MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO …

1 Acuerdo No. 045 - Manual del Sistema de Administración de Riesgo Operativo. Acta No. 019 del 17 de Octubre de 2020.

MANUAL DEL SISTEMA DE ADMINISTRACIÓN

DE RIESGO OPERATIVO


ACUERDO No. 045

(17 de Octubre del 2020)

Por medio del cual se modifica el acuerdo No. 011 del 25 de enero de 2020 MANUAL DEL

SISTEMA DE ADMISITRACIÓN DE RIESGO OPERATIVO de la Cooperativa Nacional Educativa de Ahorro y Crédito “COONFIE”.

EL CONSEJO DE ADMINISTRACIÓN DE COONFIE EN USO DE SUS ATRIBUCIONES

LEGALES Y ESTATUTARIAS Y,

CONSIDERANDO

1. Que es atribución del Consejo de Administración, aprobar el manual del sistema de Administración de Riesgo operativo de COONFIE y controlar el cumplimiento estricto de las políticas aquí establecidas.

2. Que se necesita poseer un sistema de Administración de Riesgo operativo que le permita

identificar, medir, controlar y monitorear el riesgo operativo al cual se encuentra expuesto en el desarrollo de su proceso operativo. Para lo cual es necesario contar con una estructura organizacional que esté acorde con el tamaño de Coonfie.

3. Que, en atención a lo anterior, se vinculan a este reglamento la Circular Externa 100 de

1995 en su capítulo XXIII Reglas relativas a la administración del Riesgo Operativo-SARO y la NTC 5254, por lo que COONFIE expide el presente manual que incorpora los elementos y mecanismos para la implementación del Sistema de Administración de Riesgos Operativos.

ACUERDA

ARTÍCULO 1. Poner en vigencia el presente Manual del Sistema de Administración de Riesgo Operativo para el desarrollo de la operación completa operativa, rigiéndose por las siguientes políticas.


CONTENIDO

1. INTRODUCCIÓN .............................................................................................................................. 6

CAPITULO I. DISPOSICIONES GENERALES ....................................................................................... 8

2. OBJETIVOS ..................................................................................................................................... 8

2.1. OBJETIVO GENERAL ............................................................................................................................... 8 2.2. OBJETIVOS ESPECÍFICOS ....................................................................................................................... 8

3. DEFINICIONES ................................................................................................................................ 8

4. MARCO LEGAL ............................................................................................................................. 14

5. PRINCIPIOS ................................................................................................................................... 15

6. COMPONENTES ........................................................................................................................... 17

6.1 GENERALIDADES............................................................................................................................. 17 6.2 DIRECCIÓN Y COMPROMISO ........................................................................................................ 18 6.3 DISEÑO DEL COMPONENTE PARA LA ADMINISTRACIÓN DE RIESGO .............................. 18

6.3.1 Entender el contexto ................................................................................................................. 18 6.3.2 Establecer la política para la Administración de Riesgo ...................................................... 19 6.3.3 Rendición de cuentas ............................................................................................................... 19 6.3.4 Integración en los procesos ..................................................................................................... 20 6.3.5 Recursos ..................................................................................................................................... 20 6.3.6 Establecer mecanismos para la comunicación interna y la presentación de Informes .. 21 6.3.7 Establecer mecanismos para la comunicación externa y la presentación de informes.. 21

6.4 IMPLEMENTAR LA ADMINISTRACIÓN DE RIESGO .................................................................. 22 6.4.1 Implementar el proceso para la Administración de Riesgo ................................................. 22 6.4.2 Implementar el componente para gestionar el riesgo .......................................................... 22

6.5 MONITOREAR Y REVISAR EL COMPONENTE........................................................................... 22 6.6 MEJORA CONTINUA DEL COMPONENTE .................................................................................. 23

CAPITULO II. SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO) ........................ 23

1 LINEAMIENTOS GENERALES ..................................................................................................... 23

2 INTEGRACIÓN DEL SARO CON EL SISTEMA INTEGRAL DE GESTION Y LA PLANEACIÓN

ESTRATÉGICA ...................................................................................................................................... 23

3 ELEMENTOS DEL SARO ............................................................................................................. 24

3.1 POLÍTICAS ................................................................................................................................................ 24 3.1.1 Políticas de Cultura de Riesgo ................................................................................................ 25 3.1.2 Políticas de cumplimiento del Manual SARO ........................................................................ 26


3.1.3 Políticas Etapas del Sistema de Administración de Riesgo Operativo ............................. 26 3.1.4 Políticas de Plan de Continuidad del Negocio (PCN) .......................................................... 28 3.1.5 Políticas de Indicadores de Riesgo Operativo ...................................................................... 28 3.1.6 Política de Registro de Eventos de Riesgo Operativo ......................................................... 28 3.1.7 Política de Aceptación de Riesgos ......................................................................................... 29

3.2 ESTRUCTURA ORGANIZACIONAL ............................................................................................... 29 3.2.1 Consejo de Administración ...................................................................................................... 30 3.2.2 Gerente General ........................................................................................................................ 31 3.2.3 Dirección del SIAR .................................................................................................................... 32 3.2.4 Jefes de área.............................................................................................................................. 33 3.2.5 Funcionarios ............................................................................................................................... 33 3.2.6 Comité SIAR ............................................................................................................................... 34

3.3 ÓRGANOS DE CONTROL ............................................................................................................... 34 3.3.1 Auditoría interna ........................................................................................................................ 35 3.3.2 Revisoría fiscal ........................................................................................................................... 35

3.4 PLATAFORMA TECNOLÓGICA ...................................................................................................... 36 3.5 CAPACITACIÓN................................................................................................................................. 36

3.5.1 Mecanismos de capacitación ................................................................................................... 36 3.5.2 Mecanismos de evaluación ...................................................................................................... 36 3.5.3 Reportes de la evaluación ........................................................................................................ 36 3.5.4 Esquema de Capacitación SARO ........................................................................................... 37

3.6 DIVULGACIÓN ................................................................................................................................... 37 3.6.1 Interna ......................................................................................................................................... 38 3.6.2 Externa ........................................................................................................................................ 38 3.6.3 Revelación contable .................................................................................................................. 39

3.7 REGISTRO DE EVENTOS DE RIESGO OPERATIVO ................................................................. 39 3.7.1 Metodología ................................................................................................................................ 41 3.7.2 Procedimiento ............................................................................................................................ 41

3.8 DOCUMENTACIÓN ........................................................................................................................... 43 3.8.1 Documentación necesaria en el registro de riesgos ............................................................ 44 3.8.2 Cronograma de planes de acción y control de riesgo .......................................................... 44

3.9 PROCESOS ........................................................................................................................................ 45 3.9.1 GENERALIDADES .................................................................................................................... 45

3.10 COMUNICACIÓN Y CONSULTA ..................................................................................................... 46

4. ETAPAS ......................................................................................................................................... 48

4.1 ESTABLECER CONTEXTO ............................................................................................................. 48 4.2 ETAPAS DE IDENTIFICACIÓN ....................................................................................................... 51 4.3 ETAPA: MEDICIÓN ........................................................................................................................... 57

4.3.1 Generalidades ................................................................................................................................... 57


4.3.2 Primera etapa: Uso de escalas con rangos de valoración ......................................................... 57 4.2.3 Definición del Perfil de Riesgo (Apetito de riesgo) ....................................................................... 60 4.3.4 Segunda etapa: Definición de VaR operativo ............................................................................... 62

4.4 ETAPA CONTROL ............................................................................................................................. 63 4.4.1 Actividades de Control ..................................................................................................................... 64 4.4.2 Evaluación del diseño y ejecución de controles ........................................................................... 65 4.4.4 Solidez del conjunto de controles ................................................................................................... 68 4.4.5 Determinación del riesgo residual .................................................................................................. 68 4.4.6 Administración de la Continuidad del Negocio. ............................................................................ 70 4.4.7 Plan De Acción Y Tratamiento ........................................................................................................ 70 4.4.7 Lineamientos por seguir para la implementación de un tratamiento ......................................... 71 4.4.8 Desarrollo de la preparación del Plan de Tratamiento ................................................................ 74

4.5 ETAPA MONITOREO ........................................................................................................................ 74 4.5.1 Autoevaluación .................................................................................................................................. 76 4.5.2 Indicadores ......................................................................................................................................... 76 4.5.3 Monitoreo de la Matriz de Riesgo Operativo ................................................................................. 77 4.5.4 Monitoreo perfiles de Riesgo y de las exposiciones a perdida. ................................................. 77 4.5.5 Niveles de aceptación del riesgo operativo................................................................................... 77

VIGENCIA .............................................................................................................................................. 78


1. INTRODUCCIÓN Las organizaciones de todo tipo y tamaño enfrentan factores e influencias, internas y externas, que crean incertidumbre sobre si ellas lograrán o no sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de una Cooperativa es el "riesgo". Todas las actividades de una Cooperativa implican riesgo y se gestiona mediante su identificación, análisis y luego evaluando si el riesgo se deberá modificar por medio del tratamiento con el fin de satisfacer los criterios del riesgo. A través de este proceso, las organizaciones se comunican y consultan con las partes involucradas, monitorean y revisan el riesgo y los controles que lo están modificando con el fin de garantizar que no se requiere tratamiento adicional del riesgo. Aunque todas las organizaciones gestionan el riesgo en algún grado, se establece un número de principios que es necesario satisfacer para hacer que la Administración de Riesgo sea eficaz. Este manual tiene como propósito integrar el proceso para la Administración de Riesgo en los procesos globales de gobierno, estrategia y planificación, Administración, procesos de presentación de informes, políticas, valores y cultura de la Cooperativa. La Administración de Riesgo se puede aplicar a toda la Cooperativa, en todas sus áreas y niveles, en cualquier momento, así como a funciones, proyectos y actividades específicas. Aunque la práctica de la Administración de Riesgo se ha desarrollado con el paso del tiempo y en muchos sectores para satisfacer diversas necesidades, la adopción de procesos consistentes dentro de un componente exhaustivo puede ayudar a garantizar que el riesgo se gestiona eficaz, eficiente y coherentemente en toda la Cooperativa. Cada aplicación de la Administración de Riesgo trae consigo necesidades, audiencias, percepciones y criterios individuales, una característica clave la inclusión del "establecimiento del contexto" como una actividad al inicio de este proceso genérico para la Administración de Riesgo. Al establecer el contexto se capturarán los objetivos de la Cooperativa, el entorno en el cual ella persigue sus objetivos, sus partes involucradas y la diversidad de criterios de riesgo; todo en conjunto ayudará a revelar y evaluar la naturaleza y la complejidad de sus riesgos. Cuando la Administración de Riesgo se implementa y se mantiene de acuerdo con este manual, dicha Administración le permite a la cooperativa, entre otros: - Aumentar la probabilidad de alcanzar los objetivos; - Fomentar la administración proactiva; - Ser consciente de la necesidad de identificar y tratar los riesgos en toda la Cooperativa;


- Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas que le apliquen;

- Mejorar la presentación de informes obligatorios y voluntarios; - Mejorar la confianza y honestidad de las partes involucradas; - Establecer una base confiable para la toma de decisiones y la planificación; - Mejorar los controles; - Asignar y usar eficazmente los recursos para el tratamiento del riesgo; - Mejorar la eficacia y la eficiencia operativa; - Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental; - Mejorar la prevención de pérdidas y la administración de incidentes; - Minimizar las pérdidas; - Mejorar el aprendizaje organizacional; y - Mejorar la flexibilidad organizacional. Este manual está destinado a satisfacer las necesidades de un rango amplio de partes involucradas, incluyendo:

a. Aquellos responsables del desarrollo de la política de Administración de Riesgo dentro de la Cooperativa;

b. Aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la Cooperativa como unidad o dentro de un área, proyecto o actividad específicos;

c. Aquellos que necesitan evaluar la eficacia de la Cooperativa en cuanto a la Administración de Riesgo; y

d. Aquellos que desarrollan normas, guías, procedimientos y códigos de práctica que, parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contexto específico de estos documentos.

Tal situación obliga a la Cooperativa, a actuar de conformidad, no sólo por instrucciones de la Superintendencia de la Economía Solidaria, sino porque deberá mantenerse en el mercado y seguir siendo una de las Cooperativas líderes a nivel nacional. Por lo tanto, este hecho obedece a que, debido a su oficio, está expuesta, en desarrollo de sus distintas operaciones, al riesgo Operativo, por lo que deberá desarrollar y ejecutar un Sistema de Administración de Riesgo Operativo (SARO), coherente con su naturaleza jurídica y su objeto social.


CAPITULO I. DISPOSICIONES GENERALES

2. OBJETIVOS 2.1. Objetivo General Desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con la estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que permita identificar, medir, controlar y monitorear eficazmente los riesgos inherentes al desarrollo del objeto social de la Cooperativa. 2.2. Objetivos Específicos - Definir e implementar metodologías, procedimientos y herramientas que permitan

gestionar los diferentes componentes del SARO.

- Identificar, medir y gestionar los eventos de riesgos que pudieran llegar a generar algún tipo de pérdidas a la Cooperativa.

- Diseñar e implementar los controles que permitan tratar adecuada y eficientemente los

riesgos y las causas identificadas y valoradas.

- Entregar información que apoye el proceso de toma de decisiones y de mejoramiento continuo mediante el monitoreo y la revisión del SARO.

- Divulgar y dar cumplimiento a las políticas del SARO de una manera integral.

- Diseñar aplicar un plan de continuidad del negocio, que permita establecer un correcto

aseguramiento de la Cooperativa.

3. DEFINICIONES

1. SARO: Sistema de administración de riesgo operativo

2. Riesgo Operativo (RO): El riesgo operativo se define como la posibilidad de incurrir en

pérdidas financieras, por deficiencias, fallas o inadecuaciones, en el recurso humano, los


procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

3. Riesgo legal: Riesgo Legal es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

Se manifiesta también por deficiencias en el proceso contractual y como producto de las transacciones financieras derivadas de negligencia administrativa, impericia o actos involuntarios que afectan las actividades operativas de Coonfie.

4. Riesgo reputacional: Riesgo Reputacional es la posibilidad de pérdida en que pueda incurrir Coonfie por desprestigio, mala imagen, publicidad negativa cierta o no, por sus prácticas operacionales, que puede causar pérdida o reducción de la confianza de asociados y/o terceros, disminución de ingresos y/o patrimonio o procesos judiciales. Este riesgo está asociado a una percepción negativa de Coonfie por parte de los asociados y/o terceros, contrapartes, analistas y otros participantes del mercado financiero, que afecte adversamente la capacidad de Coonfie para dar cumplimiento con su objeto social.

5. Perfil del riesgo: Perfil del Riesgo es el resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la Cooperativa.

6. Factores de riesgo: Se entiende como Factores de Riesgo, las causas que ocasionan o provocan situaciones que pueden generar o no pérdidas. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deberán clasificar en internos o externos, según se indica a continuación:

7. Matriz FLOA: Matriz de fortalezas, limitaciones, oportunidades y amenazas.

8. Factores Internos


- Recursos humanos: El recurso humano hace referencia al capital humano vinculado a Coonfie, sea a término fijo o a término indefinido, o prestación de servicios, encargadas de responder por los procesos o procedimientos de la Cooperativa.

- Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

- Tecnología: La tecnología es el conjunto de herramientas para soportar los procesos de Coonfie, con la adecuación de hardware, software de telecomunicaciones para su funcionamiento.

- Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de la Cooperativa. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

9. Factores Externos: Coonfie opera en un entorno hasta cierto punto predecible, aunque no se deberán descartar factores externos que pueden influir rápidamente en las operaciones diarias de la empresa que pueden conducir a su deterioro o desaparición. Destacamos:

a. La fuerza de la naturaleza. b. Los ocasionados por terceros, que escapan al control de la Cooperativa y

organismos de seguridad nacional. 10. Pérdidas: La pérdida es un hecho financiero negativo determinado por la diferencia entre

ingresos y gastos ocasionados por la ocurrencia de un evento relacionado con el riesgo operativo.

11. Evento: Evento es un suceso imprevisto o un acontecimiento, incidente o situación que

ocurre en un momento determinado o en desarrollo de las actividades ordinarias de la cooperativa que no estaba previsto y que afecta la operación de la Cooperativa.

12. Eventos de pérdida: Son aquellos incidentes que generan pérdidas a la Cooperativa por riesgo operativo.

13. ERO: Eventos de Riesgo Operativo


14. Clasificación de los riesgos operativos

- Fraude interno: El fraude interno es una acción que resulta contraria a la verdad o a la rectitud y se comete contra la Cooperativa. Es considerado como la utilización de conducta deshonesta o engañosa con el fin de obtener una ventaja, la cual se traduce en defraudación o apropiación indebida de activos de la Cooperativa, en la que están implicados funcionarios, administradores y proveedores de la Cooperativa.

- Fraude externo: El fraude externo son los actos realizados por una persona externa a la Cooperativa, que buscan defraudar, apropiarse indebidamente de activos de esta o incumplir normas o leyes.

- Relaciones laborales: son actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo de la Cooperativa y la legislación vigente sobre la materia.

- Clientes/asociados: Fallas negligentes o involuntarias de las obligaciones frente a los asociados y que impiden satisfacer una obligación profesional frente a éstos.

- Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de Coonfie.

- Fallas del recurso humano: Es la frustración que genera en los asociados o grupos de interés por fallas negligentes o involuntarias en las obligaciones de la Cooperativa que impiden satisfacer los compromisos con los asociados y terceros.

- Fallas tecnológicas: Las fallas tecnológicas se deberán al conjunto de herramientas tecnológicas que puedan generar pérdida por errores informáticos o falta de Administración en la seguridad de la información o por desconocimiento de protocolos de seguridad informática.

- Ejecución y administración de procesos: La pérdida por la administración de procesos obedece a la falta de planificación, depuración, seguimiento y control de estos. Es una falla que puede conducir a una disminución del rendimiento y la capacidad de Administración de los administradores y el mejoramiento del servicio a los asociados.


15. Grupos de interés: Todos aquellos grupos que se ven afectados directa o indirectamente por el desarrollo de la actividad, y, por lo tanto, también tienen la capacidad de afectar directa o indirectamente el desarrollo de éstas.

16. Daños a activos físicos: Los daños son las pérdidas o perjuicios ocasionados a los activos físicos de la Cooperativa por factores ajenos a Coonfie.

17. Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

18. Riesgo inherente: El riesgo inherente es el nivel de riesgo propio de la actividad, sin tener

en cuenta el efecto de los controles.

19. Riesgo residual: El riesgo residual es el nivel resultante del riesgo después de aplicar los controles de las operaciones.

20. Plan de continuidad del objeto social: Modelo donde se precisan los detalles para actuar

en caso de suspensión del cumplimiento del objeto social de la Cooperativa supone el despliegue de acciones, en donde se deberán describir las acciones, los procedimientos, los sistemas y los recursos necesarios para retornar y continuar con la operación del objeto social y de la marcha del negocio, en caso de interrupción.

21. Plan de contingencia: El plan de contingencia es el conjunto de acciones y recursos para

responder a las fallas e interrupciones específicas de un sistema o proceso.

22. Manual de riesgo operativo: El manual de riesgo operativo es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

23. Unidad operadora del riesgo operativo: Se entiende por unidad operadora del Riesgo

Operativo, la Dirección del SIAR es el área designada por la gerencia general, para coordinar la puesta en marcha y seguimiento del SARO.


24. VaR Operativo: (Valor en riesgo operativo) es la máxima perdida probable a un nivel de confianza y a un horizonte de tiempo; el VaR Operativo es un escenario de estrés para la pérdida esperada

25. Etapas de la Administración del Riesgo Operativo: Etapas por desarrollar para la implementación del SARO.

- Identificación: Es la etapa encargada de distinguir los riesgos operativos que han ocurrido y que están documentados, así como, aquellos riesgos operativos en potencia que van a suponer una serie de obstáculos de cara al logro de los objetivos definidos.

- Medición: Fase donde se evalúa la posibilidad de materialización de estos (en función de la frecuencia con la que los mismos suceden) así como, definir el impacto que los mismos podrán generar en caso de ocurrencia.

- Control: En esta tercera etapa, se busca definir las medidas de control que permitan reducir la probabilidad de ocurrencia y/o los impactos ocasionados por los riesgos inherentes detectados.

- Monitoreo: Etapa encargada de llevar a cabo el seguimiento adecuado del perfil de los riesgos, eventos y de las exposiciones a pérdidas, con el fin de ir analizando su evolución.

26. Elementos: Los elementos son cada uno de los componentes de la estructura necesaria para implementar el Sistema de Administración de Riesgo Operativo.

- Políticas: Son los lineamientos generales que la cooperativa deberá adoptar, es decir, son las directrices que rigen a los involucrados en el Sistema de Administración de Riesgo Operativo.

- Procedimientos: Método para la correcta ejecución de las etapas y elementos del Sistema de Administración de Riesgo Operativo.


- Documentación: Conjunto de documentos junto con los registros pertinentes de todas aquellas etapas y elementos del Sistema de Administración de Riesgos Operativos. Destacamos el Manual SARO.

- Estructura organizacional: Conjunto de facultades y funciones por etapas y elementos de SARO.

- Registro de eventos de riesgo operativo: Base de datos con todos los registros de eventos de riesgos que se hayan identificado.

- Órganos de control: Son los encargados de la evaluación de SARO de cara a detectar problemas en el mismo y poder reportarlo con tiempo a las personas indicadas.

- Plataforma tecnológica: Conjunto de sistemas para poder asegurar que la Administración de Riesgo operativo se realiza de manera adecuada.

- Divulgación de información: Sistema necesario para reportar la información y lograr el funcionamiento óptimo de los procedimientos.

- Capacitación: Contiene los planes de capacitación referidos al SARO dirigidos a todas las áreas y funcionarios.

4. MARCO LEGAL

En la implementación del Sistema de Riesgo Operativo (SARO) le son aplicables normas de carácter externo expedidas por órganos de vigilancia, supervisión, control y normas de carácter interno expedidas por la Junta Directiva y la Gerencia.

El origen de la normativa del SARO se encuentra planteado por la Ley 964 de 2005 decretada por el Congreso de la República de Colombia, posteriormente La SFC expidió la circular externa 041 de 2007 y la circular externa 025 de 2020, en las cuales pone en manifiesto la importancia de contar con una adecuada administración del riesgo operativo y definió como obligatoria la adopción de un sistema para la administración del mismo conformado por políticas, estructura organizacional, metodologías de identificación y medición cualitativa de los riesgos, procedimientos y mecanismos que permitan monitorear y controlar la ocurrencia del riesgo operativo, adicionalmente la Superintendencia de Economía Solidaria propone una modificación a la Circular Básica Contable y Financiera con el proyecto de norma del año 2020 - Titulo IV: Sistema Integral de Administración de riesgos (SIAR) – Capitulo IV: Sistema de administración del riesgo operativo (SARO), el


cual contiene las reglas y parámetros mínimos a seguir para gestionar el riesgo operativo para las organizaciones solidarias vigiladas, el cual, les permita identificar, medir, controlar y monitorear eficazmente el riesgo operativo al cual se exponen las organizaciones solidarias.

5. PRINCIPIOS

Para que la Administración del riesgo sea eficaz, la Cooperativa Coonfie deberá cumplir con los siguientes principios en todos los niveles: - La Administración de Riesgo crea y protege el valor: La Administración de Riesgo

contribuye al logro demostrable de los objetivos y a la mejora del desempeño en, por ejemplo, la salud y la seguridad humana, la conformidad legal y reglamentaria, la seguridad, la aceptación pública, la protección del ambiente, la calidad del producto o servicios, la Administración de proyectos, la eficiencia en las operaciones, el gobierno, la reputación y por su puesto aumentar en sus diferentes grupos de interés el factor confianza.

- La Administración del Riesgo es una parte integral de todos los procesos de

Coonfie: La Administración del riesgo no es una actividad independiente que se separa de las actividades y los procesos principales de Coonfie. La Administración de Riesgo es parte de las responsabilidades de la dirección y una parte integral de todos los procesos de Coonfie, incluyendo la planificación estratégica y todos los procesos de Administración de proyectos y de cambio.

- La Administración de Riesgo es parte de la toma de decisiones: La Administración del riesgo ayuda a quienes toman las decisiones a hacer elecciones informadas, priorizar acciones y distinguir entre cursos de acción alternativos, por lo tanto, contribuye hacer realidad la gobernabilidad corporativa.

- La Administración de Riesgo aborda explícitamente la incertidumbre: La Administración del riesgo toma en consideración explícitamente a la incertidumbre, su naturaleza y la forma en que se puede tratar.


- La Administración de Riesgo es sistemática, estructurada y oportuna: Un enfoque sistemático, oportuno y estructurado para la Administración de Riesgo contribuye a la eficiencia y a resultados consistentes, comparables y confiables.

- La Administración de Riesgo se basa en la mejor información disponible: Las entradas para el proceso de Administración de Riesgo se basan en fuentes de información tales como datos históricos, conceptos de aseguradoras, experiencia, retroalimentación de las partes involucradas, observación, previsiones y examen de expertos. Sin embargo, quienes toman las decisiones deberá informarse y tomar en consideración todas las limitaciones de los datos o de los modelos utilizados, o la posibilidad de divergencia entre los expertos.

- La Administración de Riesgo está adaptada: La Administración de Riesgo se alinea del contexto externo e interno y del perfil de riesgo de Coonfie.

- La Administración de Riesgo toma en consideración los factores humanos y

culturales: La Administración del riesgo reconoce las creencias, percepciones e intenciones de individuos externos e internos, los cuales pueden facilitar o dificultar el logro de los objetivos de Coonfie.

- La Administración de Riesgo es transparente e inclusiva: La correcta y oportuna intervención de las partes involucradas y, en particular, de aquellos que toman las decisiones en todos los niveles de Coonfie, garantiza que la Administración de Riesgo siga siendo pertinente y se actualice. Esta intervención también permite a las partes involucradas estar correctamente representadas y hacer que sus puntos de vista se tomen en consideración al determinar los criterios del riesgo.

- La Administración de Riesgo es dinámica, reiterativa y receptiva al cambio: La Administración del riesgo siente y responde continuamente al cambio. A medida que se presentan los eventos externos e internos, el contexto y el conocimiento cambian, tienen lugar el monitoreo y la revisión de los riesgos, emergen riesgos nuevos, algunos cambian y otros desaparecen.


- La Administración de Riesgo facilita la mejora continua de Coonfie: La Cooperativa deberá desarrollar e implementar estrategias para mejorar la madurez de su Administración de riesgos junto con todos los otros aspectos de Coonfie.

6. COMPONENTES 6.1 GENERALIDADES

El éxito de la Administración del Riesgo dependerá de la eficacia del componente para la administración, el cual brinda las bases y las disposiciones que se introducirán en todos los niveles de Coonfie. El componente ayuda a la Administración eficaz del riesgo a través de la aplicación del proceso para la Administración de Riesgo en los diversos niveles y en contextos específicos de Coonfie. El componente garantiza que la información acerca del riesgo derivada del proceso para la Administración del riesgo se reporte de manera adecuada y se utilice como base para la toma de decisiones y la rendición de cuentas en todos los niveles pertinentes de Coonfie. Los componentes necesarios del componente para gestionar el riesgo y la forma en que ellos se interrelacionan de manera reiterativa se describen en la Figura 1.

Figura 1. Relación entre los elementos del componente para la Administración de Riesgo


Este componente tiene como finalidad facilitar a Coonfie la integración de la Administración de Riesgo en su sistema de Administración global. Por lo tanto, la Cooperativa adaptará los elementos del componente a sus necesidades específicas. 6.2 DIRECCIÓN Y COMPROMISO

La introducción de la Administración del riesgo, y garantizar su eficacia continua, requiere de un compromiso fuerte y sostenido por parte de la Gerencia General de Coonfie, así como de planificación estratégica y rigurosa para lograr el compromiso a todo nivel. La Gerencia General deberá:

a. Definir y aprobar la política para la Administración de Riesgo. b. Garantizar que la cultura de Coonfie y la política para la Administración de Riesgo están

alineadas. c. Determinar indicadores del desempeño de la Administración para el riesgo que estén

acordes con los indicadores del desempeño de Coonfie. d. Alinear los objetivos de la Administración del riesgo con los objetivos y las estrategias

de Coonfie. e. Garantizar la conformidad legal y reglamentaria. f. Asignar obligaciones y responsabilidades en los niveles respectivos dentro de Coonfie. g. Garantizar que se asignan los recursos necesarios para la Administración de Riesgo. h. Comunicar los beneficios de la Administración de Riesgo a todas las partes

involucradas. i. Asegurar que los componentes del sistema sigan siendo vigentes en el tiempo.

6.3 DISEÑO DEL COMPONENTE PARA LA ADMINISTRACIÓN DE RIESGO 6.3.1 Entender el contexto Antes de empezar el diseño y la implementación del componente para la Administración del riesgo, es importante evaluar y entender el contexto, tanto externo como interno de Coonfie, dado que éste puede tener influencia significativa en el diseño de dicho componente. La evaluación del contexto externo de Coonfie donde puede incluir, entre otros:

a. El ambiente social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo en el ámbito nacional, regional y local.

b. Impulsores clave y tendencias que tienen impacto en los objetivos de Coonfie. c. Las relaciones con las partes involucradas externas, y sus percepciones y valores.


d. La evaluación del contexto interno de Coonfie puede incluir, entre otros:

Gobierno, estructura organizacional, funciones y obligaciones; Políticas, objetivos y estrategias que se han implementado para lograrlos; Capacidades, entendidas en términos de recursos y conocimiento tales como:

capital, tiempo, personas, procesos, sistemas y tecnologías. Sistemas de información, flujos de información y procesos de toma de decisiones

tanto formales como informales. Relaciones con las partes involucradas internas y sus percepciones y valores; La cultura organizacional de Coonfie. Normas, directrices y modelos adoptados por Coonfie. Forma y extensión de las relaciones contractuales.

6.3.2 Establecer la política para la Administración de Riesgo La política para la Administración del riesgo deberá establecer claramente los objetivos para la Administración del riesgo y su compromiso con ella, y comúnmente deberá abordar los siguientes aspectos:

La justificación para gestionar el riesgo. Los vínculos entre los objetivos y las políticas para la Administración de Riesgo. Las obligaciones y responsabilidades para gestionar el riesgo. La forma de tratar y solucionar los conflictos de intereses. El compromiso para poner a disposición los recursos necesarios con el fin de ayudar a

los responsables de la Administración de Riesgo y de rendir cuentas con respecto a ésta.

