SISTEMA INTEGRAL DE RIESGOS

Transcripción

1 S Julio 10, de 2012

2 INDICE I. Estructura Organizacional... 1 II. Funciones de Junta Directiva en materia de gestión de riesgos... 2 III. Funciones de la Administración en materia de gestión de riesgos IV. Comité de Riesgos... 2 V. Administración de Riesgos Función de Administración de Riesgos Sistemas de información gerencial... 3 VI. Etapas del proceso continuo para la evaluación de Riesgos Identificación: Medición Mitigación Control Monitoreo Divulgación... 4 VII. Definiciones y Conceptos principales... 4 VIII. Clasificación de los riesgos operativos... 6 IX. Divulgación del Sistema Integral de Riesgos... 7 X. Aprobación y Vigencia... 7 i

3 Sistema Integral de Riesgos Base Legal: Letra d) del Art. 35 de la Ley de Supervisión y Regulación del Sistema Financiero, establece como obligación de los directores, gerentes y demás funcionarios que ostenten cargos de dirección o de administración en los integrantes del sistema financiero, lo siguiente: d) La adopción y actualización de políticas y mecanismos para la gestión de riesgos, debiendo entre otras acciones, identificarlos, evaluarlos, mitigarlos y revelarlos acordes a las mejores prácticas internacionales. En dichas políticas se deberán incluir las medidas que se adoptarán para prevenir posibles incumplimientos a requerimientos regulatorios y las que adoptarán en el evento de que haya incurrido en ellos, debiendo definir en ambas situaciones los parámetros que orientarán la actuación y los responsables de implementarlas;. I. Estructura Organizacional CEDEVAL ha establecido una estructura organizacional que le permite una adecuada gestión integral del riesgo, con la debida segregación de funciones y niveles jerárquicos de áreas de soporte operativo, negocios y control que participan en el proceso, así como los niveles de dependencia, de conformidad con el perfil de riesgos, el tamaño y la naturaleza de sus operaciones. 1

4 II. Funciones de Junta Directiva en materia de gestión de riesgos. La Junta Directiva de CEDEVAL es la responsable de velar por una adecuada gestión integral de riesgos teniendo entre sus funciones, en materia de riesgos, las siguientes: 1. Tener conocimiento y comprender todos los riesgos inherentes a los negocios que desarrolla la institución, su evolución y sus efectos en los niveles patrimoniales; así como las metodologías para la gestión de los mismos; 2. Crear el Comité de Riesgos, designar a sus miembros y procurar su carácter de independencia; 3. Aprobar las estrategias, políticas y límites de exposición para la gestión integral de cada uno de los riesgos asumidos por la entidad y de las excepciones a las mismas, así como los planes de contingencias y revisar su vigencia al menos una vez al año; III. Funciones de la Administración en materia de gestión de riesgos. El Gerente General y los dos gerentes de áreas, quiénes son responsables del cumplimiento de las políticas emanadas para la gestión de los riesgos del negocio En materia de riesgos sus funciones son: 1. Establecer las condiciones necesarias a nivel de toda la organización para propiciar un ambiente adecuado que procure el desarrollo del proceso de la gestión integral de riesgos; 2. Conformar la Unidad Funcional delegada al Oficial de Cumplimiento y asegurar su carácter de independencia, así como dotarle los recursos necesarios para su funcionamiento 3. Establecer procedimientos que aseguren un adecuado flujo, calidad y oportunidad de la información, entre las Unidades de Negocio y la Unidad funcional de Riesgos, a fin de que ésta última desarrolle apropiadamente su función; 4. Gestionar mecanismos de divulgación de la cultura de gestión integral de riesgos, en todos los niveles de la estructura organizacional; y 5. Implementar planes de contingencia para los riesgos que enfrenta la entidad. IV. Comité de Riesgos El Comité de Riesgos está constituido por el Presidente, un miembro de la Junta Directiva y el Gerente General. Éste Comité es el responsable del seguimiento de la gestión integral de riesgos y velar por el cumplimiento de las políticas aprobadas. 2

