P. 1
MANUAL+DE+RIESGO+OPERATIVO[1]

MANUAL+DE+RIESGO+OPERATIVO[1]

|Views: 214|Likes:
Publicado pordeliaelsa

More info:

Published by: deliaelsa on Mar 15, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

08/30/2014

pdf

text

original

MANUAL DE RIESGO OPERATIVO

TIPO DE PROCESO: NOMBRE DEL PROCESO:

TRANSVERSAL RIESGO OPERATIVO

MANUAL DE RIESGO OPERATIVO

Aprobado por la Junta directiva en sesión del día 6 de noviembre de 2007, acta 289

Bogotá, D. C. Octubre 17 de 2007 Versión: 0.0 Fecha última actualización: noviembre 6 2007
Noviembre de 2007 1

MANUAL DE RIESGO OPERATIVO

TABLA DE CONTENIDO

CAP. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.

TEMA DESCRIPCION OBJETIVO ALCANCE DEFINICION DEL SARO POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION DEL SISTEMA DE RIESGO OPERATIVO SARO OBJETIVOS ESPECIFICOS DEL SISTEMA EN LA FEN ESTRUCTURA ORGANIZACIONAL COMITÉ INTEGRAL DE RIESGOS DEFINICIONES FUNCIONES METODOLOGIA Y PROCEDIMIETO PLAN DE CONTINUIDAD DEL NEGOCIO REPORTES MEDIOS TECNOLOGICOS UTILIZADOS DOCUMENT ACION Y REGISTRO DIVULGACION Y CAPACITACION ANEXOS DIAGRAMA DEL PROCESO

PAG. 3 3 3 3 3 4 5 5 6 8 11 19 20 20 21 21

Noviembre de 2007

2

implementen y administren adecuadamente un Sistema de Administración del Riesgo Operativo SARO . Noviembre de 2007 3 . procedimientos. La FEN debe impulsar a nivel institucional una cultura de prevención del riesgo operativo acorde con otras políticas como la de Calidad. mediante los cuales la entidad identifica. hasta el mantenimiento del sistema. registrar. 5. para luego establecer y monitorear los controles y el perfil de riesgo de la entidad. órganos de control. DEFINICION DEL SARO El Sistema de Administración del Riesgo Operativo SARO es el conjunto de elementos tales como las políticas. asignar un área responsable de la administración y mantenimiento del sistema que verifique el cumplimiento de las normas internas y externas que se establezcan en esta materia. 2.MANUAL DE RIESGO OPERATIVO 1. POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION DEL SISTEMA DE RIESGO OPERATIVO SARO La entidad debe establecer y mantener un sistema que permita identificar. la mitigación de los eventos y la implementación del plan de continuidad del negocio. en cual inicia con la identificación y medición de los eventos de riesgo en cada uno de los procesos. monitorear y controlar los Riesgos Operativos. 3. plataforma tecnológica. medir. controla y monitorea el Riesgo Operativo. establece las reglas relativas a la Administración del Riesgo Operativo para que las entidades sometidas a su vigilancia y control adopten. mide. 4. Modelo Estándar de Control Interno MECI y otros sistemas como los de riesgo crediticio. OBJETIVO El objetivo del Sistema de Administración del Riesgo Operativo SARO es el de establecer las políticas. establezcan. estructura organizacional. de liquidez y de mercado. . ALCANCE El presente manual contiene los elementos del Sistema de Administración de Riesgo Operativo de la FEN. medir y controlar los riesgos operativos implicados en los procesos de la FEN. DESCRIPC ION La Circular Externa 048 de 2006 expedida por la Superintendencia Financiera de Colombia que se constituyó en el capítulo XXIII de la Circular Externa 100 de 1995. divulgación de la información y capacitación. registro de eventos de riesgo operativo. documentación. procedimientos y metodologías para monitorear.

