ACUERDO 21 DE 2012

(Marzo 30)

<Fuente: Archivo interno entidad emisora>

ADMINISTRADORA COLOMBIANA DE PENSIONES, COLPENSIONES

“Por la cual se aprueba el Manual de Administración de Riesgo Operativo de la Administradora Colombiana de Pensiones COLPENSIONES

LA JUNTA DIRECTIVA DE LA ADMINISTRADORA COLOMBIANA DE PENSIONES COLPENSIONES

En ejercicio de sus facultades legales, y en especial las conferidas por el Acuerdo 009 del 22 de diciembre de 2011 de COLPENSIONES y

CONSIDERANDO

Que la Ley 1151 de 2007 en su artículo 155 creó la Administradora Colombiana de Pensiones COLPENSIONES, como una empresa industrial y comercial del Estado del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente;

Que mediante Decreto Ley 4121 del 2 de noviembre de 2001, se cambió la naturaleza jurídica de la Administradora Colombiana de Pensiones COL PENSIONES, al de Empresa Industrial y Comercial del Estado organizada como entidad financiera de carácter especial, vinculada al Ministerio de Trabajo;

Que el objeto de la Administradora Colombiana de Pensiones COLPENSIONES es la administración estatal del Régimen de Prima Media con Prestación Definida, las prestaciones especiales que las normales legales le asignen y la administración del Sistema de Ahorro de Beneficios Económicos Periódicos de que trata el Acto Legislativo 01 de 2005, en los términos que determina la Constitución y la Ley, en su calidad de entidad financiera de carácter especial;

Que las funciones asignadas por la Ley a la Administradora Colombiana de Pensiones COLPENSIONES, deben cumplirse con la finalidad de lograr la mayor rentabilidad social mediante la mejor utilización económica y social de los recursos administrativos, técnicos y financieros disponibles para que los beneficios a que da derecho el sistema pensional y el sistema de ahorros de beneficios económicos sean prestados en forma adecuada, oportuna, eficiente y sin ninguna clase de limitación, disminución o restricción con el fin de asegurar el goce efectivo del derecho a la seguridad social.

Que mediante la Circular Externa 041 de 2007, la Superintendencia Financiera de Colombia impartió a las entidades vigiladas las instrucciones relativas para la adopción de un Sistema de Administración del Riesgo Operativo, fijando las bases y lineamientos mínimos que deben implementarse para el desarrollo del Manual del Sistema de Administración del Riesgo Operativo.

Que según lo dispuesto en el numeral 3.2.4.1 de la Circular Externa 041 de 2007 de la Superintendencia Financiera de Colombia, corresponde a la Junta Directiva aprobar el manual del Sistema de Administración del Riesgo Operativo y sus modificaciones.

Que el numeral 24 del artículo 10 del Acuerdo 009 del 22 de diciembre de 2012 “Estatutos Internos de COLPENSIONES”, dispone que es función de la Junta Directiva aprobar los Manuales de Riesgo Operativo y Procesos que correspondan, de conformidad con la Ley y mandatos de la Superintendencia Financiera de Colombia.

Que en la sesión de la Junta directiva la Administradora Colombiana de Pensiones COLPENSIONES llevada a cabo el día 28 de febrero de 2012, se aprobó el Manual de Administración de Riesgo Operativo - SARO;

ACUERDA:

ARTÍCULO PRIMERO. Aprobar el Manual de Administración de Riesgo Operativo, que hace parte de este Acuerdo y que se adjunta como anexo.

ARTÍCULO SEGUNDO. El Manual de Administración de Riesgo Operativo que se adopta mediante este Acuerdo, deberá ser divulgado y socializado por la Vicepresidencia de Planeación y Riesgos.

ARTÍCULO TERCERO. El presente Acuerdo rige a partir de la fecha de su expedición.

COMUNÍQUESE Y CÚMPLASE

Dado en Bogotá D.C., a los

RAFAEL PARDO RUEDA

Presidente

DIEGO F. MANRIQUE NIETO

Secretario Técnico

MANUAL DE ADMINISTRACIÓN DE RIESGO OPERATIVO

ADMINISTRADORA COLOMBIANA DE PENSIONES

COLPENSIONES

INTRODUCCIÓN

1. DESCRIPCIÓN

2. OBJETIVO

3. OBJETIVOS ESPECÍFICOS

4. DEFINICIONES

5. POLÍTICAS

6. ESTRUCTURA ORGANIZACIONAL

7. METODOLOGÍA PARA IDENTIFICACIÓN, ANÁLISIS, VALORACIÓN Y MONITOREO DE LOS RIESGOS OPERATIVOS.

8. REGISTRO DE EVENTOS DE RIESGOS OPERATIVOS

9. REVELACIÓN CONTABLE DE LOS REGISTROS DE EVENTOS OPERATIVOS.

10. REPORTES

11. DOCUMENTACIÓN Y REGISTRO

12. DIVULGACIÓN

13. CAPACITACIÓN

INTRODUCCIÓN

Dentro del direccionamiento estratégico para Colpensiones, en desarrollo de sus operaciones y como entidad sometida a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC) se establece como misión “Gestionar integralmente las prestaciones y beneficios económicos legalmente establecidos a lo largo del ciclo de vida de nuestros clientes, en condiciones sostenibles, eficientes y trabajando por una mejor calidad de vida de los colombianos generando la mayor rentabilidad social”. Para lograr su cumplimiento se han definido los siguientes focos estratégicos:

- Controlar la operación: controlar los procesos y la información, así como la manera en que se desarrollan, para evitar problemas entre los mismos.

- Gestionar los riesgos: Mitigar los riesgos y disminuir los problemas propios de la operación de la empresa.

- Garantizar la continuidad del negocio: Garantizar al cliente la normal prestación de los servicios con calidad, mitigando los efectos de los inconvenientes que se presenten.

- Garantizar el enfoque al ciudadano, orientando todos sus procesos a la prestación de servicios que identifiquen y satisfagan completamente las necesidades de los afiliados, aportantes, pensionados, beneficiarios y la ciudadanía en general.

- Calidad de información y Gobierno de Datos. Garantizar que la información se depura constantemente y se gobierna su calidad se convierte en un requisito imprescindible para operar dado que el principal servicio que presta la empresa es entregar información exacta y completa de manera oportuna.

- Cultura Organizacional. Una empresa nueva a la que llegan individuos con diversas experiencias y expectativas requiere centrar parte de sus esfuerzos en formar, fortalecer y fomentar en las personas una cultura centrada en el compromiso, el cumplimiento de los mismos con actuaciones oportunas centradas en la ética y la transparencia.

