MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO … · manual del sistema de administraciÓn de riesgo operativo (saro) versiÓn 7. diciembre 2014 direcciÓn: calle 94a
Post on 11-Mar-2020
3 Views
Preview:
Transcript
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO)
VERSIÓN 7.
Diciembre 2014
DIRECCIÓN: CALLE 94A # 11 A – 73 PISO 2 Bogotá – Colombia
PBX 621 58 11 - FAX 621 58 11 Ext. 116
CALLE 85 # 48-01 BL 31 OF 809 CENTRAL MAYORISTA DE ANTIOQUIA-ITAGÜÍ
PBX : 444 83 77 FAX 366 63 63
www.reycacorredores.com.co
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 2 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
TABLA DE CONTENIDO
1. INTRODUCCIÓN .................................................................................................................. 4
3. DEFINICIÓN DE TÉRMINOS ................................................................................................ 5
5. OBJETIVOS ....................................................................................................................... 10
6. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO ............................ 12
6.1. DEFINICIÓN ....................................................................................................................... 12
7. ALCANCE .......................................................................................................................... 15
8. CONTROL DEL MANUAL .................................................................................................. 16
9. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL
RIESGO OPERATIVO (SARO) ........................................................................................... 16
9.1. ORGANIGRAMA ............................................................................................................ 17 9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS ............................... 18
9.2.3. UNIDAD DE RIESGO OPERATIVO (URO)......................................................................... 19
9.2.4. COMITÉ INTERNO DE ADMINISTRACIÓN DE RIESGO ................................................... 20
9.2.5. ÓRGANOS DE CONTROL ................................................................................................. 21
9.2.8. RESPONSABILIDAD GENERAL DE TODAS LAS ÁREAS ............................................... 22
11. MACROPROCESOS .......................................................................................................... 24 12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO .......................................... 25
13.2. IDENTIFICACIÓN DEL RIESGO .................................................................................... 27 13.2.1. CRITERIO PARA IDENTIFICAR LOS RIESGOS ............................................................... 27
13.2.2. CRITERIOS PARA LA IDENTIFICACIÓN DE CONTROLES ............................................. 28
13.3. MEDICIÓN DEL RIESGO ............................................................................................... 30 13.3.1. VALORACIÓN DEL RIESGO INHERENTE ........................................................................ 31
13.3.2. VALORACIÓN DEL RIESGO RESIDUAL .......................................................................... 34
14. ETAPA DE CONTROL DEL RIESGO OPERATIVO ............................................................ 36 15. MATRIZ DE RIESGO OPERATIVO (MRO) ......................................................................... 37 16. REPORTE DE EVENTOS DE RIESGO OPERATIVO .......................................................... 38 17. NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO ................................................... 40 18. PROCEDIMIENTOS PARA EL MONITOREO DEL RIESGO ............................................... 40
18.1. ALERTAS TEMPRANAS .................................................................................................... 40
18.2. INDICADORES DE GESTIÓN ............................................................................................ 41
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 3 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
18.3. CONTROLES ..................................................................................................................... 43
18.4. NUEVOS PROCESOS O MODIFICACIÓN DE PROCESO EXISTENTE ............................ 43
18.5. PROCESO PARA ADMINISTRAR LA CONTINUIDAD DEL NEGOCIO ............................. 43
18.6. CULTURA DE RIESGOS .................................................................................................... 44
18.7. COORDINACIÓN DE COMUNICACIONES ........................................................................ 44
18.8. PLANES DE CONTINGENCIAS ......................................................................................... 45
18.9. REPORTES INTERNOS Y EXTERNOS ............................................................................. 46
19. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN . 46 20. AUDITORIA ........................................................................................................................ 48
21. PLATAFORMA TECNOLÓGICA ........................................................................................ 49 22. REVELACIÓN CONTABLE ................................................................................................ 49
23. CAPACITACIÓN Y DIVULGACIÓN .................................................................................... 50
ANEXO 1. MACROPROCESOS ...................................................................................................... 51
ANEXO 2. RIESGO OPERATIVO ................................................................................................... 69
ANEXO 3. MAPA DE PROCESOS ................................................................................................. 78
ANEXO 4. FORMATO REPORTE DE EVENTO DE RIESGO ......................................................... 79
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 4 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
1. INTRODUCCIÓN
El presente manual define los componentes de la estructura para el Sistema de Administración de
Riesgo Operativo (SARO) se realizó buscando dar cumplimiento con lo establecido por la
Superintendencia Financiera de Colombia (SFC) en su Circular Externa 048 de 2006 en
concordancia con las C. E. Nos. 037/07 y 041/07 y facilitar una guía en caso que se presenten
eventos de riesgo operativo en los procesos de RENTA Y CAMPO CORREDORES S.A. (REYCA
S.A.). Este Manual está compuesto de los diferentes elementos mediante los cuales se busca
obtener una efectiva administración del riesgo operativo de la compañía.
Para su elaboración se hizo un previo análisis del mapa de procesos de la firma, los procedimientos
de cada actividad, relacionándolos con el evento de riesgo que pudieran presentar, buscando
siempre la depreciación del riesgo inherente. Este sistema se ha establecido atendiendo la
estructura, tamaño y su calidad de comisionista de la Bolsa Mercantil de Colombia, con la finalidad
de identificar, medir, controlar y monitorear eficazmente el riesgo operativo.
Debido al creciente fortalecimiento de los mercados y a la mayor diversificación de productos y
servicios financieros, se hace necesario crear mecanismos de protección frente al Riesgo Operativo
y generar consciencia al interior de la Firma Comisionista, sobre la importancia que tiene la
prevención de toda clase de Riesgos, cuya materialización afecta considerablemente el desarrollo
de su objeto social.
El presente Manual del Sistema de Administración del Riesgo Operativo (SARO) de RENTA Y
CAMPO CORREDORES S.A. Establece el marco general de políticas tendientes a controlar el
riesgo inherente, generado en el desarrollo de las operaciones, en busca de minimizar la
probabilidad de ocurrencia y de tener una actuación rápida frente a cualquier riesgo residual,
logrando así un mayor control administrativo del riesgo operativo.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 5 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
2. GENERALIDADES
Teniendo en cuenta que el riesgo es una eventualidad inherente a toda actividad del ser humano y
que su manejo puede ser consciente o inconsciente, es un aspecto primordial y de mayor
importancia para todos sus funcionarios y colaboradores de RENTA Y CAMPO CORREDORES
S.A. Por lo tanto debe realizarse en forma sistemática, mediante la estructuración de políticas,
procesos, procedimientos y funciones, de obligatorio cumplimiento por parte de todos
Para una mejor comprensión y aplicación del presente Manual, el Capítulo XXIII de la Circular
Básica Jurídica, expedida por la Superintendencia Financiera de Colombia incluye las siguientes
definiciones y clases de Riesgos:
3. DEFINICIÓN DE TÉRMINOS
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 6 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Clientes: son las personas naturales o jurídicas con las que mantenemos relaciones comerciales
para la prestación del servicio propio de nuestra actividad empresarial. Las Fallas negligentes o
involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación
profesional frente a éstos.
Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.
Dueño del Proceso: Responsable de la administración de un proceso; es decir, de su planeación,
organización, dirección y control.
Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y
administración de los procesos.
Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo
determinado.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las
entidades.
Eventos de riesgo operativo: Se define evento como incidente o situación que ocurre en un lugar
particular durante un intervalo de tiempo determinado. Los eventos de pérdida son aquellos
incidentes que generan pérdidas por riesgo operativo a las entidades.
Facilitador: Persona que por su conocimiento de un proceso o de una labor, ayuda a orientar y
aclarar las dudas de un grupo de trabajo, en donde se desarrollan actividades relacionadas con
dicho proceso o labor.
Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de eventos en las
que se originan las pérdidas por riesgo operativo. Son factores de riesgo el recurso humano, los
procesos, la tecnología, la infraestructura y los acontecimientos externos.
Factores de Riesgo Internos: Los recursos humanos; los procesos; la tecnología; y la
infraestructura. Sobre estos factores, la organización tiene un control directo.
a. El recurso humano: está representado por el conjunto de personas vinculadas directa o
indirectamente que realizan la ejecución de los procesos de la entidad. Se entiende por
vinculación directa, aquella basada en un contrato de trabajo según los términos de la
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 7 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen
con la entidad una relación jurídica de prestación de servicios.
b. Los procesos: Es el conjunto de actividades para la transformación de elementos de
entrada en productos o servicios, para satisfacer una necesidad. En RENTA Y CAMPO
CORREDORES S.A. los procesos están divididas en:
a. Comercial
b. Financiero y contable
c. Recurso Humano
d. Infraestructura
e. Tecnológico
c. La Infraestructura: es el conjunto de elementos de apoyo para el funcionamiento de la
empresa. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y
transporte, dotaciones físicas.
d. La tecnología: es el conjunto de herramientas empleadas para soportar los procesos de
RENTA Y CAMPO CORREDORES S.A. Incluye: hardware, software y telecomunicaciones.
Factores de riesgo Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados
por terceros, que escapan en cuanto a su causa y origen al control de la RENTA Y CAMPO
CORREDORES.
Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.
Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de
activos de RENTA Y CAMPO CORREDORES S.A. o incumplir normas o leyes, en los que está
implicado, al menos, un empleado o administrador de la empresa.
Fraude Externo: Actos realizados por una persona externa a RENTA Y CAMPO CORREDORES
S.A., que buscan defraudar, apropiarse indebidamente de activos de las misma o incumplir normas
o leyes.
Grupo de Controles: Suma de controles y la clasificación a la que pertenecen.
Gobierno Corporativo: Códigos de Buen Gobierno Corporativo que deben ajustarse a la actividad
comercial de cada sociedad y arrojar como resultado un marco autorregulatorio que garantice a los
clientes, accionistas y otros aportantes de recursos, transparencia, objetividad y competitividad.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 8 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos,
estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo,
implementación y seguimiento del SARO.
Matrices de Riesgo: Bases de datos que contienen toda la información necesaria para identificar
una clase de riesgo en particular, incluyendo sus características, los controles y planes de
contingencia establecidos, y los responsables de los mismos. Estas Matrices también contienen
una calificación o rating para cada riesgo o evento de pérdida.
Outsourcing: Servicio relacionado con actividades administrativas y/o operativas de la que la
misma subcontrata con terceros en lugar de realizarlo ella misma.
Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los
gastos derivados de su atención.
Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta
RENTA Y CAMPO CORREDORES S.A.
Plan de continuidad del negocio: Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en
caso de interrupción.
Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones
específicas de un sistema o proceso.
Proceso: Conjunto interrelacionado de actividades para la transformación de elementos de entrada
en productos o servicios, para satisfacer una necesidad, tanto interna como externa.
Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos
internos de trabajo y en general, la legislación vigente sobre la materia.
Riesgo: es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las
amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o
sea, en la probabilidad de que ocurra un desastre.
Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los
controles.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 9 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada
a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones
contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que
afectan la formalización o ejecución de contratos o transacciones.
Riesgo Operativo (RO): la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional,
asociados a tales factores.
Riesgo reputacional: Es la posibilidad de pérdida en que incurre la Compañía por desprestigio,
mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de
negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. Es el riesgo que
queda, una vez se han instrumentado los controles pertinentes para su tratamiento. En todo caso
exige un permanente monitoreo para observar su evolución.
Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como
políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo
operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo
operativo.
Unidad de Riesgo Operativo (URO): Es el área o cargo, designada por el Representante Legal de
la Compañía, la cual deberá coordinar la puesta en marcha y seguimiento del SARO. Corresponde
a la Dirección de Riesgo.
4. PRINCIPIOS INSTITUCIONALES
MISIÓN
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 10 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Generar rentabilidad a nuestros clientes a través de estructuras financieras competitivas y
confiables y creando y utilizando canales de comercialización seguros y eficientes para
commodities, apoyando el crecimiento sostenible del campo y la industria colombiana.
VISIÓN
Ser la empresa líder de la BMC con sostenibilidad, eficiencia y solidez, fidelizando a nuestros
clientes con soluciones financieras rentables, integrales e innovadoras y con la comercialización de
productos para los sectores agropecuarios y agroindustrial.
VALORES
Honestidad
Responsabilidad
Respeto
Integridad
Confianza
Transparencia
Actitud positiva
Trabajo en equipo
5. OBJETIVOS
El Manual del Sistema de Administración de Riesgo Operativo tiene como objetivos:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 11 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Cumplir específicamente con lo establecido en el Capítulo XXIII de la Circular Externa 100 de
1995 de la Superintendencia Financiera, en lo que respecta al desarrollo e implementación del
Sistema de Administración del Riesgo Operativo (SARO).
Determinar las políticas de Administración del Riesgo Operativo.
Establecer al interior de la Compañía las responsabilidades que implican a cada una de las
áreas en el riesgo Operativo.
Identificar las fuentes más importantes de riesgos de la Organización.
Determinar un procedimiento para su medición, en términos de severidad y probabilidad de
ocurrencia.
Diseñar un procedimiento para su seguimiento y control.
5.1. OBJETIVO GENERAL
El principal objetivo del Sistema de Administración de Riesgos Operativos que se encuentra
implementado, es crear controles de protección frente al Riesgo Operativo, que permitan a la Firma
Comisionista prevenir o mitigar la probabilidad de ocurrencia de eventos de Riesgo, que puedan
afectar considerablemente el desarrollo de su objeto social. a través de las diferentes Etapas y
Elementos consagrados en el Capítulo 23 de la Circular Externa 041 de 2007, expedida por la
Superintendencia Financiera de Colombia, y demás normas concordantes y complementarias.
5.2. OBJETIVOS ESPECIFICOS
Establecer en cada uno de los procesos, metodologías de identificación, medición, control y
monitoreo de los riesgos operativos a los que se puede ver expuesta la Firma, efectuando la
valoración de los mismos, para así determinar el perfil de riego operativo que permita la
mitigación de éstos, en función de la eficacia en la aplicación de controles.
Divulgar y capacitar a los funcionarios en cada una de las etapas de implementación del
sistema y sus elementos.
Registrar los eventos de riesgo operativo que se presenten.
Identificar oportunidades de mejoramiento en cada uno de los procesos evaluados en
procura del fortalecimiento del Sistema.
Asegurar la actualización y mantenimiento del sistema, de acuerdo con las mejoras
metodológicas en materia de riesgos y/o nuevas normas que sobre el particular expida la
Superintendencia Financiera de Colombia.
Definir políticas y procedimientos que conlleven a prevenir la ocurrencia de eventos de
Riesgo Operativo a interior de la Firma.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 12 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Desarrollar la cultura de prevención de riesgo operativo, a través de la implementación del
SARO dentro de la cultura organizacional de la Firma Comisionista, concientizando a los
funcionarios y colaboradores acerca de la importancia de su activa participación en éste
Sistema.
6. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
6.1. DEFINICIÓN
Son los lineamientos generales que RENTA Y CAMPO CORREDORES S.A debe adoptar con
relación al Sistema de Administración del Riesgo Operativo. Estos lineamientos facilitarán la toma
de decisiones en Materia de Riesgos. POLÍTICAS
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 13 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
La constitución de las políticas de riesgo de RENTA Y CAMPO CORREDORES S.A. se llevó a cabo
mediante el estudio y análisis realizado de cada uno de los procedimientos que conforman los
procesos y los riesgos operativos implícitos en cada uno de ellos. Los aspectos tenidos en cuenta
fueron la estructura, tamaño, objeto social y actividades de apoyo, de manera que se puedan hacer
controles sobre las actividades logrando así atenuar el riesgo al que se expone la firma.
Con el fin de certificar el cumplimiento de los controles ejercidos durante el proceso de
implementación de SARO, es necesario determinar políticas generales que aseguren el desarrollo
de los procesos y procedimientos establecidos.
6.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON:
a. Lograr que todos los empleados estén completamente capacitados con amplio conocimiento en
la administración de riesgos operativos y de esta forma que sean parte activa de los procesos
en que cada uno es responsable.
b. La identificación y evaluación de riesgos y controles debe basarse en la auto-evaluación
practicada por los funcionarios de la Compañía. Y debe documentarse mediante bases de
datos de pérdidas, tanto ocurridas como potenciales.
c. Identificar y analizar las posibles fallas, debilidades e insuficiencias que se presentan en los
controles de los procesos de la organización y en especial aquellos que tengan un alto grado
de riesgo.
d. Implementar instrumentos para reducir o prevenir a la organización de posibles pérdidas, tales
como alertas tempranas, sistemas de control acordes con el nivel de riesgo de cada proceso,
planes de contingencia e indicadores de gestión.
e. Periódicamente serán desarrolladas auditorias, las cuales tendrán una programación anual, sin
embargo, luego de evaluar los indicadores de gestión y los procesos, es posible encontrar
deficiencias en los mismos; para identificarlas se planearán auditorias no programadas que
servirán para verificar mejor la existencia de controles que no se estén realizando.
f. Generar mejoramiento continuo a través de la reevaluación y confrontación de los indicadores
de gestión.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 14 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
g. Aplicar acciones correctivas para disminuir el riesgo residual. Estas acciones son valoradas
por el esquema de causa y efecto para la indagación de la medida más efectiva. Las acciones
correctivas tendrán un seguimiento, para dar su cierre. Si no se cierran las acciones
correctivas debido a que el procedimiento no presenta mejora, se debe iniciar una nueva
acción o medida para verificar el procedimiento.
h. Fortalecer periódicamente los procesos del Sistema de Administración de Riesgo Operativo.
Las políticas de implementación del Riesgo Operativo empezaran a regir según lo establecido por la
norma publicada por la Superintendencia Financiera de Colombia.
6.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y
OBJETIVOS RO
Buscando el cumplimiento de los objetivos y de las políticas que REYCA CORREDORES S.A. ha
establecido para el Riesgo Operativo de la Firma, se determinaron las siguientes medidas que la
Unidad de Riesgo Operativo (URO), realizará:
a. Fomentar la disponibilidad, actualizar y mantener el Sistema de Administración del Riesgo Operativo a través del análisis continuo de las situaciones internas y externas que puedan amenazar la estabilidad y crecimiento de la organización o que propicien cambios en las políticas definidas.
b. Prevenir y resolver posibles conflictos de interés en la recolección de información en las
diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo. c. Mantener un control permanente sobre los cambios en los perfiles de los riesgos operativos,
con el fin de realizar oportunamente los ajustes necesarios en los planes buscando un mejoramiento continuo.
d. Desarrollará e implementará planes de contingencia para asegurar la continuidad de los
procesos. e. Todas las personas vinculadas a RENTA Y CAMPO CORREDORES S.A tienen el deber de
conocer y cumplir las normas internas y externas relacionadas con la administración de los riesgos operativos y los estamentos directivos, de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.
f. Impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo,
creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 15 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
6.4. PROCEDIMIENTOS Y METODOLOGÍAS RO
De conformidad con la Circular externa 048 del 22 de diciembre de 2006, expedida por la SFC, el
Sistema de Administración de Riesgos Operativos .SARO, será el conjunto de elementos tales como
políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo
operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo
operativo.
a. Los procesos y procedimientos deben ser sometidos permanentemente al análisis de riesgos y
las propuestas de modificaciones deben incluir este componente, con base en la aplicación de
las metodologías adoptadas para el efecto.
b. Debe mantenerse un control permanente sobre los cambios en los perfiles de riesgo operativo
para realizar oportunamente los ajustes pertinentes en los planes de mejoramiento.
c. Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los
procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios
señalados por la Superintendencia Financiera de Colombia.
d. Todo Responsable de un proceso, debe comunicar mediante los formatos apropiados a la
Unidad de Riesgo Operativo, todos los eventos que afecten el Sistema de Administración de
Riesgo Operativo y documentarlo debidamente.
e. Los eventos de Riesgo que se materialicen, deben ser reportados y revelados, utilizando los
procedimientos e instrumentos que para tal fin señala la Superintendencia Financiera de
Colombia.
7. ALCANCE
Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con
lo establecido en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia
Financiera de Colombia referente al Sistema de Administración del Riesgo Operativo, en el presente
manual se precisan los elementos de la estructura de cubrimiento del Riesgo Operativo de REYCA
CORREDORES S.A. (REYCA S.A.)
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 16 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
El manual contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y
procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO de la
Compañía, de acuerdo con los requerimientos de la Superintendencia Financiera.
Es importante aclarar que es obligatorio para todos los empleados o funcionarios implicados en
estas actividades cumplir con lo previsto en este manual. De no ser así se aplicarán las respectivas
sanciones establecidas en el reglamento interno de trabajo, sin perjuicio de las sanciones legales
que sean procedentes.
8. CONTROL DEL MANUAL
La elaboración del manual lo debe ejecutar la Unidad de Riesgo Operativo (URO), es
responsabilidad del Representante Legal de REYCA CORREDORES S.A., diseñar y someter a
aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones.
Es responsabilidad de la Junta Directiva de la Firma, aprobar el Manual de Riesgo Operativo y sus
actualizaciones. La Unidad de Riesgo Operativo tiene la responsabilidad de presentar propuestas al
Representante Legal y/o a la Junta Directiva para la actualización, así como de distribuir el Manual
de Riesgo Operativo y conservar el original del documento.
Este Manual, se encuentra a disposición de la Superintendencia Financiera de Colombia o cualquier
entre de control o autoridad que lo requiera.
El uso de este manual es conocido y obligatorio para cada uno de los funcionarios de la compañía y
por lo tanto cada miembro se compromete al mantenimiento y actualización del Sistema de
Administración del Riesgo Operativo.
9. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL
RIESGO OPERATIVO (SARO)
La estructura organizacional de la empresa representa un eje fundamental dentro del control del riesgo operativo. A continuación se presenta el organigrama aprobado por la junta directiva. Este organigrama se ajusta a la estructura mínima demandada por los reglamentos vigentes de la Bolsa Mercantil de Colombia (BMC).
9.1. ORGANIGRAMA
Asamblea de Accionistas Revisor Fiscal
Junta Directiva
Defensor del Consumidor Financiero
Oficial de Cumplimiento
Auditoria Externa Contralor Normativo
Gerente General
Middle Office Front Office Back office
Coordinación de Riesgos
Dirección Administrativa
Dirección Financiera
Mercado de Compras Públicas
y Físicos
Financieros
Recursos Humanos
Contabilidad
Tesorería
Operaciones
9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A. (REYCA S.A.)
9.2.1. Junta Directiva
Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como
mínimo las siguientes funciones a cargo de la Junta Directiva:1
1. Establecer las políticas relativas al SARO.
2. Aprobar el Manual de Riesgo Operativo y sus actualizaciones.
3. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Compañía.
4. Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al
riesgo de la Compañía, fijado por la misma Junta Directiva.
5. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que
presente el Representante Legal.
6. Pronunciarse sobre la evaluación periódica del SARO que realicen la Revisoría Fiscal y la
Auditoría Interna.
7. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma
efectiva y eficiente, el SARO.
9.2.2. Representante Legal2
El Representante Legal tiene frente al SARO las siguientes funciones mínimas:
a. Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus
actualizaciones.
b. Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
c. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que
se llevan a cabo en la Compañía.
d. Designar el área o cargo que actuará como responsable de la implementación y seguimiento
del SARO: La Coordinación de Riesgo (Unidad de Riesgo Operativo – URO).
1 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.1. Circular Externa 041 de 2007 2 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.2. Circular Externa 041 de 2007
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 19 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
e. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio
cultural que la administración de este riesgo implica para la Compañía.
f. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al
riesgo, fijado por la Junta Directiva.
g. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.
h. Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo con
los términos establecidos en el presente Manual.
i. Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones
señaladas en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia
Financiera.
j. Velar porque se implementen los procedimientos para la adecuada administración del riesgo
operativo a que se vea expuesta la Compañía en desarrollo de su actividad.
k. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos
necesarios para su oportuna ejecución.
l. Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución
y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas
implementadas o por implementar y el área responsable.
m. Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de
acuerdo con lo previsto en el presente Manual.
n. Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad,
confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la
información allí contenida.
9.2.3. Unidad de Riesgo Operativo (URO)3 La Unidad de Riesgo Operativo es la encargada de coordinar el diseño e implementación del
Sistema de Administración de Riesgo Operativo en RENTA Y CAMPO CORREDORES S.A.,
contribuir con el logro de los imperativos estratégicos y fortalecer los sistemas de información
gerencial, la cultura de control interno y la administración del plan de contingencias.
Las actividades que debe llevar a cabo la Coordinación de Riesgo, como área responsable de la
Unidad de Riesgo Operativo, para administrar el riesgo operativo son las siguientes:
a. Definir los instrumentos, metodologías y procedimientos tendientes a que la RENTA Y CAMPO
CORREDORES S.A administre efectivamente su riesgo operativo.
b. Desarrollar e implementar el sistema de reportes internos y externos, del riesgo operativo.
3 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.3. Circular Externa 041 de 2007
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 20 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
c. Administrar el registro de eventos de riesgo operativo.
d. Coordinar la recolección de la información para alimentar el registro de riesgo operativo.
e. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de
riesgo identificados y medidos.
f. Establecer y monitorear el perfil de riesgo individual y consolidado de la RENTA Y CAMPO
CORREDORES S.A, e informarlo a la Junta Directiva.
g. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con
el SARO y proponer sus correspondientes actualizaciones y modificaciones.
h. Desarrollar los modelos de medición del riesgo operativo.
i. Desarrollar los programas de capacitación de la RENTA Y CAMPO CORREDORES S.A
relacionados con el SARO.
j. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito
de evaluar su efectividad.
k. Reportar permanentemente a la Junta Directiva la evolución del riesgo, los controles
implementados y el monitoreo que se realice sobre el mismo. Adicionalmente debe realizar un
reporte semestral consolidado de Riesgo Operativo en las diferentes áreas.
9.2.4. Comité Interno de Administración de Riesgo
Para el adecuado cumplimiento de la labor que le corresponde a la administración en la definición
de las políticas y del diseño de los procedimientos efectivos e idóneos para una adecuada
administración del riesgo, previstos en la normatividad emitida por la Superintendencia Financiera
de Colombia, se implementó al interior RENTA Y CAMPO CORREDORES S.A. el Comité de
Administración del Riesgo.
Dentro de sus funciones se encuentran las siguientes:
a. Definir los límites de exposición para posibles riesgos que puedan afectar a la compañía a
través de una matriz control.
b. Presentar a la Junta Directiva y a la Gerencia los negocios activos y pasivos, con base en la
matriz de control y un análisis de los documentos legales suministrado por el cliente.
c. Establecer y presentar a la Junta Directiva las políticas y estrategias para identificar, medir,
controlar y monitorear el riesgo de conformidad con los principios señalados en las normas
sobre la materia.
d. Verificar la gestión de nuestros clientes en la estructura de sus estados financieros e
información adicional para monitorear y controlar el grado de exposición al riesgo de la
compañía.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 21 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
e. Velar por que se cumplan en forma oportuna y eficiente las instrucciones impartidas por la
Superintendencia Financiera de Colombia respecto de la identificación, medición, control y
monitoreo de riesgos y sobre la adopción de políticas para su eficiente manejo.
f. Comprobar que dentro de los manuales y procedimientos internos se apliquen las normas
sobre el manejo de Riesgos, que están establecidas en la Circular 100 de 1995 capítulos XXI al
XXIII de la SFC.
g. Mantener una constante relación, comunicación e información con los organismos de control y
vigilancia, internos y externos, de manera específica con el Revisor Fiscal, Control interno,
BMC y la Superintendencia Financiera de Colombia, para facilitar el logro de resultados y la
adopción de las medidas que correspondan a cada uno de estos organismos dentro de la órbita
de sus atribuciones y responsabilidades.
9.2.5. Órganos de Control
Los responsables de evaluar el SARO como órganos de control son la Revisoría fiscal y la Auditoría
Interna, con la finalidad de identificar las fallas o posibles debilidades y de esta forma informar a los
entes correspondientes.
Los órganos de control son completamente independientes de la Administración de Riesgo
Operativo, por lo tanto no son responsables por la gestión del mismo. Su actividad principal es la de
evaluación del sistema, de esta forma es deber de la Administración de la Compañía atender los
requerimientos, suministrándoles información y los medios necesarios para el desarrollo y la
ejecución de su labor.
La Compañía podrá contratar en gestión de riesgos, auditorías externas, con el objetivo de cumplir
con las normas y apoyar a los órganos de control, en la evaluación del SARO.
9.2.6. Revisor Fiscal en lo relacionado con la evaluación del SARO
a. Construir un reporte al finalizar cada ejercicio contable, donde informe acerca de los resultados
obtenidos en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el
SARO.
b. Informar al Representante legal de los resultados obtenidos del SARO informándoles sobre los
incumplimientos que se presentaron. Sin perjuicio de la obligación de informar sobre ellos a la
Junta Directiva.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 22 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
9.2.7. Auditoría Interna en lo relacionado con la evaluación del SARO
a. Realizar una evaluación sobre el cumplimiento y los resultados obtenidos periódicamente de
las etapas y elementos del SARO con la finalidad de determinar las fallas, debilidades y de esta
forma encontrar las posibles soluciones para su perfeccionamiento.
b. Informar los resultados de la anterior evaluación a la Coordinación de Riesgo y al
Representante Legal.
c. Ejecutar periódicamente una revisión del registro de eventos de riesgo operativo e informar al
Representante Legal sobre el cumplimiento de las condiciones de Capítulo XXIII de la Circular
Externa 100 de 1995 de la Superintendencia Financiera.
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A.
