Manual del Sistema de... · Web viewAcción inmediata para mitigar, evitar, compartir o transferir...

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO – SARO–

CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 1 DE 28

Manual del Sistema de Administración de Riesgo

Operativo

– SARO–

REVISÓ: Cristian Gaviria, Jefe control interno APROBÓ: Jorge Mario UribeFECHA: 4 de marzo de 2020 FECHA: 4 de marzo de 2020


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 2 DE 28

TABLA DE CONTENIDO

1. ALCANCE 4

2. OBJETIVO 4

2.1. OBJETIVOS GENERALES 4

2.2. OBJETIVOS ESPECÍFICOS 5

3. DEFINICIONES 5

4. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Y LA CONTINUIDAD DEL NEGOCIO 8

5. ESTRUCTURA ORGANIZACIONAL, ROLES Y RESPONSABILIDADES EN EL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO Y PCN 9

5.1. CONSEJO DE ADMINISTRACION 9

5.2. GERENTE GENERAL. 10

5.3. AREA DE SISTEMAS: 10

5.4. LIDERES DE PROCESOS 11

5.5. TODOS LOS EMPLEADOS DE COMUNA: 12

5.6. ORGANOS DE CONTROL 125.6.1.Control Interno 125.6.2.Revisoría Fiscal 12

6. METODOLOGÍA SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO. 13

6.1. COMUNICACIÓN Y CONSULTA 14

6.2. ESTABLECIMIENTO DEL CONTEXTO 146.2.1.Apetito de riesgo 166.2.2.Resultados de la Etapa Establecimiento del Contexto. 17

6.3. IDENTIFICACIÓN DE RIESGOS 176.3.1.Riesgos potenciales 176.3.2.Riesgos Ocurridos: 186.3.3.Resultados de la etapa identificación de riesgos 18


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 3 DE 28

6.4. ANÁLISIS DEL RIESGO 206.4.1.Probabilidad (frecuencia de ocurrencia): 216.4.2.Impacto (consecuencia en caso de materialización): 215.3.3. Resultados de la etapa de Análisis de Riesgo 23

6.5. EVALUACIÓN DEL RIESGO 23

6.6. TRATAMIENTO DE RIESGOS 246.6.1.Actividades de Control 256.6.2.Implementación de Planes de Acción 276.6.3.Resultados de la etapa de Tratamientos de Riesgos 28

6.7. MONITOREO Y REVISIÓN 28

7. DOCUMENTACIÓN 29

8. CAPACITACIÓN 29

9. DIVULGACIÓN 29

10. REVELACIÓN CONTABLE 29

11. NOTAS DE CAMBIOS 30


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 4 DE 28

1. INTRODUCCIÓN

La gestión y administración de riesgo operativo se estructura desde la identificación, medición, valoración y monitoreo de los eventos de riesgo inherentes y potenciales que puedan generar situaciones adversas al logro de los objetivos institucionales y que por consiguiente deben ser mitigados para evitar la posible materialización de los mismos, es por esto que la aplicación e implementación de metodologías validas, permiten disminuir la probabilidad de ocurrencia y asegurar a COMUNA en efectividad operativa.

El sistema de administración de riesgo operativo - SARO, permite agregar valor a la gestión operativa de COMUNA, toda vez que la actividad sistémica del cumplimiento del su ciclo operacional se desarrolla a la luz de los procesos y da como resultado la generación de conocimiento de las fortalezas, vulnerabilidades y debilidades de los controles de COMUNA identificadas por cada uno de los líderes de los procesos con sus equipos de trabajo y como resultado final el mejoramiento continuo de los mismos. 1. ALCANCE

Este manual aplica para todos los empleados de COMUNA en sus funciones relacionadas con el “SARO”.

Por lo anterior, es de vital importancia para COMUNA sensibilizar a todos los empleados respecto de la importancia de contar con una visión integral y estratégica sobre la identificación, el análisis, la evaluación, el tratamiento, monitoreo y comunicación de los riesgos de forma que se de cumplimiento a la misión y objetivos de COMUNA.

2. OBJETIVOEl presente documento tiene como objetivo relacionar, establecer y divulgar las políticas, los lineamientos, la estructura organizacional, las metodologías, las estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del Sistema de Administración de Riesgo Operativo - SARO en COMUNA.

2.1. OBJETIVOS GENERALES

Mejorar los controles de los procesos dentro de la compañía. Tener controles que reduzcan posibles riesgos en las actividades y procedimientos. A pesar de que muchos controles y procedimientos sean explícitos, estos deben robustecerse por cada miembro logrando de esta forma un entorno de autocontrol y mejoramiento continuo.

Servir como sistema para el análisis y formulación de políticas y Estrategias, una vez se identifiquen los eventos de mayor impacto y probabilidad los cuales deben servir como elemento de decisión para el establecimiento de políticas y estrategias encaminadas a la reducción de estos eventos.

2.2. OBJETIVOS ESPECÍFICOSControlar el impacto y la probabilidad de los siguientes eventos de riesgo:


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 5 DE 28

Pérdidas por error humano Pérdidas por cantidades de egresos no esperadas Pérdidas por información Pérdidas por fallas en el procedimiento Pérdidas por no cumplimiento de límites Internos Pérdidas por fallos en los sistemas Pérdidas de imagen pública Pérdidas Legales Perdidas por desastres naturales Perdidas por daños en la Infraestructura Fraude

3. DEFINICIONES

Las siguientes definiciones se tendrán en cuenta para los fines del presente manual:

RIESGO: posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: El diagnóstico o valoración, mediante Identificación, análisis y determinación del nivel, y el manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al plan de manejo que contiene las Técnicas de Administración del Riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección.

ANÁLISIS DE RIESGOS: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener la información para establecer el nivel de riesgo y las acciones a implementar.

CONTROL: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.

EVALUACIÓN DEL RIESGO: Comparación entre los resultados de la calificación con los criterios para establecer el grado de exposición de la Entidad al riesgo, de esta forma distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones para su tratamiento.

FACTORES DE RIESGO: Manifestaciones o características medibles u observables de un proceso que indican la presencia de Riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.

IDENTIFICACIÓN DE RIESGOS: Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma por funciones; desde el nivel estratégico hasta el más operativo.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 6 DE 28

INDICADOR: es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.

MAPA DE RIESGOS: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiendo las acciones a realizar para ser controlados.

PERFIL DE RIESGO: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta COMUNA.

