Procedimiento de Aplicación Política Corporativa de
Anuncio
EMPRESA PÚBLICA METROPOLITANA DE AGUA POTABLE Y SANEAMIENTO EPMAPS "'-lYOO ) J.~. 1C ... fl 'v1o rOpC)litDrla ete /iQ..B PotebIe y Señeemiento Procedimiento de Aplicación de la Política Corporativa de Gestión de Riesgos Revisado por: Nombre: Marco Antonio Cargo: Jefe de Desarrollo Corporativo Gestión de Riesgos y e Aprobado Nombre: por: Othón Zevallos Moreno PROCEDIMIENTO DE APLICACiÓN DE LA POlÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 -x,..;:NORMATIVA ANEXO No. 1 INTERNA FECHA HOJA Diciembre 2012 1 de 17 CONTENIDO 1. INTRODUCCIÓ N ..•...•..•...•................................•.............................•..•..•....•.••..••.•..••..•......•..•..•...•........... 2 1.1 Alcance 2 1.2 Obje tivas 2 1.3 Definición 2 1.4 Componentes de Actividad 4 1. 5 Niveles de Riesgo 4 1.6 Actualización del Procedimiento de aplicación de la Política Corparotiva de Gestión de Riesgos de la 5 EPMAP5 2. ACTIVIDADES PERiÓDICAS ..........••......•..•..............................................................................•........•••••.. 2.1 Identificación de Riesgos 2.2 Evaluación de 105 5 Riesgos ACTIVIDADES CONTI NUAS ..••..•..•..•••••••••..•..••.••••..•••••.••••...•.....••....••.....•...•..........•..........•.........•......•..• 3. 3.1 Manitorea 3.2 Respuesta y Mitigación 3.3 Reparte de Riesgo Consolidodo 6 12 12 del Riesgo Medición 5 de riesgo 4. ANEXO MR01- de Impacto de Riesgos ..••...••••••••••••••••••..•••••.••..•..••..•.••.............•.........•..•.... 5. GLOSARIO DE TÉRM INOS ••••••••••.••..•..•..••..............•...•...•.........•.....•.........................•.........•..••..•..••••••••• 13 15 16 17 PROCEDIMIENTO DE APLICACiÓN DE LA POLÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA INTERNA ANEXO No. 1 FECHA HOJA 1. No. 00 Diciembre 2012 2de 17 INTRODUCCIÓN 1.1 Alcance El presente documento instituye los lineamientos generales que deben observar el Directorio, Gerencias, Direcciones, Áreas y las Funciones de Coordinación y Monitoreo de la Gestión de Riesgos (Departamento Desarrollo Corporativo y Gestión de Riesgos); y, todos los servidores/as y obreros/as de la EPMAPS. Este documento establece las funciones y responsabilidades especificas a realizarse por cada uno de los niveles, incluyendo las del Comité de Riesgos, quien es responsable de supervisar las actividades, indicadores, reportes y seguimiento de la gestión de riesgo. Las definiciones establecidas en el presente documento consideran los lineamientos establecidos en la norma 300 "Evaluaciones de/ Riesgo" estipulado en el Acuerdo 039 de la Contralorla General del Estado: Normas de Control Interno para las Entidades. Omanismos del Sector Público v de las Personas Jurfdicas de Derecho Privado gue dispongan de Recursos Públicos, del 16 de noviembre del 2009, publicado en el Registro Oficial No. 87 del 14 de diciembre del 2009 1.2 Objetivos Los objetivos del presente procedimiento son: a) Establecer un marco referencial en el que EPMAPS defina los lineamientos que llevará a cabo para la Gestión de Riesgos Corporativos de la Empresa. b) Detallar los roles y responsabilidades de las Gerencias, Direcciones, Áreas y las Funciones de Coordinación y Monitoreo de la Gestión de Riesgos; y, de todos los servidores/as y obreros/as de la EPMAPS dentro del Sistema de Gestión de Riesgos Corporativos. 1.3 Definición El Riesgo Corporativo tiene que ver con eventos que podrian impactar negativamente la operatividad y consecución de objetivos de la Empresa, y que pueden representar pérdidas potenciales o pérdidas de oportunidad para la Empresa. La Gestión de Riesgos Corporativos es un proceso efectuado por el Directorio, Gerencias, Direcciones, Áreas y todos los servidores/as y Obreros/as de la Empresa. Aplicándose en la definición de la estrategia de toda la entidad y diseñado para identificar y administrar el riesgo de eventos potenciales que puedan afectar a la Empresa y el logro de sus objetivos Estratégicos. PROCEDIMIENTO DE APLICACiÓN DE LA POLÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA INTERNA FECHA ANEXO No. 1 HOJA No. 00 Diciembre 2012 3 de 17 Este proceso es ejecutado en los siguientes niveles de la Organización: a) b) c) d) e) Directorio. Gerencia General; Comité de Gestión de Riesgos El Equipo de Coordinación y Monitoreo de la Gestión de Riesgos Gerencias de Área y Direcciones Las y los servidores y obreros en general. Cada uno de estos grupos tienen roles y responsabilidades Gestión de Riesgos Corporativos. especificas en el proceso de El proceso de Gestión de Riesgos Corporativos de la Empresa se compone de cinco actividades especificas. las mismas que se dividen en periódicas y continuas, de acuerdo al siguiente detalle: .M.tril d8 Gestión d. Riesgos _Indicador •• y Toler.nd. de Rle&go .A(;lividad.