Gestión de Riesgos - Venta

electrónica de facturas

Gerencia Corporativa de Riesgos - Junio 28 de 2022

AGENDA
GENERALIDADES

SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERACIONAL - SARO

SARLAFT

CONTINUIDAD DE NEGOCIO

SEGURIDAD DE LA IFORMACIÓN Y CIBERSEGURIDAD

1 GENERALIDADES
¿Qué es Riesgo?
En términos generales, es la probabilidad de un evento adverso y sus consecuencias, que
algo no salga de acuerdo con lo planeado, generando impactos de tipo legal, económicos,
reputacional o inconvenientes en los procedimientos afectando el cumplimiento de las
expectativas del negocio y los resultados esperados.
 Características para la identificación de un riesgo
¿Es posible que ocurra?
Si se reconoce que
Si es relevante y existen causas
afecta la capacidad inherentes que
de la organización en pueden tener
el logro de sus impacto, sin importar
objetivos si son controlables o
no.

Si tiene un
impacto Si puede ser definido
económico, legal, de forma específica y
operativo y/o clara para facilitar su
reputacional. gestión y la elaboración
de los planes de
mitigación
correspondientes.
 Esquema de administración de riesgos
Enmarcado en las normas de Se basa en los marcos de
la SFC, Circular Básica las Normas ISO 31000 y
Jurídica, Circular Básica 27001, así como COSO ERM, La gestión de riesgos
Contable y Financiera y el los cuales proporcionan debe propender por
Marco de Integral de directrices y guías para alinear la estrategia
Supervisión de la SFC (Apetito gestionar el riesgo al que corporativa frente al
de Riesgo, Gestión de Riesgos se enfrentan las apetito de riesgo.
y Cumplimiento) organizaciones.

Cumplimiento de las expectativas de las partes interesadas

Declaración de Gestión de Estrategia

Apetito de Riesgo Riesgos Corporativa
 Esquema de administración de riesgos - Etapas

Establecer Análisis de Tratamiento

Contexto Riesgos de Riesgos

PASO PASO PASO PASO PASO PASO

01 02 03 04 05 06

Identificación de Evaluación Monitoreo

Riesgos de Riesgos de Riesgos
 Modelo de las tres líneas

Este marco ayuda a identificar las estructuras y procesos que mejor facilitan el logro de sus objetivos,
promoviendo una estructura de gobierno sólida y de gestión de riesgo.

IIA: Institute of Internal Auditors

 RESPONSABILIDADES

JUNTA DIRECTIVA COMITÉ DE RIESGOS EN CASO DE EXISTIR

• Supervisión de riesgos • Vigilar la infraestructura de la administración de riesgos
• Supervisión del Sistema de Control Interno • Vigilar la exposición al riesgo
• Definir expectativas sobre integridad, valores éticos, • Asesora sobre la estrategia frente al riesgo
transparencia y responsabilidad
• Establecimiento de líneas de comunicación separadas de la
gerencia (P.e. líneas de denuncia)
• Declaración del apetito al riesgo

PRESIDENCIA / ALTA GERENCIA LÍDER DE RIESGO

GOBIERNO

• Proveer liderazgo y dirección en la definición de objetivos a • Proponer las políticas de la gestión de riesgos.
nivel de la entidad • Integrar la gestión de riesgos a toda la entidad
• Mantener supervisión y control sobre los riesgos que enfrenta • Establecer un lenguaje común para la gestión de riesgos
la entidad • Reportar al Comité de Riesgos la gestión del SAR
• Liderar el desarrollo de actividades de control a nivel de
entidad
• Comunicar expectativas y requerimientos de información

DUEÑOS DE RIESGO GRUPOS DE INTERÉS

• Asumir y gestionar el riesgo dentro de los límites y el apetito de • Reguladores, entes de control, en general las partes
riesgo establecidos interesadas que requieren informes de riesgo para cumplir con
• Identificar, evaluar, medir, mitigar y monitorear el riesgo de sus roles y responsabilidades
acuerdo con la política y el marco de gestión de riesgos
• Escalar las situaciones de riesgos que superan el apetito al
riesgo definido
2 SARO
Normatividad del SARO

El capítulo XXIII de la Circular Básica Contable y Financiera (CE

100 de 1995) emitida por la SFC establece las reglas relativas a la
administración del Riesgo Operacional. Por lo anterior, en
desarrollo de sus operaciones, las SCB se encuentran sometidas
a la inspección y vigilancia de la Superintendencia Financiera de
Colombia (SFC) y se expone al Riesgo Operacional (RO).
Sistema de Administración de Riesgo Operacional – SARO

