MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO

Transcripción

1 MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO Fecha de elaboración 30 de junio de 2018

2 Tabla de contenido 1. OBJETIVO 3 2. ALCANCE 3 3. DOCUMENTOS DE REFERENCIA 3 4. RESPONSABLES 3 5. DEFINICIONES 3 6. POLÍTICAS ADOPTADAS 6 7. METODOLOGÍA PARA LA IDENTIFICACIÓN, MEDICIÓN, CONTROL Y MONITOREO DE LOS RIESGOS OPERATIVOS Identificación y reporte a la oficina encargada de la administración de riesgos operativos Medición Control Análisis del riesgo 9 8. ESTRUCTURA ORGANIZACIONAL Comité de Auditoría y Riesgos Apoderado General de La CNCL Área de Riesgo Operativo Coordinación de Control Interno Responsabilidad General ESTRATEGIAS DE CAPACITACIÓN Y DIVULGACIÓN DEL SARO 12 2

3 1. OBJETIVO El objetivo del Manual del Sistema de Administración del Riesgo Operativo SARO es el de establecer las políticas, procedimientos y metodologías para identificar, analizar, evaluar y controlar los riesgos operativos implicados en los procesos de la Cuenta Nacional de la Carne y la Leche. 2. ALCANCE El presente manual contiene los elementos del Sistema de Administración de Riesgo Operativo de la CNCL, el cual inicia con la identificación y valoración de los riesgos en cada uno de los procesos, para luego establecer y monitorear los controles y el perfil de riesgo de la CNCL; así mismo el mantenimiento del sistema, la mitigación de los eventos. El presente manual aplica a todos los funcionarios en misión y a los contratistas de la Cuenta Nacional de la Carne y la Leche. 3. DOCUMENTOS DE REFERENCIA Circular Externa 100 de 1995 Matriz de Riesgos de la Cuenta Nacional de la Carne y la Leche 4. RESPONSABLES Apoderada General EF Cuenta Nacional de la Carne y la Leche Subdirecciones Coordinadores de Área y sus delegados Coordinación de calidad 5. DEFINICIONES Efectividad de Control: es la valoración del logro de los mecanismos de control establecidos. 3

4 Factores de riesgo: se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo. Son factores de riesgo: 1) el recurso humano, 2) los procesos, 3) la tecnología, 4) la infraestructura y, 5) los acontecimientos externos. Dichos factores se deben clasificar en internos o externos, según se indica a continuación: Internos : son eventos que se producen por fallas en los procesos internos de la CNCL y se pueden generar por: Recurso Humano: es el conjunto de personas vinculadas como trabajadores en misión o mediante contrato de prestación de servicios. Tecnología: es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. Infraestructura: es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. Externos : son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la Cuenta Nacional de Carne y Leche. Pérdidas: cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. Evento: incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. Eventos de pérdida: son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. Impacto: es el efecto que generaría a la Cuenta Nacional de Carne y Leche la materialización u ocurrencia de un riesgo. 4

5 Manual de Riesgo Operativo: es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. Matriz de Riesgos: es la presentación esquemática de los riesgos de la Cuenta Nacional de Carne y Leche, la cual incluye la relación de estos y la calificación de cada uno de ellos para obtener los valores de Riesgo Residual. MENDROS: marcación de Eventos no Deseados de Riesgo Operativo. Oficina de Riesgo Operativo: se entiende por Oficina de Riesgo Operativo el área o cargo, designada por el Apoderado General de la Cuenta Nacional de Carne y Leche, que debe coordinar la puesta en marcha y seguimiento del SARO. Plan de acción (PA): es una herramienta que organiza y prioriza las iniciativas más importantes para cumplir con ciertos objetivos y metas. De esta manera, un plan de acción se constituye como una especie de guía que brinda un marco o una estructura a la hora de llevar a cabo un proyecto. En el caso específico de Riesgos esta nos ayuda a realizar controles sobre Riesgos Materializados con el fin de mitigar su impacto y reducir su probabilidad. Probabilidad de Ocurrencia: es la posibilidad de que un riesgo se materialice en un hecho. Riesgo inherente: nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles que se tengan implementados. Riesgo Jurídico: es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas, regulaciones y/o obligaciones contractuales. Riesgo Operativo (RO): se define como riesgo operativo, aquellas pérdidas ocasionadas por fallas, inadecuaciones o deficiencias en los procesos, en las personas, la tecnología, la infraestructura o por eventos externos. Esta definición incluye el riesgo legal y reputacional, asociado a tales factores. Riesgo Reputacional: posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales 5