PROBABILIDAD: representa el número de veces que el riesgo se ha presentado en un determinado lapso de tiempo es una medida (expresada como porcentaje, razón o número) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.

IMPACTO: se refiere a la magnitud de los efectos o consecuencias que puede ocasionar a la organización la materialización del riesgo.

RETROALIMENTACIÓN: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura.

RIESGO CREDITICIO (SARC): Posible pérdida que asume un agente económico como consecuencia del incumplimiento de las obligaciones contractuales que incumben a las contrapartes con las que se relaciona. Ver circular externa 15 de diciembre 30 de 2015 Supersolidaria.

RIESGO DE LIQUIDEZ (SARL): mide en qué medida un agente puede afrontar sus obligaciones a corto, mediano y largo plazo. Ver circular externa 15 de diciembre 30 de 2015 Supersolidaria.

RIESGO DE MERCADO (SARM): riesgo de que el valor de un activo disminuya debido a las fluctuaciones en las condiciones del mercado como por ejemplo la variación del precio de los valores, del tipo de interés o del tipo de cambio, así como las fluctuaciones en los precios de las materias primas. Ver circular externa 15 de diciembre 30 de 2015 Supersolidaria.

RIESGO LAVADO DE ACTIVOS (SARLAFT): Posibilidad en que puede incurrir la Compañía por pérdida o daño al ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas. Ver circular externa 15 de diciembre 30 de 2015 Supersolidaria.

RIESGO OPERATIVO (RO): Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

RIESGO LEGAL: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 7 DE 28

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

RIESGO REPUTACIONAL: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

VALORACIÓN DEL RIESGO: Es confrontar los resultados de la evaluación del riesgo con los controles establecidos en la Entidad, con el objetivo de establecer prioridades para su manejo y fijación de políticas.

PLAN DE MEJORAMIENTO: Plan de manejo que contiene las técnicas de administración del riesgo orientadas a prevenir, evitar, reducir, dispersar, transferir o asumir riesgos.

PREVENIR: Establecer anticipadamente políticas, normas, controles y procedimientos que lleven a que el evento generador del riesgo no ocurra o disminuya su probabilidad de ocurrencia, existen muchas formas de prevención, pero las más utilizadas son:• Inspecciones y pruebas de seguridad.• Entrenamiento.• Inversión en información.• Diversificación.• Disminución del nivel de exposición.• Mantenimiento preventivo.• Medicina preventiva.

PROTEGER: Al hablar de proteger estamos pensando en medidas que actúan, en el momento de presentarse el riesgo, sobre el recurso amenazado, por ejemplo, los equipos de protección, como los cascos o las gafas, disminuyen el impacto del riesgo de accidente sobre los obreros de una construcción.Las medidas de protección de mayor aplicación son:• Sistemas automáticos de protección.• Equipo de protección personal.• Plan de emergencia.• Plan de contingencia.

REDUCIR EL RIESGO: si el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

EVITAR EL RIESGO: Es siempre la primera alternativa a considerar. Se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 8 DE 28

ACEPTAR: significa asumir un riesgo y las consecuencias que este atraiga en el momento que se presente. Los riesgos se aceptan cuando la frecuencia es baja e impacto leve, y no pones en peligro la estabilidad de la organización.

RETENER: Estos se retienen cuando en forma planeada se crea un fondo entre otras cosas para responder ante las posibles pérdidas causadas por su ocurrencia.

4. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Y LA CONTINUIDAD DEL NEGOCIO

Las Políticas de administración de riesgo operativo - SARO, se fundamentan en el contexto organizacional en el que se encuentra COMUNA, de esta forma el enfoque del SARO se enmarcará bajo las siguientes políticas:

- La gestión de Riesgo Operativo estará orientada a la creación de una cultura organizacional mediante la capacitación y concientización de todos los empleados de COMUNA. Estos elementos serán las bases de la cultura organizacional y buscarán que los empleados conozcan el origen, manejo y control de los riesgos operativos que se pueden presentar en el normal desarrollo de sus actividades diarias. Así mismo estos elementos junto a un flujo constante de información entre todas las áreas de COMUNA, buscarán la creación de una cultura de reporte y mitigación de riesgo operativo.

- El establecimiento del perfil de riesgo operativo, su evolución, los controles implementados y el monitoreo estarán definidos por el líder de cada proceso, sin embargo, los resultados generados en el avance de cada una de las etapas del SARO estarán en todo momento disponibles para consulta por parte de todos los miembros directivos permitiendo identificar cambios presentados en cualquiera de ellos, para su respectiva retroalimentación y mejoramiento continuo.

- Cada líder de proceso con su equipo de trabajo tendrá la responsabilidad de identificar los riesgos asociados a sus procesos, de mantener un conocimiento actualizado de los procesos a su cargo, de construir y actualizar la matriz de riesgos, así como reportar sobre la gestión integral de riesgos, tendrá independencia en la determinación, análisis, imparcialidad y ejecución en cada una de las etapas del sistema y en la recolección del registro de eventos de riesgo operativo.

- La identificación de riesgos debe hacerse teniendo en cuenta su incidencia en los objetivos estratégicos, los objetivos de los procesos, la sostenibilidad y continuidad de las operaciones.

- La gestión de riesgos generará el establecimiento de directrices, procedimientos, manuales y sistemas adecuados para el control de los mismos, así como la elaboración de los planes de contingencia necesarios para mitigar el impacto en caso de materialización.

- La alta dirección hará evaluación continua de la idoneidad y eficiencia en la aplicación del sistema, con base en las mejores prácticas y recomendaciones en materia de riesgos, para su eventual incorporación al modelo.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 9 DE 28

El sistema tendrá como principio que todos los líderes de proceso y sus respectivos analistas tendrán conocimiento en administración de riesgo operativo, con capacitación constante, y será respaldada por la Gerencia General. Adicionalmente, contará con los recursos suficientes para desarrollar sus funciones.

- COMUNA adoptará un Plan de Continuidad del Negocio, en adelante PCN, enfocado en dar soporte a las actividades que sean sujetas de supervisión por parte de la Superintendencia de Economía Solidaria y que sean desarrolladas en COMUNA, el cual, deberá ser liderado por la Gerencia General y debe considerar los controles de seguridad, disponibilidad de la información y pasos a seguir en materia de contingencia para cada una de estas actividades.

