Académique Documents
Professionnel Documents
Culture Documents
Versin:
Fecha:
Pgina: 1 de 41
rea de aplicacin:
Versin:
Fecha:
OCTUBRE DE 2014
ICETEX
4
Marzo 2014
Cdigo:
Versin:
Fecha:
Pgina: 2 de 41
Contenido
1. OBJETIVO DEL MANUAL ........................................................................................... 6
2. ALCANCE ................................................................................................................... 6
3. MARCO NORMATIVO................................................................................................. 6
3.1 NORMAS EXTERNAS ........................................................................................................... 6
3.2 NORMAS INTERNAS ............................................................................................................ 6
4. ACERCA DEL INSTITUTO COLOMBIANO DE CRDITO EDUCATIVO Y ESTUDIOS
TECNICOS EN EL EXTERIOR MARIANO OSPINA PEREZ, ICETEX. ........................... 7
4.1 ESTRUCTURA ORGANIZACIONAL ..................................................................................... 7
4.2 MAPA DE PROCESOS ....................................................................................................... 7
5. SISTEMA DE ADMINISTRACIN DE RIESGO OPERATIVO ..................................... 7
5.1 MARCO CONCEPTUAL ..................................................................................................... 7
5.2 OBJETIVOS SARO .......................................................................................................... 8
5.3 ESTRUCTURA ORGANIZACIONAL DEL SARO ................................................................... 9
5.3.1 JUNTA DIRECTIVA .................................................................................................................. 9
5.3.2 REPRESENTANTE LEGAL ..................................................................................................... 10
5.3.3 UNIDAD DE RIESGO OPERATIVO ......................................................................................... 10
5.3.4 NIVEL DIRECTIVO ................................................................................................................. 11
5.3.5 LDERES DE RIESGO ............................................................................................................ 12
5.3.6 FUNCIONARIOS .................................................................................................................... 12
5.3.7 COMIT SARO Y SARLAFT............................................................................................... 13
5.3.8 FUNCIONES DE LOS RGANOS DE CONTROL .................................................................... 14
5.4 PLATAFORMA TECNOLGICA......................................................................................... 15
5.5 DOCUMENTACIN .......................................................................................................... 15
5.6 CAPACITACIN .............................................................................................................. 15
5.7 MECANISMOS DE CAPACITACIN ................................................................................... 15
5.8 DIVULGACIN ................................................................................................................ 16
6. POLTICAS DEL SISTEMA DE ADMINISTRACIN DE RIESGO OPERATIVO ........ 18
6.1 POLTICAS ESTRATGICAS ............................................................................................ 19
6.2 POLTICAS ADMINISTRATIVAS ........................................................................................ 19
6.3 POLTICAS OPERATIVAS ................................................................................................ 20
6.4 POLTICAS DOCUMENTALES .......................................................................................... 20
7. METODOLOGA SISTEMA DE ADMINISTRACIN DEL RIESGO OPERATIVO ...... 21
7.1 PROCESO DE GESTIN DEL RIESGO OPERATIVO.............................................. 21
7.2 IDENTIFICACIN DEL RIESGO ............................................................................... 22
7.3 MEDICIN DEL RIESGO .......................................................................................... 23
7.3.1 ESTIMACIN DE LA FRECUENCIA DE LOS RIESGOS ................ ERROR! MARCADOR NO DEFINIDO.
7.3.2. ESTIMACIN DE LA MAGNITUD DEL IMPACTO ......................... ERROR! MARCADOR NO DEFINIDO.
7.4 CONTROL DE RIESGOS .......................................................................................... 23
7.5 PERFIL DE RIESGO ................................................................................................. 24
7.6 TRATAMIENTO DEL RIESGO RESIDUAL ............................................................... 25
7.7 MONITOREO............................................................................................................. 26
7.7.1 MONITOREO AL MAPA DE RIESGOS OPERATIVOS .................................................................. 26
7.7.2 MONITOREO AL SARO ........................................................................................................... 26
7.8 INDICADORES .......................................................................................................... 27
Cdigo:
Versin:
Fecha:
Pgina: 3 de 41
Cdigo:
Versin:
Fecha:
Pgina: 4 de 41
INTRODUCCIN
De conformidad con la Ley 1002 del 30 de diciembre de 2005, el Decreto 1050 del 6 de
abril de 2006, el Libro 7 del Ttulo 1 del Decreto 2555 del 15 de julio de 2010 (antes
Decreto 2792 de julio 27 de 2009), el Instituto Colombiano de Crdito Educativo y
Estudios Tcnicos en el Exterior (en adelante ICETEX) como entidad financiera de
naturaleza especial, est autorizado legalmente para realizar operaciones financieras
relacionadas con su objeto Legal. Bajo esta perspectiva le son aplicables en el marco del
Estatuto Orgnico del Sistema Financiero, como entidad con rgimen especial, algunas
de las disposiciones relacionadas en la Circular Bsica Contable y Financiera y Bsica
Jurdica, expedidas por la Superintendencia Financiera de Colombia y delimitadas a las
operaciones que son objeto de la inspeccin, vigilancia y control de ese rgano
supervisor.
