Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior

ACUERDO 36 DE 2010 

(Noviembre 9)

“Por el cual se adopta el nuevo manual del sistema de administración de riesgo operativo del Icetex”.

(Nota: Modificado en lo pertinente el Acuerdo 18 de 2013 artículo 2° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

La Junta Directiva,

en ejercicio de sus facultades legales y estatutarias en especial las que le confiere el artículo 7º de la Ley 1002 del 30 de diciembre de 2005, los numerales 1 y 6 del artículo 9º del Decreto 1050 del 6 de abril de 2006 y el Acuerdo 013 del 24 de febrero de 2007, y

CONSIDERANDO:

Que el numeral 10 del artículo 9º del Decreto 1050 del 6 de abril de 2006 establece que es función de la junta directiva adoptar, formular la política general y los planes, programas y proyectos para el cumplimiento del objeto legal del Icetex, de sus funciones y operaciones autorizadas y todas aquellas inherentes a su naturaleza jurídica, acorde con lo dispuesto por la Ley 1002 de diciembre 30 de 2005, y los lineamientos y política del Gobierno Nacional en materia de crédito educativo.

Que el numeral 4º artículo 9º del Decreto 1050 del 6 de abril de 2006 establece que es función de la junta directiva, expedir conforme a la ley y a los estatutos del Icetex, los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial.

Que la Junta Directiva del Icetex mediante Acuerdo 45 del 19 de septiembre de 2007 aprobó las políticas y metodología del sistema de administración de riesgo operativo (SARO), que mediante Acuerdo 9 del 12 de marzo de 2008 se adoptó el manual del sistema de administración de riesgo operativo (SARO), que mediante Acuerdo 30 del 29 de agosto de 2008 se modificó y adicionó el manual del sistema de administración de riesgo operativo (SARO) y que mediante Acuerdo 12 del 22 de mayo de 2009 se modificó el manual del sistema de administración de riesgo operativo (SARO).

Que la oficina de riesgos propone un nuevo manual del sistema de administración de riesgo operativo con el fin de incorporar un cambio metodológico en el análisis, medición y tratamientos de los riesgos operativos de la entidad, así como una metodología de evaluación de los controles implementados para lograr evidenciar con mayor eficacia la mitigación de riesgos operativos. Este nuevo manual incorpora una reorganización y ajuste de las políticas en materia de riesgo operativo destacando en particular las referentes con el plan de continuidad.

Que el nuevo manual del sistema de administración de riesgo operativo da cumplimiento con lo establecido en el Capítulo XXIII numeral 3.2.4.2 de la Circular Externa 100 de 1995 expedida por la Superintendencia Financiera de Colombia por lo cual fue avalado en sesión del comité SARO y Sarlaft del 13 de julio de 2010.

Que en sesión del 22 de octubre de 2010, la junta directiva aprobó por unanimidad adoptar el nuevo manual SARO presentado por la administración.

En virtud de lo anterior,

ACUERDA:

ART. 1º—Adoptar el manual del sistema de administración de riesgo operativo del Icetex, el cual desarrolla los siguientes aspectos y que hace parte integral del presente acuerdo:

I. Objetivo

II. Alcance

III. Normatividad

IV. Acerca del Icetex

V. Sistema de administración de riesgo operativo

VI. Políticas

VII. Metodología

VIII. Provisión contingencias judiciales

IX. Administración de la continuidad de negocio

X. Glosario

XI. Anexos

ART. 2º—Corresponde a la oficina de control interno del Icetex y a la revisoría fiscal del Icetex evaluar anualmente la aplicación de las políticas y metodología del sistema de administración del riesgo operativo contenidas en el manual.

ART. 3º—Vigencia. El presente acuerdo rige a partir de la fecha de su ex­pedición y deroga las disposiciones que le sean contrarias, en especial el Acuerdo 45 del 19 de septiembre de 2007, Acuerdo 9 del 12 de marzo de 2008, Acuerdo 30 del 29 de agosto de 2008 y el Acuerdo 12 del 22 de mayo del 2009.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá, D. C., a 9 de noviembre de 2010.

Manual de sistema de administración de riesgo operativo

Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior Icetex

Octubre de 2010

Contenido

1. Objetivo del manual.

2. Alcance.

3. Normatividad.

3.1. Normas Externas.

3.2. Normas Internas.

3.3. Régimen Sancionatorio.

4. Acerca del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior “Mariano Ospina Perez”, Icetex.

4.1. Misión.

4.2. Visión.

4.3. Objetivos.

4.4. Estructura organizacional.

4.5. Mapa de procesos.

4.6. Productos.

5. Sistema de administración de riesgo operativo.

5.1 Marco conceptual.

5.2 Misión SARO

5.3 Objetivos SARO

5.4 Estructura organizacional del SARO

5.4.1. Junta directiva.

5.4.2. Representante legal.

5.4.3. Unidad de riesgo operativo.

5.4.4. Nivel directivo - Líderes de proceso.

5.4.5. Líderes de riesgo.

5.4.6. Funcionarios.

5.4.7. Comité SARO

5.4.8. Funciones de los órganos de control.

5.5. Plataforma tecnológica.

5.6. Documentación.

5.7. Capacitación.

5.8. Divulgación.

6. Políticas del sistema de administración de riesgo operativo.

6.1. Políticas estratégicas.

6.2. Políticas administrativas.

6.3. Políticas operativas.

6.4. Políticas documentales.

7. Metodología sistema de administración del riesgo operativo.

7.1. Proceso de gestión del riesgo operativo.

7.2. Identificación del riesgo.

7.3. Medición del riesgo.

7.3.1. Estimación de la frecuencia de los riesgos.

7.3.2. Estimación de la magnitud del Impacto.

7.4. Control de riesgos.

7.5. Perfil de riesgo.

7.6. Tratamiento del riesgo residual.

7.7. Monitoreo.

7.7.1. Monitoreo al mapa de riesgos operativos.

7.7.2. Monitoreo al SARO.

7.8. Indicadores.

7.9. Registro de eventos.

7.9.1. Revelación contable.

8. Provisión contingencias judiciales.

9. Administración de la continuidad del negocio.

10. Glosario.

11. Anexo 1: Procedimientos gestión del riesgo operativo.

12. Anexo 2: Monitoreo controles operativos.

13. Anexo 3: Monitoreo SARO.

14. Anexo 4: Procedimiento reporte de eventos.

15. Anexo 5: Procedimiento gestión al reporte de eventos de riesgo operativo.

16. Anexo 6: Herramienta de monitoreo SARO

17. Anexo 7: Indicadores SARO.

18. Anexo 8: Formato e instructivo del reporte de eventos de riesgo operativo.

Introducción

La Superintendencia Financiera de Colombia, como entidad supervisora del sistema financiero nacional, ha promovido la cultura de administración de riesgos entre las diferentes entidades sometidas a su inspección y vigilancia enfatizando en su importancia respecto de los riesgos operativos, especialmente en los aspectos tecnológicos, de recursos humanos y de procesos, lo cual exige una respuesta eficaz, oportuna y coordinada, por parte de las instituciones vigiladas. Así mismo, busca que estas instituciones implementen un sistema de administración del riesgo operativo (SARO), de conformidad con su estructura, tamaño, objeto social y actividades de apoyo.

En paralelo a esta implementación, el Departamento Administrativo de la Función Pública (DAFP), presenta una metodología para la administración de riesgo en entidades de naturaleza pública, enmarcada en los lineamientos del Modelo Estándar de Control Interno (MECI) 1000:2005 constituyéndose en una herramienta para el fortalecimiento de las políticas de administración del riesgo, los pilares de gestión y la interiorización de la cultura de autoevaluación y autocontrol, enfocándose en el manejo adecuado de los riesgos y contribuyendo finalmente en forma conjunta y coordinada al logro de los objetivos de la organización. Como elemento adicional, la norma técnica de calidad de la gestión pública promueve la adopción de un enfoque basado en procesos para identificar y gestionar los riesgos de manera eficaz y eficiente.

Bajo dichos antecedentes, Icetex consciente de la complejidad de sus operaciones, del cumplimiento de su misión y visión, enmarcados en un conjunto de herramientas que apoyen la planeación estratégica y el alcance de objetivos de largo plazo, considera importante, relevante y fundamental adoptar de manera integral el sistema SARO y efectuar su implementación, siendo un compromiso por parte de la junta directiva y de la administración de la entidad respectivamente.

El sistema de administración de riesgo operativo (SARO) del Icetex tiene como objetivo la identificación, medición, control y monitoreo eficaz del riesgo operativo de conformidad con lo descrito en el Capítulo XXIII de la Circular Básica Contable y Financiera expedida por la Superintendencia Financiera de Colombia.

De igual forma “para el Estado colombiano, el Decreto 1537 de 2001 establece en el artículo 4º que todas las entidades de la administración pública deben contar con una política de administración de riesgos tendiente a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera más eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se pueda presentar(1)”.

Mediante el Decreto 1599 del 20 de mayo del 2005, se adoptó el Modelo Estándar de Control Interno para todas las entidades del Estado: Este modelo presenta tres subsistemas de control: el estratégico, el de gestión y el de evaluación. La administración del riesgo ha sido contemplada como uno de los componentes del subsistema de control estratégico.

El Icetex define el riesgo operativo como “la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores”(2), en consecuencia su eficiente administración permitirá a la entidad minimizar la frecuencia e impacto de los eventos de riesgo, garantizando la ejecución de las operaciones normales, mejorar el servicio al cliente mediante la correcta ejecución de procesos, disminuir el nivel de pérdidas generadas por eventos de fraude interno y externo, fallas tecnológicas y eventos externos. Así mismo el Departamento Administrativo de la Función Pública define el riesgo como la “posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos”(3).

A partir de la publicación del presente manual, se debe entender el SARO, como una cultura integral de administración del riesgo operativo, donde el compromiso de cumplimiento a las políticas aprobadas se extiende a cada uno de los funcionarios de la organización.

1. Objetivo del manual.

El presente documento tiene como objetivo relacionar, establecer y divulgar las políticas, los objetivos, la estructura organizacional, las metodologías, las estrategias, los procesos y procedimientos aplicables en el desarrollo, imple­mentación y seguimiento del sistema de administración de riesgo operativo (SARO) en el Icetex.

2. Alcance.

El alcance del presente manual abarca el establecimiento de objetivos, metodología y la implementación del sistema de administración de riesgos operativos para los procesos estratégicos, misionales, de apoyo y de control y evaluación del Icetex, los cuales serán de obligatorio cumplimiento para toda la estructura orgánica de la entidad. Este manual se rige por la normatividad expedida por la Superintendencia Financiera de Colombia, los lineamientos del Modelo Estándar de Control Interno (MECI) y las normas de carácter interno expedidas por la junta directiva y la presidencia.

3. Normatividad.

En la implementación del sistema SARO le son aplicables normas de carácter externo expedidas por órganos de vigilancia, supervisión y control, y normas de carácter interno expedidas por la junta directiva y la presidencia.

3.1. Normas externas.

• Capítulo XXIII. Reglas relativas a la administración del riesgo operativo de la circular básica contable y financiera de la Superintendencia Financiera de Colombia.

