ACUERDO 45 DE 2007 

(Septiembre 19)

“Por el cual se aprueban las políticas y la metodología del sistema de administración del riesgo operativo, SARO, para el Icetex.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

(Nota: Adicionado por el Acuerdo 9 de 2008 artículo 2° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

La Junta Directiva,

en ejercicio de sus facultades legales y estatutarias en especial las que le confiere el artículo 7º de la Ley 1002 del 30 de diciembre de 2005 y el numeral 1º del artículo 9º del Decreto 1050 del 6 de abril de 2006 y el Acuerdo 13 del 24 de febrero de 2007,

CONSIDERANDO:

Que la Ley 1002 del 30 de diciembre de 2005, transformó al Icetex en una entidad financiera de naturaleza especial, con personería jurídica, autonomía administrativa y patrimonio propio, vinculada al Ministerio de Educación Nacional, cuyo objeto es el fomento social de la educación superior, priorizando la población de bajos recursos económicos y aquella con mérito académico en todos los estratos a través de mecanismos financieros que hagan posible el acceso y la permanencia de las personas a la educación superior, la canalización y administración de recursos, becas y otros apoyos de carácter nacional e internacional, con recursos propios o de terceros;

Que el máximo órgano de dirección y administración del Icetex es la junta directiva, acorde con lo señalado en el artículo 7º de la Ley 1002 del 30 de diciembre de 2005;

Que el numeral 1º del artículo 9º del Decreto 1050 de 2006, establece que es función de la junta directiva formular la política general y los planes, programas y proyectos para el cumplimiento del objeto legal del Icetex, de sus funciones y operaciones autorizadas y todas aquellas inherentes a su naturaleza jurídica, acorde con lo dispuesto por la Ley 1002 de diciembre 30 de 2005, y los lineamientos y política del Gobierno Nacional en materia de crédito educativo;

Que el numeral 4º del artículo 9º del Decreto 1050 de 2006 faculta a la junta directiva del Icetex para expedir conforme a la ley y a los estatutos; los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial;

Que a la junta directiva le corresponde indelegablemente adoptar las decisiones relativas a la adecuada organización de la administración del riesgo y en particular las que corresponden a la aprobación de políticas, procedimientos y metodologías de administración del riesgo, acorde con lo dispuesto en el capítulo XX de la circular 100 de 1995 expedida por la Superintendencia Financiera;

Que el Icetex, como entidad financiera de naturaleza especial, está sujeto al régimen especial de inspección, vigilancia y control que expida el Gobierno Nacional, según lo prescrito en el artículo 6º de la Ley 1002 del 30 de diciembre de 2005;

Que la junta directiva del Icetex adopta voluntariamente acogerse al sistema de administración de riesgo operativo, SARO, de acuerdo con los lineamientos establecidos en el capítulo XXIII de la Circular Externa 100 de 1995 expedida por la Superintendencia Financiera de Colombia;

En virtud de lo anterior,

ACUERDA:

ART. 1º—Adoptar las siguientes políticas y metodología para la administración del riesgo operativo del Icetex.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 2º—Definiciones. Para efectos de la adecuada comprensión y desarrollo del presente acuerdo se tendrán en cuenta las siguientes definiciones:

1. Riesgo operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

2. Riesgo legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

3. Riesgo reputacional: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

4. Unidad de riesgo operativo, URO: La unidad de riesgo operativo es el área que debe coordinar la puesta en marcha y seguimiento del sistema de administración de riesgo operativo, SARO, la cual en el Icetex está conformada por el jefe de la oficina de riesgos y dos analistas de riesgo operativo.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 3º—Principios rectores. Los principios básicos que rigen la administración del riesgo operativo en el Icetex son los siguientes.

1. Principio de independencia: La unidad de riesgo operativo URO y sus funcionarios son independientes de las áreas misionales y de las demás áreas de apoyo de la entidad, con el fin de evitar conflictos de interés al momento de identificar, medir, controlar y monitorear los riesgos operativos.

