Manual SARLAFT Versión 1.

0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 1 de 14

Anexo 1

La administración del riesgo en FECAMARA se desarrolló tomando como referente el Estándar

de la Norma NTC ISO 31000:2009 del ICONTEC. Este estándar provee una metodología de
administración del riesgo de una manera fácil, entendible para que FECAMARA realice el
proceso de gestión de los riesgos de Lavado de Activos y de la Financiación de Terrorismo (en
adelante LA/FT) propios de las actividades autorizadas como Entidad de Economía Solidaria,
conforme a lo establecido en el numeral 2.1 de la Circular Externa 04 de 2017 emitida por la
Superintendencia de la Economía Solidaria.

Objetivos de la Metodología

Implementar los mecanismos que le permitan al Fondo de Empleados desarrollar adecuada y

racionalmente las metodologías de segmentación, identificación, medición, control y monitoreo
de los riesgos inherentes a su actividad social.

Antes de iniciar con el desarrollo de las etapas de la administración del riesgo de LA/FT, es
importante identificar una serie de conceptos y definiciones relacionadas con la gestión del
riesgo:

1. Definiciones

a) Aceptación de riesgo: Una decisión informada de aceptar las consecuencias y

probabilidad de un riesgo en particular.

b) Agentes económicos: Son todas las personas que realizan operaciones económicas
dentro de un sistema.

c) Apetito de riesgo: El apetito al riesgo, es la cantidad de exposición al riesgo, o impacto

adverso potencial de un evento que FECAMARA está dispuesta a aceptar/retener para el
logro de sus objetivos a largo plazo.

d) Consecuencia: El producto de un evento expresado cualitativa o cuantitativamente, sea

este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de
productos posibles asociados a un evento.

e) Control de riesgos: La parte de administración de riesgos que involucra la implementación

de políticas, estándares, procedimientos para eliminar o minimizar los riesgos identificados.

f) Criterios de riesgo: Términos de referencia mediante los cuales se evalúa la importancia

del riesgo.

g) Evaluación del control: Revisión sistemática de los procesos para garantizar que los
controles aún son eficaces y adecuados.

h) Evaluación de riesgos: El proceso global de análisis y evaluación de riesgo. El proceso

utilizado para determinar las prioridades de administración de riesgos comparando el nivel
de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos u otro
criterio.

i) Evento: Un incidente o situación de LA/FT, que ocurre en FECAMARA durante un intervalo

de tiempo particular.

j) Evitar un riesgo: Una decisión informada de no verse involucrado en una situación

de riesgo.
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 2 de 14

k) Frecuencia: Una medida del coeficiente de ocurrencia de un evento expresado como

la cantidad de ocurrencias de un evento en un tiempo dado. Ver también Probabilidad.

l) Gestión de riesgo: Actividades coordinadas para dirigir y controlar una entidad con
respecto el riesgo.

m) Impacto: Son las consecuencias que puede ocasionar al Fondo la materialización del riesgo
de LA/FT. Para la calificación del impacto se tendrán en cuenta los Riesgos Asociados
(Legal, Reputacional, Operativo y de Contagio) asignados al riesgo LA/FT en la Matriz de
Riesgo.

n) Identificación de riesgos: Proceso para encontrar, reconocer y describir el riesgo de

LA/FT. El proceso de determinar ¿Qué puede suceder? ¿Por qué? y ¿Cómo?, en
FECAMARA.

o) Mapa de Calor: Es la representación de unos cuadrantes marcados con colores donde se

agrupan los riesgos según el grado de criticidad; de esta manera para los riesgos más
críticos se deben ubicar en el cuadrante de color Rojo, los de criticidad media se ubican en
los cuadrantes de color naranja y, finalmente los menos críticos se ubican en los espacios
Amarillo y Verde.

p) Monitoreo: Comprobar, supervisar, observar críticamente, o registrar el progreso de una

actividad, acción o sistema en forma sistemática para identificar cambios.