El ICETEX consciente de la complejidad de sus operaciones, del cumplimiento de su
misin y visin, enmarcados en un conjunto de herramientas que apoyen la planeacin
estratgica y el alcance de objetivos de largo plazo, considera importante, relevante y
fundamental adoptar de manera integral el sistema SARO y efectuar su implementacin,
siendo un compromiso por parte de la Junta Directiva y de la administracin de la entidad
respectivamente.
De igual forma para el Estado Colombiano, el Decreto 1537 de 2001 establece en el
artculo 4 que todas las entidades de la Administracin Pblica deben contar con una
poltica de Administracin de Riesgos tendiente a darle un manejo adecuado a los
riesgos, con el fin de lograr de la manera ms eficiente el cumplimiento de sus objetivos y
estar preparados para enfrentar cualquier contingencia que se pueda presentar.1
Mediante el Decreto 1599 del 20 de mayo del 2005, se adopt el Modelo Estndar de
Control Interno para todas las entidades del Estado: Este modelo presenta tres
Subsistemas de Control: el Estratgico, el de Gestin y el de Evaluacin. La
Administracin del Riesgos ha sido contemplada como uno de los componentes del
Subsistema de Control Estratgico.
El ICETEX define el Riesgo Operativo como la posibilidad de incurrir en prdidas por
deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la
tecnologa, la infraestructura o por la ocurrencia de acontecimiento externos. Esta
definicin incluye el riesgo legal y reputacional, asociados a tales factores2, en
consecuencia su eficiente administracin permitir a la entidad minimizar la frecuencia e
impacto de los eventos, garantizando la ejecucin de las operaciones normales, mejorar
el servicio al cliente mediante la correcta ejecucin de procesos, disminuir el nivel de
prdidas generadas por eventos de fraude interno y externo, fallas tecnolgicas y eventos
externos. As mismo el Departamento Administrativo de la Funcin Pblica define el
1
2
Cdigo:
Versin:
Fecha:
Pgina: 5 de 41
Cdigo:
Versin:
Fecha:
Pgina: 6 de 41
1.
El presente documento tiene como objetivo relacionar, establecer y divulgar las polticas,
los objetivos, la estructura organizacional, las metodologas, las estrategias, los procesos
y procedimientos aplicables en el desarrollo, implementacin y seguimiento del Sistema
de Administracin de Riesgo Operativo SARO en el ICETEX.
2.
ALCANCE
MARCO NORMATIVO
Acuerdo 013 del 21 de febrero de 2007, por el cual se adoptan los Estatutos del
ICETEX
Acuerdo 016 del 21 de febrero de 2007, por el cual se adopta la poltica de
provisin de contingencias judiciales.
Acuerdo 031 del 29 de agosto de 2008 y Resolucin de Presidencia 797 del 2 de
octubre de 2008, mediante el cual se reorganizan los Comits de apoyo a la Junta
Directiva del ICETEX, y se crea el Comit SARO y SARLAFT.
Acuerdo 09 del 12 de marzo de 2008, por el cual se adopta el Manual del Sistema
de Administracin de Riesgo Operativo.
Acuerdo 036 del 09 de noviembre de 2010, por el cual se adopta el Nuevo Manual
del Sistema de Administracin de Riesgo Operativo (versin 2).
Acuerdo 018 del 16 de Julio de 2013, por el cual se reglamenta la metodologa del
Sistema de Administracin de Riesgo Operativo SARO.
Cdigo:
Versin:
Fecha:
Pgina: 7 de 41
Estructura Organizacional
4.2
Mapa de procesos
Cdigo:
Versin:
Fecha:
Pgina: 8 de 41
Cdigo:
Versin:
Fecha:
Pgina: 9 de 41
Cdigo:
Versin:
Fecha:
Pgina: 10 de 41
Cdigo:
Versin:
Fecha:
Pgina: 11 de 41
Cdigo:
Versin:
Fecha:
Pgina: 12 de 41
Cdigo:
Versin:
Fecha:
Pgina: 13 de 41
Cdigo:
Versin:
Fecha:
Pgina: 14 de 41
Las deliberaciones y conclusiones del Comit SARO sern registradas mediante Actas
elaboradas por el Jefe de la Oficina de Riesgo quin ejercer como secretario del Comit.
