Procedimiento de Aplicación delaPolítica Corporativa deGestión … · ladescripción de roles de...

EMPRESA PÚBLICA METROPOLITANA DE AGUA POTABLE Y SANEAMIENTOEPMAPS

"'-lYOO ) J.~. 1C...fl

'v1o rOpC)litDrlaete /iQ..B PotebIey Señeemiento

Procedimiento deAplicación de la PolíticaCorporativa de Gestión

de Riesgos

Cargo: Jefe de DesarrolloCorporativo y Gestión de Riesgos

Revisado por:Nombre: Marco Antonio e

Aprobado por:Nombre: Othón Zevallos Moreno

PROCEDIMIENTO DE APLICACiÓN DE LA POlÍTICA CORPORATIVADE GESTiÓN DE RIESGOS DE LA EPMAPS

REVISION No. 00-x,..;:-

NORMATIVA DiciembreINTERNA ANEXO No. 1 FECHA

2012

HOJA1 de 17

CONTENIDO

1. INTRODUCCIÓ N ..•...•..•...•................................•.............................•..•..•....•.••..••.•..••..•......•..•..•...•........... 2

1.1 Alcance 2

1.2 Obje tivas 2

1.3 Definición 2

1.4 Componentes de Actividad 4

1. 5 Niveles de Riesgo 4

1.6 Actualización del Procedimiento de aplicación de la Política Corparotiva de Gestión de Riesgos de la

EPMAP5 5

2.2.12.2

3.

3.13.23.3

4.

5.

ACTIVIDADES PERiÓDICAS ..........••......•..•..............................................................................•........•••••.. 5

Identificación de Riesgos 5

Evaluación de 105 Riesgos 6

ACTIVIDADES CONTINUAS ..••..•..•..•••••••••..•..••.••••..•••••.••••...•.....••....••.....•...•..........•..........•.........•......•..• 12

Manitorea del Riesgo 12

Respuesta y Mitigación de riesgo 13

Reparte de Riesgo Consolidodo 15

ANEXO MR01- Medición de Impacto de Riesgos ..••...••••••••••••••••••..•••••.••..•..••..•.••.............•.........•..•.... 16

GLOSARIO DE TÉRM INOS ••••••••••.••..•..•..••..............•...•...•.........•.....•.........................•.........•..••..•..••••••••• 17

NORMATIVAINTERNA

PROCEDIMIENTO DE APLICACiÓN DE LA POLÍTICA CORPORATIVADE GESTiÓN DE RIESGOS DE LA EPMAPS

ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

20122de 17

1. INTRODUCCIÓN

1.1 Alcance

El presente documento instituye los lineamientos generales que deben observar el Directorio,Gerencias, Direcciones, Áreas y las Funciones de Coordinación y Monitoreo de la Gestión deRiesgos (Departamento Desarrollo Corporativo y Gestión de Riesgos); y, todos losservidores/as y obreros/as de la EPMAPS. Este documento establece las funciones yresponsabilidades especificas a realizarse por cada uno de los niveles, incluyendo las delComité de Riesgos, quien es responsable de supervisar las actividades, indicadores, reportesy seguimiento de la gestión de riesgo.

Las definiciones establecidas en el presente documento consideran los lineamientosestablecidos en la norma 300 "Evaluaciones de/ Riesgo" estipulado en el Acuerdo 039 de laContralorla General del Estado: Normas de Control Interno para las Entidades. Omanismosdel Sector Público v de las Personas Jurfdicas de Derecho Privado gue dispongan deRecursos Públicos, del 16 de noviembre del 2009, publicado en el Registro Oficial No. 87 del14 de diciembre del 2009

1.2 Objetivos

Los objetivos del presente procedimiento son:

a) Establecer un marco referencial en el que EPMAPS defina los lineamientos que llevará acabo para la Gestión de Riesgos Corporativos de la Empresa.

b) Detallar los roles y responsabilidades de las Gerencias, Direcciones, Áreas y lasFunciones de Coordinación y Monitoreo de la Gestión de Riesgos; y, de todos losservidores/as y obreros/as de la EPMAPS dentro del Sistema de Gestión de RiesgosCorporativos.

1.3 Definición

El Riesgo Corporativo tiene que ver con eventos que podrian impactar negativamente laoperatividad y consecución de objetivos de la Empresa, y que pueden representar pérdidaspotenciales o pérdidas de oportunidad para la Empresa.

La Gestión de Riesgos Corporativos es un proceso efectuado por el Directorio, Gerencias,Direcciones, Áreas y todos los servidores/as y Obreros/as de la Empresa. Aplicándose en ladefinición de la estrategia de toda la entidad y diseñado para identificar y administrar el riesgode eventos potenciales que puedan afectar a la Empresa y el logro de sus objetivosEstratégicos.


