Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN MEDIDAS DE MITIGACIÓN PROCESO REGISTROS CONTABLES, DIGITACIÒN DE MOV. Y ANALISIS DE CUENTAS DESCRIPCIÓN CONTROLES Infidelidad Reconocimiento de gastos por fraude interno al y mal ocultar, omitir o adulterar información de las Control dual de las conciliaciones bancarias por un superior jerárquico. manejo conciliaciones. GESTIÓN DE INVERSIONES Aumento de gastos por incumplimiento al Infidelidad presupuesto por una negociación mal realizada, Informar y capacitar continuamente a la Gerencia de Inversiones en el Código de y mal elaborada con la intención de aprovechar a título Conducta en Operaciones de Tesorería, el cual detalla los procedimientos claros, manejo personal la diferencia en precio por parte de los las prohibiciones y las sanciones existentes, en caso de incurrir en una falta. negociadores o el Gerente de Inversiones. GESTIÓN DE INVERSIONES Seguimiento de políticas Comité de Riesgos, a través de los informes de cupos de Infidelidad Pérdida reputacional por incumplimiento de políticas contraparte y emisor y mal internas debido a que se realizan inversiones que no Seguimiento al cumplimiento del Código de Buen Gobierno Corporativo. manejo han sido aprobadas por la Junta Directiva Seguimiento al cumplimiento del políticas de intermediación de valores GESTIÓN DE INVERSIONES CAUSAS Realizar seguimiento a través del MEC sobre las operaciones realizadas que estén Infidelidad Pérdidas económicas generadas por que el acordes al mercado y mal Negociador de inversiones realiza negociaciones por Informar y capacitar continuamente a la Gerencia de Inversiones en el Código de manejo fuera de mercado Conducta en Operaciones de Tesorería, el cual detalla los procedimientos claros, las prohibiciones y las sanciones existentes, en caso de incurrir en una falta. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO DESCRIPCIÓN Pérdidas económicas por adulteración de las PUESTA EN MARCHA Y EJECUCIÒN Infidelidad y tarjetas de firmas, ocasionado por fraude DE CONTRATOS FIDUCIARIOS mal manejo interno. Pérdida económica porque no se custodian PUESTA EN MARCHA Y EJECUCIÒN Fraude de forma adecuada las tarjetas de firmas, DE CONTRATOS FIDUCIARIOS externo generando fraudes externos en la compañía. Pérdida económica generada porque no se PREPARACIÒN PREVIA PARA pone en marcha el plan de validación de Infidelidad y PUESTA EN MARCHA DEL ACTIVO seguridad para extracción de información, mal manejo (CARTERA) generando posibles fraudes internos y/o externos. Aumento de gastos y costos financieros generado porque no se realiza el control PUESTA EN MARCHA DEL ACTIVO Infidelidad y adecuado a las cuentas bancarias y se (CARTERA) mal manejo presentan posibles ilícitos, fraudes o perdidas de recursos. PAGOS ADMINISTRACION DE CUENTAS BANCARIAS CAUSAS MEDIDAS DE MITIGACIÓN CONTROLES Revisión de las firmas del formato FTOC08 Registro de firmas con respecto a las firmas cargadas en el aplicativo SINEF. Cuadro de control de los documentos en custodia en la caja fuerte de la Dirección de Operación Bancaria. Elaboración de pruebas previas a la transmisión, recepción o envío de información de la titularización por parte de la Gerencia de Informática y Tecnología, para verificar la funcionalidad de los canales de comunicación. Control dual por parte del Director y del Coordinador de operaciones bancarias en cuanto a la revisión y pagos que se realicen por medio de las cuentas bancarias, además de informes mensuales de utilizaciones en las cuentas. El descargue de cuentas por pagar realizadas por entidades Incremento de gastos generados por Infidelidad y financieras externas, se debe hacer teniendo como soporte la pérdidas o faltantes en recursos mal manejo constancia de pago generada y remitida por la entidad financiera administrados, por fraude. correspondiente. Aumento en costos por fraudes bancarios Revisión continua de los perfiles por parte del Director de Operación Infidelidad y porque se generan erradamente los usuarios Bancaria, a quienes se les asigna las claves o usuarios en los mal manejo con sus perfiles en los sistemas aplicativos transaccionales. transaccionales. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS INGRESO. DE RECURSOS POR Infidelidad y mal manejo ADICION O LLAMADOS DE CAPITAL Fraude externo REDENCION DE APORTES Infidelidad y mal manejo REDENCION DE APORTES Infidelidad y mal manejo REDENCION DE APORTES Fraude externo CONCILIACION BANCARIA Infidelidad y mal manejo MEDIDAS DE MITIGACIÓN DESCRIPCIÓN CONTROLES Aumento de gastos ocasionados por fraude interno al realizar Realizar confirmación de ingresos con los registros de ingresos ficticios de los inversionistas. bancos (conciliación). Visación de las firmas registradas en las Pérdidas económicas generadas por fraude: Al reintegrar tarjetas. recursos retirados en operaciones ficticias o irregulares Verificación de los retiros contra orden del mediante fraude interno. cliente. Pérdida reputacional porque el Cliente evidenció la presencia de un fraude interno. Aumento de gastos al reintegrar recursos retirados en operaciones ficticias o irregulares mediante la adulteración de instrucciones recibidas por fax causadas por fraude externo. Pérdidas económicas generadas por fraude: Por reconocimiento de gastos, por fraude interno al ocultar, omitir o adulterar información de las conciliaciones. Visación de las firmas registradas en las tarjetas. Verificación de los retiros contra orden del cliente Llamada de validación de la autorización del cliente. Control dual de las conciliaciones bancarias por un superior jerárquico. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS MEDIDAS DE MITIGACIÓN DESCRIPCIÓN CONTROLES Omisión de una actividad previamente definida Las operaciones deben transarse a través de los sistemas de negociación lo cual garantiza la transparencia de las mismas. Infidelidad y mal manejo La Gerencia de Riesgos realiza un monitoreo continuo a los sistemas de comunicación, como lo son las grabaciones a las llamadas telefónicas y el sistema Messenger. Infidelidad y mal manejo COMPRA Y VENTA DE VALORES EN LOS FICs No cuenta con las habilidades y competencias Infidelidad y mal manejo Falta de capacitación o capacitación incompleta El Gerente de FICs autoriza todas las operaciones, especialmente aquellas, que por su complejidad o poca frecuencia se presten para Disminución del realizar negociaciones con intereses particulares. Sobre operaciones beneficio del comunes están deben tener un precio que se ajuste a las condiciones del inversionista por una mercado en el día de la negociación. negociación elaborada con la intención de Realizar un proceso de selección adecuado con el fin de contratar aprovechar a título personal idóneo y certificado que no presente antecedentes de mala personal la diferencia conducta en el mercado financiero. en precio. Realizar de forma continua las validaciones a las negociaciones por parte de la Gerencia de Riesgos, con respecto a las condiciones de mercado existente y necesidades de rotación del portafolio. Informar y capacitar continuamente a la Gerencia de FICs en el Código de Conducta en Operaciones de Tesorería, el cual detalla los procedimientos claros, las prohibiciones y las sanciones existentes, en caso de incurrir en una falta. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS MEDIDAS DE MITIGACIÓN DESCRIPCIÓN CONTROLES Delimitación de los niveles de autoridad y de responsabilidad, conforme a las competencias de los cargos Planeación Financiera Presión de sectores económicos y/o de superiores Jerárquicos Tráfico de influencias Contacto con el cliente Manejo inadecuado de la información confidencial de las negociaciones. Uso Indebido de información reservada Monitoreo de las grabaciones y chat; clasificación de la información en la entidad. Fraude financiero Mostrar indicadores erróneos que exageren el rendimiento. Verificación de indicadores financieros, crecimiento de la compañía, flujo de caja Fraude financiero Revelación de estados financieros Auditorias internas diferente a la realidad económica de la Auditoria de Revisoría Fiscal. compañía. Malversación de activos Desembolsos Fraudulentos Cibercrimen Reproducción/utilización no autorizada Cumplimiento Circular externa 052 de 2007 de propiedad intelectual Cibercrimen Utilización de software malicioso Cumplimiento Circular externa 052 de 2007 Cibercrimen Acceso abusivo a un sistema de información Cumplimiento Circular externa 052 de 2007 Cibercrimen Suplantación de sitio web Cumplimiento Circular externa 052 de 2007 Revisión Gerencial Registros contables, digitación de movimientos y análisis de cuentas PAGOS