5 V. Administración de Riesgos. 1. Función de Administración de Riesgos CEDEVAL, ha incorporado una función al Oficial de Cumplimiento, con el propósito de desarrollar la metodología de evaluación de Riesgos. Los principales riesgos que se gestionarán, de acuerdo a la estructura, tamaño, negocios y recursos, son los siguientes riesgos: Tipo de Riesgo Riesgo Operacional Riesgo Tecnológico. Riesgo de Contagio Subsidiaria Sistémico Reputacional Gobierno Corporativo Riesgo de Mercado Justificación Inherente a las operaciones Asociado a la finalidad o actividad principal Actividades de Subsidiaria Dependencia del mercado Imagen del mercado Inherente a toda organización Actividades de inversión de tesorería 2. Sistemas de información gerencial La entidad debe contar con información gerencial para la toma de decisiones y verificación del cumplimiento de control interno. El diseño y actualización de los reportes es responsabilidad de cada unidad organizativa. Los informes serán coordinados por el encargado de riesgos. VI. Etapas del proceso continuo para la evaluación de Riesgos 1. Identificación: Consiste en identificar los riesgos internos y externos que pueden afectar las diferentes actividades de cada uno de los procesos que se desarrollan en CEDEVAL. En esta etapa participan todos los funcionarios y empleados, liderados por el Gerente de Administración que desarrolla la función (Esta actividad ya se realizó) 2. Medición Los riesgos identificados deben ser evaluados considerando su probabilidad de ocurrencia y su impacto en caso de materializarse. 3

6 3. Mitigación El encargado de riesgos, debe analizar las incidencias o factores de riesgo y las respuestas para evitarlos, aceptarlos, reducirlos, o trasladarlos, alineándolos con la tolerancia al riesgo definida por la institución. En todo caso, la implementación de los mitigantes corresponde a cada una de las unidades operativas. 4. Control Consiste en evaluar cada uno de los controles o mitigantes establecidos determinando su efectividad así como la necesidad de mejora o establecimiento de nuevos controles. Se mide tomando en cuenta la eficiencia del control frente al costo y la fluidez de los procesos. 5. Monitoreo Actividad que se lleva a cabo a través de la verificación, evaluación y administración del sistema para una adecuada retroalimentación. De esta etapa se desprenden continuos ajustes al sistema para mejorarlo y en ello participa activamente el Comité de Riesgo y la Administración. 6. Divulgación Como consecuencia de un adecuado registro de los eventos, esta etapa permite comunicar en forma oportuna a cada funcionario en todos los niveles los riesgos identificados, la evaluación de los mismos, los riesgos inherentes, los controles y los propósitos para llevarlos a unos niveles mínimos que no afecten las operaciones de CEDEVAL. La unidad funcional presentará informes al Comité de Riesgos en forma periódica VII. Definiciones y Conceptos principales Se entenderán en el presente documento las siguientes definiciones y conceptos aplicables a los procesos de Compensación, Liquidación y Administración de Valores: a) Riesgos: posibles eventos de carácter aleatorio que afectan el cumplimiento de los objetivos de la empresa, los cuales pueden ser generados por factores internos y externos. b) Riesgos Operativos: posibilidad de obtener perdidas por fallas, deficiencias en recursos humanos, recurso tecnológico, procesos, infraestructura o por factores externos. Se incluye dentro del Riesgo operativo el Riesgo de Reputación y el Riesgo Legal. c) Riesgo de Reputación: es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, respecto de la institución y sus 4

7 prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. d) Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar por daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la ejecución de contratos o transacciones. 1. Factores de riesgo Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Dichos factores se deben clasificar en continuación: internos o externos, según se indica a a) Factores Externos: procesos o circunstancias que no pueden ser controladas por la empresa que afectan la operatividad de los procesos o los recursos de la empresa. b) Factores Internos: procesos o circunstancias que pueden ser controladas por la empresa que afectan la operatividad de los procesos o los recursos de la empresa. 2. Factores de Riesgos Internos 1) Recurso Humano Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad, lo cuales pueden estar contratados directamente por la empresa o brindar un servicio contratado por la misma con otra empresa. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo. 2) Procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. 3) Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. 5

8 4) Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 3. Factores de Riesgo Externos Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad. VIII. Clasificación de los riesgos operativos Los Riesgos Operativos se clasifican de la siguiente manera: 1) Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. Dentro de esta clasificación tenemos las siguientes tipologías: a) Clientes Fallas causadas por negligencia o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. b) Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad, ocasionadas por desastres naturales o actos de vandalismo. c) Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas, causadas por problemas de software o hardware, deficiencias en la comunicación y también por intencionalidad humana. d) Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y gestión de los procesos. 2) Fraude Externo Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. 6

9 IX. Divulgación del Sistema Integral de Riesgos Los Funcionarios y Empleados deberán manifestar por escrito que han recibido y leído copia del presente documento del Sistema Integral de Riesgos, y que se comprometen a realizar sus labores dando cumplimiento a lo allí establecido. El Gerente General será el responsable del cumplimiento de esta disposición, antes de que estas enteren en vigencia. X. Aprobación y Vigencia El presente documento de Sistema Integral de Riesgos entrará en vigencia 10 días después de la fecha de la sesión en que la Junta Directiva las aprueba. Aprobado en sesión de Junta Directiva de CEDEVAL No. JD-07/2012, celebrada el 10 de julio de 2012, con vigencia a partir del 20 de julio de