La forma en la cual se va a medir y a reportar el desempeño de la Administración de Riesgo.

El compromiso para revisar y mejorar periódicamente la política y el componente de la Administración de Riesgo y en respuesta a un evento o un cambio en las circunstancias. La política para la Administración de Riesgo se deberá comunicar de manera adecuada a todos los grupos de interés.

6.3.3 Rendición de cuentas Coonfie deberá garantizar que existe responsabilidad, autoridad y competencia adecuada para gestionar el riesgo, incluyendo la implementación y mantenimiento del proceso para la


Administración del riesgo y garantizando la idoneidad, eficacia y eficiencia de todos los controles. Esto se puede facilitar mediante:

La identificación de los responsables del riesgo a quienes corresponde rendir cuentas y tienen autoridad para su Administración.

La identificación de quién deberá dar cuentas por el desarrollo, la implementación y el mantenimiento de los componentes para la Administración de Riesgo.

La identificación de otras responsabilidades en el proceso para la Administración de Riesgo de los individuos en todos los niveles de Coonfie.

Estableciendo la medición del desempeño y procesos de escalamiento y reporte externo, interno, o ambos.

Asegurando niveles adecuados de reconocimiento. 6.3.4 Integración en los procesos La Administración del riesgo deberá estar incluida en todas las prácticas y los procesos de Coonfie en una manera que sea pertinente, eficaz y eficiente. El proceso para la Administración de Riesgo se deberá convertir en parte de los procesos de Coonfie. En particular, la Administración del riesgo se deberá incluir en el desarrollo de la política, la planificación estratégica, la revisión y en los procesos de Administración del cambio y mejora continua. Deberá existir un plan para la Administración del riesgo a todo lo ancho de Coonfie para garantizar que se implementa la política para la Administración del riesgo y que la Administración del riesgo está incluida en todas las prácticas y los procesos de Coonfie. El plan para la Administración del riesgo se podrá integrar en otros planes de Coonfie, por ejemplo, en el plan estratégico, plan empresarial, plan de mercadeo. 6.3.5 Recursos Coonfie deberá asignar los recursos adecuados para la Administración de Riesgo. Se establece los siguientes aspectos:

Personas, habilidades, experiencia y competencia. Recursos necesarios para cada paso del proceso de Administración de Riesgo Los procesos, métodos y herramientas de Coonfie que se van a utilizar para gestionar

el riesgo; Procesos y procedimientos documentados; Sistemas de Administración de la información y el conocimiento; y


Programas de entrenamiento. 6.3.6 Establecer mecanismos para la comunicación interna y la presentación de

Informes Coonfie deberá establecer mecanismos para la comunicación interna y la presentación de informes con el fin de ayudar y fomentar la rendición de cuentas y la pertenencia del riesgo, asegurando la calidad de esta y facilitando la correcta toma de decisiones. Estos mecanismos deberán garantizar que:

Los componentes para la Administración de Riesgo y todas las modificaciones Posteriores se comunican de manera correcta.

Existe un reporte interno adecuado acerca de la gestión del riesgo, su eficacia y resultados.

La información pertinente derivada de la aplicación de la Administración del riesgo está disponible en los niveles y los momentos convenientes.

Existen procesos para la consulta con las partes involucradas internas. Estos mecanismos deberán incluir, cuando así corresponda, los procesos para consolidar la información del riesgo proveniente de diversas fuentes, y puede ser necesario que consideren la sensibilidad de la información. 6.3.7 Establecer mecanismos para la comunicación externa y la presentación de

informes Coonfie deberá desarrollar e implementar un plan sobre la forma como se comunicará con las partes involucradas externas. El plan deberá incluir:

Involucrar apropiadamente las partes interesadas externas y garantizar un intercambio efectivo de la información.

Reporte externo para cumplir con los requisitos legales, reglamentarios y del gobierno. Brindar retroalimentación e informes sobre la comunicación y las consultas. Usar la comunicación para crear confianza en Coonfie. Comunicarse con las partes involucradas en el evento de una crisis o contingencia.


Estos mecanismos deberán incluir, cuando así corresponda, los procesos para consolidar la información del riesgo proveniente de diversas fuentes, y puede ser necesario que consideren la sensibilidad de la información. 6.4 IMPLEMENTAR LA ADMINISTRACIÓN DE RIESGO 6.4.1 Implementar el proceso para la Administración de Riesgo La Administración de Riesgo se deberá implementar garantizando que el proceso para la Administración de Riesgo que se describe en las etapas y los elementos del SARO se aplica a través de un plan para la Administración de Riesgo en todos los niveles y las funciones pertinentes de Coonfie como parte de sus prácticas y procesos. 6.4.2 Implementar el componente para gestionar el riesgo Al implementar el componente de referencia de Coonfie para la Administración del riesgo, la Cooperativa deberá:

Definir el tiempo y la estrategia adecuados para la implementación del componente Aplicar el proceso y la política para la Administración del riesgo a los procesos de

Coonfie. Cumplir con los requisitos legales y reglamentarios. Garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento de

objetivos, está en línea con los resultados de los procesos para la Administración de Riesgo.

Llevar a cabo sesiones de información y entrenamiento. Comunicarse y consultar a las partes involucradas para garantizar que el componente

para la Administración de Riesgo sigue siendo adecuado. 6.5 MONITOREAR Y REVISAR EL COMPONENTE Con el fin de garantizar que la Administración del riesgo es eficaz y continúa sustentando el desempeño de la Cooperativa, esta deberá:

Medir el desempeño de la Administración del riesgo frente a los indicadores, los cuales se revisan periódicamente para determinar su idoneidad;


Medir periódicamente el progreso frente al plan para la Administración del riesgo y las desviaciones con respecto a éste;

Revisar periódicamente si el componente, la política y el plan para la Administración de Riesgo siguen siendo adecuados, según el contexto externo e interno de Coonfie;

Presentar informes sobre el riesgo, el progreso con el plan para la Administración de Riesgo y sobre que tanto se cumple la política para la Administración de Riesgo; y

Revisar la eficacia del componente para la Administración de Riesgo. 6.6 MEJORA CONTINUA DEL COMPONENTE Con base en los resultados del monitoreo y las revisiones, se deberán tomar decisiones sobre la forma en que se podrán mejorar el componente, la política y el plan para la Administración del riesgo. Estas decisiones deberán originar mejoras en la Administración del riesgo de Coonfie y en su cultura de la Administración de Riesgo. CAPITULO II. SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO)

1 LINEAMIENTOS GENERALES COONFIE está expuesta a contingencias que pueden afectar el normal desarrollo de su objeto social. Razón suficiente para que se adopten alternativas de prevención para la administración de crisis, como planes de contingencia que garanticen el retorno a la operación normal, de presentarse algún tipo de contingencia que altere la continuidad o la marcha del negocio. 2 INTEGRACIÓN DEL SARO CON EL SISTEMA INTEGRAL DE GESTION Y LA

PLANEACIÓN ESTRATÉGICA El SARO está integrado, fundamentalmente, en el Sistema Integral de Gestión (SIG), y con la Planeación Estratégica que dicte el Consejo de Administración, todo ello para garantizar el crecimiento, aseguramiento y desarrollo de la Cooperativa. Desde el punto de vista de la Planeación Estratégica, la integración está relacionada con:

a. Logro de objetivos estratégicos. b. Participación de los funcionarios en la definición de las metas. c. Financiamiento de los propósitos que conduzcan al logro de las metas. d. Mejoramiento continuo.


e. Participación de todos los funcionarios para la constante actualización de la matriz FLOA.

f. Evaluación y seguimiento. En relación con el SIG, la integración está relacionada con:

a. Mejoramiento de los servicios al asociado. b. Promoción del liderazgo. c. Participación de los grupos de interés. d. Procesos y procedimientos. e. Gestión de mejora continua. f. Decisiones adoptadas con base en evidencias. g. Ética en todos los actos relacionados con la aplicación de su objeto social. h. Capacitación continua para la adopción de una nueva cultura organizacional. i. Servicios efectivos que conduzcan a la satisfacción de los asociados. j. Funcionarios éticos y competentes. k. Comunicación efectiva. l. Mejora continua del SIG. m. Control de los proveedores. n. Operación de procesos con transparencia, economía, eficiencia y eficacia.

3 ELEMENTOS DEL SARO 3.1 POLÍTICAS Las Políticas de administración de riesgo operativo, se fundamentan en el contexto organizacional en el que se encuentra COONFIE, de esta forma el enfoque del SARO se enmarcará bajo las siguientes políticas:

- Políticas de Cultura de Riesgos - Políticas de Cumplimiento del Manual SARO - Políticas Etapas del Sistema de Administración del Riesgo Operativo - Políticas de Plan de Continuidad de Negocio (PCN) - Políticas de Indicadores de Riesgo Operativo - Política de Registro de Eventos de Riesgo Operativo - Política de Aceptación de Riesgos


3.1.1 Políticas de Cultura de Riesgo

Coonfie está comprometida en crear una cultura organizacional a través de la capacitación continua de sus funcionarios en una periodicidad anual, órganos de administración, órganos de control, comités y asociados para que se conozca el alcance de un Sistema de Administración de Riesgo Operativo, para mitigar y evitar los riesgos que puedan afectar el normal desarrollo de sus operaciones ordinarias, proyecto e incursión en nuevos mercados.

Para incursionar en nuevos mercados una vez se tengan los estudios de factibilidad para la apertura de oficinas, puntos de atención, extensiones de caja o corresponsales cooperativos, deberán incluir el concepto del oficial de cumplimiento antes de salir al mercado.

- Gobernabilidad: La gobernabilidad no puede estar centrada únicamente en el Consejo

de Administración, sino que se requiere el compromiso de todos los funcionarios de la Cooperativa, quienes tendrán competencias y roles delimitado en el SARO, con responsabilidades específicas en todas las etapas del Sistema, que aseguren el cumplimiento de sus objetivos.

- Autonomía: La Unidad de Riesgo Operativo, establecida como la Dirección del SIAR, tendrá independencia en la determinación, análisis, imparcialidad y ejecución en cada una de las etapas del sistema y en la recolección del registro de eventos de riesgo operativo. El sistema tendrá como principio que La Dirección del SIAR estará compuesta por personal que tenga conocimiento en Administración de Riesgo operativo y los demás sistemas de riesgos, con capacitación constante. Adicionalmente, contará con los recursos suficientes para desarrollar sus funciones contando con áreas de apoyo de la Cooperativa, con el fin de evitar conflictos de interés al momento de identificar, medir, controlar y monitorear los riesgos operativos.

- Transparencia: Todas las funciones de la Dirección del SIAR serán ejecutadas con estricta sujeción a las políticas, reglas y procedimientos que se establezcan para la administración del Riesgo operativo y a las directrices trazadas por el Consejo de Administración y el Comité del SIAR. Toda actuación de un funcionario de Coonfie se sujetará dentro del componente del Manual que describe las políticas del SARO y las demás normas concordantes que rigen la Cooperativa.


3.1.2 Políticas de cumplimiento del Manual SARO

- Todos los colaboradores de COONFIE tienen el deber de conocer y cumplir las normas internas y externas relacionadas con la Administración de Riesgo Operativo y sus lineamientos y directrices, asegurarse sobre la divulgación, comprensión y cumplimiento de estas.

- Si la norma cambia es decir sufre alguna modificación de fondo, se deben tomar medidas inmediatas para hacer los ajustes y/o actualizaciones que se requieran en el manual.

- La dirección del SIAR, será la encargada de verificar el cumplimiento de las políticas descritas en el Manual, en caso de incumplimiento se reportará al Líder de cada proceso a fin de tomar las medidas disciplinarias y/o administrativas.

- Los procesos y procedimientos se revisarán cuando se considere necesario y se evaluarán los posibles eventos de riesgo operativo que desencadenen estos ajustes o modificaciones, según las metodologías de identificación contenidas en el manual.

- Cuando haya modificaciones en el Manual de Administración de Riesgo Operativo, estas deben ser puestas a consideración del Comité de Riesgo y someterlas a aprobación del Consejo de Administración.

3.1.3 Políticas Etapas del Sistema de Administración de Riesgo Operativo

3.1.3.1 Identificación:

- Identificar claramente los riesgos de cada proceso, las causas que lo originan y los posibles eventos de pérdida asociado a factores internos y externos a los que se ve expuesta COONFIE por su actividad económica, con el fin crear planes de acción adecuados para su seguimiento y mitigación.

- Tener definida y documentada la metodología empleada para realizar dicha identificación.

- Realizar ajustes y actualizaciones en la matriz de riesgo en la medida en que se presenten o se identifiquen nuevos eventos.

3.1.3.2 Medición:

- Realizar subjetivamente, cuando no se tengan datos históricos, u objetivamente cuando se tengan, la evaluación de los riesgos identificados en términos de probabilidad e impacto de acuerdo con la metodología adoptada y descrita en el manual.

- Evaluar los eventos ya consignados en la matriz de riesgo y verificar si son susceptibles a sufrir cambios en cuanto a su probabilidad de ocurrencia y el impacto o afectación en caso de presentarse.


- Definir el apetito de riesgo, como un valor porcentual (%) de aceptación al riesgo. El porcentaje (%) definido se aplicará sobre el riesgo inherente identificado y medido previamente y funcionará como límite para evitar que el riesgo residual de la entidad supere el apetito definido. tomando como política el factor mitigador, que como valor máximo tomaría aproximadamente el 90%, de cada uno de los eventos analizados.

3.1.3.3 Control:

- Realizar junto con los líderes de los procesos, el análisis y calificación de controles a fin de establecer la medición del riesgo residual de COONFIE.

- Los Colaboradores de COONFIE entienden que los controles son un conjunto de actividades emprendidas para reducir el impacto o la probabilidad ante la materialización de eventos de riesgo operativo y su exposición.

- La implementación de controles mitiga el grado de exposición al riesgo. Si durante la implementación o evaluación del control, el Comité SIAR detecta su ineficacia, procede con el líder o dueño del proceso a establecer o mejorar gradualmente el control, analizando su potencial efectividad e implementándolo en la medida posible de forma inmediata.

- Mantener un control permanente sobre los cambios en el apetito de riesgo para realizar oportunamente los ajustes pertinentes y adoptar planes de mejoramiento aplicados a los controles.

3.1.3.4 Monitoreo:

- COONFIE cuenta con una matriz de riesgo operativo que le permite administrarlos y llevar un registro de los controles establecidos realizando una precisa descripción para el seguimiento, la valoración del estado de implementación y el grado de mitigación frente al riesgo.

- El Comité SIAR se debe reunir de forma bimestral, una evaluación del estado de implementación de los eventos cuyo riesgo residual no se encuentra en los niveles de apetito de riesgo establecido.

- Los hallazgos de las auditorias permiten identificar riesgos potenciales que se deben incluir en la matriz de administración de riesgos y aplicar las etapas de riesgo a fin de recalibrar el modelo y calcular la exposición de riesgo residual nuevamente.

- Se realiza un seguimiento a los riesgos y eventos y a la efectividad de los controles y planes de acción para determinar el nivel de exposición frente al aspecto de disponibilidad de los elementos que se requieren para la continuidad del negocio.


