MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO SARO

Transcripción

1 Página 1 de 28 MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO SARO JLT RE Colombia, Corredores Colombianos de Reaseguros S.A.

2 Página 2 de 28 Contenido 1. OBJETO ALCANCE DEFINICIONES: POLITICAS RESPONSABLES Representante Legal Revisor Fiscal Auditoría interna y/o quien ejerza el control interno Área de Administración de Riesgos, Responsabilidad General de todas las Áreas METODOLOGÍA PARA LA IDENTIFICACIÓN, MEDICIÓN, CONTROL Y MONITOREO DE LOS RIESGOS OPERATIVOS: Identificación Medición Evaluación del Riesgo Inherente y Residual Probabilidad e Impacto Matriz de Riesgos Control Evaluación de los controles Análisis de los riesgos y Tratamiento Planes de Acción Monitoreo DIVULGACIÓN REGISTRO DE EVENTOS DE RIESGO PLAN DE CONTINUIDAD DEL NEGOCIO... 24

3 Página 3 de DIVULGACIÓN Y CAPACITACIÓN SOBRE EL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO CONTROL DE REGISTROS BITACORA DE CAMBIOS... 26

4 Página 4 de OBJETO El presente manual está orientado a definir las políticas y procedimientos a seguir para desarrollar una adecuada administración del riesgo operativo, de manera que éste al interior de JLT RE COLOMBIA, sea identificado, medido y controlado de acuerdo a la normatividad emitida por la Superintendencia Financiera de Colombia. 2. ALCANCE Se inicia con la identificación de los posibles riesgos operativos, se continúa con el análisis de los mismos, análisis que deberá arrojar una medición del posible impacto de los riesgos en JLT RE COLOMBIA, lo que determinará el tratamiento y medidas preventivas que se definirán para controlar su ocurrencia, y se termina con un monitoreo sobre la implementación de los controles y el nivel del riesgo. 3. DEFINICIONES: Riesgo Operativo: Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. Perfil de Riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta una entidad. Factores de Riesgo: Se entiende por factores de riesgo, las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos; dichos factores se deben clasificar en internos o externos.

5 Página 5 de 28 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo. Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. Factores Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención. Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. Eventos de Pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. Clasificación de Riesgos Operativos o Fraude Interno: Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. o Fraude Externo: Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. o Relaciones Laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. o Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos.

6 Página 6 de 28 o Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. o Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas. o Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos. Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles. Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. Plan de continuidad del negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción. Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. : Se entiende por el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO. En JLT RE COLOMBIA está conformada por el Director Financiero LATAM, la Gerencia Financiera y el Líder del Área de Recursos Humanos. Sistema de Administración de Riesgo Operativo: Es el conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos relacionados con el riesgo operativo, órganos de control, plataforma tecnológica, sistemas de divulgación de información y capacitación, mediante los cuales las Compañías vigiladas por la Superintendencia Financiera pueden identificar, medir, controlar y monitorear el riesgo operativo. Registro de eventos de riesgo operativo: Registro que contiene los eventos de riesgo operativo ocurridos que: a) Generan pérdidas y afectan el estado de resultados de JLT RE COLOMBIA. b) Generan pérdidas y no afectan el estado de resultados de JLT RE COLOMBIA. c) No generan pérdidas y por lo tanto no afectan el estado de resultados de JLT RE COLOMBIA.

7 Página 7 de POLITICAS JLT RE COLOMBIA ha definido las siguientes políticas para garantizar el cumplimiento de las etapas, elementos y objetivos del SARO: JLT RE COLOMBIA reconoce la importancia del Sistema de Administración de Riesgos Operativos y expresa su compromiso, respaldo y dotación de recursos, para que dicho Sistema sea implementado, documentado, revisado y divulgado a todos los procesos y funcionarios de la organización. Igualmente, revisará periódicamente el cumplimiento de las políticas definidas. Es igualmente una política, impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo, creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento. Todas las personas vinculadas a JLT RE COLOMBIA, tienen el deber de conocer y cumplir las normas internas y externas relacionadas con la Administración del Riesgo Operativo; y los órganos de dirección de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas. Para cumplir con lo anterior, se crea la UNIDAD DE RIESGO OPERATIVO, ente que hará las veces de Comité de Riesgos, integrada por el Director Financiero LATAM, la Gerencia Financiera y el Líder del Área de Recursos Humanos, Unidad que cumplirá, entre otras, con las condiciones y funciones establecidos en el numeral del capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia Financiera y las demás que lo adicionen o modifiquen. La se reunirá mínimo una vez al semestre. Cada uno de sus miembros tendrán derecho a voz y voto y constituirá quórum mínimo la asistencia de dos (2) de sus integrantes. La deliberará de acuerdo a las funciones y responsabilidades descritas en este manual. Se buscará unanimidad para decidir sobre los temas, y en caso de no haberla, se decidirá válidamente con los votos de la mayoría de los miembros. De cada una de las reuniones se generará un acta que dará fe de lo discutido en las reuniones realizadas y la cual deberá ser aprobada y firmada por todos los asistentes. Las actas deberán contener como mínimo el lugar, fecha, hora de inicio y finalización de la reunión, la lista de los asistentes, los asuntos tratados, las decisiones aprobadas y los informes escritos presentados por los asistentes.