• Resolución 1865 del 17 de octubre de 2007, la cual incluye las cuentas para registrar el riesgo operativo en los planes únicos de cuentas (PUC) aplicables a las entidades sometidas a inspección y vigilancia de la Superfinanciera obligadas a implementar el sistema de rdministración de riesgo operativo (SARO).

• Decreto 1599 del 20 de mayo del 2005, mediante el cual se adoptó el Modelo Estándar de Control Interno y la Guía de Administración de Riesgo expedidos por el Departamento Administrativo de la Gestión Pública.

3.2. Normas internas.

• Acuerdo 13 del 21 de febrero de 2007, por el cual se adoptan los estatutos del Icetex.

• Acuerdo 16 del 21 de febrero de 2007, por el cual se adopta la política de provisión de contingencias judiciales.

• Acuerdo 31 del 29 de agosto de 2008 y Resolución de Presidencia 797 del 2 de octubre de 2008, mediante el cual se reorganizan los comités de apoyo a la junta directiva del Icetex, y se crea el comité SARO y Sarlaft.

• Acuerdo 9 del 12 de marzo de 2008, por el cual se adopta el manual del sistema de administración de riesgo operativo.

3.3. Régimen sancionatorio.

El incumplimiento de las políticas y procedimientos para el desarrollo de SARO definidas en el presente manual, acarrea la imposición de las sanciones de acuerdo con el régimen sancionatorio aplicable a los servidores públicos del Icetex estipulado en la Ley 734 de 2002 Código Disciplinario Único, el estatuto orgánico del sistema financiero y la normatividad vigente, sin perjuicio de las sanciones penales y administrativas correspondientes, acorde con el capítulo VI del código de ética y conducta de la entidad.

4. Acerca del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior “Mariano Ospina Pérez”, Icetex .

El Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior - Icetex es una entidad financiera de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al ministerio de Educación Nacional, creado mediante Decreto 2586 de 1950 y transformado con la Ley 1002 del 30 de diciembre de 2005, reglamentada por los decretos 1050 de 2006 y el Decreto 2792 de 2009 expedidos por el Ministerio de Educación y el Ministerio de Hacienda y Crédito Público.

4.1. Misión.

El Icetex es entidad financiera del Estado, de naturaleza especial, que promueve y financia el acceso y la permanencia en la educación superior en Colombia y el exterior; a través del crédito educativo, la gestión de recursos de cooperación internacional y de terceros, con criterios de equidad, cobertura, calidad y pertinencia, priorizando la población de bajos recursos económicos y aquella con mérito académico; para contribuir al desarrollo social y económico del país.

4.2. Visión.

Seremos reconocidos como el gran motor financiador de la educación superior en Colombia, maximizando el número de créditos activos e incrementando las oportunidades de cooperación internacional; soportados en una operación financiera sostenible, un modelo de gestión efectivo, tecnología de punta y personal altamente calificado; orientados a alcanzar altos niveles de satisfacción en nuestros clientes.

4.3. Objetivos.

Icetex en su operación cumple con los siguientes objetivos corporativos:

• Facilitar a los estudiantes el acceso a los mejores programas de formación en el país y a un número cada vez mayor de oportunidades de estudio en el exterior, en instituciones de reconocido prestigio internacional.

• Asegurar que la capacitación de nuestros estudiantes tenga un impacto significativo en áreas prioritarias para el desarrollo regional y nacional.

• Obtener alternativas de financiación de la inversión, con la participación de la nación, los departamentos y los municipios; el sector productivo, las institu­ciones de educación superior, el ahorro privado y la cooperación internacional.

• Garantizar que la distribución de nuestros servicios entre los estudiantes y las diferentes regiones del país, se realice con criterios de equidad social y regional.

4.4. Estructura organizacional.

Mediante el Decreto 380 de 12 de febrero de 2007 se establece la estructura orgánica del Icetex y se determinan las funciones de sus dependencias en procura de cumplir con la misión de la entidad. El siguiente gráfico presenta la organización a nivel directivo, que conlleva el despliegue en cada una de estas instancias.

Icetex...imagen.bmp
Icetex...imagen.bmp

 

4.5. Mapa de procesos.

Dentro de los pilares corporativos Icetex ha establecido conforme la política de calidad su mapa de macroprocesos clasificados según la cadena de valor en aquellos que son de tipo estratégico, de evaluación, misional y de apoyo.

LEY 975 DE 2005, por la cual se dictan disposiciones para la reincorporación de miembros de grupos armados organizados al margen de la ley, que contribuyan de manera efectiva a la consecución de la paz nacional y se dictan otras disposiciones para acuerdos humanitarios. Se encuentra disponible para la venta en las oficinas de promoción y divulgación de la Imprenta Nacional de Colombia.

 

Icetex...imagen3.bmp
Icetex...imagen3.bmp
 

 

4.6. Productos.

Icetex, como motor de la financiación de la educación superior del país, concentra su estrategia de productos y servicios dentro del marco de la política institucional educativa y de conformidad con el alcance de su objeto social, clasificándolos de la siguiente manera:

ProductosDescripción
Créditos educativosEstudios de pregrado Icetex ofrece créditos para financiar la educación técnica profesional, tecnológica o universitaria con la tasa más baja del mercado, garantizando mantenerla fija durante el proceso de reembolso del crédito.
Estudios de postgrado Icetex cuenta con varias líneas de crédito para formación avanzada o de postgrado en Colombia y en el exterior.
Estudios en el exterior Icetex financia programas de formación en el exterior en instituciones de prestigio internacional.
Mi primer computador Icetex ofrece varias alternativas para la compra de computador, con el fin de que el estudiante escoja la que más se acomode a sus necesidades.
Fondos en administración  Icetex cuenta con un portafolio de recursos de entidades públicas y privadas que administra para ejecutar diferentes programas y proyectos educativos para la población objetivo, fortaleciendo los mecanismos de cobertura en educación.
Título de ahorro educativo  El TAE es un título valor que le permite a cualquier persona ahorrar para asegurar total o parcialmente los costos de la educación superior en el país o en el exterior del beneficiario que elija. Se expresan en unidades de matrícula constante (UMAC) lo que permite la valorización periódica en relación con el incremento anual de las matrículas en los centros de educación superior.
Programas y becas internacionalesBecas en el exterior Son donaciones o ayudas no reembolsables ofrecidas por los gobiernos y organismos internacionales, en desarrollo de convenios y acuerdos de cooperación educativa. El Icetex es la entidad del gobierno colombiano encargada de canalizar la oferta de becas de cooperación internacional que ofrecen al país los gobiernos y organismos internacionales (L. 30/92).
Programa social de idiomas sin fronteras  Es una iniciativa del Icetex, que se ha constituido en un programa bandera, ya que ayuda a fortalecer la política social del Gobierno Nacional en el sector educativo, al permitir el acceso de las clases menos favorecidas alaprendizaje o perfeccionamiento de nuevos idiomas. A través de Convenios interinstitucionales suscritos con el Icetex, las entidades debidamente autorizadas que prestan el servicio de educación para el aprendizaje o perfeccionamiento de una segunda lengua, ofrecen descuentos especiales por estrato socioeconómico a quienes sean avalados por el Icetex como beneficiarios del programa.

 

5. Sistema de administración de riesgo operativo.

5.1. Marco Conceptual.

El sistema de administración del riesgo operativo es definido como el conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plan de continuidad de negocio, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales se identifica, mide, controla y

monitorea el riesgo operativo. Así mismo se complementa con la definición de riesgo según la Superintendencia Financiera de Colombia, donde lo definen como la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso, los procesos, la tecnología, la infraestructura o por la ocurrencia de eventos externos. En tal sentido, Icetex distingue y enfoca su gestión conforme las etapas y elementos que componen el SARO.

Imagen3.bmp
 

 

5.2. Misión SARO .

Es misión del sistema SARO administrar, gestionar el riesgo operativo del Icetex de forma eficaz, eficiente y efectiva a través de políticas, metodologías, procedimientos y mecanismos de control, relacionándolos con los procesos, el recurso humano y la infraestructura tecnológica, garantizando así la continuidad del negocio y el compromiso de la organización hacia la eficiencia operativa.

5.3. Objetivos SARO.

Son objetivos del sistema SARO los siguientes:

• Establecer un sistema de administración del riesgo operativo en todos los niveles del Icetex, definiendo las etapas del proceso por el cual administra y controla el riesgo operativo.

• Identificar y gestionar los riesgos que pudieran llegar a generar pérdidas al Icetex.

• Medir los riesgos identificados de acuerdo con los parámetros establecidos por la alta dirección.

• Diseñar e implementar los controles que permitan tratar adecuada y eficientemente los riesgos identificados y valorados.

• Disminuir la probabilidad de incurrir en pérdidas generadas por eventos de fraude interno y externo, errores en los procesos, fallas tecnológicas y humanas, eventos externos, entre otros eventos de riesgo operacional.

• Minimizar la probabilidad e impacto de eventos inesperados y garantizar la continuidad del negocio.

• Establecer las etapas del proceso por el cual Icetex administra y controla el riesgo operativo.

5.4 Estructura organizacional del SARO

Para el cumplimiento de un sistema adecuado de riesgo operativo, el Icetex cuenta con la siguiente estructura orgánica del sistema SARO:

 

Imagen4.bmp
Imagen4.bmp
 

El riesgo operativo no se limita a ningún área o proceso en particular y puede surgir en cualquier lugar, comprendiendo todo el Icetex. En consecuencia todos los funcionarios que realizan y ejecutan los procesos son responsables de la identificación de riesgos operativos y su control.

5.4.1. Junta directiva.

La junta directiva como máximo órgano de dirección y administración del Icetex debe aprobar las normas internas requeridas para encaminar el desarrollo e implementación del sistema de administración de riesgo operativo, en tal sentido las siguientes funciones:

a) Establecer la estrategia del riesgo operativo, las políticas, los procedimientos para su identificación, evaluación, y mitigación, así como las responsabilidades de cada uno de los integrantes dentro del marco de trabajo.

b) Aprobar el manual de riesgo operativo y sus actualizaciones.

c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad.

d) Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad, fijado por la misma junta directiva.

e) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el representante legal.

f) Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente, el SARO.

5.4.2. Representante legal.

El presidente como representante legal de la entidad dentro del sistema de administración de riesgo operativo cumple con las siguientes funciones:

a) Diseñar y someter a aprobación de la junta directiva u órgano que haga sus veces, el manual de riesgo operativo y sus actualizaciones.

b) Velar por el cumplimiento efectivo de las políticas establecidas por la junta directiva.

c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO.

d) Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SARO - (Unidad de riesgo

operativo).

e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración de este riesgo implica para la entidad.

f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la junta directiva, de acuerdo con el literal d) numeral 5.4.1 del presente manual.

g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.

h) Recibir y evaluar los informes presentados por la unidad de riesgo operativo, de acuerdo con los términos establecidos en el numeral 5.4.3 del presente manual.

i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en el presente manual.

j) Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad.

k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución.

l) Presentar un informe periódico, como mínimo semestral, a la junta directiva sobre la evolución y aspectos relevantes del SARO incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.

m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operativo, de acuerdo con lo previsto en el numeral 3.2.5 de la Circular Externa 41 de 2007 expedida por la Superintendencia Financiera de Colombia.

n) Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

5.4.3. Unidad de riesgo operativo.

La unidad de riesgo operativo es el grupo que debe coordinar la implementación, puesta en marcha y seguimiento del sistema de administración de riesgo operativo (SARO), conforme las directrices emanadas de la junta directiva y del representante legal. La URO es independiente de las áreas misionales, de control y de apoyo del Icetex con el fin de evitar conflictos de interés al momento de identificar, medir, controlar y monitorear los riesgos operativos.