3.1.4 Políticas de Plan de Continuidad del Negocio (PCN)

Coonfie cree firmemente que es esencial tomar las precauciones necesarias para mitigar los riesgos derivados de una interrupción del servicio a los asociados y en consecuencia de las pérdidas materiales y económicas, implementando y manteniendo una política que asegure el compromiso de la cooperativa hacia la realización, actualización y prueba de un Plan de Continuidad del Negocio. Esta política aplica para todo el personal que labora en Coonfie y para los proveedores que participan directamente en la operación. Con esto se mitiga el impacto ante un evento de interrupción que afecte la operación normal de la Cooperativa.

- El comité SIAR mantiene documentado y actualizado el Plan de Continuidad del

Negocio, así mismo, cuenta con planes de contingencia para asegurar la continuidad de los procesos en caso de que se materialicen algunos eventos de RO, que puedan afectar los objetivos previstos, los intereses propios o de terceros. Dicha documentación y sus pruebas funcionales son objeto de evaluación y aprobación por parte de la Consejo de Administración.

- La sostenibilidad de la operación y continuidad de COONFIE debe estar en línea con el nivel de riesgo operativo identificado y asumido en cada caso, aplicando y respetando los criterios de seguridad y responsabilidad que deberán aplicar los colaboradores.

- COONFIE definirá con criterio cuales son los procesos críticos en el análisis de impacto del negocio.

3.1.5 Políticas de Indicadores de Riesgo Operativo

- En el proceso de evaluación bimestral de los riesgos se cuenta con indicadores generales que permiten realizar el seguimiento a la administración y gestión de estos.

- Los indicadores serán aplicados a aquellos procesos y controles, que permitan ser medibles o que sean sujetos de medición cuantitativa.

- Los indicadores deben ser definidos por los líderes o responsables de cada área o proceso de COONFIE, debido al conocimiento y autoridad que tienen para definirlos.

3.1.6 Política de Registro de Eventos de Riesgo Operativo

- Es importante seguir el instructivo de registro de eventos de riesgo operativo, para que en el futuro se tenga una adecuada gestión y documentación de los eventos presentados.


- Es responsabilidad de todos los colaboradores de COONFIE informar los eventos de riesgo que se presenten o materialicen.

- La información sobre dichos eventos es analizada en primera instancia por la Dirección del SIAR para gestionar y diligenciar los campos relativos a Riesgo Operativo.

- Todos los eventos de RO deben ser reportados de manera clara, completa y en un plazo inferior a 2 días de modo que sea posible realizar los análisis necesarios y poder tomar las medidas correctivas.

3.1.7 Política de Aceptación de Riesgos

- Durante la etapa de medición de riesgos (Probabilidad e Impacto) se tendrá como apetito de riesgo un factor mitigador aproximadamente del 90% sobre el riesgo inherente de cada evento identificado.

- Se implementarán medidas más rígidas con los riesgos que superen el nivel moderado.

3.2 ESTRUCTURA ORGANIZACIONAL

El riesgo operativo no se limita a ningún área o proceso en particular y puede surgir en cualquier lugar, comprendiendo todo Coonfie. En consecuencia, todos los funcionarios, proveedores, contratistas y terceros que realizan y ejecutan los procesos son responsables de la identificación de riesgos operativos y su control. La estructura orgánica y administrativa de la Cooperativa, se determina anualmente por parte del Consejo de Administración, mediante acuerdo teniendo en cuenta los cargos establecidos en la Cooperativa.


Figura 2. Estructural organizacional SARO.

3.2.1 Consejo de Administración

Máximo órgano de dirección y administración de Coonfie deberá aprobar las normas internas requeridas para encaminar el desarrollo e implementación del Sistema de Administración de Riesgo Operativo, en tal sentido las siguientes funciones:

a. Establecer las políticas relativas al SARO. b. Aprobar el Manual de Riesgo Operativo y documentos macro del Sistema de

Administración de Riesgo Operativo y sus actualizaciones. c. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Cooperativa. d. Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el

nivel de tolerancia al riesgo de la entidad, fijado por el mismo Consejo de Administración.

e. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente al Representante Legal.


f. Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

g. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el SARO.

3.2.2 Gerente General

El Gerente General como Representante Legal de la entidad dentro del Sistema de Administración de Riesgo Operativo cumple con las siguientes funciones:

a. Diseñar y someter a aprobación de la Consejo de Administración u órgano que haga sus veces, el Manual de Riesgo Operativo y sus actualizaciones.

b. Velar por el cumplimiento efectivo de las políticas establecidas por el Consejo de Administración.

c. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO.

d. Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SARO.

e. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad.

f. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por el consejo de administración en el presente manual.

g. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.

h. Recibir y evaluar los informes presentados por la Dirección del SIAR, revisor fiscal o auditor interno, de acuerdo con los términos establecidos en el presente manual.

i. Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en el presente manual.

j. Velar porque se implementen los procedimientos para la adecuada Administración de Riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad.

k. Presentar un informe periódico, como mínimo semestral, al Consejo de Administración sobre la evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.

l. Establecer un procedimiento para alimentar el registro de eventos, de acuerdo con lo previsto en la normatividad.


m. Velar porque el registro de eventos cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

3.2.3 Dirección del SIAR

La Dirección del SIAR estará conformada por:

a. Director del SIAR b. Asistente del SIAR c. Asesor de planeación y SIAR

Las funciones asignadas a la Dirección del SIAR son:

a. Establecer metodologías, presupuesto y medios para administrar de manera adecuada, los riesgos operativos, de conformidad con los lineamientos contenidos en el presente documento y con los desarrollos técnicos y metodológicos que elabore la Dirección del SIAR.

b. Desarrollar el sistema de reportes, internos y externos, a través de formatos y demás instrumentos óptimos para ese propósito.

c. Realizar seguimiento a los reportes de eventos de riesgo operativo y verificar la adecuada documentación y gestión de estos.

d. Establecer y mantener actualizadas las políticas relativas al SARO. e. Coordinar las demandas de información necesaria para el cumplimiento de las distintas

etapas del SARO. f. Mejorar la efectividad de las distintas etapas del SARO. g. Realizar seguimiento a los controles, planes de contingencia y medidas adoptados para

mitigar el riesgo y proponer sus correspondientes actualizaciones y modificaciones, con el propósito de velar por su cumplimiento y evaluar su efectividad.

h. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la cooperativa. i. Mejorar los modelos de medición del riesgo operativo. j. Desarrollar programas de capacitación relacionados con el SARO. k. Hacer seguimiento a las medidas adoptadas para mitigar el riesgo inherente y evaluar

su efectividad. l. Informar a la Alta Gerencia sobre la evolución del riesgo, los controles y el monitoreo

realizado. m. Definir los indicadores y responsables del registro y control de estos para disminuir el

impacto y la probabilidad de ocurrencia de un evento determinado. n. Recibir y evaluar los informes presentados por auditoría interna y revisoría fiscal.


3.2.4 Jefes de área

Son los funcionarios asignados para cada uno de los procesos y que apoyan la implementación del SARO. Tendrá como componentes las siguientes funciones:

a. Identificar y medir los riesgos asociados a los procesos que lideran, de conformidad con la metodología aprobada, en coordinación con la Dirección del SIAR.

b. Con el apoyo de la Dirección del SIAR, identificar en la matriz de riesgos los controles aplicados con el fin de mitigar las causas identificadas, los cuales deberán ser evaluados frente a los criterios establecidos por la metodología interna.

c. Coordinar la formulación, el seguimiento y la ejecución de planes de acción que permitan mitigar las causas graves o críticas que se encuentren en cada riesgo, soportándose en los demás funcionarios del área. El reporte y avance de estos se realizará de forma trimestral.

d. Promover entre todos los funcionarios de su proceso el reporte de alertas sobre situaciones que pueden ser eventos de riesgo operativo.

e. Realizar el registro de los eventos de riesgo materializados y velar por su gestión. f. En aquellos casos donde no haya existido materialización de eventos en la respectiva

área, certificar mensualmente su no ocurrencia a la Dirección del SIAR. g. Mantener y fortalecer la cultura de gestión de riesgo operativo al interior de cada

proceso. h. Evaluar la efectividad de los controles para los riesgos operativos de acuerdo con la

metodología establecida. i. Comunicar al líder de proceso el incumplimiento de las políticas, procedimientos y

planes de acción asociados al sistema de riesgo operativo.

3.2.5 Funcionarios

Los funcionarios son todas las personas vinculadas a la Cooperativa. Tendrá como componente las siguientes funciones:

a. Dar soporte al Líder de Riesgo en la identificación, medición y actualización de los riesgos operativos inherentes a su actividad.

b. Gestionar y documentar la ejecución de los controles que le sean asignados asociados a sus procesos.

c. Cumplir con las acciones establecidas para el mejoramiento de los controles en materia de riesgo operativo.

d. Gestionar y documentar la ejecución de los planes de acción para el establecimiento o mejoramiento de controles, cuando se les asigne.


e. Cumplir con las políticas y procedimientos de alertas y reporte de eventos, de manera adecuada y oportuna.

f. Atender oportunamente los requerimientos del Líder de Riesgo para documentar y soportar el evento de riesgo reportado.

g. Generar alertas mediante el mecanismo que la entidad disponga, sobre situaciones que puedan llegar a afectar a la entidad y que puedan ser eventos de riesgo operativo.

3.2.6 Comité SIAR

Es el órgano encargado del análisis del riesgo operativo, además de recomendar las modificaciones a las políticas de riesgo operativo, para su presentación y posterior aprobación por el Consejo de Administración, responsable de las siguientes funciones:

a. Evaluar los informes sobre la evolución del perfil de riesgo de la entidad y los controles adoptados de acuerdo con el objeto social de Coonfie.

b. Analizar los informes de los órganos de control. c. Proponer al Consejo de Administración los límites de exposición y/o niveles de

tolerancia al riesgo operacional establecidos. d. Evaluar y proponer para aprobación del Consejo de Administración:

Las políticas y monitoreo de los diferentes riesgos a que está expuesta la entidad,

así como de la administración de la infraestructura informática y equipo humano técnico dedicado a la gestión de riesgos.

Las metodologías para identificar, medir, monitorear y controlar los diferentes tipos de riesgos inherentes al negocio y propios de Coonfie.

Los límites de exposición de riesgos globales y por tipo de riesgos propuestos por un control eficiente de riesgo.

Los ajustes en políticas, metodologías y límites de exposición al riesgo como consecuencia de cambios en la normatividad o necesidades internas de la entidad.

3.3 ÓRGANOS DE CONTROL Coonfie deberá establecer instancias responsables de efectuar una evaluación del SARO, dichas instancias informarán, de forma oportuna, los resultados a los órganos competentes y en ningún caso cumplirá las funciones asignadas a la Dirección del SIAR.


3.3.1 Auditoría interna

Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejerza el control interno, ésta deberá evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, deberá informar los resultados de la evaluación a la Dirección del SIAR y al Representante Legal. También deberá realizar una revisión periódica del registro de eventos de riesgo operativo e informar al Representante Legal sobre el cumplimiento de las condiciones señaladas. Deberá cumplir dentro del sistema SARO las siguientes funciones:

a. Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones.

b. Informar sobre los resultados de la evaluación del riesgo operativo a la Dirección del SIAR, al Representante Legal y/o Consejo de Administración.

c. Realizar una revisión periódica del registro de eventos e informar a la Gerencia General el cumplimiento sobre las condiciones señalas en la normatividad del SARO.

d. Verificar la eficacia de los planes de acción generado como tratamiento a un riesgo o causa que supere el nivel de tolerancia establecido por el Consejo de Administración de Coonfie.

3.3.2 Revisoría fiscal

Sin perjuicio de las funciones asignadas en otras disposiciones al Revisor Fiscal, éste deberá elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO. A su vez, deberá poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Consejo de Administración u órgano que haga sus veces. Deberá cumplir dentro del sistema SARO las siguientes funciones:

a. Incluir dentro de su plan de actividades, la auditoría al Sistema de Riesgo Operativo de la Entidad y formular las recomendaciones que considere pertinentes.


b. Elaborar un reporte al cierre de cada ejercicio contable, en el que informe al Consejo de administración acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos establecidos sobre el SARO.

c. Poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos al Consejo de Administración.

3.4 PLATAFORMA TECNOLÓGICA Coonfie cuenta con un software de Administración de Riesgos que le permite desarrollar la estructura del SARO de acuerdo con las políticas, objetivos y metodología de medición, que asiste a la entidad en la implementación de un sistema y cultura de Gestión del Riesgo Operativo efectivo en toda la Cooperativa, en aras de mejorar el desempeño del negocio y asegurar el logro de los objetivos y metas. 3.5 CAPACITACIÓN Coonfie deberá brindar la capacitación necesaria para desarrollar las competencias de los funcionarios en relación con la Administración de Riesgo Operativo, para así contar con personal competente e idóneo dentro de los objetivos corporativos y la cultura de autocontrol, lo cual constituye un requisito que la entidad ha asumido como un parámetro de calidad para la prestación del servicio. Para tal efecto, la Gerencia General dispondrá los recursos necesarios con el fin de lograr este propósito.

3.5.1 Mecanismos de capacitación

Coonfie desarrollará las capacitaciones a través de cualquier mecanismo que le permita llevar a cabo dicha gestión.

3.5.2 Mecanismos de evaluación

Coonfie desarrollará las evaluaciones a través de cualquier mecanismo que le permita llevar a cabo dicha gestión.

3.5.3 Reportes de la evaluación

La Dirección del SIAR deberá reportar al Comité del SIAR los resultados de sus procesos de capacitación y evaluación, al igual que al Consejo de Administración como órgano directamente responsable del Sistema SARO. Eventualmente la Dirección del SIAR deberá emitir información relacionada con el SARO a través de los medios de comunicación internos establecidos como refuerzo a los programas de capacitación.


3.5.4 Esquema de Capacitación SARO

Coonfie cuenta con programas de capacitación del SARO dirigidos a sus funcionarios, las características de dichos programas de capacitación son:

Los programas de capacitación serán diseñados, revisados, actualizados y evaluados por la Dirección del SIAR.

Los programas de capacitación tendrán al menos una periodicidad anual o se realizarán cada vez que un área o funcionario así lo requiera.

El programa de capacitación será impartido durante el proceso de inducción a los nuevos funcionarios.

Los programas de capacitación deberán contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.

3.6 DIVULGACIÓN La divulgación de la información deberá hacerse en forma periódica y estar disponible, cuando así se requiera. Coonfie diseñará un sistema adecuado de reportes tanto internos como externos, que garantice el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos. La divulgación en Coonfie se ejecutará de la siguiente manera:

Como parte integral de la capacitación y divulgación de la información, el Manual del Sistema de Administración de Riesgo Operativo deberá ser socializado a todos los funcionarios de la Cooperativa.

Se deberá garantizar que la matriz de riesgos de la entidad, sea de fácil acceso y de conocimiento de todos los funcionarios.

La Dirección del SIAR, deberá realizar el seguimiento a los planes de acción, el avance de estos deberá ser de conocimiento de la Gerencia y el Consejo de Administración.

El monitoreo de los riesgos operativos deberá realizarse mínimo tres veces al año y el resultado de este se deberá presentar para aprobación del Comité SIAR y al Consejo de Administración.

Los cambios que se presenten durante las diferentes etapas del SARO con su respectiva justificación, y que hacen parte integral del monitoreo, deberán ser presentados en su orden a: la Gerencia General, al Comité SIAR y al Consejo de Administración.

El Matriz de Riesgo Operativo se deberá actualizar cada vez que existan riesgos asociados a cambios de productos, servicios o programas tecnología o nuevos


proyectos, para presentarlos a la Gerencia General, al Comité SIAR y al Consejo de Administración.