q) Nivel de Riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en

términos de la combinación de Probabilidad y su Impacto.

r) Parte involucradas o personas interesadas: Personas y organizaciones que pueden

afectar, verse afectadas o percibirse como afectadas por una decisión, una actividad o un
riesgo.

s) Peligro: Una fuente de daño potencial.

t) Pérdida: Cualquier consecuencia negativa, reputacional, legal, operativa, financiera o de

otro tipo.

u) Posibilidad: Descripción general de la probabilidad o la frecuencia.

v) Probabilidad: Es la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que
pueden propiciar el riesgo, aunque éste no se haya materializado.

w) Proceso de administración de riesgos: La aplicación sistemática de políticas,

procedimientos y prácticas de gestión para establecer el Contexto, Valorar, Tratar,
Monitorear y Revisar los Riesgos.

x) Reducción de riesgos: Una aplicación selectiva de técnicas apropiadas y principios de

administración para reducir las probabilidades de una ocurrencia, o su Impacto, o ambas.

y) Tolerancia al Riesgo: Son los límites de riesgo por fuera de los cuales FECAMARA no
está preparada para enfrentar en la búsqueda del logro de los objetivos del SARLAFT.

z) Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar

el riesgo.
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 3 de 14

aa) Transferir riesgos: Cambiar la responsabilidad o carga por las pérdidas a una tercera
parte mediante legislación, contrato, seguros u otros medios.

bb) Valoración del riesgo: Proceso total de identificación del riesgo, análisis del riesgo y
evaluación del riesgo.

2. Desarrollo y ejecución de las etapas de la administración del riesgo

El sistema administración del riesgo en FECAMARA se instrumenta considerando el desarrollo

de las siguientes etapas: Identificación, Medición, Control y Monitoreo del Riesgo, tal como
se muestra en la gráfica:

Identificación

Monitoreo
Etapas del Medición
SARLAFT

Control

Gráfica: Ciclo de administración de Riesgo en FECAMARA

A continuación se hará la descripción que permita comprender como se identificaron los riesgos
de LA/FT, y cómo se desarrollaron las demás etapas para el diseño y construcción de la Matriz
de Riesgo LA/FT en FECAMARA:

2.1. Etapa de identificación del riesgo de LA/FT

2.1.1. Metodologías y Procedimientos para la identificación de los riesgos

En esta etapa se buscó identificar los riesgos de Lavado de Activos y de la financiación del
Terrorismo que se pueden presentar en las actividades que realiza FECAMARA, es decir,
durante la prestación de los servicios ahorro y crédito a los asociados a través de las diferentes
líneas que se tienen implementadas en FECAMARA, y en los diferentes procesos previstos en
la entidad para el adecuado desempeño de su objeto social.

Para identificar los riesgos inherentes a las actividades misionales y de apoyo en FECAMARA,
se desarrollaron los siguientes pasos:

a) Identificación de las fuentes o factores de riesgo

 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 4 de 14

En consideración a lo dispuesto en la Circular Externa 04 de Supersolidaria, a continuación se

muestran las fuentes o factores de riesgo sobre los cuales se realizó el diagnóstico para
identificar los riesgos de LA/FT en los productos y servicios de FECAMARA:

Canales de
Asociados Productos Jurisdicciones
Distribución

Otras Partes de
Proveedores Empleados
Interés
Gráfica: Fuentes de riesgo identificados en FECAMARA

b) Metodologías para la segmentación de las fuentes o factores de riesgo

i. Generalidades

La segmentación es el proceso por medio del cual se lleva a cabo la separación de los
asociados, las jurisdicciones, canales de distribución, y los productos/servicios en grupos
homogéneos que deben tratarse de forma diferente para efectos de la gestión de riesgo de
lavado de activos y financiación del terrorismo (LA/FT). La separación se fundamenta en el
reconocimiento de diferencias significativas en sus características.

