Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________

Evaluación de riesgos de corrupción y soborno

I. Objetivo

Documentar el ejercicio de identificación, medición, control y monitoreo de los riesgos corrupción y

soborno a los que DISDROBLAN S.A. (en adelante la compañía) puede estar expuesto en atención a la
naturaleza de su objeto social.

II. Marco de referencia

La metodología implementada está alineada con la ISO 31000:2018 y los elementos definidos en el
Capítulo XIII de la Circular Básica Jurídica y la Circular Externa 100-000003 de 2016 de la
Superintendencia de Sociedades y su modificación del 9 de agosto del 2021.

III. Definiciones clave

 Apetito de riesgo: Se refiere a la cantidad de eventos adversos o el nivel de riesgo que la

Compañía está dispuesta o tiene la capacidad de aceptar para alcanzar sus objetivos. Este
concepto se refleja en el mapa de riesgo o mapa de calor.
 Causa: Situación o contexto que motiva el riesgo.
 Control: Cualquier medida ya sea un proceso, política, dispositivo, práctica o acción para
mitigar o gestionar el riesgo.
 Corrupción: El abuso del poder otorgado para ofrecer ganancias privadas, o el mal uso o abuso
de las funciones públicas para obtener ganancias privadas.
 Factores de riesgo: Son los elementos del modelo de operación y del entorno de negocio, que
por sí solo o en combinación con otros, tiene el potencial de generar riesgo. Estos pueden ser
agentes internos como el producto, recurso humano o los procesos, o agentes externos como
los clientes, proveedores o las jurisdicciones donde se opera.
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
La Circular Externa 100-000003 de 2016 de la Superintendencia de Sociedades indica que los
factores de riesgo de corrupción y soborno transnacional son el país, sector económico y la
utilización de terceros.
 Mapa de riesgos: Es una herramienta que presenta gráficamente los riesgos identificados y su
evaluación en cuanto a probabilidad de ocurrencia e impacto. De acuerdo con la evaluación
del riesgo, este se ubica dentro de un mapa de calor que representa lo que la compañía
considera un nivel de riesgo alto, medio o bajo según la combinación de probabilidad de
ocurrencia e impacto.
 Matriz de riesgos: La matriz de riesgo permite documentar el análisis de riesgos y visualizar los
factores, causas, consecuencias, controles y valoraciones que fueron considerados en este
ejercicio.
 Riesgo de contagio: Es la posibilidad de pérdida que se sufre de manera directa o indirecta,
por el actuar de un tercero.
 Riesgo inherente: Se refiere al riesgo intrínseco o propio de la actividad que desarrolla la
compañía, sin tener en cuenta el efecto de los controles.
 Riesgo legal: Es la posibilidad de pérdida por el incumplimiento de normas que resulten en
sanciones, multas, o indemnización por daños.
 Riesgo operativo: Es la posibilidad de pérdida por deficiencias, fallas o inadecuaciones en el
recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de
incidentes externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales
factores.
 Riesgo reputacional: Es la posibilidad de pérdida por afectación negativa de la imagen,
desprestigio, publicidad negativa, cierta o no, afectando la confianza de sus grupos de interés
y causando pérdida de clientes, disminución de ingresos o procesos judiciales.
 Riesgo residual: Es el nivel de riesgo al que está expuesta la compañía después de ejecutados
los controles.
 Segmentación: Es el proceso por medio del cual se lleva a cabo la separación de elementos en
grupos homogéneos al interior de ellos y heterogéneos entre ellos. La división se basa en el
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
reconocimiento de diferencias significativas en sus características o variables de
segmentación.
 Soborno: Es el acto de dar, ofrecer, prometer, solicitar o recibir cualquier dádiva o cosa de
valor a cambio de un beneficio o cualquier otra contraprestación, o a cambio de realizar u
omitir un acto inherente a una función pública o privada, con independencia de que la oferta,
promesa, o solicitud es para uno mismo o para un tercero, o en nombre de esa persona o en
nombre de un tercero.
 Soborno transnacional: Es el acto en virtud del cual, una persona jurídica, por medio de sus
empleados, administradores, asociados, contratistas o sociedades subordinadas, da, ofrece o
promete a un servidor público extranjero, de manera directa o indirecta: sumas de dinero,
objetos de valor pecuniario o cualquier beneficio o utilidad a cambio de que dicho servidor
público realice, omita o retarde cualquier acto relacionado con sus funciones y en relación con
un negocio o transacción internacional. (Para el caso de este documento lo denominaremos
soborno).
 Tolerancia al riesgo: Se refiere a la variación en el nivel de riesgo frente al apetito de riesgo,
que es aceptable y que la compañía asume para el logro de un objetivo específico.

