MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO … · manual del sistema de...

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO (SARO)

VERSIÓN 7.

Diciembre 2014

DIRECCIÓN: CALLE 94A # 11 A – 73 PISO 2 Bogotá – Colombia

PBX 621 58 11 - FAX 621 58 11 Ext. 116

CALLE 85 # 48-01 BL 31 OF 809 CENTRAL MAYORISTA DE ANTIOQUIA-ITAGÜÍ

PBX : 444 83 77 FAX 366 63 63

www.reycacorredores.com.co

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE

RIESGO OPERATIVO (SARO)

Fecha: Versión: Página 2 de 79

APROBADO POR JUNTA DIRECTIVA, ACTA 163 DEL 30 DE DICIEMBRE DE 2014

TABLA DE CONTENIDO

1. INTRODUCCIÓN .................................................................................................................. 4

3. DEFINICIÓN DE TÉRMINOS ................................................................................................ 5

5. OBJETIVOS ....................................................................................................................... 10

6. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO ............................ 12

6.1. DEFINICIÓN ....................................................................................................................... 12

7. ALCANCE .......................................................................................................................... 15

8. CONTROL DEL MANUAL .................................................................................................. 16

9. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL

RIESGO OPERATIVO (SARO) ........................................................................................... 16

9.1. ORGANIGRAMA ............................................................................................................ 17 9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS ............................... 18

9.2.3. UNIDAD DE RIESGO OPERATIVO (URO)......................................................................... 19

9.2.4. COMITÉ INTERNO DE ADMINISTRACIÓN DE RIESGO ................................................... 20

9.2.5. ÓRGANOS DE CONTROL ................................................................................................. 21

9.2.8. RESPONSABILIDAD GENERAL DE TODAS LAS ÁREAS ............................................... 22

11. MACROPROCESOS .......................................................................................................... 24 12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO .......................................... 25

13.2. IDENTIFICACIÓN DEL RIESGO .................................................................................... 27 13.2.1. CRITERIO PARA IDENTIFICAR LOS RIESGOS ............................................................... 27

13.2.2. CRITERIOS PARA LA IDENTIFICACIÓN DE CONTROLES ............................................. 28

13.3. MEDICIÓN DEL RIESGO ............................................................................................... 30 13.3.1. VALORACIÓN DEL RIESGO INHERENTE ........................................................................ 31

13.3.2. VALORACIÓN DEL RIESGO RESIDUAL .......................................................................... 34

14. ETAPA DE CONTROL DEL RIESGO OPERATIVO ............................................................ 36 15. MATRIZ DE RIESGO OPERATIVO (MRO) ......................................................................... 37 16. REPORTE DE EVENTOS DE RIESGO OPERATIVO .......................................................... 38 17. NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO ................................................... 40 18. PROCEDIMIENTOS PARA EL MONITOREO DEL RIESGO ............................................... 40

18.1. ALERTAS TEMPRANAS .................................................................................................... 40

18.2. INDICADORES DE GESTIÓN ............................................................................................ 41





18.3. CONTROLES ..................................................................................................................... 43

18.4. NUEVOS PROCESOS O MODIFICACIÓN DE PROCESO EXISTENTE ............................ 43

18.5. PROCESO PARA ADMINISTRAR LA CONTINUIDAD DEL NEGOCIO ............................. 43

18.6. CULTURA DE RIESGOS .................................................................................................... 44

18.7. COORDINACIÓN DE COMUNICACIONES ........................................................................ 44

18.8. PLANES DE CONTINGENCIAS ......................................................................................... 45

18.9. REPORTES INTERNOS Y EXTERNOS ............................................................................. 46

19. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN . 46 20. AUDITORIA ........................................................................................................................ 48

21. PLATAFORMA TECNOLÓGICA ........................................................................................ 49 22. REVELACIÓN CONTABLE ................................................................................................ 49

23. CAPACITACIÓN Y DIVULGACIÓN .................................................................................... 50

ANEXO 1. MACROPROCESOS ...................................................................................................... 51

ANEXO 2. RIESGO OPERATIVO ................................................................................................... 69

ANEXO 3. MAPA DE PROCESOS ................................................................................................. 78

ANEXO 4. FORMATO REPORTE DE EVENTO DE RIESGO ......................................................... 79





1. INTRODUCCIÓN

El presente manual define los componentes de la estructura para el Sistema de Administración de

Riesgo Operativo (SARO) se realizó buscando dar cumplimiento con lo establecido por la

Superintendencia Financiera de Colombia (SFC) en su Circular Externa 048 de 2006 en

concordancia con las C. E. Nos. 037/07 y 041/07 y facilitar una guía en caso que se presenten

eventos de riesgo operativo en los procesos de RENTA Y CAMPO CORREDORES S.A. (REYCA

S.A.). Este Manual está compuesto de los diferentes elementos mediante los cuales se busca

obtener una efectiva administración del riesgo operativo de la compañía.

Para su elaboración se hizo un previo análisis del mapa de procesos de la firma, los procedimientos

de cada actividad, relacionándolos con el evento de riesgo que pudieran presentar, buscando

siempre la depreciación del riesgo inherente. Este sistema se ha establecido atendiendo la

estructura, tamaño y su calidad de comisionista de la Bolsa Mercantil de Colombia, con la finalidad

de identificar, medir, controlar y monitorear eficazmente el riesgo operativo.

Debido al creciente fortalecimiento de los mercados y a la mayor diversificación de productos y

servicios financieros, se hace necesario crear mecanismos de protección frente al Riesgo Operativo

y generar consciencia al interior de la Firma Comisionista, sobre la importancia que tiene la

prevención de toda clase de Riesgos, cuya materialización afecta considerablemente el desarrollo

de su objeto social.

El presente Manual del Sistema de Administración del Riesgo Operativo (SARO) de RENTA Y

CAMPO CORREDORES S.A. Establece el marco general de políticas tendientes a controlar el

riesgo inherente, generado en el desarrollo de las operaciones, en busca de minimizar la

probabilidad de ocurrencia y de tener una actuación rápida frente a cualquier riesgo residual,

logrando así un mayor control administrativo del riesgo operativo.





2. GENERALIDADES

Teniendo en cuenta que el riesgo es una eventualidad inherente a toda actividad del ser humano y

que su manejo puede ser consciente o inconsciente, es un aspecto primordial y de mayor

importancia para todos sus funcionarios y colaboradores de RENTA Y CAMPO CORREDORES

S.A. Por lo tanto debe realizarse en forma sistemática, mediante la estructuración de políticas,

procesos, procedimientos y funciones, de obligatorio cumplimiento por parte de todos

Para una mejor comprensión y aplicación del presente Manual, el Capítulo XXIII de la Circular

Básica Jurídica, expedida por la Superintendencia Financiera de Colombia incluye las siguientes

definiciones y clases de Riesgos:

3. DEFINICIÓN DE TÉRMINOS





Clientes: son las personas naturales o jurídicas con las que mantenemos relaciones comerciales

para la prestación del servicio propio de nuestra actividad empresarial. Las Fallas negligentes o

involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación

profesional frente a éstos.

Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

Dueño del Proceso: Responsable de la administración de un proceso; es decir, de su planeación,

organización, dirección y control.

Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y

administración de los procesos.

Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo

determinado.

Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a las

entidades.

Eventos de riesgo operativo: Se define evento como incidente o situación que ocurre en un lugar

particular durante un intervalo de tiempo determinado. Los eventos de pérdida son aquellos

incidentes que generan pérdidas por riesgo operativo a las entidades.

Facilitador: Persona que por su conocimiento de un proceso o de una labor, ayuda a orientar y

aclarar las dudas de un grupo de trabajo, en donde se desarrollan actividades relacionadas con

dicho proceso o labor.

Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de eventos en las

que se originan las pérdidas por riesgo operativo. Son factores de riesgo el recurso humano, los

procesos, la tecnología, la infraestructura y los acontecimientos externos.

Factores de Riesgo Internos: Los recursos humanos; los procesos; la tecnología; y la

infraestructura. Sobre estos factores, la organización tiene un control directo.

a. El recurso humano: está representado por el conjunto de personas vinculadas directa o

indirectamente que realizan la ejecución de los procesos de la entidad. Se entiende por

vinculación directa, aquella basada en un contrato de trabajo según los términos de la





legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen

con la entidad una relación jurídica de prestación de servicios.

b. Los procesos: Es el conjunto de actividades para la transformación de elementos de

entrada en productos o servicios, para satisfacer una necesidad. En RENTA Y CAMPO

CORREDORES S.A. los procesos están divididas en:

a. Comercial

b. Financiero y contable

c. Recurso Humano

d. Infraestructura

e. Tecnológico

c. La Infraestructura: es el conjunto de elementos de apoyo para el funcionamiento de la

empresa. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y

transporte, dotaciones físicas.

d. La tecnología: es el conjunto de herramientas empleadas para soportar los procesos de

RENTA Y CAMPO CORREDORES S.A. Incluye: hardware, software y telecomunicaciones.

Factores de riesgo Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados

por terceros, que escapan en cuanto a su causa y origen al control de la RENTA Y CAMPO

CORREDORES.

Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.

Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de

activos de RENTA Y CAMPO CORREDORES S.A. o incumplir normas o leyes, en los que está

implicado, al menos, un empleado o administrador de la empresa.

Fraude Externo: Actos realizados por una persona externa a RENTA Y CAMPO CORREDORES

S.A., que buscan defraudar, apropiarse indebidamente de activos de las misma o incumplir normas

o leyes.

Grupo de Controles: Suma de controles y la clasificación a la que pertenecen.

Gobierno Corporativo: Códigos de Buen Gobierno Corporativo que deben ajustarse a la actividad

comercial de cada sociedad y arrojar como resultado un marco autorregulatorio que garantice a los

clientes, accionistas y otros aportantes de recursos, transparencia, objetividad y competitividad.





Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas, objetivos,

estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo,

implementación y seguimiento del SARO.

Matrices de Riesgo: Bases de datos que contienen toda la información necesaria para identificar

una clase de riesgo en particular, incluyendo sus características, los controles y planes de

contingencia establecidos, y los responsables de los mismos. Estas Matrices también contienen

una calificación o rating para cada riesgo o evento de pérdida.

Outsourcing: Servicio relacionado con actividades administrativas y/o operativas de la que la

misma subcontrata con terceros en lugar de realizarlo ella misma.

Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los

gastos derivados de su atención.

Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve expuesta

RENTA Y CAMPO CORREDORES S.A.

Plan de continuidad del negocio: Conjunto detallado de acciones que describen los

procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en

caso de interrupción.

Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones

específicas de un sistema o proceso.

Proceso: Conjunto interrelacionado de actividades para la transformación de elementos de entrada

en productos o servicios, para satisfacer una necesidad, tanto interna como externa.

Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos

internos de trabajo y en general, la legislación vigente sobre la materia.

Riesgo: es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las

amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o

sea, en la probabilidad de que ocurra un desastre.

Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los

controles.





Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada

a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones

contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y

transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que

afectan la formalización o ejecución de contratos o transacciones.

Riesgo Operativo (RO): la posibilidad de incurrir en pérdidas por deficiencias, fallas o

inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la

ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional,

asociados a tales factores.

Riesgo reputacional: Es la posibilidad de pérdida en que incurre la Compañía por desprestigio,

mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de

negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo residual: Nivel resultante del riesgo después de aplicar los controles. Es el riesgo que

queda, una vez se han instrumentado los controles pertinentes para su tratamiento. En todo caso

exige un permanente monitoreo para observar su evolución.

Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos tales como

políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo

operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,

mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo

operativo.

Unidad de Riesgo Operativo (URO): Es el área o cargo, designada por el Representante Legal de

la Compañía, la cual deberá coordinar la puesta en marcha y seguimiento del SARO. Corresponde

a la Dirección de Riesgo.

4. PRINCIPIOS INSTITUCIONALES

MISIÓN





Generar rentabilidad a nuestros clientes a través de estructuras financieras competitivas y

confiables y creando y utilizando canales de comercialización seguros y eficientes para

commodities, apoyando el crecimiento sostenible del campo y la industria colombiana.

VISIÓN

Ser la empresa líder de la BMC con sostenibilidad, eficiencia y solidez, fidelizando a nuestros

clientes con soluciones financieras rentables, integrales e innovadoras y con la comercialización de

productos para los sectores agropecuarios y agroindustrial.

VALORES

Honestidad

Responsabilidad

Respeto

Integridad

Confianza

Transparencia

Actitud positiva

Trabajo en equipo

5. OBJETIVOS

El Manual del Sistema de Administración de Riesgo Operativo tiene como objetivos:





Cumplir específicamente con lo establecido en el Capítulo XXIII de la Circular Externa 100 de

1995 de la Superintendencia Financiera, en lo que respecta al desarrollo e implementación del

Sistema de Administración del Riesgo Operativo (SARO).

Determinar las políticas de Administración del Riesgo Operativo.

Establecer al interior de la Compañía las responsabilidades que implican a cada una de las

áreas en el riesgo Operativo.

Identificar las fuentes más importantes de riesgos de la Organización.

Determinar un procedimiento para su medición, en términos de severidad y probabilidad de

ocurrencia.

Diseñar un procedimiento para su seguimiento y control.

5.1. OBJETIVO GENERAL

El principal objetivo del Sistema de Administración de Riesgos Operativos que se encuentra

implementado, es crear controles de protección frente al Riesgo Operativo, que permitan a la Firma

Comisionista prevenir o mitigar la probabilidad de ocurrencia de eventos de Riesgo, que puedan

afectar considerablemente el desarrollo de su objeto social. a través de las diferentes Etapas y

Elementos consagrados en el Capítulo 23 de la Circular Externa 041 de 2007, expedida por la

Superintendencia Financiera de Colombia, y demás normas concordantes y complementarias.

5.2. OBJETIVOS ESPECIFICOS

Establecer en cada uno de los procesos, metodologías de identificación, medición, control y

monitoreo de los riesgos operativos a los que se puede ver expuesta la Firma, efectuando la

valoración de los mismos, para así determinar el perfil de riego operativo que permita la

mitigación de éstos, en función de la eficacia en la aplicación de controles.

Divulgar y capacitar a los funcionarios en cada una de las etapas de implementación del

sistema y sus elementos.

Registrar los eventos de riesgo operativo que se presenten.

Identificar oportunidades de mejoramiento en cada uno de los procesos evaluados en

procura del fortalecimiento del Sistema.

Asegurar la actualización y mantenimiento del sistema, de acuerdo con las mejoras

metodológicas en materia de riesgos y/o nuevas normas que sobre el particular expida la

Superintendencia Financiera de Colombia.

Definir políticas y procedimientos que conlleven a prevenir la ocurrencia de eventos de

Riesgo Operativo a interior de la Firma.





Desarrollar la cultura de prevención de riesgo operativo, a través de la implementación del

SARO dentro de la cultura organizacional de la Firma Comisionista, concientizando a los

funcionarios y colaboradores acerca de la importancia de su activa participación en éste

Sistema.

