COMITÉ DE RIESGO OPERATIVO ASOCIACION DE FIDUCIARIAS

Transcripción

1 A S O C I A C I Ó N D E F I D U C I A R I A S MANUAL DE LA ADMINISTRACIÓN DEL RIESGO OPERATIVO PARA CONSORCIOS ( V e r s i ó n 2 ) COMITÉ DE RIESGO OPERATIVO ASOCIACION DE FIDUCIARIAS B O G O T À O C T U B R E D E

2 TABLA DE CONTENIDO 1. DEFINICIONES 2 2. POLÍTICAS GENERALES PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO EN CONSORCIOS 6 3. ESTRUCTURA ORGANIZACIONAL ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO REGISTRO DE EVENTOS DE RIESGO OPERATIVO CAPACITACIÓN DIVULGACIÓN ACTUALIZACIÓN E INFORMES

3 1. DEFINICIONES 1.1 Riesgo operativo (RO) Se define como riesgo operacional, aquellas pérdidas ocasionadas por fallas, inadecuaciones o deficiencias en los procesos, en las personas, la tecnología, la infraestructura o por eventos externos. Esta definición incluye el riesgo legal y reputacional, asociado a tales factores. 1.2 Riesgo Legal Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas, regulaciones y/o obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la normalización o ejecución de contratos o transacciones. 1.3 Riesgo Reputacional Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. 1.4 Perfil de Riesgo Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad. 1.5 Factores de Riesgo Se entiende por factores de Riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por Riesgo Operativo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o externos según se indica a continuación: 2

4 1.5.1 Internos Recurso Humano Es el conjunto de personas vinculadas directa e indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a cualquier servicio de outsourcing contratado por la Fiduciaria Procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de una organización Externos Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la entidad. 1.6 Pérdidas Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. 1.7 Evento Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. 3

5 1.8 Evento de Pérdida Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. Corresponden a la clasificación de riesgos operativos y se clasifican así: Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad Fraude Externo Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes Relaciones Laborales Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia Clientes Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos Daños a Activos Físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad Fallas Tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas Ejecución y Administración de Procesos Pérdidas derivadas de errores en la ejecución y administración de los procesos. 4

6 1.9 Sistema de Administración de Riesgo Operativo (SARO) Es el conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo Riesgo Inherente Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles Riesgo Residual Nivel resultante del riesgo después de aplicar los controles Plan de Continuidad del Negocio Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción Plan de Contingencia Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso Manual de Riesgo Operativo Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO Responsable del Riesgo Operativo Se entiende por Responsable del Riesgo Operativo el área o cargo(s) de la Unidad de Gestión designado(s) por las Fiduciarias pertenecientes al consorcio, que debe coordinar la puesta en marcha y seguimiento del SARO al interior del mismo Responsable Implementación del Modelo de Riesgo Operativo Se entiende por responsable de la implementación del modelo de riesgo operativo el área designada por la entidad fiduciaria que el Comité Directivo designe para estos fines (o por aquel que haga las veces de 5