La copia de la Matriz de Riesgo Operativo deberá reposar en los servidores de la entidad y deberá encontrarse disponible para los órganos de control y vigilancia internos y externos cuando estos lo requieran, asegurando las medidas de seguridad en acceso y registro.

Los resultados del SARO deberán darse a conocer a través de informes internos y externos periódicos.

3.6.1 Interna

Como resultado del monitoreo deberán elaborarse reportes semestrales que permitan establecer, el perfil de riesgo residual de la entidad. Las Subgerencias, en su informe de gestión, al cierre de cada ejercicio contable, deberán incluir una indicación sobre la gestión adelantada en materia de Administración de Riesgo Operativo.

DEFINICIÓN CLASE PERIODICIDAD RESPONSABLE

Informe: Gestión de Riesgo

Interno Semestral Dirección del SIAR

Informe: Órganos Control Interno

Interno Semestral Auditoría Interna

Figura 3. Informes internos.

3.6.2 Externa

En concordancia con el artículo 97 del Estatuto Orgánico del Sistema Financiero (EOSF) y demás disposiciones legales vigentes sobre la materia, las entidades deberán suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de gestión del riesgo operativo adoptadas por la entidad. Las características de la información divulgada estarán relacionadas con el volumen, la complejidad y el perfil de riesgo de la entidad. DEFINICIÓN CLASE PERIODICIDAD RESPONSABLE

Notas a los estados financieros

Externo

Anual

Dirección del SIAR Contador Público

Figura 4. Informes externos


3.6.3 Revelación contable

Las pérdidas cuando afecten el estado de resultados deberán registrarse en cuentas de gastos en el período en el que se materializó la pérdida. Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados deberán registrarse en cuentas de ingreso en el período en el que se materializó la recuperación. Las cuentas de gastos e ingresos requeridas serán definidas por esta Superintendencia en el Plan Único de Cuentas respectivo.

DEFINICIÓN CLASE PERIODICIDAD RESPONSABLE

Estados financieros

Revelación contable

Anual

Gerencia General Contador Público y Revisor Fiscal

Figura 5. Revelación Contable

3.7 REGISTRO DE EVENTOS DE RIESGO OPERATIVO La Dirección del SIAR establece el formato que permita un adecuado registro y documentación de los eventos de Riesgo Operativo. Las actividades para la gestión del riesgo deberán tener trazabilidad. En el proceso para la gestión del riesgo, los registros brindan la base para la mejora de los métodos y las herramientas, así como del proceso global. En las decisiones con respecto a la creación de registros se deberá tener en cuenta:

Las necesidades de Coonfie con respecto al aprendizaje continuo. Los beneficios de reutilizar la información con propósitos de gestión. Los costos y esfuerzos involucrados en la creación y el mantenimiento de los registros. Las necesidades legales, reglamentarias y operativas para los registros. Los métodos de acceso, la facilidad de recuperación y los medios de almacenamiento. El periodo de retención. La sensibilidad de la información.

Este registro debe contener todos los eventos de riesgo operativo ocurridos en Coonfie, clasificados de la siguiente manera:

Generan pérdidas y afectan el estado de resultados de Coonfie. Generan pérdidas y no afectan el estado de resultados de Coonfie. No generan pérdidas y por lo tanto no afectan el estado de resultados.


En estos últimos dos casos, la medición será de carácter cualitativo. Este Registro debe tenerse en cuenta para la revelación contable que se menciona más adelante.

Cada área deberá proveer la información respectiva para diligenciar este Registro de eventos de riesgo operativo, de manera que el mismo contemple la totalidad de los eventos. Este registro deberá diligenciarse con, por lo menos, la siguiente información:

1. Referencia: Código interno, es un consecutivo que sirve para relacionar el evento en forma secuencial.

2. Fecha de inicio del evento: Fecha en que se inicia el evento. Formato: Día, mes, año, hora.

3. Fecha de finalización del evento: Fecha en que finaliza el evento. Formato: Día, mes, año, hora.

4. Fecha del descubrimiento: Fecha en que se descubre el evento. Formato: Día, mes, año, hora.

5. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el

evento. Formato: Día, mes, año, hora. 6. Divisa: Moneda extranjera o local en la que se materializa el evento. 7. Cuantía: Monto de dinero (moneda legal) a que asciende la pérdida, definida como la

cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención.

8. Cuantía recuperada por seguros: Monto de dinero recuperado por el cubrimiento a

través de un seguro. 9. Cuantía recuperada por otros conceptos: Monto de dinero recuperado por acción

directa de COONFIE. 10. Clase de evento: según la clasificación del factor y el tipo de evento. 11. Producto/Servicio afectado: Nombre del producto o servicio afectado. 12. Cuentas PUC afectadas: Cuentas del Plan Único de Cuentas (PUC) afectadas.


13. Proceso: Nombre del proceso afectado. 14. Tipo de pérdida: Tipo de pérdida, de acuerdo con la siguiente clasificación:

Generan pérdidas y afectan el estado de resultados de COONFIE (Cuantitativo). Generan pérdidas y no afectan el estado de resultados de COONFIE (Cualitativo). No generan pérdidas y por lo tanto no afectan el estado de resultados de

COONFIE (Cualitativo).

15. Descripción del evento: Descripción detallada del evento: Canal de servicio o atención al cliente (Cuando aplique) Zona geográfica

16. Tipo de efecto: Cuantitativo o cualitativo

17. Área o proceso afectada: Nombre del área o del proceso que se vio afectado por la

ocurrencia del evento de riesgo operativo.

3.7.1 Metodología La metodología establecida consiste en la participación de todos los colaboradores en la identificación y reporte de los eventos que ocurran en los procesos a su cargo, para que la dirección del SIAR se encargue de consolidarlos en un sistema que permita construir una base de datos histórica, que se pueda consultar y permita su agrupación por diferentes criterios, con el fin de evaluar en cualquier momento el comportamiento histórico de los eventos ocurridos en la entidad.

3.7.2 Procedimiento

El procedimiento de registro y reporte de eventos de riesgo operativo se encuentra registrado en el formato interno PR – RI – 08, en el cual se describe cómo debe realizarse el registro de eventos de riesgo operativo por medio de la plataforma GCRisk la cual la gestiona la Dirección del SIAR. A continuación, se documenta el proceso de reporte de eventos de riesgo operativo, el cual se realiza de la siguiente manera:


Proceso de Reporte y Gestión de Eventos de Riesgo Operativo

Reporte Plataforma GC Risk Comité SIAR

Figura 6. Procedimiento de Registro de Eventos de Riesgo Operativo PR-RI-08

Se identifica el evento de riesgo y se realiza el

reporte.

Registro del evento de Riesgo Operativo.

Envía email a la Dirección de riesgos (SIAR)

Envía email al responsable del plan de acción.

La persona responsable diligencia el plan de acción.

Investiga el evento y diligencia los campos necesarios.

Asigna el responsable del plan de acción.

Cuantifica la pérdida.

Realizar seguimiento de la implementación del plan de

acción por la unidad responsable.

Consulta

Notificación de la gestión


Paso 1: Cada funcionario debe conocer los posibles eventos identificados en la Matriz de Riesgo y debe haber sido capacitado en el tema de qué es riesgo operativo y cuáles son los factores y clases de eventos establecidos.

Paso 2: Cuando algún colaborador observe una situación o hecho ocurrido en desarrollo de las actividades a su cargo o en desarrollo de los procesos en los cuáles el participa, y considera que dichas situaciones o hechos pueden generar o han generado una pérdida, debe notificar a la dirección SIAR sobre el evento ocurrido de riesgo operativo y posteriormente realizar el reporte del evento con los campos mínimos como lo son: descripción, fecha, procesos y productos afectados.

Paso 3: Una vez realizado el reporte, la dirección del SIAR procede a gestionarlo y a su vez, selecciona el responsable para aplicar un tratamiento o plan de acción.

Nota: El Comité SIAR (SIAR) podrá citar a sus reuniones, a cualquier colaborador, para analizar en conjunto o solicitar aclaraciones sobre el reporte realizado. Como resultado podrá solicitar a los responsables de cada área, el desarrollo e implementación de controles y planes de contingencia para aminorar su riesgo operativo.

Las pérdidas a nivel económico deberán ser informadas al Consejo de Administración. Adicionalmente aquellas pérdidas en las cuales no se pueda cuantificar su valor claramente y de la cual se estime que puede estar superando el umbral de reporte anteriormente establecido, se deberá dar aviso de la ocurrencia de este, estimando el valor de la pérdida.

3.8 DOCUMENTACIÓN Coonfie cuenta con un esquema documental para el Sistema de Administración de Riesgo Operativo, el cual se encuentra bajo los estándares de calidad para conservar la uniformidad de todos los documentos y garantizar la integridad, confiabilidad y disponibilidad de la información relacionada con SARO. Cada etapa del proceso de gestión del riesgo deberá estar documentada. La documentación deberá incluir los instructivos, métodos, fuentes de datos y resultados. La gestión correcta del riesgo requiere de documentación apropiada, que deberá ser la suficiente para satisfacer auditorias independientes. Las razones para la documentación son las siguientes:

a. Demostrar que el proceso es conducido de forma apropiada.


b. Proporcionar evidencia de un enfoque sistemático para la identificación y análisis del

riesgo.

c. Ofrecer un registro de los riesgos y desarrollar la base de datos del conocimiento que tiene Coonfie.

d. Darles a las personas que toman decisiones pertinentes un plan de gestión del riesgo

para su aprobación y posterior implementación.

e. Proporcionar un mecanismo y herramienta de responsabilidad.

f. Facilitar el monitoreo y la revisión continuos.

g. Ofrecer un camino de auditoría.

h. Compartir y comunicar la información. Las decisiones concernientes con el alcance de la documentación pueden incluir costos y beneficios y deberán tomar en cuenta los factores arriba mencionados.

3.8.1 Documentación necesaria en el registro de riesgos

Los registros de monitoreo y auditoría deberán documentar:

a. Detalles de los mecanismos y frecuencia de revisión de riesgos y el proceso de gestión de riesgo como un todo.

b. Los resultados de las auditorias y otros procedimientos de monitoreo.

c. Detalles de cómo se siguen e implementan las recomendaciones de revisión.

3.8.2 Cronograma de planes de acción y control de riesgo

Un plan de tratamiento del riesgo y de acción documenta los controles por adoptar y enuncia la siguiente información:

a. Quien es el responsable de la implementación del plan.

b. Que recursos se van a utilizar. c. Distribución del presupuesto.


d. Cronograma para la implementación.

e. Detalles de los mecanismos y frecuencia de revisión para dar conformidad con el plan de tratamiento.

3.9 PROCESOS

3.9.1 GENERALIDADES

Para la implementación y Administración de Riesgo operativo, la metodología se ha planteado con base en la estructura conceptual del riesgo basado en la ISO 31000, NTC 5254, COSO ERM, la Circular Externa 041 de 2007 de la Superintendencia Financiera de Colombia y aquellas que las modifiquen, complemente o deroguen y el proyecto de norma por la Superintendencia de la Economía Solidaria y aquellas que las modifiquen, complemente o deroguen. El proceso para la Administración de Riesgo deberá:

Ser parte integral de la Administración. Estar incluido en la cultura y las prácticas diarias de la cooperativa. Estar adaptado a los procesos de negocio de Coonfie.

El proceso descrito anteriormente para el desarrollo de la metodología del SARO se basa en la identificación de riesgos y causas que permiten tener una mayor cobertura en el momento de controlar los eventos que puedan generar una pérdida, para lo cual la medición de probabilidad e impacto se realiza por cada una de las causas, identificando así los riesgos de mayor impacto y las medidas a tomar para su control o mitigación, esto proporciona una seguridad razonable de la prevención, detección y mitigación de los riesgos.


Figura 7. Procesos

3.10 COMUNICACIÓN Y CONSULTA Es conveniente que tengan lugar la comunicación y las consultas externas e internas eficaces para garantizar que aquellos responsables de la implementación del proceso para la Administración de Riesgo y las partes involucradas entiendan las bases sobre las cuales se toman las decisiones, y las razones por las cuales se requieren acciones particulares. Los informes presentados tendrán como mínimo:

a. Reportes de exposición normativo b. Indicadores de Administración de Riesgo


c. Los riesgos, sus fuentes y áreas de impacto. d. Factores internos y externos de riesgo operativo. e. Planes de acción y controles necesarios para mitigar los riesgos identificados. f. Nivel de impacto de los riesgos. g. Avances de los principales aspectos de la Administración de Riesgo y los resultados

alcanzados. h. Análisis de la herramienta para la Administración de Riesgo operativo (Matriz de

riesgos). Las partes involucradas son:

a. Consejo de Administración b. Gerencia General c. Comité del SIAR

Un enfoque del equipo consultor o asesor externo puede:

Ayudar a establecer correctamente el contexto; Garantizar que se entienden y se toman en consideración los intereses de las partes

involucradas; Ayudar a garantizar que los riesgos estén correctamente identificados; Reunir diferentes áreas de experticia para analizar los riesgos, Garantizar que los diversos puntos de vista se toman en consideración adecuadamente

al definir los criterios del riesgo y al evaluar los riesgos; Asegurar la aprobación y el soporte para el plan de tratamiento; Fomentar la Administración adecuada del cambio durante el proceso para la

Administración de Riesgo; y Desarrollar un plan adecuado de comunicación y consulta externo e interno.

La comunicación y la consulta con las partes involucradas son importantes dado que ellas dan sus opiniones acerca del riesgo con base en sus percepciones de éste. Estas percepciones pueden variar debido a las diferencias en los valores, las necesidades, las asunciones, los conceptos y los intereses de las partes involucradas. Dado que sus puntos de vista pueden tener un impacto significativo en las decisiones que se toman, las percepciones de las partes involucradas se deberán identificar, registrar y tomar en consideración en el proceso de toma de decisiones.


La comunicación y la consulta deberán facilitar los intercambios de información veraz, pertinente, precisa y fácil de entender, teniendo en cuenta los aspectos de la integridad personal y confidencial.

4. ETAPAS

Las etapas para la Administración del Riesgo operativos en Coonfie son:

Figura 8. Etapas del Sistema de Administración de Riesgo Operativo.

4.1 ESTABLECER CONTEXTO

4.1.1 Generalidades

El proceso ocurre dentro del componente del contexto estratégico, organizacional y de Administración del riesgo de Coonfie. Este requiere establecerse de modo que defina los parámetros básicos dentro de los cuales se deberá manejar el riesgo y ofrecer orientación para decisiones dentro de estudios de riesgos más detallados. Con este se fija el ámbito para el resto del proceso de Administración.

4.1.2 Establecer el contexto estratégico

Definir la relación entre Coonfie y su entorno, identificado las fortalezas, debilidades, oportunidades y amenazas de Coonfie. El contexto incluye los aspectos financieros,

ESTABLECER CONTEXTO

IDENTIFICACIÓN

MEDICIÓNCONTROL

MONITOREO


operacionales, competitivos, políticos (percepciones públicas/imagen) sociales, del cliente, culturales y legales de las funciones de una Coonfie.

Identificar las partes interesadas internas y externas y considerar sus objetivos, tener en cuenta sus percepciones y establecer las políticas de comunicación con estas partes.

Este paso se enfoca hacia el medio ambiente en el cual opera Coonfie. Coonfie deberá tratar de determinar los elementos cruciales que pudieran apoyar o deteriorar su capacidad para manejar el riesgo que enfrenta.