5. ESTRUCTURA ORGANIZACIONAL, ROLES Y RESPONSABILIDADES EN EL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO - SARO

5.1. CONSEJO DE ADMINISTRACIÓN

Corresponde al Consejo de Administración de COMUNA adoptar las siguientes decisiones relativas a la administración del Riesgo Operativo, de las diferentes actividades:

a. Establecer y aprobar las políticas relativas a la implementación de un Sistema de Administración de Riesgo Operativo – SARO en COMUNA.b. Aprobar el presente Manual de Riesgo Operativo y sus actualizaciones. c. Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo de COMUNA.d. Pronunciarse respecto de los informes periódicos que presente el Representante Legal en materia de riesgo operativo.e. Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.f. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el SARO.

5.2. GERENTE GENERAL.Corresponde al Gerente General de COMUNA la responsabilidad de velar por el cumplimiento de los manuales y demás disposiciones relacionadas con la administración del riesgo operativo. Sus funciones frente al SARO son las siguientes:

a. Someter a aprobación del Consejo de Administración, el Manual de Riesgo Operativo y sus actualizaciones. b. Velar por el cumplimiento efectivo de las políticas establecidas por el Consejo de Administración c. Recibir y evaluar los informes de seguimiento permanente de las etapas y elementos constitutivos del SARO.d. Velar porque se implementen estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para COMUNA.e. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo establecido en este manual.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 10 DE 28

f. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución.g. Presentar informe en caso de que se requiera, al Consejo de Administración sobre la evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.h. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.i. Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se ve expuesta COMUNA en desarrollo de su actividad.

5.3. AREA DE SISTEMAS

Corresponde al Área de Sistemas todo lo relacionado con la identificación de riesgos operativos relacionados con tecnología y el liderazgo de la implementación del PCN de COMUNA:

a. Liderar la recuperación tecnológica, basado en la estrategia de continuidad definida.b. Identificar y valorar los posibles riesgos tecnológicos que puedan afectar la continuidad de la operación normal de COMUNA.c. Mantener comunicación constante con los demás actores del PCN durante el estado de contingencia, informando el estado de recuperación de la misma a la cadena de mando establecida para su atención.d. Asegurar la seguridad y continuidad de la información, así como oportunidad de esta la misma.e. Implementar las acciones correspondientes a la recuperación y puesta a punto de la información en los tiempos establecidos dentro del PCN.f. Informar oportunamente a la administración de los eventos que por su nivel de severidad afecten la continuidad del negocio y requieran de tratamiento especial.g. Efectuar continuo monitoreo a las acciones y tratamientos implementados como medidas de aseguramiento de los procesos críticos de COMUNAh. Valorar y determinar el nivel de vulnerabilidad y posibles eventos vandálicos informáticos en que pueda verse involucrado COMUNA.i. Medir permanentemente la efectividad de los controles implementados y solicitar los ajustes y modificaciones en caso de que se requiera.j. Asegurar la capacitación y entrenamiento del personal de sistemas.k. Asegurar que las personas involucradas en todas las etapas del PCN tengan una correcta y adecuada capacitación en este tema.l. Coordinar, apoyar y hacer seguimiento a la gestión de PCN de cada área.m. Efectuar y valorar el resultado de las pruebas efectuadas.

5.4. LIDERES DE PROCESOSa. Definir los instrumentos, metodologías y procedimientos tendientes a que COMUNA administre y mida efectivamente sus riesgos operativos, acorde con los lineamientos y mejores prácticas que considere convenientes.b. Desarrollar mecanismos, procesos y procedimientos para el reporte y consolidación histórica de los eventos de riesgo ocurridos durante el desarrollo de las actividades normales de COMUNA.c. Establecer la metodología para recoger la información de riesgos cualitativos en cada una de las áreas.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 11 DE 28

d. Evaluar la efectividad de los controles identificados en cada uno de los procesos y su impacto en la mitigación de riesgos.e. Establecer y monitorear el perfil de riesgo de COMUNA, informando y reportando a la Gerencia General por lo menos una vez al año.f. Efectuar la calificación general de riesgos de COMUNA y su impacto dentro de la estrategia organizacional.g. Liderar programas de capacitación en materia de RO a todos los funcionarios de COMUNA por lo menos una vez al año.h. Integrar la estrategia del SARO con Plan de Continuidad del Negocio.i. Acompañar el desarrollo de las diferentes etapas del PCN.j. Identificar y valorar riesgos, controles y planes de acción en cada uno de sus procesos y procedimientos.k. Propender por mantener una aversión al riesgo en todas sus actuaciones.l. Impulsar y promover la cultura del Riesgo Operativo para el personal a su cargo como un hábito en todos los procesos y actividades que se ejecuten.m. Participar en el control y mitigación de los riesgos a los cuales se encuentran expuestos sus procesos.n. Conservar en un nivel óptimo de actualización las matrices de riesgos operativos de los procedimientos a su cargo.o. Establecer y conocer el nivel de exposición de riesgo operativo en que se encuentran los procedimientos a su cargo.p. Articular la estrategia institucional con la gestión y administración de riesgos operativos.q. Solicitar oportunamente al área encargada de la documentación de los procedimientos, las actualizaciones debidas, cuando se identifiquen desviaciones de estos.r. Colaborar con el levantamiento de información de cada una de sus áreas identificando los procesos prioritarios para el desarrollo de los planes de contingencia y continuidad del negocio.s. Ejecutar y realizar seguimiento de manera oportuna a los planes de acción que se establezcan para la mitigación de riesgos operativos en su área.

5.5. TODOS LOS EMPLEADOS DE COMUNA

a. Reportar oportunamente los eventos de Riesgo Operativo que ocurran en el transcurso diario de sus actividades, según lo indicado en el respectivo procedimiento que defina COMUNA para tal fin. b. Adoptar una cultura de autocontrol y mitigación de Riesgo Operativo en todas las actividades diarias.c. Participar, presentar y aprobar las capacitaciones que se brinden en materia de Riesgo Operativo.d. Informar oportunamente al líder de cada proceso, cuando se identifique la necesidad de efectuar ajustes a procedimientos y contribuir a la actualización de estos.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 12 DE 28

5.6. ORGANOS DE CONTROL

5.6.1.Control InternoEl área de Control Interno es la encargada de verificar el cumplimiento de la gestión que los líderes de cada proceso establezcan, para efectuar la mitigación de sus riesgos.También debe evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar oportunamente los resultados de la evaluación al Gerente General.

