MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO …€¦ · Este manual describe el Sistema de...

SISTEMA INTEGRADO DE GESTIÓN

PROCESO ESTRATÉGICO

MANUAL SARO

Código: ETMSRF001 Versión: 8.0

MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO

VERSIÓN 8 JULIO DE 2018 APROBADA POR JUNTA DIRECTIVA ACTA NO. 209

DIRECCIÓN: CALLE 94A # 11 A – 73 PISO 2 Bogotá – Colombia PBX 621 58 11 - FAX 621 58 11 Ext. 116 CALLE 85 # 48-01 BL 31 OF 809 CENTRAL MAYORISTA DE ANTIOQUIA-ITAGÜÍ PBX : 444 83 77 FAX 366 63 63 www.reycacorredores.co

http://www.reycacorredores.co/



MANUAL SARO


CONTROL DE VERSIONES

ACTUALIZACIÓN NO.

FECHA DE CAMBIO ACTIVIDAD VERSIÓN ACTUALIZADO POR

D M A

1. ACTA No. 64 26 06 2007 Creación Manual 1

ADMINISTRATIVO RAMON E CAPARROSO AYB REYCA Y

ASOCIADOS

2. ACTA No. 77 28 07 2008 Actualización

Normativa 2

ADMINISTRATIVO RAMON E CAPARROSO AYB REYCA Y

ASOCIADOS

3. ACTA No 90 28 07 2009 Actualización

Normativa 3 JAVIER CAPARROSO HOYOS


Normativa 4 JAVIER CAPARROSO HOYOS


Normativa 5 ISMAEL BOHORQUEZ

6. ACTA No. 147 30 08 2013 Actualización 6 GERMAN HERNANDEZ RODRIGUEZ

7. ACTA No. 202 30 12 2014 Ajustes Norma Saro 7 GERMAN HERNANDEZ RODRIGUEZ

8. ACTA No. 202 31 07 2018 Ajustes Norma Saro 8 MAGALI OVALLOS GAONA

CONTROL DE CAMBIOS

CAMBIO NO.

FECHA DE CAMBIO CAMBIO REALIZADO

PAG NOMBRE RESPONSABLE DE LA ACTUALIZACIÓN D M A

1 08 01 2006 Creación Manual Todo JAVIER CAPARROSO

2 28 07 2008 Actualización Normativa Todo JAVIER CAPARROSO

3 30 09 2009 Actualización Normativa Todo JAVIER CAPARROSO

4 25 06 2011 Actualización Normativa Todo ISMAEL BOHORQUEZ

5 25 06 2011 Actualización Normativa

Todo GERMAN HERNANDEZ RODRIGUEZ

6 30 08 2013 Actualización Normativa

GERMAN HERNANDEZ RODRIGUEZ

7 30 12 2014 Ajuste Norma Todo GERMAN HERNANDEZ RODRIGUEZ

8 31 07 2018 Ajuste solicitado área Seguimiento Todo MAGALI OVALLOS GAONA



MANUAL SARO


Contenido INTRODUCCIÓN 5

1. OBJETIVO 6

2. ALCANCE 6

3. DEFINICIONES 7

3.1 Riesgo Operativo (RO): ............................................................................................................................................ 7

3.2 Perfil De Riesgo ........................................................................................................................................................ 7

3.3 Factores De Riesgo .................................................................................................................................................. 7

3.3.1 Internos .................................................................................................................................................................. 7

3.3.2 Externos: ................................................................................................................................................................ 8

3.4 Pérdidas: ................................................................................................................................................................... 8

3.5 Evento: ...................................................................................................................................................................... 8

3.6 Eventos De Pérdida: ................................................................................................................................................. 8

3.6.1 Clasificación de los riesgos operativos .................................................................................................................. 8

3.7 Sistema de Administración de Riesgo Operativo (SARO): ....................................................................................... 8

3.8 Riesgo Inherente:...................................................................................................................................................... 9

3.9 Riesgo Residual: ....................................................................................................................................................... 9

3.10 Plan De Continuidad Del Negocio: ......................................................................................................................... 9

3.11 Plan De Contingencia: ............................................................................................................................................ 9

3.12 Manual De Riesgo Operativo: ................................................................................................................................. 9

3.13 Unidad De Riesgo Operativo: ................................................................................................................................. 9

4. CONTROL DEL MANUAL 9

5. MARCO NORMATIVO 10

5.1 ASPECTOS GENERALES ................................................................................................................................. 11

5.2 DESCRIPCION DE PRODUCTOS ..................................................................................................................... 12

6. OBJETIVOS DEL SISTEMA OPERATIVO SARO 13

6.1 OBJETIVOS ESPECÍFICOS. 13 7. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO 14

7.1. DEFINICIÓN ................................................................................................................................................. 14

7.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON: .......................................................................................... 15

7.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y OBJETIVOS RO .......... 16

7.4. PROCEDIMIENTOS Y METODOLOGÍAS RO ............................................................................................. 16

8. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO (SARO) 17



MANUAL SARO


8.1. ORGANIGRAMA ........................................................................................................................................... 18

8.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS ............................................................ 18

8.2.1. JUNTA DIRECTIVA 19 8.2.2. REPRESENTANTE LEGAL 19 8.2.3. UNIDAD DE RIESGO OPERATIVO (URO) 20 8.2.4. COMITÉ INTERNO DE ADMINISTRACIÓN DE RIESGO 21 8.2.5. ÓRGANOS DE CONTROL 22 8.2.6. RESPONSABILIDAD GENERAL DE TODAS LAS ÁREAS 23

8.3. MAPA ORGANIZACIONAL ........................................................................................................................... 23

8.4. MACROPROCESOS .................................................................................................................................... 25

9. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO 26

9.1. IDENTIFICACIÓN DEL RIESGO .................................................................................................................. 28

9.1.1. CRITERIO PARA IDENTIFICAR LOS RIESGOS 28 9.1.2. CRITERIOS PARA LA IDENTIFICACIÓN DE CONTROLES 28

9.2. MEDICIÓN DEL RIESGO ............................................................................................................................. 31

9.2.1. VALORACIÓN DEL RIESGO INHERENTE 32 9.2.2. VALORACIÓN DEL RIESGO RESIDUAL 36 10. ETAPA DE CONTROL DEL RIESGO OPERATIVO 37

10.1.1 MATRIZ DE RIESGO OPERATIVO (MRO) .................................................................................................. 38

10.1.2 REPORTE DE EVENTOS DE RIESGO OPERATIVO .................................................................................. 39

10.1.3 NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO ............................................................................ 41

11. MONITOREO DEL RIESGO 41

11.1. ALERTAS TEMPRANAS 41 11.2. INDICADORES DE GESTIÓN 43 11.3. CONTROLES 44 11.4. NUEVOS PROCESOS O MODIFICACIÓN DE PROCESO EXISTENTE 45 11.5. PROCESO PARA ADMINISTRAR LA CONTINUIDAD DEL NEGOCIO 45 11.6. CULTURA DE RIESGOS 46 11.7. COORDINACIÓN DE COMUNICACIONES 46 11.8. PLANES DE CONTINGENCIAS 46 11.9. REPORTES INTERNOS Y EXTERNOS 48 12. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN 48

ANEXO 1. MAPA DE PROCESOS 51

ANEXO 2. FORMATO REPORTE DE EVENTO DE RIESGO 53



MANUAL SARO


INTRODUCCIÓN RENTA Y CAMPO CORREDORES S.A. (REYCA S.A.) en cumplimiento con lo establecido por la SUPERINTENDENCIA FINANCIERA DE COLOMBIA (SFC) en su Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 y facilitar una guía en caso de que se presenten eventos de riesgo operativo en los procesos, realizo el Manual del Sistema de Administración de Riesgo Operativo (SARO). Este Manual está compuesto de los diferentes elementos mediante los cuales se busca obtener una efectiva administración del riesgo operativo de la compañía. Para su elaboración se hizo un previo análisis del mapa de procesos de la firma, los procedimientos de cada actividad, las fases y tareas, relacionándolos con el evento de riesgo que pudieran presentar, buscando siempre la depreciación del riesgo inherente. Este sistema se ha establecido atendiendo la estructura, tamaño y su calidad de comisionista de la BOLSA MERCANTIL DE COLOMBIA, con la finalidad de identificar, medir, controlar y monitorear eficazmente el riesgo operativo. Con base al crecimiento continuo que presenta la compañía en cada una de las operaciones que realiza, así mismo se puede evidenciar el incremento de los riesgos internos y externos a los cuales se encuentra expuesta la organización. Cabe resaltar que tal metodología exige que los responsables de cada proceso deban ser conscientes de los procedimientos que realizan y deben tener un conocimiento actualizado tanto del negocio de la empresa, como del mercado y la identificación de puntos críticos de control de operación. El Sistema de Administración de Riesgo Operativo (SARO) de la Compañía tiene básicamente el objetivo de prevenir la ocurrencia de eventos de pérdida para la compañía y minimizar la probabilidad e impacto de eventos inesperados, garantizando la continuidad del negocio, definiendo el Riesgo Operativo como la probabilidad de incurrir en pérdidas resultantes de fallas, deficiencias, o inadecuaciones originadas en: i) los procesos desarrollados en la entidad; ii) tecnología; iii) recurso humano; iv) infraestructura y v) acontecimientos externos. La materialización de riesgos operativos se puede reflejar en cuatro aspectos, los cuales afectan a la comisionista en diferente grado, así:

1. Reproceso al interior de la entidad. 2. Pérdida económica. 3. Sanciones legales, sentencias y resoluciones judiciales o administrativas adversas,

originadas en el desconocimiento de disposiciones legales, administrativas o contractuales. 4. Perdida reputacional de la entidad, se origina cuando la materialización de un riesgo operativo

transciende las esferas de reproceso, pérdida económica y/o sanción, afectando la credibilidad y la confianza de nuestros clientes.



MANUAL SARO


El presente documento, contiene las políticas, normas de conducta y procedimientos que conforman la estructura, mecanismos e instrumentos que han sido diseñados como parte integrante del Sistema de Administración de Riesgo Operativo, de lo cual se desprenden responsabilidades para la Junta Directiva, el Representante Legal, el director de la Unidad de Riesgos, los dueños de cada uno de los procesos de la Firma, así como para cada funcionario, igualmente para toda persona natural o jurídica vinculada, deberán ceñirse a los parámetros establecidos en este documento.

