SISTEMA INTEGRADO DE GESTIÓN PROCESO ESTRATÉGICO MANUAL SARO Código: ETMSRF001 Versión: 8.0 MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO VERSIÓN 8 JULIO DE 2018 APROBADA POR JUNTA DIRECTIVA ACTA NO. 209 DIRECCIÓN: CALLE 94A # 11 A – 73 PISO 2 Bogotá – Colombia PBX 621 58 11 - FAX 621 58 11 Ext. 116 CALLE 85 # 48-01 BL 31 OF 809 CENTRAL MAYORISTA DE ANTIOQUIA-ITAGÜÍ PBX : 444 83 77 FAX 366 63 63 www.reycacorredores.co
55
Embed
MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO …€¦ · Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con lo establecido
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO
VERSIÓN 8 JULIO DE 2018 APROBADA POR JUNTA DIRECTIVA ACTA NO. 209
3.6 Eventos De Pérdida: ................................................................................................................................................. 8
3.6.1 Clasificación de los riesgos operativos .................................................................................................................. 8
3.7 Sistema de Administración de Riesgo Operativo (SARO): ....................................................................................... 8
3.10 Plan De Continuidad Del Negocio: ......................................................................................................................... 9
3.11 Plan De Contingencia: ............................................................................................................................................ 9
3.12 Manual De Riesgo Operativo: ................................................................................................................................. 9
3.13 Unidad De Riesgo Operativo: ................................................................................................................................. 9
8.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS ............................................................ 18
8.2.1. JUNTA DIRECTIVA 19 8.2.2. REPRESENTANTE LEGAL 19 8.2.3. UNIDAD DE RIESGO OPERATIVO (URO) 20 8.2.4. COMITÉ INTERNO DE ADMINISTRACIÓN DE RIESGO 21 8.2.5. ÓRGANOS DE CONTROL 22 8.2.6. RESPONSABILIDAD GENERAL DE TODAS LAS ÁREAS 23
9. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO 26
9.1. IDENTIFICACIÓN DEL RIESGO .................................................................................................................. 28
9.1.1. CRITERIO PARA IDENTIFICAR LOS RIESGOS 28 9.1.2. CRITERIOS PARA LA IDENTIFICACIÓN DE CONTROLES 28
9.2. MEDICIÓN DEL RIESGO ............................................................................................................................. 31
9.2.1. VALORACIÓN DEL RIESGO INHERENTE 32 9.2.2. VALORACIÓN DEL RIESGO RESIDUAL 36 10. ETAPA DE CONTROL DEL RIESGO OPERATIVO 37
10.1.1 MATRIZ DE RIESGO OPERATIVO (MRO) .................................................................................................. 38
10.1.2 REPORTE DE EVENTOS DE RIESGO OPERATIVO .................................................................................. 39
10.1.3 NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO ............................................................................ 41
11. MONITOREO DEL RIESGO 41
11.1. ALERTAS TEMPRANAS 41 11.2. INDICADORES DE GESTIÓN 43 11.3. CONTROLES 44 11.4. NUEVOS PROCESOS O MODIFICACIÓN DE PROCESO EXISTENTE 45 11.5. PROCESO PARA ADMINISTRAR LA CONTINUIDAD DEL NEGOCIO 45 11.6. CULTURA DE RIESGOS 46 11.7. COORDINACIÓN DE COMUNICACIONES 46 11.8. PLANES DE CONTINGENCIAS 46 11.9. REPORTES INTERNOS Y EXTERNOS 48 12. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN 48
ANEXO 1. MAPA DE PROCESOS 51
ANEXO 2. FORMATO REPORTE DE EVENTO DE RIESGO 53
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
INTRODUCCIÓN RENTA Y CAMPO CORREDORES S.A. (REYCA S.A.) en cumplimiento con lo establecido por la SUPERINTENDENCIA FINANCIERA DE COLOMBIA (SFC) en su Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 y facilitar una guía en caso de que se presenten eventos de riesgo operativo en los procesos, realizo el Manual del Sistema de Administración de Riesgo Operativo (SARO). Este Manual está compuesto de los diferentes elementos mediante los cuales se busca obtener una efectiva administración del riesgo operativo de la compañía. Para su elaboración se hizo un previo análisis del mapa de procesos de la firma, los procedimientos de cada actividad, las fases y tareas, relacionándolos con el evento de riesgo que pudieran presentar, buscando siempre la depreciación del riesgo inherente. Este sistema se ha establecido atendiendo la estructura, tamaño y su calidad de comisionista de la BOLSA MERCANTIL DE COLOMBIA, con la finalidad de identificar, medir, controlar y monitorear eficazmente el riesgo operativo. Con base al crecimiento continuo que presenta la compañía en cada una de las operaciones que realiza, así mismo se puede evidenciar el incremento de los riesgos internos y externos a los cuales se encuentra expuesta la organización. Cabe resaltar que tal metodología exige que los responsables de cada proceso deban ser conscientes de los procedimientos que realizan y deben tener un conocimiento actualizado tanto del negocio de la empresa, como del mercado y la identificación de puntos críticos de control de operación. El Sistema de Administración de Riesgo Operativo (SARO) de la Compañía tiene básicamente el objetivo de prevenir la ocurrencia de eventos de pérdida para la compañía y minimizar la probabilidad e impacto de eventos inesperados, garantizando la continuidad del negocio, definiendo el Riesgo Operativo como la probabilidad de incurrir en pérdidas resultantes de fallas, deficiencias, o inadecuaciones originadas en: i) los procesos desarrollados en la entidad; ii) tecnología; iii) recurso humano; iv) infraestructura y v) acontecimientos externos. La materialización de riesgos operativos se puede reflejar en cuatro aspectos, los cuales afectan a la comisionista en diferente grado, así:
1. Reproceso al interior de la entidad. 2. Pérdida económica. 3. Sanciones legales, sentencias y resoluciones judiciales o administrativas adversas,
originadas en el desconocimiento de disposiciones legales, administrativas o contractuales. 4. Perdida reputacional de la entidad, se origina cuando la materialización de un riesgo operativo
transciende las esferas de reproceso, pérdida económica y/o sanción, afectando la credibilidad y la confianza de nuestros clientes.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
El presente documento, contiene las políticas, normas de conducta y procedimientos que conforman la estructura, mecanismos e instrumentos que han sido diseñados como parte integrante del Sistema de Administración de Riesgo Operativo, de lo cual se desprenden responsabilidades para la Junta Directiva, el Representante Legal, el director de la Unidad de Riesgos, los dueños de cada uno de los procesos de la Firma, así como para cada funcionario, igualmente para toda persona natural o jurídica vinculada, deberán ceñirse a los parámetros establecidos en este documento.
1. OBJETIVO
El Manual del Sistema de Administración de Riesgo Operativo tiene como objetivos:
• Cumplir específicamente con lo establecido en la Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 de la Superintendencia Financiera, en lo que respecta al desarrollo e implementación del Sistema de Administración del Riesgo Operativo (SARO).
• Determinar las políticas de Administración del Riesgo Operativo.
• Establecer al interior de la Compañía las responsabilidades que implican a cada una de las áreas en el riesgo Operativo.
• Identificar las fuentes más importantes de riesgos de la Organización.
• Determinar un procedimiento para su medición, en términos de severidad y probabilidad de ocurrencia.
• Diseñar un procedimiento para su seguimiento y control.
2. ALCANCE
Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con lo establecido en la Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 de la Superintendencia Financiera de Colombia referente al Sistema de Administración del Riesgo Operativo, en el presente manual se precisan los elementos de la estructura de cubrimiento del Riesgo Operativo de REYCA CORREDORES S.A. (REYCA S.A.) El manual contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO de la Compañía, de acuerdo con los requerimientos de la Superintendencia Financiera. Es importante aclarar que es obligatorio para todos los empleados o funcionarios implicados en estas actividades cumplir con lo previsto en este manual. De no ser así se aplicarán las respectivas sanciones establecidas en el reglamento interno de trabajo, sin perjuicio de las sanciones legales que sean procedentes.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
3. DEFINICIONES
3.1 Riesgo Operativo (RO): Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. 3.1.1 Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. 3.1.2 Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. 3.2 Perfil De Riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad. 3.3 Factores De Riesgo: Se entiende por factores de riesgo, las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos, según se indica a continuación. 3.3.1 Internos 3.3.1.1 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo 3.3.1.2 Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. 3.3.1.3 Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
3.3.1.4 Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 3.3.2 Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad. 3.4 Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. 3.5 Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. 3.6 Eventos De Pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades 3.6.1 Clasificación de los riesgos operativos 3.6.1.1 Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. 3.6.1.2 Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. 3.6.1.3 Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. 3.6.1.4 Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. 3.6.1.5 Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. 3.6.1.6 Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas. 3.6.1.7 Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos. 3.7 Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo. 3.8 Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. 3.9 Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles. 3.10 Plan De Continuidad Del Negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. 3.11 Plan De Contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. 3.12 Manual De Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. 3.13 Unidad De Riesgo Operativo: Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.
4. CONTROL DEL MANUAL
La elaboración del manual lo debe ejecutar la Unidad de Riesgo Operativo (URO), es responsabilidad del Representante Legal de REYCA CORREDORES S.A., diseñar y someter a aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones. Es responsabilidad de la Junta Directiva de la Firma, aprobar el Manual de Riesgo Operativo y sus actualizaciones. La Unidad de Riesgo Operativo tiene la responsabilidad de presentar propuestas al Representante Legal y/o a la Junta Directiva para la actualización, así como de distribuir el Manual de Riesgo Operativo y conservar el original del documento. Este Manual, se encuentra a disposición de la Superintendencia Financiera de Colombia o cualquier entre de control o autoridad que lo requiera.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
El uso de este manual es conocido y obligatorio para cada uno de los funcionarios de la compañía y por lo tanto cada miembro se compromete al mantenimiento y actualización del Sistema de Administración del Riesgo Operativo.
5. MARCO NORMATIVO
Los lineamientos para la Administración del Riesgo Operativo, en el marco legal vigente en Colombia para la administración del riesgo operativo, en particular la Circular Externa 041 de 2007 emitida por la Superintendencia Financiera de Colombia.