2. Principio de transparencia: Todas las funciones de la URO serán ejecutadas con estricta sujeción a las políticas, reglas y procedimientos que se establezcan para la administración del riesgo operativo y a las directrices trazadas por la junta directiva y el comité de riesgos.

3. Principio de sostenibilidad: La sostenibilidad de la operación del Icetex deberá estar relacionada con el nivel de riesgo operativo asumido en cada caso, respetando los criterios de seguridad y responsabilidad que en todo momento deben observar todos los funcionarios de la entidad.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 4º—Políticas generales. Son políticas generales para administración del riesgo operativo en el Icetex los siguientes:

1. La junta directiva del Icetex con el apoyo del Comité de riesgos y de la oficina de riesgos establecerá y realizará la evaluación periódica del apetito o tolerancia al riesgo operativo de la entidad.

2. La junta directiva aprobará la estrategia del riesgo operativo, las políticas, los procedimientos para su identificación, evaluación, y mitigación, así como las responsabilidades de cada uno de los integrantes dentro del marco de trabajo.

3. Los funcionarios que ingresen al Icetex recibirán una inducción básica de riesgo operativo y los funcionarios antiguos deberán recibir capacitación y actualización del mismo tema, por lo menos una vez al año.

4. La URO administrará la información y bases de datos de riesgo operativo, apoyará a los líderes de proceso en la identificación de los eventos de riesgo, en el registro de dichos eventos, en el diseño de los planes de acción y en el seguimiento a los mismos.

5. La URO garantizará la coordinación de sus actividades frente a los órganos de control y demás áreas de la entidad.

6. El personal adscrito a la URO deberá contar con el conocimiento suficiente y experiencia en riesgo operativo.

7. El manejo del riesgo operativo es responsabilidad de todo el personal del Instituto, contratado directa o indirectamente, independientemente de su nivel y funciones a cargo.

8. Las políticas, procedimientos, normas y estrategias sobre el riesgo operativo se revisarán y actualizarán por lo menos una vez al año, incluyendo una completa revisión de la efectividad de las actividades de identificación, evaluación, monitoreo y control del riesgo.

9. Los procesos de identificación, evaluación, monitoreo y control serán permanentes y sus resultados serán actualizados y verificados por la oficina de riesgos.

10. El Icetex contará con un registro detallado (mapa) de todos los riesgos identificados, así como sus responsables, calificaciones y planes de mitigación.

11. Como mínimo semestralmente, se deberán monitorear y evaluar los riesgos operativos y registrar en los mapas y en el plan de acción sus respectivas actualizaciones.

12. Para llevar a cabo el proceso de identificación, evaluación y calificación de los riesgos, la oficina de riesgos establecerá las prioridades para abordar las diferentes áreas y procesos a ser evaluados, previa evaluación con el comité de riesgo y aprobación de la junta directiva.

13. La medición de los riesgos operativos se realizará de forma cualitativa y acorde a la metodología aprobada por la junta directiva. De igual manera el Icetex elaborará y llevará un registro de eventos materializados, con el fin de conformar la base de datos que en un futuro le permita cuantificar estadísticamente las probabilidades de ocurrencia y el impacto del riesgo operativo de la entidad.

14. Por lo menos una vez al año y dentro del Plan de Auditoría, la Oficina de Control Interno realizará las revisiones necesarias para identificar cualquier incumplimiento de la estrategia, la política, los procedimientos, para la identificación, medición, evaluación, y mitigación del riesgo operativo aprobados por la junta directiva y sugerirá las recomendaciones que considere necesarias para mejorar dichos procesos.

