POLÍTICA DE GESTIÓN DE RIESGOS

Transcripción

1 1. OBJETIVO Reglamentar los lineamientos generales del Sistema de Gestión Integral de Riesgos de Sodimac Colombia S.A. para la identificación, valoración, tratamiento, monitoreo, comunicación y divulgación de los riesgos a los que se pueda ver expuesta la Compañía en el desarrollo de sus actividades para el cumplimiento de los objetivos estratégicos. 2. ALCANCE Este documento hace parte del Sistema de Gestión Integral de Riesgos, que se complementa con los procedimientos asociados que se desarrollen. La Política de Gestión de Riesgos es de aplicación en todas las áreas de Sodimac Colombia S.A. A continuación se listan los documentos relacionados con esta política: Manual de Cumplimiento del Sistema de Prevención de Lavado de Activos y Financiación del Terrorismo. Manual de Cumplimiento del Programa de Ética Empresarial para los Riesgos de Corrupción, Soborno Nacional y Transnacional. Política de Seguridad de la Información Política de Protección de Datos Personales Demás procedimientos que requieran un análisis de riesgos. 3. GLOSARIO Apetito de Riesgo (Tolerancia al Riesgo): Es el nivel de riesgo que la Compañía está dispuesta a tolerar para que no afecte el desarrollo de los objetivos estratégicos. Colaborador: Toda persona con contrato laboral directo con Sodimac o trabajador en misión. Control: Medida que se toma para modificar la exposición al riesgo, bien sea para disminuir la probabilidad de ocurrencia del evento o para disminuir su impacto. Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Gestión Integral de Riesgos: Es el proceso de identificación, valoración y control de los riesgos que amenazan el logro de los objetivos estratégicos de la Compañía. Identificación de riesgos: Es el proceso de encontrar, reconocer y definir los escenarios de riesgo, sus causas y sus potenciales consecuencias. Código Documento: PO-GRI-001 Versión <1.0> Página 1 de 5

2 Impacto: Resultado o consecuencia esperada o cierta de la materialización de un escenario de riesgos. El impacto puede ser medido en financiero, reputacional, ambiental o personas. Magnitud: Es el nivel del riesgo expresado en términos de la combinación del impacto y la probabilidad. Probabilidad: Posibilidad de que se materialice el escenario de riesgo. Proceso: Grupo de actividades relacionadas de manera lógica que, cuando se llevan a cabo, utilizan los recursos de la Compañía para lograr resultados definitivos o transformar elementos de entrada, a través de una serie de actividades, en un producto o servicio. Responsable del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar el riesgo a través de la implementación de los planes de mitigación. Riesgo: Eventos, acciones u omisiones que puedan impedir a Sodimac Colombia S.A., lograr sus objetivos y ejecutar sus estrategias con éxito. Seguridad de la Información: Conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma. Tratamiento del riesgo (Plan de Mitigación): Selección y aplicación de medidas, con el fin de poder modificar la magnitud del riesgo, para evitar de este modo los daños intrínsecos de materializarse. 4. DESARROLLO DEL CONTENIDO Sodimac Colombia S.A. define como nivel de tolerancia al riesgo (apetito de riesgo) todos aquellos que, de acuerdo a la valoración que realice el Equipo de Gerencia, avalado por la Junta Directiva, no queden clasificados como riesgos Extremos y Altos. Los riesgos catalogados como Moderados y Bajos son considerados de menor impacto para la Compañía. La valoración de los riesgos resulta de la aplicación de la Matriz de Impacto, la cual considera los impactos económicos (EBITDA), del recurso humano, ambientales y reputacionales de dichos riesgos. Para esto, se desarrolla el Sistema de Gestión Integral de Riesgos como proceso para identificar y administrar los escenarios de riesgos que pueden afectar el logro de la estrategia, la ejecución de proyectos y los procesos en general. El ciclo de la Gestión Integral de Riesgos comprende la identificación, valoración, tratamiento, monitoreo, comunicación y divulgación de los riesgos. Para que el funcionamiento del Sistema de Gestión Integral de Riesgos sea adecuado debe: Código Documento: PO-GRI-001 Versión <1.0> Página 2 de 5