5.6.2.Revisoría Fiscal

El propósito de la Revisoría Fiscal respecto de la administración del riesgo es el de proveer una evaluación objetiva a COMUNA a través del proceso de auditoría sobre la efectividad de las políticas y acciones en la materia, de cara a asegurar que los riesgos institucionales están siendo administrados apropiadamente y que el Sistema de Control Interno está siendo operado efectivamente, sus funciones respectivas son las siguientes:

a. Brindar elementos para la evaluación sobre procesos de administración del riesgo.b. Determinar si la evaluación de los riesgos es correcta.c. Evaluar los procesos de administración del riesgo.d. Evaluar reportes de riesgos institucionales.e. Revisar el manejo de los riesgos institucionales.

6. METODOLOGÍA SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO.

Para la implementación y administración del Riesgo operativo, la metodología se ha planteado con base en la estructura conceptual del riesgo ISO 31000, y la normatividad vigente establecida por la Superintendencia Financiera de Colombia.

El proceso de Administración del Riesgo Operativo se desarrolla bajo los siguientes criterios metodológicos:

El proceso de Administración del Riesgo se ejecutará a todos los procesos identificados en COMUNA. El proceso de Administración del Riesgo será ejecutado por los responsables o delegados de cada uno de los procesos, bajo la dirección metodológica adoptada por la Cooperativa. La identificación de los riesgos para los procesos se realizará teniendo como parámetro principal el objetivo del proceso, los factores de riesgo y los riesgos asociados; se debe identificar los eventos que puedan llegar a impedir el cumplimiento de los objetivos del proceso. Identificar los riesgos operativos para cada uno de los procesos de COMUNA, deben relacionarse las causas que pueden generar dichos riesgos.

Los riesgos y las causas de cada proceso por Factor de Riesgo deben ser medidos y controlados por los funcionarios de cada proceso.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 13 DE 28

Las etapas para la adecuada administración integral de riesgo en COMUNA se presentan a continuación.

6.1. COMUNICACIÓN Y CONSULTAComunicar y consultar con las partes interesadas internas y externas según sea apropiado en cada etapa del proceso de gestión del riesgo y se trate de algo relacionado con el proceso como un todo.

6.2. ESTABLECIMIENTO DEL CONTEXTO

La Gerencia General, el Representante de la Dirección, los Líderes de los Procesos y Directores de Sede, hacen al menos una vez al año una revisión e identificación de los factores internos y externos que puedan generar riesgos que afecten a los clientes, la misión y el cumplimiento de los objetivos institucionales.

El análisis del contexto estratégico se realiza a partir del conocimiento de las situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal, cambios tecnológicos, entre otros.

También debe realizarse un análisis interno en la Entidad basado en los resultados de la estructura organizacional, el modelo de procesos, el cumplimiento de los planes y proyectos, el sistema de información, los procesos, procedimientos y los recursos necesarios para el desarrollo de las actividades organizacionales.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 14 DE 28

Para la realización de este análisis se pueden utilizar herramientas o técnicas como entrevistas con expertos, reuniones con los directivos y personal de la institución, evaluaciones por medio de cuestionarios, indagación con personas ajenas a la entidad, revisión de las condiciones económicas y tecnológicas del sector, aplicación de instrumentos administrativos como matrices de análisis interno externo, DOFA, de competitividad, entre otras.

COMUNA, en la construcción y elaboración del Plan Estratégico vigente analizará su Visión, Misión y líneas estratégicas, para posteriormente trazar, de acuerdo con sus perspectivas (Financiera, Asociados, Procesos y Aprendizaje) los objetivos estratégicos a los cuales debe apuntar cada uno de los procesos y empleados de COMUNA.

Por lo anterior, el establecimiento del contexto permitirá articular los objetivos, definiendo los parámetros externos e internos que se considerarán a la gestión el riesgo y establecer el alcance y los criterios para el desarrollo del proceso.

Lo anterior, se resume en el siguiente diagrama de procesos:


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 15 DE 28

Procesos Estratégicos: Son los procesos mediante los cuales quienes toman decisiones en la organización, obtienen, procesan y analizan información, procedente de fuentes internas o externas con el fin de evaluar y hacer seguimiento a la situación actual de COMUNA. Así como su nivel de competitividad, con el propósito de anticipar y decidir sobre el direccionamiento de la organización hacia el futuro.

Procesos Misionales: Son aquellos procesos mediante los cuales se genera valor agregado a los productos y servicios a los que apunta el objeto social de COMUNA, estos van dirigidos a satisfacer las necesidades y expectativas de sus clientes.

Procesos de Apoyo: Son los procesos que respaldan, proveen de diferentes recursos a los misionales, estratégicos y de evaluación, generando valor agregado a COMUNA.

Procesos de Evaluación: Son procesos necesarios para medir y recopilar datos destinados a realizar el análisis del desempeño y la mejora de la eficacia y eficiencia, siendo parte integral del modelo de operación por procesos - MOP.

6.2.1.Apetito de riesgo

COMUNA tiene como objetivo mantener como máximo nivel de exposición un perfil de riesgo en nivel bajo.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 16 DE 28

Sobre los riesgos que una vez aplicados controles, permanecen en los niveles de severidad “Extremo”, “Alto”, los responsables de los procesos deben implementar planes de acción para fortalecer sus controles. Los riesgos ubicados en niveles “Moderado “y “Bajo”, deben ser objeto de monitoreo y seguimiento dentro de la gestión normal del proceso.

6.2.2.Resultados de la Etapa Establecimiento del Contexto. a. Matriz DOFA.b. Objetivos definidos en las caracterizaciones de todos los procesos.c. Plan Institucional Estratégico de COMUNA.d. Líneas Estratégicas.

6.3. IDENTIFICACIÓN DE RIESGOS

La identificación de riesgos es permanente y parte de los objetivos estratégicos de COMUNA y de su adecuado despliegue descendente a los objetivos de los procesos, diferenciando entre el riesgo que afecta el cumplimiento de los objetivos y las causas que lo generan. Considera tanto los riesgos potenciales como los riesgos ocurridos, y responde a preguntas tales como: qué puede suceder, dónde, cuándo, cómo y por qué.

Para la identificación de los riesgos, se tendrá en cuenta la contribución de los líderes de procesos y sus equipos de trabajo, los cuales se apoyan en la información disponible y el conocimiento de los procesos. Adicionalmente al conocimiento y a la experiencia, es necesario el soporte documental que proporcionan los informes de gestión, de auditoría, de las entidades de vigilancia y control, encuestas, normatividad, estadísticas, entre otros.