No. Norma Emitido por Descripción
1 Decreto 206 de 1999
El Presidente de la
República de
Colombia
Por el cual se actualizan los montos del
patrimonio técnico saneado que deben
acreditar las entidades aseguradoras y
reaseguradoras que operan en el país.
2
Capítulo XXII de la
Circular Básica Contable y
Financiera 100 de 1995
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
Reglas relativas a la Administración del
Riesgo Operativo
3
Capítulo Quinto del Título
Sexto Circular Externa
052 de 2002
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
en las consideraciones generales resalta la
importancia en la adopción, "(…) como
parte integral de su Sistema General de
Administración de Riesgos (SAR), sistemas
especiales de identificación, medición,
evaluación y control de aquellos riesgos
particulares a su actividad que operen
coordinadamente con los presupuestos
generales de administración de riesgos", lo
cual implica que, además de la
administración de los riesgos comunes a la
actividad de los servicios financieros, las
entidades aseguradoras deben estar en
capacidad de "…gestionar con éxito los
riesgos particulares a la especie a que
pertenecen".
4. Circular Externa 048 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se adopta el Sistema de
Administración de Riesgo Operativo.
5. Circular Externa 049 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se aclara la circular 048 en lo
referente al número del capítulo que
adiciona en la circular 100 de 1995.
6. Circular Externa 037 de
2007
Superintendencia
Financiera de
Colombia
Por la cual se imparten instrucciones para
el registro de eventos de riesgo operativo y
se determinan la clasificación de riesgos
operativos.
7. Circular Externa 041 de
2007
Superintendencia
Financiera
Por la cual se modifica la circular 049 de
2007, en lo referente a los plazos y otras
indicaciones.
No. Norma Emitido por Descripción
1 Decreto 206 de 1999
El Presidente de la
República de
Colombia
Por el cual se actualizan los montos del
patrimonio técnico saneado que deben
acreditar las entidades aseguradoras y
reaseguradoras que operan en el país.
2
Capítulo XXII de la
Circular Básica Contable y
Financiera 100 de 1995
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
Reglas relativas a la Administración del
Riesgo Operativo
3
Capítulo Quinto del Título
Sexto Circular Externa
052 de 2002
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
en las consideraciones generales resalta la
importancia en la adopción, "(…) como
parte integral de su Sistema General de
Administración de Riesgos (SAR), sistemas
especiales de identificación, medición,
evaluación y control de aquellos riesgos
particulares a su actividad que operen
coordinadamente con los presupuestos
generales de administración de riesgos", lo
cual implica que, además de la
administración de los riesgos comunes a la
actividad de los servicios financieros, las
entidades aseguradoras deben estar en
capacidad de "…gestionar con éxito los
riesgos particulares a la especie a que
pertenecen".
4. Circular Externa 048 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se adopta el Sistema de
Administración de Riesgo Operativo.
5. Circular Externa 049 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se aclara la circular 048 en lo
referente al número del capítulo que
adiciona en la circular 100 de 1995.
6. Circular Externa 037 de
2007
Superintendencia
Financiera de
Colombia
Por la cual se imparten instrucciones para
el registro de eventos de riesgo operativo y
se determinan la clasificación de riesgos
operativos.
7. Circular Externa 041 de
2007
Superintendencia
Financiera
Por la cual se modifica la circular 049 de
2007, en lo referente a los plazos y otras
indicaciones.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
5.1 ASPECTOS GENERALES
5.1.1 MISIÓN Generar rentabilidad a nuestros clientes a través de estructuras financieras competitivas y confiables y creando y utilizando canales de comercialización seguros y eficientes para commodities, apoyando el crecimiento sostenible del campo y la industria colombiana. 5.1.2 VISIÓN
No. Norma Emitido por Descripción
1 Decreto 206 de 1999
El Presidente de la
República de
Colombia
Por el cual se actualizan los montos del
patrimonio técnico saneado que deben
acreditar las entidades aseguradoras y
reaseguradoras que operan en el país.
2
Capítulo XXII de la
Circular Básica Contable y
Financiera 100 de 1995
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
Reglas relativas a la Administración del
Riesgo Operativo
3
Capítulo Quinto del Título
Sexto Circular Externa
052 de 2002
Superintendencia
Bancaria (Hoy
Superintendencia
Financiera de
Colombia)
en las consideraciones generales resalta la
importancia en la adopción, "(…) como
parte integral de su Sistema General de
Administración de Riesgos (SAR), sistemas
especiales de identificación, medición,
evaluación y control de aquellos riesgos
particulares a su actividad que operen
coordinadamente con los presupuestos
generales de administración de riesgos", lo
cual implica que, además de la
administración de los riesgos comunes a la
actividad de los servicios financieros, las
entidades aseguradoras deben estar en
capacidad de "…gestionar con éxito los
riesgos particulares a la especie a que
pertenecen".
4. Circular Externa 048 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se adopta el Sistema de
Administración de Riesgo Operativo.
5. Circular Externa 049 de
2006
Superintendencia
Financiera de
Colombia
Por la cual se aclara la circular 048 en lo
referente al número del capítulo que
adiciona en la circular 100 de 1995.
6. Circular Externa 037 de
2007
Superintendencia
Financiera de
Colombia
Por la cual se imparten instrucciones para
el registro de eventos de riesgo operativo y
se determinan la clasificación de riesgos
operativos.
7. Circular Externa 041 de
2007
Superintendencia
Financiera
Por la cual se modifica la circular 049 de
2007, en lo referente a los plazos y otras
indicaciones.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Ser la empresa líder de la BMC con sostenibilidad, eficiencia y solidez, fidelizando a nuestros clientes con soluciones financieras rentables, integrales e innovadoras y con la comercialización de productos para los sectores agropecuarios y agroindustrial. 5.1.3 PRINCIPIOS CORPORATIVOS
• Toda relación dentro y fuera de la organización debe estar gobernada por la buena fe y la transparencia de cada una de nuestras acciones, basado en los principios planteados en el código de Ética y Conducta.
• Obrar con buena fe, lealtad diligencia y cuidado, velando permanentemente por el respeto de las personas y el cumplimiento de la ley, dando prelación en sus decisiones a los principios y valores de la compañía.
• No aconsejar o intervenir en situaciones que permitan, amparen o faciliten actos incorrectos, incluyendo aquellos que puedan utilizarse para confundir o sorprender la buena fe de terceros o usarse en forma contraria a los intereses legítimos de la compañía, tales como: publicidad tendenciosa, espionaje industrial, incumplimiento de obligaciones laborales, comerciales, sociales y demás.
• Comunicar oportunamente a sus superiores inmediatos todo hecho o irregularidad cometida por parte de otro funcionario o de un tercero, que afecte o pueda lesionar los intereses de la compañía y de sus clientes.
• Mantener la mayor objetividad, independencia y conocimiento en la toma decisiones, actuando con buena fe y en cumplimiento de la ley.
• Tener la capacidad de hacer mejoramiento continuo en nuestros productos, del negocio y adaptarnos a los cambios que exige el mercado.
5.2 DESCRIPCION DE PRODUCTOS
a) REGISTROS: El decreto 574 de 2002 y 1555 de 2017, permite a los productores acogerse a
este beneficio cuando registran sus facturas en la BMC, con lo cual no están sujetos a la Retención en la Fuente del 1.5% para productos naturales y 3.5% para productos con primer grado de transformación agroindustrial.
b) MERCADO DE COMPRAS PUBLICAS: Decreto 2474 de 2008, reglamenta la ley 80 de 1993
1150 de 2007, que establece que entidades estatales pueden adquirir bienes uniformes a
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
través de bolsas de productos. Para lo cual se realiza una subasta inversa donde hay oportunidad de vender un universo de productos, que van desde frutas y verduras hasta equipos de cómputo. Con clientes como la Agencia Logística de las Fuerzas Militares, ICBF, Municipios y Departamentos del territorio nacional.
c) FÍSICOS DISPONIBLES: Existen físicamente los productos al momento de la
comercialización y su cumplimiento en entrega se cumple antes de 30 días de celebrada la negociación.
d) OPERACIONES F.D SIN ADMINISTRACIÓN DE GARANTÍAS Herramienta creada para la
comercialización de productos agropecuarios, agroindustriales, commodities y bienes uniformes, permitiendo a compradores y vendedores, transar sus productos en las condiciones pactadas de cantidad, calidad y entrega, en un plazo no superior a 30 días, después de celebrada la operación en Bolsa, obteniendo una optimización en el GMF
e) INVERSIONES RENTABLES El mercado de la Bolsa Mercantil de Colombia S.A. ofrece
posibilidades de colocación de capital de inversión a tasas rentables, en títulos representativos de mercancías (CDM´s) y compra al descuento de facturas con fecha de vencimiento futuro (Venta Definitiva de Facturas).
f) ASESORÍAS FINANCIERAS REYCA Corredores S.A. está autorizada por la
Superfinanciera para ejercer actividades de asesoría en los siguientes temas:
• Obtención créditos FINAGRO.
• Obtención de subsidios.
• Estructuración e ingeniería financiera
• Programas de inversión
• Coberturas
6. OBJETIVOS DEL SISTEMA OPERATIVO SARO
El objetivo de REYCA CORREDORES S.A., en la implementación del Sistema de Administración de Riesgo Operativo” es propender porque el desarrollo de su objeto social se realice bajo un esquema de control y gestión adecuados de riesgos, que reduzcan las probabilidades de materialización del riesgo operativo, legal y/o del riesgo reputacional, de forma tal que se proteja los intereses de los accionistas, los grupos de interés y la propia sociedad. 6.1 OBJETIVOS ESPECÍFICOS.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
➢ Documentar los diferentes procesos desarrollados al interior de la entidad, clasificándolos en Misionales y de Apoyo.
➢ Identificar los riesgos operativos presentes en cada uno de los procesos desarrollados por la aseguradora, otorgando prioridad a los Misionales y a los Significativos.