1. OBJETIVO

El Manual del Sistema de Administración de Riesgo Operativo tiene como objetivos:

• Cumplir específicamente con lo establecido en la Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 de la Superintendencia Financiera, en lo que respecta al desarrollo e implementación del Sistema de Administración del Riesgo Operativo (SARO).

• Determinar las políticas de Administración del Riesgo Operativo.

• Establecer al interior de la Compañía las responsabilidades que implican a cada una de las áreas en el riesgo Operativo.

• Identificar las fuentes más importantes de riesgos de la Organización.

• Determinar un procedimiento para su medición, en términos de severidad y probabilidad de ocurrencia.

• Diseñar un procedimiento para su seguimiento y control.

2. ALCANCE

Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con lo establecido en la Circular Externa 048 de 2006 en concordancia con las C. E. 037/07 y 041/07 de la Superintendencia Financiera de Colombia referente al Sistema de Administración del Riesgo Operativo, en el presente manual se precisan los elementos de la estructura de cubrimiento del Riesgo Operativo de REYCA CORREDORES S.A. (REYCA S.A.) El manual contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO de la Compañía, de acuerdo con los requerimientos de la Superintendencia Financiera. Es importante aclarar que es obligatorio para todos los empleados o funcionarios implicados en estas actividades cumplir con lo previsto en este manual. De no ser así se aplicarán las respectivas sanciones establecidas en el reglamento interno de trabajo, sin perjuicio de las sanciones legales que sean procedentes.



MANUAL SARO


3. DEFINICIONES

3.1 Riesgo Operativo (RO): Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. 3.1.1 Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. 3.1.2 Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. 3.2 Perfil De Riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad. 3.3 Factores De Riesgo: Se entiende por factores de riesgo, las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos, según se indica a continuación. 3.3.1 Internos 3.3.1.1 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo 3.3.1.2 Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. 3.3.1.3 Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.



MANUAL SARO


3.3.1.4 Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 3.3.2 Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad. 3.4 Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. 3.5 Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. 3.6 Eventos De Pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades 3.6.1 Clasificación de los riesgos operativos 3.6.1.1 Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. 3.6.1.2 Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. 3.6.1.3 Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. 3.6.1.4 Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. 3.6.1.5 Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. 3.6.1.6 Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas. 3.6.1.7 Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos. 3.7 Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,



MANUAL SARO


mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo. 3.8 Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. 3.9 Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles. 3.10 Plan De Continuidad Del Negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. 3.11 Plan De Contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. 3.12 Manual De Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. 3.13 Unidad De Riesgo Operativo: Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.

4. CONTROL DEL MANUAL

La elaboración del manual lo debe ejecutar la Unidad de Riesgo Operativo (URO), es responsabilidad del Representante Legal de REYCA CORREDORES S.A., diseñar y someter a aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones. Es responsabilidad de la Junta Directiva de la Firma, aprobar el Manual de Riesgo Operativo y sus actualizaciones. La Unidad de Riesgo Operativo tiene la responsabilidad de presentar propuestas al Representante Legal y/o a la Junta Directiva para la actualización, así como de distribuir el Manual de Riesgo Operativo y conservar el original del documento. Este Manual, se encuentra a disposición de la Superintendencia Financiera de Colombia o cualquier entre de control o autoridad que lo requiera.



MANUAL SARO


El uso de este manual es conocido y obligatorio para cada uno de los funcionarios de la compañía y por lo tanto cada miembro se compromete al mantenimiento y actualización del Sistema de Administración del Riesgo Operativo.

5. MARCO NORMATIVO

Los lineamientos para la Administración del Riesgo Operativo, en el marco legal vigente en Colombia para la administración del riesgo operativo, en particular la Circular Externa 041 de 2007 emitida por la Superintendencia Financiera de Colombia.

No. Norma Emitido por Descripción

1 Decreto 206 de 1999

El Presidente de la

República de

Colombia

Por el cual se actualizan los montos del

patrimonio técnico saneado que deben

acreditar las entidades aseguradoras y

reaseguradoras que operan en el país.

2

Capítulo XXII de la

Circular Básica Contable y

Financiera 100 de 1995

Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)

Reglas relativas a la Administración del

Riesgo Operativo

3

Capítulo Quinto del Título

Sexto Circular Externa

052 de 2002

Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)

en las consideraciones generales resalta la

importancia en la adopción, "(…) como

parte integral de su Sistema General de

Administración de Riesgos (SAR), sistemas

especiales de identificación, medición,

evaluación y control de aquellos riesgos

particulares a su actividad que operen

coordinadamente con los presupuestos

generales de administración de riesgos", lo

cual implica que, además de la

administración de los riesgos comunes a la

actividad de los servicios financieros, las

entidades aseguradoras deben estar en

capacidad de "…gestionar con éxito los

riesgos particulares a la especie a que

pertenecen".

4. Circular Externa 048 de

2006

Superintendencia

Financiera de

Colombia

Por la cual se adopta el Sistema de

Administración de Riesgo Operativo.


2006

Superintendencia

Financiera de

Colombia

Por la cual se aclara la circular 048 en lo

referente al número del capítulo que

adiciona en la circular 100 de 1995.


2007

Superintendencia

Financiera de

Colombia

Por la cual se imparten instrucciones para

el registro de eventos de riesgo operativo y

se determinan la clasificación de riesgos

operativos.


2007

Superintendencia

Financiera

Por la cual se modifica la circular 049 de

2007, en lo referente a los plazos y otras

indicaciones.



El Presidente de la

República de

Colombia





2




Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)


Riesgo Operativo

3



052 de 2002

Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)
















pertenecen".


2006

Superintendencia

Financiera de

Colombia




2006

Superintendencia

Financiera de

Colombia





2007

Superintendencia

Financiera de

Colombia




operativos.


2007

Superintendencia

Financiera



indicaciones.



MANUAL SARO


5.1 ASPECTOS GENERALES

5.1.1 MISIÓN Generar rentabilidad a nuestros clientes a través de estructuras financieras competitivas y confiables y creando y utilizando canales de comercialización seguros y eficientes para commodities, apoyando el crecimiento sostenible del campo y la industria colombiana. 5.1.2 VISIÓN



El Presidente de la

República de

Colombia





2




Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)


Riesgo Operativo

3



052 de 2002

Superintendencia

Bancaria (Hoy

Superintendencia

Financiera de

Colombia)
















pertenecen".


2006

Superintendencia

Financiera de

Colombia




2006

Superintendencia

Financiera de

Colombia





2007

Superintendencia

Financiera de

Colombia




operativos.


2007

Superintendencia

Financiera



indicaciones.



MANUAL SARO


Ser la empresa líder de la BMC con sostenibilidad, eficiencia y solidez, fidelizando a nuestros clientes con soluciones financieras rentables, integrales e innovadoras y con la comercialización de productos para los sectores agropecuarios y agroindustrial. 5.1.3 PRINCIPIOS CORPORATIVOS

• Toda relación dentro y fuera de la organización debe estar gobernada por la buena fe y la transparencia de cada una de nuestras acciones, basado en los principios planteados en el código de Ética y Conducta.

• Obrar con buena fe, lealtad diligencia y cuidado, velando permanentemente por el respeto de las personas y el cumplimiento de la ley, dando prelación en sus decisiones a los principios y valores de la compañía.

• No aconsejar o intervenir en situaciones que permitan, amparen o faciliten actos incorrectos, incluyendo aquellos que puedan utilizarse para confundir o sorprender la buena fe de terceros o usarse en forma contraria a los intereses legítimos de la compañía, tales como: publicidad tendenciosa, espionaje industrial, incumplimiento de obligaciones laborales, comerciales, sociales y demás.

• Comunicar oportunamente a sus superiores inmediatos todo hecho o irregularidad cometida por parte de otro funcionario o de un tercero, que afecte o pueda lesionar los intereses de la compañía y de sus clientes.

• Mantener la mayor objetividad, independencia y conocimiento en la toma decisiones, actuando con buena fe y en cumplimiento de la ley.

• Tener la capacidad de hacer mejoramiento continuo en nuestros productos, del negocio y adaptarnos a los cambios que exige el mercado.

5.2 DESCRIPCION DE PRODUCTOS

a) REGISTROS: El decreto 574 de 2002 y 1555 de 2017, permite a los productores acogerse a

este beneficio cuando registran sus facturas en la BMC, con lo cual no están sujetos a la Retención en la Fuente del 1.5% para productos naturales y 3.5% para productos con primer grado de transformación agroindustrial.

b) MERCADO DE COMPRAS PUBLICAS: Decreto 2474 de 2008, reglamenta la ley 80 de 1993

1150 de 2007, que establece que entidades estatales pueden adquirir bienes uniformes a



MANUAL SARO


través de bolsas de productos. Para lo cual se realiza una subasta inversa donde hay oportunidad de vender un universo de productos, que van desde frutas y verduras hasta equipos de cómputo. Con clientes como la Agencia Logística de las Fuerzas Militares, ICBF, Municipios y Departamentos del territorio nacional.

c) FÍSICOS DISPONIBLES: Existen físicamente los productos al momento de la

comercialización y su cumplimiento en entrega se cumple antes de 30 días de celebrada la negociación.

d) OPERACIONES F.D SIN ADMINISTRACIÓN DE GARANTÍAS Herramienta creada para la

comercialización de productos agropecuarios, agroindustriales, commodities y bienes uniformes, permitiendo a compradores y vendedores, transar sus productos en las condiciones pactadas de cantidad, calidad y entrega, en un plazo no superior a 30 días, después de celebrada la operación en Bolsa, obteniendo una optimización en el GMF

e) INVERSIONES RENTABLES El mercado de la Bolsa Mercantil de Colombia S.A. ofrece

posibilidades de colocación de capital de inversión a tasas rentables, en títulos representativos de mercancías (CDM´s) y compra al descuento de facturas con fecha de vencimiento futuro (Venta Definitiva de Facturas).

f) ASESORÍAS FINANCIERAS REYCA Corredores S.A. está autorizada por la

Superfinanciera para ejercer actividades de asesoría en los siguientes temas:

• Obtención créditos FINAGRO.

• Obtención de subsidios.