Este Comit se realiza cuatro veces al ao y el qurum decisorio requiere de la mitad ms
uno de los miembros con voto.
5.3.6 Funciones de los rganos de Control
Son los responsables de efectuar una evaluacin del SARO e informar de forma oportuna
los resultados de sus evaluaciones a los rganos competentes y a la Alta Direccin.
Oficina de Control Interno
La Oficina de Control Interno deber cumplir dentro del Sistema SARO las siguientes
funciones:
a) Evaluar peridicamente la efectividad y cumplimiento de todas y cada una de las
etapas y los elementos del SARO con el fin de determinar las deficiencias y sus
posibles soluciones.
b) Informar sobre los resultados de la evaluacin a la Unidad de Riesgo Operativo y a
la Presidencia del ICETEX.
c) Realizar una revisin peridica del registro de eventos e informar a la Presidencia
el cumplimiento sobre las condiciones sealas en el numeral 3.2.5. de la Circular
041 de 2007 expedida por la Superintendencia Financiera de Colombia y las que la
modifiquen o sustituyan.
d) Verificar la eficacia de los planes de accin generado como tratamiento a un riesgo
o causa que supere el nivel de tolerancia establecido por la Junta Directiva de la
entidad.
Revisor Fiscal
Sin perjuicio de las normas que le asigna el Cdigo de Comercio y la normatividad
expedida por parte de la Superintendencia Financiera de Colombia, sern funciones de la
Revisora Fiscal las siguientes:
a) Incluir dentro de su plan de actividades, la auditora al Sistema de Riesgo
Operativo de la Entidad y formular las recomendaciones que considere pertinentes
b) Elaborar un reporte al cierre de cada ejercicio contable, en el que informe a la
Junta Directiva acerca de las conclusiones obtenidas en el proceso de evaluacin
del cumplimiento de las normas e instructivos establecidos sobre el SARO.
c) Poner en conocimiento del Representante Legal los incumplimientos del SARO,
sin perjuicio de la obligacin de informar sobre ellos a la Junta Directiva.
Cdigo:
Versin:
Fecha:
Pgina: 15 de 41
Cdigo:
Versin:
Fecha:
Pgina: 16 de 41
5.8 Divulgacin
Cdigo:
Versin:
Fecha:
Pgina: 17 de 41
PERIODICIDAD
RESPONSABLE
Semestral
Oficina de Riesgo
Anual
Oficina
Interno
de
Control
Estados
CLASE
PERIODICIDAD
Externo
Anual
RESPONSABLE
Oficina de Riesgo/
Direccin
de
Contabilidad/
Presidencia
DEFINICION
CLASE
PERIODICIDAD
RESPONSABLE
Estados Financieros
Revelacin
Contable
Anual
Presidencia, Direccin
de Contabilidad y
Revisor Fiscal
Cdigo:
Versin:
Fecha:
Pgina: 18 de 41
6.
La administracin del SARO seguir principios que rigen el actuar de los diferentes
funcionarios partcipes y de la estructura de gobierno corporativo propio del Sistema y que
se definen como:
Principio de independencia
La Unidad de Riesgo Operativo URO y sus funcionarios son independientes de las reas
misionales, de control y de las dems reas de apoyo de la entidad, con el fin de evitar
conflictos de inters al momento de identificar, medir, controlar y monitorear los riesgos
operativos.
Principio de transparencia
Todas las funciones de la URO sern ejecutadas con estricta sujecin a las polticas,
reglas y procedimientos que se establezcan para administracin del riesgo operativo y a
las directrices trazadas por la Junta Directiva y el Comit SARO.
Toda actuacin de un funcionario del ICETEX se sujetar dentro del marco del Manual
que describe las polticas del Sistema SARO y las dems normas concordantes que rigen
la Entidad.
Principio de sostenibilidad
La sostenibilidad de la operacin del ICETEX debe estar relacionada con el nivel de
riesgo operativo asumido en cada caso, respetando los criterios de seguridad y
responsabilidad que en todo momento debern observar los funcionarios de la Entidad.
El ICETEX ha definido las directrices que guiaran las actuaciones relacionadas con el
SARO, los funcionarios y terceros relacionados contractualmente con la Entidad. La
Oficina de Riesgo ser la encargada de la ejecucin de dichas polticas, la Alta Direccin
realizar la revisin y la Junta Directiva aprobar la estructura y polticas del Sistema de
Administracin de Riesgo Operativo.
Para tal efecto, se han clasificado las polticas en Estratgicas, Administrativas,
Operativas y Documentales.