Para FECAMARA la segmentación se realizará garantizando homogeneidad al interior de los

segmentos y heterogeneidad entre ellos, y siguiendo los parámetros descritos en el Manual
SARLAFT. Esta parte de la segmentación es utilizada para realizar el diagnostico de riesgo de
FECAMARA a partir de la clasificación y análisis de la información de los asociados y su nivel
transaccional.

ii. Metodología aplicada

En esta etapa de la administración del riesgo en FECAMARA ha establecido de manera

descriptiva la siguiente segmentación de los factores de riesgo, teniendo en cuenta el
conocimiento que se tiene del negocio, los datos obtenidos y las características de cada uno de
los elementos que integran cada factor de riesgo segmentado:

Factor de Factor de
Criterios de Clasificación Criterios de Clasificación
Riesgo Riesgo
Asociados Trabajadores de la Cámara de Partes
Empleados
comercio de Barranquilla Interesadas
Pensionados Proveedores y convenios
Trabajadores del fondo Beneficiarios de transferencias
o pagos
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 5 de 14

Ex asociados con
endeudamiento

Factor de Factor de
Elementos Naturaleza Tipo
Riesgo Riesgo
Oficina
Canales
Ahorro Página web
directos
Productos Canales de consulta
Crédito Canal
Canal Indirecto
Bancario

c) Realización de entrevistas y consulta de fuentes de información

Luego de haber realizado la identificación de las fuentes de riesgo, se procedió a preparar y

desarrollar diferentes entrevistas y cuestionarios, los cuales fueron completados por los
responsables de procesos en FECAMARA que por sus características e importancia, pueden
tener relación directa con factores críticos de riesgo.

También se utilizaron las siguientes fuentes de información como insumo para la obtención de
los posibles riesgos LA/FT de FECAMARA:

Insumo 1 Documentos preparados por la Unidad de Información y Análisis

Financiero –UIAF- en los cuales se describen diferentes tipologías de
lavado de dinero y de la financiación del terrorismo, así como de
señales de alerta en diferentes sectores de la economía nacional.

Insumo 2 Información de medios de comunicación sobre hechos y eventos de

riesgo materializados en los Fondos de Empleados.

Insumo 3 Conocimiento y opinión de consultores externos.

Insumo 4 Información encontrada en los documentos publicados por UNODC y

el Programa Negocios Responsables y Seguros NRS.
Insumo 5 Modelo de Administración del Riesgo LA/FT para el sector solidario–
Publicado por SES
Insumo 6 Instructivo Riesgo de Lavado de Activos y de la Financiación del
Terrorismo en el sector solidario – Publicado por la UIAF

2.1.2. Inventario de Riesgos de LA/FT identificados en FECAMARA

a) Registro de Riesgos

Luego de aplicar la metodología previamente descrita en los literales anteriores, se obtuvo los
riesgos de LA/FT que pueden ser inherentes a los diferentes procesos y actividades propios del
objeto social de FECAMARA.

Es importante tener en cuenta que cualquiera de los riesgos identificados, tienen mayor
probabilidad de ocurrencia o materialización, en el momento en que se incumpla alguno de los
controles que se establecerán tanto en el Manual SARLAFT y en la Matriz de Riesgo
Institucional, lo anterior, por cuanto son los mecanismos y procedimientos los que blindan al
Fondo de Empleados para que los riesgos tengan baja probabilidad de ocurrencia y
permanezcan en niveles aceptables para los intereses de FECAMARA.

b) Selección del Riesgo Asociado

 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 6 de 14

Posteriormente a la creación del riesgo, el Oficial de Cumplimiento procedió a seleccionar el

tipo de Riesgo Asociado con el cual se relaciona el riesgo de LA/FT identificado, esto es:
Riesgo Legal, Riesgo Reputacional, Riesgo Operativo y el Riesgo de Contagio, cuyas
definiciones se encuentran dentro del Glosario del Manual SARLAFT de FECAMARA.