9.2.8. Responsabilidad General de todas las Áreas
Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de
riesgo, por lo tanto los responsables de los procesos lo son también de adelantar la gestión de
riesgos y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos
sucesos para efecto de los controles y los registros correspondientes. Le corresponde también
fomentar la cultura de la Administración del Riesgo dentro de su ámbito.
10. MAPA ORGANIZACIONAL
Con el fin de lograr una mejor administración del riesgo operativo, REYCA S.A. diseñó un mapa de
procesos donde se diferencian las áreas donde se puede presentar el riesgo operativo, de esta
manera se pretende mitigar la presentación de un evento de riesgo en el sistema.
El mapa organizacional está conformado por cinco procesos cada uno de los cuales cuenta con una
caracterización, donde se resumen los procedimientos y actividades que lo conforman, se menciona
también en estas caracterizaciones los controles y registros que buscan disminuir los eventos de
riesgo operativo, y los indicadores de gestión tenidos en cuenta como herramientas administrativas
para evaluar y controlar los eventos de riesgos en cada proceso. A continuación se muestra el
mapa organizacional de REYCA S.A.:
Junta Directiva
Gerente General
Proceso Comercial
Vinculación de Clientes
Mantenimiento de clientes
Servicio al cliente
Diseño de nuevos
productos
Front Office
Proceso de Riesgo
Identificación de riesgos
Registro de eventos de
Riesgo
Identificación de operaciones
inusuales
Control Interno
Middle Office
Proceso de Operaciones
Registros
Físicos
Inversiones
Contratos
MCP
Proceso Financiero y Contables
Contabilidad
Tesorería
Cartera
Proceso Administrativo
Manejo y protección de archivos
Tecnológico
Recursos Humanos
Planeación Estratégica
Back Office
11. MACROPROCESOS REYCA CORREDORES S.A. tiene dividido los procesos en 6 Macro-procesos, los cuales resumen todas las actividades de la empresa. Para descripción de cada uno ver Anexo 1.
12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO
Para la identificación del riesgo operativo en cada uno de los procesos, se plantean tres etapas, las
cuales serán implementadas en la medida que el sistema se desarrolle y además teniendo en
cuenta los plazos estipulados por la Superintendencia Financiera. La primera etapa está sustentada
en la medición del riesgo, su identificación, estudio y calificación. En la segunda etapa se realiza la
administración del riesgo, por medio de la elaboración de planes y/o políticas para aplicar. En la
tercera y última etapa se hará el seguimiento de las acciones correctivas determinando la
efectividad del plan establecido.
El diseño que siguió la firma para la identificación del riesgo operativo fue el siguiente:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 26 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
13. DIAGRAMA DE FLUJO 13.1. IDENTIFICACIÓN DE PROCESOS
SI
Identificación del Proceso
Determinación de Causa y Efectos del Riesgo
Medición Riesgo en el Procedimiento
Identificación del Procedimiento
¿El procedimiento presenta riesgo?
¿Se asume el Riesgo?
¿Los Controles fueron
Efectivos?
Determinación de Esquema de Controles a Aplicar
Aplicación de Controles de Riesgo
SI
SI
NO
NO
NO
NO
Este Flujograma señala los pasos a seguir para la identificación de los procesos, procedimientos,
medición de riesgos y determinación de políticas de la compañía en cuanto al control del riesgo
operativo. Dentro del estudio se tuvo en cuenta el riesgo residual, conocido como el riesgo que
permanece después de la aplicación de los controles y registros. Cuando suceda un riesgo
operativo debe implementarse el plan de contingencia y los controles desarrollados para cada
proceso y/o procedimiento de la organización.
Cuando se presenta un evento de pérdida, se deben revisar las políticas aplicables respecto a dicha
situación, teniendo en cuenta el impacto que se cuantificó en la matriz de riesgos (explicada
posteriormente). Después se debe diligenciar el Formato de “Reporte de Evento de Riesgo”4,
seguidamente de hacer este registro, el impacto debe ser analizado en términos económicos.
Luego de dar solución al evento de pérdida, se hará una evaluación del control y de las respectivas
acciones a tomar para dar solución al riesgo residual que fue aprobada por la URO. En caso de
requerirse una modificación a los controles, la URO revisará y avalará o no la modificación.
En el Formato para el Registro de Evento de Riesgo, se debe registrar e informar cada error o falla
en la operación que lleve a la compañía a identificar un riesgo operativo, el reporte se diligencia en
caso de un evento que implique pérdidas por deficiencias, fallas o inadecuaciones en el personal de
la firma, en los procesos, en la infraestructura, en la tecnología o en los acontecimientos externos.
Las metodologías para la administración del riesgo operativo están compuestas por las actividades
de identificación, medición, monitoreo y control de riesgos, las cuales serán descritas a
continuación.
13.2. IDENTIFICACIÓN DEL RIESGO
La identificación de los Riesgos Operativos es realizada por los funcionarios que estén involucrados
en cada proceso por medio de la debida identificación y diligenciamiento de los riesgos operativos
que se derivan de dicho proceso.
13.2.1. Criterio para identificar los Riesgos
a. Para identificar los riesgos operativos sobre los cuales haya lugar dentro del proceso se les
plantean a los participantes las siguientes preguntas para analizar los posibles eventos a
ocurrir: ¿Qué puede salir mal? ¿Qué debilidades y amenazas tiene el proceso? ¿Qué eventos
de pérdida han ocurrido en el pasado? ¿Por qué causa? ¿Si alguien quisiera dañar el proceso,
4 Ver Anexo 5. Formatos SARO
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 28 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
en qué actividad podría hacerlo y cómo? Estas preguntas no deben ser desarrolladas por los
asistentes; únicamente sirven como guía para que los participantes consideren los riesgos
operativos potenciales para cada una de las actividades que componen el proceso.
b. Adicionalmente, los participantes deben tener en cuenta los recursos utilizados para el proceso:
Recursos humanos, recursos tecnológicos, recursos físicos y recursos de infraestructura, para
considerar qué riesgos operativos podrían llegar a materializarse ante deficiencias, fallas o
inadecuaciones en dichos recursos.
c. Se debe advertir a los participantes del taller que si bien es necesario abarcar todos los riesgos
operativos posibles, la identificación debe orientarse hacia aquellos riesgos que sean
congruentes, bien sea que hayan ocurrido o no, pero que entren dentro de las posibilidades
reales.
13.2.2. Criterios para la identificación de controles
Después de identificados los riesgos operativos, se debe analizar qué tipo de control se puede
aplicar para disminuir el riesgo en ese proceso especifico, para que sea utilizado eficazmente. Los
controles se pueden clasificar de la siguiente manera:
I. Por su forma de funcionamiento
a. Manuales: Son los controles ejecutados directamente por los funcionarios, sin la utilización de
sistemas o equipos.
b. Mecánicos: Son aquellos controles ejecutados por medio de equipos, los cuales pueden
requerir o no de su aplicación por parte de personas.
c. Automáticos: Son aquellos controles efectuados a través de sistemas, los cuales no requieren
de la participación de las personas para su aplicación.
II. Por el momento de su aplicación
a. Previos: Son los controles ejecutados antes de dar comienzo a un proceso.
b. Durante el proceso: Son los controles ejecutados periódicamente, a lo largo del proceso.
c. Posteriores: Son los controles ejecutados al terminar un proceso, para comprobar si el mismo
cumplió o no con las medidas establecidas.
III. Por su efecto sobre el riesgo
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 29 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. Preventivos: Son los controles ejecutados con la finalidad de minimizar la probabilidad de que
el riesgo se materialice.
b. Correctivos (De seguros o transferencia de riesgos): Son controles diseñados para mitigar
el impacto de un evento de riesgo, una vez que el mismo ha ocurrido, pero orientado a reducir
la pérdida o costo financiero.
IV. Por el tipo de bien o proceso que controlan
i. Controles de sistemas: Los controles de sistemas de usuarios, se incluyen para identificar
quien utiliza el sistema y si el funcionario se encuentra autorizado para tal efecto, también los
controles funcionan para fijar la validez de las actualizaciones y procesos efectuados a los
sistemas o programas.
Se incluyen controles para el apropiado seguimiento a las posibles fallas, con el fin de
establecer si los mismos son investigados y resueltos apropiadamente.
ii. Controles de acceso físico: El objetivo es proteger los activos de la compañía, restringiendo
el acceso a las áreas donde se encuentran activos o información con alto valor de
confidencialidad para la organización.
iii. Controles de bases de datos, registros e información: Los controles contienen mecanismos
para asegurar la correcta captura de datos en los aplicativos de la Compañía y para mantener
los datos libres de cualquier daño o modificación posterior.
iv. Controles de personal: determinados para asegurar la calidad e integridad del personal que
está encargado de ejecutar los métodos y procedimientos prescritos por la Compañía para el
logro de los objetivos.
v. Controles de protección de activos: Este tipo de controles incluye el acceso físico a las
diferentes áreas de la Compañía, así como el acceso restringido a los equipos, a la
documentación y a los archivos de datos y programas, todo ello solo permitido al personal
autorizado.
vi. Controles de los equipos: Consiste en la programación del mantenimiento preventivo y
periódico, el registro de fallas de equipos y los cambios en el sistema operativo y la
programación del software utilizado por la Compañía.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 30 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
vii. Controles de procesos contables: Deben existir controles que aseguren el procesamiento
exacto y oportuno de la información contable.
viii. Controles de autorización: Consisten en la revisión de los intercambios, a nivel de cualquier
proceso de la Compañía, para asegurar que estos hayan sido autorizados apropiadamente.
ix. Controles de custodia de activos: Están diseñados para evitar que los activos se pierdan,
dañen o sean robados, y para proporcionar la seguridad de que las cantidades y los valores en
existencia sean coincidentes con los registrados.
Incluye controles para prevenir el uso no autorizado sobre un activo durante su custodia.
x. Controles de estructura organizacional: Consisten en establecer una adecuada estructura
en cuanto al establecimiento de divisiones y departamentos funcionales, así como la
asignación de responsabilidades y políticas de delegación de autoridad.
Esto incluye la existencia de un departamento de Auditoría Externa que dependa del máximo
nivel de la Compañía.
xi. Controles de autocontrol de la Alta Gerencia: Es responsabilidad de la alta gerencia generar
una conciencia favorable dentro del control interno de la Compañía. La Alta Gerencia no debe
infringir los controles fijados, dando ejemplo dentro de la organización.
13.3. MEDICIÓN DEL RIESGO
Una vez concluida la etapa de identificación, Reyca Corredores S.A. realizará la medición de la
probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse. Esta
medición será cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la
determinación de la probabilidad se considerará un horizonte de tiempo de un año.
Para analizar el tipo de riesgos operativos que puede tener la actividad de la compañía, se utiliza el
método de experto y complementaria a esta, se usa la metodología de crear escalas con rangos de
valoración, que sirva como base de criterio para los encargados de evaluar los riesgos y sus
controles.
En el proceso de medición de los riesgos operativos, la Coordinación de Riesgo de la Firma
desarrollará, como mínimo, los siguientes pasos:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 31 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. Establecerá las escalas cualitativas de medición de los riesgos operativos, a nivel de
probabilidad e impacto, y de los controles, a nivel de diseño y eficiencia. La medición se hará
de manera individual, por riesgo operativo previamente identificado para cada proceso.
b. Solicitará a los participantes a las reuniones, que tengan en cuenta criterios objetivos para la
evaluación, como la cuantía o frecuencia de eventos ocurridos en el pasado, la frecuencia
anual de cada proceso, el costo inmediatamente identificable y el costo vinculado (Por ejemplo,
si se daña un computador, además del valor físico del daño, existen pérdidas asociadas debido
al hecho de tener que volver a reconstruir la información contenida en el mismo o la demora
que ello puede provocar en otros procesos), etc.
c. Se consolidarán los resultados individuales, para obtener como resultado el Perfil de Riesgo
Inherente de la Compañía.
d. Posteriormente, solicitará a los participantes la calificación de los controles existentes. Dicha
evaluación se hará por medio del tipo de control; es decir, para el conjunto de controles y no
para cada uno de los controles individualmente considerados. Por ejemplo, para el control
seguridad física comprende controles como cajas fuertes, puertas de seguridad, filmaciones,
etc. No se evaluarán dichos controles en forma individual, sino al nivel de “Seguridad Física”.
e. No obstante, cuando los participantes en la reunión lo consideren adecuado, o la Coordinación
de Riesgo, podrá hacerse una evaluación más detallada de los controles.
f. Se restará el efecto de los controles sobre el riesgo inherente, para obtener como resultado el
Riesgo Residual, tanto a nivel individual como consolidado.
A continuación, se describen las mencionadas etapas:
13.3.1. Valoración del Riesgo Inherente
El riesgo inherente se define como el nivel de riesgo propio de cada una de las actividades de los
procesos sin tener en cuenta los controles establecidos para mitigar los riesgos identificados. Por lo
cual dentro de la evaluación realizada por cada una de las áreas se determinó un posible impacto y
una probabilidad de ocurrencia, advirtiendo a los participantes que ésta calificación debe ser
concebida sin tener en cuenta los controles actuales con los cuales cuentan los procesos. Las
definiciones de los atributos con los cuales se calificarán los riesgos operativos son:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 32 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
i. Impacto: Atributo del evento de riesgo operativo, que mide de forma cualitativa la pérdida
ocasionada por la ocurrencia de dicho evento de riesgo operativo sin tener en cuenta los
controles.
ii. Probabilidad: Atributo del evento de riesgo operativo, que mide de forma cualitativa la
posibilidad en la cual se produce un evento de riesgo operativo durante un periodo de un año,
sin tener en cuenta los controles.
iii. Valoración: Se utiliza una matriz de probabilidad vs. Impacto. El resultado de multiplicar los
valores asignados de probabilidad por los de impacto, dará la valoración correspondiente.
Según el resultado numérico, el riesgo puede ser catalogado como: Inaceptable Mayor o
importante y Tolerable o Aceptable.
