MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO) VERSIÓN 7. Diciembre 2014 DIRECCIÓN: CALLE 94A # 11 A – 73 PISO 2 Bogotá – Colombia PBX 621 58 11 - FAX 621 58 11 Ext. 116 CALLE 85 # 48-01 BL 31 OF 809 CENTRAL MAYORISTA DE ANTIOQUIA-ITAGÜÍ PBX : 444 83 77 FAX 366 63 63 www.reycacorredores.com.co
79
Embed
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO … · manual del sistema de administraciÓn de riesgo operativo (saro) versiÓn 7. diciembre 2014 direcciÓn: calle 94a
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO)
9.1. ORGANIGRAMA ............................................................................................................ 17 9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS ............................... 18
9.2.3. UNIDAD DE RIESGO OPERATIVO (URO)......................................................................... 19
9.2.4. COMITÉ INTERNO DE ADMINISTRACIÓN DE RIESGO ................................................... 20
9.2.5. ÓRGANOS DE CONTROL ................................................................................................. 21
9.2.8. RESPONSABILIDAD GENERAL DE TODAS LAS ÁREAS ............................................... 22
11. MACROPROCESOS .......................................................................................................... 24 12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO .......................................... 25
13.2. IDENTIFICACIÓN DEL RIESGO .................................................................................... 27 13.2.1. CRITERIO PARA IDENTIFICAR LOS RIESGOS ............................................................... 27
13.2.2. CRITERIOS PARA LA IDENTIFICACIÓN DE CONTROLES ............................................. 28
13.3. MEDICIÓN DEL RIESGO ............................................................................................... 30 13.3.1. VALORACIÓN DEL RIESGO INHERENTE ........................................................................ 31
13.3.2. VALORACIÓN DEL RIESGO RESIDUAL .......................................................................... 34
14. ETAPA DE CONTROL DEL RIESGO OPERATIVO ............................................................ 36 15. MATRIZ DE RIESGO OPERATIVO (MRO) ......................................................................... 37 16. REPORTE DE EVENTOS DE RIESGO OPERATIVO .......................................................... 38 17. NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO ................................................... 40 18. PROCEDIMIENTOS PARA EL MONITOREO DEL RIESGO ............................................... 40
18.4. NUEVOS PROCESOS O MODIFICACIÓN DE PROCESO EXISTENTE ............................ 43
18.5. PROCESO PARA ADMINISTRAR LA CONTINUIDAD DEL NEGOCIO ............................. 43
18.6. CULTURA DE RIESGOS .................................................................................................... 44
18.7. COORDINACIÓN DE COMUNICACIONES ........................................................................ 44
18.8. PLANES DE CONTINGENCIAS ......................................................................................... 45
18.9. REPORTES INTERNOS Y EXTERNOS ............................................................................. 46
19. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN . 46 20. AUDITORIA ........................................................................................................................ 48
21. PLATAFORMA TECNOLÓGICA ........................................................................................ 49 22. REVELACIÓN CONTABLE ................................................................................................ 49
23. CAPACITACIÓN Y DIVULGACIÓN .................................................................................... 50
ANEXO 3. MAPA DE PROCESOS ................................................................................................. 78
ANEXO 4. FORMATO REPORTE DE EVENTO DE RIESGO ......................................................... 79
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 4 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
1. INTRODUCCIÓN
El presente manual define los componentes de la estructura para el Sistema de Administración de
Riesgo Operativo (SARO) se realizó buscando dar cumplimiento con lo establecido por la
Superintendencia Financiera de Colombia (SFC) en su Circular Externa 048 de 2006 en
concordancia con las C. E. Nos. 037/07 y 041/07 y facilitar una guía en caso que se presenten
eventos de riesgo operativo en los procesos de RENTA Y CAMPO CORREDORES S.A. (REYCA
S.A.). Este Manual está compuesto de los diferentes elementos mediante los cuales se busca
obtener una efectiva administración del riesgo operativo de la compañía.
Para su elaboración se hizo un previo análisis del mapa de procesos de la firma, los procedimientos
de cada actividad, relacionándolos con el evento de riesgo que pudieran presentar, buscando
siempre la depreciación del riesgo inherente. Este sistema se ha establecido atendiendo la
estructura, tamaño y su calidad de comisionista de la Bolsa Mercantil de Colombia, con la finalidad
de identificar, medir, controlar y monitorear eficazmente el riesgo operativo.
Debido al creciente fortalecimiento de los mercados y a la mayor diversificación de productos y
servicios financieros, se hace necesario crear mecanismos de protección frente al Riesgo Operativo
y generar consciencia al interior de la Firma Comisionista, sobre la importancia que tiene la
prevención de toda clase de Riesgos, cuya materialización afecta considerablemente el desarrollo
de su objeto social.
El presente Manual del Sistema de Administración del Riesgo Operativo (SARO) de RENTA Y
CAMPO CORREDORES S.A. Establece el marco general de políticas tendientes a controlar el
riesgo inherente, generado en el desarrollo de las operaciones, en busca de minimizar la
probabilidad de ocurrencia y de tener una actuación rápida frente a cualquier riesgo residual,
logrando así un mayor control administrativo del riesgo operativo.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 5 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
2. GENERALIDADES
Teniendo en cuenta que el riesgo es una eventualidad inherente a toda actividad del ser humano y
que su manejo puede ser consciente o inconsciente, es un aspecto primordial y de mayor
importancia para todos sus funcionarios y colaboradores de RENTA Y CAMPO CORREDORES
S.A. Por lo tanto debe realizarse en forma sistemática, mediante la estructuración de políticas,
procesos, procedimientos y funciones, de obligatorio cumplimiento por parte de todos
Para una mejor comprensión y aplicación del presente Manual, el Capítulo XXIII de la Circular
Básica Jurídica, expedida por la Superintendencia Financiera de Colombia incluye las siguientes
definiciones y clases de Riesgos:
3. DEFINICIÓN DE TÉRMINOS
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 6 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Clientes: son las personas naturales o jurídicas con las que mantenemos relaciones comerciales
para la prestación del servicio propio de nuestra actividad empresarial. Las Fallas negligentes o
involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación
profesional frente a éstos.
Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.
Dueño del Proceso: Responsable de la administración de un proceso; es decir, de su planeación,
organización, dirección y control.
Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y
administración de los procesos.
Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo
determinado.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las
entidades.
Eventos de riesgo operativo: Se define evento como incidente o situación que ocurre en un lugar
particular durante un intervalo de tiempo determinado. Los eventos de pérdida son aquellos
incidentes que generan pérdidas por riesgo operativo a las entidades.
Facilitador: Persona que por su conocimiento de un proceso o de una labor, ayuda a orientar y
aclarar las dudas de un grupo de trabajo, en donde se desarrollan actividades relacionadas con
dicho proceso o labor.
Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de eventos en las
que se originan las pérdidas por riesgo operativo. Son factores de riesgo el recurso humano, los
procesos, la tecnología, la infraestructura y los acontecimientos externos.
Factores de Riesgo Internos: Los recursos humanos; los procesos; la tecnología; y la
infraestructura. Sobre estos factores, la organización tiene un control directo.
a. El recurso humano: está representado por el conjunto de personas vinculadas directa o
indirectamente que realizan la ejecución de los procesos de la entidad. Se entiende por
vinculación directa, aquella basada en un contrato de trabajo según los términos de la
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 7 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen
con la entidad una relación jurídica de prestación de servicios.
b. Los procesos: Es el conjunto de actividades para la transformación de elementos de
entrada en productos o servicios, para satisfacer una necesidad. En RENTA Y CAMPO
CORREDORES S.A. los procesos están divididas en:
a. Comercial
b. Financiero y contable
c. Recurso Humano
d. Infraestructura
e. Tecnológico
c. La Infraestructura: es el conjunto de elementos de apoyo para el funcionamiento de la
empresa. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y
transporte, dotaciones físicas.
d. La tecnología: es el conjunto de herramientas empleadas para soportar los procesos de
RENTA Y CAMPO CORREDORES S.A. Incluye: hardware, software y telecomunicaciones.
Factores de riesgo Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados
por terceros, que escapan en cuanto a su causa y origen al control de la RENTA Y CAMPO
CORREDORES.
Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.
Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de
activos de RENTA Y CAMPO CORREDORES S.A. o incumplir normas o leyes, en los que está
implicado, al menos, un empleado o administrador de la empresa.
Fraude Externo: Actos realizados por una persona externa a RENTA Y CAMPO CORREDORES
S.A., que buscan defraudar, apropiarse indebidamente de activos de las misma o incumplir normas
o leyes.
Grupo de Controles: Suma de controles y la clasificación a la que pertenecen.
Gobierno Corporativo: Códigos de Buen Gobierno Corporativo que deben ajustarse a la actividad
comercial de cada sociedad y arrojar como resultado un marco autorregulatorio que garantice a los
clientes, accionistas y otros aportantes de recursos, transparencia, objetividad y competitividad.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 8 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos,
estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo,
implementación y seguimiento del SARO.
Matrices de Riesgo: Bases de datos que contienen toda la información necesaria para identificar
una clase de riesgo en particular, incluyendo sus características, los controles y planes de
contingencia establecidos, y los responsables de los mismos. Estas Matrices también contienen
una calificación o rating para cada riesgo o evento de pérdida.
Outsourcing: Servicio relacionado con actividades administrativas y/o operativas de la que la
misma subcontrata con terceros en lugar de realizarlo ella misma.
Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los
gastos derivados de su atención.
Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta
RENTA Y CAMPO CORREDORES S.A.
Plan de continuidad del negocio: Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en
caso de interrupción.
Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones
específicas de un sistema o proceso.
Proceso: Conjunto interrelacionado de actividades para la transformación de elementos de entrada
en productos o servicios, para satisfacer una necesidad, tanto interna como externa.
Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos
internos de trabajo y en general, la legislación vigente sobre la materia.
Riesgo: es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las
amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o
sea, en la probabilidad de que ocurra un desastre.
Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los
controles.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 9 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada
a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones
contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que
afectan la formalización o ejecución de contratos o transacciones.
Riesgo Operativo (RO): la posibilidad de incurrir en pérdidas por deficiencias, fallas o
inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional,
asociados a tales factores.
Riesgo reputacional: Es la posibilidad de pérdida en que incurre la Compañía por desprestigio,
mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de
negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. Es el riesgo que
queda, una vez se han instrumentado los controles pertinentes para su tratamiento. En todo caso
exige un permanente monitoreo para observar su evolución.
Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como
políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo
operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo
operativo.
Unidad de Riesgo Operativo (URO): Es el área o cargo, designada por el Representante Legal de
la Compañía, la cual deberá coordinar la puesta en marcha y seguimiento del SARO. Corresponde
a la Dirección de Riesgo.
4. PRINCIPIOS INSTITUCIONALES
MISIÓN
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 10 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Generar rentabilidad a nuestros clientes a través de estructuras financieras competitivas y
confiables y creando y utilizando canales de comercialización seguros y eficientes para
commodities, apoyando el crecimiento sostenible del campo y la industria colombiana.
VISIÓN
Ser la empresa líder de la BMC con sostenibilidad, eficiencia y solidez, fidelizando a nuestros
clientes con soluciones financieras rentables, integrales e innovadoras y con la comercialización de
productos para los sectores agropecuarios y agroindustrial.
VALORES
Honestidad
Responsabilidad
Respeto
Integridad
Confianza
Transparencia
Actitud positiva
Trabajo en equipo
5. OBJETIVOS
El Manual del Sistema de Administración de Riesgo Operativo tiene como objetivos:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 11 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Cumplir específicamente con lo establecido en el Capítulo XXIII de la Circular Externa 100 de
1995 de la Superintendencia Financiera, en lo que respecta al desarrollo e implementación del
Sistema de Administración del Riesgo Operativo (SARO).