8 Página 8 de 28 Las decisiones aprobadas por la se divulgaran a las partes interesadas para su respectivo conocimiento y para su debida implementación en caso de ser requerido. La, garantizará la coordinación de sus actividades frente a los órganos de control y administración, con las demás áreas o procesos de la Compañía. La, debe cumplir como mínimo con las siguientes condiciones: o Tener conocimiento en materia de Administración de Riesgo Operativo; o Ser organizacionalmente de alto nivel y tener capacidad decisoria; o No tener dependencia de los órganos de control, ni de las áreas de operaciones, o de tecnología, ni relaciones que originen conflictos de interés; tener los recursos suficientes. Esta, tiene autoridad amplia y suficiente para desarrollar, establecer e implementar la infraestructura requerida para asegurar que el Sistema de Administración del Riesgo Operativo se convierta en parte integral del proceso de dirección y planeación y sea parte de la cultura general de la organización. El presente manual consagra consecuencias por incumplimiento a las normas y procedimientos establecidos para la prevención del riesgo operativo. Los funcionarios de JLT RE COLOMBIA, deben dar cabal cumplimiento a las políticas para la prevención de eventos que generen riesgo operativo, so pena de incurrir en la falta grave que se establece en el literal d) del artículo 48 del Reglamento Interno de Trabajo y en consecuencia ser sancionado laboralmente. JLT RE COLOMBIA, cuenta con lineamientos y directrices para prevenir y resolver conflictos de interés con sus clientes, los cuales están consignados en la política de Conflicto de Interés. JLT RE COLOMBIA, de acuerdo con su actividad y tamaño, cuenta con la tecnología y los sistemas necesarios para garantizar el adecuado funcionamiento del SARO. El sistema de riesgos de la compañía se desarrolla a través del aplicativo Risk Management, que se encuentra en la plataforma del programa Salesforce del Grupo JLT. JLT RE COLOMBIA, suministrara al público la información con el fin de que el mercado evalúe las estrategias de gestión de riesgo operativo adoptado, a través de su página web: JLT RE COLOMBIA, se compromete a realizar un seguimiento continuo a los riesgos definidos en cada uno de los procesos para identificar cambios en los controles y en el perfil de riesgo de la compañía, así como a elaborar los planes de acción correspondientes para mitigar los riesgos que puedan llegar a superar el apetito de riesgo definido por la compañía.

9 Página 9 de 28 Los Líderes de Proceso o Jefes de Área deberán realizar la etapa de identificación de riesgos previamente a la implementación o modificación de cualquier proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros. Para dar cumplimiento a lo establecido sobre la Revelación Contable de los eventos, con base en si los mismos generan pérdidas y afectan los estados financieros de la empresa, estos deberán registrarse de la manera establecida en el numeral del capítulo XXIII de la Circular Básica Contable y Financiera, de la Superintendencia Financiera. En el caso de presentarse alguna contingencia en el desarrollo de su objeto social, la compañía deberá contabilizar las provisiones del caso para cubrir los pasivos estimados y las contingencias de pérdidas probables. Las provisiones deben ser justificadas, razonablemente cuantificables y confiables. Se define una contingencia, como una condición, situación o conjunto de circunstancias existentes, que implican duda respecto a una posible ganancia o pérdida por parte de un ente económico, duda que se resuelva en último término cuando uno o más eventos futuros ocurran o dejen de ocurrir. La contingencia puede llegar a ser probable, eventual o remota, según se definen a continuación: Probable Eventual Clase Descripción Son contingencias probables aquéllas respecto de las cuales la información disponible, considerada en su conjunto, indica que es posible que ocurran los eventos futuros. Ante este tipo de contingencia la compañía reflejara en sus estados financieros tal situación y procederá a registrar una provisión con cargo a los resultados del periodo entre el 60% y el 100% del valor estimado de la contingencia. Son contingencias eventuales aquéllas respecto de las cuales la información disponible, considerada en su conjunto, no permite predecir si los eventos futuros ocurrirán o dejaran de ocurrir. Ante este tipo de contingencia la compañía reflejara en sus estados financieros tal situación y procederá a registrar una provisión con cargo a los resultados del periodo entre el 30% y el 60% del valor estimado de la contingencia.

