Derechos de autor reservados - Prohibida su reproducción
|
|
ACUERDO 114 DE 2017
(mayo 17)
<Fuente: Archivo interno entidad emisora>
ADMINISTRADORA COLOMBIANA DE PENSIONES, COLPENSIONES
<NOTA DE VIGENCIA: Acuerdo derogado por el artículo 3 del Acuerdo 1 de 2019>
Por el cual se expide el Manual del Sistema Integral de Administración de
Riesgos de la Administradora Colombiana de Pensiones (Colpensiones)
LA JUNTA DIRECTIVA DE LA ADMINISTRADORA COLOMBIANA DE
PENSIONES (COLPENSIONES)
En ejercicio de sus facultades legales y en especial las conferidas por el Decreto 309 de 2017, el Acuerdo 106 del 1 de marzo de 2017, y
CONSIDERANDO
Que el artículo 155 de la Ley 1151 de 2007 creó a la Administradora Colombiana de Pensiones (Colpensiones), como una Empresa Industrial y Comercial del Estado del orden nacional, con personería jurídica, autonomía administrativa y patrimonio independiente.
Que el objeto de la Administradora Colombiana de Pensiones (Colpensiones), es la administración estatal del Régimen de Prima Media con Prestación Definida y de los beneficios económicos periódicos de que trata el Acto Legislativo 01 de 2005, para lo cual se encuentra autorizado por la ley.
Que mediante Decreto 4121 de 2011, se cambió la naturaleza jurídica de la Administradora Colombiana de Pensiones (Colpensiones), al de Empresa Industrial y Comercial del Estado organizada como entidad financiera de carácter especial.
Que medíante Acuerdo No. 021 del 30 de marzo de 2012 de la Junta Directiva se aprobó y adoptó el Manual de Administración de Riesgo Operativo para Colpensiones.
Que mediante Acuerdo No. 033 del 31 de julio de 2012 de la Junta Directiva se aprobó y adoptó el Manual para la asignación de cupos de contraparte para Colpensiones.
Que medíante Acuerdo No. 037 del 29 de agosto de 2012 de la Junta Directiva, se aprobó y adoptó el Manual para la Administración del Riesgo de Mercado y Liquidez para Colpensiones.
Que mediante Acuerdo No. 031 del 31 de julio de 2012 de la Junta Directiva se aprobó y adoptó el Manual del Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo para Colpensiones, el cual fue actualizado a través de Acuerdos 065 del 28 de noviembre de 2013 y 089 del 27 de enero de 2016.
Que sé hace necesaria la unificación de los anteriores documentos en un Manual del Sistema Integral de Administración de Riesgos, que pretende describir la administración de riesgos de forma integrada, basados en una metodología estandarizada para los diferentes riesgos que afectan los objetivos de los procesos y aquellos propios de la entidad.
Que en la sesión de la Junta Directiva la Administradora Colombiana de Pensiones (Colpensiones) llevada a cabo el 17 de mayo de 2017, se presentó a consideración de la Junta la aprobación del Manual del Sistema Integral de Administración de Riesgos, el cual fue aprobado como consta en Acta 110 de la misma fecha.
Que en mérito de lo expuesto, la Junta Directiva de la Administradora Colombiana de Pensiones (Colpensiones),
ACUERDA
ARTÍCULO PRIMERO. <Acuerdo derogado por el artículo 3 del Acuerdo 1 de 2019> Aprobar el Manual del Sistema Integral de Administración de Riesgos de la Administradora Colombiana de Pensiones (Colpensiones), que hace parte de este acuerdo y se adjunta como anexo.
ARTÍCULO SEGUNDO. <Acuerdo derogado por el artículo 3 del Acuerdo 1 de 2019> El Manual del Sistema Integral de Administración de Riesgos que se adopte mediante este Acuerdo, deberá ser comunicado a las dependencias correspondientes por la Vicepresidencia de Seguridad y Riesgos Empresariales.
ARTÍCULO TERCERO. <Acuerdo derogado por el artículo 3 del Acuerdo 1 de 2019> El presente Acuerdo rige a partir de la fecha de su expedición
COMUNIQUESE Y CÚMPLASE
Dada en Bogota D.C a los 17 dias del mes de mayo de 2017
GILBERTO QUINCHE TORO
Presidente de la Junta Directiva
JUANITA DURAN VELEZ
Secretaria Tecnica de la Junta Directiva
Manual
Sistema Integral de Administración de Riesgos
CONTENIDO
1. INTRODUCCION
2. MARCO LEGAL
3. ALCANCE
4. OBJETIVOS
4.1 OBJETIVO GENERAL
4.2 OBJETIVOS ESPECIFICOS
5. PRICIPIOS Y POLITICAS
5.1 PRINCIPIOS DEL SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGO
5. 2 POLÍTICAS GENERALES PARA LA ADMINISTRACIÓN DE RIESGOS
5.3 POLITICAS ESPECÍFICAS DELSÍSTEMA INTEGRA LA DMINISTRACIÓN DE RIESGOS
5.3.1 De los elementos
5.3.2 De las etapas
6 ESTRUCTURA ORGANIZACIONAL
6.1 ROLES Y FUNCIONES
6.1.1 JUNTA DIRECTIVA
6.1.2 REPRESENTANTE LEGAL
6.1.3 COMITÉS DE RIESGOS
6.1.4 VíCEPRESIDENCÍA DE SEGURIDAD Y RIESGOS EMPRESARIALES
6.1.5 OFICIAL DE CUMPLIMIENTO
6.1.6 ÁREA DE CUMPLIMIENTO
6.1.7 RESPONSABLES DE PROCESOS
6.1.8 DEBERES DE CUMPLIMIENTO DE LOS SERVIDORES Y COLABORADORES DE LA ENTIDAD
6.1.9 ÓRGANOS DE CONTROL
7 METODOLOGIA PARA LA IDENTIFICACIÓN, ANÁLISIS, EVALUACIÓN, TRATAMIENTO, MONITOREO DELOS RIESGOS E INFORMACIÓN Y COMUNICACIÓN
7.1 ESTABLECIMIENTO DEL CONTEXTO
7.1.1 Misión de la Gestión Integral de Riesgos
7.1.2 Identificación de Objetivos
7.1.3 Apetito al Riesgo
7.1.4 Resultados de la Etapa Establecimiento del Contexto
7.2 IDENTIFICACIÓN DE RIESGOS
72.1 Tipología de Riesgos
7.2.2 identificación de la Línea Operativa
7.2.3 Identificacion de riesgo y causas
7.2.4 Resultados de la etapa identificación de riesgos
7.3 ANÁLISIS DE RIESGOS
7.3.1 Resultados de la etapa de Análisis de Riesgo
7.4 EVALUACIÓN DE RIESGOS
7.4.1 Resultados de la etapa de Evaluación de Riesgos
7.5 TRATAMIENTO DE RIESGOS
7.5.1 Actividades de Control
7.5.2 Evaluación del diseño y ejecución de controles
7.5.3 Determinación del Riesgo Residual
7.5.4 Implementadón de Planes de Acción
7.5.5 Resultados de la etapa de Tratamientos de Riesgos
7.6 COMUNICACIÓN Y CONSULTA
7.7 MONITOREO DE RIESGOS
8. DOCUMENTACIÓN Y REGISTRO
9. PLATAFORMA TECNOLÓGICA
10. CAPACITACIÓN
10.1 Metodologías de Capacitación
10.2 Alcance de los Programas de Capacitacíón
11 GLOSARIO
1. ANEXOS
2. CONTROL DE CAMBIOS DEL DOCUMENTO
1. INTRODUCCIÓN
Para Colpensiones es de gran importancia la mitigación y el control de riesgos, por lo que en el desarrollo de sus operaciones, en el marco dél direccionámiento estratégico y como entidad vigilada por la Superintendencia Financiera de Colombia (SFC) ha definido el marco de políticas que componen el Sistema Integral de Administración de Riesgos, el cual contempla los lineamientos que permiten el establecimiento del contexto, la identificación, análisis, evaluación, tratamiento y monitoreo de los diferentes riesgos asociados a los procesos, de tal forma que le permitan cumplir con los objetivos estratégicos establecidos, buscando un equilibrio entre riesgo y oportunidad, de acuerdo con la tolerancia de la entidad ál riesgo.