REVISION No. 00

NORMATIVAINTERNA ANEXO No. 1 FECHA

HOJA

Diciembre

20123 de 17

Este proceso es ejecutado en los siguientes niveles de la Organización:

a) Directorio. Gerencia General;b) Comité de Gestión de Riesgosc) El Equipo de Coordinación y Monitoreo de la Gestión de Riesgosd) Gerencias de Área y Direccionese) Las y los servidores y obreros en general.

Cada uno de estos grupos tienen roles y responsabilidades especificas en el proceso deGestión de Riesgos Corporativos.

El proceso de Gestión de Riesgos Corporativos de la Empresa se compone de cincoactividades especificas. las mismas que se dividen en periódicas y continuas, de acuerdo alsiguiente detalle:

Actividades Continuas

.M.tril d8 Gestión d.Riesgos

_Indicador •• y Toler.nd.de Rle&go

.A(;lividad.$ d.Rlllpo •• t. YMillg.eión

d. Riesgo

• Actividades Periódicas

NORMATIVAINTERNA

PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVADE GESTiÓN DE RIESGOS DE LA EPMAPS

ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

20124 de 17

1.4 Componentes de Actividad

Cada actividad se describirá de acuerdo con los siguientes componentes: definiciones, rolesy responsabilidades y reportes.

1.4.1 Definiciones

Este incluye una descripción de cada actividad, su naturaleza, alcance, propósito eimportancia en el proceso de Gestión de Riesgos Corporativos. Incluye también detallede las tareas especificas que deben realizarse en cada actividad.

1.4.2 Roles y Responsabilidades

Con el fin de asignar roles y responsabilidades para cada actividad, hemos clasificadola descripción de roles de los niveles generales y se ha establecido el Modelo deGobierno de Gestión de Riesgos, el cual posee tareas especificas para cada nivelperfectamente establecidas en la Polltica Corporativa de Gestión de Riesgos de laEPMAPS

1.4.3 Reporte

Este componente incluirá información en forma de reportes, gráficos y tablas, paradocumentar los datos de riesgo obtenidos de y/o entregados a otros miembros delModelo de Gobierno de la Gestión de Riesgos Corporativos en la Empresa.

1.5 Niveles de Riesgo

Los niveles de riesgo pueden ser:

al Alto Impacto, Alta Probabilidad - Estos riesgos comúnmente requierenmonitoreo permanente y ser manejados principalmente por controles automáticos,debido a la alta probabilidad de ocurrencia y significativo impacto. Los controlespara mitigar estos riesgos son trpicamente una combinación de controles"preventivos"' y"detectivos"'.

bl Alto Impacto, Baja Probabilidad - Estos riesgos son diflciles de predecir peropueden ser catastróficos en caso de ocurrencia, teniendo una significancia altapero normalmente son infrecuentes (ej. desastres naturales). Los controlesalrededor de este tipo de riesgo son "preventivos"' y anticipan que una respuestaadecuada será llevada a cabo cuando el evento de riesgo ocurra.

c) Bajo Impacto, Alta Probabilidad - Estos riesgos son frecuentes y tienden a serparte de operaciones rutinarias. Son relativamente predecibles y pueden seradministrados a través de controles "preventivos"' efectivos.

~':".

NORMATIVAINTERNA


ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

20125 de 17

I -

I

I

d) Bajo Impacto, Baja Probabilidad - Estos riesgos son infrecuentes y sin impactosignificativo. pueden ser gestionados a través de una combinación de controles"preventivos" y "detectivos".

1.6 Actualización del Procedimiento de aplicación de la Politica Corporativa de Gestiónde Riesgos de la EPMAPS.

El Procedimiento de aplicación de la Politica Corporativa de Gestión de Riesgos que seestablece en el presente documento conoce y revisa el Comité de Riesgos, previo a laaprobación y actualización por parte de la Gerencia General, esta actividad deberáejecutarse al menos cado dos años o cuando algún cambio en el marco regulatorio oprocesal afecte a cualquiera de los apartados de la Politica.

2. ACTIVIDADES PERiÓDICAS

Las actividades periódicas incluidas deben realizarse por lo menos una vez cada dos años.

2.1 Identificación de Riesgos

2.1.1 Definiciones

La Gerencia General revisará y aprobará los mecanismos necesarios para identificar.analizar y tratar los riesgos a los que está expuesta la organización para el logro desus objetivos Estratégicos.