15. El Icetex contará con los planes de contingencia debidamente probados sobre sus principales procesos, con el fin de garantizar la continuidad del negocio en situaciones que obliguen suspender la operativa normal de sus operaciones y transacciones.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 5º—Metodología para la administración del riesgo operativo. La administración de riesgo operativo en el Icetex se hará teniendo en cuenta las siguientes etapas y en su respectivo orden:

1. Identificación: Para la identificación del riesgo operativo en las diferentes áreas se deberán asignar líderes de riesgo operativo, con el fin de que sean ellos quienes determinen, con el apoyo de la URO, cuáles son los riesgos existentes en sus procesos y de igual forma sean los responsables de la administración de los mismos.

Los Líderes de riesgo operativo de las áreas identificarán los procesos a su cargo, las actividades que estos involucran, así como los riesgos inmersos en ellos, y gestionarán los respectivos planes de mitigación.

La URO brindará la asesoría necesaria a los líderes de riesgo operativo de las áreas y consolidará y administrará el mapa integral de riesgos de la entidad.

En la presente etapa se determinarán los riesgos a los que están expuestos cada uno de los procesos del Icetex, se identificarán las causas y consecuencias de los riesgos, las cuales deben quedar registradas dentro del mapa de riesgo.

2. Medición: Los líderes de riesgo operativo, con el soporte de la URO, establecerán de manera cualitativa las medidas para la frecuencia y el impacto de cada uno de los riesgos identificados, con el fin de calcular el riesgo inherente.

Para determinar la frecuencia o probabilidad de ocurrencia, se establecerá en primera instancia la periodicidad de realización de la actividad que involucra el riesgo analizado, de acuerdo con la siguiente tabla:

Definición de la periodicidad
ContinuaEl proceso se realiza varias veces al día
DiariaEl proceso se realiza 1 ó 2 veces al día
SemanalUna o varias veces en la semana sin que sea diario
MensualUna o más veces en el mes sin que sea semanal
AnualUna o más veces en el año sin que sea mensual
EsporádicaEl proceso se realiza de vez en cuando y no tiene fechas establecidas

Con base en lo anterior, se calificará la frecuencia, o probabilidad de ocurrencia del evento en: muy baja, baja, moderada, alta o muy alta, según los parámetros definidos en la siguiente tabla en la columna correspondiente a la periodicidad definida, y se asignará el valor asociado, cantidad que se debe tener en cuenta como frecuencia al momento de calcular el riesgo inherente:

CalificaciónValor AsociadoContinuaDiariaSemanalMensualAnualEsporádica
Muy baja1< 0,75%< 0,85%< 0,95%< 1.125%< 1.2%< 1.25%
Baja2> = 0.75%
Y < 1.5%
> = 0.85%
y < 1.7%
> = 0.95%
y < 1.9%
> = 1.125%
y < 2.25%
> = 1.2%
Y <2.4%
> = 1.25%
y < 2.5%
Moderada3> = 1.5%
y < 2.25%
> = 1.7%
y < 2.55%
> = 1.9%
y < 2.85%
> = 2.25%
y < 3.375%
> = 2.4%
y < 3.6%
> = 2.5%
y <3.75%
Alta4> = 2.25%
y < 3%
> = 2.55%
y < 3.4%
> = 2.85%
Y < 3.8%
> = 3.375%
y < 4.5%
> = 3.6%
y < 4.8%
> = 3.75%
y <5%
Muy Alta5> = 3%> = 3.4%> = 3.8%> = 4.5%> = 4.8%> = 5%

El impacto se estimará con las variables: Pérdida de información, suspensión de la operación, impacto reputacional, servicio al cliente interno o externo, pérdidas económicas y reproceso de la operación. Para cada una de estas variables se establecerá la calificación y el valor asociado, según las definiciones establecidas en la siguiente matriz:

CalificaciónValor asociadoPérdida de InformaciónSuspensión de la operación Impacto reputacionalServicio al clientePérdidas económicasReproceso de la operación
Cliente internoCliente internoÁreas que generan ingresosÁreas que no generan ingresos
No Aplica0No genera pérdida de InformaciónNo suspende la operaciónNo genera Impacto reputacionalNo afecta al cliente interno.No afecta al cliente externoNo genera pérdidas económicasNo genera pérdidas económicasNo genera reproceso de la operación
Insignificante1Hasta el 10% de información no críticaHasta 1 una horaEl problema es interno, de fácil resolución y algún cliente se enteraronIncumplimiento de un acuerdo de servidoQueja local o en el punto de atenciónHasta el 0,5% de los Ingresos brutos anuales de la línea de negocioHasta 20 smmlvHasta 1 hora
Menor2Mayor a 10% y menor que el 30% de la información no críticaMayor a 1 y hasta 2 horasEl problema es de con cimiento de un número limitado de clientes y no tiene impacto en medios de comunicaciónQueja escrita presentada ante el jefe inmediatoQueja ante el jefe del áreaMayor al 0,5% y hasta 1% de los ingresos brutos anuales de la línea de negocioMayor a 20 y hasta 40 smmlvMayor a 1 y hasta 2 horas
Moderdo(sic)3Mayor al 30% de la información no críticaMayor a 2 y hasta 4 horasEl problema causa una nota aislada en un medio de comunicaciónQueja escrita presentada ante el vicepresidente o jefe del áreaQueja ante la alta gerencia de la organizaciónMayor al 1% y hasta 1,5% de los Ingresos brutos anuales de la línea de negocioMayo, a 40 y hasta 60 smmlvMayor a 2 y hasta 4 horas
Mayor4Hasta el 10% de información críticaMás de 4 horas hasta 1 día completoEl problema es de cocimiento de un número considerable de clientes a través de los medios de comunicaciónQueja escrita ante la secretaría general o presidenciaQueja ante entes de control extremos, defensor del cliente o derecho de peticiónMayor al 1,5% y hasta 2% de los ingresos brutos anuales de la línea de negocioMayor a 60 y hasta 100 smmlvMás de 4 horas hasta 1 día completo
Catastrófico5Más del 10% de la Información críticaMás de 1 día completoProblemas legales o con entes de control, acompañado del conocimiento de la mayoría de clientesQueja ante organismos externosTutelas o demandas interpuestasMayor al 2% de los ingresos brutos de la línea de negocioSuperior a 100 smmlvMás de 1 día completo

Para el caso de la variable servicio al cliente, en el evento de presentarse impacto tanto al cliente interno como al cliente externo, se deberá tomar la calificación de mayor riesgo entre ellas.

Para la variable pérdidas económicas se establecerá la línea de negocio a la que pertenece la actividad y con base en los ingresos brutos de la línea, se determinará su calificación. Para el caso de una actividad de apoyo que no genera ingresos se utilizarán las definiciones de las áreas que no generan ingresos.

Con los valores asociados a la calificación de cada una de las variables que efectivamente aplican en la medición del impacto del riesgo analizado, se determinará el promedio como la media aritmética de los mismos y establecerá la calificación resultante de impacto del riesgo analizado, aplicando la siguiente tabla:

PromedioCalificaciónValor asociado
< 1,5Insignificante1
> = 1,5 y < 2,5Menor2
> = 2,5 y < 3,5Moderado3
> = 3,5 y < 4,5Mayor4
> = 4,5Catastrófico5

El valor asociado de la calificación resultante es la cantidad a tener en cuenta para calcular el riesgo inherente.

El riesgo inherente se debe obtener como el producto entre el valor asociado a la calificación de frecuencia y el valor asociado a la calificación.

Riesgo inherente = valor asociado frecuencia x valor asociado impacto

Con la información del riesgo inherente de cada uno de los riesgos, la URO elaborará la matriz de riesgos consolidada por procesos y de toda la organización.

3. Control: En la presente etapa se busca dar respuesta a cada uno de los riesgos de la organización de acuerdo con la calificación que hayan obtenido.

Para esta etapa se contará con el apoyo de los líderes de riesgo operativo, quienes serán los encargados de crear el plan de acción y de su ejecución en un periodo de tiempo determinado que para tal efecto no puede ser superior a un año.

Los líderes de riesgo operativo, con el apoyo de la URO, incorporarán en el mapa de riesgos, los controles aplicados para mitigar cada uno de los riesgos identificados, los cuales deberán ser evaluados para establecer si disminuyen la frecuencia, el impacto o ambos.

Una vez determinados los controles, se hará nuevamente la medición de la frecuencia e impacto riesgo para hallar el riesgo residual y se construirá una matriz de riesgos actualizada. Tanto la evaluación del control como la nueva medición del riesgo serán validadas por la oficina de control interno, quien será la encargada de establecer la eficacia de los controles.

4. Monitoreo: La URO realizará una evaluación periódica cada 6 meses, a la totalidad de los procesos del Icetex, con el fin de conocer nuevos riesgos, eliminar los no existentes y evaluar la efectividad de los planes de acción.

La URO estará presente en los procesos que soliciten una nueva evaluación de riesgos, ya sea por cambios relevantes, adquisición o cambio de tecnología o por cambios en los planes de acción.

Los líderes de riesgo operativo de las áreas serán los responsables de hacer una constante evaluación a los planes de acción y los controles.

La oficina de control interno en las visitas que realice periódicamente a las áreas, deberá estar en capacidad de evaluar la administración de riesgo operativo en cada una de ellas.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 6º—Definición de apetito al riesgo. El apetito al riesgo del Icetex refleja la capacidad de tolerar un nivel de exposición al riesgo operativo, el cual se define así:

1. Se consideran riesgos aceptables aquellos cuyos riesgos residuales se ubican dentro de la matriz de riesgo en las combinaciones de frecuencia e impacto clasificadas entre 1 y 3.

2. Se consideran riesgos tolerables aquellos cuyos riesgos residuales se ubican dentro de la matriz de riesgo en las combinaciones de frecuencia e impacto clasificadas entre 4 y 6.

3. Los riesgos cuya combinación de frecuencia e impacto se ubiquen por encima de 6 se consideran intolerables, siendo graves aquellos con un riesgo residual hasta 15 y críticos aquellos que lo excedan.

De acuerdo con lo anterior, a cada uno de los riesgos identificados se les dará el siguiente tratamiento:

a) Los riesgos clasificados como aceptables serán evaluados continuamente por los líderes de riesgo operativo de las áreas, garantizando la eficacia de los controles en el tiempo, ya sea mejorándolos o planteando unos nuevos, cuando haya lugar. En caso de percibir un incremento en el nivel del riesgo, este deberá ser informado inmediatamente a la URO, con el fin de realizar la respectiva reclasificación.

b) Los riesgos tolerables serán registrados en el plan de acción del Icetex y los líderes de riesgo operativo gestionarán las actividades a que haya lugar para crear los nuevos controles requeridos o implementar las modificaciones a los controles existentes e informar los avances en forma mensual a la oficina de riesgos, quien a su vez consolidará la información del instituto y la notificará al comité de riesgos.

c) Los riesgos intolerables, además de estar registrados y priorizados en el plan de acción, deberán ser informados mensualmente al comité de riesgos y a la junta directiva, con el fin de tomar las decisiones respectivas para su tratamiento y mitigación.

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

ART. 7º—Vigencia. El presente acuerdo rige a partir de su expedición y deroga las disposiciones que le sean contrarias en especial el Acuerdo 25 del 13 abril de 2007.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá, D.C., a 19 de septiembre de 2007.

(Nota: Adicionado por el Acuerdo 9 de 2008 artículo 2° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

(Nota: Derogado por el Acuerdo 36 de 2010 artículo 3° del Instituto Colombiano de Estudios en el Exterior)

___________________________________