Verificación de desembolsos y cuentas de abono Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS Elaboración de conceptos y convenios, poderes, respuestas a Corrupción - Favoritismo requerimientos de entes de control Elaboración de conceptos y convenios, poderes, respuestas a Fraude Interno - Externo requerimientos de entes de control DESCRIPCIÓN Direccionar los procesos en contra o a favor, a un incumplimiento en la contestación de demandas, que conlleven a vencimientos de términos y/o a la omisión de la debida defensa de los intereses de la entidad Fraude por parte del abogado en la gestión de cartera Administración de las Manipulación o incumplimiento voluntario de los Corrupción Conflicto de relaciones con el términos establecidos para atender una PQRS (Petición, Intereses, Favoritismo Consumidor Financiero Queja, Reclamo, Solicitud) Puesta en marcha y El inicio en la ejecución de contratos sin el cumplimiento ejecución de contratos Corrupción de los requisitos para su ejecución. Fiduciarios MEDIDAS DE MITIGACIÓN CONTROLES Seguimiento de las procesos pro parte de la Dirección Jurídica. Clausulas de penalización el los contratos con abogados externos. Seguimiento de la gestión por parte del comité de cuentas por cobrar y el director jurídico Monitoreo financiero en el caso de los funcionarios de la fiduciaria Clausulados en los contratos con firmas de abogados externos Cumplimiento Consumidor Sistema de Atención al Ficha de descripción del negocio Matriz de riesgos de negocios y el comité de negocios Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS Complementación Cumplimiento y Complementación Cumplimiento y Recurso Humano Omisión de una actividad previamente definida Procesos Control no definido Gestión Administrativa Manipulación en los formatos de consignación ante las diferentes entidades bancarias por parte de los mensajeros Gestión Administrativa Omisión en la supervisión de cámaras de seguridad y mantenimiento de las mismas MEDIDAS DE MITIGACIÓN DESCRIPCIÓN CONTROLES Pérdidas económicas generados por extravío de títulos valores en los sistemas DECEVAL y DCV, porque se realiza a Arqueo de Títulos en custodia diario, en los sistemas Deceval y manera personal traslado a otra entidad DCV títulos valores ajenos a operaciones propias de la Fiduciaria. Actualmente en la póliza global bancaria existe la cobertura Pérdida reputacional debido al préstamo para pérdidas generadas por fraude. de claves personales e intransferibles de Así mismo como medida preventiva se tiene establecido la los diferentes aplicativos solicitud de cambio de clave para PC´s y aplicativos. Inoportunidad o inconsistencias en la entrega de documentos enviados a través Revisión y devolución de formatos mal diligenciados, no sin de mensajería, lo que puede ocasionar antes mencionar al coordinador de mensajería para que este pérdida económica por sanciones de aviso a la respectiva área y haga la anotación en el informe económicas y/o disciplinarias, pago de diario a través del cuadro de revisión de servicios de moras e intereses pago de mensajería. indemnizaciones. Pérdida o robo de los activos adquiridos por la fiduciaria, lo que puede ocasionar Pérdida económica por gastos Monitoreo de cámaras. adicionales en la compra y adecuación de activos de la fiduciaria. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO Gestión Administrativa Gestión Administrativa Gestión Administrativa CAUSAS DESCRIPCIÓN MEDIDAS DE MITIGACIÓN CONTROLES Pérdida o robo de los activos adquiridos por la fiduciaria, lo que Acceso de personas no Diligenciamiento y revisión de ingreso de personas a través puede ocasionar Pérdida económica por gastos adicionales en la registradas a la Fiduciaria de correos y planillas. compra y adecuación de activos de la fiduciaria. Cambio de lugar de los Pérdida o robo de los activos adquiridos por la fiduciaria, lo que elementos asignados tales Revisar que los elementos se encuentren en el lugar puede ocasionar Pérdida económica por gastos adicionales en la como muebles y equipos indicado. compra y adecuación de activos de la fiduciaria. tecnológicos Elaboración y seguimiento de planilla de Excel en la que se Omisión o inconsistencias Pérdida o robo de los activos adquiridos por la fiduciaria, lo que relacionan los activos comprados por las áreas en la gestión de inventario