permitiendo a su vez la prevención y resolución de conflictos de interés en la recolección de la información durante sus diferentes etapas de implementación.MANUAL DE RIESGO OPERATIVO La entidad debe contar con un Comité Integral de Riesgos. 6. Asegurar la actualización y verificación del sistema de acuerdo con las mejoras metodológicas y/o nuevos productos o servicios que se llegaren a prestar así como la permanente divulgación y capacitación. Noviembre de 2007 4 . 6. establecer un perfil de riesgo operativo para la entidad y asegurar que los controles se ajusten en la medida que se desarrolle la cultura de prevención de riesgos operativos. deben mantenerse adecuadas a los propósitos y requerimientos del sistema y se deben incluir en los respectivos Manuales de Organización y de Funciones y de Competencias Laborales. 3. 7. implementar y documentar un plan de continuidad del negocio. estamento que fundamentalmente apoyará y asesorará a la alta dirección en la toma de decisiones en esta materia. Establecer los métodos para registrar los eventos de riesgo operativo. así como las pérdidas que pudieren presentarse. Identificar en todos los procesos cada uno de los eventos de riesgo. registro y valoración de los riesgos operativos. 2. 4. Velar porque el riesgo sea controlado y minimizado permanentemente. Establecer las metodologías de identificación. 5. así como la estructura organizacional. así como en el registro de eventos y en el mantenimiento del sistema. Se debe desarrollar. OBJETIVOS ESPECIFICOS DEL SISTEMA EN LA FEN Los objetivos de la FEN al implementar el Sistema de Administración de Riesgo Operativo son: 1. Las funciones y competencias de cada uno de los empleados. Asegurar que cualquier evento de riesgo sea registrado en la bases de datos que se diseñen para tal fin. El sistema de administración de riesgo operativo debe ser dinámico de tal forma que se asegure la identificación de cambios en los controles y perfiles de riesgo y permitir la actualización del nivel de riesgo operativo de la FEN. Divulgar el sistema y capacitar a los funcionarios en cada una de las etapas que se implementen.

MANUAL DE RIESGO OPERATIVO 7. El Departamento de Administración de Riesgos cuenta con el personal y la infraestructura tecnológica necesaria para cumplir con los objetivos de los sistemas de control y administración de los riesgos de la entidad. incluido el Riesgo Operativo. la FEN cuenta dentro de su Estructura Organizacional con el Departamento de Administración del Riesgos. Noviembre de 2007 5 . 8. el cual corresponde a un segundo nivel dentro de la organización y reporta directamente a la Presidencia. en consecuencia es el área responsable de administrar y mantener el sistema de administración de Riesgo Operativo y de comunicar al Comité Integral de Riesgos y a la alta dirección las novedades que se presenten al respecto. La composición y funciones del Comité se encuentran plasmadas en el Manual de Organización de la Entidad. Liquidez. COMITÉ INTEGRAL DE RIESGOS Es el estamento especializado establecido para dirigir y supervisar los Sistemas de Administración de Riesgos de la entidad (Crédito. de Mercado. ESTRUCTURA ORGANIZACIONAL Para el cumplimiento de los objetivos para implementar el Sistema de Administración de Riesgo Operativo. Operativos y de Lavado de Activos y de Financiación del Terrorismo) y el plan de continuidad del negocio así como para proponer a la Junta Directiva modificaciones en las políticas y determinación de límites y tolerancias máximas de exposición a los riesgos de acuerdo con los estudios que sobre el particular presente el Departamento de Administración de Riesgos. .

la tecnología. la infraestructura y los acontecimientos externos. Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. Dichos factores se deben clasificar en internos o externos. Clientes Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. un empleado o administrador de la entidad. la legislación vigente sobre la materia. los procesos. Noviembre de 2007 6 . con los acuerdos internos de trabajo y.MANUAL DE RIESGO OPERATIVO 9. Fraude Externo Actos realizados por una persona externa a la entidad. Son factores de riesgo el recurso humano. Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas. apropiarse indebidamente de activos de la misma o incumplir normas o leyes. Factores de riesgo Se entiende por factores de riesgo. las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo. Clasificación de los eventos de riesgo operativo Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes. DEFINICIONES Evento Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado. en los que está implicado. Relaciones laborales Actos que son incompatibles con la legislación laboral. según se indica a continuación. Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de los procesos. al menos. en general. Eventos de pérdida Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades. que buscan defraudar.