6 Riesgo: es todo evento que puede llegar a generar pérdidas para la entidad y es ocasionado por fallas, inadecuaciones o deficiencias en los procesos. Sistema de Administración de Riesgo Operativo (SARO): conjunto de elementos, tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo. 6. POLÍTICAS ADOPTADAS Debe establecer y mantener un sistema que permita identificar, registrar, medir, monitorear y controlar los riesgos operativos, asignando una oficina responsable de la administración y mantenimiento del sistema que verifique el cumplimiento de las normas internas y externas que se establezcan en esta materia. Los Riesgos Operativos serán registrados en una matriz de riesgos la cual es construida, modificada y actualizada con la información suministrada por los Coordinadores de Área con la participación de su equipo de trabajo. La actualización de esta matriz se hace semestralmente, no obstante, en el evento de detectarse riesgos con un nivel de impacto alto y severo, estos deben incluirse de forma inmediata e informar a las instancias correspondientes para su aprobación. La matriz de riesgos es un elemento de la administración que permite registrar, actualizar y proyectar las consecuencias de cada uno de los riesgos operativos para la CNCL. La modificación de lo Todos los eventos de Riesgo Operativo, (Mendros) Marcación de Eventos no Deseados de Riesgo Operativo, deben ser recopilados y comunicados de manera metódica y consistente en el Formato de Reportes semanalmente a las Fiduciarias Consorciadas de modo que sea posible realizar los análisis necesarios y poder tomar las medidas preventivas pertinentes, así como proceder a las posibles recuperaciones. 6

7 La CNCL debe dar cumplimiento estricto, cuenta con un Comité de Auditoría y Riesgos, estamento que fundamentalmente asesora y apoya en la toma de decisiones en esta materia. La calificación del riesgo permite a la Cuenta Nacional de Carne y Leche conocer el grado de control operativo a través de su análisis y el seguimiento de su evolución, y busca fundamentalmente los siguientes objetivos: identificar las causas que generan los riesgos; alertar ante el incremento del nivel de riesgo; medir la eficacia, eficiencia y efectividad de los controles y de las mejoras efectuadas a los mismos. Todos los eventos de riesgo sucedidos al interior de la Cuenta deben ser reportados a la oficina encargada de la gestión de riesgos, a través del canal autorizado internamente, que contendrá los puntos que se establecen en el presente manual. 7. METODOLOGÍA PARA LA IDENTIFICACIÓN, MEDICIÓN, CONTROL Y MONITOREO DE LOS RIESGOS OPERATIVOS En la administración de Riesgos Operativos se deben desarrollar las siguientes etapas: 7.1. Identificación y reporte a la oficina encargada de la administración de riesgos operativos Los Coordinadores de Área deben identificar y reportar los riesgos operativos que se detecten dentro de su área, a la oficina encargada de gestión de riesgos, información que se remite semestralmente según las fechas que determine el Apoderado General de la Cuenta Nacional de Carne y Leche, no obstante, en el evento de detectar un riesgo de impacto severo se debe reportar de forma inmediata. La información será enviada mediante memorando interno que contendrá los siguientes puntos: Que riesgos operativos identifica cada área, es decir lo que puede suceder o en qué consiste el riesgo. Cuáles son las fuentes generadoras del riesgo: factores internos y externos. Causas: por qué se puede presentar el evento. 7

8 Consecuencias, es decir los efectos de presentarse el evento. Probabilidad: medida de oportunidad de la ocurrencia de un evento. Para valorar la probabilidad se clasificaron las siguientes opciones: MUY ALTA : asociado al riesgo cuya Materialización es perentoria dentro del procedimiento. ALTA: asociado al riesgo que puede presentarse de manera habitual dentro del procedimiento. MODERADA sucede normalmente durante la rutina. BAJA se representa en algunas ocasiones. MUY BAJA : casi nunca sucede pero no se descarta que se presente. Impacto: Para valorar el impacto, se clasificaron las siguientes opciones: EXTREMO: asociado a la ocurrencia de un evento de riesgo que impacta la entidad comprometiendo su continuidad. ALTO: evento cuya consecuencia genera un costo alto. MODERADO : con consecuencias económicas contractuales sancionatorias. BAJO: con consecuencias económicas menores, re procesos, aumento en los tiempos de operación. MUY BAJO: con efectos que pueden ser mitigados con mecanismos fáciles de implementar. Controles: Qué controles se tienen para prevenir el riesgo, y si fuera el caso, enunciar los que en su opinión deben implementarse de manera adicional o sustitutiva, así como definir los responsables del control. De igual forma estos deberán contener los criterios para el adecuado diseño: responsable, periodicidad, que, para y evidenciado en. 8

9 7.2. Medición Los criterios para efectuar la medición de los riesgos será la siguiente: Probabilidad de ocurrencia: se utiliza un horizonte de tiempo de seis (6) meses. Para establecer la probabilidad de ocurrencia se debe tener en cuenta si se han presentado eventos de riesgo de manera permanente, esporádica o recurrente. Impacto: las unidades de medida para el impacto se clasifican teniendo en cuenta sus efectos económicos contractuales, legales y disciplinarios Control En esta etapa, se identifican las acciones que se deben implementar para mitigar el riesgo en forma efectiva. Las medidas de control definidas deben considerar el costo de su implementación frente al impacto esperado con base en la probabilidad de ocurrencia de cada riesgo. Se deben identificar los factores limitantes que puedan impedir el desarrollo de las acciones de mitigación. Igualmente se deben definir responsables Análisis del riesgo Este análisis debe permitir conocer la naturaleza y nivel de los riesgos a fin de establecer prioridades y opciones para el tratamiento. El nivel de riesgo se determina relacionando el impacto y la probabilidad de ocurrencia. Desarrollada la etapa de identificación, se procede a estimar la posibilidad de ocurrencia del riesgo inherente, frente a cada uno de los factores de riesgo, lo mismo que el impacto en caso de materializarse mediante los riesgos asociados. PROBABILIDAD VALOR IMPACTO VALOR MUY ALTA 5 EXTREMO 5 ALTA 4 ALTO 4 MODERADA 3 MODERADO 3 9

10 PROBABILIDAD VALOR IMPACTO VALOR BAJA 2 BAJO 2 MUY BAJA 1 MUY BAJO 1 8. ESTRUCTURA ORGANIZACIONAL Es evidente que todas las áreas de la CNCL están involucradas en la administración de riesgos operativos, debido a que ante la ocurrencia de eventos, éstos deben ser reportados a la oficina encargada de riesgos. La estructura organizacional que apoya al SARO será la siguiente: 8.1. Comité de Auditoría y Riesgos Está integrado por los Gerentes de Riesgos y los Directores de Control Interno de cada una de las Fiduciarias integrantes y de la CNCL, por la Apoderada General y la auditoría. Velar por el cumplimiento efectivo de las políticas establecidas por el Comité de Riesgos Apoderado General de La CNCL Velar por el cumplimiento efectivo de las políticas establecidas por el Comité de Riesgos al interior de la CNCL. Designar el cargo que actuará como responsable de la implementación y seguimiento del SARO. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad. Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad. 10

11 Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida. Aprobar el Manual de Riesgos Operativos SARO y sus actualizaciones anualmente Área de Riesgo Operativo Debe cumplir con las condiciones ya anotadas y con las siguientes funciones: Desarrollar e implementar el sistema de reportes internos del Riesgo Operativo de la Cuenta Nacional de Carne y Leche. Coordinar la recolección de la información para alimentar el registro de riesgo operativo. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de riesgo identificados y medidos. Divulgar y aplicar la cultura del riesgo emitida por Fiduagraria al interior de la Cuenta Nacional de Carne y Leche. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Cuenta Nacional de Carne y Leche. Definir los instrumentos, metodologías y procedimientos tendientes a que la CNCL administre efectivamente su riesgo operativo, en concordancia con los lineamientos, etapas y elementos mínimos previstos en la norma y por las indicaciones de Fiduagraria Coordinación de Control Interno A través de las auditorías internas realizar el seguimiento de los controles relacionados con el SARO. 11

12 A través de las auditorías internas realizar seguimiento a las medidas adoptadas para mitigar los riesgos, con el propósito de evaluar su efectividad Responsabilidad General Todas las áreas y dependencias de la Cuenta Nacional de Carne y leche son susceptibles de ser afectadas por la ocurrencia de eventos de riesgo, por lo tanto, los Coordinadores de Área son también responsables de adelantar la gestión de riesgos y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos sucesos para efecto de los controles y registros correspondientes, así como dar cumplimiento a los planes de acción. Les corresponde también fomentar la cultura de administración del riesgo dentro de su ámbito. 9. ESTRATEGIAS DE CAPACITACIÓN Y DIVULGACIÓN DEL SARO En concordancia con las políticas relativas a impulsar y fortalecer la cultura sobre la Administración del Riesgo Operativo, la Coordinación de Calidad divulga en su momento los parámetros y novedades provenientes de Fiduagraria. Elaborado por: Revisado por: Aprobado por: Lida Ariza Puentes Profesionales Gestión de Henry Martinez Longas Coordinación Administrativa Hilda Terán Calvache Gerente Francy Rocio Triana Méndez Subgerente Administrativa y Financiera 12