Son funciones de la unidad de riesgo operativo las siguientes:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre efectivamente sus riesgos operativos, en concordancia con los lineamientos, etapas y elementos mínimos previstos en el presente manual.

b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo operativo de la entidad.

c) Administrar el registro de eventos de riesgo operativo.

d) Coordinar la recolección de la información para alimentar el registro de eventos de riesgo operativo.

e) Evaluar la efectividad de los controles para los riesgos operativos de acuerdo a la metodología establecida.

f) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano correspondiente, en los términos del presente manual.

g) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones.

h) Desarrollar y proponer para aprobación de la junta directiva los modelos de medición del riesgo operativo.

i) Desarrollar los programas de capacitación de la entidad relacionados con el SARO.

j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

k) Reportar semestralmente a la presidencia la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo, en los términos de la Circular Externa 41 de 2007 expedida por la Superintendencia Financiera de Colombia.

l) Reportar al comité SARO los eventos de riesgo operativo.

m) Dar oportuna respuesta a los requerimientos presentados por los entes de supervisión y control.

Estructura:

De conformidad con la estructura orgánica aprobada, la unidad de riesgo operativo del Icetex se encuentra conformada por:

• Jefe de la oficina de riesgos.

• Coordinador de riesgo de crédito y operativo.

• Profesional especializado - Grado 3 de la oficina de riesgos.

• Profesional universitario - Grado 1 de la oficina de riesgos.

5.4.4. Nivel directivo - Líderes de proceso.

EL nivel directivo está conformado por los vicepresidentes, secretaria general, jefes de oficina, asesores de presidencia y directores de áreas del Icetex. De acuerdo con el enfoque por procesos que posee la entidad, las funciones de los directivos dentro del SARO están determinadas al rol que cumplen como líderes de proceso.

Funciones del nivel directivo:

a) Apoyar el desarrollo e implementación del sistema de administración de riesgo operativo del instituto.

b) Coordinar la implementación del SARO en su proceso y garantizar que se suministre el apoyo requerido a la URO.

c) Aprobar el mapa de riesgos operativos de los procesos que lidera.

d) Atender las recomendaciones y requerimientos de los organismos de control, supervisión y vigilancia en materia de riesgo operativo.

e) Mantener comunicación con la oficina de riesgos en aras de estar actualizado de las exigencias del SARO.

f) Asignar los líderes de riesgo de su respectivo proceso.

g) Velar porque los líderes de riesgo reporten el registro de eventos dentro de los términos establecidos.

h) Los demás que por sus funciones como equipo del nivel directivo le asisten sobre el compromiso de cumplimiento de normas de los sistemas de administración de riesgo.

5.4.5. Líderes de riesgo.

Son los funcionarios asignados para cada uno de los procesos y que apoyan la implementación del SARO. Tendrán como marco las siguientes funciones:

a) Identificar y medir los riesgos asociados a los procesos que lideran, de conformidad con la metodología aprobada, en coordinación con la URO.

b) Con el apoyo de la URO, verificar en el mapa de riesgos los controles aplicados con el fin de mitigar cada uno de los riesgos identificados, los cuales deben ser evaluados para establecer si disminuyen la frecuencia, el impacto o ambos.

c) Coordinar la formulación, el seguimiento y la ejecución de planes de acción, para la creación de nuevos controles o implementar las modificaciones a controles existentes que permitan mitigar los riesgos, soportándose en los demás funcionarios del área. El reporte y avance de los mismos se realizará de forma trimestral.

d) Diligenciar y entregar el registro de ocurrencia de eventos de riesgo operativo a la unidad de riesgo operativo, con copia al líder del proceso y/o jefe de área.

e) En aquellos casos donde no haya existido materialización de eventos de riesgo operativo en la respectiva área, certificar mensualmente su no ocurrencia a la unidad de riesgo operativo.

f) Mantener y fortalecer la cultura de gestión de riesgo operativo al interior de cada proceso.

g) Comunicar al líder de proceso la inobservancia o incumplimiento de las políticas y procedimientos del sistema de riesgo operativo de los funcionarios del área.

5.4.6. Funcionarios.

Los funcionarios son todas las personas vinculadas a la entidad.

Funciones:

a) Dar soporte al líder de riesgo en la identificación, medición y actualización de los riesgos operativos inherentes a su actividad.

b) Velar por la ejecución de los controles preventivos, detectivos y correctivos asociados a sus procesos y que le sean asignados bajo su responsabilidad.

c) Cumplir con las acciones establecidas para el mejoramiento de los controles en materia de riesgo operativo.

d) Dar soporte en la formulación y ejecución de los planes de acción para el establecimiento o mejoramiento de controles.

e) Cumplir con las políticas y procedimientos de reporte de eventos de riesgo operativo, de manera adecuada y oportuna.

f) Atender oportunamente los requerimientos del líder de riesgo para documentar y soportar el evento de riesgo reportado.

5.4.7. Comité SARO y Sarlaft.

De acuerdo con lo establecido en el Acuerdo 31 de 2008 el comité SARO y Sarlaft es el órgano colegiado encargado del análisis del riesgo operativo, así como la recomendación de propuestas o modificaciones a las políticas riesgo operativo, para su presentación y posterior aprobación por la junta directiva. El Acuerdo 1 de 2007 y la Resolución de Presidencia 797 de 2008 establecen para dicho comité las siguientes funciones:

a) Evaluar los informes sobre la evolución del perfil de riesgo de la entidad y los controles adoptados de acuerdo con el objeto legal de Icetex.

b) Analizar los informes de los órganos de control.

c) Proponer a la junta directiva los límites de exposición y/o niveles de tolerancia al riesgo operacional establecidos.

d) Evaluar y proponer para aprobación de la junta directiva:

• Las políticas y monitoreo de los diferentes riesgos a que está expuesta la entidad, así como de la administración de la infraestructura informática y equipo humano técnico dedicado a la gestión de riesgos.

• Las metodologías para identificar, medir, monitorear y controlar los diferentes tipos de riesgos inherentes al negocio y propios del Icetex.

• Los límites de exposición de riesgos globales y por tipo de riesgos propuestos por un control eficiente de riesgo.

•Los ajustes en políticas, metodologías y límites de exposición al riesgo como consecuencia de cambios en la normatividad o necesidades internas de la entidad.

Son miembros del comité los siguientes funcionarios del Icetex:

• El presidente del icetex o su delegado, quien presidirá el comité con voz y voto.

• Secretario general (podrá actuar como presidente suplente del comité).

• Vicepresidente financiero con voz y voto.

• Vicepresidente de crédito y cobranza con voz y voto.

• Vicepresidente de fondos en administración con voz y voto.

• Vicepresidente de operaciones y tecnología con voz y voto.

• Jefe de la oficina jurídica con voz y voto.

• Oficial de cumplimiento con voz y voto.

• Jefe oficina de riesgos con voz y voto.

• Jefe de la oficina de control interno con voz pero sin voto.

• Coordinador de riesgo de crédito y operativo con voz pero sin voto.

Las deliberaciones y conclusiones del comité SARO serán registradas mediante actas elaboradas por el coordinador de riesgo de crédito y operativo quien ejercerá como secretario del comité. Este comité se realiza trimestralmente y el quórum decisorio requiere de la mitad más uno de los miembros con voto.

5.4.8. Funciones de los órganos de control

Son los responsables de efectuar una evaluación del SARO e informar de forma oportuna los resultados de sus evaluaciones a los órganos competentes y a la alta dirección.

Oficina de control interno

La oficina de control interno deberá cumplir dentro del Sistema SARO las siguientes funciones:

a) Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones.

b) Informar sobre los resultados de la evaluación a la unidad de riesgo operativo y a la presidencia del Icetex.

c) Realizar una revisión periódica del registro de eventos de riesgo operativo e informar a la presidencia el cumplimiento sobre las condiciones señalas en el numeral 3.2.5 de la Circular 41 de 2007 expedida por la Superintendencia Financiera de Colombia y las que la modifiquen o sustituyan.

Revisor fiscal

Sin perjuicio de las normas que le asigna el Código de Comercio y la normatividad expedida por parte de la Superintendencia Financiera de Colombia, serán funciones de la revisoría fiscal las siguientes:

a) Incluir dentro de su plan de actividades, la auditoría al sistema de riesgo operativo de la entidad y formular las recomendaciones que considere pertinentes.

b) Elaborar un reporte al cierre de cada ejercicio contable, en el que informe a la junta directiva acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos establecidos sobre el SARO.

c) Poner en conocimiento del representante legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la junta directiva.

5.5. Plataforma tecnológica.

La plataforma tecnológica propia del sistema SARO aplica al software que asiste a las organizaciones en la implementación de un sistema y cultura de gestión del riesgo operativo efectivo en toda la organización, en aras de mejorar el desempeño del negocio y asegurar el logro de los objetivos y metas, de igual forma, asegura el cumplimiento de las regulaciones sobre riesgos y control interno, sus requisitos de transparencia y divulgación.

El Icetex cuenta con un software de administración de riesgos ERA (entreprise risk asesor) que le permite desarrollar la estructura del SAR de acuerdo con las políticas, objetivos y metodología de medición.

El aplicativo contiene cuatro jerarquías o estructuras separadas que permiten construir mapas de riesgos de multinivel para soportar los requerimientos de análisis y generación de reportes. Dichas estructuras son:

• Áreas

• Riesgos

• Perfiles de riesgo

• Proceso

Imagen5.bmp
 

 

Áreas: Se encuentra la estructura organizacional del Icetex a la cual se vinculan los riesgos identificados y sus causas.

Riesgos: Se encuentra la descripción de cada uno de los riesgos, sus características y la vinculación con las otras estructuras.

Perfil de riesgo: Se encuentran los dos perfiles de riesgo SARO vinculados a cada uno de los riesgos.

Causas: Es el nivel principal de la estructura que contiene la metodología de medición.

Proceso: Contiene los procesos de la Entidad vinculados a los riesgos, causas y controles.

Planes de acción: Usado para administrar la implementación y el seguimiento a los tratamientos que se encuentran vinculados a los planes de acción.

Indicador: Permite la recolección de series de datos en el tiempo para realizar seguimientos y apoyar el análisis de los riesgos.

Eventos de pérdida: Se registra la pérdida real, el registro de esta información apoyará el análisis de riesgos determinado la presencia y severidad de los riesgos, y la efectividad de los controles asociados

La herramienta a través de la parametrización de estas estructuras permite:

• Administrar los riesgos identificados.

• Realizar medición individual y consolidada de los riesgos.

• Verificar la efectividad de los controles.

• Realizar reportes a entes internos y externos.