• Estructuración e ingeniería financiera

• Programas de inversión

• Coberturas

6. OBJETIVOS DEL SISTEMA OPERATIVO SARO

El objetivo de REYCA CORREDORES S.A., en la implementación del Sistema de Administración de Riesgo Operativo” es propender porque el desarrollo de su objeto social se realice bajo un esquema de control y gestión adecuados de riesgos, que reduzcan las probabilidades de materialización del riesgo operativo, legal y/o del riesgo reputacional, de forma tal que se proteja los intereses de los accionistas, los grupos de interés y la propia sociedad. 6.1 OBJETIVOS ESPECÍFICOS.



MANUAL SARO


➢ Documentar los diferentes procesos desarrollados al interior de la entidad, clasificándolos en Misionales y de Apoyo.

➢ Identificar los riesgos operativos presentes en cada uno de los procesos desarrollados por la aseguradora, otorgando prioridad a los Misionales y a los Significativos.

➢ Clasificar los riesgos dependiendo de su origen, es decir, recurso humano, procesos, tecnología, infraestructura o externos.

➢ Cualificar o cuantificar (siempre y cuando existan observaciones para correr de manera adecuada metodologías correspondientes) los niveles de aceptación de riesgo operativo de la aseguradora.

➢ Definir las obligaciones y campos de actuación de las gerencias y sus respectivas áreas en relación con los procesos y los controles a cargo de cada uno, que constituyen parte integral del - SARO-.

➢ Mantener actualizado el Sistema de Administración de Riesgo Operativo - SARO- con base en los procesos y controles A cargo de cada gerencia.

7. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO

7.1. DEFINICIÓN

Son los lineamientos generales que RENTA Y CAMPO CORREDORES S.A debe adoptar con relación al Sistema de Administración del Riesgo Operativo. Estos lineamientos facilitarán la toma de decisiones en Materia de Riesgos. POLÍTICAS La constitución de las políticas de riesgo de RENTA Y CAMPO CORREDORES S.A. se llevó a cabo mediante el estudio y análisis realizado de cada uno de los procedimientos que conforman los procesos y los riesgos operativos implícitos en cada uno de ellos. Los aspectos tenidos en cuenta fueron la estructura, tamaño, objeto social y actividades de apoyo, de manera que se puedan hacer controles sobre las actividades logrando así atenuar el riesgo al que se expone la firma. Con el fin de certificar el cumplimiento de los controles ejercidos durante el proceso de implementación de SARO, es necesario determinar políticas generales que aseguren el desarrollo de los procesos y procedimientos establecidos.



MANUAL SARO


7.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON:

a) Lograr que todos los empleados estén completamente capacitados con amplio conocimiento

en la administración de riesgos operativos y de esta forma que sean parte activa de los procesos en que cada uno es responsable.

b) La identificación y evaluación de riesgos y controles debe basarse en la auto-evaluación

practicada por los funcionarios de la Compañía. Y debe documentarse mediante bases de datos de pérdidas, tanto ocurridas como potenciales.

c) Identificar y analizar las posibles fallas, debilidades e insuficiencias que se presentan en los

controles de los procesos de la organización y en especial aquellos que tengan un alto grado de riesgo.

d) Implementar instrumentos para reducir o prevenir a la organización de posibles pérdidas,

tales como alertas tempranas, sistemas de control acordes con el nivel de riesgo de cada proceso, planes de contingencia e indicadores de gestión.

e) Periódicamente serán desarrolladas auditorias, las cuales tendrán una programación anual,

sin embargo, luego de evaluar los indicadores de gestión y los procesos, es posible encontrar deficiencias en los mismos; para identificarlas se planearán auditorias no programadas que servirán para verificar mejor la existencia de controles que no se estén realizando.

f) Generar mejoramiento continuo a través de la reevaluación y confrontación de los indicadores

de gestión.

g) Aplicar acciones correctivas para disminuir el riesgo residual. Estas acciones son valoradas por el esquema de causa y efecto para la indagación de la medida más efectiva. Las acciones correctivas tendrán un seguimiento, para dar su cierre. Si no se cierran las acciones correctivas debido a que el procedimiento no presenta mejora, se debe iniciar una nueva acción o medida para verificar el procedimiento.

h) Fortalecer periódicamente los procesos del Sistema de Administración de Riesgo Operativo. i) Las políticas de implementación del Riesgo Operativo empezaran a regir según lo establecido

por la norma publicada por la Superintendencia Financiera de Colombia.



MANUAL SARO


7.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y OBJETIVOS RO

Buscando el cumplimiento de los objetivos y de las políticas que REYCA CORREDORES S.A. ha establecido para el Riesgo Operativo de la Firma, se determinaron las siguientes medidas que la Unidad de Riesgo Operativo (URO), realizará:

a) Fomentar la disponibilidad, actualizar y mantener el Sistema de Administración del Riesgo Operativo a través del análisis continuo de las situaciones internas y externas que puedan amenazar la estabilidad y crecimiento de la organización o que propicien cambios en las políticas definidas.

b) Prevenir y resolver posibles conflictos de interés en la recolección de información en las

diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo.

c) Mantener un control permanente sobre los cambios en los perfiles de los riesgos operativos, con el fin de realizar oportunamente los ajustes necesarios en los planes buscando un mejoramiento continuo.

d) Desarrollará e implementará planes de contingencia para asegurar la continuidad de los

procesos.

e) Todas las personas vinculadas a RENTA Y CAMPO CORREDORES S.A tienen el deber de conocer y cumplir las normas internas y externas relacionadas con la administración de los riesgos operativos y los estamentos directivos, de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.

f) Impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo,

creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento.

7.4. PROCEDIMIENTOS Y METODOLOGÍAS RO

De conformidad con la Circular externa 048 del 22 de diciembre de 2006, expedida por la SFC, el Sistema de Administración de Riesgos Operativos. SARO, será el conjunto de elementos tales como



MANUAL SARO


políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

a) Los procesos y procedimientos deben ser sometidos permanentemente al análisis de riesgos y las propuestas de modificaciones deben incluir este componente, con base en la aplicación de las metodologías adoptadas para el efecto.

b) Debe mantenerse un control permanente sobre los cambios en los perfiles de riesgo operativo

para realizar oportunamente los ajustes pertinentes en los planes de mejoramiento.

c) Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios señalados por la Superintendencia Financiera de Colombia.

d) Todo responsable de un proceso, debe comunicar mediante los formatos apropiados a la

Unidad de Riesgo Operativo, todos los eventos que afecten el Sistema de Administración de Riesgo Operativo y documentarlo debidamente.

e) Los eventos de Riesgo que se materialicen, deben ser reportados y revelados, utilizando los

procedimientos e instrumentos que para tal fin señala la Superintendencia Financiera de Colombia.

8. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO (SARO)

La estructura organizacional de la empresa representa un eje fundamental dentro del control del riesgo operativo. A continuación, se presenta el organigrama aprobado por la junta directiva. Este organigrama se ajusta a la estructura mínima demandada por los reglamentos vigentes de la Bolsa Mercantil de Colombia (BMC).



MANUAL SARO


8.1. ORGANIGRAMA

8.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS

Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema

de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO

CORREDORES S.A. (REYCA S.A.)

Asamblea de Accionistas Revisor Fiscal

Junta Directiva

Defensor del Consumidor

Oficial de Cumplimiento

Auditoria Externa Contralor Normativo

Gerente General

Middle Office Front Office Back office

Coordinación de Riesgos

Dirección Administrativa

Dirección Financiera

Mercado de Compras Públicas y Físicos

Financieros

Recursos Humanos

Contabilidad

Tesorería

Operaciones



MANUAL SARO


8.2.1. Junta Directiva

Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como

mínimo las siguientes funciones a cargo de la Junta Directiva:

a) Establecer las políticas relativas al SARO.

b) Aprobar el Manual de Riesgo Operativo y sus actualizaciones.

c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Compañía.

d) Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia

al riesgo de la Compañía, fijado por la misma Junta Directiva.

e) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que

presente el Representante Legal.

f) Pronunciarse sobre la evaluación periódica del SARO que realicen la Revisoría Fiscal y la

Auditoría Interna.

g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma

efectiva y eficiente, el SARO.

8.2.2. Representante Legal

El Representante Legal tiene frente al SARO las siguientes funciones mínimas:

a) Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus

actualizaciones.

b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.

c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que

se llevan a cabo en la Compañía.

d) Designar el área o cargo que actuará como responsable de la implementación y seguimiento

del SARO: La Coordinación de Riesgo (Unidad de Riesgo Operativo – URO).

e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio

cultural que la administración de este riesgo implica para la Compañía.

f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al

riesgo, fijado por la Junta Directiva.

g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.



MANUAL SARO


h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo

con los términos establecidos en el presente Manual.

i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones

señaladas en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia

Financiera.

j) Velar porque se implementen los procedimientos para la adecuada administración del riesgo

operativo a que se vea expuesta la Compañía en desarrollo de su actividad.

k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos

necesarios para su oportuna ejecución.

l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la

evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas

y correctivas implementadas o por implementar y el área responsable.

m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de

acuerdo con lo previsto en el presente Manual.

n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad,

confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la

información allí contenida.

8.2.3. Unidad de Riesgo Operativo (URO) La Unidad de Riesgo Operativo es la encargada de coordinar el diseño e implementación del Sistema

de Administración de Riesgo Operativo en RENTA Y CAMPO CORREDORES S.A., contribuir con el

logro de los imperativos estratégicos y fortalecer los sistemas de información gerencial, la cultura de

control interno y la administración del plan de contingencias.

Las actividades que debe llevar a cabo la Coordinación de Riesgo, como área responsable de la

Unidad de Riesgo Operativo, para administrar el riesgo operativo son las siguientes:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que la RENTA Y

CAMPO CORREDORES S.A administre efectivamente su riesgo operativo.

b) Desarrollar e implementar el sistema de reportes internos y externos, del riesgo operativo.

c) Administrar el registro de eventos de riesgo operativo.

d) Coordinar la recolección de la información para alimentar el registro de riesgo operativo.

e) Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de

riesgo identificados y medidos.



MANUAL SARO


f) Establecer y monitorear el perfil de riesgo individual y consolidado de la RENTA Y CAMPO

CORREDORES S.A, e informarlo a la Junta Directiva.

g) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados

con el SARO y proponer sus correspondientes actualizaciones y modificaciones.

h) Desarrollar los modelos de medición del riesgo operativo.

i) Desarrollar los programas de capacitación de la RENTA Y CAMPO CORREDORES S.A

relacionados con el SARO.

j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el

propósito de evaluar su efectividad.

k) Reportar permanentemente a la Junta Directiva la evolución del riesgo, los controles

implementados y el monitoreo que se realice sobre el mismo. Adicionalmente debe realizar

un reporte semestral consolidado de Riesgo Operativo en las diferentes áreas.