➢ Clasificar los riesgos dependiendo de su origen, es decir, recurso humano, procesos, tecnología, infraestructura o externos.
➢ Cualificar o cuantificar (siempre y cuando existan observaciones para correr de manera adecuada metodologías correspondientes) los niveles de aceptación de riesgo operativo de la aseguradora.
➢ Definir las obligaciones y campos de actuación de las gerencias y sus respectivas áreas en relación con los procesos y los controles a cargo de cada uno, que constituyen parte integral del - SARO-.
➢ Mantener actualizado el Sistema de Administración de Riesgo Operativo - SARO- con base en los procesos y controles A cargo de cada gerencia.
7. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO
7.1. DEFINICIÓN
Son los lineamientos generales que RENTA Y CAMPO CORREDORES S.A debe adoptar con relación al Sistema de Administración del Riesgo Operativo. Estos lineamientos facilitarán la toma de decisiones en Materia de Riesgos. POLÍTICAS La constitución de las políticas de riesgo de RENTA Y CAMPO CORREDORES S.A. se llevó a cabo mediante el estudio y análisis realizado de cada uno de los procedimientos que conforman los procesos y los riesgos operativos implícitos en cada uno de ellos. Los aspectos tenidos en cuenta fueron la estructura, tamaño, objeto social y actividades de apoyo, de manera que se puedan hacer controles sobre las actividades logrando así atenuar el riesgo al que se expone la firma. Con el fin de certificar el cumplimiento de los controles ejercidos durante el proceso de implementación de SARO, es necesario determinar políticas generales que aseguren el desarrollo de los procesos y procedimientos establecidos.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
7.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON:
a) Lograr que todos los empleados estén completamente capacitados con amplio conocimiento
en la administración de riesgos operativos y de esta forma que sean parte activa de los procesos en que cada uno es responsable.
b) La identificación y evaluación de riesgos y controles debe basarse en la auto-evaluación
practicada por los funcionarios de la Compañía. Y debe documentarse mediante bases de datos de pérdidas, tanto ocurridas como potenciales.
c) Identificar y analizar las posibles fallas, debilidades e insuficiencias que se presentan en los
controles de los procesos de la organización y en especial aquellos que tengan un alto grado de riesgo.
d) Implementar instrumentos para reducir o prevenir a la organización de posibles pérdidas,
tales como alertas tempranas, sistemas de control acordes con el nivel de riesgo de cada proceso, planes de contingencia e indicadores de gestión.
e) Periódicamente serán desarrolladas auditorias, las cuales tendrán una programación anual,
sin embargo, luego de evaluar los indicadores de gestión y los procesos, es posible encontrar deficiencias en los mismos; para identificarlas se planearán auditorias no programadas que servirán para verificar mejor la existencia de controles que no se estén realizando.
f) Generar mejoramiento continuo a través de la reevaluación y confrontación de los indicadores
de gestión.
g) Aplicar acciones correctivas para disminuir el riesgo residual. Estas acciones son valoradas por el esquema de causa y efecto para la indagación de la medida más efectiva. Las acciones correctivas tendrán un seguimiento, para dar su cierre. Si no se cierran las acciones correctivas debido a que el procedimiento no presenta mejora, se debe iniciar una nueva acción o medida para verificar el procedimiento.
h) Fortalecer periódicamente los procesos del Sistema de Administración de Riesgo Operativo. i) Las políticas de implementación del Riesgo Operativo empezaran a regir según lo establecido
por la norma publicada por la Superintendencia Financiera de Colombia.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
7.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y OBJETIVOS RO
Buscando el cumplimiento de los objetivos y de las políticas que REYCA CORREDORES S.A. ha establecido para el Riesgo Operativo de la Firma, se determinaron las siguientes medidas que la Unidad de Riesgo Operativo (URO), realizará:
a) Fomentar la disponibilidad, actualizar y mantener el Sistema de Administración del Riesgo Operativo a través del análisis continuo de las situaciones internas y externas que puedan amenazar la estabilidad y crecimiento de la organización o que propicien cambios en las políticas definidas.
b) Prevenir y resolver posibles conflictos de interés en la recolección de información en las
diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo.
c) Mantener un control permanente sobre los cambios en los perfiles de los riesgos operativos, con el fin de realizar oportunamente los ajustes necesarios en los planes buscando un mejoramiento continuo.
d) Desarrollará e implementará planes de contingencia para asegurar la continuidad de los
procesos.
e) Todas las personas vinculadas a RENTA Y CAMPO CORREDORES S.A tienen el deber de conocer y cumplir las normas internas y externas relacionadas con la administración de los riesgos operativos y los estamentos directivos, de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.
f) Impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo,
creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento.
7.4. PROCEDIMIENTOS Y METODOLOGÍAS RO
De conformidad con la Circular externa 048 del 22 de diciembre de 2006, expedida por la SFC, el Sistema de Administración de Riesgos Operativos. SARO, será el conjunto de elementos tales como
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.
a) Los procesos y procedimientos deben ser sometidos permanentemente al análisis de riesgos y las propuestas de modificaciones deben incluir este componente, con base en la aplicación de las metodologías adoptadas para el efecto.
b) Debe mantenerse un control permanente sobre los cambios en los perfiles de riesgo operativo
para realizar oportunamente los ajustes pertinentes en los planes de mejoramiento.
c) Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios señalados por la Superintendencia Financiera de Colombia.
d) Todo responsable de un proceso, debe comunicar mediante los formatos apropiados a la
Unidad de Riesgo Operativo, todos los eventos que afecten el Sistema de Administración de Riesgo Operativo y documentarlo debidamente.
e) Los eventos de Riesgo que se materialicen, deben ser reportados y revelados, utilizando los
procedimientos e instrumentos que para tal fin señala la Superintendencia Financiera de Colombia.
8. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO (SARO)
La estructura organizacional de la empresa representa un eje fundamental dentro del control del riesgo operativo. A continuación, se presenta el organigrama aprobado por la junta directiva. Este organigrama se ajusta a la estructura mínima demandada por los reglamentos vigentes de la Bolsa Mercantil de Colombia (BMC).
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
8.1. ORGANIGRAMA
8.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A. (REYCA S.A.)
Asamblea de Accionistas Revisor Fiscal
Junta Directiva
Defensor del Consumidor
Oficial de Cumplimiento
Auditoria Externa Contralor Normativo
Gerente General
Middle Office Front Office Back office
Coordinación de Riesgos
Dirección Administrativa
Dirección Financiera
Mercado de Compras Públicas y Físicos
Financieros
Recursos Humanos
Contabilidad
Tesorería
Operaciones
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
8.2.1. Junta Directiva
Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como
mínimo las siguientes funciones a cargo de la Junta Directiva:
a) Establecer las políticas relativas al SARO.
b) Aprobar el Manual de Riesgo Operativo y sus actualizaciones.
c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Compañía.
d) Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia
al riesgo de la Compañía, fijado por la misma Junta Directiva.
e) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que
presente el Representante Legal.
f) Pronunciarse sobre la evaluación periódica del SARO que realicen la Revisoría Fiscal y la
Auditoría Interna.
g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma
efectiva y eficiente, el SARO.
8.2.2. Representante Legal
El Representante Legal tiene frente al SARO las siguientes funciones mínimas:
a) Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus
actualizaciones.
b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que
se llevan a cabo en la Compañía.
d) Designar el área o cargo que actuará como responsable de la implementación y seguimiento
del SARO: La Coordinación de Riesgo (Unidad de Riesgo Operativo – URO).
e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio
cultural que la administración de este riesgo implica para la Compañía.
f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al
riesgo, fijado por la Junta Directiva.
g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo
con los términos establecidos en el presente Manual.
i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones
señaladas en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia
Financiera.
j) Velar porque se implementen los procedimientos para la adecuada administración del riesgo
operativo a que se vea expuesta la Compañía en desarrollo de su actividad.
k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos
necesarios para su oportuna ejecución.
l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la
evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas
y correctivas implementadas o por implementar y el área responsable.
m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de
acuerdo con lo previsto en el presente Manual.
n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad,
confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la
información allí contenida.
8.2.3. Unidad de Riesgo Operativo (URO) La Unidad de Riesgo Operativo es la encargada de coordinar el diseño e implementación del Sistema
de Administración de Riesgo Operativo en RENTA Y CAMPO CORREDORES S.A., contribuir con el
logro de los imperativos estratégicos y fortalecer los sistemas de información gerencial, la cultura de
control interno y la administración del plan de contingencias.
Las actividades que debe llevar a cabo la Coordinación de Riesgo, como área responsable de la
Unidad de Riesgo Operativo, para administrar el riesgo operativo son las siguientes:
a) Definir los instrumentos, metodologías y procedimientos tendientes a que la RENTA Y
CAMPO CORREDORES S.A administre efectivamente su riesgo operativo.
b) Desarrollar e implementar el sistema de reportes internos y externos, del riesgo operativo.
c) Administrar el registro de eventos de riesgo operativo.
d) Coordinar la recolección de la información para alimentar el registro de riesgo operativo.
e) Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de
riesgo identificados y medidos.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
f) Establecer y monitorear el perfil de riesgo individual y consolidado de la RENTA Y CAMPO
CORREDORES S.A, e informarlo a la Junta Directiva.
g) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados
con el SARO y proponer sus correspondientes actualizaciones y modificaciones.
h) Desarrollar los modelos de medición del riesgo operativo.
i) Desarrollar los programas de capacitación de la RENTA Y CAMPO CORREDORES S.A
relacionados con el SARO.
j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el
propósito de evaluar su efectividad.
k) Reportar permanentemente a la Junta Directiva la evolución del riesgo, los controles
implementados y el monitoreo que se realice sobre el mismo. Adicionalmente debe realizar
un reporte semestral consolidado de Riesgo Operativo en las diferentes áreas.
8.2.4. Comité Interno de Administración de Riesgo
Para el adecuado cumplimiento de la labor que le corresponde a la administración en la definición de
las políticas y del diseño de los procedimientos efectivos e idóneos para una adecuada administración
del riesgo, previstos en la normatividad emitida por la Superintendencia Financiera de Colombia, se
implementó al interior RENTA Y CAMPO CORREDORES S.A. el Comité de Administración del
Riesgo.