6. POLÍTICAS PARA LA ADMINISTRACIÓN DEL RIESGO OPERATIVO

6.1. DEFINICIÓN

Son los lineamientos generales que RENTA Y CAMPO CORREDORES S.A debe adoptar con

relación al Sistema de Administración del Riesgo Operativo. Estos lineamientos facilitarán la toma

de decisiones en Materia de Riesgos. POLÍTICAS





La constitución de las políticas de riesgo de RENTA Y CAMPO CORREDORES S.A. se llevó a cabo

mediante el estudio y análisis realizado de cada uno de los procedimientos que conforman los

procesos y los riesgos operativos implícitos en cada uno de ellos. Los aspectos tenidos en cuenta

fueron la estructura, tamaño, objeto social y actividades de apoyo, de manera que se puedan hacer

controles sobre las actividades logrando así atenuar el riesgo al que se expone la firma.

Con el fin de certificar el cumplimiento de los controles ejercidos durante el proceso de

implementación de SARO, es necesario determinar políticas generales que aseguren el desarrollo

de los procesos y procedimientos establecidos.

6.2. LAS POLÍTICAS DE IMPLEMENTACIÓN SON:

a. Lograr que todos los empleados estén completamente capacitados con amplio conocimiento en

la administración de riesgos operativos y de esta forma que sean parte activa de los procesos

en que cada uno es responsable.

b. La identificación y evaluación de riesgos y controles debe basarse en la auto-evaluación

practicada por los funcionarios de la Compañía. Y debe documentarse mediante bases de

datos de pérdidas, tanto ocurridas como potenciales.

c. Identificar y analizar las posibles fallas, debilidades e insuficiencias que se presentan en los

controles de los procesos de la organización y en especial aquellos que tengan un alto grado

de riesgo.

d. Implementar instrumentos para reducir o prevenir a la organización de posibles pérdidas, tales

como alertas tempranas, sistemas de control acordes con el nivel de riesgo de cada proceso,

planes de contingencia e indicadores de gestión.

e. Periódicamente serán desarrolladas auditorias, las cuales tendrán una programación anual, sin

embargo, luego de evaluar los indicadores de gestión y los procesos, es posible encontrar

deficiencias en los mismos; para identificarlas se planearán auditorias no programadas que

servirán para verificar mejor la existencia de controles que no se estén realizando.

f. Generar mejoramiento continuo a través de la reevaluación y confrontación de los indicadores

de gestión.





g. Aplicar acciones correctivas para disminuir el riesgo residual. Estas acciones son valoradas

por el esquema de causa y efecto para la indagación de la medida más efectiva. Las acciones

correctivas tendrán un seguimiento, para dar su cierre. Si no se cierran las acciones

correctivas debido a que el procedimiento no presenta mejora, se debe iniciar una nueva

acción o medida para verificar el procedimiento.

h. Fortalecer periódicamente los procesos del Sistema de Administración de Riesgo Operativo.

Las políticas de implementación del Riesgo Operativo empezaran a regir según lo establecido por la

norma publicada por la Superintendencia Financiera de Colombia.

6.3. MEDIDAS PARA EL ASEGURAMIENTO DE CUMPLIMIENTO DE POLÍTICAS Y

OBJETIVOS RO

Buscando el cumplimiento de los objetivos y de las políticas que REYCA CORREDORES S.A. ha

establecido para el Riesgo Operativo de la Firma, se determinaron las siguientes medidas que la

Unidad de Riesgo Operativo (URO), realizará:

a. Fomentar la disponibilidad, actualizar y mantener el Sistema de Administración del Riesgo Operativo a través del análisis continuo de las situaciones internas y externas que puedan amenazar la estabilidad y crecimiento de la organización o que propicien cambios en las políticas definidas.

b. Prevenir y resolver posibles conflictos de interés en la recolección de información en las

diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo. c. Mantener un control permanente sobre los cambios en los perfiles de los riesgos operativos,

con el fin de realizar oportunamente los ajustes necesarios en los planes buscando un mejoramiento continuo.

d. Desarrollará e implementará planes de contingencia para asegurar la continuidad de los

procesos. e. Todas las personas vinculadas a RENTA Y CAMPO CORREDORES S.A tienen el deber de

conocer y cumplir las normas internas y externas relacionadas con la administración de los riesgos operativos y los estamentos directivos, de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.

f. Impulsar y fortalecer la cultura organizacional en materia de Administrar el Riesgo Operativo,

creando una conciencia colectiva sobre los beneficios de su aplicación y sobre los efectos nocivos de su desconocimiento.





6.4. PROCEDIMIENTOS Y METODOLOGÍAS RO

De conformidad con la Circular externa 048 del 22 de diciembre de 2006, expedida por la SFC, el

Sistema de Administración de Riesgos Operativos .SARO, será el conjunto de elementos tales como

políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo

operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,

mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo

operativo.

a. Los procesos y procedimientos deben ser sometidos permanentemente al análisis de riesgos y

las propuestas de modificaciones deben incluir este componente, con base en la aplicación de

las metodologías adoptadas para el efecto.

b. Debe mantenerse un control permanente sobre los cambios en los perfiles de riesgo operativo

para realizar oportunamente los ajustes pertinentes en los planes de mejoramiento.

c. Los eventos de riesgo que se materialicen, deben ser reportados y revelados, utilizando los

procedimientos e instrumentos establecidos para el efecto, en aplicación de los criterios

señalados por la Superintendencia Financiera de Colombia.

d. Todo Responsable de un proceso, debe comunicar mediante los formatos apropiados a la

Unidad de Riesgo Operativo, todos los eventos que afecten el Sistema de Administración de

Riesgo Operativo y documentarlo debidamente.

e. Los eventos de Riesgo que se materialicen, deben ser reportados y revelados, utilizando los

procedimientos e instrumentos que para tal fin señala la Superintendencia Financiera de

Colombia.

7. ALCANCE

Este manual describe el Sistema de Administración del Riesgo Operativo “SARO”, de acuerdo con

lo establecido en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia

Financiera de Colombia referente al Sistema de Administración del Riesgo Operativo, en el presente

manual se precisan los elementos de la estructura de cubrimiento del Riesgo Operativo de REYCA

CORREDORES S.A. (REYCA S.A.)





El manual contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y

procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO de la

Compañía, de acuerdo con los requerimientos de la Superintendencia Financiera.

Es importante aclarar que es obligatorio para todos los empleados o funcionarios implicados en

estas actividades cumplir con lo previsto en este manual. De no ser así se aplicarán las respectivas

sanciones establecidas en el reglamento interno de trabajo, sin perjuicio de las sanciones legales

que sean procedentes.

8. CONTROL DEL MANUAL

La elaboración del manual lo debe ejecutar la Unidad de Riesgo Operativo (URO), es

responsabilidad del Representante Legal de REYCA CORREDORES S.A., diseñar y someter a

aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones.

Es responsabilidad de la Junta Directiva de la Firma, aprobar el Manual de Riesgo Operativo y sus

actualizaciones. La Unidad de Riesgo Operativo tiene la responsabilidad de presentar propuestas al

Representante Legal y/o a la Junta Directiva para la actualización, así como de distribuir el Manual

de Riesgo Operativo y conservar el original del documento.

Este Manual, se encuentra a disposición de la Superintendencia Financiera de Colombia o cualquier

entre de control o autoridad que lo requiera.

El uso de este manual es conocido y obligatorio para cada uno de los funcionarios de la compañía y

por lo tanto cada miembro se compromete al mantenimiento y actualización del Sistema de

Administración del Riesgo Operativo.

9. ESTRUCTURA ORGANIZACIONAL DEL SISTEMA DE ADMINISTRACIÓN DEL


La estructura organizacional de la empresa representa un eje fundamental dentro del control del riesgo operativo. A continuación se presenta el organigrama aprobado por la junta directiva. Este organigrama se ajusta a la estructura mínima demandada por los reglamentos vigentes de la Bolsa Mercantil de Colombia (BMC).

9.1. ORGANIGRAMA

Asamblea de Accionistas Revisor Fiscal

Junta Directiva

Defensor del Consumidor Financiero

Oficial de Cumplimiento

Auditoria Externa Contralor Normativo

Gerente General

Middle Office Front Office Back office

Coordinación de Riesgos

Dirección Administrativa

Dirección Financiera

Mercado de Compras Públicas

y Físicos

Financieros

Recursos Humanos

Contabilidad

Tesorería

Operaciones

9.2. ÓRGANOS DE CONTROL, ADMINISTRACIÓN Y DEMÁS ÁREAS

Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema

de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO

CORREDORES S.A. (REYCA S.A.)

9.2.1. Junta Directiva

Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como

mínimo las siguientes funciones a cargo de la Junta Directiva:1

1. Establecer las políticas relativas al SARO.

2. Aprobar el Manual de Riesgo Operativo y sus actualizaciones.

3. Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la Compañía.

4. Establecer las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al

riesgo de la Compañía, fijado por la misma Junta Directiva.

5. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que

presente el Representante Legal.

6. Pronunciarse sobre la evaluación periódica del SARO que realicen la Revisoría Fiscal y la

Auditoría Interna.

7. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma

efectiva y eficiente, el SARO.

9.2.2. Representante Legal2

El Representante Legal tiene frente al SARO las siguientes funciones mínimas:

a. Diseñar y someter a aprobación de la Junta Directiva, el Manual de Riesgo Operativo y sus

actualizaciones.

b. Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.

c. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO que

se llevan a cabo en la Compañía.

d. Designar el área o cargo que actuará como responsable de la implementación y seguimiento

del SARO: La Coordinación de Riesgo (Unidad de Riesgo Operativo – URO).

1 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.1. Circular Externa 041 de 2007 2 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.2. Circular Externa 041 de 2007





e. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio

cultural que la administración de este riesgo implica para la Compañía.

f. Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al

riesgo, fijado por la Junta Directiva.

g. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.

h. Recibir y evaluar los informes presentados por la Unidad de Riesgo Operativo, de acuerdo con

los términos establecidos en el presente Manual.

i. Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones

señaladas en el Capítulo XXIII de la Circular Externa 100 de 1995 de la Superintendencia

Financiera.

j. Velar porque se implementen los procedimientos para la adecuada administración del riesgo

operativo a que se vea expuesta la Compañía en desarrollo de su actividad.

k. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos

necesarios para su oportuna ejecución.

l. Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución

y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas

implementadas o por implementar y el área responsable.

m. Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de

acuerdo con lo previsto en el presente Manual.

n. Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad,

confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la

información allí contenida.

9.2.3. Unidad de Riesgo Operativo (URO)3 La Unidad de Riesgo Operativo es la encargada de coordinar el diseño e implementación del

Sistema de Administración de Riesgo Operativo en RENTA Y CAMPO CORREDORES S.A.,

contribuir con el logro de los imperativos estratégicos y fortalecer los sistemas de información

gerencial, la cultura de control interno y la administración del plan de contingencias.

Las actividades que debe llevar a cabo la Coordinación de Riesgo, como área responsable de la

Unidad de Riesgo Operativo, para administrar el riesgo operativo son las siguientes:

a. Definir los instrumentos, metodologías y procedimientos tendientes a que la RENTA Y CAMPO

CORREDORES S.A administre efectivamente su riesgo operativo.

b. Desarrollar e implementar el sistema de reportes internos y externos, del riesgo operativo.

3 Circular Básica Contable y Financiera. Circular Externa 100 de 1995. Capitulo XXIII numeral 3.2.4.3. Circular Externa 041 de 2007





c. Administrar el registro de eventos de riesgo operativo.

d. Coordinar la recolección de la información para alimentar el registro de riesgo operativo.

e. Evaluar el impacto de las medidas de control potenciales para cada uno de los eventos de

riesgo identificados y medidos.

f. Establecer y monitorear el perfil de riesgo individual y consolidado de la RENTA Y CAMPO

CORREDORES S.A, e informarlo a la Junta Directiva.

g. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con

el SARO y proponer sus correspondientes actualizaciones y modificaciones.

h. Desarrollar los modelos de medición del riesgo operativo.

i. Desarrollar los programas de capacitación de la RENTA Y CAMPO CORREDORES S.A

relacionados con el SARO.

j. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito

de evaluar su efectividad.

k. Reportar permanentemente a la Junta Directiva la evolución del riesgo, los controles

implementados y el monitoreo que se realice sobre el mismo. Adicionalmente debe realizar un

reporte semestral consolidado de Riesgo Operativo en las diferentes áreas.

9.2.4. Comité Interno de Administración de Riesgo

Para el adecuado cumplimiento de la labor que le corresponde a la administración en la definición

de las políticas y del diseño de los procedimientos efectivos e idóneos para una adecuada

administración del riesgo, previstos en la normatividad emitida por la Superintendencia Financiera

de Colombia, se implementó al interior RENTA Y CAMPO CORREDORES S.A. el Comité de

Administración del Riesgo.

Dentro de sus funciones se encuentran las siguientes:

a. Definir los límites de exposición para posibles riesgos que puedan afectar a la compañía a

través de una matriz control.

b. Presentar a la Junta Directiva y a la Gerencia los negocios activos y pasivos, con base en la

matriz de control y un análisis de los documentos legales suministrado por el cliente.

c. Establecer y presentar a la Junta Directiva las políticas y estrategias para identificar, medir,

controlar y monitorear el riesgo de conformidad con los principios señalados en las normas

sobre la materia.

d. Verificar la gestión de nuestros clientes en la estructura de sus estados financieros e

información adicional para monitorear y controlar el grado de exposición al riesgo de la

compañía.





e. Velar por que se cumplan en forma oportuna y eficiente las instrucciones impartidas por la

Superintendencia Financiera de Colombia respecto de la identificación, medición, control y

monitoreo de riesgos y sobre la adopción de políticas para su eficiente manejo.

f. Comprobar que dentro de los manuales y procedimientos internos se apliquen las normas

sobre el manejo de Riesgos, que están establecidas en la Circular 100 de 1995 capítulos XXI al

XXIII de la SFC.

g. Mantener una constante relación, comunicación e información con los organismos de control y

vigilancia, internos y externos, de manera específica con el Revisor Fiscal, Control interno,

BMC y la Superintendencia Financiera de Colombia, para facilitar el logro de resultados y la

adopción de las medidas que correspondan a cada uno de estos organismos dentro de la órbita

de sus atribuciones y responsabilidades.

9.2.5. Órganos de Control

Los responsables de evaluar el SARO como órganos de control son la Revisoría fiscal y la Auditoría

Interna, con la finalidad de identificar las fallas o posibles debilidades y de esta forma informar a los

entes correspondientes.

Los órganos de control son completamente independientes de la Administración de Riesgo

Operativo, por lo tanto no son responsables por la gestión del mismo. Su actividad principal es la de

evaluación del sistema, de esta forma es deber de la Administración de la Compañía atender los

requerimientos, suministrándoles información y los medios necesarios para el desarrollo y la

ejecución de su labor.

La Compañía podrá contratar en gestión de riesgos, auditorías externas, con el objetivo de cumplir

con las normas y apoyar a los órganos de control, en la evaluación del SARO.