para satisfacer una necesidad. que debe coordinar la puesta en marcha y seguimiento del SARO Manual de Riesgo Operativo Es el documento que contiene las políticas. gente y el ambiente externo La Unidad de Riesgo Operativo Se entiende por Unidad de Riesgo Operativo el área designada por el Representante Legal de la entidad. Noviembre de 2007 7 . Pérdidas Cuantificación económica de la ocurrencia de un evento de riesgo operativo. los procesos y procedimientos aplicables en el desarrollo. Incluye: hardware. Indicadores de riesgo Alarmas tempranas en los sistemas. procesos. estrategias. almacenamiento y transporte. bien sea celebrada por la misma entidad o a través de un tercero. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo Procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios. software y telecomunicaciones. Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Externos Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros. Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Entre otros se incluyen: edificios. Perfil de Riesgo Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad. así como los gastos derivados de su atención. que escapan en cuanto a su causa y origen al control de la entidad. objetivos. implementación y seguimiento del SARO.MANUAL DE RIESGO OPERATIVO Internos Recurso Humano Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. espacios de trabajo. estructura organizacional. Se entiende por vinculación directa. productos. aquella basada en un contrato de trabajo en los términos de la legislación vigente.

Esta definición incluye el riesgo legal y reputacional. Riesgo reputacional Es la posibilidad de pérdida en que puede incurrir la entidad por desprestigio. 10. FUNCIONES Sin perjuicio de las funciones asignadas en los Estatutos y el Manual de funciones y competencias laborales. se establecen las siguientes funciones en cuanto a Riesgo Operativo: Noviembre de 2007 8 . asociados a tales factores. la tecnología.MANUAL DE RIESGO OPERATIVO Plan de contingencia Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. mala imagen. derivadas de actuaciones malintencionadas. respecto de la institución y sus prácticas de negocios. fallas o inadecuaciones. en caso de interrupción. los sistemas y los recursos necesarios para retornar y continuar la operación. El riesgo legal surge también como consecuenci a de fallas en los contratos y transacciones. en el recurso humano. Riesgo Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos objetivos Riesgo Operativo (RO) Se entiende por Riesgo Operativo. sin tener en cuenta el efecto de los controles. Riesgo inherente Nivel de riesgo propio de la actividad. Plan de continuidad del negocio Conjunto detallado de acciones que describen los procedimientos. la infraestructura o por la ocurrencia de acontecimientos externos. negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. disminución de ingresos o procesos judiciales. los procesos. que cause pérdida de clientes. publicidad negativa. Riesgo residual Nivel resultante del riesgo después de aplicar los controles. la posibilidad de incurrir en pérdidas por deficiencias. Riesgo Legal Es la posibilidad de pérdida en que puede incurrir la entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. cierta o no.

identificado y medido. A continuación se relacionan las principales funciones que deben cumplir los estamentos de dirección y control de la entidad. ü Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural en la administración de los riesgos de la entidad. fijado por la Junta Directiva. entre otras. ü Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que se llevan a cabo en la entidad. ü Verificar el cumplimiento de las funciones asignadas al Departamento de Administración de Riesgos y en particular las concernientes al Sistema SARO. ü Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad. ü Adoptar las medidas relativas al perfil de riesgo. las cuales han sido integradas al manual especifico de competencias laborales de la Entidad: Del Representante Legal El Representante legal es el funcionario responsable de: ü Diseñar y someter a aprobación de la Junta Directiva el presente Manual de Riesgo Operativo así como sus actualizaciones. ü Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución. la designación de los cargos que conforman el Comité Integral de Riesgos y el análisis y pronunciamiento respecto a los informes que en materia de administración de riesgos presente la Alta Dirección y los Órganos de Control de la Entidad. ü Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.MANUAL DE RIESGO OPERATIVO De la Junta Directiva La Junta Directiva participa activamente en la dirección del sistema de administración de riesgos de la entidad a través del establecimiento de las políticas generales. el estudio y aprobación de los niveles de tolerancia presentados por las áreas técnicas de la entidad. ü Velar por la correcta aplicación de los controles del riesgo inherente. teniendo en cuenta el nivel de tolerancia al riesgo. Noviembre de 2007 9 . ü Recibir y evaluar los informes presentados por el Departamento de Administración de Riesgos. ü Velar porque las etapas y elementos del SARO cumplan con las disposiciones señaladas por la Superintendencia Financiera de Colombia.