Dentro de sus funciones se encuentran las siguientes:
a) Definir los límites de exposición para posibles riesgos que puedan afectar a la compañía a
través de una matriz control.
b) Presentar a la Junta Directiva y a la Gerencia los negocios activos y pasivos, con base en la
matriz de control y un análisis de los documentos legales suministrado por el cliente.
c) Establecer y presentar a la Junta Directiva las políticas y estrategias para identificar, medir,
controlar y monitorear el riesgo de conformidad con los principios señalados en las normas
sobre la materia.
d) Verificar la gestión de nuestros clientes en la estructura de sus estados financieros e
información adicional para monitorear y controlar el grado de exposición al riesgo de la
compañía.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
e) Velar por que se cumplan en forma oportuna y eficiente las instrucciones impartidas por la
Superintendencia Financiera de Colombia respecto de la identificación, medición, control y
monitoreo de riesgos y sobre la adopción de políticas para su eficiente manejo.
f) Comprobar que dentro de los manuales y procedimientos internos se apliquen las normas
sobre el manejo de Riesgos, que están establecidas en la Circular 100 de 1995 capítulos XXI
al XXIII de la SFC.
g) Mantener una constante relación, comunicación e información con los organismos de control
y vigilancia, internos y externos, de manera específica con el Revisor Fiscal, Control interno,
BMC, CRC BMC y la Superintendencia Financiera de Colombia, para facilitar el logro de
resultados y la adopción de las medidas que correspondan a cada uno de estos organismos
dentro de la órbita de sus atribuciones y responsabilidades.
8.2.5. Órganos de Control
Los responsables de evaluar el SARO como órganos de control son la Revisoría fiscal y la Auditoría
Interna, con la finalidad de identificar las fallas o posibles debilidades y de esta forma informar a los
entes correspondientes.
Los órganos de control son completamente independientes de la Administración de Riesgo Operativo,
por lo tanto no son responsables por la gestión del mismo. Su actividad principal es la de evaluación
del sistema, de esta forma es deber de la Administración de la Compañía atender los requerimientos,
suministrándoles información y los medios necesarios para el desarrollo y la ejecución de su labor.
La Compañía podrá contratar en gestión de riesgos, auditorías externas, con el objetivo de cumplir
con las normas y apoyar a los órganos de control, en la evaluación del SARO.
8.2.5.1. Revisor Fiscal en lo relacionado con la evaluación del SARO
a) Construir un reporte al finalizar cada ejercicio contable, donde informe acerca de los
resultados obtenidos en el proceso de evaluación del cumplimiento de las normas e
instructivos sobre el SARO.
b) Informar al Representante legal de los resultados obtenidos del SARO informándoles sobre
los incumplimientos que se presentaron. Sin perjuicio de la obligación de informar sobre ellos
a la Junta Directiva.
8.2.5.2. Auditoría Interna en lo relacionado con la evaluación del SARO
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
a) Realizar una evaluación sobre el cumplimiento y los resultados obtenidos periódicamente de
las etapas y elementos del SARO con la finalidad de determinar las fallas, debilidades y de
esta forma encontrar las posibles soluciones para su perfeccionamiento.
b) Informar los resultados de la anterior evaluación a la Coordinación de Riesgo y al
Representante Legal trimestralmente.
c) Ejecutar periódicamente una revisión del registro de eventos de riesgo operativo e informar
al Representante Legal sobre el cumplimiento de las condiciones de Capítulo XXIII de la
Circular Externa 100 de 1995 de la Superintendencia Financiera.
Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema
de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO
CORREDORES S.A.
8.2.6. Responsabilidad General de todas las Áreas
Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de
riesgo, por lo tanto los responsables de los procesos lo son también de adelantar la gestión de riesgos
y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos sucesos
para efecto de los controles y los registros correspondientes. Le corresponde también fomentar la
cultura de la Administración del Riesgo dentro de su ámbito.
8.3. MAPA ORGANIZACIONAL
Con el fin de lograr una mejor administración del riesgo operativo, REYCA S.A. diseñó un mapa de
procesos donde se diferencian las áreas donde se puede presentar el riesgo operativo, de esta
manera se pretende mitigar la presentación de un evento de riesgo en el sistema.
El mapa organizacional está conformado por cinco procesos cada uno de los cuales cuenta con una
caracterización, donde se resumen los procedimientos y actividades que lo conforman, se menciona
también en estas caracterizaciones los controles y registros que buscan disminuir los eventos de
riesgo operativo, y los indicadores de gestión tenidos en cuenta como herramientas administrativas
para evaluar y controlar los eventos de riesgos en cada proceso. A continuación se muestra el mapa
organizacional de REYCA S.A.:
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Junta Directiva
Gerente General
Proceso Comercial
inculación de Clientes
Mantenimiento de clientes
ervicio al cliente
Dise o de nuevos
productos
Front Office
Proceso de Riesgo
dentificación de riesgos
Registro de eventos de Riesgo
dentificación de operaciones
inusuales
Control nterno
Middle Office
Proceso de Operaciones
Registros
Físicos
nversiones
Contratos
MCP
Proceso Financiero y Contables
Contabilidad
Tesorería
Cartera
Proceso Administrativo
Mane o y protección de arc ivos
Tecnológico
Recursos Humanos
Planeación Estrat gica
Back Office
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
8.4. MACROPROCESOS REYCA CORREDORES S.A. tiene dividido los procesos en 6 Macro-procesos, los cuales resumen todas las actividades de la empresa. Para descripción de cada uno ver Anexo 2.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
9. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO
Para la identificación del riesgo operativo en cada uno de los procesos, se plantean tres etapas, las
cuales serán implementadas en la medida que el sistema se desarrolle y además teniendo en cuenta
los plazos estipulados por la Superintendencia Financiera. La primera etapa está sustentada en la
medición del riesgo, su identificación, estudio y calificación. En la segunda etapa se realiza la
administración del riesgo, por medio de la elaboración de planes y/o políticas para aplicar. En la
tercera y última etapa se hará el seguimiento de las acciones correctivas determinando la efectividad
del plan establecido.
El diseño que siguió la firma para la identificación del riesgo operativo fue el siguiente:
DIAGRAMA DE FLUJO IDENTIFICACIÓN DE PROCESOS
Este Flujograma señala los pasos a seguir para la identificación de los procesos, procedimientos,
medición de riesgos y determinación de políticas de la compañía en cuanto al control del riesgo
operativo. Dentro del estudio se tuvo en cuenta el riesgo residual, conocido como el riesgo que
permanece después de la aplicación de los controles y registros. Cuando suceda un riesgo operativo
debe implementarse el plan de contingencia y los controles desarrollados para cada proceso y/o
procedimiento de la organización.
Cuando se presenta un evento de pérdida, se deben revisar las políticas aplicables respecto a dicha
situación, teniendo en cuenta el impacto que se cuantificó en la matriz de riesgos (explicada
posteriormente). Después se debe diligenciar el Formato de “Reporte de Evento de Riesgo”,
seguidamente de hacer este registro, el impacto debe ser analizado en términos económicos.
Luego de dar solución al evento de pérdida, se hará una evaluación del control y de las respectivas
acciones a tomar para dar solución al riesgo residual que fue aprobada por la URO. En caso de
requerirse una modificación a los controles, la URO revisará y avalará o no la modificación.
En el Formato para el Registro de Evento de Riesgo, se debe registrar e informar cada error o falla
en la operación que lleve a la compañía a identificar un riesgo operativo, el reporte se diligencia en
caso de un evento que implique pérdidas por deficiencias, fallas o inadecuaciones en el personal de
la firma, en los procesos, en la infraestructura, en la tecnología o en los acontecimientos externos.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
SI
Identificación del Proceso
Determinación de Causa y Efectos del Riesgo
Medición Riesgo en el Procedimiento
Identificación del Procedimiento
¿El procedimiento presenta riesgo?
¿Se asume el Riesgo?
Los Controles fueron
Efectivos?
Determinación de Esquema de Controles a Aplicar
Aplicación de Controles de Riesgo
SI
SI
NO
NO
NO
NO
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Las metodologías para la administración del riesgo operativo están compuestas por las actividades
de identificación, medición, monitoreo y control de riesgos, las cuales serán descritas a continuación.
9.1. IDENTIFICACIÓN DEL RIESGO
La identificación de los Riesgos Operativos es realizada por los funcionarios que estén involucrados
en cada proceso por medio de la debida identificación y diligenciamiento de los riesgos operativos
que se derivan de dicho proceso.
9.1.1. Criterio para identificar los Riesgos
a) Para identificar los riesgos operativos sobre los cuales haya lugar dentro del proceso se les
plantean a los participantes las siguientes preguntas para analizar los posibles eventos a
ocurrir: ¿Qué puede salir mal? ¿Qué debilidades y amenazas tiene el proceso? ¿Qué eventos
de pérdida han ocurrido en el pasado? ¿Por qué causa? ¿Si alguien quisiera dañar el
proceso, en qué actividad podría hacerlo y cómo? Estas preguntas no deben ser
desarrolladas por los asistentes; únicamente sirven como guía para que los participantes
consideren los riesgos operativos potenciales para cada una de las actividades que
componen el proceso.
b) Adicionalmente, los participantes deben tener en cuenta los recursos utilizados para el
proceso: Recursos humanos, recursos tecnológicos, recursos físicos y recursos de
infraestructura, para considerar qué riesgos operativos podrían llegar a materializarse ante
deficiencias, fallas o inadecuaciones en dichos recursos.
c) Se debe advertir a los participantes del taller que si bien es necesario abarcar todos los
riesgos operativos posibles, la identificación debe orientarse hacia aquellos riesgos que sean
congruentes, bien sea que hayan ocurrido o no, pero que entren dentro de las posibilidades
reales.