Los riesgos pueden ser identificados usando las diferentes herramientas y técnicas.clasificadas en dos categorlas:

al Procedimientos de Escritorio: Invoiucran la búsqueda de fuentes de informacióninterna y externa para identificar riesgos y tendencias potenciales. Estas puedenincluir fuentes internas de información tales como reportes financieros.comunicados de prensa, resultados de auditarla, y el resultado de técnicasautomatizadas de auditarla y monitoreo de control. Las fuentes externas deinformación pueden incluir publicaciones de Empresas de Servicios Públicos,informes de analistas, entre otros.

b) Procedimientos de Campo: incluyen. pero no se limitan a entrevistas, encuestas,talleres de riesgo y sesiones de trabajos con interesados clave. La combinación delas técnicas utilizadas está a discreción del individuo o grupo liderando la actividadde identificación/evaluación de riesgo.

Los esfuerzos formales de identificación de riesgos coincidirán con el proceso deevaluación de riesgo detaliado más adelante, sin embargo, nuevos riesgos pueden seridentificados en cualquier momento y deberán ser detallados y escalados al Comité

NORMATIVAINTERNA

PROCEDIMIENTO DE APLICACiÓN DE LA POLiTICA CORPORATIVADE GESTiÓN DE RIESGOS DE LA EPMAPS

ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

20126 de 17

Riesgo dependiendo de su importancia para su adecuada inclusión en el Universo deGestión de Riesgos Corporativos. los cuales se deberán gestionar.

Los riesgos pueden ser identificados en cuatro categorias establecidas en el Universode Riesgos:

No. CATEGORIAS RIESGOS

1 Estratégico Relacionados con los objetivos de alto nivel de laEmpresa.

2 Operativo Relacionados con el uso efectivo V eficiente de losrecursos de la Empresa.

3 Cumplimiento Asociados con el cumplimiento de leyes, regulacionesy políticas aplicables .

• 4 Financiero Asociados con la confiabilidad en los reportesemitidos por la Empresa.

Los riesgos deberán documentarse en la matriz de Gestión de Riesgos, con el nivelde detalle requerido para soportar la evaluación y gestión de riesgo subsecuente.


La identificación y evaluación de riesgos serán coordinados y liderados por el Equipode Coordinación y Monitoreo de Riesgo (Departamento Desarrollo Corporativo yGestión de Riesgos). La Información relevante será entregada por las funcionesoperativas y de soporte (Gestores del Riesgo), el Comité de Riesgos facilitará lainformación sobre los riesgos claves y finalmente la Gerencia General aprobará elUniverso de riesgos de la Empresa.

2.1.3 Reporte

Los riesgos claves identificados se incluirán en el Universo de Riesgos de laEmpresa, debiendo contener la descripción y detalles relevantes de cada uno de losriesgos y sus factores agravantes.

2.2 Evaluación de los Riesgos

2.2.1 Definiciones

Con el fin de gestionar efectivamente los riesgos claves, la Empresa debe evaluar ydeterminar la importancia de los riesgos sobre la base de criterios especificas. Estapriorización se realiza en base a dos escalas principales: riesgo inherente y riesgoresidual.

I~

PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVADE GESTIÓN DE RIESGOS DE LA EPMAPS

REVISION No. 00~":;.-


2012

HOJA 7 de 17

al Riesgo Inherente

El riesgo inherente es la medida del impacto potencial y la probabilidad de ocurrenciade un riesgo determinado, sin considerar el efecto de los controles correspondientesy/o actividades de mitigación aplicadas. El riesgo inherente es representado por lasiguiente fórmula:

Riesgo Inherente = Impacto Potencial x Probabilidad

• Impacto Potencial

El impacto de riesgo no se mide únicamente en términos financieros. La GerenciaGeneral debe considerar varios criterios de impacto que son relevantes de acuerdoa cada una de las categorias de riesgos. (Ver Anexo MR01 Medición de Impactode Riesgos).

Cada categoria de riesgos se medirá de acuerdo a la siguiente:

Escala de Impacto Potencial:

- La mayor parla dela operación se

interrumpe~ Impacto finaf1Cl6ro

Slgrnflcal1VO-Datlo no reversiblea la reputación o alas relaCIOnes con

los mtoresados

PérdIda tomporal dela funcionalIdad Icapacidad de la

organizacIón- DaOOsy pérdIdas

I1naf1ClerasImpoltantes

- DsOOs en lareputación sin

Impllcaaones alargoplazo

-Interrupciónmoderada alas

actIVIdades del dla ad1a, reqUIere de

procedimientos deenmlOnda

- Pérd,das financierasmoderadas

o La SI/uaCl6npuedeser manejada Sinrequerimiento de

asistenaa

o Poca Inlerrupaóna las acbVidades

deldla a dla.procedimIentos dasolUCIón de fácilImplementación,

o SI/_manejada

mmediatamenteo PérdIdasfinancieras

me""",s

- No afecta lasactIVIdades del

dla adlao No causa daOO

- Geoorapérdidas

financieras nomateriales

• Probabilidades de Ocurrencia

Representa la probabilidad de materialización de un riesgo dado los factoresespecificas externos e internos inherentes a la Empresa, pero no consideran loscontroles especificas y/o actividades de mitigación llevadas a cabo para hacer frentea ese riesgo.