Determinar las políticas de Administración del Riesgo Operativo.
Establecer al interior de la Compañía las responsabilidades que implican a cada una de las
áreas en el riesgo Operativo.
Identificar las fuentes más importantes de riesgos de la Organización.
Determinar un procedimiento para su medición, en términos de severidad y probabilidad de
ocurrencia.
Diseñar un procedimiento para su seguimiento y control.
5.1. OBJETIVO GENERAL
El principal objetivo del Sistema de Administración de Riesgos Operativos que se encuentra
implementado, es crear controles de protección frente al Riesgo Operativo, que permitan a la Firma
Comisionista prevenir o mitigar la probabilidad de ocurrencia de eventos de Riesgo, que puedan
afectar considerablemente el desarrollo de su objeto social. a través de las diferentes Etapas y
Elementos consagrados en el Capítulo 23 de la Circular Externa 041 de 2007, expedida por la
Superintendencia Financiera de Colombia, y demás normas concordantes y complementarias.
5.2. OBJETIVOS ESPECIFICOS
Establecer en cada uno de los procesos, metodologías de identificación, medición, control y
monitoreo de los riesgos operativos a los que se puede ver expuesta la Firma, efectuando la
valoración de los mismos, para así determinar el perfil de riego operativo que permita la
mitigación de éstos, en función de la eficacia en la aplicación de controles.
Divulgar y capacitar a los funcionarios en cada una de las etapas de implementación del
sistema y sus elementos.
Registrar los eventos de riesgo operativo que se presenten.
Identificar oportunidades de mejoramiento en cada uno de los procesos evaluados en
procura del fortalecimiento del Sistema.
Asegurar la actualización y mantenimiento del sistema, de acuerdo con las mejoras
metodológicas en materia de riesgos y/o nuevas normas que sobre el particular expida la
Superintendencia Financiera de Colombia.
Definir políticas y procedimientos que conlleven a prevenir la ocurrencia de eventos de
Riesgo Operativo a interior de la Firma.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 12 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Desarrollar la cultura de prevención de riesgo operativo, a través de la implementación del
SARO dentro de la cultura organizacional de la Firma Comisionista, concientizando a los
funcionarios y colaboradores acerca de la importancia de su activa participación en éste
Sistema.
6. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
6.1. DEFINICIÓN
Son los lineamientos generales que RENTA Y CAMPO CORREDORES S.A debe adoptar con
relación al Sistema de Administración del Riesgo Operativo. Estos lineamientos facilitarán la toma
de decisiones en Materia de Riesgos. POLÍTICAS
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 13 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
La constitución de las políticas de riesgo de RENTA Y CAMPO CORREDORES S.A. se llevó a cabo
mediante el estudio y análisis realizado de cada uno de los procedimientos que conforman los
procesos y los riesgos operativos implícitos en cada uno de ellos. Los aspectos tenidos en cuenta
fueron la estructura, tamaño, objeto social y actividades de apoyo, de manera que se puedan hacer
controles sobre las actividades logrando así atenuar el riesgo al que se expone la firma.
Con el fin de certificar el cumplimiento de los controles ejercidos durante el proceso de
implementación de SARO, es necesario determinar políticas generales que aseguren el desarrollo
de los procesos y procedimientos establecidos.
6.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON:
a. Lograr que todos los empleados estén completamente capacitados con amplio conocimiento en
la administración de riesgos operativos y de esta forma que sean parte activa de los procesos
en que cada uno es responsable.
b. La identificación y evaluación de riesgos y controles debe basarse en la auto-evaluación
practicada por los funcionarios de la Compañía. Y debe documentarse mediante bases de
datos de pérdidas, tanto ocurridas como potenciales.
c. Identificar y analizar las posibles fallas, debilidades e insuficiencias que se presentan en los
controles de los procesos de la organización y en especial aquellos que tengan un alto grado
de riesgo.
d. Implementar instrumentos para reducir o prevenir a la organización de posibles pérdidas, tales
como alertas tempranas, sistemas de control acordes con el nivel de riesgo de cada proceso,
planes de contingencia e indicadores de gestión.
e. Periódicamente serán desarrolladas auditorias, las cuales tendrán una programación anual, sin
embargo, luego de evaluar los indicadores de gestión y los procesos, es posible encontrar
deficiencias en los mismos; para identificarlas se planearán auditorias no programadas que
servirán para verificar mejor la existencia de controles que no se estén realizando.
f. Generar mejoramiento continuo a través de la reevaluación y confrontación de los indicadores
de gestión.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 14 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
g. Aplicar acciones correctivas para disminuir el riesgo residual. Estas acciones son valoradas
por el esquema de causa y efecto para la indagación de la medida más efectiva. Las acciones
correctivas tendrán un seguimiento, para dar su cierre. Si no se cierran las acciones
correctivas debido a que el procedimiento no presenta mejora, se debe iniciar una nueva
acción o medida para verificar el procedimiento.
h. Fortalecer periódicamente los procesos del Sistema de Administración de Riesgo Operativo.
Las políticas de implementación del Riesgo Operativo empezaran a regir según lo establecido por la
norma publicada por la Superintendencia Financiera de Colombia.