10 Página 10 de 28 Remota Son contingencias remotas aquéllas respecto de las cuales la información disponible, considerada en su conjunto, indica que es poco posible que ocurran los eventos futuros. Ante este tipo de contingencia la compañía reflejara en sus estados financieros tal situación y procederá a registrar contablemente en las cuentas de orden un valor estimado entre el 0% y 30% del valor de la contingencia. La compañía definirá el tipo de contingencia y el porcentaje especifico de la provisión para proceder a registrarla contablemente de acuerdo a la información conocida de la contingencia, los conceptos emitidos por los abogados apoderados del caso y la instancia jurídica en la cual se encuentre el caso en particular. Con el fin de reflejar el estado de la contingencia a través del tiempo, la compañía deberá evaluar al cierre anual de sus estados financieros el estado de la misma y modificar su registro contable según corresponda. 5. RESPONSABLES Es evidente que todas las áreas están involucradas en el tema de la Administración de Riesgos Operativos ya que ante la ocurrencia de eventos, éstos deben ser reportados a la Unidad de Riesgo Operativo. La estructura organizacional que apoya al SARO será la siguiente: 5.1 Sus funciones se definen en el numeral de la Circular Básica Contable y Financiera de la Superintendencia Financiera. Corresponde como mínimo a la : Establecer las políticas relativas al SARO. Aprobar el Manual de Riesgo Operativo y sus actualizaciones. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad. Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad, fijado por la misma. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el representante legal. Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

11 Página 11 de 28 Proveer los recursos necesarios para implementar y mantener en funcionamiento de forma efectiva y eficiente, el SARO. 5.2 Representante Legal Son funciones mínimas del Representante Legal: Diseñar y someter a aprobación de la, el Manual de Riesgo Operativo y sus actualizaciones. Velar por el cumplimiento efectivo de las políticas establecidas por la. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que se llevan a cabo en la entidad. Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SARO. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad. Adoptar las medidas relativas al perfil del riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido. Recibir y evaluar los informes presentados por la, de acuerdo con los términos establecidos. Velar porque las etapas y elementos del SARO cumplan como mínimo con las disposiciones señaladas en el capítulo XXIII de la Circular Básica Contable y Financiera. Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución. Presentar un informe periódico como mínimo semestral a la sobre la evolución y aspectos relevantes del SARO, incluyendo entre otros las acciones preventivas y correctivas implementadas o por implementar y el área responsable. Establecer un procedimiento para alimentar el registro de eventos de Riesgo Operativo, de acuerdo con lo previsto en el capítulo XXIII de la Circular Básica Contable y Financiera numeral Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

12 Página 12 de Revisor Fiscal Deberá elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO. Igualmente debe poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva. 5.4 Debe cumplir con las condiciones ya anotadas y con las siguientes funciones: Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente su riesgo operativo, en concordancia con los lineamientos, etapas y elementos, mínimos previstos en la norma. Desarrollar e implementar el sistema de reportes, internos y externos, del Riesgo Operativo de la entidad. Administrar el registro de eventos de Riesgo Operativo. Coordinar la recolección de la información para alimentar el registro de Riesgo Operativo. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de riesgo identificados y medidos. Establecer y monitorear el perfil de riesgo individual y consolidado de la entidad, e informarlo al órgano correspondiente. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones. Desarrollar los modelos de medición del Riesgo Operativo. Desarrollar los programas de capacitación de la entidad, relacionados con el SARO. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad. Reportar semestralmente al Representante Legal la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos expresados en el capítulo XXIII de la Circular Básica Contable y Financiera de la Superintendencia Financiera. 5.5 Auditoría interna y/o quien ejerza el control interno Deberá evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del Sistema de Administración del Riesgo Operativo, limitándose a lo establecido e indicado en la normatividad vigente. Esta evaluación debe incluir la revisión al cumplimiento del registro de eventos de riesgo operativo.

