Sistema de Administración de Riesgo Operativo SARO

Transcripción

1 Sistema de Administración de Riesgo Operativo SARO La Superintendencia Financiera de Colombia SFC mediante la expedición de las Circulares Externas 048 del 22 de Diciembre y 049 del 27 de Diciembre del 2006, fijó las bases y los lineamientos mínimos que deben ser implementados para el desarrollo de un Sistema de Administración del Riesgo Operativo (SARO) en el sistema financiero colombiano, posteriormente expidió la Circular Externa 041 del 29 de Junio del 2007 y estableció como fecha límite el primero de julio del 2008 para implementar en su totalidad el SARO. El Sistema está compuesto por elementos mínimos (Políticas, Procedimientos, Documentación, Estructura Organizacional, Registro de Eventos de Riesgo Operativo, Órganos de Control, Plataforma Tecnológica, Divulgación de Información y Capacitación) mediante los cuales se busca obtener una efectiva administración del riesgo operativo. Pues bien, conscientes del mejoramiento continuo en nuestra organización y de las responsabilidades institucionales, la Junta Directiva en la reunión No. 456, realizada el 25 de enero del 2006, aprobó la conformación del Grupo de Trabajo que se denominó PROYECTO BASILEA - SARO SARLAFT (que en julio del 2007 se convirtió en Unidad de Riesgo Operativo URO), el cual desarrolló y comenzó a implementar el Sistema de Administración de Riesgo Operativo (SARO), el cual no solo nos permite cumplir con la normatividad de la Superintendencia Financiera de Colombia, sino que nos ubica en los estándares internacionales de competitividad. Gestión Del Riesgo Operativo (RO) La gestión de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de una serie de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones. Para gestionar adecuadamente el riesgo operativo es fundamental contar con un proceso de seguimiento eficaz, que realizado, periódicamente facilite la rápida detección y corrección de deficiencias en las políticas, procesos y procedimientos de gestión del riesgo operativo, lo que a su vez reduzca sustancialmente la frecuencia y la severidad de las perdidas. Qué es el Riesgo Operativo RO? Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos que pueda entorpecer el normal desarrollo de las funciones de Scotia Securities(Colombia) S.A.

2 Sociedad Comisionista de Bolsa y que impidan el logro de sus objetivos estratégicos. Esta definición incluye el Riesgo Legal y Reputacional, asociados a tales factores. Principios de una sana gestión y supervisión del RO Scotia Securities (Colombia) S.A. Sociedad Comisionista de Bolsa, cumple la Circular Externa 049 de diciembre del 2006 y Circular Externa 041 del 2007 expedida por la Superintendencia Financiera y se alinea con los principios desarrollados por el Comité de Basilea que reflejan las mejores prácticas para la administración del riesgo operativo, como se indica a continuación: Identificación, medición, monitoreo y control / mitigación del riesgo operativo Principio 4: Scotia Securities debe identificar y medir el riesgo operativo en las líneas de negocios, actividades, procesos y sistemas. Debe también asegurar que previa la introducción de nuevos productos o servicios, actividades, procesos y sistemas debe ser evaluado el riesgo operativo y verificarse que se han implementado los procedimientos adecuados para su medición, monitoreo y control / mitigación. Principio 5: Scotia Securities debe implementar un proceso que monitoree regularmente los perfiles del riesgo operativo y la exposición a pérdidas. Debe emitir reportes regulares periódicos a la Alta Gerencia y a la Junta Directiva, que les permita una administración proactiva del riesgo operativo. Principio 6: Scotia Securities - Sociedad Comisionista de Bolsa debe tener políticas, procesos y procedimientos para controlar y mitigar los riegos operativos. Debe revisar periódicamente el perfil del riesgo operacional y ajustarlo de acuerdo con las estrategias de la organización y debe reflejar la tolerancia de la Organización.

3 Principio 7: Scotia Securities - Sociedad Comisionista de Bolsa debe tener planes de contingencia y de continuidad del negocio para asegurar su capacidad de operación y minimizar las pérdidas en el caso de que se presenten eventos que pudieran afectar significativamente su normal funcionamiento. Estructura organizacional para gestionar el Riesgo Operativo Scotia Securities ha escogido un modelo de estructura organizacional centralizada para la Gestión del Riesgo Operativo, que permitirá desarrollar, establecer, implantar y mantener el Sistema de Administración de Riesgo Operativo SARO. El siguiente gráfico muestra la estructura actual de Scotia Securities y de las áreas del Banco Colpatria que soportan su operación, entre ellas la Unidad de Riesgo Operativo URO. Estructura de la Unidad de Riesgo Operativo:

4 A continuación se definen sus responsabilidades: 1. Junta Directiva Sin perjuicio de las funciones asignadas en otras disposiciones, la Junta Directiva deberá: a) Establecer las políticas relativas al SARO. b) Aprobar el Manual de Riesgo Operativo y sus actualizaciones. c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad. d) Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad, fijado por la misma Junta Directiva. e) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el Representante Legal. f) Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control. g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el SARO. 2. Representante Legal Sin perjuicio de las funciones asignadas en otras disposiciones, son funciones mínimas del Representante Legal: a) Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el Manual de Riesgo Operativo y sus actualizaciones. b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva. c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO. d) Designar a la Unidad de Riesgo Operativo para que actué como responsable de la implementación y seguimiento del SARO. e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad. f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la Junta Directiva, de acuerdo con el literal d) numeral del presente manual. g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.

5 h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo con los términos establecidos en el numeral del presente manual. i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en la Circular Externa 049 del 2006 de la Superintendencia Financiera de Colombia SFC. j) Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad. k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución. l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable. m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de acuerdo con lo previsto en la señalada Circular Externa 049 del 2006 de la Superintendencia Financiera de Colombia SFC. n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida. 3. La Unidad de Riesgo Operativo URO La Unidad de Riesgo Operativo debe cumplir como mínimo con las siguientes condiciones: a) Contar con personal que tenga conocimiento en administración de riesgo operativo. b) Ser organizacionalmente de alto nivel y tener capacidad decisoria. c) No tener dependencia de los órganos de control, ni de las áreas de operaciones o de tecnología, ni relaciones que originen conflictos de interés. d) Contar con los recursos suficientes para desarrollar sus funciones. En virtud de lo anterior, la Unidad de Riesgo Operativo URO tendrá como mínimo las siguientes funciones: a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus riesgos operativos, en concordancia con los lineamientos, etapas y elementos, mínimos previstos en la Circular Externa 049 del 2006 y Circular Externa 041 del 2007 de la Superintendencia Financiera de Colombia SFC.

6 b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo operativo de la entidad. c) Administrar el registro de eventos de riesgo operativo. d) Coordinar la recolección de la información para alimentar el registro de eventos de riesgo operativo. e) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos operativos medidos. f) Establecer y monitorear el perfil de riesgo de la entidad, e informarlo al órgano correspondiente, en los términos establecidos por la Circular Externa 049 del 2006 y Circular Externa 041 del 2007 de la Superintendencia Financiera de Colombia SFC. g) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones. h) Desarrollar los modelos de medición del riesgo operativo. i) Desarrollar los programas de capacitación de la entidad relacionados con el SARO. j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad. k) Reportar semestralmente al Representante Legal la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la Circular Externa 041 del 2007 de la Superintendencia Financiera de Colombia SFC. l) Proponer a los Gestores de Riesgo Operativo la implantación de medidas preventivas, acciones correctoras, y controles que permitan reducir el nivel de Riesgo Operativo y alcanzar el objetivo de riesgo asumido por la Dirección de Scotia Securities - Sociedad Comisionista de Bolsa. m) Desarrollar y comunicar las políticas y procedimientos de Riesgo Operativo y proporcionar apoyo en relación a las mismas. n) Proponer los cambios necesarios en dichas políticas y procedimientos en función de las mejores prácticas y recomendaciones realizadas por los reguladores, de forma que se realice una mejor gestión y control del Riesgo Operativo de las distintas Áreas. o) Coordinar y apoyar a los Gestores de Riesgo Operativo en los procesos de implantación de una metodología de Riesgo Operativo homogénea para Scotia Securities - Sociedad Comisionista de Bolsa, así como de las herramientas cualitativas y cuantitativas necesarias (cuestionarios de auto evaluación, bases de datos de errores e incidencias, indicadores de riesgo, etc.). p) Coordinar con Auditoría Interna y Auditoría Externa las actividades de seguimiento y control al funcionamiento del SARO.

7 q) Participar en los correspondientes Comités (Nuevos Productos, Irregularidades, Seguridad Bancaria, etc.). Nivel del riesgo Es el resultado de confrontar el impacto y la probabilidad con los controles existentes al interior de los diferentes procesos y procedimientos que se realizan. Para ello se utiliza la siguiente matriz de Frecuencia Impacto o Mapa de Riesgos colorimétrica. Este mapa de riesgos prioriza el riesgo operativo y a la vez permite determinar cuáles son niveles de riesgo y el tipo de gestión que requieren así: Acciones inmediatas. Son los identificados como Riesgos Extremos, letra E y color Rojo en la matriz., es decir los de impacto extremo y probabilidad extrema. Atención de la Alta Gerencia. Son los identificados como Riesgos Altos, letra A y color Amarillo en la matriz, es decir los de alto impacto y alta probabilidad. Especificación de responsabilidad gerencial. Son los identificados como Riesgos Medios, letra M y color naranja en la matriz, es decir los de impacto medio pero baja probabilidad o los de alta probabilidad y bajo impacto. Administrar mediante procedimientos de rutina. Son los identificados como Riesgos bajos, letra B y color verde en la matriz; es decir los bajo impacto y baja probabilidad. Administrar mediante registro. Son los identificados como Riesgos Inusuales, letra I y color Blanco en la matriz; es decir los mínimo impacto y mínima probabilidad.

8 Nivel del riesgo consolidado Una vez determinados los mapas de riesgo para cada proceso, se consolidarán en un solo mapa colorimétrico para cada macroproceso y, estos a su vez una vez consolidados, evidenciaran los riesgos operativos y su clasificación para Scotia Securities - Sociedad Comisionista de Bolsa. Como el SARO esta en un proceso de maduración, hay que ir entendiendo y decantando los riesgos operativos, de manera que en una primera etapa todos los riesgos se consolidarán en una sola matriz asignándoles igual ponderación en el logro de los objetivos de la institución. A manera de ejemplo, se presenta la matriz consolidada de Riesgo Operativo con unas cifras supuestas. Mapa Colorimétrico / Perfil de Riesgo Posteriormente en una segunda etapa, para esta consolidación de los riesgos se ponderan los riesgos en todos los macroprocesos que componen la Cadena de Valor de la Scotia Securities - Sociedad Comisionista de Bolsa, asignándoles mayor ponderación a los macroprocesos misionales y un menor peso a los de apoyo o soporte.

9 Clasificación de los controles Para efectos de este manual y para lograr un mejor entendimiento de ellos, de su forma de aplicación y de sus características y funcionalidad los controles se clasifican así: Según su carácter de aplicación: Preventivos. Aquellos que ejercen su acción sobre la causa de los riesgos y sus factores generadores, con el propósito de disminuir la frecuencia o probabilidad de ocurrencia. Corresponden a la primera barrera de seguridad que se establece para reducir los riesgos. Detectivos. Se constituyen en una alarma que se acciona cuando se descubre una situación anómala o no buscada, en el momento de la ocurrencia o posteriormente. Corresponden a la segunda barrera de seguridad que se establece para reducir los riesgos. Correctivos. Permiten corregir las desviaciones y prevenir de nuevo su ocurrencia. Normalmente generan reprocesos, lo que los convierte en los más costosos. Corresponden a controles administrativos que son soportados por políticas y procedimientos para su correcta aplicación. Según su forma de aplicación:

10 Manuales. Aquellos que son realizados por las personas responsables de los procesos en los cuales están inmersos los controles y/o por las que ejercen el control desde otros procesos. Automáticos. Aquellos que son programados en el computador, software de soporte o de aplicación. Según su funcionalidad de aplicación: Claves. Cuando en ausencia de ese control es altamente probable que se materialice el riesgo. Complementarios. Aquellos que integrados con otros controles, mejoran la administración del riesgo. La ejecución de los controles es responsabilidad de todos los empleados de Organización. Todos los controles establecidos hacen parte del Sistema de Control Interno de la Scotia Securities - Sociedad Comisionista de Bolsa.