$ d. Rlllpo •• t. Y Millg.eión d. Riesgo Actividades Continuas • Actividades Periódicas PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA ANEXO No. 1 INTERNA FECHA HOJA 1.4 Componentes No. 00 Diciembre 2012 4 de 17 de Actividad Cada actividad se describirá de acuerdo con los siguientes componentes: y responsabilidades y reportes. definiciones, roles 1.4.1 Definiciones Este incluye una descripción de cada actividad, su naturaleza, alcance, propósito e importancia en el proceso de Gestión de Riesgos Corporativos. Incluye también detalle de las tareas especificas que deben realizarse en cada actividad. 1.4.2 Roles y Responsabilidades Con el fin de asignar roles y responsabilidades para cada actividad, hemos clasificado la descripción de roles de los niveles generales y se ha establecido el Modelo de Gobierno de Gestión de Riesgos, el cual posee tareas especificas para cada nivel perfectamente establecidas en la Polltica Corporativa de Gestión de Riesgos de la EPMAPS 1.4.3 Reporte Este componente incluirá información en forma de reportes, gráficos y tablas, para documentar los datos de riesgo obtenidos de y/o entregados a otros miembros del Modelo de Gobierno de la Gestión de Riesgos Corporativos en la Empresa. 1.5 Niveles de Riesgo Los niveles de riesgo pueden ser: al Alto Impacto, Alta Probabilidad - Estos riesgos comúnmente requieren monitoreo permanente y ser manejados principalmente por controles automáticos, debido a la alta probabilidad de ocurrencia y significativo impacto. Los controles para mitigar estos riesgos son trpicamente una combinación de controles "preventivos"' y"detectivos"'. bl Alto Impacto, Baja Probabilidad - Estos riesgos son diflciles de predecir pero pueden ser catastróficos en caso de ocurrencia, teniendo una significancia alta pero normalmente son infrecuentes (ej. desastres naturales). Los controles alrededor de este tipo de riesgo son "preventivos"' y anticipan que una respuesta adecuada será llevada a cabo cuando el evento de riesgo ocurra. c) Bajo Impacto, Alta Probabilidad - Estos riesgos son frecuentes y tienden a ser parte de operaciones rutinarias. Son relativamente predecibles y pueden ser administrados a través de controles "preventivos"' efectivos. PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS No. 00 REVISION ~':". NORMATIVA Diciembre FECHA ANEXO No. 1 INTERNA 2012 5 de 17 HOJA d) Bajo Impacto, Baja Probabilidad - Estos riesgos son infrecuentes y sin impacto significativo. pueden ser gestionados a través de una combinación de controles "preventivos" y "detectivos". 1.6 Actualización del Procedimiento de Riesgos de la EPMAPS. de aplicación de la Politica Corporativa de Gestión El Procedimiento de aplicación de la Politica Corporativa de Gestión de Riesgos que se establece en el presente documento conoce y revisa el Comité de Riesgos, previo a la aprobación y actualización por parte de la Gerencia General, esta actividad deberá ejecutarse al menos cado dos años o cuando algún cambio en el marco regulatorio o procesal afecte a cualquiera de los apartados de la Politica. 