cumplimiento. con el propósito de evaluar su efectividad. ü Desarrollar los modelos de medición del riesgo operativo. ü Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente. los controles implementados y el monitoreo que se realice sobre el mismo. confiabilidad. efectividad. Del Departamento de Administración de Riesgos El Departamento de Administración de Riesgos debe cumplir con las siguientes funciones: ü Definir los instrumentos. ü Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad. ü Establecer y monitorear el perfil de riesgo individual y consolidado de la entidad. incluyendo. a la Junta Directiva sobre la evolución y aspectos relevantes del SARO. mínimos previstos en esta norma. del riesgo operativo de la entidad. ü Coordinar la recolección de la información para alimentar el registro de eventos de riesgo operativo. internos y externos. disponibilidad. en concordancia con los lineamientos. ü Desarrollar e implementar el sistema de reportes.MANUAL DE RIESGO OPERATIVO ü Presentar un informe periódico. ü Verificar el cumplimiento de los procedimientos establecidos para alimentar el registro de eventos de riesgo operativo. ü Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y proponer sus correspondient es actualizaciones y modificaciones. eficiencia y confidencialidad de la información allí contenida. etapas y elementos. metodologías y procedimientos tendientes a que la entidad administre efectivamente su riesgo operativo. ü Administrar el registro de eventos de riesgo operativo. y presentar los informes correspondient es a la Alta Dirección. ü Reportar semestralmente al Representante Legal la evolución del riesgo. Noviembre de 2007 10 . las acciones preventivas y correctivas implementadas o por implementar y el área responsable. ü Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de riesgo identificados y medidos. como mínimo semestral. entre otros. ü Coordinar con el área administrativa el desarrollo de los programas de capacitación de la entidad relacionados con el SARO.

probable y casi cierta). METODOLOGIA Y PROCEDIMIENTO El desarrollo del modelo que la Financiera Energética Nacional S. De la Revisoría Fiscal Le corresponde elaborar un reporte al cierre de cada ejercicio contable. en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento por parte de la entidad de las normas establecidas sobre el SARO. ü Identificación de riesgos principales (altos. improbable. estableció para la administración del Riesgo Operativo comprendió los siguientes pasos de evaluación: ü Entrevista con la alta dirección: A través de la cual se estableció la severidad máxima aceptable y de ocurrencia para los eventos de riesgo en la entidad. ü Determinación de posibles impactos del riesgo operativo (insignificante. ü Análisis de escenarios sobre la continuidad del negocio en materia de: ü Instalaciones físicas ü Personas ü Procesos ü Infraestructura tecnológica Noviembre de 2007 11 . ü Desarrollo de registro de eventos de riesgo en una base de datos diseñada por procesos. menor. ü Determinación de la probabilidad de ocurrencia de los eventos (Rara. mayor o catastrófico). Cualquier incumplimiento observado debe ser puesto en conocimiento de la Presidencia y la Junta Directiva. ü Entrevista con los responsables de cada uno de los procesos para identificar en forma detallada los eventos de riesgo en cada una de las etapas de los procesos. moderado. posible. así como para valorarlos e identificar los controles. A.MANUAL DE RIESGO OPERATIVO De la Oficina de Control Interno La Oficina de Control Interno debe evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin determinar el grado de eficiencia y las oportunidades de mejora encontradas. De su gestión debe informar tanto al Departamento de Administración de Riesgos como a la Presidencia y al Comité de Auditoria de la Junta Directiva. 11. medios y bajos) en cada uno de los procesos que conforman el mapa de procesos de la entidad.