Los participantes del taller de acuerdo con su experiencia determinaran el impacto probable de los
riesgos operativos si éstos se llegaran a materializar de acuerdo a la siguiente escala cualitativa:
ESCALA DE IMPACTO
Alto
Interrupción de las operaciones de la Compañía por más de una jornada
laboral
Intervención por parte de los Entes de Control a la Compañía por
incumplimientos legales y/o contractuales
Impacto que afecte negativamente la reputación de la Compañía,
relacionado con prácticas inapropiadas de sus empleados y/o vinculados
Pérdida de información crítica de la Compañía o de terceros que no se
pueda recuperar
Medio
Impacto por desatención de nuevas oportunidades de negocio
Interrupción de las operaciones de la Compañía menos de media
jornada laboral, y más de una hora
Impacto ocasionado por retrasos, en el flujo de información que afecten
las labores de las áreas y/o las respuestas a los Entes de Control
Reproceso de actividades y aumento de la carga operativa (ejecutar
nuevamente actividades de los procesos por errores operativos)
Bajo
No hay interrupción de las operaciones de la Compañía
No genera sanciones económicas y/o administrativas
No afecta las relaciones con terceros
No afecta el flujo de la información
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 33 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Luego de evaluar el impacto para cada uno de los riesgos operativos, se estimará una probabilidad
de ocurrencia de dichos riesgos identificados, teniendo en cuenta que dicha calificación, es el
resultado de lo que podría pasar si no existieran controles que mitigaran los riesgos identificados, a
partir de la siguiente escala:
ESCALA DE PROBABILIDAD
Alta Ocurre al menos una vez a la semana
Se espera que ocurra en la mayoría de las circunstancias
Media
Ocurre al menos una vez mensual pero no sucede todas las semanas
del mes
Podría ocurrir en cualquier momento
Baja
Ocurre una sola vez en un período de 12 meses o más
No ha ocurrido anteriormente pero se presentaría sólo en circunstancias
excepcionales
El resultado de la medición anterior debe ser situado en el mapa de riesgo para determinar el riesgo
inherente. Una vez se tengan ubicados todos los riesgos en el mapa de riesgo, se podrá determinar
el perfil de riesgo inherente de la entidad.
MAPA DE RIESGO
PROBABILIDAD
IMP
AC
TO
NIVEL Bajo Medio Alto
Alto
Medio
Bajo
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 34 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Cada uno de los riesgos operativos identificados y calificados en su impacto y su probabilidad serán
clasificados con la ayuda de la Coordinación de Riesgo de acuerdo a la clasificación de Factores de
Riesgo y Clase de riesgo operativo dada por el Capítulo XXIII de la Circular Externa 100 de 1995
expedida por la Superintendencia Financiera. De tal manera que los valores obtenidos en esta
medición puedan ser consolidados por factor de riesgo y por clase de riesgo.
13.3.2. Valoración del Riesgo Residual
Para cada uno de los riesgos operativos identificados, luego de valorar su impacto y determinar la
probabilidad se calificarán los controles o grupo de controles identificados con base en dos atributos
que son: Su diseño y su efectividad.
Diseño: Atributo del grupo de controles o plan de contingencia, que califica la relevancia del mismo,
en aspectos como la oportunidad del mismo, la no existencia de controles o planes de contingencia
redundantes, la necesidad del mismo, la superioridad del mismo frente a otras alternativas de
control o plan de contingencia, el nivel de cobertura del mismo, la regularidad en su aplicación, la
experiencia y autoridad de los miembros de la Compañía que lo diseñaron, etc. Este atributo será
calificado con base en la siguiente escala:
RANGO
DISEÑO DE CONTROL
Alto 100% - 71%
Medio 70% - 41%
Bajo 40% - 0%
CRITERIOS
DISEÑO DE CONTROL
DOCUMENTACIÓN % CUBRIMIENTO % IMPLEMENTACIÓ
N % RESPONSABLE %
IDONEIDAD
DISEÑADOR %
Documentado 20% Total 20% Sencilla 20% Adecuado 20% Idóneo 20%
Desactualizado 10% Parcial 10% Compleja 0% Inadecuado 0% No idóneo 0%
NIVEL DESCRIPCIÓN
Alto Requiere acción inmediata y su atención debe ser a nivel directivo
Moderado Debe especificarse responsabilidad a nivel directivo.
Bajo Administrar mediante procedimientos de rutina.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 35 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
No Documentado 0% Ninguno 0%
Efectividad: Atributo del grupo de controles o planes de contingencia, que mide el efecto que logra
dicho control o plan de contingencia, en términos de reducción del impacto o probabilidad de
ocurrencia del riesgo operativo. Para lo cual se utilizará la siguiente escala:
RANGO
EFECTIVIDAD DE CONTROL
Muy Alta 100% - 71%
Media 70% - 41%
Baja 40% - 0%
CRITERIOS
EFECTIVIDAD DEL CONTROL
IMPLEMENTACIÓN % MITIGACIÓN %
Total 50% Total 50%
Parcial 25% Parcial 25%
Ninguno 0% Ninguno 0%
Estas escalas son diseñadas por la Coordinación de Riesgo y serán las mismas para todos los
eventos de riesgo.
El resultado de la calificación de los controles con respecto a su diseño y eficiencia debe ser situado
en el mapa de calificación individual de controles, para determinar la calificación final del control.
MAPA DE CALIFICACIÓN INDIVIDUAL DE CONTROLES
EFECTIVIDAD
IMP
AC
TO
NIVEL Alta Media Baja
Alta Optimo Regular Insuficiente
Media Regular Regular Insuficiente
Baja Regular Insuficiente Insuficiente
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 36 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Una vez ubicada la calificación individual del control, se debe determinar si el control es preventivo o
correctivo para establecer si reduce la probabilidad o el impacto, respectivamente.
PROBABILIDAD RESIDUAL
- CONTROLES PREVENTIVOS o
CORRECTIVOS-
Óptimo Regular Insuficiente
Alta Baja Media Alta
Media Baja Media Alta
Baja Baja Baja Baja
El resultado de lo anterior, da lugar a una probabilidad residual y/o a un impacto residual, los cuales
se deben situar nuevamente en el mapa de riesgo para determinar el riesgo residual. Una vez se
tengan ubicados todos los riesgos operativos en el mapa de riesgo, se podrá determinar el perfil de
riesgo residual de la entidad.
Finalmente, además de la anterior metodología, cuando la Coordinación de Riesgo así lo considere
conveniente y cuando la información disponible sea lo suficientemente robusta como para aplicar
técnicas estadísticas, se podrán evaluar metodologías cuantitativas para determinar el impacto y la
probabilidad de ocurrencia de los eventos de riesgo operativo.
14. ETAPA DE CONTROL DEL RIESGO OPERATIVO
Dentro de las reuniones efectuadas para la identificación y medición de los riesgos operativos de la
entidad en el caso en que los controles existentes no sean suficientes para la mitigación de los
riesgos o no existan controles, los participantes podrán proponer nuevos controles tendientes a
NIVEL DESCRIPCIÓN
Insuficiente Requiere atención inmediata o rediseño total
Regular Requiere atención significativa o rediseño parcial
Óptimo No requiere atención
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 37 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
disminuir el riesgo residual sobre los eventos de riesgo identificados. La viabilidad de los controles
propuestos será evaluada por la Coordinación de Riesgo priorizando los riesgos operativos cuyo
riesgo residual sea mayor y estén situados en un nivel “Alto” dentro del mapa de riesgo donde se
visualice el perfil de riesgo inherente de la compañía.
Dentro de la matriz de riesgo operativo se establecerá un lista de riesgo operativos más
significativos, que serán evaluados y gestionados, para revisar los controles existentes, evaluar la
viabilidad de los controles actuales y proponer, dado el caso, por parte de la Dirección de Riesgo
controles adicionales para mitigar el impacto o reducir la probabilidad de dichos eventos.
15. MATRIZ DE RIESGO OPERATIVO (MRO)
Los factores de riesgo operativo, los riesgos operativos, el grupo de controles, los planes de
contingencia, el riesgo inherente y el riesgo residual, que se obtengan como resultado de los
procesos de identificación y medición de riesgos descritos en el presente Manual, deberán
registrarse y consolidarse en una Matriz de Riesgo.
A partir de dicha Matriz de Riesgo Operativo (MRO) y del Registro de Eventos de Riesgo Operativo
(RERO) que se menciona más adelante, la Coordinación de Riesgo debe preparar un informe
semestral al Representante Legal, donde manifieste su opinión acerca del adecuado funcionamiento
y suficiencia de los controles y planes de contingencia establecidos para cada riesgo.
La Matriz de Riesgo Operativo deberá contener por lo menos los siguientes campos:
Área
Grupo
Nombre del Proceso
Nombre Procedimiento o actividad
Nombre del Factor de Riesgo
Clasificación del evento de pérdida
Descripción del evento de pérdida
Calificación de la probabilidad del riesgo inherente
Calificación del Impacto del riesgo inherente
Calculo del riesgo inherente
Descripción del grupo de controles actuales
Calificación del diseño del grupo de controles actuales
Calificación de la efectividad del grupo de controles actuales
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 38 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Evaluación del grupo de controles actuales
Evaluación del riesgo residual
Descripción del grupo de controles propuestos
Esta información debe ser consolidada por la Coordinación de Riesgo, resultado de los talleres con
cada uno de los dueños de proceso de las diferentes áreas de la compañía y con la periodicidad
establecida por la misma Dirección, la cual debe ser por lo menos anual.
16. REPORTE DE EVENTOS DE RIESGO OPERATIVO
Cada evento de riesgo operativo individual ocurrido en la Compañía, debe ser reportado a la
Coordinación de Riesgo, independientemente de los seguros que se tengan contratados para ello.
En consecuencia, la Coordinación de Riesgo debe preparar un modelo de reporte donde se solicite
a la persona que identificó la ocurrencia del evento, el diligenciar la información requerida según el
Registro de Eventos de Riesgo Operativo que se menciona más adelante.
La Dirección de Riesgo, como administrador del Registro de Eventos de Riesgo Operativo, debe
asegurarse de que dicha información se actualice inmediatamente en el Registro.
Aquellas pérdidas en las cuales no se pueda cuantificar su valor claramente, en el momento de su
ocurrencia, y de la cual se estime que puede estar superando el Umbral del Reporte anteriormente
establecido, se deberá dar aviso de la ocurrencia del mismo, estimando el valor de la pérdida, de
acuerdo con lo establecido previamente en las Matrices de Riesgo Operativo.
Se considerará falta grave de cualquier funcionario, el que habiendo identificado un evento de
pérdida ocurrido, no proceda a repórtalo oportunamente. Se entiende como oportuno, el informar de
la ocurrencia del evento, dentro del mismo día en que fue identificado.
Finalmente, con el fin de evitar conflictos de interés en la recolección de información para el
Registro de Eventos de Riesgo Operativo, se establece que las personas que identifiquen el evento,
deberán enviar el reporte directamente a la Coordinación de Riesgo y que ningún superior
inmediato u otro funcionario del área podrá interferir en dicho envío, solicitando por ejemplo revisarlo
antes de su envío o hacerle algún tipo de modificación, so pena de considerarse falta grave, válida
como causal de despido con justa causa.
La Coordinación de Riesgo es la responsable de elaborar y mantener actualizado un registro de
eventos de riesgo operativo, de acuerdo con lo establecido por el Capítulo XXIII de la Circular
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 39 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Externa 100 de 1995 expedida por la Superintendencia Financiera. Este registro debe contener
todos los eventos de riesgo operativo ocurridos en la Compañía, bien sea que:
- Generan pérdidas y afectan el estado de resultados de la Compañía.
- Generan pérdidas y no afectan el estado de resultados de la Compañía.
- No generan pérdidas y por lo tanto no afectan el estado de resultados de la Compañía.
En estos últimos dos casos, la medición será de carácter cualitativo, siempre y cuando no se pueda
realizar un estimativo cuantitativo.
Cada área deberá proveer a la Coordinación de Riesgo de la información respectiva para diligenciar
este Registro de Eventos de Riesgo Operativo, de manera que el mismo contemple la totalidad del
evento de riesgo operativo potencial o acontecido. Este registro deberá diligenciarse con, por lo
menos, la siguiente información:
I. Referencia: Código interno, creado por la Coordinación de Riesgo, que relacione el evento en
forma secuencial.
II. Fecha de inicio del evento: Fecha en que se inicia el evento. Formato: Día, mes, año, hora.
III. Fecha de finalización del evento: Fecha en que finaliza el evento. Formato: Día, mes, año,
hora.
IV. Fecha del descubrimiento: Fecha en que se descubre el evento. Formato: Día, mes, año,
hora.
V. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento.
Formato: Día, mes, año, hora.
VI. Clase de evento: Clase de evento, según la clasificación
VII. Producto/Servicio afectado: Nombre del producto o servicio afectado.
VIII. Proceso: Nombre del proceso afectado.
IX. Descripción del evento: Descripción detallada del evento.
X. Líneas operativas: Identificación según clasificación suministrada por la Superintendencia
Financiera de Colombia en el Anexo I del Capítulo XXIII de la C.E. 100 de 1995.
Cada seis meses, la Coordinación de Riesgo debe preparar un informe al Representante Legal,
Informe de Eventos de Pérdida, donde se organice la anterior información por frecuencia de
ocurrencia y por magnitud del siniestro.
La Coordinación de Riesgo deberá estar atenta a proponer los controles necesarios para aminorar
la frecuencia de ocurrencia de aquellos riesgos que presenten la mayor cuantía histórica de
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 40 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
siniestros, tomando una serie histórica de por lo menos tres años o la que exista en el Registro de
eventos en ese momento, si es menor.
17. NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO
Los niveles de aceptación del riesgo operativo hacen referencia a la política que la Compañía
adopte, basada en el nivel de riesgo de acuerdo al Mapa de Riesgo o a la cuantía de pérdida por la
ocurrencia de un evento de riesgo operativo y luego de implementados los controles necesarios
para mitigarla, acerca de si está dispuesta a tolerar dicho nivel de riesgo o cuantía, o si prefiere
trasladar el riesgo vía seguros.
Estos niveles de aceptación deben ser propuestos por la Coordinación de Riesgo al Representante
Legal o Gerente General, para su validación antes de presentarlos a la Junta Directiva para su
aprobación.
En el caso de optar por la contratación de un seguro, deben administrarse también los eventos de
riesgo operativo asociados con dicho seguro.
18. PROCEDIMIENTOS PARA EL MONITOREO DEL RIESGO
El monitoreo y control del riesgo operativo se basa en elementos como alertas tempranas, desarrollo de
indicadores de gestión, controles y procesos para administrar la continuidad del negocio.
A continuación se describen dichos elementos:
18.1. Alertas tempranas
Un sistema de alertas tempranas integral consiste en calcular indicadores numéricos de cada
proceso, para que los cambios en dichos indicadores sirvan de alerta al aumento en la probabilidad
o frecuencia de ocurrencia de un riesgo en particular. Un ejemplo, dado el proceso de consecución
de clientes, entre más clientes se contacten, más frecuencia puede haber en una mala atención a
los mismos.
Las alertas Tempranas que como mínimo debe utilizar la Coordinación de Riesgo consisten en lo
siguiente:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 41 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. En primer lugar, la Coordinación de Riesgo debe consolidar anualmente el perfil de riesgo de
toda la Compañía, mediante la visualización del conjunto de riesgos operativos en el Mapa de
Riesgo Residual de la Matriz de Riesgo Operativo.
b. En la medida en que entre el 1% y el 5% de los eventos de riesgo esté en nivel “Alto”, se
configurará una alerta temprana que debe ser informada a la Junta Directiva, para su análisis y
determinar las estrategias a seguir con el fin de controlar el riesgo operativo.