Los líderes de los procesos realizan la identificación de los riesgos en cada uno de los procesos organizacionales. Para ello utilizan el formato Matriz de Riesgos

6.3.1.Riesgos potenciales

Estos riesgos son identificados utilizando como herramienta principal el “juicio de expertos” que tiene cada uno de los líderes de los procesos y procedimientos existentes en el mapa de procesos de COMUNA, partiendo de cuestionamientos sencillos como lo son:

- ¿Qué puede suceder?- ¿Cómo puede suceder y por qué?

Esta identificación debe quedar diligenciada en el “matriz de riesgos” o en la herramienta que se disponga para tal fin, garantizando la posterior administración y seguimiento a los controles, tratamientos e indicadores de los riesgos identificados.

6.3.2.Riesgos Ocurridos:


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 17 DE 28

Para poder tener un mejor control del comportamiento de los eventos de riesgo que se materializan en la operatividad diaria de COMUNA se debe contar con un registro de estos para poder generar un histórico de los mismos y poder ajustar los mapas de riesgo previamente identificados en su frecuencia e impacto de acuerdo con la ocurrencia de los mismos.

El registro de eventos de Riesgo Operativo tiene los siguientes objetivos:

- Desarrollar estrategias de mitigación ante la materialización de estos.- Generar conciencia en los costos resultantes de situaciones de riesgo que impactan negativamente los resultados de COMUNA.- Construir una base de datos que permitirá cuantificar la exposición al Riesgo operativo y focalizar esfuerzos tanto operativos como financieros. - Realizar análisis de los factores de riesgo asociados a los eventos reportados, lo cual puede dar indicios de necesidad de mejoras en áreas y/o procesos de COMUNA.

Deben registrarse todos los eventos ocurridos, así generen o no pérdida.

La base de datos debe contener como mínimo lo siguiente:

- Consecutivo del evento.- Fecha de descubrimiento.- Fecha de inicio.- Fecha de finalización. - Proceso.- Área o Sede.- Identificación de Producto.- Cuantía del Evento.- Descripción del Evento.- Acción por tomar. - Fue eficaz el Tratamiento.

Esta base de datos debe ser administrada por cada líder de procesos.

Estos riesgos deberán ser revisados por lo menos 1 vez al año.

6.3.3.Resultados de la etapa identificación de riesgos Inventario de riesgos y causas (factores internos y externos) identificados con la clasificación de su tipología.

FUENTES DE RIESGOS GENERICASFraudePérdidas por cantidades de egresos no esperadasPérdidas por error humanoPérdidas por informaciónPérdidas por fallas en el procedimientoPérdidas por no cumplimiento de límites InternosPérdidas por fallos en los sistemas


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 18 DE 28

Pérdidas de imagen públicaPérdidas LegalesPerdidas por desastres naturales Perdidas por daños en la Infraestructura

AREAS DE IMPACTO GENERICABase de activos y recursosIngresos Costos de actividadesPersonalComunidadDesempeñoEl momento y programación de las actividadesMedio ambienteIntangiblesComportamiento organizacional

La identificación de los riesgos debe aplicarse en todos los procesos. A continuación, se describen las columnas de la matriz:

1. Objetivo Estratégico asociado: Allí se transcribe el objetivo identificado en la planeación estratégica que se relaciona o asocia con el objetivo del proceso al que se le identificarán los riesgos. 2. Objetivo del proceso: Se transcribe el objetivo del proceso al cual se le identificarán los riesgos.

3. Posible Riesgo: Identificar y redactar en forma concreta pero completa el riesgo que impide el cumplimiento de los objetivos.

4. PHVA: Identificar la etapa del ciclo administrativo donde se pueda presentar el riesgo.

5. Tipo de impacto: Seleccionar entre financiero, objetivos, operativos, continuidad del negocio, reputacional, seguridad de la información, legal/ regulatorio, contagio, dependiendo de la consecuencia del riesgo que se está evaluando.

6. Actividad, tema o elemento: Se identifica la actividad del proceso donde se puede presentar el riesgo (secuencia de actividades).

7. Posibles consecuencias o efectos: se refieren a los efectos ocasionados por el riesgo, incluye efectos de tipo económico, social, administrativo o de prestación de los servicios. Los efectos también se refieren a las personas o los bienes tanto muebles como inmuebles sobre los cuales se pueden producir daños físicos, fallecimientos, sanciones, pérdidas económicas, de información, de imagen, credibilidad, confianza, interrupción del servicio y daño ambiental, entre otros.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 19 DE 28

8. Causas raíz: Las causas de los riesgos son los medios, circunstancias y agentes que generan un riesgo, se pueden clasificar en cinco categorías:- Personas- Materiales- Instalaciones- Ambiente- Económicos

Se recomienda identificar máximo 4 causas raíz.

6.4. ANÁLISIS DEL RIESGO

El análisis de riesgos implica el desarrollo y la comprensión del riesgo sin considerar la existencia de controles. Busca identificar la probabilidad de ocurrencia de los riesgos y su impacto en caso de materializarse. Este análisis incluye la evaluación de la probabilidad y el impacto negativo del riesgo y de que tal impacto pueda ocurrir. La forma en la cual se representa gráficamente la combinación del impacto y la probabilidad es lo que se denomina mapa de riesgo inherente.

El cálculo del riesgo inherente es el resultado de ubicar en el mapa de riesgos la probabilidad e impacto inherente.

El análisis puede ser de tipo cualitativo y cuantitativo, cuando no se cuente con estadísticas, de las cuales se puedan establecer probabilidades e impactos, el análisis cualitativo es apropiado para adelantar esta etapa.

La probabilidad se define como la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia, si se ha materializado o de factibilidad, cuando se tiene en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Como impacto se entiende la consecuencia que puede ocasionar la materialización del riesgo.

En este sentido, para la medición y evaluación se utilizan las siguientes equivalencias para la probabilidad y el impacto con las cuales puede determinarse el nivel de riesgo.

6.4.1.Probabilidad (frecuencia de ocurrencia):

La valoración de la probabilidad de la ocurrencia del riesgo se establecerá mediante los criterios construidos en la correspondiente matriz y se expondrá en el procedimiento respectivo.

Se establecerán las escalas de valoración bajo 5 niveles, los cuales buscarán cubrir las posibles asignaciones de medición de este componente.

