Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SERVICIOS
COOPNALSERVI NIT. 830.101.034- Versión No. 01
CONTROL DE
VERSIÓN FECHA APROBADO
CAMBIOS
1 31-05-2021 CREACION CONSEJO DE
ADMINISTRACIÓN
2 29-04- 2022 MODIFICACION CONSEJO DE
ADMINISTRACIÓN
CONTENIDO
INTRODUCCIÓN Y CONTEXTO............................................................................................................................ 3
1. GLOSARIO Y MARCO TEORICO................................................................................................................... 4
2. ETAPAS DEL SARO........................................................................................................................................ 5
3. ELEMENTOS DEL SARO................................................................................................................................ 6
4. MARCO NORMATIVO...................................................................................................................................... 7
5. POLITICAS........................................................................................................................................................ 8
5.1. POLÍTICAS GENERALES...............................................................................................................................................8
5.2. POLÍTICA GENERAL PARA LA GESTIÓN DE RIESGOS...............................................................................................8
5.3. POLÍTICA EN RELACIÓN CON EL REGISTRO DE EVENTOS DE RIESGO OPERATIVO.................................................9
5.4. POLÍTICA EN RELACIÓN CON LOS PROCEDIMIENTOS..............................................................................................9
5.5. POLÍTICA EN RELACIÓN CON LOS NUEVOS PRODUCTOS O SERVICIOS...................................................................9
5.6. POLÍTICA EN RELACIÓN CON EL MANEJO DE LA DOCUMENTACIÓN.........................................................................9
5.7. POLÍTICA EN RELACIÓN CON LA ESTRUCTURA ORGANIZACIONAL.........................................................................10
5.8. POLÍTICA EN RELACIÓN CON LA INFRAESTRUCTURA TECNOLÓGICA....................................................................10
5.9. POLÍTICA EN RELACIÓN CON LA DIVULGACIÓN DE LA INFORMACIÓN....................................................................10
5.10. POLÍTICA DE CAPACITACIÓN SOBRE EL SARO..................................................................................................11
5.11. POLÍTICAS EN MATERIA DE IDENTIFICACIÓN DEL RIESGO OPERATIVO................................................................11
5.12. POLÍTICAS EN MATERIA DE MEDICIÓN DEL RIESGO OPERATIVO.........................................................................11
5.13. POLÍTICAS EN MATERIA DE CONTROL DEL RIESGO OPERATIVO.........................................................................12
5.14. POLÍTICAS EN MATERIA DE MONITOREO DEL RIESGO OPERATIVO.....................................................................12
5.15. POLÍTICAS DE PERSONAL....................................................................................................................................13
5.16................................................................................................ POLÍTICAS DE REVELACIÓN DE INFORMACIÓN
............................................................................................................................................................................... 13
5.17....................................................................................................... POLÍTICA DE INCUMPLIMIENTO AL SARO
............................................................................................................................................................................... 14
6. OBJETIVOS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO......................................14
7. ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO..........................................15
8. METODOLOGIAS Y PROCEDIMIENTOS PARA LA ADMINISTRACION DEL RIESGO OPERATIVO. . .15
8.1 ESTABLECER EL CONTEXTO...................................................................................................................................16
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
1. DISPOSICIONES FINALES............................................................................................................................ 47
1.1. ACTUALIZACIÓN DEL DOCUMENTO...........................................................................................................................47
1.2. DIFUSIÓN................................................................................................................................................................47
1.3. VIGENCIA Y DEROGATORIA....................................................................................................................................47
ACUERDO NO 001 DE MAYO DE 2021
INTRODUCCIÓN Y CONTEXTO
En función del riesgo operativo, COOPNALSERVI es consciente de los riesgos operativos y las
consecuencias de la materialización de dichos riesgos, el Consejo de Administración de
COOPNALSERVI aprueba periódicamente el sistema de administración del riesgo operativo,
revisado por el responsable del riesgo, que establece los principios y la manera como dichos
riesgos serán identificados, medidos, controlados y monitoreados por la misma.