13 Página 13 de 28 Deberá informar los resultados de la evaluación a la y al Representante Legal. 5.6 Área de Administración de Riesgos, Debe cumplir con las siguientes funciones: - Implementar los instrumentos, metodologías y procedimientos definidos por la Unidad de Riesgo Operativo. - Verificar el cumplimiento de las normas internas y externas relacionadas con el Sistema de Administración de Riesgo Operativo. - Asesorar a las áreas de la compañía en el diseño e implementación del Sistema de Administración de Riesgo Operativo. - Asesorar en el proceso de identificación de los riesgos operativos y establecer los controles preventivos, detectivos y/o correctivos en coordinación con los líderes de los procesos. - Realizar seguimiento a los controles adoptados para mitigar el riesgo inherente, con el propósito de evaluar su efectividad y cumplimiento. - Realizar el monitoreo del perfil del riesgo residual de la compañía. - Hacer seguimiento a la evolución de los riesgos y a los planes de acción definidos, con el fin de verificar el cumplimiento de los mismos, tomar las medidas correctivas que sean requeridas y proponer mejoras. - Capacitar a los funcionarios de la compañía en el Sistema de Administración de Riesgo Operativo (SARO). - Presentar informes y reportes periódicos a la con respecto a las diferentes actividades realizadas. 5.7 Responsabilidad General de todas las Áreas Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de riesgo, por lo tanto los responsables de los procesos, lo son también de adelantar la gestión de riesgos y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos sucesos para efecto de los controles y los registros correspondientes. Le corresponde también fomentar la cultura de la Administración del Riesgo dentro de su ámbito. 6. METODOLOGÍA PARA LA IDENTIFICACIÓN, MEDICIÓN, CONTROL Y MONITOREO DE LOS RIESGOS OPERATIVOS: El desarrollo del modelo que JLT Re Colombia estableció para la administración del Riesgo Operativo, comprendió los siguientes pasos:

14 Página 14 de 28 Entrevistas con los líderes de cada uno de los procesos para identificar en forma detallada los eventos de riesgo en cada una de las etapas de los procesos, así como para valorarlos e identificar los controles. Identificación de riesgos principales (altos, medios y bajos) en cada uno de los procesos que confirman el mapa de procesos de la entidad. Entrevistas con la alta dirección de la compañía: En la cual se estableció la severidad máxima aceptable y de ocurrencia para los eventos de riesgo de la compañía. Determinación de posibles impactos del riesgo operativo (menor, moderado, mayor y catastrófico). Determinación de la posibilidad de ocurrencia de los eventos (remoto, posible, probable y casi seguro). Desarrollo de registro de eventos de riesgo en una base de datos. Análisis de escenarios sobre la continuidad del negocio en materia: Recursos físicos Personas Procesos Infraestructura tecnológica Tiempos de recuperación 6.1 Identificación Consiste en la identificación de los riesgos internos y externos que puedan afectar las diferentes actividades de cada uno de los procesos, producto del análisis de la siguiente información: Que riesgos operacionales identifica cada área, es decir lo que puede suceder o en que consiste el riesgo. Cuáles son las fuentes generadoras de los riesgos: Factores internos (recurso humano, procesos, tecnologías e infraestructura) y factores externos (regulaciones, fuerzas de la naturaleza y usuarios). Análisis y priorización de los riesgos. Causas: Por qué se puede presentar el evento? Consecuencias, es decir, los efectos en caso de presentarse el evento. Definición de la probabilidad de ocurrencia e impacto.

15 Página 15 de 28 Controles existentes. Cuáles controles se tienen para prevenir el riesgo? Responsable de los controles. Controles Adicionales: En donde se relacionan los controles que en la opinión del líder del proceso deben implementarse de manera adicional o sustitutiva, así como definir los responsables del control. Eventos de riesgo que se hayan presentado para cada uno de los riesgos identificados. 6.2 Medición Los riesgos identificados son evaluados considerando su probabilidad de ocurrencia y su impacto en caso de materializarse. Estos riesgos son evaluados con bases residuales y bases inherentes Evaluación del Riesgo Inherente y Residual Probabilidad e Impacto La probabilidad de que ocurra un riesgo se debe evaluar mediante el uso de los siguientes criterios: La evaluación del impacto potencial se debe hacer mediante el uso de los siguientes criterios:

16 Página 16 de Matriz de Riesgos Una vez hecha la evaluación de los riesgos de acuerdo a su probabilidad e impacto, se construye la matriz de riesgos, con el objeto de detectar los riesgos que pudieran encontrarse en la zona crítica:

17 Página 17 de Control En esta etapa, se identifican las acciones que se deben implementar para mitigar el riesgo en forma efectiva. Las medidas de control definidas, deben considerar el costo de su implementación, frente al impacto esperado con base en la probabilidad de ocurrencia de cada riesgo. Se debe identificar los factores limitantes que puedan impedir el desarrollo de las acciones de mitigación. Igualmente, se deben definir responsables una vez se implementen los controles, se debe revisar la medición de la probabilidad y el impacto por parte de las áreas responsables para los riesgos de los procesos modificados, determinando el perfil del Riesgo Residual (es decir después de los controles) y el nuevo perfil de riesgo consolidado.

18 Página 18 de Evaluación de los controles Los riesgos son mitigados con controles. La descripción de estos controles en la matriz de riesgos debe especificar el responsable de ejecutar cada uno de los controles definidos y un campo de evidencia de la aplicación del control. Cada uno de los controles se evaluará de la siguiente forma: Tipo: El Control se tipifica de acuerdo al momento en el cual se efectúa el control. En este sentido, se plantean tres tipos: Definición Preventivo Detectivo De respuesta Descripción Anticipan eventos no deseados antes de que sucedan. Cuando el punto de control se ubica al inicio del proceso, y las adecuaciones se enfocan a EVITAR los errores, antes de que afecten al proceso. Corresponde a esfuerzos de prevención y disuasión. Identifican los eventos en el momento en que se presentan. Cuando el punto de control se ubica dentro del proceso, y las adecuaciones se enfocan a DETECTAR y compensar los errores o desviaciones, antes de que se elabore el resultado. Corresponde a esfuerzos de contención. Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado.cuando el punto de control se ubica al final del flujo de proceso, y las adecuaciones se enfocan a CORREGIR los errores sobre el resultado obtenido. Corresponde a esfuerzos de restauración, recuperación, rescate o reversión. Tipo de Implementación Se deberá definir para cada uno de los controles si su tipo de implementación es Manual, Mixto o Automático.

19 Página 19 de 28 Frecuencia Para cada uno de los controles se definirá su frecuencia de implementación, la cual puede ser continua, diaria, semanal, mensual, trimestral, semestral, anual, entre otras. Estado Para cada uno de los controles se definirá su estado de implementación, el cual puede ser: robusto, efectivo, parcialmente efectivo e inefectivo. Valoración del Control Anualmente el área de administración de riesgos realizará una valoración de cada control para detectar si se está aplicando correctamente y si sigue siendo efectivo para mitigar los riesgos. Una vez evaluados los controles, se toma en consideración que dependiendo de la aplicación de los mismos se podría reducir el riesgo. Algunos controles serán fuertes reduciendo la probabilidad de ocurrencia del riesgo, el cual reduciría únicamente si se cuenta con ellos. Los controles ayudan a mitigar el riesgo junto con la atomización de operaciones, los planes de contingencia o traspaso del riesgo a terceros, mediante la contratación de seguros, fianzas, etc. Cálculo porcentaje mitigación de controles y cálculo riesgo residual Cada uno de los controles será medido de acuerdo a los siguientes parámetros y pesos porcentuales: Funcionalidad Frecuencia Peso Interno Adecuado 100% Inadecuado 0% 25% Tipo Peso Interno Preventivo 60% Detectivo 30% Respuesta 10% 40%