• Generar datos estadísticos.

• Determinar el perfil de riesgo inherente y residual.

5.6. Documentación.

El Icetex cuenta con un esquema documental para el Sistema de administración del riesgo operativo, el cual se encuentra bajo los estándares de calidad para conservar la uniformidad de todos los documentos y garantizar la integridad, confiabilidad y disponibilidad de la información relacionada con SARO, en consecuencia incluye el siguiente conjunto de información:

Documento Objetivo Responsable
Manual de procesos y procedimientos Consolida el qué hacer de la entidad y el cómo se hace bajo el enfoque por procesos. Oficina de planeación
Mapa de procesos Representar gráficamente la estructura y relación de los diferentes procesos del sistema de gestión de calidad del Icetex. Oficina de planeación
Manual de riesgo operativo Relaciona, establece y divulga las políticas, objetivos, estructura organizacional, metodologías, estrategias, procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del sistema de administración de riesgo operativo SARO en el Icetex. Unidad de riesgo operativo
Mapa de riesgo operativo Documentar la priorización de actividades de monitoreo control para la mitigación de riesgos. Líderes de proceso y unidad de riesgo operativo
Procedimiento de reporte de eventos Garantizar el reporte de eventos de riesgo operativo al momento de la materialización de un riesgo que genere pérdidas al Icetex. Oficina de planeación y líderes de riesgo
Procedimiento gestión al reporte de eventos Garantizar el registro adecuado y oportuno del evento de riesgo operativo al momento de la materialización de un riesgo que genere pérdidas al Icetex y asegurar que el evento de riesgo sea cerrado por la unidad de riesgo operativo. Oficina de planeación y unidad de riesgo operativo
Programa de mejoramiento Documentar el monitoreo realizado al sistema de administración de riesgo operativo. Unidad de riesgo operativo
Hoja de vida de indicadores SARO Realizar medición y evaluación de las metas identificadas para el sistema SARO. Unidad de riesgo operativo.
Reporte de eventos Documentar los eventos para reporte e inclusión como riesgo en caso de no existir y definición de controles de mitigación. Unidad de riesgo operativo
Informes a entidades reguladoras y de control Informar asuntos relacionados con la evaluación del sistema de riesgo operativo y efectuar los reportes que exige la norma. Oficina de control interno. Unidad de riesgo

 

5.7. Capacitación.

El Icetex debe brindar la capacitación necesaria para desarrollar las competencias de los funcionarios en relación con la administración del riesgo operativo, para así contar con personal competente e idóneo dentro de los objetivos corporativos y la cultura de autocontrol, lo cual constituye un requisito que la entidad ha asumido como un parámetro de calidad para la prestación del servicio. Para tal efecto, la presidencia dispondrá los recursos necesarios con el fin de lograr este propósito.

5.7.1. Mecanismos de capacitación.

• Plan institucional de capacitación. Programa que recoge el esquema de capacitación de la entidad en los elementos necesarios para cumplir con la misión y la estrategia propuesta, incluyendo los elementos de las políticas de los sistemas de administración de riesgos.

• Diplomados o cursos en instituciones de educación superior acreditadas.

• Conversatorios, conferencias y talleres.

• Herramientas tecnológicas de enseñanza.

• Información relacionada con el riesgo operativo, publicada en el sitio web o en las carteleras del Icetex.

5.7.2. Mecanismos de evaluación.

• Evaluaciones escritas periódicas.

• Talleres de evaluación grupal.

5.7.3. Reportes de la evaluación.

• La unidad de riesgo operativo debe reportar al comité SARO los resultados de sus procesos de capacitación y evaluación, al igual que a la junta directiva como órgano directamente responsable del sistema SARO.

Eventualmente la unidad de riesgo operativo debe emitir información rela­cionada con el SARO a través de los medios de comunicación internos (cartelera, sitio web del Icetex) establecidos como refuerzo a los programas de capacitación.

5.7.4. Esquema de capacitación SARO:

 

Imagen6.bmp
Imagen6.bmp

 

Icetex cuenta con programas de capacitación del SARO dirigidos a sus funcionarios y a las entidades con las que tiene una relación contractual de procesos tercerizados. Las características de dichos programas de capacitación son:

• Los programas de capacitación serán diseñados, revisados, actualizados y evaluados por la oficina de riesgos y el grupo de talento humano.

• Los programas de capacitación tendrán al menos una periodicidad anual o se realizarán cada vez que un área o funcionario así lo requiera.

• El programa de capacitación será impartido durante el proceso de inducción a los nuevos funcionarios.

• Los programas de capacitación deberán contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de dichos programas y el alcance de los objetivos propuestos.

•Las capacitaciones serán impartidas a los terceros siempre que exista una relación contractual con estos y desempeñen actividades para la entidad.

5.7.5. Estructura del programa de apacitación:

El programa anual de capacitación deberá contener una estructura cuyo alcance profundice en los elementos del SARO incluyendo los siguientes puntos aspectos:
Programa Clase Dirigido a
Marco legal.
Beneficios SARO.
Indicadores de gestión.
Sensibilización estratégica Presidencia y comité técnico.
Modelo de operación por procesos.
Metodologías y procedimientos de Identificación, medición, control y monitoreo de los riesgos.
Entrenamiento Líderes de riesgo
Marco Legal.
Estructura conceptual de SARO.
Roles y responsabilidades. Proceso de administración del riesgo.
Políticas de la entidad relacionadas con SARO.
Capacitación Todos los funcionarios del Icetex
Marco legal.
Estructura conceptual de SARO.
Políticas de la entidad relacionadas con SARO.
Capacitación Terceros con relación contractual.

 

5.8. Divulgación.

• Como parte integral de la capacitación y divulgación de la información, el manual del sistema de administración de riesgo operativo debe ser socializado a todos los funcionarios del Icetex.

• Los líderes de riesgo y los líderes de proceso definidos dentro del sistema de gestión de calidad deben tener copia de los mapas de riesgo de sus procesos, así como el correspondiente plan de acción que se derive de este si se requiere.

• El compendio de la información (mapa - matriz - plan de acción) lo debe tener el líder de proceso.

• La oficina de riesgos trimestralmente debe realizar el reporte de administración del riesgo, que contiene el avance de los planes de acción de la entidad el cual debe ser presentado en el comité SARO.

• El monitoreo de los riesgos operativos debe realizarse semestralmente y el informe del mismo se deben entregar a la presidencia al comité SARO y a la junta directiva. Así mismo los avances de la identificación, medición, control y monitoreo se deben entregar a la presidencia al comité SARO y a la junta directiva.

• Los cambios que se presenten durante las diferentes etapas del SARO con su respectiva justificación, y que hacen parte integral del monitoreo, debe ser presentados en su orden a: la presidencia, al comité SARO y a la junta directiva.

• El mapa de riesgo operativo se debe actualizar cada vez que existan riesgos asociados a cambios de productos, servicios o programas tecnología o nuevos proyectos, para presentarlos a la presidencia, al comité SARO y a la junta directiva.

• La copia del mapa de riesgo debe reposar en la oficina de riesgos con el fin de realizar los ajustes requeridos al plan de acción. Esta información se debe encontrar disponible para los órganos de control y vigilancia internos y externos cuando estos lo requieran.

• Los resultados del SARO, deben darse a conocer a través de informes internos y externos periódicos de la siguiente manera:

5.8.1. Informes internos:
Definición Clase Periodicidad Responsable
Informe: Perfil de riesgo de la entidad. Interno Semestral Oficina de riesgos
Informe de gestión de Riesgo. Interno Semestral Oficina de riesgos
Informe órganos de ontrol Interno Anual Oficina de control interno

 

5.8.2. Informes externos:
Definición Clase Periodicidad Responsable
Notas a los estados financieros Externo Anual Oficina de riesgos/
Dirección de contabilidad/ Presidencia

 

5.8.3. Información sobre revelación contable:
Definición Clase Periodicidad Responsable
Estados financieros Revelación contable Anual Presidencia, dirección de contabilidad y revisor fiscal.

 

6. Políticas del sistema de administración de riesgo operativo.

La administración del sistema de administración de riesgo operativo seguirá principios que rigen el actuar de los diferentes funcionarios partícipes y de la estructura de gobierno corporativo propio del sistema y que se definen como:

Principio de independencia

La unidad de riesgo operativo URO y sus funcionarios son independientes de las áreas misionales, de control y de las demás áreas de apoyo de la entidad, con el fin de evitar conflictos de interés al momento de identificar, medir, controlar y monitorear los riesgos operativos.

Principio de transparencia

Todas las funciones de la URO serán ejecutadas con estricta sujeción a las políticas, reglas y procedimientos que se establezcan para administración del riesgo operativo y a las directrices trazadas por la junta directiva y el comité SARO.

Toda actuación de un funcionario del Icetex se sujetará dentro del marco del manual que describe las políticas del Sistema SARO y las demás normas concordantes que rigen la entidad.

Principio de sostenibilidad

La sostenibilidad de la operación del Icetex debe estar relacionada con el nivel de riesgo operativo asumido en cada caso, respetando los criterios de seguridad y responsabilidad que en todo momento deberán observar los funcionarios de la entidad.

El Icetex ha definido las directrices que guiarán las actuaciones relacionadas con el SARO, los funcionarios y terceros relacionados contractualmente con la entidad. La oficina de riesgos será la encargada de la ejecución de dichas políticas, la alta dirección realizará la revisión y la junta directiva aprobará la estructura y políticas del sistema de administración de riesgo operativo.

Para tal efecto, se han clasificado las políticas en estratégicas, administrativas, operativas y documentales.

6.1 Políticas Estratégicas

Definen los criterios y lineamientos generales de actuación encaminados a generar una alineación entre el direccionamiento estratégico y el sistema de administración de riesgo operativo del Icetex.

Política Aplicación Seguimiento y evaluación
 Ejecución Responsable Acción Responsable
La junta directiva y la presidencia de Icetex, reconocen en la administración del riesgo operativo, una herramienta de gestión que le permitirá mantener bajo estricto control los riesgos en cada uno de sus procesos que le impidieran cumplir el logro de sus objetivos. -Presentar informe de riesgo operativo a la junta directiva
-Reportar a la presidencia evolución del riesgo, controles implementados y monitoreo
Oficina de riesgos Revisión de informes Verificación de envío de informes Presidencia y Junta Directiva Comité SARO
La junta directiva y la presidencia de Icetex, se comprometen con el desarrollo y mantenimiento de un eficaz sistema de administración del riesgo operativo. - Aprobar el Manual SARO - Pronunciarse sobre los informes de riesgos presentados a junta directiva. - Asignar de partida presupuestal para el desarrollo del sistema de administración de riesgo operativo. Junta directiva Presidencia Seguimiento Junta directiva
Icetex asegurará la prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del SARO, especialmente para el registro de eventos de riesgo operativo - Aplicar del proceso gestión de riesgo operativo, conforme los procedimientos publicados en la herramienta Doc. Manager Oficina de riesgos Seguimiento Comité SARO
Los funcionarios de Icetex, incorporan como parte integral del desarrollo de sus actividades las correspondientes al SARO. Manual SARO Oficina de riesgos Seguimiento Comité SARO
La oficina de riesgos realizará semestralmente, las acciones pertinentes para identificar nuevos riesgos, cambios en la calificación de riesgos inherentes, evaluación de controles que afecten el riesgo residual. Aplicar metodología descrita en el Manual SARO Aplicar el proceso Gestión de Riesgo operativo Oficina de riesgos Seguimiento Comité SARO
Los funcionarios deberán conocer y cumplir las normas internas y externas relacionadas con la Administración del Riesgo Operativo. - Socializar manual SARO. Oficina de riesgos Evaluaciones de conocimiento Oficina de riesgos
La presidencia deberá ser responsable de implementar el marco de administración del riesgo operacional aprobado por la junta directiva. - Poner en funcionamiento los procesos y procedimientos de la gestión de riesgo operativo, y las metodologías desarrolladas.
- Construir el mapa de Riesgo Operativo.
- Solicitar los planes de mejoramiento o planes de acción de acuerdo con la criticidad de los riesgos a los líderes de riesgo.
- Reportar a la Presidencia la evolución del riesgo.
Oficina de riesgos - Evaluar los informes presentados por la oficina de riesgos. Presidencia

 

6.2. Políticas administrativas

Definen los criterios y lineamientos generales para administrar el SARO.