La fijación de las tablas de valoración permanecerá por periodos máximos de 1 año, permitiendo la estabilización de los criterios de medición.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 20 DE 28

Escala RANGO PROBABILIDAD POSIBILIDAD FRECUENCIA 1 FRECUENCIA 2

5 Casi seguro Se espera que ocurra en la mayoria de las circunstancias 25 o más veces al año 1 Error cada 2 Operaciones

4 ProbableHay razones para creer que sucedera el riesgo en muchas circunstancias

Entre 13 y 24 veces al año 1 Error cada 10 Operaciones

3 Posible Puede ocurrir en algún momento Entre 6 y 12 veces al año 1 Error cada 100

Operaciones

2 Poco Probable Podria ocurrir algunas veces Entre 2 y 5 veces al año 1 Error cada 1000 Operaciones

1 Raro Puede ocurrir solo bajo circunstancias excepcionales 1 vez al año 1 Error cada 10000

Operaciones

6.4.2.Impacto (consecuencia en caso de materialización):

El impacto puede ser cualitativo o cuantitativo según el riesgo identificado o el evento ocurrido, para esto, COMUNA define en el respectivo procedimiento la matriz de valoración con los criterios a evaluar.

Esta clasificación debe plasmarse en el mapa de riesgos inherente, el cual debe establecerse según lo orienta la política de límites y la estrategia definida en el presente manual que dice:

Lo anterior, debe ser registrado en el “matriz identificación de riesgos”.

Para los eventos de riesgo ocurridos, se debe realizar una calificación de este por parte de los lideres para poder evaluar su impacto y quede registrado en la base de datos con una calificación más acertada.

La escala de impacto a utilizar según el tipo de impacto es la siguiente:


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 21 DE 28

TABLA DE CONSECUENCIA

NIVEL TIPO DE IMPACTO RECURSO HUMANO FINANCIERO OBJETIVOS OPERATIVOS CONTINUIDAD DEL NEGOCIO REPUTACIONAL SEGURIDAD DE LA

INFORMACIÓN LEGAL/ REGULATORIO CONTAGIO

5 Catastrofico Invalidez o muerte Pérdidas >= 50% del Patrimonio Técnico

Incumplimiento del plan estretegico en un porcentantaje igual o superior al 40%.

Imposibilidad de contar con procesos, recursos, infraestructura o tecnología para continuar con la operac ión.

La interrupc ión del negocio dura más de 10 dias

El hecho afecta la confianza y credibilidad del ente regulador

Perdida total de informacion de la entidad

Cierre permanente de operac iones y actividades de negocio por decisión de los reguladores

Generado por una acción o inc idente que involucra a la Cooperativa.

4 Mayor

Lesiones o enfermedades con secuelas (amputaciones, quemaduras, frac turas, afectacion de organos vitales, perdida de capacidad laboral superior al 5% e inferior al 50%)

Pérdidas entre el 30 y 50% del Patrimonio Técnico

Las metas estratégicas no se cumplen en el tiempo estipulado, generando inestabilidad en el avance del Plan estrategico.

Afectac ión temporal de procesos, recursos, infraestructura o tecnología para continuar con la operac ión.

La interrupc ión del negocio dura entre en 5 y 10 dias

El hecho afecta la confianza y credibilidad de las patronales o agremiaciones

Perdida de informacion de asociados

Suspensión o cierre parcial de operaciones, actividades o remoc ión de administradores del negocio por decisión de los reguladores

Generado por una acción o inc idente que involucra a directivos y administradores.

3 Moderado

Ausenc ias, lesiones o enfermedades con incapacidad mayores a 30 días, pero sin secuelas.


Retraso o incumplimiento en algunas ac tividades que pueden conllevar a un retraso en el cumplimiento de las metas estratégicas

Afectac ión parcial de algunos procesos, recursos, infraestructura o tecnología para continuar con la operac ión.

La interrupc ión del negocio dura entre 2 y 4 dias

El hecho afecta la confianza y credibilidad de los asociados

Divulgacion de informacion de asociados

Suspensión, inhabilitac ión de administradores, oficial de cumplimiento y otros empleados por decisión de los reguladores

Generado por una acción o inc idente que involucra a asoc iados o empleados.

2 MenorIncapac idad o ausencia entre 4 y 30 días.


Afecta el cumplimiento de los objetivos de un proceso

Afectac ión de un proceso específico, recurso, infraestructura o tecnología para continuar con la operac ión.

La interrupc ión del negocio dura entre 1 y 2 dias

El hecho afecta la confianza y credibilidad de los empleados, la J unta Directiva o proveedores claves

Divulgacion de informacion no ofic ial

Amonestac ión por decisión de los reguladores

Generado por una acción o inc idente que involucra a proveedores.

1 InsignificanteIncapac idad o ausencia entre 1 y 3 días.

Pérdidas < al 10% del Patrimonio Técnico

Afecta el cumplimiento de una actividad sin afec tar losresultados de ningun proceso.

Afectac ión de un proceso específico, recurso, infraestructura o tecnología que no interrumpe la operación

La interrupc ión del negocio es menor a 1 dia

El hecho es de conocimiento interno y no afec ta la confianza y credibilidad en ningún grupo de interés.

Uso indecuado de informacion pública

Requerimiento por decisión de los reguladores

Generado por una acción o inc idente que involucra a empresas del mismo sector.

Una vez evaluados los riesgos de acuerdo con su probabilidad e impacto se construye la matriz de nivel de riesgos, con el objetivo de determinar la severidad de los riesgos identificados.

PROBABILIDAD

IMPACTONo

significativo (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

Casi Seguro (5) A A E E E

Probable (4) M A A E EPosible (3) B M A E ERaro (2) B B M A E

Improbable (1) B B M A A

Con el establecimiento de los niveles de riesgo dentro de un proceso, se procede a enumerarlos con el criterio de mayor a menor, con lo cual se dispondrá de una base para definir la prioridad de tratamiento.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 22 DE 28

6.5. EVALUACIÓN DEL RIESGO

El propósito de la evaluación de riesgos es facilitar la toma de decisiones, basada en los resultados de los análisis del riesgo inherente (propio de la actividad sin considerar los controles), para poder determinar cuáles riesgos necesitan tratamiento, así como su prioridad de implementación.

Las opciones como respuesta a la evaluación de los riesgos son las siguientes:

Evitar el riesgo: Se decide no proceder con la actividad que tiene la posibilidad de generar riesgo, esta circunstancia puede incrementar la importancia de otros riesgos. Mitigar el riesgo: Actividades y medidas tendientes a reducir la probabilidad y/o minimizar la severidad de su impacto. Se consigue mediante la optimización de los procedimientos y la implementación de controles (prevención, planificación). Transferir el riesgo: Actividades y medidas tendientes a transferir o compartir la responsabilidad por el manejo del riesgo (seguro, subcontratación controlada).