Noviembre de 2007 12 . medios y bajos Determinación de probabilidad Entrevista Alta Dirección Determinaciónn de posibles impactos Desarrollo de Registro de eventos de riesgos Básico ¿ Identificación detallada de riesgos Entrevista con dueños de los procesos Análisis de escenarios sobre la continuidad del negocio Medio Desarrollo de controles. ha establecido un modelo de gestión de Riesgos el cual abarca las siguientes etapas: Medición Identificación Mitigación Divulgación Control Monitoreo Identificación: Consiste en la identificación de los riesgos internos y externos que pueden afectar las diferentes actividades de cada uno de los Procesos que conforman el Mapa de la Entidad. Etapas de la Administración del Riesgo Operativo La Financiera Energética Nacional S. procesos y procedimientos de Riesgos 11.MANUAL DE RIESGO OPERATIVO Identificación de los Riesgos principales altos. A.1.

En esta parte es importante medir la eficiencia del control frente al costo y la fluidez de los procesos. o compartirlo. Entre 81% y 100% El evento ocurrirá en casi cualquier circunstancia. los riesgos inherentes. Entre 0% y 20% 5 Nota: El horizonte de tiempo considerado para la determinación de la probabilidad es de un año. Entre 21% y 40% El evento puede ocurrir solo bajo circunstancias excepcionales. Entre 61% y 80% El evento ocurrirá en algún momento. Control Consiste en evaluar cada uno de los controles establecidos determinando su acertividad así como la necesidad de mejora o establecimiento de nuevos controles. la evaluación de los mismos. 4 Probable Significativa probabilidad de oc urrencia. esta etapa permite comunicar en forma oportuna a cada funcionario en todos los niveles los riesgos identificados. 11. Estos riesgos son evaluados con bases residuales y bases inherentes. Casi con certeza se espera la ocurrencia del evento. Mitigación El Departamento de Administración de Riesgos debe analizar los riesgos y las respuestas para evitarlo. De esta etapa se desprenden continuos ajustes al sistema para hacerlo efectivo con los propósitos del mismo. Noviembre de 2007 13 . 3 Posible Mediana probabi lidad de oc urrencia. alineándolo con la tolerancia al riesgo definida por la institución. 1 Raro Muy baja probabilidad de ocurrencia. evaluación y administración del sistema para una adecuada retroalimentación. Entre 41% y 60% El evento puede ocurrir en algún m omento. Monitoreo Actividad que se lleva a cabo a través de la verificación. Divulgación Como consecuenci a de un adecuado registro de los eventos.MANUAL DE RIESGO OPERATIVO Medición Los riesgos identificados son evaluados considerando su probabilidad de ocurrencia y su impacto en caso de materializarse. reducirlo.2. aceptarlos. Tabla de Probabilidad Se estableció la siguiente tabla de Probabilidad: Probabilidad Clasificación Casi Certeza Se espera la ocurrencia del evento en la mayoría de las circunstancias. 2 Improbable Baja probabilidad de oc urrencia. los controles y los propósitos para llevarlos a unos niveles mínimos que no afecten la operacionalidad de la entidad.

como se muestra en la siguiente matriz: % Casi Certeza 5 5-1 5-2 5-3 5-4 5-5 Probabilidad de Ocurrencia Probable 4 4-1 4-2 4-3 4-4 4-5 Posible 3 3-1 3-2 3-3 3-4 3-5 Improbable 2 2-1 2-2 2-3 2-4 2-5 Raro 1 1-1 1-2 1-3 1-4 1-5 $ 1 Insignificante 2 Menor 3 Moderado Magnitud de Impacto 4 Mayor 5 Catastrófico La severidad de los riesgos se ha representado con los siguientes colores: Bajo = Moderado = Alto Extremo = = 11. Matriz de Riesgos Una vez evaluados los riesgos de acuerdo con su probabilidad e impactos se construyó la matriz de riesgos.MANUAL DE RIESGO OPERATIVO 11. así: Noviembre de 2007 14 . con el objetivo de detectar los riesgos que pudieran encontrarse en la zona roja.3.4. Evaluación de los controles Los riesgos son mitigados con controles. los cuales serán evaluados de acuerdo con su efectividad e implementación.

