Manual de Riesgo Operativo

Sesin de Junta Directiva - junio de 2007

Introduccin
Mediante las circulares 048 y 049 de 2006 la Superfinanciera fij las bases y los lineamientos mnimos que deben ser implementados por las entidades sometidas a su supervisin y vigilancia, para el desarrollo de un Sistema de Administracin del Riesgo Operativo SARO. En lnea con ese requerimiento Fogacoop desarrolla el presente manual, teniendo en cuenta a su vez, como igualmente lo sealan las mencionadas circulares, su estructura, tamao, objeto social y actividades de apoyo. En este sentido, la definicin y mbito de los riesgos operativos para el SARO se toman de los que la entidad tiene definidos y descritos en el documento denominado Mapa de Riesgos, el cual fue desarrollado en cumplimiento de lo establecido en la Ley 87 de 1993, en la Ley 2145 de 1999 y en el Decreto 1537 de 2001 . Teniendo en cuenta que en el mencionado mapa de riesgos ya elaborado, se han definido e identificado los riesgos para la mayora de los procesos y se han establecido los controles para mitigar los mismos, el presente manual se desarrolla con base en lo all descrito, complementndolo en lo pertinente a fin de adecuarlo a los requerimientos metodolgicos establecidos en las circulares 048 y 049 ya comentadas.

Polticas para la Administracin del Riesgo Operativo

Impulsar la cultura en materia de riesgo operativo. Prevenir la prdida de recursos monetarios mediante la debida y permanente identificacin y control de los riesgos asociados Asegurar el cumplimiento de normas internas y externas. Prevenir y resolver posibles conflictos de inters en la recoleccin de informacin en las diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo. Identificar los cambios en los controles y los factores de riesgo operativo. Desarrollar e implementar un plan de continuidad del negocio

Metodologa para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

1. Identificacin: La identificacin de los riesgos operativos se realiza a travs de la aplicacin de una encuesta a las reas responsables de los diferentes procesos, la cual constar de un formato de preguntas y respuestas en los que se deje registrado para cada proceso enunciado, la siguiente informacin: Los riesgos operacionales que identifica cada rea y los factores de riesgo para cada uno (deficiencias o fallas en el recurso humano, en el proceso, en la tecnologa asociada, en la infraestructura o por la ocurrencia de acontecimientos externos). Los controles existentes y si fuere el caso, enunciar los que en su opinin deben implementarse de manera adicional o sustitutiva, as como los responsables del control. Los eventos de riesgo que se hayan presentado para cada uno de los riesgos identificados.

Metodologa para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

2. Medicin: Los criterios para efectuar la medicin de los riesgos son los siguientes: Probabilidad de ocurrencia : El horizonte de tiempo para establecerla es de un ao y la unidad de medida ser: Alta, Media, Baja. Para establecer la probabilidad de ocurrencia, se deber tener en cuenta si se han presentado eventos de riesgo de manera permanente, espordica o recurrente. Impacto: La unidad de Medida para el impacto ser igualmente: Alto, Medio, Bajo y se califica teniendo en cuenta sus efectos econmicos, reputacionales y legales. Una vez se realice la medicin de la probabilidad y el impacto para los riesgos de cada proceso por las reas responsables, se debe realizar la medicin consolidada para la entidad, determinando el perfil de Riesgo Inherente. Nota: No obstante que la medicin que se va a realizar es cualitativa, se debern usar los siguientes rangos al establecer la calificacin alta, media o baja:
Gua para calificar la probabilidad y el impactode un evento de Riesgo Operativo Baja(o) Media(o) Alta(o) Probabilidad Entre 0 y 5% Impacto Menos del 0.1% del patrimonio del Fondo Entre 5 y 10% Entre el 0.1% y el 1% del Patrimonio del Fondo Mas de 10% Ms del 1% del Patrimonio del Fondo

Metodologa para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

3. Control: Las medidas de control que se definan, deben considerar el costo de su implementacin frente al impacto esperado con base en la probabilidad de ocurrencia de cada riesgo. Una vez se implementen los controles, se debe revisar la medicin de la probabilidad y el impacto por parte de las reas responsables para los riesgos de los procesos modificados, determinando el perfil de Riesgo Residual (despus de controles) en esos casos y el nuevo perfil de riesgo consolidado. 4. Monitoreo: Semestralmente se realizar un seguimiento por parte de la Auditoria Interna, con el fin de evaluar el cumplimiento a los controles establecidos y medir la eficiencia de dichos controles a travs del seguimiento a los eventos de riesgo que se presenten.