20 Página 20 de 28 Estado Peso Interno Robusto 50% Efectivo 30% Parcialmente Efectivo 20% Inefectivo 0% 35% Se suman las calificaciones de los anteriores parámetros y se obtiene una calificación final (100%) de efectividad de cada control. Se debe definir si el control mitiga probabilidad o impacto, o las dos. La calificación consolidada de todos los controles determinará el porcentaje de reducción del riesgo inherente y definirá automáticamente la probabilidad e impacto del riesgo residual al cual queda expuesta la Compañía. Esta medición se realizará en la matriz de riesgos de la Entidad. 6.6 Análisis de los riesgos y Tratamiento Este análisis debe permitir conocer la naturaleza y nivel de los riesgos, a fin de establecer prioridades y opciones para el tratamiento. El nivel de riesgo se determina relacionando el impacto y la posibilidad de ocurrencia. En presencia de datos estadísticos insuficientes, el análisis cualitativo es apropiado para realizar el análisis del riesgo, igualmente para esta decisión, es importante tener en cuenta la disponibilidad de recursos económicos y de información. Desarrollada la etapa de identificación, se procede a estimar la posibilidad de ocurrencia del riesgo inherente, frente a cada uno de los factores de riesgo, lo mismo que el impacto en caso de materializarse mediante los riesgos asociados. Las matrices de riesgo serán evaluadas por la, con la finalidad de determinar cómo será administrado el riesgo y en qué casos se deberán establecer tratamientos tal como las que se muestran a continuación:

21 Página 21 de 28 Evitar Riesgos Mediante el retiro de las actividades causantes de riesgo en las cuales su tratamiento adicional no es efectivo en costos y el retorno no es atractivo en relación al riesgo involucrado Reducir Riesgos Establecer actividades y medidas tendientes a reducir la probabilidad de ocurrencia de un riesgo y/o minimizar la severidad de su impacto, en caso de suceder (Ej.: Planificación de continuidad de negocio, prevención de pérdidas, manejo de crisis) Transferir Riesgos Establecer actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo de riesgo y/o obligación por las consecuencias financieras del riesgo, en caso de ocurrencia (Ej.: seguros, outsourcing) Aceptar Riesgos Aceptación de riesgos donde el tratamiento adicional del mismo no es costoso, pero los retornos potenciales son atractivos en relación con los riesgos involucrados 6.7 Planes de Acción Como resultado de la evaluación se deberán definir los planes de acción a seguir con el objeto de reducir el impacto o la probabilidad de ocurrencia de los riesgos identificados que superan el apetito de riesgo definido por la compañía. Estos planes de acción deberán seguir los siguientes pasos: Entrevistas con los jefes de área o líderes de los procesos para evaluar la variación en los eventos de riesgo en cada una de las etapas de los procesos. Definición del tratamiento que se les dará a los riesgos de acuerdo a lo definido por la compañía: evitar, reducir, transferir y/o aceptar los riesgos. Esto se definirá según el proceso involucrado y la clasificación que en la matriz de riesgo se haga de cada uno de los riesgos. Identificación de las acciones que se deben implementar para mitigar los riesgos en forma efectiva. Definición e implementación de las medidas de control para mitigar los riesgos. Medición de la efectividad de los controles implementados.

22 Página 22 de 28 Seguimiento para detectar y corregir cualquier deficiencia presentada, mediante los Indicadores de Riesgo. Los planes de acción deberán incluir también: Funcionario responsable Plan de trabajo detallado Cronograma detallado incluyendo la fecha de implementación Medición de la efectividad del plan de acción El resultado del plan de acción una vez implementado, deberá ser informado a la Unidad de Riesgo Operativo. 6.8 Monitoreo Para hacer un adecuado seguimiento de la exposición al riesgo operativo y conocer el perfil de riesgo de la compañía, al igual que para tener una efectiva y rápida detección en cualquier deficiencia del SARO y poder identificar las correcciones y los cambios que en los controles se deban realizar, favoreciendo de esa forma el proceso de retroalimentación y control, se implementarán los Indicadores de Riesgo Operativo. Estos indicadores deberán seguir como mínimo los siguientes pasos: Definición y descripción del indicador en términos que estén vinculados con las etapas de los procesos donde se pueden generar eventos de pérdida por riesgos operativos. Cuantificación a través de medidas precisas del estado de los riesgos, incluyendo umbrales y rangos para cada indicador. Definición de la frecuencia de medición periódica y sistemática del indicador. Verificación de la evolución de los indicadores para conocer su eficacia y poder reformularlos si es necesario. - Los Indicadores de Riesgo Operativo deberán ser definidos por el área de Administración de Riesgos y Procesos en coordinación con los Líderes de Proceso o Jefes de Área. Deberán ser aprobados por la. - De acuerdo a la frecuencia de medición definida, el área de Administración de Riesgos y Procesos informara a la los resultados de la medición de los indicadores.

