RIESGOS DE

SEGURIDAD DE
INFORMACIÓN DE LA
EMPRESA BCP PERÚ
Trabajo de Investigación de Pro-Título para
el Curso de Gestión del Riesgo de
Seguridad de la Información

Pág. 0
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Empresa BCP - Banco de Crédito del Perú

MISIÓN

Promover el éxito de nuestros clientes con soluciones financieras adecuadas para

sus necesidades, facilitar el desarrollo de nuestros colaboradores, generar valor

para nuestros accionistas y apoyar el desarrollo sostenido del país.

VISIÓN

Ser el Banco líder en todos los segmentos y productos que ofrecen.

VALORES

● El cliente: nos debemos a nuestros clientes

● La ética: somos una institución con integridad, con gente honesta y

responsables.

● Nuestra gente: contamos con los mejores profesionales, incentivamos su

desarrollo y potencial emprendedor.

● La innovación: innovación continuamente para responder a los

requerimientos del mercado.

Pág. 1
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

PROMESA

Experiencia bancaria simple y eficiente.

NUESTROS PRINCIPIOS

● Dedicación

● Accesibilidad

● Flexibilidad

DESCRIPCIÓN GENERAL DE LA EMPRESA

El BCP es una sociedad anónima abierta, constituida con aportes privados, y

desde 1995, forma parte del Grupo Credicorp, el holding financiero más

importante del Perú.El BCP provee servicios especialmente diseñados para

clientes corporativos a través de sus divisiones de Banca Corporativa y Banca

Empresa, mientras que su división de Banca Minorista se encarga de las pequeñas

empresas y clientes individuales. A su vez, el BCP cuenta con una serie de

empresas subsidiarias que le permiten ofrecer productos específicos:

● Credibolsa SAB: sociedad agente de bolsa que opera en la Bolsa de Valores

de Lima, y presta asesoramiento en operaciones bursátiles.

● Credifondo: administradora de fondos mutuos.

● Creditítulos Sociedad Titulizadora S.A.: compra activos y los convierte en

productos financieros negociables (titulización).

Pág. 2
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

● Inmobiliaria BCP S.A.

● Inversiones BCP Ltda.

● Banco de Crédito de Bolivia y sus subsidiarias.

RUC

20100047218

UBICACIÓN

Sede Central Calle Centenario 156 La Molina, Lima

GIRO DE LA EMPRESA

Captar y colocar recursos financieros y efectuar todo tipo de servicios bancarios y

operaciones que corresponden a los bancos múltiples.

CLASIFICACIÓN CIIU

Grupo 6519 que incluye la actividad bancaria comercial y de ahorros

Pág. 3
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

HISTORIA DE LA EMPRESA

Nuestra institución, llamada durante sus primeros 52 años Banco Italiano, inició

sus actividades el 9 de abril de 1889, adoptando una política crediticia inspirada

en los principios que habrían de guiar su comportamiento institucional en el

futuro. El 01 de febrero de 1942, se acordó sustituir la antigua denominación

social, por la de BCP. Así, el Banco Italiano, el primero en el país, cerró su eficiente

labor después de haber obtenido los más altos resultados de nuestra institución.

Con el propósito de conseguir un mayor peso internacional, instalamos

sucursales en Nassau y en Nueva York, hecho que nos convirtió en el único Banco

peruano presente en dos de las plazas financieras más importantes del mundo.

En los últimos años de existencia el Banco ha tenido que cambiar sus estrategias

para mantenerse como líder del mercado. La cartera de clientes, usualmente

compuestos por personas con ingresos altos, cambió para adaptarse a la nueva

realidad del sector bancario. Así el BCP comenzó a incursionar en segmentos

nunca antes atendidos, pero con mucho potencial de crecimiento.

Pág. 4
ORGANIGRAMA

Pág. 5
MATRIZ FODA

En base a los factores internos (Fortalezas "F" y Debilidades "D") y externos

(Oportunidades "O" y Amenazas "A") se generó la siguiente matriz FODA:

Pág. 6
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

CUADRO DE ASIGNACIÓN DE PERSONAL

CADENA DE VALOR

Para el caso de estudio se establece la siguiente cadena de valor:

Pág. 7
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Actividades De Apoyo

• Infraestructura: forma parte importante y fundamental del

funcionamiento del banco, las actividades primordiales prevalecen en

la planeación a largo plazo, tomando como base principal de todo el

banco, el planeamiento de lo que quiere ser la empresa y cómo puede

llegar a hacerlo utilizando estrategias de crecimiento, eficiencia y

gestión de riesgo para llegar al éxito de la organización.

• Dirección de recursos humanos: es el pilar principal de la cadena

de valor del Banco de Crédito, ya que el banco busca contar con

personal altamente capacitado y motivado.

• El área de investigación y desarrollo tecnológico: también es

importante para el Banco de Crédito porque le permite reestructurar y

mejorar los sistemas que se necesitan día a día en el banco y también

permite reducir costos que sean innecesarios o sistemas fuera de

actualización, permite agilizar las operaciones y acortar procesos de

gestión todo para servir y darle la satisfacción al cliente.

• La administración centralizada se encarga de brindar al BCP servicios

especializados a través de terceros que lo ven directamente, tales como

edificios (Administración de Inmuebles), Archivo central, Helpdesk,

etc.

Pág. 8
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Actividades Primarias

• Logística Interna. se apoya en los factores de soporte para

• Operaciones. EL BCP cuenta con varias áreas y divisiones para

brindar servicios de tercerización operativa y administrativa, aplicando

conceptos integrales de gestión y mejora continua, para asegurar una

operación eficiente en tiempo, costo y calidad de servicio.

• Logística Externa. El BCP contrata los servicios de la empresa Olva

Courier que brinda servicios de mensajería por zonas, mensajes

corporativos, asistencia de servicios a bancos, que entregan

promociones, publicidad, estado de cuentas a todos los clientes.

• Marketing. El BCP para poder informar o comunicar las promociones

a sus clientes lo realizan a través de publicidades muy creativas y

llamativas, tiene el servicio de la agencia CIRCUS de publicidad y

marketing como la campaña de 7 veces tu sueldo o el cuy mágico.

• Servicios. Los servicios que brinda el BCP son en diversos canales de

atención, como Banca Por teléfono, Banca por Internet, Agentes BCP,

Oficinas, y Cajeros Automáticos.

Pág. 9
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Las 5 fuerzas de Porter

Pág. 10
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

MAPA DE PROCESOS

Clasificación de los procesos

Pág. 11
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN

La Gerencia Central de Riesgos se encarga de coordinar la implementación de un

marco de gestión para los distintos riesgos a los que está expuesto el Banco, en

línea con las mejores prácticas de la industria y dentro de los niveles de tolerancia

aprobados por el Directorio.

Sus principales funciones son:

● Implementar políticas, procedimientos, metodologías y acciones con el fin

de identificar, medir, monitorear, mitigar, informar y controlar los

distintos tipos de riesgos a los que se encuentra expuesto el Banco.

● Asegurar que los riesgos asumidos por el Banco estén enmarcados dentro

de los niveles de tolerancia aprobados por el Directorio.

● Difundir en toda la Organización la importancia de la adecuada

administración de riesgos.

● Comunicar, oportunamente, a las distintas unidades del Banco la

información necesaria para entender, identificar, administrar y

monitorear los diferentes riesgos a los que están expuestas, y así minimizar

el impacto de los mismos en el logro de sus planes y objetivos.

● Brindar a las distintas unidades de la Gerencia Central de Riesgos las

pautas necesarias a fin de optimizar los resultados de su gestión, alineando

los proyectos de cada una de ellas a un plan estratégico integral.

Pág. 12
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

● Contribuir activamente en el diseño e implementación de las iniciativas

estratégicas de las demás empresas del Grupo Credicorp, a fin de generar

sinergias y consolidar a nivel corporativo la exposición a los distintos

riesgos.

Riesgo Crediticio

El Banco y sus subsidiarias toman posiciones afectas al riesgo crediticio, que es el

riesgo que un cliente cause una pérdida financiera al no cumplir con una

obligación. El riesgo crediticio es el riesgo más importante para las actividades

del Banco; por lo tanto, la Gerencia maneja cuidadosamente su exposición al

riesgo crediticio.

Las exposiciones crediticias surgen principalmente en las actividades de

financiamiento que se concretan en créditos y actividades de inversión que

aportan títulos de deuda y otros papeles a la cartera de activos del Banco.

También existe un riesgo crediticio en instrumentos financieros fuera del estado

consolidado de situación financiera, como créditos contingentes (créditos

indirectos), que exponen al Banco a riesgos similares a los créditos (créditos

directos), éstos son mitigados por los mismos procesos y políticas de control.

Pág. 13
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Asimismo, el riesgo de crédito que surge de los instrumentos financieros

derivados está, en cualquier momento, limitado a aquellos con valores razonables

positivos.

El Banco estructuras los niveles de riesgo crediticio que asume estableciendo

límites en los montos de riesgo aceptado en relación con un deudor o grupos de

deudores, y a segmentos geográficos y de la industria. Los procesos y

herramientas utilizadas por el Banco de Crédito del Perú para la aprobación de

créditos, evalúan los riesgos asociados a la poca disposición o imposibilidad de

las contrapartes para cumplir sus obligaciones contractuales de manera

absolutamente independiente de las áreas de aprobación de créditos y negocios.

El flujo crediticio en las operaciones del BCP considera las siguientes etapas:

1. Inicio de las operaciones en el área comercial.

2. Adecuada evaluación del riesgo de crédito.

3. Aprobación de operaciones dentro de facultades asignadas a individuos y

comités específicos.

4. Seguimiento continuo de la calidad de cartera de créditos.

5. Intervención oportuna de Cuentas Especiales para minimizar la pérdida

por incumplimiento.

El proceso de aprobación del crédito involucra una profunda evaluación del

cliente, de su actividad, de la operación (monto, destino, plazo, rentabilidad) y de

las garantías asociadas.

Pág. 14
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

En términos específicos, las evaluaciones de riesgo crediticio dentro del BCP se

realizan de manera independiente en cada segmento de negocio por naturaleza y

tipo de deudor.

El análisis efectuado para los clientes de la Banca Corporativa y Empresarial

incluye información cualitativa y cuantitativa de la situación de mercado, de la

gerencia y de los accionistas, de las relaciones con el sistema financiero, del flujo

de caja, de la rentabilidad y del respaldo patrimonial. El sistema está basado en

la estimación de probabilidades de incumplimiento por cliente y cuenta con once

números de bandas de rating. A partir de la evaluación anterior, se establece una

calificación de riesgo global para así definir las condiciones con las que resulta

factible trabajar con esa empresa. Este proceso permite manejar de manera

puntual un adecuado balance entre el riesgo de crédito asumido y la rentabilidad

obtenida, procurando mantener una adecuada diversificación de la cartera de

créditos del Banco.

La evaluación del riesgo asumido en Banca Minorista comprende, entre otros

aspectos relevantes, evaluaciones individuales del patrimonio de los clientes, su

experiencia anterior con el sistema financiero y su situación laboral, para así

determinar la capacidad de endeudamiento de un cliente.

Asimismo, se utiliza una combinación de métodos paramétricos (scoring) para la

admisión y control de la evolución de los créditos, los cuales asignan una

determinada probabilidad de que una operación devengue en pérdidas para la

Pág. 15
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

institución. Esta metodología es construida usando información histórica de las

operaciones del BCP y es sometida a periódicas revisiones y actualizaciones.