A partir de la actualización periódica de la Matriz de Riesgo Operativo (MRO), la Coordinación
de Riesgo debe elaborar un informe donde se observe la evolución histórica, para cada evento
de pérdida, de los siguientes aspectos:
- Impacto del riesgo inherente
- Probabilidad del riesgo inherente
- Diseño del grupo de controles
- Efectividad del grupo de controles.
Aquellas tendencias que muestren un deterioro significativo en los controles o un aumento
significativo en el valor de pérdida esperado, deberán ser objeto de informe al Representante
Legal para definir nuevos controles o planes de contingencia.
Se considera significativo, un comportamiento de un evento de riesgo en particular, cuya
severidad y/o probabilidad de ocurrencia aumente por encima del nivel promedio del conjunto
de eventos de riesgo de toda la Compañía, agregación que realiza la Coordinación de Riesgo a
partir de la Matriz de Riesgo Operativo.
c. Se debe priorizar el análisis de los eventos de riesgo operativo registrados en la Matriz de
Riesgo Operativo que presenten niveles elevados de Riesgo Residual, para esto se diseñaran
Alertas Tempranas individuales que sirvan de alertas específicas en términos de frecuencia y/o
impacto.
18.2. Indicadores de Gestión
Estos indicadores, que deben ser calculados e informados por la Coordinación de Riesgo al
Representante Legal, corresponden a fórmulas que reflejen si el control de riesgos y los planes de
contingencia son adecuados o no.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 42 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Dicho de otra forma, son valores o fórmulas matemáticas que reflejen la evolución de un evento de
riesgo; es decir, de una situación que de presentarse, generaría pérdidas para la Compañía.
El indicador debe evolucionar de forma tal que la exposición al riesgo se reduzca. Por ejemplo, un
indicador puede ser el valor o número de cheques extraviados de la tesorería en un año. En la
medida en que este valor del número de cheques se reduzca a través del tiempo, menos expuesta
está la Compañía a pérdidas por esta razón y significa que los controles establecidos para evitar
que se pierdan cheques y los planes de contingencia implementados para el caso de que un cheque
se extravíe, funcionan adecuadamente.
Si un indicador de gestión refleja un comportamiento negativo, esto significa que la Coordinación de
Riesgo debe estudiar nuevos controles o planes de contingencia para el respectivo proceso.
Los indicadores generales de gestión serán:
- Frecuencia de ocurrencia de eventos de pérdida por proceso. Esta información se toma del
Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se
reduzca, significa una mejor gestión.
- Impacto de los eventos de pérdida que han ocurrido por proceso. Esta información se toma del
Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se
reduzca, significa una mejor gestión.
- Evaluación de las capacitaciones en SARO y gestión de riesgos. Esta información corresponde
a la nota promedio de las evaluaciones practicadas a los participantes de las capacitaciones. En
la medida en que el valor de este indicador sea mayor, significa una mejor gestión.
- Número de procesos con planes de contingencia. Esta información es tomada de la Matriz
MRO. En la medida en que el valor de este indicador sea mayor, significa una mejor gestión.
Adicionalmente la Coordinación de Riesgos deberá diseñar constantemente indicadores de gestión
específicos que apoyen la evaluación de los controles y planes de contingencia de los eventos de
riesgo operativo, potenciales y ocurridos.
Es importante que los indicadores de gestión hagan parte del sistema de evaluación del desempeño
de los funcionarios y áreas de la Compañía, en lo que respecta a los procesos a su cargo.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 43 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
18.3. Controles
Además de la labor que la Coordinación de Riesgo tiene, de proponer nuevos controles para los
eventos de pérdida identificados en la Matriz de Riesgo Operativo, buscando mejorar la calificación
de su diseño y de su efectividad, la Coordinación de Riesgo debe evaluar la consistencia en
términos de magnitud y funcionamiento (oportuno, efectivo y eficiente) de los controles con respecto
al evento de pérdida que buscan mitigar.
Para ello, debe evaluarse que el control tenga una magnitud acorde con el riesgo inherente. De
manera que aquellos riesgos inherentes de mayor Impacto y probabilidad de ocurrencia, deben
tener un grupo de controles más completos.
Así mismo, pueden identificarse controles que son demasiado grandes, en términos de complejidad
en su aplicación y costo, vinculados a riesgos inherentes de severidad y frecuencia muy bajos. En
este caso, se debe revisar la posibilidad de ajustar dichos controles.
Independiente de las funciones asignadas a la Auditoría Interna, la Coordinación de Riesgo, deberá
además revisar ocasionalmente los controles, mediante trabajo de campo donde se observe el
funcionario encargado del control y la forma como lo aplica, para conceptuar si el control es
insuficiente, si es necesario reforzarlo o si es necesario establecer otro control.
18.4. Nuevos procesos o modificación de proceso existente
Como requisito para que en cualquier área de la Compañía se modifique o implemente un nuevo
proceso, el mismo debe ser objeto del análisis anterior de reuniones de trabajo, para valuar el riesgo
inherente y los controles que se deben implementar.
Ningún proceso podrá iniciarse o modificase sin que previamente se diseñe el grupo de controles
del mismo, aprobado por el Representante Legal. Esto aplica también para la realización de
operaciones de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
18.5. Proceso para administrar la continuidad del negocio
En cumplimiento del Capítulo XXIII de la Circular Externa 100 de 1995, la Compañía, teniendo en
cuenta su estructura, tamaño, objeto social y actividades de apoyo, está en desarrollo de un sistema
de administración de la Continuidad del Negocio, el cual incluye los procesos de definir,
implementar, probar y mantener dicho sistema en aspectos como: prevención y atención de
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 44 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la
operación normal.
Reyca S.A. dispone de los instrumentos necesarios para asegurar la continuidad de su operación,
estos se nombran a continuación:
a. Capital Social
b. Personal competitivo e idóneo
c. Equipo tecnológico suficiente
d. Pólizas de seguros.
e. Soporte legal
f. Instalaciones propias.
g. Grabación de llamadas
Se ha determinado que la organización cuenta con la estructura suficiente para el desarrollo de su
objeto dentro del contexto de la Bolsa Mercantil de Colombia S.A.
18.6. Cultura de Riesgos
Dentro de los planes de capacitación periódicos sobre gestión de riesgos operativos para todos los
funcionarios de la Compañía, contemplados en el Manual del Sistema de Administración del Riesgo
Operativo, se debe resaltar la labor que cada funcionario tiene en la identificación de los factores de
riesgo y eventos de pérdida.
Adicionalmente, debe promoverse la identificación y control de factores generadores de riesgos,
como una actividad propia de cada cargo al momento de evaluar desempeños.
Los indicadores de gestión de las diferentes áreas y funcionarios de la Compañía, deben incluir en
lo posible aspectos relacionados con la gestión en la identificación y control de riesgos. Estos
indicadores deben medir además, por proceso, la evolución del impacto y la probabilidad de los
eventos de pérdida por proceso y la evolución del Grupo de Controles, en términos de su diseño y
efectividad.
18.7. Coordinación de Comunicaciones
La comunicación formal es la base para el correcto flujo de la información que se quiere hacer llegar
a los diferentes Grupos de Interés, tanto internos como externos.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 45 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Por ello, toda información que se quiera transmitir debe hacerse a través de los canales
establecidos para tal fin, de manera que no se considere válida ninguna otra información canalizada
a través de otros medios.
Esto implica desestimular los canales no formales de comunicación, mediante el desarrollo de
canales formales que tengan definidos claramente aspectos como responsables, forma de acceso a
los mismos y periodicidad.
18.8. Planes de Contingencias
El plan de contingencia para REYCA S.A., tiene por objeto generar lineamientos de ejecución
cuando suceda alguno de los riesgos ya mencionados, de tal forma que se garantice la continuidad
de la organización a pesar de la ocurrencia del evento de riesgo. Los planes de acción se
encuentran en la matriz de cada uno de los procedimientos adjunta la evaluación del riesgo.
A pesar de lo anterior, a continuación se definen los planes de acción generales presentados por la
Gerencia de Renta y Campo S.A.:
Reyca S.A. cuenta con una póliza de seguros para el cubrimiento de los siguientes hechos:
Temblores, incendios o terrorismo, sustracción y robo. La póliza es renovada año a año por la
empresa.
Con respecto al componente tecnológico, Reyca S.A. ha preparado un programa de mantenimiento
de equipos, de esta forma se quiere mitigar la probabilidad del riesgo operativo en cuanto a la
presencia de eventos como los virus y la interrupción de operaciones por daños en los equipos.
Adicionalmente dentro de los procedimientos establecidos en cada proceso se ha desarrollado un
plan de back up. En el área contable se hará back up cada tercer día y en las otras áreas se hará
un back up semanal. Este back up se considera como el plan de contingencia en caso de que algún
evento se presente y atente contra el componente tecnológico o de activos físicos de la
organización. Se realizan dos copias de la información, cada una de ellas está ubicada en sitios
diferentes, una de ellas en la empresa y otra en un lugar externo a las instalaciones.
Los planes de contingencia para la administración del riesgo operativo, deben ser revisados
periódicamente con el objetivo de corroborar su alcance y pertinencia de acuerdo con los riesgos
relacionados, adicionalmente, en materia de responsabilidades se debe contemplar por lo menos lo
siguiente:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 46 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. Responsabilidades de la Dirección de Riesgo
La persona encargada de tomar decisiones a cargo de la Coordinación de Riesgo, será el
funcionario que formalmente está encargado de dicha área, quien debe conocer el funcionamiento
de los modelos de administración de riesgos. Como los modelos de análisis, medición, seguimiento
y control a los diferentes riesgos, los cuales deben estar debidamente documentados.
b. Aspectos no contemplados en el presente Manual
Cualquier situación no esperada y no contemplada en el presente manual, debe ser objeto de un
Plan de Contingencia preparado por la Coordinación de Riesgo y aprobado por el Representante
Legal.
18.9. Reportes Internos y Externos
Tanto los reportes internos y externos, como los documentos y registros que evidencien la
operación efectiva del SARO, deben tener las características de integridad, oportunidad,
confiabilidad y disponibilidad de la información allí contenida.
19. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN
a. Se identifica por parte de las áreas responsables de los procesos, todos y cada uno de los
riesgos asociados. Se identifican los controles existentes y si fuere del caso, los que deberían
implementarse y establecer la probabilidad e impacto de cada riesgo, antes y después de los
controles, con base en la metodología definida.
b. Una vez diligenciada la encuesta por parte de las áreas responsables, se remitirá a la Unidad
de Riesgo Operativo, la cual consolidará los resultados, evaluará lo descrito y conceptuará
sobre la racionalidad del riesgo o los riesgos identificados.
c. Una vez determinados los niveles de riesgo dentro de cada proceso, se listan utilizando el
criterio de mayo a menor puntaje, para definir la prioridad de tratamiento. Este compendio sirve
de soporte para realizar el plan de tratamiento integral de riesgos.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 47 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
d. Con base en los resultados obtenidos, la Unidad de Riesgo Operativo establecerá el perfil de
riesgo inherente y residual consolidado de la compañía.
e. Se establecerá parámetros de control con el fin de observar el comportamiento de los
correctivos aplicados para la mitigación del riesgo, mostrada bajo los resultados de si este se
pudo evitar o si efectivamente se previno. Una vez revisados los resultados se mirara la forma
de financiación de mitigación de los riesgos clasificados en aceptable, si se retiene o se
transfiere.
f. Las áreas responsables de los procesos en los cuales se han identificado riesgos operativos,
deberán al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo,
utilizando el formato de registro de evento de riesgo. La Unidad de Riesgo Operativo es
responsable de mantener actualizados los registros relativos a los reportes y evaluará la
necesidad de hacer actualizaciones y/o modificaciones a los procedimientos y planes de acción
relativos al SARO.
g. Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad de
Riesgo Operativo revisará los riesgos, sus controles y mediciones con el fin de identificar los
posibles cambios en el perfil de riesgo de la entidad.
h. Para dar cumplimiento a lo establecido sobre la Revelación Contable de los eventos, con base
en si los mismos generan pérdidas y afectan los estados financieros de la empresa, estos
deberán registrarse de la manera establecida en el numeral 3.2.8.3 de la Circular Externa 049
de 2006, de la Superintendencia Financiera.
Como plan de acción para verificación en cuanto a la mitigación de los riesgos se fabrico un formato
especial mediante el cual se estableció:
i. Prioridad: Una vez analizados los riesgos por proceso, se resumen en una planilla y se
establece la prioridad de atención.
ii. Acciones: Para mitigar el riesgo en forma efectivo se deberán presentar acciones a
implementar para mitigar el riesgo
iii. Área responsable: del proceso y de la acción específica
iv. Cargo del Responsable: del proceso y de la acción específica
v. Recursos: ¿Qué se requiere para llevar a cabo la acción propuesta?
vi. Limitantes: ¿Qué factores pueden impedir el desarrollo de las acciones de mitigación?
vii. Fechas de seguimiento del proceso
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 48 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
viii. Indicadores: Definir los indicadores a través de los cuales se podrá medir la mitigación del
riesgo.
Este formato para su debido diligenciamiento deberá contar con la revisión y/o aval de las partes
comprometidas, así estipulado:
- Diligenciado por: Nombre, cargo y Firma
- Fecha del diligenciamiento
- Aprobado por: Nombre, cargo y Firma
- Fecha de aprobación
20. AUDITORIA
Para garantizar el cumplimiento de las políticas y controles aprobados por la Junta Directiva de la
organización, estos han sido publicados y sociabilizados ante el personal de la compañía de
manera que sean llevados a su correcto término, también se ha organizado un proceso de
auditorías internas, el cual tiene como objeto identificar las fallas presentadas en los procesos que
conforman el mapa operativo establecido y así mismo hacer un seguimiento continuo sobre el
control del riesgo, además del control de la efectividad respecto de la implementación de SARO.
El proceso de auditorías y medición soporta y asegura el control del riesgo inherente y consolidado
asociado a la operatividad de la firma, ya que se sustenta de la información analizada en el informe
de gestión de riesgo trimestral que será organizada por la URO, quien verificará el cumplimiento de
los indicadores definidos en cada proceso y el logro de sus metas.
Para efectos de las auditorias, el procedimiento a seguir es el siguiente:
20.1. PROCEDIMIENTO DE AUDITORÍAS INTERNAS
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 49 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Este procedimiento contará con la periodicidad indicada por la norma, además existirá la
probabilidad que se lleven a cabo auditorias no programadas cuando el jefe de área o el ente
correspondiente identifiquen que se están presentando errores o anomalías para llevar a cabo el
procedimiento.
21. PLATAFORMA TECNOLÓGICA
La Dirección de Riesgo debe evaluar periódicamente la tecnología y los sistemas utilizados para
garantizar el adecuado funcionamiento del SARO, con el fin de verificar si se ajustan a las
actividades y tamaño de la Compañía.