en cuanto a periodicidad establecida y dueños del control asignados El control tiene algunas fallas en su aplicación. y los controles en cuanto a efectividad y grado de implementación.5. Mapa de Ri esgos Como resultado de la valoración de los Riesgos en cuanto a probabilidad y magnitud.MANUAL DE RIESGO OPERATIVO Efectividad Escala 3 2 1 Definición Fuerte Moderada Débil Descripción Los controles son adecuados en cuanto a su diseño inherente Los controles son adecuados. sin embargo existen algunas debilidades que no representan un riesgo significativo Los controles no son de nivel aceptable Implementación Escala Definición Descripción 3 Alta 2 1 Media Baja El control se aplica de la forma planeada. se obtiene el Mapa de Riesgos de la Entidad el cual contiene: ü ü ü ü Noviembre de 2007 Código del Evento de Riesgo Valoración del Riesgo Bruto Valoración del Control Valoración del Riesgo Residual 15 . sin embargo no representa mayores riesgos El control no se aplica de la forma planeada Derivado de la siguiente escala se crea una matriz con la finalidad de evaluar cuán importante es cada control para un riesgo: Efectividad de Diseño Fuerte 3 3 6 9 Fuerte 3 Moderada 2 2 4 6 Moderada 2 Débil 1 1 1 1 2 Media 3 3 Alta Débil 1 Evaluación Estado Baja Implementación 11.

110. 60. 9. 89. 90. 122. 67. 107. 29. 74. 38. 68. 76. 38. 43. 71. 80 8. 15. 39. 109 3. 96. 2. 106. 71. 27. 45. 88. 127 Riesgo Bruto Extremo Riesgo Bruto Alto Riesgo Bruto Moderado Posible 6. 34. 52. 108. 109. 104. 55.MANUAL DE RIESGO OPERATIVO ü Nombre del Evento de Riesgo. 85. 90. 50. 85. 27. alto. 98. 111 Improbable 32 5. 33. 105. 76. 128 1. 66. 96. 51. 112 116. 63. 72. 119. 9. 63. 49. 40. 84. 39. Código Valoración del Valoración Riesgo Bruto Control del Valoración del Nombre del Riesgo Riesgo Residual 11. 41. 66. 72. 82. 10. 75. 119. 23. 100 117. 17. 20. 26. 97. 92. 110. 54. 34. 47. 50. 53. 70. 16. 48. 94. 42. 59. 81. 89. 101. 25. 121 11. 88.31. 101. 30. 84. 57. 65. 83. 94. 33. 62. Riesgo Residual Extremo Riesgo Bruto Alto Riesgo Residual Alto Noviembre de 2007 16 . 123 1. 122. 95. 86. 48. 2. 86. 99. 44. 97. 20. 113 124. 87. 46. 51. 14. 60. 73. Matriz de Riesgos y Matriz de Ries go residual de la Entidad Del Mapa de Riesgos de la entidad se desprenden la Matriz de Riesgos que clasifica cada uno de los eventos sin aplicar controles en extremo. 64. 92. 40. 37. 56. 106. 107. 52. 12. 56. 7. 91. 18. 105. 99 Riesgo Bruto Bajo Raro 19. 91. 36. 49. 46. 65. 54. 83. 59. 24. 58. 115. 13. 95. 47. 93. 121 1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico Y la matriz de Riesgo residual la cual ubica cada uno de los eventos de Riesgo después de haber aplicado los controles asÍ: Riesgo Bruto Extremo 104. 117. 125. 62. 82. 108. 77. 61. 36. 103. 79. 35. moderado y bajo: Corresponde a los códigos de los eventos de Riesgo Casi Certeza Probable 114 115 11 12. 21. 123. 13. 41. 78. 42. 98. 35. 10. 22. 22. 126 3. 69 93. 57. 14. 120. 118 4. 43. 5. 44. 100. 127 4. 28. 31.6. 102. 37. 75.