IV. Etapas del análisis de riesgos

1. Identificar el riesgo: El enfoque de la etapa de identificación es el análisis del contexto y

entorno en el que opera DISDROBLAN S.A. y de las situaciones asociadas a los riesgos de
corrupción o soborno inherentes a su negocio.

La etapa de identificación se basa en:

 Fuentes de información externas sobre riesgos de corrupción y soborno

 Las definiciones de los riesgos objeto del ejercicio de identificación

 El entendimiento y análisis de los procesos y contexto de la compañía

 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
Esta etapa de identificación también comprende la clasificación de los riesgos observados
considerando los factores y las causas que motivan el evento adverso.

Factores de riesgo

En cuando a factores, se refiere a los elementos del negocio y su entorno que podrían facilitar
la materialización de los riesgos de corrupción y soborno. Se consideran principalmente los
siguientes:

Factor de riesgo Descripción del factor

El evento surge de la interacción y/o la actuación de una
Contraparte
contraparte.
La zona en la que se desarrolla la operación es un factor que puede
influir en la presencia de los riesgos de corrupción y soborno.
Jurisdicción
Igualmente, la jurisdicción en donde se constituyó, se encuentra una
contraparte o su cuenta bancaria.
El tipo de producto y sus características pueden facilitar los riesgos
Producto
de corrupción y soborno.
Canal de El canal de distribución que utiliza la Compañía igualmente podrá ser
distribución una fuente de los riesgos de corrupción y soborno.

En el caso de clientes, estos pertenecen principalmente al sector público. Otra característica

del cliente que podría significar un mayor nivel de riesgo de corrupción y soborno es si a este
se le identifica o relaciona algún antecedente legal que impacte negativamente a la Compañía.
Esta indagación se realiza como parte de la debida diligencia sobre clientes que se detalla en el
Programa de Transparencia y Ética Empresarial. Igualmente, se verifican listas vinculantes para
Colombia y otras listas restrictivas para determinar el nivel de riesgo asociado al cliente.

En el caso de proveedores, DISDROBLAN S.A. adquiere las materias primas de empresas

nacionales.

En el caso de proveedores, se han identificado los proveedores críticos de acuerdo con las
siguientes variables:

 Proveedores que afectan directamente las actividades operacionales de la Compañía.

 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
 Proveedores que afectan el sistema de gestión de seguridad industrial, salud
ocupacional y medio ambiente.

Se realiza mayor seguimiento y auditorías anuales a proveedores críticos considerando su

impacto operativo. En cuanto al riesgo de soborno y corrupción asociado, al igual que en el
caso de clientes, la característica del proveedor que podría significar un mayor nivel de riesgo
es si este tiene algún antecedente legal relacionado con corrupción o soborno.

Por último, como canal de distribución DISDROBLAN S.A. tiene en cuenta los canales por los
cuales realiza y/o recibe pagos, que en todos los casos es el mismo: transferencia bancaria. En
este sentido, este factor no implica un mayor o menor riesgo de soborno y corrupción.

2. Medir el riesgo: Una vez identificados los eventos potenciales de riesgo, se evalúa cada riesgo
en función de su probabilidad de ocurrencia y el impacto que tendría en la Compañía su
eventual materialización. La combinación de impacto y probabilidad se denomina nivel de
riesgo que se explica a continuación.

La combinación de los criterios de probabilidad e impacto buscan representar los riesgos en

una escala de priorización, que se expresa gráficamente en un mapa de calor. Este mapa de
calor también refleja la actitud de la compañía frente al riesgo y su apetito al riesgo.

La escala utilizada es de tres (3) niveles de severidad que considera las diferentes
combinaciones de probabilidad e impacto. A continuación, se presenta el mapa de calor
implementado y los criterios de probabilidad e impacto propuestos:
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________

Mapa de Riesgo (Calor)

Alta (5) 5 15 25
PROBABILIDAD

Media (3) 3 9 15

Baja (1) 1 3 5

Leve (1) Moderado (3) Extremo (5)

IMPACTO

Criterios de Probabilidad

Score Impacto Descripción

El evento ocurre con frecuencia y/o es alta la probabilidad
5 Alta
de materializarse.
La situación ocurrió y se controló y/o puede ocurrir en el
3 Media
periodo.
La situación nunca ha ocurrido o difícilmente puede darse.
1 Baja
No obstante, el riesgo es concebible.
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________