c) Seleccionar la Fuente o Factor de Riesgo

El Oficial de Cumplimiento selecciono la fuente de riesgo sobre la cual se identificó el riesgo de

LA/FT en FECAMARA; para esto, se observó si el riesgo registrado se relaciona con algunas
de las siguientes fuentes de riesgo relacionadas con el contexto interno y externo de
FECAMARA:

Fuente Descripción
Corresponde a las personas naturales, con las cuales
FECAMARA establece y/o mantiene una relación contractual
para la prestación de cualquier servicio y/o suministro de
cualquier producto propio de la actividad de FECAMARA.
Asociados
Es toda persona natural en los términos del artículo 21 de la Ley
79 de 1988, que fue aceptada por la junta directiva y realiza los
aportes sociales definidos en los estatutos de FECAMARA.
Son las operaciones legalmente autorizadas que puede adelantar
Productos
FECAMARA con los asociados.
Canales de Corresponden a los medios que utiliza FECAMARA para la
distribución promoción y realización de sus operaciones.
Zonas geográficas donde FECAMARA desarrolla su actividad
Jurisdicciones
social o se encuentran localizados sus asociados.
Es toda persona natural que de manera personal y habitual
Empleados desempeña un cargo o trabajo dentro de FECAMARA a cambio
de una remuneración.
Es la persona, natural o jurídica, que abastece o presta servicios
Proveedores al Fondo para el cumplimiento de actividades propias de su
objeto social.

d) Determinación de la Causa

Posteriormente el Oficial de Cumplimiento ejecutó un análisis de los riesgos y, de esta manera

realizó el levantamiento de las Causas o circunstancias que pueden originar la ocurrencia de
los riesgos; para la asignación de las causas se observó el contexto interno y externo de
FECAMARA y las diferentes fuentes de riesgo descritos previamente en esta metodología.

Al momento de determinar las Causas se orientó el análisis sobre aquellas que son originadas
al interior y exterior de FECAMARA, y que pueden controlarse. Otras causas que no pueden
controlarse solo se utilizaron como información general, por cuanto FECAMARA no puede
incidir sobre ellas.

Para efectos de identificar las causas sobre cada riesgo, se utilizaron las siguientes palabras
claves como: Falta de, inadecuado, ausencia de, fallas en, exceso de, etc. Algunos ejemplos de
causas pueden ser:

 Ausencia de verificación y consultas de listas vinculantes y restrictivas.

 Inadecuada aplicación del procedimiento para identificación de los asociados.
 Fallas en la verificación de los documentos soportes entregados por los asociados.
 Etc.

e) Identificación de las consecuencias

 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 7 de 14

Las consecuencias representan las pérdidas que la ocurrencia del riesgo le acarrea al Fondo.
Entre las principales Consecuencias derivadas del incumplimiento del Sistema de
Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo se tienen:

Consecuencia
Sanciones
Llamados de atención por parte de
Supersolidaria, la UIAF u otra
autoridad
Deterioro del GoodWiil, Pérdida de
imagen, credibilidad o confianza
Prensa negativa que asocia al
Fondo de Empleados con grupos
delictivos vinculados al LA/FT
Inhabilidades
Procesos
disciplinarios
Requerimientos entes de control
Multas
Descripción
La sanción es la aplicación de algún tipo de pena o castigo a
un individuo o entidad ante determinado comportamiento
considerado inapropiado, peligroso o ilegal. En este sentido,
el concepto de sanción puede ser entendido de dos maneras
distintas, aunque similares y conectadas entre sí. Estos dos
sentidos son, básicamente, el jurídico y el social, contando
cada una con elementos particulares.
Son documentos que emiten los entes de control para indicar
alguna inconsistencia en algún proceso o falta leve en el
cumplimiento de alguna normatividad. Los llamados de
atención se clasifican en llamados de atención verbal y
escrito estos representan la primera fase de todo proceso
disciplinario, el llamado de atención verbal se aplica en
aquellas faltas que se consideran leves y que no implique
daño patrimonial o faltas al trabajo es importante dejar
constancia por escrito de que se aplicó este tipo de
amonestación.
Hace referencia al mantenimiento de una reputación de
buenas prácticas e intachable conducta lo que facilitará la
labor de FECAMARA y la fidelización de los asociados.
Noticia o información pública que vincula al Fondo de
Empleados o una de sus partes de interés con hechos
delictivos.
Impedimento para desempeñar un cargo, empleo o función,
ordenado por un ente de control.
Son todas las investigaciones que podrían adelantarse por
conductas inapropiadas de los integrantes de los procesos,
así como las generadas a la Entidad por observaciones de
los entes de control.
Documento que compila información solicitada por los entes
externos de control y vigilancia o quien lo requiera.
Sanción económica que se impone por no cumplir la norma.