Procedimiento para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

Paso1: Identificar por parte de las reas responsables de los procesos, todos y cada uno de los riesgos asociados. Identificar los controles existentes y si fuere del caso, los que deberan implementarse y establecer la probabilidad e impacto de cada riesgo, antes y despus de los controles, con base en la metodologa definida. Anexo No. 1 y 2 Paso 2: Una vez diligenciada la correspondiente encuesta por parte de las areas responsables, se remitir a la Unidad de Riesgo Operativo, la cual consolidar los resultados, evaluar lo descrito y conceptuar sobre la racionalidad del riesgo o los riesgos identificados. El resultado debe ser consignado en el formato establecido. Paso 3: Con base en los resultados obtenidos de los pasos 1 y 2, la Unidad de Riesgo Operativo establecer el perfil de riesgo inherente y residual consolidado de la entidad.

Procedimiento para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

Paso 4: Las reas responsables de los procesos en los cuales se han identificado riesgos operativos, debern al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo, segn formato descrito en el Anexo No.3. La Unidad de Riesgo Operativo es responsable de mantener actualizados los registros relativos a los reportes y evaluar la necesidad de efectuar actualizaciones y/o modificaciones a los procedimientos y planes de accin relativos al SARO.

Paso 5: Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad de Riesgo Operativo revisar los riesgos, sus controles y mediciones con el fin de identificar los posibles cambios en el perfil de riesgo de la entidad.

Procedimiento para la Identificacin, Medicin, Control y Monitoreo de los Riesgos Operativos

Paso 6: La Auditoria Interna, con base en los seguimientos que realice de manera peridica e independiente y en la informacin resultante de los pasos 4 y 5 que le ser suministrada por la Unidad de Riesgo Operativo, proceder a determinar las deficiencias en el SARO y proponer posibles soluciones.

Paso 7: Para dar cumplimiento a lo establecido sobre la Revelacin contable de los eventos, con base en s los mismos generan prdidas y afectan el PyG de la entidad, stos debern registrarse de la manera establecida en el Numeral 3.2.8.3. de la Circular Externa No. 049 de 2006 de la Superfinanciera.

Estructura organizacional del SARO

La estructura organizacional que apoya el SARO ser la siguiente: La Junta Directiva con las funciones definidas en las circulares 048 y 049 de 2006. El Director con las funciones establecidas para el Representante Legal en las circulares 048 y 049 de 2006. La Gerencia Financiera tendr asignadas las funciones de la Unidad de Riesgo Operativo previstas en las circulares 048 y 049 de 2006. El Auditor Interno deber evaluar peridicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y proponer posibles soluciones. Informar los resultados de la evaluacin al Representante Legal y a la Unidad de Riesgo Operativo y realizar una revisin peridica del registro de eventos e informar al R.L sobre el cumplimiento de las condiciones sealadas para estos registros. El Revisor Fiscal deber elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluacin del cumplimiento de las normas e instructivos sobre el SARO y poner en conocimieto del R.L. los incumplimientos del SARO, sin perjuicio de la obligacin de informar sobre ellos a la Junta Directiva.

Informes
Tipo de Informe Registro de eventos de riesgo Periodicidad Segn se presenten Responsable Profesional responsable Auditor Interno Unidad de Riesgo Operativo Director Revisor Fiscal Destino
Direccin, Gerencia Financiera y Auditora Gerencia Financiera, Director y Junta Directiva Auditor Interno Director Junta Directiva Director y Junta Directiva

Informe de resultados de la evaluacin Semestral del SARO Informe de evolucin controles y monitoreo Informe de evolucin relevantes del SARO del riesgo, Semestral

aspectos Semestral

Informe de conclusiones sobre el Anual cumplimiento de normas e instructivos del SARO

Estrategias de capacitacin y divulgacin del SARO

Expedir un acto administrativo por medio del cual se implemente el sistema de medicin y control del riesgo operativo y se establezca la obligatoriedad de la aplicacin. Publicar a travs de los medios internos disponibles todos los aspectos relacionados con los mecanismos de identificacin, medicin, control y monitoreo del SARO. Capacitar de manera oportuna acerca de cada una de las actualizaciones o eventos asociados al SARO. Establecer las herramientas necesarias para dar a conocer a los entes relacionados directa o indirectamente con la operacin del Fondo, las medidas y polticas establecidas por el Fondo relacionadas con el SARO.

Anexo 1
La encuesta se debe diligenciar en un cuadro, en el cual consignar sus respuestas a las siguientes preguntas, con respecto al proceso en particular para el cual la encuesta se lleva a cabo: 1. Para el proceso enunciado, cul o cules son los riesgos operacionales qu Usted identifica. 2. Para el o los riesgos por Usted identificados anteriormente, indique en cada caso s la prdida que se pueda producir en caso de incurrir en el mismo, tiene efecto en trminos econmicos y/o reputacionales y/o legales. 3. Para el o los riesgos identificados establezca el factor de riesgo de cada uno. Lo anterior sugiere establecer s el riesgo se produce por deficiencias o fallas en el recurso humano, en el proceso, en la tecnologa asociada, en la infraestructura o por la ocurrencia de acontecimientos externos. 4. Para cada riesgo describa los controles existentes y si fuere el caso, enuncie los que en su opinin deberan implementarse de manera adicional o sustitutiva. 5. Mencione para cada riesgo identificado las acciones que se han seguido y las que deberan adoptarse cuando se presenten eventos de riesgos y el resultado de los controles aplicados si fuere el caso. 6. Para cada riesgo identificado deber, con base en la metodologa descrita en el presente Manual, medirse su probabilidad de ocurrencia e impacto sobre los criterios econmicos, reputacionales y legales, sin tener en cuenta el o los controles. Repita el mismo ejercicio de medicin descrito en este Numeral, pero ahora posterior a los controles.

PROCESO

RIESGO

FACTOR de RIESGO

PROBABILIDAD

DE OCURRENCIA SIN ONTROLES

REPUTACIONAL

Anexo 2
ECONMICO IMPACTO LEGAL EVENTO Y FORMATO DE CONTROL RESPONSABLE DEL CONTROL PROBABILIDAD CON ONTROLES REPUTACIONAL ECONMICO IMPACTO LEGAL DE OCURRENCIA

SISTEMA DE ADMINISTRACION DE RIESGOS OPERATIVOS ENCUESTA DE RIESGOS POR PROCESO

Anexo 3
Todos los responsables de los procesos para los cuales se han identificado riesgos debern al momento de ocurrir un evento de riesgo operativo, reportarlo a la Unidad de Riesgo Operativo. El correspondiente reporte deber hacerse en un formato en Excel que contendr la siguiente informacin: Riesgo al que se hace referencia Fecha de inicio del evento Fecha de finalizacin del evento Fecha del descubrimiento Fecha en que se registra contablemente la prdida por el evento Cuanta de la prdida Cuanta total recuperada por accin directa de la Entidad (incluye cuantas recuperadas por seguros) Cuanta recuperada por seguros Clase de evento (fraude interno, fraude externo, clientes, daos a activos fsicos, fallas tecnolgicas, ejecucin, administracin de procesos) Producto o servicio afectado Cuenta o cuentas PUC afectadas Proceso afectado Tipo de prdida (con efecto sobre PyG, sin efecto sobre PyG, no genera prdida) Descripcin detallada del evento Lnea operativa