22. REVELACIÓN CONTABLE
De acuerdo con lo establecido en el Capítulo XXIII de la Circular Externa 100 de 1995 de la
Superintendencia Financiera, los eventos de riesgo operativo, cuando no afecten el estado de
resultados deben ser revelados en cuentas de orden, de acuerdo con la metodología para su
cuantificación establecida por cada entidad.
Elaboración de Programas de Auditorias
Programación de Nuevas Auditorias
Correcciones
Implementación del Programa de Auditorias
¿Existen No Conformidades?
SI
NO
FIN
Programación de Auditorias
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 50 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Cuando dichas pérdidas afecten el estado de resultados, se registrarán en la cuenta del gasto
determinada por la Superintendencia Financiera en el Plan Único de Cuentas, para que dicho
acontecimiento quede registrado en el periodo en el que se materializó la pérdida.
Además, en las notas a los Estados Financieros de la Compañía, se señalarán las causas que
originaron los eventos de riesgo operativo, revelados en cuentas de orden o registradas en el estado
de resultados.
23. CAPACITACIÓN Y DIVULGACIÓN
La Coordinación de Riesgo tendrá a su cargo el diseño, programación y coordinación del Plan Anual
de capacitación en el SARO, dirigido a todas las áreas y funcionarios de la Compañía.
Los programas de capacitación deberán dictarse también a los nuevos funcionarios vinculados a la
compañía, durante su primer mes luego de haber ingresado a la Compañía, así como a los terceros
de los cuales se tenga una relación jurídica de prestación de servicios diferente a aquella que se
origina en un contrato de trabajo, como el caso del outsourcing. Para el caso de estos terceros, la
capacitación deberá darse con anterioridad a la firma del contrato u orden de servicios y como
requisito del mismo.
La Coordinación de Riesgo será responsable de la revisión y actualización trimestral de dichos
programas de capacitación. Adicionalmente, deberá desarrollar y aplicar las evaluaciones que se
practicarán a los participantes en dichos programas, tanto en el momento inmediatamente posterior
a la capacitación como posteriormente, por lo menos una vez al año a todos los funcionarios y
terceros.
La Coordinación de Riesgo debe contar con los mecanismos de evaluación de los resultados
obtenidos, con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos
propuestos.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 51 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
ANEXO 1. MACROPROCESOS
1. MACRO-PROCESO FINANCIERO Y CONTABLE
1.1. PROCESO CONTABLE – FCPCON001
El objetivo de los procesos radica en procesar la información contable de Reyca S.A de manera
veraz y la revelación de cada uno de los hechos económicos de forma detallada y/o consolidada
que facilite la actividad de la comisionista mediante el cumplimiento de las normas de contabilidad
generalmente aceptadas, elaborando la información contable y Estados Financieros de manera
veraz, confiable, razonable y oportuna, mediante políticas y procedimientos que permitan la
cuantificación de las transacciones, el procesamiento de los datos, la evaluación de la información,
el reporte y publicación de la misma.
PROCEDIMIENTO CONTABLE
1.1.1 Procedimiento de Contabilización de Comprobantes – FCPCPR001
Efectuar la contabilización, codificación y clasificación de movimientos con base en los soportes
recibidos de los hechos económicos y los que corresponden a Depreciaciones, Amortizaciones,
Valorizaciones, Provisiones, Ajustes y reclasificaciones con claridad y según las políticas
establecidas por el Contador y la Dirección Administrativa.
1.1.2 Procedimiento de Vinculación a proveedores – FCPCPR002
Implementar controles apropiados y conducentes para evitar que la compañía trabaje con
proveedores que laven activos y/o financien el terrorismo. Realizar un adecuado proceso de
vinculación que permita el conocimiento del proveedor y verificar la integridad, oportunidad,
confiabilidad del mismo.
1.1.3 Procedimiento de Causación de Proveedores – FCPCPR003
Contabilizar de forma adecuada la facturas y cuentas de cobro recibidas de proveedores, asesores,
prestadores de servicios, etc.; según los conceptos por tipo de gasto creados o de nuevos
conceptos que correspondan a la comisionista.
1.1.4 Procedimiento de Contabilización de Nomina- FCPCPR004
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 52 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Efectuar la contabilización y causación de la nomina de personal, seguridad social, aportes
parafiscales y provisiones de nomina de los empleados de comisionista de forma clara y acorde con
las normas técnicas exigidos por la SFC y las Leyes laborales vigentes.
1.1.5 Procedimiento de Contabilización de Inversiones- FCPCPR005
Realizar la contabilización, clasificación y codificación de las inversiones según su intención de
adquisición, al igual que la valoración y valorización revelando el precio justo de mercado según lo
establecido por las normas emitidas por la Superintendencia Financiera de Colombia.
1.1.6 Procedimiento de Contabilización de Caja Menor- FCPCPR006
Realizar la contabilización, clasificación y codificación de los gastos menores de la compañía y que
pertenecen al normal desarrollo de la actividad de la comisionista tanto administrativa como
operativa.
1.1.7 Procedimiento de Conciliación Bancaria - FCPCPR007
Elaborar, revisar y notificar diferencias detectadas en el análisis de la verificación de los
movimientos bancarias de las cuentas administrativas o de recursos propios y las de clientes,
mandantes o terceros efectuados por el área de tesorería.
1.1.8 Procedimiento de Conciliación Contables - FCPCPR008
Elaborar los resúmenes o informes que permitir revelar la razonabilidad de los saldos de las cuentas
en cuanto a su conformación por terceros, por concepto, por centro de costos, por negocio o
actividad o los que determine la Administración y/o Gerencia de la comisionista.
1.1.9 Procedimiento de Contabilización de Obligaciones Financieras – FCPCPR009
Efectuar la contabilización, codificación y clasificación de movimientos por endeudamiento y de los
Gastos Financieros en los que incurra en la obtención de créditos.
1.1.10 Procedimiento de Preparación de Declaraciones Tributarias – FCPCPR010
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 53 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Preparar y elaborar las declaraciones tributarias de los impuestos a los que está obligada la
sociedad de acuerdo al régimen y condiciones fiscales que le corresponde de manera oportuna y en
concordancia de las políticas fiscales establecidas por la Dirección Administrativa y Gerencia de la
comisionista.
1.1.11 Procedimiento de verificación de Contabilización de Facturación – FCPCPR011
Analizar y confirmar la aplicación contable de las operaciones incluidas en la facturación a clientes o
mandantes de las negociaciones efectuadas en el escenario de la BMC.
1.1.12 Procedimiento de verificación y consolidación financiera – FCPCPR012
Consolidación de la Información Contable y Financiera de la comisionista
1.2 PROCESO DE TESORERÍA- FCPTES001
Procesar y controlar los movimientos provenientes de transacciones de recursos administrativos y
de terceros de manera oportuna, clara y veraz, en cumplimiento de las instrucciones de la
administración, de los clientes, de los procedimientos instaurados y de las normas que aplican al
manejo de recursos de terceros principalmente, facilitando la actividad de la comisionista.
Elaborar, conformar, preparar y presentar la información proveniente de los movimientos y
transacciones bancarias, como parte integral para la presentación de Estados Financieros, mediante
políticas y procedimientos que permitan la cuantificación de las transacciones y el adecuado reporte
a la Administración a los clientes y a las entidades de inspección, vigilancia y control.
PROCEDIMIENTO DE TESORERIA
1.2.1 Procedimiento de Gestión de Entrada de Recursos por operaciones - FCPTPR001
Elaborar los comprobantes y contabilización de las entradas de recursos de terceros en
cumplimiento de operaciones en desarrollo de la actividad de la comisionista.
1.2.2 Procedimiento de Gestión de Entrada de Recursos Administrativos - FCPTPR002
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 54 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Elaborar los comprobantes y contabilización de las entradas de recursos administrativos en
cumplimiento del desarrollo de la comisionista
1.2.3 Procedimiento de Gestión de Salida de Recursos FCPTPR003
Elaborar los comprobantes y contabilización de las salidas de recursos operativos de terceros,
clientes o mandantes o de los que corresponden al cumplimiento ante la BMC en desarrollo de la
actividad de la comisionista.
1.2.4 Procedimiento de Pago a Proveedores FCPTPR004
Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden a
pago de Proveedores, Servicios Públicos y otros pagos administrativos que corresponden al normal
del funcionamiento de la actividad de la comisionista.
1.2.5 Procedimiento de Pago de Nomina y Seguridad Social FCPTPR005
Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden al
pago de Nomina y otros de Personal, Aportes de Seguridad Social y Parafiscales como pagos
administrativos que corresponden al normal del funcionamiento de la actividad de la comisionista.
1.2.6 Procedimiento de Pago de Impuestos FCPTPR006
Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden al
pago de Impuestos Nacionales o Distritales que le corresponden a la comisionista.
1.2.7 Procedimiento de Elaboración de Informes de Tesorería y Saldos de Clientes FCPTPR007
Elaborar el informe de Tesorería para control de las transacciones y saldos en operaciones de
recursos de terceros y de los recursos propios de la comisionista para la toma de decisiones por
parte de la Administración de la comisionista.
1.2.8 Procedimiento de Manejo de Caja Menor - FCPTPR008
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 55 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Realizar la clasificación y codificación de los gastos menores de la compañía y que pertenecen al
normal desarrollo de la actividad de la comisionista tanto administrativa como operativa.
1.3 PROCESO DE CARTERA - FCPCAR001
Procesar y controlar los movimientos provenientes de transacciones de recursos de terceros de
manera oportuna, clara y veraz, en cumplimiento de las instrucciones de la administración, de los
clientes, de los procedimientos instaurados y de las normas que aplican al manejo de recursos de
terceros principalmente, facilitando la actividad de la comisionista.
Elaborar, conformar, preparar y presentar la información proveniente de los movimientos y
transacciones Realizados por los clientes para el pago de cartera de la comisionista, como parte
integral para la presentación de Estados Financieros, mediante políticas y procedimientos que
permitan la cuantificación de las transacciones y el adecuado reporte a la Administración, a los
clientes y a las entidades de inspección, vigilancia y control.
PROCEDIMIENTOS DE CARTERA
1.3.1 Procedimiento de Verificación y Conciliación de Cartera - FCPCARPR001
Revisar, conciliar y reportar los valores por cobrar a clientes por costos y comisiones en informes
que permitan con claridad efectuar la gestión de cobro adecuada de cartera.
2 MACRO-PROCESO COMERCIAL
2.1 PROCESO VINCULACIÓN CLIENTES
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 56 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Lograr la adopción correcta de políticas de la entidad en el procedimiento de vinculación de clientes
teniendo en cuenta los requerimientos normativos y legales que son exigidos por Reyca S.A.
PROCEDIMIENTO VINCULACION DE CLIENTES
2.1.1 Primer Contacto con el Cliente - COPVCPR001
A través de la buena práctica de este procedimiento atraer al mayor número de clientes aptos al
perfil de Reyca S.A
2.1.2 Procedimiento de Análisis y Verificación del Cliente - - COPVCPR002
Ejercer un buen análisis y clasificación del cliente según su perfil.
2.2 PROCESO INSCRIPCIÓN EN BOLSA DE BIENES Y PRODUCTOS, COMMODITIES,
SERVICIOS, PARA SER TRANSADOS.
Trámite a seguir para el registro o inscripción en el SIBOL de bienes, productos y commodities que
pueden ser transados a través de la Bolsa.
PROCEDIMIENTOS DE REGISTRO O INSCRIPCION EN BMC
2.2.1 Procedimiento inscripción en Bolsa - COPIBPR001
Asegurar un trámite adecuado a seguir para el registro o inscripción en el SIBOL de bienes,
productos y commodities que pueden ser transados a través de la Bolsa.
2.3 PROCESO MANTENIMIENTO CLIENTE
Mantener y fidelizar a el cliente, impidiendo que decida irse para otra firma comisionista.
PROCEDIMIENTO DE MANTENIMIENTO AL CLIENTE
2.3.1 Procedimiento de Mantenimiento del Cliente - COMCPR001
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 57 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Identificar las tendencias temporales de necesidad del cliente para así lograr dar oportuna atención
a estas.
2.3.2 Procedimiento de Defensor del Cliente - COMCPR002
Realizar y entregar un informe en el que se relacionen las quejas y reclamos que se hayan
formulado contra Reyca S.A, y el procedimiento que se adopto frente a cada uno de estas.
2.3.3 Procedimiento de Aplicación de encuestas y toma de Acciones correctivas y preventivas -
COMCPR003
Este procedimiento tiene por objeto establecer y mantener un instrumento con el cual se pueda
evaluar y medir la percepción del cliente externo con respecto a la realización de trámites y la
prestación de servicios.
2.4 PROCESO ASESORÍAS
Ofrecer eficaz y eficientemente asesoría en ingeniería financiera, en procesos empresariales y
programas de inversión dirigida a empresas del sector agropecuario, agroindustrial o de otros
commodities, conociendo ampliamente al cliente para así identificar sus necesidades y objetivos de
inversión y de esta forma brindar soluciones financieras rentables, integrales e innovadoras, que
generen los mejores beneficios del mercado.
PROCEDIMIENTODE ASESORIAS
2.4.1 Procedimiento de Asesoría en Ingeniería Financiera - COPASPR001
2.4.2 Procedimiento de Asesoría en Procesos Empresariales - COPASPR002
2.4.3 Procedimiento de Asesoría en Procesos de Inversión - COPASPR003
3 MACRO-PROCESO DIRECCIÓN GENERAL
3.1 PROCESO PLANEACIÓN ESTRATÉGICA - DGPECA001
Elaborar y llevar a cabo la Planeación Estratégica para Reyca S.A
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 58 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
PROCEDIMIENTO DE PLANEACION
3.1.1 Procedimiento de Planeación Estratégica - DGPEPR001
3.2 PROCESO JUNTA DIRECTIVA - DGJDCA001
Dar cumplimiento al numeral 3.2.4.1. Del Capítulo XXIII: REGLAS RELATIVAS A LA
ADMINISTRACIÓN DEL RIESGO OPERATIVO de la Circular Externa 049:2006 (Diciembre)
Circular Básica Contable y Financiera, emitida por la SFC las funciones de la Junta Directiva
relacionadas con la administración de riesgo operativo, sumado otras actividades propias de la
Junta.
PROCEDIMIENTO DE CUMPLIMIENTO
3.2.1 Procedimiento de Cumplimiento a políticas de riesgo y Manual SARO - DGJDPR001
Evaluar y aprobar de una forma eficiente las políticas de Riesgo y el Manuel SARO
3.2.2 Procedimiento de Dirección General en cumplimiento del Código del Bueno Gobierno -
DGJDPR002
En Junta directiva dar cumplimiento a todas las funciones designadas en el Código del Buen
Gobierno.