2. ACTIVIDADES PERiÓDICAS Las actividades periódicas incluidas deben realizarse por lo menos una vez cada dos años. 2.1 Identificación de Riesgos 2.1.1 Definiciones La Gerencia General revisará y aprobará los mecanismos necesarios para identificar. analizar y tratar los riesgos a los que está expuesta la organización para el logro de sus objetivos Estratégicos. Los riesgos pueden ser identificados clasificadas en dos categorlas: usando las diferentes herramientas y técnicas. al Procedimientos de Escritorio: Invoiucran la búsqueda de fuentes de información interna y externa para identificar riesgos y tendencias potenciales. Estas pueden incluir fuentes internas de información tales como reportes financieros. comunicados de prensa, resultados de auditarla, y el resultado de técnicas automatizadas de auditarla y monitoreo de control. Las fuentes externas de información pueden incluir publicaciones de Empresas de Servicios Públicos, informes de analistas, entre otros. b) Procedimientos de Campo: incluyen. pero no se limitan a entrevistas, encuestas, talleres de riesgo y sesiones de trabajos con interesados clave. La combinación de las técnicas utilizadas está a discreción del individuo o grupo liderando la actividad de identificación/evaluación de riesgo. Los esfuerzos formales de identificación de riesgos coincidirán con el proceso de evaluación de riesgo detaliado más adelante, sin embargo, nuevos riesgos pueden ser identificados en cualquier momento y deberán ser detallados y escalados al Comité I I I - PROCEDIMIENTO DE APLICACiÓN DE LA POLiTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA FECHA ANEXO No. 1 INTERNA HOJA No. 00 Diciembre 2012 6 de 17 Riesgo dependiendo de su importancia para su adecuada inclusión en el Universo de Gestión de Riesgos Corporativos. los cuales se deberán gestionar. Los riesgos pueden ser identificados en cuatro categorias establecidas en el Universo de Riesgos: No. 1 CATEGORIAS Estratégico RIESGOS Relacionados con los objetivos de alto nivel de la Empresa. • 2 Operativo Relacionados con el uso efectivo V eficiente de los recursos de la Empresa. 3 Cumplimiento Asociados con el cumplimiento de leyes, regulaciones y políticas aplicables . 4 Financiero Asociados con la confiabilidad en los reportes emitidos por la Empresa. Los riesgos deberán documentarse en la matriz de Gestión de Riesgos, con el nivel de detalle requerido para soportar la evaluación y gestión de riesgo subsecuente. 2.1.2 Roles y Responsabilidades La identificación y evaluación de riesgos serán coordinados y liderados por el Equipo de Coordinación y Monitoreo de Riesgo (Departamento Desarrollo Corporativo y Gestión de Riesgos). La Información relevante será entregada por las funciones operativas y de soporte (Gestores del Riesgo), el Comité de Riesgos facilitará la información sobre los riesgos claves y finalmente la Gerencia General aprobará el Universo de riesgos de la Empresa. 2.1.3 Reporte Los riesgos claves identificados se incluirán en el Universo de Riesgos de la Empresa, debiendo contener la descripción y detalles relevantes de cada uno de los riesgos y sus factores agravantes. 2.2 Evaluación de los Riesgos 2.2.1 Definiciones Con el fin de gestionar efectivamente los riesgos claves, la Empresa debe evaluar y determinar la importancia de los riesgos sobre la base de criterios especificas. Esta priorización se realiza en base a dos escalas principales: riesgo inherente y riesgo residual. I~ PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTIÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 ~":;.NORMATIVA FECHA ANEXO No. 1 INTERNA HOJA Diciembre 2012 7 de 17 al Riesgo Inherente El riesgo inherente es la medida del impacto potencial y la probabilidad de ocurrencia de un riesgo determinado, sin considerar el efecto de los controles correspondientes y/o actividades de mitigación aplicadas. El riesgo inherente es representado por la siguiente fórmula: Riesgo Inherente • = Impacto Potencial x Probabilidad Impacto Potencial El impacto de riesgo no se mide únicamente en términos financieros. La Gerencia General debe considerar varios criterios de impacto que son relevantes de acuerdo a cada una de las categorias de riesgos. (Ver Anexo MR01 Medición de Impacto de Riesgos). Cada categoria de riesgos se medirá de acuerdo a la siguiente: Escala de Impacto Potencial: -Interrupción moderada alas PérdIda tomporal de - La mayor parla de la operación se interrumpe ~ Impacto finaf1Cl6ro Slgrnflcal1VO -Datlo no reversible a la reputación o a las relaCIOnes con los mtoresados la funcionalIdad I capacidad de la organizacIón - DaOOs y pérdIdas I1naf1Cleras Impoltantes - DsOOs en la reputación sin Impllcaaones alargo plazo • actIVIdades del dla o a d1a, reqUIere de procedimientos de enmlOnda - Pérd,das financieras moderadas o La SI/uaCl6npuede ser