8.2.4. Comité Interno de Administración de Riesgo

Para el adecuado cumplimiento de la labor que le corresponde a la administración en la definición de

las políticas y del diseño de los procedimientos efectivos e idóneos para una adecuada administración

del riesgo, previstos en la normatividad emitida por la Superintendencia Financiera de Colombia, se

implementó al interior RENTA Y CAMPO CORREDORES S.A. el Comité de Administración del

Riesgo.

Dentro de sus funciones se encuentran las siguientes:

a) Definir los límites de exposición para posibles riesgos que puedan afectar a la compañía a

través de una matriz control.

b) Presentar a la Junta Directiva y a la Gerencia los negocios activos y pasivos, con base en la

matriz de control y un análisis de los documentos legales suministrado por el cliente.

c) Establecer y presentar a la Junta Directiva las políticas y estrategias para identificar, medir,

controlar y monitorear el riesgo de conformidad con los principios señalados en las normas

sobre la materia.

d) Verificar la gestión de nuestros clientes en la estructura de sus estados financieros e

información adicional para monitorear y controlar el grado de exposición al riesgo de la

compañía.



MANUAL SARO


e) Velar por que se cumplan en forma oportuna y eficiente las instrucciones impartidas por la

Superintendencia Financiera de Colombia respecto de la identificación, medición, control y

monitoreo de riesgos y sobre la adopción de políticas para su eficiente manejo.

f) Comprobar que dentro de los manuales y procedimientos internos se apliquen las normas

sobre el manejo de Riesgos, que están establecidas en la Circular 100 de 1995 capítulos XXI

al XXIII de la SFC.

g) Mantener una constante relación, comunicación e información con los organismos de control

y vigilancia, internos y externos, de manera específica con el Revisor Fiscal, Control interno,

BMC, CRC BMC y la Superintendencia Financiera de Colombia, para facilitar el logro de

resultados y la adopción de las medidas que correspondan a cada uno de estos organismos

dentro de la órbita de sus atribuciones y responsabilidades.

8.2.5. Órganos de Control

Los responsables de evaluar el SARO como órganos de control son la Revisoría fiscal y la Auditoría

Interna, con la finalidad de identificar las fallas o posibles debilidades y de esta forma informar a los

entes correspondientes.

Los órganos de control son completamente independientes de la Administración de Riesgo Operativo,

por lo tanto no son responsables por la gestión del mismo. Su actividad principal es la de evaluación

del sistema, de esta forma es deber de la Administración de la Compañía atender los requerimientos,

suministrándoles información y los medios necesarios para el desarrollo y la ejecución de su labor.

La Compañía podrá contratar en gestión de riesgos, auditorías externas, con el objetivo de cumplir

con las normas y apoyar a los órganos de control, en la evaluación del SARO.

8.2.5.1. Revisor Fiscal en lo relacionado con la evaluación del SARO

a) Construir un reporte al finalizar cada ejercicio contable, donde informe acerca de los

resultados obtenidos en el proceso de evaluación del cumplimiento de las normas e

instructivos sobre el SARO.

b) Informar al Representante legal de los resultados obtenidos del SARO informándoles sobre

los incumplimientos que se presentaron. Sin perjuicio de la obligación de informar sobre ellos

a la Junta Directiva.

8.2.5.2. Auditoría Interna en lo relacionado con la evaluación del SARO



MANUAL SARO


a) Realizar una evaluación sobre el cumplimiento y los resultados obtenidos periódicamente de

las etapas y elementos del SARO con la finalidad de determinar las fallas, debilidades y de

esta forma encontrar las posibles soluciones para su perfeccionamiento.

b) Informar los resultados de la anterior evaluación a la Coordinación de Riesgo y al

Representante Legal trimestralmente.

c) Ejecutar periódicamente una revisión del registro de eventos de riesgo operativo e informar

al Representante Legal sobre el cumplimiento de las condiciones de Capítulo XXIII de la

Circular Externa 100 de 1995 de la Superintendencia Financiera.

Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema

de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO

CORREDORES S.A.

8.2.6. Responsabilidad General de todas las Áreas

Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de

riesgo, por lo tanto los responsables de los procesos lo son también de adelantar la gestión de riesgos

y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos sucesos

para efecto de los controles y los registros correspondientes. Le corresponde también fomentar la

cultura de la Administración del Riesgo dentro de su ámbito.

8.3. MAPA ORGANIZACIONAL

Con el fin de lograr una mejor administración del riesgo operativo, REYCA S.A. diseñó un mapa de

procesos donde se diferencian las áreas donde se puede presentar el riesgo operativo, de esta

manera se pretende mitigar la presentación de un evento de riesgo en el sistema.

El mapa organizacional está conformado por cinco procesos cada uno de los cuales cuenta con una

caracterización, donde se resumen los procedimientos y actividades que lo conforman, se menciona

también en estas caracterizaciones los controles y registros que buscan disminuir los eventos de

riesgo operativo, y los indicadores de gestión tenidos en cuenta como herramientas administrativas

para evaluar y controlar los eventos de riesgos en cada proceso. A continuación se muestra el mapa

organizacional de REYCA S.A.:



MANUAL SARO


Junta Directiva

Gerente General

Proceso Comercial

inculación de Clientes

Mantenimiento de clientes

ervicio al cliente

Dise o de nuevos

productos

Front Office

Proceso de Riesgo

dentificación de riesgos

Registro de eventos de Riesgo

dentificación de operaciones

inusuales

Control nterno

Middle Office

Proceso de Operaciones

Registros

Físicos

nversiones

Contratos

MCP

Proceso Financiero y Contables

Contabilidad

Tesorería

Cartera

Proceso Administrativo

Mane o y protección de arc ivos

Tecnológico

Recursos Humanos

Planeación Estrat gica

Back Office



MANUAL SARO


8.4. MACROPROCESOS REYCA CORREDORES S.A. tiene dividido los procesos en 6 Macro-procesos, los cuales resumen todas las actividades de la empresa. Para descripción de cada uno ver Anexo 2.



MANUAL SARO


9. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO

Para la identificación del riesgo operativo en cada uno de los procesos, se plantean tres etapas, las

cuales serán implementadas en la medida que el sistema se desarrolle y además teniendo en cuenta

los plazos estipulados por la Superintendencia Financiera. La primera etapa está sustentada en la

medición del riesgo, su identificación, estudio y calificación. En la segunda etapa se realiza la

administración del riesgo, por medio de la elaboración de planes y/o políticas para aplicar. En la

tercera y última etapa se hará el seguimiento de las acciones correctivas determinando la efectividad

del plan establecido.

El diseño que siguió la firma para la identificación del riesgo operativo fue el siguiente:

DIAGRAMA DE FLUJO IDENTIFICACIÓN DE PROCESOS

Este Flujograma señala los pasos a seguir para la identificación de los procesos, procedimientos,

medición de riesgos y determinación de políticas de la compañía en cuanto al control del riesgo

operativo. Dentro del estudio se tuvo en cuenta el riesgo residual, conocido como el riesgo que

permanece después de la aplicación de los controles y registros. Cuando suceda un riesgo operativo

debe implementarse el plan de contingencia y los controles desarrollados para cada proceso y/o

procedimiento de la organización.

Cuando se presenta un evento de pérdida, se deben revisar las políticas aplicables respecto a dicha

situación, teniendo en cuenta el impacto que se cuantificó en la matriz de riesgos (explicada

posteriormente). Después se debe diligenciar el Formato de “Reporte de Evento de Riesgo”,

seguidamente de hacer este registro, el impacto debe ser analizado en términos económicos.

Luego de dar solución al evento de pérdida, se hará una evaluación del control y de las respectivas

acciones a tomar para dar solución al riesgo residual que fue aprobada por la URO. En caso de

requerirse una modificación a los controles, la URO revisará y avalará o no la modificación.

En el Formato para el Registro de Evento de Riesgo, se debe registrar e informar cada error o falla

en la operación que lleve a la compañía a identificar un riesgo operativo, el reporte se diligencia en

caso de un evento que implique pérdidas por deficiencias, fallas o inadecuaciones en el personal de

la firma, en los procesos, en la infraestructura, en la tecnología o en los acontecimientos externos.



MANUAL SARO


SI

Identificación del Proceso

Determinación de Causa y Efectos del Riesgo

Medición Riesgo en el Procedimiento

Identificación del Procedimiento

¿El procedimiento presenta riesgo?

¿Se asume el Riesgo?

Los Controles fueron

Efectivos?

Determinación de Esquema de Controles a Aplicar

Aplicación de Controles de Riesgo

SI

SI

NO

NO

NO

NO



MANUAL SARO


Las metodologías para la administración del riesgo operativo están compuestas por las actividades

de identificación, medición, monitoreo y control de riesgos, las cuales serán descritas a continuación.

9.1. IDENTIFICACIÓN DEL RIESGO

La identificación de los Riesgos Operativos es realizada por los funcionarios que estén involucrados

en cada proceso por medio de la debida identificación y diligenciamiento de los riesgos operativos

que se derivan de dicho proceso.

9.1.1. Criterio para identificar los Riesgos

a) Para identificar los riesgos operativos sobre los cuales haya lugar dentro del proceso se les

plantean a los participantes las siguientes preguntas para analizar los posibles eventos a

ocurrir: ¿Qué puede salir mal? ¿Qué debilidades y amenazas tiene el proceso? ¿Qué eventos

de pérdida han ocurrido en el pasado? ¿Por qué causa? ¿Si alguien quisiera dañar el

proceso, en qué actividad podría hacerlo y cómo? Estas preguntas no deben ser

desarrolladas por los asistentes; únicamente sirven como guía para que los participantes

consideren los riesgos operativos potenciales para cada una de las actividades que

componen el proceso.

b) Adicionalmente, los participantes deben tener en cuenta los recursos utilizados para el

proceso: Recursos humanos, recursos tecnológicos, recursos físicos y recursos de

infraestructura, para considerar qué riesgos operativos podrían llegar a materializarse ante

deficiencias, fallas o inadecuaciones en dichos recursos.

c) Se debe advertir a los participantes del taller que si bien es necesario abarcar todos los

riesgos operativos posibles, la identificación debe orientarse hacia aquellos riesgos que sean

congruentes, bien sea que hayan ocurrido o no, pero que entren dentro de las posibilidades

reales.