RIESGO
RIESGO
OPERACIONAL
OPERCIONAL OBJETIVO DEL SARO
RIESGO
LEGAL Diseñar y adoptar un esquema que permita identificar, medir, controlar y
monitorear eficazmente el riesgo operacional asociado a las diferentes
RIESGO
Objetivo LEGAL actividades de la organización, mitigando la probabilidad de la
materialización de este.
del SARO

OBJETIVO
DEL SARO
 CONCEPTOS

Riesgo Operacional
Es la posibilidad de que la entidad incurra en pérdidas por las
deficiencias, fallas o inadecuado funcionamiento de los procesos, la
tecnología, la infraestructura o el recurso humano, así como por la
ocurrencia de acontecimientos externos asociados a éstos. Incluye el
riesgo legal.

Riesgo Legal
Es la posibilidad de pérdida en que incurre una entidad al ser
sancionada u obligada a indemnizar daños como resultado del
incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los

contratos y transacciones, derivadas de actuaciones malintencionadas,
negligencia o actos involuntarios que afectan la formalización o
ejecución de contratos o transacciones. Aplica a todas las actividades e
incluye a terceros que actúen en representación de la entidad respecto
de los procesos y/o actividades tercerizadas.
Fuente: Circular Externa 025 de 2020
CONCEPTOS

Clasificación FACTORES

Fraude Interno / Externo

INTERNOS
Relaciones laborales • Recurso Humano
• Procesos
Clientes • Tecnología
• Infraestructura
Daños a activos físicos
Fallas tecnológicas
EXTERNOS
Ejecución y administración de proceso
Ejemplo

• Verificar la existencia de políticas, procedimientos y sus flujos,

instructivos, etc.
• Elaborar el presupuesto anual de compras, analizado
por meses y su verificación de cumplimiento.
• Comprobar los precios, datos, calidad de la mercancía
y servicios.
Control
Etapas y Elementos del SARO
Etapas Elementos
Políticas

Procedimientos

Documentación

Estructura Organizacional

Registro de eventos de riesgo

operacional

Órganos de control

Plataforma Tecnológica

Divulgación de información

Capacitación
FLUJO GESTIÓN DE RIESGOS OPERACIONALES
CONTEXTO
• Alinear la gestión de riesgos con la
estrategia
EVALUACIÓN
• Comparar los niveles estimados de
riesgos contra los niveles de riesgo
aceptados y preestablecidos. Lo
anterior permite priorizar los riesgos
IDENTIFICACIÓN
• Aplicar metodologías
• Realizarse previamente a la
implementación
• Y responder ¿Qué puede suceder?
¿Por qué sucede? y ¿cómo puede
suceder?
TRATAMIENTO
• Definir e implementar un plan de
administración específico para los
riesgos
MEDICIÓN
• Analizar los riesgos en términos de
sus consecuencias (impactos) y
probabilidad de ocurrencia
MONITOREO
• Garantizar la retroalimentación
requerida para asegurar la mejora
continua del proceso de gestión de
riesgos
 Eventos de Riesgo Operacional – ERO
Es una situación que afectó directamente los objetivos del
proceso, independientemente de si su ocurrencia genera pérdidas económicas o
no

❑ Todas las entidades deben contar con un registro de eventos de riesgo

operacional de alta calidad que incluya los criterios generales y específicos.

❑ Debe contener todos los eventos de riesgo operacional ocurridos y que:

▪ Generan pérdidas y afectan el estado de resultados de la entidad.
▪ No generan pérdidas y por lo tanto no afectan el estado de resultados
de la entidad

❑ Deben contar con procedimientos y procesos documentados para la

identificación, recopilación y tratamiento de los registros de eventos de
riesgo operacional

Fuente: Circular Externa 025 de 2020

 TIPOS DE RIESGO OPERACIONAL

Fraude Interno Fraude Externo Fallas Tecnológicas Clientes

Ejecución y administración de procesos Relaciones Laborales Daño a Activos Fijos

 RECOMENDACIONES

Las entidades deben:

❑ Presentar el perfil de riesgo a Junta directiva y Comité de Riesgos en caso

de tener, junto con sus respectivas actualizaciones.

❑ La matriz de riesgos operacionales de la Entidad debe contemplar

categorías de riesgo entre las que se encuentra Ejecución y administración
de Procesos, Fallas tecnológicas y Clientes, así mismo los posibles eventos
de fraude interno y/o externo que son inherentes a las operaciones que
desarrollan las SCB
3 SARLAFT
 SARLAFT
Identificar (Factores de Riesgo)
Esta etapa debe realizarse previamente:

• (i) al lanzamiento o uso de cualquier

producto, al uso de nuevas prácticas
comerciales, incluyendo nuevos canales de
IDENTIFICACIÓN
prestación de servicios, y el uso de nuevas
tecnologías o tecnologías en desarrollo para
productos nuevos o existentes;

• (ii) la modificación de las características

del producto; Medir

• (iii) la incursión en un nuevo mercado; La probabilidad de ocurrencia del riesgo inherente

MEDICIÓN de LA/FT frente a cada uno de los factores de
riesgo, así como el impacto en caso de
• (iv) la apertura de operaciones en materializarse mediante los riesgos asociados.
nuevas jurisdicciones, y (v) al lanzamiento
o modificación de los canales de distribución. • Metodología y medición de los riesgos LAFT
identificados para los nuevos productos
Estructurar:
• Calificación inherente y residual de cada riesgo
• Matriz de riesgos (factores de riesgo asociados)
• Descripción de los riesgos (causa, evento y
consecuencia).

Evaluar:
• Es el proceso utilizado para determinar las
prioridades de administración de riesgos
comparando el nivel de riesgo respecto de
estándares predeterminados, niveles de riesgo
objetivos u otro criterio.
• Planes de acción frente a los riesgos que
superen el apetito de riesgo determinado por la
sociedad.
• Permiten una mitigación temprano y razonable
de la posible materialización de cualquier riesgo
(Operacional, legal, reputacional, de contagio
etc.)
SARLAFT
EVALUACIÓN
Tratamiento
• Involucra identificar el rango de opciones para
TRATAMIENTO tratar los riesgos, evaluar esas opciones,
preparar planes para el tratamiento de los
riesgos e implementarlos. De manera concreta y
en función del riesgo de LA/ FT se busca tomar
las medidas que permitan controlar los riesgos
para reducir el nivel de riesgo inherente
resultante.
• Descripción y evaluación de la efectividad de los
controles, así como su monitoreo y mejora
continua.
 SARLAFT
Segmentar:
Los factores de riesgos (cliente/usuario, producto,
canal, jurisdicción) de conformidad con los nuevos
productos que se adelanten
• Documentar los modelos de segmentación SEGMENTACIÓN
ajustados con cada nuevo producto que se
desarrolle

Clientes Señales de alerta

Contar con los documentos para específicas para cada producto que
vincular y monitorear los clientes CONOCIMIENTO SEÑALES DE
se desarrolle
DEL CLIENTE ALERTA
• Procedimientos para la • Señales de alerta cualitativas o
vinculación y monitoreo de cuantitativas aplicables a cada
clientes producto que se adelante
• Formatos y/o formularios de
vinculación y monitoreo de
clientes
4 CONTINUIDAD DEL NEGOCIO

Capacidad estratégica y táctica
de una organización para
responder oportunamente a
eventos de interrupción en las
actividades del negocio con el fin
de reanudar la operación a
niveles aceptables de servicio
previamente definidos.
Capacidad de una organización
para anticiparse, prepararse,
responder y adaptarse a los
cambios cada vez mayores y a
las interrupciones repentinas
con el fin de sobrevivir y
prosperar.
DEFINICIONES
Debe mantener una visión
holística, que permita identificar
el impacto potencial de las
amenazas, y provee el marco de
trabajo para el desarrollo de una
CONTINUIDAD PROCESO DE capacidad de respuesta efectiva
DE NEGOCIO CONTINUIDAD que permita salvaguardar el
interés de los inversionistas.
Práctica recurrente que de forma
preventiva permite identificar
RESILIENCIA GESTIÓN DE las amenazas y vulnerabilidades
ORGANIZACIONAL
RIESGOS existentes asociadas a la
operación de los procesos e
infraestructura, para
recomendar e implementar
medidas de control que
redundan en la protección de la
compañía.
 Normatividad aplicable
Circular Externa 025 de 2020 Circular Básica Contable y Financiera - CAPITULO XXIII - Reglas relativas a la Administración del Riesgo Operacional -
Numeral 3.1.3.2. Administración de la continuidad del negocio (Modificada por la Circular externa 014 de 2022)

COMITÉ DE CONTROL DE EMERGENCIAS PRUEBAS

G
Sesiones periódicas en contingencia. Eficacia / Eficiencia
Informes de evolución y planes de acción a la JD.

PREVENCIÓN DE RIESGOS
Garantizar la continuidad de la operación y la
F A DIVULGACIÓN
Conocido por todos los interesados.
prestación de los servicios.

IDENTIFICACIÓN DE ESCENARIOS
E B IDENTIFICACIÓN DE RIESGOS
Garantizar que el personal que desempeñe Actividades (Antes / Durante / Después)

D C
funciones críticas pueda continuar laborando a
través de trabajo remoto o en diferentes
instalaciones.

MONITOREO Y CONTROL
Cuando exista un aumento en el uso o prestación de
servicios a través de los canales de atención.

Elementos: Prevención y atención de emergencias, administración de escenarios de

Definir – Implementar – Probar - Mantener crisis, planes de contingencia y capacidad de retorno a la operación normal.
¿Cómo inicio mi programa de Continuidad de Negocio?

DISEÑA DOCUMENTA EJERCITA

Las soluciones Los planes de
El plan de forma
alternativas a utilizar continuidad con las
periódica.
cuando tus acciones a realizar
instalaciones, cuando sea necesario
personas, tecnología, usar las soluciones
proveedores, no alternativas
estén disponibles. existentes.

PRIORIZA IMPLEMENTA CAPACITA

Las Actividades Las soluciones para A tus equipos de
mas urgentes de crear capacidad de trabajo.
recuperar. recuperación.

ACTUALIZA TU PROGRAMA DE CONTINUIDAD DE NEGOCIO

Tipos de Planes que hacen parte de la Continuidad

Plan administración Plan de Continuidad Plan de

Plan de Respuesta a
de Crisis / de Negocio Recuperación de
Emergencias.
Comunicaciones Desastres (DRP).
Conjunto de directrices y Plan estratégico de Conjunto de Conjunto de
procedimientos para actuar supervisión de las procedimientos y procedimientos y
en caso de desastre o actividades de respuesta y estrategias definidos estrategias definidos para
amenaza colectiva. Permite recuperación durante un para asegurar la asegurar la reanudación
desarrollar una respuesta desastre. Un equipo de nivel reanudación oportuna y oportuna y ordenada de los
rápida y coordinada frente a directivo velará por limitar el ordenada de los procesos servicios informáticos.
una amenaza que tenga el impacto de las del negocio generando un
potencial de afectar la interrupciones y impacto mínimo o nulo ante
integridad física y/o mental determinar el mejor un evento de máxima
de las personas. curso de acción. afectación.
 SEGURIDAD DE LA

5 INFORMACIÓN Y
CIBERSEGURIDAD
Normatividad aplicable en seguridad de la información

Política de Seguridad • Preservar la confidencialidad, integridad,

disponibilidad de la información
de la Información en • Implementar las directrices de seguridad de la
información y ciberseguridad definidas en la política
la Circular Unica de • Realizar adecuada gestión de seguridad de la
Bolsa (Anexo 31) de información durante el ciclo de vida de información.
Por ejemplo, backups, gestión de usuarios, seguridad
en equipo de cómputo, etc.
la BMC

• Mecanismos para evaluar el uso de la información

Circular Externa 038 confidencial.
• Gestionar los riesgos operativos de y de seguridad
del 2007 Control de la información.
• Realizar labores de autogestión para control de los
Interno de la SFC procesos, tecnologías, control de cambios y
realización de auditorías
Sistema de Gestión de Seguridad de la Información - SGSI
¿Cómo fortalecer el SGSI?

01 Gestionar los usuarios de acceso a las aplicaciones, reportando de manera

oportuna los ingresos, rotaciones, retiros y/o novedades, para evitar
accesos no autorizados.

02
Transmitir información confidencial a terceros o la BMC usando mecanismos
de cifrado de información. Por ejemplo: software free 7zip.

03
Concientizar al personal en el uso correcto de las contraseñas, cómo evitar
ser víctima de phishing o ciberataques al usar el email, navegar a internet, y
controles de seguridad en el equipo de cómputo como cifrado, antivirus, etc.

Reportar a la BMC cualquier evento o incidente relacionado con las

04 aplicaciones, servicios o información de clientes de la BMC al correo

[email protected]
CERTIFICACIÓN DE LA BOLSA EN ISO27001 SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN

Beneficios de la certificación

Se minimiza la exposición Seguridad

de riesgo de los servicios
de la compañía Aseguramiento en
Tecnologías los servicios
tecnológicos y
Operación sistemas de
información de la
Operaciones seguras y BMC
protección de la información
bajo los pilares de Partes
confidencialidad, integridad y Interesadas
disponibilidad Brindar seguridad a nuestros
clientes, socios, accionistas
 GRACIAS

@Bolsamercantil @bolsamercantil Bolsa Mercantil de Colombia

@BolsaMercantil Bolsa Mercantil de Colombia oficial