f) Formas a través de la cual se materializa el riesgo

Dentro de la herramienta para administrar el riesgo se incluye una pestaña denominada

Tipologías, donde se incluyen las formas o metodologías a través de las cuales se puede
presentar el riesgo para FECAMARA.

2.1.3. Procedimientos adicionales para ejecutar en la etapa de identificación de los

riesgos

Los riesgos de LA/FT identificados o que se pudieran presentar en FECAMARA, deberán ser
conocidos y comprendidos por aquellos trabajadores de FECAMARA que administren procesos
en los cuales se consideren mayor sensibilidad al riesgo; lo anterior, con el propósito de
fomentar la cultura del SARLAFT y de igual forma, generar conciencia sobre las situaciones a
las cuales se les debe prestar atención, ya que sin un debido cuidado al materializarse pueden
afectar la imagen de FECAMARA, generar riesgos legales, operativos, verse afectados o
contagiados por acción de un vinculado.
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 8 de 14

Por lo tanto, los trabajadores y administradores de FECAMARA, deberán evitar al máximo

incurrir en situaciones que puedan motivar o potencializar la ocurrencia de riesgos de LA/FT.
Estas situaciones se conocen como Causas o Situaciones generadoras de riesgo y podrán
ser identificadas en la matriz de riesgo.

En adelante, y teniendo en cuenta lo establecido en el subnumeral 2.1.1 de la Circular Externa

04 de 2017, se debe evaluar e identificar los posibles riesgos de LA/FT, previamente al
lanzamiento de cualquier producto, la modificación de sus características, la incursión en un
nuevo mercado, la apertura de operaciones en nuevas jurisdicciones y el lanzamiento o
modificación de los canales de distribución, para tal efecto, se dejará constancia de este
análisis en el formato denominado Ficha Análisis de Fuentes de Riesgo de LA/FT
establecido en el Anexo 1A del Manual SARLAFT.

2.2. Etapa de Medición o Evaluación de los riesgo de LA/FT

2.2.1. Metodología para hacer el Análisis de los Riesgos

El análisis de riesgos consiste en establecer la probabilidad de ocurrencia versus el impacto

generado por la materialización de los riesgos identificados por cada proceso desarrollado en
FECAMARA.

El enfoque de medición del riesgo de LA/FT en FECAMARA se fundamenta en la metodología

NTC ISO 31000; para esto, se escogió el análisis semicuantitativo y como evolución natural del
sistema, se implementarán cada vez más análisis cuantitativos, a medida que se obtenga la
información y se desarrollen los procedimientos necesarios.

La determinación de la Probabilidad y el Impacto por cada riesgo asociado, se hará mediante

juicio de expertos según la metodología del numeral 5.4.3 de la norma técnica colombiana NTC
ISO 31000, la cual establece que una de las técnicas de análisis de riesgo es el uso de grupos
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 9 de 14

multidisciplinarios, en el cual se involucren las personas con el conocimiento apropiado de las

actividades que desarrolla FECAMARA.