9.1.2. Criterios para la identificación de controles



MANUAL SARO


Después de identificados los riesgos operativos, se debe analizar qué tipo de control se puede aplicar

para disminuir el riesgo en ese proceso especifico, para que sea utilizado eficazmente. Los controles

se pueden clasificar de la siguiente manera:

I. Por su forma de funcionamiento

a) Manuales: Son los controles ejecutados directamente por los funcionarios, sin la utilización

de sistemas o equipos.

b) Mecánicos: Son aquellos controles ejecutados por medio de equipos, los cuales pueden

requerir o no de su aplicación por parte de personas.

c) Automáticos: Son aquellos controles efectuados a través de sistemas, los cuales no

requieren de la participación de las personas para su aplicación.

II. Por el momento de su aplicación

a) Previos: Son los controles ejecutados antes de dar comienzo a un proceso.

b) Durante el proceso: Son los controles ejecutados periódicamente, a lo largo del proceso.

c) Posteriores: Son los controles ejecutados al terminar un proceso, para comprobar si el

mismo cumplió o no con las medidas establecidas.

III. Por su efecto sobre el riesgo

a) Preventivos: Son los controles ejecutados con la finalidad de minimizar la probabilidad de

que el riesgo se materialice.

b) Correctivos (De seguros o transferencia de riesgos): Son controles diseñados para

mitigar el impacto de un evento de riesgo, una vez que el mismo ha ocurrido, pero orientado

a reducir la pérdida o costo financiero.

IV. Por el tipo de bien o proceso que controlan

a) Controles de sistemas: Los controles de sistemas de usuarios, se incluyen para identificar

quien utiliza el sistema y si el funcionario se encuentra autorizado para tal efecto, también los

controles funcionan para fijar la validez de las actualizaciones y procesos efectuados a los

sistemas o programas.



MANUAL SARO


b) Se incluyen controles para el apropiado seguimiento a las posibles fallas, con el fin de

establecer si los mismos son investigados y resueltos apropiadamente.

c) Controles de acceso físico: El objetivo es proteger los activos de la compañía, restringiendo

el acceso a las áreas donde se encuentran activos o información con alto valor de

confidencialidad para la organización.

d) Controles de bases de datos, registros e información: Los controles contienen

mecanismos para asegurar la correcta captura de datos en los aplicativos de la Compañía y

para mantener los datos libres de cualquier daño o modificación posterior.

e) Controles de personal: determinados para asegurar la calidad e integridad del personal que

está encargado de ejecutar los métodos y procedimientos prescritos por la Compañía para el

logro de los objetivos.

f) Controles de protección de activos: Este tipo de controles incluye el acceso físico a las

diferentes áreas de la Compañía, así como el acceso restringido a los equipos, a la

documentación y a los archivos de datos y programas, todo ello solo permitido al personal

autorizado.

g) Controles de los equipos: Consiste en la programación del mantenimiento preventivo y

periódico, el registro de fallas de equipos y los cambios en el sistema operativo y la

programación del software utilizado por la Compañía.

h) Controles de procesos contables: Deben existir controles que aseguren el procesamiento

exacto y oportuno de la información contable.

i) Controles de autorización: Consisten en la revisión de los intercambios, a nivel de cualquier

proceso de la Compañía, para asegurar que estos hayan sido autorizados apropiadamente.

j) Controles de custodia de activos: Están diseñados para evitar que los activos se pierdan,

dañen o sean robados, y para proporcionar la seguridad de que las cantidades y los valores

en existencia sean coincidentes con los registrados.



MANUAL SARO


k) Incluye controles para prevenir el uso no autorizado sobre un activo durante su custodia.

l) Controles de estructura organizacional: Consisten en establecer una adecuada estructura

en cuanto al establecimiento de divisiones y departamentos funcionales, así como la

asignación de responsabilidades y políticas de delegación de autoridad.

m) Esto incluye la existencia de un departamento de Auditoría Externa que dependa del máximo

nivel de la Compañía.

n) Controles de autocontrol de la Alta Gerencia: Es responsabilidad de la alta gerencia

generar una conciencia favorable dentro del control interno de la Compañía. La Alta Gerencia

no debe infringir los controles fijados, dando ejemplo dentro de la organización.

9.2. MEDICIÓN DEL RIESGO

El objetivo de la etapa de medición es establecer el nivel de riesgo inherente al cual está expuesto RENTA Y CAMPO CORREDORES S.A. determinar el impacto y la probabilidad de materialización de los riesgos identificados. La medición se realiza a juicio del experto y confrontado con el número de reportes en la base de eventos de riesgos materializados, la medición se realiza basada en los criterios definidos previamente para la estimación de la frecuencia e impacto. El área de riesgos al analizar que los controles adoptados no son óptimos, puede poner a consideración ante el Comité de Riesgo Operativo y Junta Directiva, nuevas mejoras en los criterios para la estimación de la frecuencia, impacto y controles, para su posterior aprobación. La medición de estos riesgos se realizará tomando como marco los Procesos Misionales y de apoyo, los cuales se constituyen en los procesos significativos de la Firma. La metodología de medición se aplicará tanto a la probabilidad (Frecuencia) de ocurrencia como al impacto de los riesgos que se materialicen e identifiquen. El propósito del análisis o medición es separar los riesgos aceptables menores de los mayores, y facilitar datos que sirvan para el tratamiento de los riesgos. En el proceso de medición de los riesgos operativos, la Coordinación de Riesgo de la Firma

desarrollará, como mínimo, los siguientes pasos:



MANUAL SARO


a) Establecerá las escalas cualitativas de medición de los riesgos operativos, a nivel de

probabilidad e impacto, y de los controles, a nivel de diseño y eficiencia. La medición se hará

de manera individual, por riesgo operativo previamente identificado para cada proceso.

b) Solicitará a los participantes a las reuniones, que tengan en cuenta criterios objetivos para la

evaluación, como la cuantía o frecuencia de eventos ocurridos en el pasado, la frecuencia

anual de cada proceso, el costo inmediatamente identificable y el costo vinculado (Por

ejemplo, si se daña un computador, además del valor físico del daño, existen pérdidas

asociadas debido al hecho de tener que volver a reconstruir la información contenida en el

mismo o la demora que ello puede provocar en otros procesos), etc.

c) Se consolidarán los resultados individuales, para obtener como resultado el Perfil de Riesgo

Inherente de la Compañía.

d) Posteriormente, solicitará a los participantes la calificación de los controles existentes. Dicha

evaluación se hará por medio del tipo de control; es decir, para el conjunto de controles y no

para cada uno de los controles individualmente considerados. Por ejemplo, para el control

seguridad física comprende controles como cajas fuertes, puertas de seguridad, filmaciones,

etc. No se evaluarán dichos controles en forma individual, sino al nivel de “Seguridad Física”.

e) No obstante, cuando los participantes en la reunión lo consideren adecuado, o la

Coordinación de Riesgo, podrá hacerse una evaluación más detallada de los controles.

f) Se restará el efecto de los controles sobre el riesgo inherente, para obtener como resultado

el Riesgo Residual, tanto a nivel individual como consolidado.

A continuación, se describen las mencionadas etapas:

9.2.1. Valoración del Riesgo Inherente

El riesgo inherente se define como el nivel de riesgo propio de cada una de las actividades de los

procesos sin tener en cuenta los controles establecidos para mitigar los riesgos identificados. Por lo

cual dentro de la evaluación realizada por cada una de las áreas se determinó un posible impacto y

una probabilidad de ocurrencia, advirtiendo a los participantes que ésta calificación debe ser



MANUAL SARO


concebida sin tener en cuenta los controles actuales con los cuales cuentan los procesos. Las

definiciones de los atributos con los cuales se calificarán los riesgos operativos son:

a) Impacto: Atributo del evento de riesgo operativo, que mide de forma cualitativa la pérdida

ocasionada por la ocurrencia de dicho evento de riesgo operativo sin tener en cuenta los

controles.

b) Probabilidad: Atributo del evento de riesgo operativo, que mide de forma cualitativa la

posibilidad en la cual se produce un evento de riesgo operativo durante un periodo de un año,

sin tener en cuenta los controles.

c) Valoración: Se utiliza una matriz de probabilidad vs. Impacto. El resultado de multiplicar los

valores asignados de probabilidad por los de impacto, dará la valoración correspondiente.

Según el resultado numérico, el riesgo puede ser catalogado como: Inaceptable Mayor o

importante y Tolerable o Aceptable.

Probabilidad de ocurrencia de un riesgo: Es la probabilidad (frecuencia), que existe de ocurrencia de un Riesgo previamente establecido, a nivel de frecuencia donde horizonte de tiempo para establecerla es de un año y la unidad de medida será:

Para establecer la probabilidad (frecuencia) de ocurrencia, se deberá tener en cuenta si se han presentado eventos de riesgo de manera permanente, esporádica o recurrente.

CRITERIOPUNTO

MEDIOLIMITE INF LIMITE SUP

CASI CON

CERTEZA 90,50% 81% 100%

PROBABLE 70,50% 61% 80%

POSIBLE 50,50% 41% 60%

IMPROBABLE 30,50% 21% 40%

RARO 10,00% 0% 20%

PR

OB

AB

ILID

AD



MANUAL SARO


Impacto: Hace referencia a efecto económico sobre la Firma, para lo cual se utilizará 5 escalas diferentes tomando como referencia el valor del patrimonio de la Firma se califica teniendo en cuenta sus efectos económicos, reputacionales y legales.