7 éste de conformidad con lo que se establezca en los acuerdos consorciales en relación con relación a la instancia superior de decisión en el respectivo Consorcio). 2. POLÍTICAS GENERALES PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO EN CONSORCIOS En este capítulo del manual están agrupadas las directrices generales que podrán regir la actuación de los consorcios conformados por sociedades fiduciarias en el desarrollo de la correcta gestión y control del riesgo operativo (en adelante, (RO)). El presente manual aplica para aquellos consorcios en los cuales en su estructura se contemple una Unidad de Gestión. En aquellos casos en que el negocio se opere directamente en la(s) fiduciaria(s), aplicará el modelo de riesgos de cada entidad. El contenido del presente Manual será revisado, por el Comité de RO de LA ASOCIACIÓN DE FIDUCIARIAS, ante cambios en la normatividad vigente relacionada con la administración de riesgo operativo, o cuando se estime necesario.. En caso de presentarse algún cambio o modificación al mismo la Asociación de Fiduciarias deberá efectuar la respectiva divulgación a las entidades afiliadas. 2.1 POLÍTICAS DE ADOPCION DEL MANUAL Si la aplicación del Manual entrase en conflicto con la normativa vigente aplicable al tipo de negocio/contrato, el Gerente del Consorcio someterá el análisis al responsable de riesgo operativo de la entidad designada de la implementación del Modelo de Riesgo Operativo correspondiente a dicho consorcio, quien a su vez escalará el tema al Comité Directivo del Consorcio, instancia desde la cual se adoptarán las determinaciones a que haya lugar. El modelo de riesgo operativo a adoptar en cada Consorcio, será definido por el Comité Directivo (o por aquel que haga las veces de éste de conformidad con lo que se establezca en los acuerdos consorciales en relación con relación la instancia superior de decisión en el respectivo Consorcio). En el evento en que se modifique la entidad que ejerce la Representación o vocería del Consorcio, dicha instancia definirá si es procedente la modificación del modelo de riesgo operativo a seguir. El responsable del RO del consorcio, serán el encargado de verificar el cumplimiento de las políticas descritas en el presente Manual e informar al Comité de Riesgo y/o Operativo el resultado de tal verificación. Las Fiduciarias pertenecientes al Consorcio deberán designar al interior del consorcio la entidad responsable de la implementación y al funcionario de la unidad de gestión responsable del RO. Así mismo, las fiduciarias consorciadas efectuarán seguimiento al cumplimiento de las políticas de la gestión del RO en los consorcios de los cuales hagan parte, para lo cual podrán conformar un comité de riesgo operativo, el cual contará con su respectiva reglamentación (funciones, miembros, periodicidad, ayudas de memoria, secretario del comité, entre otros) o asignar tal función al comité que designen para tal fin. 6

8 2.2. POLÍTICAS DE CONTROL Las medidas mitigadoras, son un conjunto de actividades emprendidas para eliminar / reducir la exposición a riesgos operativos. Las medidas mitigadoras y/o controles pueden ser identificadas en el propio proceso de gestión del RO (a través del análisis de las Bases de Datos de Eventos, de los Indicadores y de los Cuestionarios de Autoevaluación, pero también pueden ser identificadas en procesos de control (recomendaciones de Auditoría, o entes de control). Cada Unidad de Gestión del Consorcio deberá establecer un sistema de medidas mitigadoras y/o controles para los riesgos que no tengan un grado de cobertura alineado con el perfil de riesgo del consorcio. Cada Unidad de Gestión del Consorcio deberá llevar un registro de las medidas mitigadoras y/o controles identificados en el que, al menos, se detallarán los siguientes aspectos: - Descripción precisa de las medidas Mitigadoras y controles, que permita el seguimiento y la valoración del estado de su implantación (Ej. estableciendo hitos con fechas intermedias). - Fecha estimada de implantación de cada medida. - Responsable de su implantación. - Objetivo a alcanzar con la implantación de cada medida mitigadora. El responsable de la implementación de riesgo operativo del consorcio deberá realizar seguimiento, cuando menos con la misma periodicidad que la fiduciaria designada como responsable de la implementación de RO, tenga establecida para sus propios procesos, del estado de implantación de las medidas mitigadoras y controles, verificando que se ejecutan en plazo y que se reduce la exposición al RO. Si durante la implantación de la medida mitigadora, el responsable del RO comprueba que no es eficaz, deberá solicitar al responsable del proceso y/o gerente del Consorcio, el estudio y decisión de una nueva medida mitigadora. Esta nueva acción se gestionará como ya se ha descrito. Una vez implantada una medida mitigadora se indicará en el registro en su registro el grado de eficacia alcanzado (con evidencia objetiva que demuestre la reducción del riesgo), así como su fecha definitiva de implantación. 2.3 POLÍTICAS DE PLAN DE CONTINUIDAD DE NEGOCIO El alcance del plan de continuidad del negocio y planes de contingencia será definido por las entidades consorciadas luego de adelantar los análisis de la criticidad de los procesos desarrollados y teniendo en cuenta las exigencias contractuales así como aquellos que consideren pertinentes para su 7

9 implementación. De igual forma deberá definirse el responsable de su diseño e implementación. Las Fiduciarias pertenecientes al Consorcio deberán designar al interior del mismo los responsables de la documentación, pruebas, implementación y mantenimiento del plan de continuidad y planes de contingencia. 2.4 POLÍTICAS DE MONITOREO DE RO Se deben establecer políticas de monitoreo a través del seguimiento de mecanismos tales como: el análisis de causas de eventos de RO, indicadores de RO, el seguimiento a la implementación de planes de acción, la evaluación de controles, los hallazgos en informes de entes de control Indicadores de RO Descripción Los Indicadores de RO permiten al Consorcio /Entidad conocer el grado de control operativo a través del análisis y seguimiento de su evolución. La utilización de indicadores en el Consorcio persigue fundamentalmente los siguientes objetivos: - Identificar las causas que generan los riesgos. - Identificar correlaciones con pérdidas operativas. - Avisar ante incrementos del nivel de riesgo. - Medir la eficacia de los controles y mejoras efectuadas en los mismos. La incorporación de los indicadores en el análisis cualitativo deberá aportar objetividad al análisis cualitativo del RO, permitiendo contrastar los resultados de los cuestionarios de autoevaluación. Si bien la periodicidad del proceso de obtención de valores para los indicadores es flexible (podrá variar dependiendo de la naturaleza de cada indicador), el período para su reporte, será definido por la entidad responsable de la implementación del RO, en función de las necesidades de información y de los recursos disponibles. Deberá existir un proceso continuo de revisión de los indicadores así como de los valores objetivos establecidos, con el propósito de mejorarlos y adaptarlos a las Políticas y controles, a los nuevos requerimientos del Consorcio y de los entes reguladores Registro de eventos de riesgo operativo (RERO). Las fiduciarias consorciadas establecerán los lineamientos respecto del reporte de los eventos materializados en las unidades de gestión a efectos de incorporarlos en el registro de eventos de cada Fiduciaria consorciada. Se sugiere tener en cuenta las siguientes consideraciones: Todos los eventos sucedidos al interior del consorcio deberán ser reportados en cuanto se tenga conocimiento de ellos, al responsable del RO a través del formato establecido por la responsable de la implementación del RO. 8

10 Estos eventos deberán ser recopilados y comunicados de manera metódica y consistente, de modo que sea posible realizar los análisis necesarios y poder tomar las acciones correctivas pertinentes, así como proceder a las posibles recuperaciones. La fecha máxima para el reporte de los eventos al Responsable de la implementación del RO será dentro de los primeros 5 días hábiles del mes siguiente al conocimiento del evento o de conformidad con las definiciones de la entidad responsable de la implementación del RO. La información sobre los eventos ser validada por la entidad responsable de la implementación del RO para asegurar que la unidad de gestión cumple con las exigencias regulatorias y políticas definidas en ésta materia. Cuando se presenten eventos tipo A, el responsable del RO deberá informarlos a la unidad de riesgo operativo de las sociedades fiduciarias consorciadas, en cuanto le son reportados. Los eventos Tipo A y aquellos considerados de alto impacto deberán ser informados al Comité Operativo o el órgano equivalente del consorcio y al Comité de Riesgo Operativo.o su equivalente. De otra parte, teniendo en cuenta lo establecido normativamente, los consorcios adoptarán para la elaboración de sus los estados financieros el PUC fiduciario establecido por la Superintendencia Financiera de Colombia, en especial lo definido en la Resolución 1865 de 2007 y aquellas que la modifiquen o adicionen. El registro de eventos contendrá los campos mínimos establecidos en el capítulo 23 de la Circular 100 de 1995 emitida por la Superintendencia Financiera de Colombia; no obstante, el responsable de la implementación del RO podrán incluir campos adicionales que estimen necesarios para la gestión del RO. 2.9 POLÍTICA DE ACEPTACIÓN DE RIESGOS El Comité Directivo del Consorcio debe definir los criterios para la toma de decisiones con respecto a la aceptación o mitigación de los riesgos operativos presentes en los procesos de las Unidades de Gestión. Los niveles de riesgo residual estarán acordes con la metodología establecida por la entidad fiduciaria responsable de la implementación del RO. A manera de ejemplo el Consorcio podrá establecer una definición de las instancias de aceptación de los niveles de riesgo residual así: 9

11 NIVEL DE RIESGO RESIDUAL INSTANCIA DE ACEPTACIÓN T OLERABLE Responsable del Negocio MODERADO Comité Operativo u Órgano Equivalente CRÍT ICO Comité de Presidentes 3. ESTRUCTURA ORGANIZACIONAL 3.1 ROLES Y RESPONSABILIDADES Responsable de la implementación del RO: Las funciones para el representante del consorcio dentro del SARO serán las siguientes, sin perjuicio de las funciones asignadas en otras disposiciones: Coordinar la implementación y sostenibilidad de la gestión y administración del RO al interior del consorcio, de acuerdo con las metodologías establecidas en la entidad fiduciaria. Recibir información sobre el estado de implantación de las Medidas Mitigadoras y/o Controles establecidas en el consorcio para poder analizar la consistencia del modelo, pudiendo sugerir el establecimiento de nuevas Medidas Mitigadoras y Controles, o la eliminación de Medidas Mitigadoras y/o Controles existentes, si así fuera necesario. Asegurar el establecimiento del sistema de Medidas Mitigadoras y/o Controles y coordinar con el Responsable del RO la gestión del RO Responsable del Negocio Los responsables del negocio o consorcio (gerente, director o quien tenga las funciones de coordinación) tendrán las siguientes funciones dentro del SARO, sin perjuicio de las funciones asignadas en otras disposiciones: Identificar y proponer Medidas Mitigadoras y/o Controles asociadas a todos los riesgos que no tengan un grado de cobertura óptimo. Para realizar este ejercicio, tendrá en cuenta el análisis coste / beneficio, así como el perfil de riesgo asumido por el Consorcio. Tomar decisiones y emprender acciones oportunas con respecto a los riesgos identificados mediante la Autoevaluación de Riesgo Operacional y la recolección de los eventos que se presenten en las funciones a su cargo. 10

12 Realizar seguimiento del grado de implantación de las Medidas Mitigadoras y/o Controles (tanto las definidas en análisis internos, como aquellas recomendaciones generadas en análisis externos), asegurando la implantación de las mismas en plazo. Revisar periódicamente el sistema de Medidas Mitigadoras y/o Controles para alertar sobre la necesidad de definir nuevas Medidas Mitigadoras y Controles. Informar al Comité Operativo del Consorcio o al órgano equivalente sobre cualquier incidencia o retraso que afecte la implantación de Medidas Mitigadoras y Controles. Informar periódicamente (al menos trimestralmente) alcomité Operativo (o al órgano equivalente) y al Comité de Riesgo Operativo (o instancia responsable del Consorcio para efectos del seguimiento al cumplimiento de las políticas de la gestión del RO),, sobre el estado de implantación de las Medidas Mitigadoras y Controles Fomentar la cultura de administración de riesgo operativo en la Unidad de Gestión así como prevenir y resolver los conflictos de intereses en el reporte de eventos Responsable del RO (en la Unidad de Gestión) El funcionario responsable del RO, dentro de la unidad de gestión del consorcio sin perjuicio de las funciones asignadas en otras disposiciones, deben cumplir las siguientes: Elaborar y presentar los Informes definidos en este manual a las instancias correspondientes establecidas en los Consorcios. Elevar el resultado de este análisis al Comité Operativo u órgano equivalente. Revisar periódicamente el sistema de indicadores que establezca la Unidad de Gestión, para alertar sobre cambios que puedan ser reveladores de situaciones que exponga a las entidades consorciadas en materia de RO. Administrar la base de datos de eventos de RO, aplicando criterios de homogeneidad en cuanto a las variables que el formato de reporte contenga. Implementar y divulgar los procedimientos y metodologías para el reporte de eventos Revisar y proponer cuando se estime conveniente, la actualización de los procedimientos de reporte de eventos, al responsable de la implementación del RO. Realizar la conciliación entre los eventos reportados y la Contabilidad 4. ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO Para iniciar con las etapas del SARO es necesario tener identificados, y en lo posible documentados, todos los procesos desarrollados en la unidad de gestión del 11

13 consorcio, teniendo en cuenta que la identificación de los riesgos se realiza con base en dichos procesos. La metodología de Autoevaluación de Riesgo Operativo (ARO) es la que será utilizada para identificar, medir, controlar y monitorear los riesgos operativos del consorcio asociados a cada uno de los procesos con el fin de: apoyar la toma de decisiones, minimizar las pérdidas por riesgo operacional, identificar oportunidades de mejora e impulsar el mejoramiento continuo. El desarrollo de esta metodología podrá llevarse a cabo a través de: talleres de expertos, lluvia de ideas, datos históricos, etc. de acuerdo con la particularidad de cada consorcio. Para la implementación de cada una de las etapas y elementos de RO se adoptará la metodología y procedimientos establecidos por la entidad responsable de la implementación del RO según se haya designado. No obstante lo anterior, en todo caso se deben considerar los siguientes aspectos: 4.1 ETAPA DE IDENTIFICACIÓN Dentro de la etapa de identificación es necesario tener en cuenta como mínimo los siguientes aspectos: Conocer la totalidad de los procesos al interior del consorcio. Identificar los riesgos operativos potenciales y ocurridos en la totalidad de los procesos. Identificar los factores internos y externos que pueden originar los riesgos operativos identificados. La etapa de identificación debe ser realizada previa a: modificaciones de los procesos o cambios estructurales en la Unidad de Gestión del Consorcio, Para la identificación de los riesgos es necesario documentar la siguiente información: Proceso Riesgo Clasificación del riesgo Causa Factor de Riesgo Nombre del proceso a evaluar. Descripción breve del riesgo identificado y su impacto (consecuencia) Con base en el identificado se debe asociar el mismo de acuerdo con las siguientes categorías: Fraude interno, fraude externo, relaciones laborales, clientes, daños a los activos físicos, fallas tecnológicas, ejecución y administración de procesos. Descripción de la falla que da origen al evento de riesgo. Con base en la causa identificada se debe relacionar con los siguientes factores: Recurso humano, procesos, tecnología, infraestructura y factores externos. 12

14 4.2 ETAPA DE MEDICIÓN Dentro de la etapa de medición se establece la probabilidad o posibilidad de ocurrencia y el impacto de los riesgos identificados, para ello se requiere definir unos criterios de calificación, los cuales pueden ser cualitativos o cuantitativos. Dentro de la metodología utilizada el impacto hace referencia a la valoración de la consecuencia de los riesgos operativos. Esta consecuencia puede ser de tipo financiero o reputacional. IMPACTO CUALITATIVO CUANTITATIVO Muy alto Alto Moderado Bajo Muy bajo IMPACTO Implicaciones legales graves Interrupcion total de las operaciones Intervencion de los entes de control Pérdida de información que no se puede recuperar Afectación de imagen a nivel nacional Gran volumen de reclamos por parte de los clientes Sanciones por incumplimiento de normas establecidas Fuga de información confidencial que no se puede recuperar fácilmente Alto numero de reclamos Reprocesos de gran impacto Glosas o comentarios de los entes de control Retraso en la ejecución operaciones Volúmen importante de quejas y reclamos Reprocesos de impacto moderado Procesos legales fácilmente solucionables Volumen moderado de reclamos Reprocesos simples No afecta relaciones con los clientes No tiene implicaciones legales No hay interrupción de operaciones No hay reclamos de los clientes Pérdidas superiores al 0,03% o mas de los recursos administrados ( Para cada Consorcio) Pérdidas que afecten entre el 0,02% y 0,029% de los recursos administrados ( Para cada Consorcio) Pérdidas entre 0,01% y 0,019% de los Recursos Administrados ( Para cada Consorcio) Pérdidas entre 0,005% y 0,099% de los Recursos Administrados ( Para cada Consorcio) Pérdidas entre 0,001% y 0,049% de los Recursos Administrados ( Para Cada Consorcio) A manera de ejemplo se pueden considerar las siguientes escalas para determinar el nivel de impacto: Dentro de la metodología utilizada la frecuencia hace referencia al número de veces que se puede repetir un evento de riesgo en un año, de acuerdo con dicho número de veces se establece una probabilidad aproximada de ocurrencia del riesgo de acuerdo con la frecuencia establecida en la autoevaluación, para lo cual pueden adoptarse niveles tales como los que se relacionan en la siguiente tabla: FRECUENCIA Muy alta 5 Podria ocurrir mas del 30% de las veces Podria ocurrir una vez a la semana Alta 4 Podria ocurrir entre el 21% y 30% de las veces Podria ocurrir una vez al mes Moderada 3 Podria ocurrir entre el 13% y el 20% de las veces Podria ocurrir una vez al semestre Baja 2 Podria ocurrir entre el 6% y el 12% de las veces Podria ocurrir una vez al año Muy baja 1 Podria ocurrir menos del 5% de las veces Podria ocurrir una vez cada 5 años 13

15 Luego de calificar el impacto y la frecuencia potencial de los riesgos identificados, se procede, para cada uno de los riesgos a definir su nivel de riesgo inherente el cual resultará de la conjugación del nivel de impacto y frecuencia evaluados, resultados que se reflejarán en un mapa de riesgos, cuya diagramación se efectuará en el esquema que establezca la entidad responsable de la implementación del modelo de riesgo operativo en el Consorcio. A manera de ejemplo, se presenta la siguiente matriz en donde cada uno de los cuadrantes representan un nivel de exposición de riesgo inherente Se recomienda que el área responsable de la gestión de riesgo operativo haga una revisión anual de las escalas de calificación en cuanto a frecuencia e impacto con el fin de ajustar el modelo, estos ajustes se pueden elaborar mediante pruebas de backtesting y/o strestesting. Mapa de Riesgos Inherentes Muy alta Alta Critico 4.3 Probabilidad de ocurrencia Moderada Moderado Baja Tolerable Muy baja Inferior Menor Importante Impacto Mayor Superior ETAPA DE CONTROL La etapa de control consiste en establecer medidas tendientes a mitigar los riesgos identificados con base en las causas que originan dichos riesgos. Los controles deberán ser evaluados con base en la reducción que éstos ejercen sobre el impacto y/o frecuencia de ocurrencia del riesgo inherente. Para la evaluación de los controles es necesario documentar la información para cada uno de estos: siguiente Descripción del control Responsable del control Breve descripción de la actividad de control ejercida sobre el riesgo. Cargo responsable de ejercer el control sobre el riesgo. 14

16 Naturaleza del control Tipo de control Documentado Periodicidad Efectividad Manual, automático o semiautomático. Preventivo, detectivo y correctivo Donde se encuentra documentado el control Frecuencia con la cual se aplica el control. Califica la utilización o ejecución del control. En todo caso, los criterios de evaluación de cada control, corresponderán a los que establezca la entidad responsable de la implementación del modelo de riesgo operativo en el Consorcio. Con base en la documentación anterior se establece si el control tiene un diseño adecuado, es decir si las variables anteriormente descritas son los suficientemente robustas para determinar si éste mitiga de manera adecuada el riesgo. Adicionalmente a lo anterior es necesario documentar la siguiente información: Con base en la calificación dada al control individual tanto en el diseño como en la efectividad, se determina la solidez de cada control para mitigar los riesgos inherentes identificados. Es posible que para un riesgo identificado se disponga de varios controles que intenten mitigarlo, caso en el cual se unificarán para determinar una calificación final por grupo de controles. Esta calificación puede ser fuerte, moderada o débil la cual establecerá la disminución del riesgo inherente por el efecto de los controles. A manera de ejemplo en la siguiente gráfica se muestra el nivel de riesgo residual por el efecto de la aplicación de los controles: NIVEL DE RIESGO INHERENTE TOLERABLE MODERADO CRÍTICO S O L I D E Z DÉBIL TOLERABLE MODERADO CRITICO D E C O N T R O L E S SIGNIFICATIVO TOLERABLE TOLERABLE FUERTE TOLERABLE TOLERABLE MODERADO MODERADO 4.4 ETAPA DE MONITOREO 15

17 Esta etapa consiste en el seguimiento del sistema en general el cual deberá como mínimo cumplir con los siguientes requisitos: Hacer un seguimiento efectivo que permita corregir las deficiencias del SARO, el cual debe realizarse con una periodicidad mínimo semestral. Hacer seguimiento a las escalas de calificación en cuanto a frecuencia e impacto con el fin de ajustar el modelo, estos ajustes se pueden elaborar mediante pruebas de backtesting y/o strestesting. El cual debe realizarse con una periodicidad mínimo anual. Establecer indicadores descriptivos o prospectivos que evidencien la ocurrencia de eventos de riesgo operativo. Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente. Verificar que los niveles de riesgo residual resultado de las etapas anteriores se encuentren dentro de los niveles de aceptación establecidos por el consorcio. Para dar cumplimiento a lo anterior el consorcio deberá elaborar un informe mínimo semestral el cual,el cual será presentado al Comité de Riesgo Operativo, o aquel que haga sus veces.. 5. REGISTRO DE EVENTOS DE RIESGO OPERATIVO El consorcio debe constituir y mantener actualizada una base de datos con el registro de eventos de riesgo operativo cuya materialización se detecte en desarrollo de los procesos que ejecuta la Unidad de Gestión, los cuales deben estar clasificados de la siguiente forma: A) Eventos que generan pérdida y afectan el estado de resultados B) Eventos que generan pérdidas y no afectan el estado de resultados C) Eventos que no generan pérdidas y no afectan el estado de resultados. Para lo anterior cualquier funcionario perteneciente a la Unidad de Gestión del Consorcio debe reportar al responsable de RO todos los eventos de riesgo operativo de los cuales tenga conocimiento.. Dicho reporte debe contener como mínimo los siguientes campos: Nombre del Campo Referencia Fecha de inicio del evento Fecha de finalización del evento Fecha del descubrimiento Fecha de contabilización Descripción Código interno que relacione el evento en forma secuencial. Fecha en que se inicia el evento. Día, mes, año, hora. Fecha en que finaliza el evento. Día, mes, año, hora. Fecha en que se descubre el evento. Día, mes, año, hora. Fecha en que se registra contablemente la pérdida 16

18 Divisa Cuantía Cuantía total recuperada Cuantía recuperada por seguros Clase de riesgo operativo Producto/servicio afectado Cuentas PUC afectadas Proceso Tipo de pérdida Descripción del evento Líneas operativas por el evento. Día, mes, año, hora. Moneda extranjera en la que se materializa el evento. El monto de dinero (moneda legal) a que asciende la pérdida, definida de acuerdo con el numeral 2.4. de la presente Circular. El monto de dinero recuperado por acción directa de la entidad. Incluye las cuantías recuperadas por seguros. Corresponde al monto de dinero recuperado por el cubrimiento a través de un seguro. Especifica la clase de riesgo, según la clasificación adoptada en el numeral de la presente Circular. Identifica el producto o servicio afectado. Identifica las cuentas del Plan Único de Cuentas (PUC) afectadas. Identifica el proceso afectado. Identifica el tipo de pérdida, de acuerdo con la clasificación descrita en el presente Manual. Descripción detallada del evento: -Canal de servicio o atención al cliente (cuando aplica) - Zona geográfica Identificación según clasificación adoptada por la SFC. 5.1 ESTABLECIMIENTO DE PROCEDIMIENTOS Y METODOLOGÍA DE CAPTURA DE EVENTOS. Los Responsables de RO deberán desarrollar e implementar un procedimiento para la captura de eventos. Este procedimiento, deberá desarrollar, al menos, los siguientes aspectos: Definición del flujo de reporte de los eventos entre las áreas del consorcio y la Unidad de RO. Recepción de los eventos y análisis de los mismos por parte del Responsable de RO (considerando la posibilidad de devolución de los eventos para su correcto y completo cumplimiento en caso de que no estén debidamente documentados o que la información contenida sea errónea). Establecimiento de un control que asegure que todos los eventos reportados han sido registrados en la base de datos de RERO.. La conciliación contable del eventos tipo A de RO con las Bases de Datos de Eventos de RO, es una medida de control para asegurar que todos los eventos de RO contabilizados en las cuentas del consorcio estén identificados y medidos, y estos, a su vez, registrados en la base de datos de RERO. Todos los eventos serán reportados desde las Unidades de Gestión mediante archivo en Excel o la herramienta disponible para ello. 17

19 6. CAPACITACIÓN El responsable de RO dentro del consorcio deberá tener en cuenta como mínimo los siguientes parámetros para diseñar, programar y coordinar los planes de capacitación sobre el SARO: Diseñar, programar y coordinar planes de capacitación anuales sobre el SARO dirigidos a todos los funcionarios del consorcio o Unión Temporal con Unidad de gestión propia y evaluar los resultados obtenidos de dicha capacitación con los respectivos soportes de asistencia. Todos los funcionarios nuevos (funcionarios vinculados directamente con el consorcio o unidad temporal o aquellos con los que se tenga relación contractual y efectúen funciones en el consorcio o unión temporal), en el momento de su ingreso recibirán inducción por el responsable de RO, con el fin de que se familiaricen con el tema y apliquen los conceptos en el desarrollo normal de sus funciones Presentar los planes de capacitación para aprobación del comité de riesgo operativo o el órgano equivalente, cuando se estime necesario. 7. DIVULGACIÓN ACTUALIZACIÓN E INFORMES La divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera. El responsable del RO debe diseñar un sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos. 7.1 DIVULGACIÓN INTERNA DE INFORMACIÓN Como resultado del monitoreo el responsable del RO debe elaborar reportes semestrales que permitan establecer, el perfil de riesgo residual del consorcio. Los representantes del consorcio, en su informe de gestión, al cierre de cada ejercicio contable, deben incluir una indicación sobre la gestión adelantada en materia de administración del riesgo operativo. 7.2 DIVULGACIÓN EXTERNA DE INFORMACIÓN En concordancia con el artículo 97 del Estatuto Orgánico del Sistema Financiero (EOSF) y demás disposiciones legales vigentes sobre la materia, los consorcios deberán suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de gestión del riesgo operativo adoptadas por los mismos. 18

20 7.3 REVELACIÓN CONTABLE Las pérdidas ocasionadas por eventos de riesgo operativo que afecten el estado de resultados, deben registrarse en cuentas de gastos definidas para SARO en el PUC Financiero, en el período en el que se materializó la pérdida. Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados deben registrarse en cuentas de ingreso definidas para SARO en el PUC Financiero, en el período en el que se materializó la recuperación. 19