9.2.6. Revisor Fiscal en lo relacionado con la evaluación del SARO

a. Construir un reporte al finalizar cada ejercicio contable, donde informe acerca de los resultados

obtenidos en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el

SARO.

b. Informar al Representante legal de los resultados obtenidos del SARO informándoles sobre los

incumplimientos que se presentaron. Sin perjuicio de la obligación de informar sobre ellos a la

Junta Directiva.





9.2.7. Auditoría Interna en lo relacionado con la evaluación del SARO

a. Realizar una evaluación sobre el cumplimiento y los resultados obtenidos periódicamente de

las etapas y elementos del SARO con la finalidad de determinar las fallas, debilidades y de esta

forma encontrar las posibles soluciones para su perfeccionamiento.

b. Informar los resultados de la anterior evaluación a la Coordinación de Riesgo y al

Representante Legal.

c. Ejecutar periódicamente una revisión del registro de eventos de riesgo operativo e informar al

Representante Legal sobre el cumplimiento de las condiciones de Capítulo XXIII de la Circular

Externa 100 de 1995 de la Superintendencia Financiera.

Para la adecuada operatividad y funcionamiento del SARO, se ha establecido el siguiente esquema

de responsabilidad y funciones de los diferentes órganos y cargos en RENTA Y CAMPO

CORREDORES S.A.

9.2.8. Responsabilidad General de todas las Áreas

Todas las áreas y dependencias son susceptibles de ser afectadas por la ocurrencia de eventos de

riesgo, por lo tanto los responsables de los procesos lo son también de adelantar la gestión de

riesgos y por consiguiente de reportar la materialización de ellos cada vez que se presenten dichos

sucesos para efecto de los controles y los registros correspondientes. Le corresponde también

fomentar la cultura de la Administración del Riesgo dentro de su ámbito.

10. MAPA ORGANIZACIONAL

Con el fin de lograr una mejor administración del riesgo operativo, REYCA S.A. diseñó un mapa de

procesos donde se diferencian las áreas donde se puede presentar el riesgo operativo, de esta

manera se pretende mitigar la presentación de un evento de riesgo en el sistema.

El mapa organizacional está conformado por cinco procesos cada uno de los cuales cuenta con una

caracterización, donde se resumen los procedimientos y actividades que lo conforman, se menciona

también en estas caracterizaciones los controles y registros que buscan disminuir los eventos de

riesgo operativo, y los indicadores de gestión tenidos en cuenta como herramientas administrativas

para evaluar y controlar los eventos de riesgos en cada proceso. A continuación se muestra el

mapa organizacional de REYCA S.A.:

Junta Directiva

Gerente General

Proceso Comercial

Vinculación de Clientes

Mantenimiento de clientes

Servicio al cliente

Diseño de nuevos

productos

Front Office

Proceso de Riesgo

Identificación de riesgos

Registro de eventos de

Riesgo

Identificación de operaciones

inusuales

Control Interno

Middle Office

Proceso de Operaciones

Registros

Físicos

Inversiones

Contratos

MCP

Proceso Financiero y Contables

Contabilidad

Tesorería

Cartera

Proceso Administrativo

Manejo y protección de archivos

Tecnológico

Recursos Humanos

Planeación Estratégica

Back Office

11. MACROPROCESOS REYCA CORREDORES S.A. tiene dividido los procesos en 6 Macro-procesos, los cuales resumen todas las actividades de la empresa. Para descripción de cada uno ver Anexo 1.

12. SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO

Para la identificación del riesgo operativo en cada uno de los procesos, se plantean tres etapas, las

cuales serán implementadas en la medida que el sistema se desarrolle y además teniendo en

cuenta los plazos estipulados por la Superintendencia Financiera. La primera etapa está sustentada

en la medición del riesgo, su identificación, estudio y calificación. En la segunda etapa se realiza la

administración del riesgo, por medio de la elaboración de planes y/o políticas para aplicar. En la

tercera y última etapa se hará el seguimiento de las acciones correctivas determinando la

efectividad del plan establecido.

El diseño que siguió la firma para la identificación del riesgo operativo fue el siguiente:





13. DIAGRAMA DE FLUJO 13.1. IDENTIFICACIÓN DE PROCESOS

SI

Identificación del Proceso

Determinación de Causa y Efectos del Riesgo

Medición Riesgo en el Procedimiento

Identificación del Procedimiento

¿El procedimiento presenta riesgo?

¿Se asume el Riesgo?

¿Los Controles fueron

Efectivos?

Determinación de Esquema de Controles a Aplicar

Aplicación de Controles de Riesgo

SI

SI

NO

NO

NO

NO

Este Flujograma señala los pasos a seguir para la identificación de los procesos, procedimientos,

medición de riesgos y determinación de políticas de la compañía en cuanto al control del riesgo

operativo. Dentro del estudio se tuvo en cuenta el riesgo residual, conocido como el riesgo que

permanece después de la aplicación de los controles y registros. Cuando suceda un riesgo

operativo debe implementarse el plan de contingencia y los controles desarrollados para cada

proceso y/o procedimiento de la organización.

Cuando se presenta un evento de pérdida, se deben revisar las políticas aplicables respecto a dicha

situación, teniendo en cuenta el impacto que se cuantificó en la matriz de riesgos (explicada

posteriormente). Después se debe diligenciar el Formato de “Reporte de Evento de Riesgo”4,

seguidamente de hacer este registro, el impacto debe ser analizado en términos económicos.

Luego de dar solución al evento de pérdida, se hará una evaluación del control y de las respectivas

acciones a tomar para dar solución al riesgo residual que fue aprobada por la URO. En caso de

requerirse una modificación a los controles, la URO revisará y avalará o no la modificación.

En el Formato para el Registro de Evento de Riesgo, se debe registrar e informar cada error o falla

en la operación que lleve a la compañía a identificar un riesgo operativo, el reporte se diligencia en

caso de un evento que implique pérdidas por deficiencias, fallas o inadecuaciones en el personal de

la firma, en los procesos, en la infraestructura, en la tecnología o en los acontecimientos externos.

Las metodologías para la administración del riesgo operativo están compuestas por las actividades

de identificación, medición, monitoreo y control de riesgos, las cuales serán descritas a

continuación.

13.2. IDENTIFICACIÓN DEL RIESGO

La identificación de los Riesgos Operativos es realizada por los funcionarios que estén involucrados

en cada proceso por medio de la debida identificación y diligenciamiento de los riesgos operativos

que se derivan de dicho proceso.

13.2.1. Criterio para identificar los Riesgos

a. Para identificar los riesgos operativos sobre los cuales haya lugar dentro del proceso se les

plantean a los participantes las siguientes preguntas para analizar los posibles eventos a

ocurrir: ¿Qué puede salir mal? ¿Qué debilidades y amenazas tiene el proceso? ¿Qué eventos

de pérdida han ocurrido en el pasado? ¿Por qué causa? ¿Si alguien quisiera dañar el proceso,

4 Ver Anexo 5. Formatos SARO





en qué actividad podría hacerlo y cómo? Estas preguntas no deben ser desarrolladas por los

asistentes; únicamente sirven como guía para que los participantes consideren los riesgos

operativos potenciales para cada una de las actividades que componen el proceso.

b. Adicionalmente, los participantes deben tener en cuenta los recursos utilizados para el proceso:

Recursos humanos, recursos tecnológicos, recursos físicos y recursos de infraestructura, para

considerar qué riesgos operativos podrían llegar a materializarse ante deficiencias, fallas o

inadecuaciones en dichos recursos.

c. Se debe advertir a los participantes del taller que si bien es necesario abarcar todos los riesgos

operativos posibles, la identificación debe orientarse hacia aquellos riesgos que sean

congruentes, bien sea que hayan ocurrido o no, pero que entren dentro de las posibilidades

reales.

13.2.2. Criterios para la identificación de controles

Después de identificados los riesgos operativos, se debe analizar qué tipo de control se puede

aplicar para disminuir el riesgo en ese proceso especifico, para que sea utilizado eficazmente. Los

controles se pueden clasificar de la siguiente manera:

I. Por su forma de funcionamiento

a. Manuales: Son los controles ejecutados directamente por los funcionarios, sin la utilización de

sistemas o equipos.

b. Mecánicos: Son aquellos controles ejecutados por medio de equipos, los cuales pueden

requerir o no de su aplicación por parte de personas.

c. Automáticos: Son aquellos controles efectuados a través de sistemas, los cuales no requieren

de la participación de las personas para su aplicación.

II. Por el momento de su aplicación

a. Previos: Son los controles ejecutados antes de dar comienzo a un proceso.

b. Durante el proceso: Son los controles ejecutados periódicamente, a lo largo del proceso.

c. Posteriores: Son los controles ejecutados al terminar un proceso, para comprobar si el mismo

cumplió o no con las medidas establecidas.

III. Por su efecto sobre el riesgo





a. Preventivos: Son los controles ejecutados con la finalidad de minimizar la probabilidad de que

el riesgo se materialice.

b. Correctivos (De seguros o transferencia de riesgos): Son controles diseñados para mitigar

el impacto de un evento de riesgo, una vez que el mismo ha ocurrido, pero orientado a reducir

la pérdida o costo financiero.

IV. Por el tipo de bien o proceso que controlan

i. Controles de sistemas: Los controles de sistemas de usuarios, se incluyen para identificar

quien utiliza el sistema y si el funcionario se encuentra autorizado para tal efecto, también los

controles funcionan para fijar la validez de las actualizaciones y procesos efectuados a los

sistemas o programas.

Se incluyen controles para el apropiado seguimiento a las posibles fallas, con el fin de

establecer si los mismos son investigados y resueltos apropiadamente.

ii. Controles de acceso físico: El objetivo es proteger los activos de la compañía, restringiendo

el acceso a las áreas donde se encuentran activos o información con alto valor de

confidencialidad para la organización.

iii. Controles de bases de datos, registros e información: Los controles contienen mecanismos

para asegurar la correcta captura de datos en los aplicativos de la Compañía y para mantener

los datos libres de cualquier daño o modificación posterior.

iv. Controles de personal: determinados para asegurar la calidad e integridad del personal que

está encargado de ejecutar los métodos y procedimientos prescritos por la Compañía para el

logro de los objetivos.

v. Controles de protección de activos: Este tipo de controles incluye el acceso físico a las

diferentes áreas de la Compañía, así como el acceso restringido a los equipos, a la

documentación y a los archivos de datos y programas, todo ello solo permitido al personal

autorizado.

vi. Controles de los equipos: Consiste en la programación del mantenimiento preventivo y

periódico, el registro de fallas de equipos y los cambios en el sistema operativo y la

programación del software utilizado por la Compañía.





vii. Controles de procesos contables: Deben existir controles que aseguren el procesamiento

exacto y oportuno de la información contable.

viii. Controles de autorización: Consisten en la revisión de los intercambios, a nivel de cualquier

proceso de la Compañía, para asegurar que estos hayan sido autorizados apropiadamente.

ix. Controles de custodia de activos: Están diseñados para evitar que los activos se pierdan,

dañen o sean robados, y para proporcionar la seguridad de que las cantidades y los valores en

existencia sean coincidentes con los registrados.

Incluye controles para prevenir el uso no autorizado sobre un activo durante su custodia.

x. Controles de estructura organizacional: Consisten en establecer una adecuada estructura

en cuanto al establecimiento de divisiones y departamentos funcionales, así como la

asignación de responsabilidades y políticas de delegación de autoridad.

Esto incluye la existencia de un departamento de Auditoría Externa que dependa del máximo

nivel de la Compañía.

xi. Controles de autocontrol de la Alta Gerencia: Es responsabilidad de la alta gerencia generar

una conciencia favorable dentro del control interno de la Compañía. La Alta Gerencia no debe

infringir los controles fijados, dando ejemplo dentro de la organización.

13.3. MEDICIÓN DEL RIESGO

Una vez concluida la etapa de identificación, Reyca Corredores S.A. realizará la medición de la

probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse. Esta

medición será cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la

determinación de la probabilidad se considerará un horizonte de tiempo de un año.

Para analizar el tipo de riesgos operativos que puede tener la actividad de la compañía, se utiliza el

método de experto y complementaria a esta, se usa la metodología de crear escalas con rangos de

valoración, que sirva como base de criterio para los encargados de evaluar los riesgos y sus

controles.

En el proceso de medición de los riesgos operativos, la Coordinación de Riesgo de la Firma

desarrollará, como mínimo, los siguientes pasos:





a. Establecerá las escalas cualitativas de medición de los riesgos operativos, a nivel de

probabilidad e impacto, y de los controles, a nivel de diseño y eficiencia. La medición se hará

de manera individual, por riesgo operativo previamente identificado para cada proceso.

b. Solicitará a los participantes a las reuniones, que tengan en cuenta criterios objetivos para la

evaluación, como la cuantía o frecuencia de eventos ocurridos en el pasado, la frecuencia

anual de cada proceso, el costo inmediatamente identificable y el costo vinculado (Por ejemplo,

si se daña un computador, además del valor físico del daño, existen pérdidas asociadas debido

al hecho de tener que volver a reconstruir la información contenida en el mismo o la demora

que ello puede provocar en otros procesos), etc.

c. Se consolidarán los resultados individuales, para obtener como resultado el Perfil de Riesgo

Inherente de la Compañía.

d. Posteriormente, solicitará a los participantes la calificación de los controles existentes. Dicha

evaluación se hará por medio del tipo de control; es decir, para el conjunto de controles y no

para cada uno de los controles individualmente considerados. Por ejemplo, para el control

seguridad física comprende controles como cajas fuertes, puertas de seguridad, filmaciones,

etc. No se evaluarán dichos controles en forma individual, sino al nivel de “Seguridad Física”.

e. No obstante, cuando los participantes en la reunión lo consideren adecuado, o la Coordinación

de Riesgo, podrá hacerse una evaluación más detallada de los controles.

f. Se restará el efecto de los controles sobre el riesgo inherente, para obtener como resultado el

Riesgo Residual, tanto a nivel individual como consolidado.

A continuación, se describen las mencionadas etapas:

13.3.1. Valoración del Riesgo Inherente

El riesgo inherente se define como el nivel de riesgo propio de cada una de las actividades de los

procesos sin tener en cuenta los controles establecidos para mitigar los riesgos identificados. Por lo

cual dentro de la evaluación realizada por cada una de las áreas se determinó un posible impacto y

una probabilidad de ocurrencia, advirtiendo a los participantes que ésta calificación debe ser

concebida sin tener en cuenta los controles actuales con los cuales cuentan los procesos. Las

definiciones de los atributos con los cuales se calificarán los riesgos operativos son:





i. Impacto: Atributo del evento de riesgo operativo, que mide de forma cualitativa la pérdida

ocasionada por la ocurrencia de dicho evento de riesgo operativo sin tener en cuenta los

controles.

ii. Probabilidad: Atributo del evento de riesgo operativo, que mide de forma cualitativa la

posibilidad en la cual se produce un evento de riesgo operativo durante un periodo de un año,

sin tener en cuenta los controles.

iii. Valoración: Se utiliza una matriz de probabilidad vs. Impacto. El resultado de multiplicar los

valores asignados de probabilidad por los de impacto, dará la valoración correspondiente.