puede ocasionar Pérdida económica por gastos adicionales en la encargadas: Características del activo (Modelo serie), a de activos compra y adecuación de activos de la fiduciaria. que área va y quién es la persona responsable del mismo. Ausencia de seguridad en Pérdidas económicas ocasionadas porque personas Revisión continua y control detallado por parte de la Archivo / Gestión la documentación fisica inescrupulosas tienen acceso a información confidencial del empresa contratista del servicio de archivo y autocontrol Humana custodiada archivo. por parte de los funcionarios que consulten el archivo. Gestión Negocios Tesorería Uso de usuario y clave para el uso de los tokens almacenado en el aplicativo veracrip que guarda de manera segura esta información. Uso indebido de tokens y de Aprobación o ejecución de pagos no autorizados, lo que puede claves en portales Transferencia del impacto del riesgo a través de póliza de / ocasionar pérdida económica vía faltantes en recursos por bancarios (Personas no infidelidad y riesgos financieros: Con AIG seguros incumplimiento en obligaciones contraídas con los clientes. autorizadas) Colombia, cuya cobertura para "actos deshonestos y fraudulentos de los trabajadores por $63,000,000,000" cuenta con vigencia hasta el 16 de Agosto de 2016. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS Gestión de Negocios Ataques a los / Tesorería (Fraude externo) MEDIDAS DE MITIGACIÓN DESCRIPCIÓN Vulneración a los sistemas de pago permitiendo el ingreso a información confidencial de los clientes, lo sistemas que puede ocasionar pérdida económica vía faltantes en recursos para gestión de pagos y reputacional por incumplimiento en obligaciones contraídas con los clientes. Vulneración a los sistemas de pago permitiendo el ingreso a información confidencial de los clientes, lo Uso indebido de tokens y Gestión de Negocios que puede ocasionar pérdida económica vía claves en portales bancarios faltantes en recursos para gestión de pagos y / Tesorería (Fraude interno) reputacional por incumplimiento en obligaciones contraídas con los clientes. CONTROLES Seguridad en los portales bancarias por medio de parametrización de IP, uso de tokens para los funcionarios preparadores y para los funcionarios autorizadores. La gerencia de IT, debe revisar que los niveles de seguridad del canal de internet, no sean accesados fácilmente. Transferencia del impacto del riesgo a través de póliza de infidelidad y riesgos financieros: Con AIG seguros Colombia, cuya cobertura para "Crimen pro computador" por $63,000,000,000 cuenta con vigencia hasta el 16 de Agosto de 2016. Seguridad en los portales bancarias por medio de parametrización de IP, uso de tokens para los funcionarios preparadores y para los funcionarios autorizadores. La gerencia de IT, debe revisar que los niveles de seguridad del canal de internet, no sean accesados fácilmente. Transferencia del impacto del riesgo a través de póliza de infidenlidad y riesgos financieros: Con AIG seguros Colombia, cuya cobertura para "Crimen pro computador" por $63,000,000,000 cuenta con vigencia hasta el 16 de Agosto de 2016. Matriz de riesgo operativo - Fraude y corrupción Abril 2016 IDENTIFICACIÓN PROCESO CAUSAS MEDIDAS DE MITIGACIÓN DESCRIPCIÓN CONTROLES Definición de los roles y perfiles de los funcionarios autorizados Vulneración a los sistemas de pago permitiendo el por la Direccion del Area. Acceso a la opción operativa en ingreso a información confidencial de los clientes, lo Gestión de Negocios / el Modulo de Tesorería a que puede ocasionar pérdida económica vía Transferencia del impacto del riesgo a través de póliza de Tesorería personas diferentes a las faltantes en recursos para gestión de pagos y infidelidad y riesgos financieros: Con AIG seguros Colombia, autorizadas reputacional por incumplimiento en obligaciones cuya cobertura para "actos deshonestos y fraudulentos de los trabajadores por $63,000,000,000" cuenta con vigencia hasta el contraídas con los clientes. 16 de Agosto de 2016. Los archivos de pagos generados desde SIFI, no los puedan Gestión de Negocios / Manipulación del archivo de Puede generar diferencias en archivos de pagos manipular los preparadores y que únicamente puedan ser Tesorería pagos generados desde SIFI modificados en caso especial por un usuario autorizador. (Ejecutado).