6.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y
OBJETIVOS RO
Buscando el cumplimiento de los objetivos y de las políticas que REYCA CORREDORES S.A. ha
establecido para el Riesgo Operativo de la Firma, se determinaron las siguientes medidas que la
Unidad de Riesgo Operativo (URO), realizará:
a. Fomentar la disponibilidad, actualizar y mantener el Sistema de Administración del Riesgo Operativo a través del análisis continuo de las situaciones internas y externas que puedan amenazar la estabilidad y crecimiento de la organización o que propicien cambios en las políticas definidas.
b. Prevenir y resolver posibles conflictos de interés en la recolección de información en las
diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo. c. Mantener un control permanente sobre los cambios en los perfiles de los riesgos operativos,
con el fin de realizar oportunamente los ajustes necesarios en los planes buscando un mejoramiento continuo.
d. Desarrollará e implementará planes de contingencia para asegurar la continuidad de los
procesos. e. Todas las personas vinculadas a RENTA Y CAMPO CORREDORES S.A tienen el deber de
conocer y cumplir las normas internas y externas relacionadas con la administración de los riesgos operativos y los estamentos directivos, de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.
f. Impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo,
creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 15 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
6.4. PROCEDIMIENTOS Y METODOLOGÍAS RO
De conformidad con la Circular externa 048 del 22 de diciembre de 2006, expedida por la SFC, el
Sistema de Administración de Riesgos Operativos .SARO, será el conjunto de elementos tales como
políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo
operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo
operativo.
a. Los procesos y procedimientos deben ser sometidos permanentemente al análisis de riesgos y
las propuestas de modificaciones deben incluir este componente, con base en la aplicación de
las metodologías adoptadas para el efecto.
b. Debe mantenerse un control permanente sobre los cambios en los perfiles de riesgo operativo
para realizar oportunamente los ajustes pertinentes en los planes de mejoramiento.
c. Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los
procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios
señalados por la Superintendencia Financiera de Colombia.
d. Todo Responsable de un proceso, debe comunicar mediante los formatos apropiados a la
Unidad de Riesgo Operativo, todos los eventos que afecten el Sistema de Administración de
Riesgo Operativo y documentarlo debidamente.
e. Los eventos de Riesgo que se materialicen, deben ser reportados y revelados, utilizando los
procedimientos e instrumentos que para tal fin señala la Superintendencia Financiera de
Colombia.
7. ALCANCE
Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con
lo establecido en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia
Financiera de Colombia referente al Sistema de Administración del Riesgo Operativo, en el presente
manual se precisan los elementos de la estructura de cubrimiento del Riesgo Operativo de REYCA
CORREDORES S.A. (REYCA S.A.)
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 16 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
El manual contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y
procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO de la
Compañía, de acuerdo con los requerimientos de la Superintendencia Financiera.
Es importante aclarar que es obligatorio para todos los empleados o funcionarios implicados en
estas actividades cumplir con lo previsto en este manual. De no ser así se aplicarán las respectivas
sanciones establecidas en el reglamento interno de trabajo, sin perjuicio de las sanciones legales
que sean procedentes.
8. CONTROL DEL MANUAL
La elaboración del manual lo debe ejecutar la Unidad de Riesgo Operativo (URO), es
responsabilidad del Representante Legal de REYCA CORREDORES S.A., diseñar y someter a
aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones.
Es responsabilidad de la Junta Directiva de la Firma, aprobar el Manual de Riesgo Operativo y sus
actualizaciones. La Unidad de Riesgo Operativo tiene la responsabilidad de presentar propuestas al
Representante Legal y/o a la Junta Directiva para la actualización, así como de distribuir el Manual
de Riesgo Operativo y conservar el original del documento.
Este Manual, se encuentra a disposición de la Superintendencia Financiera de Colombia o cualquier
entre de control o autoridad que lo requiera.
El uso de este manual es conocido y obligatorio para cada uno de los funcionarios de la compañía y
por lo tanto cada miembro se compromete al mantenimiento y actualización del Sistema de
Administración del Riesgo Operativo.
9. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL
RIESGO OPERATIVO (SARO)
La estructura organizacional de la empresa representa un eje fundamental dentro del control del riesgo operativo. A continuación se presenta el organigrama aprobado por la junta directiva. Este organigrama se ajusta a la estructura mínima demandada por los reglamentos vigentes de la Bolsa Mercantil de Colombia (BMC).
9.1. ORGANIGRAMA
Asamblea de Accionistas Revisor Fiscal
Junta Directiva
Defensor del Consumidor Financiero
Oficial de Cumplimiento
Auditoria Externa Contralor Normativo
Gerente General
Middle Office Front Office Back office
Coordinación de Riesgos
Dirección Administrativa
Dirección Financiera
Mercado de Compras Públicas
y Físicos
Financieros
Recursos Humanos
Contabilidad
Tesorería
Operaciones
9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A. (REYCA S.A.)
9.2.1. Junta Directiva
Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como
mínimo las siguientes funciones a cargo de la Junta Directiva:1
1. Establecer las políticas relativas al SARO.
2. Aprobar el Manual de Riesgo Operativo y sus actualizaciones.
3. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Compañía.
4. Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al
riesgo de la Compañía, fijado por la misma Junta Directiva.
5. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que
presente el Representante Legal.
6. Pronunciarse sobre la evaluación periódica del SARO que realicen la Revisoría Fiscal y la
Auditoría Interna.
7. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma
efectiva y eficiente, el SARO.
9.2.2. Representante Legal2
El Representante Legal tiene frente al SARO las siguientes funciones mínimas:
a. Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus
actualizaciones.
b. Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
c. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que
se llevan a cabo en la Compañía.
d. Designar el área o cargo que actuará como responsable de la implementación y seguimiento
del SARO: La Coordinación de Riesgo (Unidad de Riesgo Operativo – URO).
1 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.1. Circular Externa 041 de 2007 2 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.2. Circular Externa 041 de 2007
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 19 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
e. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio
cultural que la administración de este riesgo implica para la Compañía.
f. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al
riesgo, fijado por la Junta Directiva.
g. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.
h. Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo con
los términos establecidos en el presente Manual.
i. Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones
señaladas en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia
Financiera.
j. Velar porque se implementen los procedimientos para la adecuada administración del riesgo
operativo a que se vea expuesta la Compañía en desarrollo de su actividad.
k. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos
necesarios para su oportuna ejecución.
l. Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución
y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas
implementadas o por implementar y el área responsable.
m. Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de
acuerdo con lo previsto en el presente Manual.
n. Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad,
confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la
información allí contenida.