Las mediciones de riesgo se realizaron bajo los criterios de Probabilidad e Impacto, conforme a
las escalas que se exponen a continuación:

a. Métrica de Probabilidad

Para medir la probabilidad de ocurrencia de los riesgos Inherentes y Residuales de LA/FT, se

empleará la siguiente tabla, la cual incluye cinco (5) escalas para la calificación, así:

Métrica de Probabilidad
Rango Frecuencia
Nivel probabilida Posibilidad (Niveles de
d ocurrencia)
Puede ocurrir solo bajo circunstancias Ocurre 1 vez al
1 Raro
excepcionales año
Poco Ocurre entre 1 y 5
2 Podría ocurrir algunas veces
probable veces al año
Ocurre entre 6 y
3 Posible Puede ocurrir en algún momento
10 veces al año
Hay buenas razones para creer que
Ocurre entre 11 y
4 Probable sucederá el riesgo en muchas
15 veces al año
circunstancias.
Casi con Se espera que ocurra en la mayoría Ocurre más de 15
5
certeza de las circunstancias veces al año

b. Métrica de Impacto

La calificación de impacto de los riesgos inherentes y residuales de LA/FT se realizó

considerando los riesgos asociados al riesgo LA/FT identificado, tal como lo muestra la
siguiente tabla:

Métrica de Impacto relacionada con los riesgos asociados de LA/FT

Rango
Nivel Reputacional Legal Operativo Contagio
Impacto
Insatisfacción
focalizada de los
asociados, las
FECAMARA no
No afecta la imagen empresas
tiene No afecta al
de la Entidad en el patronales o de
1 Insignificante Mercado
responsabilidad
las autoridades
Fondo de
Legal Empleados
[Suspensión de la
operación por lo
menos 1 hora]
Amonestación
Consecuencia Algunos asociados
o llamado de Afecta a algún
reputacionales que no afectados
atención por asociado de
2 Menor exceden del ámbito
parte de la
[Suspensión de
FECAMARA
interno de operaciones entre
autoridad
FECAMARA. 1 y 2 horas]
competente
Consecuencias Una cantidad
reputacionales a nivel importante de Afecta a algún
local. El problema es asociados son empleado de
Multa
3 Moderado conocido en el sector
Institucional
afectados FECAMARA
y otros interesados en [Suspensión de
la operación de operaciones entre
FECAMARA. 2 y 4 horas]
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 10 de 14

Métrica de Impacto relacionada con los riesgos asociados de LA/FT

Rango
Nivel Reputacional Legal Operativo Contagio
Impacto
Una cantidad muy
Consecuencias
importante de Afecta al
reputacionales a nivel
Cancelación de asociados son Representante
nacional. El problema
4 Mayor genera una nota en
la licencia de afectados Legal de
funcionamiento [Suspensión de FECAMARA.
un medio de
operaciones entre
comunicación
4 horas y 1 día]
Investigación
La mayoría de los La Entidad, sus
Inclusión de la penal y pena
asociados se administradores
Entidad, la empresas privativa de la
encuentran o algún director
empleadora o alguno libertad para
5 Catastrófico de alguno de sus algunos de los
afectados son
[Suspensión de relacionados
administradores en la administradores
operaciones por con alguna
Lista OFAC (Clinton) o directores
más de 1 día] organización
de FECAMARA
criminal
 
c. Niveles de riesgo

Una vez determinados los niveles de probabilidad e impacto, con base en las Métricas
suministradas anteriormente, se procede a ubicarlas dentro del Mapa de Riesgo el cual permite
visualizar gráficamente el indicador el perfil de riesgo o nivel de severidad:

Nivel Descripción de medidas o plan de acción

En caso de que el riesgo se encuentre en este nivel, FECAMARA debe
ACEPTABLE
administrar el riesgo mediante la aplicación de procedimientos de rutina.

TOLERABLE Cuando el riesgo se ubique dentro de este nivel, se requerirán controles

específicos para tratar este tipo de riesgos.

En el caso en que un riesgo se encuentre en este nivel, el Fondo requiere

INTOLERABLE
perfeccionar controles y efectuar un plan de acción, adicionalmente se deberá
informar al Representante Legal.

CRITICO En este caso, el Oficial de Cumplimiento debe intervenir de una forma directa y
debe informar a la Junta Directiva.
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 11 de 14

En la matriz de riesgo, se vinculó cada riesgo de LA/FT a las fuentes de riesgo

correspondientes mediante la asignación de una Probabilidad desagregada. Es decir, que la
entidad contará con un estimado de la probabilidad del riesgo de LA/FT por riesgo, por factor
de riesgo y por riesgo asociado.

A su vez, cada riesgo será analizado según el Impacto Legal, Reputacional, Operativo y de
Contagio, conforme a lo establecido en subnumeral 2.1.2 de la Circular Externa 04 de 2017. De
esta forma se obtendrá un valor de riesgo que tenga en cuenta el factor de riesgo y el riesgo
asociado. Esta información también se presentará en la Matriz de Riesgo.

2.2.2. Procedimientos para la obtención del Perfil de Riesgo de FECAMARA

2.2.2.1. Riesgo Inherente o Inicial

El resultado de esta primera calificación, es decir, la ponderación de los riesgos de LA/FT sin el
efecto de los controles (Riesgo Inherente), se realizó a través del método de expertos, el cual
incluyó las siguientes actividades:

1. Elaboración de los cuestionarios para los expertos.

2. Selección de los expertos que harán parte de la sesión.
3. Realización de la sesión a los expertos.
4. Análisis de los resultados.
5. Ajustes a los resultados de la medición.
6. Elaboración de la representación gráfica de los resultados (Matriz de riesgo de impacto y
probabilidad)

2.3. Etapa de control del riesgo de LA/FT

La etapa de control del riesgo tiene como objetivo el cálculo de Riesgo Residual LA/FT de
FECAMARA, a partir de los efectos de los controles sobre los riesgos inherentes identificados,
los factores de riesgo y los riesgos asociados. Por lo tanto, el resultado de la aplicación de los
controles se verá reflejado en la disminución del Riesgo Inherente.

Para esto, en FECAMARA se aplicó las medidas necesarias para minimizar o disminuir la
Probabilidad y el Impacto de los riesgos inherentes, mediante la asignación de los controles
actuales que se aplican en FECAMARA y la propuesta de nuevos controles a partir de la
revisión de los requerimientos normativos y los riesgos identificados en la Matriz de Riesgos.

Para establecer el efecto de los controles sobre los riesgos LA/FT, los factores de riesgo y los
riesgos asociados, se analizó para cada control, mínimo los siguientes atributos o criterios:

CLASE
Corresponde a la primera barrera de
seguridad que establece FECAMARA para
PREVENTIVO
reducir la probabilidad de ocurrencia del
riesgo

Se constituye en una alarma que se acciona

DETECTIVO cuando se descubre una situación inusual
en el momento de su ocurrencia o posterior

CORRECTIVO Aquellos que se implementan una vez se

materializan el riesgo y que permiten el
restablecimiento de la actividad, o informar
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 12 de 14

a una autoridad de control sobre el tema

(p.e. UIAF, Supersolidaria).
Son procedimientos programados en las
AUTOMATICO
aplicaciones y software de FECAMARA

TIPO Son realizados y aplicados por las personas

MANUAL encargadas de los procesos en los cuales
están inmersos los controles

SEMIAUTOMATICO Desarrolla tareas automáticas y manuales

PERMANENTE Se aplica en todas las actividades
OCASIONAL Se aplica en alguna ocasiones
FRECUENCIA PERIODICO Se aplica con habitualidad y regularidad
Son controles que se aplican en situaciones
NO DETERMINADA
y actividades atípicas
DODI Documentado, divulgado e implementado
FORMALIDAD
DO Documentado
DEL CONTROL
NODO No documentado