//

NORMATIVAINTERNA


ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

20128 de 17

Los controles de gestión y/o actividades de mitigación son irrelevantes a efectos deesta evaluación, sin embargo, en la medida en que los riesgos especificas se hayanmaterializado en el pasado es relevante y se debe tener en cuenta al evaluar tanto elimpacto potencial como las posibilidades inherentes.

Escala de probabilidad de ocurrencia:

TIPO DE DEFINICION DETALLE VALORPROBABILlDAO

• TIeneunaprobabilidadmayoral 75%deMUY PROBABLE SeesperaQUeocurraenla ocurrenda 5mayorlade lasdrcunstandas • Podriaocurrirdentroo duranlelospróXImos

3meses

PROBABLE• TIeneunaprobabilidaddel50%al 75%de

Eleventoocurreamenudo ocurrenda 4• PodIíaocumrdurantelospróximos6meses• TIeneunaprobabilidaddel25%al49%de

POSIBLE Eleventoocurreaveces ocurrencia 3• PodIíaocurrirduranteel año

POCOPROBABLE Eleventoesposiblepero• TIeneunaprobabilidaddemenosdel25%

2raramente ocurre dequeocurra• Podriaocumrdentrode2 a3años

TeóricamentesuocurrenoaesIMPROBABLE posible,peronuncahaocurrido • NoesprobablequeocurraenlosprÓXImos 1",y pocao escasaposibilidadde años

ocurrenaa

b) Riesgo Residual

El riesgo residual es la medida del impacto potencial y la probabilidad de un riesgodado, que incorpora el efecto de la gestión de control y mitigación sobre ese riesgoespecifico. El riesgo residual es representado por la siguiente fórmula:

Riesgo Residual = IRI • (1- (Nivel de Control f 5»)] + 0.2 • RI

Como se observa en esta fórmula, los niveles de riesgo residual son una funcióntanto de los factores de los riesgos inherentes y el nivel de control y mitigaciónasociados con un riesgo especifico.

• Actividades de Control y Mitigación

Las actividades de control y mitigación y/o controles de gestión son los procesos yestrategias de la empresa para mitigar un riesgo especifico. Estos pueden dividirseen tres categorias generales:

JI

~..~.NORMATIVAINTERNA


ANEXO NO.1

REVISION

FECHA

HOJA

No. 00

Diciembre

20129 de 17

• Controles (por ejemplo, autorizaciones, aprobaciones finales y conciliaciones)

• Estrategias de prevención (por ejemplo la diversificación de proveedores y laauto producción para el consumo), y

• Actividades de cobertura o aseguramiento. (Por ejemplo, contratación deseguros, contratación de revisiones de terceros).

Escala de Eficacia de las actividades de control:

,

Ev,)Iu3Clón R3ting Acclon Oncnpclon,

• la Adlrirustración CCfl91dera qUilas eattroIes;o achdades de5 MUY ALTO Efoc!M> gestlón eslan aprq¡adlmente dlser'aó:ls y operan segjn lo

planeado

•. la Adrrinistraciérl coosidera qu.1os cama •• yloacivDades de, ALTO OpottUl'lldadlls de mepa blMaciJs gestión '5tin apropadamtrn. diser\ad). '1 operan, conoportumdades d. mlpa id,rrbfrada,

•. la AdrtlnisuacOl coolÍdera qu.1o& ccmrol•• d.tv. ylc aclivialdElsJ MOOERAOO Oportundades d. mepa rT'IOdefadas d. ge&ti(n .51." ejtCUt3noose, COlmodltradas opalJrlldadesd.

tTllJOrad.I,ctaou

•. la Admnistraciál CCI'lstderaque Ul!llen cont'd., 'loactvidides2 BAJO OportUllldadeS d, mepa impatantes d. gesti<n hlTltaOOi

•. ContrnUa un allo lVVel de nesgo

•. la AdministraclÓ'l CCIlSldera qu.los C01i'OI., ylOadlvdades d.1 MUY BAJO Oportuntdadas d. m.pa critICaS gestión son inuistentu o tienen CCr'lSider~.s dlliaenoas y no

operan segUn lo ~antado

Las escalas de impacto potencial, probabilidad de ocurrencia y eficacia en lasactividades de Control, se actualizarán de manera periódica y se procesarán a travésdel Comité de Riesgo para posteriormente ser aprobados por la Gerencia General dela Empresa.


El proceso de evaluación y medición formal de riesgos de la Empresa seráncoordinados y dirigidos por el Departamento Desarrollo Corporativo y Gestión deRiesgos, en las reuniones que debe realizar el Comité de Riesgos, sus resultadosserán puestos a consideración de la Gerencia General para su aprobación.

Información relevante sobre los principales riesgos y actividades claves de control,será provista por el servidores/as y obreros/as de la Empresa (Gestores del Riesgo),

, I1

NORMATIVAINTERNA


ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

201210 de 17

y se utilizará los procedimientos de escritorio y campo para la recolección de lainformación.

2.2.3 Reporte

Del proceso de evaluación y medición del riesgo, se generarán los siguientesinformes principales:

a) Matriz de gestión de riesgosb) Mapa de riesgos inherentesc) Mapa de riesgos residuales.

a) Matriz de Gestión de Riesgos

Es un inventario de riesgos que contendrá cierta información acerca de cadariesgo, incluyendo:

1. No. de Riesgo en el Universo de riesgos de la EPMAPS2. Categoria de Riesgo3. Nombre del Riesgo4. Descripción del Riesgo5. Factores agravantes del Riesgo6. Puntuación del Impacto Potencial7. Puntuación de Probabilidad8. Puntuación del nivel de Riesgo Inherente (Impacto. Probabilidad)9. Actividades de control y mitigación (actualmente se están llevando a cabo)10. Dueño o responsable de las actividades de control11. Puntuación de las Actividades de Control y Mitigación (Nivel de Control)12. Puntuación del nivel Riesgo Residual13. Rango del Riesgo14. Respuesta al Riesgo15. Planes de Respuesta al Riesgo16. Descripción17. Nombre del Responsable y área18. Fecha de inicio (mes/año)19. Plazo (meses)20. Seguimiento y monitoreo21. Porcentaje de cumplimiento22. Fecha última revisión23. Observaciones.

NORMATIVAINTERNA


ANEXO No. 1

b) Mapa de Riesgos Inherentes

REVISION

FECHA

HOJA

No. 00

Diciembre

201211 de 17

El mapa de riesgos inherentes es una representación gráfica (mapa de calor) delresultado de las puntuaciones del riesgo inherente, es decir, probabilidad deocurrencia. Está dise~ado para facilitar la visualización de las puntuaciones, porcada una de las categorlas de riesgos.

Tiene como objetivo determinar los riesgos más importantes en cada una de lascategorlas, sobre los cuales se debe poner especial atención en las actividadesde control.

cl Mapa de Riesgos Residuales

El Mapa de Riesgos Residuales es una representación gráfica (mapa de calor)del resultado de las puntuaciones del riesgo residual, es decir, de la puntuacióndel riesgo inherente - puntuación de actividades de control x 2.

Está dise~ado para facilitar la visualización de las puntuaciones de acuerdo a lasiguiente sub-categorización:

1. Riesgos Primarios. - Son los riesgos más significativos de la Empresa querequieren atención y vigilancia constantes. Estos riesgos deben sergestionados activamente, monitoreados continuamente, y reportadosperiódicamente. Estos riesgos son dinámicos, y en un momento dado puedenrequerir medidas de gestión adicionales. Requiere un enfoque de control,seguimiento y monitoreo recurrente para validar su mitigación apropiada deforma consistente.

2. Riesgos Secundarios.- Son los riesgos importantes que pueden convertirseen primarios en el futuro. Estos riesgos deben ser administradosregularmente como proceso rutinario de la Empresa y debe monitorearse yreportarse periódicamente su estado. Pueden estar sujetos a medidas degestión especifica adicional y/o atención especifica basados en sucomportamiento y tendencias.

3. Riesgos No Significativos. - Son los riesgos no relevantes de laorganización, considerando que en la actualidad no representan un riesgosignificativo para la Empresa. Estos riesgos deben ser evaluadosperiódicamente y supervisados por el Comité de Riesgos y la GerenciaGeneral, pero no requieren la presentación de informes regulares o medidasde gestión adicionales a menos que hechos especificos aumenten suimpacto potencial en la organización y/o su probabilidad de ocurrenciainherentes. El enfoque de Control, seguimiento y monitoreo sobre estosriesgos seria limitado y se puede orientar principalmente a una evaluaciónperiódica de la exposición.

,/,

NORMATIVAINTERNA


ANEXO NO.1

REVISION

FECHA

HOJA

No. 00

Diciembre

201212 de 17

3. ACTIVIDADES CONTINUAS

3.1 Monitoreo del Riesgo

3.1.1 Definiciones

El monitoreo del riesgo debe realizarse continuamente, a través de una combinación de:

a) Definición de Tolerancia y Límites del Riesgob) Indicadores de Desempeño de Riesgo

al Definición de Tolerancia y Límite del Riesgo

Estos limites serán propuestos anualmente por el Equipo de Coordinación yMonitoreo de Gestión de Riesgo Corporativo. posteriormente serán revisadospor el Comité de Riegos y sometidos a la aprobación por la Gerencia General.

1. Capacidad del riesgo: Es la cantidad total de riesgo que la Empresapuede abarcar en la búsqueda de sus metas estratégicas generales (lacapacidad está relacionada con el patrimonio de la Empresa).

2. Apetito por el riesgo: Es el nivel de riesgo que la Gerencia General estádispuesta a aceptar para alcanzar los objetivos estratégicos de la Empresa(misión, objetivos de la organización. metas). El apetito de riesgo se alineacon el impacto de un riesgo y la probabilidad de que ocurra. Sondirectamente relacionadas a la capacidad del riesgo de la entidad ademásde su cultura, el nivel deseado de riesgo, gestión de riesgo y estrategia dela organización (el apetito al riesgo tiene que ver con temaspresupuestarios).

3. Tolerancia al riesgo: Es el nivel de riesgo que la Gerencia General estádispuesta aceptar con respecto a la desviación de un objetivo especifico ometa.

4. Límites al riesgo: Pérdida menor a la que la tolerancia al riesgo admite ypermite un margen de seguridad.

3.1.2 Indicadores de Desempeño de Riesgo

Los niveles de riesgo inherente y la aplicación de las estrategias de Gestión deRiesgo se traducirán en un nivel neto o residual de exposición de la Empresa. Con eltiempo. esta exposición se manifiesta en experiencias de riesgo especifico. es decir.los incidentes y/o resultados del nivel real de exposición al riesgo de la Empresa.Esto es lo que se conoce como desempeño histórico del riesgo.Se pueden emplear diferentes medidas para rastrear el desempeño histórico deriesgo basado en el riesgo especifico que se controle.

I.

I,

:t.:. :"

NORMATIVAINTERNA


ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

201213 de 17

Los límites del riesgo serán propuestos anualmente por el Departamento deDesarrollo Corporativo y Gestión de Riesgos: posteriormente serán revisados por elComité de Riesgos: y, sometidos a la aprobación de la Gerencia General.


El desarrollo inicial será coordinado y ejecutado por el Departamento de DesarrolloCorporativo y Gestión de Riesgos. basado en la información que le proporcionen lasGerencias de área de la Empresa, y será revisado por el Comité de Riesgos yposteriormente aprobado por la Gerencia General.

3.1.4 Reporte

Cada semestre, el Comité de Riesgo reportará a la Gerencia General para su

aprobación los indicadores de riesgo y su comparación con el desempeño del

semestre anterior, además de los resúmenes de posición consolidados y detallados,el Directorio avocará conocimiento de manera anual de este informe.

3.2 Respuesta y Mitigación de riesgo

3.2.1 Definiciones

Basado en los resultados de definiciones de monitoreo de riesgo detallados

previamente, el Directorio. la Gerencia General y el Comité de Riesgo decidirán si se

requiere acciones de mitigación de riesgo adicionales.

La necesidad de acciones de gestión adicionales puede surgir de los siguientesescenarios:

1. Desempeño de riesgo que supera la tolerancia y limite establecido.

2. Tendencias en el desempeño de riesgo que se proyectan superiores al límite y/otolerancia establecida.

3. Tendencias de actividades de control/mitigación que proyectan deterioro en eldesempeño del riesgo.

En cualquiera de estas situaciones, el Equipo de Coordinación y Monitoreo de Riesgopuede sugerir la necesidad de adoptar medidas adicionales, pero no puede bajo

ninguna circunstancia, exigir o ejecutar dicha acción.

11


REVISION No. 00~ ..••


2012

HOJA14 de 17

Ejecución de Estrategias de Respuesta

Las estrategias de respuesta a los riesgos de una determinada exposición serángestionadas de acuerdo a lo establecido en el Modelo de Gestión Corporativa deRiesgos.

Las actividades de Gestión de Riesgo acordadas por las Gerencias, Direcciones yáreas deberán estar plenamente oficializadas, y contar en su Plan de Acción anual,para que puedan ser monitoreadas por el Equipo de Coordinación y Monitoreo deRiesgo y el Comité de Riesgo con el objetivo de alcanzar los resultados esperados.

3,2.2 Roles y Responsabilidades

Las Responsabilidades están establecidas de acuerdo a los diferentes niveles del

Modelo de Gestión Corporativa de Riesgos.

Los Gestores del Riesgo, y ios dueños de los riesgos son los responsables primariosde la identificación de situaciones de riesgo que requieran acciones de gestiónadicionales, del desarrollo de las estrategias de respuesta y de su implementación. ElComité de Riesgos supervisará estas acciones desde un punto de vista deidentificación y evaluación asl como con una perspectiva de ejecución y evaluación enel tiempo.

El rol del Equipo de Coordinación y Monitoreo de Riesgo en respuesta al riesgo selimita a un papel de "Coordinador" en cuanto al desarrollo de estrategias de gestión derespuesta y un papel de "Reporteador" en cuanto al seguimiento del estado yresultados.

La Gerencia General determinará de acuerdo a las circunstancias la adopción demedidas adicionales que gestionen el riesgo, sin embargo, la ejecución de estasestrategias será la responsabilidad y mandato de cada una de las Gerencias de Área yDirecciones, brindando una seguridad razonable sobre el control y Mitigación de losriesgos.

Seguimiento y Validación de las Acciones de Gerencia

Las diferentes áreas de la Empresa están involucradas en los roles de desarrollo,implementación, supervisión de las acciones y estrategias de respuesta al riesgo. Paralas acciones de seguimiento intervienen todos los componentes de Modelo de GestiónCorporativa de Riesgos en sus diferentes niveles.

1


REVISION No. 00::t.;.::


2012

HOJA 15 de 17

3.2.3 Reporte

Las Gerencias y Direcciones, Áreas, Departamentos y Unidades de la Empresareportarán al Comité de Riesgos a través del equipo de Coordinación Monitoreo delGestión de Riesgo Corporativo, el estado actual de los planes de acción existentes yagregarán nuevos planes de acción según sea necesario. Dicho Equipo compiiará lainformación recibida de las Funciones Operativas y reportará al Comité de Riesgo. ElComité validará la información recibida y monitoreará el progreso de accionesespecificas de manera que puedan brindar el detalle adecuado a la Gerencia Generaly a su vez al Directorio.

3.3 Reporte de Riesgo Consolidado

3.3.1 Definiciones

Los resultados de las actividades de respuesta mencionadas previamente deben serdocumentados y reportados periódicamente a la Gerencia General

Como resultado de las actividades periódicas (identificación. evaluación y medición deriesgo), la matriz de gestión de riesgos y mapas para los riesgos inherentes yresiduales deben ser reportados a los interesados clave.

Para las actividades continuas, informes semestrales deben ser creados y reportadosa la Gerencia General y anuales al Directorio. Este incluirá una versión simplificadadel resumen de la posición que obtenga el riesgo.


El Equipo de Coordinación y Monitoreo de Riesgo es el responsable primario dereportar la información consolidada y resumida de riesgos al Comité de Riesgos sinembargo, otras áreas de la Empresa toman un rol importante en la obtención yaprobación de la información presentada a dicho Comité.

3.3.3.Reporte

Cada nivel del modelo de Gobierno de la Gestión de Riesgos involucrado en esteproceso aportará con la información para la elaboración del reporte consolidado deriesgo, de existir la evolución, cambio de nuevos riesgos y que no han sido cubiertos,serán puestos a consideración al El Equipo de Coordinación y Monitoreo de Riesgo yal Comité de Riesgo para considerarlos dentro del Universo de Riesgos de laEPMAPS, información consolidada y resumida que será considerada paraconocimiento y aprobación de la Gerencia General y posteriormente del Directorio.

NORMATIVAINTERNA


ANEXO No. 1

REVISION

FECHA

HOJA

No. 00

Diciembre

201216 de 17

4. ANEXO MR01 - Medición de Impacto de Riesgos

. Sanoonas moda'adas POI' • Cuos manores '1,neumphm,anh) de aisladO. de lOCllmpl,m,en1Dreq"",lOs legall' o de reqUl'l1os lagales o"gtamlntarios <¡ua no reglamantarlO"glnaren ,n\lrrupClÓn an laEmpren

••

- Paralil'lQ6n inde~nid.d.011meno. 1 Proc.so el ••••ló,.lrlbuoónde .gu.po'-ble. 1)e<:UQMde ollrndllng"nllo.). que,mpOI.blhte bonde, elIINlOO de 'gu' POlllbll"

s ••.•,,,m,enlO

- SanCIOne, •• ",ras de 1118ulOrid.d POI'inwmplim •• nlo derequi.'lol Ilg.ln or'lIl.mel'tAnos queoalion. un. InllrT\lpd(ln

,ndefinlda In l. Empr •••

> 20% Ingresos

Mayor a US$22,610,001

. E••••nlOs general., dedallo. IJIreputllc6n

• o.ftOolltad 8n l••••• Mtd.dde ,1 mInos 1 S" •.••CIO

.ln~l1l,IpClón lempoflllde.'manos 1 Pro<:eIQ Cia.,que oeu,onap'''ltaaones m.~res I

10 diu In las oper.c>Onesnormal •• 01 la Empr •• a

• L•• ión gra •• de unJlp.~on. que '.qUilrehosp,lahzaCl6n

- S.nc:iOl'1u "lIn,ftc.ab'"POI'ineumphmlenlo d"raqui••to. 11\1'1". oreglamenlano. queocal.ona un. IIllerruPCl6nbtmpor.l O" 101 Empresa

> 1%y < 20 % Ingresos

Entre US$ 1,130,001 YU$S 22.610,000

. Indioos de da,o,o lIena,al ala '"pulación

. In18l'T'llpción temporal da al'1'111'101 I Proc"o Cla ••••,

qUlotas,ooapa'ahlllClOnl!l mayo •••. a 5dias In lascpa'aoonesque rlp,eunla

.lesiOn di una pe •• onaqua no requ,are dahotp,lIIl,z¡¡ción

>013%y<1%Ingresos

Entre US$ 150,001 yUSS ',130,000

. o.tm,nuOOnlamporll dilo. ",,,,IU de eotIel1url del. damlnd •. indiCIO' dadao1o • l. reput&c:lOn llaoertos d,efl18s

• Mn,mu ,"tllm..poon.s ,nal '1'111'10. I PrO«110 el •••••

q ••.• reprallnla unaoportt.nidad da mlJO,a dela etolno •.• in l!IIdo enIn operado"e, normalesde la Empreu

-lesIOna' me"o •••.

>005%y<013%Ingresos

Entre US$ 57,001 yUSS150,OOO

• No '''sle a'-c:ttoófl•• Iewnle enlOI n, •••la, diCObartura a la demanda

.lntem.poon •• enProOIlOS u oportuf1fdadltda majora di la a~denQa,m~reep'blas

- Cato •. min,mo. diina.omphm,.nll) d.requ1.ilo •. llVa1u olllvlamantano.

< 0.05 % r,gresos

< USS 57,000

j


REVISION No. 00~"'=;


2012

HOJA17 de 17

5. GLOSARIO DE TÉRMINOS

Actividades de Son aquellas que incluyen iniciativas, políticas, procesos, procedimientos,

Control restricciones flsicas, gulas y reglas que están destinadas a mitigar laorobabilidad o el imoacto de un riesao.

Es el nivel de riesgo que la Gerencia está dispuesta a aceptar para alcanzar los

Apetito de Riesgo objetivos estratégicos de la Empresa (misión, objetivos de la organización,metas). El apetito de riesgo se alínea con el impacto de un riesgo y laorobabilidad de aue ocurra.

Control Detectivo Su propósito es detectar y corregir errores que pudieron haber ocurrido duranteun oroceso.

ControlSon aquellos cuyo propósito es prevenir que ocurran los riesgos.Preventivo

Riesgo Cualquier evento o circunstancia que crea incertidumbre en torno a laconsecución esoerada de los obietivos de la oraanización.

Es la exposición de la Empresa sin ninguna consideración de las actividadesRiesgo Inherente actuales de control que han sido diseñadas e implementadas especificamente

oara aestionar un riesao.

Es la medida del impacto potencial y la probabilidad de un riesgo dado, queRiesgo Residual incorpora el efecto de la gestión de control y mitigación sobre ese riesgo

esoeclfico.

Es el nivel de riesgo que la Gerencia está dispuesta aceptar con respecto a laTolerancia al desviación de un objetivo especifico o meta. La tolerancia de la Gerencia por elRiesgo riesgo se relaciona con el grado en el que el desempeño se puede desviar de

un resultado esoerado v aún asi ser aceotable desde una oersoectiva de riesao.

!

Procedimiento de Aplicación delaPolítica Corporativa deGestión … · ladescripción de roles de...

Documents

Transcript of Procedimiento de Aplicación delaPolítica Corporativa deGestión … · ladescripción de roles de...