En este sentido, con el fin de promover una cultura basada en la administración de los riesgos y teniendo en cuenta la importancia que para Colpensiones representa la mitigación y control de los mismos, especialmente en relación con los aspectos tecnológicos y de proceso, el presente manual tiene por objeto definir las diferentes políticas y procedimientos que utilizará Colpensiones para conocer, evaluar, cuantificar, controlar y administrar, de una manera eficiente el Riesgo Operativo a que se está expuesta en desarrollo de los diferentes procesos que le permiten el cumplimiento de los objetivos estratégicos establecidos. Lo anterior conforme al marco regulatorio expedido por la SFC, en lo relativo al Sistema de Administración de Riesgo Operativo - SARO.

Así mismo es de vital importancia para Colpensiones sensibilizar a todos los funcionarios respecto de la importancia de contar con una visión integral y estratégica sobre la administración, mitigación y evaluación de riesgos de forma que no se afecte el cumplimiento de la misión y objetivos de Colpensiones.

1. DESCRIPCIÓN

La Circular Externa 041 de 2007 expedida por la Superintendencia Financiera de Colombia, que modifica el Capítulo XXIII a la Circular Externa 100 de 1995, establece las reglas relativas a la Administración del Riesgo Operativo para que las entidades sometidas a su vigilancia y control adopten, establezcan, implementen y administren adecuadamente un sistema de administración del riesgo operativo “SARO”.

2. OBJETIVO

Establecer el marco de políticas que componen el Sistema de Administración de Riesgo Operacional, definiendo los procesos que permitan la identificación, medición, control y monitoreo de manera eficiente y eficaz de los riesgos operacionales a los que se ve expuesta COLPENSIONES en desarrollo de su objeto social, buscando un equilibrio entre riesgo y oportunidad, de acuerdo con la tolerancia de la organización al riesgo.

3. OBJETIVOS ESPECÍFICOS

- Desarrollar, implementar y mantener un modelo institucional que dé respuesta a uno de los focos estratégicos de Colpensiones, así como cumplir las disposiciones establecidas por la Superintendencia Financiera de Colombia.

- Definir e implementar metodologías, procedimientos y herramientas que permitan gestionar los diferentes componentes del sistema de administración de riesgo operacional.

- Identificar los eventos de riesgo que puedan afectar cada uno de los procesos que desarrolla la empresa, determinando su posibilidad de ocurrencia e impacto sobre la operación, con el fin de definir controles oportunos, efectivos y eficientes que eliminen o mitiguen sus consecuencias.

- Definir e implementar un procedimiento que garantice el registro de los eventos de riesgo operativo y su análisis posterior con el fin de establecer acciones correctivas, preventivas y de mejora dentro de cada proceso.

- Ajustar e implementar controles que permitan identificar oportunamente la ocurrencia de eventos que afecten negativamente las actividades normales de la empresa para mitigar su efecto negativo..

- Establecer planes de acción necesarios que permitan asegurar el desarrollo de las operaciones, cuando se presenten eventos que afecten la realización normal del objeto de la empresa.

- Garantizar la divulgación y el cumplimiento de las políticas de administración del riesgo operacional.

- Entregar información que apoye el proceso de toma de decisiones y de mejoramiento continuo mediante el monitoreo y la revisión del sistema de administración de riesgo operacional.

- Generar una visión integral y estratégica de la administración y evaluación de los riesgos operacionales.

- Diseñar y programar capacitaciones para todas las áreas y funcionarios sobre el sistema de administración de riesgo operacional

- Establecer el plan de continuidad del negocio que permita planificar y responder a incidentes o interrupciones del negocio con el fin de continuar con las actividades hasta el retorno a su operación normal.

4. DEFINICIONES

Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

Eventos de pérdida: Son aquellos incidentes que generan pérdidas de recursos por riesgo operativo a la empresa.

Riesgo: Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos objetivos.

Riesgo operacional: Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

Riesgo legal: Posibilidad de pérdida en que puede incurrir la entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo Reputacional: Posibilidad de pérdida en que puede incurrir la entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Perfil de riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad.

Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de riesgos que pueden o no generar pérdidas.

Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Estos factores se deben clasificar en internos o externos.

Internos:

Recurso humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente o mediante nombramiento en el caso de los empleados públicos. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica directa o a través de un tercero de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.

Procesos: Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y comunicaciones.

Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la entidad.

Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operacional, así como los gastos derivados de su atención.

Clasificación de los riesgos operacionales

Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la empresa.

Fraude externo: Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.

Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia.

Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos.

Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la empresa.

Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.

Ejecución y administración de procesos: Pérdidas derivadas de errores en la ejecución y administración de los procesos.

Proveedores: Pérdidas por las carencias del servicio prestado por proveedores y empresas subcontratadas.

Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual: Nivel resultante del riesgo después de aplicar los controles.

Plan de continuidad del negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.

Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Manual de Riesgo Operacional: Es el documento que contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

5. POLÍTICAS

El objetivo de las siguientes políticas es el de establecer los lineamientos generales del Sistema de Administración de Riesgo Operacional, de manera tal que dicho sistema esté alineado con la dimensión y la complejidad de la operatividad de Colpensiones, dando cabal cumplimiento a lo dispuesto por la circular 041 de 2007 y/o las que la sustituyan o modifiquen.

Colpensiones, con el fin de establecer un entendimiento común, ha decidido adoptar la siguiente definición de Riesgo Operacional:

“Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional asociados a tales factores.”

Adicionalmente, se adopta la clasificación de eventos de pérdida acorde con lo establecido por la Superintendencia Financiera de Colombia la cual considera los siguientes tipos:

- Fraude Interno

- Fraude Externo

- Relaciones Laborales

- Clientes

- Daños a activos físicos

- Fallas tecnológicas

- Ejecución y administración de procesos

- Proveedores.

5.1. Políticas generales para la gestión de riesgo operacional.

- Promoción de la Cultura de Riesgo Operacional.

- La Alta Dirección tiene las atribuciones delegadas por la Junta Directiva para dirigir la gestión de Colpensiones, administrando los recursos disponibles para la gestión del riesgo operacional, enfocándose en la creación y mantenimiento de la cultura de auto gestión del riesgo.

- Colpensiones promueve la integración del riesgo operativo a la cultura interinstitucional, a partir de la divulgación y formación en los temas que componen la gestión del riesgo y en las herramientas que se emplean para su gestión.

- La Vicepresidencia de Planeación y Riesgos tiene autoridad amplia y suficiente para desarrollar, establecer e implementar la infraestructura requerida para asegurar que el SARO se convierta en parte integral del proceso de dirección, planeación y en general de la cultura general de la organización.

- Asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo operacional.

- La Junta Directiva de Colpensiones es quien fija las políticas y directrices para la implementación y administración del SARO y dispone de manera permanente y oportuna, de todos los recursos necesarios para garantizar la adecuada gestión y actualización del riesgo operacional, dando cumpliendo con las regulaciones y requerimientos definidos por la Superintendencia Financiera de Colombia y atendiendo las orientaciones establecidas por el Comité de Basilea (Basilea II).

- Todas las personas vinculadas a Colpensiones tienen el deber de conocer y cumplir las políticas, normas internas y externas relacionadas con la Administración del Riesgo Operacional; y los órganos de dirección de asegurarse sobre la divulgación, comprensión y cumplimiento de las mismas.

- Prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del SARO.

- Los dueños de los procesos deben dar cumplimiento a los mecanismos establecidos para evitar y resolver conflictos de interés en la gestión de riesgo operativo de Colpensiones, especialmente para el registro de eventos de riesgo operacional.

- Los mecanismos para la prevención y resolución de conflictos de interés están implícitos dentro de la metodología SARO, la cual se basa en la consecución de un consenso basado en la discusión entre expertos conformado por un grupo interdisciplinario.

- Identificación de los cambios en los controles y en el perfil de riesgo.

- Colpensiones cuenta con los mecanismos necesarios (como son herramientas computacionales, políticas, procesos y procedimientos) para monitorear adecuadamente los cambios en los controles y perfiles de riesgo, y para mantener actualizados los mapas de riesgos operacionales y sus niveles de exposición.

- Política para desarrollar e implementar planes de continuidad del negocio.

- Colpensiones, gestionará su plan de continuidad de negocio, cumpliendo con las regulaciones y requerimientos definidos por la Superintendencia Financiera de Colombia, y atendiendo las orientaciones del Sistema de Administración de Riesgo Operativo.

- Es responsabilidad de la Alta Dirección a través de la Vicepresidencia de Planeación y Riesgos, mantener un plan de continuidad de negocio que cubra los procesos esenciales y críticos de Colpensiones. En donde se definan controles para identificar y reducir riesgos, minimizar las consecuencias de los diferentes incidentes y para asegurar la recuperación inmediata de las operaciones principales.

- Como parte fundamental del soporte del negocio, todos los sistemas de información que hacen parte de los procesos definidos como críticos para Colpensiones, deben poseer planes de contingencia y recursos necesarios que aseguren la continuidad de los mismos.

- Así mismo, todos los proveedores externos que participen del desarrollo de los procesos críticos de Colpensiones deben contar con sus respectivos planes de continuidad debidamente documentados y probados de manera que se encuentren alineados con los objetivos de recuperación que se propone Colpensiones en la prestación del servicio.

- Otras Políticas:

- Los resultados de la gestión del riesgo operativo son informados a la Vicepresidencia de Planeación y Riesgos y a los dueños de los procesos, mediante reportes específicamente diseñados para el nivel de gestión que corresponde a cada instancia.

5.2. Políticas de los Elementos.

- Procedimientos.

- Colpensiones, diseñó y aprobó los procedimientos para la adecuada implementación y funcionamiento de las etapas y elementos del SARO.

- Los procedimientos en materia de SARO están debidamente documentados y de ser necesario estos serán actualizados por la Vicepresidencia de Planeación y Riesgos.

- Documentación.

- Todo aspecto estructural, relativo al Sistema de Administración de Riesgo Operativo, debe ser documentado e incluido en el Manual de Riesgo Operativo.

- El Manual de Riesgo Operativo debe ser elaborado, revisado y actualizado por la Gerencia de Gestión de Riesgos con el fin de que sea aprobado por la Junta Directiva.

- Los cambios realizados al Manual de Riesgo Operativo deben ser presentados por la Vicepresidencia de Planeación y Riesgos al Comité de Riesgos para la aprobación de la Junta Directiva.

- Estructura organizacional.

- La Junta Directiva, debe garantizar que Colpensiones cuente con una estructura organizacional que permita una adecuada administración del riesgo operacional, garantizando la disponibilidad oportuna de los recursos para el correcto funcionamiento del SARO. Así mismo, la Junta Directiva:

a. Comprende los riesgos operativos en que incurre la Entidad;

b. Establece la tolerancia a ellos;

c. Aprueba las políticas que regirán su gestión en la Entidad, incluidos los límites a las exposiciones;

d. Establece la estructura organizacional que permita separar las funciones de front, middle y back office en la Entidad;

e. Garantiza la autonomía y empoderamiento de la Vicepresidencia de Planeación y Riesgos; asigna los recursos necesarios para mantener la adecuada gestión de riesgos;

f. Monitorea el perfil de riesgos para que se ajuste a los niveles de tolerancia establecidos; y

g. Vela por la alineación de las políticas de riesgos con la estrategia de negocio de la nueva Entidad.

- Por su parte la Presidencia en materia de riesgos, deberá:

a. Velar por el desarrollo y la implementación de prácticas y procedimientos que se adecúen al perfil de riesgos establecido por la Junta;

b. Garantizar la adecuada gestión de riesgo operativo.

c. Velar por el cumplimiento de la estructura jerárquica y organizacional definida por la Junta en relación con la gestión de riesgos;

d. Establecer los controles necesarios para que la gestión de riesgos sea adecuada; y

e. Mantener informada a la Junta sobre los niveles de exposición que la Entidad asuma, dentro de los rangos de tolerancia y límites establecidos por ella.

COLPENSIONES tiene como principio fundamental la separación clara, organizacional y funcional de los procesos de negociación (front office), identificación, monitoreo, control y administración de los riesgos (middle office) y cumplimiento y registro contable de las operaciones (back office). La función de la gestión de riesgos se realizará por la Vicepresidencia de Planeación y Riesgos de forma independiente y autónoma de las áreas de front, back office y de los órganos de control. Así mismo se encarga de:

- La administración, control y monitoreo de riesgos al interior de la Entidad, esto significa que es la encargada de elaborar políticas de riesgo y propuestas para estudio y aprobación del Comité de Riesgos.

- Así mismo, debe elaborar y proponer las metodologías de medición de cada uno de los riesgos operativos.

- Velar por el desarrollo, implementación y monitoreo del Sistema de Administración de Riesgo Operativo

- Desarrollar los sistemas de control de límites y elaborar su propuesta para el Comité de Riesgos.

- Debe también elaborar los reportes de riesgos para la alta dirección y para los organismos de control.

La buena conducta y la ética en las operaciones diarias son política esencial en la Entidad. Los miembros de la Junta, la administración y la totalidad de los funcionarios deben mantener los más altos estándares éticos en sus actuaciones diarias, dentro y fuera de la Entidad. Por lo cual, es obligación para la totalidad de los funcionarios de cumplir lo estipulado en el Código de Ética y Valores, el cual hace parte integral del Código de Gobierno Corporativo de la Entidad.

- Registro de eventos de riesgo operacional.

- Los eventos de riesgo operativo se deben reportar en el momento de su identificación, en los formatos o canales o sistemas de información establecidos para el registro de eventos.

- En caso de presentarse un evento de riesgo cuya materialización afecte de manera crítica el desarrollo normal del proceso o que su impacto tenga repercusiones financieras para la entidad, éste debe ser reportado e informado inmediatamente a la Gerencia de Gestión de Riesgos.

- Órganos de control.

- El sistema de administración de riesgo operacional, debe ser evaluado de forma anual por la Oficina de Control Interno y por la Revisoría Fiscal.

- Los resultados de las evaluaciones deben ser informados a la Junta Directiva.

- Plataforma tecnológica

- Colpensiones cuenta con herramientas tecnológicas que le permiten la adecuada gestión del riesgo operacional, que soportan el cumplimiento de las políticas y procedimientos establecidos por la organización en la materia.

- Divulgación de la información.

- Los informes de riesgo operativo deberán ser elaborados como mínimo con la periodicidad establecida por la SFC.

- Los informes de riesgo operativo establecidos o requeridos por la Junta Directiva, la Presidencia y los órganos de control, deben ser elaborados y comunicados por la Gerencia de Gestión de Riesgos.

- La divulgación interna y externa en materia de riesgo operativo cumple con los lineamientos establecidos por Colpensiones en cuanto a mantener la seguridad, calidad y confidencialidad de la información.

- Capacitación.

- Todos los colaboradores de Colpensiones deberán recibir inducción y capacitación sobre riesgo operacional, y serán responsables de la adecuada implementación del SARO, para el fortalecimiento de una cultura de administración de los riesgos operacionales en el ámbito institucional, creando conciencia colectiva sobre los beneficios de su aplicación y de los efectos nocivos de su desconocimiento.

- Son de obligatorio cumplimiento para la totalidad de los colaboradores de Colpensiones y para aquellos terceros definidos por la ley, asistir a los programas de formación en riesgo operativo liderados por la Gerencia de Gestión de Riesgos.

5.3. Políticas en las etapas.

- La Junta Directiva ha designado la responsabilidad de la identificación, medición y control de riesgos operacionales dentro de Colpensiones a los dueños y ejecutores de los procesos quienes serán gestores primarios del riesgo.

- La Vicepresidencia de Planeación y Riesgos será la encargada de brindar apoyo metodológico a los dueños de los procesos, según lo establecido en el presente manual.

- Identificación.

- El proceso de identificación y actualización de riesgos operacionales, se desarrollará con una periodicidad mínima anual para cada proceso, de acuerdo a la metodología establecida en el manual SARO, sin embargo en caso de que sean identificados nuevos riesgos como resultado de la implementación de nuevos productos, procedimientos o modificación a los procedimientos que hacen parte de un determinado proceso, se debe actualizar la matriz de riesgos correspondiente.

- Los riesgos identificados por los órganos de control en el desarrollo de sus actividades y los riesgos materializados reportados en el registro de eventos de riesgo operacional, deben ser inicialmente analizados y valorados entre el dueño del proceso y la Gerencia de Gestión de Riesgos y serán considerados posteriormente en diferentes sesiones de trabajo.

- Medición.

- La valoración de los riesgos operacionales identificados debe ser realizada por los dueños de los procesos de acuerdo con la metodología establecida en el manual SARO.

- Cada vez que se realice una actualización de la calificación de los riesgos se debe contar con el apoyo metodológico de la Gerencia de Riesgos.

- Control.

- Los dueños de los procesos deben identificar los controles implementados para mitigar los riesgos del proceso y valorar su efectividad, de acuerdo a la metodología establecida en el manual SARO.

- Los planes de acción para mitigar los riesgos identificados en un nivel de exposición no tolerado, deben ser definidos por los dueños de los procesos.

- Es deber de la Oficina de Control Interno, gestionar adecuadamente las pruebas relacionadas con el diseño, implementación y efectividad de los controles identificados para los riesgos operaciones y sugerir las acciones de mejora encaminadas a la reducción de las desviaciones de control que puedan llegar a detectarse.

- Monitoreo.

- El monitoreo de los riesgos operacionales, planes de acción para mitigarlos e indicadores de riesgo de Colpensiones, debe ser realizado por cada uno de los dueños de los procesos, por la Gerencia de Gestión de Riesgos, la Oficina de Control Interno y por los órganos de control de acuerdo a las funciones y estrategias definidas en el manual SARO.

- Durante las sesiones de trabajo con los grupos de expertos se realiza seguimiento a la evolución del perfil de riesgo del proceso por factor de riesgo y riesgos asociados.

6. ESTRUCTURA ORGANIZACIONAL

Para el cumplimiento de los objetivos de implementar un sistema de administración de riesgo operativo y teniendo en cuenta la Circular Externa de la SFC 041 de 2007, Colpensiones ha definido la siguiente estructura organizacional con sus respectivas funciones:

6.1 Junta Directiva:

- Definir y aprobar las políticas, reglamentos, procedimientos y funciones en materia de administración del riesgo operativo.

- Aprobar las metodologías que elabora la Vicepresidencia de Planeación y Riesgos para la identificación, medición, control y monitoreo del riesgo operativo y que les son presentadas por la Presidencia, una vez han surtido la evaluación y aprobación del Comité de Riesgos.

- Aprobar el Manual de Riesgo Operativo y sus actualizaciones.

- Hacer seguimiento y pronunciarse sobre el perfil de riesgo operacional

- Establecer las medidas relativas al perfil de riesgo operacional, teniendo en cuenta el nivel de tolerancia al riesgo fijado.

- Pronunciarse respecto de los informes periódicos que presente el Representante Legal.

- Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

- Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente el SARO.

6.2 Presidente

- Diseñar y someter a aprobación de la Junta Directiva el Manual de Riesgo Operativo y sus actualizaciones.

- Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.

- Realizar un seguimiento permanente de las etapas y elementos constitutivos del SARO.

- Desarrollar y velar porque se implementen estrategias que fomenten la cultura de administración de los riesgos a que está expuesta la operación de Colpensiones.

- Adoptar las medidas relativas a mantener y mejorar el perfil de riesgo teniendo en cuenta el nivel de tolerancia al riesgo fijado por la Junta Directiva.

- Velar por la correcta aplicación de los controles del riesgo residual, identificado y medido.

- Recibir y evaluar los informes presentados por la Vicepresidencia de Planeación y Riesgos -Gerencia de Gestión del Riesgo.

- Velar porque el SARO cumpla, como mínimo con las disposiciones señaladas en las normas expedidas por la SFC.

- Velar porque se implementen los procedimientos para la adecuada administración del riesgo operativo a que se vea expuesta Colpensiones en desarrollo de su actividad.

- Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución.

- Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable.

- Aprobar el establecimiento de un procedimiento para alimentar el registro de eventos de riesgo operacional.

- Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

- Rendir informe a la Junta sobre la evolución del SARO, incluyendo las acciones preventivas y correctivas implementadas o por implementar, así como también el área responsable en la Entidad.

6.3. Vicepresidencia de Planeación y Riesgos:

- Definir los instrumentos, metodologías y procedimientos tendientes a que Colpensiones administre efectivamente sus riesgos operacionales, en concordancia con los lineamientos, etapas y elementos mínimos previstos en las normas expedidas por la SFC.

- Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo operacional.

- Administrar el registro de eventos de riesgo operativo y realizar los análisis respectivos con el fin de proponer acciones correctivas y de mejoramiento.

- Coordinar la recolección de la información para alimentar el registro de eventos de riesgo operacional.

- Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos operacionales medidos.

- Establecer y monitorear el perfil de riesgo de Colpensiones e informarlo al Comité de Riesgos.

- Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y proponer sus correspondientes actualizaciones y modificaciones.

- Desarrollar los modelos de medición del riesgo operacional.

- Desarrollar los programas de capacitación de Colpensiones relacionados con el SARO.

- Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.

- Reportar semestralmente al Representante Legal la evolución del riesgo, los controles implementados y el monitoreo que se realice sobre el mismo.

- Elabora el Manual de Procedimientos Operativos del SARO, sus actualizaciones y se asegura de su difusión y operatividad.

6.4  FUNCIONARIOS DE COLPENSIONES:

- Aplicar los instrumentos, metodologías y/o procedimientos definidos por la Vicepresidencia de Planeación y Riegos, que permitan a cada uno de los procesos y sus responsables administrar efectivamente sus riesgos.

- Reportar los eventos de riesgo al momento de ocurrir de acuerdo con el sistema o procedimiento establecido para ello.

- Impulsar a nivel de cada área una cultura de prevención del riesgo acorde con las políticas establecidas en el Sistema Integrado de Gestión - SIG.

6.5 COMITÉ DE RIESGO OPERATIVO

El objetivo del Comité de Riesgos es apoyar a la Junta Directiva y a la Presidencia de Colpensiones en la definición, seguimiento, control e implementación de las políticas y procedimientos de la administración de riesgo operativo, y el plan de continuidad del negocio. El comité de Riesgos es responsable de:

- Establecer los procedimientos y mecanismos adecuados para la gestión y administración de riesgos.

- Velar por la capacitación del personal de la entidad en lo referente a Riesgo Operativo y propender por el establecimiento de los sistemas de información necesarios.

- Validar el manual de riesgo operativo y sus actualizaciones.

- Velar por una adecuada segregación de funciones en la ejecución de las operaciones del área de Riesgo Operativo.

- Mantener informada a la Junta Directiva respecto a los niveles de exposición al riesgo operativo, y asesorarla en la definición de los límites de exposición velando por su cumplimiento.

- Velar por que la plataforma tecnológica y el equipo técnico empleado como soporte al riesgo operativo sea el adecuado.

- Asegurar la existencia de metodologías, políticas y sistemas para riesgos cuantificables y no cuantificables.

- Asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del Riesgo Operativo.

- Hacer seguimiento y pronunciarse sobre el perfil de riesgo operativo de la entidad.

- Establecer las medidas relativas al perfil de riesgo operativo, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad.

- Pronunciarse sobre la evaluación del SARO efectuada por los órganos de control.

- Analizar el plan de continuidad de negocio y el plan de contingencia y evaluar los resultados de las pruebas,

- Las demás que se encuentren en el Reglamento del Comité.

El Presidente de Colpensiones regulará el funcionamiento del Comité de Riesgo Operativo.

6.6. ÓRGANOS DE CONTROL

REVISORÍA FISCAL

- Elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO.

- Poner en conocimiento del Presidente los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva.

OFICINA DE CONTROL INTERNO

- Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones.

- Informar los resultados de la evaluación a la Gerencia de Gestión del Riesgo, la Vicepresidencia de Planeación y Riesgos y al Presidente.

- Realizar una revisión periódica del registro de eventos de riesgo operativo e informar al Representante Legal sobre el cumplimiento de las condiciones señaladas

7. METODOLOGÍA PARA LA IDENTIFICACIÓN, ANÁLISIS, VALORACIÓN Y MONITOREO DE LOS RIESGOS OPERATIVOS

Teniendo en cuenta que la administración del riesgo es un aspecto fundamental en la estructura del gobierno corporativo, que consiste en la aplicación sistemática de políticas, procedimientos y prácticas que permitan medir, analizar, monitorear, controlar y administrar el riesgo; y tomando como referencia la ISO 31000 de 2009 sobre los Principios Generales para la gestión de Riesgos, Colpensiones ha establecido un modelo de administración de riesgo operativo el cual contempla las siguientes etapas:

DETERMINACIÓN DEL CONTEXTO

La Administración del riesgo operativo se desarrolla dentro de un marco de un contexto estratégico, organizacional y de gestión del riesgo; el cual requiere establecerse para definir los criterios básicos dentro de los cuales se debe administrar el riesgo.

DETERMINACIÓN DEL CONTEXTO ESTRATÉGICO

Establece la relación entre la empresa y su entorno, lo cual implica la identificación de las fortalezas, debilidades, oportunidades y amenazas. En este sentido, se incluyen aspectos como los financieros, operacionales, competitivos, políticos, sociales, del cliente, culturales y legales.

En esta etapa, se deben establecer los elementos críticos que puedan apoyar o afectar la capacidad de la Empresa para manejar los riesgos a que se ve expuesta; así como garantizar la articulación de la misión y objetivos estratégicos con las políticas de administración de los riesgos.

DETERMINACIÓN DEL CONTEXTO ORGANIZACIONAL

Busca comprender la empresa y sus capacidades, así como las metas, objetivos, estrategias e iniciativas. De esta manera, se asegura que desde el principio se establezca la administración del riesgo como una política clara en la consecución de los objetivos de la empresa.

IDENTIFICACIÓN DE LOS RIESGOS

Consiste en generar una lista global de eventos que podrían afectar los objetivos de cada uno de los procesos. Debe considerar tanto los que están bajo control como los que no, y debe responder a preguntas tales como: sobre qué puede suceder, dónde, cuándo, cómo y por qué.

Para la identificación de los riesgos operativos, se tendrá en cuenta la contribución de los responsables de procesos, los cuales deben apoyarse en información confiable y tener un buen conocimiento de los procesos y de la Empresa. Adicionalmente al conocimiento y a la experiencia, es necesario el soporte documental que proporcionan los informes de gestión, de auditoría, de las entidades de vigilancia y control, encuestas, normatividad, estadísticas, entre otros.

IDENTIFICACIÓN DEL RIESGO

Enunciado del Riesgo  Lo que puede suceder. En qué consiste el riesgo.

Factores Fuentes generadoras de riesgos; recurso humano, procesos, tecnología, infraestructura, aspectos legales, otros.

Tipo de riesgo Operativo, Reputacional, Legal

Origen   Interno, externo

Causas   Por qué se puede presentar el evento?

Efecto Consecuencias en caso de presentarse o materializarse el evento.

ANÁLISIS DE LOS RIESGOS

Busca identificar la probabilidad de ocurrencia de los riesgos y su impacto en caso de materializarse. El análisis puede ser de tipo cualitativo y cuantitativo; cuando no se cuente con estadísticas, de las cuales se puedan establecer probabilidades, el análisis cualitativo es apropiado para adelantar esta etapa.

La probabilidad se define como la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia, si se ha materializado o de factibilidad, cuando se tiene en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Por impacto se entiende las consecuencias que puede ocasionar la materialización del riesgo.

En este sentido, para la medición y evaluación se utilizaran las siguientes equivalencias para la probabilidad y el impacto con las cuales puede determinarse el nivel de riesgo.

Posibilidad de Ocurrencia – probabilidad

Nivel	Descripción	Frecuencia
Certeza	Se espera que el riesgo ocurra en la mayoría de las circunstancias. Eventualidad frecuente.	(Entre el 75.01% al 100%)
Probable	Hay buenas razones para creer que se verificará o sucederá el riesgo en muchas circunstancias. Eventualidad de frecuencia alta.	(Entre el 45.01% y el 75%)
Posible	Puede ocurrir en algún momento. Eventualidad con frecuencia moderada.	(Entre el 15.01% y el 45%)
Raro	Eventualidad poco común o relativa frecuencia.	(Entre el 2.01% y el 15%)
Improbable	Eventualidad que no es probable o es muy poco probable.	(Hasta el 2%)

Impacto

Catastrófica	- De alta importancia para la Junta Directiva - No existe estructura de control - Sanciones económicas por incumplimiento de las normas establecidas por los entes reguladores - Imagen negativa en el mercado por mal servicio. - Pérdida de información crítica de la organización-
Mayor	- De importancia para la Junta Directiva - Estructura de control débil - Observaciones por incumplimiento de las normas establecidas por los entes reguladores que generen un plan de acción a corto plazo. - Afectación de la imagen en el mercado por atención ineficaz o inoportuna. - Inoportunidad de la información ocasionando retrasos en las labores de las áreas, respuesta a los entes reguladores y a los clientes
Moderado	- De moderada importancia para la Junta Directiva - Existen algunos controles pero no son los suficientes. - Reclamaciones de clientes, accionistas, proveedores que requieren de un plan de acción de corto plazo. - Reproceso de actividades y aumento de la carga operativa
Menor	- De baja importancia para la Junta Directiva - La estructura de control actual es susceptible de mejoras. - Interrupción de las operaciones por algunas horas. Existen algunos reclamaciones por parte de los clientes, accionistas, proveedores pero no se afecta la continuidad de la relación
Insignificante	- No tiene importancia para la Junta Directiva - La estructura de control es adecuada - No hay interrupción de las operaciones - No genera sanciones económicas y/o administrativas - No afecta las relaciones con los clientes - No afecta la oportunidad de la información

Una vez evaluados los riesgos de acuerdo con su probabilidad e impacto se construye la matriz de nivel de riesgos, con el objetivo de determinar la severidad de los riesgos identificados.

PROBABILIDAD	IMPACTO
Insignificante		Menor	Moderada	Mayor	Catastrófica
Casi cierto	Alto	Alto	Extremo	Extremo	Extremo
Probable	Moderado	Alto	Alto	Extremo	Extremo
Posible	Bajo	Moderado	Alto	Extremo	Extremo
Improbable	Bajo	Bajo	Moderado	Alto	Extremo
Raro	Bajo	Bajo	Moderado	Alto	Alto

Con el establecimiento de los niveles de riesgo dentro de un proceso, se procede a enumerarlos con el criterio de mayor a menor, con lo cual se dispondrá de una base para definir la prioridad de tratamiento.

VALORACIÓN DEL RIESGO

Consiste en tomar las medidas para controlar los riesgos inherentes a que se ven expuestos los procesos con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen.

La evaluación de los controles tendrá en cuenta aspectos como la implementación (se aplica de la forma planeada en cuanto a periodicidad y procedimiento), la efectividad (son adecuados), y la documentación, enmarcados dentro de las siguientes etapas:

Características

	Etapa 0	No existe	A este nivel, hay una carencia completa de cualquier proceso reconocible del control o de la existencia de cualquiera de los procedimientos relacionados. La organización incluso no ha reconocido que hay un problema que se tratará; por lo tanto, no se genera ninguna comunicación sobre el tema.
CALIDAD DEL CONTROL	Etapa 1	Inicio/Enganche	Hay una cierta evidencia que la organización reconoce que los controles y los procedimientos relacionados son importantes y necesita ser tratado. Sin embargo, los controles, las políticas y los procedimientos relacionados no están en su lugar y documentado. No existe un proceso de acercamiento al evento. Los empleados no son conscientes de su responsabilidad sobre las actividades del control. La eficacia del funcionamiento de las actividades del control no se evalúa sobre una base regular. Las deficiencias del control no se identifican.
	Etapa 2	Repetible pero Intuitivo	Los controles, las políticas y los procedimientos relacionados se documentan pero no siempre completamente. Hay un proceso de acercamiento hacia el evento pero no es documentado. Los empleados pueden no ser conscientes de su responsabilidad sobre las actividades del control. La eficacia del funcionamiento de las actividades del control no se evalúa adecuadamente sobre una base regular y el proceso no se documenta. Las deficiencias del control se pueden identificar pero no se corrigen a tiempo.
Etapa 3		Proceso Definido	Los controles, las políticas y los procedimientos relacionados se documentan adecuadamente. Un evento tiene un proceso de acercamiento y es debidamente documentado. Los empleados son conscientes de su responsabilidad sobre las actividades del control. La eficacia del funcionamiento de las actividades del control se evalúa sobre una base periódica, sin embargo el proceso no es debidamente documentado. Las deficiencias del control se identifican y se corrigen a tiempo.
Etapa 4		Administrable y Medible	Los controles, las políticas y los procedimientos relacionados se documentan adecuadamente, y los empleados son conscientes de su responsabilidad sobre las actividades del control. Un evento tiene un proceso de acercamiento y es debidamente documentado, es supervisado. Sin embargo no se reevalúa el evento para evidenciar cambios dentro de la organización. La eficacia del funcionamiento de las actividades del control se evalúa sobre una base periódica y el proceso se documenta adecuadamente. Hay un uso limitado principalmente en la tecnología para documentar procesos, controles y actividades.
	Etapa 5	Optimizado	La etapa 5 cumple todas las características de la etapa 4.Existe un programa a nivel empresarial sobre administración de riesgos y de control. Los controles y los procedimientos son bien documentados y evaluados continuamente para poder evidenciar cambios y mejoras importantes en la organización. Un proceso de autovaloración se utiliza para evaluar el diseño y la eficacia de los controles. La tecnología es usada a su grado más alto para documentar procesos, control y actividades. Se identifican brechas y se evalúa la efectividad de los controles.

En esta etapa se deben determinar las medidas que permitan asegurar la continuidad del negocio (prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal).

Una vez se implementen los controles, se debe revisar la medición de la probabilidad y el impacto y así determinar el perfil de riesgo residual de la entidad.

Con el desarrollo de esta etapa se busca:

- Identificar los controles existentes para los riesgos identificados.

- Establecer los riesgos que pueden causar mayor impacto a la empresa en caso de materializarse.

- Elaborar el mapa de riesgos para cada proceso.

POLÍTICAS DE ADMINISTRACION DE RIESGOS

Consiste en la identificación de opciones para tratar el riesgo, la evaluación de dichas opciones, la preparación de planes para el tratamiento del riesgo y su implementación. Las diferentes opciones que se presentan a continuación pueden considerarse independientemente o en conjunto.

Evitar: Se decide no proceder con la actividad que tiene posibilidad de generar riesgo, esta circunstancia puede incrementar la importancia de otros riesgos.

Reducir: Actividades y medidas tendientes a reducir la probabilidad y/o minimizar la severidad de su impacto. Se consigue mediante la optimización de los procedimientos y la implementación de controles (prevención, planificación).

Transferir: Actividades y medidas tendientes a transferir o compartir la responsabilidad por el manejo del riesgo (seguro, subcontratación controlada).

Aceptar: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso se acepta la pérdida residual probable y se elaboran planes de contingencia para su manejo.

Para el tratamiento de los riesgos se deben analizar posibles acciones a desarrollar que sean factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos, entre otros.

La selección de la acción más apropiada debe tener en cuenta el equilibrio del costo de su implementación así como los beneficios producidos. Adicionalmente, debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica, así como la toma de acciones, teniendo en cuenta la siguiente estructura:

Nivel de Riesgo	Tratamientos
Extremo	Requiere acción inmediata, presentación de los riesgos y plan de acción a la Junta Directiva para asignación de recursos
Alto	Necesita atención de la Junta Directiva y Representantes legales, presentación de los riesgos y plan de acción (Comités de presidencia y riesgos)
Moderado	Acciones por medio de Presidencia, Vicepresidencias y/o Gerencias
Bajo	Administrar mediante procedimientos de rutina

Para el desarrollo de las acciones seleccionadas se debe identificar las áreas o dependencias responsables, y establecer un cronograma e indicadores que permitan realizar el respectivo seguimiento.

Adicionalmente, en el marco de la dinámica de mejoramiento continuo, y teniendo en cuenta que las oportunidades de mejora para los diferentes procesos de la Entidad se materializan en acciones correctivas, preventivas o planes de mejoramiento; una vez tratado el riesgo y dado el nivel de probabilidad e impacto del riesgo residual se procederá así:

1. Se adelantaran acciones preventivas cuando el riesgo residual sea potencial, y dentro de la matriz de nivel del riesgo se encuentre en nivel extremo, alto y moderado.

2. Se adelantaran acciones correctivas cuando el riesgo se materialice, y se ubique dentro de la matriz de nivel del riesgo en extremo, alto y moderado.

Para lo anterior, se tendrá en cuenta el proceso definido para tal fin en lo correspondiente a los procedimientos de:

Acciones preventivas: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad potencial u otra situación potencial no deseable.

Acciones correctivas: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad detectada u otra situación no deseable. Deberán formularse acciones encaminadas a corregir inicialmente la situación presentada y otras a prevenir que se presenten en el fututo.

MONITOREO DEL RIESGO

En esta etapa se busca: desarrollar un proceso que permita la oportuna detección y corrección de las deficiencias presentadas; asegurar que los controles funcionen en forma oportuna, efectiva y eficiente, y que los riesgos residuales se encuentren en los niveles establecidos por Colpensiones.

El monitoreo permanente de los procedimientos y planes de acción relacionados con el sistema de administración de riesgo operativo permitirá proponer correspondientes actualizaciones y modificaciones.

En el monitoreo, se utilizan los indicadores de riesgo operativo. El primero de ellos y más evidente es la frecuencia en que sucede el riesgo, esto es la probabilidad de ocurrencia, medida como el número de veces en que se presenta el riesgo monitoreado. El otro indicador evidente es el impacto del riesgo, las consecuencias materiales y no materiales, expresado en cantidades, pesos y/o porcentajes.

Sin embargo, alrededor de estos dos se pueden construir otros indicadores como por ejemplo, el número de reclamos recibidos de los afiliados, las opiniones desfavorables de los empleados, los informes desfavorables de los auditores externos, el número de litigios o pleitos, el número y el valor de las sanciones de parte de los entes de control, etc.

Dentro de los indicadores establecidos para Colpensiones se encuentran:

Indicador Descriptivo: Perfil de riesgo, exposición a la pérdida y nivel de madurez, por procesos y de la compañía.

Indicadores de Riesgo Operativo: Estos indicadores serán todos los indicadores de calidad que implemente Colpensiones, de tal forma que se entenderá al indicador de riesgo operativo al indicador de no calidad.

Finalmente, para que los indicadores actúen como verdaderos medios de monitoreo del riesgo es importante colocarles metas o valores de referencia que sirvan de criterio de evaluación. En la medida en que se desarrolle la operación plena de COLPENSIONES se establecerán los indicadores que más se ajusten a su operación.

En el caso del cumplimiento de requisitos de carácter legal o regulatorio la meta siempre deberá ser cero eventos.

8. REGISTRO DE EVENTOS DE RIESGOS OPERATIVOS

En el marco del objetivo de garantizar que la revisión y actualización del sistema permita establecer medidas correctivas y preventivas en cada uno de los procesos, así como identificar oportunidades de mejora, y teniendo en cuenta la Circular Externa 049 de 2006 y la Circular Externa 037 de 2007, Colpensiones debe construir un registro de eventos de riesgo y mantenerlo actualizado. Este registro debe incluir todos los eventos de riesgo operativo ocurridos que:

- Generan pérdidas y afectan el estado de resultados de la entidad.

- Generan pérdidas y no afectan el estado de resultados de la entidad.

- No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad.

El registro de eventos de riesgo será construido a partir de la información registrada por parte de los responsables de los procesos; cuando un funcionario, en el desarrollo de sus actividades, observe una situación y considere que puede generar o ha generado una pérdida para Colpensiones debe proceder a registrar en el instrumento implementado para este fin. De no presentarse algún evento durante el mes, se debe informar a la Gerencia de Gestión de Riesgos durante los cinco primeros días del mes siguiente.

Mensualmente, la Gerencia de Gestión de Riesgos realizará el monitoreo respectivo al registro de eventos. En caso de materializarse una pérdida que afecte el estado de resultados, y una vez aprobado por el Comité de Riesgos, la Gerencia de Gestión de Riesgos será responsable de informar a la Gerencia de Gestión Económica para efectos de los respectivos registros contables.

El registro de los eventos, debe contener los siguientes campos mínimos:

- Referencia - Código interno

- Fecha de inicio del evento

- Fecha de finalización del evento

- Fecha del descubrimiento

- Fecha de contabilización

- Divisa

- Cuantía

- Cuantía total recuperada

- Cuantía recuperada por seguros

- Clase de riesgo operacional

- Producto/servicio afectado

- Cuentas PUC afectadas

- Proceso

- Tipo de pérdida

- Descripción del evento

- Líneas operativas

9. REVELACIÓN CONTABLE DE LOS EVENTOS DE RIESGO OPERATIVO

La revelación de los eventos de riesgo ocurridos durante una vigencia, tendrá en cuenta los lineamientos, establecidos en el numeral 3.2.8.3 de la Circular Externa 041 de 2007 de la SFC:

Los eventos de riesgo operativo, cuando afecten el estado de resultados, deben registrarse en cuentas de gastos, en el período en el que se materializó la pérdida.

Las recuperaciones por concepto de riesgo operativo cuando afecten el estado de resultados deben registrarse en cuentas de ingreso en el período en el que se materializó la recuperación.

Las cuentas de gastos e ingresos requeridas serán definidas por la SFC en el Plan Único de Cuentas respectivo.

10. REPORTES

La Gerencia de Gestión de Riesgos es responsable de la elaboración y remisión de los informes a la Vicepresidencia de Planeación y Riesgos, al Comité de Riesgos, Presidencia y Junta Directiva.

11. DOCUMENTACIÓN Y REGISTRO

Colpensiones debe garantizar la existencia de la documentación correspondiente a la definición, implementación y monitoreo de los elementos y etapas del sistema de administración de riesgos, así como del registro de eventos de riesgo.

12. DIVULGACIÓN

La Vicepresidencia de Planeación y Riegos a través de la Gerencia de Gestión de Riesgos debe adelantar las actividades necesarias para garantizar que la información correspondiente al sistema de administración de riesgo operativo se encuentre disponible y sea divulgada periódica y adecuadamente asegurando el funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.

Reportes Internos

Será responsabilidad de la Vicepresidencia de Planeación y Riegos a través de la Gerencia de Gestión de Riesgos elaborar un informe semestral con destino a la alta gerencia, en el cual se den a conocer los aspectos relevantes relacionados con la gestión de la Administración del Riesgo Operacional.

En el informe de Gestión Anual, se deberá incluir una sección relacionada con la gestión adelantada en materia de Administración de Riesgo Operacional.

Reportes Externos

Acorde con lo establecido en el Art. 97 del Estatuto Orgánico del Sistema Financiero, y de acuerdo con lo establecido por la Superintendencia Financiera de Colombia, Colpensiones deberá suministrar al público la información necesaria con el fin de que el mercado pueda evaluar las estrategias de Gestión del Riesgo Operativo adoptados por la entidad. Las características de la información divulgada estarán directamente relacionadas con el volumen, la complejidad y el perfil de riesgos de Colpensiones.

13. CAPACITACIÓN

La Vicepresidencia de Planeación y Riegos, en coordinación con la Vicepresidencia de Talento Humano, será responsable del diseño y programación del plan anual de capacitación del sistema de administración del riesgo operacional, de su revisión y actualización, y de la evaluación de los resultados.

El programa de capacitación debe ser impartido durante el proceso de inducción de los nuevos funcionarios, y a los terceros siempre que exista una relación contractual y desempeñen funciones de la Empresa.

Finalmente una vez sea aprobado el presente Manual de SARO, por la Junta Directiva, será divulgado en la intranet de la entidad y en forma impresa a la Vicepresidencia de Planeación y Riesgos. El manual publicado debe cumplir con los parámetros que en materia de organización y métodos ha establecido la entidad en el sistema integrado de gestión.