4 MACRO EVALUACIÓN CONTROL Y SEGUIMIENTO
4.1 PROCESO RIESGO
Siendo el riesgo una amenaza o incertidumbre a la que se enfrenta la sociedad comisionista por un
evento o acción relacionada con sus objetivos, líneas de negocio, operaciones y demás actividades,
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 59 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
que puedan afectar su situación financiera o al mercado la BMC, la Administración de Riesgos de
Reyca S.A tiene como propósito plasmar las políticas, directrices y procedimientos que seguirá
Reyca y Campo S.A C, para administrar eficientemente los riesgos a que está expuesta en el
desarrollo de las actividades propias de su objeto social.
PROCEDIMIENTOS:
4.1.1 Procedimiento de Clasificación y Reporte del Riesgo - ECPRIPR001
Optimizar el funcionamiento de la firma mediante la identificación de los riesgos inherente a su
razón social y la toma de medidas preventivas.
4.1.2 Procedimiento Scoring Clientes - ECPRIPR002
Desarrollar un eficaz procedimiento de Scoring de Clientes ante la BMC, para evaluación de riesgos
de operaciones y determinación de cupos para celebración de contratos de operaciones CAT, CPT
Y CGT
4.1.3 Procedimiento de Alertas SARLAFT - ECPRIPR003
Ejecutar un adecuado procedimiento de Alertas Sarlaft
4.1.4 Procedimiento de evaluación y envió de documentos para dar cumplimiento a
requerimientos para la aprobación de cupo y expedición de certificados de depósito (CDM),
por el AGD. - ECPRIPR004
Ejecutar un adecuado procedimiento de envió de documentos al AGD para determinación de cupo.
4.1.5 Procedimiento de Creación Cliente en SIIMONA - ECPRIPR005
Ejecutar un adecuado procedimiento de creación de nuevos clientes, de manera tal que cumpla con
las especificaciones requeridas en su totalidad
4.2 PROCESO AUDITORÍA
Garantizar la planeación, ejecución y seguimiento del proceso de auditorías internas a través de la
elaboración y aplicación de programas y planes de auditoría de calidad, la elaboración de reportes
de auditoría y la identificación de áreas de oportunidad.
PROCEDIMIENTOS:
4.2.1 Procedimiento de Auditoría - ECPAPR001
Establecer, preparar y desarrollar un adecuado seguimiento al plan de auditoría en Reyca S.A
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 60 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
4.2.2 Procedimiento de Verificación Mensual de Operaciones de Clientes - ECPAPR002
Lograr la adopción correcta de políticas de la entidad en el procedimiento de vinculación de clientes
teniendo en cuenta los requerimientos normativos y legales que son exigidos por Reyca S.A
5 MACRO-PROCESO ADMINISTRATIVO
Ejecutar las instrucciones de la Gerencia de la compañía dentro de las políticas definidas y el marco
de actuación en que se desenvolverá el comisionista, velando con seguridad la continuidad de la
Firma con el conocimiento pleno los riesgos que implican las actividades de desarrolla y del entorno
de obligatorio cumplimiento aplicable al Mercado de Bienes y Productos Agropecuarios y
Agroindustriales y de otros Commoditties, así como en general a lo referente al marco normativo y
obligatorio de la sociedad en lo que compete comercial, fiscal, laboral y administrativamente, de
manera que se resguarde con diligencia la solvencia de la compañía mediante el control y
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 61 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
administración del recurso humano, de la capacidad técnica suficiente y necesaria para la ejecución
de las actividades.
Suministrar la información a la Gerencia para la toma, gestión, medición y control de los riesgos e
implementar los procedimientos necesarios para el buen funcionamiento de la compañía en todas
las áreas de la misma, asegurando que la organización, procedimientos y controles corresponden,
y que la operatividad se realiza en todo aspecto de conformidad con las políticas y directrices
establecidas, manteniendo la armonía laboral en todas las áreas de la firma mediante la planeación,
organización, supervisión y control adecuado y oportuno a nivel contable, operativo y administrativo
para aprovechamiento de todos los recursos.
5.1 PROCESO DE MANEJO DE RECURSOS FINANCIEROS
Controlar el manejo de los recursos propios y de terceros dentro del desarrollo de la actividad de la
comisionista mediante los elementos, análisis de los movimientos y el cumplimiento efectivo de las
operaciones y negociaciones por cuenta de los mandantes, llevando a cabo independencia total de
los que pertenecen a la firma de los que pertenecen a los clientes acorde con las obligaciones y
normatividad del mercado publico de valores, del reglamento de funcionamiento y operación de la
bolsa y de los instructivos de procedimiento de la BMC.
PROCEDIMIENTOS:
5.1.1 Procedimiento de Gestión de Entrada de Recursos
Elaborar los comprobantes y contabilización de las entradas de recursos administrativos y de
terceros en cumplimiento de operaciones en desarrollo de la actividad de la comisionista. Los de
terceros deben verificarse con el mandato o con las instrucciones dadas.
5.1.2 Procedimiento de Gestión de Salida de Recursos
Elaborar los comprobantes y contabilización de las salidas de recursos operativos de terceros,
clientes o mandantes o de los que corresponden a el cumplimiento ante la BMC en desarrollo de la
actividad de la comisionista.
5.1.3 Procedimiento de Pago a Proveedores
Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden a
pago de Proveedores, Servicios Públicos y otros pagos administrativos que corresponden al normal
del funcionamiento de la actividad de la comisionista.
5.1.4 Procedimiento de Elaboración de Informes de Tesorería y Saldos de Clientes
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 62 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Elaborar el informe de Tesorería para control de las transacciones y saldos en operaciones de
recursos de terceros y de los recursos propios de la comisionista para la toma de decisiones por
parte de la Administración de la comisionista.
5.1.5 Procedimiento de Verificación y Conciliación de Cartera
Revisar, conciliar y reportar los valores por cobrar a clientes por costos y comisiones en informes
que permitan con claridad efectuar la gestión de cobro adecuada de cartera.
5.2 PROCESO DE REPORTE DE INFORMACIÓN
Elaborar y reportar la información financiera de la comisionista consolidada para la toma de
decisiones por parte de la Gerencia y Junta Directiva, efectuar la transmisión de la información
periódica a la Superintendencia Financiera de Colombia y a la Bolsa Mercantil de Colombia
oportunamente.
PROCEDIMIENTOS:
5.2.1 Procedimiento de Verificación y Consolidación Financiera
Consolidación de la Información Contable y Financiera de la comisionista para la: Consolidación de
la información Contable. Generación de Balance de Prueba, Generación de Plano de Transmisión
Mensual a la Superintendencia Financiera, Elaboración de Informes para Junta Directiva, Reporte
de Información a la BMC y Elaboración de Informe de Presentación Financiera Mensual.
5.2.2 Procedimiento de Rendición de Cuentas y Gestión Administrativa
Informar las cuentas comprobadas de la gestión en lo exigido por la Gerencia, Junta Directiva o
Asamblea de Accionistas y cumplimiento de esquemas de Conducta y ética, SARO y SARLAFT y de
los estatutos sociales.
5.2.3 Procedimiento de Cumplimiento de Obligaciones Formales
Remitir oportunamente la información de carácter general de obligatorio cumplimiento ente las
entidades de vigilancia, inspección y control y de autorregulación
5.3 PROCESO DE ADMINISTRACIÓN DEL RECURSO HUMANO
Brindar a través de la administración del recursos humano la vinculación del personal necesario e
idóneo para el desarrollo de las actividades del normal funcionamiento de la comisionista, mediante
le cumplimiento de los objetivos y principios determinados por las Directivas de la compañía,
contemplando para ello la capacitación y actualización debida de funciones y de los lineamientos
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 63 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
que garanticen un ambiente laboral de armonía y compensación adecuada. Definidos en el modelo
de competencias organizacionales de la comisionista y la evaluación de cargos y perfiles
correspondientes, veedor del cumplimiento de lealtad, ética y conducta.
PROCEDIMIENTOS:
5.3.1 Procedimiento de Vinculación de Personal
Adelantar el procedimiento de contratación de los nuevos funcionarios y velar porque este se
efectué en los tiempos requeridos para el cubrimiento de las actividades y funciones necesarias en
la organización y el normal desarrollo de la actividad de la comisionista, dentro de las normas
vigentes.
5.3.2 Procedimiento de Capacitación del Personal
Adelantar las tareas y actividades orientadas a mantener el conocimiento integral por parte del
empleado de lo que debe realizar en el normal desarrollo de sus funciones, aplicadas a las
modificaciones en los instructivos de la compañía de la BMC.
5.3.3 Procedimiento de Seguimiento de Cumplimiento de Obligaciones laborales y funciones
Monitorear las actividades realizadas por el personal y cumplimiento de sus funciones y
responsabilidades.
5.3.4 Procedimiento de Preparación y Liquidación de Nomina
Efectuar la liquidación para pagos de salarios al personal y calculo de aportes de seguridad social,
parafiscales y provisiones laborales, con base en las novedades recibidas.
5.3.5 Procedimiento de Remoción y Desvinculación de Personal
Efectuar la liquidación final de prestaciones sociales de los empleados retirados o que
voluntariamente presentan renuncia conforme a las normas laborales vigentes.
5.4 PROCESO DE GESTIÓN DE RECURSOS FÍSICOS
Proveer y mantener los elementos físicos y de oficina, insumos, papelería y demás requeridos para
el desarrollo de las funciones y labores del personal, así como vigilar el buen uso que el personal
realice de los activos entregados y responsabilidad de los mismos. La adquisición de nuevos activos
requeridos para la ejecución de tareas, igualmente la actualización y mantenimiento de programas y
software utilizados legalmente por la compañía, Vigilar y conservar los bienes sociales.
PROCEDIMIENTOS:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 64 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
5.4.1 Procedimiento de Compra de Suministros y Elementos de Oficina
Realizar las compras y gastos necesarios para la buena marcha de la Compañía y todos los pagos
que se realizan en la oficina.
5.4.2 Procedimiento de Compra de Activos Fijos y Software
Realizar las compras de Activos Fijos y Programas de Sistemas necesarios y que garanticen el
desarrollo de las actividades y funciones de la comisionista.
5.5 PROCESO DE CONTRATACIÓN
Garantizar la evolución de los negocios de la compañía mediante la vinculación de proveedores de
bienes y servicios, o de asesores o profesionales que brinden una gestión eficaz orientada a cumplir
con las exigencias normativas y con los logros definidos por la organización.
PROCEDIMIENTOS:
5.5.1 Procedimiento de Contratación de Proveedores y Asesores Profesionales
Mantener la prestación de servicios y asesoramiento necesarios y permanentes para el
cumplimiento de objetivos y funcionamiento de la organización.
5.6 PROCESO DE GESTIÓN DE REQUERIMIENTOS DE ENTIDADES
Cumplir con los requerimientos establecidos por las entidades de vigilancia y así desarrollar el
objeto de forma eficaz.
PROCEDIMIENTOS:
5.6.1 Procedimiento de Gestión de Requerimientos de Entidades
Elaborar los informes de respuesta a requerimientos que se deban presentar a la Superintendencia
Financiera, la DIAN, Junta Directiva, La Gerencia General, etc. según lo establecen las normas o
cuando estas lo soliciten
5.7 PROCESO DE CUSTODIA Y MANEJO DE INFORMACIÓN
Conservar la documentación y comunicaciones soporte de las negociaciones efectuadas en la
compañía, la que corresponde a vinculados, accionistas, clientes, operaciones, personal,
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 65 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
contratación, proveedores, financiera, contable y administrativa, así como de la información en
medio magnético a cargo de todos los funcionarios de la organización.
PROCEDIMIENTOS:
5.7.1 Procedimiento de Correspondencia Recibida
Controlar la correspondencia recibida en la comisionista de toda índole.
5.7.2 Procedimiento de Correspondencia Remitida
Controlar la correspondencia remitida por la comisionista de toda índole.
5.7.3 Procedimiento de Custodia y Manejo de Información
Proteger la información que se produce dentro de la empresa. Registrar todas las reuniones de
Asamblea y Junta Directiva en su respectivo libro de actas. Efectuar copia de seguridad del sistema
contable periódicamente.
6 MACRO-PROCESO OPERACIONAL
6.1 PROCESO OPERATIVO DE ASESORÍA
Evaluar problema o necesidad del cliente que se pretende solucionar; el objetivo indagar sobre la
pertinencia y conveniencia de llevar a cabo el proyecto, llevarlo a cabo y dar solución a los
problemas del cliente.
PROCEDIMIENTOS:
6.1.1 Procedimiento Asesoría en Banca de Inversión - OPOAPRO001
Evaluar problema o necesidad que se pretende solucionar; de manera que se prepara su
información y se cuantifican y valoran sus costos y beneficios. Igualmente se preparan los diseños
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 66 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
preliminares si éstos se requieren. El objetivo de esta etapa, es indagar sobre la pertinencia y
conveniencia de llevar a cabo el proyecto antes de iniciar las obras o acciones que lo harán
realidad.
6.1.2 Procedimiento Expost Asesoría en Banca de Inversión - OPOAPRO002
La evaluación expost examina el proyecto de asesoría, una vez ha concluido el ciclo de vida,
determinando las razones de éxito o fracaso con el fin de replicar las experiencias exitosas en el
futuro y de evitar los problemas ya presentados.
6.2 PROCESO REGISTRO DE FACTURAS
Detallar el procedimiento de ingresar facturas de operaciones de compra y/o de venta de los
productos naturales o con procesamiento industrial primario, según parámetros establecidos por
REYCA CORREDORES S.A teniendo en cuanta procesos internos para validar un cliente tales
como SARLAFT, SARO y todos los requerimientos que conllevan ser un cliente sin riesgo para la
firma y a su vez el cliente pueda adquirir otro tipo de producto para su beneficio, además se deben
tener encuentra las normas exigidas por la Superintendencia Financiera para que sea un proceso
claro y sin ningún riesgo de fraude o lavado de activos.
PROCEDIMIENTOS:
6.2.1 Procedimiento de Registro de Facturas - OPPRFPR001
Detallar el procedimiento de ingresar facturas de operaciones de compra y/o de venta de los
productos naturales o con procesamiento industrial primario, según parámetros establecidos por
REYCA CORREDORES S.A teniendo en cuanta procesos internos para validar un cliente tales
como SARLAFT, SARO y todos los requerimientos que conllevan ser un cliente sin riesgo para la
firma y a su vez el cliente pueda adquirir otro tipo de producto para su beneficio, además se deben
tener encuentra las normas exigidas por la Superintendencia Financiera para que sea un proceso
claro y sin ningún riesgo de fraude o lavado de activos.
6.3 PROCESO OPERACIONES FÍSICOS
Realizar un óptimo procedimiento para llegar a realizar operaciones de mercado de compras
públicas tales como físicos disponibles y forwards.
PROCEDIMIENTOS:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 67 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
6.3.1 Procedimiento de para participación en venta de Operaciones de Mercado Abierto (OMAS)
Físicos Disponibles y Forward - OPPFDPR001.