Política Aplicación Seguimiento Y Evaluación
Ejecución Responsable Acción Responsable
Icetex deberá tener la estructura organizacional que soporta la dministración de riesgo operativo, así como la definición de los roles, responsabilidades y funciones específicas relacionadas. Ejecutar los roles responsabilidades y funciones definidos Oficina de riesgos.
Todos los funcionarios
Revisión de la ejecución de los roles responsabili dades y funciones definidos Comité SARO
La oficina de riesgos, como responsable del SARO dependerá directamente de la presidencia y será independiente de las áreas de control y operación. Actuar conforme a la estructura organizacional del Icetex Presidencia Seguimiento. Comité SARO
Icetex deberá tener una metodología aprobada para la identificación, medición, control y monitoreo de riesgos operativos -Desarrollar metodologías y definir instrumentos de para la identificación, medición, control y monitoreo de SARO.
-Documentar las metodologías en el Manual SARO
Oficina de riesgos Seguimiento a los resultados de la aplicación de la metodología Comité SARO
Los responsables de la identificación, medición, control, así como la inclusión de nuevos riesgos, cambios en la medición, mejoramiento e inclusión de nuevos con­troles será de cada uno de los líderes de proceso bajo la orientación de la oficina de riesgos. - Designar a los Líderes de Riesgo para trabajar conjuntamente con la Oficina de riesgos en la identifi­cación y medición de los riesgos y controles de los procesos.
-Aprobar oportunamente los mapas de riesgo operativo resultado del trabajo efectuado con los líderes de riesgo realizar actas de los cambios y/o actualizaciones efectuados al mapa de riesgos
Líderes de proceso -Validación semestral de los líderes de riesgo.
-Solicitud por medio magnético la aprobación del mapa de riesgos.
-Realizar actas de los cambios y/o actualizaciones efectuados al mapa de riesgos.
Oficina de riesgos
Los criterios de evaluación y control del riesgo se definen de acuerdo al nivel de tolerancia al riesgo por parte de Icetex y son asumidos y aprobados por la junta directiva, permitiendo la identificación de nuevos controles y cambios en el perfil de riesgo. - Aplicar la metodología de monitoreo Oficina de riesgos Seguimiento Comité SARO
El personal adscrito a la URO debe contar con el conocimiento suficiente y experien­cia en riesgo operativo - Vincular a funcionarios nuevos de acuerdo con el manual de funciones.
- Realizar planes y programas permanentes de capacitación a los funcionarios adscritos a la URO para el correcto ejercicio de sus funciones.
Grupo de Talento Humano. Oficina de riesgos . Seguimiento Comité SARO
La oficina de riesgos junto con el área de talento humano deberán diseñar e implementar los programas de capacitación y actualización anual a todos los empleados, los funcionarios que ingresen al Icetex y terceros vinculados con la operación de la entidad. -Realizar capacitación a los funcionarios y outsourcing Oficina de riesgos. Talento Humano Seguimiento al indicador de capacitación balance Score Card. Ejecución del plan de auditoría al sistema SARO Oficina asesora de planeación.

 

6.3. Políticas operativas.

Fijan directrices que orientan eficaz y eficientemente las operaciones sobre la entidad y gestión para el logro de los objetivos del sistema de administración del riesgo operativo en el Icetex.

Política Aplicación Seguimiento y evaluación
Ejecución Responsable Acción Respon-sable
Todas las funciones de la URO serán ejecutadas con estricta sujeción a las políticas, reglas y procedimientos que se establezcan para administración del riesgo operativo y a las directrices trazadas por la junta directiva y el comité SARO Actuar conforme a lo establecido en el manual SARO Oficina de riesgos Seguimiento Junta directiva Comité SARO
La Junta Directiva del Icetex con el apoyo del comité SARO y la oficina de riesgos ha establecido el nivel de tolerancia al riesgo operativo en tolerable. Realizar el monitoreo y reporte permanente a los riesgos operativos y los controles Oficina de riesgos Revisión informe del monitoreo Junta directiva Comité SARO
La URO debe administrar la información y bases de datos de riesgo operativo, apoyar a los líderes de proceso en la identificación de los eventos de riesgo, en el registro de dichos eventos, en el diseño de los planes de acción y en el seguimiento a los mismos Aplicar el procedimiento asociados al reporte de eventos.
Realizar monitoreo a los riesgos
Oficina de riesgos Seguimiento Junta directiva Comité SARO
Las políticas, procedimientos, normas y estrategias sobre el riesgo operativo se deberán revisar y actualizar por lo menos una vez al año, incluyendo una completa revisión de la efectividad de las actividades de identificación, evaluación, monitoreo y control del riesgo. Realizar el monitoreo al sistema SARO Oficina de riesgos Revisión informe SARO Comité SARO
Como mínimo semestralmente, se deberá monitorear y evaluar los riesgos operativos y registrar en los mapas y en el plan de acción sus respectivas actualizaciones. Programar monitoreo semestral Oficina de riesgos Revisión informe SARO Comité SARO
El Icetex deberá contar con el mapa de riesgos, así como sus responsables, calificaciones y planes de acción. Elaboración del mapa de riesgos por proceso y consolidado Oficina de riesgos Seguimiento junta directiva Comité SARO
La medición de los riesgos operativos se deberá realizar de forma cualitativa y acorde con la metodología aprobada por la junta directiva. De igual manera el Icetex debe elaborar y llevar un registro de eventos materializados. Aplicar la metodología descrita en el manual SARO Oficina de riesgos Seguimiento Comité SARO
El líder de riesgo debe comunicar me­diante los formatos apropiados a la unidad de riesgo operativo todos los eventos que afecten el sistema de administración de riesgo operativo, con sus respectivos soportes. Capacitación sobre eventos de riesgo al líder de riesgo.

Entregar los formatos en el tiempo establecido.
Oficina de riesgos. Líderes de riesgo. Seguimiento Comité SARO

 

6.4. Políticas documentales.

Definen directrices que orientan al Icetex, en el control de los documentos y el control de los registros del sistema de administración del riesgo operativo

en el Icetex.
Política Aplicación Evaluación y seguimiento
Ejecución Responsable Acción Responsable
Icetex deberá documentar los procesos y procedimientos de su operación. Elaborar el manual de procesos y procedimientos Grupo de administración y seguimiento estratégico Seguimiento Presidencia
Todas las políticas, metodologías y procedimientos del SARO se documentarán y quedarán registrados en el manual del sistema de administración del riesgo operativo. Actualización permanente del manual SARO.
Presentar al comité SARO. Solicitar aprobación de junta directiva.
Oficina de riesgos Seguimiento Comité SARO
Los informes relacionados con la administración de riesgos se presentarán a la junta directiva por lo menos una vez cada semestre por parte de la presidencia. Reportar a la presidencia evolución del riesgo, controles implementados y monitoreo. Entregar a la junta directiva. Oficina de riesgos representan te legal Seguimiento Junta directiva Comité SARO

7. Metodología, sistema de administración del riesgo operativo.

Para la implementación y administración del riesgo operativo, la metodología se ha planteado con base en la estructura conceptual del riesgo del estándar australiano de autocontrol, Control Self Assessment - CSA, la Circular Externa 41 de 2007 de la Superintendencia Financiera de Colombia y aquellas que las modifiquen, complemente o deroguen.

El proceso de administración del riesgo operativo, se desarrolla bajo los siguientes criterios metodológicos:

a) El proceso de administración del riesgo, se ejecutará a todos los procesos identificados en el Icetex.

b) El proceso de administración del riesgo será ejecutado por los funcionarios responsables o delegados de cada uno de los procesos, bajo la dirección metodológica de la unidad de riesgo operativo.

c) La identificación del riesgo para cada proceso se realizará teniendo como parámetro principal los factores de riesgo y los riesgos asociados. La identificación de los riesgos para los procesos se realizará teniendo como parámetro principal el objetivo del proceso; se debe identificar los eventos que puedan llegar a impedir el cumplimiento de los objetivos del proceso.

d) Luego de identificar los riesgos operativos para cada uno de los procesos de Icetex, deben relacionarse las causas que pueden generar dichos riesgos, además se debe realizar una breve descripción del impacto que le podría generar a la entidad en caso que se materialice del riesgo.

e) Los riesgos de cada proceso por cada factor de riesgo, deben ser medidos y controlados por los funcionarios de cada proceso, bajo la dirección de la unidad de riesgo operativo.

f) Una vez identificados los riegos para cada proceso, se consolida la información, para posteriormente clasificarlos en exclusivos de cada proceso o transversales. Los riesgos transversales a los procesos deben ser medidos y controlados por equipos integrados por los responsables o delgados de cada uno de los procesos, y por lo menos un experto en talento humano, en tecnología y financiera.

El proceso descrito anteriormente para el desarrollo de la metodología del SARO se basa en la identificación de riesgos y causas que permiten tener una mayor cobertura en el momento de controlar los eventos que puedan generar una pérdida, para lo cual la medición se realiza por cada una de las causas, identificando así los riesgos de mayor impacto y las medidas a tomar para su control o mitigación, esto proporciona una seguridad razonable de la prevención, detección y mitigación de los riesgos.

7.1 Proceso de gestión del riesgo operativo.

Dentro del macroproceso de gestión y administración del riesgo se encuentra el proceso de gestión de riesgo operativo, el cual está compuesto por los siguientes procedimientos:

a) Procedimientos gestión del riesgo operativo (Ver Anexo 1).

b) Monitoreo controles operativos (Ver Anexo 2).

c) Monitoreo SARO (Ver Anexo 3).

d) Procedimiento reporte de eventos (Ver Anexo 4).

e) Procedimiento gestión al reporte de eventos de riesgo operativo (Ver Anexo 5).

 

Imagen71.bmp
 

 

7.2. Identificación del riesgo.

La primera etapa del SARO tiene como objetivo identificar los riesgos que puedan generar pérdidas, por fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.