9.1.2. Criterios para la identificación de controles
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Después de identificados los riesgos operativos, se debe analizar qué tipo de control se puede aplicar
para disminuir el riesgo en ese proceso especifico, para que sea utilizado eficazmente. Los controles
se pueden clasificar de la siguiente manera:
I. Por su forma de funcionamiento
a) Manuales: Son los controles ejecutados directamente por los funcionarios, sin la utilización
de sistemas o equipos.
b) Mecánicos: Son aquellos controles ejecutados por medio de equipos, los cuales pueden
requerir o no de su aplicación por parte de personas.
c) Automáticos: Son aquellos controles efectuados a través de sistemas, los cuales no
requieren de la participación de las personas para su aplicación.
II. Por el momento de su aplicación
a) Previos: Son los controles ejecutados antes de dar comienzo a un proceso.
b) Durante el proceso: Son los controles ejecutados periódicamente, a lo largo del proceso.
c) Posteriores: Son los controles ejecutados al terminar un proceso, para comprobar si el
mismo cumplió o no con las medidas establecidas.
III. Por su efecto sobre el riesgo
a) Preventivos: Son los controles ejecutados con la finalidad de minimizar la probabilidad de
que el riesgo se materialice.
b) Correctivos (De seguros o transferencia de riesgos): Son controles diseñados para
mitigar el impacto de un evento de riesgo, una vez que el mismo ha ocurrido, pero orientado
a reducir la pérdida o costo financiero.
IV. Por el tipo de bien o proceso que controlan
a) Controles de sistemas: Los controles de sistemas de usuarios, se incluyen para identificar
quien utiliza el sistema y si el funcionario se encuentra autorizado para tal efecto, también los
controles funcionan para fijar la validez de las actualizaciones y procesos efectuados a los
sistemas o programas.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
b) Se incluyen controles para el apropiado seguimiento a las posibles fallas, con el fin de
establecer si los mismos son investigados y resueltos apropiadamente.
c) Controles de acceso físico: El objetivo es proteger los activos de la compañía, restringiendo
el acceso a las áreas donde se encuentran activos o información con alto valor de
confidencialidad para la organización.
d) Controles de bases de datos, registros e información: Los controles contienen
mecanismos para asegurar la correcta captura de datos en los aplicativos de la Compañía y
para mantener los datos libres de cualquier daño o modificación posterior.
e) Controles de personal: determinados para asegurar la calidad e integridad del personal que
está encargado de ejecutar los métodos y procedimientos prescritos por la Compañía para el
logro de los objetivos.
f) Controles de protección de activos: Este tipo de controles incluye el acceso físico a las
diferentes áreas de la Compañía, así como el acceso restringido a los equipos, a la
documentación y a los archivos de datos y programas, todo ello solo permitido al personal
autorizado.
g) Controles de los equipos: Consiste en la programación del mantenimiento preventivo y
periódico, el registro de fallas de equipos y los cambios en el sistema operativo y la
programación del software utilizado por la Compañía.
h) Controles de procesos contables: Deben existir controles que aseguren el procesamiento
exacto y oportuno de la información contable.
i) Controles de autorización: Consisten en la revisión de los intercambios, a nivel de cualquier
proceso de la Compañía, para asegurar que estos hayan sido autorizados apropiadamente.
j) Controles de custodia de activos: Están diseñados para evitar que los activos se pierdan,
dañen o sean robados, y para proporcionar la seguridad de que las cantidades y los valores
en existencia sean coincidentes con los registrados.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
k) Incluye controles para prevenir el uso no autorizado sobre un activo durante su custodia.
l) Controles de estructura organizacional: Consisten en establecer una adecuada estructura
en cuanto al establecimiento de divisiones y departamentos funcionales, así como la
asignación de responsabilidades y políticas de delegación de autoridad.
m) Esto incluye la existencia de un departamento de Auditoría Externa que dependa del máximo
nivel de la Compañía.
n) Controles de autocontrol de la Alta Gerencia: Es responsabilidad de la alta gerencia
generar una conciencia favorable dentro del control interno de la Compañía. La Alta Gerencia
no debe infringir los controles fijados, dando ejemplo dentro de la organización.
9.2. MEDICIÓN DEL RIESGO
El objetivo de la etapa de medición es establecer el nivel de riesgo inherente al cual está expuesto RENTA Y CAMPO CORREDORES S.A. determinar el impacto y la probabilidad de materialización de los riesgos identificados. La medición se realiza a juicio del experto y confrontado con el número de reportes en la base de eventos de riesgos materializados, la medición se realiza basada en los criterios definidos previamente para la estimación de la frecuencia e impacto. El área de riesgos al analizar que los controles adoptados no son óptimos, puede poner a consideración ante el Comité de Riesgo Operativo y Junta Directiva, nuevas mejoras en los criterios para la estimación de la frecuencia, impacto y controles, para su posterior aprobación. La medición de estos riesgos se realizará tomando como marco los Procesos Misionales y de apoyo, los cuales se constituyen en los procesos significativos de la Firma. La metodología de medición se aplicará tanto a la probabilidad (Frecuencia) de ocurrencia como al impacto de los riesgos que se materialicen e identifiquen. El propósito del análisis o medición es separar los riesgos aceptables menores de los mayores, y facilitar datos que sirvan para el tratamiento de los riesgos. En el proceso de medición de los riesgos operativos, la Coordinación de Riesgo de la Firma
desarrollará, como mínimo, los siguientes pasos:
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
a) Establecerá las escalas cualitativas de medición de los riesgos operativos, a nivel de
probabilidad e impacto, y de los controles, a nivel de diseño y eficiencia. La medición se hará
de manera individual, por riesgo operativo previamente identificado para cada proceso.
b) Solicitará a los participantes a las reuniones, que tengan en cuenta criterios objetivos para la
evaluación, como la cuantía o frecuencia de eventos ocurridos en el pasado, la frecuencia
anual de cada proceso, el costo inmediatamente identificable y el costo vinculado (Por
ejemplo, si se daña un computador, además del valor físico del daño, existen pérdidas
asociadas debido al hecho de tener que volver a reconstruir la información contenida en el
mismo o la demora que ello puede provocar en otros procesos), etc.
c) Se consolidarán los resultados individuales, para obtener como resultado el Perfil de Riesgo
Inherente de la Compañía.
d) Posteriormente, solicitará a los participantes la calificación de los controles existentes. Dicha
evaluación se hará por medio del tipo de control; es decir, para el conjunto de controles y no
para cada uno de los controles individualmente considerados. Por ejemplo, para el control
seguridad física comprende controles como cajas fuertes, puertas de seguridad, filmaciones,
etc. No se evaluarán dichos controles en forma individual, sino al nivel de “Seguridad Física”.
e) No obstante, cuando los participantes en la reunión lo consideren adecuado, o la
Coordinación de Riesgo, podrá hacerse una evaluación más detallada de los controles.
f) Se restará el efecto de los controles sobre el riesgo inherente, para obtener como resultado
el Riesgo Residual, tanto a nivel individual como consolidado.
A continuación, se describen las mencionadas etapas:
9.2.1. Valoración del Riesgo Inherente
El riesgo inherente se define como el nivel de riesgo propio de cada una de las actividades de los
procesos sin tener en cuenta los controles establecidos para mitigar los riesgos identificados. Por lo
cual dentro de la evaluación realizada por cada una de las áreas se determinó un posible impacto y
una probabilidad de ocurrencia, advirtiendo a los participantes que ésta calificación debe ser
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
concebida sin tener en cuenta los controles actuales con los cuales cuentan los procesos. Las
definiciones de los atributos con los cuales se calificarán los riesgos operativos son:
a) Impacto: Atributo del evento de riesgo operativo, que mide de forma cualitativa la pérdida
ocasionada por la ocurrencia de dicho evento de riesgo operativo sin tener en cuenta los
controles.
b) Probabilidad: Atributo del evento de riesgo operativo, que mide de forma cualitativa la
posibilidad en la cual se produce un evento de riesgo operativo durante un periodo de un año,
sin tener en cuenta los controles.
c) Valoración: Se utiliza una matriz de probabilidad vs. Impacto. El resultado de multiplicar los
valores asignados de probabilidad por los de impacto, dará la valoración correspondiente.
Según el resultado numérico, el riesgo puede ser catalogado como: Inaceptable Mayor o
importante y Tolerable o Aceptable.
Probabilidad de ocurrencia de un riesgo: Es la probabilidad (frecuencia), que existe de ocurrencia de un Riesgo previamente establecido, a nivel de frecuencia donde horizonte de tiempo para establecerla es de un año y la unidad de medida será:
Para establecer la probabilidad (frecuencia) de ocurrencia, se deberá tener en cuenta si se han presentado eventos de riesgo de manera permanente, esporádica o recurrente.
CRITERIOPUNTO
MEDIOLIMITE INF LIMITE SUP
CASI CON
CERTEZA 90,50% 81% 100%
PROBABLE 70,50% 61% 80%
POSIBLE 50,50% 41% 60%
IMPROBABLE 30,50% 21% 40%
RARO 10,00% 0% 20%
PR
OB
AB
ILID
AD
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Impacto: Hace referencia a efecto económico sobre la Firma, para lo cual se utilizará 5 escalas diferentes tomando como referencia el valor del patrimonio de la Firma se califica teniendo en cuenta sus efectos económicos, reputacionales y legales.