Según el resultado numérico, el riesgo puede ser catalogado como: Inaceptable Mayor o

importante y Tolerable o Aceptable.

Los participantes del taller de acuerdo con su experiencia determinaran el impacto probable de los

riesgos operativos si éstos se llegaran a materializar de acuerdo a la siguiente escala cualitativa:

ESCALA DE IMPACTO

Alto

Interrupción de las operaciones de la Compañía por más de una jornada

laboral

Intervención por parte de los Entes de Control a la Compañía por

incumplimientos legales y/o contractuales

Impacto que afecte negativamente la reputación de la Compañía,

relacionado con prácticas inapropiadas de sus empleados y/o vinculados

Pérdida de información crítica de la Compañía o de terceros que no se

pueda recuperar

Medio

Impacto por desatención de nuevas oportunidades de negocio

Interrupción de las operaciones de la Compañía menos de media

jornada laboral, y más de una hora

Impacto ocasionado por retrasos, en el flujo de información que afecten

las labores de las áreas y/o las respuestas a los Entes de Control

Reproceso de actividades y aumento de la carga operativa (ejecutar

nuevamente actividades de los procesos por errores operativos)

Bajo

No hay interrupción de las operaciones de la Compañía

No genera sanciones económicas y/o administrativas

No afecta las relaciones con terceros

No afecta el flujo de la información





Luego de evaluar el impacto para cada uno de los riesgos operativos, se estimará una probabilidad

de ocurrencia de dichos riesgos identificados, teniendo en cuenta que dicha calificación, es el

resultado de lo que podría pasar si no existieran controles que mitigaran los riesgos identificados, a

partir de la siguiente escala:

ESCALA DE PROBABILIDAD

Alta Ocurre al menos una vez a la semana

Se espera que ocurra en la mayoría de las circunstancias

Media

Ocurre al menos una vez mensual pero no sucede todas las semanas

del mes

Podría ocurrir en cualquier momento

Baja

Ocurre una sola vez en un período de 12 meses o más

No ha ocurrido anteriormente pero se presentaría sólo en circunstancias

excepcionales

El resultado de la medición anterior debe ser situado en el mapa de riesgo para determinar el riesgo

inherente. Una vez se tengan ubicados todos los riesgos en el mapa de riesgo, se podrá determinar

el perfil de riesgo inherente de la entidad.

MAPA DE RIESGO

PROBABILIDAD

IMP

AC

TO

NIVEL Bajo Medio Alto

Alto

Medio

Bajo





Cada uno de los riesgos operativos identificados y calificados en su impacto y su probabilidad serán

clasificados con la ayuda de la Coordinación de Riesgo de acuerdo a la clasificación de Factores de

Riesgo y Clase de riesgo operativo dada por el Capítulo XXIII de la Circular Externa 100 de 1995

expedida por la Superintendencia Financiera. De tal manera que los valores obtenidos en esta

medición puedan ser consolidados por factor de riesgo y por clase de riesgo.

13.3.2. Valoración del Riesgo Residual

Para cada uno de los riesgos operativos identificados, luego de valorar su impacto y determinar la

probabilidad se calificarán los controles o grupo de controles identificados con base en dos atributos

que son: Su diseño y su efectividad.

Diseño: Atributo del grupo de controles o plan de contingencia, que califica la relevancia del mismo,

en aspectos como la oportunidad del mismo, la no existencia de controles o planes de contingencia

redundantes, la necesidad del mismo, la superioridad del mismo frente a otras alternativas de

control o plan de contingencia, el nivel de cobertura del mismo, la regularidad en su aplicación, la

experiencia y autoridad de los miembros de la Compañía que lo diseñaron, etc. Este atributo será

calificado con base en la siguiente escala:

RANGO

DISEÑO DE CONTROL

Alto 100% - 71%

Medio 70% - 41%

Bajo 40% - 0%

CRITERIOS

DISEÑO DE CONTROL

DOCUMENTACIÓN % CUBRIMIENTO % IMPLEMENTACIÓ

N % RESPONSABLE %

IDONEIDAD

DISEÑADOR %

Documentado 20% Total 20% Sencilla 20% Adecuado 20% Idóneo 20%

Desactualizado 10% Parcial 10% Compleja 0% Inadecuado 0% No idóneo 0%

NIVEL DESCRIPCIÓN

Alto Requiere acción inmediata y su atención debe ser a nivel directivo

Moderado Debe especificarse responsabilidad a nivel directivo.

Bajo Administrar mediante procedimientos de rutina.





No Documentado 0% Ninguno 0%

Efectividad: Atributo del grupo de controles o planes de contingencia, que mide el efecto que logra

dicho control o plan de contingencia, en términos de reducción del impacto o probabilidad de

ocurrencia del riesgo operativo. Para lo cual se utilizará la siguiente escala:

RANGO

EFECTIVIDAD DE CONTROL

Muy Alta 100% - 71%

Media 70% - 41%

Baja 40% - 0%

CRITERIOS

EFECTIVIDAD DEL CONTROL

IMPLEMENTACIÓN % MITIGACIÓN %

Total 50% Total 50%

Parcial 25% Parcial 25%

Ninguno 0% Ninguno 0%

Estas escalas son diseñadas por la Coordinación de Riesgo y serán las mismas para todos los

eventos de riesgo.

El resultado de la calificación de los controles con respecto a su diseño y eficiencia debe ser situado

en el mapa de calificación individual de controles, para determinar la calificación final del control.

MAPA DE CALIFICACIÓN INDIVIDUAL DE CONTROLES

EFECTIVIDAD

IMP

AC

TO

NIVEL Alta Media Baja

Alta Optimo Regular Insuficiente

Media Regular Regular Insuficiente

Baja Regular Insuficiente Insuficiente





Una vez ubicada la calificación individual del control, se debe determinar si el control es preventivo o

correctivo para establecer si reduce la probabilidad o el impacto, respectivamente.

PROBABILIDAD RESIDUAL

- CONTROLES PREVENTIVOS o

CORRECTIVOS-

Óptimo Regular Insuficiente

Alta Baja Media Alta

Media Baja Media Alta

Baja Baja Baja Baja

El resultado de lo anterior, da lugar a una probabilidad residual y/o a un impacto residual, los cuales

se deben situar nuevamente en el mapa de riesgo para determinar el riesgo residual. Una vez se

tengan ubicados todos los riesgos operativos en el mapa de riesgo, se podrá determinar el perfil de

riesgo residual de la entidad.

Finalmente, además de la anterior metodología, cuando la Coordinación de Riesgo así lo considere

conveniente y cuando la información disponible sea lo suficientemente robusta como para aplicar

técnicas estadísticas, se podrán evaluar metodologías cuantitativas para determinar el impacto y la

probabilidad de ocurrencia de los eventos de riesgo operativo.

14. ETAPA DE CONTROL DEL RIESGO OPERATIVO

Dentro de las reuniones efectuadas para la identificación y medición de los riesgos operativos de la

entidad en el caso en que los controles existentes no sean suficientes para la mitigación de los

riesgos o no existan controles, los participantes podrán proponer nuevos controles tendientes a

NIVEL DESCRIPCIÓN

Insuficiente Requiere atención inmediata o rediseño total

Regular Requiere atención significativa o rediseño parcial

Óptimo No requiere atención





disminuir el riesgo residual sobre los eventos de riesgo identificados. La viabilidad de los controles

propuestos será evaluada por la Coordinación de Riesgo priorizando los riesgos operativos cuyo

riesgo residual sea mayor y estén situados en un nivel “Alto” dentro del mapa de riesgo donde se

visualice el perfil de riesgo inherente de la compañía.

Dentro de la matriz de riesgo operativo se establecerá un lista de riesgo operativos más

significativos, que serán evaluados y gestionados, para revisar los controles existentes, evaluar la

viabilidad de los controles actuales y proponer, dado el caso, por parte de la Dirección de Riesgo

controles adicionales para mitigar el impacto o reducir la probabilidad de dichos eventos.

15. MATRIZ DE RIESGO OPERATIVO (MRO)

Los factores de riesgo operativo, los riesgos operativos, el grupo de controles, los planes de

contingencia, el riesgo inherente y el riesgo residual, que se obtengan como resultado de los

procesos de identificación y medición de riesgos descritos en el presente Manual, deberán

registrarse y consolidarse en una Matriz de Riesgo.

A partir de dicha Matriz de Riesgo Operativo (MRO) y del Registro de Eventos de Riesgo Operativo

(RERO) que se menciona más adelante, la Coordinación de Riesgo debe preparar un informe

semestral al Representante Legal, donde manifieste su opinión acerca del adecuado funcionamiento

y suficiencia de los controles y planes de contingencia establecidos para cada riesgo.

La Matriz de Riesgo Operativo deberá contener por lo menos los siguientes campos:

Área

Grupo

Nombre del Proceso

Nombre Procedimiento o actividad

Nombre del Factor de Riesgo

Clasificación del evento de pérdida

Descripción del evento de pérdida

Calificación de la probabilidad del riesgo inherente

Calificación del Impacto del riesgo inherente

Calculo del riesgo inherente

Descripción del grupo de controles actuales

Calificación del diseño del grupo de controles actuales

Calificación de la efectividad del grupo de controles actuales





Evaluación del grupo de controles actuales

Evaluación del riesgo residual

Descripción del grupo de controles propuestos

Esta información debe ser consolidada por la Coordinación de Riesgo, resultado de los talleres con

cada uno de los dueños de proceso de las diferentes áreas de la compañía y con la periodicidad

establecida por la misma Dirección, la cual debe ser por lo menos anual.

16. REPORTE DE EVENTOS DE RIESGO OPERATIVO

Cada evento de riesgo operativo individual ocurrido en la Compañía, debe ser reportado a la

Coordinación de Riesgo, independientemente de los seguros que se tengan contratados para ello.

En consecuencia, la Coordinación de Riesgo debe preparar un modelo de reporte donde se solicite

a la persona que identificó la ocurrencia del evento, el diligenciar la información requerida según el

Registro de Eventos de Riesgo Operativo que se menciona más adelante.

La Dirección de Riesgo, como administrador del Registro de Eventos de Riesgo Operativo, debe

asegurarse de que dicha información se actualice inmediatamente en el Registro.

Aquellas pérdidas en las cuales no se pueda cuantificar su valor claramente, en el momento de su

ocurrencia, y de la cual se estime que puede estar superando el Umbral del Reporte anteriormente

establecido, se deberá dar aviso de la ocurrencia del mismo, estimando el valor de la pérdida, de

acuerdo con lo establecido previamente en las Matrices de Riesgo Operativo.

Se considerará falta grave de cualquier funcionario, el que habiendo identificado un evento de

pérdida ocurrido, no proceda a repórtalo oportunamente. Se entiende como oportuno, el informar de

la ocurrencia del evento, dentro del mismo día en que fue identificado.

Finalmente, con el fin de evitar conflictos de interés en la recolección de información para el

Registro de Eventos de Riesgo Operativo, se establece que las personas que identifiquen el evento,

deberán enviar el reporte directamente a la Coordinación de Riesgo y que ningún superior

inmediato u otro funcionario del área podrá interferir en dicho envío, solicitando por ejemplo revisarlo

antes de su envío o hacerle algún tipo de modificación, so pena de considerarse falta grave, válida

como causal de despido con justa causa.

La Coordinación de Riesgo es la responsable de elaborar y mantener actualizado un registro de

eventos de riesgo operativo, de acuerdo con lo establecido por el Capítulo XXIII de la Circular





Externa 100 de 1995 expedida por la Superintendencia Financiera. Este registro debe contener

todos los eventos de riesgo operativo ocurridos en la Compañía, bien sea que:

- Generan pérdidas y afectan el estado de resultados de la Compañía.

- Generan pérdidas y no afectan el estado de resultados de la Compañía.

- No generan pérdidas y por lo tanto no afectan el estado de resultados de la Compañía.

En estos últimos dos casos, la medición será de carácter cualitativo, siempre y cuando no se pueda

realizar un estimativo cuantitativo.

Cada área deberá proveer a la Coordinación de Riesgo de la información respectiva para diligenciar

este Registro de Eventos de Riesgo Operativo, de manera que el mismo contemple la totalidad del

evento de riesgo operativo potencial o acontecido. Este registro deberá diligenciarse con, por lo

menos, la siguiente información:

I. Referencia: Código interno, creado por la Coordinación de Riesgo, que relacione el evento en

forma secuencial.

II. Fecha de inicio del evento: Fecha en que se inicia el evento. Formato: Día, mes, año, hora.

III. Fecha de finalización del evento: Fecha en que finaliza el evento. Formato: Día, mes, año,

hora.

IV. Fecha del descubrimiento: Fecha en que se descubre el evento. Formato: Día, mes, año,

hora.

V. Fecha de contabilización: Fecha en que se registra contablemente la pérdida por el evento.

Formato: Día, mes, año, hora.

VI. Clase de evento: Clase de evento, según la clasificación

VII. Producto/Servicio afectado: Nombre del producto o servicio afectado.

VIII. Proceso: Nombre del proceso afectado.

IX. Descripción del evento: Descripción detallada del evento.

X. Líneas operativas: Identificación según clasificación suministrada por la Superintendencia

Financiera de Colombia en el Anexo I del Capítulo XXIII de la C.E. 100 de 1995.

Cada seis meses, la Coordinación de Riesgo debe preparar un informe al Representante Legal,

Informe de Eventos de Pérdida, donde se organice la anterior información por frecuencia de

ocurrencia y por magnitud del siniestro.

La Coordinación de Riesgo deberá estar atenta a proponer los controles necesarios para aminorar

la frecuencia de ocurrencia de aquellos riesgos que presenten la mayor cuantía histórica de





siniestros, tomando una serie histórica de por lo menos tres años o la que exista en el Registro de

eventos en ese momento, si es menor.

17. NIVELES DE ACEPTACIÓN DEL RIESGO OPERATIVO

Los niveles de aceptación del riesgo operativo hacen referencia a la política que la Compañía

adopte, basada en el nivel de riesgo de acuerdo al Mapa de Riesgo o a la cuantía de pérdida por la

ocurrencia de un evento de riesgo operativo y luego de implementados los controles necesarios

para mitigarla, acerca de si está dispuesta a tolerar dicho nivel de riesgo o cuantía, o si prefiere

trasladar el riesgo vía seguros.

Estos niveles de aceptación deben ser propuestos por la Coordinación de Riesgo al Representante

Legal o Gerente General, para su validación antes de presentarlos a la Junta Directiva para su

aprobación.

En el caso de optar por la contratación de un seguro, deben administrarse también los eventos de

riesgo operativo asociados con dicho seguro.

18. PROCEDIMIENTOS PARA EL MONITOREO DEL RIESGO

El monitoreo y control del riesgo operativo se basa en elementos como alertas tempranas, desarrollo de

indicadores de gestión, controles y procesos para administrar la continuidad del negocio.

A continuación se describen dichos elementos:

18.1. Alertas tempranas

Un sistema de alertas tempranas integral consiste en calcular indicadores numéricos de cada

proceso, para que los cambios en dichos indicadores sirvan de alerta al aumento en la probabilidad

o frecuencia de ocurrencia de un riesgo en particular. Un ejemplo, dado el proceso de consecución

de clientes, entre más clientes se contacten, más frecuencia puede haber en una mala atención a

los mismos.

Las alertas Tempranas que como mínimo debe utilizar la Coordinación de Riesgo consisten en lo

siguiente:





a. En primer lugar, la Coordinación de Riesgo debe consolidar anualmente el perfil de riesgo de

toda la Compañía, mediante la visualización del conjunto de riesgos operativos en el Mapa de

Riesgo Residual de la Matriz de Riesgo Operativo.

b. En la medida en que entre el 1% y el 5% de los eventos de riesgo esté en nivel “Alto”, se

configurará una alerta temprana que debe ser informada a la Junta Directiva, para su análisis y

determinar las estrategias a seguir con el fin de controlar el riesgo operativo.

A partir de la actualización periódica de la Matriz de Riesgo Operativo (MRO), la Coordinación

de Riesgo debe elaborar un informe donde se observe la evolución histórica, para cada evento

de pérdida, de los siguientes aspectos:

- Impacto del riesgo inherente

- Probabilidad del riesgo inherente

- Diseño del grupo de controles

- Efectividad del grupo de controles.

Aquellas tendencias que muestren un deterioro significativo en los controles o un aumento

significativo en el valor de pérdida esperado, deberán ser objeto de informe al Representante

Legal para definir nuevos controles o planes de contingencia.

Se considera significativo, un comportamiento de un evento de riesgo en particular, cuya

severidad y/o probabilidad de ocurrencia aumente por encima del nivel promedio del conjunto

de eventos de riesgo de toda la Compañía, agregación que realiza la Coordinación de Riesgo a

partir de la Matriz de Riesgo Operativo.

c. Se debe priorizar el análisis de los eventos de riesgo operativo registrados en la Matriz de

Riesgo Operativo que presenten niveles elevados de Riesgo Residual, para esto se diseñaran

Alertas Tempranas individuales que sirvan de alertas específicas en términos de frecuencia y/o

impacto.

18.2. Indicadores de Gestión

Estos indicadores, que deben ser calculados e informados por la Coordinación de Riesgo al

Representante Legal, corresponden a fórmulas que reflejen si el control de riesgos y los planes de

contingencia son adecuados o no.





Dicho de otra forma, son valores o fórmulas matemáticas que reflejen la evolución de un evento de

riesgo; es decir, de una situación que de presentarse, generaría pérdidas para la Compañía.

El indicador debe evolucionar de forma tal que la exposición al riesgo se reduzca. Por ejemplo, un

indicador puede ser el valor o número de cheques extraviados de la tesorería en un año. En la

medida en que este valor del número de cheques se reduzca a través del tiempo, menos expuesta

está la Compañía a pérdidas por esta razón y significa que los controles establecidos para evitar

que se pierdan cheques y los planes de contingencia implementados para el caso de que un cheque

se extravíe, funcionan adecuadamente.

Si un indicador de gestión refleja un comportamiento negativo, esto significa que la Coordinación de

Riesgo debe estudiar nuevos controles o planes de contingencia para el respectivo proceso.

Los indicadores generales de gestión serán:

- Frecuencia de ocurrencia de eventos de pérdida por proceso. Esta información se toma del

Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se

reduzca, significa una mejor gestión.

- Impacto de los eventos de pérdida que han ocurrido por proceso. Esta información se toma del

Registro de Eventos de Riesgo Operativo. En la medida en que el valor de este indicador se

reduzca, significa una mejor gestión.

- Evaluación de las capacitaciones en SARO y gestión de riesgos. Esta información corresponde

a la nota promedio de las evaluaciones practicadas a los participantes de las capacitaciones. En

la medida en que el valor de este indicador sea mayor, significa una mejor gestión.

- Número de procesos con planes de contingencia. Esta información es tomada de la Matriz

MRO. En la medida en que el valor de este indicador sea mayor, significa una mejor gestión.

Adicionalmente la Coordinación de Riesgos deberá diseñar constantemente indicadores de gestión

específicos que apoyen la evaluación de los controles y planes de contingencia de los eventos de

riesgo operativo, potenciales y ocurridos.

Es importante que los indicadores de gestión hagan parte del sistema de evaluación del desempeño

de los funcionarios y áreas de la Compañía, en lo que respecta a los procesos a su cargo.





18.3. Controles

Además de la labor que la Coordinación de Riesgo tiene, de proponer nuevos controles para los

eventos de pérdida identificados en la Matriz de Riesgo Operativo, buscando mejorar la calificación

de su diseño y de su efectividad, la Coordinación de Riesgo debe evaluar la consistencia en

términos de magnitud y funcionamiento (oportuno, efectivo y eficiente) de los controles con respecto

al evento de pérdida que buscan mitigar.

Para ello, debe evaluarse que el control tenga una magnitud acorde con el riesgo inherente. De

manera que aquellos riesgos inherentes de mayor Impacto y probabilidad de ocurrencia, deben

tener un grupo de controles más completos.

Así mismo, pueden identificarse controles que son demasiado grandes, en términos de complejidad

en su aplicación y costo, vinculados a riesgos inherentes de severidad y frecuencia muy bajos. En

este caso, se debe revisar la posibilidad de ajustar dichos controles.

Independiente de las funciones asignadas a la Auditoría Interna, la Coordinación de Riesgo, deberá

además revisar ocasionalmente los controles, mediante trabajo de campo donde se observe el

funcionario encargado del control y la forma como lo aplica, para conceptuar si el control es

insuficiente, si es necesario reforzarlo o si es necesario establecer otro control.

18.4. Nuevos procesos o modificación de proceso existente

Como requisito para que en cualquier área de la Compañía se modifique o implemente un nuevo

proceso, el mismo debe ser objeto del análisis anterior de reuniones de trabajo, para valuar el riesgo

inherente y los controles que se deben implementar.

Ningún proceso podrá iniciarse o modificase sin que previamente se diseñe el grupo de controles

del mismo, aprobado por el Representante Legal. Esto aplica también para la realización de

operaciones de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.

18.5. Proceso para administrar la continuidad del negocio

En cumplimiento del Capítulo XXIII de la Circular Externa 100 de 1995, la Compañía, teniendo en

cuenta su estructura, tamaño, objeto social y actividades de apoyo, está en desarrollo de un sistema

de administración de la Continuidad del Negocio, el cual incluye los procesos de definir,

implementar, probar y mantener dicho sistema en aspectos como: prevención y atención de





emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la

operación normal.

Reyca S.A. dispone de los instrumentos necesarios para asegurar la continuidad de su operación,

estos se nombran a continuación:

a. Capital Social

b. Personal competitivo e idóneo

c. Equipo tecnológico suficiente

d. Pólizas de seguros.

e. Soporte legal

f. Instalaciones propias.

g. Grabación de llamadas

Se ha determinado que la organización cuenta con la estructura suficiente para el desarrollo de su

objeto dentro del contexto de la Bolsa Mercantil de Colombia S.A.

18.6. Cultura de Riesgos

Dentro de los planes de capacitación periódicos sobre gestión de riesgos operativos para todos los

funcionarios de la Compañía, contemplados en el Manual del Sistema de Administración del Riesgo

Operativo, se debe resaltar la labor que cada funcionario tiene en la identificación de los factores de

riesgo y eventos de pérdida.

Adicionalmente, debe promoverse la identificación y control de factores generadores de riesgos,

como una actividad propia de cada cargo al momento de evaluar desempeños.

Los indicadores de gestión de las diferentes áreas y funcionarios de la Compañía, deben incluir en

lo posible aspectos relacionados con la gestión en la identificación y control de riesgos. Estos

indicadores deben medir además, por proceso, la evolución del impacto y la probabilidad de los

eventos de pérdida por proceso y la evolución del Grupo de Controles, en términos de su diseño y

efectividad.

18.7. Coordinación de Comunicaciones

La comunicación formal es la base para el correcto flujo de la información que se quiere hacer llegar

a los diferentes Grupos de Interés, tanto internos como externos.





Por ello, toda información que se quiera transmitir debe hacerse a través de los canales

establecidos para tal fin, de manera que no se considere válida ninguna otra información canalizada

a través de otros medios.

Esto implica desestimular los canales no formales de comunicación, mediante el desarrollo de

canales formales que tengan definidos claramente aspectos como responsables, forma de acceso a

los mismos y periodicidad.

18.8. Planes de Contingencias

El plan de contingencia para REYCA S.A., tiene por objeto generar lineamientos de ejecución

cuando suceda alguno de los riesgos ya mencionados, de tal forma que se garantice la continuidad

de la organización a pesar de la ocurrencia del evento de riesgo. Los planes de acción se

encuentran en la matriz de cada uno de los procedimientos adjunta la evaluación del riesgo.

A pesar de lo anterior, a continuación se definen los planes de acción generales presentados por la

Gerencia de Renta y Campo S.A.:

Reyca S.A. cuenta con una póliza de seguros para el cubrimiento de los siguientes hechos:

Temblores, incendios o terrorismo, sustracción y robo. La póliza es renovada año a año por la

empresa.

Con respecto al componente tecnológico, Reyca S.A. ha preparado un programa de mantenimiento

de equipos, de esta forma se quiere mitigar la probabilidad del riesgo operativo en cuanto a la

presencia de eventos como los virus y la interrupción de operaciones por daños en los equipos.

Adicionalmente dentro de los procedimientos establecidos en cada proceso se ha desarrollado un

plan de back up. En el área contable se hará back up cada tercer día y en las otras áreas se hará

un back up semanal. Este back up se considera como el plan de contingencia en caso de que algún

evento se presente y atente contra el componente tecnológico o de activos físicos de la

organización. Se realizan dos copias de la información, cada una de ellas está ubicada en sitios

diferentes, una de ellas en la empresa y otra en un lugar externo a las instalaciones.

Los planes de contingencia para la administración del riesgo operativo, deben ser revisados

periódicamente con el objetivo de corroborar su alcance y pertinencia de acuerdo con los riesgos

relacionados, adicionalmente, en materia de responsabilidades se debe contemplar por lo menos lo

siguiente:





a. Responsabilidades de la Dirección de Riesgo

La persona encargada de tomar decisiones a cargo de la Coordinación de Riesgo, será el

funcionario que formalmente está encargado de dicha área, quien debe conocer el funcionamiento

de los modelos de administración de riesgos. Como los modelos de análisis, medición, seguimiento

y control a los diferentes riesgos, los cuales deben estar debidamente documentados.

b. Aspectos no contemplados en el presente Manual

Cualquier situación no esperada y no contemplada en el presente manual, debe ser objeto de un

Plan de Contingencia preparado por la Coordinación de Riesgo y aprobado por el Representante

Legal.

18.9. Reportes Internos y Externos

Tanto los reportes internos y externos, como los documentos y registros que evidencien la

operación efectiva del SARO, deben tener las características de integridad, oportunidad,

confiabilidad y disponibilidad de la información allí contenida.

19. EVALUACIÓN DE LA MITIGACIÓN DEL RIESGO Y SUS FUENTES DE FINANCIACIÓN

a. Se identifica por parte de las áreas responsables de los procesos, todos y cada uno de los

riesgos asociados. Se identifican los controles existentes y si fuere del caso, los que deberían

implementarse y establecer la probabilidad e impacto de cada riesgo, antes y después de los

controles, con base en la metodología definida.

b. Una vez diligenciada la encuesta por parte de las áreas responsables, se remitirá a la Unidad

de Riesgo Operativo, la cual consolidará los resultados, evaluará lo descrito y conceptuará

sobre la racionalidad del riesgo o los riesgos identificados.

c. Una vez determinados los niveles de riesgo dentro de cada proceso, se listan utilizando el

criterio de mayo a menor puntaje, para definir la prioridad de tratamiento. Este compendio sirve

de soporte para realizar el plan de tratamiento integral de riesgos.





d. Con base en los resultados obtenidos, la Unidad de Riesgo Operativo establecerá el perfil de

riesgo inherente y residual consolidado de la compañía.

e. Se establecerá parámetros de control con el fin de observar el comportamiento de los

correctivos aplicados para la mitigación del riesgo, mostrada bajo los resultados de si este se

pudo evitar o si efectivamente se previno. Una vez revisados los resultados se mirara la forma

de financiación de mitigación de los riesgos clasificados en aceptable, si se retiene o se

transfiere.

f. Las áreas responsables de los procesos en los cuales se han identificado riesgos operativos,

deberán al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo,

utilizando el formato de registro de evento de riesgo. La Unidad de Riesgo Operativo es

responsable de mantener actualizados los registros relativos a los reportes y evaluará la

necesidad de hacer actualizaciones y/o modificaciones a los procedimientos y planes de acción

relativos al SARO.

g. Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad de

Riesgo Operativo revisará los riesgos, sus controles y mediciones con el fin de identificar los

posibles cambios en el perfil de riesgo de la entidad.

h. Para dar cumplimiento a lo establecido sobre la Revelación Contable de los eventos, con base

en si los mismos generan pérdidas y afectan los estados financieros de la empresa, estos

deberán registrarse de la manera establecida en el numeral 3.2.8.3 de la Circular Externa 049

de 2006, de la Superintendencia Financiera.

Como plan de acción para verificación en cuanto a la mitigación de los riesgos se fabrico un formato

especial mediante el cual se estableció:

i. Prioridad: Una vez analizados los riesgos por proceso, se resumen en una planilla y se

establece la prioridad de atención.

ii. Acciones: Para mitigar el riesgo en forma efectivo se deberán presentar acciones a

implementar para mitigar el riesgo

iii. Área responsable: del proceso y de la acción específica

iv. Cargo del Responsable: del proceso y de la acción específica

v. Recursos: ¿Qué se requiere para llevar a cabo la acción propuesta?

vi. Limitantes: ¿Qué factores pueden impedir el desarrollo de las acciones de mitigación?

vii. Fechas de seguimiento del proceso





viii. Indicadores: Definir los indicadores a través de los cuales se podrá medir la mitigación del

riesgo.

Este formato para su debido diligenciamiento deberá contar con la revisión y/o aval de las partes

comprometidas, así estipulado:

- Diligenciado por: Nombre, cargo y Firma

- Fecha del diligenciamiento

- Aprobado por: Nombre, cargo y Firma

- Fecha de aprobación

20. AUDITORIA

Para garantizar el cumplimiento de las políticas y controles aprobados por la Junta Directiva de la

organización, estos han sido publicados y sociabilizados ante el personal de la compañía de

manera que sean llevados a su correcto término, también se ha organizado un proceso de

auditorías internas, el cual tiene como objeto identificar las fallas presentadas en los procesos que

conforman el mapa operativo establecido y así mismo hacer un seguimiento continuo sobre el

control del riesgo, además del control de la efectividad respecto de la implementación de SARO.

El proceso de auditorías y medición soporta y asegura el control del riesgo inherente y consolidado

asociado a la operatividad de la firma, ya que se sustenta de la información analizada en el informe

de gestión de riesgo trimestral que será organizada por la URO, quien verificará el cumplimiento de

los indicadores definidos en cada proceso y el logro de sus metas.

Para efectos de las auditorias, el procedimiento a seguir es el siguiente:

20.1. PROCEDIMIENTO DE AUDITORÍAS INTERNAS





Este procedimiento contará con la periodicidad indicada por la norma, además existirá la

probabilidad que se lleven a cabo auditorias no programadas cuando el jefe de área o el ente

correspondiente identifiquen que se están presentando errores o anomalías para llevar a cabo el

procedimiento.

21. PLATAFORMA TECNOLÓGICA

La Dirección de Riesgo debe evaluar periódicamente la tecnología y los sistemas utilizados para

garantizar el adecuado funcionamiento del SARO, con el fin de verificar si se ajustan a las

actividades y tamaño de la Compañía.

22. REVELACIÓN CONTABLE

De acuerdo con lo establecido en el Capítulo XXIII de la Circular Externa 100 de 1995 de la

Superintendencia Financiera, los eventos de riesgo operativo, cuando no afecten el estado de

resultados deben ser revelados en cuentas de orden, de acuerdo con la metodología para su

cuantificación establecida por cada entidad.

Elaboración de Programas de Auditorias

Programación de Nuevas Auditorias

Correcciones

Implementación del Programa de Auditorias

¿Existen No Conformidades?

SI

NO

FIN

Programación de Auditorias





Cuando dichas pérdidas afecten el estado de resultados, se registrarán en la cuenta del gasto

determinada por la Superintendencia Financiera en el Plan Único de Cuentas, para que dicho

acontecimiento quede registrado en el periodo en el que se materializó la pérdida.

Además, en las notas a los Estados Financieros de la Compañía, se señalarán las causas que

originaron los eventos de riesgo operativo, revelados en cuentas de orden o registradas en el estado

de resultados.

23. CAPACITACIÓN Y DIVULGACIÓN

La Coordinación de Riesgo tendrá a su cargo el diseño, programación y coordinación del Plan Anual

de capacitación en el SARO, dirigido a todas las áreas y funcionarios de la Compañía.

Los programas de capacitación deberán dictarse también a los nuevos funcionarios vinculados a la

compañía, durante su primer mes luego de haber ingresado a la Compañía, así como a los terceros

de los cuales se tenga una relación jurídica de prestación de servicios diferente a aquella que se

origina en un contrato de trabajo, como el caso del outsourcing. Para el caso de estos terceros, la

capacitación deberá darse con anterioridad a la firma del contrato u orden de servicios y como

requisito del mismo.

La Coordinación de Riesgo será responsable de la revisión y actualización trimestral de dichos

programas de capacitación. Adicionalmente, deberá desarrollar y aplicar las evaluaciones que se

practicarán a los participantes en dichos programas, tanto en el momento inmediatamente posterior

a la capacitación como posteriormente, por lo menos una vez al año a todos los funcionarios y

terceros.

La Coordinación de Riesgo debe contar con los mecanismos de evaluación de los resultados

obtenidos, con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos

propuestos.





ANEXO 1. MACROPROCESOS

1. MACRO-PROCESO FINANCIERO Y CONTABLE

1.1. PROCESO CONTABLE – FCPCON001

El objetivo de los procesos radica en procesar la información contable de Reyca S.A de manera

veraz y la revelación de cada uno de los hechos económicos de forma detallada y/o consolidada

que facilite la actividad de la comisionista mediante el cumplimiento de las normas de contabilidad

generalmente aceptadas, elaborando la información contable y Estados Financieros de manera

veraz, confiable, razonable y oportuna, mediante políticas y procedimientos que permitan la

cuantificación de las transacciones, el procesamiento de los datos, la evaluación de la información,

el reporte y publicación de la misma.

PROCEDIMIENTO CONTABLE

1.1.1 Procedimiento de Contabilización de Comprobantes – FCPCPR001

Efectuar la contabilización, codificación y clasificación de movimientos con base en los soportes

recibidos de los hechos económicos y los que corresponden a Depreciaciones, Amortizaciones,

Valorizaciones, Provisiones, Ajustes y reclasificaciones con claridad y según las políticas

establecidas por el Contador y la Dirección Administrativa.

1.1.2 Procedimiento de Vinculación a proveedores – FCPCPR002

Implementar controles apropiados y conducentes para evitar que la compañía trabaje con

proveedores que laven activos y/o financien el terrorismo. Realizar un adecuado proceso de

vinculación que permita el conocimiento del proveedor y verificar la integridad, oportunidad,

confiabilidad del mismo.

1.1.3 Procedimiento de Causación de Proveedores – FCPCPR003

Contabilizar de forma adecuada la facturas y cuentas de cobro recibidas de proveedores, asesores,

prestadores de servicios, etc.; según los conceptos por tipo de gasto creados o de nuevos

conceptos que correspondan a la comisionista.

1.1.4 Procedimiento de Contabilización de Nomina- FCPCPR004





Efectuar la contabilización y causación de la nomina de personal, seguridad social, aportes

parafiscales y provisiones de nomina de los empleados de comisionista de forma clara y acorde con

las normas técnicas exigidos por la SFC y las Leyes laborales vigentes.

1.1.5 Procedimiento de Contabilización de Inversiones- FCPCPR005

Realizar la contabilización, clasificación y codificación de las inversiones según su intención de

adquisición, al igual que la valoración y valorización revelando el precio justo de mercado según lo

establecido por las normas emitidas por la Superintendencia Financiera de Colombia.

1.1.6 Procedimiento de Contabilización de Caja Menor- FCPCPR006

Realizar la contabilización, clasificación y codificación de los gastos menores de la compañía y que

pertenecen al normal desarrollo de la actividad de la comisionista tanto administrativa como

operativa.

1.1.7 Procedimiento de Conciliación Bancaria - FCPCPR007

Elaborar, revisar y notificar diferencias detectadas en el análisis de la verificación de los

movimientos bancarias de las cuentas administrativas o de recursos propios y las de clientes,

mandantes o terceros efectuados por el área de tesorería.

1.1.8 Procedimiento de Conciliación Contables - FCPCPR008

Elaborar los resúmenes o informes que permitir revelar la razonabilidad de los saldos de las cuentas

en cuanto a su conformación por terceros, por concepto, por centro de costos, por negocio o

actividad o los que determine la Administración y/o Gerencia de la comisionista.

1.1.9 Procedimiento de Contabilización de Obligaciones Financieras – FCPCPR009

Efectuar la contabilización, codificación y clasificación de movimientos por endeudamiento y de los

Gastos Financieros en los que incurra en la obtención de créditos.

1.1.10 Procedimiento de Preparación de Declaraciones Tributarias – FCPCPR010





Preparar y elaborar las declaraciones tributarias de los impuestos a los que está obligada la

sociedad de acuerdo al régimen y condiciones fiscales que le corresponde de manera oportuna y en

concordancia de las políticas fiscales establecidas por la Dirección Administrativa y Gerencia de la

comisionista.

1.1.11 Procedimiento de verificación de Contabilización de Facturación – FCPCPR011

Analizar y confirmar la aplicación contable de las operaciones incluidas en la facturación a clientes o

mandantes de las negociaciones efectuadas en el escenario de la BMC.

1.1.12 Procedimiento de verificación y consolidación financiera – FCPCPR012

Consolidación de la Información Contable y Financiera de la comisionista

1.2 PROCESO DE TESORERÍA- FCPTES001

Procesar y controlar los movimientos provenientes de transacciones de recursos administrativos y

de terceros de manera oportuna, clara y veraz, en cumplimiento de las instrucciones de la

administración, de los clientes, de los procedimientos instaurados y de las normas que aplican al

manejo de recursos de terceros principalmente, facilitando la actividad de la comisionista.

Elaborar, conformar, preparar y presentar la información proveniente de los movimientos y

transacciones bancarias, como parte integral para la presentación de Estados Financieros, mediante

políticas y procedimientos que permitan la cuantificación de las transacciones y el adecuado reporte

a la Administración a los clientes y a las entidades de inspección, vigilancia y control.

PROCEDIMIENTO DE TESORERIA

1.2.1 Procedimiento de Gestión de Entrada de Recursos por operaciones - FCPTPR001

Elaborar los comprobantes y contabilización de las entradas de recursos de terceros en

cumplimiento de operaciones en desarrollo de la actividad de la comisionista.

1.2.2 Procedimiento de Gestión de Entrada de Recursos Administrativos - FCPTPR002





Elaborar los comprobantes y contabilización de las entradas de recursos administrativos en

cumplimiento del desarrollo de la comisionista

1.2.3 Procedimiento de Gestión de Salida de Recursos FCPTPR003

Elaborar los comprobantes y contabilización de las salidas de recursos operativos de terceros,

clientes o mandantes o de los que corresponden al cumplimiento ante la BMC en desarrollo de la

actividad de la comisionista.

1.2.4 Procedimiento de Pago a Proveedores FCPTPR004

Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden a

pago de Proveedores, Servicios Públicos y otros pagos administrativos que corresponden al normal

del funcionamiento de la actividad de la comisionista.

1.2.5 Procedimiento de Pago de Nomina y Seguridad Social FCPTPR005

Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden al

pago de Nomina y otros de Personal, Aportes de Seguridad Social y Parafiscales como pagos

administrativos que corresponden al normal del funcionamiento de la actividad de la comisionista.

1.2.6 Procedimiento de Pago de Impuestos FCPTPR006

Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden al

pago de Impuestos Nacionales o Distritales que le corresponden a la comisionista.

1.2.7 Procedimiento de Elaboración de Informes de Tesorería y Saldos de Clientes FCPTPR007

Elaborar el informe de Tesorería para control de las transacciones y saldos en operaciones de

recursos de terceros y de los recursos propios de la comisionista para la toma de decisiones por

parte de la Administración de la comisionista.

1.2.8 Procedimiento de Manejo de Caja Menor - FCPTPR008





Realizar la clasificación y codificación de los gastos menores de la compañía y que pertenecen al

normal desarrollo de la actividad de la comisionista tanto administrativa como operativa.

1.3 PROCESO DE CARTERA - FCPCAR001

Procesar y controlar los movimientos provenientes de transacciones de recursos de terceros de

manera oportuna, clara y veraz, en cumplimiento de las instrucciones de la administración, de los

clientes, de los procedimientos instaurados y de las normas que aplican al manejo de recursos de

terceros principalmente, facilitando la actividad de la comisionista.

Elaborar, conformar, preparar y presentar la información proveniente de los movimientos y

transacciones Realizados por los clientes para el pago de cartera de la comisionista, como parte

integral para la presentación de Estados Financieros, mediante políticas y procedimientos que

permitan la cuantificación de las transacciones y el adecuado reporte a la Administración, a los

clientes y a las entidades de inspección, vigilancia y control.

PROCEDIMIENTOS DE CARTERA

1.3.1 Procedimiento de Verificación y Conciliación de Cartera - FCPCARPR001

Revisar, conciliar y reportar los valores por cobrar a clientes por costos y comisiones en informes

que permitan con claridad efectuar la gestión de cobro adecuada de cartera.

2 MACRO-PROCESO COMERCIAL

2.1 PROCESO VINCULACIÓN CLIENTES





Lograr la adopción correcta de políticas de la entidad en el procedimiento de vinculación de clientes

teniendo en cuenta los requerimientos normativos y legales que son exigidos por Reyca S.A.

PROCEDIMIENTO VINCULACION DE CLIENTES

2.1.1 Primer Contacto con el Cliente - COPVCPR001

A través de la buena práctica de este procedimiento atraer al mayor número de clientes aptos al

perfil de Reyca S.A

2.1.2 Procedimiento de Análisis y Verificación del Cliente - - COPVCPR002

Ejercer un buen análisis y clasificación del cliente según su perfil.

2.2 PROCESO INSCRIPCIÓN EN BOLSA DE BIENES Y PRODUCTOS, COMMODITIES,

SERVICIOS, PARA SER TRANSADOS.

Trámite a seguir para el registro o inscripción en el SIBOL de bienes, productos y commodities que

pueden ser transados a través de la Bolsa.

PROCEDIMIENTOS DE REGISTRO O INSCRIPCION EN BMC

2.2.1 Procedimiento inscripción en Bolsa - COPIBPR001

Asegurar un trámite adecuado a seguir para el registro o inscripción en el SIBOL de bienes,

productos y commodities que pueden ser transados a través de la Bolsa.

2.3 PROCESO MANTENIMIENTO CLIENTE

Mantener y fidelizar a el cliente, impidiendo que decida irse para otra firma comisionista.

PROCEDIMIENTO DE MANTENIMIENTO AL CLIENTE

2.3.1 Procedimiento de Mantenimiento del Cliente - COMCPR001





Identificar las tendencias temporales de necesidad del cliente para así lograr dar oportuna atención

a estas.

2.3.2 Procedimiento de Defensor del Cliente - COMCPR002

Realizar y entregar un informe en el que se relacionen las quejas y reclamos que se hayan

formulado contra Reyca S.A, y el procedimiento que se adopto frente a cada uno de estas.

2.3.3 Procedimiento de Aplicación de encuestas y toma de Acciones correctivas y preventivas -

COMCPR003

Este procedimiento tiene por objeto establecer y mantener un instrumento con el cual se pueda

evaluar y medir la percepción del cliente externo con respecto a la realización de trámites y la

prestación de servicios.

2.4 PROCESO ASESORÍAS

Ofrecer eficaz y eficientemente asesoría en ingeniería financiera, en procesos empresariales y

programas de inversión dirigida a empresas del sector agropecuario, agroindustrial o de otros

commodities, conociendo ampliamente al cliente para así identificar sus necesidades y objetivos de

inversión y de esta forma brindar soluciones financieras rentables, integrales e innovadoras, que

generen los mejores beneficios del mercado.

PROCEDIMIENTODE ASESORIAS

2.4.1 Procedimiento de Asesoría en Ingeniería Financiera - COPASPR001

2.4.2 Procedimiento de Asesoría en Procesos Empresariales - COPASPR002

2.4.3 Procedimiento de Asesoría en Procesos de Inversión - COPASPR003

3 MACRO-PROCESO DIRECCIÓN GENERAL

3.1 PROCESO PLANEACIÓN ESTRATÉGICA - DGPECA001

Elaborar y llevar a cabo la Planeación Estratégica para Reyca S.A





PROCEDIMIENTO DE PLANEACION

3.1.1 Procedimiento de Planeación Estratégica - DGPEPR001

3.2 PROCESO JUNTA DIRECTIVA - DGJDCA001

Dar cumplimiento al numeral 3.2.4.1. Del Capítulo XXIII: REGLAS RELATIVAS A LA

ADMINISTRACIÓN DEL RIESGO OPERATIVO de la Circular Externa 049:2006 (Diciembre)

Circular Básica Contable y Financiera, emitida por la SFC las funciones de la Junta Directiva

relacionadas con la administración de riesgo operativo, sumado otras actividades propias de la

Junta.

PROCEDIMIENTO DE CUMPLIMIENTO

3.2.1 Procedimiento de Cumplimiento a políticas de riesgo y Manual SARO - DGJDPR001

Evaluar y aprobar de una forma eficiente las políticas de Riesgo y el Manuel SARO

3.2.2 Procedimiento de Dirección General en cumplimiento del Código del Bueno Gobierno -

DGJDPR002

En Junta directiva dar cumplimiento a todas las funciones designadas en el Código del Buen

Gobierno.

4 MACRO EVALUACIÓN CONTROL Y SEGUIMIENTO

4.1 PROCESO RIESGO

Siendo el riesgo una amenaza o incertidumbre a la que se enfrenta la sociedad comisionista por un

evento o acción relacionada con sus objetivos, líneas de negocio, operaciones y demás actividades,





que puedan afectar su situación financiera o al mercado la BMC, la Administración de Riesgos de

Reyca S.A tiene como propósito plasmar las políticas, directrices y procedimientos que seguirá

Reyca y Campo S.A C, para administrar eficientemente los riesgos a que está expuesta en el

desarrollo de las actividades propias de su objeto social.

PROCEDIMIENTOS:

4.1.1 Procedimiento de Clasificación y Reporte del Riesgo - ECPRIPR001

Optimizar el funcionamiento de la firma mediante la identificación de los riesgos inherente a su

razón social y la toma de medidas preventivas.

4.1.2 Procedimiento Scoring Clientes - ECPRIPR002

Desarrollar un eficaz procedimiento de Scoring de Clientes ante la BMC, para evaluación de riesgos

de operaciones y determinación de cupos para celebración de contratos de operaciones CAT, CPT

Y CGT

4.1.3 Procedimiento de Alertas SARLAFT - ECPRIPR003

Ejecutar un adecuado procedimiento de Alertas Sarlaft

4.1.4 Procedimiento de evaluación y envió de documentos para dar cumplimiento a

requerimientos para la aprobación de cupo y expedición de certificados de depósito (CDM),

por el AGD. - ECPRIPR004

Ejecutar un adecuado procedimiento de envió de documentos al AGD para determinación de cupo.

4.1.5 Procedimiento de Creación Cliente en SIIMONA - ECPRIPR005

Ejecutar un adecuado procedimiento de creación de nuevos clientes, de manera tal que cumpla con

las especificaciones requeridas en su totalidad

4.2 PROCESO AUDITORÍA

Garantizar la planeación, ejecución y seguimiento del proceso de auditorías internas a través de la

elaboración y aplicación de programas y planes de auditoría de calidad, la elaboración de reportes

de auditoría y la identificación de áreas de oportunidad.

PROCEDIMIENTOS:

4.2.1 Procedimiento de Auditoría - ECPAPR001

Establecer, preparar y desarrollar un adecuado seguimiento al plan de auditoría en Reyca S.A





4.2.2 Procedimiento de Verificación Mensual de Operaciones de Clientes - ECPAPR002

Lograr la adopción correcta de políticas de la entidad en el procedimiento de vinculación de clientes

teniendo en cuenta los requerimientos normativos y legales que son exigidos por Reyca S.A

5 MACRO-PROCESO ADMINISTRATIVO

Ejecutar las instrucciones de la Gerencia de la compañía dentro de las políticas definidas y el marco

de actuación en que se desenvolverá el comisionista, velando con seguridad la continuidad de la

Firma con el conocimiento pleno los riesgos que implican las actividades de desarrolla y del entorno

de obligatorio cumplimiento aplicable al Mercado de Bienes y Productos Agropecuarios y

Agroindustriales y de otros Commoditties, así como en general a lo referente al marco normativo y

obligatorio de la sociedad en lo que compete comercial, fiscal, laboral y administrativamente, de

manera que se resguarde con diligencia la solvencia de la compañía mediante el control y





administración del recurso humano, de la capacidad técnica suficiente y necesaria para la ejecución

de las actividades.

Suministrar la información a la Gerencia para la toma, gestión, medición y control de los riesgos e

implementar los procedimientos necesarios para el buen funcionamiento de la compañía en todas

las áreas de la misma, asegurando que la organización, procedimientos y controles corresponden,

y que la operatividad se realiza en todo aspecto de conformidad con las políticas y directrices

establecidas, manteniendo la armonía laboral en todas las áreas de la firma mediante la planeación,

organización, supervisión y control adecuado y oportuno a nivel contable, operativo y administrativo

para aprovechamiento de todos los recursos.

5.1 PROCESO DE MANEJO DE RECURSOS FINANCIEROS

Controlar el manejo de los recursos propios y de terceros dentro del desarrollo de la actividad de la

comisionista mediante los elementos, análisis de los movimientos y el cumplimiento efectivo de las

operaciones y negociaciones por cuenta de los mandantes, llevando a cabo independencia total de

los que pertenecen a la firma de los que pertenecen a los clientes acorde con las obligaciones y

normatividad del mercado publico de valores, del reglamento de funcionamiento y operación de la

bolsa y de los instructivos de procedimiento de la BMC.

PROCEDIMIENTOS:

5.1.1 Procedimiento de Gestión de Entrada de Recursos

Elaborar los comprobantes y contabilización de las entradas de recursos administrativos y de

terceros en cumplimiento de operaciones en desarrollo de la actividad de la comisionista. Los de

terceros deben verificarse con el mandato o con las instrucciones dadas.

5.1.2 Procedimiento de Gestión de Salida de Recursos

Elaborar los comprobantes y contabilización de las salidas de recursos operativos de terceros,

clientes o mandantes o de los que corresponden a el cumplimiento ante la BMC en desarrollo de la

actividad de la comisionista.

5.1.3 Procedimiento de Pago a Proveedores

Elaborar los comprobantes y contabilización de las salidas de recursos propios que corresponden a

pago de Proveedores, Servicios Públicos y otros pagos administrativos que corresponden al normal

del funcionamiento de la actividad de la comisionista.

5.1.4 Procedimiento de Elaboración de Informes de Tesorería y Saldos de Clientes





Elaborar el informe de Tesorería para control de las transacciones y saldos en operaciones de

recursos de terceros y de los recursos propios de la comisionista para la toma de decisiones por

parte de la Administración de la comisionista.

5.1.5 Procedimiento de Verificación y Conciliación de Cartera

Revisar, conciliar y reportar los valores por cobrar a clientes por costos y comisiones en informes

que permitan con claridad efectuar la gestión de cobro adecuada de cartera.

5.2 PROCESO DE REPORTE DE INFORMACIÓN

Elaborar y reportar la información financiera de la comisionista consolidada para la toma de

decisiones por parte de la Gerencia y Junta Directiva, efectuar la transmisión de la información

periódica a la Superintendencia Financiera de Colombia y a la Bolsa Mercantil de Colombia

oportunamente.

PROCEDIMIENTOS:

5.2.1 Procedimiento de Verificación y Consolidación Financiera

Consolidación de la Información Contable y Financiera de la comisionista para la: Consolidación de

la información Contable. Generación de Balance de Prueba, Generación de Plano de Transmisión

Mensual a la Superintendencia Financiera, Elaboración de Informes para Junta Directiva, Reporte

de Información a la BMC y Elaboración de Informe de Presentación Financiera Mensual.

5.2.2 Procedimiento de Rendición de Cuentas y Gestión Administrativa

Informar las cuentas comprobadas de la gestión en lo exigido por la Gerencia, Junta Directiva o

Asamblea de Accionistas y cumplimiento de esquemas de Conducta y ética, SARO y SARLAFT y de

los estatutos sociales.

5.2.3 Procedimiento de Cumplimiento de Obligaciones Formales

Remitir oportunamente la información de carácter general de obligatorio cumplimiento ente las

entidades de vigilancia, inspección y control y de autorregulación

5.3 PROCESO DE ADMINISTRACIÓN DEL RECURSO HUMANO

Brindar a través de la administración del recursos humano la vinculación del personal necesario e

idóneo para el desarrollo de las actividades del normal funcionamiento de la comisionista, mediante

le cumplimiento de los objetivos y principios determinados por las Directivas de la compañía,

contemplando para ello la capacitación y actualización debida de funciones y de los lineamientos





que garanticen un ambiente laboral de armonía y compensación adecuada. Definidos en el modelo

de competencias organizacionales de la comisionista y la evaluación de cargos y perfiles

correspondientes, veedor del cumplimiento de lealtad, ética y conducta.

PROCEDIMIENTOS:

5.3.1 Procedimiento de Vinculación de Personal

Adelantar el procedimiento de contratación de los nuevos funcionarios y velar porque este se

efectué en los tiempos requeridos para el cubrimiento de las actividades y funciones necesarias en

la organización y el normal desarrollo de la actividad de la comisionista, dentro de las normas

vigentes.

5.3.2 Procedimiento de Capacitación del Personal

Adelantar las tareas y actividades orientadas a mantener el conocimiento integral por parte del

empleado de lo que debe realizar en el normal desarrollo de sus funciones, aplicadas a las

modificaciones en los instructivos de la compañía de la BMC.

5.3.3 Procedimiento de Seguimiento de Cumplimiento de Obligaciones laborales y funciones

Monitorear las actividades realizadas por el personal y cumplimiento de sus funciones y

responsabilidades.

5.3.4 Procedimiento de Preparación y Liquidación de Nomina

Efectuar la liquidación para pagos de salarios al personal y calculo de aportes de seguridad social,

parafiscales y provisiones laborales, con base en las novedades recibidas.

5.3.5 Procedimiento de Remoción y Desvinculación de Personal

Efectuar la liquidación final de prestaciones sociales de los empleados retirados o que

voluntariamente presentan renuncia conforme a las normas laborales vigentes.

5.4 PROCESO DE GESTIÓN DE RECURSOS FÍSICOS

Proveer y mantener los elementos físicos y de oficina, insumos, papelería y demás requeridos para

el desarrollo de las funciones y labores del personal, así como vigilar el buen uso que el personal

realice de los activos entregados y responsabilidad de los mismos. La adquisición de nuevos activos

requeridos para la ejecución de tareas, igualmente la actualización y mantenimiento de programas y

software utilizados legalmente por la compañía, Vigilar y conservar los bienes sociales.

PROCEDIMIENTOS:





5.4.1 Procedimiento de Compra de Suministros y Elementos de Oficina

Realizar las compras y gastos necesarios para la buena marcha de la Compañía y todos los pagos

que se realizan en la oficina.

5.4.2 Procedimiento de Compra de Activos Fijos y Software

Realizar las compras de Activos Fijos y Programas de Sistemas necesarios y que garanticen el

desarrollo de las actividades y funciones de la comisionista.

5.5 PROCESO DE CONTRATACIÓN

Garantizar la evolución de los negocios de la compañía mediante la vinculación de proveedores de

bienes y servicios, o de asesores o profesionales que brinden una gestión eficaz orientada a cumplir

con las exigencias normativas y con los logros definidos por la organización.

PROCEDIMIENTOS:

5.5.1 Procedimiento de Contratación de Proveedores y Asesores Profesionales

Mantener la prestación de servicios y asesoramiento necesarios y permanentes para el

cumplimiento de objetivos y funcionamiento de la organización.

5.6 PROCESO DE GESTIÓN DE REQUERIMIENTOS DE ENTIDADES

Cumplir con los requerimientos establecidos por las entidades de vigilancia y así desarrollar el

objeto de forma eficaz.

PROCEDIMIENTOS:

5.6.1 Procedimiento de Gestión de Requerimientos de Entidades

Elaborar los informes de respuesta a requerimientos que se deban presentar a la Superintendencia

Financiera, la DIAN, Junta Directiva, La Gerencia General, etc. según lo establecen las normas o

cuando estas lo soliciten

5.7 PROCESO DE CUSTODIA Y MANEJO DE INFORMACIÓN

Conservar la documentación y comunicaciones soporte de las negociaciones efectuadas en la

compañía, la que corresponde a vinculados, accionistas, clientes, operaciones, personal,





contratación, proveedores, financiera, contable y administrativa, así como de la información en

medio magnético a cargo de todos los funcionarios de la organización.

PROCEDIMIENTOS:

5.7.1 Procedimiento de Correspondencia Recibida

Controlar la correspondencia recibida en la comisionista de toda índole.

5.7.2 Procedimiento de Correspondencia Remitida

Controlar la correspondencia remitida por la comisionista de toda índole.

5.7.3 Procedimiento de Custodia y Manejo de Información

Proteger la información que se produce dentro de la empresa. Registrar todas las reuniones de

Asamblea y Junta Directiva en su respectivo libro de actas. Efectuar copia de seguridad del sistema

contable periódicamente.

6 MACRO-PROCESO OPERACIONAL

6.1 PROCESO OPERATIVO DE ASESORÍA

Evaluar problema o necesidad del cliente que se pretende solucionar; el objetivo indagar sobre la

pertinencia y conveniencia de llevar a cabo el proyecto, llevarlo a cabo y dar solución a los

problemas del cliente.

PROCEDIMIENTOS:

6.1.1 Procedimiento Asesoría en Banca de Inversión - OPOAPRO001

Evaluar problema o necesidad que se pretende solucionar; de manera que se prepara su

información y se cuantifican y valoran sus costos y beneficios. Igualmente se preparan los diseños





preliminares si éstos se requieren. El objetivo de esta etapa, es indagar sobre la pertinencia y

conveniencia de llevar a cabo el proyecto antes de iniciar las obras o acciones que lo harán

realidad.

6.1.2 Procedimiento Expost Asesoría en Banca de Inversión - OPOAPRO002

La evaluación expost examina el proyecto de asesoría, una vez ha concluido el ciclo de vida,

determinando las razones de éxito o fracaso con el fin de replicar las experiencias exitosas en el

futuro y de evitar los problemas ya presentados.

6.2 PROCESO REGISTRO DE FACTURAS

Detallar el procedimiento de ingresar facturas de operaciones de compra y/o de venta de los

productos naturales o con procesamiento industrial primario, según parámetros establecidos por

REYCA CORREDORES S.A teniendo en cuanta procesos internos para validar un cliente tales

como SARLAFT, SARO y todos los requerimientos que conllevan ser un cliente sin riesgo para la

firma y a su vez el cliente pueda adquirir otro tipo de producto para su beneficio, además se deben

tener encuentra las normas exigidas por la Superintendencia Financiera para que sea un proceso

claro y sin ningún riesgo de fraude o lavado de activos.

PROCEDIMIENTOS:

6.2.1 Procedimiento de Registro de Facturas - OPPRFPR001

Detallar el procedimiento de ingresar facturas de operaciones de compra y/o de venta de los

productos naturales o con procesamiento industrial primario, según parámetros establecidos por

REYCA CORREDORES S.A teniendo en cuanta procesos internos para validar un cliente tales

como SARLAFT, SARO y todos los requerimientos que conllevan ser un cliente sin riesgo para la

firma y a su vez el cliente pueda adquirir otro tipo de producto para su beneficio, además se deben

tener encuentra las normas exigidas por la Superintendencia Financiera para que sea un proceso

claro y sin ningún riesgo de fraude o lavado de activos.

6.3 PROCESO OPERACIONES FÍSICOS

Realizar un óptimo procedimiento para llegar a realizar operaciones de mercado de compras

públicas tales como físicos disponibles y forwards.

PROCEDIMIENTOS:





6.3.1 Procedimiento de para participación en venta de Operaciones de Mercado Abierto (OMAS)

Físicos Disponibles y Forward - OPPFDPR001.

Ejercer una adecuada participación en venta de Operaciones de Mercado Abierto: Físicos

disponibles y Forward

6.3.2 Procedimiento para dar cumplimiento en la participación en venta de operaciones de mercado

abierto: Físicos Disponibles y Forward - OPPFDPR002.

Ejercer una adecuada actividad en el cumplimiento de operaciones en punta vendedora en el

mercado abierto de Físicos disponibles y Forward

6.3.3 Procedimiento de participación de firma comisionista compradora para mercado de compras

públicas - OPPFDPR003.

Realización de un adecuado procedimiento para la participación en adjudicación por subasta de la

firma comisionista en el escenario del Mercado de Compras Públicas ‐ MCP de la BMC, para actuar

como representantes de las Entidades Estatales, quienes buscan atender sus necesidades de

compra de bienes de características técnicas uniformes y/o de origen agrícola, en el escenario de la

Bolsa,

6.3.4 Procedimiento para participación en punta compradora en operaciones de mercado abierto:

físicos disponibles y forward - OPPFDPR004.

Ejercer una adecuada participación en punta compradora en Operaciones de Mercado Abierto:

Físicos disponibles y Forward

6.3.5 Procedimiento de cumplimiento por la participación en punta compradora de operaciones de

mercado abierto: físicos disponibles y forward - OPPFDPR005

Ejercer una adecuada actividad en el cumplimiento de operaciones en punta compradora en el

mercado abierto de Físicos disponibles y Forward

6.4 PROCESO FINANCIEROS

Realizar un óptimo procedimiento para llegar a realizar operaciones de financieros.

PROCEDIMIENTOS:

6.4.1 Procedimiento Operaciones Financieros De Inversión - OPFIPRO001

Realizar un óptimo procedimiento para llegar a realizar operaciones de financieros.

6.4.2 Procedimiento Operaciones de CAT, CPT Y Repos sobre CDM - OPFIPRO002





Realizar un óptimo procedimiento de Operaciones de CAT, CPT Y Repos sobre CDM.

6.5 PROCESO OMAS FINANCIEROS – SUBASTAS

Realizar un óptimo procedimiento para la participación en subasta.

PROCEDIMIENTOS:

6.5.1 Procedimiento para participación en Subasta - OPPSUPR001

Realizar un óptimo procedimiento para la participación en subasta.





ANEXO 2. FACTORES DE RIESGO OPERATIVO

1. FACTORES DE RIESGO OPERATIVO

Se entiende por factores de riesgo operativo, las fuentes generadoras de eventos en las que se

originan las pérdidas por riesgo operativo.

De acuerdo con la clasificación general establecida en el Capítulo XXIII de la Circular Externa 100

de 1995 de la Superintendencia Financiera, los factores de riesgo operativo se clasifican de la

siguiente forma:

1.1 Factores Internos

1.1.1 Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la

ejecución de los procesos de la Compañía.

Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos

de la legislación vigente.

La vinculación indirecta hace referencia a aquellas personas que tienen con la Compañía una

relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato

de trabajo, como el caso del outsourcing.

1.1.2 Procesos: Es el conjunto interrelacionado de actividades para la transformación de

elementos de entrada en productos o servicios, para satisfacer una necesidad.

1.1.3 Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la

Compañía. Incluye: hardware, software y telecomunicaciones.

1.1.4 Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una

organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y

transporte.

1.2 Factores Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por

terceros, que escapan en cuanto a su causa y origen al control de la Compañía.





La Compañía adopta estos factores de riesgo como los factores principales. No obstante, la

Coordinación de Riesgo podrá establecer un segundo nivel de clasificación de factores, más

detallado, con el fin de poder llevar a cabo un mejor seguimiento y evaluación de los mismos.

2. CLASIFICACIÓN DE LOS RIESGOS OPERATIVOS

De acuerdo con la clasificación general establecida en el Capítulo XXIII de la Circular Externa 100

de 1995 de la Superintendencia Financiera, los eventos que pueden originar o no pérdidas para la

Compañía, como resultado de la presencia de uno o más de los anteriores factores de riesgo, son

los siguientes:

2.1. Fraude Interno: Son aquellas pérdidas derivadas de cualquier acto que de forma intencionada

busca defraudar o apropiarse indebidamente de activos de la Compañía o incumplir normas,

leyes o políticas empresariales en las que está implicado, al menos, un empleado o

administrador de la Compañía, en beneficio propio o de un tercero.

2.2. Fraude Externo: Son pérdidas derivadas de cualquier acto, realizado por una persona externa

a la Compañía, que buscan defraudar, apropiarse indebidamente de activos de la misma o

incumplir normas o leyes.

2.2.1 Relaciones Laborales: Pérdidas derivadas de actos que son incompatibles con la

legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente

sobre la materia.

2.2.2 Clientes: Pérdidas derivadas del incumplimiento negligente o involuntario de las

obligaciones frente a los clientes, que impiden satisfacer una obligación profesional frente a

éstos.

2.2.3 Daños a Activos Físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la

Compañía.

2.2.4 Fallas Tecnológicas: Pérdidas derivadas de fallas tecnológicas.

2.2.5 Ejecución y Administración de Procesos: Pérdidas derivadas de errores en la ejecución

y administración de procesos.

2.2.6 Riesgo Operativo como Consecuencia del Riesgo Legal: Se entiende por riesgo legal la

posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar

daños como consecuencia del incumplimiento de las normas y obligaciones contractuales.





También el riesgo legal se presenta como consecuencia de errores en los contratos y

transacciones, resultantes de comportamientos malintencionados, negligencia o actos

involuntarios que afectan el buen desempeño y ejecución de contratos o transacciones

2.2.7 Riesgo Operativo como Consecuencia del Riesgo Reputacional: Se entiende por riesgo

reputacional la posibilidad de pérdida en que incide la Compañía por desprestigio, mala

imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de

negocio, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Se adoptan estos factores de riesgo para la Compañía como los más importantes. La

Coordinación de Riesgo podrá realizar una segunda clasificación de factores, con más

detalle con el objetivo de tener un seguimiento y evaluación de los mismos.

Categorías de tipos

de eventos Definición

Subcategorías de tipos

de evento Ejemplos

Fraude interno

Pérdidas derivadas de algún tipo de

actuación encaminada a defraudar,

apropiarse de bienes indebidamente o

soslayar regulaciones, leyes o políticas

empresariales (excluidos los eventos de

diversidad / discriminación) en las que se

encuentra implicada, al

Actividades no

autorizadas

Operaciones no reveladas (intencionalmente)

Operaciones no autorizadas

Valoración errónea de posiciones

(intencional)

Uso indebido de facultades y poderes.

Hurto y fraude Fraude / fraude crediticio / depósitos sin valor

Hurto / extorsión / malversación / robo

Apropiación indebida de activos

Destrucción dolosa de activos

Falsificación

Utilización de cheques sin fondos

Contrabando

Apropiación de cuentas, de identidad, etc.

Fraude externo

Pérdidas derivadas de algún tipo de

actuación encaminada a defraudar,

apropiarse de bienes indebidamente o

soslayar la legislación, por parte un tercero

Hurto y fraude Hurto/ robo / estafa / extorsión /soborno

Falsificación / suplantación de personalidad

Utilización de cheques sin fondos

Contrabando

Espionaje industrial

Seguridad de los

sistemas

Daños por ataques informáticos

Robo de información

Vulneración de sistemas de seguridad

Utilización inadecuada de claves de acceso

y/o niveles de autorización.








de evento Ejemplos

Fallas en las

relaciones laborales

Pérdidas derivadas de actuaciones

incompatibles con la legislación o

acuerdos laborales, sobre higiene o

seguridad en el trabajo, sobre el pago de

reclamaciones por daños personales, o

sobre casos relacionados con la diversidad

/ discriminación

Relaciones laborales Cuestiones relativas a remuneración,

prestaciones sociales, extinción de contratos.

Higiene y seguridad en

el trabajo

Responsabilidad en temas de seguridad

(resbalones, etc.)

Casos relacionados con las normas de

higiene y seguridad en el trabajo

Indemnización a los trabajadores.

Diversidad y

discriminación

Todo tipo de discriminación

Invasión a la intimidad y/o acoso.

Prácticas comerciales

no adecuadas

Pérdidas derivadas del incumplimiento

involuntario o negligente de una obligación

profesional frente a clientes concretos

(incluidos requisitos fiduciarios y de

adecuación), o de la naturaleza o diseño

de un producto

Adecuación, divulgación

de información y

confianza

Abusos de confianza

Aspectos de divulgación / adecuación de

información

Violación de privacidad sobre clientes

Ventas agresivas

Confusión de cuentas

Abuso de información confidencial

Prácticas empresariales

o de mercado

improcedentes

Competencia desleal

Prácticas comerciales / de mercado

improcedentes Manipulación del mercado

Abuso de información privilegiada (en favor

de la empresa) Actividades no autorizadas

Lavado de dinero





Productos defectuosos Defectos del producto

Vender un producto en condiciones

diferentes a las pactadas

Error de los modelos (cálculos de tasas,

cuotas, etc.)

Selección, patrocinio y

riesgos

Ausencia de investigación a clientes

conforme a las directrices (vinculación)

Superación de los límites de riesgo frente a

clientes

Actividades de

asesoramiento

Asesorar a un cliente erradamente




de evento Ejemplos

Daño a activos físicos

Pérdidas derivadas de daños o perjuicios a

activos materiales como consecuencia de

desastres naturales u otros

acontecimientos

Desastres y otros

acontecimientos

Pérdidas por desastres naturales

Pérdidas humanas por causas externas

(terrorismo, vandalismo)

Pérdidas por daño accidental del activo

Fallas tecnológicas

Pérdidas derivadas de incidencias en el

negocio y de fallos en los sistemas

Fallas en tecnología e

infraestructura de TI

Pérdidas por costo de reparación o

reposición de hardware, software y

telecomunicaciones





Fallas en la ejecución

y administración de

procesos

Pérdidas derivadas de errores en el

procesamiento de operaciones o en la

gestión de procesos, así como de

relaciones con contrapartes comerciales y

proveedores

Recepción, ejecución y

mantenimiento de

operaciones

Comunicación defectuosa

Errores de introducción de datos,

mantenimiento o descarga Incumplimiento de

plazos o de responsabilidades

Ejecución errónea de modelos / sistemas

Error contable / atribución a entidades

erróneas

Fallo en la entrega / pago

Fallo en

Interrupción de proceso Interrupción del proceso que puede darse

por:

- Ausencia del funcionario que ejecuta el

procedimiento

- No disponibilidad de lugar de trabajo

- No disponibilidad de suministros básicos

para ejecutar el procedimiento

- Fallas en las aplicaciones que soportan los

procedimientos

Seguimiento y

presentación de informes

Incumplimiento de la obligación de informar

Inexactitud de informes externos (con

generación de pérdidas)








de evento

Ejemplos

Fallas en la ejecución

y administración de

procesos

Pérdidas derivadas de errores en el

procesamiento de operaciones o en la

gestión de procesos, así como de

relaciones con contrapartes comerciales y

proveedores

Aceptación de clientes y

documentación

Inexistencia de autorizaciones de clientes.

Documentos jurídicos inexistentes /

incompletos

Errores en los contratos (diseño deficiente,

errores tipográficos, cláusulas erróneas,

entre otros)

Gestión de cuentas de

clientes

Acceso no autorizado a cuentas

Registros incorrectos de clientes (con

generación de pérdidas)

Pérdida o daño de activos de clientes por

negligencia

Contrapartes

comerciales

Fallos de contrapartes distintas de clientes

Otros litigios con contrapartes distintas de

clientes



entre otros)





Distribuidores y

proveedores

Subcontratación

Litigios con distribuidores



entre otros)

ANEXO 3. MAPA DE PROCESOS

Procesos Estratégicos

Planeación Estratégica

Gestión de Riesgos

Gestión de la Evaluación y

Control

Actividades de Apoyo

Gestión Administrativa

Administración de Sistemas

Gestión Contable

Gestión Jurídica

Procesos Misionales

Gestión Comercial

Gestión Operacional

Gestión Tesorería

Gestión de Cartera

Necesid

ades d

el cliente

Satisfacció

n d

el cliente

MAPA DE PROCESOS

ANEXO 4. FORMATO REPORTE DE EVENTO DE RIESGO

OBJETIVO DEL REGISTRO

1

URO

No. De Reporte Fecha de Reporte

HORA

HORA

HORA

HORA

Moneda en la cuál se materializa el evento Dólares Euros Pesos Otra cual?

1. Monto en pesos de la pérdida (2,4) Clase de Evento

2. Cuantía Recuperada 1. Fraude Interno

3. Cuantía Recuperada por Seguros 2. Fraude Externo

3. Relaciones Laborales

Pérdida neta (1-2-3) 4. Clientes

5. Daños a Activos físicos

6. Fallas tecnológicas

Producto o Servicio Afectado OPE 7. Fallas en ejecución de procesos

FÍSICOS

FINANCIEROS

SERVICIO ATENCIÓN AL CLIENTE

Insignificante Menor Moderado Mayor Catastrófico

3 6 9 11 13

Generan pérdidas y afectan el estado de resultados de la entidad

Generan pérdidas y no afectan el estado de resultados de la entidad

No Generan pérdidas y no afectan el estado de resultados de la entidad

No. Cuenta PROCESO GESTIÓN COMERCIAL

PROCESO OPERATIVO

PROCESO GESTIÓN FINANCIERA

PROCESO GESTIÓN ADMINISTRATIVA

PROCESO CONTROL INTERNO

DESCRIPCIÓN DEL EVENTO

LÍNEA OPERATIVA

TIPO DE PÉRDIDA

PROCESO AFECTADO

NOMBRE CUENTAS DEL PUC AFECTADAS

IMPACTO

CRONOLOGÍA DEL EVENTO

FECHA DE INICIO DEL EVENTO (día/mes/año)

FECHA DE FINALIZACIÓN DEL EVENTO (día/mes/año)

FECHA Junio 19 de 2007 APROBADO

FECHA DE DESCUBRIMIENTO DEL EVENTO (día/mes/año)

FECHA DE CONTABILIZACIÓN DEL EVENTO (día/mes/año)

REPORTE DE EVENTO DE RIESGO

REGISTRO

Hacer el reporte de evento de riesgo para llevar archivo histórico sobre el cual se puedan evaluar y tomar decisiones.

CÓDIGO AMREG003 VERSIÓN

MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO … · manual del sistema de...

Documents

Transcript of MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO … · manual del sistema de...