23 Página 23 de 28 - En caso de que el indicador refleje un comportamiento negativo, el área de Administración de Riesgos y Procesos con el Líder del Proceso o Jefe de Área, deberán analizar el riesgo operativo del proceso y definir un plan de acción a seguir para corregir y lograr mitigar el riesgo, que deberá ser presentado a la para su aprobación antes de su implementación. - Igualmente, el resultado de estos indicadores deben ser informados semestralmente al Representante Legal y a la, para que puedan realizar un monitoreo del perfil de riesgo de la compañía mediante el análisis del comportamiento de los Indicadores de Riesgo Operativo. Adicionalmente como parte del monitoreo, con una periodicidad mínima semestral, el área de Administración de Riesgos,, realizará un seguimiento al cumplimiento de los controles establecidos y medirá la eficiencia de los mismos. También deberá hacer un seguimiento a los eventos de riesgo que se presenten. Deberá informar los resultados de estas evaluaciones a la, que a su vez deberá informar al Representante Legal. 7. DIVULGACIÓN Como resultado de la implementación de un adecuado registro de los eventos, esta etapa permitirá comunicar de forma oportuna a cada funcionario en todo los niveles los riesgos identificados, la evaluación de los mismos, los riesgos inherentes y los controles para llevarlos a unos niveles mínimos que no afecten la operación de la compañía. De las decisiones que adopte la se desprenderán acciones correctivas dirigidas a las diferentes áreas de la entidad de acuerdo con sus competencias y a los líderes de cada uno de los procesos con el fin de que los eventos más impactantes de riesgo residual se ubiquen en los lugares de bajo impacto dentro de las matrices. En el informe de gestión, al cierre de cada ejercicio contable, se debe incluir una indicación sobre la gestión adelantada en materia de administración del riesgo operativo.

24 Página 24 de REGISTRO DE EVENTOS DE RIESGO JLT Re Colombia ha diseñado una estructura de base de datos que permite registrar de manera precisa cualquier tipo de evento de riesgo operativo. Cuando se conozca un riesgo operativo, el Líder del Proceso o Jefe de Área debe diligenciar el formato de Registro de Eventos (Formato de Registro de Eventos Op v1.1.xls) en el que se incluirán todos los detalles de los eventos de riesgo operativo ocurridos. El formato debe ser enviado a la Gerencia de Administración de Riesgos,, que procederá a incluir el evento en la base de datos denominada: Eventos de Riesgo Operativo e informara a la. El diligenciamiento del formato y la información a la, deberá realizarse a más tardar dentro de las veinticuatro horas siguientes al momento en que el funcionario conoce la ocurrencia del hecho o situación. En caso contrario, se tomará como falta grave el no informar a tiempo de lo anterior. El área de Administración de Riesgos, con el Líder del Proceso o Jefe de Área, deberán analizar el riesgo operativo ocurrido y definir un plan de acción que incluya tanto la solución como la corrección del evento sucedido, que deberá ser presentado a la Unidad de Riesgo Operativo para su aprobación antes de la implementación. 9. PLAN DE CONTINUIDAD DEL NEGOCIO JLT RE COLOMBIA en conjunto con JLT Valencia & Iragorri desarrollan un plan de continuidad de negocio, en donde se contemplan las necesidades de recursos humanos, físicos y tecnológicos requeridos para garantizar la continuidad del negocio ante eventos de catástrofe mayor o contingencia. Este plan se desarrolla bajo la asesoría del Business Continuity Manager del Grupo Jardine Lloyd Thompson. 10. DIVULGACIÓN Y CAPACITACIÓN SOBRE EL SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO La deberá verificar que dentro de los procesos de inducción que realiza la compañía para sus empleados, se incluya la capacitación sobre SARO. De igual forma tomará las medidas necesarias para que toda la información obtenida de la implementación del Sistema de Administración de Riesgo Operativo sea divulgada en forma periódica y que los