Aceptar el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso se acepta la pérdida residual probable y se elaboran planes de contingencia para su manejo.

Dependiendo del nivel de riesgo, el tratamiento a seguir se muestra en el siguiente gráfico o de la decisión que tome el responsable del proceso.

PROBABILIDAD

IMPACTONo

significativo (1)

Menor (2)

Moderado (3)

Mayor (4)

Catastrófico (5)

Casi Seguro (5)

Mitigar/ compartir/ transferir


Mitigar/ evitar/ compartir/ transferir



Probable (4) Aceptar/ Mitigar





Posible (3) Aceptar Aceptar/ Mitigar




Raro (2) Aceptar Aceptar Aceptar/ Mitigar




CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 23 DE 28

Improbable (1) Aceptar Aceptar Aceptar/

MitigarMitigar/ compartir/ transferir


SEVERIDAD ESTRATEGIA

BAJA (B)Aceptar el riesgo y conservar un monitoreo permanente sobre los mismos, pueden implementarse controles sencillos asegurando que no aumenten de nivel de severidad.

MODERADA (M)

Aceptar, mitigar el riesgo, mediante la aplicación de actividades básicas y/o controles sencillos que permitan disminuir el nivel de severidad del riesgo.

ALTA (A)Plan de Acción para mitigar, compartir o transferir el riesgo. Implementar una seria de acciones concernientes a la mitigación de este, dejando claro tiempos y formas, exige valoración permanente de los mitigantes.

EXTREMA (E)Acción inmediata para mitigar, evitar, compartir o transferir el riesgo. Informar a la gerencia la existencia del riesgo y los planes de acción para el tratamiento del mismo. Coordinación con el responsable del proceso de las valoraciones de las actividades pertinentes.

Resultados de la etapa de Evaluación de Riesgos.

Mapa de Riesgo Inherente. Respuesta de Tratamiento al Riesgo Inherente (Aceptar, Evitar, Transferir, Mitigar).

6.6. TRATAMIENTO DE RIESGOS

Se describen en la Columna ACTIVIDAD aquellas acciones que ayuden a minimizar la probabilidad de ocurrencia de la causa raíz o su impacto.

Se establece fecha de inicio, fecha de financiación, frecuencia del seguimiento y responsable de la acción.

El tratamiento de riesgos involucra la selección de una o más actividades de control para disminuir su impacto o la probabilidad y así establecer si el nivel de riesgo residual (después de controles), está en los niveles de aceptación por parte de COMUNA. Al seleccionar las actividades de tratamiento para los riesgos, se tiene en cuenta lo siguiente:

1. El efecto potencial que pueda tener sobre el riesgo y su alineación con la tolerancia al riesgo de COMUNA.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 24 DE 28

2. La segregación de funciones que permita que la respuesta adoptada logre la reducción del riesgo.

3. El análisis costo / beneficio de los posibles tratamientos.

Las actividades de tratamiento que se han optado por parte de COMUNA para reducir o compartir un riesgo, es lo que denominamos actividades de control.

6.6.1.Actividades de Control

Son las políticas y procedimientos establecidos por la dirección y el personal de COMUNA para mitigar los riesgos que inciden en el cumplimiento de los objetivos estratégicos y de los procesos de COMUNA. Las actividades de control se llevan a cabo en todos los niveles de la organización, en las diferentes etapas de los procesos, y en el entorno tecnológico. Según su naturaleza, pueden ser preventivos, detectivos o correctivos, e incluye actividades manuales y automatizadas, tales como, autorizaciones y aprobaciones, verificaciones, conciliaciones, y revisiones de calidad que deben estar integradas con una adecuada segregación de funciones.

La documentación de las medidas de tratamiento (actividades de control), tendrá en cuenta los atributos asociados al diseño y ejecución establecidos en el presente manual.

En cuanto al diseño del control, su redacción puede contener los siguientes elementos:

1. Quién lleva a cabo el control (responsable) 2. Frecuencia del Control (Cada cuanto se realiza) 3. Cómo se lleva a cabo el control (procedimiento) 4. Evidencia de la ejecución del control 5. Excepciones al control

Para mitigar los riesgos identificados en los procesos, hay causas que requieren documentar controles que pueden ser ejecutados por otras áreas o dependencias en razón a que un control puede mitigar una causa y un riesgo de un proceso, aunque éste no sea ejecutado por la misma área funcional.

6.6.1.1. Controles de mayor aplicación

Las categorías de control de mayor aplicación:

Controles de Gestión

Políticas claras aplicadasSeguimiento al plan estratégico y plan de acción Indicadores de gestión Seguimiento a cronograma de planes de trabajoEvaluación del desempeñoInformes de gestiónMonitoreo de riesgos

Controles Operativos ConciliacionesConsecutivos


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 25 DE 28

Verificación de firmasListas de chequeoRegistro controladoSegregación de funcionesNiveles de autoridad y responsabilidadCustodia apropiadaProcedimientos formales aplicadosPólizasSeguridad físicaContingencias y respaldoPersonal capacitadoAseguramiento y calidad

Controles legales Normas claras y aplicadasControl de términos

6.6.1.2. Evaluación del Diseño del Control:

Para realizar el análisis y valoración de los controles existentes según su nivel de mitigación debe cumplirse lo siguiente:

Naturaleza del Control:

- Automático: El control se ejecuta sin depender de ninguna acción humana.- Semiautomático: El control depende tanto de la intervención humana, como de la intervención de una máquina, sistema u otro.- Manual: El control depende en su totalidad de la intervención humana

Tipo de Control:

- Preventivo: Hace referencia a acciones que permiten mitigar el riesgo previo a su materialización.- Detectivo: Tipo de control que genera una alarma cuando se está materializando el riesgo y donde posteriormente se debe generar una medida correctiva.- Correctivo: Tipo de control que actúa después de la materialización del riesgo.

Característica del Control:

- Documentado y Divulgado: Durante la identificación de riesgos el control se encuentra documentado y divulgado a todos los empleados.- No documentado: Corresponde a un control que se encuentra en funcionamiento, pero no está documentado.