Se puede emprender el análisis estratégico, el cual deberá tener respaldo a nivel de la alta dirección, determinar los parámetros básicos y proporcionar orientación para los procesos de Administración de Riesgo más detallados. Deberá existir una estrecha relación entre la misión u objetivos estratégicos de una Coonfie y su Administración de todos los riesgos a los cuales se expone.

4.1.3 Partes interesadas Las partes interesadas son aquellos individuos o estamentos, quienes se ven o se sienten afectados por una decisión o actividad. Entre ellos se pueden incluir:

Individuos en el interior de Coonfie, tales como funcionarios, la dirección, gerentes, contratistas y voluntarios.

Las personas que toman decisiones; Empresas o contrapartes comerciales; Instituciones financieras; Organizaciones de seguros; Reguladores y otras organizaciones gubernamentales que tienen autoridad sobre

actividades. Asociados. Suministradores y proveedores de servicios y contratista de actividades. Comunidades locales y la sociedad.

Con el tiempo, la mezcla de intereses puede cambiar. Se pueden unir nuevas partes interesadas y desear participar en cualquier consideración, mientras que otras pueden salir y no seguir participando del proceso. Por consiguiente, el proceso de análisis de las partes interesadas deberá ser continuo y como tal deberá ser una parte integral de la Administración de Riesgo.


El nivel de interés de la parte interesada puede cambiar en respuesta a nueva información, ya sea porque se han resuelto las necesidades y preocupaciones de las partes interesadas o porque la nueva información tiende a crear nuevas necesidades, problemas o preocupaciones. 4.1.4 Establecer el contexto organizacional

Antes de comenzar un estudio de Administración del riesgo, es necesario comprender las capacidades, lo mismo que las metas y objetivos, así como las estrategias incorporadas para lograrlos. Esto es importante por las siguientes razones:

La Administración del riesgo tiene lugar en el contexto de las metas, objetivos y estrategias de Coonfie.

El no lograr los objetivos de Coonfie o la actividad específica, o el proyecto en consideración representa un conjunto de riesgos que deberá manejarse.

La política y metas organizacionales pueden ayudar a definir los criterios por los cuales se decide si un riesgo es aceptable o no, conformando la base de opciones para su tratamiento.

4.1.5 Establecer el contexto de la Administración de Riesgo

Se deberán establecerse metas, objetivos, estrategias, objeto y parámetros de la actividad o parte a la cual se está aplicando el proceso de Administración de Riesgo. Se deberá emprender el proceso con plena consideración de la necesidad de equilibrar costos, beneficios y oportunidades. También deberán especificarse los recursos requeridos y los registros por mantener. El establecimiento del objeto y límites de una aplicación del proceso de Administración del riesgo involucra:

Definición del proyecto o actividad y establecimiento de sus metas y objetivos; Definición del alcance del proyecto en el tiempo y lugar; Identificación y estudios necesarios y su objeto, objetivos y los recursos requeridos.

Las fuentes genéricas de riesgo y las áreas de impacto pueden ofrecer una guía para este punto.

Definición del alcance y comprensión de las actividades de Administración de Riesgo por manejar. Entre los asuntos específicos que también pueden discutirse se encuentran:

Las funciones y responsabilidades de las diferentes partes que participan en la Administración de Riesgo;


Relaciones entre el proyecto y otros proyectos o partes de la cooperativa. 4.1.6 Desarrollar criterios de evaluación del riesgo

Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios u otros. Con frecuencia, estos dependen de la política interna, las metas, objetivos y los intereses de las partes interesadas. Los criterios pueden verse afectados por percepciones internas y externas y requisitos legales. Es importante que se determinen criterios apropiados desde el principio. Aunque los criterios del riesgo se desarrollan inicialmente como parte del establecimiento del contexto de Administración de Riesgo, éstos pueden desarrollarse luego y refinarse consecuentemente a medida que se identifican los riesgos particulares y se seleccionan técnicas de análisis, por ejemplo, los criterios del riesgo deberán corresponder al tipo de riesgos y la forma cómo se expresan los niveles de riesgo.

4.1.7 Definir la estructura

Esto involucra la división de las actividades o proyectos en un conjunto de elementos. Estos elementos ofrecen un componente lógico para la identificación y análisis que ayuda a garantizar que no se pasen por alto riesgos importantes. La selección de la estructura depende de la naturaleza de los riesgos y el objeto del proyecto o actividad.

4.2 ETAPAS DE IDENTIFICACIÓN

4.2.1 Generalidades

Para la identificación de los riesgos es fundamental un proceso, amplio, sistemático y estructurado, debido a que un riesgo potencial no identificado durante esta etapa será excluido del análisis posterior. La identificación deberá incluir todos los riesgos, sea que estén o no bajo el control de Coonfie. De acuerdo con la clasificación establecida en la normativa, los siguientes son los factores de riesgo operativo que se utilizarán en la matriz de Riesgo Operativo:


Factor Clasificación

Factores Internos

Recurso Humano Recurso Humano Fraude Interno

Procesos

Ejecución y administración de procesos Clientes/Asociados

Tecnología Fallas Tecnologías Infraestructura Daños a activos físicos

Factores Externos

Externos Fraude Externo

Figura 9. Factores y clasificación de ERO

4.2.2 Identificación de procesos

Una vez documentados la totalidad de procesos debemos establecer qué metodología(s) usar para lograr identificar los riesgos a las actividades que se han documentado a través de los procedimientos. Es importante evaluar el proceso para determinar el grado de complejidad o especialización que este requiere o si por el contrario se trata de un proceso estándar a fin de aplicar la metodología adecuada. El líder de cada proceso debe identificar el flujo de actividades que lo componen para evaluar aquellas que requieran un seguimiento en términos de riesgo, y designar los miembros apropiados de su equipo, adicionalmente verificar que el proceso y los procedimientos estén vigentes, y que las actividades que lo componen estén actualizadas. Esta labor resulta particularmente importante, cuando se han presentado cambios significativos en la operación. En la identificación de eventos de riesgo operativo se debe considerar lo siguiente: Descripción de Riesgo Operativo: Se describe el evento de riesgo operativo lo más

completo posible, en la forma en que considera podría presentarse el evento. ¿Qué puede suceder?: Se establecen cuáles son las causas importantes o relevantes

que incrementan la posibilidad de ocurrencia del riesgo operativo y que deben ser tratadas con controles preventivos con el fin de disminuir o mitigar su probabilidad de ocurrencia.

¿Cómo y por qué puede suceder?: Se debe establecen las principales consecuencias, las cuales puede verse inmersa Coonfie si llega a materializarse el riesgo en cuestión.

4.2.3 Metodologías empleadas para de identificación de eventos de Riesgo

Operativo


Una adecuada evaluación de cada proceso es el insumo ideal para identificar riesgos inherentes en cada actividad y determinar sus fuentes e impacto dentro de las áreas. Existen factores internos y externos que se deben evaluar a nivel de los procesos y las metodologías aplicables deben corresponder a indagar el desarrollo de ciertas actividades para conocer exactamente qué y cómo se hace para identificar riesgos potenciales o reales. Entre los métodos establecidos para identificar riesgos se encuentran:

Métodos basados en evidencias

Revisión histórica de eventos: Se analizan casos e incidencias que con anterioridad se han presentado y que han generado algún retraso en la operación. Informe de siniestro de aseguradoras

Métodos sistemáticos

Reunión de equipo de expertos líderes de cada uno de los procesos para identificar los riesgos y se cuestiona sobre qué incidencias se podrían presentar que afectara el curso normal de la operación.

Técnicas de apoyo

Lluvia de ideas: En esta actividad participan distintos colaboradores de Coonfie, donde se procede a discutir, poner en común e intercambiar ideas de posibles eventos e incidentes que se pueden presentar en el desarrollo de sus actividades.

Entrevista: Para esta técnica se inicia un dialogo con un colaborador, se trabajan preguntas abiertas, simples, con lenguaje claro donde se cuestionan posibles eventos de riesgo que se podrían presentar en las actividades propias de su cargo.

Metodología Delphi: Se selecciona un grupo de colaboradores, diligencian un cuestionario con preguntas que permitan identificar eventos, analizar su probabilidad e impacto y exponer las actividades a realizar para mitigarlos, así como las acciones de mejora. Se reciben respuestas, se analizan, se consolidan y posteriormente se pone en común con cada persona para llevar a cabo un análisis más profundo del evento reportado.

El método empleado dependerá de la naturaleza de las actividades bajo revisión y los tipos de riesgo.

4.2.4 Factores de riesgos

La identificación de factores de riesgos siempre va asociada a los objetivos y a las diferentes fuentes generadoras de riesgo (causas, amenazas o falla); cada riesgo tiene numerosos


componentes, algunos están bajo el control y otros están fuera de control por obedecer a situaciones determinadas a posibles eventos de riesgo, las cuales, por su naturaleza, pueden atribuirse así:

Internas:

Recurso humano en sus distintos niveles (alta dirección, nivel operativo y apoyo) Inaplicación o fallas en la definición de procesos y procedimientos Plataforma tecnología inadecuada u obsoleta Infraestructura deficiente y riesgosa.

Externas:

La fuerza de la naturaleza Inseguridad jurídica Entorno macroeconómico Terceros Fuentes del riesgo y áreas de impacto.

Identificar fuentes de riesgo y áreas de impacto ofrece un componente para la identificación y análisis de riesgo. El desarrollo de una lista genérica enfoca las actividades de identificación del riesgo y contribuye a hacer más efectiva la Administración, debido a la gran cantidad posible de fuentes e impactos. Las fuentes genéricas de riesgo y áreas de impacto se seleccionan de acuerdo con su importancia en las actividades estudiadas. Los componentes de cada categoría genérica pueden formar las bases para el estudio de los riesgos.

4.2.5 Fuentes de riesgo

Cada fuente genérica tiene numerosos componentes, cualquiera de los cuales puede dar origen a un riesgo. Algunos componentes pueden estar bajo el control de la cooperativa, conduciendo el estudio, mientras que otros pueden estar por fuera de su control. Ambos tipos deberán considerarse al identificar los riesgos. Entre las fuentes genéricas de riesgo se encuentran:

a. Relaciones legales y comerciales; Al interior de la cooperativa y de está con otras organizaciones, por ejemplo, proveedores, subcontratistas, arrendatarios.

b. Circunstancias económicas y de mercado organizacionales, nacionales, e internacionales; Factores que contribuyan a estas circunstancias, por ejemplo, tasas de cambio.

c. Comportamientos humanos; De quienes están involucrados en Coonfie y de quienes no lo están.

d. Eventos naturales


e. Circunstancias políticas. Incluye cambios legislativos y factores sociales por los cuales se puede influenciar otras fuentes de riesgo.

f. Tecnología y asuntos técnicos. Tanto internos como externos. g. Actividades de Administración y control. Actividades individuales.

4.2.6 Criterios de identificación de eventos

Los criterios que deben tener en cuenta los colaboradores involucrados en cada proceso, para realizar la identificación y clasificación de los eventos de dicho proceso son:

Establecer el mapa de procesos donde se detalle los niveles estratégicos, misionales y de apoyo.

El responsable asignado debe establecer cuáles son los principales elementos utilizados para llevar a cabo dicho proceso. Estos elementos se clasifican en: recurso humano, recurso tecnológico, recurso físico y recurso de información.

El recurso humano hace referencia a los colaboradores que participan directamente en alguna parte del proceso, actuando concretamente en una o varias actividades de este.

El recurso tecnológico hace referencia a la utilización de software especializado durante el proceso, bien sea desarrollado por Coonfie o aquel perteneciente a un proveedor externo.

El recurso físico hace referencia a todos aquellos activos tangibles utilizados durante el proceso, incluyendo cualquier tipo de máquina no especializada o computadores con software no especializado.

El recurso de información hace referencia a los datos de entrada, tanto internos como externos, necesarios para realizar el proceso.

Los elementos de cada proceso deben organizarse en orden de importancia de costo; es decir, ordenándolos de mayor a menor por el costo estimado, de cada uno de dichos elementos, para llevar a cabo un proceso en particular.

Teniendo en cuenta la anterior información, se comienzan a identificar los eventos, comenzando por aquellos procedimientos críticos según los anteriores criterios.


Figura 10. Formato de identificación de eventos

4.2.7 Actualización y Análisis de Eventos

La actualización y análisis de eventos se realizará en la medida en que se inicien nuevos procesos, se desarrollen nuevos productos o mercados, con el fin de identificar y tener actualizada la matriz con sus respectivas mediciones y análisis previo del riesgo al que la entidad se expone y definir el tratamiento que se puede aplicar.


Los colaboradores involucrados en cada uno de los procesos y procedimientos deben comunicar al área de riesgos, posibles eventos que identifiquen y que no estén contemplados dentro de la matriz de riesgo. Finalmente, los resultados de estas reuniones y de estos análisis deben documentarse e ingresarse a la Matriz de Riesgo Operativo; dichos resultados deben ser revisados por el Comité SIAR.

4.3 ETAPA: MEDICIÓN 4.3.1 Generalidades Los objetivos de la medición son separar los riesgos aceptables menores de los mayores, y proporcionar datos que sirvan para la evaluación y el tratamiento de riesgos. La medición del riesgo incluye la consideración de las fuentes de riesgo, sus consecuencias y la posibilidad de que estas consecuencias ocurran. Se pueden identificar los factores que afectan las consecuencias y la posibilidad. El riesgo se medirá mediante la combinación de cálculos de consecuencias y posibilidad en el contexto de las medidas de control existentes. Se puede realizar una medición preliminar de manera que se excluyan de estudio detallado los riesgos similares o de bajo impacto. Se deberán enumerar los riesgos excluidos, siempre que sea posible, a fin de demostrar que el análisis de riesgos es completo. El análisis del riesgo puede ser aplicado a diferentes grados de exactitud, dependiendo de la información del riesgo y de la disponibilidad de datos. El análisis puede ser cualitativo, semi- cuantitativo, cuantitativo o una con combinación de estos, dependiendo de las circunstancias. 4.3.2 Primera etapa: Uso de escalas con rangos de valoración La primera etapa se realiza en las reuniones, durante el proceso de identificación de los eventos de riesgo operativo. En estas reuniones y contando con la presencia de los lideres o responsables de cada proceso, se procede a realizar la calificación del impacto y la probabilidad de ocurrencia, con el fin de construir la matriz de riesgo operativo. 4.2.2.1 Matriz de Riesgo Operativo Una matriz de riesgos es una herramienta que busca identificar las actividades o procesos sujetos al riesgo, cuantificar la probabilidad de estos eventos y medir el daño potencial asociado a su ocurrencia.


A partir de la matriz de riesgos se generan tratamientos o planes de acción, principalmente a los riesgos de mayor nivel de exposición, con el propósito de disminuir o mantener controlado el nivel de riesgo residual de Coonfie. La identificación de riesgos es plasmada en la Matriz de Riesgos, que no es otra cosa que representación o descripción de los distintos aspectos tenidos en cuenta en la valoración de los riesgos. Probabilidad de ocurrencia: Es la posibilidad de que las fuentes potenciales de riesgo lleguen realmente a materializarse. Las escalas definidas por Coonfie se resumen en el siguiente gráfico:

Figura 11. Escalas de Probabilidad de Ocurrencia.

Impacto: Definido como nivel de pérdida o daño que podría resultar en el caso de materializarse el riesgo. Para la elección del nivel se tiene en cuenta los efectos que podría tener la materialización con relación a los riesgos: legal, económico, reputacional, de contagio y operacional.

- Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

- Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una entidad por

desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y


sus prácticas de negocios, que cause pérdida de asociados, disminución de ingresos o procesos judiciales.

- Riesgo de Contagio: Es la posibilidad de pérdida o daño que puede sufrir una

organización solidaria, sea directa o indirectamente, por una acción o experiencia de una persona natural o jurídica que posee vínculos con la organización solidaria y puede ejercer influencia sobre ella.

La siguiente gráfica se muestra la escala definida para medir el impacto:

Figura 12. Escalas de Magnitud del Impacto

La calificación de impacto y de frecuencia se realiza con el analista de riesgos y el líder del proceso involucrado, quien tiene el conocimiento de la realidad de la operación. 1. Posteriormente por cada evento de riesgo se determinan los controles y los responsables

de ejecutar dichos controles. 2. Estos pasos explican la construcción de la matriz de riesgo.

Nivel Escala Legal Afectación Económica Reputacional Contagio Operacional

Afectación de un proceso

específico, recurso,

infraestructura o tecnología,

para continuar con la

operación.

1No

SignificativoRequerimiento No hay pérdidas económicas

No afectación reputacional por

desprestigio, mala imagen o

publicidad negativa.

No produce efecto de

contagio.

No produce afectación a la

operación de la compañía

2 Menor Amonestación

Pérdidas financieras menores

(Multas, gastos jurídicos e

indemnizaciones por una

cuantía igual o menor 49

SMMLV

Cobertura de medios a nivel local.

Mala imagen ante un pequeño

grupo de personas que no causa

pérdida significativa de asociados,

ni disminución de ingreso de los

mismos.

Puede producir efecto de

contagio entre líneas de

servicios relacionadas con

la compañía

Afectación temporal de

procesos, recursos,



operación.

3 Medio

Suspensión, inhabilitación

de administradores, oficial

de cumplimiento u otros

funcionarios.

Pérdidas financieras grandes



cuantía entre 50 y 99 SMMLV

Cobertura de medios a nivel

regional.

Pérdida moderada de asociados o

disminución de ingreso de los

mismos.


contagio entre entidades

relacionadas con la

compañía

Afectación parcial de algunos

procesos, recursos,



operación.

4 Mayor

Suspensión o cierre parcial

de operaciones, actividades

o remoción de

administradores del fondo

por decisión de los

reguladores.

Pérdidas financieras

importantes (Multas, gastos

jurídicos e indemnizaciones por

una cuantía entre 100 y 2000

SMMLV


nacional.

Pérdida importante de asociados.


contagio significativo entre

entidades relacionadas con

la compañía.

Impacto

5 Catastrófico

Cancelación de la matrícula

/ cierre permanente de

operaciones por decisión de

los entes reguladores.

Enormes pérdidas financieras



cuantía igual o superior a 2001

SMMLV


nacional e internacional.

Daño importante a la imagen del

fondo que afecte su valor de

mercado.


contagio catastrófico entre

empresas o entidades

relacionadas con la

compañía

Imposibilidad de contar con

procesos, recursos o

infraestructura tecnológica


operación.


iesgo Inherente: Es el riesgo intrínseco al desarrollo de la actividad, al que se encuentra expuesta la entidad sin tener en cuenta la aplicación de los controles, sale de multiplicar la probabilidad por el impacto.

𝑅𝑖𝑒𝑠𝑔𝑜 𝑖𝑛ℎ𝑒𝑟𝑒𝑛𝑡𝑒 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 × 𝐼𝑚𝑝𝑎𝑐𝑡𝑜 4.2.3 Definición del Perfil de Riesgo (Apetito de riesgo) La tolerancia al riesgo se ubicará en alguno de los niveles de la siguiente escala:

Nivel de Riesgo

Residual

Concepto

Perfil

Tratamiento

Extrema 19-25

Pone en peligro la continuidad del negocio.

Inaceptable Debe informarse inmediatamente al consejo de administración, quienes deben proporcionar los recursos inmediatos para su Tratamiento. Requiere acción inmediata para mitigarlo al nivel moderado o bajo.

Transferir el riesgo vía seguros y reducir su impacto o probabilidad de ocurrencia vía planes de contingencia, controles y planes de continuidad del negocio

Alta 13-18

Genera un impacto negativo a nivel operativo y financiero, pero sin poner en peligro la continuidad del negocio

Inconsistente Debe informarse de manera oportuna al consejo de administración con el fin de reducir el impacto en la entidad. Requiere acción rápida para regresarlo como mínimo al nivel moderado.

Dispersar el riesgo ejecutando los controles y poniendo en acción los planes de contingencia establecidos.

Moderada 7-12

Genera un impacto moderado sobre la entidad, que no afecta de manera importante su situación financiera u operativa.

Gestionable Debe informarse oportunamente al Comité SIAR para que lleve a cabo un monitoreo periódico de dicho riesgo a través de los informes presentados y los responsables de cada área. Se deben evaluar los controles y planes de contingencia existentes, buscando mejoras.

Mitigar su impacto o probabilidad de ocurrencia por medio de la identificación de los factores que podrían afectar la entidad.


Baja 1-6

No genera mayor impacto negativo sobre la operación o finanzas de la entidad.

Aceptable Debe informarse oportunamente al Comité SIAR para que lleve a cabo un monitoreo periódico de dicho riesgo y así evitar que impacto sea mayor.

Mantener bajo su impacto o probabilidad de ocurrencia mediante los controles estipulados. Asumir el riesgo

Figura 13. Escalas de Apetito de Riesgo

Coonfie define el apetito o tolerancia al riesgo, el cual se define como un valor porcentual (%) de aceptación al riesgo. El (10%) definido se aplica sobre el riesgo inherente identificado y medido previamente y funcionará como límite para evitar que el riesgo residual de la entidad supere el apetito definido. Sustento Matemático Niveles de Riesgo

Figura 14. Sustento Matemático

Una vez evaluados los riesgos de acuerdo con su probabilidad e impacto se construye la matriz de nivel de riesgos, con el objetivo de determinar la severidad de los riesgos identificados.


Figura 15. Escalas Criticidad (Probabilidad x Impacto)

4.3.4 Segunda etapa: Definición de VaR operativo Para esta fase se requiere información histórica, por lo tanto, inicialmente no se podrán utilizar modelos estadísticos, para determinar el valor en riesgo y establecer un esquema de provisiones. En adelante se relacionan los modelos más utilizados en esta etapa de medición. Modelo LDA Es un modelo actuarial que busca calcular de manera independiente una función de probabilidad para la frecuencia y la severidad, para obtener una distribución de perdidas agregadas y calcular el valor en riesgo operativo. Para encontrar la distribución que mejor se ajusta a los datos tanto para la frecuencia como para la severidad es necesario realizar pruebas de bondad de ajuste (estas son importantes para seleccionar una adecuada distribución a los datos y corregir errores) y posteriormente calcular por medio de simulación Montecarlo la distribución de pérdidas agregadas, la cual representa el capital en riesgo exigido para cubrir las pérdidas inesperadas en un periodo de tiempo determinado. Teniendo en cuenta lo anterior, Coonfie no iniciará aplicando el modelo LDA debido a que no se cuenta con la información histórica necesaria para realizar el cálculo. Modelo POT-Teoría de Valores Extremos Los datos de riesgo operativo presentan dos características: la primera característica son los eventos con alta frecuencia y bajo impacto que constituyen el cuerpo de la distribución y se refieren a las pérdidas esperadas; la segunda son eventos de baja frecuencia y alta severidad que constituyen la cola de la distribución y se refieren a las pérdidas inesperadas. En el análisis convencional, la influencia de las pérdidas de tamaño pequeño y mediano en la curva de distribución no permite al modelo estimar los datos de la cola. Una solución obvia a este problema es no considerar el cuerpo de la distribución y concentrar el análisis solo en las pérdidas extremas (Es decir tratar de manera separada las pérdidas pequeñas-medianas y las pérdidas altas).

1 -6,99 Baja

7- 12,99 Medio

13 - 18,99 Alto

19 - 25 Muy Alto

Magnitud (Probabilidad x Impacto)

El riesgo aceptable, Mantener medidas de control existentes y realizar seguimiento

anualmente.

El riesgo es tolerable, Se plantea tomar acciones para reducir la probabilidad de ocurrencia

del riesgo en la organización.

El riesgo es significativo, se plantea tomar prontamente acciones encaminadas a disminuir su

probabilidad de ocurrencia.

El riesgo es muy alto, se plantea de manera inmediata tomar acciones y medidas de control

del riesgo que afecta a la organización.


Análisis exploratorio: El análisis exploratorio se enfoca primero en medir la asimetría y la curtosis en cada línea comercial, en lugar de la media y la desviación estándar. Mayor asimetría y curtosis indican mayor riesgo de pérdidas extremas.

Selección del umbral Uno de los componentes más importantes del modelo POT consiste en el umbral (u); que indica el punto a partir del cual se van a considerar los datos extremos y por lo tanto es el que define los datos con los cuales se va a modelar la severidad de las pérdidas operativas.

VaR (Value at Risk) Se define con base en un nivel de confianza p cercano a uno (1), como la mayor perdida esperada o de la distribución de pérdida, que puede ocurrir en un intervalo de tiempo.

Teniendo en cuenta lo anterior, Coonfie no iniciará aplicando el modelo POT debido a que no se cuenta con la información histórica necesaria para realizar el cálculo, por lo cual el primer año de medición se realizará de manera cualitativa. En términos de medición se deberá calcular el riesgo inherente, la efectividad de los controles y el riesgo residual de la cooperativa, sobre el cual se define el perfil de riesgo consolidado así:

Figura 16. Proceso de riesgo consolidado

4.4 ETAPA CONTROL Incluye la identificación de la serie de opciones para tratar el riesgo, la evaluación de dichas opciones, la preparación de planes para el tratamiento del riesgo y su implementación. Las medidas están orientadas a:

a. Establecer y evaluar las medidas de control requeridas para administrar los riesgos. b. Establecer el nivel de riesgo residual al cual está expuesto el proceso.

RIESGO INHERENTE

CONTROLES RIESGO RESIDUAL


c. Identificar opciones para tratar los riesgos de acuerdo con nivel de riesgo residual obtenido.

d. Realizar la evaluación de dichas opciones. e. Preparar los planes de mitigación/ tratamiento de riesgos y su implementación.

Una vez definido la medición de los riesgos, se identifican los controles que permitan prevenir y/o detectar cada una de las causas asociada a los riesgos y los controles que al implementarse logren disminuir el impacto o la frecuencia de las causas identificadas y asociadas a cada riesgo, para posteriormente evaluar la calidad de los controles asociados a los riesgos identificados y medidos. 4.4.1 Actividades de Control Son las políticas y procedimientos establecidos por la Gerencia, para mitigar los riesgos que inciden en el cumplimiento de los objetivos estratégicos y de los procesos. Las actividades de control se llevan a cabo en todos los niveles de la cooperativa, en las diferentes etapas de los procesos, y en el entorno tecnológico. Según su naturaleza, pueden ser preventivos, correctivos o detectivos, e incluye actividades manuales y automatizadas, tales como, autorizaciones y aprobaciones, verificaciones, conciliaciones, y revisiones de calidad que deberán estar integradas con una adecuada segregación de funciones. La documentación de las medidas de tratamiento (actividades de control), tendrá en cuenta los atributos asociados al diseño y ejecución establecidos en el presente manual. En cuanto al diseño del control, su redacción puede contener los siguientes elementos:

a. Quién lleva a cabo el control (responsable) b. Frecuencia del Control (Cada cuanto se realiza) c. Cómo se lleva a cabo el control (procedimiento) d. Evidencia de la ejecución del control e. Excepciones al control

No obstante, la cooperativa podrá adicionar otros elementos y condiciones para mejorar la práctica del diseño de los controles. Para mitigar los riesgos identificados en los procesos, hay causas que requieren documentar controles que pueden ser ejecutados por otras áreas o dependencias de la cooperativa en razón a que un control puede mitigar una causa y un riesgo de un proceso, aunque éste no sea ejecutado por la misma área funcional.


4.4.2 Evaluación del diseño y ejecución de controles En la evaluación de los controles se tienen en cuentan dos criterios: El diseño y la ejecución; el diseño hace referencia a que los controles mitiguen de manera adecuada las causas internas o externas que puedan materializar los riesgos, y la ejecución busca asegurar que ésta se realice tal y como se diseñó. Como resultado de la combinación de estos criterios se determina la solidez individual de cada control. A continuación, se presenta los atributos utilizados para la evaluación de controles, así como las ponderaciones dadas a cada una de ellas. Para la evaluación del diseño del control se tienen en cuenta las siguientes variables: 4.4.3.1.1 Por las actividades que componen el control

Parámetros para Definir la Mitigación del Riesgo Inherente por Medio de los Controles

Clasificación Peso Categoría Peso individual

Asignación 10% Manual 40%

Automático 60%

Tipo

10%

Preventivo 50%

Detectivo 30%

Correctivo 20%

Frecuencia

0%

Diaria 0%

Semanal 0%

Quincenal 0%

Mensual 0%

Trimestral 0%

Semestral 0%

Anual 0%

Por evento 0%

Implementación

25%

En desarrollo 10%

Implementado 90%


Documentación

25%

Si 60%

No 0%

Parcial 40%

Aplicación

10%

Siempre 70%

Aleatoria 30%

Efectividad

15%

Efectivo y tiene evidencia 83%

Requiere mejoras 17%

No es efectivo 0%

Total 100% Min: 5% - Max: 90%

Figura 17. Clasificación de Controles

1. Por su asignación:

Manual: Son los que son desarrollados por una o más personas, y no requieren de tecnología o sistemas.

Automatizado: Son aquellos controles efectuados a través de sistemas, los cuales no requieren de la participación de las personas para su aplicación.

2. Por su efecto sobre el riesgo:

Preventivo: Son aquellos controles efectuados con el fin de reducir la probabilidad de que el riesgo se materialice.

Detectivo: Son aquellos controles efectuados al finalizar un proceso, para verificar si el mismo cumplió o no con los parámetros establecidos. También se utilizan para aminorar el impacto negativo de un evento, una vez ocurrido.

Correctivo: Son aquellos controles efectuados para corregir un evento que ya se ha materializado, pero se trata de corregirlos y definir planes de acción antes que puedan producir pérdidas relevantes.

3. Por su frecuencia:

Esta frecuencia es definida por la periodicidad con la que se realiza seguimiento a cada uno de los controles que se establecieron, se divide en las siguientes frecuencias:

Diaria


Semanal Quincenal Mensual Trimestral Semestral Anual Por evento

Si bien la frecuencia de aplicación del control es importante, no es determinante para definir la efectividad de este.

4. Por su estado de implementación:

En desarrollo: Son aquellos controles que se encuentran en diseño. Implementado: Son aquellos controles que se encuentran establecidos, ya hacen

parte de la operación y están siendo aplicados en Coonfie. Suspendido: Son aquellos controles cuya implementación se ha inactivado

temporalmente.

5. Por su documentación: No todos los controles son sujetos de ser documentados, algunos cuentan con soportes como contratos, pólizas, niveles de servicio, entre otros. Si: Son aquellos controles que se encuentran documentados en su totalidad. No: Son aquellos controles que no están documentados. Parcial: Son aquellos controles que están documentados parcialmente.

6. Por su aplicación:

Siempre: Son aquellos controles que se aplican siempre en los procesos que se realizan en la entidad.

Aleatoria: Son controles que se aplican aleatoriamente.

7. Por su efectividad:

Efectivo y tiene evidencia: Son aquellos controles que a través de su aplicación resultan ser efectivos y se tiene una evidencia para comprobarlo.

Requiere mejoras: Son aquellos controles que se están llevando a cabo pero que a través de su aplicación se puede evidenciar que se requiere mejorarlos.

No es efectivo: Son aquellos controles que después de implementarlos y monitorearlos se evidencia que no tuvieron los resultados esperados.


𝑅𝑖𝑒𝑠𝑔𝑜 𝑅𝑒𝑠𝑖𝑑𝑢𝑎𝑙𝑛 = 𝑅𝑖𝑒𝑠𝑔𝑜 𝐼𝑛ℎ𝑒𝑟𝑒𝑛𝑡𝑒 𝑥 (1 − 𝑃𝑒𝑠𝑜 𝑑𝑒𝑙 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑛)

𝑅𝑖𝑒𝑠𝑔𝑜 𝑅𝑒𝑠𝑖𝑑𝑢𝑎𝑙𝑛+1 = 𝑅𝑖𝑒𝑠𝑔𝑜 𝑅𝑒𝑠𝑖𝑑𝑢𝑎𝑙𝑛 𝑥 (1 − 𝑃𝑒𝑠𝑜 𝑑𝑒𝑙 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑛+1)

𝐷𝑜𝑛𝑑𝑒 𝑛 = 𝑛ú𝑚𝑒𝑟𝑜 𝑑𝑒𝑙 𝑐𝑜𝑛𝑡𝑟𝑜𝑙

𝑅𝑒𝑐𝑜𝑟𝑑𝑎𝑛𝑑𝑜: 𝑅𝑖𝑒𝑠𝑔𝑜 𝑖𝑛ℎ𝑒𝑟𝑒𝑛𝑡𝑒 = 𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑥 𝐼𝑚𝑝𝑎𝑐𝑡𝑜

Estos criterios establecen la calidad del control por medio de una ponderación del score para cada control, esto permite establecer el grado de mitigación del riesgo y posteriormente el riesgo residual por evento y consolidado por Coonfie.

Riesgo residual: Posterior a haber realizado la matriz, calcular el riesgo inherente y aplicar por un tiempo prudencial (a discreción de Coonfie) se realiza la evaluación de la calidad de los controles establecidos para el tratamiento de los eventos de riesgo, para así valorar el riesgo residual.

Figura 18. Cálculo Riesgo Residual

4.4.4 Solidez del conjunto de controles Esta variable se determina promediando la calificación individual de la solidez de los controles establecidos para mitigar las fallas y causas asociadas a cada riesgo con los siguientes resultados posibles:

Fuerte: El 90% o más de los controles asociados al proceso para mitigar el riesgo son controles fuertes que están bien diseñados y operando adecuadamente.

Moderado: Entre el 60% y 79% de los controles asociados al proceso son moderados para mitigar los riesgos, sin embargo, existen algunas oportunidades de mejora en el diseño y/o en la ejecución del control.

Débil: El 59% de los controles o menos son controles débiles que no están bien diseñados o no se ejecutan adecuadamente por los dueños de los procesos.

4.4.5 Determinación del riesgo residual El riesgo residual es el resultado del desplazamiento del riesgo inherente por la aplicación de los controles considerando la probabilidad y el impacto.


Teniendo en cuenta que en la metodología de administración integral de riesgos de Coonfie, los controles juegan un papel importante en el desplazamiento en el matriz de riesgos, a continuación, se presenta en detalle los resultados de los posibles desplazamientos de la probabilidad y el impacto del riesgo.

Figura 19. Mapa de Calor Riesgo Inherente

Figura 20. Mapa de Calor Riesgo Residual

Casi seguro Extremo

Probable R1 Alto

Posible Moderado

Improbable Bajo

Raro

Insignificante Menor Moderado Mayor Catastrófico

IMPACTO

Mapa de Riesgo Inherente

PRO

BABI

LID

AD

Casi seguro Extremo

Probable Alto

Posible Moderado

Improbable R1 Bajo

Raro

Insignificante Menor Moderado Mayor Catastrófico

IMPACTO

Mapa de Riesgo Residual

PR

OB

AB

ILID

AD


4.4.6 Administración de la Continuidad del Negocio. Dentro de la etapa de control se debe gestionar la Administración de continuidad del negocio, de acuerdo con su estructura, tamaño, objeto social y actividades de apoyo, las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya elementos como: prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. Dicha información se encuentra documentada en el Plan de Continuidad del Negocio.

Los planes de continuidad del negocio deben cumplir, como mínimo, con los siguientes requisitos:

Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia. Ser conocidos por todos los interesados. Cubrir por lo menos los siguientes aspectos: identificación de eventos que pueden

afectar la operación, actividades a realizar cuando se presentan fallas y regreso a la actividad normal.

4.4.7 Plan De Acción Y Tratamiento Como resultado de los riesgos identificados, y según la estrategia definida para cada nivel de severidad, se establecen los planes de acción que mitigan el riesgo, estos planes de acción deberán quedar identificados y listados en la matriz de riesgo operativo y en caso de materializarse un evento de riesgo operativo se llevara registro en el módulo de registro de eventos de riesgo operativo. Cada uno de estos, deberá contener una fecha de cumplimiento establecida para realizar su implementación, y responsable, los cuales deberán quedar en actas de reunión de cierre y presentación de resultados a las áreas evaluadas. Los planes de acción deberán ser llevados al Comité de Gerencia, quienes deberán pronunciarse sobre el mismo y conocer el estado de los mapas de cada uno de los procedimientos.


Figura 21. Proceso Plan de acción y tratamiento

4.4.7 Lineamientos por seguir para la implementación de un tratamiento Una vez evaluados los riesgos, los tratamientos o planes de acción deberán seguir la siguiente estructura para su creación, desarrollo y ejecución, teniendo como principales pilares el monitoreo y revisión, así como su comunicación y permanente consulta, por lo cual, según la estrategia a seguir según su severidad (Definida previamente) el proceso continuaría de la siguiente manera:


Figura 22. Proceso de la para la implementación de un tratamiento

Una vez identificadas las opciones de tratamiento (Reducir Impacto, Reducir Probabilidad, Transferir el riesgo o Evitarlo completamente), deberá procederse con la evaluación de las diferentes opciones de tratamiento, teniendo en cuenta la viabilidad de este en una relación costo-beneficio, definir los planes de acción a implementar:

Figura 23. Proceso definir los planes de acción a implementar

Posteriormente se lleva a cabo la elaboración de los planes de acción, definiendo los responsables y fechas de implementación para realizar su seguimiento y monitoreo, los cuales se deberán dar a conocer al Comité de Gerencia.


Figura 24. Proceso de definición de planes de acción

Por último, se realiza la misma evaluación inicial del tratamiento y el resultado del riesgo completando el siguiente ciclo:

Figura 25. Proceso de evaluación final del tratamiento


4.4.8 Desarrollo de la preparación del Plan de Tratamiento Establecido y evaluado el respectivo plan de tratamiento, se efectuará una agrupación lógica que permita controlar su implementación y monitoreo de los resultados esperados, que pueden ser por:

a. Objetivos de la Organización. b. Responsables de los procesos. c. Área operativa d. Prioridades de los resultados de las evaluaciones.

UNIDADES CARACTERÍSTICA Líder de proceso Identificar los responsables del plan de Acción Acciones/Propuestas Compendio de tratamientos aprobados y establecidos. Recursos Financieros, Humanos, Tecnológicos, etc. Responsabilidades Asignación a responsables Cronograma Actividades y compromisos Informes Mecanismos y frecuencias de la revisión del plan Monitoreo Estado de avance en cada seguimiento Fechas claves Registrado/ Terminado/ Seguimiento

Figura 26. Desarrollo de la preparación del Plan de Tratamiento

4.5 ETAPA MONITOREO

En esta etapa es necesario monitorear y revisar los riesgos, la efectividad del plan de tratamiento del riesgo, las estrategias y el sistema de Administración que se establecen para controlar la implementación. Deberá monitorearse los riesgos y la efectividad de las medidas de control a fin de garantizar que las circunstancias cambiantes no alteren las prioridades del riesgo y que los riesgos residuales se encuentren en los niveles establecidos por Coonfie. El monitoreo y la revisión permanente de los procedimientos y planes de acción relacionados con el sistema integral de Administración de Riesgos, conlleva a realizar las correspondientes actualizaciones y modificaciones en el matriz de riesgos y por ende del perfil de riesgos de la Cooperativa y a su vez es esencial para asegurarse de que el plan de Administración continúa siendo pertinente. Los factores que pueden afectar la posibilidad y las consecuencias de un resultado pueden cambiar, lo mismo que lo pueden hacer los factores que afectan la conveniencia o el costo de las diferentes opciones de tratamiento. Por consiguiente, es necesario repetir regularmente el ciclo de Administración de Riesgo. La revisión es una parte integral del plan de tratamiento de Administración de Riesgo.


Los procesos de monitoreo y revisión de Coonfie deberán comprender todos los aspectos del proceso para la Administración de Riesgo con el fin de:

Garantizar que los controles son eficaces y eficientes tanto en el diseño como en la operación;

Obtener información adicional para mejorar la valoración del riesgo; Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes),

los cambios, las tendencias, los éxitos y los fracasos; Detectar cambios en el contexto externo e interno, incluyendo los cambios en los

criterios del riesgo y en el riesgo mismo que puedan exigir revisión de los tratamientos del riesgo y las prioridades; e identificar los riesgos emergentes.

Para el monitoreo de riesgo operativo, se cuenta con un instructivo que establece el procedimiento para gestionar los eventos de riesgo de acuerdo con la normatividad vigente. Adicionalmente, los indicadores de Administración de los procesos son insumo para llevar a cabo el monitoreo: a. Indicador descriptivo: Perfil de riesgo y nivel de madurez por procesos y de Coonfie y

exposición a la pérdida (riesgo de mercado). b. Indicador de riesgo: Es el indicador de Administración definido en Coonfie, de tal forma

que se entiende al indicador de riesgo como el incumplimiento o tendencia negativa en el resultado del indicador del proceso, conllevando a realizar el análisis y adopción de acciones tanto correctivas, como preventivas, para minimizar la exposición o impacto del riesgo.

Para la cooperativa se observará las siguientes prioridades de Monitoreo:

a. Riesgos de calificación Extremo y Alto b. Posibles fallas de las estrategias de tratamiento, especialmente cuando estas podrían

resultar con alta probabilidad y consecuencia. c. Actividades relacionadas con Riesgos que incluyen altas incidencias de cambio. d. Los criterios de tolerancia al Riesgo, especialmente cuando estos son productos de

Riesgos residuales. e. Aspectos tecnológicos que podrían ofrecer alternativas en costos para el tratamiento

de los riesgos.


4.5.1 Autoevaluación El proceso de Autoevaluación se orienta a la validación y revisión constante de los procedimientos efectuados, dentro de los procesos por cada uno de los responsables de estos; esta conlleva a que se identifique oportunamente desviaciones del control, nuevos riesgos y se da comienzo nuevamente con el ciclo de la administración de Riesgo. Coonfie realizara la autoevaluación por medio del formato FO-RI-07. Par la cooperativa los procesos de Autoevaluación dentro de la administración de los Riesgos, se orienta bajo la siguiente metodología:

a. Periódicamente se evaluarán por parte de los responsables de los procesos la identificación, descripción y las diferentes valoraciones de los riesgos.

b. Se efectúa las modificaciones respectivas en los ítems señalados. c. Se informa oportunamente los cambios y ajustes efectuados d. Se elabora el nuevo mapa de riesgos con los ajustes señalados e. Se evalúa el proceso de los tratamientos y se ajustan de acuerdo con el resultado

obtenido. 4.5.2 Indicadores Los indicadores de Riesgos corresponden al conjunto de datos históricos, por periodos de tiempo, relacionados con algún evento cuyo comportamiento puede indicar una mayor o menor exposición a determinados Riesgos. El objetivo de los indicadores de riesgos es alertar sobre los que puede estar mal y se debe recurrir a investigar. Los indicadores de Riesgo se deben construir con información de tipo estadístico, para lo cual la Cooperativa considerara como tipos de indicadores los siguientes:

a. Indicadores Corporativos b. Indicadores del Negocio

Para la administración de los indicadores se dispondrá de la ejecución de herramientas computacionales, en la cual se registraría la siguiente información:

a. Descripción Indicador b. Riesgos y/o controles asociados al indicador c. Series de datos (Tipo, valores, fechas, periodo) d. Prioridad y severidad del indicador


e. Valores límites: Máximos, Mínimos y Normal f. Responsables a ser notificados si superan los valores limites g. Los riesgos de Severidad Extrema deberán monitoreasen con indicadores h. Análisis de tendencias y desviaciones

4.5.3 Monitoreo de la Matriz de Riesgo Operativo

Los factores de riesgo operativo, eventos de pérdida, controles, riesgo inherente y riesgo residual, que se obtengan como resultado de los procesos de identificación y medición de riesgos descritos en el presente Manual, deben estar registrados y consolidados en una Matriz de Riesgo Operativo. A partir de dicha Matriz y del registro de eventos de riesgo operativo se realiza un monitoreo en la frecuencia establecida para cada control, adicionalmente cada tres meses se informa al Comité SIAR el resultado de la evaluación general de la gestión de riesgo, los avances y oportunidades de mejora identificados.

4.5.4 Monitoreo perfiles de Riesgo y de las exposiciones a perdida.

Se hará un seguimiento efectivo a los eventos de riesgo operativo potenciales y ocurridos, así como a la frecuencia y naturaleza de los cambios en el entorno operativo, que facilite la rápida detección y corrección del SARO.

Se establecerán indicadores que evidencien la gestión del SARO.

Se asegurará que los controles estén funcionando en forma oportuna y efectiva.

Se asegurará que los riesgos residuales se encuentren en los niveles de aceptación establecidos.

4.5.5 Niveles de aceptación del riesgo operativo

Los niveles de aceptación del riesgo operativo hacen referencia a la política que Coonfie adopte, basada en la cuantía de pérdida por la ocurrencia de un evento significativo después de implementados los controles necesarios para mitigarla, si está dispuesta a tolerar dicha cuantía o si prefiere trasladar el riesgo vía seguros. En el caso de optar por la contratación de un seguro, deben administrarse también los eventos de riesgo operativo asociados con dicho seguro.


El nivel de riesgo aceptado estará como máximo en escala Moderado, con un nivel de mitigación del riesgo del 90% para el riesgo residual. Estos niveles de aceptación deben ser propuestos por el Comité SIAR, quien hace la respectiva validación antes de presentarlos al Comité de Administración para su aprobación.

VIGENCIA

El presente acuerdo fue aprobado en sesión del Consejo de Administración en su sesión del día 17 de Octubre de 2020, según Acta No. 019 rige a partir de la fecha de su aprobación y deroga todas las normas que le sean contrarias.

COMUNÍQUESE Y CÚMPLASE

EDGAR SERRATO TRIANA JAVIER IBARRA FAJARDO Presidente del Consejo de Administración Secretario del Consejo de Administración

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO …

Documents

Transcript of MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO …