Manual de Riesgo Operativo

FOGACOOP
FONDO DE GARANTIAS DE ENTIDADES COOPERATIVAS
NIT 830.053.319-2
CIRCULAR INTERNA 005 DE 2007
( 19 JUL. 2007 )
PARA:
TODOS LOS FUNCIONARIOS
DE:
DIRECCIÓN
ASUNTO:
MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE
RIESGO OPERATIVO - SARO
Mediante la presente Circular se da a conocer el Manual del Sistema de
Administración del Riesgo Operativo aprobado por la Junta Directiva del
Fondo en su sesión del 26 de junio de 2007 (Acta 114), teniendo en cuenta lo
previsto en las Circulares Externas 048 y 049 de 2006 de la
Superintendencia Financiera. Allí se implementa el sistema de medición y
control de riesgo operativo.
El manual aprobado, el cual se anexa a la presente circular, es de obligatorio
cumplimiento para todos los funcionarios de la entidad.
La presente Circular rige desde su expedición.
Cordialmente,
JORGE BERMÚDEZ SALGAR
Director
Carrera11 No. 93 – 46 Piso 6 Teléfonos: 6355868– 018000-919723 Fax: 6357210 Bogotá D.C. – Colombia
www.fogacoop.gov.co - e-mail: [email protected]
MANUAL DEL
SISTEMA DE ADMINISTRACIÓN
DE RIESGO OPERATIVO
SARO
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
2 de 12
CONTENIDO
Introducción
1. Metodología para la identificación, medición, control y monitoreo de
los riesgos operativos definiciones
2. Procedimiento para la identificación, medición, control y monitoreo de
los riesgos operativos
3. Estructura organizacional del SARO
4. Informes
5. Estrategias de capacitación y divulgación del SARO
6. Anexos 1, 2 y 3
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
3 de 12
INTRODUCCIÓN
Mediante las circulares 048 y 049 de 2006 la Superfinanciera fijó las bases y los
lineamientos mínimos que deben ser implementados por las entidades sometidas a
su supervisión y vigilancia, para el desarrollo de un Sistema de Administración del
Riesgo Operativo – SARO.
En línea con ese requerimiento FOGACOOP desarrolla el presente manual,
teniendo en cuenta a su vez, como igualmente lo señalan las mencionadas
circulares, su estructura, tamaño, objeto social y actividades de apoyo. En este
sentido, la definición y ámbito de los riesgos operativos para el SARO se toman de
los que la entidad tiene definidos y descritos en el documento denominado “Mapa de
Riesgos”, el cual fue desarrollado en cumplimiento de lo establecido en la Ley 87 de
1993, en la Ley 2145 de 1999 y en el Decreto 1537 de 2001.
Teniendo en cuenta que en el mencionado mapa de riesgos ya elaborado, se han
definido e identificado los riesgos para la mayoría de los procesos y se han
establecido los controles para mitigar los mismos, el presente manual se desarrolla
con base en lo allí descrito, complementándolo en lo pertinente a fin de adecuarlo a
los requerimientos metodológicos establecidos en las circulares 048 y 049 ya
comentadas.
Políticas:

Impulsar la cultura en materia de riesgo operativo.

Prevenir la pérdida de recursos monetarios mediante la debida y permanente
identificación y control de los riesgos asociados

Asegurar el cumplimiento de normas internas y externas.

Prevenir y resolver posibles conflictos de interés en la recolección de
información en las diferentes etapas del SARO, especialmente para el
registro de eventos de Riesgo Operativo.

Identificar los cambios en los controles y los factores de riesgo operativo.

Desarrollar e implementar un plan de continuidad del negocio.
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
4 de 12
1. Metodología para la Identificación, Medición, Control y Monitoreo de los
Riesgos Operativos
a. Identificación: La identificación de los riesgos operativos se realiza a través de la
aplicación de una encuesta a las áreas responsables de los diferentes procesos, la
cual constará de un formato de preguntas y respuestas en los que se deje registrado
para cada proceso enunciado, la siguiente información: los riesgos operacionales
que identifica cada área y los factores de riesgo para cada uno (deficiencias o fallas
en el recurso humano, en el proceso, en la tecnología asociada, en la infraestructura
o por la ocurrencia de acontecimientos externos.Los controles existentes y si fuere el
caso, enunciar los que en su opinión deben implementarse de manera adicional o
sustitutiva, así como los responsables del control.
Los eventos de riesgo que se hayan presentado para cada uno de los riesgos
identificados.
b. Medición: Los criterios para efectuar la medición de los riesgos son los siguientes:




VERSIÓN
2.0
Probabilidad de ocurrencia: El horizonte de tiempo para establecerla es de
un año y la unidad de medida será: Alta, Media, Baja. Para establecer la
probabilidad de ocurrencia, se deberá tener en cuenta si se han
presentado eventos de riesgo de manera permanente, esporádica o
recurrente.
Impacto: La unidad de Medida para el impacto será igualmente: Alto,
Medio, Bajo y se califica teniendo en cuenta sus efectos económicos,
reputacionales y legales.
Una vez se realice la medición de la probabilidad y el impacto para los
riesgos de cada proceso por las áreas responsables, se debe realizar la
medición consolidada para la entidad, determinando el perfil de Riesgo
Inherente.
Nota: No obstante que la medición que se va a realizar es cualitativa, se
deberán usar los siguientes rangos al establecer la calificación alta, media
o baja.
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
5 de 12
Guía para calificar la probabilidad y el impacto de un evento de
Operativo
Baja(o)
Media(o)
Riesgo
Alta(o)
Probabilidad
Entre 0 y 5%
Entre 5 y 10%
Mas de 10%
Impacto
Menos del 0.1% del
patrimonio del Fondo
Entre el 0.1% y el 1% del
Patrimonio del Fondo
Más del 1% del
Patrimonio del Fondo
c. Control: Las medidas de control que se definan, deben considerar el costo de
su implementación frente al impacto esperado con base en la probabilidad de
ocurrencia de cada riesgo. Una vez se implementen los controles, se debe
revisar la medición de la probabilidad y el impacto por parte de las áreas
responsables para los riesgos de los procesos modificados, determinando el
perfil de Riesgo Residual (después de controles) en esos casos y el nuevo
perfil de riesgo consolidado.
d. Monitoreo: Semestralmente se realizará un seguimiento por parte de la
Auditoria Interna, con el fin de evaluar el cumplimiento a los controles
establecidos y medir la eficiencia de dichos controles a través del seguimiento
a los eventos de riesgo que se presenten.
2. Procedimiento para la Identificación, Medición, Control y Monitoreo
de los Riesgos Operativos

Paso1: Identificar por parte de las áreas responsables de los procesos, todos
y cada uno de los riesgos asociados. Identificar los controles existentes y si
fuere del caso, los que deberían implementarse y establecer la probabilidad e
impacto de cada riesgo, antes y después de los controles, con base en la
metodología definida. Anexo No. 1 y 2

Paso 2: Una vez diligenciada la correspondiente encuesta por parte de las
áreas responsables, se remitirá a la Unidad de Riesgo Operativo, la cual
consolidará los resultados, evaluará lo descrito y conceptuará sobre la
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
6 de 12
racionalidad del riesgo o los riesgos identificados. El resultado debe ser
consignado en el formato establecido.

Paso 3: Con base en los resultados obtenidos de los pasos 1 y 2, la Unidad
de Riesgo Operativo establecerá el perfil de riesgo inherente y residual
consolidado de la entidad.

Paso 4: Las áreas responsables de los procesos en los cuales se han
identificado riesgos operativos, deberán al momento de ocurrir un evento,
reportarlo a la Unidad de Riesgo Operativo, según formato descrito en el
Anexo No.3. La Unidad de Riesgo Operativo es responsable de mantener
actualizados los registros relativos a los reportes y evaluará la necesidad de
efectuar actualizaciones y/o modificaciones a los procedimientos y planes de
acción relativos al SARO.

Paso 5: Semestralmente e independientemente a si se han presentado
eventos de riesgo, la Unidad de Riesgo Operativo revisará los riesgos, sus
controles y mediciones con el fin de identificar los posibles cambios en el
perfil de riesgo de la entidad. Paso 6: La Auditoria Interna, con base en los
seguimientos que realice de manera periódica e independiente y en la
información resultante de los pasos 4 y 5 que le será suministrada por la
Unidad de Riesgo Operativo, procederá a determinar las deficiencias en el
SARO y proponer posibles soluciones.
 Paso 7: Para dar cumplimiento a lo establecido sobre la Revelación contable
de los eventos, con base en sí los mismos generan pérdidas y afectan el PyG
de la entidad, éstos deberán registrarse de la manera establecida en el
Numeral 3.2.8.3. de la Circular Externa No. 049 de 2006 de la
Superfinanciera.
3. Estructura organizacional del SARO
La estructura organizacional que apoya el SARO será la siguiente:
 La Junta Directiva con las funciones definidas en las circulares 048 y 049 de
2006.
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
7 de 12

El Director con las funciones establecidas para el Representante Legal en las
circulares 048 y 049 de 2006.

La Gerencia de Asuntos Estratégicos tendrá asignadas las funciones de la
Unidad de Riesgo Operativo previstas en las circulares 048 y 049 de 2006.

El Auditor Interno deberá evaluar periódicamente la efectividad y
cumplimiento de todas y cada una de las etapas y los elementos del SARO
con el fin de determinar las deficiencias y proponer posibles soluciones.
Informar los resultados de la evaluación al Representante Legal y a la Unidad
de Riesgo Operativo y realizar una revisión periódica del registro de eventos e
informar al Representante Legal sobre el cumplimiento de las condiciones
señaladas para estos registros.

El Revisor Fiscal deberá elaborar un reporte al cierre de cada ejercicio
contable, en el que informe acerca de las conclusiones obtenidas en el
proceso de evaluación del cumplimiento de las normas e instructivos sobre el
SARO y poner en conocimiento del R.L. los incumplimientos del SARO, sin
perjuicio de la obligación de informar sobre ellos a la Junta Directiva.
4. INFORMES
Tipo de Informe
Periodicidad
Registro de eventos de riesgo Según se presenten
Informe de resultados de la
Semestral
evaluación del SARO
Informe de evolución del
Semestral
riesgo, controles y monitoreo
Informe de evolución y
Semestral
aspectos relevantes del SARO
Informe de conclusiones sobre
el cumplimiento de normas e Anual
instructivos del SARO
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
Responsable
Destino
Dirección, Unidad de Riesgo
Profesional responsable
Operativo y Auditoria Interna
Dirección, Unidad de Riesgo
Auditor Interno
Operativo y Junta Directiva
Auditor Interno
Unidad de Riesgo Operativo
Director
Director
Junta Directiva
Revisor Fiscal
Director y Junta Directiva
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
8 de 12
5. ESTRATEGIAS DE CAPACITACIÓN Y DIVULGACIÓN DEL SARO

Expedir un acto administrativo por medio del cual se implemente el sistema
de medición y control del riesgo operativo y se establezca la obligatoriedad de
la aplicación.

Publicar a través de los medios internos disponibles todos los aspectos
relacionados con los mecanismos de identificación, medición, control y
monitoreo del SARO.

Capacitar de manera oportuna acerca de cada una de las actualizaciones o
eventos asociados al SARO.

Establecer las herramientas necesarias para dar a conocer a los entes
relacionados directa o indirectamente con la operación del Fondo, las
medidas y políticas establecidas por el Fondo relacionadas con el SARO.
6. ANEXO 1
La encuesta se debe diligenciar en un cuadro, en el cual consignará sus
respuestas a las siguientes preguntas, con respecto al proceso en particular para
el cual la encuesta se lleva a cabo:
 Para el proceso enunciado, cuál o cuáles son los riesgos operacionales qué
Usted identifica.
 Para el o los riesgos por Usted identificados anteriormente, indique en cada
caso sí la pérdida que se pueda producir en caso de incurrir en el mismo,
tiene efecto en términos económicos y/o reputacionales y/o legales.
 Para el o los riesgos identificados establezca el factor de riesgo de cada uno.
Lo anterior sugiere establecer sí el riesgo se produce por deficiencias o fallas
en el recurso humano, en el proceso, en la tecnología asociada, en la
infraestructura o por la ocurrencia de acontecimientos externos.
 Para cada riesgo describa los controles existentes y si fuere el caso, enuncie
los que en su opinión deberían implementarse de manera adicional o
sustitutiva.
 Mencione para cada riesgo identificado las acciones que se han seguido y las
que deberían adoptarse cuando se presenten eventos de riesgos y el
resultado de los controles aplicados si fuere el caso.
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:

Página
9 de 12
Para cada riesgo identificado deberá, con base en la metodología descrita en
el presente Manual, medirse su probabilidad de ocurrencia e impacto sobre
los criterios económicos, reputacionales y legales, sin tener en cuenta el o los
controles. Repita el mismo ejercicio de medición descrito en este Numeral,
pero ahora posterior a los controles.
ANEXO 2
SISTEMA DE ADMINISTRACION DE RIESGOS OPERATIVOS
ENCUESTA DE RIESGOS POR PROCESO
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
ECONÒMICO
LEGAL
REPUTACIONAL
PROBABILIDAD
DE OCURRENCIA
CON ONTROLES
RESPONSABLE
DEL CONTROL
IMPACTO
EVENTO Y
FORMATO DE
CONTROL
ECONÒMICO
LEGAL
REPUTACIONAL
PROBABILIDAD
DE OCURRENCIA
SIN ONTROLES
FACTOR de
RIESGO
RIESGO
PROCESO
IMPACTO
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
10 de 12
ANEXO 3
Todos los responsables de los procesos para los cuales se han identificado
riesgos deberán al momento de ocurrir un evento de riesgo operativo, reportarlo
a la Unidad de Riesgo Operativo. El correspondiente reporte deberá hacerse en
un formato en Excel que contendrá la siguiente información:
- Riesgo al que se hace referencia
- Fecha de inicio del evento
- Fecha de finalización del evento
- Fecha del descubrimiento
- Fecha en que se registra contablemente la pérdida por el evento
- Cuantía de la pérdida
- Cuantía total recuperada por acción directa de la Entidad (incluye
cuantías recuperadas por seguros)
- Cuantía recuperada por seguros
- Clase de evento (fraude interno, fraude externo, clientes, daños a
activos físicos, fallas tecnológicas, ejecución, administración de
procesos)
- Producto o servicio afectado
- Cuenta o cuentas PUC afectadas
- Proceso afectado
- Tipo de pérdida (con efecto sobre PyG, sin efecto sobre PyG, no
genera pérdida)
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
Página
11 de 12
- Descripción detallada del evento
- Línea operativa
HISTORIAL DE CAMBIOS
FECHA
7 de Julio
de 2007
21 de Junio
2012
VERSIÓN
2.0
NUMERAL
VERSIÓN
3y4
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
CAMBIOS
1.0
Documento inicial
2.0
Ajuste de responsabilidades (cargos,
dependencias, unidades), con base en la nueva
estructura organizacional.
Cambios aprobados por la Junta Directiva –
acta 170
REVISA
Unidad de Riesgo Operativo
APRUEBA
Junta Directiva
MANUAL DEL SISTEMA DE
ADMINISTRACIÓN DEL SISTEMA DE
RIESGO OPERATIVO “SARO”
CÓDIGO:
VERSIÓN
2.0
FECHA DE ACTUALIZACIÓN
21 de Junio de 2012
REVISA
Unidad de Riesgo Operativo
Página
12 de 12
APRUEBA
Junta Directiva