25 Página 25 de 28 funcionarios permanezcan actualizados mediante una capacitación anual de refuerzo en temas de prevención del riesgo operativo. Para cada capacitación impartida, el área de Administración de Riesgos, realizará una evaluación de conocimientos que garantice la comprensión de los temas tratados. Esta evaluación se desarrollará mediante un cuestionario de preguntas o un caso de aplicación práctico. Para los funcionarios que no aprueben o presenten dicha evaluación se les capacitará en una nueva fecha. También deberá elaborar el área de Administración de Riesgos, un reporte consolidado con los resultados de la evaluación que permita determinar el resultado general de la misma y evidenciar el cumplimiento de la actividad desarrollada. Este reporte deberá ser presentado a la. 11. CONTROL DE REGISTROS NOMBRE RESPONSABLE LUGAR DE ARCHIVO ACCESO Manual de Riesgo Operativo Gerencia de Administración de Riesgos, Procesos y Compliance File Publico Todo el personal Matriz de Riesgos Gerencia de Administración de Riesgos, Procesos y Compliance File Publico Todo el personal Registro de eventos de riesgo operativo Gerencia de Administración de Riesgos, Procesos y Compliance File Publico File P Administración de Riesgos y Procesos (PAdRP) Todo el personal Información relativa al BCP Gerencia de Sistemas File Publico Tecnología BCP Team Informes de la Medición de los Indicadores de Riesgo y del Monitoreo Gerencia de Administración de Riesgos, Procesos y File P Administración de Riesgos, Procesos y Compliance Área de Administración de Riesgos y

26 Página 26 de 28 NOMBRE RESPONSABLE LUGAR DE ARCHIVO ACCESO de control interno Compliance (PadRP) Procesos Informes y actas de la Unidad de Riesgo Operativo Gerencia de Administración de Riesgos, Procesos y Compliance File P Administración de Riesgos y Procesos (PadRP) Área de Administración de Riesgos y Procesos Informes del Representante Legal Gerencia de Administración de Riesgos, Procesos y Compliance File P Administración de Riesgos y Procesos (PadRP) Área de Administración de Riesgos y Procesos Acta de en las que se informa sobre el SARO Gerencia de Administración de Riesgos, Procesos y Compliance File P Administración de Riesgos y Procesos (PadRP) Área de Administración de Riesgos y Procesos 12. BITACORA DE CAMBIOS VERSION FECHA DESCRIPCIÓN DEL CAMBIO ELABORADO POR APROBADO POR /1/2007 Creación de Documento Subgerente Administrativo /04/ Modificación de la metodología para la identificación, medición de riesgos y evaluación de controles - Se incluye la metodología para la construcción de matriz de riesgos /07/2009 Se modifica la conformación de la Unidad de Riesgo operativo y se especifican sus funciones /11/2009 Incluir los comentarios restantes realizados por revisoría fiscal que no fueron incluidos en la versión Subgerente Administrativo Gerente Administrativo y de Tecnología Gerente Administrativo y de Tecnología

27 Página 27 de 28 VERSION FECHA DESCRIPCIÓN DEL CAMBIO ELABORADO POR APROBADO POR /12/2010 Modificación de la metodología para la identificación y medición de los riesgos operativos /03/2011 Incluir la metodología de evaluación de conocimiento a las capacitaciones realizadas del SARO /08/2011 Modificación de metodología para evaluar los controles /05/ Aclarar que la Unidad de Riesgo Operativo (URO) es el ente en JLT que hace las veces de Comité de Riesgos. - Incluir las funciones y responsabilidades que debe ejercer la Auditoría Interna y el área de Administración de Riesgos y Procesos. - Metodología para la elaboración de planes de acción y definición de indicadores de riesgo - Procedimiento para el análisis de eventos de riesgo y definición de acciones correctivas y preventivas /10/2012 Modificación de los integrantes de la Unidad e Riesgo Operativo /04/2013 Se incluye tabla de contenido, bitácora de cambios y el nombre del aplicativo que soporta la administración de riesgos de la compañía /03/2014 Se incluye la metodología para la valoración anual de los controles. Modificación de un miembro de la Gerente Administrativo y de Tecnología Gerente Administrativo y de Tecnología Gerente Administrativo y de Tecnología Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos y Procesos

28 Página 28 de 28 VERSION FECHA DESCRIPCIÓN DEL CAMBIO ELABORADO POR APROBADO POR. (Se incluye a la Vicepresidencia Estrategia-Comercial por la Gerencia Administrativa y de Tecnología) /12/2014 Modificación de los integrantes de la /06/2015 Modificación de la metodología para la medición del riesgo inherente y riesgo residual /12/2015 Se incluye que la descripción de los controles en la matriz de riesgos debe especificar el responsable de ejecutar cada uno de los controles definidos y un campo de evidencia de la aplicación del control /10/2016 Modificación de los integrantes de la /05/2017 Modificación de la metodología para la medición del riesgo inherente y riesgo residual. Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos y procesos Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos y Procesos Gerente de Administración de Riesgos, Procesos y Compliance