9.2.3. Unidad de Riesgo Operativo (URO)3 La Unidad de Riesgo Operativo es la encargada de coordinar el diseño e implementación del
Sistema de Administración de Riesgo Operativo en RENTA Y CAMPO CORREDORES S.A.,
contribuir con el logro de los imperativos estratégicos y fortalecer los sistemas de información
gerencial, la cultura de control interno y la administración del plan de contingencias.
Las actividades que debe llevar a cabo la Coordinación de Riesgo, como área responsable de la
Unidad de Riesgo Operativo, para administrar el riesgo operativo son las siguientes:
a. Definir los instrumentos, metodologías y procedimientos tendientes a que la RENTA Y CAMPO
CORREDORES S.A administre efectivamente su riesgo operativo.
b. Desarrollar e implementar el sistema de reportes internos y externos, del riesgo operativo.
3 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.3. Circular Externa 041 de 2007
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 20 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
c. Administrar el registro de eventos de riesgo operativo.
d. Coordinar la recolección de la información para alimentar el registro de riesgo operativo.
e. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de
riesgo identificados y medidos.
f. Establecer y monitorear el perfil de riesgo individual y consolidado de la RENTA Y CAMPO
CORREDORES S.A, e informarlo a la Junta Directiva.
g. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con
el SARO y proponer sus correspondientes actualizaciones y modificaciones.
h. Desarrollar los modelos de medición del riesgo operativo.
i. Desarrollar los programas de capacitación de la RENTA Y CAMPO CORREDORES S.A
relacionados con el SARO.
j. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito
de evaluar su efectividad.
k. Reportar permanentemente a la Junta Directiva la evolución del riesgo, los controles
implementados y el monitoreo que se realice sobre el mismo. Adicionalmente debe realizar un
reporte semestral consolidado de Riesgo Operativo en las diferentes áreas.
9.2.4. Comité Interno de Administración de Riesgo
Para el adecuado cumplimiento de la labor que le corresponde a la administración en la definición
de las políticas y del diseño de los procedimientos efectivos e idóneos para una adecuada
administración del riesgo, previstos en la normatividad emitida por la Superintendencia Financiera
de Colombia, se implementó al interior RENTA Y CAMPO CORREDORES S.A. el Comité de
Administración del Riesgo.
Dentro de sus funciones se encuentran las siguientes:
a. Definir los límites de exposición para posibles riesgos que puedan afectar a la compañía a
través de una matriz control.
b. Presentar a la Junta Directiva y a la Gerencia los negocios activos y pasivos, con base en la
matriz de control y un análisis de los documentos legales suministrado por el cliente.
c. Establecer y presentar a la Junta Directiva las políticas y estrategias para identificar, medir,
controlar y monitorear el riesgo de conformidad con los principios señalados en las normas
sobre la materia.
d. Verificar la gestión de nuestros clientes en la estructura de sus estados financieros e
información adicional para monitorear y controlar el grado de exposición al riesgo de la
compañía.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 21 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
e. Velar por que se cumplan en forma oportuna y eficiente las instrucciones impartidas por la
Superintendencia Financiera de Colombia respecto de la identificación, medición, control y
monitoreo de riesgos y sobre la adopción de políticas para su eficiente manejo.
f. Comprobar que dentro de los manuales y procedimientos internos se apliquen las normas
sobre el manejo de Riesgos, que están establecidas en la Circular 100 de 1995 capítulos XXI al
XXIII de la SFC.
g. Mantener una constante relación, comunicación e información con los organismos de control y
vigilancia, internos y externos, de manera específica con el Revisor Fiscal, Control interno,
BMC y la Superintendencia Financiera de Colombia, para facilitar el logro de resultados y la
adopción de las medidas que correspondan a cada uno de estos organismos dentro de la órbita
de sus atribuciones y responsabilidades.
9.2.5. Órganos de Control
Los responsables de evaluar el SARO como órganos de control son la Revisoría fiscal y la Auditoría
Interna, con la finalidad de identificar las fallas o posibles debilidades y de esta forma informar a los
entes correspondientes.
Los órganos de control son completamente independientes de la Administración de Riesgo
Operativo, por lo tanto no son responsables por la gestión del mismo. Su actividad principal es la de
evaluación del sistema, de esta forma es deber de la Administración de la Compañía atender los
requerimientos, suministrándoles información y los medios necesarios para el desarrollo y la
ejecución de su labor.
La Compañía podrá contratar en gestión de riesgos, auditorías externas, con el objetivo de cumplir
con las normas y apoyar a los órganos de control, en la evaluación del SARO.
9.2.6. Revisor Fiscal en lo relacionado con la evaluación del SARO
a. Construir un reporte al finalizar cada ejercicio contable, donde informe acerca de los resultados
obtenidos en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el
SARO.
b. Informar al Representante legal de los resultados obtenidos del SARO informándoles sobre los
incumplimientos que se presentaron. Sin perjuicio de la obligación de informar sobre ellos a la
Junta Directiva.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 22 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
9.2.7. Auditoría Interna en lo relacionado con la evaluación del SARO
a. Realizar una evaluación sobre el cumplimiento y los resultados obtenidos periódicamente de
las etapas y elementos del SARO con la finalidad de determinar las fallas, debilidades y de esta
forma encontrar las posibles soluciones para su perfeccionamiento.
b. Informar los resultados de la anterior evaluación a la Coordinación de Riesgo y al
Representante Legal.
c. Ejecutar periódicamente una revisión del registro de eventos de riesgo operativo e informar al
Representante Legal sobre el cumplimiento de las condiciones de Capítulo XXIII de la Circular
Externa 100 de 1995 de la Superintendencia Financiera.
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A.
9.2.8. Responsabilidad General de todas las Áreas
Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de
riesgo, por lo tanto los responsables de los procesos lo son también de adelantar la gestión de
riesgos y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos
sucesos para efecto de los controles y los registros correspondientes. Le corresponde también
fomentar la cultura de la Administración del Riesgo dentro de su ámbito.