Una vez se realice la medición de la probabilidad y el impacto para los riesgos de cada proceso por las áreas responsables, se debe realizar la medición consolidada para la entidad, determinando el perfil de Riesgo Inherente

NIVELDESCRIPICON

EJEMPLO DE FRECUENCIA DEL EVENTO

DE PÉRDIDA

5

CASI CON

CERTEZA

Ocurrida en muchas circunstancias

MAS DE 2 CASOS EN 1 MES

4 PROBABLE

Probablemente ocurrida mas de una vez

DE 1 A 5 CASOS EN 3 MESES

3 POSIBLE

Podría ocurrir algunas veces

DE 1 CASO EN 6 MESES

2 IMPROBABLEDebería ocurrir por lo menos una vez

DE 1 CASO EN 1 AÑO

1 RARO

Puede ocurrir solo en circunstancias

excepcionales DE DIFICIL OCURRENCIA

PROBABILIDAD

CRITERIOPUNTO

MEDIOLIMITE INF LIMITE SUP

CATASTRÓFICO 91% 81% 100%

MAYOR 71% 61% 80%

MODERADO 51% 41% 60%

MENOR 31% 21% 40%

INSIGNIFICANTE 10% 0% 20%

IMP

AC

TO



MANUAL SARO


Se establecen las siguientes tablas de criterios de probabilidad e impacto, donde se ubican los resultados de la medición de riesgos con datos históricos, para el caso cuantitativo, y análisis de posibles eventos y opinión de expertos para el caso cualitativo. El riesgo se califica según la matriz, teniendo en cuenta los siguientes parámetros:

Las modificaciones de la Matriz de Riesgo, deben estar incluidas dentro de los informes a Junta, y debe ser evaluado como mínimo en forma anual para efectos de llevar a cabo ajustes de ser necesario. En caso de no serlo debe informarse dentro del informe que se llevó a cabo la evaluación para su modificación.

NIVEL

REPERCUSIONES SOBRE LOS

CLIENTES

REACCION MEDIOS DE

COMUNICACIÓN ACCIONES DEL REGULADOR

5

CATASTRÓFICO Afecta a muchos clientes

Repercusiones gubernamentales

a nivel político y pérdida de

confianza del público.

Multas significativas

4

MAYORSuspensión prolongada del

servicio

Reportaje en múltiples medios y

noticieros en TV. Nacional por

más de un día.

Multas medianas

3

MODERADORepercusiones sobre los clientes

significativas

artículos de prensa, televisión,

internet, es decir divulgación

significativa por un día máximo

Acciones por parte del

regulador que puedan incluir

multas

2MENOR

Posibilidad de suspensión del

servicio pero el impacto sobre los

clientes es insignificante.

Circulaciones por internet o

propaganda menor

Comentarios adversos pero

no interviene

1INSIGNIFICANTE No impacta a los clientes

No hay divulgación de problemas

ni propaganda del suceso.No interviene

IMPACTO



MANUAL SARO


Una vez se realice la medición de la viabilidad y el impacto para los riesgos de cada proceso por las áreas responsables, se debe realizar la medición consolidada para la entidad, determinando el perfil de Riesgo Inherente.

9.2.2. Valoración del Riesgo Residual

Para cada uno de los riesgos operativos identificados, luego de valorar su impacto y determinar la

probabilidad se calificarán los controles o grupo de controles identificados con base en dos atributos

que son: Su diseño y su efectividad.

Diseño: Atributo del grupo de controles o plan de contingencia, que califica la relevancia del mismo,

en aspectos como la oportunidad del mismo, la no existencia de controles o planes de contingencia

redundantes, la necesidad del mismo, la superioridad del mismo frente a otras alternativas de control

o plan de contingencia, el nivel de cobertura del mismo, la regularidad en su aplicación, la experiencia

y autoridad de los miembros de la Compañía que lo diseñaron, etc. Este atributo será calificado con

base en la siguiente escala:

Se utilizarán las siguientes herramientas para identificar los controles existentes para mitigar los riegos operativos identificados en la organización:

RIESGO INHERENTE RIESGO

638

9,38

PERFIL DE RIESGO DE LA COMPAÑÍA SARO

RIESGOS

MODERADOS

LIMITE INF LIMITE SUP

CALIF.

CONTROL

PUNTO

MEDIO

0% 20% MUY BAJO 10,00%

21% 40% BAJO 30,50%

41% 60% MEDIO 50,50%

61% 80% ALTO 70,50%

81% 100% MUY ALTO 90,50%

DISEÑO DEL CONTROL



MANUAL SARO


1. Capacitaciones Para unificar conceptos y transmitir las definiciones necesarias para la identificación de controles se recibe una capacitación personalizada donde se explica a los líderes de procesos, los aspectos necesarios para identificar los controles correctamente. Los siguientes aspectos fueron expuestos al momento de la identificación y documentación de los controles existentes. 2. Talleres Después de unificar conceptos el dueño de cada proceso de acuerdo a su percepción, identifica y/o propone controles por cada riesgo y califica cada uno de los criterios mencionados en el formato de Evaluación del control. Se realiza pruebas de los controles que mitigan riesgos inaceptables o extremos o de controles que mitigan más de un riesgo y confronta estos resultados con las calificaciones hechas por los dueños de proceso. Estos controles seleccionados se consideran en el proceso de administración del riesgo. De acuerdo con las matrices de calificación de diseño y Eficiencia se calculan la solidez y la solidez ponderada para cada riesgo.

10. ETAPA DE CONTROL DEL RIESGO OPERATIVO

Dentro de las reuniones efectuadas para la identificación y medición de los riesgos operativos de la

entidad en el caso en que los controles existentes no sean suficientes para la mitigación de los riesgos

o no existan controles, los participantes podrán proponer nuevos controles tendientes a disminuir el

riesgo residual sobre los eventos de riesgo identificados. La viabilidad de los controles propuestos

será evaluada por la Coordinación de Riesgo priorizando los riesgos operativos cuyo riesgo residual

LIMITE INF LIMITE SUP

CALIF.

CONTROL

PUNTO

MEDIO

0% 20% MUY BAJO 10,00%

21% 40% BAJO 30,50%

41% 60% MEDIO 50,50%

61% 80% ALTO 70,50%

81% 100% MUY ALTO 90,50%

EFICIENCIA DEL CONTROL



MANUAL SARO


sea mayor y estén situados en un nivel “Alto” dentro del mapa de riesgo donde se visualice el perfil

de riesgo inherente de la compañía.

Dentro de la matriz de riesgo operativo se establecerá un lista de riesgo operativos más significativos,

que serán evaluados y gestionados, para revisar los controles existentes, evaluar la viabilidad de los

controles actuales y proponer, dado el caso, por parte de la Dirección de Riesgo controles adicionales

para mitigar el impacto o reducir la probabilidad de dichos eventos.

10.1.1 MATRIZ DE RIESGO OPERATIVO (MRO)

Los factores de riesgo operativo, los riesgos operativos, el grupo de controles, los planes de

contingencia, el riesgo inherente y el riesgo residual, que se obtengan como resultado de los procesos

de identificación y medición de riesgos descritos en el presente Manual, deberán registrarse y

consolidarse en una Matriz de Riesgo.

A partir de dicha Matriz de Riesgo Operativo (MRO) y del Registro de Eventos de Riesgo Operativo

(RERO) que se menciona más adelante, la Coordinación de Riesgo debe preparar un informe

semestral al Representante Legal, donde manifieste su opinión acerca del adecuado funcionamiento

y suficiencia de los controles y planes de contingencia establecidos para cada riesgo.

Diligenciamiento de la Matriz de Riesgo Operativo:

La Matriz de Riesgo Operativo deberá contener por lo menos los siguientes campos:

✓ Área

✓ Grupo

✓ Nombre del Proceso

✓ Nombre Procedimiento o actividad

✓ Nombre del Factor de Riesgo

✓ Clasificación del evento de pérdida

✓ Descripción del evento de pérdida

✓ Calificación de la probabilidad del riesgo inherente

✓ Calificación del Impacto del riesgo inherente

✓ Calculo del riesgo inherente

✓ Descripción del grupo de controles actuales



MANUAL SARO


✓ Calificación del diseño del grupo de controles actuales

✓ Calificación de la efectividad del grupo de controles actuales

✓ Evaluación del grupo de controles actuales

✓ Evaluación del riesgo residual

✓ Descripción del grupo de controles propuestos

Esta información debe ser consolidada por la Coordinación de Riesgo, resultado de los talleres con

cada uno de los dueños de proceso de las diferentes áreas de la compañía y con la periodicidad

establecida por la misma Dirección, la cual debe ser por lo menos anual.

10.1.2 REPORTE DE EVENTOS DE RIESGO OPERATIVO

Cada evento de riesgo operativo individual ocurrido en la Compañía, debe ser reportado a la

Coordinación de Riesgo, independientemente de los seguros que se tengan contratados para ello. En

consecuencia, la Coordinación de Riesgo debe preparar un modelo de reporte donde se solicite a la

persona que identificó la ocurrencia del evento, el diligenciar la información requerida según el

Registro de Eventos de Riesgo Operativo que se menciona más adelante.

La Dirección de Riesgo, como administrador del Registro de Eventos de Riesgo Operativo, debe

asegurarse de que dicha información se actualice inmediatamente en el Registro.

Aquellas pérdidas en las cuales no se pueda cuantificar su valor claramente, en el momento de su

ocurrencia, y de la cual se estime que puede estar superando el Umbral del Reporte anteriormente

establecido, se deberá dar aviso de la ocurrencia del mismo, estimando el valor de la pérdida, de

acuerdo con lo establecido previamente en las Matrices de Riesgo Operativo.

Se considerará falta grave de cualquier funcionario, el que habiendo identificado un evento de pérdida

ocurrido, no proceda a repórtalo oportunamente. Se entiende como oportuno, el informar de la

ocurrencia del evento, dentro del mismo día en que fue identificado.

Finalmente, con el fin de evitar conflictos de interés en la recolección de información para el Registro

de Eventos de Riesgo Operativo, se establece que las personas que identifiquen el evento, deberán

enviar el reporte directamente a la Coordinación de Riesgo y que ningún superior inmediato u otro

funcionario del área podrá interferir en dicho envío, solicitando por ejemplo revisarlo antes de su envío



MANUAL SARO


o hacerle algún tipo de modificación, so pena de considerarse falta grave, válida como causal de

despido con justa causa.

La Coordinación de Riesgo es la responsable de elaborar y mantener actualizado un registro de

eventos de riesgo operativo, de acuerdo con lo establecido por el Capítulo XXIII de la Circular Externa

100 de 1995 expedida por la Superintendencia Financiera. Este registro debe contener todos los

eventos de riesgo operativo ocurridos en la Compañía, bien sea que:

➢ Generan pérdidas y afectan el estado de resultados de la Compañía.

➢ Generan pérdidas y no afectan el estado de resultados de la Compañía.

➢ No generan pérdidas y por lo tanto no afectan el estado de resultados de la Compañía.

En estos últimos dos casos, la medición será de carácter cualitativo, siempre y cuando no se pueda

realizar un estimativo cuantitativo.