Una vez se realice la medición de la probabilidad y el impacto para los riesgos de cada proceso por las áreas responsables, se debe realizar la medición consolidada para la entidad, determinando el perfil de Riesgo Inherente
NIVELDESCRIPICON
EJEMPLO DE FRECUENCIA DEL EVENTO
DE PÉRDIDA
5
CASI CON
CERTEZA
Ocurrida en muchas circunstancias
MAS DE 2 CASOS EN 1 MES
4 PROBABLE
Probablemente ocurrida mas de una vez
DE 1 A 5 CASOS EN 3 MESES
3 POSIBLE
Podría ocurrir algunas veces
DE 1 CASO EN 6 MESES
2 IMPROBABLEDebería ocurrir por lo menos una vez
DE 1 CASO EN 1 AÑO
1 RARO
Puede ocurrir solo en circunstancias
excepcionales DE DIFICIL OCURRENCIA
PROBABILIDAD
CRITERIOPUNTO
MEDIOLIMITE INF LIMITE SUP
CATASTRÓFICO 91% 81% 100%
MAYOR 71% 61% 80%
MODERADO 51% 41% 60%
MENOR 31% 21% 40%
INSIGNIFICANTE 10% 0% 20%
IMP
AC
TO
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Se establecen las siguientes tablas de criterios de probabilidad e impacto, donde se ubican los resultados de la medición de riesgos con datos históricos, para el caso cuantitativo, y análisis de posibles eventos y opinión de expertos para el caso cualitativo. El riesgo se califica según la matriz, teniendo en cuenta los siguientes parámetros:
Las modificaciones de la Matriz de Riesgo, deben estar incluidas dentro de los informes a Junta, y debe ser evaluado como mínimo en forma anual para efectos de llevar a cabo ajustes de ser necesario. En caso de no serlo debe informarse dentro del informe que se llevó a cabo la evaluación para su modificación.
NIVEL
REPERCUSIONES SOBRE LOS
CLIENTES
REACCION MEDIOS DE
COMUNICACIÓN ACCIONES DEL REGULADOR
5
CATASTRÓFICO Afecta a muchos clientes
Repercusiones gubernamentales
a nivel político y pérdida de
confianza del público.
Multas significativas
4
MAYORSuspensión prolongada del
servicio
Reportaje en múltiples medios y
noticieros en TV. Nacional por
más de un día.
Multas medianas
3
MODERADORepercusiones sobre los clientes
significativas
artículos de prensa, televisión,
internet, es decir divulgación
significativa por un día máximo
Acciones por parte del
regulador que puedan incluir
multas
2MENOR
Posibilidad de suspensión del
servicio pero el impacto sobre los
clientes es insignificante.
Circulaciones por internet o
propaganda menor
Comentarios adversos pero
no interviene
1INSIGNIFICANTE No impacta a los clientes
No hay divulgación de problemas
ni propaganda del suceso.No interviene
IMPACTO
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Una vez se realice la medición de la viabilidad y el impacto para los riesgos de cada proceso por las áreas responsables, se debe realizar la medición consolidada para la entidad, determinando el perfil de Riesgo Inherente.
9.2.2. Valoración del Riesgo Residual
Para cada uno de los riesgos operativos identificados, luego de valorar su impacto y determinar la
probabilidad se calificarán los controles o grupo de controles identificados con base en dos atributos
que son: Su diseño y su efectividad.
Diseño: Atributo del grupo de controles o plan de contingencia, que califica la relevancia del mismo,
en aspectos como la oportunidad del mismo, la no existencia de controles o planes de contingencia
redundantes, la necesidad del mismo, la superioridad del mismo frente a otras alternativas de control
o plan de contingencia, el nivel de cobertura del mismo, la regularidad en su aplicación, la experiencia
y autoridad de los miembros de la Compañía que lo diseñaron, etc. Este atributo será calificado con
base en la siguiente escala:
Se utilizarán las siguientes herramientas para identificar los controles existentes para mitigar los riegos operativos identificados en la organización:
RIESGO INHERENTE RIESGO
638
9,38
PERFIL DE RIESGO DE LA COMPAÑÍA SARO
RIESGOS
MODERADOS
LIMITE INF LIMITE SUP
CALIF.
CONTROL
PUNTO
MEDIO
0% 20% MUY BAJO 10,00%
21% 40% BAJO 30,50%
41% 60% MEDIO 50,50%
61% 80% ALTO 70,50%
81% 100% MUY ALTO 90,50%
DISEÑO DEL CONTROL
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
1. Capacitaciones Para unificar conceptos y transmitir las definiciones necesarias para la identificación de controles se recibe una capacitación personalizada donde se explica a los líderes de procesos, los aspectos necesarios para identificar los controles correctamente. Los siguientes aspectos fueron expuestos al momento de la identificación y documentación de los controles existentes. 2. Talleres Después de unificar conceptos el dueño de cada proceso de acuerdo a su percepción, identifica y/o propone controles por cada riesgo y califica cada uno de los criterios mencionados en el formato de Evaluación del control. Se realiza pruebas de los controles que mitigan riesgos inaceptables o extremos o de controles que mitigan más de un riesgo y confronta estos resultados con las calificaciones hechas por los dueños de proceso. Estos controles seleccionados se consideran en el proceso de administración del riesgo. De acuerdo con las matrices de calificación de diseño y Eficiencia se calculan la solidez y la solidez ponderada para cada riesgo.
10. ETAPA DE CONTROL DEL RIESGO OPERATIVO
Dentro de las reuniones efectuadas para la identificación y medición de los riesgos operativos de la
entidad en el caso en que los controles existentes no sean suficientes para la mitigación de los riesgos
o no existan controles, los participantes podrán proponer nuevos controles tendientes a disminuir el
riesgo residual sobre los eventos de riesgo identificados. La viabilidad de los controles propuestos
será evaluada por la Coordinación de Riesgo priorizando los riesgos operativos cuyo riesgo residual
LIMITE INF LIMITE SUP
CALIF.
CONTROL
PUNTO
MEDIO
0% 20% MUY BAJO 10,00%
21% 40% BAJO 30,50%
41% 60% MEDIO 50,50%
61% 80% ALTO 70,50%
81% 100% MUY ALTO 90,50%
EFICIENCIA DEL CONTROL
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
sea mayor y estén situados en un nivel “Alto” dentro del mapa de riesgo donde se visualice el perfil
de riesgo inherente de la compañía.
Dentro de la matriz de riesgo operativo se establecerá un lista de riesgo operativos más significativos,
que serán evaluados y gestionados, para revisar los controles existentes, evaluar la viabilidad de los
controles actuales y proponer, dado el caso, por parte de la Dirección de Riesgo controles adicionales
para mitigar el impacto o reducir la probabilidad de dichos eventos.
10.1.1 MATRIZ DE RIESGO OPERATIVO (MRO)
Los factores de riesgo operativo, los riesgos operativos, el grupo de controles, los planes de
contingencia, el riesgo inherente y el riesgo residual, que se obtengan como resultado de los procesos
de identificación y medición de riesgos descritos en el presente Manual, deberán registrarse y
consolidarse en una Matriz de Riesgo.
A partir de dicha Matriz de Riesgo Operativo (MRO) y del Registro de Eventos de Riesgo Operativo
(RERO) que se menciona más adelante, la Coordinación de Riesgo debe preparar un informe
semestral al Representante Legal, donde manifieste su opinión acerca del adecuado funcionamiento
y suficiencia de los controles y planes de contingencia establecidos para cada riesgo.
Diligenciamiento de la Matriz de Riesgo Operativo:
La Matriz de Riesgo Operativo deberá contener por lo menos los siguientes campos:
✓ Área
✓ Grupo
✓ Nombre del Proceso
✓ Nombre Procedimiento o actividad
✓ Nombre del Factor de Riesgo
✓ Clasificación del evento de pérdida
✓ Descripción del evento de pérdida
✓ Calificación de la probabilidad del riesgo inherente
✓ Calificación del Impacto del riesgo inherente
✓ Calculo del riesgo inherente
✓ Descripción del grupo de controles actuales
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
✓ Calificación del diseño del grupo de controles actuales
✓ Calificación de la efectividad del grupo de controles actuales
✓ Evaluación del grupo de controles actuales
✓ Evaluación del riesgo residual
✓ Descripción del grupo de controles propuestos
Esta información debe ser consolidada por la Coordinación de Riesgo, resultado de los talleres con
cada uno de los dueños de proceso de las diferentes áreas de la compañía y con la periodicidad
establecida por la misma Dirección, la cual debe ser por lo menos anual.
10.1.2 REPORTE DE EVENTOS DE RIESGO OPERATIVO
Cada evento de riesgo operativo individual ocurrido en la Compañía, debe ser reportado a la
Coordinación de Riesgo, independientemente de los seguros que se tengan contratados para ello. En
consecuencia, la Coordinación de Riesgo debe preparar un modelo de reporte donde se solicite a la
persona que identificó la ocurrencia del evento, el diligenciar la información requerida según el
Registro de Eventos de Riesgo Operativo que se menciona más adelante.
La Dirección de Riesgo, como administrador del Registro de Eventos de Riesgo Operativo, debe
asegurarse de que dicha información se actualice inmediatamente en el Registro.
Aquellas pérdidas en las cuales no se pueda cuantificar su valor claramente, en el momento de su
ocurrencia, y de la cual se estime que puede estar superando el Umbral del Reporte anteriormente
establecido, se deberá dar aviso de la ocurrencia del mismo, estimando el valor de la pérdida, de
acuerdo con lo establecido previamente en las Matrices de Riesgo Operativo.
Se considerará falta grave de cualquier funcionario, el que habiendo identificado un evento de pérdida
ocurrido, no proceda a repórtalo oportunamente. Se entiende como oportuno, el informar de la
ocurrencia del evento, dentro del mismo día en que fue identificado.
Finalmente, con el fin de evitar conflictos de interés en la recolección de información para el Registro
de Eventos de Riesgo Operativo, se establece que las personas que identifiquen el evento, deberán
enviar el reporte directamente a la Coordinación de Riesgo y que ningún superior inmediato u otro
funcionario del área podrá interferir en dicho envío, solicitando por ejemplo revisarlo antes de su envío
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
o hacerle algún tipo de modificación, so pena de considerarse falta grave, válida como causal de
despido con justa causa.
La Coordinación de Riesgo es la responsable de elaborar y mantener actualizado un registro de
eventos de riesgo operativo, de acuerdo con lo establecido por el Capítulo XXIII de la Circular Externa
100 de 1995 expedida por la Superintendencia Financiera. Este registro debe contener todos los
eventos de riesgo operativo ocurridos en la Compañía, bien sea que:
➢ Generan pérdidas y afectan el estado de resultados de la Compañía.
➢ Generan pérdidas y no afectan el estado de resultados de la Compañía.
➢ No generan pérdidas y por lo tanto no afectan el estado de resultados de la Compañía.
En estos últimos dos casos, la medición será de carácter cualitativo, siempre y cuando no se pueda
realizar un estimativo cuantitativo.
Cada área deberá proveer a la Coordinación de Riesgo de la información respectiva para diligenciar
este Registro de Eventos de Riesgo Operativo, de manera que el mismo contemple la totalidad del
evento de riesgo operativo potencial o acontecido. Este registro deberá diligenciarse con, por lo
menos, la siguiente información:
I. Referencia: Código interno, creado por la Coordinación de Riesgo, que relacione el evento en
forma secuencial.
II. Fecha de inicio del evento: Fecha en que se inicia el evento. Formato: Día, mes, año, hora.
III. Fecha de finalización del evento: Fecha en que finaliza el evento. Formato: Día, mes, año, hora.
IV. Fecha del descubrimiento: Fecha en que se descubre el evento. Formato: Día, mes, año, hora.
V. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento.
Formato: Día, mes, año, hora.
VI. Clase de evento: Clase de evento, según la clasificación
VII. Producto/Servicio afectado: Nombre del producto o servicio afectado.
VIII. Proceso: Nombre del proceso afectado.
IX. Descripción del evento: Descripción detallada del evento.
X. Líneas operativas: Identificación según clasificación suministrada por la Superintendencia
Financiera de Colombia en el Anexo I del Capítulo XXIII de la C.E. 100 de 1995.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Cada seis meses, la Coordinación de Riesgo debe preparar un informe al Representante Legal,
Informe de Eventos de Pérdida, donde se organice la anterior información por frecuencia de
ocurrencia y por magnitud del siniestro.
La Coordinación de Riesgo deberá estar atenta a proponer los controles necesarios para aminorar la
frecuencia de ocurrencia de aquellos riesgos que presenten la mayor cuantía histórica de siniestros,
tomando una serie histórica de por lo menos tres años o la que exista en el Registro de eventos en
ese momento, si es menor.
10.1.3 NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO
Los niveles de aceptación del riesgo operativo hacen referencia a la política que la Compañía adopte,
basada en el nivel de riesgo de acuerdo al Mapa de Riesgo o a la cuantía de pérdida por la ocurrencia
de un evento de riesgo operativo y luego de implementados los controles necesarios para mitigarla,
acerca de si está dispuesta a tolerar dicho nivel de riesgo o cuantía, o si prefiere trasladar el riesgo
vía seguros.
Estos niveles de aceptación deben ser propuestos por la Coordinación de Riesgo al Representante
Legal o Gerente General, para su validación antes de presentarlos a la Junta Directiva para su
aprobación.
En el caso de optar por la contratación de un seguro, deben administrarse también los eventos de
riesgo operativo asociados con dicho seguro.
11. MONITOREO DEL RIESGO
El monitoreo y control del riesgo operativo se basa en elementos como alertas tempranas, desarrollo
de indicadores de gestión, controles y procesos para administrar la continuidad del negocio.
A continuación se describen dichos elementos:
11.1. Alertas tempranas
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Un sistema de alertas tempranas integral consiste en calcular indicadores numéricos de cada proceso,
para que los cambios en dichos indicadores sirvan de alerta al aumento en la probabilidad o frecuencia
de ocurrencia de un riesgo en particular. Un ejemplo, dado el proceso de consecución de clientes,
entre más clientes se contacten, más frecuencia puede haber en una mala atención a los mismos.
Las alertas Tempranas que como mínimo debe utilizar la Coordinación de Riesgo consisten en lo
siguiente:
a) En primer lugar, la Coordinación de Riesgo debe consolidar anualmente el perfil de riesgo de
toda la Compañía, mediante la visualización del conjunto de riesgos operativos en el Mapa
de Riesgo Residual de la Matriz de Riesgo Operativo.
b) En la medida en que entre el 1% y el 5% de los eventos de riesgo esté en nivel “Alto”, se
configurará una alerta temprana que debe ser informada a la Junta Directiva, para su análisis
y determinar las estrategias a seguir con el fin de controlar el riesgo operativo.
A partir de la actualización periódica de la Matriz de Riesgo Operativo (MRO), la Coordinación
de Riesgo debe elaborar un informe donde se observe la evolución histórica, para cada
evento de pérdida, de los siguientes aspectos:
➢ Impacto del riesgo inherente
➢ Probabilidad del riesgo inherente
➢ Diseño del grupo de controles
➢ Efectividad del grupo de controles.
Aquellas tendencias que muestren un deterioro significativo en los controles o un aumento significativo
en el valor de pérdida esperado, deberán ser objeto de informe al Representante Legal para definir
nuevos controles o planes de contingencia.
Se considera significativo, un comportamiento de un evento de riesgo en particular, cuya severidad
y/o probabilidad de ocurrencia aumente por encima del nivel promedio del conjunto de eventos de
riesgo de toda la Compañía, agregación que realiza la Coordinación de Riesgo a partir de la Matriz
de Riesgo Operativo.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
c) Se debe priorizar el análisis de los eventos de riesgo operativo registrados en la Matriz de
Riesgo Operativo que presenten niveles elevados de Riesgo Residual, para esto se diseñaran
Alertas Tempranas individuales que sirvan de alertas específicas en términos de frecuencia
y/o impacto.
11.2. Indicadores de Gestión
Estos indicadores, que deben ser calculados e informados por la Coordinación de Riesgo al
Representante Legal, corresponden a fórmulas que reflejen si el control de riesgos y los planes de
contingencia son adecuados o no.
Dicho de otra forma, son valores o fórmulas matemáticas que reflejen la evolución de un evento de
riesgo; es decir, de una situación que de presentarse, generaría pérdidas para la Compañía.
El indicador debe evolucionar de forma tal que la exposición al riesgo se reduzca. Por ejemplo, un
indicador puede ser el valor o número de cheques extraviados de la tesorería en un año. En la medida
en que este valor del número de cheques se reduzca a través del tiempo, menos expuesta está la
Compañía a pérdidas por esta razón y significa que los controles establecidos para evitar que se
pierdan cheques y los planes de contingencia implementados para el caso de que un cheque se
extravíe, funcionan adecuadamente.
Si un indicador de gestión refleja un comportamiento negativo, esto significa que la Coordinación de
Riesgo debe estudiar nuevos controles o planes de contingencia para el respectivo proceso.
Los indicadores generales de gestión serán:
• Frecuencia de ocurrencia de eventos de pérdida por proceso. Esta información se toma del
Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se
reduzca, significa una mejor gestión.
• Impacto de los eventos de pérdida que han ocurrido por proceso. Esta información se toma
del Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador
se reduzca, significa una mejor gestión.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
• Evaluación de las capacitaciones en SARO y gestión de riesgos. Esta información
corresponde a la nota promedio de las evaluaciones practicadas a los participantes de las
capacitaciones. En la medida en que el valor de este indicador sea mayor, significa una mejor
gestión.
• Número de procesos con planes de contingencia. Esta información es tomada de la Matriz
MRO. En la medida en que el valor de este indicador sea mayor, significa una mejor gestión.
Adicionalmente la Coordinación de Riesgos deberá diseñar constantemente indicadores de gestión
específicos que apoyen la evaluación de los controles y planes de contingencia de los eventos de
riesgo operativo, potenciales y ocurridos.
Es importante que los indicadores de gestión hagan parte del sistema de evaluación del desempeño
de los funcionarios y áreas de la Compañía, en lo que respecta a los procesos a su cargo.
11.3. Controles
Además de la labor que la Coordinación de Riesgo tiene, de proponer nuevos controles para los
eventos de pérdida identificados en la Matriz de Riesgo Operativo, buscando mejorar la calificación
de su diseño y de su efectividad, la Coordinación de Riesgo debe evaluar la consistencia en términos
de magnitud y funcionamiento (oportuno, efectivo y eficiente) de los controles con respecto al evento
de pérdida que buscan mitigar.
Para ello, debe evaluarse que el control tenga una magnitud acorde con el riesgo inherente. De
manera que aquellos riesgos inherentes de mayor Impacto y probabilidad de ocurrencia, deben tener
un grupo de controles más completos.
Así mismo, pueden identificarse controles que son demasiado grandes, en términos de complejidad
en su aplicación y costo, vinculados a riesgos inherentes de severidad y frecuencia muy bajos. En
este caso, se debe revisar la posibilidad de ajustar dichos controles.
Independiente de las funciones asignadas a la Auditoría Interna, la Coordinación de Riesgo, deberá
además revisar ocasionalmente los controles, mediante trabajo de campo donde se observe el
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
funcionario encargado del control y la forma como lo aplica, para conceptuar si el control es
insuficiente, si es necesario reforzarlo o si es necesario establecer otro control.
11.4. Nuevos procesos o modificación de proceso existente
Como requisito para que en cualquier área de la Compañía se modifique o implemente un nuevo
proceso, el mismo debe ser objeto del análisis anterior de reuniones de trabajo, para valuar el riesgo
inherente y los controles que se deben implementar.
Ningún proceso podrá iniciarse o modificase sin que previamente se diseñe el grupo de controles del
mismo, aprobado por el Representante Legal. Esto aplica también para la realización de operaciones
de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
11.5. Proceso para administrar la continuidad del negocio
En cumplimiento del Capítulo XXIII de la Circular Externa 100 de 1995, la Compañía, teniendo en
cuenta su estructura, tamaño, objeto social y actividades de apoyo, está en desarrollo de un sistema
de administración de la Continuidad del Negocio, el cual incluye los procesos de definir, implementar,
probar y mantener dicho sistema en aspectos como: prevención y atención de emergencias,
administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.
Reyca S.A. dispone de los instrumentos necesarios para asegurar la continuidad de su operación,
estos se nombran a continuación:
a) Capital Social
b) Personal competitivo e idóneo
c) Equipo tecnológico suficiente
d) Pólizas de seguros.
e) Soporte legal
f) Instalaciones propias.
g) Grabación de llamadas
Se ha determinado que la organización cuenta con la estructura suficiente para el desarrollo de su
objeto dentro del contexto de la Bolsa Mercantil de Colombia S.A.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
11.6. Cultura de Riesgos
Dentro de los planes de capacitación periódicos sobre gestión de riesgos operativos para todos los
funcionarios de la Compañía, contemplados en el Manual del Sistema de Administración del Riesgo
Operativo, se debe resaltar la labor que cada funcionario tiene en la identificación de los factores de
riesgo y eventos de pérdida.
Adicionalmente, debe promoverse la identificación y control de factores generadores de riesgos, como
una actividad propia de cada cargo al momento de evaluar desempeños.
Los indicadores de gestión de las diferentes áreas y funcionarios de la Compañía, deben incluir en lo
posible aspectos relacionados con la gestión en la identificación y control de riesgos. Estos
indicadores deben medir además, por proceso, la evolución del impacto y la probabilidad de los
eventos de pérdida por proceso y la evolución del Grupo de Controles, en términos de su diseño y
efectividad.
11.7. Coordinación de Comunicaciones
La comunicación formal es la base para el correcto flujo de la información que se quiere hacer llegar
a los diferentes Grupos de Interés, tanto internos como externos.
Por ello, toda información que se quiera transmitir debe hacerse a través de los canales establecidos
para tal fin, de manera que no se considere válida ninguna otra información canalizada a través de
otros medios.
Esto implica desestimular los canales no formales de comunicación, mediante el desarrollo de canales
formales que tengan definidos claramente aspectos como responsables, forma de acceso a los
mismos y periodicidad.
11.8. Planes de Contingencias
El plan de contingencia para REYCA S.A., tiene por objeto generar lineamientos de ejecución cuando
suceda alguno de los riesgos ya mencionados, de tal forma que se garantice la continuidad de la
organización a pesar de la ocurrencia del evento de riesgo. Los planes de acción se encuentran en la
matriz de cada uno de los procedimientos adjunta la evaluación del riesgo.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Con respecto al componente tecnológico, Reyca S.A. El servidor principal tiene un sistema de
automatización y programación de backup de la base de datos y aplicativos con los mismos
estándares de seguridad establecidos en la circular Externa 052 de 2007 emitida por la
Superintendencia Financiera de Colombia.
Al servidor principal ubicado en la Calle 94 a # 11 a 73 piso 2 – (RACK- Risk Aware Consensual Kink)
tiene tres tipos de backup para la protección de la información los cuales se describen a continuación;
➢ Backup interno
Se realiza diariamente en una periodicidad de 2 veces en al día en el siguiente horario: 7 am, 12m.
El propósito del Backup Interno es minimizar el porcentaje de información pérdida en el evento de que
se llegue a presentar algún imprevisto durante la jornada laboral o no laboral y que los datos del
programa operativo – contable se puedan recuperar en su gran mayoría.
Este Backup tiene una duración de 40 días, lo que indica que la información puede ser revisada y/o
recuperada en un lapso de 40 días atrás
➢ Backup externo
Una vez al mes días se realza una copia de toda la información de los equipos y el servidor de la
compañía, en disco externo. Este disco se mantiene resguardado en las instalaciones de Italcoop
Funza, Ubicación -Funza Cundinamarca-Km 13- vía Occidente Propiedad de ITALCOL.
➢ Backup en la nube.
Es el más importante para el proceso de continuidad del negocio, se está realizando en la nube con
una periodicidad diaria de toda la información del servidor que alberga el programa principal Operativo
y Contable, carpetas y archivos compartidos por el área de operaciones y SARLAFT. Esta copia se
realiza de manera automática después de las ocho de la noche los 365 días del año la cual permite
realizar copias de seguridad y restauración de servidores, bases de datos, ordenadores y carpetas o
archivos de forma fácil, automática y segura.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
La persona encargada de tomar decisiones a cargo de la Coordinación de Riesgo, será el funcionario
que formalmente está encargado de dicha área, quien debe conocer el funcionamiento de los modelos
de administración de riesgos. Como los modelos de análisis, medición, seguimiento y control a los
diferentes riesgos, los cuales deben estar debidamente documentados.
a) Aspectos no contemplados en el presente Manual
Cualquier situación no esperada y no contemplada en el presente manual, debe ser objeto de un Plan
de Contingencia preparado por la Coordinación de Riesgo y aprobado por el Representante Legal.
11.9. Reportes Internos y Externos
Tanto los reportes internos y externos, como los documentos y registros que evidencien la operación
efectiva del SARO, deben tener las características de integridad, oportunidad, confiabilidad y
disponibilidad de la información allí contenida.
12. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN
a) Se identifica por parte de las áreas responsables de los procesos, todos y cada uno de los
riesgos asociados. Se identifican los controles existentes y si fuere del caso, los que deberían
implementarse y establecer la probabilidad e impacto de cada riesgo, antes y después de los
controles, con base en la metodología definida.
b) Una vez diligenciada la encuesta por parte de las áreas responsables, se remitirá a la Unidad
de Riesgo Operativo, la cual consolidará los resultados, evaluará lo descrito y conceptuará
sobre la racionalidad del riesgo o los riesgos identificados.
c) Una vez determinados los niveles de riesgo dentro de cada proceso, se listan utilizando el
criterio de mayo a menor puntaje, para definir la prioridad de tratamiento. Este compendio
sirve de soporte para realizar el plan de tratamiento integral de riesgos.
d) Con base en los resultados obtenidos, la Unidad de Riesgo Operativo establecerá el perfil de
riesgo inherente y residual consolidado de la compañía.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
e) Se establecerá parámetros de control con el fin de observar el comportamiento de los
correctivos aplicados para la mitigación del riesgo, mostrada bajo los resultados de si este se
pudo evitar o si efectivamente se previno. Una vez revisados los resultados se mirara la forma
de financiación de mitigación de los riesgos clasificados en aceptable, si se retiene o se
transfiere.
f) Las áreas responsables de los procesos en los cuales se han identificado riesgos operativos,
deberán al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo,
utilizando el formato de registro de evento de riesgo. La Unidad de Riesgo Operativo es
responsable de mantener actualizados los registros relativos a los reportes y evaluará la
necesidad de hacer actualizaciones y/o modificaciones a los procedimientos y planes de
acción relativos al SARO.
g) Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad
de Riesgo Operativo revisará los riesgos, sus controles y mediciones con el fin de identificar
los posibles cambios en el perfil de riesgo de la entidad.
h) Para dar cumplimiento a lo establecido sobre la Revelación Contable de los eventos, con
base en si los mismos generan pérdidas y afectan los estados financieros de la empresa,
estos deberán registrarse de la manera establecida en el numeral 3.2.8.3 de la Circular
Externa 049 de 2006, de la Superintendencia Financiera.
13. CAPACITACIÓN Y DIVULGACIÓN La Coordinación de Riesgo tendrá a su cargo el diseño, programación y coordinación del Plan Anual de capacitación en el SARO, dirigido a todas las áreas y funcionarios de la Compañía. Los programas de capacitación deberán dictarse también a los nuevos funcionarios vinculados a la compañía, durante su primer mes luego de haber ingresado a la Compañía, así como a los terceros de los cuales se tenga una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo, como el caso del outsourcing. Para el caso de estos terceros, la capacitación deberá darse con anterioridad a la firma del contrato u orden de servicios y como requisito del mismo.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
La Coordinación de Riesgo será responsable de la revisión y actualización trimestral de dichos programas de capacitación. Adicionalmente, deberá desarrollar y aplicar las evaluaciones que se practicarán a los participantes en dichos programas, tanto en el momento inmediatamente posterior a la capacitación como posteriormente, por lo menos una vez al año a todos los funcionarios y terceros. La Coordinación de Riesgo debe contar con los mecanismos de evaluación de los resultados obtenidos, con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.
SISTEMA INTEGRADO DE GESTIÓN
PROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
ANEXO 1. MAPA DE PROCESOS
Procesos Estratégicos
Planeación Estratégica
Gestión de Riesgos
Gestión de la Evaluación y Control
Actividades de Apoyo
Gestión Administrativa
Administración de Sistemas
Gestión Contable
Gestión Jurídica
Procesos Misionales
Gestión ComercialGestión
OperacionalGestión Tesorería
Gestión de Cartera
Necesid
ades d
el cliente
Satisfacció
n d
el cliente
MAPA DE PROCESOS
SISTEMA INTEGRADO DE GESTIÓN
MACROPROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Página 53 de 55
ANEXO 2. FORMATO REPORTE DE EVENTO DE RIESGO
SISTEMA INTEGRADO DE GESTIÓN
MACROPROCESO ESTRATÉGICO
MANUAL SARO
Código: ETMSRF001 Versión: 8.0
Página 54 de 55
2
URO
No. De Reporte
Dólares Euros Pesos Otra cual?
1. Monto en pesos de la pérdida (2,4)
2. Cuantía Recuperada
3. Cuantía Recuperada por Seguros
Pérdida neta (1-2-3)
Insignificante Menor Moderado Mayor Catastrófico
HORA
HORA
HORA
PROCESO OPERATIVO
PROCESO GESTIÓN FINANCIERA
PROCESO GESTIÓN COMERCIAL
CRONOLOGÍA DEL EVENTO
Generan pérdidas y no afectan el estado de resultados de la entidad
No Generan pérdidas y no afectan el estado de resultados de la entidad
FECHA DE INICIO DEL EVENTO (día/mes/año)
FECHA DE FINALIZACIÓN DEL EVENTO (día/mes/año)
FECHA DE DESCUBRIMIENTO DEL EVENTO (día/mes/año)
VERSIÓN
APROBADO
OBJETIVO DEL REGISTRO
PROCESO AFECTADO
FECHA
FECHA DE CONTABILIZACIÓN DEL EVENTO (día/mes/año)
REGISTRO
REPORTE DE EVENTO DE RIESGO
TIPO DE PÉRDIDA
Generan pérdidas y afectan el estado de resultados de la entidad
Hacer el reporte de evento de riesgo para llevar archivo histórico sobre el cual se puedan evaluar y tomar decisiones.