10. MAPA ORGANIZACIONAL
Con el fin de lograr una mejor administración del riesgo operativo, REYCA S.A. diseñó un mapa de
procesos donde se diferencian las áreas donde se puede presentar el riesgo operativo, de esta
manera se pretende mitigar la presentación de un evento de riesgo en el sistema.
El mapa organizacional está conformado por cinco procesos cada uno de los cuales cuenta con una
caracterización, donde se resumen los procedimientos y actividades que lo conforman, se menciona
también en estas caracterizaciones los controles y registros que buscan disminuir los eventos de
riesgo operativo, y los indicadores de gestión tenidos en cuenta como herramientas administrativas
para evaluar y controlar los eventos de riesgos en cada proceso. A continuación se muestra el
mapa organizacional de REYCA S.A.:
Junta Directiva
Gerente General
Proceso Comercial
Vinculación de Clientes
Mantenimiento de clientes
Servicio al cliente
Diseño de nuevos
productos
Front Office
Proceso de Riesgo
Identificación de riesgos
Registro de eventos de
Riesgo
Identificación de operaciones
inusuales
Control Interno
Middle Office
Proceso de Operaciones
Registros
Físicos
Inversiones
Contratos
MCP
Proceso Financiero y Contables
Contabilidad
Tesorería
Cartera
Proceso Administrativo
Manejo y protección de archivos
Tecnológico
Recursos Humanos
Planeación Estratégica
Back Office
11. MACROPROCESOS REYCA CORREDORES S.A. tiene dividido los procesos en 6 Macro-procesos, los cuales resumen todas las actividades de la empresa. Para descripción de cada uno ver Anexo 1.
12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO
Para la identificación del riesgo operativo en cada uno de los procesos, se plantean tres etapas, las
cuales serán implementadas en la medida que el sistema se desarrolle y además teniendo en
cuenta los plazos estipulados por la Superintendencia Financiera. La primera etapa está sustentada
en la medición del riesgo, su identificación, estudio y calificación. En la segunda etapa se realiza la
administración del riesgo, por medio de la elaboración de planes y/o políticas para aplicar. En la
tercera y última etapa se hará el seguimiento de las acciones correctivas determinando la
efectividad del plan establecido.
El diseño que siguió la firma para la identificación del riesgo operativo fue el siguiente:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 26 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
13. DIAGRAMA DE FLUJO 13.1. IDENTIFICACIÓN DE PROCESOS
SI
Identificación del Proceso
Determinación de Causa y Efectos del Riesgo
Medición Riesgo en el Procedimiento
Identificación del Procedimiento
¿El procedimiento presenta riesgo?
¿Se asume el Riesgo?
¿Los Controles fueron
Efectivos?
Determinación de Esquema de Controles a Aplicar
Aplicación de Controles de Riesgo
SI
SI
NO
NO
NO
NO
Este Flujograma señala los pasos a seguir para la identificación de los procesos, procedimientos,
medición de riesgos y determinación de políticas de la compañía en cuanto al control del riesgo
operativo. Dentro del estudio se tuvo en cuenta el riesgo residual, conocido como el riesgo que
permanece después de la aplicación de los controles y registros. Cuando suceda un riesgo
operativo debe implementarse el plan de contingencia y los controles desarrollados para cada
proceso y/o procedimiento de la organización.
Cuando se presenta un evento de pérdida, se deben revisar las políticas aplicables respecto a dicha
situación, teniendo en cuenta el impacto que se cuantificó en la matriz de riesgos (explicada
posteriormente). Después se debe diligenciar el Formato de “Reporte de Evento de Riesgo”4,
seguidamente de hacer este registro, el impacto debe ser analizado en términos económicos.
Luego de dar solución al evento de pérdida, se hará una evaluación del control y de las respectivas
acciones a tomar para dar solución al riesgo residual que fue aprobada por la URO. En caso de
requerirse una modificación a los controles, la URO revisará y avalará o no la modificación.
En el Formato para el Registro de Evento de Riesgo, se debe registrar e informar cada error o falla
en la operación que lleve a la compañía a identificar un riesgo operativo, el reporte se diligencia en
caso de un evento que implique pérdidas por deficiencias, fallas o inadecuaciones en el personal de
la firma, en los procesos, en la infraestructura, en la tecnología o en los acontecimientos externos.
Las metodologías para la administración del riesgo operativo están compuestas por las actividades
de identificación, medición, monitoreo y control de riesgos, las cuales serán descritas a
continuación.
13.2. IDENTIFICACIÓN DEL RIESGO
La identificación de los Riesgos Operativos es realizada por los funcionarios que estén involucrados
en cada proceso por medio de la debida identificación y diligenciamiento de los riesgos operativos
que se derivan de dicho proceso.
13.2.1. Criterio para identificar los Riesgos
a. Para identificar los riesgos operativos sobre los cuales haya lugar dentro del proceso se les
plantean a los participantes las siguientes preguntas para analizar los posibles eventos a
ocurrir: ¿Qué puede salir mal? ¿Qué debilidades y amenazas tiene el proceso? ¿Qué eventos
de pérdida han ocurrido en el pasado? ¿Por qué causa? ¿Si alguien quisiera dañar el proceso,
4 Ver Anexo 5. Formatos SARO
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 28 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
en qué actividad podría hacerlo y cómo? Estas preguntas no deben ser desarrolladas por los
asistentes; únicamente sirven como guía para que los participantes consideren los riesgos
operativos potenciales para cada una de las actividades que componen el proceso.
b. Adicionalmente, los participantes deben tener en cuenta los recursos utilizados para el proceso:
Recursos humanos, recursos tecnológicos, recursos físicos y recursos de infraestructura, para
considerar qué riesgos operativos podrían llegar a materializarse ante deficiencias, fallas o
inadecuaciones en dichos recursos.
c. Se debe advertir a los participantes del taller que si bien es necesario abarcar todos los riesgos
operativos posibles, la identificación debe orientarse hacia aquellos riesgos que sean
congruentes, bien sea que hayan ocurrido o no, pero que entren dentro de las posibilidades
reales.
13.2.2. Criterios para la identificación de controles
Después de identificados los riesgos operativos, se debe analizar qué tipo de control se puede
aplicar para disminuir el riesgo en ese proceso especifico, para que sea utilizado eficazmente. Los
controles se pueden clasificar de la siguiente manera:
I. Por su forma de funcionamiento
a. Manuales: Son los controles ejecutados directamente por los funcionarios, sin la utilización de
sistemas o equipos.
b. Mecánicos: Son aquellos controles ejecutados por medio de equipos, los cuales pueden
requerir o no de su aplicación por parte de personas.
c. Automáticos: Son aquellos controles efectuados a través de sistemas, los cuales no requieren
de la participación de las personas para su aplicación.
II. Por el momento de su aplicación
a. Previos: Son los controles ejecutados antes de dar comienzo a un proceso.
b. Durante el proceso: Son los controles ejecutados periódicamente, a lo largo del proceso.
c. Posteriores: Son los controles ejecutados al terminar un proceso, para comprobar si el mismo
cumplió o no con las medidas establecidas.
III. Por su efecto sobre el riesgo
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 29 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. Preventivos: Son los controles ejecutados con la finalidad de minimizar la probabilidad de que
el riesgo se materialice.
b. Correctivos (De seguros o transferencia de riesgos): Son controles diseñados para mitigar
el impacto de un evento de riesgo, una vez que el mismo ha ocurrido, pero orientado a reducir
la pérdida o costo financiero.
IV. Por el tipo de bien o proceso que controlan
i. Controles de sistemas: Los controles de sistemas de usuarios, se incluyen para identificar
quien utiliza el sistema y si el funcionario se encuentra autorizado para tal efecto, también los
controles funcionan para fijar la validez de las actualizaciones y procesos efectuados a los
sistemas o programas.
Se incluyen controles para el apropiado seguimiento a las posibles fallas, con el fin de
establecer si los mismos son investigados y resueltos apropiadamente.
ii. Controles de acceso físico: El objetivo es proteger los activos de la compañía, restringiendo
el acceso a las áreas donde se encuentran activos o información con alto valor de
confidencialidad para la organización.
iii. Controles de bases de datos, registros e información: Los controles contienen mecanismos
para asegurar la correcta captura de datos en los aplicativos de la Compañía y para mantener
los datos libres de cualquier daño o modificación posterior.
iv. Controles de personal: determinados para asegurar la calidad e integridad del personal que
está encargado de ejecutar los métodos y procedimientos prescritos por la Compañía para el
logro de los objetivos.
v. Controles de protección de activos: Este tipo de controles incluye el acceso físico a las
diferentes áreas de la Compañía, así como el acceso restringido a los equipos, a la
documentación y a los archivos de datos y programas, todo ello solo permitido al personal
autorizado.
vi. Controles de los equipos: Consiste en la programación del mantenimiento preventivo y
periódico, el registro de fallas de equipos y los cambios en el sistema operativo y la
programación del software utilizado por la Compañía.
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 30 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
vii. Controles de procesos contables: Deben existir controles que aseguren el procesamiento
exacto y oportuno de la información contable.
viii. Controles de autorización: Consisten en la revisión de los intercambios, a nivel de cualquier
proceso de la Compañía, para asegurar que estos hayan sido autorizados apropiadamente.
ix. Controles de custodia de activos: Están diseñados para evitar que los activos se pierdan,
dañen o sean robados, y para proporcionar la seguridad de que las cantidades y los valores en
existencia sean coincidentes con los registrados.
Incluye controles para prevenir el uso no autorizado sobre un activo durante su custodia.
x. Controles de estructura organizacional: Consisten en establecer una adecuada estructura
en cuanto al establecimiento de divisiones y departamentos funcionales, así como la
asignación de responsabilidades y políticas de delegación de autoridad.
Esto incluye la existencia de un departamento de Auditoría Externa que dependa del máximo
nivel de la Compañía.
xi. Controles de autocontrol de la Alta Gerencia: Es responsabilidad de la alta gerencia generar
una conciencia favorable dentro del control interno de la Compañía. La Alta Gerencia no debe
infringir los controles fijados, dando ejemplo dentro de la organización.
13.3. MEDICIÓN DEL RIESGO
Una vez concluida la etapa de identificación, Reyca Corredores S.A. realizará la medición de la
probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse. Esta
medición será cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la
determinación de la probabilidad se considerará un horizonte de tiempo de un año.
Para analizar el tipo de riesgos operativos que puede tener la actividad de la compañía, se utiliza el
método de experto y complementaria a esta, se usa la metodología de crear escalas con rangos de
valoración, que sirva como base de criterio para los encargados de evaluar los riesgos y sus
controles.
En el proceso de medición de los riesgos operativos, la Coordinación de Riesgo de la Firma
desarrollará, como mínimo, los siguientes pasos:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 31 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
a. Establecerá las escalas cualitativas de medición de los riesgos operativos, a nivel de
probabilidad e impacto, y de los controles, a nivel de diseño y eficiencia. La medición se hará
de manera individual, por riesgo operativo previamente identificado para cada proceso.
b. Solicitará a los participantes a las reuniones, que tengan en cuenta criterios objetivos para la
evaluación, como la cuantía o frecuencia de eventos ocurridos en el pasado, la frecuencia
anual de cada proceso, el costo inmediatamente identificable y el costo vinculado (Por ejemplo,
si se daña un computador, además del valor físico del daño, existen pérdidas asociadas debido
al hecho de tener que volver a reconstruir la información contenida en el mismo o la demora
que ello puede provocar en otros procesos), etc.
c. Se consolidarán los resultados individuales, para obtener como resultado el Perfil de Riesgo
Inherente de la Compañía.
d. Posteriormente, solicitará a los participantes la calificación de los controles existentes. Dicha
evaluación se hará por medio del tipo de control; es decir, para el conjunto de controles y no
para cada uno de los controles individualmente considerados. Por ejemplo, para el control
seguridad física comprende controles como cajas fuertes, puertas de seguridad, filmaciones,
etc. No se evaluarán dichos controles en forma individual, sino al nivel de “Seguridad Física”.
e. No obstante, cuando los participantes en la reunión lo consideren adecuado, o la Coordinación
de Riesgo, podrá hacerse una evaluación más detallada de los controles.
f. Se restará el efecto de los controles sobre el riesgo inherente, para obtener como resultado el
Riesgo Residual, tanto a nivel individual como consolidado.
A continuación, se describen las mencionadas etapas:
13.3.1. Valoración del Riesgo Inherente
El riesgo inherente se define como el nivel de riesgo propio de cada una de las actividades de los
procesos sin tener en cuenta los controles establecidos para mitigar los riesgos identificados. Por lo
cual dentro de la evaluación realizada por cada una de las áreas se determinó un posible impacto y
una probabilidad de ocurrencia, advirtiendo a los participantes que ésta calificación debe ser
concebida sin tener en cuenta los controles actuales con los cuales cuentan los procesos. Las
definiciones de los atributos con los cuales se calificarán los riesgos operativos son:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 32 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
i. Impacto: Atributo del evento de riesgo operativo, que mide de forma cualitativa la pérdida
ocasionada por la ocurrencia de dicho evento de riesgo operativo sin tener en cuenta los
controles.
ii. Probabilidad: Atributo del evento de riesgo operativo, que mide de forma cualitativa la
posibilidad en la cual se produce un evento de riesgo operativo durante un periodo de un año,
sin tener en cuenta los controles.
iii. Valoración: Se utiliza una matriz de probabilidad vs. Impacto. El resultado de multiplicar los
valores asignados de probabilidad por los de impacto, dará la valoración correspondiente.
Según el resultado numérico, el riesgo puede ser catalogado como: Inaceptable Mayor o
importante y Tolerable o Aceptable.
Los participantes del taller de acuerdo con su experiencia determinaran el impacto probable de los
riesgos operativos si éstos se llegaran a materializar de acuerdo a la siguiente escala cualitativa:
ESCALA DE IMPACTO
Alto
Interrupción de las operaciones de la Compañía por más de una jornada
laboral
Intervención por parte de los Entes de Control a la Compañía por
incumplimientos legales y/o contractuales
Impacto que afecte negativamente la reputación de la Compañía,
relacionado con prácticas inapropiadas de sus empleados y/o vinculados
Pérdida de información crítica de la Compañía o de terceros que no se
pueda recuperar
Medio
Impacto por desatención de nuevas oportunidades de negocio
Interrupción de las operaciones de la Compañía menos de media
jornada laboral, y más de una hora
Impacto ocasionado por retrasos, en el flujo de información que afecten
las labores de las áreas y/o las respuestas a los Entes de Control
Reproceso de actividades y aumento de la carga operativa (ejecutar
nuevamente actividades de los procesos por errores operativos)
Bajo
No hay interrupción de las operaciones de la Compañía
No genera sanciones económicas y/o administrativas
No afecta las relaciones con terceros
No afecta el flujo de la información
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 33 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Luego de evaluar el impacto para cada uno de los riesgos operativos, se estimará una probabilidad
de ocurrencia de dichos riesgos identificados, teniendo en cuenta que dicha calificación, es el
resultado de lo que podría pasar si no existieran controles que mitigaran los riesgos identificados, a
partir de la siguiente escala:
ESCALA DE PROBABILIDAD
Alta Ocurre al menos una vez a la semana
Se espera que ocurra en la mayoría de las circunstancias
Media
Ocurre al menos una vez mensual pero no sucede todas las semanas
del mes
Podría ocurrir en cualquier momento
Baja
Ocurre una sola vez en un período de 12 meses o más
No ha ocurrido anteriormente pero se presentaría sólo en circunstancias
excepcionales
El resultado de la medición anterior debe ser situado en el mapa de riesgo para determinar el riesgo
inherente. Una vez se tengan ubicados todos los riesgos en el mapa de riesgo, se podrá determinar
el perfil de riesgo inherente de la entidad.
MAPA DE RIESGO
PROBABILIDAD
IMP
AC
TO
NIVEL Bajo Medio Alto
Alto
Medio
Bajo
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO (SARO)
Fecha: Versión: Página 34 de 79
APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014
Cada uno de los riesgos operativos identificados y calificados en su impacto y su probabilidad serán
clasificados con la ayuda de la Coordinación de Riesgo de acuerdo a la clasificación de Factores de
Riesgo y Clase de riesgo operativo dada por el Capítulo XXIII de la Circular Externa 100 de 1995
expedida por la Superintendencia Financiera. De tal manera que los valores obtenidos en esta
medición puedan ser consolidados por factor de riesgo y por clase de riesgo.
13.3.2. Valoración del Riesgo Residual
Para cada uno de los riesgos operativos identificados, luego de valorar su impacto y determinar la
probabilidad se calificarán los controles o grupo de controles identificados con base en dos atributos
que son: Su diseño y su efectividad.
Diseño: Atributo del grupo de controles o plan de contingencia, que califica la relevancia del mismo,
en aspectos como la oportunidad del mismo, la no existencia de controles o planes de contingencia
redundantes, la necesidad del mismo, la superioridad del mismo frente a otras alternativas de
control o plan de contingencia, el nivel de cobertura del mismo, la regularidad en su aplicación, la
experiencia y autoridad de los miembros de la Compañía que lo diseñaron, etc. Este atributo será
calificado con base en la siguiente escala:
RANGO
DISEÑO DE CONTROL
Alto 100% - 71%
Medio 70% - 41%
Bajo 40% - 0%
CRITERIOS
DISEÑO DE CONTROL
DOCUMENTACIÓN % CUBRIMIENTO % IMPLEMENTACIÓ
N % RESPONSABLE %
IDONEIDAD
DISEÑADOR %
Documentado 20% Total 20% Sencilla 20% Adecuado 20% Idóneo 20%