El Sistema Integral de Administración de Riesgos es consistente con las estrategias definidas en el marco estratégico de Colpensiones. En consecuencia, los lineamentos que propone la Vicepresidencia de Seguridad y Riesgos Empresariales son aprobados por la Junta Directiva, con él fin de garantizar una unidad de política y congruencia en la Entidad,
2. MARCO LEGAL
El presente Manual se establece conforme al marco regulatorio vigente aplicable a Colpensiones expedido por la Superintendencia Financiera dé Colombia en lo relativo a los Sistemas de Administración dé Riesgos ( de Mercado, Operativo - incluye Plan de Continuidad del Negocio, Lavado de Activos y Financiación del Terrorismo) y et Sistema de Control Interno; los documentos establecidos por el Departamento Administrativo de la Función Pública con relación al Modelo Estándar de Control Interno - MECI, la Guía de Gestión de Riesgos, la Estrategia para la construcción dél plan anticorrupción; asi como la norma IS031000 -Gestión de Riesgos.
3. ALCANCE
El presente documento es aplicable a todos los servidores públicos y colaboradores de Colpensiones en la gestión de los procesos.
Por lo anterior, es de vital importancia para Colpensiones sensibilizar a todos los funcionarios respecto de la importancia de contar con una visión íntegral y estratégica sobré la identificación, él análisis, la evaluación, el tratamiento, monitoreo y comunicación de los riesgos de forma que se de cumplimiento a la misión y objetivos de Colpensiones
Este Manual describe la administración de riesgos de forma integrada, basados en una metodología estandarizada para los diferentes riesgos que afectan los objetivos de los procesos y de la entidad.
4. OBJETIVOS
4.1 OBJETIVO GENERAL Presentar él marco de políticas y lineamientos que componen el Sistema Integral de Administración de Riesgos al interior de Colpensiones, definiendo las actividades que permiten la identificación, análisis, evaluación, tratamiento y monítoreo de los riesgos de manera eficiente y eficaz de las diferentes tipologías de riesgos a los que se ve expuesta Colpensiones en desarrollo de su objeto social, buscando un equilibrio entre riesgo y oportunidad, dé acuerdo con los lineamientos establecidos por la Junta Directiva y dando cumplimiento a la normatividad vigente.
4.2 OBJETIVOS ESPECIFICOS
a. Definir e implementar métodologias, procedimientos y herramientas que permitan gestionar los diferentes componentes del sistema de administración de riesgos de manera integral para las diferentes tipologías de riesgo.
b. Divulgar y dar cumplimiento a las políticas dé administración de riesgos de una manera integral,
c. Entregar información que apoye el proceso de toma de decisiones y de mejoramiento continuo mediante el monítoreo y la revisión del sistema de administración de riesgos.
d. Diseñar y programar capacitaciones para todas las áreas, servidores públicos y colaboradores sobre el sistema integral de administración de riesgos,
5. PRINCIPIOS Y POLÍTICAS
5.1 PRINCIPIOS DEL SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS
Propendiendo por la eficacia de los procesos de Colpensiones, la gestión de riesgos de Colpensiones está basada en los siguientes principios:
- La gestión dé riesgos crea y protege el valor:
La gestión de riesgos en Colpensiones contribuye al logro de los objetivos estratégicos y a la mejora del desempeño organizacional.
- La gestión de riesgos es una parte integral de todos los procesos de la entidad:
La gestión de riesgos en Colpensiones Hace parte de las actividades de todos los procesos de la entidad, incluyendo la planeación estratégica y la gestión de proyectos.
- La gestión de riesgos es parte de la toma de decisiones:
La gestión de riesgos hace parte fundamental en la torna de decisiones.
- La gestión de riesgos aborda explícitamente la incertidumbre:
La gestión de riesgos considera eventos internos o externos que se pueden llegar a presentar, así como su naturaleza y la forma en que se pueden mitigar.
- La gestión de riesgos es sistemática estructurada y oportuna:
La gestión de riesgos está orientada á apoyar el cumplimiento en la promesa de servicio y se basa en un enfoque estructurado y establecido, aprobado por la Alta Dirección.
- La gestión de riesgos se basa en la mejor información disponible:
El proceso de gestión de riesgos se basa en fuentes de información tales como datos históricos, experiencia, retroalirhentación dé las partes involucradas, observación, previsiones, eventos de riesgos, examen de expertos,
- La gestión de riesgos está adaptada:
La gestión de riesgos se alinea con el contexto externo e interno y del perfil de riesgo de la entidad.
- La gestión de riesgos toma en consideración los factores hurmanos y culturales.
La gestión de riesgos reconoce las capacidades, percepciones e intenciones de individuos externos e internos, los cuales pueden facilitar o dificultar el logro de los objetivos de la entidad.
- La gestión de riesgos es transparente e inclusiva:
La correcta y oportuna intervención dé las partes involucradas y, en particular, de aquellos qué toman las decisiones en todos los niveles de la organización, está orientada a que la gestión de riesgos sea dinámica.
- La gestión de riesgos es dinámica, reiterativa y receptiva al cambio:
La gestión de riesgos responde al cambió. En la medida en que se presenten eventos externos e internos, de su análisis y monitoreo pueden surgir riesgos nuevos y cambios en los ya existentes.
- La gestión de riesgos facilita la mejora continua dé la organización:
La gestión de riesgos involucra la identificación de oportunidades de mejora y se realiza con el fin de contribuir al logro de los objetivos de Colpensiones, por lo tanto facilita la mejora continua de la entidad.
5.2 POLÍTICAS GENERALES PARA LA ADMINISTRACIÓN DE RIESGOS
- Promoción de la Cultura dé Administración de Riesgos
a. La Junta Directiva de la entidad asume el compromiso de impulsar a nivel institucional la cultura en materia de gestión integral de riesgos.
b. La Alta Dirección tiene atribuciones delegadas por lá Junta Directiva para dirigir la gestión de Colpensiones, administrando los recursos disponibles para la administración de riesgos, enfocá ndose en la creación y mantenimiento de la cultura de autogestión de riesgos,
c. Colpensiones promueve la integración de las diferentes tipologías de riesgo a la cultura institucional, a partir de la divulgación y formación en los temas que componen la administración dé riesgos y en las herramientas que se emplean para su gestión.
d. Se consagra como mecanismo fundamental para la prevención y control dé los riesgos, la capacitación permanente dé los servidores públicos y colaboradores de Colpensiones.
e. La buena conducta y la ética en las operaciones diarias son política esencial en la Entidad, Los miembros de la Junta Directiva, la administración, los servidores públicos, y colaboradores mantienen los más altos estándares éticos en sus actuaciones diarias, dentro y fuera de la Entidad
- Asegurar el cumplimiento de las normas internas y externas relacionadas con la administración de riesgos.
a) La Junta Directiva de Colpensiones és quien fija las políticas y directrices para la impIementación del Sistema Integral dé Administración de Riesgos y dispone de los recursos necesarios para garantizar la adecuada gestión y actualización de los riesgos que afectan el cumplimiento de los objetivos de la Entidad, dando cumplimiento a las regulaciones y requerimientos definidos por la Superintendencia Financiera de Colombia y demás entidades de control que sean aplicables a colpensiones.
b) En la dinámica normal de la operación de colpensiones pueden generarse nuevas políticas que permitan mitigar los riesgos. Estas son discutidas en el marco de los comités establecidos (comité de riesgos dé inversiones y comité de riesgo operativo y seguridad de la información ), para luego ser presentadas y aprobadas por la Junta Directiva; no obstante, dichas políticas podrán ser aprobadas por la Junta Directiva, sin necesidad de ser sometidas a discusión previa ante los comités mencionados.
c) La Junta Directiva, el Vicepresidente de Seguridad y Riesgos Empresariales, el Oficial de Cumplimiento, los órganos de dirección y control, los servidores públicos y colaboradores de Colpensiones, velar por el efectivo cumplimiento de los reglamentos internos de la entidad y de la normatividad vigente en materia de administración integral de riesgos.
- Prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del Sistema Integral de Administración dé Riesgos.
a. Todo lo relacionado con la prevención y resolución de conflictos de interés se encuentra contenido en el Código de Conducta, Ética y Buen Gobierno de Colpensiones.
Se entiende por conflicto de interés una situación en virtud dé la cual un funcionario, en desarrollo de sus funciones, se enfrenta a distintas alternativas de conducta, privilegiando el interés personal, sobre las obligaciones legales o contractuales.