Cada área deberá proveer a la Coordinación de Riesgo de la información respectiva para diligenciar

este Registro de Eventos de Riesgo Operativo, de manera que el mismo contemple la totalidad del

evento de riesgo operativo potencial o acontecido. Este registro deberá diligenciarse con, por lo

menos, la siguiente información:

I. Referencia: Código interno, creado por la Coordinación de Riesgo, que relacione el evento en

forma secuencial.

II. Fecha de inicio del evento: Fecha en que se inicia el evento. Formato: Día, mes, año, hora.

III. Fecha de finalización del evento: Fecha en que finaliza el evento. Formato: Día, mes, año, hora.

IV. Fecha del descubrimiento: Fecha en que se descubre el evento. Formato: Día, mes, año, hora.

V. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento.

Formato: Día, mes, año, hora.

VI. Clase de evento: Clase de evento, según la clasificación

VII. Producto/Servicio afectado: Nombre del producto o servicio afectado.

VIII. Proceso: Nombre del proceso afectado.

IX. Descripción del evento: Descripción detallada del evento.

X. Líneas operativas: Identificación según clasificación suministrada por la Superintendencia

Financiera de Colombia en el Anexo I del Capítulo XXIII de la C.E. 100 de 1995.



MANUAL SARO


Cada seis meses, la Coordinación de Riesgo debe preparar un informe al Representante Legal,

Informe de Eventos de Pérdida, donde se organice la anterior información por frecuencia de

ocurrencia y por magnitud del siniestro.

La Coordinación de Riesgo deberá estar atenta a proponer los controles necesarios para aminorar la

frecuencia de ocurrencia de aquellos riesgos que presenten la mayor cuantía histórica de siniestros,

tomando una serie histórica de por lo menos tres años o la que exista en el Registro de eventos en

ese momento, si es menor.

10.1.3 NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO

Los niveles de aceptación del riesgo operativo hacen referencia a la política que la Compañía adopte,

basada en el nivel de riesgo de acuerdo al Mapa de Riesgo o a la cuantía de pérdida por la ocurrencia

de un evento de riesgo operativo y luego de implementados los controles necesarios para mitigarla,

acerca de si está dispuesta a tolerar dicho nivel de riesgo o cuantía, o si prefiere trasladar el riesgo

vía seguros.

Estos niveles de aceptación deben ser propuestos por la Coordinación de Riesgo al Representante

Legal o Gerente General, para su validación antes de presentarlos a la Junta Directiva para su

aprobación.

En el caso de optar por la contratación de un seguro, deben administrarse también los eventos de

riesgo operativo asociados con dicho seguro.

11. MONITOREO DEL RIESGO

El monitoreo y control del riesgo operativo se basa en elementos como alertas tempranas, desarrollo

de indicadores de gestión, controles y procesos para administrar la continuidad del negocio.

A continuación se describen dichos elementos:

11.1. Alertas tempranas



MANUAL SARO


Un sistema de alertas tempranas integral consiste en calcular indicadores numéricos de cada proceso,

para que los cambios en dichos indicadores sirvan de alerta al aumento en la probabilidad o frecuencia

de ocurrencia de un riesgo en particular. Un ejemplo, dado el proceso de consecución de clientes,

entre más clientes se contacten, más frecuencia puede haber en una mala atención a los mismos.

Las alertas Tempranas que como mínimo debe utilizar la Coordinación de Riesgo consisten en lo

siguiente:

a) En primer lugar, la Coordinación de Riesgo debe consolidar anualmente el perfil de riesgo de

toda la Compañía, mediante la visualización del conjunto de riesgos operativos en el Mapa

de Riesgo Residual de la Matriz de Riesgo Operativo.

b) En la medida en que entre el 1% y el 5% de los eventos de riesgo esté en nivel “Alto”, se

configurará una alerta temprana que debe ser informada a la Junta Directiva, para su análisis

y determinar las estrategias a seguir con el fin de controlar el riesgo operativo.

A partir de la actualización periódica de la Matriz de Riesgo Operativo (MRO), la Coordinación

de Riesgo debe elaborar un informe donde se observe la evolución histórica, para cada

evento de pérdida, de los siguientes aspectos:

➢ Impacto del riesgo inherente

➢ Probabilidad del riesgo inherente

➢ Diseño del grupo de controles

➢ Efectividad del grupo de controles.

Aquellas tendencias que muestren un deterioro significativo en los controles o un aumento significativo

en el valor de pérdida esperado, deberán ser objeto de informe al Representante Legal para definir

nuevos controles o planes de contingencia.

Se considera significativo, un comportamiento de un evento de riesgo en particular, cuya severidad

y/o probabilidad de ocurrencia aumente por encima del nivel promedio del conjunto de eventos de

riesgo de toda la Compañía, agregación que realiza la Coordinación de Riesgo a partir de la Matriz

de Riesgo Operativo.



MANUAL SARO


c) Se debe priorizar el análisis de los eventos de riesgo operativo registrados en la Matriz de

Riesgo Operativo que presenten niveles elevados de Riesgo Residual, para esto se diseñaran

Alertas Tempranas individuales que sirvan de alertas específicas en términos de frecuencia

y/o impacto.

11.2. Indicadores de Gestión

Estos indicadores, que deben ser calculados e informados por la Coordinación de Riesgo al

Representante Legal, corresponden a fórmulas que reflejen si el control de riesgos y los planes de

contingencia son adecuados o no.

Dicho de otra forma, son valores o fórmulas matemáticas que reflejen la evolución de un evento de

riesgo; es decir, de una situación que de presentarse, generaría pérdidas para la Compañía.

El indicador debe evolucionar de forma tal que la exposición al riesgo se reduzca. Por ejemplo, un

indicador puede ser el valor o número de cheques extraviados de la tesorería en un año. En la medida

en que este valor del número de cheques se reduzca a través del tiempo, menos expuesta está la

Compañía a pérdidas por esta razón y significa que los controles establecidos para evitar que se

pierdan cheques y los planes de contingencia implementados para el caso de que un cheque se

extravíe, funcionan adecuadamente.

Si un indicador de gestión refleja un comportamiento negativo, esto significa que la Coordinación de

Riesgo debe estudiar nuevos controles o planes de contingencia para el respectivo proceso.

Los indicadores generales de gestión serán:

• Frecuencia de ocurrencia de eventos de pérdida por proceso. Esta información se toma del

Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se

reduzca, significa una mejor gestión.

• Impacto de los eventos de pérdida que han ocurrido por proceso. Esta información se toma

del Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador

se reduzca, significa una mejor gestión.



MANUAL SARO


• Evaluación de las capacitaciones en SARO y gestión de riesgos. Esta información

corresponde a la nota promedio de las evaluaciones practicadas a los participantes de las

capacitaciones. En la medida en que el valor de este indicador sea mayor, significa una mejor

gestión.

• Número de procesos con planes de contingencia. Esta información es tomada de la Matriz

MRO. En la medida en que el valor de este indicador sea mayor, significa una mejor gestión.

Adicionalmente la Coordinación de Riesgos deberá diseñar constantemente indicadores de gestión

específicos que apoyen la evaluación de los controles y planes de contingencia de los eventos de

riesgo operativo, potenciales y ocurridos.

Es importante que los indicadores de gestión hagan parte del sistema de evaluación del desempeño

de los funcionarios y áreas de la Compañía, en lo que respecta a los procesos a su cargo.

11.3. Controles

Además de la labor que la Coordinación de Riesgo tiene, de proponer nuevos controles para los

eventos de pérdida identificados en la Matriz de Riesgo Operativo, buscando mejorar la calificación

de su diseño y de su efectividad, la Coordinación de Riesgo debe evaluar la consistencia en términos

de magnitud y funcionamiento (oportuno, efectivo y eficiente) de los controles con respecto al evento

de pérdida que buscan mitigar.

Para ello, debe evaluarse que el control tenga una magnitud acorde con el riesgo inherente. De

manera que aquellos riesgos inherentes de mayor Impacto y probabilidad de ocurrencia, deben tener

un grupo de controles más completos.

Así mismo, pueden identificarse controles que son demasiado grandes, en términos de complejidad

en su aplicación y costo, vinculados a riesgos inherentes de severidad y frecuencia muy bajos. En

este caso, se debe revisar la posibilidad de ajustar dichos controles.

Independiente de las funciones asignadas a la Auditoría Interna, la Coordinación de Riesgo, deberá

además revisar ocasionalmente los controles, mediante trabajo de campo donde se observe el



MANUAL SARO


funcionario encargado del control y la forma como lo aplica, para conceptuar si el control es

insuficiente, si es necesario reforzarlo o si es necesario establecer otro control.

11.4. Nuevos procesos o modificación de proceso existente

Como requisito para que en cualquier área de la Compañía se modifique o implemente un nuevo

proceso, el mismo debe ser objeto del análisis anterior de reuniones de trabajo, para valuar el riesgo

inherente y los controles que se deben implementar.

Ningún proceso podrá iniciarse o modificase sin que previamente se diseñe el grupo de controles del

mismo, aprobado por el Representante Legal. Esto aplica también para la realización de operaciones

de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.

11.5. Proceso para administrar la continuidad del negocio

En cumplimiento del Capítulo XXIII de la Circular Externa 100 de 1995, la Compañía, teniendo en

cuenta su estructura, tamaño, objeto social y actividades de apoyo, está en desarrollo de un sistema

de administración de la Continuidad del Negocio, el cual incluye los procesos de definir, implementar,

probar y mantener dicho sistema en aspectos como: prevención y atención de emergencias,

administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.

Reyca S.A. dispone de los instrumentos necesarios para asegurar la continuidad de su operación,

estos se nombran a continuación:

a) Capital Social

b) Personal competitivo e idóneo

c) Equipo tecnológico suficiente

d) Pólizas de seguros.

e) Soporte legal

f) Instalaciones propias.

g) Grabación de llamadas

Se ha determinado que la organización cuenta con la estructura suficiente para el desarrollo de su

objeto dentro del contexto de la Bolsa Mercantil de Colombia S.A.



MANUAL SARO


11.6. Cultura de Riesgos

Dentro de los planes de capacitación periódicos sobre gestión de riesgos operativos para todos los

funcionarios de la Compañía, contemplados en el Manual del Sistema de Administración del Riesgo

Operativo, se debe resaltar la labor que cada funcionario tiene en la identificación de los factores de

riesgo y eventos de pérdida.

Adicionalmente, debe promoverse la identificación y control de factores generadores de riesgos, como

una actividad propia de cada cargo al momento de evaluar desempeños.