28. Los controles ayudan a mitigar el riesgo junto con la atomización de operaciones. 73.MANUAL DE RIESGO OPERATIVO 111. con la finalidad de determinar cómo será administrado el riesgo y en qué casos se deberán establecer tratamientos tal como se muestra en la siguiente tabla: Noviembre de 2007 17 . 24 8. 79. 125. 80. 126 Riesgo Bruto Moderado Riesgo Bruto Bajo 18. 45. 74. 114 Débil Moderado Fuerte SOLIDEZ DEL CONTROL 6. 115. Las matrices de riesgos serán evaluadas por el Comité Integral de Riesgos. 70 Una vez evaluados los controles. 17. 32. 25. 69. 23. 87. 78. por ejemplo: seguros de daños. 120. 124 Riesgo Residual Moderado Riesgo Residual Bajo 7. etc. 16. la metodología considera que dependiendo de la aplicación de los mismos se podría reducir el riesgo. 53. 30. 55. 118. 116. 26. 67. fianzas. Algunos controles son fuertes reduciendo la probabilidad de ocurrencia del riesgo el cual se reduciría únicamente si se cuenta con ellos. 112. 81. 77. 113. 29. 19. los planes de contingencia o traspaso del riesgo a un tercero. 68. 128 15. 128 21.

que podrían convertirse en futuras pérdidas en las líneas de negocio.7.8. Estos indicadores pueden proveer información sobre la efectividad de la gestión de riesgo operacional.MANUAL DE RIESGO OPERATIVO De las decisiones que adopte el Comité Integral de Riesgos se deben desprender acciones correctivas dirigidas a las diferentes áreas de la entidad de acuerdo con sus competencias y a los responsables de cada proceso con el fin de que los eventos mas impactantes de Riesgo residual se ubiquen en lugares de bajo impacto. Indicadores de Riesgo Los indicadores de Riesgo son métricas que pueden ser utilizadas para identificar zonas calientes ( hot spots ). Registro de eventos de Riesgo La FEN ha diseñado una base de datos para registrar la totalidad de los eventos de riesgo operativo que se pudieren presentar en todos los procesos tales como: ü Aquellos que generan pérdidas y afectan el estado de resultados de la entidad. los indicadores seleccionados deben cumplir con los estándares siguientes: ü La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio experto del dueño del proceso o de la línea de negocio. ü De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos en medidas cuantitativas. La base de datos contiene: ü Código ü Fecha de inicio del evento ü Fecha de finalización del evento ü Fecha del descubrimiento ü Fecha de contabilización ü Moneda ü Monto ü Valor recuperado ü Valor recuperado por seguros ü Clase de evento ü Proceso afectado ü Cuenta PUC afectada ü Tipo de pérdida ü Descripción del evento ü Línea Operativa 11. Estas medidas pretenden reflejar el perfil de riesgos de la organización. ü Aquellos que generan pérdidas y no afectan el estado de resultados de la entidad y ü Aquellos que no generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad. Noviembre de 2007 18 . ü Tener sensibilidad al riesgo: un incremento en el valor del indicador debe corresponder a un incremento en el riesgo monitoreado. Idealmente. 11.

Plan de Continuidad del Negocio El Plan de Continuidad del Negocio debe contener: Noviembre de 2007 19 . deben estar bien documentados y sujetos a revisiones ü La validez y pertinencia de los indicadores deberá ser validada comparándolos con la historia de pérdidas registradas. Diagnóstico Para la elaboración del Plan de Continuidad del Negocio de la Financiera Energética Nacional S. servicios generales y zonas comunes) ü Personas (conocimiento y salud laboral) ü Procesos (documentación y evaluación respecto a impacto financiero en caso de presentarse una suspensión (en tiempo y en dinero) ü Infraestructura tecnológica. 12. Posteriormente se elaborará el Plan de Continuidad del Negocio . servidores. dentro del plazo establecido por la norma (a más tardar el 1º de julio de 2008. estratégico. ü Los indicadores independientes. Tiempo máximo de interrupción (RTO) Punto objetivo de recuperación (MPO) Recursos mínimos para operar en contingencia Impactos financiero.MANUAL DE RIESGO OPERATIVO ü Poder definir valores máximos que desencadenen alertas de prevención temprana del riesgo. (aplicaciones. almacenamiento y respaldo).1. operacional .A. se realizó un diagnóstico en el cual se midió el grado de preparación de la entidad para enfrentar situaciones que pudieren ocasionar interrupciones parciales o totales en la prestación de los servicios. Análisis de riesgos de continuidad del negocio y su impacto El análisis comprende: ü ü ü ü ü ü ü Líneas de procesos críticos. PLAN DE CONTINUIDAD DEL NEGOCIO 12. bases de datos.2.) 12. Con base en dicho diagnóstico se identificaron los aspectos más vulnerables que podrían ocasionar riesgos en la continuidad del negocio. en las siguientes dimensiones: ü Instalaciones físicas (acceso. otros Proveedores (que impacten la operación) Histórico de interrupciones 12. redes.3.