Bajo el enfoque metodológico de juicios de experto se debe realizar la identificación de los riesgos mediante reuniones con los líderes de proceso o líderes de riesgo con fundamento en su conocimiento de la operación se identifican los riesgos, las causas que dan origen al riesgo y se relacionan con los factores de riesgo definidos en la Circular 41 de 2007, expedida por la Superintendencia Financiera de Colombia, los cuales son:

• “Recurso Humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.

• Proceso: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

• Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

• Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

• Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.

• Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes

• Eventos Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad”.(4)

De igual manera debe identificarse el impacto que tendría para Icetex la materialización del riesgo, teniendo en cuenta los siguientes criterios:

Riesgo asociado
Económico
Legal
Reputacional
Proceso

 

7.3. Medición del riesgo.

Tiene como objetivo establecer el nivel de riesgo inherente al cual está expuesto cada uno de los procesos de Icetex, teniendo en cuenta los criterios de frecuencia del riesgo y la magnitud del impacto en caso de materializarse dicho riesgo.

La medición se realiza basada en el juicio de experto, teniendo en cuenta los criterios definidos previamente para la estimación de la frecuencia e impacto de los riesgos, los cuales se detallan a continuación:

7.3.1. Estimación de la frecuencia de los riesgos.

La frecuencia es una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de ocurrencias de un evento en un tiempo dado. Se

determinará por el número de eventos que estén expuestos durante un período de un año, y la escala seleccionada se determina de la siguiente manera:

 

Imagen72.bmp
Imagen72.bmp
 

 

Dibujo.bmp
 

 

7.3.2. Estimación de la magnitud del impacto.

El impacto se considera como el conjunto de posibles efectos negativos que puede ocasionar el riesgo en caso de materializarse. Para la estimación de la magnitud del impacto del riesgo, se considera la magnitud de pérdida que ocasione en los aspectos de tipo económico, de proceso, reputacional y legal.

El impacto se debe estimar con las variables de impacto: económico, proceso, reputacional y legal. La escala seleccionada está determinada en un puntaje de 0 a 5 con la siguiente clasificación.

 

Dibujo1.bmp
Dibujo1.bmp
 

 

Después de determinar la frecuencia y la magnitud del impacto, se estima el perfil de riesgo inherente, cuyo resultado es el producto de la calificación obtenida entre el nivel de frecuencia y el nivel de Impacto del riesgo sin controles.

Riesgo Inherente = Valor asociado frecuencia x Valor asociado impacto

Para tal efecto se utiliza una escala clasificada en 4 rangos para evaluar el perfil de riesgo de la siguiente manera:

 

Dibujo2.bmp
 

 

úlitma imagen.bmp
 

 

Con la información del riesgo inherente de cada uno de los riesgos, la URO debe elaborar la matriz de riesgos consolidada por procesos, y de toda la organización, en la cual se observe la exposición de riesgos sin controles.

7.4. Control de riesgos.

Una vez definido el perfil de riesgo inherente, se identifican los controles que permitan prevenir y/o detectar cada una de las causas asociadas a los riesgos y los controles que al implementarse logren disminuir el impacto identificado y asociado a cada riesgo, para posteriormente evaluar la calidad de los controles asociados a los riesgos identificados y medidos.

Los controles deben atacar todas las causas e impactos que originan el riesgo, desde tres perspectivas, prevención, detección y corrección, generando una cadena de control suficiente para el tratamiento del riesgo.

En la valoración de los riesgos identificados, se tendrán en cuenta la calidad de los controles establecidos para el tratamiento de los mismos, para así valorar el riesgo residual. Los criterios base para determinar la calidad de los controles son el de oficialidad, aplicación y efectividad, a los cuales se les ha asignado un peso de 20, 30 y 50 puntos respectivamente sobre 100.

El criterio de oficialidad será calificado teniendo en cuenta cuatro determinantes: a) si el control NO está documentado, el cual no aporta ningún valor al total del criterio, b) si el control está documentado, aporta al total del criterio una calificación, de 8 puntos c) si el control está aprobado, aporta al total del criterio una calificación de 8 puntos y d) si el control está divulgado, aporta al total del criterio una calificación de 4 puntos al para un total de 20 puntos.

El segundo determinante es la aplicación, el cual aporta un total de 30 puntos, en este sentido solo debe seleccionarse una de las tres opciones así: el control nuncase aplica, a discrecióny siempre, este arrojará una calificación de 0, 10 o 30, respectivamente, dependiendo del aspecto que se escoja.

En cuanto a la efectividad del control, realizada por el líder de proceso o líder de riesgo, se tienen en cuenta criterios como comprobada efectividad, en la cual se debe contar con la evidencia física que gracias a la aplicación del control se ha prevenido, detectado o mitigado un riesgo, percepción positiva, en la cual no se tiene la evidencia pero la percepción del experto en cuanto a la efectividad del control es positiva, percepción negativa, donde la percepción del experto es negativa en cuanto a la efectividad del control y comprobada no efectividad, en donde se tiene la evidencia que el control no es efectivo para la prevención, detección y mitigación de riesgos, dándole una calificación de 50, 30, 10 o 0, respectivamente.

Finalmente, la calificación de estos criterios arroja el porcentaje de control por riesgo, para así identificar el riesgo controlado y por ende el riesgo residual individual y consolidado. Así mismo, luego de la valoración de los controles se puede identificar el porcentaje de mitigación para disminuir causa e impacto teniendo en cuenta la descripción del riesgo.

RangoCalificaciónEfecto mitigación
90 a 100 Fuerte 75%
65 a 89 Bueno 55%
35 a 64 Normal 40%
11 a 34 Moderado 25%
1 a 10 Insuficiente 10%
0 Inexistente 0%

 

En los procesos del Icetex que incluyen la participación de un outsourcing, el riesgo operativo debe ser identificado y medido por el Líder de Riesgo, los

funcionarios que se encuentran involucrados directamente con este o quienes hagan las funciones de supervisor y/o interventor. La definición de las medidas de control de los riesgos operativos las realiza el outsourcing con previa aprobación del supervisor y/o interventor.

7.5. Perfil de riesgo.

El perfil de riesgo es el resultado consolidado de la medición permanente de los riesgos a los que se ve expuesto el Icetex. Se utiliza la siguiente fórmula para el cálculo del perfil de riesgo:

PR= Σ (R (R/ ΣR))

Es decir:

PR = (a x (a/R)) + (b x (b/R)) +...(n x (n/R)), donde,

PR = Perfil de riesgo

a = Riesgo 1

b = Riesgo 2

n = Riesgo n

R = Sumatoria de los niveles de riesgos (a + b +...n)

Esta fórmula permite calcular un perfil de riesgo consolidado, teniendo en cuenta el perfil de riesgo determinado por el porcentaje de representación de cada uno de sus riesgos.

A partir de la consolidación de la medición de los riesgos, la junta directiva ha definido el nivel máximo de aceptación del riesgo residual, es decir el resultado de la exposición teniendo en cuenta el efecto de los controles sobre los riesgos inherentes identificados el cual será del nivel tolerable.

7.6. Tratamiento del riesgo residual.

Una vez identificados y calificados los controles y su acción frente al riesgo inherente de no alcanzarse el nivel de riesgo residual definido por la junta directiva o de detectarse debilidades en los controles existentes se definirá el tratamiento del riesgo residual que debe ir orientado a cualquiera de las siguientes opciones:

• Eliminar el riesgo: Cuando se opta por suspender un producto o proceso por una decisión administrativa.

• Mitigar el riesgo: al generar al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, como resultado de unos adecuados controles y planes de acción, los cuales deben ir orientados a la disminución del impacto, mediante la distribución de la frecuencia o la disminución de las dos.

• Dispersar o atomizar el riesgo: Se logra mediante la distribución o localización del riesgo en diversos lugares, procesos o personas.

• Transferir el riesgo: Buscar respaldo y compartir con otro parte del riesgo.

• Asumir el riesgo: Luego que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso en el cual la junta directiva o la presidencia aceptarán la pérdida residual tolerable y se deberán realizar tratamientos a estos riesgos para su manejo.

Para los riesgos que en su calificación residual se clasifiquen como graves o críticos, el líder de proceso debe establecer planes de acción que busquen reducir la exposición de la entidad a través de la creación de nuevos controles o la implementación de modificaciones a los controles existentes. A dichos planes se les hará seguimiento de forma trimestral, y se reportará su avance al comité SARO, y a la junta directiva, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación.

Los riesgos clasificados como aceptables y tolerables deben ser evaluados continuamente por los líderes de riesgo, garantizando la eficacia de los controles en el tiempo, ya sea mejorándolos o planteando unos nuevos, cuando haya lugar. Si se percibe un incremento en el nivel del riesgo debe ser informado inmediatamente a la URO, con el fin de realizar la respectiva reclasificación.

7.7. Monitoreo.

7.7.1. Monitoreo al mapa de riesgos operativos.

Tiene por objeto realizar el seguimiento a los perfiles de riesgo inherente y residual, así mismo, a las etapas del SARO, con el fin de realizar las acciones correctivas, preventivas y de mejora al sistema. Es necesario monitorear los riesgos, la efectividad de los planes de acción de los riesgos y el sistema de administración que se establece para controlar la implementación.

El monitoreo lo realizará la URO semestralmente, la cual hará el seguimiento permanente sobre la implementación de los planes de tratamientos y la verificación que los controles estén funcionando de forma oportuna, efectiva y eficiente, identificando nuevos riesgos para posteriormente actualizar su medición.

Dentro del monitoreo la URO debe proponer al comité SARO las medidas relativas al perfil de riesgo residual, teniendo en cuenta el nivel de tolerancia al riesgo de la Entidad, fijado por la junta directiva.

7.7.2. Monitoreo al SARO.

Tiene por objeto realizar un seguimiento efectivo, que facilite la detección y corrección de las deficiencias en el SARO.

En el monitoreo anual al sistema, se hará una revisión al cumplimiento de las políticas, al programa de capacitación, indicadores, registro de eventos y controles operativos, para los cuales se evidencia su resultado en la herramienta de monitoreo.

Ver Anexo 6: Herramienta de monitoreo

Una herramienta fundamental para el monitoreo de la implementación y eficacia del SARO son las auditorías propias del sistema. El monitoreo que se realice al SARO deberá enfocarse en:

• El cumplimiento de los objetivos y políticas del sistema.

• Verificar que los controles estén funcionando en forma oportuna, eficiente y efectiva.

• Verificar que los riesgos residuales se encuentren en los niveles de aceptación establecidos y aprobados por la junta directiva.

• Verificar la eficacia de los planes de acción y tratamientos definidos para los riesgos.

7.8. Indicadores.

Los indicadores del sistema de administración del riesgo operativo, están diseñados para monitorear y hacer seguimiento al desempeño del sistema al interior del Icetex en un período definido.

El Icetex ha construido una serie de indicadores para la medición del Sistema de administración del riesgo operativo —SARO— los cuales se estructuran en una matriz que permite monitorear las actividades del sistema, comparar los resultados alcanzados en relación con lo programado, determinar las posibles desviaciones y promover acciones correctivas y de mejora necesarias para el cumplimiento de las metas definidas.

Ver Anexo 7: Indicadores.