manejada Sin requerimiento asistenaa de Poca Inlerrupaón a las acbVidades deldla a dla. procedimIentos - No afecta las da solUCIón de fácil Implementación, o SI/_ manejada mmediatamente o PérdIdas o actIVIdades del dla adla No causa daOO - Geoora pérdidas financieras no materiales financieras me""",s Probabilidades de Ocurrencia Representa la probabilidad de materialización de un riesgo dado los factores especificas externos e internos inherentes a la Empresa, pero no consideran los controles especificas y/o actividades de mitigación llevadas a cabo para hacer frente a ese riesgo. // PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 NORMATIVA Diciembre FECHA ANEXO No. 1 INTERNA 2012 8 de 17 HOJA Los controles de gestión y/o actividades de mitigación son irrelevantes a efectos de esta evaluación, sin embargo, en la medida en que los riesgos especificas se hayan materializado en el pasado es relevante y se debe tener en cuenta al evaluar tanto el impacto potencial como las posibilidades inherentes. Escala de probabilidad TIPO DE PROBABILlDAO de ocurrencia: DEFINICION MUY PROBABLE SeesperaQUeocurraenla mayorlade lasdrcunstandas PROBABLE DETALLE • TIeneunaprobabilidadmayoral 75%de ocurrenda • Podriaocurrirdentroo duranlelospróXImos 3meses VALOR 5 • TIeneuna probabilidaddel50%al 75%de ocurrenda Eleventoocurrea menudo 4 • PodIíaocumrdurantelos próximos6 meses Eleventoocurrea veces • TIeneunaprobabilidaddel25%al 49%de ocurrencia • PodIíaocurrirduranteel año 3 POCOPROBABLE Eleventoes posiblepero raramente ocurre • TIeneunaprobabilidadde menosdel 25% dequeocurra • Podriaocumrdentrode 2 a 3 años 2 • Noes probablequeocurraenlosprÓXImos años 1 POSIBLE IMPROBABLE Teóricamente suocurrenoaes posible,peronuncahaocurrido ",y pocao escasaposibilidadde ocurrenaa b) Riesgo Residual El riesgo residual es la medida del impacto potencial y la probabilidad de un riesgo dado, que incorpora el efecto de la gestión de control y mitigación sobre ese riesgo especifico. El riesgo residual es representado por la siguiente fórmula: Riesgo Residual = IRI • (1- (Nivel de Control f 5»)] + 0.2 • RI Como se observa en esta fórmula, los niveles de riesgo residual son una función tanto de los factores de los riesgos inherentes y el nivel de control y mitigación asociados con un riesgo especifico. • Actividades de Control y Mitigación Las actividades de control y mitigación y/o controles de gestión son los procesos y estrategias de la empresa para mitigar un riesgo especifico. Estos pueden dividirse en tres categorias generales: J I PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS No. 00 REVISION .. ~ ~. NORMATIVA INTERNA Diciembre FECHA ANEXO NO.1 2012 9 de 17 HOJA • Controles (por ejemplo, autorizaciones, aprobaciones finales y conciliaciones) • Estrategias de prevención (por ejemplo la diversificación auto producción para el consumo), y • Actividades de cobertura o aseguramiento. (Por ejemplo, seguros, contratación de revisiones de terceros). Escala de Eficacia de las actividades de proveedores y la contratación de de control: , Ev,)Iu3Clón R3ting Acclon Oncnpclon 5 MUY ALTO Efoc!M> • la Adlrirustración CCfl91dera qUilas eattroIes;o achdades de gestlón eslan aprq¡adlmente dlser'aó:ls y operan segjn lo , planeado , ALTO OpottUl'lldadlls de mepa blMaciJs J MOOERAOO Oportundades d. mepa rT'IOdefadas 2 BAJO OportUllldadeS d, mepa impatantes •. la Adrrinistraciérl coosidera qu.1os cama •• yloacivDades gestión '5tin apropadamtrn. diser\ad). '1 operan, con oportumdades d. mlpa id,rrbfrada, de •. la AdrtlnisuacOl coolÍdera qu.1o& ccmrol•• d.tv. ylc aclivialdEls d. ge&ti(n .51." ejtCUt3noose, COl modltradas opalJrlldadesd. tTllJOrad.I,ctaou •. la Admnistraciál CCI'lstderaque Ul!llen cont'd., d. gesti<n hlTltaOOi 'loactvidides •. ContrnUa un allo lVVel de nesgo 1 MUY BAJO Oportuntdadas d. m.pa critICaS •. la AdministraclÓ'l CCIlSldera qu.los C01i'OI., ylOadlvdades d. gestión son inuistentu o tienen CCr'lSider~.s dlliaenoas y no operan segUn lo ~antado Las escalas de impacto potencial, probabilidad de ocurrencia y eficacia en las actividades de Control, se actualizarán de manera periódica y se procesarán a través del Comité de Riesgo para posteriormente ser aprobados por la Gerencia General de la Empresa. 2.2.2 Roles y Responsabilidades El proceso de evaluación y medición formal de riesgos de la Empresa serán coordinados y dirigidos por el Departamento Desarrollo Corporativo y Gestión de Riesgos, en las reuniones que debe realizar el Comité de Riesgos, sus resultados serán puestos a consideración de la Gerencia General para su aprobación. Información relevante sobre los principales riesgos y actividades claves de control, será provista por el servidores/as y obreros/as de la Empresa (Gestores del Riesgo), ,I 1 PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA FECHA ANEXO No. 1 INTERNA HOJA y se utilizará los procedimientos información. de escritorio y campo para la recolección No. 00 Diciembre 2012 10 de 17 de la 2.2.3 Reporte Del proceso de evaluación informes principales: y medición a) b) c) Matriz de gestión de riesgos Mapa de riesgos inherentes Mapa de riesgos residuales. a) Matriz de Gestión de Riesgos Es un inventario de riesgos que riesgo, incluyendo: del riesgo, se generarán los siguientes contendrá cierta información acerca de cada 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. No. de Riesgo en el Universo de riesgos de la EPMAPS Categoria de Riesgo Nombre del Riesgo Descripción del Riesgo Factores agravantes del Riesgo Puntuación del Impacto Potencial Puntuación de Probabilidad Puntuación del nivel de Riesgo Inherente (Impacto. Probabilidad) Actividades de control y mitigación (actualmente se están llevando a cabo) Dueño o responsable de las actividades de control Puntuación de las Actividades de Control y Mitigación (Nivel de Control) Puntuación del nivel Riesgo Residual 13. 14. 15. 16. 17. Rango del Riesgo Respuesta al Riesgo Planes de Respuesta al Riesgo Descripción Nombre del Responsable y área 18. 19. 20. 21. 22. 23. Fecha de inicio (mes/año) Plazo (meses) Seguimiento y monitoreo Porcentaje de cumplimiento Fecha última revisión Observaciones. PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA ANEXO No. 1 INTERNA FECHA HOJA b) No. 00 Diciembre 2012 11 de 17 Mapa de Riesgos Inherentes El mapa de riesgos inherentes es una representación gráfica (mapa de calor) del resultado de las puntuaciones del riesgo inherente, es decir, probabilidad de ocurrencia. Está dise~ado para facilitar la visualización de las puntuaciones, por cada una de las categorlas de riesgos. Tiene como objetivo determinar los riesgos más importantes en cada una de las categorlas, sobre los cuales se debe poner especial atención en las actividades de control. cl Mapa de Riesgos Residuales El Mapa de Riesgos Residuales es una representación gráfica (mapa de calor) del resultado de las puntuaciones del riesgo residual, es decir, de la puntuación del riesgo inherente - puntuación de actividades de control x 2. Está dise~ado para facilitar la visualización de las puntuaciones de acuerdo a la siguiente sub-categorización: 1. Riesgos Primarios. - Son los riesgos más significativos de la Empresa que requieren atención y vigilancia constantes. Estos riesgos deben ser gestionados activamente, monitoreados continuamente, y reportados periódicamente. Estos riesgos son dinámicos, y en un momento dado pueden requerir medidas de gestión adicionales. Requiere un enfoque de control, seguimiento y monitoreo recurrente para validar su mitigación apropiada de forma consistente. 2. Riesgos Secundarios.- Son los riesgos importantes que pueden convertirse en primarios en el futuro. Estos riesgos deben ser administrados regularmente como proceso rutinario de la Empresa y debe monitorearse y reportarse periódicamente su estado. Pueden estar sujetos a medidas de gestión especifica adicional y/o atención especifica basados en su comportamiento y tendencias. 3. Riesgos No Significativos. - Son los riesgos no relevantes de la organización, considerando que en la actualidad no representan un riesgo significativo para la Empresa. Estos riesgos deben ser evaluados periódicamente y supervisados por el Comité de Riesgos y la Gerencia General, pero no requieren la presentación de informes regulares o medidas de gestión adicionales a menos que hechos especificos aumenten su impacto potencial en la organización y/o su probabilidad de ocurrencia inherentes. El enfoque de Control, seguimiento y monitoreo sobre estos riesgos seria limitado y se puede orientar principalmente a una evaluación periódica de la exposición. ,/ , PROCEDIMIENTO DE APLICACiÓN DE LA POlÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION NORMATIVA FECHA ANEXO NO.1 INTERNA HOJA 3. ACTIVIDADES 3.1 Monitoreo 3.1.1 No. 00 Diciembre 2012 12 de 17 CONTINUAS del Riesgo Definiciones El monitoreo del riesgo debe realizarse continuamente, a) b) al a través de una combinación de: Definición de Tolerancia y Límites del Riesgo Indicadores de Desempeño de Riesgo Definición de Tolerancia y Límite del Riesgo Estos limites serán propuestos anualmente por el Equipo de Coordinación y Monitoreo de Gestión de Riesgo Corporativo. posteriormente serán revisados por el Comité de Riegos y sometidos a la aprobación por la Gerencia General. 1. Capacidad del riesgo: Es la cantidad total de riesgo que la Empresa puede abarcar en la búsqueda de sus metas estratégicas generales (la capacidad está relacionada con el patrimonio de la Empresa). 2. Apetito por el riesgo: Es el nivel de riesgo que la Gerencia General está dispuesta a aceptar para alcanzar los objetivos estratégicos de la Empresa (misión, objetivos de la organización. metas). El apetito de riesgo se alinea con el impacto de un riesgo y la probabilidad de que ocurra. Son directamente relacionadas a la capacidad del riesgo de la entidad además de su cultura, el nivel deseado de riesgo, gestión de riesgo y estrategia de la organización (el apetito al riesgo tiene que ver con temas presupuestarios). 3. Tolerancia al riesgo: Es el nivel de riesgo que la Gerencia General está dispuesta aceptar con respecto a la desviación de un objetivo especifico o meta. 4. Límites al riesgo: Pérdida menor a la que la tolerancia al riesgo admite y permite un margen de seguridad. 3.1.2 Indicadores de Desempeño de Riesgo Los niveles de riesgo inherente y la aplicación de las estrategias de Gestión de Riesgo se traducirán en un nivel neto o residual de exposición de la Empresa. Con el tiempo. esta exposición se manifiesta en experiencias de riesgo especifico. es decir. los incidentes y/o resultados del nivel real de exposición al riesgo de la Empresa. Esto es lo que se conoce como desempeño histórico del riesgo. Se pueden emplear diferentes medidas para rastrear el desempeño histórico de riesgo basado en el riesgo especifico que se controle. I. I , PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 :t.:. :" NORMATIVA Diciembre FECHA ANEXO No. 1 INTERNA 2012 13 de 17 HOJA Los límites del riesgo serán propuestos anualmente por el Desarrollo Corporativo y Gestión de Riesgos: posteriormente Departamento de serán revisados por el Comité de Riesgos: y, sometidos a la aprobación de la Gerencia General. 3.1.3 Roles y Responsabilidades El desarrollo inicial será coordinado y ejecutado por el Departamento de Desarrollo Corporativo y Gestión de Riesgos. basado en la información que le proporcionen Gerencias las de área de la Empresa, y será revisado por el Comité de Riesgos y posteriormente aprobado por la Gerencia General. 3.1.4 Reporte Cada semestre, aprobación el Comité de Riesgo reportará los indicadores semestre anterior, además a la Gerencia de riesgo y su comparación General para su con el desempeño de los resúmenes de posición consolidados del y detallados, el Directorio avocará conocimiento de manera anual de este informe. 3.2 Respuesta y Mitigación de riesgo 3.2.1 Definiciones Basado en los resultados de definiciones de monitoreo de riesgo detallados previamente, el Directorio. la Gerencia General y el Comité de Riesgo decidirán si se requiere acciones de mitigación de riesgo adicionales. La necesidad de acciones de gestión adicionales puede surgir de los siguientes escenarios: 1. Desempeño de riesgo que supera la tolerancia y limite establecido. 2. Tendencias en el desempeño de riesgo que se proyectan superiores al límite y/o tolerancia establecida. 3. Tendencias de actividades de control/mitigación que proyectan deterioro en el desempeño del riesgo. En cualquiera de estas situaciones, el Equipo de Coordinación y Monitoreo de Riesgo puede sugerir la necesidad de adoptar medidas adicionales, pero no puede bajo ninguna circunstancia, exigir o ejecutar dicha acción. 11 PROCEDIMIENTO DE APLICACiÓN DE LA POlÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION ~ ..•• NORMATIVA FECHA ANEXO No. 1 INTERNA HOJA Ejecución de Estrategias No. 00 Diciembre 2012 14 de 17 de Respuesta Las estrategias de respuesta a los riesgos de una determinada exposición serán gestionadas de acuerdo a lo establecido en el Modelo de Gestión Corporativa de Riesgos. Las actividades de Gestión de Riesgo acordadas por áreas deberán estar plenamente oficializadas, y contar para que puedan ser monitoreadas por el Equipo de Riesgo y el Comité de Riesgo con el objetivo de alcanzar 3,2.2 las Gerencias, Direcciones y en su Plan de Acción anual, Coordinación y Monitoreo de los resultados esperados. Roles y Responsabilidades Las Responsabilidades están establecidas de acuerdo a los diferentes niveles del Modelo de Gestión Corporativa de Riesgos. Los Gestores del Riesgo, y ios dueños de los riesgos son los responsables primarios de la identificación de situaciones de riesgo que requieran acciones de gestión adicionales, del desarrollo de las estrategias de respuesta y de su implementación. El Comité de Riesgos supervisará estas acciones desde un punto de vista de identificación y evaluación asl como con una perspectiva de ejecución y evaluación en el tiempo. El rol del Equipo de Coordinación y Monitoreo de Riesgo en respuesta al riesgo se limita a un papel de "Coordinador" en cuanto al desarrollo de estrategias de gestión de respuesta y un papel de "Reporteador" en cuanto al seguimiento del estado y resultados. La Gerencia General determinará de acuerdo a las circunstancias la adopción de medidas adicionales que gestionen el riesgo, sin embargo, la ejecución de estas estrategias será la responsabilidad y mandato de cada una de las Gerencias de Área y Direcciones, brindando una seguridad razonable sobre el control y Mitigación de los riesgos. Seguimiento y Validación de las Acciones de Gerencia Las diferentes áreas de la Empresa están involucradas en los roles de desarrollo, implementación, supervisión de las acciones y estrategias de respuesta al riesgo. Para las acciones de seguimiento intervienen todos los componentes de Modelo de Gestión Corporativa de Riesgos en sus diferentes niveles. 1 PROCEDIMIENTO DE APLICACiÓN DE LA POlÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 ::t.;.:: NORMATIVA ANEXO No. 1 INTERNA FECHA HOJA Diciembre 2012 15 de 17 3.2.3 Reporte Las Gerencias y Direcciones, Áreas, Departamentos y Unidades de la Empresa reportarán al Comité de Riesgos a través del equipo de Coordinación Monitoreo del Gestión de Riesgo Corporativo, el estado actual de los planes de acción existentes y agregarán nuevos planes de acción según sea necesario. Dicho Equipo compiiará la información recibida de las Funciones Operativas y reportará al Comité de Riesgo. El Comité validará la información recibida y monitoreará el progreso de acciones especificas de manera que puedan brindar el detalle adecuado a la Gerencia General y a su vez al Directorio. 3.3 Reporte de Riesgo Consolidado 3.3.1 Definiciones Los resultados de las actividades de respuesta mencionadas previamente deben ser documentados y reportados periódicamente a la Gerencia General Como resultado de las actividades periódicas (identificación. evaluación y medición de riesgo), la matriz de gestión de riesgos y mapas para los riesgos inherentes y residuales deben ser reportados a los interesados clave. Para las actividades continuas, informes semestrales deben ser creados y reportados a la Gerencia General y anuales al Directorio. Este incluirá una versión simplificada del resumen de la posición que obtenga el riesgo. 3.3.2 Roles y Responsabilidades El Equipo de Coordinación y Monitoreo de Riesgo es el responsable primario de reportar la información consolidada y resumida de riesgos al Comité de Riesgos sin embargo, otras áreas de la Empresa toman un rol importante en la obtención y aprobación de la información presentada a dicho Comité. 3.3.3.Reporte Cada nivel del modelo de Gobierno de la Gestión de Riesgos involucrado en este proceso aportará con la información para la elaboración del reporte consolidado de riesgo, de existir la evolución, cambio de nuevos riesgos y que no han sido cubiertos, serán puestos a consideración al El Equipo de Coordinación y Monitoreo de Riesgo y al Comité de Riesgo para considerarlos dentro del Universo de Riesgos de la EPMAPS, información consolidada y resumida que será considerada para conocimiento y aprobación de la Gerencia General y posteriormente del Directorio. PROCEDIMIENTO DE APLICACiÓN DE LA POLíTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS No. 00 REVISION NORMATIVA Diciembre FECHA ANEXO No. 1 INTERNA 2012 16 de 17 HOJA 4. ANEXO MR01 - Medición de Impacto de Riesgos . E ••••nlOs general., dallo. de IJIreputllc6n . Indioos de da,o,o lIena,al a . o.tm,nuOOnlamporll di lo. de eotIel1url de ",,,,IU la '"pulación damlnd •. indiCIO' da dao1o • l. reput&c:lOn lla oertos d,efl18s l. • No '''sle a'-c:ttoófl •• Iewnle enlOI n, •••la, di CObartura a la demanda • o.ftOolltad 8n l••••• Mtd.d de ,1 mInos 1 S" •.••CIO - Paralil'lQ6n inde~nid.d. 011meno. 1 Proc.so el •••• ló,.lrlbuoón de .gu. po'-ble. 1)e<:UQMde ollrn dllng"nllo.). que ,mpOI.blhte bonde, el IINlOO de 'gu' .ln~l1l,IpClón lempoflllde.' manos 1 Pro<:eIQ Cia., que oeu,ona p'''ltaaones m.~res I 10 diu In las oper.c>Ones normal •• 01 la Empr •• a . In18l'T'llpción temporal '1'111'101 I Proc"o ,"tllm..poon.s da al • Mn,mu al '1'111'10. I PrO«110 el q ••.• reprallnla una Cla ••••, qUlotas,ooa ,n ••••• pa'ahlllClOnl!l mayo •••. a 5 dias In lascpa'aoones que rlp,eunla oportt.nidad da mlJO,a de la etolno •.• in l!IIdo en In operado"e, normales de la Empreu .lesiOn di una pe •• ona qua no requ,are da hotp,lIIl,z¡¡ción -lesIOna' POlllbll" .lntem.poon •• en ProOIlOS u oportuf1fdadlt da majora di la a~denQa ,m~reep'blas s ••.•,,,m,enlO • L•• ión gra •• de unJl p.~on. que '.qUilre hosp,lahzaCl6n - SanCIOne, •• ",ras 8ulOrid.d POI' inwmplim •• nlo de de 111 requi.'lol Ilg.ln o r'lIl.mel'tAnos que •• oalion. un. InllrT\lpd(ln ,ndefinlda In l. Empr ••• - S.nc:iOl'1u "lIn,ftc.ab'" POI'ineumphmlenlo d" raqui••to. 11\1'1". o reglamenlano. que ocal.ona btmpor.l un. IIllerruPCl6n O" 101 Empresa > 20% Ingresos > 1%y < 20 % Ingresos Mayor a US$ 22,610,001 Entre US$ 1,130,001 Y U$S 22.610,000 . Sanoonas moda'adas ,neumphm,anh) de POI' req"",lOs legall' o "gtamlntarios <¡ua no glnaren ,n\lrrupClÓn an la me"o •••. Cuos manores '1 aisladO. de lOCllmpl,m,en1D - Cato •. min,mo. di ina.omphm,.nll) d. de reqUl'l1os lagales reglamantarlO" requ1.ilo •. llVa1u lllvlamantano. • o o Empren >013%y<1% Ingresos Entre US$ 150,001 y USS ',130,000 >005%y<013% Ingresos Entre US$ 57,001 y USS150,OOO < 0.05 % r,gresos < USS 57,000 j PROCEDIMIENTO DE APLICACiÓN DE LA POLÍTICA CORPORATIVA DE GESTiÓN DE RIESGOS DE LA EPMAPS REVISION No. 00 ~"'=; NORMATIVA ANEXO No. 1 INTERNA FECHA Diciembre HOJA 5. 2012 17 de 17 GLOSARIO DE TÉRMINOS Actividades de Control Son aquellas que incluyen iniciativas, políticas, procesos, procedimientos, restricciones flsicas, gulas y reglas que están destinadas a mitigar la orobabilidad o el imoacto de un riesao. Apetito de Riesgo Es el nivel de riesgo que la Gerencia está dispuesta a aceptar para alcanzar los objetivos estratégicos de la Empresa (misión, objetivos de la organización, metas). El apetito de riesgo se alínea con el impacto de un riesgo y la orobabilidad de aue ocurra. Control Detectivo Su propósito es detectar y corregir errores que pudieron haber ocurrido durante un oroceso. Control Preventivo Son aquellos cuyo propósito es prevenir que ocurran los riesgos. Riesgo Cualquier evento o circunstancia que crea incertidumbre en torno a la consecución esoerada de los obietivos de la oraanización. Riesgo Inherente Es la exposición de la Empresa sin ninguna consideración de las actividades actuales de control que han sido diseñadas e implementadas especificamente oara aestionar un riesao. Riesgo Residual Es la medida del impacto potencial y la probabilidad de un riesgo dado, que incorpora el efecto de la gestión de control y mitigación sobre ese riesgo esoeclfico. Tolerancia al Riesgo Es el nivel de riesgo que la Gerencia está dispuesta aceptar con respecto a la desviación de un objetivo especifico o meta. La tolerancia de la Gerencia por el riesgo se relaciona con el grado en el que el desempeño se puede desviar de un resultado esoerado v aún asi ser aceotable desde una oersoectiva de riesao. !
