Superintendencia de la Economía Solidaria

RESOLUCIÓN 2017100007035 DE 2017

(Diciembre 29)

“Por la cual se aprueba y adopta la política de gestión integral de riesgos y oportunidades de la Superintendencia de la Economía Solidaria”.

El Superintendente de la Economía Solidaria,

en ejercicio de las facultades legales y en especial las conferidas en el numeral 3º del artículo 5º del Decreto 186 de 2004,

CONSIDERANDO:

Que la política de gestión integral de riesgos fue adoptada y aprobada mediante Resolución 20141210003375 de 6 de mayo de 2014, expedida por la Superintendencia de la Economía Solidaria.

Que dentro de la implementación del sistema de gestión de la calidad y otros de sistemas de gestión, dentro de los cuales se incluyen las mejores prácticas, se hace necesario adoptar la política relacionada con la administración de riesgos de la Superintendencia de la Economía Solidaria.

Que actualmente la Superintendencia de la Economía Solidaria trabaja en la implementación, integración y mantenimiento del sistema integrado de gestión, a saber i) Sistema de gestión de calidad, ii) Sistema de gestión de control interno, iii) Sistema de gestión de seguridad de la información, iv) Sistema de gestión ambiental y v) Sistema de seguridad y salud en el trabajo.

Que como resultado de la actualización de las NTC ISO 9001 y NTC ISO 14001 versión 2015, se evidenciaron algunas oportunidades de mejora por parte de la alta dirección, en cuanto a la gestión de riesgos y oportunidades.

Que la política de gestión integral de riesgo fue revisada y aprobada en el comité institucional de coordinación de control interno —acta 5— de 29 de diciembre de 2017 y en comité directivo de 28 de diciembre de 2017.

En mérito de lo expuesto,

RESUELVE:

ART. 1º—Adoptar la política de gestión integral de riesgos y oportunidades, en la Superintendencia de la Economía Solidaria, así:

La Superintendencia de la Economía Solidaria, implementará la gestión integral de riesgos con una metodología que incluye las regulaciones normativas, con el fin de identificar, evaluar, priorizar, tratar y hacer seguimiento de los riesgos y las oportunidades, teniendo en cuenta el impacto de los mismos en el cumplimiento de la misión, objetivos institucionales y grupos de interés.

En cumplimiento de la metodología, periódicamente se realizará seguimiento y monitoreo al autocontrol y a la autogestión del riesgo, especialmente en los procesos, y a la aplicación de la misma, con lo cual se identificarán oportunidades de mejora y el aprendizaje organizacional, producto de planes de tratamiento implementados.

Producto de la implementación y resultados en la gestión integral de riesgos, se hará revisión periódica y mejora a esta política, cuando se considere necesario.

ART. 2º—Objetivos y metas de la gestión integral del riesgo. Los objetivos establecidos en la gestión integral del riesgo, involucran de forma específica los aspectos relacionados con el funcionamiento institucional, definiéndolos de la siguiente manera:

• Identificar los riesgos y oportunidades del contexto estratégico que afectan los objetivos institucionales por factores internos o externos.

• Identificar los riesgos y oportunidades asociados a la implementación de un sistema de gestión de la calidad, al igual que la identificación de los “procesos”, “procedimientos” y “actividades” críticas y/o complejas que impactan positiva o negativamente a los mismos.

• Identificar los riesgos y oportunidades asociados a la implementación de un sistema de gestión ambiental, basados en aspectos e impactos ambientales identificados en la superintendencia.

• Identificar los riesgos asociados a la implementación de un sistema de seguridad y salud ocupacional, al igual que la identificación y valoración de peligros (incidentes y/o accidentes) que puedan llegar a afectar la integridad física de los funcionarios en términos de “Lesión” y/o “enfermedad” o “muerte”.

• Identificar los riesgos asociados a la implementación de un sistema de gestión de seguridad de la información, al igual que la identificación y valoración de “Activos de información”.

• Identificar las causas y situaciones expresas asociadas al riesgo de corrupción, su valoración y tratamiento, a partir de la implementación de las directrices emitidas por la Secretaría de Transparencia de la Presidencia de la República, mediante el documento “Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano”.

La gestión tiene como meta la disminución en la valoración de los riesgos priorizados, y la potencialización de las oportunidades priorizadas.

ART. 3º—Responsabilidades de la gestión integral del riesgo. Para gestionar de manera integral los riesgos en la Superintendencia de la Economía Solidaria, se cuenta con la siguiente distribución de responsabilidades, bajo los lineamientos y liderazgo de la alta dirección, así como de la oficina asesora de planeación y sistemas de la superintendencia.

Estratégico:

Establecer los lineamientos bajo los cuales opera la gestión integral de riesgos y oportunidades, y hacer seguimiento a su cumplimiento.

• Superintendente

• Comité directivo

• Comité de gestión y desarrollo

• Comité institucional de coordinación de control interno

Responsabilidades

— Establecer objetivos institucionales alineados con el propósito fundamental de componente misional, metas y estrategias de la entidad.

— Establecer la política de administración del riesgo.

— Asumir la responsabilidad primaria del SCI y de la identificación y evaluación de los cambios que podrían tener un impacto significativo en el mismo.

— Específicamente el comité institucional de coordinación de control interno, evaluar y dar lineamientos sobre la administración de los riesgos en la entidad.

— Retroalimentar a la alta dirección sobre el monitoreo y efectividad de la gestión del riesgo y de los controles. Así mismo, hacer seguimiento a su gestión, gestionar los riesgos y aplicar los controles.

— Establecer las políticas de operación encaminadas a controlar los riesgos que pueden llegar a incidir en el cumplimiento de los objetivos institucionales.

— Hacer seguimiento a la adopción, implementación y aplicación de controles.

Táctico:

Socializar, aplicar y ejecutar a partir de los lineamientos de la gestión integral de riesgos y oportunidades en los procesos.

• Responsable(s) de proceso y coordinadores de grupo.

• Jefe de la oficina asesora de planeación.

• Líder de riesgos de la oficina asesora de planeación.

Responsabilidades:

— Identificar y valorar los riesgos que pueden afectar el logro de los objetivos institucionales

— Definir y diseñar los controles a los riesgos.

— A partir de la política de administración del riesgo, establecer los sistemas de gestión de riesgos y las responsabilidades para controlar los riesgos específicos identificados bajo la supervisión de la alta dirección y la oficina asesora de planeación y sistemas de la entidad. Con base en esto, establecer los mapas de riesgos.

— Identificar y controlar los riesgos relacionados con posibles actos de corrupción en el ejercicio de sus funciones y el cumplimiento de sus objetivos, así como en la prestación del servicio y/o relacionados con el logro de los objetivos. Implementar los procesos para identificar, disuadir y detectar fraudes.

— Revisar periódicamente la exposición de la entidad al fraude con el auditor interno de la entidad.

— Establecer y mantener los controles internos necesarios para la ejecución de los procedimientos de riesgo y control en el día a día.

— Diseñar e implementar procedimientos detallados que sirvan como controles, a través de una estructura de responsabilidad en cascada, y supervisar la ejecución de esos procedimientos establecidos por parte de los servidores públicos a su cargo.

— Establecer responsabilidades para las actividades de control y asegurar que personas competentes, con autoridad suficiente, efectúen dichas actividades con diligencia y de manera oportuna.

— Asegurar que el personal responsable investigue y actúe sobre asuntos identificados como resultado de la ejecución de las actividades de control.

— Diseñar e implementar las respectivas actividades de control. Ajustando y divulgando las políticas y procedimientos relacionados con la tecnología y asegurando que los controles de tecnología sean los adecuados para apoyar el logro de los objetivos.

• Oficina de control interno, como evaluador independiente.

Responsabilidades:

— Asesorar en metodologías para la identificación y administración de los riesgos, en coordinación con la segunda línea de defensa.

— Identificar y evaluar cambios que podrían tener un impacto significativo en el SCI, durante las evaluaciones periódicas de riesgos y en el curso del trabajo de auditoría interna.

— Comunicar al superior jerárquico posibles cambios e impactos en la evaluación del riesgo, detectados en las auditorías.

— Revisar la efectividad y la aplicación de controles, planes de contingencia y actividades de monitoreo vinculadas a riesgos claves de la entidad.

— Alertar sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas

— Verificar que los controles están diseñados e implementados de manera efectiva y operen como se pretende, para controlar los riesgos.

— Suministrar recomendaciones para mejorar la eficiencia y eficacia de los controles.

— Proporcionar seguridad razonable con respecto al diseño e implementación de políticas, procedimientos y otros controles.

— Evaluar si los procesos de gobierno de TI de la entidad apoyan las estrategias y los objetivos de la entidad.

— Proporcionar información sobre la eficiencia, efectividad e integridad de los controles tecnológicos y, según sea apropiado, recomendar mejoras a las actividades de control específicas.

Operacional: Implementar los lineamientos de la gestión integral de riesgos y oportunidades en los procesos.

• Responsable(s) de proceso.

• Responsable(s) y participante(s) de los riesgos.

• Funcionarios.

Responsabilidades

— Informar sobre la incidencia de los riesgos en el logro de los objetivos y evaluar si la valoración del riesgo es la apropiada.

— Asegurar que las evaluaciones de riesgo y control incluyan riesgos de fraude.

— Ayudar a la primera línea con evaluaciones del impacto de los cambios en el SCI.

— Monitorear cambios en el riesgo legal, regulatorio y de cumplimiento.

— Consolidar los seguimientos a los mapas de riesgo.

— Establecer un líder de la gestión de riesgos para coordinar las actividades en esta materia.

— Elaborar informes consolidados para las diversas partes interesadas.

— Seguir los resultados de las acciones emprendidas para mitigar los riesgos, cuando haya lugar.

— Los supervisores e interventores de contratos deben realizar seguimiento a los riesgos de estos e informar las alertas respectivas.

— Supervisar el cumplimiento de las políticas y procedimientos específicos establecidos por la primera línea de defensa.

— Asistir a la gerencia operativa en el desarrollo y comunicación de políticas y procedimientos.

— Asegurar que los riesgos son monitoreados en relación con la política de administración de riesgo establecida para la entidad.

— Revisar periódicamente las actividades de control para determinar su relevancia y, actualizarlas de ser necesario.

— Supervisar el cumplimiento de las políticas y procedimientos específicos establecidos por la primera línea, siguiendo las metodologías que las incorpora.

— Realizar monitoreo de los riesgos y controles tecnológicos.

— Grupos como los departamentos de seguridad de la información, también pueden desempeñar papeles importantes en la selección, desarrollo y mantenimiento de controles sobre la tecnología, según lo designado por la administración.

— Establecer procesos para monitorear y evaluar el desarrollo de exposiciones al riesgo relacionadas con tecnología nueva y emergente

ART. 4º—Comunicación interna. La divulgación de la política de la gestión integral del riesgo y oportunidades, será realizada en primera medida por la alta dirección bajo la asesoría, acompañamiento y seguimiento permanente de la oficina asesora de planeación y sistemas, quien realizará su función, a través de los canales disponibles.

La difusión del conocimiento a las áreas involucradas, se efectuará mediante talleres de capacitación teórico-prácticos presenciales y virtuales, contando con material didáctico para la enseñanza de cada una de las fases que componen la gestión integral del riesgo y de las oportunidades.

Los responsables de los procesos son quienes deben comunicar a los funcionarios y contratistas los riesgos y oportunidades aquí identificados que afectan la entidad y al (a los) proceso(s) a su cargo, así como sus actualizaciones, para lo cual pueden utilizar el D-GECO-005 Metodología de grupos primarios.

Es importante que los servidores del área de control interno perfeccionen sus conocimientos, aptitudes y otras competencias relacionadas con la gestión integral del riesgo, mediante la capacitación profesional continua, con el fin de que puedan desarrollar adecuadamente el rol que les corresponde en la materia. Por lo tanto, las auditorías que evidencien resultados o identifiquen riesgos y oportunidades deben ser comunicados oportunamente a los responsables de procesos y a la oficina asesora de planeación y sistemas, para que se surta el proceso de actualización de la matriz de gestión integral de riesgos y oportunidades.

ART. 5º—Comunicación externa. En caso de presentarse una crisis o materialización de un riesgo donde se requiera la coordinación interinstitucional o con la comunidad, la Institución hará uso de los medios físicos y tecnológicos con que cuente para elaborar y desarrollar los planes de contingencia requeridos y dispondrá de los mecanismos para consolidar la información del riesgo proveniente de diversas fuentes externas.

En lo referente a cualquier comunicado a la opinión pública, cuando se materialice algún riesgo, debe aplicarse el formato D-GECO-002 denominado manual de crisis informativas, que amerite este plan de contingencia.

ART. 6º—Operatividad de la política. La ejecución de la política de gestión integral de riesgos se hará por medio del formato D-MECO-003 denominado metodología de la gestión integral de riesgos y oportunidades, en donde se establecen todos los elementos para aplicar la gestión integral de riesgos por medio de la determinación del contexto, identificación, evaluación, valoración y tratamiento de los riesgos y oportunidades, así como los elementos de comunicación, consulta, monitoreo y seguimiento a los mismos, con sus responsables.

ART. 7º—Vigencia. La presente resolución rige a partir de la fecha de su publicación y deroga cualquier otro acto administrativo que le sea contrario.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 29 de diciembre de 2017.