La evaluación del impacto del riesgo es el proceso de evaluar las consecuencias de los eventos
de riesgo si se materializan. Si las consecuencias fueran múltiples, entonces se debe
seleccionar el impacto más crítico como la calificación general para asegurar una gestión
adecuada del riesgo. A continuación, se presenta la guía para evaluar el impacto:

Criterios de Impacto

Score Impacto Descripción

La materialización del riesgo ocasiona pérdidas económicas cuantiosas y
5 Extremo
puede generar la suspensión total de las actividades de la Compañía.
La ocurrencia del riesgo ocasiona pérdidas y puede impactar
3 Moderado
temporalmente las actividades de la empresa.
La materialización del riesgo no impacta la actividad de la Compañía de
1 Leve
forma significativa.

En este punto del proceso se evalúa el riesgo inherente, es decir el riesgo intrínseco o propio
de la actividad que desarrolla la Compañía, sin tener en cuenta el efecto de los controles o
tratamientos que ha implementado DISDROBLAN S.A.

3. Control del riesgo: De acuerdo con el nivel de riesgo inherente (probabilidad x impacto) se
diseñan estrategias de mitigación que disminuyan el nivel de riesgo al deseado o tolerable por
la Compañía. En este sentido, y considerando que el enfoque de la gestión de los riesgos de
corrupción y soborno es la prevención, detección y reporte, se implementan e identifican
controles que disminuyen la probabilidad de ocurrencia, permiten la detección y reporte
oportuno de eventos asociados.

Estos controles se evalúan en cuanto a su diseño y ejecución. La evaluación del diseño de los
controles se enfoca en:
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
· La naturaleza.
· La ejecución.
· La aplicación.
· La documentación.
· El tipo.

La calificación otorgada a cada una de estas características responde a la siguiente escala:

CRITERIO NIVEL SCORE

Manual 5
a z
le

Semiautomático 10
ra
tu
Na

Automático 15
No evidenciado 10
n
ió
uc

Evidenciado 25
ec
Ej

Aleatorio 5
ón
i

Parcial 10
ac
l ic
Ap

Total 30
No documentado 5
n
ció
ta

Semi-documentado 10
en
m
cu

Documentado 15
Do

Correctivo 5
Detectivo 10
po
Ti

Preventivo 15

En esta etapa, la calificación inicial otorgada al riesgo inherente es afectada considerando la

disminución de la probabilidad de ocurrencia y/o el impacto según la calificación de los
controles, para así obtener el riesgo residual.

4. Monitorear: Anualmente, DISDROBLAN S.A. deberá evaluar el diseño y la ejecución de los

controles para validar que:
 La actividad efectivamente mitiga el riesgo.
 Evaluación de riesgos de corrupución y soborno

_____________________________________________________________________________________
 La frecuencia de ejecución del control está alineada con la frecuencia de ejecución de la
actividad asociada al riesgo.
 La evidencia del control es suficiente para comprobar y realizar seguimiento a su
ejecución y resultado.
 La ejecución de los controles es adecuada y eficaz.

Esta evaluación puede realizarse con base en el seguimiento de indicadores y/o por medio
de auditorías anuales a los controles implementados por la Compañía.

Igualmente, el análisis de riesgo se debe revisar y actualizar de acuerdo con el nivel de riesgo, o
según los cambios que sufra el negocio y el mercado (p.ej. lanzar un nuevo producto o entrar a
un nuevo mercado).

Así mismo, el Oficial de Cumplimiento consolidará y analizará los eventos que se presenten
durante el año frente a los riesgos que se han identificado a la fecha y su valoración. Esto con el
objeto de determinar si la calificación de probabilidad e impacto debe revalorarse o si están
frente a un nuevo riesgo. Igualmente, deberá determinar si se requieren nuevos controles o
realizar modificaciones a los existentes.

V. Resultados de la evaluación de riesgos

La evaluación de riesgos de corrupción y soborno y el resultado del ejercicio se documentan en la Matriz

de Riesgos del PTEE, y se debe actualizar de manera anual.

VI. Actualización

La actualización de la metodología contenida en este documento es responsabilidad del Oficial de

Cumplimiento, quien debe evaluar si los cambios que se presenten en el entorno de negocio
cambian los criterios definidos y el apetito al riesgo de la compañía (mapa de calor). Como mínimo
la revisión y actualización de la metodología debe realizarse anualmente.