7.9. Registro de eventos.

La Superintendencia Financiera de Colombia establece que se debe construir un registro de eventos de riesgo operativo y mantenerlo actualizado, el cual debe contener todos los eventos de riesgo operativo ocurridos y que:

• Generan pérdidas y afectan el estado de resultados.

• Generan pérdidas y no afectan el estado de resultados.

• No generan pérdidas y no afectan el estado de resultados.

Los eventos que no afectan el estado de resultados, deben tener una medición cualitativa de acuerdo con el mapa de riesgos.

El propósito fundamental del registro de eventos dentro del proceso de administración de riesgos es garantizar que se tomen las acciones para evitar o disminuir nuevamente su ocurrencia. La base de datos con el registro de los eventos de riesgo reportados por los líderes de riesgo estará bajo la custodia de la oficina de riesgos contando con el respectivo backup.

El Icetex tiene un formato para el reporte de eventos de riesgo operativo, el cual el líder de riesgo envía en medio físico y magnético a la oficina de riesgos - unidad de riesgo operativo previa validación al líder de proceso y/o jefe de área.

Los eventos materializados que se descubran deben ser reportados a la oficina de riesgos máximo tres (3) días hábiles después de su hallazgo de lo contrario, si durante el transcurso de un mes, no se materializó ningún evento de riesgo operativo dentro de los procesos, se debe certificar dicha situación a través de un memorando a la Oficina de riesgos, dentro de los cinco (5) primeros días hábiles del mes siguiente.

Ver Anexo 8: Formato e instructivo de reporte de eventos de riesgo operativo.

7.9.1. Revelación contable.

La cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención que afecten el estado de resultados, deben registrarse en cuentas de gastos del estado de resultados de la Entidad en el período en el que se materializó la pérdida.

Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados deben registrarse en cuentas de ingreso en el período en el que se materializó la recuperación.

Las cuentas de gastos e ingresos son las siguientes:

Ingresos - Operacionales

Cuenta 4190: Recuperaciones de riesgo operativo
419005 Se debe registrar las recuperaciones provenientes de seguros, derivadas de una reclamación sobre un gasto por un evento de riesgo operativo.
419010 Se debe registrar las otras recuperaciones diferentes a seguros, derivadas de un gasto operacional por un evento de riesgo operativo

 

Gastos - Operacionales

5102: Intereses, depósitos y exigibilidades
510297 Se debe registrar el valor del gasto o desembolso por concepto de intereses, depósitos y exigibilidades, atribuibles a un evento de riesgo operativo.

 

5103: Intereses de créditos de bancos y otras obligaciones financieras
510397 Se debe registrar el valor del gasto o desembolso por concepto de intereses, créditos de bancos y otras obligaciones financieras, atribuibles a un evento de riesgo operativo

 

5104: Rendimientos en operaciones repo o simultáneas, transferencia temporal de valores y otros intereses
510497 Se debe registrar el valor del gasto o desembolso por concepto de otros intereses, prima amortizada y amortización de descuento, atribuibles a un evento de riesgo operativo

 

5115: Comisiones
511597 Se debe registrar el valor del gasto o desembolso de las comisiones, atribuibles a un evento de riesgo operativo.

 

5116: Pérdida realizada en inversiones disponibles para la venta
511697 Se debe registrar el valor del gasto o desembolso de la pérdida realizada en inversiones disponibles para la venta, atribuibles a un evento de riesgo operativo.

 

5120: Gastos de personal
512097 Se debe registrar el valor de los desembolsos por concepto de gastos personal, atribuibles a un evento de riesgo operativo.

 

5125: Pérdida en venta de inversiones
512597 Se debe registrar el valor del gasto o desembolso por concepto de pérdidas en venta de inversiones, atribuibles a un evento de riesgo operativo.

 

5130: Honorarios
513097 Se debe registrar el valor de los gastos o desembolsos por concepto de honorarios, atribuibles a un evento de riesgo operativo.

 

5140: Impuestos
514097 Se debe registrar el valor de los gastos o desembolsos por concepto de impuestos, atribuibles a un evento de riesgo operativo.

 

5145: Arrendamientos
514597 Se debe registrar el valor de los gastos o desembolsos por concepto de arrendamientos, atribuibles a un evento de riesgo operativo.

 

5150: Contribuciones y afiliaciones
515097 Se debe registrar el valor de los gastos o desembolsos por concepto de contribuciones y afiliaciones, atribuibles a un evento de riesgo operativo.

 

5155: Seguros
515597 Se debe registrar el valor de los gastos o desembolsos por concepto de seguros, atribuibles a un evento de riesgo operativo.

 

5160: Mantenimiento y reparaciones
516097 Se debe registrar el valor de los gastos o desembolsos por concepto de cambios atribuibles a un evento de riesgo operativo.

 

5165: Adecuación e instalación de oficinas
516597 Se debe registrar el valor de los gastos o desembolsos por concepto de adecuación e instalación de oficinas, atribuibles a un evento de riesgo operativo.

 

5174: Pago siniestros sin recuperación
517497 Se debe registrar el valor de los gastos o desembolsos por concepto de los pagos de siniestros, atribuibles a un evento de riesgo operativo

 

5185: Gastos capitalizables
518597 Se debe registrar el valor de los gastos o desembolsos por concepto de gastos capitalizables, atribuibles a un evento de riesgo operativo

 

5190: Diversos

Registra los gastos operacionales ocasionados por conceptos diferentes a los especificados anteriormente.
519097 Se debe registrar el valor de los gastos o desembolsos por concepto de Diversos, atribuibles a un evento de riesgo operativo.

 

Gastos - No operacionales

5205: Pérdida en venta bienes recibidos en pago
520597 Se debe registrar el valor de los gastos o desembolsos por concepto de pérdida en venta de bienes recibidos en pago y restituidos, atribuibles a un evento de riesgo operativo

 

5210: Pérdida en venta de propiedades y equipo
521097 Se debe registrar el valor de los gastos o desembolsos por concepto de pérdida en venta de propiedades y equipo, atribuibles a un evento de riesgo operativo.

 

5215: Pérdida en venta de otros activos
521597 Se debe registrar el valor de los gastos o desembolsos por concepto de pérdida en venta de otros activos, atribuibles a un evento de riesgo operativo.

 

5217: Pérdida por siniestros riesgo operativo
521797 Se debe registrar el valor de los gastos o desembolsos por concepto de siniestros, atribuibles a un evento de riesgo operativo, con los documentos que dan soporte a dicho registro.

 

5230: Multas y sanciones, litigios indemnizaciones y demandas riesgo operativo
523097 Registra los gastos por concepto de multas y sanciones de la Superintendencia Financiera de Colombia y de otras autoridades administrativas; indemnizaciones; demandas laborales y por incumplimiento de contratos; litigios en proceso ejecutivo y litigios en proceso administrativo judicial o arbitral. Las provisiones se deberán efectuar de acuerdo con las instrucciones impartidas en las cuentas 2860 y 2865, según corresponda.

 

5295: Diversos
529597 Se debe registrar el valor de los gastos o desembolsos por concepto de gastos diversos, atribuibles a un evento de riesgo operativo.

 

8. Provisión contingencias judiciales.

Definición

Comprende las estimaciones que debe efectuar el instituto para cubrir contingencias por concepto de los procesos jurídicos en los que el Icetex haya sido demandado y cuyas pretensiones impliquen el pago de sumas de dinero.

Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal como el riesgo reputacional está implícito en el riesgo operativo.

Política de provisión de contingencias judiciales

Como consecuencia de los riesgos operacionales que implica la actividad y funcionamiento de la entidad, contra la misma se presentan demandas y reclamaciones de carácter jurisdiccional cuyos resultados están sujetos a una contingencia. El Acuerdo 16 del 21 de febrero de 2007 establece:

• Adoptar la política de provisión para las contingencias judiciales, entendida como los lineamientos generales que permitirán revelar en la contabilidad del Icetex el valor estimado de pérdida de las contingencias. Igualmente para esta­blecimientos de parámetros para el cálculo y calificación de las mismas.

• La política de provisión de contingencias judiciales debe ser aplicada y establecida en todos los procesos en los que el Icetex haya sido demandado y cuyas pretensiones impliquen el pago de sumas de dinero.

• Para el efecto de la política se tendrán en cuenta las siguientes definiciones:

Provisión: Valor de las estimaciones que debe efectuar la entidad para cubrir contingencias de pérdidas.

Pasivos: Obligaciones de la entidad surgida por sucesos pasados que a su vencimiento y/o acaecimiento deben ser cancelados.

Pasivo contingente: Obligación posible, cuya existencia ha de ser confirmada sólo por la ocurrencia o no, de uno o más eventos inciertos en el futuro, que no se han reconocido contablemente porque: No es probable que la entidad tenga que satisfacerla o bien, el importe de la obligación no puede ser medido con la suficiente fiabilidad.

Contingencia probable: Son contingencia probables aquellas respecto de los cuales la información disponible, considerada en su conjunto indica que es

La valoración y calificación de las contingencias por sentencias y conci­liaciones. Para determinar la provisión por la cuantificación o valoración de las contingencias judiciales deberá realizarse sobre el valor de la pretensión. Al momento de rendir su concepto el apoderado deberá tener en cuenta:

— La naturaleza de los procesos judiciales a provisionar.

— Fortaleza de los planteamientos de la demanda, su presentación y desarrollo, el cual tendrá un peso porcentual del 10%.

— Fortaleza de las excepciones propuestas al contestar la demanda, el cual tendrá un peso porcentual del 15%.

— Presencia de riesgos procesales, el cual tendrá un peso porcentual del 10%.

— Suficiencia del material probatorio en contra de la entidad, el cual tendrá un peso porcentual del 15%.

— Suficiencia de las pruebas con las que se pueda considerar la prosperidad de las excepciones propuestas por la entidad demandada, la cual tendrá un peso porcentual del 10%.

— Fallos jurisprudenciales relacionados con casos similares o antecedentes parecidos, el cual tendrá un peso porcentual del 40%.

Del análisis anterior se desprenderá el valor de la contingencia y la probabilidad de pérdida que será calificada por el apoderado de la entidad como remota, eventual o probable de conformidad con las definiciones mencionadas.

• Corresponderá al apoderado del Icetex, de conformidad con los supuestos antes dichos, mediante concepto valorar y calificar la contingencia e informar de esta al jefe de la oficina asesora jurídica del instituto.

• El cálculo de las provisiones se realiza con el apoderado teniendo en cuenta los siguientes porcentajes:

Remota: Cero por ciento (0%) de provisión.

Eventual: Cincuenta por ciento (50%) de provisión sobre el valor de la contingencia.

Probable: Cien por ciento (100%) de provisión sobre el valor de la contingencia.

• El jefe de la oficina asesora jurídica o quien haga sus veces, será el responsable de reportar la información suministrada al área contable. Las dependencias antes citadas, serán responsables de coordinar el procedimiento y periodicidad del reporte. El director de contabilidad será responsable de la contabilización de la provisión.

• La valoración y calificación de la contingencia si como la cuantificación de la provisión, en todo caso, se entienden sujetas a los riesgos e incertidumbres propios de los procesos judiciales.

9. Administración de la continuidad del negocio.

El Icetex, consciente de las pérdidas económicas de infraestructura y humanas que pueden ser ocasionadas por factores propios de los eventos que afecten la continuidad de la operación desarrolla su plan de continuidad del negocio en el cual se exponen los procedimientos y estrategias que permitirán que la operación de la entidad no se detenga ante la ocurrencia de estos eventos.

Este plan contempla aspectos generales que se relacionan y desarrollan al tenor de las circulares externas 41 y 52 de 2007 expedidas por la Superintendencia Financiera de Colombia y las que las modifiquen o sustituyan.

Dicho plan contempla la implementación y formalización de la estrategia de identificación de riesgos de procesos críticos de la operación, el levantamiento de dichas actividades en sitios preestablecidos, la actuación del factor humano, el respaldo de la información, la continuidad tecnológica y el debido soporte a atención de los usuarios y demás elementos que permitan el regreso a la actividad normal en el menor tiempo posible y programado. Es compromiso de la alta dirección apoyar los ejercicios que en administración de la continuidad del negocio se requiera en aras de mitigar dicha exposición de riesgo.

El plan de continuidad del negocio cumple con los siguientes requisitos:

• Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia.

• Ser conocidos por todos los interesados.

• Cubrir por lo menos los siguientes aspectos: identificación de los riesgos que pueden afectar la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad normal.

9.1. Gobierno del plan de continuidad.

Lineamientos del plan de continuidad

• Todo el personal de la entidad involucrado en el plan deberá estar entrenado y capacitado en los procedimientos definidos y conocer claramente sus roles y responsabilidades.

• El plan de continuidad deberá ser probado, a través de pruebas por componentes. Las simulaciones por componente de tecnología se deben realizar una vez al año.

• El plan de continuidad deberá permanecer actualizado y su custodia, distribución y capacitación del personal involucrado, deberá ser responsabilidad inaplazable del comité SARO.

• El plan de continuidad debe ser divulgado a todas las personas que intervienen en las operaciones de contingencia y recuperación, a través de campañas, talleres y simulacros, por lo menos una vez al año

9.1.1. Estructura del plan de continuidad (comité SARO).

Dado que el comité SARO realizará el monitoreo de riesgos a los que está sometida la entidad, será este mismo el responsable de administrar la continuidad de la entidad, mencionamos los integrantes del comité así:

Comité SARO Roles en contingencia
El presidente del Icetex o su delegado, quien presidirá el comité Director de continuidad
Secretario general Director alterno de continuidad Líder administración / recuperación infraestructura física
Vicepresidente financiero Coordinadores de recuperación de operaciones
Vicepresidente de crédito y cobranza
Vicepresidente de fondos en administración
Vicepresidente de operaciones y tecnología Coordinadores de recuperación de operaciones y coordinador de recuperación tecnológica
Jefe de la oficina jurídica Responsable de las tareas de apoyo, control y cumplimiento.
Oficial de cumplimiento
Jefe oficina de riesgos
Jefe de la oficina de control interno
Coordinador de riesgo de crédito y operativo
Jefe oficina de comunicaciones (No hace parte oficial del comité SARO), su participación será por solicitud Asesor de comunicaciones

 

Según sea el caso, se podrán invitar a otros funcionarios responsables de actividades de apoyo, como lo puede ser la Oficina de Comunicaciones; sin embargo esta decisión la tomará el comité SARO en el momento de activar el plan de continuidad de negocio.

9.1.2. Roles y responsabilidades.

A continuación se describen los roles y responsabilidades de los integrantes del plan de continuidad las personas nombradas como principales y sus suplentes (alternos) tienen las mismas responsabilidades.

Director de continuidad

El director de continuidad es el encargado de dirigir y liderar todas las actividades relacionadas con el diagnóstico, evaluación, activación, operación en

contingencia, retorno a la normalidad (restauración), pruebas y capacitación del plan de continuidad.

Es responsable de declarar la contingencia con base en las decisiones tomadas por el Comité SARO o en situaciones donde amerite realizar su activación inmediata.

Responsabilidades:

• Establecer los objetivos de recuperación y activar el plan de continuidad bajo el escenario resultado de la evaluación de la interrupción.

• Delegar de manera expresa en el Comité SARO, la responsabilidad de actualizar, mantener y probar el plan de continuidad.

• Liderar la aprobación de inversiones requeridas para establecer y mantener la estrategia de recuperación y contingencia de la entidad.

• Liderar las reuniones del comité SARO, y velar porque se incluyan los aspectos de continuidad.

• Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad.

• Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia.

• Velar por la seguridad del personal que actúa en el área del evento.

• Velar por la ejecución del debido análisis causa - raíz del evento que ocasionó la contingencia.

Director alterno de continuidad

• Asumir el rol y cumplir con las responsabilidades de director de continuidad cuando este no se encuentre disponible.

• Asistir a las reuniones del comité SARO.

• Realizar las actividades asignadas por el director de continuidad.

Asesor de comunicaciones

El jefe de comunicaciones tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (clientes y usuarios) y a nivel externo (medios de comunicación, proveedores, organismos de control, entre otros) con base en lo establecido en el manual de gestión de la comunicación en situaciones de crisis.

Responsabilidades:

• Asesorar al comité SARO y específicamente al director de continuidad (presidente del Icetex) en temas de comunicación en momentos de crisis.

• Asistir a las reuniones que sea convocado.

Coordinadores de recuperación de operaciones y tecnología

Los coordinadores de recuperación son personas encargadas de liderar la recuperación de procesos de negocio, tecnología y soporte, basados en las estrategias de continuidad implementadas. Serán el contacto directo entre los procesos de negocio, el área tecnológica y el comité de administración de continuidad (SARO); además, colaboran con las decisiones tomadas por el director de continuidad durante la declaración y activación de la contingencia.

Responsabilidades:

• Asistir a las reuniones del comité SARO.

• Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluarlas interrupciones que están afectando la prestación del servicio.

• Velar por la actualización del plan de continuidad en los casos que se presenten situaciones como: modificaciones en la operación, cambio en la estructura, roles y responsabilidades, cambios en la infraestructura tecnológica, disponibilidad de los recursos, entre otros.

• Identificar los posibles riesgos que afectan la continuidad de la operación normal de la entidad y que ponen al descubierto debilidades del plan de continuidad.

• Mantener comunicación constante entre coordinadores de recuperación durante el estado de contingencia.

• Liderar la puesta en funcionamiento de los servicios en los centros alternos de procesamiento y operación.

• Verificar que el área física destinada como centro alterno cumpla con los requerimientos mínimos para el normal funcionamiento, garantizando las con­diciones de control ambiental, acceso y administración.

• Colaborar en la comunicación a los proveedores y clientes directos de negocio, sobre el estado de contingencia en que se encuentra la entidad, previa decisión y autorización del director de continuidad (presidente del Icetex), mediante comunicado elaborado por la oficina de comunicaciones.

• Entregar los reportes correspondientes al comité SARO sobre el estado de la recuperación de sus áreas.

• Velar por la realización de actividades de entrenamiento al personal involucrado en el plan.

• Velar por la realización de las pruebas del plan de continuidad y revisar los resultados obtenidos en la misma.

• Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido ejecutadas e implementadas.

Áreas de apoyo, control y cumplimiento

Los jefes de las oficinas de riesgos, control interno, jurídica y el oficial de cumplimento, tienen las siguientes responsabilidades:

Responsabilidades:

• Asistir a las reuniones del comité SARO.

• Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la funcionalidad del plan.

• Acompañar a los participantes del plan durante la declaración de contingencia, para hacer más efectivas las actividades de sus áreas.

Líder administrativo

El líder administrativo ayudará a coordinar los aspectos logísticos internos cuando la entidad se encuentre operando bajo contingencia. Es quien ayudará a coordinar en cada una de las instalaciones el suministro de elementos esenciales que no se encuentran dentro de los recursos mínimos de operación.

Responsabilidades:

• Asistir a las reuniones del comité SARO.

• Coordinar el suministro de elementos esenciales como alimentación, transporte y comunicaciones.

• Coordina la consecución y adecuación de los centros alternos de operaciones según el plan de operaciones en contingencia.

• Mantener informado al comité SARO sobre incidentes por falta de suministros.

9.1.3. Línea de sucesión.

Se identifican los responsables asignados a los diferentes roles del plan de continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas.

Rol principal Alterno
El presidente del Icetex Secretaria general
Secretario general Asesor de presidencia
Vicepresidente financiero Director de contabilidad
Vicepresidente de crédito y cobranza Director de cobranzas
Vicepresidente de fondos en administración Analista - Grado 4
Vicepresidente de operaciones y tecnología Director de tecnología
Jefe de la oficina jurídica Analista - Grado 4
Oficial de cumplimiento Jefe oficina de riesgos
Jefe oficina de riesgos Coordinador oficina de riesgos
Jefe de la oficina de control interno Analista - Grado 4
Coordinador de riesgo de crédito y operativo Profesional especializado 3
Jefe oficina de comunicaciones Profesional especializado 3

10. Glosario.

Administración de riesgos

La cultura, procesos y estructura que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos.

Clasificación de los eventos de riesgo operativo

Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. En el Icetex este riesgo se asocia al riesgo de corrupción.

Fraude Externo: Actos realizados por una persona externa a la entidad, que busca defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.

Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general la legislación vigente sobre la materia.

Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los beneficiarios y que impiden satisfacer una obligación profesional frente a estos.

Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.

Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos.

Evento

Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

Eventos de pérdida

Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.

Factores de riesgo

Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Dichos factores se deben clasificar en internos o

externos, según se indica a continuación:

Internos:

— Recurso humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.

— Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

— Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

— Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

Externos:

Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la entidad.

Líder de riesgo

Son los funcionarios asignados por proceso para apoyar la implementación del SARO.

Unidad de riesgo operativo

Se entiende por unidad de riesgo operativo el área o cargo, designada por el representante legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.

Manual de riesgo operativo

Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

Pérdidas

Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención.

Perfil de riesgo

Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

Plan de acción

Conjunto de acciones encaminadas a mitigar los riesgos que sobrepasan el nivel de tolerancia definido por el Icetex, el cual contiene responsables, fechas y actividades a implementar.

Plan de continuidad del negocio

Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.

Plan de contingencia

Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Riesgo

Posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de los objetivos.

Riesgo de corrupción

Es la posibilidad de ocurrencia de una conducta o comportamiento que puede derivar en una actuación corrupta. Fuente: Mapas de riesgos de corrupción, Departamento Administrativo de la Función Pública.

Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo operativo (RO)

Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. Fuente C.E. 041/07 SFC.

Riesgo reputacional

Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Sistema de administración de riesgo operativo

Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

Tratamiento

Conjunto de acciones encaminadas a manejar el efecto de los riesgos que están dentro del nivel de riesgo aceptado por el Icetex.

(1) Guía de administración del riesgo departamento administrativo de la función pública.

(2) Circular Externa 41 de 2007, Superintendencia Financiera de Colombia.

(3) Guía de administración del riesgo departamento administrativo de la función pública.

(4) Superintendencia Financiera de Colombia, Circular Externa 41 de 2007.

(Nota: Modificado en lo pertinente el Acuerdo 18 de 2013 artículo 2° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)