Manual de Riesgo Operativo
Manual de Riesgo Operativo
Manual de Riesgo Operativo
Aprobado por la Junta directiva en sesión del día 6 de noviembre de 2007, acta 289
Versión: 0.0
Fecha última actualización: noviembre 6 2007
Noviembre de 2007 1
MANUAL DE RIESGO OPERATIVO
TABLA DE CONTENIDO
1. DESCRIPCION 3
2. OBJETIVO 3
3. ALCANCE 3
4. DEFINICION DEL SARO 3
5. POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION
DEL SISTEMA DE RIESGO OPERATIVO “SARO” 3
6. OBJETIVOS ESPECIFICOS DEL SISTEMA EN LA FEN 4
7. ESTRUCTURA ORGANIZACIONAL 5
8. COMITÉ INTEGRAL DE RIESGOS 5
9. DEFINICIONES 6
10. FUNCIONES 8
11. METODOLOGIA Y PROCEDIMIETO 11
12. PLAN DE CONTINUIDAD DEL NEGOCIO 19
13. REPORTES 20
14. MEDIOS TECNOLOGICOS UTILIZADOS 20
15. DOCUMENT ACION Y REGISTRO 21
16. DIVULGACION Y CAPACITACION 21
ANEXOS
Noviembre de 2007 2
MANUAL DE RIESGO OPERATIVO
1. DESCRIPC ION
2. OBJETIVO
3. ALCANCE
.
5. POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION DEL
SISTEMA DE RIESGO OPERATIVO “SARO”
La entidad debe establecer y mantener un sistema que permita identificar, registrar, medir,
monitorear y controlar los Riesgos Operativos, asignar un área responsable de la
administración y mantenimiento del sistema que verifique el cumplimiento de las normas
internas y externas que se establezcan en esta materia.
La FEN debe impulsar a nivel institucional una cultura de prevención del riesgo operativo
acorde con otras políticas como la de Calidad, Modelo Estándar de Control Interno “MECI” y
otros sistemas como los de riesgo crediticio, de liquidez y de mercado.
Noviembre de 2007 3
MANUAL DE RIESGO OPERATIVO
El sistema de administración de riesgo operativo debe ser dinámico de tal forma que se
asegure la identificación de cambios en los controles y perfiles de riesgo y permitir la
actualización del nivel de riesgo operativo de la FEN, permitiendo a su vez la prevención y
resolución de conflictos de interés en la recolección de la información durante sus diferentes
etapas de implementación, así como en el registro de eventos y en el mantenimiento del
sistema.
Las funciones y competencias de cada uno de los empleados, así como la estructura
organizacional, deben mantenerse adecuadas a los propósitos y requerimientos del sistema
y se deben incluir en los respectivos Manuales de Organización y de Funciones y de
Competencias Laborales.
1. Identificar en todos los procesos cada uno de los eventos de riesgo, establecer un perfil de
riesgo operativo para la entidad y asegurar que los controles se ajusten en la medida que se
desarrolle la cultura de prevención de riesgos operativos.
3. Establecer los métodos para registrar los eventos de riesgo operativo, así como las
pérdidas que pudieren presentarse.
4. Divulgar el sistema y capacitar a los funcionarios en cada una de las etapas que se
implementen.
5. Asegurar que cualquier evento de riesgo sea registrado en la bases de datos que se
diseñen para tal fin.
Noviembre de 2007 4
MANUAL DE RIESGO OPERATIVO
7. ESTRUCTURA ORGANIZACIONAL
Noviembre de 2007 5
MANUAL DE RIESGO OPERATIVO
9. DEFINICIONES
Evento
Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo
determinado.
Eventos de pérdida
Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.
Fraude Interno
Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos
de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un
empleado o administrador de la entidad.
Fraude Externo
Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse
indebidamente de activos de la misma o incumplir normas o leyes.
Relaciones laborales
Actos que son incompatibles con la legislación laboral, con los acuerdos internos de
trabajo y, en general, la legislación vigente sobre la materia.
Clientes
Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden
satisfacer una obligación profesional frente a éstos.
Fallas tecnológicas
Pérdidas derivadas de incidentes por fallas tecnológicas.
Factores de riesgo
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se
originan las pérdidas por riesgo operativo.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos.
Noviembre de 2007 6
MANUAL DE RIESGO OPERATIVO
Internos
Recurso Humano
Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los
procesos de la entidad.
La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad
una relación jurídica de prestación de servicios diferente a aquella que se origina en un
contrato de trabajo
Procesos
Es el conjunto interrelacionado de actividades para la transformación de elementos de
entrada en productos o servicios, para satisfacer una necesidad.
Tecnología
Es el conjunto de herramientas empleadas para soportar los procesos de la entidad.
Incluye: hardware, software y telecomunicaciones.
Infraestructura
Es el conjunto de elementos de apoyo para el funcionamiento de una organización.
Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
Externos
Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que
escapan en cuanto a su causa y origen al control de la entidad.
Indicadores de riesgo
Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo
Pérdidas
Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los
gastos derivados de su atención.
Perfil de Riesgo
Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.
Noviembre de 2007 7
MANUAL DE RIESGO OPERATIVO
Plan de contingencia
Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de
un sistema o proceso.
Riesgo
Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos
objetivos
Riesgo Legal
Es la posibilidad de pérdida en que puede incurrir la entidad al ser sancionada u obligada
a indemnizar daños como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales.
Riesgo reputacional
Es la posibilidad de pérdida en que puede incurrir la entidad por desprestigio, mala
imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de
negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Riesgo residual
Nivel resultante del riesgo después de aplicar los controles.
10. FUNCIONES
Noviembre de 2007 8
MANUAL DE RIESGO OPERATIVO
De la Junta Directiva
La Junta Directiva participa activamente en la dirección del sistema de administración de
riesgos de la entidad a través del establecimiento de las políticas generales, el estudio y
aprobación de los niveles de tolerancia presentados por las áreas técnicas de la entidad, la
designación de los cargos que conforman el Comité Integral de Riesgos y el análisis y
pronunciamiento respecto a los informes que en materia de administración de riesgos
presente la Alta Dirección y los Órganos de Control de la Entidad, entre otras.
A continuación se relacionan las principales funciones que deben cumplir los estamentos de
dirección y control de la entidad, las cuales han sido integradas al manual especifico de
competencias laborales de la Entidad:
ü Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.
ü Velar por la correcta aplicación de los controles del riesgo inherente, identificado y
medido.
ü Velar porque las etapas y elementos del SARO cumplan con las disposiciones
señaladas por la Superintendencia Financiera de Colombia.
ü Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de
integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y
confidencialidad de la información allí contenida.
ü Evaluar el impacto de las medidas de control potenciales para cada uno de los
eventos de riesgo identificados y medidos.
ü Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el
propósito de evaluar su efectividad.
De la Revisoría Fiscal
Le corresponde elaborar un reporte al cierre de cada ejercicio contable, en el que informe
acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento por parte
de la entidad de las normas establecidas sobre el SARO.
ü Entrevista con los responsables de cada uno de los procesos para identificar en forma
detallada los eventos de riesgo en cada una de las etapas de los procesos, así como
para valorarlos e identificar los controles.
Noviembre de 2007 11
MANUAL DE RIESGO OPERATIVO
Básico
Identificación
¿ detallada de
riesgos
Medio
Identificación
Mitigación
Divulgación
Control
Monitoreo
Identificación:
Consiste en la identificación de los riesgos internos y externos que pueden afectar las
diferentes actividades de cada uno de los Procesos que conforman el Mapa de la Entidad.
Noviembre de 2007 12
MANUAL DE RIESGO OPERATIVO
Medición
Los riesgos identificados son evaluados considerando su probabilidad de ocurrencia y su
impacto en caso de materializarse. Estos riesgos son evaluados con bases residuales y
bases inherentes.
Mitigación
El Departamento de Administración de Riesgos debe analizar los riesgos y las respuestas
para evitarlo, aceptarlos, reducirlo, o compartirlo, alineándolo con la tolerancia al riesgo
definida por la institución.
Control
Consiste en evaluar cada uno de los controles establecidos determinando su acertividad así
como la necesidad de mejora o establecimiento de nuevos controles. En esta parte es
importante medir la eficiencia del control frente al costo y la fluidez de los procesos.
Monitoreo
Actividad que se lleva a cabo a través de la verificación, evaluación y administración del
sistema para una adecuada retroalimentación. De esta etapa se desprenden continuos
ajustes al sistema para hacerlo efectivo con los propósitos del mismo.
Divulgación
Como consecuenci a de un adecuado registro de los eventos, esta etapa permite comunicar
en forma oportuna a cada funcionario en todos los niveles los riesgos identificados, la
evaluación de los mismos, los riesgos inherentes, los controles y los propósitos para llevarlos
a unos niveles mínimos que no afecten la operacionalidad de la entidad.
Probabilidad
Clasificación
Noviembre de 2007 13
MANUAL DE RIESGO OPERATIVO
Probabilidad de Ocurrencia
$ 1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Magnitud de Impacto
Bajo =
Moderado =
Alto =
Extremo =
Noviembre de 2007 14
MANUAL DE RIESGO OPERATIVO
Efectividad
Implementación
Derivado de la siguiente escala se crea una matriz con la finalidad de evaluar cuán
importante es cada control para un riesgo:
Efectividad de Diseño
Fuerte 3 3 6 9 Fuerte 3
Moderada 2 2 4 6 Moderada 2
Débil 1 1 1 3 Débil 1
Evaluación 1 2 3
Estado Baja Media Alta
Implementación
Código Valoración del Valoración del Valoración del Nombre del Riesgo
Riesgo Bruto Control Riesgo Residual
Y la matriz de Riesgo residual la cual ubica cada uno de los eventos de Riesgo después de
haber aplicado los controles asÍ:
Riesgo Riesgo
104, 105, 117, 122, 11, 12, 97, 98, 101,
Bruto Residual
127 123 108, 109
Extremo Extremo
1, 2, 9, 42, 3, 5, 10, 13, 14, 20,
4, 39, 40,
43, 44, 46, 22, 27, 31, 33, 34,
57, 59,
47, 48, 49, 35, 36, 37, 38, 41, Riesgo
Riesgo 60, 62,
88, 93, 94, 50, 51, 52, 54, 56, Residual
Bruto Alto 63, 65,
95, 99, 107, 71, 72, 75, 76, 82, Alto
66, 90,
115, 119, 83, 84, 85, 86, 89,
100
121 91, 92, 96, 106, 110,
Noviembre de 2007 16
MANUAL DE RIESGO OPERATIVO
111, 120, 125, 126
Riesgo Riesgo
18, 118, 21, 26, 55, 74, 87,
Bruto 8, 115, 128 Residual
128 116, 124
Moderado Moderado
7, 19, 23, 25, 28, 29,
Riesgo
Riesgo 15, 16, 6, 45, 67,30, 32, 53, 73, 77,
Residual
Bruto Bajo 17, 24 68, 69, 70
78, 79, 80, 81, 112,
Bajo
113, 114
Débil Moderado Fuerte
SOLIDEZ DEL CONTROL
Una vez evaluados los controles, la metodología considera que dependiendo de la aplicación
de los mismos se podría reducir el riesgo. Algunos controles son fuertes reduciendo la
probabilidad de ocurrencia del riesgo el cual se reduciría únicamente si se cuenta con ellos.
Los controles ayudan a mitigar el riesgo junto con la atomización de operaciones, los planes
de contingencia o traspaso del riesgo a un tercero, por ejemplo: seguros de daños, fianzas,
etc.
Las matrices de riesgos serán evaluadas por el Comité Integral de Riesgos, con la finalidad
de determinar cómo será administrado el riesgo y en qué casos se deberán establecer
tratamientos tal como se muestra en la siguiente tabla:
Noviembre de 2007 17
MANUAL DE RIESGO OPERATIVO
De las decisiones que adopte el Comité Integral de Riesgos se deben desprender acciones
correctivas dirigidas a las diferentes áreas de la entidad de acuerdo con sus competencias y
a los responsables de cada proceso con el fin de que los eventos mas impactantes de
Riesgo residual se ubiquen en lugares de bajo impacto.
Idealmente, los indicadores seleccionados deben cumplir con los estándares siguientes:
ü La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio
experto del dueño del proceso o de la línea de negocio.
ü De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos
en medidas cuantitativas.
ü Poder definir valores máximos que desencadenen alertas de prevención temprana del
riesgo.
12.1. Diagnóstico
Para la elaboración del “Plan de Continuidad del Negocio” de la Financiera Energética
Nacional S.A. se realizó un diagnóstico en el cual se midió el grado de preparación de la
entidad para enfrentar situaciones que pudieren ocasionar interrupciones parciales o totales
en la prestación de los servicios.
Con base en dicho diagnóstico se identificaron los aspectos más vulnerables que podrían
ocasionar riesgos en la continuidad del negocio, en las siguientes dimensiones:
Noviembre de 2007 19
MANUAL DE RIESGO OPERATIVO
ü Objetivo
ü Alcance
ü Gobierno
Estructura para contingencia
Roles y responsabili dades
Línea de sucesión
Cadena de llamadas
ü Procedimientos generales
ü Procedimientos alternos para trabajar bajo contingencias
ü Procedimientos de mantenimiento
El “Plan de Continuidad del Negocio” debe estar en funcionamiento en los términos y plazos
establecidos por la Superintendencia Financiera de Colombia y debe ser probado, superar
las pruebas que confirmen su efectividad, ser divulgado y conocido por todos los
responsables de su ejecución en sus diferentes etapas. Adicionalmente el “Plan de
Continuidad del Negocio” debe ser objeto de revisión y actualización por lo menos cada año.
13. REPORT ES
La Oficina de Control Interno debe informar los resultados de las evaluaciones sobre la
efectividad y el cumplimiento de todas y cada una de las etapas del SARO, informes que
deberá presentar al Departamento de Administración de Riesgos, a la Presidencia y al
Comité de Auditoria.
ü Fraude interno
ü Fraude externo
ü Relaciones Laborales
ü Clientes
ü Daños a activos físicos
ü Fallas tecnológicas
ü Ejecución y administración de procesos
Noviembre de 2007 20
MANUAL DE RIESGO OPERATIVO
valorará dicha situación y registrará en las bases de datos dichos eventos con el fin de
asegurar la permanente actualización del sistema.
La FEN sin perjuicio de las normas establecidas en el Manual de Archivo, debe asegurar la
existencia de la documentación y registro de eventos de riesgo así como de la
documentación concerniente al diseño, evaluación, implementación, puesta en marcha y
mantenimiento del sistema.
Los registros contables deberán ejecutarse de acuerdo con el Plan Único de Cuentas y las
instrucciones que sobre el particular establezca la Superintendencia Financiera de Colombia.
La capacitación en el sistema deberá reforzarse por lo menos una vez al año, deberá hacer
parte del proceso de inducción de la entidad y ser objeto de evaluación para eficacia frente a
las políticas y objetivos del sistema.
Noviembre de 2007 21