Con el propósito de implementar un Sistema de Administración de Riesgo Operativo SARO, que
contribuya a elevar la productividad y a garantizar la efectividad, eficiencia y eficacia de los
procesos, el Consejo de Administración y la Gerencia, con la participación de los colaboradores
de COOPNALSERVI ha aprobado y puesto en marcha, metodologías, parámetros y
mecanismos definidos para identificar, valorar, controlar y monitorear los riesgos a los que está
expuesta la empresa. COOPNALSERVI tendrá funcionalmente encargados del Sistema de
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Administración del Riesgo Operativo SARO y asignará las relaciones de autoridad, competencia
y reportes, para efectos de rendición de cuentas y cualquier otro efecto que se presente.
El presente Manual de Administración del Riesgo SARO de COOPNALSERVI establece el
marco general de políticas tendientes a controlar el riesgo inherente (generado en el desarrollo
de las operaciones), en busca de minimizar la probabilidad de ocurrencia y/o el impacto y de
tener una actuación rápida frente a cualquier riesgo residual (después de controles), logrando
así un mayor control administrativo del riesgo operativo.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Riesgo legal – Es la posibilidad de pérdida en que incurre una Entidad al ser sancionada u
obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales
Riesgo inherente - Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los
controles.
Riesgo residual - Nivel resultante del riesgo después de aplicar los controles.
Perfil de Riesgo – Resultado consolidado de la medición permanente de los riesgos a los que
se ve expuesta COOPNALSERVI
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Stakeholders (partes interesadas): Para uso práctico del Sistema de Gestión del Riesgo de
COOPNALSERVI, es toda persona natural o jurídica con la que se tiene relación directa o
indirecta (colaboradores, Consejo de Administración, asociados, proveedores, clientes,
bancos y demás).
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Control – Orientado a los riesgos inherentes. Permite asegurar la continuidad del negocio y
determinar el perfil de riesgo residual de COOPNALSERVI.
El SARO contará con los elementos básicos señalados a continuación, y los subelementos
enlistados:
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Políticas – Son aprobadas por Consejo de Administración y la Gerencia. Tienen como fin
impulsar la cultura de riesgo operativo en COOPNALSERVI, establecer las responsabilidades
en materia de riesgo operativo, permitir la prevención y resolución de conflictos de interés en la
recolección de información y registro de eventos, así como, la identificación de los cambios en
los controles y en el perfil de riesgo y finalmente, desarrollar e implementar planes de
continuidad del negocio.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Registro de eventos de riesgo operativo – Todos aquellos que: TIPO A: generan pérdidas y
afectan el estado de resultados, TIPO B: generan pérdidas y no afectan los estados de
resultados, TIPO C: no generan pérdidas y tampoco afectan los estados de resultados.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
4. MARCO NORMATIVO
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
5. POLITICAS
Las políticas en materia de Riesgo Operativo: 1) impulsan la formación de una cultura de este
tipo de riesgo, 2) previenen la presentación de conflictos de interés en la recolección de la
información en cada una de las etapas del SARO, 3) establecen el deber de cumplir con las
normas internas y externas que se han expedido sobre riesgo operativo, 4) determinan el perfil
de riesgo y su evolución y, 5) desarrollan e implementan planes de continuidad del negocio.
COOPNALSERVI busca enfocar todos sus esfuerzos para fortalecer los procesos mediante el
análisis de los riesgos a los que se ve expuesto, con el fin de brindar seguridad y confianza
a asociados, quienes se benefician con la mejora permanente de las actividades
desarrolladas al interior de la organización; por lo tanto dispone de los recursos necesarios
para garantizar una adecuada gestión de sus riesgos mediante la identificación, medición,
control y monitoreo de los mismos, en lineamiento con los principios definidos por la
Gerencia y Consejo de Administración y cumpliendo los requisitos legales y reglamentarios.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Los controles del SARO harán parte de los procedimientos de COOPNALSERVI y serán de
obligatorio cumplimiento. Todos los procedimientos deben ser aprobados por la Gerencia
General, deben ser de conocimiento de todos los colaboradores y estar integrados al
sistema de gestión de calidad.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Previo al lanzamiento de cualquier nuevo producto o servicio, se debe identificar los riesgos
operativos relacionados con el mismo, así como diseñar e implementar los controles que
permitan disminuir la ocurrencia de los mismos o su impacto en caso de materializarse a
través de cualquiera de los riesgos asociados, según el nivel de riesgo aceptado.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
COOPNALSERVI gestionará tener tecnología adecuada frente a la actividad que realiza, así
como a sus operaciones, riesgo y tamaño que le permita garantizar una adecuada
administración del riesgo operativo.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Estos programas de capacitación deben ser constantemente revisados y actualizados por parte
del responsable del Riesgo y deben contemplar, como mínimo, capacitar a los
colaboradores nuevos en la inducción y una actualización a todos los colaboradores con
una periodicidad anual.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Como política, el SARO prioriza los procesos misionales principales identificados, los cuales
determinan por ende el alcance del sistema en COOPNALSERVI.
Los riesgos operativos identificados incluyen los potenciales y los incurridos realmente, en cada
proceso.
Aplicar, para todos los eventos de riesgo operativo, las metodologías de medición y
valoración.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Aplicar las medidas de control establecidas, para cada uno de los eventos de riesgo
identificados.
Acatar todas las medidas de control, que permitan asegurar la Continuidad del Negocio
y minimizar las pérdidas, en caso de ocurrencia de eventos de riesgo operativo, que
afecten el normal desarrollo de las actividades de COOPNALSERVI.
Evaluar, actualizar y modificar las medidas de control establecidas, frente a los eventos
de riesgo operativo.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
El alcance de las actividades de monitoreo incluye todos los aspectos de la gestión del riesgo
operativo concerniente a la naturaleza de los mismos y del volumen, tamaño y complejidad de
las operaciones de COOPNALSERVI; se establecen las siguientes políticas:
Realizar monitoreo periódico de los perfiles de riesgo y las exposiciones a pérdidas, con
el fin de minimizar la probabilidad de ocurrencia de cualquier evento de riesgo operativo.
El talento humano de COOPNALSERVI se define como las personas vinculadas directa (con
contrato de trabajo) o indirectamente (diferente a contrato de trabajo) con la ejecución de los
procesos de COOPNALSERVI.
COOPNALSERVI ha establecido los mecanismos para validar que su talento humano tenga
conocimiento de los procesos en los cuales interviene, a través del desarrollo e implementación
del Plan de Capacitación funcional, es decir, los líderes de Área propenderán porque su
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
personal, independiente el tipo de contrato, esté plenamente capacitado para los procesos de
su responsabilidad.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Se generarán amonestaciones y/o llamados de atención a los colaboradores que incumplan las
políticas y procedimientos que ha establecido COOPNALSERVI para la Administración del
Riesgo Operativo, así como por cualquier incumplimiento a las normas aplicables. De igual
forma, COOPNALSERVI sancionará disciplinariamente y denunciará penalmente cuando sea
pertinente, a los colaboradores que directa o indirectamente, permitan o cooperen con actos
que de forma intencionada buscan defraudar o apropiarse indebidamente de los activos de
COOPNALSERVI o conlleven a incumplir normas o leyes.
Los objetivos del Sistema de Administración de Riesgo Operativo – SARO- diseñado para
COOPNALSERVI son los siguientes:
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Para la gestión de las etapas del SARO se contará con la colaboración del Director del
Departamento de Gestión del Riesgo, el empleado (s) de cumplimiento principal y suplente en
ausencia, el Comité de Riesgos éstos elegidos y nombrados ya por el Consejo de
Administración, conformado por los colaboradores responsables de los diferentes procesos que
sean objeto del análisis, y los colaboradores que ejerzan los roles de líderes de proceso. Los
mismos deben asegurar que haya un colaborador por cada Área en cada Comité siempre. Si se
presenta un cambio de colaborador en el Comité por reemplazo ocasional o permanente, dicho
colaborador debe garantizar la entrega y capacitación de todos los temas a su reemplazo y
notificar previo al Comité de dicho proceso.
Así mismo, los registros de eventos reportados se llevarán a dicho comité con el fin de ser
evaluados y establecer los controles pertinentes, buscando la mitigación de la recurrencia.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
31000:2009. De igual forma se actualizará, cuando fuese necesario, frente a los cambios de las
normas citadas y normas asociadas.
Estos estándares parten del siguiente esquema metodológico para la gestión de los riesgos:
Establecer el contexto
Monitorear y revisar
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Esta es la primera etapa para realizar una adecuada gestión de los riesgos y consiste en
identificar y definir las circunstancias, tanto internas como externas, que tienen o podrían
llegar a tener incidencia en el cumplimiento de los objetivos estratégicos de
COOPNALSERVI por materialización de riesgos.
Se evalúan factores externos, como pueden ser las políticas económicas determinadas por el
gobierno, cambios normativos que afecten la operación de COOPNALSERVI, acciones de
terceros, regulaciones, etc.
También se tienen en cuenta factores internos como son la planeación estratégica, la misión y
visión de COOPNALSERVI, sus objetivos, la infraestructura con la que cuentan para cumplir
dichos objetivos, los recursos humanos y tecnológicos, entre otros.
Con el análisis de esta información se realiza una primera identificación de riesgos, los cuales
deben ser validados con los líderes de los procesos para completar esta etapa. Lo importante
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
para identificar los riesgos es analizar los interrogantes sobre ¿qué puede suceder?, ¿cómo
puede suceder?, y demás particularidades.
La identificación debe estar enfocada a aquellos riesgos potenciales que puedan incidir en el
adecuado cumplimiento de los objetivos de los procesos, además debe contemplar la
identificación de los factores de riesgo y el tipo de evento al que se asocia el riesgo.
Para identificar el riesgo operativo se deben inicialmente establecer los procesos que lleva a
cabo COOPNALSERVI y soportar adecuadamente éstos con la correspondiente documentación
descriptiva de procesos y responsables. Para ello, se identifican los objetivos estratégicos de
COOPNALSERVI y se estableció una cadena de valor actualizable.
La cadena de valor permite identificar las actividades que generan valor en la organización, que
procesan su objeto social, clasificándolas en primarias si hacen parte de la creación, venta y
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
El análisis de los volúmenes y canales permite enfocar de mejor forma el SARO en los procesos
que se presentan en el canal o los canales más utilizados y en los productos mayormente
transados.
Una vez determinados los procesos, se definen los procedimientos, las actividades y las tareas
relacionadas y se identifican los riesgos operativos potenciales en cada uno de ellos. Solamente
cuando el proceso ya lleva cierto tiempo de ejecución, es posible identificar los riesgos
operativos que ya han ocurrido en él. Anterior a ello, solamente se tendrá una evaluación
cualitativa de riesgos y controles.
La identificación del riesgo culmina con su adecuada documentación y para ello se enlista:
Nombre del riesgo – ¿Qué puede suceder? – Nombre del evento que genera pérdida.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Descripción de la causa – ¿Por qué puede suceder? – Detalle de la situación que origina
el evento de riesgo.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Teniendo en cuenta lo señalado, el estándar AS/NZS utiliza matrices de riesgos, una para la
calificación de la probabilidad de ocurrencia o (1) Matriz de Frecuencia, otra para el impacto o
severidad o (2) Matriz de Severidad, la matriz de análisis de riesgo cualitativo o (3) Matriz
Cualitativa de Riesgo Operativo Inherente y la (4) Matriz Final de Riesgo Operativo.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Así, por ejemplo, una matriz de probabilidad de ocurrencia del riesgo asociado al proceso
misional de vinculación puede ser muy diferente a la matriz asociada al proceso, también
misional, de colocación de crédito. Los volúmenes de vinculaciones difieren.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
El impacto indica las consecuencias generadas por la materialización del riesgo. Para calificar el
impacto o severidad del riesgo, el estándar propone la siguiente matriz.
A su vez, COOPNALSERVI califica el impacto del riesgo operativo con la matriz señalada a
continuación. Para la calificación se tiene en cuenta el patrimonio técnico de COOPNALSERVI.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
La valoración del impacto busca definir, en diferentes escenarios, cuáles serían las
consecuencias para COOPNALSERVI si el riesgo llegara a materializarse. Se ha definido para
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Este nivel de severidad permite clasificar los riesgos y visualizarlos en un mapa colorimétrico,
que se ha definido de la siguiente manera:
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Como en la etapa de identificación del riesgo, en ésta de medición es muy importante contar
con información suficiente y de calidad, de manera que los resultados sean confiables y
permitan tomar decisiones acertadas. Sin embargo, es vital tener en cuenta que la reducción
del riesgo inherente a residual se hace actualmente por un medio de estimación cualitativa con
base en la presunción de las efectividades del control. Sera la experiencia a largo plazo la que
permita la definición cuantitativa de la reducción a nivel residual.
El control del riesgo operativo permite la detección de ese riesgo y su reducción o mitigación.
En COOPNALSERVI, los responsables de la ejecución de los controles del riesgo operativo son
los responsables de los procesos, apoyados en quienes deleguen para tal fin.
Al igual que en los demás riesgos, el control del riesgo operativo hace parte del sistema de
control interno en COOPNALSERVI y en consideración a la reciente creación de
COOPNALSERVI se lleva a cabo de forma semiautomática, esto es en algunas etapas el
control es automático y en otras es manual, sobre documentos que sirven posteriormente como
soporte.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Las medidas de control de riesgo operativo tomadas son monitoreadas para asegurar que las
circunstancias cambiantes no alteren la priorización de los riesgos. Los factores de riesgo
operativo son cambiantes y por lo tanto la probabilidad de ocurrencia se puede afectar, así
como también el impacto del riesgo, por lo que en este tipo de riesgo es fundamental la revisión
continua y permanente al SARO.
Luego de conocer el nivel de severidad inherente de cada riesgo, se deben identificar los
controles existentes para mitigarlo y deben ser evaluados de acuerdo con los criterios de
calificación definidos para conocer el nivel de riesgo residual y así establecer el tratamiento
que se dará a cada uno.
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
CARACTERISTICA DESCRIPCIÓN
CLASE DE CONTROL
Actividades de control Corresponde a actividades de verificación o validación que previenen o detectan el riesgo.
Son los lineamientos definidos por la Gerencia para el logro de los objetivos de los
Políticas
procesos.
Documento que define la secuencia lógica de actividades para llevar a cabo un proceso
Procedimientos
con el fin de lograr un resultado.
Corresponde a un modelo sistemático que detalla actividades para alcanzar un objetivo,
Plan / Programa
estableciendo metas y tiempos de ejecución.
Son aquellos que actúan sobre las causas generadoras de los riesgos y son la primera
Preventivo
barrera de seguridad establecida para reducirlos.
CONTROL
TIPO DE
Son los que nos permiten generar alarmas cuando una situación inusual se presenta y
Detectivo
actúan como una segunda barrera.
Estos controles funcionan para corregir las desviaciones del proceso. Son controles
Correctivo administrativos que suelen ser los más costosos debido a que generan reproceso.
También contempla los controles que mitigan impacto.
Son realizados directamente por las personas que intervienen en el proceso y de manera
Manual
APLICACIÓN
manual.
FORMA DE
Los que son programados para que funcionen por medio del software o de cualquiera de
Automático
las aplicaciones utilizadas en el proceso.
Controles que requieren de la intervención del recurso humano, con el apoyo de software
Combinado
o aplicaciones tecnológicas.
Una vez que se han identificado los controles, éstos deben ser evaluados para poder definir el
efecto que tienen sobre el riesgo, aclarando que hay controles que mitigan la probabilidad
de ocurrencia del riesgo, otros que están diseñados para minimizar el impacto en caso de
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
que el riesgo se materialice y otros que pueden mitigar tanto la probabilidad como el
impacto
Los controles que mitiguen un riesgo X serán promediados respecto a sus efectividades de
control. El nivel de riesgo inherente será reducido por las efectividades de control así:
CODIGO
RLFT-01
MANUAL DEL SISTEMA DE ADMINISTSRACION DE RIESGO
OPERATIVO
Corregir el riesgo: las desviaciones y prevenir que se vuelvan a repetir los errores.
Como parte del control del riesgo operativo se establece el tratamiento a dar a los riesgos
detectados. El tratamiento de los riesgos busca reducir las consecuencias y probabilidades por
lo que se pueden considerar como parte del sistema de control del riesgo.
Proteger el riesgo – reducir el impacto o las consecuencias. En este caso algunos de los
procedimientos a usar pueden ser: planear las contingencias; hacer arreglos contractuales que
permitan modificar favorablemente las condiciones de los contratos; cambiar el diseño de
productos; desarrollar e implementar planes de recuperación de desastres; control de los
fraudes; políticas y controles de precios; revisión de los recaudos de cartera; minimizar la
exposición a las fuentes de riesgo y hacer uso de las relaciones públicas.
Transferir los riesgos – implica que otra parte ajena a COOPNALSERVI, soporte o comparta el
riesgo. Se pueden utilizar mecanismos como el uso de contratos, arreglos con las compañías
de seguros, asociaciones con otras empresas, etc. En todos estos casos se debe cuidar de que
al transferir el riesgo no se pierda su adecuada administración.
Retención del riesgo – puede presentarse cuando se reduce o transfiere el riesgo, ya que
podrían presentarse riesgos residuales que siguen presentándose. En este caso el tratamiento
puede incluir mecanismos como la creación de fondos disponibles para atender la pérdida
prevista, la asignación de una partida presupuestal para atender las pérdidas, la constitución de
provisiones o “colchones”, la solicitud de cupos de crédito que permitan atender las pérdidas
previstas, etc.
Una vez se han tratado los riesgos se procede a la evaluación del tratamiento dado. Para ello
COOPNALSERVI utiliza la (4) Matriz Final de Riesgo Operativo, de la siguiente manera:
Así, cuando existe una alta probabilidad de ocurrencia y un alto impacto, las opciones de
tratamiento a utilizar son evitar el riesgo y/o prevenirlo y/o protegerse de él y/o transferirlo, todo
ello buscando minimizar el impacto o la severidad del riesgo.
El control de riesgos involucra la determinación del beneficio relativo de los nuevos controles vs
efectividad de los controles ya existentes, luego este aspecto debe considerarse en la
evaluación del tratamiento que se considera apropiado para cada uno de los riesgos a los
cuales está expuesta COOPNALSERVI.
Conociendo el efecto de mitigación que el control ejerce sobre el riesgo, se obtiene el nivel de
riesgo residual. Este nivel de riesgo es el que le permitirá a la Gerencia de COOPNALSERVI
determinar las prioridades para dar tratamiento a los riesgos y conocer en cuáles riesgos debe
concentrar sus esfuerzos.
Las siguientes son las acciones posibles para dar tratamiento a los riesgos:
Los riesgos de nivel bajo pueden ser aceptados y puede no ser requerida una acción
adicional. Se deben administrar mediante procedimientos de rutina.
Los riesgos de nivel medio, pese a que son aceptables para COOPNALSERVI, se
pueden definir medidas de tratamiento que reduzcan aún más el nivel de frecuencia con
el que se presentan o el impacto para COOPNALSERVI.
Los riesgos de nivel alto requieren de una cuidadosa administración o gestión y de la
preparación y ejecución de un plan de tratamiento formal.
Los riesgos extremos deben ser informados y tratados directamente por la Gerencia
General. Requieren atención inmediata.
Los planes de tratamiento deben ser definidos por los líderes de los procesos, y en los casos de
los riesgos extremos, estos deben ser aprobados por la Gerencia. Cada tratamiento debe
tener un responsable de implementación y una fecha límite para entrar en funcionamiento.
Comunicar y consultar
El apetito y tolerancia del nivel de riesgo Operativo es el (dos) 2% del nivel de activos.
El monitoreo se hace necesario debido a los cambios permanentes que pueden ocurrir en los
factores de riesgo, riesgos y controles, modificando las probabilidades de ocurrencia y el
impacto, así como también, la evaluación de la opción de tratamiento escogida y por lo tanto
obligando a repetir las etapas en la administración del riesgo operativo.
Por otra parte, con el reporte de eventos de riesgo, que es responsabilidad de todos los
colaboradores, se debe alimentar la matriz de riesgos, ya que pueden presentarse situaciones
que no habían sido identificadas en el levantamiento de información, o situaciones que son
Es importante también establecer una sinergia con los procedimientos realizados por la
Auditoría y las revisiones que ejecutan los entes de control externos, con el fin que los informes
entregados por estos dos entes sean una entrada para actualizar la matriz de riesgos. La
centralización de la actualización de esta matriz es responsabilidad del responsable Gestor de
Riesgos.
Finalmente, para que los indicadores actúen como verdaderos medios de monitoreo del riesgo
es importante umbrales de aceptación y colocarles metas o valores de referencia que sirvan de
criterio de evaluación. En la medida en que se desarrolle la operación de COOPNALSERVI se
establecerán los indicadores que más se ajusten a su operación.
Como parte integral y fundamental del Sistema de Administración del Riesgo Operativo
diseñado para COOPNALSERVI, se contempla el reporte de eventos de riesgo operativo por
parte de todos los colaboradores, como su función principal dentro del sistema.
Así mismo, el responsable del Riesgo debe registrar y mantener actualizada la base de datos
de eventos de riesgo operativo, que le permita a COOPNALSERVI conocer la probabilidad e
Esta base se constituye para obtener información que permita el análisis del comportamiento
histórico de los eventos de riesgos y así utilizarla como fuente de información para el ajuste
objetivo de la valoración de probabilidad e impacto de los riesgos identificados en la Matriz de
Riesgos.
Para dar cumplimiento a este proceso, los eventos registrados deben cumplir con las siguientes
características:
Para el registro de eventos se determinan las líneas operativas o el conjunto de actividades con
características similares de COOPNALSERVI. Para la clasificación de las líneas operativas,
COOPNALSERVI seguirá los principios, así:
Si el evento de pérdida afecta a más de una línea operativa y una de las líneas genera
más del 50% de las pérdidas totales, se asigna el valor total de esas pérdidas a esa
línea.
Si el evento de pérdida afecta a más de una línea operativa y ninguna de las líneas
involucradas genera más del 50% de las pérdidas totales, se asigna el valor
correspondiente a cada línea afectada.
1. Finanzas corporativas
Procesos de tipo Financiero y Administrativo.
5. Administración de activos
Procesos de tipo Administrativa y Financiera.
8. Actividades institucionales
Involucra todas las áreas de COOPNALSERVI. Actividades que no pueden ser
catalogadas en ninguna línea operativa de las señaladas y que están relacionadas con
el funcionamiento administrativo y/o de apoyo de las entidades.
Los eventos de pérdida generan riesgo operativo, riesgo que se clasifica así:
1. Fraude interno
Actos intencionados, realizados por al menos un colaborador de COOPNALSERVI, con
el fin de apropiarse indebidamente de los activos de COOPNALSERVI o incumplir
normas internas o externas, afectando la operación.
2. Fraude externo
Actos intencionados, realizados por personas externas, con el fin de apropiarse
indebidamente de los activos de COOPNALSERVI o incumplir normas internas o
externas.
3. Relaciones laborales
Actos incompatibles con los acuerdos internos de trabajo y con la reglamentación
vigente sobre el tema.
4. Clientes
Fallas negligentes o involuntarias en las obligaciones para con los clientes.
6. Fallas tecnológicas
Pérdidas por incidentes tecnológicos.
Referencia
Fecha de inicio del evento
Fecha de finalización del evento
Fecha de descubrimiento
Fecha de contabilización
Divisa o moneda
Cuantía
Cuantía total recuperada
Cuantía recuperada por seguros
Clase de riesgo operativo
Producto o servicio afectado
Cuentas PUC afectadas
Proceso
Tipo de pérdida
Líneas operativas involucradas
Descripción del evento
Línea de negocio
Área de COOPNALSERVI
Fecha de registro
Fecha de revisión
Responsable del levantamiento de la información
Responsable de la revisión
Nombre del proceso
Descripción del proceso
Nombre de los posibles riesgos operativos
Descripción de cómo puede suceder el riesgo
Descripción de las posibles consecuencias
Controles existentes
Para cumplir con estas actividades se ha diseñado el procedimiento para el reporte de eventos
de riesgo operativo y el formato para el registro de eventos de riesgo operativo, los cuales
deben ser conocidos y usados por todos los colaboradores de COOPNALSERVI.
El plan efectivamente fue conocido por todos los interesados, por medio de la
Capacitación en Riesgo Operativo, que tendrá un apartado de Continuidad del Negocio,
y del acceso al Manual de Continuidad a todos los funcionarios.
Una vez reportados y registrados los riesgos operativos de acuerdo a los procedimientos
establecidos, se sugiere que el responsable del Riesgo coordine con el Área de Contabilidad
para registrar dichos eventos en los estados financieros de COOPNALSERVI, en cuentas
especiales para riesgo operativo.
Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados
deben registrarse en cuentas de ingreso en el período en el que se materializó la recuperación.
Pronunciarse sobre los reportes que le presentan y respecto del nivel de exposición al
riesgo operativo.
Hacer seguimiento a la exposición por riesgo operativo y pronunciarse sobre los reportes
que sobre el monitoreo le sean presentados por la Gerencia y Consejo de
Administración.
Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de
control.
Aprobar las metodologías que elabora el responsable del Riesgo para la identificación,
medición, control y monitoreo del riesgo operativo y que les son presentadas por la
Gerencia, una vez han surtido la evaluación y aprobación de las personas que realicen
la medición.
Los líderes de los procesos cumplen un papel importante dentro del SARO ya que, con su
experiencia y conocimiento de la dinámica del negocio, son los que conocen los riesgos a los
que se encuentra expuesta COOPNALSERVI y deben estar en permanente sinergia con el
responsable del Riesgo para garantizar que se mantiene actualizada la matriz de riesgos.
Todos los colaboradores de COOPNALSERVI hacen parte activa del Sistema de Administración
del Riesgo Operativo mediante el cumplimiento de las siguientes funciones:
Todos los colaboradores actuarán con las mediciones periódicas que hará el Consultor
elegido para tal fin en adelante, para certificar el cumplimiento de este Sistema de
Administración de Riesgo.
El Revisor Fiscal elabora un reporte, al cierre de cada ejercicio contable, sobre las
conclusiones obtenidas en el proceso de evaluación del cumplimiento de normas e
instructivos del SARO.
14. CAPACITACIÓN
El responsable del Riesgo debe dar acceso a las herramientas del SARO para que todos los
colaboradores enfrenten los riesgos operativos a los que se encuentra expuesta
COOPNALSERVI, y especialmente, los riesgos asociados al proceso en el cual ejecutan sus
funciones y deben conocer los controles que se encuentran implementados para mitigar dichos
riesgos.
A través del líder de cada proceso, se debe difundir la información referente a los riesgos
operativos, los controles y los cambios que se realicen al SARO así como sensibilizar a los
colaboradores en la importancia que tiene el reporte de eventos de riesgo operativo.
De acuerdo con el dinamismo del negocio, el responsable del Riesgo deberá, cada año o con
una periodicidad menor siempre que se requiera, efectuar una revisión del presente manual con
el fin de verificar si es necesario modificar, adicionar o actualizar alguna de las etapas o
elementos del sistema.
Identificar las variables críticas del proceso, los riesgos potenciales que se asumirían y
los puntos de control que se requieren implementar para mitigar esos riesgos.
Fundamentalmente existen dos tipos de límites, por riesgo operativo inherente y por riesgo final
operativo, así:
En este caso el límite se establece para calificaciones de la Matriz Final de Riesgo Operativo en
Alta Probabilidad y Bajo Impacto, por lo cual es necesario: prevenir, transferir o retener este
riesgo.
CAPITULO IV
SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO – SARO
ANEXO 1
CLASIFICACIÓN DE EVENTOS DE RIESGO OPERATIVO
222 Falsificación
3 Relaciones 3 Relaciones 311 Cuestiones relativas a remuneración
laborales Laborales
312 Cuestiones relativas a prestaciones
sociales
313 Cuestiones relativas a terminación de
contratos
314 Organización laboral
3 Higiene y 321 Responsabilidad general: caídas,
Seguridad en resbalones, cortadas, etc.
1. Disposiciones Finales
1.2. Difusión
La Gerencia, con el apoyo del responsable de Riesgos velarán por la difusión de este
manual al interior de COOPNALSERVI.
CONTROL DE CAMBIOS
INCLUSION Creación del Documento
31-05-2021 V1 MODIFICACION NA
EXCLUSION NA
INCLUSION NA
29-04.2022 V2 MODIFICACION Modificación del Documento
EXCLUSION NA