a la Presidencia y al Comité de Auditoria. así mismo por dar cumplimiento a los reportes sobre el avance en la implementación del sistema y aquellos que en el futuro establezca la Superintendencia Financiera de Colombia. La Oficina de Control Interno debe informar los resultados de las evaluaciones sobre la efectividad y el cumplimiento de todas y cada una de las etapas del SARO. 14. el Departamento de Administración de Riesgos Noviembre de 2007 20 . superar las pruebas que confirmen su efectividad. MEDIOS TECNOLÓGICOS UTILIZADOS La FEN ha diseñado una herramienta tecnológica a través de la cual se registran las valoraciones de cada uno de los eventos de riesgo operativo y se llevará el registro de los eventos de pérdida que se pudieren presentar tales como: ü ü ü ü ü ü ü Fraude interno Fraude externo Relaciones Laborales Clientes Daños a activos físicos Fallas tecnológicas Ejecución y administración de procesos En la medida que los responsables de cada proceso identifiquen mejoras o la posible ocurrencia de nuevos eventos de riesgo. REPORT ES El Departamento de Administración de Riesgos responde por la preparación y remisión de los informes a la Presidencia y a la Junta Directiva. ser divulgado y conocido por todos los responsables de su ejecución en sus diferentes etapas. informes que deberá presentar al Departamento de Administración de Riesgos. Adicionalmente el Plan de Continuidad del Negocio debe ser objeto de revisión y actualización por lo menos cada año.MANUAL DE RIESGO OPERATIVO ü Objetivo ü Alcance ü Gobierno Estructura para contingencia Roles y responsabili dades Línea de sucesión Cadena de llamadas ü Procedimientos generales ü Procedimientos alternos para trabajar bajo contingencias ü Procedimientos de mantenimiento El Plan de Continuidad del Negocio debe estar en funcionamiento en los términos y plazos establecidos por la Superintendencia Financiera de Colombia y debe ser probado. 13.

evaluación. deberá hacer parte del proceso de inducción de la entidad y ser objeto de evaluación para eficacia frente a las políticas y objetivos del sistema. puesta en marcha y mantenimiento del sistema. debe asegurar la existencia de la documentación y registro de eventos de riesgo así como de la documentación concerniente al diseño. DOCUMENT ACION Y REGISTRO La FEN sin perjuicio de las normas establecidas en el Manual de Archivo. 16. 15. Noviembre de 2007 21 .MANUAL DE RIESGO OPERATIVO valorará dicha situación y registrará en las bases de datos dichos eventos con el fin de asegurar la permanente actualización del sistema. Los registros contables deberán ejecutarse de acuerdo con el Plan Único de Cuentas y las instrucciones que sobre el particular establezca la Superintendencia Financiera de Colombia. el área de Servicios que la información y porque todos los y requerimientos del La capacitación en el sistema deberá reforzarse por lo menos una vez al año. implementación. DIVULGACION Y CAPACITACION El Departamento de Administración de Riesgos debe coordinar con Legales y de Apoyo las actividades necesarias para asegurar concerniente al sistema sea divulgada periódica y adecuadamente funcionari os permanezcan actualizados en cuanto al funcionamiento Sistema.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->