Cdigo:
Versin:
Fecha:
Pgina: 19 de 41
Cdigo:
Versin:
Fecha:
Pgina: 20 de 41
Todas las funciones de la URO sern ejecutadas con estricta sujecin a las
polticas, reglas y procedimientos que se establezcan para administracin del
riesgo operativo y a las directrices trazadas por la Junta Directiva y el Comit
SARO SARLAFTLa Junta Directiva del ICETEX con el apoyo del Comit SARO y la Oficina de
Riesgo ha establecido el nivel de tolerancia al riesgo operativo en tolerable.
La URO debe administrar la informacin y bases de datos de riesgo operativo,
apoyar a los lderes de proceso en la identificacin de los eventos, en el registro
de dichos eventos, en el diseo de los planes de accin y en el seguimiento a los
mismos.
Las polticas, procedimientos, normas y estrategias sobre el riesgo operativo se
debern revisar y actualizar cada vez que se considere, incluyendo una completa
revisin de la efectividad de las actividades de identificacin, evaluacin,
monitoreo y control del riesgo.
Como mnimo dos veces al ao, se deber monitorear y evaluar los riesgos
operativos y registrar en los mapas y en el plan de accin sus respectivas
actualizaciones.
El ICETEX deber contar con el mapa de riesgos, as como sus responsables,
calificaciones y planes de accin.
La medicin de los riesgos operativos se deber realizar de forma cualitativa y
acorde con la metodologa aprobada por la Junta Directiva. De igual manera el
ICETEX debe elaborar y llevar un registro de eventos materializados.
El Lder de Riesgo debe comunicar mediante las herramientas que disponga la
entidad a la unidad de Riesgo Operativo todos los eventos que afecten el SARO.
Cdigo:
Versin:
Fecha:
Pgina: 21 de 41
7.
Cdigo:
Versin:
Fecha:
Pgina: 22 de 41
RIESGO ASOCIADO
ECONMICO
LEGAL
REPUTACIONAL
PROCESO
En busca de fortalecer la etapa de identificacin del Sistema de Administracin de Riesgo
Operativo la entidad cuenta con los siguientes mecanismos:
RIESGO ASOCIAD
Econmico
Legal
Reputacional
Proceso
Cdigo:
Versin:
Fecha:
Pgina: 23 de 41
PROBABILIDAD
0
0
IMPACTO
Aceptable
Tolerable
Grave
Critico
Con la informacin del nivel inherente de cada una de las causas, se debe elaborar la
matriz de riesgos consolidada por procesos, y de toda la organizacin, en la cual se
observe la exposicin de riesgos sin controles.
7.4 Control de Riesgos
Una vez definido el perfil de riesgo inherente, se identifican los controles que permitan
prevenir y/o detectar cada una de las causas asociadas a los riesgos y los controles que
al implementarse logren disminuir el impacto o la frecuencia de las causas identificadas y
asociadas a cada riesgo, para posteriormente evaluar la calidad de los controles
asociados a los riesgos identificados y medidos.
Cdigo:
Versin:
Fecha:
Pgina: 24 de 41
Los controles deben atacar las causas e impactos que originan el riesgo, desde tres
perspectivas, prevencin, deteccin y correccin, generando una cadena de control
suficiente para el tratamiento del riesgo.
En la valoracin de los riesgos identificados, se tendrn en cuenta la calidad de los
controles establecidos para el tratamiento de los mismos, para as valorar el riesgo
residual. Los criterios base para determinar la calidad de los controles se encuentran en el
anexo 6 del presente manual.
La calificacin de estos criterios arroja la puntuacin de fortaleza del control, para as
identificar el nivel de exposicin a nivel de causa y de riesgo una vez aplicados los
controles y por ende el riesgo residual individual y consolidado. As mismo, luego de la
valoracin de los controles se puede identificar el porcentaje de mitigacin para disminuir
causa e impacto teniendo en cuenta la descripcin del riesgo. Las escalas de mitigacin
de controles se encuentran en el anexo 6 del presente manual.
En los procesos del ICETEX que incluyen la participacin de un outsourcing, el riesgo
operativo debe ser identificado y medido por el Lder de Riesgo, los funcionarios que se
encuentran involucrados directamente con ste o quienes hagan las funciones de
supervisor y/o interventor. La definicin de las medidas de control de los riesgos
operativos las realiza el outsourcing con previa aprobacin del supervisor, interventor y/o
lder de riesgo.
7.5 Perfil de Riesgo
El perfil de riesgo es el resultado consolidado del promedio ponderado de la probabilidad
y del impacto, el cual debe ubicarse en el mapa trmico de la entidad.
MAPA TRMICO
5
PROBABILIDAD
0
0
IMPACTO
El perfil de riesgo debe poderse consolidar para toda le entidad, por proceso, por
dependencia o por factor de riesgo.
Cdigo:
Versin:
Fecha:
Pgina: 25 de 41
Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una
decisin administrativa
Mitigar el riesgo: al generar al interior de los procesos se generan cambios
sustanciales por mejoramiento, rediseo o eliminacin, como resultado de unos
adecuados controles y planes de accin, los cuales deben ir orientados a la
disminucin del impacto, mediante la distribucin de la frecuencia o la disminucin
de las dos.
Dispersar o atomizar el riesgo: Se logra mediante la distribucin o localizacin del
riesgo en diversos lugares, procesos o personas.
Transferir el riesgo: Buscar respaldo y compartir con otro todo o parte del riesgo.
Asumir el riesgo: Luego que el riesgo ha sido reducido o transferido puede quedar
un riesgo residual que se mantiene, en este caso la Junta Directiva o la
Presidencia aceptarn la prdida residual tolerable y se debern realizar
tratamientos a estos riesgos para su manejo.
Para las causas de los riesgos que en su calificacin residual se clasifiquen como graves
o crticos, el Lder de Proceso debe establecer planes de accin que busquen reducir la
exposicin de la entidad a travs de la creacin de nuevos controles, la implementacin
de modificaciones a los controles existentes o la creacin de actividades de correccin
inmediata. A dichos planes se les har seguimiento y se verificar la eficacia por parte de
la Oficina de Control Interno, y se reportar su avance al nivel directivo de la Entidad, con
el fin de tomar las decisiones respectivas para su tratamiento y mitigacin.
Las causas de los riesgos clasificados como aceptables y tolerables deben ser evaluados
continuamente por los Lderes de Riesgo, garantizando la eficacia de los controles en el
tiempo, ya sea mejorndolos o planteando unos nuevos, cuando haya lugar. Si se percibe
un incremento en el nivel del riesgo debe ser informado inmediatamente a la URO, con el
fin de realizar la respectiva reclasificacin.
Cdigo:
Versin:
Fecha:
Pgina: 26 de 41
7.7 Monitoreo
7.7.1 Monitoreo al mapa de riesgos operativos
Tiene por objeto realizar el seguimiento a los perfiles de riesgo inherente y residual, as
mismo, a las etapas del SARO, con el fin de realizar las acciones correctivas, preventivas
y de mejora al sistema. Es necesario monitorear los riesgos, la efectividad de los planes
de accin de los riesgos y el sistema de administracin que se establece para controlar la
implementacin.
El monitoreo al mapa de riesgos operativos de la entidad lo realizarn el lder de riesgo
operativo y la URO como mnimo dos veces al ao, dentro del monitoreo la URO debe
proponer al Comit SARO las medidas relativas al perfil de riesgo residual, teniendo en
cuenta el nivel de tolerancia al riesgo de la Entidad, fijado por la Junta Directiva.
El seguimiento y la verificacin de la eficiencia de los planes de accin de la entidad, se
realizar conforme a lo establecido en el Sistema de Gestin de Calidad para las
Acciones preventivas, correctivas y de mejora.
7.7.2 Monitoreo al SARO
Tiene por objeto realizar un seguimiento efectivo, que facilite la deteccin y correccin de
las deficiencias en el SARO.
El SARO debe retroalimentarse con el resultado de las auditoras internas y externas
realizadas a los procesos de la Entidad, as como de la base de eventos de riesgo
operativo materializados, teniendo en cuenta que estos son los mecanismos ms
eficientes para la evaluacin de los controles y el seguimiento a la ocurrencia de eventos
y el mapa de riesgo ser insumo para las auditoras a realizar en la Entidad.
En consecuencia de lo anterior, se realizar de manera previa a la formulacin de nuevos
procesos, proyectos o productos del ICETEX, una evaluacin de los riesgos potenciales
de dicho proceso, proyecto y/o producto, conforme a lo establecido en el Decreto 380 de
2007.
En el monitoreo anual al sistema, se har una revisin al cumplimiento de las polticas, al
programa de capacitacin, indicadores, registro de eventos y controles operativos, para
los cuales se evidencia su resultado en el test de monitoreo anual al Sistema de
Administracin de Riesgo Operativo.
Ver Anexo 4: Test de monitoreo anual al SARO
Una herramienta fundamental para el monitoreo de la implementacin y eficacia del
SARO son las auditoras propias del sistema. El monitoreo que se realice al SARO deber
enfocarse en:
Cdigo:
Versin:
Fecha:
Pgina: 27 de 41
7.8 Indicadores
Los Indicadores del Sistema de Administracin del Riesgo Operativo, estn diseados
para monitorear y hacer seguimiento al desempeo del sistema al interior del ICETEX en
un perodo definido.
El ICETEX ha construido una serie de indicadores para la medicin del Sistema de
Administracin del Riesgo Operativo SARO- los cuales se estructuran en una matriz que
permite monitorear las actividades del sistema, comparar los resultados alcanzados en
relacin con lo programado, determinar las posibles desviaciones y promover acciones
correctivas y de mejora necesarias para el cumplimiento de las metas definidas.
Ver Anexo 5: Indicadores
7.9 Registro de Eventos
La Superintendencia Financiera de Colombia establece que se debe construir un Registro
de Eventos y mantenerlo actualizado, el cual debe contener todos los eventos ocurridos y
que:
Generan prdidas y afectan el estado de resultados.
Generan prdidas y no afectan el estado de resultados.
No generan prdidas y no afectan el estado de resultados.
Los eventos que no afectan el estado de resultados, deben tener una medicin cualitativa
de acuerdo con el mapa de riesgos.
El propsito fundamental del registro de eventos dentro del proceso de administracin de
riesgos es garantizar que se tomen las acciones para evitar o disminuir nuevamente su
ocurrencia, retroalimentar y fortalecer la identificacin y medicin del riesgo operativo. La
base de datos con el registro de los eventos reportados estar en la herramienta
tecnolgica que disponga la entidad para tal fin, la cual se acoge a las polticas de Backup
de la entidad.
El ICETEX cuenta con una herramienta que permite realizar el Reporte de Eventos, el
cual debe ser gestionado por el Lder de riesgo del proceso respectivo, cuando el evento
tenga origen en una alerta realizada por un funcionario, la URO dar traslado al Lder de
Riesgo para que sea gestionado, el seguimiento y el cierre de los eventos reportados es
responsabilidad de la URO.
Los eventos materializados que se descubran deben ser reportados a la Oficina de
Riesgo mximo veinte (20) das calendario despus de conocer la ocurrencia, si durante
Cdigo:
Versin:
Fecha:
Pgina: 28 de 41
Cdigo:
Versin:
Fecha:
Pgina: 29 de 41
8.
Cdigo:
Versin:
Fecha:
Pgina: 30 de 41
El Jefe de la Oficina Asesora Jurdica o quien haga sus veces, ser el responsable
de reportar la informacin suministrada al rea contable. Las dependencias antes
citadas, sern responsables de coordinar el procedimiento y periodicidad del
reporte. El Director de Contabilidad ser responsable de la contabilizacin de la
provisin.
Cdigo:
Versin:
Fecha:
Pgina: 31 de 41
Prdida: El valor de la prdida por riesgos operativo se obtiene de los valores registrados
en el Mapa de Riesgos en la calificacin del riesgo inherente. Para hallar el valor
correspondiente se toma la informacin a partir de la siguiente tabla:
VALOR
ASOCIADO
1
2
3
IMPACTO ECONOMICO
Valor Mnimo
Valor mximo
$1
$154.500.000
$154.500.001
$309.000.000
$309.001.000
$515.000.000
4
5
$515.000.001
$2.060.000.001
2.060.000.000
En Adelante
A partir de la prdida, se halla el punto medio entre el valor mximo y el valor mnimo para
cada asociado a excepcin del 5 as:
VALOR
IMPACTO
Cdigo:
Versin:
Fecha:
Pgina: 32 de 41
ASOCIADO ECONOMICO
1
2
3
4
5
Valor Promedio
$77.250.0001
$231.750.001
$412.000.001
$1.287.500.001
$2.060.000.001
FRECUENCIA
Muy baja
Baja
Moderada
Alta
Muy Alta
PROBABILIDAD
0.2
0.4
0.6
0.8
0.95
En la frmula
, corresponde al valor de la
posible prdida, en donde n es el nmero de riesgos. La sumatoria del producto de la
prdida y frecuencia de cada uno de los riesgos se divide sobre el nmero total de
riesgos.
Revisin de la Provisin:
El Vicepresidente de Fondos en Administracin y el Jefe de la Oficina de Riesgo,
semestralmente revisarn y propondrn a la Junta Directiva la metodologa para los
ajustes que resulten necesarios frente a la provisin.
Responsable:
Cdigo:
Versin:
Fecha:
Pgina: 33 de 41
RIESGO DE CORRUPCIN
Cdigo:
Versin:
Fecha:
Pgina: 34 de 41
Medicin
Para los riesgos de corrupcin la estimacin de la probabilidad se determina segn el
estado de las causas de la siguiente forma:
Nivel
Posible-Preventivo
Posible-Correctivo
Casi Seguro-Preventivo
Casi Seguro-Correctivo
Clasificacin
Reducir
Asumir
Evitar
Transferir
Cdigo:
Versin:
Fecha:
Pgina: 35 de 41
Control
El tratamiento del riesgo est relacionado segn su clasificacin as:
Reducir y asumir: Estos riesgos estn mitigados de manera suficiente y estn dentro del
nivel de tolerancia de la entidad, por lo que no requieren tratamiento.
Evitar: La entidad debe generar planes de accin con el fin de controlar las causas
originadoras del riesgo y as disminuir su impacto.
Transferir: La entidad debe generar planes de accin con el fin de trasladar el riesgo
(ejemplo, Outsourcing)
Monitoreo
Es responsabilidad de todo el ICETEX realizar seguimiento a todos los riesgos asociados
con corrupcin de acuerdo a lo establecido en las normas del gobierno nacional al
respecto.
10. GLOSARIO
Administracin de Riesgos
La cultura, procesos y estructura que estn dirigidas hacia la administracin efectiva de
oportunidades potenciales y efectos adversos.
Clasificacin de los eventos:
- Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse
indebidamente de activos de la entidad o incumplir normas o leyes, en los que est
implicado, al menos, un empleado o administrador de la entidad. En el ICETEX este
riesgo se asocia al riesgo de corrupcin.
- Fraude Externo: Actos realizados por una persona externa a la entidad, que buscan
defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o
leyes.
- Relaciones laborales: Actos que son incompatibles con la legislacin laboral, con los
acuerdos internos de trabajo y, en general, la legislacin vigente sobre la materia.
- Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los
beneficiarios y que impiden satisfacer una obligacin profesional frente a stos.
- Daos a activos fsicos: Prdidas derivadas de daos o perjuicios a activos fsicos de
la entidad.
- Fallas tecnolgicas: Prdidas derivadas de incidentes por fallas tecnolgicas.
- Ejecucin y administracin de procesos: Prdidas derivadas de errores en la ejecucin
y administracin de los procesos.
Evento
Incidente o situacin que ocurre en un lugar particular durante un intervalo de tiempo
determinado.
Cdigo:
Versin:
Fecha:
Pgina: 36 de 41
Eventos de prdida
Son aquellos incidentes que generan prdidas por riesgo operativo a las entidades.
Factores de riesgo
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se
originan las prdidas por riesgo operativo. Son factores de riesgo el recurso humano, los
procesos, la tecnologa, la infraestructura y los acontecimientos externos. Dichos factores
se deben clasificar en internos o externos, segn se indica a continuacin:
Lder de Riesgo
Son los funcionarios asignados por proceso para apoyar la implementacin del SARO.
Unidad de Riesgo Operativo
Se entiende por Unidad de Riesgo Operativo el rea o cargo, designada por el
Representante Legal de la entidad, que debe coordinar la puesta en marcha y
seguimiento del SARO.
Manual de Riesgo Operativo
Es el documento contentivo de todas las polticas, objetivos, estructura organizacional,
estrategias, metodologas, procesos y procedimientos aplicables en el desarrollo,
implementacin y seguimiento del SARO.
Prdidas
Cuantificacin econmica de la ocurrencia de un evento de riesgo operativo, as como los
gastos derivados de su atencin.
Perfil de Riesgo
Resultado consolidado de la medicin de los riesgos a los que se ve expuesta una
entidad.
Plan de Accin
Conjunto de acciones encaminadas a mitigar los riesgos que sobrepasan el nivel de
tolerancia definido por el ICETEX, el cual contiene responsables, fechas y actividades a
implementar.
Plan de Continuidad del Negocio
Conjunto detallado de acciones que describen los procedimientos, los sistemas y los
recursos necesarios para retornar y continuar la operacin, en caso de interrupcin.
Plan de Contingencia
Conjunto de acciones y recursos para responder a las fallas e interrupciones especficas
de un sistema o proceso.
Riesgo
Posibilidad de ocurrencia de toda aquella situacin que pueda entorpecer el normal
desarrollo de las funciones de la entidad y le impidan el logro de los objetivos.
Cdigo:
Versin:
Fecha:
Pgina: 37 de 41
Riesgo de Corrupcin
Es la posibilidad de ocurrencia de una conducta o comportamiento que puede derivar en
una actuacin corrupta. Fuente: Mapas de riesgos de corrupcin, Departamento
Administrativo de la Funcin Pblica.
Riesgo Inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Riesgo Residual
Nivel resultante del riesgo despus de aplicar los controles.
Riesgo Legal
Es la posibilidad de prdida en que incurre una entidad al ser sancionada u obligada a
indemnizar daos como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales.
El riesgo legal surge tambin como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos
involuntarios que afectan la formalizacin o ejecucin de contratos o transacciones.
Riesgo Operativo (RO)
Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnologa, la infraestructura o por la ocurrencia de
acontecimientos externos. Esta definicin incluye el riesgo legal y reputacional, asociados
a tales factores. Fuente C.E. 041/07 SFC.
Riesgo Reputacional
Es la posibilidad de prdida en que incurre una entidad por desprestigio, mala imagen,
publicidad negativa, cierta o no, respecto de la institucin y sus prcticas de negocios,
que cause prdida de clientes, disminucin de ingresos o procesos judiciales.
Sistema de Administracin de Riesgo Operativo
Conjunto de elementos tales como polticas, procedimientos, documentacin, estructura
organizacional, registro de eventos, rganos de control, plataforma tecnolgica,
divulgacin de informacin y capacitacin, mediante los cuales las entidades vigiladas
identifican, miden, controlan y monitorean el riesgo operativo.
Tratamiento
Conjunto de acciones encaminadas a manejar el efecto de los riesgos que estn dentro
del nivel de riesgo aceptado por el ICETEX.
11. ANEXOS
Cdigo:
Versin:
Fecha:
Pgina: 38 de 41
Cdigo:
Versin:
Fecha:
Pgina: 39 de 41
Anexo 6
1. ESCALAS PARA CALCULO DE PROBABILIDAD E IMPACTO
Estimacin de la Frecuencia de los Riesgos
Capacitacin del
personal en la
ejecucion del
proceso
Rotacin del
Personal
Muy baja
Excelente
Muy Baja
Completamente
automatico
Raro
Baja
Muy Buena
Baja
Muy Alta
Poco
Probable
Moderada
Buena
Media
Alto
Posible
Alta
Regular
Alta
Medio
Probable
Muy Alta
Deficiente
Muy Alta
Bajo
Muy probable
Grado de
Fallas
Automatizacin Tecnologicas
ACTUAL
Numero de
ocurrencias en
un ao
Menos del 2%
Del 2% al 4%
Del 4% al 6%
Del 6% al 8%
Mas del 8%
Cdigo:
Versin:
Fecha:
Pgina: 40 de 41
PROCESO
REPUTACIONAL
LEGAL
REPROCESOS O
DE 1 A 60
ACTIVIDADES
MILLONES
ADICIONALES DE 2
Util Mensual: 0.5%
DIAS
AL INTERIOR DEL
PROCESO
GLOSAS DE CONTORL
INTERNO
REPROCESOS O
DE 60 A 300
EN LA ENTIDAD Y
ACTIVIDADES
MILLONES
ALGUNOS
ADICIONALES DE 3 A 5
Util Mensual: 2.5%
CLIENTES
DIAS
GLOSAS DE ORGANOS
DE CONTROL O
SALVEDADES DE LA
REVISORIA FISCAL
DE 300 A 3.000
MILLONES
Util Mensual:
25.1%
DE 3.000 A 10.000
MILLONES
Util Mensual:
83.6%
MAS DE 10.000
MILLONES
REPROCESOS O
ACTIVIDADES
ADICIONALES DE 6 A 13
DIAS
REPROCESOS O
ACTIVIDADES
ADICIONALES DE 14 A
19 DIAS
REPROCESOS O
ACTIVIDADES
ADICIONALES POR MAS
DE 20 DIAS
CONSIDERABLE
NUMERO DE
CLIENTES
DEMANDAS Y TUTELAS
MEDIOS DE
COMUNICACIN
SANCIONES O MULTAS
DE ENTES DE CONTROL
SECTORIAL O
ENTES DE
CONTROL
EMBARGO DE CUENTAS
Cdigo:
Versin:
Fecha:
Pgina: 41 de 41
PUNTAJE
CRITERIO
15
DOCUMENTACION
10
APLIACION
50
EFECTIVIDAD DEL
CONTROL
15
GRADO DE
AUTOMATIZACION
10
TIPO DE CONTROL
CALIFICACIONES
INDIVIDUALES
SI
PARCIALMENTE
NO
SIEMPRE
ALEATORIA
EL CONTROL ES
EFECTIVO Y TIENE
EVIDENCIA
EL CONTROL
REQUIERE
MEJORAS
EL CONTROL NO
ES EFECTIVO
AUTOMATICO
MIXTO
MANUAL
PREVENTIVO
DETECTIVO
CORRECTIVO
Escalas de mitigacin
MITIGACION DE CONTROLES
1
2
3
4
5
ENTRE 0 Y 20%
ENTRE 21 Y 40%
ENTRE 41 Y 60%
ENTRE 61 Y 80%
0
0
1
1
ENTRE 81 Y 100%
15
7
0
10
5
50
25
0
15
7
5
10
8
3