Los indicadores de gestión de las diferentes áreas y funcionarios de la Compañía, deben incluir en lo

posible aspectos relacionados con la gestión en la identificación y control de riesgos. Estos

indicadores deben medir además, por proceso, la evolución del impacto y la probabilidad de los

eventos de pérdida por proceso y la evolución del Grupo de Controles, en términos de su diseño y

efectividad.

11.7. Coordinación de Comunicaciones

La comunicación formal es la base para el correcto flujo de la información que se quiere hacer llegar

a los diferentes Grupos de Interés, tanto internos como externos.

Por ello, toda información que se quiera transmitir debe hacerse a través de los canales establecidos

para tal fin, de manera que no se considere válida ninguna otra información canalizada a través de

otros medios.

Esto implica desestimular los canales no formales de comunicación, mediante el desarrollo de canales

formales que tengan definidos claramente aspectos como responsables, forma de acceso a los

mismos y periodicidad.

11.8. Planes de Contingencias

El plan de contingencia para REYCA S.A., tiene por objeto generar lineamientos de ejecución cuando

suceda alguno de los riesgos ya mencionados, de tal forma que se garantice la continuidad de la

organización a pesar de la ocurrencia del evento de riesgo. Los planes de acción se encuentran en la

matriz de cada uno de los procedimientos adjunta la evaluación del riesgo.



MANUAL SARO


Con respecto al componente tecnológico, Reyca S.A. El servidor principal tiene un sistema de

automatización y programación de backup de la base de datos y aplicativos con los mismos

estándares de seguridad establecidos en la circular Externa 052 de 2007 emitida por la

Superintendencia Financiera de Colombia.

Al servidor principal ubicado en la Calle 94 a # 11 a 73 piso 2 – (RACK- Risk Aware Consensual Kink)

tiene tres tipos de backup para la protección de la información los cuales se describen a continuación;

➢ Backup interno

Se realiza diariamente en una periodicidad de 2 veces en al día en el siguiente horario: 7 am, 12m.

El propósito del Backup Interno es minimizar el porcentaje de información pérdida en el evento de que

se llegue a presentar algún imprevisto durante la jornada laboral o no laboral y que los datos del

programa operativo – contable se puedan recuperar en su gran mayoría.

Este Backup tiene una duración de 40 días, lo que indica que la información puede ser revisada y/o

recuperada en un lapso de 40 días atrás

➢ Backup externo

Una vez al mes días se realza una copia de toda la información de los equipos y el servidor de la

compañía, en disco externo. Este disco se mantiene resguardado en las instalaciones de Italcoop

Funza, Ubicación -Funza Cundinamarca-Km 13- vía Occidente Propiedad de ITALCOL.

➢ Backup en la nube.

Es el más importante para el proceso de continuidad del negocio, se está realizando en la nube con

una periodicidad diaria de toda la información del servidor que alberga el programa principal Operativo

y Contable, carpetas y archivos compartidos por el área de operaciones y SARLAFT. Esta copia se

realiza de manera automática después de las ocho de la noche los 365 días del año la cual permite

realizar copias de seguridad y restauración de servidores, bases de datos, ordenadores y carpetas o

archivos de forma fácil, automática y segura.



MANUAL SARO


La persona encargada de tomar decisiones a cargo de la Coordinación de Riesgo, será el funcionario

que formalmente está encargado de dicha área, quien debe conocer el funcionamiento de los modelos

de administración de riesgos. Como los modelos de análisis, medición, seguimiento y control a los

diferentes riesgos, los cuales deben estar debidamente documentados.

a) Aspectos no contemplados en el presente Manual

Cualquier situación no esperada y no contemplada en el presente manual, debe ser objeto de un Plan

de Contingencia preparado por la Coordinación de Riesgo y aprobado por el Representante Legal.

11.9. Reportes Internos y Externos

Tanto los reportes internos y externos, como los documentos y registros que evidencien la operación

efectiva del SARO, deben tener las características de integridad, oportunidad, confiabilidad y

disponibilidad de la información allí contenida.

12. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN

a) Se identifica por parte de las áreas responsables de los procesos, todos y cada uno de los

riesgos asociados. Se identifican los controles existentes y si fuere del caso, los que deberían

implementarse y establecer la probabilidad e impacto de cada riesgo, antes y después de los

controles, con base en la metodología definida.

b) Una vez diligenciada la encuesta por parte de las áreas responsables, se remitirá a la Unidad

de Riesgo Operativo, la cual consolidará los resultados, evaluará lo descrito y conceptuará

sobre la racionalidad del riesgo o los riesgos identificados.

c) Una vez determinados los niveles de riesgo dentro de cada proceso, se listan utilizando el

criterio de mayo a menor puntaje, para definir la prioridad de tratamiento. Este compendio

sirve de soporte para realizar el plan de tratamiento integral de riesgos.

d) Con base en los resultados obtenidos, la Unidad de Riesgo Operativo establecerá el perfil de

riesgo inherente y residual consolidado de la compañía.



MANUAL SARO


e) Se establecerá parámetros de control con el fin de observar el comportamiento de los

correctivos aplicados para la mitigación del riesgo, mostrada bajo los resultados de si este se

pudo evitar o si efectivamente se previno. Una vez revisados los resultados se mirara la forma

de financiación de mitigación de los riesgos clasificados en aceptable, si se retiene o se

transfiere.

f) Las áreas responsables de los procesos en los cuales se han identificado riesgos operativos,

deberán al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo,

utilizando el formato de registro de evento de riesgo. La Unidad de Riesgo Operativo es

responsable de mantener actualizados los registros relativos a los reportes y evaluará la

necesidad de hacer actualizaciones y/o modificaciones a los procedimientos y planes de

acción relativos al SARO.

g) Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad

de Riesgo Operativo revisará los riesgos, sus controles y mediciones con el fin de identificar

los posibles cambios en el perfil de riesgo de la entidad.

h) Para dar cumplimiento a lo establecido sobre la Revelación Contable de los eventos, con

base en si los mismos generan pérdidas y afectan los estados financieros de la empresa,

estos deberán registrarse de la manera establecida en el numeral 3.2.8.3 de la Circular

Externa 049 de 2006, de la Superintendencia Financiera.

13. CAPACITACIÓN Y DIVULGACIÓN La Coordinación de Riesgo tendrá a su cargo el diseño, programación y coordinación del Plan Anual de capacitación en el SARO, dirigido a todas las áreas y funcionarios de la Compañía. Los programas de capacitación deberán dictarse también a los nuevos funcionarios vinculados a la compañía, durante su primer mes luego de haber ingresado a la Compañía, así como a los terceros de los cuales se tenga una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo, como el caso del outsourcing. Para el caso de estos terceros, la capacitación deberá darse con anterioridad a la firma del contrato u orden de servicios y como requisito del mismo.



MANUAL SARO


La Coordinación de Riesgo será responsable de la revisión y actualización trimestral de dichos programas de capacitación. Adicionalmente, deberá desarrollar y aplicar las evaluaciones que se practicarán a los participantes en dichos programas, tanto en el momento inmediatamente posterior a la capacitación como posteriormente, por lo menos una vez al año a todos los funcionarios y terceros. La Coordinación de Riesgo debe contar con los mecanismos de evaluación de los resultados obtenidos, con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.



MANUAL SARO


ANEXO 1. MAPA DE PROCESOS

Procesos Estratégicos

Planeación Estratégica

Gestión de Riesgos

Gestión de la Evaluación y Control

Actividades de Apoyo

Gestión Administrativa

Administración de Sistemas

Gestión Contable

Gestión Jurídica

Procesos Misionales

Gestión ComercialGestión

OperacionalGestión Tesorería

Gestión de Cartera

Necesid

ades d

el cliente

Satisfacció

n d

el cliente

MAPA DE PROCESOS


MACROPROCESO ESTRATÉGICO

MANUAL SARO


Página 53 de 55

ANEXO 2. FORMATO REPORTE DE EVENTO DE RIESGO



MANUAL SARO


Página 54 de 55

2

URO

No. De Reporte

Dólares Euros Pesos Otra cual?

1. Monto en pesos de la pérdida (2,4)

2. Cuantía Recuperada

3. Cuantía Recuperada por Seguros

Pérdida neta (1-2-3)

Insignificante Menor Moderado Mayor Catastrófico

HORA

HORA

HORA

PROCESO OPERATIVO

PROCESO GESTIÓN FINANCIERA

PROCESO GESTIÓN COMERCIAL

CRONOLOGÍA DEL EVENTO

Generan pérdidas y no afectan el estado de resultados de la entidad

No Generan pérdidas y no afectan el estado de resultados de la entidad

FECHA DE INICIO DEL EVENTO (día/mes/año)

FECHA DE FINALIZACIÓN DEL EVENTO (día/mes/año)

FECHA DE DESCUBRIMIENTO DEL EVENTO (día/mes/año)

VERSIÓN

APROBADO

OBJETIVO DEL REGISTRO

PROCESO AFECTADO

FECHA

FECHA DE CONTABILIZACIÓN DEL EVENTO (día/mes/año)

REGISTRO

REPORTE DE EVENTO DE RIESGO

TIPO DE PÉRDIDA

Generan pérdidas y afectan el estado de resultados de la entidad

Hacer el reporte de evento de riesgo para llevar archivo histórico sobre el cual se puedan evaluar y tomar decisiones.

OCTUBRE 30 DE 2017

OBSERVACIONES:

CONTROLES REALIZADOS:

OPE

FÍSICOS

FINANCIEROS

SERVICIO ATENCIÓN AL CLIENTE

Producto o Servicio Afectado

PROCESO GESTIÓN ADMINISTRATIVA

PROCESO CONTROL INTERNO

IMPACTO

3. Relaciones Laborales

4. Clientes

5. Daños a Activos físicos

6. Fallas tecnológicas

HORA

DESCRIPCIÓN DEL EVENTO:

CLASE DE EVENTO

7. Fallas en ejecución de procesos

MONEDA EN LA CUÁL SE MATERIALIZA EL EVENTO

Fecha de Reporte

NOMBRE CUENTAS DEL PUC AFECTADAS No. Cuenta

1. Fraude Interno

2. Fraude Externo



MANUAL SARO


Página 55 de 55

MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO …€¦ · Este manual describe el Sistema de...

Documents

Transcript of MANUAL SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO …€¦ · Este manual describe el Sistema de...