2.3.1. Procedimientos para desarrollar la etapa de control

El desarrollo de la metodología en esta etapa, sigue los siguientes pasos:

a. A cada CAUSA o situación generadora de riesgo LA/FT, se le asignaron los controles,

tanto los existentes y los nuevos nuevos controles a partir de la revisión de los
requerimientos normativos de la Circular Externa 04 de 2017.

b. El análisis de los efectos de los controles se realizó en la Matriz de Riesgo con el propósito
de identificar el perfil de riesgo residual de FECAMARA.

c. Con el resultado anterior se logra tener una nueva calificación tanto para la Probabilidad e
Impacto. A su vez estas nuevas calificaciones se ubican en el Mapa de Calor
determinando así el Nivel de Riesgo Residual de FECAMARA.

2.3.2. Riesgo Residual de FECAMARA

Como resultado de la aplicación de los controles sobre los riesgos, se obtiene una nueva
valoración de la Probabilidad y el Impacto y de esta forma el Perfil de Riesgo Residual de
FECAMARA.

Para valorar el efecto de los controles sobre el riesgo inherente se realizaron los cálculos con
base a los siguientes atributos generados al momento de perfilar los controles:
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 13 de 14

Trimestralmente con base en los eventos registrados según la matriz de indicadores de riesgo
descriptivo y en la información recogida sobre el comportamiento de las fuentes de riesgo, el
Oficial de Cumplimiento de FECAMARA, realizará las nuevas mediciones y procederá a
establecer los nuevos niveles de riesgo de LA/FT para FECAMARA.

2.4. Etapa de Monitoreo del riesgo de LA/FT

En esta etapa se realizará el seguimiento, con el propósito de detectar y corregir posibles

deficiencias del SARLAFT.

La etapa de monitoreo permite también realizar el seguimiento del riesgo inherente y del
residual, evaluando el correcto funcionamiento de los controles y garantizando que los mismos
sean comprensivos de todos los riesgos.

Entendiendo la naturaleza cambiante de los riesgos que se evalúan, los controles deben tener
un monitoreo que guarde estricta correlación con los niveles de exposición de FECAMARA.

En desarrollo de la etapa de monitoreo del riesgo de LA/FT, y en forma adicional a lo que se

enuncia en la matriz de riesgo, a continuación se enuncian las acciones que permitirán detectar
las deficiencias del SARLAFT:

 Oficial de Cumplimiento: Realizará un monitoreo semestral del sistema con el

propósito de evaluar la eficacia de los controles. Para efectos de desarrollar el
monitoreo del SARLAFT en los términos que enuncia el subnumeral 2.1.4 de la Circular
04 de 2017, debe diligenciar la matriz de monitoreo señalada en el Anexo 1B de este
SARLAFT.
 Manual SARLAFT Versión 1.0
Metodología para el desarrollo de las Etapas
de la Gestión del Riesgo Página 14 de 14

 Responsable del proceso: Los responsables de cada proceso deberán monitorear

semestralmente, los sistemas y las actividades del proceso específico a su cargo, para
asegurar que no hayan aparecido nuevos riesgos y que las estrategias de tratamiento
sigan siendo eficaces y apropiadas.

 Áreas de Control: La Revisoría Fiscal debe adelantar seguimiento trimestral con el

ánimo de detectar fallas, según las funciones asignadas en el SARLAFT.

Como resultado de este Monitoreo se desarrollarán mínimo los siguientes reportes que
permitan establecer las evoluciones del riesgo, así como la eficiencia de los controles
implementados:

a) Informe trimestral del Oficial de Cumplimiento para la Junta Directiva de FECAMARA.

b) Informe de la revisoría fiscal a la Junta Directiva: este informe contiene las

conclusiones obtenidas del proceso de evaluación del cumplimiento de las normas e
instructivos internos de FECAMARA relacionados con el SARLAFT.

c) El gerente general en su informe de gestión anual, deberá incluir una indicación sobre
la gestión adelantada en materia de administración de riesgo de LA/FT en
FECAMARA.