Cuenta con responsable: se define si el control tiene responsable

Frecuencia del Control:


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 26 DE 28

- Permanente: El control se realiza en todos los casos en los que se necesitan.- Ocasional: El control se aplica en algunas ocasiones

Esta calificación debe registrarse en el “matriz de riesgos”.Cada uno de los criterios anteriores tiene la siguiente ponderación:

Naturaleza TipoCaracterística Responsable Evidencia

20% 20% 20% 20% 20%

6.6.2.Implementación de Planes de Acción

Se establecen planes de acción con el objetivo de reducir el nivel de riesgo residual obtenido de los riesgos identificados en las etapas anteriores, bajo el siguiente criterio:

SEVERIDAD ESTRATEGIABAJA (B) Administrar mediante procedimientos de rutina.

MODERADA (M) Gestión del tratamiento por medio de las gerenciasALTA (A) Necesita atención del Gerente General, presentación

de los riesgos y plan de acción a los Comités de Riesgos, según corresponda

EXTREMA (E) Requiere acción inmediata, presentación de los riesgos y plan de acción al Consejo de Administración

En dichos planes se describen las acciones necesarias para el diseño e implementación de estos en un tiempo determinado.

Se da prioridad de implementación a los planes que reducen riesgos de nivel “Extrema” y “Alta”, así como planes que se generen de eventos materializados que hayan originado un impacto económico Mayor o Crítico.

En ese sentido, los responsables de los procesos informan al área de riesgos de la Información los planes de acción definidos, para su seguimiento. Los planes de acción consideran el nivel de riesgo, la complejidad del plan, recursos y otros factores determinados por el responsable. Así mismo, se podrán definir oportunidades de mejora destinados a mitigar riesgos con nivel residual Moderado

El seguimiento de la implementación de los planes de acción será realizado por el área de riesgos y el responsable del proceso.

Los planes de acción tienen como mínimo los siguientes elementos:

Proceso: Proceso en el que se identificó el riesgo asociado al plan de acción definido.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 27 DE 28

Riesgo asociado: Descripción del riesgo que se encuentra en un nivel no aceptable por COMUNA y para el cual se definieron planes de acción.

Descripción del plan de acción: Descripción general del plan de acción a implementar. Responsable: Responsable de la implementación del plan de acción. Fecha de inicio del plan: Es la fecha en la cual se estima iniciar la implementación del plan. Fecha fin del plan: Es la fecha en la cual se estima estarán diseñadas e implementadas

las medidas para mitigar los riesgos. Actividades: Son las actividades que sumadas dan el plan de acción. Estado del plan: Estado que se le da al plan de acción de acuerdo con su nivel de avance.

Estos pueden ser: En proceso o Terminado.

6.6.3.Resultados de la etapa de Tratamientos de Riesgos

a. Matriz de Riesgos. b. Planes de acción definidos para el fortalecimiento de los controles que mitigan los riesgos.

6.7. MONITOREO Y REVISIÓN

Los líderes deben realizar un constante monitoreo y seguimiento a los eventos ocurridos, para poder ajustar los mapas de riesgo a que haya lugar.

Este monitoreo y seguimiento se debe realizar mediante la implementación y ejecución de Indicadores de seguimiento, los cuales son índices construidos a partir de variables extraídas de los procesos, cuyo comportamiento está correlacionado con el nivel de riesgo, y que son medibles y comparables a través del tiempo. De tal manera que estos indicadores sirvan como enlace entre el riesgo y su mitigación/control, permitiendo explicar el nivel de exposición al riesgo en función del esfuerzo impuesto en su mitigación o control.

Anualmente en la revisión por parte de la dirección, los líderes de los procesos presentarán los resultados de la gestión de los riesgos a su cargo.

7. DOCUMENTACIÓN

COMUNA cuenta con un esquema documental para el Sistema de Administración del Riesgo Operativo, el cual se encuentra bajo los estándares de calidad para conservar la uniformidad de todos los documentos y garantizar la integridad, confiabilidad y disponibilidad de la información relacionada con SARO.

8. CAPACITACIÓN

COMUNA debe brindar la capacitación necesaria para desarrollar las competencias de los empleados en relación con la Administración del Riesgo Operativo, para así contar con personal competente e idóneo dentro de los objetivos corporativos y la cultura de autocontrol, lo cual constituye un requisito que COMUNA ha asumido como un parámetro de calidad para la prestación del servicio. Para tal efecto, la Gerencia General dispondrá los recursos necesarios con el fin de lograr este propósito.


CÓDIGO DE-IN-04

VERSIÓN 02

PÁGINA 28 DE 28

9. DIVULGACIÓN

a. Como parte integral de la capacitación y divulgación de la información, el Manual del Sistema de Administración de Riesgo Operativo debe ser socializado a todos los empleados de COMUNA.

b. Se debe garantizar que el mapa de riesgos de COMUNA sea de fácil acceso y de conocimiento de las instancias de administración.

c. Los líderes de los procesos deben realizar el seguimiento a los planes de acción, el avance de estos debe ser de conocimiento del nivel directivo de COMUNA. El monitoreo de los riesgos operativos debe realizarse al menos una vez al año y el resultado de este se debe presentar para aprobación a la Gerencia General.

d. Los cambios que se presenten durante las diferentes etapas del SARO con su respectiva justificación, y que hacen parte integral del monitoreo, deben ser presentados en su orden a: Gerencia General y Consejo de Administración.

e. El Mapa de Riesgo Operativo se debe actualizar cada vez que existan riesgos asociados a cambios de productos, servicios o programas tecnología o nuevos proyectos, para presentarlos a la Gerencia General y Consejo de Administración.

f. La copia del Mapa de Riesgo debe reposar en los servidores de COMUNA y debe encontrarse disponible para los órganos de control y vigilancia internos y externos cuando estos lo requieran.

10. REVELACIÓN CONTABLE

La cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención que afecten el estado de resultados, deben registrarse en cuentas de gastos del estado de resultados de COMUNA en el período en el que se materializó la pérdida.

Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados deben registrarse en cuentas de ingreso en el período en el que se materializó la recuperación.

11. NOTAS DE CAMBIOS

FECHA DESCRIPCIÓN VERSIÓN4 de marzo de 2020

Se modifica la metodología para ajustarla al Riesgo Operativo para dar cumplimiento a la circular 015 de 2015 que brinda instrucciones para el SIAR y tomando como referencia la NTC 5254 y la ISO 31000.

02

Manual del Sistema de... · Web viewAcción inmediata para mitigar, evitar, compartir o transferir...

Documents

Transcript of Manual del Sistema de... · Web viewAcción inmediata para mitigar, evitar, compartir o transferir...