Tal es así que recientemente, el Banco ha modificado los modelos de Scoring de

la Banca Minorista, así como las herramientas de pricing de sus productos, esto

dado el incremento de la morosidad.

A continuación, se indican otras medidas de control específicas:

I. Garantías

El Banco utiliza una variedad de políticas y prácticas para mitigar el riesgo

crediticio. La más tradicional de éstas es solicitar garantías para los créditos, lo

que constituye una práctica común.

El Banco implementa políticas sobre la aceptabilidad de las clases específicas de

garantías o mitigación del riesgo crediticio. Los principales tipos de garantía para

los créditos son las siguientes:

● Para pactos de recompra y préstamos de valores, instrumentos de renta

fija, renta variable y efectivo.

● Para créditos y anticipos, las garantías incluyen, entre otras, hipotecas

sobre viviendas, gravámenes sobre activos comerciales como planta,

inventario y cuentas por cobrar; así como gravámenes sobre instrumentos

financieros tales como títulos sobre valores de deuda y acciones.

Pág. 16
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Asimismo, los créditos y financiamientos de largo plazo a entidades

corporativas generalmente son garantizados.

● Para otra parte, las líneas de crédito de consumo y créditos a

microempresas generalmente no son garantizadas. Con el fin de minimizar

las pérdidas de crédito, el Banco solicita garantías adicionales a la

contraparte tan pronto como surjan indicadores de deterioro.

II. Derivados

El Banco mantiene estrictos límites de control en posiciones abiertas netas de

derivados (es decir, la diferencia entre los contratos de compra y venta), tanto en

importe como en plazo.

El importe sujeto al riesgo crediticio está limitado al valor razonable actual de los

instrumentos que son favorables (es decir, un activo en el que su valor razonable

es positivo), que en relación a los derivados es sólo una pequeña fracción del

contrato o valores nominales usados para expresar el volumen de los

instrumentos pendientes.

La exposición al riesgo crediticio es manejada como parte de los límites de crédito

totales con los clientes, junto con las exposiciones potenciales de los movimientos

de mercado. Generalmente, no se obtiene una garantía u otro título para

exposiciones de riesgo crediticio en estos instrumentos.

Pág. 17
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

III. Compromisos relacionados con créditos

El objetivo principal de estos instrumentos es asegurar que los fondos estén

disponibles para el cliente según sea necesario. Las garantías y cartas de crédito

tienen el mismo riesgo crediticio que los créditos. Las cartas de crédito

documentarias y comerciales –que son compromisos suscritos por el Banco en

representación de un cliente que autoriza a un tercero a girar letras en el Banco

hasta un monto estipulado en virtud de términos y condiciones específicos– son

garantizadas por los embarques de bienes subyacentes a los que están

relacionados y, por lo tanto, tienen menos riesgo que un préstamo directo. El

Banco no tiene ningún compromiso de extender el crédito.

Gestión de riesgo crediticio para créditos

El Banco clasifica la totalidad de sus créditos en cinco categorías de riesgo,

dependiendo del grado de riesgo de incumplimiento en el pago de cada deudor.

Las categorías que utiliza el Banco son: (i) normal - A, (ii) problemas potenciales

- B, (iii) deficiente - C, (iv) dudoso – D y (v) pérdida - E, y tienen las siguientes

características:

Normal (Categoría A):

Los deudores no minoristas están clasificados en esta categoría cuando:

presentan una situación financiera líquida, un bajo nivel de endeudamiento

Pág. 18
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

patrimonial, capacidad de generar utilidades y su generación de fondos les

permite cumplir con sus obligaciones y además cumplen puntualmente con el

pago de sus obligaciones. Para el caso de los deudores minoristas son clasificados

en esta categoría, cuando cumplen puntualmente con el pago de sus obligaciones

o registran un atraso de hasta 8 días. En el caso de los deudores con créditos

hipotecarios, se clasifican en esta categoría cuando cumplen con el cronograma

establecido o presentan un atraso de hasta 30 días.

Problemas potenciales (Categoría B):

Los deudores no minoristas están clasificados en esta categoría cuando,

presentan una buena situación financiera y de rentabilidad, con moderado

endeudamiento patrimonial y adecuado flujo de caja para el pago de las deudas

por capital e intereses, el flujo de caja podría debilitarse en los próximos doce

meses para afrontar posibles pagos. Para el caso de los deudores minoristas son

clasificados en esta categoría, cuando los estados financieros consolidados

presentan atraso en el pago de sus créditos entre 9 y 30 días y para el caso de los

deudores con créditos hipotecarios cuando muestran atraso en sus pagos entre 31

a 60 días.

Deficiente (Categoría C):

Los deudores no minoristas son clasificados en esta categoría, cuando presentan

débil situación financiera y su flujo de caja no le permite cumplir con el pago total

de capital e intereses, o presenta atrasos entre 60 y 120 días. Para el caso de los

deudores minoristas, son clasificados en la categoría Deficiente, cuando

Pág. 19
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

presentan atrasos en el pago de sus créditos entre 31 y 60 días y para el caso de

los deudores con créditos hipotecarios cuando presentan atrasos en el pago entre

61 y 120 días.

Dudoso (Categoría D):

Los deudores no minoristas son clasificados en esta categoría, cuando presentan

una crítica situación financiera que no le permite atender ni el capital ni intereses,

tienen elevado endeudamiento patrimonial, y se encuentra obligado a vender

activos de importancia, o presentan atrasos de pago entre 120 y 365 días; en esta

categoría la recuperabilidad del crédito es incierta. Para el caso de los deudores

minoristas son clasificados en categoría, cuando presentan atrasos en el pago de

sus créditos entre 61 y 120 días y para el caso de los deudores con créditos

Hipotecarios cuando presentan atrasos en el pago entre 121 y 365 días.

Pérdida (Categoría E):

Los deudores no minoristas son clasificados en esta categoría, cuando su

situación financiera no les permite atender los acuerdos de refinanciación, la

empresa no se encuentra operando está en liquidación y presenta atrasos

mayores a los 365 días. Para el caso de los deudores minoristas son clasificados

en esta categoría, cuando presentan atrasos en el pago de sus créditos por más de

120 días y para el caso de los deudores con créditos hipotecarios cuando

presentan atrasos en el pago por más de 365 días.

Pág. 20
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

ALCANCE Y LIMITES DEFINIR POLÍTICA DEL GESTIÓN DE

RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Código de Ética

● Satisfacción del Cliente: Ofrecer a nuestros clientes una experiencia de

servicio positiva a través de nuestros productos, servicios, procesos y

atención.

● Pasión por las Metas: Trabajar con compromiso y dedicación para

exceder nuestras metas y resultados, y lograr el desarrollo profesional en

el BCP.

● Eficiencia: Cuidar los recursos del BCP como si fueran los propios.

● Gestión al Riesgo: Asumir el riesgo como elemento fundamental en

nuestro negocio y tomar la responsabilidad de conocerlo, dimensionarlo y

gestionarlo.

● Transparencia: Actuar de manera abierta, honesta y transparente con

tus compañeros y clientes, y brindarles información confiable para

establecer con ellos relaciones duraderas.

● Disposición al Cambio: Tener una actitud positiva para promover y

adoptar los cambios y mejores prácticas.

● Disciplina: Ser ordenado y estructurado para aplicar consistentemente

los procesos y modelos de trabajo establecidos.

Pág. 21
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

DEFINIR ENFOQUE DE EVALUACIÓN DE RIESGOS

Inventario de Activos de Información

VALORACION DE ACTIVOS
Tipo Activo C I D Valor Impacto
Contratado 1 2 3 6
Subcontratado 1 1 2 4
PERSONAL

externos 1 1 1 3
Cajeros 1 3 3 7
instalaciones Ventanillas 2 2 3 7
Oficina 0 1 2 3
Sistema de gestion 1 2 3 6
Software Aplicaciones Web 2 2 2 6
Aplicaicones mobiles 0 1 2 3
Puesto de trabajador 1 1 3 5
Hardware Servidores 3 3 3 9
Redes de comunicaciones 0 3 1 4
Tarjetas de credito 0 1 1 2
expdientes 3 2 2 7
Datos
Aceptaciones bancarias 1 2 2 5
Bienes Adjudicados 1 3 3 7
Generan Intereses 0 1 1 2
Fondos
no Generan intereses 0 2 2 4
Valores Negociables 0 2 2 4
Disponibilidad de venta 1 1 1 3
Inversiones
Prestamos 1 3 3 7
convenios 1 1 1 3

ELABORAR 07 FICHAS DE ACTIVOS DE LA INFORMACIÓN COMO

MÍNIMO PARA CADA UNO DE LOS TIPOS DE ACTIVOS CONSIDERADOS.

AMENAZAS
A1 Fuego
A2 Fallo del Suministro Eléctrico
A3 Errores de los Usuarios
Fallos de mantenimiento de
A4 hardware
A5 Fallos de mantenimiento de software
A6 Registros no Autorizados
A7 Robo

Pág. 22
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

A8 Indisponibilidad del personal

A9 Competencia
A10 Incremento mora

IDENTIFICACIÓN DE AMENAZAS, BREVE DESCRIPCIÓN DE CADA UNA

DE ELLAS EN FUNCIÓN AL CUADRO DE EVALUACIÓN DE AMENAZAS

Nivel de Riesgo
Amenaza Baja Media Alta Muy Alta
Vulnerabilidad Baja Media Alta Baja Media Alta Baja Media Alta Baja Media Alta
0 8 8 7 8 9 7 8 9 7 9 9 7
1 9 9 7 8 9 7 9 9 7 9 9 7
2 8 8 7 8 8 7 8 8 7 8 8 7
3 6 6 7 6 6 7 6 7 7 7 7 7
4 3 6 7 6 6 7 6 7 7 6 7 7
5 6 6 6 6 6 8 6 8 8 6 8 8
6 3 3 5 3 6 5 3 6 3 3 5 5
7 5 5 5 5 5 5 5 5 5 5 5 5
8 5 5 5 5 5 5 5 5 5 5 5 5
9 8 8 8 8 8 8 8 8 8 8 8 8
10 4 4 2 4 4 2 4 4 2 4 2 2
Impacto
11 4 4 4 4 4 4 2 2 1 2 1 1
12 3 3 3 3 3 3 3 3 7 3 7 10
13 3 3 3 3 3 3 3 3 3 3 3 3
14 3 3 7 3 7 9 7 9 10 9 10 10
15 6 6 6 6 6 6 6 6 10 6 10 10
16 10 10 10 10 10 10 10 10 10 10 10 10
17 9 9 9 9 9 9 9 9 9 9 9 9
18 6 6 6 6 6 8 8 8 9 9 9 9
19 6 6 6 6 6 6 9 9 9 9 9 9
20 9 9 9 9 9 9 6 9 3 9 9 9
21 9 9 9 9 9 9 6 9 3 9 9 9

IDENTIFICACIÓN DE RIESGOS ANÁLISIS Y EVALUACIÓN DE RIESGOS:

COSTE-BENEFICIO TRATAMIENTO

El coste del Riesgo de Crédito: (Si se superan los limites)

tratamiento es muy En la gestión del riesgo crediticio del BCP se han

superior a los establecido límites para la aprobación que involucran al

beneficios Directorio (préstamos >US$145 mm), el Comité Ejecutivo

(préstamos entre US$30-US$145 mm) y el Comité de

Pág. 23
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Créditos y/o gerentes de riesgos en función a su nivel de

autonomía (préstamos <US$30 mm). El análisis crediticio

para banca mayorista se enfoca en un modelo interno (IRB

Básico) que rankea a clientes en 11 escalas (AAA-F) según

probabilidades de default. En cuanto a banca retail, se

vienen implementando modelos score de comportamiento

para pyme y score de aplicación para consumo.

A partir de feb.11 viene implementando una herramienta

de precios ajustados al riesgo en banca mayorista con el fin

de controlar los márgenes aplicados por operación y

mantener un retorno adecuado. Además, viene realizando

pruebas de estrés para determinar impactos sobre pérdidas

esperadas y el requerimiento de capital según la nueva

regulación. Asimismo, para fortalecer la gestión de riesgos

se desarrolló el proyecto „Kuelap‟.

Por sector económico, BCP muestra una diversificación

saludable con mayor exposición en manufactura (17.3%);

comercio (13.3%); inmobiliaria (7.6%); electricidad, gas y

agua (6.2%); y, minería (4.9%). El portafolio se encuentra

atomizado en más de 1,300 mil clientes, además mantiene

exposición por 11% del patrimonio efectivo en solo un

grupo económico (la exposición a los 20 principales

clientes representa un 112% del patrimonio efectivo).

Por segmentos de negocio su cartera se compone en un

55% Wholesale y 45% Retail; este último ha venido

Pág. 24
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

acrecentando su participación en el tiempo (30% en 2008).

El portafolio retail (segmentado internamente por tipo de

producto en negocios, consumo, hipotecarios y tarjetas de

crédito) exhibe participaciones relevantes en hipotecarios

(33%) y pequeña empresa (35%). En los créditos a la

microempresa, BCP mantiene el liderazgo gracias a la

adquisición de Edyficar y MiBanco con un market share de

36.1% (24.4% sin incluir a MiBanco).

Finalmente, debido a la mayor concentración en banca no

minorista, el portafolio muestra mayor grado de

dolarización que el sistema (49% vs. 45%), aunque, se ha

ido reduciendo conforme se ha incrementado la

participación minorista dentro del portafolio (78.7% de

dolarización a dic.05). Este riesgo es en parte controlado

por el BCP debido a que la mayor parte de las empresas

mantienen ingresos dolarizados.

Cabe mencionar la pronunciada desdolarización de la

cartera hipotecaria (36% vs 47% en dic.12) debido a las

restricciones impuestas por el BCRP y la SBS. Durante el

2013, el 93% de los nuevos desembolsos se dieron en

nuevos soles. En el 1S14, las hipotecas en dólares

retrocedieron -3%.

El coste del Riesgos de Mercado

tratamiento es La gestión de riesgo de mercado del Banco se centra en el

Pág. 25
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

adecuado a los Comité de Activos y Pasivos (ALCO); análisis de simulación

beneficios histórica VaR, pruebas de backtesting y stress-testing.

Además, ha desarrollado un aplicativo para calcular el

riesgo crediticio generado por las operaciones de swaps y

otros derivados con fines de cobertura de balance y/o por

cuenta de terceros. Finalmente, el Banco evalúa la

sensibilidad a cambios en las tasas de interés con un

análisis de brechas (GAP).

El coste del Liquidez:

tratamiento por Para administrar el riesgo de liquidez, el BCP utiliza la

terceros es mas Brecha de Plazos (GAP), a fin de determinar si los

beneficioso que el vencimientos de activos cubrirán el pago de obligaciones

tratamiento directo. de cada periodo y cualquier aceleración no prevista en el

vencimiento de las obligaciones. El BCP es uno de los más

líquidos de la industria con ratios en MN y MEX, a jun.14,

de 34 y 46%, respectivamente (Sistema: 30 y 53%).

A jun.14, los activos líquidos (caja) e inversiones

disponibles para la venta (portafolio de inversiones de

buena calidad crediticia, alta liquidez, y bajo riesgo de

mercado compuesto en un 72% por títulos del BCRP)

representaban 89% de los depósitos y otros fondos de corto

plazo con vencimiento de hasta 1 año, cubriendo alrededor

del 111% de depósitos del público con vencimiento de hasta

1 año.

Pág. 26
 CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN

Cabe notar que a jun.14, BCP cuenta con un RCL en MN y

MEX de 114 y 115%, respectivamente- cumpliendo la

norma al 100% (Exigencia Legal de 80%). Asimismo,

cuenta con un límite interno de 115% para ambas monedas.

El nivel de riesgo está Riesgos de Operación

muy alejado del nivel La Unidad de Administración de Riesgos de Operación

de tolerancia identifica, mide, monitorea y reporta los riesgos a la

Gerencia General. BCP aplica un software especializado, el

cual soporta las tareas de documentación y autoevaluación

de distintos procesos.

La gestión del riesgo crediticio y la administración de

riesgos de operación del conglomerado formado por el

Grupo Credicorp, son realizadas según la metodología

corporativa, a través de un monitoreo centralizado en la

División de Créditos y por el Área de Administración de

Riesgos de BCP, respectivamente. A partir de jul.09, la

nueva regulación asociada a Basilea II empezó a regir en el

Perú e incluye consideraciones de riesgo operacional en los

requerimientos de capital (1S14: S/. 522 millones según el

método estándar alternativo).

Pág. 27
 VALORES DE RIESGO
Fallos de Fallos de
Fallo del Indisponibili
Valor Errores de mantenimie mantenimie Registros no Competenci Incremento NIVEL
Fuego Suministro Robo dad del
Impacto los Usuarios nto de nto de Autorizados a mora RIESGO
Eléctrico personal
hardware software
Probabilidad 20% 10% 60% 40% 60% 40% 20% 80% 80% 40%
Contratado 6 1,2 0,6 0 0 0 0 0 0 0 0 1,80
Subcontratado 4 0,8 0 0 0 0 0 0 0 0 0 0,80
externos 3 0,6 0 0 0 0 0 0 0 0 0 0,60
Cajeros 7 1,4 0 0 0 0 0 0 0 0 0 1,40
Ventanillas 7 1,4 0 0 0 0 0 0 0 0 0 1,40
Oficina 3 0,6 0 0 0 0 0 0 0 0 0 0,60
Sistema de gestion 6 3,6 0 0 0 0 0 0 0 0 0 3,60
Aplicaciones Web 6 1,2 0 0 0 0 0 0 0 0 0 1,20
Aplicaicones mobiles 3 0,6 0 0 0 0 0 0 0 0 0 0,60

Pág. 28
Puesto de trabajador 5 1 0 0 0 0 0 0 0 0 0 1,00
Servidores 9 1,8 0 0 0 0 0 0 0 0 0 1,80
Redes de comunicaciones 4 0,8 0 0 0 0 0 0 0 0 0 0,80
Tarjetas de credito 2 0,4 0 0 0 0 0 0 0 0 0 0,40
expdientes 7 1,4 0 0 0 0 0 0 0 0 0 1,40
Aceptaciones bancarias 5 1 0 0 0 0 0 0 0 0 0 1,00
Bienes Adjudicados 7 1,4 0 0 0 0 0 0 0 0 0 1,40
Generan Intereses 2 0,4 0 0 0 0 0 0 0 0 0 0,40
no Generan intereses 4 0,8 0 0 0 0 0 0 0 0 0 0,80
Valores Negociables 4 0,8 0 0 0 0 0 0 0 0 0 0,80
Disponibilidad de venta 3 0,6 0 0 0 0 0 0 0 0 0 0,60
Prestamos 7 1,4 0 0 0 0 0 0 0 0 0 1,40
convenios 3 0,6 0 0 0 0 0 0 0 0 0 0,60
CURSO GESTIÓN DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN