mercado por tasa de interés.  Riesgo de liquidez, es el riesgo relacionado con la posibilidad de no contar con la cantidad suficiente de un activo en el mercado para comprarlo o venderlo. Este riesgo se suele manifestar en periodos de mucho estrés financiero y es un problema muy serio ya que se pueden experimentar pérdidas mayores a las que se tenían contempladas en 20 los marcos de apetito al riesgo. El riesgo de liquidez es difícil de cuantificar y por tanto no suele ser incluido en los modelos de valorización, lo cual tiene consecuencias negativas porque los activos se suelen sobrevalorar al no incluir este riesgo.  Riesgo Operacional, es el riesgo asociado a las pérdidas por fallas en los sistemas y procedimientos en las compañías, y también ocasionadas por eventos externos. Actualmente las empresas se cubren de este riesgo a través de contratos de seguro, transfiriendo así el riesgo.  Riesgo de modelo, se refiere a la posibilidad de incurrir en pérdidas por la aplicación de un modelo errado o no aplicable a la realidad del negocio que pueda subvalorar o sobrevalorar el valor razonable del activo que se está intentando valorizar. Este tipo de riesgo se manifestó luego de utilizar valores de entrada erróneos en el modelo de valorización de opciones (derivados financieros en general) de Black-Scholes-Mertton que finalmente se podría traducir como una de las principales causas de la mala gestión de riesgos que provocó la crisis financiera de 2008.  Riesgo de contraparte, está asociado a los derivados financieros, y hace referencia al riesgo de que la contraparte incumpla en el pago pactado por caer en bancarrota.  Riesgo regulatorio, riesgo relacionado con la posibilidad de que las leyes o mandatos de un mercado regulado cambien en contra de los beneficios de la empresa. Por ejemplo, en el caso de los fondos de inversión la regulación puede cambiar en imponer nuevos límites en inversión en tipos de activos más volátiles.  Riesgo legal contractual, es el riesgo relacionado con la posibilidad de que la contraparte en un contrato explícito o implícito pueda activar una penalidad por algún incumplimiento o demandar por algún perjuicio o afectación con responsabilidad de la empresa. Muchas veces es fácil de identificar y cuantificar. 21  Riesgo fiscal, relacionado con la incertidumbre en los cambios de leyes de impuestos que puedan ocasionar un mayor gasto que el que se esperaba inicialmente. En el mundo financiero abundan los instrumentos financieros cuyo tratamiento tributario puede ser muy significativo, por lo que es recomendable invertir en equipos de expertos analistas tributarios según el nivel de exposición a este tipo específico de riesgo.  Riesgo contable, surge ante la posibilidad de registrar una transacción de manera contable diferente a la normativa vigente y manejada por el país, impactando los estados financieros, además se origina como producto de las variaciones en la regulación contable, la existencia de áreas de inconsistencia o confusión que dejen margen a la interpretación, y los desfases en conocimiento del personal contable.  Riesgo soberano y político, el riesgo soberano está asociado a la disposición del país de cumplir sus obligaciones crediticias, así como los medios de financiamiento que podría usar y que pueden impactar su economía y valoración de su moneda; mientras que el riesgo político está asociado a cambios en el entorno político, como el régimen, el partido, y las condiciones contractuales (leyes, sanciones, impuestos, etc.). 2.3.4. Gestión de riesgos La gestión del riesgo en el sector financiero es obligatoria y regulada, en el caso de Perú por la SBS, basada en los acuerdos de Basilea. Su importancia se hizo más notable en la crisis financiera del 2008 producto de la globalización e internacionalización de la banca como mencionan Lizarzaburu et al. (2012), resaltando como principales causas las fallas en supervisión y regulación del sistema, la sofisticación de los instrumentos financieros es un ejemplo de ello, que hace referencia a la complejidad de los derivados financieros y la estimación de su riesgo. Por su parte, Laffaye (2008) consideró que la demanda internacional, estrechamente relacionada a las mejores condiciones de intercambio, fue un importante canal de contagio en la crisis del 2008. 22 Existen diversos autores que desarrollaron la definición de gestión de riesgos (CFA, 2007): La gestión del riesgo es un proceso que implica la identificación de exposiciones al riesgo, el establecimiento de rangos apropiados para las exposiciones, dada una clara comprensión de los objetivos y restricciones de una entidad, la medición de estas exposiciones (ya sea presente o contemplada), y la ejecución de los ajustes apropiados siempre que los niveles de exposición estén fuera del rango objetivo. El proceso es continuo y puede requerir modificaciones en cualquiera de estas actividades para reflejar nuevas políticas, preferencias e información. (p. 580) Por otro lado, Cisneros (2006) definió la gestión del riesgo como un “conjunto de procesos efectuados por el Directorio, la gerencia, los funcionarios, y los trabajadores de la empresa, destinados a proveer una seguridad razonable sobre el logro de los objetivos de la empresa” (p. 6). De la Torre (2018) mencionó que la auditoría interna permite mejorar los procesos de gestión de riesgos, control y gobierno, asimismo esta actividad implementada por la totalidad de los bancos permite monitorear el cumplimiento de políticas y procesos establecidos, siendo un área clave y obligatoria en el sector financiero. 2.3.5. Componentes de la gestión de riesgos Cisneros (2006) describió los componentes del proceso de la gestión del riesgo:  Ambiente interno, asociado al apetito de riesgo del directorio, los valores y filosofía de la administración de riesgo, entre otros factores humanos.  Establecimiento de objetivos, relacionados a la tolerancia al riesgo de la entidad al igual que a su misión y visión. Los objetivos deben ser estratégicos, operacionales, de información, y cumplimiento. 23  Identificación de eventos, abarca las técnicas usadas, categorización de los eventos, interdependencia entre ellos, factores influyentes, entre otras segmentaciones.  Evaluación de riesgos, posterior a identificar los riesgos, se tiene que cuantificar su impacto y priorizar su atención, separando el riesgo inherente y el residual.  Respuesta de riesgos, está asociado a la gestión del riesgo a través de la matriz del riesgo, donde se puede disminuir el riesgo al controlarlo, compartirlo, transferirlo, al diversificar las carteras o evitarlo.  Control de actividades, a través de políticas y procedimientos asociados a las actividades que producen eventos de riesgo, asegurando su cumplimiento.  Información y comunicación, consiste en brindar información oportuna y apropiada a los clientes internos y externos.  Monitoreo, a través de reportería, que permite evaluar el cumplimiento de la gestión de riesgos. Figura 3. Proceso de evaluación de riesgos. Tomado de Lineamientos Generales de la Gestión de Riesgos Operacionales en DCV (p. 4), por Depósito Central de Valores S.A. (2009) Recuperado de https://www.dcv.cl/img/images/informacion/gestion_de_riesgo/lineamientos_generales_ge stion_de_riesgo_operacional.pdf 24 Por otro lado, el CFA (2007) presentó el proceso de la administración de riesgos, el cual es presentado en la Figura 4. Figura 4. Proceso de gestión de riesgos: aplicación práctica. Tomado de Managing Investment Portfolios, Gestión del riesgo (3ª ed., p. 581) por CFA, 2007, New Jersey, Estados Unidos: John Willey & Sons, Inc. 2.3.6. Marco regulatorio de la gestión de riesgos 2.3.6.1. Basilea Basilea nació a raíz de la importancia de establecer una normativa de carácter general e internacional para asegurar la solvencia y estabilidad de los bancos. Dicha función fue asignada al Banco de Pagos Internacionales y en 1974 se formó el Comité de Supervisión Bancaria de Basilea (Gonzáles & Solís, 2012). Las normas de dicho Comité han ido evolucionando a través del tiempo, teniendo actualmente tres acuerdos de Basilea, llamados Basilea I, Basilea II y Basilea III, y diversos documentos de consulta. A continuación, se presentan los principales lineamientos de estos acuerdos: 1. Basilea I El primer acuerdo de Capital, publicado en 1988, estableció los principios y estándares de capital mínimo requeridos para mantener la solidez del sistema bancario 25 internacional, los mismos que estuvieron dirigidos especialmente al riesgo de crédito, el principal riesgo incurrido por los bancos (Comité de Supervisión Bancaria de Basilea, 1988). En 1996 se realizó una enmienda para incluir los requisitos de capital para el riesgo de mercado (González & Solís, 2012). En el marco de Basilea I, el capital fue considerado como el pilar principal de la estabilidad bancaria, el mismo que fue dividido en capital básico, que corresponde al capital social, aquel aportado por los accionistas y, el capital complementario, que incluye a las provisiones generales, deuda subordinada a corto plazo e instrumentos de capital de deuda híbridos. Asimismo, se estableció cinco categorías de ponderación para los activos ponderados por riesgo crediticio, desde 0% hasta 100%, dependiendo del nivel de riesgo. Finalmente, el requerimiento mínimo de capital para las organizaciones se estableció en 8% del total de activos ponderados por riesgo (Comité de Supervisión Bancaria de Basilea, 1988). 2. Basilea II Dado que el primer acuerdo no contemplaba todos los riesgos a los que se encontraban expuestos los bancos, Basilea publicó un segundo acuerdo en junio de 2004, conocido como Nuevo acuerdo de Capital o Basilea II, en el cual fue incluido el riesgo operacional, adicionalmente se establecieron nuevos lineamientos para la gestión del riesgo bancario, manteniéndose el primer pilar y agregando dos nuevos pilares:  Requerimientos mínimos de capital, este pilar establece el requerimiento mínimo de Basilea del 8% de los activos ponderados por riesgo, manteniendo el mismo que Basilea I, considerando el riesgo operacional. En cuanto al riesgo de crédito, Basilea consideró dos alternativas, el enfoque estándar y el enfoque basado en calificaciones internas. El enfoque estándar vinculaba los requerimientos de capital a la calificación que emitían las agencias calificadoras, estableciéndose una ponderación con cuatro 26 categorías de acuerdo a la calificación obtenida, añadiendo factores mitigantes del riesgo como garantías y derivados a ambos enfoques. Respecto al riesgo de mercado, Basilea estableció dos métodos, el método estándar y los modelos internos como el VAR, cuyo método requería la aprobación de la entidad supervisora. En relación al riesgo operativo, Basilea estableció tres métodos para calcular los requerimientos de capital (a) Método del Indicador Básico, cuya metodología se basa en un porcentaje fijo de los ingresos brutos anuales promedio de los tres últimos años; (b) Método Estándar, un porcentaje fijo de los ingresos brutos divididos en ocho líneas de negocio; y (c) Métodos de Medición Avanzada (AMA), el requerimiento de capital corresponde a la medida de riesgo proveniente del sistema interno de medición del riesgo operacional del banco, a través de ciertos criterios cuantitativos y cualitativos que están sujetos a la aprobación del supervisor (Comité de Supervisión Bancaria de Basilea, 2004).  Proceso de examen supervisor, pilar relacionado a los principios básicos para una adecuada y transparente función del supervisor, buscando que no solo se límite a garantizar el capital mínimo sino también a fomentar una eficiente gestión del riesgo. Asimismo, el proceso de examen debe cumplir con cuatro principios básicos (Comité de Supervisión Bancaria de Basilea, 2004) que son (a) los bancos deberán demostrar que la suficiencia de capital se encuentra en función del perfil de riesgo, contando con una estrategia de mantenimiento de sus niveles de capital. Para la gestión del riesgo operacional deberá utilizarse el mismo rigor que se utiliza para los otros riesgos significativos, dado que puede exponer a la entidad a pérdidas importantes; (b) los supervisores deberán evaluar que los objetivos y procesos internos de los bancos incorporen todos los riesgos, además verificar las estrategias y evaluaciones de la suficiencia de capital, posición de riesgo y la calidad del capital mantenido, así como revisar la eficiencia de sus procesos para garantizar el cumplimiento de lo requerido, 27 debiendo intervenir cuando no sea satisfactorio; (c) los supervisores deberán validar y exigir que los bancos mantengan capital por encima de los coeficientes mínimos de capital regulador; y (d) los supervisores deberán intervenir oportunamente a fin de evitar que el capital disminuya por debajo de los niveles mínimos requeridos, además deberán exigir medidas correctivas inmediatas de no cumplirse con ello.  Disciplina de Mercado, pilar relacionado a los requerimientos de divulgación de información que deben cumplir los bancos, cuya finalidad es que sea un medio eficaz para comunicar al mercado la exposición a los riesgos que tiene cada entidad, ofreciendo un marco de divulgación coherente y comprensible para facilitar las comparaciones, contribuyendo a un entorno bancario sólido. Asimismo, los supervisores son los responsables de vigilar que se cumplan los requerimientos de divulgación (Comité de Supervisión Bancaria de Basilea, 2004). 3. Basilea III Este acuerdo se encuentra vigente y fue establecido a raíz de la crisis financiera ocurrida en el 2008 y lo que busca es establecer un sistema bancario resiliente capaz de mitigar los riesgos sistémicos, dando mayor importancia a aquel capital que permite absorber pérdidas. En este acuerdo se incluyeron elementos macroprudenciales como la exigencia de colchones de capital en ciclos económicos de auge para ser utilizados en momentos de crisis y la evaluación de un coeficiente de apalancamiento a fin de prevenir el exceso de apalancamiento y complementarlo con los requerimientos de capital (Comité de Supervisión Bancaria de Basilea, 2017a). Asimismo, este acuerdo estableció los siguientes lineamientos para los tres pilares:  Requerimientos mínimos de capital, este pilar busca mejorar la calidad del capital regulador, incrementando el requerimiento del capital ordinario de 2.0% a 4.5% de los activos ponderados por riesgo, además se especificó un colchón de conservación de 28 capital del 2.5% que eleva el capital mínimo requerido a 7.0% de los activos ponderados por riesgo (Comité de Supervisión Bancaria de Basilea, 2017a). Asimismo, se estableció un colchón de capital anticíclico, cuyo objetivo es mantener capital adicional de entre 0 y 2.5% de los activos ponderados por riesgo para lograr el objetivo macroprudencial de proteger al sector bancario en tiempos de crisis (Comité de Supervisión Bancaria de Basilea, 2010b). Por otro lado, Basilea estableció un coeficiente mínimo de apalancamiento que complementó los requerimientos de capital ponderados por riesgo, el mismo que fue definido en 3% del capital básico (Comité de Supervisión Bancaria de Basilea, 2017a). Respecto al riesgo de liquidez, Basilea incluyó dos nuevos estándares de requerimientos mínimos, el primero está relacionado con el coeficiente de cobertura de liquidez, el cual exige que los bancos mantengan activos líquidos de calidad que les permita contrarrestar los efectos de los ciclos de tensión por 30 días y el segundo corresponde al coeficiente de financiación estable neta, el mismo que está diseñado para mitigar los desajustes de liquidez; en relación al método estándar aplicable a los riesgos de crédito, mercado, operacional y ajuste de valoración de los créditos, se mejoró la sensibilidad al riesgo y la comparabilidad (Comité de Supervisión Bancaria de Basilea, s.f.).  Gestión y supervisión del riesgo: En este segundo pilar, Basilea intentó subsanar las deficiencias encontradas en la gestión de riesgos de las entidades financieras, producto de un gobierno corporativo débil, del excesivo riesgo que tomaron en la búsqueda de rendimientos a corto plazo y la subjetiva y discrecional supervisión que no logró obtener resultados homogéneos a nivel internacional. En ese sentido, Basilea estableció considerar el riesgo de una empresa de manera integral, es decir, implementar una supervisión macroprudencial que complemente la función de supervisión 29 microprudencial, cuyo objetivo fue mitigar el riesgo sistémico y corregir elementos débiles del sistema financiero de carácter microeconómico (Sotelsek & Pavón, 2012).  Disciplina de Mercado: En este pilar, Basilea buscó ofrecer información regulatoria a los inversionistas de manera coherente y transparente con la finalidad de que sea comprensible y comparable entre los bancos y su exposición al riesgo, incluyendo cinco principios rectores, entre los que se encuentran (a) la información debe ser clara y comprensible y debe ser informada a través de un medio accesible; (b) la divulgación debe ser integral, es decir, la información debe ser relevante y proporcional a la complejidad del banco y, cualquier variación significativa respecto a la última divulgación deberá ser descrita; (c) la divulgación debe incluir los riesgos actuales más importantes; (d) la información debe ser coherente a través del tiempo, a fin que las partes involucradas puedan encontrar tendencias en el perfil del riesgo, y (e) la información debe ser comparable entre bancos (Comité de Supervisión Bancaria de Basilea, 2015). 2.3.7. Riesgo operacional 2.3.7.1. Definición y tipos de evento de riesgo operacional Está incluida en el proceso de identificación, medición, control y monitoreo del riesgo operacional, el cual tiene que formar parte de las políticas aprobadas por el Directorio. Basilea (2003b) definió al riesgo operacional de la siguiente manera: El riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos. Esta definición incluye el riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación. (p. 125) Asimismo, Basilea (2003b) estableció una clasificación detallada de los tipos de eventos de pérdida por riesgo operacional, los que se detallan a continuación: 30  Fraude interno, pérdidas por actuaciones orientadas a defraudar, apropiarse de bienes indebidamente, evitar regulaciones o políticas empresariales, excluyéndose los eventos de diversidad o discriminación, en las que se encuentra involucrada, al menos, una parte interna de la empresa.  Fraude externo, pérdidas por actuaciones orientadas a defraudar, apropiarse de bienes indebidamente, en las que se encuentra involucrado un tercero.  Relaciones laborales y seguridad en el puesto de trabajo, pérdidas por actuaciones incompatibles con la legislación o acuerdos laborales o eventos de diversidad o discriminación.  Prácticas con clientes, productos y negocios, pérdidas relacionadas al incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos o de la naturaleza o diseño de un producto.  Daños a los activos materiales, pérdidas relacionadas a daños ocasionados a activos materiales a consecuencia de desastres naturales u otros incidentes.  Incidencias en el negocio y fallos en los sistemas  Ejecución, entrega y gestión de procesos, pérdidas relacionadas a errores en el procesamiento de operaciones, en la gestión de procesos o de relaciones con clientes y proveedores. 2.3.7.2 Factores del riesgo operacional La Superintendencia de Bancos de Guatemala (SIB) en el 2017 agrupó el riesgo operacional en los siguientes factores:  Personas, abarca fraude interno, prácticas de empleo y seguridad laboral.  Procesos, abarca ejecución, entrega y gestión de procesos; prácticas con clientes, productos y negocios, que no esté ligado a una omisión del proceso (error humano).  Sistemas, involucra interrupción de operaciones y/o fallas del sistema. 31  Eventos externos, daños o pérdidas de activos físicos (incluido los causados por desastres naturales), y fraude externo. Cada uno de los factores de riesgo mencionados puede darse aisladamente o en conjunto. Esta investigación se enfoca en el factor personas, puntualmente en el fraude interno. 2.3.7.3. Gestión del riesgo operacional De acuerdo al Banco Central de la República Argentina (BCRA) en el 2008, la gestión del riesgo operacional involucra la determinación, revisión, monitoreo, establecimiento de procedimientos de control y mitigación del mismo. De esta forma, las entidades del sector financiero deben examinar su nivel de debilidad ante el hecho de que ocurran diversos tipos de eventos y de esta forma identificar su perfil de riesgo operacional, y definir las acciones correctivas o preventivas pertinentes. Cabe mencionar que una gestión efectiva y eficiente del riesgo operacional apoya en la prevención de que se materialicen pérdidas derivadas de eventos operativos, por ello, es importante que las entidades del sector financiero instauren un programa de gestión del riesgo operacional de sus productos, procesos y sistemas relevantes, así como previo a la definición e implementación de nuevos productos, procesos y/o utilización de nuevos sistemas. El proceso de gestión del riesgo operacional abarca tres fases principales: 1. Identificación y evaluación En la identificación del riesgo operacional, se considera factores internos como la estructura de la entidad y el núcleo de sus actividades, y factores externos, como cambios en el sector y avances tecnológicos que pueden perturbar el desarrollo de los procesos respecto a los objetivos estratégicos de negocio definidos por la entidad financiera. Para una adecuada gestión del riesgo operacional, las entidades financieras pueden utilizar datos internos, y a través de su análisis, definir un proceso para registrar y medir la 32 frecuencia, impacto, tipos y otros aspectos relevantes de los eventos de pérdida por riesgo operacional. El registro de dichos eventos sirve para reducir los incidentes, las pérdidas y para optimizar la calidad del servicio y de los productos. Las entidades pueden identificar y evaluar sus riesgos operacionales a través de los siguientes puntos:  La auto-evaluación del riesgo operacional, que es el proceso interno que en el cual se usan listas de control o grupos de trabajo para identificar fortalezas y debilidades del entorno de riesgo operacional en la entidad,  Asignación de riesgos que permite agrupar por categoría de riesgo a las diferentes unidades de negocio, funciones organizativas o procesos,  Indicadores de riesgo o parámetros como, el número de operaciones erradas, las tasas de rotación del personal y la frecuencia y/o impacto de los errores realizados durante los procesos específicos de la entidad financiera. Estos indicadores deben manifestar las fuentes potenciales del riesgo operacional, tales como, el lanzamiento de nuevos productos, la rotación del personal, interrupciones en las operaciones o en los sistemas, etc. (BCRA, 2008). 2. Control y mitigación Se debe establecer procedimientos de control y un sistema que certifique el cumplimiento de las políticas internas, mediante la evaluación de las medidas de control y reducción de riesgos operacionales en la que sea posible realizar los cambios pertinentes. Dicha evaluación debe realizarse con una frecuencia anual como mínimo. Con el objetivo de reducir la exposición a los riesgos operacionales relevante, se pueden utilizar programas de cobertura de riesgo como las pólizas de seguro, que deben ser utilizadas únicamente como complemento de las estrategias de control interno establecidas, sin embargo, no deben ser consideradas como suplentes de la gestión del riesgo operacional. 33 El Directorio, la Alta gerencia y, a nivel funcional la gerencia encargada de la gestión del riesgo operacional debe presentar un alto grado de compromiso que mantenga una cultura de control interno robusta, de tal forma que las actividades relacionadas con el control del riesgo operacional sean parte de los procesos diarios de la entidad. Asimismo, es responsabilidad de las entidades financieras establecer planes de contingencia y de continuidad de la actividad que garanticen la continuación de su capacidad operativa y la disminución de las pérdidas en caso de interrupción de la actividad. Además, periódicamente se debe corroborar la eficacia de los planes de recuperación y de continuidad del negocio mediante su evaluación, verificando que se encuentren alineados con las operaciones y objetivos de negocio (BCRA, 2008). 3. Seguimiento Se debe definir un proceso de seguimiento adecuado, que permita la rápida detección y corrección de las posibles deficiencias que se generen en las políticas, procesos y procedimientos de la gestión del riesgo operacional. Adicional al monitoreo de los eventos de pérdidas operativas, es una buena práctica validar la evolución de los indicadores con el fin de mejorarlos en función de los eventos de pérdida producidos. La unidad o gerencia que realiza la gestión del riesgo operacional debe proporcionar al Gerente General, o autoridad equivalente que tenga capacidad de decisión en cuanto a la gestión de riesgos, informes en los que se detalle los resultados del seguimiento realizado y las propuestas de corrección en los procesos y procedimientos que corresponda. Dichos informes, una vez analizados y aprobados deben ser distribuidos entre las gerencias correspondientes y las áreas involucradas, a fin de que establezcan los procedimientos de control recomendados para garantizar una gestión del riesgo operacional adecuada y oportuna (BCRA, 2008). 2.3.7.4. Marco Regulatorio de Riesgo Operacional 34 Tabla 5. Riesgo Operacional antes de Basilea II Año Hechos 1986 - 1990 El Comité de Basilea publicó al menos cinco documentos donde aborda aspectos de riesgo operacional sin plantear una definición explícita 1988 En el Acuerdo de Capital de Basilea I no se incluyó requerimientos de capital por riesgo operacional y tampoco se especificó sobre las prácticas de gestión de este riesgo 1994 El Comité de Basilea publicó la Guía para la Gestión de Productos Derivados donde define formalmente al riesgo operacional 1998 El Comité de Basilea publicó el artículo “Operational Risk Management” donde presentó el estudio de la Administración de riesgo operacional en las instituciones financieras Nota: Adaptado de Riesgo Operacional: Conceptos y Mediciones, por Pacheco 2009. Recuperado de https://www.sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf 1. Basilea II y Basilea III El acuerdo de Basilea II surgió con el objetivo de brindar solidez y estabilidad al sistema bancario internacional y se basa en tres pilares: Capital mínimo exigible, examen por parte del supervisor, y disciplina del mercado. (Comité de Supervisión Bancaria de Basilea, 2004). Asimismo, en la compilación del Marco de Basilea II, el Comité de Supervisión Bancaria de Basilea (2006) presentó las metodologías de estimación que consta de tres métodos para el cálculo de requerimiento de capital de por riesgo operacional:  El Método de Indicador Básico, los bancos que utilicen este método deberán cubrir el riesgo operacional con un capital correspondiente a la media de los tres últimos años de un porcentaje fijo de sus ingresos brutos anuales positivos. En este cálculo no se incluirá los años con resultado negativo. Asimismo, el parámetro establecido por el Comité es de 15%.  El Método Estándar, se delimitan las ocho líneas de negocio donde el ingreso de cada línea es un indicador que permite estimar el volumen de operaciones del banco, las líneas de negocio son Finanzas Corporativas, Negociación y Ventas, Banca Minorista, Banca Comercial, Pagos y Liquidación, Servicios de Agencia, Administración de Activos, e Intermediación Minorista. En este método el requerimiento de capital se 35 calcula multiplicando el ingreso bruto por un factor que es establecido por el Comité y se asigna a cada línea de negocio. Tabla 6. Valores de los Factores por Línea de Negocio del Método Estándar Línea de negocio Factor (%) Finanzas corporativas 18 Negociación y ventas 18 Banca minorista 12 Banca comercial 15 Pagos y liquidación 18 Servicios de agencia 15 Administración de activos 12 Intermediación minorista 12 Nota: Adaptado de Convergencia internacional de medidas y normas de capital, por Comité de Supervisión Bancaria de Basilea 2006. Recuperado de https://www.bis.org/publ/bcbs128_es.pdf  Métodos de Medición Avanzada (AMA): El uso de este método está sujeto a la aprobación de los supervisores de cada país y su cálculo será igual a la medida de riesgo generada por el sistema interno del banco con criterios cuantitativos y cualitativos aplicables a los AMA. Los supervisores conciben en que los bancos que utilicen este método desarrollan técnicas de distribución del riesgo operacional sensibles al riesgo. Basilea III, en relación al riesgo operacional establece un nuevo modelo estandarizado que reemplazaría los modelos planteados en Basilea II, en ese sentido en el nuevo modelo el requerimiento de capital por riesgo operacional se calcula en base a la medida de ingresos de un banco y la medida de pérdidas históricas (BBVA, 2019a). 2. Superintendencia de Banca Seguros y Asociaciones de Fondos de Pensiones El cronograma de implementación de Basilea II considerado en el Perú por la SBS, se inició en 2007, la primera fase tuvo lugar hasta el 2009 con los estudios de impacto y normativa para la implementación del Nuevo Acuerdo de Capital. También en 2009 entró en vigencia el método estandarizado para riesgo de crédito y mercado, y el método básico y estándar alternativo para riesgo operacional (SBS, 2019e). 36 Es por ello que, en abril del 2009, la SBS emitió la Resolución N° 2116-2009 donde describe el reglamento para la gestión de riesgo operacional, mencionando que los factores que originan el riesgo operacional son procesos internos, personal, tecnología de información, y eventos externos (SBS, 2009a). En la Tabla 7 se muestra los roles y responsabilidades para la gestión del riesgo operacional y en la Tabla 8 se presenta algunos criterios para la gestión: Tabla 7. Roles y Responsabilidades para la Gestión del Riesgo Operacional. Responsable Funciones Directorio Definir la política general para la gestión del riesgo operacional. Asignar los recursos necesarios para la adecuada gestión del riesgo operacional. Establecer un sistema de incentivos que fomente la adecuada gestión del riesgo operacional y que no favorezca la toma inapropiada de riesgos. Aprobar el manual de gestión del riesgo operacional. Conocer los principales riesgos operacionales afrontados por la entidad, estableciendo adecuados niveles de tolerancia y apetito por el riesgo. Establecer un sistema adecuado de delegación de facultades y de segregación de funciones a través de toda la organización. Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión del riesgo operacional, y que los principales riesgos identificados se encuentran bajo control dentro de los límites que han establecido. Gerencia Implementar la gestión del riesgo operacional conforme a las disposiciones del Directorio. Gestionar el riesgo operacional en su ámbito de acción, dentro de las políticas, límites y procedimientos establecidos. Comité de Riesgos Aplicación a la gestión del riesgo operacional en lo que corresponda. Unidad de riesgos Proponer políticas para la gestión del riesgo operacional. Participar en el diseño y permanente actualización del Manual de gestión del riesgo operacional. Desarrollar la metodología para la gestión del riesgo operacional. Apoyar y asistir a las demás unidades de la empresa para la aplicación de la metodología. Evaluación del riesgo operacional, de forma previa al lanzamiento de nuevos productos y ante cambios importantes en el ambiente operativo o informático. Consolidación y desarrollo de reportes e informes sobre la gestión del riesgo operacional por proceso, o unidades de negocio y apoyo. Identificación de las necesidades de capacitación y difusión para una adecuada gestión del riesgo operacional. Otras necesarias para el desarrollo de la función. Nota: Adaptado de Resolución S.B.S. N° 2116 -2009, por SBS 2009a. Recuperado de www.riesgooperacional.com/docs/documentos/peru/2116-2009%20R.doc 37 Tabla 8. La Gestión de Riesgo Operacional Instrumento Criterios/Aspectos que debe contener Manual de Gestión de Riesgo Políticas Operacional Funciones y Responsabilidades Descripción de la Metodología Forma y periodicidad de informes al Directorio y Gerencia Proceso para la aprobación de propuestas de nuevas operaciones, productos y servicios Metodología Implementación consistente Recursos suficientes Integración con los procesos de gestión de riesgos Incentivos que permitan mejora continua Documentada Procedimientos que aseguren su cumplimiento Base de datos de eventos de Todos los eventos de pérdida originados por la empresa pérdida Código de identificación Tipo de evento de perdida Línea de negocio asociada Descripción corta y larga del evento Fecha de ocurrencia, descubrimiento, y registro Monto bruto de pérdida, Monto recuperado por cobertura y total recuperado Cuentas contables asociadas Identificación si se asocia al riesgo de crédito Definición y documentación de los criterios Definición del monto mínimo para el registro Gestión de la continuidad del Implementar respuestas efectivas para que la operatividad del negocio de la negocio y de la seguridad de empresa continúe la información Sistema de gestión de la seguridad de la información Subcontratación El proceso de selección del proveedor del servicio La elaboración del acuerdo de subcontratación La gestión y monitoreo de los riesgos asociados con el acuerdo de subcontratación La implementación de un entorno de control efectivo Establecimiento de planes de continuidad Nota: Adaptado de Resolución S.B.S. N° 2116 -2009, por SBS 2009a. Recuperado de www.riesgooperacional.com/docs/documentos/peru/2116-2009%20R.doc Las empresas anualmente deben presentar informes a la SBS sobre la gestión de riesgo operacional, asegurando la veracidad de la información de dichos informes. Además, la SBS podrá solicitar cualquier otra información que considere relevante para la gestión del riesgo operacional. En la Resolución SBS N° 2116-2009 también se menciona como colaboradores externos a la auditoría interna encargada de evaluar el cumplimiento de los procedimientos, la auditoría externa que deben indicar en su informe si las empresas cuentan con políticas y procedimientos para la gestión de riesgo operacional, y las empresas clasificadoras de riesgo que deben contar con políticas para establecer las clasificaciones (SBS, 2009a). 38 Sobre el requerimiento de patrimonio efectivo por riesgo operacional la SBS emitió en abril de 2009 la Resolución SBS N° 2115-2009, donde explica también los métodos que deben aplicarse al cálculo del requerimiento de capital por riesgo operacional, estos son (a) Método del indicador básico, (b) Método estándar alternativo, y (c) Métodos avanzados. Los últimos dos métodos requieren el permiso de la Superintendencia mediante la solicitud de autorización suscrita del Gerente General de la empresa (SBS, 2009b). Tabla 9. Métodos de Requerimiento de Patrimonio de Capital por SBS. Método del Indicador Básico Método estándar alternativo Métodos avanzados Es equivalente al promedio de los Las actividades de las empresas se Las empresas que utilicen este saldos anualizados de los dividen en seis líneas de negocio método deben contar con márgenes operacionales brutos de (a) Finanzas Corporativas, (b) estándares cualitativos y la empresa, considerando los Negociación y ventas, (c) Banca cuantitativos establecidos por la últimos tres años, multiplicado con Minorista, (d) Banca Comercial, Superintendencia. el factor fijo 15% (e) Liquidación y pagos, y (f) Otros servicios. El requerimiento de patrimonio por riesgo operacional en este método es igual al indicador de exposición de la línea de negocio por el factor fijo asignado a cada línea Nota: Adaptado de Resolución S.B.S. N° 2115 -2009, por SBS 2009b. Recuperado de www.riesgooperacional.com/docs/documentos/peru/2115-2009%20R.doc 2.3.8. Fraude interno 2.3.8.1. Definición fraude interno El fraude interno es un factor relevante del riesgo operacional, que puede ocasionar pérdidas económicas significativas en las organizaciones, el Comité de Supervisión Bancaria de Basilea describió al fraude interno como “errores intencionados en la información sobre posiciones, robos por parte de empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc.” (2003b, p. 2). Asimismo, Arcenegui et al. (2016) definieron al fraude interno como la captación ilegal de dinero por parte de empleados, que obtienen provecho de su posición dentro de la institución para realizar operaciones irregulares a la entidad dando la apariencia de ser actos legales. 39 ACFE (2016b), describió al fraude interno u ocupacional como el uso intencional de la ocupación con el fin de obtener riqueza personal, por medio del uso inadecuado de recursos o activos de la organización contratante. Según PricewaterhouseCoopers Asesores de Negocios (2016) en las organizaciones se esconden defraudadores que son parte de la estructura interna de la empresa, ellos encuentran un entorno propicio para realizar fraude, poseen entre 41 a 50 años, cuentan con estudios superiores y se desempeñan en cargos intermedios o de Alta Dirección. Entonces, el fraude interno se origina a causa de empleados que por diferentes motivos quiebran la confianza entregada por sus empleadores para cometer actos perjudiciales para la organización en la que laboran en busca del beneficio personal. 2.3.8.2. Factores del riesgo de fraude interno El modelo del Triángulo del Fraude definido para explicar los motivos por los cuales las personas cometen fraude fue desarrollado por el criminólogo estadounidense Donald Cressey (López & Sánchez, 2012). Dicho modelo está compuesto por tres componentes claves:  Motivo, incentivo o necesidad para cometer el fraude, algunos ejemplos pueden ser alcanzar las metas de ventas o mantener el puesto mostrando resultados falsos (Zambrano, 2015).  Oportunidad percibida, entorno que contribuye para la generación del fraude, algunos ejemplos son la ausencia de controles o controles ineficaces (López & Sánchez, 2012).  Racionalización, es la actitud de tratar de justificar, consciente o inconscientemente, los actos de fraude, algunos ejemplos pueden ser la baja remuneración que se percibe o la falta de reconocimiento (Zambrano, 2015). 40 Figura 5. El triángulo del fraude. Tomado de La auditoría forense: un mecanismo para detectar el fraude de estados financieros en Colombia, por Y. Zambrano, 2015, Inquietud Empresarial,15(2), 13-36. Recuperado de https://revistas.uptc.edu.co/index.php/inquietud_empresarial/article/view/7607/5851 Wolfe y Hermanson (2004) añadieron un cuarto factor para mejorar tanto la prevención como la detección del fraude, a este nuevo modelo lo llamaron el diamante del fraude. Este cuarto elemento denominado Capacidad, se refiere a los rasgos y habilidades que posee la persona para cometer un fraude, existiendo varios factores esenciales relacionados a ello (a) la posición o función de una persona dentro de una empresa puede proporcionar la oportunidad de cometer fraude no disponible para otros, (b) la persona que comete el fraude es lo suficientemente inteligente para detectar las debilidades de control interno y vulnerabilidades con el fin de aprovecharse de esas ventajas para acceder al sistema o a los activos de la empresa, (c) la persona tiene gran confianza que no será detectada, lo que puede influir en el costo beneficio de cometer el fraude, es decir, mientras más confiado se sienta será menor el costo estimado del fraude, (d) una persona exitosa en cometer fraudes puede persuadir a otros de cometer fraude o simplemente convencerlos de que ignoren el acto, (e) la persona es eficaz y consistente, de tal manera que su engaño se mantenga en el tiempo, y (f) el defraudador maneja muy bien el estrés, dado que cometer fraude por un largo periodo de tiempo conlleva momentos de tensión. 41 Asimismo, según Zayas (2016) existen ciertos factores que incrementan el riesgo de cometer fraude como la falta de reconocimiento en el trabajo, poca lealtad a la empresa, sueldos por debajo del mercado, objetivos personales difíciles de lograr, pocas posibilidades de ascensos y percepción de inequidad en la empresa. 2.3.8.3. Perfil del defraudador KPMG (2016) estudió el perfil del defraudador sobre la base de 750 defraudadores entre marzo de 2013 y agosto de 2015, encontrando características similares a un estudio realizado entre 2003 y 2010. Dicha investigación se realizó con la finalidad de proporcionar información acerca de quien comete fraude en las empresas, así como los principales atributos, motivaciones y entornos en los que operan, encontrando lo siguiente:  Género, el 79% de los defraudadores son hombres, mientras que la proporción de las mujeres se ha incrementado a 17% desde el 13% del 2010.  Edad, el 68% de los defraudadores se encuentran entre 36 y 55 años de edad, mientras que la edad del 14% de los defraudadores está comprendida entre 26 y 35 años.  Empleo, el 65% de los defraudadores son empleados de la organización afectada y 21% son ex empleados. Entre los defraudadores que son empleados, el 38% trabaja en la organización más de seis años. El 32% de los defraudadores son gerentes.  Tipo, el fraude más frecuente fue la apropiación indebida de activos con un 47%, principalmente la malversación y el fraude en las compras, seguido de informes financieros fraudulentos con el 22%. Otros puntos identificados en el estudio son:  En el 62% de los fraudes existe colusión con otras personas.  Las mujeres son menos propensas a la colusión, un 45% comparado con un 66% en el caso de los hombres. 42  El 38% de los defraudadores era percibido como personas respetadas y 10% tenía mala reputación.  El 66% de los fraudes fueron realizados en el periodo de uno a cinco años. 2.3.8.4. Señales de alerta Zayas (2016) mencionó que existen ciertos indicadores o banderas rojas que permiten detectar situaciones de fraude, esto es, señales de alerta sobre alguna actividad que no está funcionando correctamente y que es necesario iniciar una investigación. Asimismo, enumeró ciertos indicadores que servirían para identificar potenciales fraudes o irregularidades en las empresas, se detallan algunos de ellos: 1. Banderas rojas relacionadas con los empleados:  Cambios en el estilo de vida o comportamiento de los empleados  Problemas financieros de los empleados  Alta rotación en áreas vulnerables a fraudes  Empleados que no salen de vacaciones o se niegan a tomar descansos médicos  Encontrar ausencia de segregación de funciones en áreas vulnerables 2. Banderas rojas relacionadas con la Dirección:  Alta dirección reacia a dar información a los auditores  Enfrentamiento con los auditores y excesiva rotación de los mismos  Débil entorno de control  Repentinas disminuciones en los saldos de caja  Programas de compensación desproporcionado con los objetivos  Transacciones financieras fuera de lo habitual 3. Banderas rojas relacionas con cambios en el comportamiento:  Pedir prestado dinero a los compañeros  Adicción al juego 43  Consumo excesivo de alcohol u otras sustancias  Frecuentemente irritado o molesto  Presumir nuevas compras que involucren grandes sumas de dinero  Llevar grandes sumas de dinero 4. Banderas rojas relacionadas con la Caja/Tesorería:  Excesivo número de anulaciones, descuentos o devoluciones  Repentina actividad con cuentas bancarias inactivas  Diferencias entre los saldos de los depósitos bancarios y los importes contabilizados  Elevado saldo en las cuentas de gastos y reembolsos a los empleados  Presencia de cheques en la caja para gastos menores del responsable de caja  Gran número de cancelación de cuentas 5. Banderas rojas relacionadas con los ingresos:  Ventas falsas o ventas a terceros relacionados  Colusión con clientes para anticipar facturación  Ventas o devoluciones de ventas no registradas contablemente  Manipulación de descuentos  Abonos a clientes mediante la manipulación de precios del ejercicio siguiente  Falsear información en la calificación crediticia de los clientes para obtener mayores ventas y asumir más riesgo  Soborno a los empleados de control crediticio  Clientes morosos no provisionados o con exceso de provisión 2.3.8.5. Gestión del riesgo de fraude interno Basilea (2003a), mencionó que el método para la gestión del riesgo operativo que cada banco escoja dependerá de su tamaño y el tipo de actividad que realiza, de tal forma que 44 el control del riesgo operativo pueda ser comparable con la gestión del riesgo de crédito y riesgo de mercado con la finalidad de otorgar solidez y seguridad al banco. Para la gestión del riesgo de fraude interno Arcenegui et al. (2016) indicaron que es necesario tener por escrito las políticas y exigencias en relación al fraude, identificar y evaluar posibles eventos, mantener indicadores y controles periódicos y, poseer procedimientos documentados. Asimismo, en la gestión del riesgo organizacional del fraude De La Torre (2018, p. 64) mencionó: La importancia que una organización incorpore a sus actividades una unidad de auditoría interna constituye un indicio del compromiso que tiene la organización para realizar un control interno efectivo y un manejo del riesgo de fraude. Los auditores internos pueden realizar auditorías proactivas con el fin de buscar casos de malversación de activos y de presentación de información falsa. Para Olcina (2016), la gestión del riesgo de fraude no debería ser considerada como un proceso aislado de la entidad, sino por el contrario esta gestión debería estar estrechamente vinculada con otros procesos clave de la organización como el cumplimiento normativo, la gestión de empleados a cargo del área de Recursos Humanos o la responsabilidad social corporativa, formando parte de la estrategia empresarial de toda compañía y conteniendo tres grandes pilares: 1. Políticas, controles y programas preventivos: Referido a que la unidad de gestión de riesgo de fraude debería ser un área independiente y tener un adecuado nivel jerárquico como otras áreas de la organización, actuando como una tercera línea de defensa igual que el área de auditoría interna. Asimismo, es importante contar con el compromiso de la alta dirección en la aprobación de políticas y medidas preventivas, así como en su seguimiento y ejecución. Por otro lado, la elaboración 45 de cualquier política, control o medida debería ir precedida por un adecuado análisis de los riesgos que impactan en la organización, además las empresas deben contar con un código de ética y procedimientos de due-dilligence de trabajadores y terceros, los mismos que deben ir seguidos de políticas de comunicación y formación. 2. Detección de los fraudes: Las medidas y políticas deben ir acompañadas de herramientas y técnicas de detección de fraudes, las cuales deben ser proporcional a cada organización y concordante con el análisis de riesgo efectuado en la empresa, con la finalidad de enfocar las medidas a adoptar y las áreas en que se aplicaran. Una herramienta importante para la detección de fraude son las medidas de control interno y auditoría interna, siendo relevantes ciertos aspectos como eventos de fraudes pasados, rotaciones de empleados, regulaciones, entre otros. Asimismo, es importante contar con procedimientos de análisis forense de datos para comprobar si se manifiestan aquellos riesgos detectados. Por otro lado, es importante establecer un canal de comunicación adecuado que permita a los empleados denunciar conductas inapropiadas de sus compañeros. 3. Medidas correctoras para el fraude: Referido a establecer medidas que permitan remediar cualquier acción de fraude, siendo relevante diseñar e implementar un protocolo de investigación, a fin de responder de forma oportuna y diligente, incluyendo los responsables de cada acción, además de implantar medidas correctoras, las cuales deben ser comunicadas oportunamente a los empleados de la empresa. En esa misma línea, Riera y Ruano (2016) indicaron que es importante que las empresas y los directivos implementen las medidas adecuadas y oportunas para minimizar los riesgos de fraude, siendo relevante que los líderes promuevan y respeten los principios de actuación sustentados en estándares éticos, creando una cultura de integridad mediante el 46 ejemplo, donde el código de ética debe ir acompañado de su oportuna difusión entre todos los involucrados y debe ser permanentemente actualizado. Asimismo, es importante contar con una política de prevención del fraude, donde se detalle de manera clara las responsabilidades, las acciones que constituyen fraude y los medios a través de los cuales se puede reportar los mismos, teniendo en consideración que la promoción de un canal de denuncias es una herramienta fundamental para la gestión del riesgo de fraude. Adicionalmente, es importante la comunicación eficaz de las políticas y procedimientos de la organización, los cuales deben ir acompañados de una formación que instruya a los empleados los conocimientos adecuados sobre prevención y detección del fraude y espíritu crítico para identificar irregularidades y comunicarlas al personal correspondiente, contribuyendo a reducir las pérdidas por fraude y crear un entorno laboral ético. A continuación, se presenta los principales controles proactivos que mencionaron Riera y Ruano en el 2016 para la prevención y detección del fraude, los mismos que se encuentran basados en dos elementos relevantes: 1. Evaluación de riesgos de fraude: Es importante conocer los riesgos de fraude a los que se encuentra expuesta la empresa por su tamaño, estructura, actividad, entorno económico y regulación, es decir, se debe realizar una evaluación de riesgos de fraude, la misma que debe ser revisada y actualizada a través del tiempo. Los pasos a seguir para una adecuada evaluación de los riesgos son:  Planificar la evaluación de los riesgos de fraude entre los que se incluye, contar con un equipo de trabajo que tenga los conocimientos y capacidades requeridas, determinar los métodos y las técnicas que mejor se adapten a la cultura de cada organización, establecer los objetivos, fases y cronograma de ejecución para una adecuada gestión, control y seguimiento, identificar los riesgos aplicables a cada empresa según su 47 actividad y el entorno en que se desarrolla, comunicar los objetivos a todos los participantes de la evaluación de riesgos.  Ejecutar la evaluación de los riesgos de fraude entre los que se incluye, identificar los potenciales riesgos en los procesos y actividades consideradas en el alcance, mediante la realización de entrevistas a las áreas clave, así como el envío de cuestionarios o encuestas, valorar los riesgos de fraude identificados sin considerar los controles existentes, midiéndolos en función de su probabilidad e impacto con la finalidad de priorizarlos. Además, identificar y evaluar la suficiencia de los controles existentes, agrupándolos en tres categorías (a) políticas corporativas globales como el código de ética o la política anticorrupción, (b) normas internas que regulan la operativa y describen el marco de actuación para el cumplimiento de labores específicas, y (c) controles y procedimientos operacionales que buscan anticiparse a eventos o irregularidades relacionados a fraude como una apropiada segregación de funciones.  Identificar las fortalezas y las debilidades del entorno de control entre los que se incluye, evaluar la efectividad de los controles determinando el riesgo residual al que se encuentra expuesta la empresa y realizando testeos sobre una muestra representativa de los controles, realizar un diagnóstico sobre la situación de la empresa, elaborando un plan de acción sobre aquellos riesgos que no están suficientemente cubiertos y superar las deficiencias encontradas, además presentar los resultados del trabajo a los líderes de la empresa a fin de definir la estrategia a seguir para los riesgos que no se encuentran totalmente cubiertos. 2. Monitorización de controles: La prevención de fraude es eficaz cuando es capaz de detectar los fraudes rápidamente, subsanándolos y comunicándolos a las áreas responsables. Una correcta monitorización de un sistema antifraude se basa en la definición de los responsables y 48 procedimientos específicos para validar el buen funcionamiento de los controles mitigantes y detectar situaciones de fraude, siendo importante también las auditorías independientes para detectar fraudes nuevos o testear transacciones donde podría ocurrir un fraude. Asimismo, se debe incorporar herramientas de análisis estadístico y cualitativo, así como modelos que permitan la identificación de patrones de comportamiento y la detección de irregularidades y fraudes, evitando pérdidas y actuando como un mecanismo de disuasión de fraude. Por otro lado, un elemento relevante de un programa antifraude es el reactivo, el cual debe incluir el proceso de evaluación y respuesta, además de la investigación del fraude y el plan de acción. El protocolo de reacción debe incluir los protocolos de respuesta y protección de la documentación, las áreas responsables, los pasos a seguir, los principios del plan de respuesta y el desarrollo de informes de todos los indicios de fraude. Asimismo, ante un fraude es importante tomar las medidas para que no vuelva a ocurrir, identificando las áreas vulnerables, formando a los empleados para evitar nuevos fraudes y aplicando medidas disciplinarias o legales correspondientes (Riera & Ruano, 2016). 2. 4. Pérdidas monetarias en el Sistema financiero 2.4.1. Definición de pérdidas monetarias Como anteriormente se describe, el riesgo operacional es aquel riesgo que genera pérdidas por diferentes factores, pérdidas que si son significativas pueden llevar incluso, hasta la quiebra de una institución. En ese sentido, podemos definir a las pérdidas de una institución financiera de la siguiente manera: “Las pérdidas asociadas a los eventos de riesgo operacional son pérdidas monetarias, que quedan reflejadas en los estados financieros de la entidad, ya sea en los resultados, en el capital requerido o en las notas referentes a riesgos” (Rodríguez, Rodríguez, & Liñares, 2013, p. 21). En tanto, Anduig y López (2007, citado por Cruz & Alarcón, 2015) definieron el término pérdida operacional como: 49 Todo impacto negativo o reducción registrada en la cuenta de resultados o en situación patrimonial de la entidad que tenga un reflejo contable y haya sido provocado a consecuencia de cualquier evento cuya causa u origen esté incluida en la definición operacional. (p. 201) En un estudio de García (2007, citado en Borrás & Robaina, 2012) se identificaron cuatro tipos de riesgo en relación al registro contable de las pérdidas:  Con impacto directo en la contabilidad, pérdida que se registra en una cuenta específica, siendo sencillo medir su impacto.  Con impacto indirecto en la contabilidad, contablemente no se separa las pérdidas por eventos de riesgo operacional de los gastos ordinarios, permaneciendo ocultas en los registros contables.  Sin impacto económico, eventos de riesgo operacional que son interrumpidos y por lo tanto no tienen impacto.  Con impacto en lucro cesante, pérdidas vinculadas a eventos que no ocasionan pérdidas en el presente, sino en el futuro. Esta tipología muestra que no todos los eventos de pérdida tienen impacto en los resultados de la empresa, por lo mismo la gestión de riesgo operacional debe incluir la evaluación y seguimiento de los eventos que no producen efectos inmediatamente, pero sí podría ocasionarlos en el futuro (Borrás & Robaina, 2012). Por otro lado, las pérdidas por riesgo operacional pueden ser de tres tipos, esperadas, inesperadas o de estrés. Las pérdidas esperadas, son aquellas pérdidas que son frecuentes, pero de baja severidad, como por ejemplo los costos de los productos financieros o las provisiones regulatorias por riesgo de crédito. Las pérdidas inesperadas son las relacionadas a eventos poco frecuentes, pero de alta severidad, este tipo de pérdidas son cubiertas por el requerimiento de capital. Las pérdidas de estrés corresponden a eventos muy poco frecuentes, 50 pero con impacto muy significativo, debido a que este tipo de pérdidas generalmente llevan a la quiebra de una organización, por tanto, no es viable requerir capital (Otero & Venerio, 2009). En otros tipos de riesgo como el de crédito, para cubrir las pérdidas esperadas se registra una provisión y para las pérdidas inesperadas se registra como requerimiento de capital, en el caso del riesgo operacional las compañías calculan los requerimientos de capital tanto para las pérdidas esperadas como para las inesperadas en conjunto (Garrido, 2014). Existen dos parámetros para poder identificar las pérdidas: La severidad o impacto y la frecuencia. La frecuencia se define como el número de pérdidas que una empresa puede tener en un periodo, es decir, es la probabilidad de que sucedan los eventos de pérdidas. Asimismo, la severidad se refiere a la cuantía monetaria de la pérdida (Garrido, 2014). 2.4.2. Gestión de las pérdidas monetarias Como respuesta a la crisis financiera mundial y en el marco de Basilea III (2017b), se estableció una serie de criterios para gestionar adecuadamente la información de las pérdidas de los bancos, debiendo desarrollar políticas y procedimientos, incluyendo las definiciones de pérdida bruta, pérdida neta y recuperaciones. En ese sentido, la pérdida bruta se define como la pérdida antes de cualquier recuperación y debe incluir las siguientes partidas (a) cargos directos, incluyendo cargos por deterioro y liquidaciones, en las cuentas de pérdidas y ganancias y cancelaciones contables parciales como consecuencia del evento de riesgo operacional; (b) costes incurridos como consecuencia del evento, incluidos gastos externos vinculados directamente con el evento de riesgo operacional y costes de reparación producidos para regresar a la posición anterior al evento de riesgo operacional; (c) provisiones o reservas contabilizadas en la cuenta de pérdidas y ganancias para cubrir los posibles efectos de las pérdidas operacionales; (d) pérdidas provenientes de eventos de riesgo operacional con un impacto financiero definitivo, que se contabilicen temporalmente en 51 cuentas transitorias y que todavía no se hayan reflejado en la cuenta de pérdidas y ganancias, estas pérdidas pendientes habrán de incluirse en los datos sobre pérdidas en un plazo proporcional al tamaño y la antigüedad de la partida pendiente; y (e) los efectos económicos negativos contabilizados en un periodo contable como resultado de eventos de riesgo operacional que afectan a los flujos de caja o los estados financieros de periodos contables anteriores, estas pérdidas por diferencias temporales deberán incluirse cuando procedan de eventos de riesgo operacionales que abarquen más de un ejercicio contable y generen riesgo legal. En tanto, Basilea (2017b) también estableció las partidas que deberán excluirse de las pérdidas brutas como (a) costes de contratos de mantenimiento general de bienes raíces, planta y equipo; (b) gastos internos o externos utilizados para mejorar el negocio después de las pérdidas por riesgo operacional como actualizaciones, iniciativas o mejoras de evaluación de riesgo; y (c) primas de seguros. Por otro lado, se define a la pérdida neta como la pérdida después de las recuperaciones, mientras que la recuperación está relacionada con el evento de pérdida inicial pero separado en el tiempo, correspondiente a la entrega de fondos por parte de un tercero. Los bancos deberán considerar las pérdidas netas en el conjunto de datos, mientras que las recuperaciones para la reducción de las pérdidas deberán incluirse cuando se haya recibido los pagos correspondientes, debiendo ser sustentadas ante los entes supervisores mediante comprobante de los pagos (Comité de Supervisión Bancaria, 2017b). Asimismo, en el marco de Basilea III, se establecieron los siguientes criterios para el tratamiento de los datos internos de pérdidas para determinar el requerimiento de capital por riesgo operacional: 52  Los bancos deberán contar con procesos y procedimientos que permitan la correcta identificación, recopilación y tratamiento de dichos datos, los mismos que deberán ser validados antes de su utilización en la metodología de medición.  Para la recopilación de los datos de eventos de pérdidas el periodo de observación será de 10 años.  Los datos deberán incluir todas las actividades y exposiciones en todas las ubicaciones geográficas.  Los bancos deberán recopilar, además de los importes brutos de pérdidas, las fechas de referencia de los eventos, incluyendo la fecha en que se produjeron o iniciaron, la fecha en que se tuvo conocimiento del evento y la fecha de contabilización del reconocimiento de la pérdida, además deberán registrar la información sobre recuperaciones de las pérdidas y los factores determinantes del evento de pérdida.  Los bancos deberán contar con procesos independientes para revisar la integridad y precisión de los datos sobre pérdidas.  Los eventos relacionados con riesgo de crédito que sean incluidos en los activos ponderados por riesgo no deberán ser considerados en los datos sobre pérdidas, mientras que los eventos que no se consideran como riesgo de crédito sí deberían incluirse.  Las pérdidas relacionadas a riesgo de mercado se consideran como riesgo operacional a efectos del cálculo de capital. Por su lado, la SBS (2018) también ha establecido ciertos lineamientos para la categorización y registro de los eventos de pérdida a efectos de contar con una base de datos interna de calidad, entre los que se encuentran los siguientes:  La valoración del evento de pérdida debe basarse principalmente en el registro contable, lo que refleja el impacto que tiene en los estados financieros o en activos fijos. 53  La contabilización de la pérdida debe ser registrada tomando en cuenta los valores existentes cuando se presenta el evento.  El registro del evento debe contener una descripción larga que permita conocer (a) cómo se originó el evento; (b) cuáles fueron las principales causas; y (c) cuáles fueron los productos, servicios o canales involucrados.  El registro del evento también debe incluir una descripción corta que debe ser congruente con la descripción larga.  Las descripciones de los eventos no deberán incluir información sobre clientes, usuarios de los servicios o entidades que reportan. 2.4.3. Medición de las pérdidas monetarias De acuerdo a la regulación bancaria, las empresas deben contar con una base de datos de eventos de pérdidas, que les permita identificar y gestionar adecuadamente sus riesgos, con la finalidad de construir modelos tanto cualitativos como cuantitativos que determinen el requerimiento de capital, a fin de afrontar las pérdidas por riesgo operacional. En ese sentido, Basilea propone que los bancos deben realizar prácticas de notificación interna de pérdidas, que deberán estar sustentadas por un sistema de base de datos, acorde con el alcance del riesgo operativo determinado por los supervisores y la industria bancaria, los cuales deberán contar con una metodología de medición de dicho riesgo, personal idóneo y competente, así como una infraestructura de sistema apropiado que permitan identificar y almacenar información sobre pérdidas operacionales para el desarrollo de una base de datos, para ello deberán contar con un proceso eficiente de identificación de eventos a lo largo del tiempo, reconocer que eventos deben ser registrados y cuáles son los acontecimientos históricos apropiados para la empresa y representativos de sus actividades actuales y futuras, lo que involucra definir criterios para la información de pérdidas, referente al tipo y severidad de los datos, pudiendo usar también datos de pérdida externos, los cuales deberán ser examinados 54 periódicamente para verificar su aplicabilidad (Comité de Supervisión Bancaria de Basilea, 2001). Asimismo, Basilea estableció que las instituciones financieras pueden identificar, evaluar y cuantificar su exposición al riesgo operativo mediante el historial de pérdidas de un banco, que puede ayudar a valuar la exposición de una organización, así como desarrollar una política para controlar el riesgo operacional, además de utilizar eficazmente esta información para establecer un marco para registrar sistemáticamente la frecuencia, gravedad y otros datos importantes de cada evento de pérdida, pudiendo agregar a los datos sobre pérdidas internas, la información sobre pérdidas externas, análisis de escenarios y factores de evaluación del riesgo (Comité de Supervisión Bancaria de Basilea, 2003a). 2.4.4. Pérdidas monetarias en el Sector Bancario Las pérdidas en el sector bancario son difíciles de determinar debido a que los casos de fraude conllevan a una mala publicidad y al deterioro de la reputación de las empresas, por lo mismo las empresas no los publican. En el Informe a las Naciones, la ACFE estimó que en el 2014 el fraude bancario ascendió a USD 67 mil millones, alrededor del 6% de las utilidades totales antes de impuestos de las mil instituciones más importantes, aproximadamente 70% de este monto fue el resultado de fraudes internos, siendo los servicios bancarios y financieros los que presentan mayor incidencia de fraude que otros sectores, encontrándose que los casos de fraude bancario representaron el 17.8% de los casos, seguido del 10.3%, que corresponde al gobierno y la administración pública (ACFE, 2016a). Otros trabajos de investigación como la Encuesta sobre el Estado de la Ciberdelincuencia en los Estados Unidos en el año 2014, encontraron que la cantidad de empresas financieras que reportaron pérdidas de entre USD 10 y 19,9 millones se incrementó en un 141%, además, según el trabajo de investigación de Economist Intelligence Unit en 2012 y 2013, las 3/4 partes de las compañías de servicios financieros a nivel mundial 55 sufrieron al menos un fraude, incurriendo en pérdidas equivalentes al 1.5% de sus ingresos, en promedio, siendo los casos que más afectaron al sector financiero, el robo de datos y el fraude financiero interno en un 30% de las empresas financieras; violaciones regulatorias y de cumplimiento sucedieron en 26% y, lavado de dinero en 8% (ACFE, 2016a). De acuerdo a un estudio más actualizado de la ACFE (2018) en su Reporte de las Naciones sobre el estudio global del fraude ocupacional y el abuso, encontraron que las empresas pierden alrededor del 5% de sus ingresos anuales por fraude, estimación basada en las opiniones de los Examinadores de Fraude Certificados (CFEs) que participaron en el estudio, considerando observaciones de más de 2,000 expertos antifraude. Asimismo, encontraron que el mayor número de fraudes ocurrió en los sectores de Banca y Finanzas, Manufactura y Administración Pública y en el caso del sector Banca y Finanzas la pérdida media asciende a USD 110 mil con 366 casos. 2.5. Buenas prácticas financieras en la gestión de riesgos 2.5.1. Definición de buenas prácticas El término buena práctica fue definido por la Organización de las Naciones Unidas para la Alimentación y la Agricultura (FAO) de la siguiente manera: Una buena práctica no es tan sólo una práctica que se define buena en sí misma, sino que es una práctica que se ha demostrado que funciona bien y produce buenos resultados, y, por lo tanto, se recomienda como modelo. Se trata de una experiencia exitosa, que ha sido probada y validada, en un sentido amplio, que se ha repetido y que merece ser compartida con el fin de ser adoptada por el mayor número posible de personas. (2014, p. 1) Asimismo, la Cooperación Española en el 2016 definió buenas prácticas como “una actuación que cumple satisfactoriamente con ciertos criterios que configuran conductas y estándares deseables” (p. 3). Adicionalmente, Claro (2010) indicó que una buena práctica es 56 un concepto relativo que no tiene sentido por sí mismo si no se encuentra basado en un resultado u objetivo particular. La adopción de buenas prácticas generará valor y deben ser percibidas como una ventaja diferencial de la empresa (Global Corporate Governance Forum, 2011). En esa línea, el concepto de buena práctica se ha empleado frecuentemente en tres direcciones (a) “identificación de prácticas exitosas a partir de indicadores de logros de objetivos y rendimiento académicos”, (b) “valorar experiencias exitosas de otros países, regiones o bien instituciones, registrados en la literatura científica, y a partir de ello determinar su eficiencia y eficacia” y (c) “documentar y sistematizar la percepción que tienen los protagonistas de un movimiento de cambio sobre cómo introducir, desarrollar o bien valorar una innovación en el amplio sentido de la palabra” (Ferreiro, 2012, pp.51-52). 2.5.2. Buenas prácticas en la gestión del riesgo de fraude interno En un estudio realizado por la ACFE (2016a), se identificó que el fraude es un negocio a gran escala que cuesta a la industria bancaria aproximadamente USD 67 mil millones al año. Así, los datos más alarmantes se relacionan con el fraude cometido en el interior de las instituciones por los mismos empleados, quienes, al contar con los niveles más altos de acceso a los sistemas informáticos, como es el caso de los administradores de sistemas y bases de datos, están en la posición precisa para cometer o facilitar el fraude, pudiendo al mismo tiempo borrar toda evidencia de sus acciones. Asimismo, la conducta fraudulenta resulta difícil de detectar, debido a la enorme cantidad de transacciones diarias que realiza una institución, así como los riesgos que traen consigo los nuevos canales como la banca en línea, las aplicaciones móviles, y las redes sociales, los cuales incrementan la complejidad en la detección del fraude. Por este motivo, las instituciones bancarias deben contar con un sistema de gestión con adecuados recursos que le permitan prevenir y mitigar el riesgo de pérdidas por actos 57 relacionados al fraude interno. De acuerdo a COSO en la Guía de Gestión de Riesgos de Fraude publicada en el 2016, por Ernest and Young (EY), los principios que deben ser implementados para la gestión del riesgo de fraude son:  Principio 1, el cual se refiere al adecuado gobierno del riesgo de fraude mediante el establecimiento de una base de comportamiento ético, y de un programa de gobierno corporativo.  Principio 2, que aborda la evaluación del riesgo de fraude mediante la identificación de esquemas específicos, la evaluación de su probabilidad e impacto potencial y la evaluación de la efectividad de los controles existentes en la organización.  Principio 3, que aborda las actividades de control antifraude. Los controles son específicos para cada riesgo de fraude y han sido diseñados para prevenir eventos de fraude o para detectarlos lo antes posible. Una organización debe utilizar una combinación de controles en diferentes puntos de un proceso de negocio. Los controles preventivos son ampliamente difundidos; mientras que los controles detectivos operan detrás.  Principio 4, que aborda la respuesta frente a reportes de fraude a través de un sistema para el análisis, investigación y respuesta de situaciones de incumplimiento y/o denuncias de fraude y mala conducta de manera oportuna, conveniente y confidencial. Una organización debe tener protocolos de investigación y respuesta frente al fraude, iniciando con una cultura de “diga-algo-si-sabe-algo", y continuando con la clasificación de los reportes, gestión de casos, aseguramiento de la evidencia, asesoría legal y de contabilidad forense, análisis de causa raíz y remediación de controles.  Principio 5, que aborda el monitoreo de las actividades del Programa para asegurar que cada uno de los cinco principios está presente y funciona de manera adecuada, y para tomar acción frente a las deficiencias identificadas. 58 Es de suma importancia que las instituciones establezcan indicadores del funcionamiento y desempeño del programa antifraude. Además, deben estar al tanto de las nuevas modalidades de fraude descubiertas en otras industrias, así como dentro de su mismo Sector. En la Figura 6, se puede observar el proceso para la gestión continua y exhaustiva del riesgo de fraude. Figura 6. De la evaluación del riesgo de fraude a la gestión del riesgo de fraude. Tomado de “Implementación efectiva en la nueva Guía Antifraude de COSO” por Ernest & Young, 2016 (https://docplayer.es/74825089-Implementacion-efectiva-de-la-nueva-guia- antifraude-de-coso.html) Asimismo, Salvador (s.f.) indicó que las entidades deben realizar la gestión del riesgo de fraude interno a través de dos ámbitos que son la prevención y la detección. Respecto a la prevención refirió que se debe realizar esfuerzos en los siguientes puntos: mejorar el control administrativo, implementar prácticas y políticas de control, analizar internamente los riesgos que pueden motivar el fraude, contar con profesionales bien remunerados y con un excelente clima laboral. Por otro lado, para la labor de detección, señaló que es preciso contar con diversos factores que proporcionen indicios de que se está cometiendo un fraude, siendo los más útiles, la determinación de patrones de comportamiento irregular y un sistema de alertas respecto a determinadas acciones de los empleados. Por ello, el autor especificó que es de 59 suma importancia para las organizaciones, el diseño e implementación de un programa de gestión del riesgo de fraude y corrupción, que sea utilizado como un elemento de prevención, detección e investigación de delitos. Dicho programa deberá contener por lo menos los siguientes elementos:  Un órgano unipersonal, dependiente del Comité de Administración, que vele por la aplicación del Código de Conducta y sirva para promocionar un comportamiento profesional, ético y responsable dentro de la organización.  Un Código de Conducta o de Buenas Prácticas que defina los principios y valores que rigen las relaciones de la organización con sus grupos de interés (empleados, clientes, accionistas, socios de negocio, y proveedores) y que sea implementado, difundido y aceptado.  Un plan de comunicación y formación para toda la organización.  Un programa eficaz de prevención, detección e investigación de fraude y la corrupción.  Un canal de denuncias, como medio de comunicación interna que permita informar a la Gerencia responsable, las irregularidades de naturaleza financiera y contable, así como cualquier incumplimiento del Código de Conducta. De igual forma, en la guía para la prevención y detección del fraude publicada por la consultora Pricewaterhousecoopers en el 2008, se estableció que los elementos clave para la prevención del fraude son:  Supervisión por parte de la junta directiva y el Comité de Auditoría, al respecto, se menciona que es crítico que ambos organismos realicen una revisión periódica respecto a los controles de gestión sobre los reportes financieros y otras operaciones. Dicha supervisión debe incluir en la gestión la implementación de un programa antifraude que incluya la identificación de los riesgos de fraude y el establecimiento de medidas o 60 controles antifraude, asimismo la implementación de canales de reporte para los empleados, y como punto importante la definición de un sistema de reporte periódico en el cual se describan la naturaleza, estado y disposición final del presunto fraude o mala conducta. Dicho sistema de reporte debe estar acompañado de los informes de los auditores internos y externos.  Políticas y entrenamiento, lo cual se refiere a la importancia del desarrollo e implementación de un documento en el cual se especifique de manera rigurosa las políticas de control del fraude, esto debido a que la falta de directrices claras es a menudo la principal excusa utilizada por los delincuentes frente a actos fraudulentos. Además, es importante que los empleados reciban un entrenamiento tanto al momento de ser contratados como periódicamente, en el cual se aborde temas como la aceptación de regalos, conflictos de interés, medidas ante el incumplimiento de políticas, así como una formación general en fraude y conciencia ética.  Revisión de empleados, la cual se considera la primera línea de defensa contra el fraude, al respecto se menciona que es vital un adecuado proceso de contratación en el cual se identifique a profesionales calificados y con altos valores éticos, a través de la verificación detallada de la hoja de vida, verificaciones de referencias de antiguos empleadores, revisión de la validez de las certificaciones de estudios, búsqueda de antecedentes, entre otros. Dicho proceso debe ser exhaustivo en las entidades, sobre todo en el caso de posiciones sensibles.  Controles internos de fraude, entre los cuales se mencionó controles en el área de compras y nómina, tales como el establecimiento de compras claras, niveles de autorización y monitoreo para asegurar la razonabilidad de las compras efectuadas por los empleados, la adecuada segregación de funciones, la realización de controles regulares para verificar la existencia de las compras, entre otros. Así también se 61 recomendaron controles para las áreas relacionadas a ventas e inventario, entre las cuales figuran la segregación de deberes, proceso de conciliación bancaria y pruebas de detección automatizadas que se utilicen para realizar controles periódicos e identificar transacciones fraudulentas. Una última área en la cual recomendaron especial cuidado, es la relacionada a Efectivo y Cheques, especificando controles como la realización regular de conciliaciones bancarias por parte de un área, o sistema independiente, la revisión automática de todos los cheques emitidos y el seguimiento de quejas de proveedores o clientes respecto a saldos pendientes. 2.5.3. Experiencias de las buenas prácticas en la gestión del riesgo de fraude interno y su impacto en las pérdidas monetarias Si bien son escasos los estudios relacionados a la gestión del riesgo de fraude interno, como uno de los principales tipos de riesgo operacional, y más aun los que relacionan dicha gestión con el impacto en el nivel de pérdidas económicas de un banco, se identificaron algunas investigaciones a nivel mundial que pretenden contribuir a la generación de conocimientos respecto a este tema. Así, Yego en el 2016, en su estudio respecto al impacto del fraude en la industria bancaria de Kenia, identificó que el personal de los bancos de dicho país se encuentra al tanto de la problemática del fraude y sus implicancias para la industria, considerando que los avances en la tecnología, la presión económica y la sofisticación de los criminales son las principales razones del incremento del fraude en el sector bancario. Además, respecto a la muestra analizada, se encontró que las pérdidas por fraude representan en promedio entre el 1% y 1.5% de los ingresos anuales. Las estrategias utilizadas por los bancos kenianos para combatir el fraude consistían principalmente en revisar o mejorar los controles internos, establecer políticas de prevención del fraude, establecer un código de ética o conducta, entrenar a los empleados en la 62 prevención del fraude, y monitorear a los nuevos empleados. Por otro lado, el uso de software antifraude que utiliza metodologías como muestreo, minería de datos, y análisis digital es poco común. El estudio concluye que, a pesar del alto precio de la tecnología antifraude, en el futuro los bancos requerirán invertir en ella debido a su alta efectividad, y esto sumado a que su costo es bastante a inferior a las pérdidas que pueden ser generadas por eventos de fraude. Por otro lado, Bhasin en el 2016, en una investigación respecto al fraude en el sector bancario de la India, concluyó que mientras la industria bancaria en India ha presenciado un crecimiento acelerado tanto en su negocio como ingresos, el monto de pérdidas relacionadas al fraude bancario también se ha visto incrementado, en relación con lo anterior se identificó que los controles relacionados a la prevención, detección y monitoreo del fraude de las instituciones es aún deficiente, por lo que se recomienda que los bancos de este país aseguren que el sistema de reporte funcione adecuada y oportunamente, asimismo se identificó la necesidad urgente de mayor intercambio de información entre instituciones financieras relacionada a tendencias y prácticas de los defraudadores, así como tipologías de fraude, especialmente de los fraudes cometidos en ambientes computarizados. Adicionalmente, se indicó que, a través del incremento de la tecnología de análisis de datos, los bancos pueden detectar más pronto el fraude y así reducir el impacto negativo de pérdidas significativas relacionadas a eventos de este tipo. Asimismo, Arcenegui et al. en su investigación respecto a la prevención y gestión del riesgo de fraude interno por banca paralela en los bancos españoles, en el 2016, identificaron que el principal problema en la gestión del fraude es la escasez de información que se da debido a la discreción de los bancos, que no quieren ver afectada su reputación y la confianza de sus clientes. En dicha investigación se concluyó que la elaboración de un programa de gestión del fraude que contemple la identificación del riesgo inherente, la determinación de indicadores de riesgo y la implementación de controles, es fundamental para mitigar las 63 pérdidas en las entidades financieras, en específico uno de los controles más importantes recomendados por la investigación fue el de segregación de funciones. De igual forma, concluyeron que los bancos deben hacer un esfuerzo para que los empleados se identifiquen con los códigos éticos establecidos por la entidad, y realizar incentivos para su cumplimiento, así también establecer medidas punitivas para el incumplimiento del mismo. 2.5.4. Casos de pérdidas monetarias por fraude interno en el sector bancario De acuerdo a Samociuk, Iyer y Doody (2011, citado en Yego, 2016) las investigaciones muestran que no existe una sola organización que sea inmune al fraude y que en promedio las pérdidas económicas por actos de este tipo son del 5% al 7% de los ingresos anuales. El fraude conlleva a pérdidas monetarias que afectan tanto a los bancos como a sus clientes, las cuales deben ser absorbidas por las ganancias del período afectado, lo que reduce la cantidad de ganancias disponible para ser distribuidas a los accionistas. De esta forma, las pérdidas ocasionadas por fraude que son absorbidas por el capital social de los bancos, deterioran la salud financiera de dichas instituciones y restringen su capacidad de otorgar préstamos y por lo tanto generar operaciones rentables. En casos extremos, los eventos de fraude podrían llevar al fracaso de un banco. Por otro lado, la gestión del riesgo de fraude puede a su vez incrementar el costo operativo de un banco debido a los costos relacionados a la instalación de tecnología y personal necesario para su prevención, detección y protección de activos (Yego, 2016). Cabe mencionar que, de acuerdo a lo indicado por la ACFE, en su reporte de las naciones del 2018, proporcionar una medida del costo del fraude es un esfuerzo sumamente difícil debido al número de factores desconocidos que se requiere para realizar dicha estimación. Esto, como consecuencia de que se desconoce la cantidad de fraudes que no se detectan o no se notifican, e incluso para aquellos fraudes que, si son reportados, la cantidad 64 total de las pérdidas generadas es difícil de calcular. Las limitaciones indicadas, significan que cualquier intento de cuantificar la cantidad global de pérdidas generadas por fraude será imperfecto. Pese a ello, existen casos que se han dado a conocer de manera pública por su gran impacto en pérdidas económicas, tal es el caso de Cromwell Gálvez, empleado del banco BBVA Continental, quien entre los años 1998 y 2003, logró apropiarse de más de S/ 30 millones por operaciones irregulares, siendo por ello sentenciado a ocho años de prisión. Asimismo, en el 2017, Katherine Morales, fue acusada de sustraer más de S/ 5 millones del Banco de Crédito del Perú (BCP) a través de la instalación de un software en una de las computadoras, que le permitió burlar la seguridad del banco. En ese mismo año, Muente Yataco empleado del BBVA Continental realizó transacciones ilegales desde la cuenta de uno de sus clientes que intentaba realizar la compra de un terreno, y logró sustraer más de USD 1 millón a través de ocho retiros (“Los millonarios robos en banco cometidos por sus empleados”, 2017). Asimismo, en Julio del 2019, un empleado de la agencia de Ventanilla del Scotiabank logró sustraer S/ 573 mil y USD 289 mil, mediante un ingreso fuera de horario laboral a la bóveda de dicha agencia (“Empleado es sospechoso de robar un millón y medio de soles de bóveda de banco en Ventanilla”, 2019). 2.5. Resumen del capítulo De acuerdo a Basilea (2003b), el fraude interno es considerado como un tipo de evento de pérdida por riesgo operacional y tomando en cuenta, que en un estudio realizado por la ACFE (2016a), se identificó que el fraude cometido por los empleados de las instituciones financieras representa un alto porcentaje de la totalidad de fraudes cometidos en este tipo de instituciones, es de vital importancia que las entidades cuenten con el conocimiento e implementen las buenas prácticas relacionadas a la gestión de este tipo de riesgo. En este sentido, diferentes autores, han realizado estudios en los cuales recomiendan 65 mejores prácticas para mitigar las pérdidas monetarias y afecciones de índole reputacional por este tipo de riesgo, entre las que destaca, el establecimiento de un programa antifraude que involucre un proceso óptimo de identificación, medición, control y monitoreo, y que se encuentre estructurado de acuerdo a un Marco de Gobierno y Código de ética desarrollado por las instituciones del Sector. Cabe destacar también, los esfuerzos realizados por el Comité de Basilea, que en el documento de Basilea II, incluye el requerimiento de capital por riesgo operacional, estableciendo metodologías de estimación para que las entidades realicen dicho cálculo, y en el documento Basilea III, ante los eventos de la crisis financiera del 2008, realiza un incremento a los ratios de requerimiento requeridos con el fin de brindar solidez y estabilidad al sistema bancario ante eventos de pérdida por dicho riesgo. Asimismo, en el Perú el organismo regulador SBS ha emitido resoluciones en las cuales se describe el reglamento para la gestión del riesgo operacional, y el cálculo del requerimiento de patrimonio efectivo por dicho riesgo. Si bien, no existe un documento consensuado que contenga una lista específica de buenas prácticas relacionadas a la gestión del riesgo de fraude interno, si se ha desarrollado en la literatura un conjunto de modelos y recomendaciones respecto a la gestión de este riesgo. Por ello, es de suma importancia que las entidades implementen las mejores prácticas y establezcan un sistema de indicadores respecto a dichas prácticas y su impacto en la mitigación de pérdidas por eventos de fraude interno, de tal forma que se pueda identificar aquellas que son más efectivas en la gestión. 66 Capítulo III: Metodología 3.1. Diseño de la Investigación El diseño de la investigación es no experimental debido a que los investigadores realizaron el análisis de la información sin manipular deliberadamente las variables. Asimismo, es de tipo transversal porque se establece en un momento único, es decir, no se recolectó información de diferentes periodos de tiempo. Además, es una investigación descriptiva por el énfasis en indagar en la incidencia de las buenas prácticas financieras que existen en el sector bancario peruano para la gestión del riesgo de fraude interno (Hernández, Fernández, & Baptista, 2014). La investigación posee un enfoque cualitativo debido a que se utilizó la recolección y análisis de datos de las principales empresas del sistema financiero peruano para perfeccionar y responder a las preguntas de investigación. Mediante las entrevistas a los funcionarios del sistema bancario se buscó profundizar en las buenas prácticas financieras y se complementó con información de instituciones del sistema financiero. 3.2. Justificación del diseño El diseño de la investigación se considera apropiado porque se quiere identificar y describir las buenas prácticas financieras para la gestión del riesgo de fraude interno en casos del sistema bancario peruano. Según León y Montero, la entrevista es uno de los instrumentos más utilizados para acceder a información, permite interactuar con los participantes de forma directa y flexible con la facilidad de repetir alguna pregunta de ser necesario es por ello que se utilizó la entrevista como referencia para encontrar similitudes entre las prácticas empleadas para la gestión del riesgo operacional y específicamente del riesgo de fraude interno según la experiencia de los funcionarios entrevistados. Asimismo, estimaron que un cuestionario por entrevista puede obtener un mayor porcentaje de respuestas a las preguntas que varía entre el 80% y 85% (2003, citado en Hernández et al., 2014). 67 3.3. Población La población que comprende la presente investigación abarca a las instituciones financieras. Al cierre del mes de mayo de 2019, el sistema financiero peruano estaba compuesto por 57 empresas con activos por más de S/ 483 mil millones, las cuales se encuentran distribuidas de la siguiente manera: (a) 15 empresas de banca múltiple, (b) 11 empresas financieras, (c) 12 cajas municipales (CMAC), (d) 7 cajas rurales (CRAC), (e) 9 entidades de desarrollo de la pequeña y microempresa (EDPYME), (f) una empresa de arrendamiento financiero, (g) Banco de la Nación y (h) Banco Agropecuario (SBS, 2019b). Las empresas bancarias explican el 83.7% de los activos con un saldo de S/ 404 mil millones, mientras que las empresas financieras e instituciones microfinancieras no bancarias (CMAC, CRAC y EDPYME) representan el 3.2% y el 6.9% del total de activos, respectivamente. Por el lado de los créditos y los depósitos, las empresas bancarias representan el 85.3% y 82.2% del total de las empresas del sistema financiero. Debido a esta alta representatividad de las empresas bancarias, nuestra unidad de análisis la conforma este grupo de entidades. A continuación, se presenta los bancos que conforman el sistema financiero y su representatividad por nivel de créditos y depósitos al cierre de mayo 2019. Tabla 10. Participación de Mercado en Colocación de Créditos y Depósitos, Mayo 2019 Créditos directos Depósitos totales Empresas Miles de S/ % Miles de S/ % B. de Crédito del Perú 89,915,521 32.89 85,313,577 32.99 B. BBVA Perú 55,652,786 20.36 53,814,431 20.81 Scotiabank Perú 47,803,400 17.49 41,602,099 16.09 Interbank 33,951,934 12.42 32,749,590 12.67 B. Interamericano de Finanzas 10,196,087 3.73 10,539,192 4.08 Mibanco 10,171,376 3.72 8,232,086 3.18 B. Pichincha 7,799,240 2.85 6,667,113 2.58 B. Santander Perú 4,035,968 1.48 4,825,502 1.87 B. GNB 3,782,493 1.38 4,629,323 1.79 B. Falabella Perú 3,009,541 1.1 3,953,294 1.53 68 Tabla 11. Participación de Mercado en Colocación de Créditos y Depósitos, Mayo 2019 Créditos directos Depósitos totales Empresas Miles de S/ % Miles de S/ % Citibank 2,601,299 0.95 2,477,658 0.96 B. Ripley 1,904,789 0.7 1,416,881 0.55 B. de Comercio 1,545,251 0.57 1,376,248 0.53 B. ICBC 624,114 0.23 645,533 0.25 B. Azteca Perú 367,225 0.13 337,803 0.13 Nota. Adaptado de Alcance y participación de mercado por la SBS, 2019d. (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 3.4. Consentimiento Informado Las personas seleccionadas para las entrevistas fueron informadas oportunamente de los objetivos del trabajo, y los medios donde se publicará la presente tesis, y en pleno conocimiento aceptaron voluntariamente formar parte del estudio, brindando información sobre las buenas prácticas en la gestión de riesgo de riesgo de fraude interno a través de una entrevista. Todos los entrevistados firmaron un formato de conocimiento informado que corrobora lo mencionado anteriormente (ver Apéndice A). 3.5. Participantes de la Investigación El tipo de muestreo elegido fue el no probabilístico o por conveniencia, los autores sustentan su elección en lo específico del tema de estudio y de su carácter cualitativo, donde no se busca generalizar resultados, sino conocer la actual gestión del riesgo de fraude interno en el sector financiero peruano. Hernández et al. (2014) definieron este muestreo como la selección de individuos o casos “típicos” que no tienen como objetivo una representatividad de la población, en su libro también listó cinco tipos de muestreo cualitativo, de los cuales desarrollaremos el de expertos asociado a la necesidad que se tiene de una opinión experta que pertenezca a la entidad financiera elegida. Al analizar las principales estadísticas del sector bancario a marzo del 2019, en lo referente a colocaciones de créditos directos, se puede observar que, de los 15 bancos en 69 actividad, seis concentran el 90.61% del mercado. De esta forma, como se presenta en la Tabla 11, el Banco de Crédito del Perú (BCP) posee el 32.89% de participación, seguido del Banco BBVA Continental con 20.36%, el tercer lugar lo ocupa el Scotiabank con 17.49%, el cuarto lugar es para Interbank con un 12.42%, luego en el quinto lugar Banco Interamericano de Finanzas con 3.73%, y finalmente Mi Banco con un 3.72%. Tabla 12. Créditos Directos (en miles de soles) otorgados por el Sistema Bancario Peruano, Mayo 2019 Créditos directos Empresas Miles de S/ % % Acumulado B. de Crédito del Perú 89,915,521 32.89 32.89 B. BBVA Perú 55,652,786 20.36 53.25 Scotiabank Perú 47,803,400 17.49 70.74 Interbank 33,951,934 12.42 83.16 B. Interamericano de Finanzas 10,196,087 3.73 86.89 Mibanco 10,171,376 3.72 90.61 B. Pichincha 7,799,240 2.85 93.46 B. Santander Perú 4,035,968 1.48 94.94 B. GNB 3,782,493 1.38 96.32 B. Falabella Perú 3,009,541 1.1 97.42 Citibank 2,601,299 0.95 98.37 B. Ripley 1,904,789 0.7 99.07 B. de Comercio 1,545,251 0.57 99.64 B. ICBC 624,114 0.23 99.87 B. Azteca Perú 367,225 0.13 100.00 Nota. Adaptado de “Ranking de Créditos, Depósitos y Patrimonio, marzo 2019” por SBS, 2019d (http://sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) La distribución es similar si se observa la captación de recursos monetarios a través de los depósitos de los clientes, concentrando los seis bancos anteriores el 89.82% del total de depósitos en el sistema bancario. Asimismo, estos seis bancos condensan el 89.02% del patrimonio total del sector. No obstante, se decidió excluir de la muestra a la entidad financiera Mi Banco por estar orientado a las microfinanzas, con créditos a la micro y pequeña empresa, e individualmente no es una entidad representativa del sector financiero peruano. 70 Por otro lado, se examinó el requerimiento de patrimonio efectivo por riesgo operacional de cada banco que se presenta en la Tabla 12, y se identificó que, de los cinco bancos restantes, cuatro de ellos que son el BCP con 37.83%, el BBVA con 18.86%, el Scotiabank con 14.6% e Interbank con 11.1% concentran el 82.38% del total del sistema bancario peruano. Cabe mencionar que el patrimonio efectivo se define como el “importe extra-contable que sirve de respaldo para cubrir riesgo de crédito, riesgo de mercado y riesgo operacional” (SBS, 2015, p.10). Este indicador es importante porque nos permite discernir a las entidades que, debido a sus características de tamaño y participación de mercado, presentan mayor exposición al riesgo operacional, y por lo tanto deben contar con un respaldo financiero superior para cubrir posibles pérdidas ocasionadas por este tipo de riesgo, y consecuentemente con medidas de gestión más sofisticadas. Tabla 13. Requerimiento de Patrimonio Efectivo por Riesgo Operacional (en miles de soles) del Sistema Bancario Peruano, Mayo 2019 Empresas Requerimiento Total por Riesgo Requerimiento Total por Riesgo Operacional/TOTAL Operacional BANCA MÚLTIPLE B. Continental 462,082 18.86% B. de Comercio 8,329 0.34% B. de Crédito del Perú 926,784 37.83% B. Pichincha 69,731 2.85% B. Interamericano de Finanzas 74,545 3.04% Scotiabank Perú 357,808 14.60% Citibank 58,379 2.38% Interbank 271,843 11.10% Mibanco 64,833 2.65% B. GNB 40,170 1.64% B. Falabella Perú 88,983 3.63% B. Santander Perú 29,224 1.19% B. Ripley 35,698 1.46% B. Azteca Perú 11,390 0.46% B. ICBC 3,466 0.14% TOTAL BANCA MÚLTIPLE 2,450,135 Nota. Adaptado de “Requerimiento de Patrimonio Efectivo por Riesgo Operacional por Empresa Bancaria”, por SBS, 2019d (http://sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 71 Adicionalmente, y considerando que la investigación se centra en el estudio del fraude interno, se consideró como indicador importante el número de empleados de cada entidad financiera, y se identificó que los cuatro bancos seleccionados son los que presentan mayor número de colaboradores, representando el 63.79% del total de empleados del sector. La información detallada se presenta en la Tabla 13. Tabla 14. Cantidad de Personal por cada Entidad Bancaria Peruana, Mayo 2019. Empresas Gerentes Funcionarios Empleados Otros Total Total/Total Banca Múltiple B. Continental 432 3,884 1,651 167 6,134 9.68% B. de Comercio 7 308 329 44 688 1.09% B. de Crédito del Perú (con sucursales en el exterior) 503 5,038 10,802 4,924 21,267 33.56% B. Pichincha 19 107 1,960 50 2,136 3.37% B. Interamericano de Finanzas 23 125 1,244 47 1,439 2.27% Scotiabank Perú 311 2,257 3,419 203 6,190 9.77% Citibank 105 79 34 101 319 0.50% Interbank (con sucursales en el exterior) 58 3,176 3,507 95 6,836 10.79% Mibanco 40 868 10,422 98 11,428 18.03% Banco GNB 13 129 364 0 506 0.80% B. Falabella Perú 11 154 2,050 30 2,245 3.54% B. Santander Perú 14 25 76 0 115 0.18% B. Ripley 8 51 1,636 4 1,699 2.68% B. Azteca Perú 252 6 2,053 11 2,322 3.66% B. ICBC 4 12 35 1 52 0.08% TOTAL BANCA MÚLTIPLE 1,800 16,219 39,582 5,775 63,376 Nota. Adaptado de “Personal según Categoría Laboral por Empresa Bancaria”, por SBS, 2019d (http://sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) De acuerdo a lo anterior, se consideraron representativos del sector financiero peruano al Banco de Crédito del Perú, BBVA, Scotiabank y Banco Interbank. 3.6. Confidencialidad La información resultante de las entrevistas realizadas es de carácter confidencial y su uso es exclusivo para la elaboración de la presente tesis. En lo referente a los estados financieros, memorias anuales y otras publicaciones financieras se consideran información pública, según normativa de la SBS. 72 3.7. Instrumentos de medición o métodos para recopilar datos Con la finalidad de obtener información sobre la gestión de riesgo de fraude interno, la fuente de información la conforman los funcionarios encargados de dicha gestión en el Banco de Crédito, BBVA, Scotiabank e Interbank. Dichos funcionarios se encuentran localizados en Lima Metropolitana. Al ser una investigación cualitativa, el método utilizado para la recolección de datos es la entrevista, utilizando un cuestionario que es aplicado por miembros de este equipo. El instrumento de recolección es el entrevistador, quien asume un papel activo, es quien recoge los datos, observa, entrevista, revisa documentos, es el medio de obtención de la información, recogiendo datos de diferentes tipos: escrito, verbal y no verbal, conductas observables e imágenes (Hernández et al., 2014). La entrevista es semiestructurada, es decir, se basa en un cuestionario con una guía de preguntas específicas; sin embargo, se puede introducir preguntas adicionales para precisar conceptos u obtener mayor información. La guía de entrevistas consta de 17 preguntas abiertas, se empieza con preguntas generales, hasta llegar a preguntas específicas y más complejas. 3.8. Análisis e Interpretación de Datos En la presente investigación, la recolección de datos se realizó en el sitio de trabajo de los entrevistados. Según, Hernández et al., 2014 para obtener una entrevista adecuada se requiere utilizar todos los sentidos, se necesita saber escuchar, poner especial atención a los detalles, comprender conductas no verbales, ser reflexivo y disciplinado para escribir acotaciones. Asimismo, en el proceso de análisis de la información, se recibieron los datos no estructurados, los mismos que fueron recogidos en la entrevista, dicha información fue organizada en los temas relacionados a la gestión del riesgo de fraude interno para su posterior interpretación y análisis. En la Tabla 14 se presenta la guía de entrevistas que fue utilizada por los investigadores. 73 Tabla 15. Formulación del Instrumento de Investigación Objetivo P. Pregunta P.1 ¿Cómo define la gestión de riesgos? P.2 ¿Cuenta el banco con un área de gestión de riesgo de fraude interno? P.2.1 ¿Cómo está estructurada? ¿Cuántas personas lo conforman? Identificar las prácticas financieras en la gestión P.3 ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude del riesgo de fraude interno interno? que se desarrollan en el P.4 ¿Cuáles son las buenas prácticas financieras implementadas en la gestión actual Sistema financiero peruano del riesgo de fraude interno? P.4.1 En su opinión, ¿Cuáles son las más importantes? P.5 ¿Cómo el banco evidencia la repercusión de la gestión de riesgo del fraude interno? ¿Qué indicadores utilizan? P.6 ¿Cuenta el banco con un marco de gobierno para la gestión de riesgo de fraude interno? ¿Se encuentra documentado? P.6.1 ¿Cuenta el banco con un código de ética para el personal? En una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno o no está P.6.2 implementado y 5 totalmente implementado y difundido, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? ¿Actualmente cuál es el proceso que sigue el banco para identificar y evaluar P.7 los riesgos relacionados al fraude interno? Comentar cuales son los principales riesgos identificados P.7.1 ¿Se encuentra documentado este proceso? ¿Dónde? P.7.2 ¿Se mide la probabilidad de impacto de estos riesgos? ¿Cómo? En una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de P.7.3 identificación y evaluación y 5 totalmente implementado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? P.8 ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentados? Contrastar si las prácticas financieras que se realizan P.8.1 En base a la cantidad de casos de fraude identificados ¿Cuáles son los en la gestión del fraude principales controles preventivos y detectivos implementados? interno corresponden a las En una escala del 1 al 5, siendo 1 no cuento con controles implementados y 5 buenas prácticas P.8.2 totalmente implementado y documentado, ¿en qué grado considera usted que se identificadas en la encuentra el banco actualmente? ¿Por qué? investigación P.9 Actualmente el Banco posee protocolos de investigación y/o respuesta frente al fraude interno. ¿Está documentado? P.9.1 Describir la respuesta del banco frente a casos de fraude interno. En una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar y se P.9.2 decide según la situación y 5 cuento con un plan de acción en funcionamiento que se actualiza regularmente, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? P.10 ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? P.10.1 Describir las actividades de monitoreo. ¿Cuentan con reportes de monitoreo? ¿Con qué frecuencia se elaboran y ante quiénes se presentan? En una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo P.10.2 implementadas y 5 cuenta con reportes recurrentes (generales y específicos), ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? P.11 ¿Existe alguna mejora en las prácticas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? 74 Tabla 16. Formulación del Instrumento de Investigación Contrastar si las prácticas Según su formación académica ¿Puede evidenciar si lo que indica la teoría financieras que se realizan P.12 como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la en la gestión del fraude actualidad? interno corresponden a las buenas prácticas P.12.1 ¿Existe alguna práctica financiera para la gestión de riesgo de fraude interno identificadas en la que en la teoría se enseñe, pero no se aplique? investigación P.13 En su experiencia, ¿cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? Analizar la relación entre En base a su conocimiento ¿Cuáles son los casos más frecuentes de fraude las buenas prácticas en la P.14 interno y cuánto representan de las pérdidas monetarias anteriormente gestión de riesgos del mencionadas? fraude interno y el nivel de pérdidas monetarias por P.15 ¿Ha identificado el tipo de fraude interno de mayor impacto monetario?, riesgo operacional en el comentar ¿cuál es? y ¿cuál es su frecuencia? Sistema Financiero P.16 ¿Cuentan con una base de datos de pérdidas por evento de fraude interno? Peruano ¿Cuáles son sus usos principales? P.17 ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las pérdidas asociadas al riesgo de fraude interno? 3.9. Validez y Confiabilidad En relación a la validez de la investigación cualitativa Dermerath (2006, citado en Moral, 2006) mencionó que se debe cumplir con tener una gran transparencia en el diseño de la investigación, una gran transparencia en el desarrollo de teorías, y además poseer exactitud de los datos, precisión, y amplitud en los casos de estudio. 3.10. Resumen del Capítulo La metodología de la investigación se basa en un diseño de investigación no experimental, de tipo transversal, y descriptiva con un enfoque cualitativo con el objetivo de identificar y describir las buenas prácticas financieras para la gestión del riesgo de fraude interno en casos del Sistema Bancario Peruano. Se utilizó como método de recolección de datos una entrevista semiestructurada con una guía de preguntas específicas donde los funcionarios encargados de la gestión del riesgo de fraude intervinieron como fuente de información, evidenciando su participación con la firma del consentimiento informado que aseguró la veracidad de los datos recolectados, así como también justificó la autorización de la publicación de los mismos. Para la selección de los participantes se utilizó el muestreo no 75 probabilístico o por conveniencia, en primera instancia se eligió a los seis bancos que cuentan con más del 90% de participación en el mercado peruano en depósitos y créditos, luego se excluyó a uno de los seis bancos por estar orientado a las microfinanzas y finalmente, basados en el porcentaje de requerimiento de patrimonio efectivo por riesgo operacional se seleccionó a los cuatro bancos con mayor porcentaje del total de la banca múltiple. 76 Capítulo IV: Casos de Empresas del Sector Bancario 4.1. Perfil del Informante Para la recolección de la información se realizaron entrevistas a los funcionarios responsables de la gestión de riesgo de fraude interno en cada banco. La información y características de cada participante se muestran en la Tabla 15. Tabla 17. Información de los Entrevistados Banco 1 Banco 2 Banco 3 Edad 58 años 40 años 64 años Grado de Instrucción Superior Superior Superior Cargo actual en la empresa Gerente de Prevención Especialista de Gestión Gerente de Prevención del Fraude de Riesgos del Fraude Años en este cargo 3 años 6 años 15 años Años en la empresa 25 años 11 años 15 años Tabla 18. Prácticas Identificadas por Empresa según Entrevista Banco 1 Banco 2 Banco 3 Práctica 1 identificada (Marco de gobierno) x x X Práctica 2 identificada (Código de Ética) x x X Práctica 3 identificada (Políticas de prevención del fraude) x x X Práctica 4 identificada (Canal de denuncias) x x X Práctica 5 identificada (Identificación de potenciales riesgos de fraude) x x X Práctica 6 identificada (Valorización de los riesgos de fraude) x x X Práctica 7 identificada (Evaluaciones de riesgo periódicas) x x X Práctica 8 identificada (Técnicas de prevención de fraude) x x X Práctica 9 identificada (Técnicas de detección de fraude) x x X Práctica 10 identificada (Evaluación de la efectividad de los controles) x x X Práctica 11 identificada (Elaboración de un programa antifraude) x x X Práctica 12 identificada (Correcta monitorización de su programa antifraude) x x X Práctica 13 identificada (Métricas de seguimiento y desempeño de la gestión) x x X Práctica 14 identificada (Protocolos de investigación ante un fraude) x x X Práctica 15 identificada (Protocolos de respuesta ante un fraude) x x X Práctica 16 identificada (Elaboración de plan de acción frente a deficiencias encontradas) x x X Práctica 17 identificada (Está al tanto de nuevas modalidades de fraude en el sector) x x X Práctica 18 identificada (Comunicación permanente con la alta gerencia para la definición de estrategias) x x X 77 4.2. Resultados de la entrevista Objetivo: Identificación de las prácticas financieras en la gestión del riesgo de fraude interno. 1. ¿Cómo define la gestión de riesgos? El Banco 1 define a la gestión de riesgos como el manejo de la incertidumbre a través de metodologías de identificación, evaluación, implementación de controles y monitoreo a fin de alcanzar sus objetivos estratégicos y de negocios. En esa línea, el Banco 3 establece como la identificación de los riesgos que pueden ser operativos y dentro de ellos el fraude y el alcance que tienen para lograr los objetivos del banco. Por otro lado, el Banco 2 sostiene que se clasifica la tipología de los riesgos, acompañada de modelos de control, que es transversal para todo el banco y sociedades del grupo. 2. ¿Cuenta el Banco con un área de gestión de riesgo de fraude interno? ¿Cómo está estructurada? ¿Cuántas personas lo conforman? Todos los bancos tienen un área de gestión de riesgo de fraude, aunque la estructura es diferente. El Banco 1 tiene una Gerencia de Seguridad Operativa, donde la Gerencia de Gestión Preventiva del Fraude cuenta con cinco unidades que son las siguientes: Equipo de Prevención del fraude, Equipo de Investigación, Equipo de Seguridad Documentaria, Equipo encargado de Subsidiarias y la Unidad de Capacitación. Esta Gerencia está conformada por 30 personas y la Gerencia de Área por aproximadamente 100 personas. En tanto, el Banco 2 cuenta con un área de gestión de riesgo de fraude interno que está conformado entre 10 a 15 personas, además hay otros equipos que se encargan del fraude tecnológico y fraude externo. El Banco 3 tiene un área de gestión de prevención de fraude con tres áreas de gestión conformadas por 50 personas, un área se encarga de los reclamos relacionados con consumos no reconocidos, otra área es la responsable de los riesgos de fraude inmersos en nuevos 78 productos o servicios o de investigación forense, y otra área se encarga del monitoreo, es decir, las herramientas de monitoreo, y los análisis de tendencias, casuísticas, etc. 3. ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude interno? El Banco 1 realiza la identificación de riesgos a través de evaluaciones similares a los proyectos de auditoría pero enfocados en identificar las debilidades de los diversos procesos del Banco en cuanto al fraude interno, en dichas evaluaciones se realizan pruebas de estrés, para verificar en que etapas del proceso podría cometerse fraude y cuál sería su impacto monetario, el resultado de estas evaluaciones permite recomendar la implementación de controles tanto preventivos como detectivos a las gerencias encargadas de cada proceso investigado. Si durante dichas investigaciones, se encuentra un caso de fraude interno in situ, se deriva al Equipo de Investigaciones, el cual cuenta con lineamientos establecidos para conducir la investigación y con el plan de acción que deberá seguir. El objetivo de dicho equipo es definir la modalidad de fraude cometido, el monto afectado, los responsables directos e indirectos involucrados, los controles que fueron vulnerados y las posibles vías de recuperación del dinero sustraído. Asimismo, los riesgos identificados y los controles implementados son registrados en la Matriz de Riesgos, que se encuentra alineada a la Matriz utilizada por la Gerencia de Administración de Riesgo Operativo (ARO). Se cuenta también con indicadores establecidos para monitorear el riesgo de fraude interno, y de forma periódica se realiza un monitoreo o seguimiento a dichos indicadores. Se realiza un Comité cada dos meses en el cual se informa a la Alta Gerencia y Junta Directiva de la gestión del riesgo de fraude interno. Asimismo, cada vez que un evento de fraude es identificado se realizan comités de emergencia. En tanto, el Banco 2 tiene diferentes procesos, dependiendo de cada caso se sigue una metodología, cuya clasificación define que procedimientos que se van a aplicar. 79 Mientras que el Banco 3 gestiona este riesgo desde el reclutamiento de personal por parte del área de recursos humanos, basándose en los valores del banco, y tiene procedimientos definidos como entrevistas y análisis de los nuevos postulantes, donde se validan los principales valores del banco, luego en la gestión propiamente de este riesgo, existen políticas del banco descentralizadas, en el área de monitoreo se cuenta con esquemas de tendencias de fraude externo e interno. 4. ¿Cuáles son las buenas prácticas financieras implementadas en la gestión actual del riesgo de fraude interno? ¿Cuáles son las más importantes? En el Banco 1 algunas de las buenas prácticas financieras implementadas son contar con un equipo de prevención del fraude, realizar la evaluación periódica de los procesos más importantes del Banco, y dentro de dichas evaluaciones generar situaciones de estrés para evaluar el funcionamiento de los controles implementados, además contar con un equipo multidisciplinario con diferentes perspectivas de los riesgos identificados y controles que deberían ser implementados. También, el trabajo se realiza bajo los lineamientos de metodologías como COSO, ISO 31000, ISO Corrupción, ISO Seguridad Documentaria entre otros. Todas las prácticas son importantes porque aportan al cumplimiento de objetivos, entre ellas lo más importante es centrarse no solo en la detección sino en la prevención y contar con un equipo con solidez ética, integridad y conocimiento para realizar dichas evaluaciones. En el caso del Banco 2 se centran en el control del riesgo, es decir, lo relacionado a los accesos y seguridad de la información, así como controles de monitoreo y supervisión, como el rastreo de las transacciones realizadas, que los sistemas o páginas ingresadas correspondan con el perfil del puesto, en el momento de la contratación el personal firma un documento de confidencialidad de información, otra buena práctica es la seguridad física, existiendo áreas a las que no se permite el acceso, validación de las horas de ingreso o salida del personal de determinado lugar. 80 Por el lado del Banco 3, se trabaja con herramientas de monitoreo, y análisis de tendencias y casuísticas. Asimismo, dentro de la evaluación de los riesgos de los productos y servicios que ofrece el banco, el área de gestión de fraude interno participa conjuntamente con el área de riesgo operacional donde se realiza las evaluaciones de los productos más expuestos o con más riesgo y desde la perspectiva de fraude también realizan evaluaciones propias de los procesos y vulnerabilidades de los canales, productos y servicios. A raíz de las investigaciones forenses, se determinan debilidades o situaciones aprovechadas por terceros o propios colaboradores, luego de ello se generan las propuestas y recomendaciones, que son analizadas por los responsables de los productos y servicios y en el caso de fraude interno también se coordina con el área de recursos humanos. Desde la perspectiva de riesgo operativo se realizan las autoevaluaciones y el seguimiento a las propuestas de mejora o corrección de debilidades detectadas, y se realiza un cronograma de implementación y el seguimiento correspondiente. En el diseño de productos y servicios nuevos con las metodologías ágiles también participa el área de fraude, se realiza las evaluaciones de riesgo, se cuantifica, se identifican posibles debilidades, se hace una definición de aceptación de acuerdo al apetito de riesgo de cada producto, servicio o canal, y en base a eso se determinan acciones y correcciones. La organización en cuanto a fraude se encuentra bajo los esquemas de revisión y seguimiento relacionados a COSO. 5. ¿Cómo el banco evidencia la repercusión de la gestión del riesgo de fraude interno? ¿Qué indicadores utilizan? En el Banco 1 se evidencia a través de la reducción en posibles pérdidas monetarias, los indicadores principales están asociados a los objetivos estratégicos del Banco, y se maneja indicadores de fraude interno relacionados a los diferentes procesos y productos. En cuanto al Banco 2 se evidencia a través de un sistema de pérdidas, en el que se tipifican todas las pérdidas no solo las que generó el fraude, sino todas las multas, sanciones y 81 otros. El sistema maneja reportes, que son presentados al comité donde se informa el monto de pérdidas que se han producido, además se presentan las pérdidas de fraude por diferentes tipologías. En el Banco 3 se evidencia con indicadores de medición, presentado en base al número de casos e importes, además se realizan comités donde se efectúa el seguimiento de la evolución de los eventos que se presentan y el número de personas involucradas. Objetivo: Contrastar las prácticas financieras aplicadas en la gestión del riesgo de fraude interno en el marco de las buenas prácticas. 6. ¿Cuenta el banco con un marco de gobierno para la gestión del riesgo de fraude interno? ¿Se encuentra documentado? Los tres bancos entrevistados comentan que si cuentan con un marco de gobierno para la gestión del riesgo de fraude interno. Al respecto, el Banco 1 y Banco 3 comentan que dichos lineamientos se encuentran documentados en políticas internas, mientras que el Banco 2 añade que las pautas generales y políticas las establece el grupo corporativo y cada subsidiaria realiza variaciones para alinearse a la política local dependiendo de lo requerido por los reguladores. Asimismo, los tres bancos indicaron que, si cuentan con un Código de Ética para el personal, el cual se encuentra documentado y es de conocimiento de los empleados. Se consultó a los entrevistados, como califican el marco de gobierno relacionado a la gestión del riesgo de fraude interno, en una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno implementado, y 5 totalmente implementado y difundido. A continuación, las respuestas. Tabla 19. Marco de Gobierno para la Gestión del Riesgo de Fraude Interno Respuesta Frecuencia Bancos 1 82 Tabla 20. Marco de Gobierno para la Gestión del Riesgo de Fraude Interno Respuesta Frecuencia Bancos 2 3 4 2 B1, B3 5 1 B2 3 El Banco 1 y el banco 3 indicaron que el puntaje de cuatro se debe a que, a pesar de contar con un marco de gobierno robusto, la variedad de productos y servicios, así como la implementación de metodologías ágiles hace que sea complicado mantener documentado cada detalle. El Banco 3 recalcó que las metodologías de gestión de riesgos como COSO, aún no consideran los lineamientos para el control de los productos o servicios creados con metodologías ágiles. Por su lado, el Banco 2 indicó que se otorgó el puntaje de 5 porque hay un esquema de reportes al regulador, al comité de gestión, y que en las reuniones de ASBANC las entidades del sistema financiero comparten los eventos de fraude ocurridos. 7. Actualmente, ¿cuál es el proceso que sigue el banco para identificar y evaluar los riesgos relacionados al fraude interno? Comentar cuales son los principales riesgos identificados. El Banco 1 indicó que el proceso a seguir es la ejecución de evaluaciones periódicas a los principales procesos y productos del Banco, y que durante dichas evaluaciones se generan situaciones de estrés para identificar debilidades en los controles implementados. A partir de dicha identificación se cuantifica la probabilidad y posible impacto de cada riesgo, a través del análisis histórico de casos de fraude, juicio experto o benchmark de otros bancos locales o internacionales. Indicó que los riesgos identificados son registrados en la matriz de riesgos, y 83 que el proceso se encuentra detallado en documentos confidenciales a cargo de la gerencia que realiza la gestión del riesgo de fraude interno. Al respecto, el Banco 2 indicó que el proceso es variado, para ello generan alertas que pueden provenir de fuentes internas o externas tales como movimientos inusuales que luego son investigados. Asimismo, comentó que se mide la probabilidad de impacto de los riesgos, a través del importe monetario del fraude sobre la cuenta de resultados, señaló que las pérdidas por fraude interno no son fuente de gasto operativo, dado que no se considera como resultado de lo que genera el negocio. También indicó que el proceso de identificación de riesgos se documenta mediante la generación de informes y que las pérdidas se registran en un sistema. Por su lado el Banco 3 indicó que el proceso se realiza mediante la evaluación de los productos y servicios existentes a los que se realizan cambios y a los nuevos productos. Comentó que la gerencia encargada de la gestión del riesgo de fraude interno participa activamente desde que se presentan ideas, es decir asisten al comité de productos nuevos, para en base a evidencias de casos anteriores de fraude poder dar una opinión respecto al riesgo de los nuevos productos o cambios en los productos vigentes, y que la gerencia a cargo pueda implementar los controles respectivos. Asimismo, indicó que la gerencia encargada de la gestión del riesgo de fraude interno cuenta con una matriz de riesgos, que se encuentra alineada a la utilizada por la Gerencia de Riesgo Operativo. También recalcó que toda medida de mitigación de fraude recomendada a una gerencia de producto no puede ser desestimada sin la aprobación de la gerencia que se encarga de la gestión del riesgo de fraude interno. Cabe mencionar que el Banco 3 señaló que si se realiza la cuantificación de la probabilidad e impacto económico de los riesgos y en base a dicha cuantificación se determinan las acciones a tomar si el apetito de riesgo lo amerita. Finalmente indicó que el 84 proceso de identificación de riesgos no se encuentra documentado, y es de diseño y evaluación propia de la gerencia. Se consultó a los entrevistados, como califican su proceso de identificación y evaluación de riesgos, en una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de identificación y evaluación de riesgos, y 5 totalmente implementado. A continuación, las respuestas Tabla 21. Proceso de Identificación y Evaluación de Riesgos Respuesta Frecuencia Bancos 1 2 3 1 B2 4 1 B3 5 1 B1 3 El Banco 1 indicó que considera el puntaje de cinco, debido a que el proceso de identificación de riesgos es exhaustivo e involucra pruebas de estrés a los principales procesos. Por su lado el Banco 2, indicó que considera el puntaje de tres porque la rotación de personal implica dificultad en la identificación de riesgos, y el Banco 3 indicó que el puntaje de cuatro se debe a que considera que aún hay trabajo por realizar con los nuevos productos creados con metodologías ágiles, los cuales deberían crear muchos caminos de acción que aún no han sido completamente identificados. 8. ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentadas? El Banco 1 indicó que existen diversas actividades de control relacionadas a los diferentes procesos realizados como parte del negocio del banco, así como a las casuísticas de fraude interno identificadas, una de ellas es la evaluación periódica a los procesos críticos y relevantes relacionados al negocio. Estas actividades de control se encuentran documentadas. 85 Respecto a los principales controles implementados, indicó que los controles preventivos son las revisiones o evaluaciones basadas en los principios COSO y que los controles detectivos son variados tales como la revisión de personal que no toma vacaciones o ingresos al sistema de usuarios que se encuentran en periodo vacacional, operaciones fuera de los patrones usuales, operaciones no autorizadas, entre otros. El Banco 2 indicó que existe un sistema de alertas, que se activa con movimientos inusuales o en algunos casos por un reclamo. Respecto a los principales controles implementados, indicó que esto depende de los casos de fraude identificados, comentó que cuando se genera fraude dentro de un área, los especialistas deben implementar un nuevo control, por más controles con los que ya cuente su proceso. El Banco 3 indicó que su principal actividad de control es el monitoreo, dado que la mayoría de eventos de fraude se identifican por este canal. Comentó que, dentro de dicho monitoreo, cuentan con alertas que se generan por el incumplimiento de los procedimientos establecidos por el banco, ya que algunos de estos incumplimientos son por negligencia, pero también pueden tratarse de casos de fraude. Respecto a los principales controles implementados, indicó que son variables y la mayoría de casos se dan en agencias y depende de las circunstancias, por ejemplo, entre las principales alertas se encuentran el uso de un usuario por más de una persona, un usuario que se conecte al sistema cuando se encuentra de vacaciones o trabajo fuera de horario, operaciones inusuales, entre otras. Comentó que cada una de estas alertas se van implementando, en función de los eventos ocurridos y se analizan como parte del seguimiento. Se consultó a los entrevistados, como califican las actividades de control antifraude implementadas, en una escala del 1 al 5, siendo 1 no cuento con controles implementados, y 5 totalmente implementado y documentado. A continuación, las respuestas. 86 Tabla 22. Esquema de Implementación de Controles Respuesta Frecuencia Bancos 1 2 3 2 B2, B3 4 1 B1 5 3 El Banco 1 se otorgó el puntaje de cuatro debido a que considera complejo implementar controles antifraude en todos sus procesos, sobre todo en los referidos a los nuevos productos. Por su lado el Banco 2 consideró el puntaje de tres porque el desarrollar controles sólidos y ponerlos en funcionamiento toma un tiempo considerable de entre seis meses y un año. El Banco 3 también consideró el puntaje de tres debido al constante cambio en los productos del banco, así hizo mención nuevamente en que es complicado controlar los productos relacionados a metodologías ágiles. 9. Actualmente el banco posee protocolos de investigación y/o respuesta frente al fraude interno ¿Está documentado? El Banco 1 y el Banco 3, comentaron que poseen protocolos de investigación documentados. Para el Banco 1 estos documentos son confidenciales y para el Banco 3 cuentan con documentación a nivel macro, por otra parte, el Banco 2 indicó que no los tiene documentados, pero sí resalta que analizan los casos que se presentan y comentan en las reuniones de ASBANC. Tabla 23. Posee Protocolos de Investigación Documentados Respuesta Frecuencia Bancos Sí 2 B1, B3 No 1 B2 3 87 Se consultó a los entrevistados, como califican su plan de acción ante eventos de fraude interno, en una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar, y 5 cuento con un plan de acción en funcionamiento que se actualiza regularmente. A continuación, las respuestas. Tabla 24. Plan de Acción ante Eventos de Fraude Interno Respuesta Frecuencia Bancos 1 2 3 1 B2 4 1 B3 5 1 B1 3 10. ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? El Banco 1 y Banco 3 comentaron que cuentan con actividades de monitoreo y que estas se encuentran documentadas, por el contrario, el Banco 2 comentó que si existe un monitoreo de actividades pero que diariamente no se documenta el monitoreo que realizan. Asimismo, en cuanto a los reportes de monitoreo los Bancos 2 y 3 indicaron poseer reportes, en el caso del Banco 3 sus reportes son permanentes y diarios, en el caso del Banco 2 se presentaban reportes mensuales y trimestrales; sin embargo, estos podrían mejorarse por los procesos manuales de su elaboración. El Banco 1 no precisó si presentaban reportes. Tabla 25. Cuenta con Actividades de Monitoreo Respuesta Frecuencia Bancos Sí 3 B1, B2, B3 No 0 3 88 Tabla 26. Actividades de Monitoreo Documentadas Respuesta Frecuencia Bancos Sí 2 B1, B3 No 1 B2 3 Tabla 27. Cuenta con Reportes de Monitoreo Respuesta Frecuencia Bancos Sí 2 B2, B3 No 0 No indica 1 B1 3 Se consultó a los entrevistados, como califican sus actividades de monitoreo, en una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo implementadas, y 5 cuento con reportes recurrentes. A continuación, las respuestas. Tabla 28. Plan de Acción ante Eventos de Fraude Interno Respuesta Frecuencia Bancos 1 2 1 B2 3 4 1 B1 5 1 B3 3 11. De acuerdo a su experiencia ¿Existe alguna mejora en las prácticas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? Para el Banco 1, se aplican todos los lineamientos del marco de gestión de riesgos y todo el marco de gobierno se encuentra definido y divulgado. El Banco 2, por otro lado comentó que cuando una persona es separada del banco por un tema de fraude interno es 89 necesario que las otras entidades sean o no financieras estén enteradas de estos eventos ya que el defraudador puede replicar el mismo mecanismo en otras empresas resaltando que es necesario compartir entre bancos los casos presentados, el Banco 3 indicó que si existen mejoras sin embargo no especificó cuáles debido a que la información es de carácter reservado. 12. Según su formación académica ¿Puede evidenciar si lo que indica la teoría como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la actualidad? ¿Existe alguna práctica financiera para la gestión de riesgo de fraude interno que en la teoría se enseñe, pero no se aplique? Para el Banco 1 y Banco 2 si se evidencia que la teoría se aplica en la práctica, y no encuentran teoría que no hayan aplicado en la gestión de riesgos, el Banco 3 también evidencia que la teoría se aplica en la práctica sin embargo no precisa si existe teoría que no se aplique. Objetivo: Relación entre las buenas prácticas en la gestión del riesgo de fraude interno y el nivel de pérdidas monetarias. 13. En su experiencia, ¿cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? El Banco 1 expresó que lo usual en Latinoamérica es un 5% de las utilidades en promedio y que respecto al banco en que labora no se puede especificar, mientras que el Banco 2 comentó que en su caso es menor al 5% del resultado anual y coincidió con el banco 3 en que es muy variable y cambia radicalmente de un año a otro, pero que existe una tendencia al incremento del monto de pérdidas monetarias. Adicionalmente el Banco 3 mencionó que en relación al fraude externo representa entre el 20% y 30% del monto de pérdida. 90 14. En base a su conocimiento ¿Cuáles son los casos más frecuentes de fraude interno y cuánto representan de las pérdidas monetarias anteriormente mencionadas? El Banco 1 expresó “el caso más frecuente es la suplantación de identidad y representa aproximadamente el 40% del total de pérdidas por fraude interno en términos monetarios”, para el Banco 3 también tuvo una representatividad significativa la suplantación, aunque comentó que el mayor bloque lo tienen los indicios de fraude interno, dado que muchas veces los bancos no pueden tener la certeza o demostrar la culpa del colaborador o existe ambigüedad en las normas, que impide catalogarlos como fraude interno; mientras que el Banco 2 mencionó que no existe una operativa recurrente y las pérdidas asociadas son variadas sin que representen un costo significativo para el banco. 15. Ha identificado el tipo de fraude interno de mayor impacto monetario, comentar ¿cuál es y cuál es su frecuencia? Para el Banco 1, el tipo de fraude interno de mayor impacto fue la suplantación de identidad; mientras que el Banco 3 puntualizó que la venta de producto del activo (tarjeta de crédito o préstamos personales) sería el principal; el Banco 2 a través de los comités de riesgos analiza el ranking de eventos por importe de pérdidas, pero aclaró que los de mayor impacto son diferentes. Ninguno mencionó la frecuencia de los casos. 16. ¿Cuentan con una base de datos de pérdidas por evento de fraude interno? ¿Cuáles son sus usos principales? Todos los bancos entrevistados contestaron que sí cuentan con una base de datos de eventos de pérdida por riesgo de fraude, con objetivo de implementar los cambios necesarios para que no se repitan dichos eventos en base al análisis de la información. Puntualmente el Banco 1 especificó que se usa para evaluación de procesos y análisis de riesgos, además de reportes a la SBS; el Banco 2 usa esta base histórica para ajustar sus modelos y generar 91 controles preventivos; y por último el Banco 3 comentó que comparte esta información con el área de riesgo operativo para la corrección de debilidades. 17. ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las pérdidas asociadas al riesgo de fraude interno? Todos los bancos entrevistados mencionaron que cuantifican sus pérdidas, pero solo los Bancos 1 y 3 realizan estimaciones de sus posibles pérdidas, a través de análisis histórico, benchmark y juicio de expertos que van acompañados de modelos estadísticos que sirven de referencia; expresaron también que la metodología usada más que predecir pérdidas son valoraciones del riesgo, dada la complejidad de lo primero. El Banco 3 adicionó a lo anterior, que en los comités de ASBANC existe un intercambio cooperativo de información entre bancos que sirve como referencia para la determinación del riesgo de fraude en productos nuevos que no tienen información histórica en el banco. 4.3. Resumen del capítulo Los entrevistados se caracterizaron porque tenían más de una década en la empresa y más de tres años en el cargo. En lo que respecta a las buenas prácticas identificadas en el presente estudio en comparación con las que han realizado a la fecha los bancos entrevistados, se observa que los tres bancos cumplen en cierta medida con la totalidad de las buenas prácticas identificadas. Los resultados de la entrevista se agrupan en tres secciones, asociados a los objetivos del presente trabajo. Respecto al objetivo 1, identificación de las prácticas financieras en la gestión del riesgo de fraude interno, los bancos entrevistados definieron el riesgo como el proceso de identificación, clasificación, evaluación, control y monitoreo de los riesgos a los que se ven expuestos y todos cuentan con un área de gestión de riesgo de fraude; el proceso que siguen para gestionar dicho riesgo es diverso, mencionaron evaluaciones de casos similares, pruebas 92 de estrés, el impacto monetario y en base a lo anterior implementar controles preventivos y detectivos que serán medidos a través de indicadores, esquemas de tendencia y la relación existente entre el fraude interno y externo. Las buenas prácticas identificadas son resumidas en la Tabla 16. Los bancos estudiados coinciden en que el resultado de las buenas prácticas en la gestión de riesgos de fraude interno se traduce en menores pérdidas monetarias y disminución del número de eventos de riesgo. En relación al objetivo 2, contrastar las prácticas financieras aplicadas en la gestión del riesgo de fraude interno en el marco de las buenas prácticas, los tres bancos cuentan con un marco de gobierno asociado a la gestión del riesgo de fraude interno, un código de ética documentado y difundido. En el proceso de identificación de riesgos mencionaron evaluaciones periódicas a los principales procesos, productos e indicadores, dando como resultado la implementación de nuevos controles o actualización de los controles existentes. Dentro de las principales actividades de control antifraude, señalaron la evaluación periódica de los procesos críticos, el sistema de alertas y monitoreo. Los bancos participantes poseen protocolos de investigación frente al fraude interno y monitoreo de las actividades de sus programas antifraude. Acerca del objetivo 3, relación entre las buenas prácticas en la gestión del riesgo de fraude interno y el nivel de pérdidas monetarias, los tres bancos indicaron que el nivel de pérdidas monetarias por fraude interno es muy variables y difíciles de predecir. 93 Capítulo V: Conclusiones y Recomendaciones 5.1. Conclusiones 5.1.1. Conclusiones según los objetivos de la investigación ¿Cuáles son las prácticas financieras aplicadas en la gestión del riesgo de fraude interno en el Sistema Financiero Peruano? A lo largo de las entrevistas se identificaron estas prácticas, dentro del marco de la gestión del riesgo de fraude interno: 1. Los funcionarios de los tres bancos entrevistados resaltaron que contaban con un área de gestión de riesgos, cuyas estructuras a la interna son variadas desde unidades de capacitación hasta equipos para la prevención del fraude tecnológico, asimismo los equipos para la gestión del riesgo fraude interno para los tres casos estaban conformados al menos por 10 personas. 2. De los tres bancos entrevistados no todos cuentan con un proceso estándar para la gestión el riesgo de fraude interno, mientras uno de ellos indicó que tiene dos procesos diferentes y que dependiendo del caso que se presente se aplica la metodología, los otros indicaron lineamientos relacionados a la cultura organizacional y evaluaciones con ayuda de auditorías. 3. La repercusión del riesgo de fraude interno es evidenciada por los bancos por medio de pérdidas e importes de los casos presentados, en algunos casos utilizan herramientas de gestión cuantitativa para la presentación de estos indicadores en los comités. ¿Las prácticas financieras aplicadas en la gestión del riesgo de fraude interno en el Sistema Financiero Peruano corresponden a las buenas prácticas identificadas en la investigación? 94 Se contrastó que las buenas prácticas identificadas en la investigación corresponden a las prácticas financieras aplicadas por la gestión del riesgo de fraude interno en el sistema financiero peruano, encontrando que: 4. La mayoría de los principios mencionados por COSO en la sección 2.5.2 de la presente investigación son utilizados en la gestión de riesgo de fraude interno, asimismo se identificó que la importancia de la documentación mencionada por los autores Arcenegui, Martin y Obrero es implementada en las unidades de riesgo de fraude interno de los tres bancos estudiados. ¿Cuál es la relación entre las buenas prácticas financieras en la gestión del riesgo de fraude interno y el nivel de pérdidas por riesgo operacional en el Sistema Financiero Peruano? Se analizó la relación de las buenas prácticas en la gestión de riesgo de fraude interno y el nivel de pérdidas monetarias por riesgo operacional en el sistema financiero peruano, encontrando lo siguiente: 5. A nivel de pérdidas monetarias se identificó que los porcentajes en relación a los resultados son variables dependiendo del banco, la importancia de contar con una base de datos de sus pérdidas anuales fue una práctica en la que los tres bancos coincidieron, resaltando que es la fuente que permite evaluar sus procesos, ajustar sus modelos, y generar controles preventivos. De igual forma compartir información para minimizar las pérdidas monetarias por fraude interno fue parte de las prácticas que mencionaron los entrevistados. 5.1.2. Comparación entre las conclusiones y la revisión de la literatura El concepto de buena práctica se define como el conjunto de ejemplos probados y soluciones que pueden contribuir a resolver los problemas de gestión de diversas índoles, y en los cuales a través de la comparación se evalúan diferentes procesos de las instituciones (Loffler, citado en Armijo, 2004). A su vez, la FAO indica que una buena práctica es una 95 práctica que se ha demostrado que funciona y produce buenos resultados, es decir es una experiencia exitosa que ha sido probada y validada y que por su éxito merece ser compartida con el fin de ser adoptada por los individuos. Por ello, se puede afirmar que es vital implementar buenas prácticas en los procesos relevantes para las entidades financieras como la gestión del riesgo operacional y como parte de ella, la gestión del riesgo de fraude interno, que representa las pérdidas monetarias por actuaciones orientadas a defraudar, apropiarse de bienes indebidamente, evitar regulaciones o políticas empresariales, en las que se encuentra involucrada, al menos, una parte interna a la empresa (Comité de Supervisión Bancaria de Basilea, 2003b). Cabe mencionar que, en la presente investigación con enfoque cualitativo, se identificaron las siguientes prácticas dentro del sector financiero peruano, y realizando un contraste con la información primaria recolectada y la literatura revisada: 1. Establecer un marco de gobierno para la gestión del riesgo de fraude interno, en el cual se detalle y documente los responsables y funciones relacionados, que se encuentre alineado al Código de ética de la entidad financiera, y que sea difundido entre los empleados responsables. Las tres entidades consideradas dentro de la muestra indicaron contar con un marco de gobierno implementado y difundido para administrar el riesgo de fraude interno. Al respecto, COSO en el 2016 estableció como primer principio de la gestión del riesgo de fraude interno, contar con un adecuado gobierno del riesgo de fraude mediante el establecimiento de una base de comportamiento ético, y de un "programa de gobierno corporativo relacionado específicamente al riesgo de fraude” (Ernest & Young, 2016). Asimismo, Olcina en el mismo año resaltó como un pilar importante de la gestión del riesgo de fraude interno, el desarrollo de políticas, medidas preventivas y un código de ética para los empleados. De igual forma, Riera y Ruano en el 2016 indicaron la importancia de contar con una política de prevención del fraude, en la cual se detalle de forma clara las responsabilidades y acciones que constituye la gestión de este riesgo, así también 96 mencionaron la importancia del código de ética y su difusión. Además, en otros estudios se mencionó de forma específica tanto el establecimiento de un marco de gobierno y políticas internas, así como la definición del código de conducta (Salvador, s.f. PWC, 2008) 2. Contar con un proceso de identificación y medición de riesgos de fraude, que involucre una evaluación integral de los principales procesos y productos de la entidad financiera para la identificación de debilidades y a partir de ellas el establecimiento de medidas de control adecuadas. Al respecto, solo dos de los bancos entrevistados indicaron que le dan prioridad a esta práctica, participando y opinando desde la perspectiva de riesgos desde la creación de nuevos productos y realizando procesos de evaluación planificados y exhaustivos que en el caso de uno de ellos involucra pruebas de estrés para identificar debilidades en su sistema de control interno, por el contrario uno de los bancos entrevistados indicó que su proceso de identificación de riesgos de fraude interno podría no ser completamente robusto, y que se personaliza la evaluación dependiendo del caso. Respecto a ello, COSO en el 2016, definió como segundo principio para la gestión del riesgo de fraude interno, la evaluación de riesgos mediante la identificación de esquemas específicos, la evaluación de su probabilidad e impacto potencial, y la evaluación de la efectividad de los controles existentes en la organización (Ernest & Young, 2016). A su vez, Riera y Ruano en el 2016, destacaron como elemento relevante, la evaluación de riesgos de fraude, como medio para la identificación de las fortalezas y debilidades del entorno de control interno de las entidades. 3. Establecer controles preventivos y detectivos que contribuyan a la mitigación del riesgo de fraude interno para los diferentes procesos que realiza la entidad. Dichos controles deben ser implementados a través del análisis de los diferentes eventos de fraude que se suscitan no solo en la entidad a cargo, sino en las entidades locales e internacionales del mismo sector a fin de robustecer el sistema de control interno. Sobre esta práctica, los 97 bancos entrevistados indicaron que, si bien cuentan con diversas actividades de control antifraude, no consideran que su implementación cubra la totalidad de riesgos debido a la diversidad de productos y procesos, y más aún con los nuevos productos creados bajo metodologías con enfoques ágiles. De acuerdo a ello, en la literatura revisada se define como tercer principio el establecimiento de actividades de control antifraude, y se menciona que los controles deben ser específicos para cada riesgo de fraude y deben estar diseñados para prevenir eventos de fraude o para detectarlos lo antes posible. Una organización debe utilizar una combinación de controles tanto preventivos como detectivos en diferentes puntos de un proceso de negocios (Ernest & Young, 2016). Al respecto de esta práctica, Olcina en el 2016, mencionó que la detección del fraude debe ir acompañada de herramientas y técnicas que deben ser definidas e implementadas por cada organización y que se encuentren alineadas a los resultados de las evaluaciones de riesgo realizadas, y a eventos de fraude interno históricos en la entidad y en el sector financiero, así como a los resultados de las evaluaciones de auditores internos y externos. 4. Definir un plan de acción frente a la identificación de eventos de fraude interno, el cual cuente con profesionales altamente capacitados para ejecutarlo y se encuentre alineado con lo requerido por el marco legal peruano. Respecto a esta práctica, dos de los bancos entrevistados consideran que el plan de accionamiento establecido es adecuado y le permite cubrir de manera correcta los eventos de fraude interno, mientras que uno de ellos considera que su plan establecido presenta oportunidades de mejora debido a que no es estándar y a partir de los casos de fraude identificados han surgido dudas respecto al funcionamiento del modelo implementado. La literatura, indica que se debe establecer cómo responder frente a reportes de fraude a través de "un sistema para la revisión, investigación y resolución de situaciones de incumplimiento y/o denuncias de fraude y mala conducta de manera oportuna, competente y confidencial”. Asimismo, se indica que una organización 98 debe contar con protocolos de investigación y respuesta frente al fraude, iniciando con una cultura en la que cada empleado debe estar comprometido a reportar un evento identificado, y continuando con la clasificación de los reportes, gestión de casos, aseguramiento de la evidencia, asesoría legal y de contabilidad forense (Ernest & Young, 2016). A su vez, Olcina en el 2016, recalcó como tercer pilar de la gestión del riesgo de fraude interno, el diseño e implementación de un protocolo de investigación que permita responder de forma oportuna y diligente ante eventos de fraude interno. 5. Establecer un sistema de monitoreo o seguimiento de las actividades relacionadas a la gestión del riesgo de fraude interno, que incluya alertas para la detección de posibles casos de fraude, que se retroalimente con los eventos identificados en la entidad y en el sector financiero, y que sea revisado periódicamente en comités internos e informado a la Alta Gerencia. De los bancos entrevistados, dos indicaron que el sistema de monitoreo es exhaustivo y continuo, con indicadores de alerta implementados y reportes periódicos que les permite realizar una adecuada gestión del riesgo de fraude interno, sin embargo, uno de ellos indicó que su proceso de monitoreo es manual y no se encuentra integrado adecuadamente a la gestión, por lo que el proceso de investigación comprende un tiempo considerable. Al respecto, la literatura, menciona que se debe realizar el monitoreo de las actividades del programa antifraude para asegurar que cada uno de los componentes de la gestión se encuentra presente y funciona de manera adecuada, y para tomar acción frente a las deficiencias identificadas. Dicho sistema de monitoreo debe incorporar herramientas de análisis estadístico y cualitativo, así como modelos que permitan la identificación de patrones de comportamiento y detección de irregularidades que podrían materializarse en eventos de fraude (Ernest & Young, 2016; Olcina, 2016). Asimismo, y acorde con lo definido por la literatura, la información primaria recogida confirma que las entidades del sistema financiero peruano consideran relevante el 99 establecimiento de indicadores para la evaluación del funcionamiento y desempeño de la gestión del riesgo de fraude interno. 5.2. Recomendaciones 5.2.1. Recomendaciones prácticas Las siguientes recomendaciones las debe asumir la gerencia encargada de la gestión de riesgo de fraude interno: ● Incluir como herramienta de gestión a modelos cuantitativos que permitan el establecimiento de alertas por posibles eventos fraude interno, a través del análisis de patrones inusuales, en los procedimientos realizados por los empleados y sistemas de la entidad. ● Implementar un sistema de alertas de identificación de posibles eventos de fraude interno que se encuentre automatizado, de tal manera que permita a los encargados de la gestión, rapidez y profundidad en el análisis de investigación de los casos identificados, y un accionamiento oportuno. Lo anterior, con el objetivo de recomendar controles adecuados para los diversos procesos en los que se podrían generar pérdidas monetarias por fraude interno. ● Adquirir un equipo de trabajo encargado del monitoreo de indicadores del funcionamiento y desempeño del proceso de gestión del riesgo de fraude interno, a fin de identificar mejoras en los procesos implementados para la administración de dicho riesgo. ● Establecer controles antifraude para los productos creados bajo la perspectiva de metodologías ágiles, que permitan prevenir y detectar eventos de fraude interno. 5.2.2. Recomendaciones para futuras investigaciones En la presente investigación se ha notado las dificultades que han presentado los bancos para prevenir el riesgo de fraude interno debido a la utilización de las metodologías ágiles para la creación de nuevos productos, debido a que no hay controles tan avanzados, las 100 responsabilidades son ambiguas, y no hay suficiente documentación y seguimiento. En esa línea, sería importante estudiar las buenas prácticas y lineamientos que deberían implementarse para que la ejecución de las metodologías ágiles no genere debilidades en el sistema de control relacionado a la gestión del riesgo de fraude interno. 101 Referencias Alfageme A., & Ramírez N. (2016). Acceso a servicios financieros de los hogares en el Perú. Recuperado de http://www.bcrp.gob.pe/docs/Publicaciones/Documentos-de- Trabajo/2016/documento-de-trabajo-15-2016.pdf Arcenegui J., Martín J., & Obrero V. (2016). Propuesta de un modelo para la prevención y gestión del riesgo de fraude interno por banca paralela en los bancos españoles. Cuadernos de Contabilidad, 16(42), 625–660. https://doi- org.ezproxybib.pucp.edu.pe/10.11144/Javeriana.cc16-42.pmpg Armijo, M. (2004). Buenas prácticas de gestión pública en América Latina. Ponencia presentada en el IX Congreso Internacional del CLAD sobre la Reforma del Estado y de la Administración Pública, Madrid, España. Recuperado de http://www.uchile.cl/publicaciones/87463/aprendizajes-y-desafios-para-la- prevencion-del-delito-y-la-violencia Asociación de Examinadores de Fraude Certificados. (2016a). Fraude Bancario De la A a la Z - 2016.Recuperado de https://www.temenos.com/globalassets/mi/wp/netguardians- e-book-_spanish_v08_opt.pdf Association of Certified Fraud Examiners. (2016b). Reporte a las Naciones sobre el abuso y el fraude ocupacional. Recuperado de http://acfe- mexico.com.mx/archivos/Reporte_Naciones_2016_esp.pdf Association of Certified Fraud Examiners. (2018). Report to the nations. Global Study on occupational fraud and abuse. Recuperado de https://s3-us-west- 2.amazonaws.com/acfepublic/2018-report-to-the-nations.pdf Banco Central de la República Argentina. (2008). Lineamientos para la gestión del riesgo operacional en las entidades financieras. Recuperado de http://www.oas.org/juridico/spanish/mesicic3_arg_4854.pdf 102 Banco de Crédito del Perú. (2018). Memoria Anual. Recuperado de https://ww3.viabcp.com/Connect/ViaBCP2019/Relaciones%20con%20Inversionistas/ Reporte%20Anual%20BCP.pdf Banco de Crédito del Perú. (2019a). Historia. Recuperado de https://bcpperu.wordpress.com/historia/ Banco de Crédito del Perú. (2019b). Personas. Recuperado de https://www.viabcp.com/ Banco de Crédito del Perú. (2019c). PyMES. Recuperado de https://www.viabcp.com/pymes Banco de Crédito del Perú. (2019d). Empresas. Recuperado de https://www.viabcp.com/empresas BBVA. (2018). Memoria Anual. Recuperado de https://www.bbva.com/es/pe/bbva- continental-una-historia-de-transformacion-en-la-banca-peruana/ BBVA. (2019a). Acuerdo sobre Basilea III: mayor claridad y estabilidad regulatoria para los bancos europeos. Recuperado de https://www.bbva.com/es/acuerdo-basilea-iii-mayor- claridad-estabilidad-regulatoria-bancos-europeos/ BBVA. (2019b). BBVA Continental, una historia de transformación de la banca peruana. Recuperado de https://www.bbva.com/es/pe/bbva-continental-una-historia-de- transformacion-en-la-banca-peruana/ Bhasin, M. (2016). Frauds in the Banking Sector: Experience of a Developing Country. Asian Journal of Social Sciences and Management Studies, 1, 1-9. Recuperado de https://www.researchgate.net/publication/292137852_Frauds_in_the_Banking_Sector _Experience_of_a_Developing_Country Borrás F., & Robaina A. (2012). La gestión del riesgo operacional, un estudio en los bancos comerciales cubanos. Cofin Habana, p. 99-110. Recuperado de www.cofinhab.uh.cu/index.php/RCCF/article/download/54/54 103 Carballo, I., & Vinocur, R. (2017). Transferencias monetarias condicionadas e inclusión financiera en América Latina: una primera aproximación regional. Contexto: Revista De La Facultad De Ciencias Económicas Administrativas y Contables, 61-22. Recuperado de http://eds.a.ebscohost.com.ezproxybib.pucp.edu.pe:2048/eds/pdfviewer/pdfviewer?vi d=4&sid=b182bfab-b9c1-4a6a-8771-1bfaa1903663%40pdc-v-sessmgr02 Chartered Financial Analysis Institute. (2007). “Managing Investment Portfolios”, Gestión del riesgo (3ª ed.), New Jersey, Estados Unidos: John Willey & Sons, Inc. Chávez, S. (2018). El concepto de Riesgo. Revista Digital de Divulgación Científica: Recursos Naturales y Sociedad, 4(1), 32-35. Recuperado de https://www.cibnor.gob.mx/revista-rns/pdfs/vol4num1/03_CONCEPTO.pdf Cisneros, D. (2006). Gestión Integral de Riesgos. Recuperado de http://www.sbs.gob.pe/Portals/0/jer/REGUL_PROYIMP_BASIL_FUNSBS/Gestion_i ntegral_de_riesgos-DCisneros.pdf Claro, M. (2010). La incorporación de tecnologías digitales en educación. Modelos de identificación de buenas prácticas. Recuperado de https://repositorio.cepal.org/bitstream/handle/11362/3772/S2010481.pdf?sequence=1 &isAllowed=y Comité de Supervisión Bancaria de Basilea. (1988). International Convergence of Capital Measurement and Capital Standards. Recuperado de https://www.bis.org/publ/bcbs04a.pdf Comité de Supervisión Bancaria de Basilea. (2001). El Nuevo Acuerdo de Capital de Basilea. Recuperado de https://www.bis.org/publ/bcbsca03_s.pdf Comité de Supervisión Bancaria de Basilea. (2003a). El Nuevo Acuerdo de Capital de Basilea. Recuperado de https://www.bis.org/bcbs/cp3fulles.pdf 104 Comité de Supervisión Bancaria de Basilea. (2003b). Buenas prácticas para la gestión y supervisión del riesgo operativo. Recuperado de https://www.bis.org/publ/bcbs96esp.pdf Comité de Supervisión Bancaria de Basilea. (2004). Convergencia internacional de medidas y normas de capital. Recuperado de https://www.bis.org/publ/bcbs107esp.pdf Comité de Supervisión Bancaria de Basilea. (2006). Convergencia internacional de medidas y normas de capital. Recuperado de https://www.bis.org/publ/bcbs128_es.pdf Comité de Supervisión Bancaria de Basilea. (2010a). Basilea III: Marco regulador global para reforzar los bancos y sistemas bancarios. Recuperado de https://www.bis.org/publ/bcbs189_es.pdf Comité de Supervisión Bancaria de Basilea. (2010b). Guidance for national authorities operating the countercyclical capital buffer. Recuperado de https://www.bis.org/publ/bcbs187.pdf Comité de Supervisión Bancaria de Basilea. (2015). Requisitos de divulgación revisados para el Tercer Pilar. Recuperado de https://www.bis.org/bcbs/publ/d309_es.pdf Comité de Supervisión Bancaria de Basilea. (2017a). Resumen de las reformas de Basilea III. Recuperado de https://www.bis.org/bcbs/publ/d424_hlsummary_es.pdf Comité de Supervisión Bancaria de Basilea. (2017b). Basilea III: Finalización de las reformas poscrisis. Recuperado de https://www.bis.org/bcbs/publ/d424_es.pdf Comité de Supervisión Bancaria de Basilea. (s.f). Reformas de Basilea III. Recuperado de https://www.bis.org/bcbs/basel3/b3_bank_sup_reforms_es.pdf Cooperación Española. (2016). Buenas prácticas de la Cooperación Española con población afrodescendiente 2007-2013. Recuperado de https://www.cooperacionespanola.es/sites/default/files/libro_afrodescendientes_en_ba ja.pdf 105 Cruz, A., & Alarcón, A.D. (2017). Base de datos interna de pérdidas operacionales. Un desafío en la banca cubana para gestionar el riesgo operacional. Teuken Bidikay, 8(10), 195-209. Recuperado de revistas.elpoli.edu.co/index.php/teu/article/download/1208/995 De La Torre, M. (2018). Gestión del riesgo organizacional de fraude y el rol de Auditoría Interna. Contabilidad y Negocios, 25(13), 57-69. Recuperado de http://revistas.pucp.edu.pe/index.php/contabilidadyNegocios/article/viewFile/20166/2 0142 Depósito Central de Valores S.A. (2009). Lineamientos Generales de la Gestión de Riesgos Operacionales en DCV.Recuperado de https://www.dcv.cl/img/images/informacion/gestion_de_riesgo/lineamientos_generale s_gestion_de_riesgo_operacional.pdf Díaz, D.A. (2017). Gestión de Riesgos en entornos empresariales alineados a la norma ISO 31000. Recuperado de http://repository.unipiloto.edu.co/handle/20.500.12277/4930 Dionne, G. (2013). Risk mangement history definicion and critique. Recuperado de https://core.ac.uk/download/pdf/46923950.pdf Empleado es sospechoso de robar un millón y medio de soles de bóveda de banco en Ventanilla (2019, Julio). Perú21. Recuperado de https://peru21.pe/lima/policiales/ventanilla-empleado-sospechoso-robar-millon- medio-soles-boveda-scotiabank-nndc-489450 Ernest & Young. (2016). Implementación efectiva en la nueva Guía Antifraude de COSO. Recuperado de https://docplayer.es/74825089-Implementacion-efectiva-de-la-nueva- guia-antifraude-de-coso.html Ferreira Jr., V. M., & Marzábal, O. R. (2012). La Crisis Financiera Global en Perspectiva: Génesis y Factores Determinantes. Revista de Economía Mundial, (31), 199–226. 106 Recuperado de http://ezproxybib.pucp.edu.pe:2048/login?url=http://search.ebscohost.com/login.aspx ?direct=true&db=bth&AN=78561723&lang=es&site=eds-live&scope=site Ferreiro, R.F.(2012). Criterios de calidad de una buena práctica para la aplicación de las TIC a nivel de institución. Revista Complutense de Educación, 23 (1), 55-60. Recuperado de https://revistas.ucm.es/index.php/RCED/article/download/39101/37714 Fraude interno, ¿qué hacer cuando el enemigo está en casa? (2015). Capital Humano, 28(302), 102–107. Recuperado de http://search.ebscohost.com.ezproxybib.pucp.edu.pe:2048/login.aspx?direct=true&db =fua&AN=112828803&lang=es&site=ehost-live Garrido, O. (2014). La importancia de los datos de riesgo operacional en las entidades financieras (Tesis de maestría), Universidad Pontificia Icade, Madrid, España. Recuperado de https://repositorio.comillas.edu/xmlui/handle/11531/6895 Global Corporate Governance Forum.(2011). Gobierno Corporativo en Latinoamérica 2010- 2011. Recuperado de http://documents.worldbank.org/curated/en/496051487073446552/pdf/112583-WP- Gobierno-Corporativo-en-Latinoamerica-2010-11-PUBLIC.pdf González, A. & Solís, R. (2012). El ABC de la regulación bancaria de Basilea. Análisis Económico, 64(17), 105-139. Recuperado de http://www.redalyc.org/pdf/413/41324545006.pdf Hernández, R., Fernández, C., & Baptista, P. (2014). Metodología de la investigación (6ta. ed.). México D.F., México: McGraw Hill. Recuperado de https://www.uca.ac.cr/wp- content/uploads/2017/10/Investigacion.pdf 107 Instituto Colombiano de Normas Técnicas y Certificación ICONTEC. (2014). Gestión del riesgo. Recuperado de https://es.slideshare.net/farteagas/ntc-5254-de-2004-gestin-del- riesgo-icontec Instituto de Auditores Internos de España. (2015). Gestión del Riesgo de Fraude: Prevención, Detección e Investigación. Recuperado de https://auditoresinternos.es/uploads/media_items/fábrica-fraude.original.pdf Interbank. (2018). Memoria Anual 2018. Recuperado de https://interbank.pe/documents/20182/2263274/memoria-anual-2018.pdf/3df6d855- ad88-458b-947d-8f264ae5b20b Interbank. (2019). Nosotros. Recuperado de https://interbank.pe/nosotros International Organization for Standardization (s/f). Norma ISO 31000: el valor de la gestión de riesgos en las organizaciones. Recuperado de https://www.isotools.org/pdfs- pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf?_hsenc=p2ANqtz- 8fGjSJB5wNPn9ayOF-fHHNJZeVOzby4CAj5Op4XTBIyqAfj- eX6f3drEonaU9N7moQQMVnA77aEW6DMZ5MMiBYgoxHmg&_hsmi=25816197 Jednak, D., & Jednak, J. (2013). Operational Risk Management in Financial Institutions. Management (1820-0222), 66, 71–80. https://doi- org.ezproxybib.pucp.edu.pe/10.7595/management.fon.2013.0004 KPMG. (2016). Global profiles of the fraudster: Tecnology enables and weak control fuel the fraud. Recuperado de https://home.kpmg/content/dam/kpmg/pdf/2016/05/profiles-of- the-fraudster.pdf Laffaye, S. (2008). La crisis financiera: origen y perspectivas. Revista del CEI,(13), 43-63. Recuperado de http://www.cei.gov.ar/userfiles/13%20La%20crisis%20financiera%20origen%20y%2 0perspectivas%20.pdf 108 Lizarzaburu, E., Berggrun, L. & Quispe, J. (2012). Gestión de riesgos financieros. experiencia en un banco latinoamericano. Estudios Gerenciales, 28(125), 96-103. Recuperado de https://search-proquest- com.ezproxybib.pucp.edu.pe/docview/1400151832?accountid=28391 López, W., & Sánchez (2012). El triángulo del fraude. Forum Empresarial, 17(1), 65-81. Recuperado de https://dialnet.unirioja.es/descarga/articulo/6230327.pdf Los millonarios robos en bancos cometidos por sus empleados (2017, Diciembre). El Comercio. Recuperado de https://elcomercio.pe/lima/policiales/millonarios-robos- bancos-cometidos-empleados-noticia-480918 Mejía, R.C. (2013). Identificación de riesgos. Medellín: Fondo Editorial Universidad EAFIT. Recuperado de https://docplayer.es/52231975-Identificacion-de-riesgos-rubi- consuelo-mejia-quijano.html Moral C. (2006). Criterios de validez en la investigación cualitativa actual. Revista de Investigación Educativa, 24(1),147-164. Recuperado de https://www.redalyc.org/pdf/2833/283321886008.pdf Ningún cliente se vio afectado por desvío de S/ 5 millones que hizo cajera del BCP (2017, junio). Gestión: El Diario de Economía y Negocios del Perú. Recuperado de https://gestion.pe/economia/empresas/cliente-vio-afectado-desvio-s-5-millones-hizo- cajera-bcp-138197 Olcina, E. (2016). Motivaciones y perfil del defraudador en la empresa. Revista de Contabilidad y Dirección, 23, 11-25. Recuperado de https://accid.org/wp- content/uploads/2018/11/Motivaciones_y_perfil_del_defraudador_en_la_empresa.pdf Organización de las Naciones Unidas para la Alimentación y la Agricultura. (2015). Plantilla de Buenas Prácticas. Recuperado de http://www.fao.org/3/a-as547s.pdf 109 Otero, P., & Venerio, O. (2009). Determinación del requerimiento de capital por riesgo operacional. Quantum, (4)1, 58-79. Recuperado de https://dialnet.unirioja.es/descarga/articulo/5232823.pdf Pacheco, D. (2009). Riesgo Operacional: Conceptos y Mediciones. Recuperado de https://www.sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf Páez, A., Libón, O., & Hidalgo, M. (2003). Cromwell Gálvez dio a sus vedettes sólo el 18 por ciento de los 2.5 millones que se esfumaron. Diario La República. Recuperado de https://larepublica.pe/archivo/345847-cromwell-galvez-dio-a-sus-vedettes-solo-el-18- por-ciento-de-los-25-millones-que-se-esfumaron Power, M. (2003). The Investion of operational risk. ESCR Centre for Analysis of Risk and Regulation, London School Economics, Discussion papel 16. Recuperado de http://eprints.lse.ac.uk/21368/1/DP16.pdf PricewaterhouseCoopers Asesores de Negocios. (2008). Fraud. A guide to its prevention, detection and investigation. Recuperado de https://www.pwc.com.au/consulting/assets/risk-controls/fraud-control-jul08.pdf PricewaterhouseCoopers Asesores de Negocios. (2016). Encuesta sobre fraude y delito económico 2016. Recuperado de https://www.pwc.es/es/publicaciones/transacciones/assets/pwc-forensic-encuesta- fraude-empresarial-y-delito-economico-2016-spain.pdf Real Academia de la Lengua Española. (2019). Definición de Riesgo. Recuperado de https://dle.rae.es/?id=WT8tAMI Riera, J., & Ruano, P. (2016). Diseño del sistema organizativo y de control interno para la prevención y detección del fraude. Revista de Contabilidad y Dirección, 23, 41-59. Recuperado de https://accid.org/wp- 110 content/uploads/2018/11/Diseno_del_sistema_organizativo_y_de_control_interno_par a_la_prevencion_y_deteccion_del_fraude.pdf Robinson, B., & Winteregg, J. (2016). Fraude Bancario de la A a la Z. Recuperado de http://addpdf.co/library/de-la-a-a-la-z-fraude-bancario-temenos.pdf Rodríguez, A.C, Rodríguez, A.K., & Liñares, V. (2013). Riesgo Operacional en los sistemas de pagos (Metodología VAR). Recuperado de https://www.bcu.gub.uy/Estadisticas-e- Indicadores/Documentos%20de%20Trabajo/4.2013.pdf Salvador, A. (s/f). Fraude Interno Prevención, Detección y Tratamiento. Recuperado de https://fraudeinterno.files.wordpress.com/2016/12/fraude-interno-prevencic3b3n- deteccic3b3n-y-tratamiento.pdf Scotiabank. (2018). Memoria Anual. Recuperado de https://scotiabankfiles.azureedge.net/scotiabank-peru/PDFs/acerca- de/2019/informacion-inversionista/MEMORIASBP20181.pdf?t=1556150400061 Scotiabank. (2019). Reseñas institucionales. Recuperado de https://www.scotiabank.com.pe/Acerca-de/Scotiabank-Peru/Scotiabank-en- Peru/resenas-institucionales Sotelsek, D. & Pavón, L. (2012). Evolución de los Acuerdos de Basilea: Diagnóstico de los Estándares de Regulación Bancaria Internacional. Economíaunam, 9(25), 29-50. Recuperado de http://www.economia.unam.mx/publicaciones/nueva/econunam/25/03sotelsekypavon. pdf Superintendencia de Banca, Seguros y AFP. (2009a). Resolución S.B.S. N° 2116 -2009. Recuperado de www.riesgooperacional.com/docs/documentos/peru/2116- 2009%20R.doc 111 Superintendencia de Banca, Seguros y AFP. (2009b). Resolución S.B.S. N° 2115 -2009. Recuperado de https://www.riesgooperacional.com/docs/documentos/peru/2115- 2009%20R.doc Superintendencia de Banca, Seguros y AFP. (2015). Glosario de términos e indicadores financieros. Recuperado de https://intranet2.sbs.gob.pe/estadistica/financiera/2015/Setiembre/SF-0002- se2015.PDF Superintendencia de Banca, Seguros y AFP. (2017a). Resolución S.B.S. N° 272 -2017. Recuperado de https://intranet2.sbs.gob.pe/dv_int_cn/1708/v1.0/Adjuntos/272- 2017.R.pdf Superintendencia de Banca, Seguros y AFP. (2017b). Memoria Anual 2017. Recuperado de http://www.sbs.gob.pe/Portals/0/jer/PUB_MEMORIAS/MEMORIA_2017.pdf Superintendencia de Banca, Seguros y AFP. (2017c). Programa Finanzas en el cole. Recuperado de http://www.sbs.gob.pe/portals/3/educacion-financiera- pdf/Guia%20del%20docente%202017.pdf Superintendencia de Banca, Seguros y AFP. (2018). Lineamientos para la categorización y registro de los eventos de pérdida por riesgo operacional. Recuperado de http://www.sbs.gob.pe/Portals/0/jer/Lineamientos/LINEAMIENTOS.pdf Superintendencia de Banca, Seguros y AFP. (2019a). Carpeta de Información del sistema Financiero. Recuperado de http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=14# Superintendencia de Banca, Seguros y AFP. (2019b). Reportes de Sistema Financiero. Recuperado de http://www.sbs.gob.pe/estadisticas-y-publicaciones/estadisticas- /sistema-financiero_ 112 Superintendencia de Banca, Seguros y AFP. (2019c). Quienes somos. Recuperado de http://www.sbs.gob.pe/quienessomos Superintendencia de Banca, Seguros y AFP. (2019d). Información estadística de banca múltiple. Recuperado de http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1# Superintendencia de Banca, Seguros y AFP. (2019e). Regulación Basilea II y Basilea III. Recuperado de http://www.sbs.gob.pe/regulacion/basilea-ii-y-basilea-iii Superintendencia de Bancos de Guatemala. (2017). Programa de Capacitación sobre Gestión de Riesgos Financieros. Riesgo Operacional. Recuperado de http://www.sib.gob.gt/c/document_library/get_file?folderId=3632929&name=DLFE- 26219.pdf Superintendencia del Mercado de Valores. (2019). Información Financiera. Recuperado de https://www.smv.gob.pe/Frm_InformacionFinanciera?data=A70181B60967D74090D CD93C4920AA1D769614EC12 Velezmoro, O. (2010). Modelo de gestión de riesgo operacional en una institución financiera peruana dentro de un enfoque integrado de gestión de riesgos. (Tesis). Pontificia Universidad Católica del Perú, Lima, Perú. Recuperado de http://tesis.pucp.edu.pe/repositorio/handle/123456789/4826 Wolfe, D. T., & Hermanson, D.R. (2004). The Fraud Diamond: Considering the Four Elements of Fraud. CPA Journal, 74(12), 38-42. Recuperado de https://pdfs.semanticscholar.org/c9c8/32fa299f648464cbd0172ff293f5c35684b6.pdf Yego, J. (2016). The Impact of Fraud in the Banking Industry: A Case of Standard Chartered Bank (Tesis de maestría), United States International University, Estados Unidos. Recuperado de 113 http://erepo.usiu.ac.ke/bitstream/handle/11732/2488/The%20Impact%20of%20Fraud %20in%20the%20Banking%20Industry.pdf?sequence=1&isAllowed=y Zambrano, Y. (2015). La auditoría forense: Un mecanismo para detectar el fraude de Estados Financieros en Colombia. Inquietud Empresarial, 15(2), 13-36. Recuperado de https://revistas.uptc.edu.co/index.php/inquietud_empresarial/article/view/7607 Zayas, L. (2016). Señales de alerta para la detección de fraude en las empresas. Revista de Contabilidad y Dirección, 23, 61-81. Recuperado de https://accid.org/wp- content/uploads/2018/11/Senales_de_alerta_para_la_deteccion_de_fraude_en_las_em presas.pdf 114 Apéndice A: Consentimiento Informado Durante la investigación se ha utilizado el siguiente consentimiento informado, previo a realizar la entrevista: Estimado/a Representante de _____________________________, Este año los alumnos de CENTRUM Católica, Graduate Business School de la Pontificia Universidad Católica del Perú, escuela en la cual se imparte entre otros, el programa de Maestría en Finanzas Corporativos y Riesgos Financieros estarán llevando a cabo una investigación titulada Buenas prácticas en la gestión del riesgo de fraude interno: Casos de tres bancos de Lima Metropolitana. El objetivo principal de la investigación es identificar las buenas prácticas en la gestión del riesgo de fraude interno utilizadas en el Sistema Financiero Peruano que reducen las pérdidas monetarias. Estoy de acuerdo con lo siguiente: La información personal se recabará manteniendo la más estricta confidencialidad y los resultados obtenidos en esta investigación podrán publicarse, con/sin indicar mi nombre en ella. Entiendo que la participación es voluntaria y me comprometo en brindar información fidedigna y objetiva durante la entrevista. Las entrevistas tendrán una duración aproximada de dos horas, en las cuales el investigador me formulará preguntas relativas a la Gestión de Riesgos. De igual forma entiendo que puedo negarme a responder una o más preguntas y retirar mi consentimiento en cualquier momento sin ningún perjuicio. Su firma al final de este Consentimiento indica que usted voluntariamente acepta participar en este estudio, que ha leído y entendido su propósito, que ha entendido sin 115 ninguna duda lo que se hará con los resultados obtenidos en esta investigación y que acepta que éstos sean publicados en varias formas. Lima, el día ____del mes de ___________________, 2019 Acepto conforme, estoy informado y firmo en forma voluntaria: Nombre(s) y Apellido(s) del entrevistado: ___________________________________ E-mail: _____________________________________________________________ Teléfono: _______________________ Firma: _________________________ Empresa: ________________________ Nombre(s) y Apellido(s) del entrevistador: __________________________________ E-mail: ______________________________________________________________ Teléfono: _______________________ Firma: _________________________ 116 Apéndice B: Guía de la Entrevista La guía de la entrevista ha sido diseñada para obtener información sobre “Buenas Prácticas Financieras en la Gestión de Riesgo de Fraude Interno: Casos de tres bancos de Lima Metropolitana”. Esta se presenta a continuación. Durante la entrevista, una persona realizaba las preguntas y otra apuntaba las respuestas. A. Información del entrevistado  Edad  Grado de instrucción  Cargo actual en la empresa  Años en este cargo  Años en la empresa B. Información de la Institución financiera  Nombre del Banco 1. ¿Cómo define la gestión de riesgos? 2. ¿Cuenta el banco con un área de gestión de riesgo de fraude interno? 2.1. ¿Cómo está estructurada? ¿Cuántas personas lo conforman? 3. ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude interno? 4. ¿Cuáles son las buenas prácticas financieras implementadas en la gestión actual del riesgo de Fraude Interno? 4.1. En su opinión, ¿Cuáles son las más importantes? 5. ¿Cómo el banco evidencia la repercusión de la gestión de riesgo de fraude interno, que indicadores utilizan? 6. ¿Cuenta el banco con un marco de gobierno para la gestión de riesgo de fraude interno? ¿Se encuentra documentado? 6.1. ¿Cuenta el banco con un código de ética para el personal? 117 6.2. En una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno o no está implementado y 5 totalmente implementado y difundido, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 7. Actualmente ¿Cuál es el proceso que sigue el banco para identificar y evaluar los riesgos relacionados al fraude interno? Comentar cuales son los principales riesgos identificados 7.1. ¿Se encuentra documentado este proceso? ¿Donde? 7.2. ¿Se mide la probabilidad de impacto de estos riesgos? ¿Cómo? 7.3. En una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de identificación y evaluación y 5 totalmente implementado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 8. ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentados? 8.1. En base a la cantidad de casos de fraude identificados ¿Cuáles son los principales controles preventivos y detectivos implementados? 8.2. En una escala del 1 al 5, siendo 1 no cuento con controles implementados y 5 totalmente implementado y documentado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 9. Actualmente el Banco posee protocolos de investigación y/o respuesta frente al fraude interno. ¿Está documentado? 9.1. Describir la respuesta del banco frente a casos de fraude interno. 9.2. En una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar y se decide según la situación y 5 cuento con un plan de acción en funcionamiento que se actualiza regularmente, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 118 10. ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? 10.1. Describir las actividades de monitoreo. ¿Cuentan con reportes de monitoreo? ¿Con que frecuencia se elaboran y ante quienes se presentan? 10.2. En una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo implementadas y 5 cuenta con reportes recurrentes (generales y específicos), ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 11. De acuerdo a su experiencia ¿Existe alguna mejora en las prácticas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? 12. Según su formación académica ¿Puede evidenciar si lo que indica la teoría como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la actualidad? 12.1. ¿Existe alguna práctica financiera para la gestión de riesgo de fraude interno que en la teoría se enseñe, pero no se aplique? 13. En su experiencia, ¿cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? 14. En base a su conocimiento ¿Cuáles son los casos más frecuentes de fraude interno y cuánto representan de las pérdidas monetarias anteriormente mencionadas? 15. Ha identificado el tipo de fraude interno de mayor impacto monetario, comentar ¿cuál es y cuál es su frecuencia? 16. ¿Cuentan con una base de datos de pérdidas por evento de fraude interno? ¿Cuáles son sus usos principales? 17. ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las pérdidas asociadas al riesgo de fraude interno? 119 Apéndice C: Protocolo del Caso A continuación, se presenta el protocolo seguido, durante la investigación: A. Generalidades del estudio A1: Antecedentes del estudio A2: Objetivos del estudio y preguntas de investigación A3: Marco teórico A4: Rol del protocolo en la investigación B. Procedimientos de campo B1: Datos de las personas a entrevistar B2: Invitación para la entrevista B3: Formulario de consentimiento del entrevistado B4: Calendario de las entrevistas B5: Documentos previos B6: Equipo de grabación/fotografía C. Preguntas del caso C1: Guía de la entrevista (Apéndice B) D. Reporte del caso D1: Datos generales de las entrevistas realizadas D2: Formato de consentimiento firmado por el entrevistado D3: Documentos obtenidos durante la entrevista D4: Formato de notas de campo D5: Transcripción de la entrevista D6: Reporte del investigador D7: Narrativas sobre las respuestas a las preguntas de la guía de entrevista 120 Apéndice D: Entrevista Banco 1 Cargo: Gerente de Prevención de Fraude Antigüedad en el cargo: 3 años Edad: 58 años 1. ¿Cómo define la gestión de riesgos? La gestión de riesgos es el manejo de incertidumbre a través de metodologías adecuadas de identificación, evaluación, implementación de controles y monitoreo para lograr que el Banco alcance sus objetivos estratégicos y de negocios. 2. ¿Cuenta el Banco con un área de gestión de riesgo de fraude interno? Sí, es la Gerencia de Seguridad Operativa. 2.1. ¿Cómo está estructurada? ¿Cuántas personas lo conforman? La Gerencia de Gestión Preventiva del Fraude cuenta con cinco unidades que son las siguientes: Equipo de Prevención del fraude, Equipo de Investigación, Equipo de Seguridad Documentaria, Equipo a cargo de la revisión de subsidiarias y la Unidad de Capacitación. Esta Gerencia está conformada por 30 personas y la Gerencia de Área por aproximadamente 100 personas. 3. ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude interno? El Banco en primer lugar realiza la identificación de riesgos a través de evaluaciones similares a los proyectos de auditoría pero enfocados en identificar las debilidades de los diversos procesos del Banco en cuanto al fraude interno, en dichos evaluaciones se realizan pruebas de estrés, para verificar en que puntos o etapas del proceso podría cometerse fraude, y cuál sería su impacto monetario, el resultado de estas evaluaciones permite recomendar la implementación de controles tanto preventivos como detectivos a las Gerencias encargadas de cada proceso investigado. 121 Si durante dichas investigaciones, se encuentra un caso de fraude interno insitu, se deriva al Equipo de Investigaciones, el cual cuenta ya con lineamientos establecidos para conducir la investigación y con el plan de acción que deberá seguir. El objetivo de dicho equipo es definir la modalidad de fraude cometido, el monto afectado, los responsables directos e indirectos involucrados, los controles que fueron vulnerados y las posibles vías de recuperación del dinero sustraído. Por otro lado, los riesgos identificados y controles implementados, son registrados en la Matriz de Riesgos, que se encuentra alineada a la Matriz utilizada por la Gerencia de Administración de Riesgo Operativo (ARO). Se cuenta también con indicadores establecidos para monitorear el riesgo de fraude interno, y de forma periódica se realiza un monitoreo o seguimiento a dichos indicadores. Se realiza un Comité cada dos meses en el cual se informa a la Alta Gerencia y Junta Directiva de la Gestión del riesgo de fraude interno. Asimismo, cada vez que un evento de fraude es identificado, se realizan Comités de emergencia. 4. ¿Cuáles son las buenas prácticas financieras implementadas en la gestión actual del riesgo de fraude interno? Algunas de las buenas prácticas financieras implementadas son: Contar con un equipo de prevención del fraude, realizar la evaluación periódica de los procesos más importantes del Banco, y dentro de dichas evaluaciones generar situaciones de estrés para evaluar el funcionamiento de los controles implementados, además contar con un equipo multidisciplinario con diferentes perspectivas de los riesgos identificados y controles que deberían ser implementados. Además, el trabajo se realiza bajo los lineamientos de metodologías como COSO, ISO 31000, ISO Corrupción, ISO Seguridad Documentaria entre otros. 122 4.1. En su opinión ¿Cuáles son las más importantes? Todas aportan al cumplimiento de objetivos, entre ellas lo más importantes es centrarse no solo en la detección sino en la prevención y contar con un equipo con solidez ética, integridad y conocimiento para realizar dichas evaluaciones. 5. ¿Cómo el banco evidencia la repercusión de la gestión del riesgo de fraude interno? ¿Qué indicadores utilizan? A través de la reducción en posibles pérdidas monetarias, los indicadores principales están asociados a los objetivos estratégicos del Banco, y se maneja indicadores de fraude interno relacionados a los diferentes procesos y productos. 6. ¿Cuenta el banco con un marco de gobierno para la gestión de riesgo de fraude interno? ¿Se encuentra documentado? Sí, se encuentra en políticas internas, está documentado y divulgado. 6.1. ¿Cuenta el banco con un código de ética para el personal? Sí, se encuentra publicado y se difunde mediante cursos regulatorios. 6.2. En una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno o no está implementado, y 5 totalmente implementado y difundido, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Considero que 4, debido a que, por la variedad de casuísticas de fraude, más aún con los nuevos productos y metodologías ágiles, es complicado mantener documentado cada detalle. 7. Actualmente ¿Cuál es el proceso que sigue el banco para identificar y evaluar los riesgos relacionados al fraude interno? Comentar cuáles son los principales riesgos identificados. Se realizan evaluaciones periódicas a los principales procesos y productos del Banco, dentro de dichas evaluaciones se generan situaciones de estrés para identificar debilidades en 123 los controles implementados, luego a partir de dicha identificación se cuantifica la probabilidad y posible impacto. Los riesgos son registrados en una matriz de riesgos. Los principales riesgos identificados son: el riesgo de pérdidas por transferencias no autorizadas, descuadre de caja, sustracción de dinero de la bóveda, colusión entre empleados y jefes, entre otros. 7.1. ¿Se encuentra documentado este proceso? ¿Dónde? Sí, en políticas internas de manera general, y con detalle en documentos confidenciales a cargo de la Gerencia. 7.2. ¿Se mide la probabilidad de impacto de estos riesgos? ¿Cómo? Sí, en base a análisis histórico, juicio experto o benchmarks. 7.3. En una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de identificación y evaluación, y 5 totalmente implementado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Considero que 5, porque las evaluaciones son exhaustivas e involucrar pruebas de estrés a los procesos. 8. ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentados? Hay diversas actividades de control, relacionadas a los diferentes procesos del Banco y casuísticas identificadas, una de ellas es la evaluación periódica de los procesos críticos y relevantes relacionados al negocio. Sí, se encuentra en documentos confidenciales de la Gerencia. 8.1. En base a la cantidad de casos de fraude identificados ¿Cuáles son los principales controles preventivos y detectivos implementados? Los controles preventivos son las revisiones o evaluaciones basadas en los principios COSO, y como controles detectivos, principalmente el control de personal de agencia, tales 124 como personal que no sale de vacaciones, o ingreso de usuarios que se encuentran de vacaciones, operaciones fuera de los patrones usuales, operaciones no autorizadas, entre otros. 8.2. En una escala del 1 al 5, siendo 1 no cuento con controles implementados y 5 totalmente implementado y documentado, ¿en qué grado considera usted que encuentra el banco actualmente? ¿Por qué? Considero que 4 debido a que es complicado establecer controles al 100% para todos los procesos del Banco, más aún para los nuevos productos creados con las metodologías actuales. 9. Actualmente, ¿el Banco posee protocolos de investigación y/o respuesta frente al fraude interno? ¿Está documentado? Sí, se encuentra en documentos confidenciales de la Gerencia a cargo. 9.1. Describir la respuesta del banco frente a casos de fraude interno. Una vez que se ha identificado un evento de fraude, esto es reportado a partir de los diversos canales al equipo de Investigación, el cual es el encargado de realizar las acciones pertinentes, como entrevistas, análisis de peritos, para identificar y definir la modalidad del fraude cometido, el monto monetario involucrado, los responsables directos e indirectos, los controles que fueron vulnerados y las posibles vías de recuperación del dinero comprometido, y realizar un Informe con el detalle y conclusiones del caso. Todo lo anterior en cumplimiento del marco legal y normativo de nuestro país. 9.2. En una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar y se decide según la situación y 5 cuento con un plan de acción en funcionamiento que se actualiza regularmente, ¿en qué grado considera usted que se encuentra el Banco actualmente? ¿Por qué? 125 Considero que 5, porque la respuesta del Banco ante un evento de fraude interno es inmediata y oportuna. Los planes de acción están claramente definidos, y los responsables están totalmente capacitados. 10. ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? Sí, se encuentra documentado y se gestiona a través de un aplicativo en una plataforma. 10.1. Describir las actividades de monitoreo. ¿Cuentan con reportes de monitoreo? ¿Con qué frecuencia se elaboran y ante quienes se presentan? Se realiza seguimiento a las observaciones identificadas durante los procesos de identificación de riesgos y evaluación de controles, el seguimiento es continuo y se presenta antes Comités Internos y el Comité de Auditoría cada dos meses. 10.2. En una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo implementadas y 5 cuento con reportes recurrentes (generales y específicos). ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Considero que 4, debido a que se podría mejorar con la implementación de indicadores para el control de productos o servicios creados bajo el enfoque de metodologías ágiles. 11. De acuerdo a su experiencia ¿Existe alguna mejora en las prácticas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? Se aplican todos los lineamientos del marco de gestión de riesgos, empezando por la identificación y evaluación de riesgos, medición de impacto y probabilidad de ocurrencia, implementación y mejora de controles, y monitoreo de indicadores. Todo bajo un marco de gobierno definido y divulgado. 126 12. Según su formación académica ¿Puede evidenciar si lo que indica la teoría como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la actualidad? Si, se aplican los lineamientos de la Asociación de Examinadores de Fraude Certificados (ACFE), así como la metodología de evaluación de riesgos COSO e ISO 31000. 12.1. ¿Existe alguna práctica financiera para la gestión de riesgo de fraude interno que en la teoría se enseñe, pero no se aplique? No, al contrario, hay ciertos aspectos referidos a las nuevas metodologías aplicadas en el mundo Financiero para los cuales aún no se han considerado lineamiento de evaluación de riesgos. 13. En su experiencia, ¿cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? Aproximadamente 5% de las utilidades. 14. En base a su conocimiento, ¿cuáles son los casos más frecuentes de fraude interno y cuánto representan de las pérdidas monetarias anteriormente mencionadas? El caso más frecuente es la suplantación de identidad y representa aproximadamente el 40% del total de pérdidas por fraude interno en términos monetarios. 15. ¿Ha identificado el tipo de fraude interno de mayor impacto monetario? Comentar cuál es su frecuencia. Suplantación de identidad, su frecuencia es 40% del total de eventos de fraude interno. 16. ¿Cuentan con una base de datos de pérdidas por evento de fraude interno? ¿Cuáles son sus usos principales? 127 Sí, se usa principalmente para la planificación de proyectos de evaluación de procesos, análisis históricos para determinar impacto y frecuencia de riesgos, y reporte a la SBS. 17. ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las pérdidas asociadas al riesgo de fraude interno? Se realizan modelos estadísticos para uso de referencia, pero al ser los eventos de fraude complicados de predecir, también se utiliza la metodología de análisis histórico, benchmark y juicio de expertos. 128 Apéndice E: Entrevista a Banco 2 Cargo: Especialista de Gestión de Riesgos Antigüedad en el cargo: Seis años Edad: 40 1. ¿Cómo define la gestión de riesgos? El grupo tiene un modelo para la gestión de riesgos con una taxonomía definida clasifica la tipología de riesgos y va acompañada de todo un modelo de control, alrededor del banco hay 14 especialistas que manejan modelos de control y el modelo de control para cada especialista es transversal es para todo el banco y sociedades del grupo. 2. ¿Cuenta el banco cuenta con un área de gestión de riesgos de fraude interno? Sí, el banco cuenta con área de gestión de riesgo de fraude interno 2.1. ¿Cómo está estructurada? ¿Cuántas personas la conforman? Contamos con un equipo de fraude interno está conformado por 10 a 15 personas aparte hay otro equipo que ve la parte de fraude tecnológico y fraude de personas externo. 3. ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude interno? Son diferentes procesos dependiendo de cada caso, se sigue una metodología, pero la metodología tiene una clasificación que dependiendo del caso se elige el procedimiento que se va a aplicar. 4. ¿Cuáles son las buenas prácticas implementadas en la gestión actual del riesgo de fraude interno? Bueno, hay bastantes temas de control, lo principal son los temas de accesos, controles de monitoreo, supervisión, por el lado de seguridad en tu registro cuando ingresas en tu sesión ya se está viendo a que transacciones a que sistemas a que cosas estas ingresando, es el perfil de tu puesto, cuando hay una alerta de fraude se puede rastrear todo, 129 paginas a las que entras, correos que envías, sistemas, transacciones que haces todo y aparte cuando un empleado ingresa al banco firma un documento de confidencialidad de información y sabes que no tienes que estar viendo cosas que no están relacionadas con tu rubro, puede que el acceso te permita llegar pero si no es parte de lo que tú haces no deberías estar. Igual por el lado de seguridad física existen áreas donde no se permite el acceso con el fotocheck, a qué hora entras a qué hora sales. Si existe una sospecha de que una persona está realizando fraude interno todo se puede rastrear. 4.1. En su opinión ¿Cuáles de estas buenas prácticas son las más importantes? Ninguna es más importante, todas aportan algo y en conjunto es que tu logras evidenciar o esclarecer las cosas, por un lado, por los accesos puedes rastrear o existe instalado un sistema de cámaras, donde el personal que está implicado no puede negar su responsabilidad porque las cámaras van a evidenciar que el personal si estuvo y si cometió una acción irregular. 5. ¿Como el banco evidencia la repercusión de la gestión de riesgo de fraude interno? ¿Qué indicadores utilizan? A través de perdidas, contamos con un sistema de pérdidas integral de riesgo operacional, los perdidos o los castigos allí se tipifican todas las perdidas no solo las que generó el fraude en sí, sino todas las multas, sanciones y demás. Todo es se contabiliza. El sistema maneja una reportaría y hace una presentación al comité de cuantas perdidas hay. Y también se presentan las pérdidas de fraude, pero van por diferentes tipologías. 6. ¿Cuenta el banco con un marco de gobierno para la gestión de fraude interno? ¿Se encuentra documentado? Si a nivel grupo y a nivel local, en los comités de directorio se formalizan las perdidas si quieren el detalle hay informes de cada caso. Pero es el grupo el que da las políticas las pautas generales y localmente si hacemos variaciones dependiendo de los reguladores y de 130 las sanciones que nos puede generar localmente porque la regulación de la sede principal que se encuentra en otro país, no se replica en Perú. Lo de este sistema que registra los casos es justo porque esto también se reporta a la SBS y al ASBANC, y en las reuniones de la Asociación de Banco se comentan los casos porque lo que le hacen a un banco lo puede hacer en otro. Y si en el banco retiras a una persona por un tema de fraude puede que esta persona quiera ingresar a otra empresa no necesariamente un banco puede ser también otra empresa del sistema financiero. 6.1. ¿Cuenta el banco con un código de ética para el personal? Si cuando uno ingresa al banco te hacen firmar que tienes conocimiento del código de ética, así como los temas de confidencialidad, documentos en los que la persona se hace responsable de la información a la que tiene acceso y sabe que no se debe puede compartir. En caso de que puedas ingresar, visualizar porque tus compañeros tienen otros accesos y estas presente a diario, no da derecho a que te aproveches de la información. Y también tenemos prescripciones no es que no podamos hacer, sino que sabemos que no se debe hacer. 6.2. En una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno o no está implementado y 5 totalmente implementado y difundido ¿En qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Cinco, porque se reporta al regulador, se reporta al comité de gestión, los lineamientos vienen de holding, en la Asociación de bancos, en ASBANC todos los bancos tienen implementado este sistema, el hecho de compartir es para que a los otros no les suceda lo que sucedió a uno. 7. Actualmente ¿Cuál es el proceso que sigue el banco para identificar y evaluar los riesgos relacionados al fraude interno? Comentar cuales son los principales riesgos identificados. 131 Son varios, se general alertas que pueden ser fuentes externas o a la interna pueden ser movimientos inusuales, pueden ser cosas que saltan y que después se pueden rastrear. No es un método o un procedimiento para todo, se personaliza dependiendo del caso porque no todos son iguales. 7.1. ¿Se encuentra documentado este proceso? ¿Dónde? Sí, se generan informes y mediante el sistema se registran las pérdidas. 7.2. ¿Se mide la probabilidad de impacto de estos riesgos? ¿Cómo? Sí, con el importe del fraude sobre la cuenta resultados porque lo que afecta es el resultado. En los estados de cuentas le restas a los ingresos los gastos y esto te deriva a los resultados. Estas pérdidas no son fuente de un gasto operativo, no es parte de lo que te genera el negocio. Todo producto o servicio que tu vendes o colocar te general un gasto que es intrínseco a la generación del producto o el servicio, pero estas pérdidas no están empalmadas ahí, son adicionales. 7.3. En una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de identificación y evaluación y 5 totalmente implementado ¿En qué grado considera usted que se encuentra el banco actualmente? Tres, porque si bien si hay un procedimiento y hay formar de identificar y de rastrear hay mucha rotación de gente y ahí pierde la experiencia y el know how y una persona nueva hasta que se adapte toma tiempo. 8. ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentados? Existe un sistema de alertas y siempre se rastrean los eventos inusuales, la alerta se activa con movimientos inusuales y algunas veces porque hay un reclamo o una fuente que te alerta de, uno comienza a rastrear y termina siendo un tema de fraude. 132 8.1. En base a la cantidad de casos de fraude identificados ¿Cuáles son los principales controles preventivos y detectivos implementados? Cuando se genera un fraude, los especialistas de control dependiendo en que área, la tipología, de lo que se valieron para efectuar el fraude estamos obligados a generar controles. Es como una observación de auditoria, es decir el especialista de control no tiene forma de decir mi modelo funciona porque ya le hicieron un fraude. Él puede tener un modelo lleno de riesgos y controles cubiertos, pero si apareció un fraude este modelo por más que funcione y se pruebe todos los años por reguladores o por auditorias no está funcionando porque ya lo han vulnerado él tiene que implementar uno o más controles para mitigar el riesgo. 8.2. En una escala del 1 al 5, siendo 1 no cuento con los controles implementados y 5 totalmente implementado y documentado ¿En qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Tres, porque toma tiempo desarrollar estos controles y no es solamente que lo definan, sino que los pongas a funcionar y esto te toma de 6 meses a 1 año. 9. Actualmente el banco posee protocolos de investigación y/o respuesta frente al fraude interno ¿Está documentado? De investigación, pero si rastreamos el fraude y se arma un informe, pero no es que se encuentren en la búsqueda de nuevos fraudes. Los gerentes que participan en ASBANC aterrizan la información de casos atípicos que han sucedido en otras entidades financieras para que tratemos de armar los controles y no nos ocurra acá. 9.1. Describir la respuesta del banco frente a casos de fraude interno Trata de subsanar los controles porque el modelo planteado ha sido vulnerado asimismo la persona que cometió el fraude es retirado del banco. 9.2. En una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar y se decide según la situación y 5 cuento con un plan de acción en funcionamiento que se 133 actualiza regularmente ¿En qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Tres, porque el plan de acción no es estándar, pero si existe un modelo y si se supervisa que el modelo sea modificado, dependiendo del fraude que ocurrió, porque empiezan a surgir dudas sobre el modelo porque el fraude ya se perpetuó. 10. ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? Si existe un monitoreo permanente, pero no se encuentra documentado se trabaja sobre las alertas, pero no se documentan todas las grabaciones, por ejemplo. 10.1. Describir las actividades de monitoreo ¿Cuentan con reportes de monitoreo? ¿Con que frecuencia se elaboran y ante quienes se presentan? El monitoreo es a diario y los reportes entre mensual o trimestral, cuando ocurre una alerta se inicia el proceso de rastreo y no siempre es inmediato puede tardar en de un mes a tres meses. 10.2. En una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo implementadas y 5 cuenta con reportes recurrentes (generales y específicos), ¿En qué grado considera usted que se encuentra actualmente el banco? ¿Por qué? Dos, porque es un monitoreo muy manual, no es un procedimiento integrado se tiene que hacer el rastreo paso a paso es por eso es que toma tiempo. 11. De acuerdo a su experiencia ¿Existe alguna mejora a las practicas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? Sí, si encuentran que una persona que ha cometido fraude lo separan inmediatamente del banco, asimismo otra buena práctica es compartir los temas para que no ocurra en otras entidades o para que la persona que ha salido no pueda replicar el mismo mecanismo. Quizás 134 esa persona no pueda ingresar a otra empresa del sector financiero porque no sé si todas las empresas del rubro poseen un filtro de este tipo. 12. Según su formación académica ¿Puede evidenciar si lo que indica la teoría como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la actualidad? Sí, se aplica la metodología, procedimientos todos estándares no solo en el Banco de Perú sino a nivel de grupo. El Banco pasa por muchas certificaciones de seguridad, de riesgos y las pasamos porque mantenemos un gobierno, procedimiento, modelo, se documenta, se informa y se monitorea, cumplimos con el estándar. 12.1. ¿Existe alguna practica financiera para la gestión de riesgo de fraude interno que en la teoría se enseñe pero que no se aplique? En mi caso no, las alertas en el Banco son específicas por ejemplo si se cuantifica cuanto se perdió. 13. En su experiencia, ¿Cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? El impacto monetario es variable y no son recurrentes por el contrario son esporádicos. No todos los casos tienen el mismo impacto. 14. En base a su conocimiento ¿Cuáles son los casos más frecuentes de fraude interno y cuanto representan de las perdidas monetarias anteriormente mencionadas? Todos los casos son diferentes, no es la misma operativa asimismo las pérdidas son variadas no es que exista un importe fijo, pero si hay una tendencia a que sean mayores cada vez. No podría indicar un porcentaje del balance porque en realidad no es un costo significativo para el banco y tampoco material no llega al 5% del resultado. 15. ¿Ha identificado el tipo de fraude interno de mayor impacto monetario?, comentar ¿Cuál es? Y ¿Cuál es su frecuencia? 135 En los comités se lleva un ranking mensual, es una estadística de la cantidad de casos mensuales y se acumulan los importes. Y en el tiempo se va monitoreando los casos y cuanto han demandado, pero en su mayoría los casos son diferentes. 16. ¿Cuentan con una base de datos de perdidas por evento de fraude interno? ¿Cuáles son sus usos principales? Sí, el mismo sistema tiene una base de datos de pérdidas. Su principal uso es evidenciar las perdidas, sirve a los especialistas de control para reforzar su modelo y es un inventario histórico que se lleva desde el año 1995 o 1997 y pueden ver casos hacia atrás con la intención del modelo con la intención de que todo evento de perdida no se vuelva a replicar, el especialista tiene la obligación de revisar su modelo y generar los controles necesarios para que el evento no se vuelva a repetir. 17. ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las perdidas asociadas al riesgo de fraude interno? Cuantificamos los casos existentes, pero no predecimos a futuro, inclusive para los jefes, el directorio, los accionistas lo ideal es que esto sea cero. Trabajamos en no tener perdidas no pensamos estimando en que este año tendremos más o menos casos. 136 Apéndice F: Entrevista Banco 3 Cargo: Gerente de Prevención del Fraude Antigüedad en el cargo: 15 años Edad: 64 años 1. ¿Cómo define la gestión de riesgos? En realidad, es la identificación de los riesgos que pueden ser operativos, puede haber riesgos de mercado, pero me imagino que estamos hablando de riesgos operacionales y dentro de ellos el alcance que puedan tener los objetivos del negocio del banco y dentro de ellos los riesgos operativos y particularmente de fraude, para lograr los objetivos del banco. 2. ¿Cuenta el banco con un área de gestión de riesgo de fraude interno? Tiene un área de gestión de prevención de fraude, que es la que yo manejo, y dentro de eso manejamos los riesgos de fraude interno, en realidad de la gestión de los riesgos de fraude interno. 2.1. ¿Cómo está estructurada? ¿Cuántas personas lo conforman? Nuestra área contempla un esquema de gestión un poco particular aunque ya creo que otro banco maneja un esquema similar, donde vemos todos los reclamos relacionados con consumo no reconocidos tiene un área, otra área es la que ve los riesgos de fraude inmersos en nuevos productos o servicios o en todo caso de investigación forense, y otra área que es la que maneja el monitoreo, ósea las herramientas de monitoreo, y los análisis de tendencias, casuísticas, etc., entonces en total somos 50 personas, en esas tres áreas de gestión. 3. ¿Cuál es el proceso que sigue el banco para gestionar el riesgo de fraude interno? Gestionar, digamos que es viendo desde el inicio que es reclutamiento de personal, basado en los valores del banco, eso lo maneja el área de recursos humanos, y tiene una serie de esquemas, digamos de entrevistas, de análisis de los nuevos postulantes, donde 137 obviamente implica los valores y dentro de ellos uno de los valores principales, luego en la gestión propiamente de las funciones, hay políticas del banco es bastante descentralizada, cada responsable de área es responsable de su gestión, obviamente, en nuestro caso hay áreas de monitoreo entre los esquemas de monitoreo, tiene monitoreo de tendencias externas y también internas. Normalmente, la mayoría de casos, un caso de fraude interno se desprende de un caso probablemente inicialmente como fraude externo y que dependiendo la casuística y lo que esté involucrado digamos deviene en una identificación de un posible compromiso interno, y eso es parte del proceso de investigación. 4. ¿Cuáles son las buenas prácticas financieras implementadas en la gestión actual del riesgo de FI? Monitoreo, es una como detección, que ya la comenté, lo otro es evaluación de los riesgos de los productos y servicios que ofrece el banco, de hecho riesgo operativo hace su propio esquema de gestión con las áreas y canales de los productos importantes como prioridad y obviamente después va decantando en los de menos impacto, nosotros normalmente, esas evaluaciones de riesgo operativo también participamos desde la perspectiva de fraude y también nosotros hacemos evaluaciones de los productos más expuestos o de más riesgo, desde la perspectiva de fraude y también hacemos las evaluaciones propias de sus procesos vulnerabilidades de canales, productos, servicios, etc., como consecuencia de las investigaciones forenses también, se hace la investigación se determina debilidades o digamos aspectos aprovechados por terceros o propios colaboradores, se generan las propuestas y recomendaciones, eso se analiza por los productos y servicios o los responsables de los productos y servicios, en el caso de fraude interno también con recursos humanos, eso deviene desde la perspectiva de riesgo operativo en las evaluaciones de autoevaluación y el seguimiento a las propuestas de mejora o corrección de debilidades que se había hecho que se hace un cronograma de implementación y condiciones 138 de implementación y se le hace un seguimiento. También dentro de lo que son productos y servicios nuevos y ahora que todos estamos dentro de las metodologías ágiles participamos también del diseño, hacemos evaluaciones de riesgo, las cuantificamos, se identifican posibles debilidades, se hace una definición de aceptación o no, según el apetito de riesgo de cada producto, servicio o canal, y en base a eso se determina que se hace, que no se hace, que se corrige, etc., ese es el esquema de nuevos productos o servicios, eso sería. Bajo la metodología de Coso, en realidad coso lo gobierna riesgo operativo, en el coso está la parte de fraude, la organización que nosotros manejamos o los esquemas de revisión y seguimiento están orientados en fraude en coso 2 creo que es. 4.1. En su opinión, ¿Cuáles son las más importantes? Todas las que ya mencioné. 5. ¿Cómo el banco evidencia la repercusión de la gestión de riesgo de fraude interno, que indicadores utilizan? Hacemos indicadores de medición en número de casos, importes, de hecho hay comités en los que se hace el seguimiento de la evolución de los eventos que se van presentando, el número de personas involucradas, y obviamente es parte del seguimiento que se hace si está creciendo o no creciendo, de hecho hay indicadores de resultados, en realidad en fraude interno es bastante complicado tener una estadística, con presupuesto, porque son eventos que salen y en un año pueden ser algunos grandes y en otros montos pequeños, no es digamos como fraude externo, sobre todo tarjetas que es creo el rubro de más presencia, es el monto mayor en nuestro caso por lo menos, donde si es entre comillas un poco más sencillo predecir qué es lo que puede pasar, que tampoco es tan fácil entre comillas, porque tampoco es fácil un presupuesto de ventas, donde las variables son más controladas y el entorno es conocido, en fraude, lamentablemente, cualquier cosa puede pasar en cualquier momento, así 139 que es bien difícil poder proyectar, el fraude normal es difícil el fraude normal es sumamente complicado. 6. ¿Cuenta el banco con un marco de gobierno para la gestión de riesgo de fraude interno? ¿Se encuentra documentado? Sí lo tenemos, está la política y los procesos internos. 6.1. ¿Cuenta el banco con un código de ética para el personal? Sí. 6.2. En una escala del 1 al 5, siendo 1 no cuento con un marco de gobierno o no está implementado y 5 totalmente implementado y difundido, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Diría 4 porque el seguimiento que es una de las directivas de COSO, que es el seguimiento a la implementación o los elementos de gestión de fraude, implican mediciones más exactas que las que tenemos como las que te comente hace un rato, hay mediciones pero creo que deberían ser más amplias, lo mismo los productos y servicios son muchísimos y con este tema de la metodología ágil y nuevos desarrollos que hay por todos partes es un poco complicado poder decir que tenemos mapeado todo, definitivamente esa metodología creo que todavía no está muy considerada en el COSO, está estructuradamente diseñada que la metodología actual, la verdad que se salta todo, la metodología ágil es más difícil como la controlas. 7. Actualmente ¿Cuál es el proceso que sigue el banco para identificar y evaluar los riesgos relacionados al fraude interno? Comentar cuales son los principales riesgos identificados Como comentaba es la evaluación de los productos y servicios, en los cambios nuevos, es decir, en los cambios a los existentes y los nuevos hay un proceso que es incluso son normados por la SBS, nosotros participamos muy activamente desde que se presentan 140 ideas, ósea no es que vamos a los que ya pasaron el filtro y se decide analizar y presentar a este comité, sino desde que se tiene la idea, entonces, es bastante cercano en los productos nuevos y los productos vigentes como comentaba es el análisis ya sea por evidencias en los casos de fraude que hubieron por temas de evaluación forense o por simplemente acompañar a riesgo operativo en la revisión de los riesgos operativos de los productos que ellos tienen su rutina de acuerdo al nivel de riesgo y los propios nuestros, en caso que riesgo operativo no lo haya considerado y puede que alguno para nosotros si implique algún riesgo. Tenemos nuestra propia matriz pero muy de la mano con la de riesgo operativo, ellos tienen su propia metodología que en parte conversa con la nuestra, todo lo que se define como riesgo de fraude en el banco lo gestiona riesgo operativo porque es su función, pero las medidas de mitigación por ejemplo si se acordó hacer una medida de mitigación en un plazo de seis meses por parte de un producto, eso lo maneja riesgo operativo, si el producto dice ya no voy a hacer esta medida de mitigación porque tengo otras prioridades no la pueden quitar si nosotros no le decimos que la pueden quitar y tampoco pueden postergarla si no nosotros no le damos la conformidad, hay bastante coordinación. 7.1. ¿Se encuentra documentado este proceso? ¿Donde? El que está relacionado con riesgo operativo sí el nuestro no. El de nosotros es diseño propio y ejecución propia. 7.2. ¿Se mide la probabilidad de impacto de estos riesgos? ¿Cómo? Sí, de hecho, por eso decía los cuantificamos y generamos de acuerdo a que producto es y en que canal opera, se identifican los riesgos, la probabilidad de los riesgos y se cuantifica el impacto económico, en base a eso se determina que acciones tomar y si el apetito de riesgo lo amerita porque puede haber acciones que son muy caras para lo que se quiera hacer o al revés. 141 7.3. En una escala del 1 al 5, siendo 1 no cuento con un proceso adecuado de identificación y evaluación y 5 totalmente implementado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Igual que el anterior, creo que es un 4 porque no siempre las intenciones de que es lo que se puede o sería bueno hacer digamos se acompaña de la infraestructura para hacerlo y también hasta cierto punto el diseño de metodologías agiles también conspira un poco, porque lo que parecía que es muy riesgoso de repente la decisión comercial ya no va en ese camino y cambia porque es justamente las metodologías ágiles, es eso es empezar con un producto mínimo viable irlo desarrollando y según el mercado como evoluciona y van cambiando de orientación, entonces para este tipo de gestión es complicado a veces hacerle seguimiento a un producto o que al contrario podría haber sido que no tenía mucho riesgo, de repente evoluciona a algo que si pueda tener riesgo, en la línea de lo que dije sobre COSO esta metodología nueva nos crea muchos caminos de acción, entonces es un poco complicado poder orientar y prever que debo hacer y qué no hacer, por eso 4 y creo que entre 3.5 y 4, porque la verdad sí complica un poco. 8. ¿Cuáles son las actividades de control antifraude que realiza el banco? ¿Se encuentran documentados? Monitoreo, la que nosotros usamos más, la mayoría de casos los detectamos por ahí, los reportes de los canales o gestores de productos, el canal ético que tiene su propio marco de comunicación, de hecho las investigaciones, también hacemos monitoreo de procesos operativos no todos pero sí algunas incidencias que podrían ser incumplimientos, ósea no fraude pero sí incumplimientos de procedimientos, tenemos algunas alertas que monitorean eso que obviamente el incumplimiento a un procedimiento puede ser simplemente una deficiencia o una negligencia pero también puede ser un fraude, esas desviaciones de los 142 procedimientos también generamos información que las enviamos a las áreas operativas para que ellos revisen si esa desviación es algo particular. 8.1. En base a la cantidad de casos de fraude identificados ¿Cuáles son los principales controles preventivos y detectivos implementados? Son variables, normalmente, la mayoría de casos están en agencias y depende de las circunstancias, por ejemplo el uso de la contraseña por otras personas, en ese caso es validar que una máquina no hay más de un usuario conectado, o que una persona de vacaciones no esté conectado, o trabajos fuera de hora cuando se supone que no deberían estar trabajando por poner algunos ejemplos, transacciones que no deberían realizarse como ejemplo transacciones de tipo de cambio que escapan a los patrones usuales de un determinado operador, son varias revisiones que se van implementando en monitoreo en función de eventos que ocurrieron en algún momento, todo eso queda como parte del seguimiento. Tenemos alertas relacionados a fraude y alertas relacionados a operativos. 8.2. En una escala del 1 al 5, siendo 1 no cuento con controles implementados y 5 totalmente implementado y documentado, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? Es muy variable, creo que 3 depende de las operaciones, productos que cambian, puede ser que en algún momento hayamos estado en 4 y esos productos que teníamos controlados ya no operan mucho y hay nuevos, por eso esto de los productos agiles es bastante problemático para lo que estamos en fraude. 9. Actualmente el Banco posee protocolos de investigación y/o respuesta frente al fraude interno. ¿Está documentado? Sí está documentos, a nivel macro en procedimientos del banco, la parte más detalladas en políticas internas. 9.1. Describir la respuesta del banco frente a casos de fraude interno. 143 Una alerta que sea por cualquier canal, ya sea ético o porque monitoreando se detecta o porque hay un reclamos del cliente o por cualquier motivo, se hace una evaluación, en el caso de un reclamo también porque puede ser que el cliente esté involucrado, poco probable pero no imposible y se encuentra algún indicio donde algún colaborador podría haber estado implicado pasa al área de investigaciones especiales donde se hace una evaluación completa que tiene sus protocolos, plazos y condiciones, todo normado. 9.2. En una escala del 1 al 5, siendo 1 no cuento con un plan de acción estándar y se decide según la situación y 5 cuento con un plan de acción en funcionamiento que se actualiza regularmente, ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 4 porque tenemos establecidos que hacer, como hacer, donde hacer, absolutamente todos los reclamos relacionados a una operación no reconocida vienen a nosotros, a diferencia de otras instituciones donde van a diferentes áreas, en nuestro caso todo viene a esta área de cualquier producto, servicio o canal, hacemos un seguimiento a través de riesgo operativo, que las cuentas de gastos que no son específicas no se registren operaciones relacionadas a un consumo no reconocido o algo que pudiera significar fraude, tanto en el manejo del reclamo en sí como en control de las cuentas de gastos generales se hace un seguimiento para asegurar que todo lo que tenga que ver con algo no reconocido pase por nosotros, no se puede atender a un cliente o un desembolso para compensar algo si es que no se hace a través nuestro, las áreas de monitoreo son fiscalizadas por las de reclamo, todos los reclamos se validan por si la herramienta de monitoreo detecto o no algo, si detecto lo marcamos, si no detecto se identifica y se envía el área que vea las herramientas de monitoreo para ver la forma que se detecte ese elemento, como tenemos todos los casos de fraude detectados y tenemos la herramienta que monitorea eso enriquece la herramienta continuamente porque todo lo que no detectamos lo vamos alimentando permanentemente. Si 144 el área de investigaciones detecta algo que no habíamos detectado igual el monitoreo es alimentado. 10. ¿Existe un monitoreo de las actividades correspondientes a la gestión del riesgo de fraude interno? ¿Está documentado? Sí está documentando. 10.1. Describir las actividades de monitoreo. ¿Cuentan con reportes de monitoreo? ¿Con que frecuencia se elaboran y ante quienes se presentan? La herramienta genera permanentemente información, todos los días recibo un dashboard de las modalidades de fraude que se han monitoreado y detectado para ver evoluciones, tendencias a nivel gerencial, tenemos comités de trabajo para revisar en general y en específico las condiciones de monitoreo, que tantas alertas están generando, que volumen se está detectando de fraude, qué condiciones se han tenido que ajustar por eventos de fraude internos, son revisiones semanales y hay otros foros a nivel banco, que nosotros como responsables de fraude revisamos estadísticas, eventos con la alta dirección del banco para que todos estemos al tanto para ver que se está haciendo y como se está haciendo y que se requiere hacer. 10.2. En una escala del 1 al 5, siendo 1 no cuento con actividades de monitoreo implementadas y 5 cuenta con reportes recurrentes (generales y específicos), ¿en qué grado considera usted que se encuentra el banco actualmente? ¿Por qué? 5 porque tenemos reportes permanentes en diferentes formas todos los días, tengo el reporte y no solo gráficos, sino también el detalle que tipos de transacciones hubo como se generaron, si fue en tarjeta que es lo más usual, hasta que comercios los más involucrados, que casuísticas, eso es todos los días a las 9am. 145 11. De acuerdo a su experiencia ¿Existe alguna mejora en las prácticas financieras para la gestión del riesgo de fraude interno que aplica actualmente el banco? ¿Cuáles? No podría decir cuales porque es reservado, pero si es permanente, como cada investigación no es solo investigar el caso de fraude sino ver porque se generó, la causa y ver lo que está generando el fraude, por ejemplo ahorita me han reportado ayer me reportaron fraudes y hoy ya estamos teniendo reuniones con los responsables de los canales, los que generan los análisis de las solicitudes de crédito, que canal fue como paso, cual fue el evento, ya encontramos donde hubo el hueco y ya estamos viendo con todos los equipos como lo paramos, apenas ocurre se hace algo. 12. Según su formación académica ¿Puede evidenciar si lo que indica la teoría como buenas prácticas para la gestión de riesgo de fraude interno se aplica en la actualidad? Nosotros nos gobernamos en base a los principios COSO y la tercera línea de acción es la revisión de los procesos y a raíz de los cambios permanentes es algo que no puedes asegurar que lo tienes funcionando como se debería , entonces es un proceso que seguimos permanentemente que son las políticas de fraude o por lo menos detección de fraude a nivel banco, eso es más o menos estático, porque son gobierno, las acciones de revisión de los productos, procesos es permanente, las herramientas de detección permanente las ajustamos, los informes y las acciones consecuencias de las investigaciones forenses también generan acciones inmediatas y las revisiones de que todo esté funcionando también se hace pero siempre se encuentran aspectos que hay que ajustar, es un proceso que está documentado y regulado en el banco. 12.1. ¿Existe alguna práctica financiera para la gestión de riesgo de fraude interno que en la teoría se enseñe, pero no se aplique? 146 Eso habría que ser muy específico no podría decir exactamente que, si y que no porque implicaría que se sepa que no, en términos generales bastante cercano. 13. En su experiencia, ¿cuál es el impacto en términos monetarios que generan los casos de fraude interno para el banco? Es muy variable, para nosotros el fraude interno en importe bastante menos que el fraude externo, no tenemos muchos casos, tenemos como cualquier institución, serán un 20% o 30% de monto, es bien variable puede ser que un año sea el 50% o 60% y el otro año el 10%, nosotros registramos en una cuenta de fraude interno otra cuenta que es tarjetas porque es lo manejamos en mayor volumen y cuenta específica para fraude externo que no sea de tarjetas, en general manejamos por separado todo para poderlo medir. 14. En base a su conocimiento ¿Cuáles son los casos más frecuentes de fraude interno y cuánto representan de las pérdidas monetarias anteriormente mencionadas? A ver como frecuencia de casos de colaboradores que trabajan en oficinas en ventanillas, un poco de todo, la mayoría podría ser las órdenes de pago que son pagos a clientes al portador, hay fraudes internos que son demostrados y hay fraudes internos que son indicios, yo creo que la mayoría de bancos caen por el lado de indicios, no puedes demostrarlo pero sí todo apunta a que podría haber sido alguien que está metido en el fraude interno, por ejemplo en la venta de una tarjeta de crédito, si a un colaborador lo llama un suplantador y hay procesos que tienen que hacerse con cierta rigurosidad y hay otros que no está indicado textualmente la rigurosidad que debería haber si el colaborador no es muy riguroso pero la norma no lo indica específicamente entonces cae en la ambigüedad de decir estuvo colaborando con el delincuente o simplemente lo sorprendieron, yo creo que esa es la mayor parte de casos que tenemos y coadyuvado por la metodología ágil los procesos a veces no están tan especificados porque está evolucionando, esa ambigüedad puede generar un fraude interno, los que son indicios no los consideramos como fraude interno pero si lo 147 tenemos en otra cuenta dónde están esos casos donde podría ser poca exactitud del procedimiento, ambigüedad del procedimiento, podría ser no tan acucioso con el procedimiento, con los casos donde sí está demostrado que fue fraude interno, esos casos si lo tenemos catalogados pero tenemos los otros que sino suman lo mismo están cerca, que es ese lado de la ambigüedad. Nuestra política en general es tratar que los procedimientos sea lo más exacto posible y acompañarlo con monitoreo de las acciones que consideramos que deberían haber seguido un proceso y no lo siguen exactamente, monitoreamos las acciones como cumplimiento operativo, complementando la imposibilidad de ser muy rigoroso en los procedimientos, que el procedimiento sea lo suficientemente exacto dentro de la razonabilidad de las cosas acompañados de monitoreo. Es muy poquito, no sé si este año estaremos en un 20% o 30% del total de fraude, pero esas casuísticas son relativamente pequeñas, los casos grandes puede ser un cheque de 100 mil soles que se pagó y no debió pagarse y de repente tenemos 400 operaciones de esas de 200 soles, son chiquitas y tampoco se puede poner monitoreo a cosas tan pequeñas que no te aportan mucho y hay que ir a lo más grande. 15. Ha identificado el tipo de fraude interno de mayor impacto monetario, comentar ¿cuál es y cuál es su frecuencia? Es relativo, de fraude interno, hablando fraude probado, venta de producto del activo, ósea puede ser tarjeta o préstamos personales. 16. ¿Cuentan con una base de datos de pérdidas por evento de fraude interno? ¿Cuáles son sus usos principales? Esa base la generamos nosotros y se la damos a riesgo operativo, ellos las gestionan, pero nosotros la alimentamos. Lo importante es medición de volumen, tipo de casuística y las implicancias para corregir, debilidades. 148 17. ¿Cuál es la metodología que usa el banco actualmente para cuantificar y predecir las pérdidas asociadas al riesgo de fraude interno? El fraude interno es super complicado, no es que no hacemos nada tampoco, pero incluso revisando históricamente hay años más o menos altos y años bajos, en un mismo año hay meses altos hay meses bajos, cero prácticamente, predecir es bien complicado no es que presupuestamos el fraude interno, lo que hacemos más que todo en los procesos de evaluación de los productos y servicios y productos críticos, ahí es donde valoramos no solo el fraude externo sino también el fraude interno, ósea como un producto o servicio podría ser en la forma que ha sido construido y ha tenido algún evento, en qué circunstancias podría producirse fraude y en esas circunstancias identificamos interno y externo, se arman antecedentes históricos y elementos necesarios para cometer el fraude y decimos el fraude podría ser de tanto, lo valoramos pero no como una valoración de presupuesto sino como una valoración de riesgo, la valoración es juicio experto, histórico, alcance del producto, canal involucrado son varios factores que según el tipo de elemento el nivel de seguridad del elemento genera un factor un grado, eso versus la información histórica que obviamente en el caso de un producto que ya conozcamos hay información histórica de fraude, hay otros productos que son nuevos que no hay, en ese caso consideramos si el producto que está saliendo va a ser monitoreado o no, o puede ser monitoreado inmediatamente o no, como participo en comités de ASBANC intercambiamos información numérica, montos y eventos de pérdida, eventualmente puede ser que un producto que otros bancos no tienen y yo sí y he tenido un evento y yo lo comento, lo mismo los otros bancos, tomamos ese feedback que nos sirve para cuantificar productos que no conozcamos, pero si los conocemos y tenemos antecedentes o información, esa probabilidad y ese nivel de exposición combinado con la información histórica nos da un resultado numérico, ese nivel de riesgo normal es “x”, alto riesgo es “y” y bajo riesgo es “z” y esto se asocia a estas condiciones del producto, si ustedes 149 producto, canal o servicio quieren bajar ese nivel de riesgo tienen que hacer esto, eso sí cuantificado en dólares constantes. 150 Apéndice G: Información detallada Interbank Historia. Perteneciente al grupo Intercorp, el Banco Internacional del Perú inició operaciones el 17 de mayo de 1897 con un Directorio presidido por el Sr. Elías Mujica. En 1934 empezó su descentralización, siendo Chiclayo y Arequipa las primeras agencias en abrirse, seguidas por las agencias de Piura y Sullana. Anteriormente, el accionariado del banco incluyó capitales vinculados a la agroindustria, como La Fabril S.A. El 20 de julio de 1994 un grupo financiero liderado por el Dr. Carlos Rodríguez-Pastor Mendoza, e integrado por grandes inversionistas como Nicholas Brady (ex Secretario del Tesoro de los EEUU), se convirtió en el principal accionista del banco. En 1996 se cambió el nombre a Interbank. En el año 2005 se implementaron las tiendas Money Market, entre 2007 y 2008 Interbank buscó duplicar la red de distribución, el número de tiendas de Interbank aumentó de 111 a fines de 2006 a 207 en el 2008. De la misma manera, el número de cajeros creció de 701 a 1,400 en el mismo período. La expansión de Interbank incluyó, en el 2007, la apertura de la oficina de representación comercial del entonces Grupo Interbank en Shangai, cuyo objetivo fue dinamizar el intercambio comercial con China. En marzo de 2012 Interbank continuó innovando su oferta internacional al inaugurar su Oficina de Representación Comercial en Sao Paulo, Brasil, el quinto socio comercial del Perú (Interbank, 2019). Productos. Interbank tiene como principales líneas de actividad la captación de dinero y el otorgamiento de créditos, operaciones permitidas por la Ley General (Interbank, 2018). Gestión de riesgo operacional. La metodología para la gestión se encuentra basado en principalmente en cinco herramientas: (a) Autoevaluación de riesgos y controles, herramienta que permite identificar los principales riesgos del banco, además de valorar mediante cuestionarios de autoevaluación las principales causas de los riesgos identificados y conocer la frecuencia y pérdida estimada, (b) Gestión de eventos de pérdidas, herramienta que permite cuantificar y generar reportes sobre los eventos de pérdidas, lo cual facilita la medición y el 151 análisis para identificar tendencias de riesgo, (c) Indicadores de riesgo, permite monitorear los riesgos y que estos se encuentren dentro de los niveles aceptables, (d) Seguimiento a planes de acción, permite reducir o eliminar la exposición al riesgo, y (e) Evaluación de riesgos sobre productos nuevos y cambios importantes, facilita la identificación de riesgos en forma integral con la finalidad que sean desplegados ágilmente. Asimismo, el banco cuenta con un mapa de riesgos que le permite identificar que las principales causas de riesgos operacional son fallas en los procesos, fraudes externos e internos, los mismos que representan más del 80% de las exposiciones (Interbank, 2018). Tabla 1G Requerimiento de Patrimonio Efectivo por Riesgo Operacional (Miles de S/) 2018 2017 Requerimiento de Patrimonio 263,644 251,396 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) Tabla 2G Indicadores Financieros de Rentabilidad 2018 2017 ROA 2.29 2.15 ROE 21.28 20.62 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 152 Tabla 3G Estado de Situación Financiera (Miles de S/) 2018 2017 ACTIVO DISPONIBLE 7,714,902 10,632,960 Caja 1,858,514 2,092,117 Banco Central de Reserva del Perú 3,644,853 5,879,731 Bancos y otras empresas del sistema financiero del país 4,892 18,213 Bancos y otras instituciones financieras del exterior 919,424 685,417 Canje 1,672 -19,243 Otras disponibilidades 1,285,547 1,976,725 FONDOS INTERBANCARIOS 495,037 403,526 INVERSIONES A VALOR RAZONABLE CON CAMBIOS EN RESULTADOS 38,894 0 Instrumento de Deuda 38,894 0 INVERSIONES DISPONIBLES PARA LA VENTA 3,886,580 4,827,881 Instrumentos representativos de Capital 283,174 625,145 Instrumentos representativos de Deuda 3,603,406 4,202,736 INVERSIONES A VENCIMIENTO 1,864,891 1,248,474 CARTERA DE CREDITOS 31,268,464 26,771,412 Cartera de Créditos Vigentes 31,718,365 27,057,698 Cartera de Créditos Refinanciados 199,566 256,651 Cartera de Créditos Vencidos 477,039 446,426 Cartera de Créditos en Cobranza Judicial 373,260 339,317 (-) Provisiones para Créditos -1,499,766 -1,328,680 DERIVADOS PARA NEGOCIACIÓN 90,861 93,751 DERIVADOS DE COBERTURA 74,585 1,928 CUENTAS POR COBRAR 511,901 225,387 Cuentas por Cobrar por Venta de Bienes y Servicios y Fideicomiso 875 586 Otras Cuentas por Cobrar (neto) 511,026 224,801 BIENES REALIZABLES RECIBIDOS EN PAGO, ADJUDICADOS 23,824 5,158 Bienes Realizables 22,952 4,826 Bienes Recibidos en Pago y Adjudicados 872 332 PARTICIPACIONES 132,148 134,472 Subsidiarias 68,757 78,281 Asociadas y participaciones en negocios conjuntos 63,391 2 INMUEBLES, MOBILIARIO Y EQUIPO (NETO) 420,455 429,414 ACTIVO INTANGIBLE DISTINTO DE LA PLUSVALIA 366,231 325,236 IMPUESTOS CORRIENTES 3,078 40,411 IMPUESTO A LA RENTA DIFERIDO 111,490 59,313 OTROS ACTIVOS 124,269 122,880 TOTAL DEL ACTIVO 47,127,610 45,322,203 153 Tabla 3G Estado de Situación Financiera (Miles de S/) 2018 2017 PASIVO OBLIGACIONES CON EL PUBLICO 31,046,331 30,132,185 Obligaciones a la Vista 8,716,696 8,829,733 Obligaciones por Cuentas de Ahorro 10,672,839 9,045,314 Obligaciones por Cuentas a Plazo 10,929,070 11,579,990 Otras Obligaciones 727,726 677,148 FONDOS INTERBANCARIOS 0 30,008 DEPÓSITOS DE EMPRESAS DEL SISTEMA FINAN. Y ORGANISMOS FINAN. INTERN. 277,156 462,522 Depósitos a la Vista 153,102 224,213 Depósitos de Ahorro 39,409 31,013 Depósitos a Plazo 84,645 207,296 ADEUDOS Y OBLIGACIONES FINANCIERAS 9,368,933 8,924,706 Adeudos y Obligaciones con el Banco Central de Reserva del Perú 2,097,190 2,223,812 Adeudos y Obligaciones con Empresas e instituciones financieras del país 342,881 390,015 Adeudos y Obligaciones con Empresas del Exterior y Organismos Financieros Internacionales 474,947 716,955 Otros Adeudos y Obligaciones del país y del exterior 1,053,730 1,055,943 Valores y Títulos 5,400,185 4,537,981 DERIVADOS PARA NEGOCIACIÓN 146,475 126,499 DERIVADOS DE COBERTURA 2,179 4,185 CUENTAS POR PAGAR 674,568 582,127 PROVISIONES 128,522 126,571 Provisión para Créditos Contingentes 89,341 84,093 Provisión para litigio y demandas 17,415 16,750 Otros 21,766 25,728 IMPUESTOS CORRIENTES 29,878 0 IMPUESTO A LA RENTA DIFERIDO 0 0 OTROS PASIVOS 146,757 176,395 TOTAL DEL PASIVO 41,820,799 40,565,198 PATRIMONIO Capital social 3,470,409 3,064,509 Capital adicional -15,523 -15,523 Acciones Propias en Cartera -18,387 -18,387 Reservas 794,754 704,554 Resultado Neto del Ejercicio 1,040,063 902,000 Ajustes al Patrimonio 35,495 119,852 TOTAL DEL PATRIMONIO 5,306,811 4,757,005 TOTAL DEL PASIVO Y PATRIMONIO 47,127,610 45,322,203 Nota. Adaptado de “Información Financiera", por SMV, 2019 (https://www.smv.gob.pe/Bp_InformacionFinanciera?op=bq11) 154 Tabla 4G Estado de Resultados (Miles de S/) 2018 2017 INGRESOS POR INTERESES Disponible 43,197 20,985 Fondos interbancarios 4,006 4,864 Inversiones a valor razonable con cambios en resultados 1,254 1,120 Inversiones disponibles para la venta 122,918 129,552 Inversiones a vencimiento 86,215 44,452 Cartera de créditos directos 3,328,255 3,165,413 Resultado por operaciones de cobertura 0 0 Cuentas por cobrar 0 0 Otros Ingresos Financieros 3,912 2,980 TOTAL INGRESOS POR INTERESES 3,589,757 3,369,366 GASTOS POR INTERESES Obligaciones con el público -529,140 -484,879 Fondos interbancarios -6,075 -4,169 Depósitos de empresas del sistema financiero y organismos financieros internacionales -588 -354 Adeudos y obligaciones financieras -499,194 -514,462 Adeudos y obligaciones con el Banco Central de Reserva del Perú -58,723 -100,169 Adeudos y obligaciones del sistema financiero del país -93,726 -100,142 Adeudos y Obligaciones con Instituciones Financieras del Exter. y Organ. Financ. Internac. -8,531 -17,115 Valores, Títulos y Obligaciones en Circulación -338,214 -297,036 Intereses de cuentas por pagar -1,558 -1,611 Otros Gastos Financieros -4,175 -4,850 TOTAL GASTOS POR INTERESES -1,040,730 -1,010,325 MARGEN FINANCIERO BRUTO 2,549,027 2,359,041 (-) Provisiones para créditos directos -803,501 -817,608 MARGEN FINANCIERO NETO 1,745,526 1,541,433 INGRESOS POR SERVICIOS FINANCIEROS 993,072 960,069 Ingresos por créditos indirectos 61,944 60,512 Ingresos por Fideicomisos y Comisiones de Confianza 5,354 5,813 Ingresos Diversos 925,774 893,744 GASTOS POR SERVICIOS FINANCIEROS -327,035 -316,328 Gastos por créditos indirectos -150 -148 Prima al fondo de seguro de deposito -40,697 -37,304 Gastos Diversos -286,188 -278,876 MARGEN FINANCIERO NETO DE INGRESOS Y GASTOS POR SERVICIOS FINANCIEROS 2,411,563 2,185,174 RESULTADO POR OPERACIONES FINANCIERAS (ROF) 417,526 358,009 Inversiones a valor razonable con cambios en resultados 2,378 4,840 Inversiones disponibles para la venta 148,705 83,169 155 Tabla 4G Estado de Resultados (Miles de S/) 2018 2017 Derivados de negociación -8,841 2,891 Ganancias (pérdidas) en participaciones 42,494 33,994 Utilidad- pérdida en diferencia de cambio 219,423 216,435 Otros 13,367 16,680 MARGEN OPERACIONAL 2,829,089 2,543,183 GASTOS DE ADMINISTRACION Gastos de Personal y Directorio -619,082 -590,569 Gastos por Servicios Recibidos de Terceros -678,570 -626,472 Impuestos y Contribuciones -24,124 -22,879 DEPRECIACIONES Y AMORTIZACIONES -141,091 -129,280 MARGEN OPERACIONAL NETO 1,366,222 1,173,983 VALUACIÓN DE ACTIVOS Y PROVISIONES Provisiones para Incobrabilidad de Cuentas por Cobrar -1,214 -7,641 Provisiones para litigios y demandas -347 -791 Otras provisiones -3,157 -7,818 RESULTADO DE OPERACIÓN 1,361,504 1,157,733 OTROS INGRESOS Y GASTOS 2,660 40,469 RESULTADO DEL EJERCICIO ANTES DE IMPUESTO A LA RENTA 1,364,164 1,198,202 IMPUESTO A LA RENTA -324,101 -296,202 RESULTADO NETO DEL EJERCICIO 1,040,063 902,000 Utilidad (pérdida) básica por acción 0.301 0.261 Utilidad (pérdida) diluida por acción 0.301 0.261 Nota. Adaptado de “Información Financiera", por SMV, 2019 (https://www.smv.gob.pe/Bp_InformacionFinanciera?op=bq11) 156 Apéndice H: Información detallada Scotiabank Historia. El Banco Scotiabank Perú forma parte de The Bank of Nova Scotia (BNS) o Scotiabank, una de las instituciones financieras más importantes de Norteamérica y el banco canadiense con mayor presencia y proyección internacional. Su sede principal se encuentra en Toronto (Canadá), cuenta con más de 180 años de experiencia, 21 millones de clientes y con un equipo de 86 mil colaboradores en 55 países, es hoy uno de los grupos financieros más importante. Fundado en 1832, es uno de los grupos financieros más sólidos del mundo y el banco canadiense con más presencia y proyección internacional. Al 2014, se posicionó como el 3° banco más importante de Canadá y el 24° más importante del mundo. Al 31 de enero del 2015, mantenía activos consolidados por más de 852,000 mil millones de dólares canadienses y cotiza sus acciones en las bolsas de valores de Toronto y Nueva York. En el 2008, Scotiabank superó la crisis del sistema financiero mundial por su gestión y manejo prudente del riesgo, al buen control de su cartera de inversiones y por estar regulado en una economía estable y con un buen desempeño fiscal como la canadiense. Por ello, fue parte de la lista de los 50 bancos más seguros del 2010 publicada por la revista Global Finance y de la lista de los 10 bancos más estables publicada por la consultora Oliver Wyman. (Scotiabank, 2019) Alcance mundial. La diversificación geográfica y comercial de Scotiabank es la esencia de su estrategia y potencia su crecimiento en cada una de sus tres unidades de negocio: Banca Canadiense, Banca Internacional y Banca y Mercados Globales. De esta forma, Scotiabank, ofrece una gama completa de soluciones y asesoramiento financieros a sus más de 7,8 millones de clientes en banca retail, pequeña empresa y banca comercial, atendiendo a estos clientes a través de su red de 1,040 sucursales y 3,942 cajeros automáticos, así como a través de banca por Internet, banca móvil, banca telefónica y sus especialistas fuerzas de venta. 157 Solo a través de Banca Internacional, Scotiabank opera en más de 40 países en tres regiones fuera de Canadá, incluyendo América Latina, el Caribe y América Central, y partes de Asia, y mediante su unidad de negocio Banca y Mercados Globales, ofrece a sus clientes soluciones en banca corporativa, banca de inversión y mercado de capitales. Los productos y servicios de GBM (por sus siglas en inglés) se ofrecen a empresas, gobierno y clientes institucionales en Canadá y en otros países como México, Estados Unidos, América Central y del Sur, y algunos mercados de Europa y Asia (Scotiabank, 2019). Productos. Scotiabank tiene como principales actividades la intermediación financiera y proporciona una amplia gama de productos financieros, soluciones y asesoramiento a clientes minoristas y comerciales. Gestión del Riesgo Operacional. El Marco de Gestión del Riesgo Operacional aplicado en Scotiabank es un enfoque integrado para identificar, medir, controlar, mitigar y reportar riesgos operacionales en base a elementos claves tales como el Gobierno Interno, Apetito por el Riesgo, Medición, Seguimiento e Informes, entre otros. El Banco reconoce que una gestión eficaz e integrada del riesgo operacional es un componente clave de las buenas prácticas de gestión del riesgo, por lo cual, a fin de contar con un gobierno interno de riesgo operacional sólido, el Banco adoptó un modelo de tres líneas de defensa que establece las respectivas responsabilidades de la gestión del riesgo operacional. Durante el año 2018 se ha continuado con el desarrollo de las metodologías de gestión del riesgo operacional para el Banco y subsidiarias a fin de fortalecer e incorporar aspectos para reforzar la gestión. Las principales metodologías son las siguientes:  Metodología de Eventos de Riesgo Operacional.  Metodología de Indicadores Claves de Riesgos – Key Risk Indicators (KRIs). 158  Metodología de Continuidad de Negocio – Business Continuity Management – BCM.  Metodología de Evaluación de Riesgos y Controles: Matriz de Autoevaluación de Riesgos y Risk Control Self Assessment (RCSA).  Metodología de Evaluación de riesgos de nuevas  Metodología de Gestión de Riesgos con Terceros (Third Party Risk Management – TPRM), entre otros. Además, con el objetivo de fortalecer el gobierno interno, se creó el Comité de Control Interno, el cual tiene como directrices: proporcionar gobierno y supervisión para asegurar un enfoque estratégico y coordinado del desarrollo de los programas locales de riesgos no financieros como Cumplimiento, Prevención del Lavado de Dinero y Financiamiento del terrorismo, Riesgo Operacional, Riesgo de Reputación, Riesgos de Nuevos Productos y Servicios, y asuntos de Control Interno para el grupo Scotiabank Perú; desarrollar una visión holística e integrada del control interno para asegurar que el desarrollo de los programas estén coordinados, a fin de maximizar la efectividad, eficiencia, transparencia y reducir los silos. Todo esto a fin de garantizar que todas las Líneas de Negocios implementen los principios y lleven a cabo las evaluaciones de riesgo del producto de manera coherente y uniforme (Scotiabank, 2018). Administración de la Continuidad de Negocio - Business Continuity Management – BCM. Scotiabank Perú cuenta con 85 Planes de Continuidad de Negocio (PCN) vigentes y desplegados en Vicepresidencias y/o Gerencias principales y empresas Subsidiarias (Scotia Fondos, Scotia Bolsa). Durante los meses de Marzo y Octubre del 2018, se realizaron capacitaciones presenciales a Planeadores de Continuidad de Negocios de Scotiabank Perú, cuyo objetivo 159 fue fortalecer la cultura de Continuidad de Negocios en la empresa y además poder ayudarlos en el proceso de actualización y ejecución de pruebas anuales de sus Planes de Continuidad de Negocios (PCN). La Metodología de Evaluación de Riesgos y Controles Operacionales está compuesta por las siguientes etapas: a. Identificación de riesgos b. Evaluación del riesgo a nivel inherente c. Identificación y evaluación de controles d. Determinación del riesgo residual e. Tratamiento La matriz de autoevaluación de riesgos y controles es la herramienta local para la identificación y evaluación de riesgos operacionales de productos y áreas de soporte. De forma complementaria se utiliza la herramienta RCSA (Risk Control Self-Assesment), para reportar hacia la casa matriz los riesgos operacionales (Scotiabank, 2018). Los principales indicadores de Scotiabank son: Tabla 1H Requerimiento de Patrimonio Efectivo por Riesgo Operacional (Miles de S/) 2018 2017 Requerimiento de Patrimonio 343,617 331,921 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) Tabla 2H Indicadores Financieros de Rentabilidad 2018 2017 ROA 2.12 2.13 ROE 15.28 15.89 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 160 Tabla 3H Estado de Situación Financiera 2018 2017 ACTIVO DISPONIBLE 10,050,252 9,028,952 Caja 1,058,273 971,412 Banco Central de Reserva del Perú 7,040,763 5,346,325 Bancos y otras empresas del sistema financiero del país 1,158 24,530 Bancos y otras instituciones financieras del exterior 243,149 301,555 Canje 59,206 125,200 Otras disponibilidades 1,647,703 2,259,930 FONDOS INTERBANCARIOS 10,001 350,093 INVERSIONES A VALOR RAZONABLE CON CAMBIOS EN RESULTADOS 272,720 558,707 Instrumento de Deuda 272,720 558,707 INVERSIONES DISPONIBLES PARA LA VENTA 3,924,648 4,479,134 Instrumentos representativos de Capital 4,538 4,390 Instrumentos representativos de Deuda 3,920,110 4,474,744 CARTERA DE CREDITOS 44,172,155 39,585,849 Cartera de Créditos Vigentes 44,058,080 39,659,280 Cartera de Créditos Reestructurados 521 0 Cartera de Créditos Refinanciados 587,915 419,858 Cartera de Créditos Vencidos 710,288 596,755 Cartera de Créditos en Cobranza Judicial 910,360 697,521 (-) Provisiones para Créditos -2,095,009 -1,787,565 DERIVADOS PARA NEGOCIACIÓN 99,071 41,658 CUENTAS POR COBRAR 1,783,562 1,256,664 Cuentas por Cobrar por Venta de Bienes y Servicios y Fideicomiso 584 976 Otras Cuentas por Cobrar (neto) 1,782,978 1,255,688 BIENES REALIZABLES RECIBIDOS EN PAGO, ADJUDICADOS 83,579 84,423 Bienes Realizables 2,956 1,398 Bienes Recibidos en Pago y Adjudicados 80,623 83,025 PARTICIPACIONES 1,511,217 1,350,065 Subsidiarias 1,437,347 1,274,819 Asociadas y participaciones en negocios conjuntos 73,870 75,246 INMUEBLES, MOBILIARIO Y EQUIPO (NETO) 348,179 348,518 ACTIVO INTANGIBLE DISTINTO DE LA PLUSVALIA 15,163 17,740 PLUSVALIA 287,074 287,074 IMPUESTOS CORRIENTES 0 33,752 IMPUESTO A LA RENTA DIFERIDO 209,920 203,746 OTROS ACTIVOS 1,046,438 137,499 TOTAL DEL ACTIVO 63,813,979 57,763,874 161 Tabla 3H Estado de Situación Financiera 2018 2017 PASIVO OBLIGACIONES CON EL PUBLICO 36,538,828 34,814,022 Obligaciones a la Vista 12,694,505 11,238,796 Obligaciones por Cuentas de Ahorro 9,363,979 9,015,066 Obligaciones por Cuentas a Plazo 13,689,519 13,556,860 Otras Obligaciones 790,825 1,003,300 FONDOS INTERBANCARIOS 498,238 210,056 DEPÓSITOS DE EMPRESAS DEL SISTEMA FINANCIERO Y ORGANISMOS FINANCIEROS INTERNACIONALES 490,640 395,847 Depósitos a la Vista 252,522 325,622 Depósitos de Ahorro 21,670 16,438 Depósitos a Plazo 216,448 53,787 ADEUDOS Y OBLIGACIONES FINANCIERAS 11,200,325 9,318,355 Adeudos y Obligaciones con Empresas e instituciones financieras del país 1,223,569 940,262 Adeudos y Obligaciones con Empresas del Exterior y Organismos Financieros Internacionales 7,861,576 6,208,937 Otros Adeudos y Obligaciones del país y del exterior 4 205 Valores y Títulos 2,115,176 2,168,951 DERIVADOS PARA NEGOCIACIÓN 86,161 68,011 CUENTAS POR PAGAR 4,557,697 4,053,111 PROVISIONES 294,856 315,168 Provisión para Créditos Contingentes 101,729 83,132 Provisión para litigio y demandas 37,495 63,684 Otros 155,632 168,352 OTROS PASIVOS 1,286,136 354,743 TOTAL DEL PASIVO 54,952,881 49,529,313 PATRIMONIO Capital social 6,122,948 5,634,540 Capital adicional 394,463 394,463 Acciones Propias en Cartera -2 -2 Reservas 1,082,742 960,640 Resultados Acumulados 174 173 Resultado Neto del Ejercicio 1,280,650 1,221,021 Ajustes al Patrimonio -19,877 23,726 TOTAL DEL PATRIMONIO 8,861,098 8,234,561 TOTAL DEL PASIVO Y PATRIMONIO 63,813,979 57,763,874 Nota. Adaptado de “Información Financiera” por SMV, 2019 (https://www.smv.gob.pe/Frm_DetalleInfoFinanciera.aspx?data=4558D46A438425676E13BEE8489E46E21D219B9B365C 8D0BF967156F28117DF57B6478B80E40883CEFE024A15B6C60E1B71042EAC8A9E5803B54A1D29A7F0D29499D32 162 9C0D6E60B84BCB12085421125A4DD6C1027EE0C15ED57F8A6AA7B8AB3882C95BA0F01D09EDA95D365AE7D9D E2455599397D05E517F92D792F63BAB7F501617DE9083) Tabla 4H Estado de Resultados 2018 2017 INGRESOS POR INTERESES Disponible 54,799 27,570 Fondos interbancarios 3,533 2,859 Inversiones a valor razonable con cambios en resultados 7,700 9,585 Inversiones disponibles para la venta 118,436 130,459 Cartera de créditos directos 3,473,936 3,391,010 Otros Ingresos Financieros 4,789 4,418 TOTAL INGRESOS POR INTERESES 3,663,193 3,565,901 Obligaciones con el público -543,222 -522,389 Fondos interbancarios -8,462 -12,492 Depósitos de empresas del sistema financiero y organismos financ. -5,275 -2,553 Adeudos y obligaciones financieras -397,897 -334,417 Adeudos y obligaciones con el Banco Central de Reserva del Perú -9 -10 Adeudos y obligaciones del sistema financiero del país -27,937 -26,372 Adeudos y Obligaciones con Instituciones Finan. del Exter. y Organ. inanc. Internac. -198,872 -122,953 Otros Adeudos y Obligaciones del País y del Exterior -36,794 -39,546 Comisiones y otros cargos por adeudos y obligaciones financieras -19,965 -14,755 Valores, Títulos y Obligaciones en Circulación -114,320 -130,781 Intereses de cuentas por pagar -70,723 -145,936 TOTAL GASTOS POR INTERESES -1,025,579 -1,017,787 MARGEN FINANCIERO BRUTO 2,637,614 2,548,114 (-) Provisiones para créditos directos -755,289 -754,941 MARGEN FINANCIERO NETO 1,882,325 1,793,173 INGRESOS POR SERVICIOS FINANCIEROS 821,833 786,716 Ingresos por créditos indirectos 86,214 90,641 Ingresos por Fideicomisos y Comisiones de Confianza 21,664 13,285 Ingresos Diversos 713,955 682,790 GASTOS POR SERVICIOS FINANCIEROS -268,287 -231,168 Gastos por créditos indirectos -1,314 -1,243 Gastos por Fideicomisos y Comisiones de Confianza 0 -30 Prima al fondo de seguro de deposito -43,459 -39,561 Gastos Diversos -223,514 -190,334 MARGEN FINANCIERO NETO DE INGRESOS Y GASTOS POR SERVICIOS FINANCIEROS 2,435,871 2,348,721 163 Tabla 4H Estado de Resultados 2018 2017 RESULTADO POR OPERACIONES FINANCIERAS (ROF) 620,796 578,189 Inversiones a valor razonable con cambios en resultados -1,015 16,778 Inversiones disponibles para la venta 22,182 34,051 Derivados de negociación 52,289 -29,211 Ganancias (pérdidas) en participaciones 295,798 254,029 Utilidad- pérdida en diferencia de cambio 206,300 254,690 Otros 45,242 47,852 MARGEN OPERACIONAL 3,056,667 2,926,910 Gastos de Personal y Directorio -692,174 -672,316 Gastos por Servicios Recibidos de Terceros -574,328 -550,581 Impuestos y Contribuciones -70,923 -62,930 DEPRECIACIONES Y AMORTIZACIONES -58,038 -60,905 MARGEN OPERACIONAL NETO 1,661,204 1,580,178 Provisiones para créditos indirectos -15,982 -2,700 Provisiones para Incobrabilidad de Cuentas por Cobrar -10,939 -10,831 Provisión para bienes realizable, recibidos en pago, recuperados y adjudicados y otros -23,371 -17,195 Provisiones para litigios y demandas -2,018 -2,410 Otras provisiones -4,944 -917 RESULTADO DE OPERACIÓN 1,603,950 1,546,125 OTROS INGRESOS Y GASTOS 37,200 18,664 RESULTADO DEL EJERCICIO ANTES DE IMPUESTO A LA RENTA 1,641,150 1,564,789 IMPUESTO A LA RENTA -360,500 -343,768 RESULTADO NETO DEL EJERCICIO 1,280,650 1,221,021 Utilidad (pérdida) básica por acción 2.091 1.994 Utilidad (pérdida) diluida por acción 2.091 1.994 Nota. Adaptado de “Información Financiera” por SMV, 2019 (https://www.smv.gob.pe/Frm_DetalleInfoFinanciera.aspx?data=4558D46A438425676E13BEE8489E46E21D219B9B365C 8D0BF967156F28117DF57B6478B80E40883CEFE024A15B6C60E1B71042EAC8A9E5803B54A1D29A7F0D29499D32 9C0D6E60B84BCB12085421125A4DD6C1027EE0C15ED57F8A6AA7B8AB3882C95BA0F01D09EDA95D365AE7D9D E2455599397D05E517F92D792F63BAB7F501617DE9083) 164 Apéndice I: Información detallada BCP Historia. El Banco de Crédito del Perú (BCP), inició sus actividades el 9 de abril de 1889 como Banco Italiano, el primero en el Perú; y el 01 de febrero de 1942, realizó el cambio de su denominación social por la de Banco de Crédito del Perú. Posteriormente se instalaron sucursales en Nassau y en Nueva York, para poseer posicionamiento internacional. En proceso de expansión del banco vieron la necesidad de una sede central, por lo cual se construyó un edificio de 30,000 m2 en el distrito de La Molina. Para 1988 el BCP poseía la Red Nacional de Tele Proceso que conectaba casi la mayoría de oficinas del Perú con el computador central. En 1993, adquirieron el Banco Popular de Bolivia, denominado actualmente Banco de Crédito de Bolivia. En 1994 crean la empresa subsidiaria Credifondo, dedicada a los fondos mutuos; el siguiente año adicionan Credileasing, empresa encargada al arrendamiento financiero. Al 2019, el BCP cuenta con 375 agencias, más de 1800 cajeros automáticos y más de 5600 Agentes BCP repartidos en todo el país (Banco de Crédito del Perú, 2019a). Productos. Al 2019, el Banco de Crédito del Perú cuenta con tres grupos de cliente diferenciados, estos son personas, PyMES y empresas, todos listados en su página web. Para personas, cuenta con préstamo de efectivo, préstamos de estudios, otros préstamos, crédito hipotecario, crédito vehicular, seguros vehiculares, seguro de tarjeta, seguro de vida, otros seguros, tarjetas de crédito y débito, cuentas, inversiones a plazos, inversión en fondos mutuos, y otros (Banco de Crédito del Perú, 2019b). Para PyMES, brinda cuenta de ahorro, cuenta corriente, financiamiento de capital, adelanto de pagos, garantías, otros financiamientos, cobro a clientes, POS, otras soluciones de cobros, pagos a terceros, pagos al exterior, telecrédito, tarjetas de crédito y débito, y otros servicios (Banco de Crédito del Perú, 2019c). 165 Para empresas, adicional a los productos anteriores, adiciona productos como el financiamiento electrónico, descuento de letras o facturas, financiamiento empresarial, factoring electrónico, letra de cobranza garantía, crédito a la construcción, cobranza (servicio de recaudación, débito automático a clientes, otros), pagos (de haberes, CTS, detracciones, impuestos SUNAT, aduanas, AFP, otros), tarjetas de crédito corporativas, productos de comercio exterior, y otros (Banco de Crédito del Perú, 2019d). Gestión de riesgo operacional. Según el Banco de Crédito del Perú (2018), a través de su gerencia central de Riesgos, tiene como tarea principal la implementación de un marco de gestión que abarque los diversos riesgos a los que se expone el banco, y que contemple el apetito al riesgo aprobado por el directorio. El Comité de Riesgos del BCP se apoya en los siguientes comités:  Comité de Riesgo de Crédito No Minorista  Comité de Riesgo de Crédito Minorista  Comité de Riesgos de Tesorería y ALM 1  Comité de Riesgos de Operación  Comité de Modelo El cálculo del capital regulatorio por riesgo operativo se hace a través del método estándar alternativo (ASA) desde el 2008 y el BCP posee autorización para su uso hasta junio del 2020 mediante resolución SBS N° 3364- 2017. Con el apoyo de la ciberseguridad el banco generó escenarios para probar estrategias preventivas y protocolos de respuesta y comunicación ante eventos de crisis. Adicionalmente, al corte del 2018 se culminó el diseño del marco de gestión de riesgo reputacional que se desplegará en los próximos años. Los principales indicadores de Banco de Crédito del Perú son: 166 Tabla 1I Requerimiento de Patrimonio Efectivo por Riesgo Operacional (Miles de S/) 2018 2017 Requerimiento de Patrimonio 903,120 875,915 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) Tabla 2I Indicadores Financieros de Rentabilidad 2018 2017 ROA 2.62 2.42 ROE 21.27 21.32 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 167 Tabla 3I Estado de Situación Financiera del Banco de Crédito del Perú, 2018 2018 2017 ACTIVO DISPONIBLE 22,584,597 27,888,458 Caja 5,229,196 4,204,516 Banco Central de Reserva del Perú 12,862,888 14,839,940 Bancos y otras empresas del sistema financiero del país 100 39 Bancos y otras instituciones financieras del exterior 942,288 1,904,314 Canje 90,367 124,837 Otras disponibilidades 3,459,758 6,814,812 FONDOS INTERBANCARIOS 70,005 155,461 INVERSIONES A VALOR RAZONABLE CON CAMBIOS EN RESULTADOS 74,473 2,126,700 Instrumento de Capital 0 4800 Instrumento de Deuda 74,473 2,121,900 INVERSIONES DISPONIBLES PARA LA VENTA 12,317,036 10,174,992 Instrumentos representativos de Capital 90,586 89,538 Instrumentos representativos de Deuda 12,226,450 10,085,454 INVERSIONES A VENCIMIENTO 3,504,041 3,859,970 CARTERA DE CREDITOS 88,855,242 79,601,523 Cartera de Créditos Vigentes 88,746,012 79,841,228 Cartera de Créditos Reestructurados 124 119 Cartera de Créditos Refinanciados 1,162,338 729,943 Cartera de Créditos Vencidos 1,059,535 1,292,740 Cartera de Créditos en Cobranza Judicial 1,386,682 1,154,636 (-) Provisiones para Créditos -3,499,449 -3,417,143 DERIVADOS PARA NEGOCIACIÓN 527,795 413,252 DERIVADOS DE COBERTURA 144,185 202,640 CUENTAS POR COBRAR 1,174,056 587,622 Cuentas por Cobrar por Venta de Bienes y Servicios y Fideicomiso (neto) 36,582 66,872 Otras Cuentas por Cobrar (neto) 1,137,474 520,750 BIENES REALIZABLES RECIBIDOS EN PAGO, ADJUDICADOS 82,239 59,375 Bienes Realizables 3,006 607 Bienes Recibidos en Pago y Adjudicados 79,233 58,768 PARTICIPACIONES 1,800,416 1,600,587 Subsidiarias 1,772,234 1,564,957 Asociadas y participaciones en negocios conjuntos 28,182 35,630 Otras 0 0 INMUEBLES, MOBILIARIO Y EQUIPO (NETO) 1,164,385 1,244,300 ACTIVO INTANGIBLE DISTINTO DE LA PLUSVALIA 806,009 656,594 PLUSVALIA 144,841 144,841 IMPUESTOS CORRIENTES 0 0 IMPUESTO A LA RENTA DIFERIDO 272,642 376,293 ACTIVOS NO CORRIENTES MANTENIDOS PARA LA VENTA 0 0 OTROS ACTIVOS 243,635 125,391 TOTAL DEL ACTIVO 133,765,597 129,217,999 168 Tabla 3I Estado de Situación Financiera del Banco de Crédito del Perú, 2018 2018 2017 PASIVO OBLIGACIONES CON EL PUBLICO 82,883,040 76,967,765 Obligaciones a la Vista 28,535,910 25,703,910 Obligaciones por Cuentas de Ahorro 29,267,556 25,864,942 Obligaciones por Cuentas a Plazo 25,031,191 25,307,671 Otras Obligaciones 48,383 91,242 FONDOS INTERBANCARIOS 617,347 540,563 DEPÓSITOS DE EMPRESAS DEL SISTEMA FINANCIERO Y ORGANISMOS FINANCIEROS INTERNACIONALES 1,696,665 1,117,100 Depósitos a la Vista 861,160 429,767 Depósitos de Ahorro 110,470 105,910 Depósitos a Plazo 725,035 581,423 ADEUDOS Y OBLIGACIONES FINANCIERAS 21,873,158 21,831,930 Adeudos y Obligaciones con Empresas e instituciones financieras del país 340,682 454,171 Adeudos y Obligaciones con Empresas del Exterior y Organismos Financieros Internacionales 4,267,076 3,731,946 Otros Adeudos y Obligaciones del país y del exterior 2,892,905 2,662,350 Valores y Títulos 14,372,495 14,983,463 DERIVADOS PARA NEGOCIACIÓN 558,523 417,050 DERIVADOS DE COBERTURA 60,895 134,897 CUENTAS POR PAGAR 8,046,454 12,011,255 PROVISIONES 539,120 563,812 Provisión para Créditos Contingentes 330,673 436,469 Provisión para litigio y demandas 9,974 11,119 Otros 198,473 116,224 IMPUESTOS CORRIENTES 204,095 103,982 IMPUESTO A LA RENTA DIFERIDO 0 0 OTROS PASIVOS 328,897 352,036 TOTAL DEL PASIVO 116,808,194 114,040,390 PATRIMONIO Capital social 8,770,365 7,933,342 Reservas 4,184,309 3,885,494 Resultados Acumulados 650,172 292,555 Resultado Neto del Ejercicio 3,341,940 2,988,090 Ajustes al Patrimonio 10,617 78,128 TOTAL DEL PATRIMONIO 16,957,403 15,177,609 TOTAL DEL PASIVO Y PATRIMONIO 133,765,597 129,217,999 Nota. Adaptado de “Información Financiera”, por SMV, 2019 (https://www.smv.gob.pe/Frm_DetalleInfoFinanciera.aspx?data=C93274C06FD6C5F50A892E12548C169031ABE301BA5 E7DDFC2F30641C369EE2BE860DF42D52A7BAE121CF3BDD4608D6FF94BCFA8DD8F563848D608319DB059CEF77 6D2D500AAA49DDED60EA92B328896BB404619E6EFAC40ACB92AD3B50C82938C09669051A73CFAF3944DAD0A 809554F91E38A14772067512B91C1032225B3EF724) 169 Tabla 4I Estado de Resultados del Banco de Crédito del Perú, 2018 2018 2017 INGRESOS POR INTERESES Disponible 137,237 66,971 Fondos interbancarios 2,336 2,004 Inversiones a valor razonable con cambios en resultados 58,454 101,592 Inversiones disponibles para la venta 361,555 371,118 Inversiones a vencimiento 185,451 214,727 Cartera de créditos directos 7,107,724 6,761,761 Cuentas por cobrar 5,525 180 Otros Ingresos Financieros 5,740 6,365 TOTAL INGRESOS POR INTERESES 7,864,022 7,524,718 GASTOS POR INTERESES Obligaciones con el público -668,765 -616,858 Fondos interbancarios -10,581 -13,127 Depósitos de empresas del sistema financiero y organismos financieros internacionales -6,021 -2,863 Adeudos y obligaciones financieras -1,428,815 -1,486,480 Adeudos y obligaciones del sistema financiero del país -185,575 -362,858 Adeudos y Obligaciones con Instituciones Finan. del Exter. y Organ. Financ. Internac. -244,441 -238,712 Otros Adeudos y Obligaciones del País y del Exterior -136,009 -116,771 Comisiones y otros cargos por adeudos y obligaciones financieras -5,668 -13,792 Valores, Títulos y Obligaciones en Circulación -857,122 -754,347 Intereses de cuentas por pagar -442 -80 Otros Gastos Financieros -2,615 -2,679 TOTAL GASTOS POR INTERESES -2,117,239 -2,122,087 MARGEN FINANCIERO BRUTO 5,746,783 5,402,631 (-) Provisiones para créditos directos -1,193,764 -1,227,034 MARGEN FINANCIERO NETO 4,553,019 4,175,597 INGRESOS POR SERVICIOS FINANCIEROS 2,557,094 2,418,127 Ingresos por créditos indirectos 241,202 225,416 Ingresos por Fideicomisos y Comisiones de Confianza 8,867 7,657 Ingresos Diversos 2,307,025 2,185,054 GASTOS POR SERVICIOS FINANCIEROS -307,545 -270,583 Gastos por Fideicomisos y Comisiones de Confianza -7,524 -6,528 Prima al fondo de seguro de deposito -130,342 -119,735 Gastos Diversos -169,679 -144,320 MARGEN FINANCIERO NETO DE INGRESOS Y GASTOS POR SERVICIOS FINANCIEROS 6,802,568 6,323,141 RESULTADO POR OPERACIONES FINANCIERAS (ROF) 1,140,926 1,201,978 Inversiones a valor razonable con cambios en resultados -29,153 42,454 Inversiones disponibles para la venta 39,577 13,275 Derivados de negociación -3,656 104,915 Ganancias (pérdidas) en participaciones 442,456 356,060 Utilidad- pérdida en diferencia de cambio 715,514 633,597 Otros -23,812 51,677 MARGEN OPERACIONAL 7,943,494 7,525,119 170 Tabla 4I Estado de Resultados del Banco de Crédito del Perú, 2018 2018 2017 GASTOS DE ADMINISTRACION Gastos de Personal y Directorio -1,763,793 -1,638,582 Gastos por Servicios Recibidos de Terceros -1,456,450 -1,380,901 Impuestos y Contribuciones -166,868 -151,750 DEPRECIACIONES Y AMORTIZACIONES -295,097 -281,484 MARGEN OPERACIONAL NETO 4,261,286 4,072,402 VALUACIÓN DE ACTIVOS Y PROVISIONES Provisiones para créditos indirectos 115,497 -60,445 Provisiones para Incobrabilidad de Cuentas por Cobrar 8,895 12,723 Provisión para bienes realizable, recibidos en pago, recuperados y adjudicados y otros -16,775 -1,071 Deterioro de inversiones 189 -5,772 Otras provisiones -101,733 -18,394 RESULTADO DE OPERACIÓN 4,267,359 3,999,443 OTROS INGRESOS Y GASTOS 212,625 -16,187 RESULTADO DEL EJERCICIO ANTES DE IMPUESTO A LA RENTA 4,479,984 3,983,256 IMPUESTO A LA RENTA -1,138,044 -995,166 RESULTADO NETO DEL EJERCICIO 3,341,940 2,988,090 Utilidad (pérdida) básica por acción 0.381 0.341 Utilidad (pérdida) diluida por acción 0.381 0.341 Nota. Adaptado de “Información Financiera”, por SMV, 2019 (https://www.smv.gob.pe/Frm_DetalleInfoFinanciera.aspx?data=C93274C06FD6C5F50A892E12548C169031ABE301BA5 E7DDFC2F30641C369EE2BE860DF42D52A7BAE121CF3BDD4608D6FF94BCFA8DD8F563848D608319DB059CEF77 6D2D500AAA49DDED60EA92B328896BB404619E6EFAC40ACB92AD3B50C82938C09669051A73CFAF3944DAD0A 809554F91E38A14772067512B91C1032225B3EF724) 171 Apéndice J: Información detallada BBVA Historia. El Banco Continental abrió su primer local en el año 1951 ubicado en el Centro de Lima. En el año 1967 Banco Continental incorporó en su operativa procesadores IBM como propuesta de innovación. En 1969 inició la construcción de su nueva sede en San Isidro y en 1982 fue el primer banco en el Perú en tener dentro de sus canales de atención un cajero automático de nombre “Ramon”. En 1995 el Banco Bilbao de Vizcaya y el Grupo Peruano Brescia decidieron adquirir el banco, renombrándolo como BBV Banco Continental y luego se agregó la “A” de Argentina para llamarse BBVA Banco Continental. En el 2019 con el fin de enfatizar su marca a nivel mundial se nombra al banco como BBVA (BBVA, 2019) Productos. BBVA tiene como principales líneas de actividad la captación de dinero y el otorgamiento de créditos (BBVA, 2018). Gestión de riesgo operacional. El Banco BBVA ha implementado un modelo de riesgo operacional para toda la empresa. Está compuesto por metodologías y procedimientos de identificación, evaluación, y seguimiento. Asimismo, se sustenta en herramientas de desempeño cualitativo y cuantitativo. El modelo de riesgo operacional se desarrolla de forma por especialistas de control, unidad metodológica, y el reporte a los Comités de Riesgo Operacional. La herramienta cualitativa que emplea el BBVA es el Support Tool for Operational Risk Management (STORM), que permite la identificación y cuantificación de los riesgos operacionales relacionados a procesos, así como evalúa periódicamente los controles de riesgos críticos (BBVA, 2018). La herramienta cuantitativa es el Sistema Integrado de Riesgo Operacional (SIRO), que es una base de datos que registra los eventos de pérdida por riesgo operacional para el banco y cuyo rol es fundamental para la gestión de riesgos. Asimismo, el BBVA tiene la autorización para calcular el requerimiento de patrimonio efectivo por riesgo operacional, que 172 se emplea para optimizar el requerimiento que exige la regulación. Las iniciativas que se pueden resaltar del 2018 son el fortalecimiento del esquema de control interno del BBVA y el procedimiento de aseguramiento de la calidad (BBVA, 2018). Los principales indicadores del BBVA son: Tabla 1J Requerimiento de Patrimonio Efectivo por Riesgo Operacional (Miles de S/) 2018 2017 Requerimiento de Patrimonio 451,660 443,935 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019D (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) Tabla 2J Indicadores Financieros de Rentabilidad 2018 2017 ROA 1.97 1.83 ROE 18.98 19.52 Nota. Adaptado de “Información Estadística de Banca Múltiple", por SBS, 2019d (http://www.sbs.gob.pe/app/stats_net/stats/EstadisticaBoletinEstadistico.aspx?p=1#) 173 Tabla 3J Estado de Situación Financiera BBVA 2018 2017 ACTIVO DISPONIBLE 12,917,649 15,310,317 Caja 2,573,620 2,446,498 Banco Central de Reserva del Perú 5,851,447 6,357,252 Bancos y otras empresas del sistema financiero del país 499,080 117,186 Bancos y otras instituciones financieras del exterior 2,682,391 1,993,030 Canje 102,545 102,624 Otras disponibilidades 1,208,566 4,293,727 INVERSIONES A VALOR RAZONABLE CON CAMBIOS EN RESULTADOS 2,962,321 4,084,127 Instrumento de Deuda 2,962,321 4,084,127 INVERSIONES DISPONIBLES PARA LA VENTA 3,530,122 3,461,434 Instrumentos representativos de Capital 29,419 32,204 Instrumentos representativos de Deuda 3,500,703 3,429,230 CARTERA DE CREDITOS 51,866,461 49,892,071 Cartera de Créditos Vigentes 51,843,457 49,790,281 Cartera de Créditos Reestructurados 0 1,556 Cartera de Créditos Refinanciados 1,060,716 1,077,606 Cartera de Créditos Vencidos 229,208 206,592 Cartera de Créditos en Cobranza Judicial 1,334,828 1,157,129 (-) Provisiones para Créditos -2,601,748 -2,341,093 DERIVADOS PARA NEGOCIACIÓN 457,876 499,288 DERIVADOS DE COBERTURA 1,439 1,191 CUENTAS POR COBRAR 47,608 67,182 Cuentas por Cobrar por Venta de Bienes y Servicios y Fideicomiso 20,699 15,952 Otras Cuentas por Cobrar (neto) 26,909 51,230 BIENES REALIZABLES RECIBIDOS EN PAGO, ADJUDICADOS 129,226 165,314 Bienes Realizables 39,359 1,023 Bienes Recibidos en Pago y Adjudicados 89,867 164,291 PARTICIPACIONES 361,477 337,742 Subsidiarias 347,719 325,516 Asociadas y participaciones en negocios conjuntos 13,758 12,226 INMUEBLES, MOBILIARIO Y EQUIPO (NETO) 939,862 922,997 ACTIVO INTANGIBLE DISTINTO DE LA PLUSVALIA 289,085 229,741 IMPUESTOS CORRIENTES 40,031 302,524 IMPUESTO A LA RENTA DIFERIDO 516,566 368,003 OTROS ACTIVOS 1,073,694 949,036 TOTAL DEL ACTIVO 75,133,417 76,590,967 174 Tabla 3J Estado de Situación Financiera BBVA 2017 2018 PASIVO OBLIGACIONES CON EL PUBLICO 48,946,480 47,401,703 Obligaciones a la Vista 18,134,255 16,122,804 Obligaciones por Cuentas de Ahorro 16,189,450 14,625,612 Obligaciones por Cuentas a Plazo 14,548,264 16,574,653 Otras Obligaciones 74,511 78,634 FONDOS INTERBANCARIOS 817,266 911,486 DEPÓSITOS DE EMPRESAS DEL SISTEMA FINANCIERO Y ORGANISMOS FINANCIEROS INTERNACIONALES 2,504,286 1,970,505 Depósitos a la Vista 1,262,037 404,797 Depósitos de Ahorro 259,187 75,789 Depósitos a Plazo 983,062 1,489,919 ADEUDOS Y OBLIGACIONES FINANCIERAS 10,312,226 11,065,546 Adeudos y Obligaciones con Empresas e instituciones financieras del país 470,207 512,817 Adeudos y Obligaciones con Empresas del Exterior y Organismos Financieros Internacionales 4,246,555 3,740,787 Valores y Títulos 5,595,464 6,811,942 DERIVADOS PARA NEGOCIACIÓN 348,759 383,174 DERIVADOS DE COBERTURA 197,492 142,782 CUENTAS POR PAGAR 1,839,635 5,641,407 PROVISIONES 697,643 670,955 Provisión para Créditos Contingentes 214,835 232,783 Provisión para litigio y demandas 14,354 17,051 Otros 468,454 421,121 IMPUESTO A LA RENTA DIFERIDO 154,173 0 OTROS PASIVOS 956,794 743,731 TOTAL DEL PASIVO 66,774,754 68,931,289 PATRIMONIO Capital social 5,368,602 4,883,119 Reservas 1,522,035 1,383,079 Resultado Neto del Ejercicio 1,476,022 1,387,093 Ajustes al Patrimonio -7,996 6,387 TOTAL DEL PATRIMONIO 8,358,663 7,659,678 TOTAL DEL PASIVO Y PATRIMONIO 75,133,417 76,590,967 Nota: Adaptado de "Información Financiera " por SMV, 2019. Recuperado de https://www.smv.gob.pe/Frm_InformacionFinanciera?data=A70181B60967D74090DCD93C4920AA1D769614EC12 175 Tabla 4J Estado de Resultados BBVA 2018 2017 INGRESOS POR INTERESES Disponible 64,092 43,706 Fondos interbancarios 3,133 6,877 Inversiones a valor razonable con cambios en resultados 121,576 70,129 Inversiones disponibles para la venta 101,057 158,702 Inversiones a vencimiento 0 23,438 Cartera de créditos directos 4,144,871 4,070,174 Resultado por operaciones de cobertura 0 2,818 Otros Ingresos Financieros 4,058 4,131 TOTAL INGRESOS POR INTERESES 4,438,787 4,379,975 GASTOS POR INTERESES Obligaciones con el público -560,889 -638,547 Fondos interbancarios -13,004 -4,657 Depósitos de empresas del sistema financ. y organismos financ.internac. -73,210 -63,517 Adeudos y obligaciones financieras -514,131 -518,871 Adeudos y obligaciones del sistema financiero del país -30,442 -33,202 Adeudos y Obligaciones con Instit. Finan. del Exter. y Organ. Financ. Internac. -176,366 -161,336 Comisiones y otros cargos por adeudos y obligaciones financ. -873 -1,321 Valores, Títulos y Obligaciones en Circulación -306,450 -323,012 Intereses de cuentas por pagar -133,149 -283,039 Resultado por operaciones de cobertura -19,084 0 Otros Gastos Financieros -6,147 -1,237 TOTAL GASTOS POR INTERESES -1,319,614 -1,509,868 MARGEN FINANCIERO BRUTO 3,119,173 2,870,107 (-) Provisiones para créditos directos -733,584 -539,184 MARGEN FINANCIERO NETO 2,385,589 2,330,923 INGRESOS POR SERVICIOS FINANCIEROS 1,125,120 1,067,941 Ingresos por créditos indirectos 203,553 205,086 Ingresos por Fideicomisos y Comisiones de Confianza 1,098 1,116 Ingresos Diversos 920,469 861,739 GASTOS POR SERVICIOS FINANCIEROS -343,544 -303,372 Gastos por créditos indirectos -9 -8 Prima al fondo de seguro de deposito -68,026 -62,532 Gastos Diversos -275,509 -240,832 MARGEN FINANCIERO NETO DE INGRESOS Y GASTOS 3,167,165 3,095,492 RESULTADO POR OPERACIONES FINANCIERAS (ROF) 612,749 587,264 Inversiones a valor razonable con cambios en resultados 7,332 28,339 Inversiones disponibles para la venta 4,794 17,065 Derivados de negociación 27,207 92,094 Ganancias (pérdidas) en participaciones 47,376 29,622 Utilidad- pérdida en diferencia de cambio 492,606 388,923 176 Tabla 4J Estado de Resultados BBVA 2017 2018 Otros 33,434 31,221 MARGEN OPERACIONAL 3,779,914 3,682,756 GASTOS DE ADMINISTRACION Gastos de Personal y Directorio -754,884 -713,261 Gastos por Servicios Recibidos de Terceros -723,092 -712,450 Impuestos y Contribuciones -41,895 -42,786 DEPRECIACIONES Y AMORTIZACIONES -148,130 -122,561 MARGEN OPERACIONAL NETO 2,111,913 2,091,698 VALUACIÓN DE ACTIVOS Y PROVISIONES Provisiones para créditos indirectos 19,135 -92,881 Provisiones para Incobrabilidad de Cuentas por Cobrar -31,582 -17,804 Provisión para bienes realizable, recibidos en pago, recuperados y adjudicados y otros -26,118 -23,731 Provisión para activos no corrientes mantenidos para la venta 0 -423 Deterioro de activos intangibles -5,220 0 Deterioro de inversiones -9,781 0 Provisiones para litigios y demandas -3,023 -17,050 Otras provisiones -11,500 -3,452 RESULTADO DE OPERACIÓN 2,043,824 1,936,357 OTROS INGRESOS Y GASTOS -17,642 -53,458 RESULTADO DEL EJERCICIO ANTES DE IMPUESTO A LA RENTA 2,026,182 1,882,899 IMPUESTO A LA RENTA -550,160 -495,806 RESULTADO NETO DEL EJERCICIO 1,476,022 1,387,093 Utilidad (pérdida) básica por acción 0.275 0.258 Utilidad (pérdida) diluida por acción 0.275 0.258 Nota: Adaptado de "Información Financiera " por SMV, 2019. Recuperado de https://www.smv.gob.pe/Frm_InformacionFinanciera?data=A70181B60967D74090DCD93C4920AA1D769614EC12