3 Establecer la Gestión Integral de Riesgos como uno de los fundamentos para la toma de decisiones y desarrollo de todas las actividades empresariales. Identificar los riesgos relevantes para la Compañía, teniendo en cuenta su posible incidencia sobre los objetivos estratégicos, el gobierno corporativo, la sostenibilidad y continuidad del negocio. Garantizar la independencia del área encargada de administrar el Sistema de Gestión Integral de Riesgos, de las áreas de negocio que generan y gestionan los riesgos. Ser objeto de revisiones periódicas por parte del Comité de Auditoría y Riesgos de la Junta, la Alta Gerencia y auditorías internas, que permitan dar cuenta del grado de madurez del sistema, el cual se mide a través de: (i) cumplimiento de los requerimientos normativos y regulatorios, (ii) la interiorización de la gestión integral de riesgos y (iii) la capacidad de identificación de oportunidades de mejoramiento. Asignar funciones y responsabilidades a los Altos Directivos y a los Colaboradores, orientadas a gestionar los riesgos identificados. Para el monitoreo del Sistema, es creado el Comité de Riesgos cuyo objetivo principal es Apoyar a la Gerencia en la administración de riesgos, la definición de planes de mitigación y el seguimiento de su implementación, con el fin de fortalecer el Control Interno de la Compañía. A continuación se listan las responsabilidades y responsables de la política en mención: Junta Directiva - Comité de Auditoría y Riesgos de la Junta. Aprobar el nivel de tolerancia al riesgo (apetito de riesgo) que Sodimac Colombia S.A. está dispuesto a asumir. Aprobar la Matriz Anual de Riesgos de la Compañía. Hacer seguimiento y pronunciarse sobre la evaluación periódica del Sistema de Gestión Integral de Riesgos que realicen las áreas de monitoreo. Recibir, evaluar y tomar acciones correctivas de acuerdo con los informes presentados por la Gerente de Riesgos y Cumplimiento y la Auditoría Interna. Equipo de Gerencia. Proponer el nivel de tolerancia al riesgo (apetito de riesgo) para aprobación de la Junta Directiva. Realizar la valoración de los escenarios de riesgos propuestos anualmente por la Gerente de Riesgos y Cumplimiento. Aprobar los criterios relativos a la calificación de los riesgos (probabilidad de ocurrencia e impacto). Código Documento: PO-GRI-001 Versión <1.0> Página 3 de 5

4 Identificar, hacer seguimiento y retroalimentar las brechas de los riesgos corporativos. Proveer los recursos necesarios para implementar y mantener en funcionamiento la Gestión Integral de Riesgos. Hacer seguimiento al Sistema de Gestión Integral de Riesgos. Generar una cultura de mitigación de riesgos en la Compañía. Gerente de Riesgos y Cumplimiento. Proponer la metodología y diseñar los mecanismos para la Gestión Integral de Riesgos. Establecer los criterios relativos a la calificación de los riesgos (probabilidad de ocurrencia e impacto). Acompañar a la Compañía y asegurar la adopción en las buenas prácticas de Gestión Integral de Riesgos. Mantener actualizado el Mapa de Riesgos identificando nuevos escenarios o monitoreando la evolución de los existentes desarrollando la Matriz de Riesgos anual para la Compañía. Promover la ejecución consistente de los Planes de Mitigación a cargo cada uno de los responsables del riesgo. Promover espacios para la revisión del Mapa de Riesgos a través del monitoreo anual de la Matriz de Riesgos con el Equipo de Gerencia. Aplicar la metodología de Gestión Integral de Riesgos para el mejoramiento de los procesos. Alertar al Equipo de Gerencia acerca de riesgos materializados. Adelantar investigaciones de procedimientos por solicitud de la Alta Gerencia y en casos de Lavado de Activos y Anticorrupción de ser necesario. Entrega anual de la Matriz de Riesgos a la Auditoría Interna para el desarrollo de su planeación de trabajo. Gerentes de Área (Responsables del Riesgo). Alertar sobre posibles riesgos o incidentes que puedan afectar el normal desarrollo del trabajo o afectar la continuidad del negocio. Establecer y ejecutar los planes de mitigación de acuerdo a los lineamientos y protocolos definidos para la Gestión Integral de Riesgos. Facilitar y promover el desarrollo de iniciativas sobre seguridad de la información. Facilitar y promover el desarrollo de iniciativas que garanticen la gestión adecuada para el tratamiento de datos personales al interior de la Compañía. Apoyar los objetivos y estrategias de la gestión de riesgos y seguridad de la información para Sodimac Colombia S.A., incluida la gestión de datos personales. Código Documento: PO-GRI-001 Versión <1.0> Página 4 de 5

5 Comité de Riesgos. Realizar mensualmente los comités de Riesgos. Realizar seguimiento a la definición y ejecución de los planes de mitigación definidos por los responsables del riesgo. Monitoreo a los riesgos asociados con el cumplimiento de ley. Seguimiento formal de los temas de Seguridad de la Información que por su relevancia deban ser elevados a la Alta Gerencia (Incidentes, análisis de eventos, seguimiento a la gestión, datos personales, entre otros). Otros temas por demanda de la Compañía. Auditoría Interna. Evaluar el diseño y la eficacia operativa de los controles establecidos para mitigar los riesgos. Revisar la eficacia de las autoevaluaciones de gestión de riesgos. 5. HISTORIAL DE REVISIÓN Y APROBACION Versión Descripción Elaborado Por: Revisado Por: Aprobado Por: Fecha 1.0 Creación de documento Lilian Carolina Álvarez Arroyave Esp. en Gestión de Riesgos Lina Patricia Lacombe - Vergara Gte. de Riesgos y Junta Directiva Cumplimiento 25/05/2017 Código Documento: PO-GRI-001 Versión <1.0> Página 5 de 5