Ejercer una adecuada participación en venta de Operaciones de Mercado Abierto: Físicos
disponibles y Forward
6.3.2 Procedimiento para dar cumplimiento en la participación en venta de operaciones de mercado
abierto: Físicos Disponibles y Forward - OPPFDPR002.
Ejercer una adecuada actividad en el cumplimiento de operaciones en punta vendedora en el
mercado abierto de Físicos disponibles y Forward
6.3.3 Procedimiento de participación de firma comisionista compradora para mercado de compras
públicas - OPPFDPR003.
Realización de un adecuado procedimiento para la participación en adjudicación por subasta de la
firma comisionista en el escenario del Mercado de Compras Públicas ‐ MCP de la BMC, para actuar
como representantes de las Entidades Estatales, quienes buscan atender sus necesidades de
compra de bienes de características técnicas uniformes y/o de origen agrícola, en el escenario de la
Bolsa,
6.3.4 Procedimiento para participación en punta compradora en operaciones de mercado abierto:
físicos disponibles y forward - OPPFDPR004.
Ejercer una adecuada participación en punta compradora en Operaciones de Mercado Abierto:
Físicos disponibles y Forward
6.3.5 Procedimiento de cumplimiento por la participación en punta compradora de operaciones de
mercado abierto: físicos disponibles y forward - OPPFDPR005
Ejercer una adecuada actividad en el cumplimiento de operaciones en punta compradora en el
mercado abierto de Físicos disponibles y Forward
6.4 PROCESO FINANCIEROS
Realizar un óptimo procedimiento para llegar a realizar operaciones de financieros.
PROCEDIMIENTOS:
6.4.1 Procedimiento Operaciones Financieros De Inversión - OPFIPRO001
Realizar un óptimo procedimiento para llegar a realizar operaciones de financieros.
6.4.2 Procedimiento Operaciones de CAT, CPT Y Repos sobre CDM - OPFIPRO002
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 68 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Realizar un óptimo procedimiento de Operaciones de CAT, CPT Y Repos sobre CDM.
6.5 PROCESO OMAS FINANCIEROS – SUBASTAS
Realizar un óptimo procedimiento para la participación en subasta.
PROCEDIMIENTOS:
6.5.1 Procedimiento para participación en Subasta - OPPSUPR001
Realizar un óptimo procedimiento para la participación en subasta.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 69 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
ANEXO 2. FACTORES DE RIESGO OPERATIVO
1. FACTORES DE RIESGO OPERATIVO
Se entiende por factores de riesgo operativo, las fuentes generadoras de eventos en las que se
originan las pérdidas por riesgo operativo.
De acuerdo con la clasificación general establecida en el Capítulo XXIII de la Circular Externa 100
de 1995 de la Superintendencia Financiera, los factores de riesgo operativo se clasifican de la
siguiente forma:
1.1 Factores Internos
1.1.1 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la
ejecución de los procesos de la Compañía.
Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos
de la legislación vigente.
La vinculación indirecta hace referencia a aquellas personas que tienen con la Compañía una
relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato
de trabajo, como el caso del outsourcing.
1.1.2 Procesos: Es el conjunto interrelacionado de actividades para la transformación de
elementos de entrada en productos o servicios, para satisfacer una necesidad.
1.1.3 Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la
Compañía. Incluye: hardware, software y telecomunicaciones.
1.1.4 Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una
organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y
transporte.
1.2 Factores Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por
terceros, que escapan en cuanto a su causa y origen al control de la Compañía.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 70 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
La Compañía adopta estos factores de riesgo como los factores principales. No obstante, la
Coordinación de Riesgo podrá establecer un segundo nivel de clasificación de factores, más
detallado, con el fin de poder llevar a cabo un mejor seguimiento y evaluación de los mismos.
2. CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS
De acuerdo con la clasificación general establecida en el Capítulo XXIII de la Circular Externa 100
de 1995 de la Superintendencia Financiera, los eventos que pueden originar o no pérdidas para la
Compañía, como resultado de la presencia de uno o más de los anteriores factores de riesgo, son
los siguientes:
2.1. Fraude Interno: Son aquellas pérdidas derivadas de cualquier acto que de forma intencionada
busca defraudar o apropiarse indebidamente de activos de la Compañía o incumplir normas,
leyes o políticas empresariales en las que está implicado, al menos, un empleado o
administrador de la Compañía, en beneficio propio o de un tercero.
2.2. Fraude Externo: Son pérdidas derivadas de cualquier acto, realizado por una persona externa
a la Compañía, que buscan defraudar, apropiarse indebidamente de activos de la misma o
incumplir normas o leyes.
2.2.1 Relaciones Laborales: Pérdidas derivadas de actos que son incompatibles con la
legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente
sobre la materia.
2.2.2 Clientes: Pérdidas derivadas del incumplimiento negligente o involuntario de las
obligaciones frente a los clientes, que impiden satisfacer una obligación profesional frente a
éstos.
2.2.3 Daños a Activos Físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la
Compañía.
2.2.4 Fallas Tecnológicas: Pérdidas derivadas de fallas tecnológicas.
2.2.5 Ejecución y Administración de Procesos: Pérdidas derivadas de errores en la ejecución
y administración de procesos.
2.2.6 Riesgo Operativo como Consecuencia del Riesgo Legal: Se entiende por riesgo legal la
posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar
daños como consecuencia del incumplimiento de las normas y obligaciones contractuales.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 71 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
También el riesgo legal se presenta como consecuencia de errores en los contratos y
transacciones, resultantes de comportamientos malintencionados, negligencia o actos
involuntarios que afectan el buen desempeño y ejecución de contratos o transacciones
2.2.7 Riesgo Operativo como Consecuencia del Riesgo Reputacional: Se entiende por riesgo
reputacional la posibilidad de pérdida en que incide la Compañía por desprestigio, mala
imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de
negocio, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Se adoptan estos factores de riesgo para la Compañía como los más importantes. La
Coordinación de Riesgo podrá realizar una segunda clasificación de factores, con más
detalle con el objetivo de tener un seguimiento y evaluación de los mismos.
Categorías de tipos
de eventos Definición
Subcategorías de tipos
de evento Ejemplos
Fraude interno
Pérdidas derivadas de algún tipo de
actuación encaminada a defraudar,
apropiarse de bienes indebidamente o
soslayar regulaciones, leyes o políticas
empresariales (excluidos los eventos de
diversidad / discriminación) en las que se
encuentra implicada, al
Actividades no
autorizadas
Operaciones no reveladas (intencionalmente)
Operaciones no autorizadas
Valoración errónea de posiciones
(intencional)
Uso indebido de facultades y poderes.
Hurto y fraude Fraude / fraude crediticio / depósitos sin valor
Hurto / extorsión / malversación / robo
Apropiación indebida de activos
Destrucción dolosa de activos
Falsificación
Utilización de cheques sin fondos
Contrabando
Apropiación de cuentas, de identidad, etc.
Fraude externo
Pérdidas derivadas de algún tipo de
actuación encaminada a defraudar,
apropiarse de bienes indebidamente o
soslayar la legislación, por parte un tercero
Hurto y fraude Hurto/ robo / estafa / extorsión /soborno
Falsificación / suplantación de personalidad
Utilización de cheques sin fondos
Contrabando
Espionaje industrial
Seguridad de los
sistemas
Daños por ataques informáticos
Robo de información
Vulneración de sistemas de seguridad
Utilización inadecuada de claves de acceso
y/o niveles de autorización.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 73 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Categorías de tipos
de eventos Definición
Subcategorías de tipos
de evento Ejemplos
Fallas en las
relaciones laborales
Pérdidas derivadas de actuaciones
incompatibles con la legislación o
acuerdos laborales, sobre higiene o
seguridad en el trabajo, sobre el pago de
reclamaciones por daños personales, o
sobre casos relacionados con la diversidad
/ discriminación
Relaciones laborales Cuestiones relativas a remuneración,
prestaciones sociales, extinción de contratos.
Higiene y seguridad en
el trabajo
Responsabilidad en temas de seguridad
(resbalones, etc.)
Casos relacionados con las normas de
higiene y seguridad en el trabajo
Indemnización a los trabajadores.
Diversidad y
discriminación
Todo tipo de discriminación
Invasión a la intimidad y/o acoso.
Prácticas comerciales
no adecuadas
Pérdidas derivadas del incumplimiento
involuntario o negligente de una obligación
profesional frente a clientes concretos
(incluidos requisitos fiduciarios y de
adecuación), o de la naturaleza o diseño
de un producto
Adecuación, divulgación
de información y
confianza
Abusos de confianza
Aspectos de divulgación / adecuación de
información
Violación de privacidad sobre clientes
Ventas agresivas
Confusión de cuentas
Abuso de información confidencial
Prácticas empresariales
o de mercado
improcedentes
Competencia desleal
Prácticas comerciales / de mercado
improcedentes Manipulación del mercado
Abuso de información privilegiada (en favor
de la empresa) Actividades no autorizadas
Lavado de dinero
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 74 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Productos defectuosos Defectos del producto
Vender un producto en condiciones
diferentes a las pactadas
Error de los modelos (cálculos de tasas,
cuotas, etc.)
Selección, patrocinio y
riesgos
Ausencia de investigación a clientes
conforme a las directrices (vinculación)
Superación de los límites de riesgo frente a
clientes
Actividades de
asesoramiento
Asesorar a un cliente erradamente
Categorías de tipos
de eventos Definición
Subcategorías de tipos
de evento Ejemplos
Daño a activos físicos
Pérdidas derivadas de daños o perjuicios a
activos materiales como consecuencia de
desastres naturales u otros
acontecimientos
Desastres y otros
acontecimientos
Pérdidas por desastres naturales
Pérdidas humanas por causas externas
(terrorismo, vandalismo)
Pérdidas por daño accidental del activo
Fallas tecnológicas
Pérdidas derivadas de incidencias en el
negocio y de fallos en los sistemas
Fallas en tecnología e
infraestructura de TI
Pérdidas por costo de reparación o
reposición de hardware, software y
telecomunicaciones
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 75 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Fallas en la ejecución
y administración de
procesos
Pérdidas derivadas de errores en el
procesamiento de operaciones o en la
gestión de procesos, así como de
relaciones con contrapartes comerciales y
proveedores
Recepción, ejecución y
mantenimiento de
operaciones
Comunicación defectuosa
Errores de introducción de datos,
mantenimiento o descarga Incumplimiento de
plazos o de responsabilidades
Ejecución errónea de modelos / sistemas
Error contable / atribución a entidades
erróneas
Fallo en la entrega / pago
Fallo en
Interrupción de proceso Interrupción del proceso que puede darse
por:
- Ausencia del funcionario que ejecuta el
procedimiento
- No disponibilidad de lugar de trabajo
- No disponibilidad de suministros básicos
para ejecutar el procedimiento
- Fallas en las aplicaciones que soportan los
procedimientos
Seguimiento y
presentación de informes
Incumplimiento de la obligación de informar
Inexactitud de informes externos (con
generación de pérdidas)
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 76 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Categorías de tipos
de eventos Definición
Subcategorías de tipos
de evento
Ejemplos
Fallas en la ejecución
y administración de
procesos
Pérdidas derivadas de errores en el
procesamiento de operaciones o en la
gestión de procesos, así como de
relaciones con contrapartes comerciales y
proveedores
Aceptación de clientes y
documentación
Inexistencia de autorizaciones de clientes.
Documentos jurídicos inexistentes /
incompletos
Errores en los contratos (diseño deficiente,
errores tipográficos, cláusulas erróneas,
entre otros)
Gestión de cuentas de
clientes
Acceso no autorizado a cuentas
Registros incorrectos de clientes (con
generación de pérdidas)
Pérdida o daño de activos de clientes por
negligencia
Contrapartes
comerciales
Fallos de contrapartes distintas de clientes
Otros litigios con contrapartes distintas de
clientes
Errores en los contratos (diseño deficiente,
errores tipográficos, cláusulas erróneas,
entre otros)
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 77 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Distribuidores y
proveedores
Subcontratación
Litigios con distribuidores
Errores en los contratos (diseño deficiente,
errores tipográficos, cláusulas erróneas,
entre otros)
ANEXO 3. MAPA DE PROCESOS
Procesos Estratégicos
Planeación Estratégica
Gestión de Riesgos
Gestión de la Evaluación y
Control
Actividades de Apoyo
Gestión Administrativa
Administración de Sistemas
Gestión Contable
Gestión Jurídica
Procesos Misionales
Gestión Comercial
Gestión Operacional
Gestión Tesorería
Gestión de Cartera
Necesid
ades d
el cliente
Satisfacció
n d
el cliente
MAPA DE PROCESOS
ANEXO 4. FORMATO REPORTE DE EVENTO DE RIESGO
OBJETIVO DEL REGISTRO
1
URO
No. De Reporte Fecha de Reporte
HORA
HORA
HORA
HORA
Moneda en la cuál se materializa el evento Dólares Euros Pesos Otra cual?
1. Monto en pesos de la pérdida (2,4) Clase de Evento
2. Cuantía Recuperada 1. Fraude Interno
3. Cuantía Recuperada por Seguros 2. Fraude Externo
3. Relaciones Laborales
Pérdida neta (1-2-3) 4. Clientes
5. Daños a Activos físicos
6. Fallas tecnológicas
Producto o Servicio Afectado OPE 7. Fallas en ejecución de procesos
FÍSICOS
FINANCIEROS
SERVICIO ATENCIÓN AL CLIENTE
Insignificante Menor Moderado Mayor Catastrófico
3 6 9 11 13
Generan pérdidas y afectan el estado de resultados de la entidad
Generan pérdidas y no afectan el estado de resultados de la entidad
No Generan pérdidas y no afectan el estado de resultados de la entidad
No. Cuenta PROCESO GESTIÓN COMERCIAL
PROCESO OPERATIVO
PROCESO GESTIÓN FINANCIERA
PROCESO GESTIÓN ADMINISTRATIVA
PROCESO CONTROL INTERNO
DESCRIPCIÓN DEL EVENTO
LÍNEA OPERATIVA
TIPO DE PÉRDIDA
PROCESO AFECTADO
NOMBRE CUENTAS DEL PUC AFECTADAS
IMPACTO
CRONOLOGÍA DEL EVENTO
FECHA DE INICIO DEL EVENTO (día/mes/año)
FECHA DE FINALIZACIÓN DEL EVENTO (día/mes/año)
FECHA Junio 19 de 2007 APROBADO
FECHA DE DESCUBRIMIENTO DEL EVENTO (día/mes/año)
FECHA DE CONTABILIZACIÓN DEL EVENTO (día/mes/año)
REPORTE DE EVENTO DE RIESGO
REGISTRO
Hacer el reporte de evento de riesgo para llevar archivo histórico sobre el cual se puedan evaluar y tomar decisiones.
CÓDIGO AMREG003 VERSIÓN
top related