En materia de Lavado de Activos y Financiación del Terrorismo - LAFT, además de poner en conocimiento del superior jerárquico el presunto conflicto de interés, como lo establece la normatividad general, Se debe poner en conocimiento del Oficial de Cumplimiento,
b. Los responsables de los procesos dan cumplimiento a los mecanismos establecidos para evitar y resolver conflictos de interés en la administración dé los riesgos de Colpensiónes, especialmente para el registro de eventos de riesgo materializados.
c. Los mecanismos para la prevención y resolución de conflictos de interés están implícitos dentro del Sistema Integral de Administración de Riesgos, los cuales se basan en la consecución de un consenso basado en la discusión entré expertos conformado por el Comité de Riesgo Operativo y Seguridad de la Información.
- Política de Continuidad del Negocio
a. Colpensiones cree firmemente que es esencial tomar las precauciones necesarias para mitigar los riesgos derivados de una interrupción de servicio a los ciudadanos y en consecuencia de las pérdidas materiales y económicas, implementando y manteniendo una política que asegure el compromiso de la organización hacía la realización, actualización y prueba de un Plan de Continuidad de Negocio.
Esta política aplica para todo el personal que labora en Colpensiones y para los Proveedores que participan directamente en ia operación, Con esto se mitiga el impacto ante un evento de interrupción que afecte la operación normal de la entidad.
- Política de Seguridad de la Información
a. Esta política representa la posíción de Colpensiones, respecto a la protección y calidad de la información, en términos de preservación de la confidencialidad, integridad, disponibilidad, exactitud, completitud, consistencia y trazabilidad de la información qué hace parte de los procesos de la entidad, así como la protección sobre los datos personales de sus clientes y usuarios que reposen en sus bases de datos, acorde con los requerimientos exigidos por la ley.
Las directrices del gobierno de información de colpensiones son aplicables sobre toda su información cuando es almacenada, procesada o transmitida a través de hardware, software, sistemas, procesos ó personas, y que puedan estar expuestas a amenazas internas o externas
- Sanciones por el incumplimiento del Sistema Integral de Administración de Riesgos
a. Todos los servidores públicos y colaboradores de Colpensiones tienen la obligación institucional y personal dé cumplir con la totalidad de las obligaciones; y procedimientos contenidos en el présente manual, sus partes y anexos, y en las normas legales vigentes, pues se entiende que el no hacerlo expone a Colpensiones a riesgos legales, de reputación, financieros, operativos, entre otros.
El incumplimiento de las políticas y procedimientos establecidos en el Sistema integral de Administración de Riesgos, dará lugar a las sanciones previstas en la ley, los reglamentos y contrato laboral.
- Políticas dé terceros
Colpensiones podrá requerir a través de la Vicepresidencía de Seguridad y Riesgos Empresariales, directamente a los proveedores que prestan servicio a la entidad cuando se considere pertinente en relación a la gestión integral dé riesgos.
5.3 POLITICAS ESPECÍFICAS DEL SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS
5.3.1 De los elementos
Procedimientos
a. Los lineamientos y actividades en materia de administración de riesgos están documentados y de ser necesario serán actualizados por los responsables de cada uno de los sistemas de administración dé riesgos.
b. Todos los procesos documentados a través del Sistema de Integrado de Gestión (mapa de procesos), contemplan las actividades de control que permiten mitigar los riesgos identificados y contemplados en la matriz de riesgos del proceso, y su revisión se realiza con base en la metodología establecida para tal fin
- Documentación
a. El Manual del Sistema Integral de Administración de Riesgos es elaborado, revisado y actualizado por la Vicepresidencía de Seguridad y Riesgos Empresariales; la información de las Partes que lo constituyen, relacionadas con cada uno de los Sistemas, son responsabilidad de cada uno de los líderes del respectivo sistema.
b. Las modificaciones realizadas al Manual dél Sistema Integral de Administración de Riesgos o sus Partes, son presentados por la Vicepresidencia de Seguridad y Riesgos Empresariales a los Comités de Riesgos según corresponda, para validación Y posterior presentación y aprobación de la Junta Directiva.
c. El Manual del Sistema Integral de Administración de Riesgos es publicado en el aplicativo de administración de documentos dei Sistema integrado de Gestión - SIG, para consulta y conocimiento de los servidores públicos y colaboradores de la Entidad.
- Registro de Eventos de Riesgo
a. Los eventos de riesgo se reportan en el momento de su identificación, en el formato, canales o herramientas tecnológicas establecidas para tal fin.
b. En caso de presentarse un evento de riesgo cuya materialización afecte de manera crítica eol desarrollo normal del proceso o que su impacto tenga repercusiones financieras para la entidad, éste debe ser reportado e informado a la Vicépresidencia de Seguridad y Riesgos Empresariales, a través dé los mecanismos definidos por la Entidad para este fin y de acuerdo con el instructivo vigente.
- Plataforma Tecnológica
a. Colpensiones cuenta con herramientas tecnológicas que le permiten la adecuada gestión de riesgos, que soportan el cumplimiento de las políticas y procedimientos establecidos por la Entidad.
- Divulgación de la Información
a. Colpensiones divulga a través de sú página web la información relevante y necesaria, con el fin que los ciudadanos puedan conocer las estrategias de administración integral de riesgos.
b. El vocero único de Colpensiones es el Presidente, ningún servidor público, colaborador o contratista se encuentra autorizado para divulgar información de la entidad, sin su previa autorización.
c. La divulgación interna y externa en materia de riesgos cumple con Ios lineamientos establecidos por Cólpénsiones en cuanto a mantener la seguridad, calidad y confidencialidad de la información,
d. La revelación contable se realiza en los términos de Ley y bajo los correspondientes principios contables que regulan la materia. Al cierre de cada ejercicio contable, lá administración incluye en el informe de gestión, los aspectos destacados de la administración integral de los riesgos.
e. Para efectos de divulgación de la información interna, se utilizan como medios de comunicación el correo institucional y la herramienta tecnológica que soporta: la administración del Sistema Integrado de Gestión - SIG, en lo que respecta a la publicación de los manuales, procesos y demás documentos relacionados con el Sistema: Integral de Administración de Riesgos, sus partes y anexos.
- Capacitación
a. Todos los servidores públicos y colaboradores de Colpensiones durante el proceso de inducción, reciben capacitación sobre la administración integral de riesgos, y son responsables de su adecuado funcionamiento.
b. La formación en materia de administración integral de riesgos es obligatoria para todos los servidores públicos y colaboradores de la Éntidad.
c. Los programas de capacitación sé realizarán mínimo una vez al año.
5.3.2 De las etapas
- Identificación
a. El proceso de identificación y actualización de los riesgos que afectan el cumplimiento de los objetivos de los procesos, se desarrolla: con una periodicidad mínima anual para cada proceso, para el caso del SARLAFT se desarrolla con una periodicidad mínima semestral, de acuerdo a la metodología establecida en el numeral 10.2 del presente manual.
En caso de identificarse nuevos riesgos como resultado de la impiementación de nuevos productos, procesos o modificación de los existentes, sé actualiza ia matriz de riesgos correspondiente, con el fin de diseñar e implementar los controles que permítan disminuir la probabilidad de ocurrencia de los mismos o su impacto en caso de materializarse.
b. Los riesgos identificados por los órganos de control en el desarrollo de sus actividades y los riesgos materializados reportados en las herramientas establecidas por la entidad para tal fin, son valorados entre el responsable dél proceso y el área encargada de lá administración del respectivo Sistema, para ser considerados en la actualización de la matriz de riesgos.
c. La identificación de los riesgos es realizada por los responsables de los procesos de acuerdo con la metodología establecida en el manual del Sistema Integral de Administración de Riesgos, considerando las diferentes tipologías de riesgos, (operativo, de mercado, lavado de activos y financiación del terrorismo, fraude, corrupción, seguridad de la información ), y cualquier otra tipología de riesgos que requiere ser identificada,
- Análisis o Medición
a. El análisis de lós riesgos identificados es realizado por los responsables de los procesos de acuerdo con la metodología establecida en el numeral 10,3 del presente manual, considerando las diferentes tipologías de riesgos, (operativo, dé mercado, corrupción, lavado de activos y financiación del terrorismo, fraude, seguridad de la información, y cualquier otra tipología de riesgos).
b. Para la medición de los riesgos se emplean mediciones cualitativas o cuantitativas, con base en la información estadísticas obtenida y acorde con |a metodología establecida en el presente manual.
- Evaluación y Tratamiento
a. Los responsables de los procesos diseñan y documentan los controles para mitigar los riesgos identificados en los procesos y valoran su efectividad, de acuerdo con la metodología establecida en el presenté manual.
b. El control de los riesgos se efectúa mediante la verificación del cumplimiento de los límites aprobados por la Junta Directiva; los cuales mantienen los niveles de exposición dentro de intervalos tolerables según lo definido por Colpensiones.
c. La Gerencia de Riesgos y Seguridad dé la Información, y el Oficial de Cumplimiento son los responsables de verificar el cumplimiento de los límites que han sido formulados para ei control de los riesgos y de reportar oportunamente cualquier incumplimiento.
d. Los planes de mejoramiento para mitigar los riesgos identificados en un nivel de exposición no tolerado, son definidos y liderados por los responsables de los procesos, siendo estos objeto de seguimiento por las áreas de control y la Gerencia de Riesgos y Seguridad de la Información.
- Monitoreo
a. El monitoreo de los riesgos, |os planes de mejoramiento y los indicadores de Colpensiones, és realizado por los responsables dé los procesos, - la Gerencia de Riesgos y Seguridad de la Información, -el Oficial de Cumplimiento, - la Oficina de Control Interno y por los órganos de control de acuerdo a las funciones y estrategias definidas.
b. La Gerencia de Riesgos y Seguridad de la Información y el Oficial de Cumplimiento, realizan un análisis de los eventos de riesgo registrados en las herramientas establecidas por la entidad para tal fin. Estos análisis podrán ser empleados como insumos para la toma de decisiones en la mejora de los procesos.
c. Durante las sesiones dé trabajó con los responsables de los procesos o sus delegados, se realiza seguimiento a la evolución del perfil de riesgo del proceso y los riesgos asociados.
d. La Gerencia de Riesgos y Seguridad de la Información y él Oficial dé Cumplimiento elaboran reportes periódicos sobre el monitoreo de riesgos realizado.
e. La Oficina de Control interno, como parte de sus funciones dé auditoría, realiza pruebas independientes, relacionadas con el diseño, implementación y efectividad de los controles identificados para los riesgos.
f. La Vicepresidencia de Seguridad y Riesgos Empresariales establece la metodología para evaluar la efectividad dé los Controles.
g. Colpensiones cuenta con los mecanismos necesarios tales como: herramientas informáticas, políticas y procedimientos para monitorear los cambios en los controles y perfiles de riesgo, y mantener actualizados los mapas de riesgo y su nivel de exposición.
6. ESTRUCTURA ORGANIZACIONAL
La Junta Directiva provee los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente una estructura organizacional para administrar integralmente los riesgos, asegurando la disponibilidad oportuna de los recursos para el correcto funcionamiento del Sistema.
En Colpensiones la adopción de las políticas para la gestión integral de riesgos, inicia desde la Junta Directiva, a través de la cual se define el marco de gestión, los niveles de aceptación de riesgos y su estructura.
Las responsabilidades en la gestión integral de riesgos, se establecen desde la Junta Directiva, la Presidencia, la vicepresidencia de Seguridad y Riesgos Empresariales, hasta las áreas de la Entidad quienes son responsables de administrar el riesgo acorde con las metodologías y herramientas definidas,
Colpensiones tiene como principio la separación organizacional y funcional de los procesos de negociación (front office), identificación, monitoreo, control y administración de los riesgos (middle office) y cumplimiento y registro contable de las operaciones (back office). La función de la administración de riesgos se realiza por la Vicepresidencia de Seguridad y Riesgos Empresariales de forma independiente y autónoma de las áreas de front, back óffice y dé los órganos de control.
6.1 ROLES Y FUNCIONES
Colpensiones definió la siguiente estructura organizacional, con sus respectivos roles y funciones, para la administración integral de riesgos, así:
6.1.1 JUNTA DIRECTIVA
a. Establecer las políticas relativas al sistema integral de administración de riesgos (SARO, SARLAFT, SARM, Seguridad de la Información)
b. Aprobar el Manual del Sistema Integral de Administración de Riesgos, sus partes y actualizaciones,
c. Hacer seguimiento y pronunciarse sobre el perfil de riesgos de la entidad.
d. Establecer las medidas relativas al perfil de riesgos, teniendo en cuenta el nivel de tolerancia al riesgo de la entidad, fijado por la misma Junta Directiva.
e. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el Representante Legal, el Oficial de Cumplimiento y la Vicepresidencia de Seguridad y Riesgos Empresariales, dejando expresa constancia en la respectiva acta,
f. Pronunciarse sobre los informes presentados por la Revisoría Fiscal y la Oficina de Control Interno: o quien ejecute funciones similares haga sus veces, en lo referente al SARQ y hacer seguimiento a las observaciones ó recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta, en lo referente al SARLAFT.
g. Proveer los recursos necesarios para implementar y mantener én funcionamiento, de forma efectiva y eficiente, e! Sistema Integral de Administración de Riesgos.
d. Aprobar y adoptar el Código de Conducta, Ética y Buen Gobierno de Colpensiones, el sistema de control interno y la estructura organizacional y tecnológica del Sistema Integral de Administración de Riesgos,
h. Aprobar las actuaciones en caso de sobrepasar o exceder los límites de exposición frente al riesgo de mercado ó cualquier excepción de las reglas, así como los planes de contingencia a adoptar respecto de cada escenario extremo,
i. Realizar el nombramiento de los comités de riesgos, definir sus funciones y aprobar su reglamento, de acuerdo con las normas legales que les apliquen,
j. Hacer seguimiento sobre los reportes periódicos que le presente el representante legal sobre las medidas correctivas aplicadas para que se cumplan los límites de riesgo de mercado.
k. Aprobar la metodología que elabora la Vicepresidencia de Seguridad y Riesgos Empresariales para identificar, medir, evaluar y monitorear el riesgo de mercado.
|. Efectuar un monitoreo periódico al cumplimiento de los lineamientos del SARM y comportamiento dei riesgo de mercado.
m. Designar al oficial de cumplimiento y su respectivo suplente.
n. Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor grado a la entidad al riesgo de SARLAFT, así como las instancias responsables, atendiendo que ías mismas involucran funcionarios de la alta gerencia.
o. Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.
p. Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.
q. Aprobar las metodologías de segmentación, identificación, medición y control del SARLAFT.
r. Designar la(s) instancia(s) responsabie(s) del diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
6.1.2 REPRESENTANTE LEGAL
a. Diseñar y someter a aprobación de La Junta Directiva u órgano qUe haga sus veces, el Manual del Sistema Integral de Administración de Riesgos, sus partes y actualizaciones.
b. Establecer y garantizar el efectivo cumplimiento de las políticas definidas por la Junta Directiva,
c. Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO,
d. Designar el área o cargo que actuará como responsable de la implementación y seguimiento del Sistema Integral de Administración de Riesgos,
e. Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la administración integral de riesgos implica para la entidad.
f. Adoptar las medidas relativas al perfil de riesgos, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por la Junta Directiva.
g. Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.
h. Recibir y evaluar los informes presentados por la Vicepresidencia de Seguridad y Riesgos Empresariales y Oficial de Cumplimiento, de acuerdo con los términos establecidos en la normatividad vigente.
i. Velar porque las etapas y elementos del Sistema Integral de Administración de Riesgos cumplan, como mínimo, con las disposiciones señaladas en la normatividad vigente.
j. Velar porque Se implementen los procedimientos para la adecuada administración integral de riesgos a que se vea expuesta la entidad en desarrollo de su actividad.
k. Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para su oportuna ejecución.
l. Presentar un informé periódico, Como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos relevantes del Sistema Integral de Administración de riesgos, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por implementar y el área responsable,
m. Establecer un procedimiento para alimentar el registro de eventos de riesgo, de acuerdo con lo previsto en la normatividad vigente,
n. Velar porque el registro de eventos de riesgos cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida
o. Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos en la normatividad Vigente,
p. Proveer los recursos técnicos y humanos necesarios para implementar y mantener en funcionamiento el sistéma Integral dé Administración de Riesgos.
q. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento.
r. Garantizar qué los registros utilizados en el SARLAFT cumplan con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad: de la información allí contenida.
s. Aprobar los criterios, metodologías y procedimientos para la selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos, de acuerdo con lo señalado en la normatividad vigente.
t. Adelantar un seguimiento permanente del cumplimiento de las funciones de la Vicepresidenqia de Seguridad y Riesgos Empresariales con respecto a la gestión: de riesgo de mercado y de sus funcionarios y mantener informada a la Junta Directiva
u. Definir procedimientos a seguir en caso de sobrepasar o exceder los limites de exposición frente al riesgo de mercado, así como los planes de contingencia a adoptar respecto de cada escenario extremo.
v. Hacer seguimiento y pronunciarse respecto de los informes diarios que presente la Vicepresidencia de Seguridad y Riesgos Empresariales sobre las posiciones en riesgo y los resultados de las negociaciones, referente al riesgo de mercado.
w. Realizar monitoreo y revisión de las funciones de la Oficina de Control Interno.
X. Hacer seguimiento y pronunciarse respecto de los informes que presente el revisor fiscal.
y. Vigilar cuidadosamente las relaciones de los empleados de la Dirección de Inversiones con los clientes o intermediarios, controlarido de manera eficiente los conflictos de interés que puedan presentarse.
6.1.3 COMITÉS DE RIESGOS
En concordancia con las Resoluciones respectivas, y todas aquellas normas que las modifiquen, adiciones o complementen, se establecen como comités de apoyo a la gestión de la Junta Directiva, el Comité de Riesgo Operativo y Seguridad de la información, y el Comité de Riesgos de Inversiones, respectivamente. La reglamentación, funciones y demás aspectos inherentes a los mencionados comités se encuentran consagrados en las citadas resoluciones.
El objetivo de estos Comités de Riesgos es apoyar a la Junta Directiva y a la Presidencia de Colpensiones en la definición, seguimiento, control e implementadón de las políticas y lineamientos de la administración integral de los riesgos.
6.1.4 VICEPRESIDENCIA DE SEGURIDAD Y RIESGOS EMPRESARIALES
a. Definir los instrumentos, metodologías y procedimientos: tendientes a que la entidad administre efectivamente sus riesgos, en concordancia con los linéamientos, etapas y elementos mínimos previstos en la normatividad vigente.
b. Desarrollar e implementar el sistema de reportes, internos y externos, de los riesgos de la entidad.
c. Administrar el registro de eventos de riesgo.
d. Coordinar la recolección de la información para alimentar el registro de eventos de riesgo.
e. Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos medidos.
f. Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano correspondiente, en los términos del presente manual.
g. Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con la administración integral de riesgos y proponer sus correspondientes actualizaciones y modificaciones.
h. Desarrollar y actualizar ios modelos de medición de los riesgos,
i. Desarrollar los programas de capacitación de la entidad relacionados con el Sistema integral de Administración de Riesgos.
j. Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar su efectividad.
k. Reportar semestral mente al Representante Legal la evolución del riesgo, los controles implementados y el monitoreó que se realice sobre el mismo, en los términos de la normatividad vigente.
l. Evaluar los límites de riesgo de mercado por líneas de negocios (RPM, BEPS, Administradora), operaciones y funcionarios, y presentar al comité de riesgos de inversiones o, en su defecto, a la Junta Directiva, las observaciones o recomendaciones que considere pertinentes.
m. Objetar ta realización de aquellas operaciones que no cumplan con las políticas y/o límites de riesgo establecidas por la entidad, en lo referente a la gestión de riesgo de mercado,
n. Informar al comité de riesgos de inversiones o en su defecto a la Junta Directiva sobre los siguientes aspectos de la gestión de riesgo de mercado:
- La exposición al riesgo de manera global de la entidad, así como la específica de cada línea de negocio, Los informes sobre la exposición de riesgo incluyen un análisis de sensibilidad y pruebas bajo condiciones extremas.
- Las desviaciones presentadas con respecto a los límites de exposición de riesgo establecidos.
- Operaciones objetadas teniendo en cuenta lo establecido en el literal m) del presente numeral.
o. Informar diariamente al Representante Legal y a los responsables de las líneas de negocios, sobre el comportamiento del riesgo de mercado de la entidad, así como las operaciones objetadas de que trata el literal m) del presente numeral,
p. Informar semanalmente al Representante Legal y a los responsables de las líneas de negocios sobre los niveles de riesgo y condiciones de las negociaciones realizadas y, en particular, reportar incumplimientos sobré los límites, operaciones poco convencionales o por fuera de las condiciones de mercado. Este mismo reporte se presenta mensualmente a la Junta Directiva,
6.1.5 OFICIAL DE CUMPLIMIENTO
a. Velar por el efectivo, eficiente y oportuno: funcionamiento de las etapas que conforman el SARLAFT.
b. Presentar, cuando menos en forma trimestral, informes presenciales y escritos á la Junta Directiva u órgano que haga sus veces, en los cuales debe referirse como mínimo a los siguientes aspectos.
- Los resultados de la gestión desarrollada.
- El cumplimiento que se ha dado en relación con el envío de los reportes a las diferentes autoridades.
- La evolución individual y consolidada de los perfiles de riesgo de los factores de riesgo y los controles adoptados, así cómo de los riesgos asociados.
- La efectividad de los mecanismos e instrumentos establecidos en el presente Capítulo, así como de las medidas adoptadas para corregir las fallas en el SARLAFT.
- Los resultados de los correctivos ordenados por la junta directiva u órgano que haga sus veces.
- Los documentos y pronunciamientos emanados de las entidades de control y de la UIAF.
c. Promoverla adopción de correctivos al SARLAFT.
d. Coordinar el desarrollo de programas internos de capacitación.
e. Proponer a la administración la actualización del manual de procedimientos y velar por su divulgación a los funcionarios.
f. Diseñar las metodologías, modelos e indicadores cualitativos y/o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.
g. Evaluar los informes presentados por la Oficina de Control Interno o quién ejecute funciones similares o haga sus veces, y los informes que presente el revisor fiscal y adoptar las medidas del caso frente a las deficiencias informadas.
h. Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.
i. Elaborar y someter a la aprobación de la Junta Directiva o el órgano que haga sus veces, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monítoreo y análisis de inusualidad.
j. Remitir los reportes de operaciones sospechosas a la UIAF
No pueden contratarse con terceros las funciones asignadas al Oficial de Cumplimiento, ni aquellas relacionadas con la identificación y reporte de operaciones inusuales, así como las relacionadas con la determinación y reporte de operaciones sospechosas.
6.1.6 ÁREA DE CUMPLIMIENTO
La Junta Directiva provee los recursos humanos que conformará el Área de Cumplimiento.
Esta Área tiene, éntre otras, las siguientes funciones:
a. Prestar efectivo apoyo al Oficial de Cumplimiento en el desarrollo de sus labores.
b. Apoyar al Oficial de Cumplimiento en el análisis de las operaciones inusuales.
c. Presentar un informe al Oficial de Cumplimiento sobre aquellas operaciones inusuales analizadas con el fin de determinar aquellas que puedan ser constitutivas de reporte de Operación Sospechosa.
d. Proponer al Oficial dé Cumplimiento el mejoramiento, actualización o redefinición del SARLAFT
6.1.7 RESPONSABLES DE PROCESOS
a. Aplicar los instrumentos, metodologías y/o procedimientos definidos en el presente manual, sus partes y anexos, administrando efectivamente sus riesgos.
b. Identificar, analizar, evaluar, tratar y monitorear los riesgos en cada uno de los procesos a su cargo, a través de la metodología y herramientas establecidas para tal fin, con el apoyo de la Vicepresideneiá dé Seguridad y Riesgos Empresariales,
c. Diseñar y documentar los controles existentes para mitigar los riesgos de sus procesos, asegurando la efectividad de los mismos.
d. Generar mecanismos(1) periódicos que le permitan evaluar:
- Si el diseño del control es el adecuado para cumplir con los objetivos del proceso - Si el control se ejecuta de la manera en que fue diseñado y logra su objetivo.
e. Establecer las acciones correctivas o preventivas necesarias, que permitan mitigar los riesgos y dar cumplimiento a los objetivos establecidos en el proceso;
f. Promover y gestionar al interior de sus procesos el adecuado registró do los eventos de riesgo, así como el reporte de las pérdidas generadas de los mismos, de acuerdo con la metodología definida y en las herramientas establecidas para este fin.
g. Divulgar al interior de sus áreas los mapas de riesgo de sus procesos.
6.1.8 DEBERES DE CUMPLIMIENTO DE LOS SERVIDORES Y COLABORADORES DE LA ENTIDAD
Todos los servidores y colaboradores de Colpensiones deben cumplir con:
a. El Código de Conducta, Ética y Buen Gobierno de Colpensiones en relación con el Sistema Integral de Administración de Riesgos.
b. El Manual del Sistema Integral de Administración de Riesgos, sus partes y anexos.
c. Comunicar cualquier problema que se presénte en la ejecución de sus actividades, en cumplimiento de normas o posibles faltas al Código de Conducta, Ética y Buen Gobierno, así mismo, ejecutar las actividades asignadas en el Manual de Perfiles y Funciones tomando acciones necesarias para su control.
d. Reportar los eventos de riesgo ocurridos o conocidos en el desarrollo de sus actividades, de acuerdo con la metodología definida y en las herramientas establecidas para este fin.
e. Es obligación de todos los servidores y colaboradores, informar al Oficial de Cumplimiento sobré cualquier señal de alerta de LA/FT que evidencien en el desarrollo de sus funciones, o cualquier modalidad qué se esté utilizando con el fin de realizar operaciones ilícitas y proponer nuevos mecanismos de control,
f. Informar al Oficial de Cumplimiento sobre cualquier operación inusual dé la que tengan conocimiento:
g. Atender los requerimientos y solicitudes que les haga el Oficial de Cumplimiento y la Vicepresidenda de Seguridad y Riesgos Empresariales, y colaborar para el buen funcionamiento del Sistema Integral de Administración de Riesgos.
h. Participar activamente en los programas de formación establecidos, en el ámbito de la gestión de riesgos de Colpensiones.
6.1.9 ÓRGANOS DE CONTROL
Los órganos de control son los responsables de la evaluación del Sistema Integral dé Administración de Riesgos. Estas instancias informan de manera oportuna los resultados a los órganos competentes.
6.1.9.1 Revisoría Fiscal
Realizar Un reporte al cierre de cada ejercicio contable, en el que informe las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sóbré él Sistema Integral de Administración dé Riesgos.
Adicionalmente, pone en conocimiento del Representante Legal los incumplimientos del Sistema Integral de Administración de Riesgos, sin perjuicio de informar sobre ellos a la Junta Directiva u órgano que haga sus veces.
6.1.9.2 Oficina de Control Interno
Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del Sistema Integral de Administración de Riesgos con el fin de determinar las deficiencias y sus posibles soluciones. El resultado de su evolución se informa al Representante Legal, a la Vicepresidencia de Seguridad y Riesgos Empresariales y al Oficial de Cumplimiento, según sea el caso.
También realiza una revisión periódica del registro de eventos de riesgo, mínimo una vez al año, e informa al Representante Legal sobre el cumplimiento de las condiciones señaladas en la normatividad vigente.
7. METODOLOGIA PARA LA IDENTIFICACIÓN ANÁLISIS, EVALUACIÓN, TRATAMIENTO, MONITOREO DE LOS RIESGOS E INFORMACIÓN Y COMUNICACIÓN
Teniendo en cuenta que la administración de riesgos es un aspecto fundamental en la estructura del gobierno corporativo, que consiste en la aplicación sistemática de políticas, procedimientos y prácticas que permitan identificar, analizar, evaluar, tratar, monitorear ios riesgos; y tomando como referencia la normatividad vigente establecida por la Superintendencia Financiera de Colombia, las guías del Departamento Administrativo de la Función Publica y las mejores prácticas, Colpensiones cuenta con una metodología para la administración integral de riesgos que incluye las diferentes tipologías de riesgos como son:
7.1 ESTABLECIMIENTO DEL CONTEXTO
La administración de riesgos se desarrolla dentro del marco estratégico de Colpensíones(2) e integrado al sistema de gestión.
El proceso dé administración de riesgos apoya la consecución de los objetivos estratégicos de Colpensiones.
7.1.1 Misión de la Gestión Integral de Riesgos
Brindar los lineamientes y procedimientos necesarios para gestionar la administración integral de riesgos, a través de la asistencia a todas las áreas de la organización, asegurando la identificación, análisis, evaluación, tratamiento, monitoreo y comunicación de dichos riesgos, con la finalidad de mantenerlos en el nivel establecido por la Entidad, para que no afecten el logro de los objetivos de Colpensionés.
7.1.2 identificación de Objetivos
A fin de establecer una articulación entre el Establecimiento del Contexto con las demás etapas de sistema, sé identifican los objetivos de cada uno de los procesos, contemplados en las caracterizaciones,
7.1.3 Apetito al Riesgo
La Entidad tiene como objetivo mantener como máximo nivel de exposición un perfil de riesgo en nivel medio bajo.
Sobre los riesgos que una vez aplicados controles, permanecen en los niveles de severidad " Alto", " Medio Alto", los responsables de los procesos deben implementar planes de acción para fortalecer sus controles. Los riesgos ubicados en niveles " Medio Bajo "y " Bajo", deben ser objeto de monitoreo y seguimiento dentro de la gestión normal del proceso.
7.1.4 Resultados de la Etapa Establecimiento dél Contexto.
a. Plan Institucional Estratégico de Colpensiones
b. Objetivos definidos en las caracterizaciones de todos los procesos.
7.2 IDENTIFICACIÓN DE RIESGOS
La Identificación de riesgos és permanente y parte de los Objetivos estratégicos de la Entidad y de su adecuado despliegue descendente a los objetivos de los macroprocesos y/o procesos, diferenciando entre el riesgo que afecta el cumplimiento de los objetivos y las causas que lo generan. Considera tanto los que están bajo control como los que no, y responde a preguntas tales como qué puede suceder, dónde, cuándo, cómo y porqué.
Para la Identificación de los riesgos, se tendrá en cuenta lá contribución de los responsables de procesos, los cuales se apoyan en la Información disponible y el conocimiento de los procesos y de la Entidad. Adicionalmente ál conocimiento y a la experiencia, es necesario el soporte documental que proporcionan los informes de gestión, de auditoría, de las entidades de vigilancia y control, encuestas, normatividad, estadísticas, entre otros.
7.2.1 Tipología de Riesgos
Con el objetivo de mantener un sistema integral de administración dé riesgos que abarque todos los riesgos a los que se ve expuesta Colpensiones y que permita visualizar mapas de riesgo consolidados e individuales, se selecciona el tipo de riesgo identificado teniendo en cuenta la siguiente tipología:
Tipo de Riesgo Definición
Riesgo Operativo | Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. Asi como el riesgo de interrupción dentro del Plan de continuidad del Negocio. |
| Riesgo de Mercado | Es la posibilidad de que las entidades incurran en pérdidas asociadas a la disminución del valor de sus portafolios, las caídas del valor de los fondos que administran, por efecto de cambios én el precio de los instrumentos financieros en los cuales se mantienen posiciones dentro o fuera del balance. |
Riesgo de Corrupción | Conductas realizadas con el fin de obtener un beneficio particular, valiéndose del poder, los recursos e información disponibles en razón o con ocasión del cargo o función. |
| Riesgo de Fraude | Cualquier conducta cometida intencionalmenté para obtener un provecho económico ilícito, en detrimento de los intereses de la entidad o de un tercero. |
| Riesgo de Lavado de Activos y Financiación del Terrorismo | Posibilidad de pérdida o daño que puede sufrirla entidad por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos: y/o canalización de recursos hacia la realización dé actividades terroristas, o cuando se pretenda el acuitamiento de activos provenientes de dichas actividades. |
| Riesgo de Seguridad de la Información | Está asociado a la posibilidad qué lós activos de información de la entidad se vean afectados por la ocurrencia de eventos que comprometan la confidencialidad, disponibilidad o integridad de la información, mediante la explotación de vulnerabilidades producto de la inexistencia o ineficacia de los controles implementados para la protección y resguardo de ésta. |
| Riesgo Estratégico | Surge de la potencial inhabilidad de la entidad para implementar de manera apropiada su plan de negocios y estratégico, tomar decisiones, asignar recursos, o adaptarse a cambios en el entorno de sus negocios. |
| Riesgo Legal | Es la posibilidad de pérdida en que incurre una entidad al ser sancionada o obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de tarifas en los contratos y transacciones, derivadas dé actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formaIización o ejecución de contratos o transacciones, |
| Riesgo Reputacional | Es la posibilidad de perdida en que incurre una entidad por desprestifio, mala imagen, publicidad negativa; cierta o no, respecto de la institucion y sus practicas de negocios, que cause perdida de clientes, disminucion de ingresos o procesos judiciales |
7.2.2 Identificación de la Línea Operativa
Como parte de la identificación de riesgos es: necesario identificar la línea operativa en la que se genera el riesgo. Las líneas operativas establecidas para la Entidad son:
a. Administración dé recursos del régimen de prima media (RPM)
b. Administración de otros recursos del Sistema de Seguridad Social (BEPS)
c. Conmutaciones Pensiónales
d. Actividades Institucionales(3)
7.2.3 Identificación de riesgo y causas
Factores de Riesgo:
La identificación de riesgos siempre va asociada a los objetivos, y a las diferentes fuentes generadoras de riesgo (causas, amenazas o falla), cada riesgo tiene numerosos componentes, algunos están bajo el control de Colpensiones y otros están fuera de su control por obedecer a situaciones externas. Estos factores de riesgo se clasifican eri internos o externos.
Son factores de riesgo el recurso humano; los procesos, la tecnología, la infraestructura y Ios acontecimientos externos.
Recurso humano: Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.
Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente o mediante nombramiento en el caso de los empleados públicos. La vinculación indirecta: hace referencia a aquellas personas que tienen con la entidad una relación jurídica directa o a través de un tercero de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.
Procesos: Es el conjunto ínterrelaciónado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.
Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye hardware, software y comunicaciones.
Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una Organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
Acontecimientos Externos: Son situaciones asociadas a la fuerza de la naturaleza u ocasionados por terceras, quelescapan en cuanto a su causa y origen al control de la entidad.
Clase de riesgo:
Basados en las clasificaciones de eventos de riesgo establecidas por la Superintendencia Financiera de Colombia - SFC, Colpensiones dentro de su sistema íntegral de administración riesgos, definió la siguiente clasificación de riesgos:
Fraude interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la empresa.
Fraude externo: Actos realizados por una persona externa á la entidad, que busca defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
Relaciones laborales: Actos que son incompatibles con la legislación laboral, Con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia.
Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los dientes y que impiden satisfacer una obligación profesional frente a éstos.
Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la empresa.
Fallas tecnológicas: Perdidas derivadas de incidentes por fallas tecnológicas.
Ejecución y administración de procesos; Pérdidas derivadas de errores en la ejecución y administración de los procesos.
7.2.4 Resultados de Ea etapa identificación dé riesgos
- Inventario de riesgos y causas (factores internos y externos) identificados con la clasificación de su tipología.
7.3 ANÁLISIS DE RIESGOS
El análisis de riesgos implica el desarrollo y la comprensión del riesgo sin considerar la existencia de controles. Busca identificar la probabilidad de ocurrencia de los riesgos y su impacto en caso de materializarse. Este análisis incluye la evaluación de la probabilidad y el impacto negativo del riesgo y de que tal impacto pueda ocurrir. La forma en la cual se representa gráficamente la combinación dél impacto y la probabilidad es lo que se denomina mapa de riesgo inherente.
El cálculo del riesgo inherente es el resultado de ubicar en la matriz de riesgos la probabilidad e impacto inherente.
El análisis puede ser de tipo cualitativo y cuantitativo, cuando no se cuente con estadísticas, de las cuales se puedan establecer probabilidades e impactos, el análisis cualitativo es apropiado para adelantar esta etapa.
La probabilidad se define como la posibilidad de ocurrencia del riesgo, la cual puede ser medida con criterios de frecuencia, si se há materializado o de factibilidad, cuando se tiené en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Como impacto se entiende la consecuencia que puede ocasionar la materialización dél riesgo.
En este sentido, para la medición y evaluación se utilizan las siguientes equivalencias para la probabilidad y el impacto con las cuales puede determinarse él nivel de riesgo.
Posibilidad dé Ocurrencia - Probabilidad
| Nivel | Descripcion | Frecuencia |
| Recurrente. Se espera que el evento pueda presentarse con cierta periodicidad - 1 vez al mes | Se espera la ocurrencia del evento en mas del 20 % de los casos en el año. | |
| Probable | Frecuente: Sé espera que el evento pueda presentarse 1 vez al trimestre | El evento puede ocurrir entre el 15 y el 20% de los casos en el año |
| Posible | Posible. Se espera que el evento pueda; presentarse 1 vez al semestre | El evento puede ocurrir entre el 10 y 14.99% de los casos en el año |
| Raro | Ocasional. Se espera que el evento pueda presentarse 1 vez al año | El evento puede ocurrir entre el 3 y el 9.99% de los casos en el año |
| Improbable | Excepcional. El evento se ha presentado 1 vez en los últimos tres años. | El evento puede ocurrir en menos del 3% de los casos en el año. |
Impacto
| Descripcion | |
| Económico: Pérdida superior o igual al 0,40% de los ingresos operacionales dé la Administradora Legal: intervención por parte de lós órganos de control Superintendencia Financiera por incumplimientos légales y/o contractuales. Ciudadanos: Incremento de más dél 40% del número de reclamos formulados por los clientes. Seguridad do la Información: - Confidencialidad: Divulgación o Utilización indebida de información confidendal que impacta negativamente la operación, generando perdidas económicas e imagen negativa de la entidad. Disponibilidad: La información critica para él desarrollo de lós procesos no está disponible; no se pueda recuperar y afecta la operación del negocio. Interrupción de las operaciones por más de 2 días. - integridad: Cambios que afecten lá exactiud y completitud de la información, impactando de forma critica la operación o prestación del servicio. Continuidad del negocio: interrupción de las operaciones por más dé 2 días. Reputacional: Imagen negativa en él mercado por mal servicio, prácticas Inseguras y/o Irregulares. Mala reputación generalizada debido a comentarios adversos ampliamente difundidos a través de medios masivos de comunicación. | |
| Mayor | Economico: Perdida entre el 0.30% y el 0.39% de los ingresos operacionales de la Administradora Legal: Sanciones económicas por incumplimiento de las normas establecidas por los entes reguladores, Apertura de procesos sancionátorios, disciplinarios o fiscales. Ciudadanos: incremento entre el 31% y él 40% dél número dé reclamos formulados por lós clientes. Seguridad de la información: - Confidencialidad: Divulgación o Utilización indebida de información interna que impacta: negativamente la operación, generando perdidas económicas y requerimientos a la entidad, - Disponibilidad: La información para el desarrollo de los procesos no esta disponible, adicionalmente no se recupera de forma total y genera Interrupción de las operaciones entre 1 y 2 días. - Integridad: Cambios que afectan la exactiud y completitud de la información ocasionando errores en la ejecución dé los procesos y la toma de decisiones. Continuidad del negocio: Interrupción de las operaciones entre 1 y 2 días. - Reputacional: Imagen negativa generalizada a través de las redes sociales a consecuencia de las deficiencias operativas en los servicios, atención ineficaz o inoportuna. |
| Importante | Económico: Pérdida entre el 0,20% y el 0,29% de los ingresos operacionales de la Administradora. - Legal: Llamados de atención o requerimientos realizados por los entes reguladores a nivel nacional. - Ciudadanos: Incremento entre el 21% y el 30% del número de reclamos formulados por los clientes. Seguridad de la Información: - Confidencialidad: Utilización indebida de información interna que puede llegar a afectar la Importante operación de la entidad. - Disponibilidad: Lá información para el desarrollo dé los procesos no esta disponible y afecta parcialmente la entidad generando interrupción de las operaciones entre: 8 y 24 horas. - Integridad: Cambios que afectan la exactiud y completitud de la información de usó internó ocasionando retrasos o incumplimientos en lá operación. Continuidad: del negocio: Interrupción de las operaciones entre 8 horas y 24 horas. - Reputacional: Imagen negativa por mal servício y/o Irregulares difundidos a través de medios masivos de comunicación regionales. |
| Menor | Económico: Pérdida entre el 0,10% y el 0,19% de los ingresos operacionales de la Administradora. Legal: Llamados de atención o requerimientos realizados por los entes reguladores a nivel local o regional. Ciudadanos: Incremento entre el 10% y el 20% del número de reclamos formulados por los clientes. Seguridad de la información: - Confidencialidad: Se divulga información, y afecta algunos procesos de la entidad. - Disponibilidad: La información para el desarrollo de los procesos no esta disponible y afecta algunos procesos de la entidad, generando Interrupción de las operaciones menor a 8 horas. - Integridad: Cambios que afectan la éxactiud y completitud de la información de uso interno que afectan parcialmente ia ejecución de los procesos. Continuidad del negocio: Interrupción de las operaciones menor a 8: horás. Reputaciónal: Imagen negativa por mal servicio y/o irregulares difundidos a través de medios masivos dé comunicación locales (municipal). |
| Interioir | Económico: Pérdida inferiores al 0,10% de los ingresos operacionales de la Administradora. Legal: No genera incumplimiento legales Ciudadanos: No Incrementa significativamente el número de reclamos por los clientes. No afecta las relaciones con los clientes Seguridad de la información: - Confidencialidad: Se divulga información, y no altera el funcionamiento de las areas receptoras y procesadoras de la informacion. - Disponibilidad: La información para el desarrollo de los procesos no esta disponible y no afecta la operacion la entidad - Integridad: Cambios que no afectan la éxactiud y completitud de la información y en conclusion no se afecta la ejecución de los procesos. Continuidad del negocio: No hay Interrupción de las operaciones. Reputaciónal: No afecta la Imagen de la entidad |
Una vez evaluados los riesgos de acuerdo con su probabilidad e impacto se construye la matriz de nivel de riesgos, con el objetivo de determinar la severidad de los riesgos identificados.
Con el establecimiento de los niveles de riesgo dentro de un proceso, se procede a enumerarlos con el criterio de mayor a menor, con Id cual se dispondrá de una base para definir la prioridad de tratamiento,
7.3.1 Resultados de la etapa de Análisis de Riesgo
a. Calificación inherente de los riesgos dé acuerdó a las variables de impacto y probabilidad.
7.4 EVALUACIÓN DE RIESGOS
El propósito de la evaluación de riesgos es facilitar la toma de decisiones, basada en los resultados de los análisis del riesgo inherente (propio de la actividad sin considerar los controles), para poder determinar cuáles riesgos necesitan tratamiento, así como su prioridad de ímplementación.
Las opciones como respuesta a la evaluación de los riesgos son las siguientes:
Evitar el riesgo: Se decide no proceder con la actividad que tiene la posibilidad de generar riesgo, esta circunstancia puede incrementar la importancia de otros riesgos.
Mitigar el riesgo: Actividades y medidas tendientes a reducir la probabilidad y/o minimizar la severidad de sú impacto. Se consigue mediante la optimización de los procedimientos y lá impiéméntación de controles (prevención, planificación),
Transferir él riesgo: Actividades y medidas tendientes a transferir o compartir la responsabilidad por el manejo del riesgo (seguro, subcontratación controlada).
Aceptar el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso se acepta la pérdida residual probable y se elaboran planes de contingencia para su manejo.
Dependiendo del nivel de riesgo, el tratamiento a seguir sé muestra en el siguiente gráfico o de la decisión que tome el responsable del proceso.
7.4.1 Resultados de la etapa de Evaluación de Riesgos
- Mapa de Riesgo Inherente
- Respuesta dé Tratamiento al Riesgo Inherente (Aceptar, Evitar, Transferir, Mitigar).
La etapa de medición de riesgos establecida por la Circular Externa 041 de 2007 expedida por la Superintendencia Financiera de Colombia está inmersa en la etapa descrita en el numeral 7.3 del presente manual.
7.5 TRATAMIENTO DE RIESGOS
El tratamiento de riesgos involucra la selección de una o más actividades de control para disminuir su impacto o la probabilidad y así establecer si el nivel dé riesgo residual (después de controles), está en los niveles de aceptación por parte de Cólpensiones.
Al seleccionar las actividades de tratamiento para los riesgos, se tiene en cuenta lo siguiente:
1. El efecto potencial que pueda tener sobre el riesgo y su alineación con la tolerancia al riesgo de Colpensiones.
2. La segregación de funciones que permíta que la respuesta adoptada logre la reducción del riesgo.
3.El análisis costo / beneficio de los posibles tratamientos.
Las actividades de tratamiento que se han optado por parte de Colpensiones para reducir o compartir un riesgo, es lo que denominamos actividades de control.
7.5.1 Actividades de Control
Son las políticas y procedimientos establecidos por la dirección y el personal de Colpensiones para mitigar los riesgos que inciden en el cumplimiento de los objetivos estratégicos y de los procesos de la entidad.
Las actividades de control se llevan a cabo en todos los niveles de la organización, en las diferentes etapas de los procesos de negocio, y en el entorno tecnológico. Según su naturaleza, pueden ser preventivos, detectives o correctivos, e incluye actividades manuales y automatizadas, tales como, autorizaciones y aprobaciones, verificaciones, conciliaciones, y revisiones de calidad que deben estar integradas con una adecuada segregación dé funciones.
La documentación de las medidas de tratamiento (actividades de control), tendrá en cuenta los atributos asociados al diseño y ejecución establecidos en el presente manual.
En cuanto al diseño del control, su redacción puede contener los siguientes elementos;
1. Quién lleva a cabo el control (Responsable)
2. Frecuencia del Control (Cada cuanto sé realiza)
3. Cómo se lleva a cabo el control (procedimiento)
4. Evidencia de la ejecución del control
5. Excepciones al control
Para mitigar los riesgos identificados en los procesos, hay causas que requieren documentar controles que pueden ser ejecutados por otras áreas o dependencias en razón a que un control puede mitigar una causa y un riesgo de un proceso aunque éste no sea ejecutado por la misma área funcional.
7.5.2 Evaluación del diseño y ejecución de controles
En la evaluación de los controles se tienen en cuentan dos criterios: El diseño y la ejecución; el diseño hace referencia a que los controles mitiguen de manera adecuada las causas internas o externas que puedan materializar los riesgos, y la ejecución busca asegurar que ésta se realice tal y conrio se diseñó:
Como resultado de la combinación de estos criterios se determina la solidez individual de cada control. A continuación se presenta el detalle de los atributos utilizados para la evaluación de controles, así como las ponderaciones dadas a cada una de ellas.
Evaluación del Diseño del Control:
Para la evaluación del diseño del control se tienen en cuenta las siguientes variables:
Por las actividades que componen el control:
- Adecuada: Las actividades que componen el control, Como el quien lo hace, el cómo se desarrolla el control y la fuente de información utilizada, son adecuadas para mitigar la ocurrencia del riesgo. Es decjr, la actividad como tal (que se hace) y la forma en que se realiza (cómo se hace) permiten mitigar la ocurrencia del riesgo.
Su calificación será establecida de acuerdo con al conocimiento y el criterio dei responsable del proceso.
- Insuficiente: Las actividades que componen: el control, como el quien lo hace, el cómo se desarrolla el control y la fuente de información utilizada, son adecuados como actividad de control, pero por si solo el control no es suficiente para mitigar la ocurrencia del riesgo, por lo que se requiere complementar la actividad con otro control
- Inadecuada: Las actividades que componen el control, como el quien lo hace, no permite una adecuada segregación de funciones, y el cómo sé realiza la actividad y fuente de información con que se desarrolla no permite evitar o detectar de manera oportuna la ocurrencia del riesgo.
Por su oportunidad:
- Preventivo: Evitan que se materialicen los riesgos.
- Detectivo: Identifican los eventos de riesgo en el momento en que se presentan.
- Correctivo: Corrigen un riesgo, error, orriísión o acto deliberado antes de que produzca pérdidas. Supone que la causa ya se ha materializado pero que se corrige
Por su naturaleza:
- Manual: Son los que son desarrollados por una o más personas, y no requieren de tecnología o sistemas.
- Automático: Ejercido únicámente a través de sistemas o herramientas tecnológicas.
- Dependiente dé TI: Se realiza con él apoyó dé un sistema ó herramienta tecnológica, pero no es totalmente automático.
Por su frecuencia:
- Oportuna: La frecuencia en que se realiza el control permite prevenir o detectar de manera oportuna la ocurrencia del riesgo y evitar impactos significativos por materialización del riesgo
- Inoportuna: La frecuencia en que se realiza el control, no permite prevenir o detectar de manera oportuna la Ocurrencia del riesgos, por lo que pueden darse impactos significativos por materialización de riesgos sin detectar y corregir en un periodo de tiempo.
Por su documentación:
- Documentado: Control que está contenido en alguna política, norma publicada o procedimiento interno de cada área.
- No documentado: Control que se realiza con una periodicidad definida pero no está formalizado en ninguna norma.
Por su, evidencia:
- Completa: El control deja evidencia dé las actividades que se desarrollan en su ejecución, de tal manera que cualquier otra persona con la misma información llega a la misma conclusión en el desarrollo de la actividad descontrol
- incompleta: El control deja evidencia de las actividades que se desarrollan en sú ejecución, pero la evidencia que se deja cómo desarrollo dé la actividad del control, no es suficiente y completa para concluir que la actividad del control fue desarrollada de manera adecuada.
- No existe: Se desarrolla la actividad del control, pero no se deja rastro o evidencia de su ejecución.
A continuación, se describen los distintos pesos y características por las cuales son calificados los controles:
A partir de la calificación de este conjunto de variables se determina 10 evaluación del diseño de cada control y se establece si hay o no lugar a observaciones frente al diseño:
- Fuerte: El control está bien diseñado para mitigar el riesgo.
- Moderado: El control tiene oportunidades de mejora en él diseño,
- Débil: El control tiene debilidades significativas en su diseño para mitigar en forma adecuada la causa o falla.
Observaciones Frente al Diseño del Control:
Como resultado de la evaluación del diseño del control, se determina si hay o no lugar a observaciones frente al diseño dejando como resultado las siguientes dos opciones:
Sí - Se refieren a sí existen observaciones frente a la evaluación del diseño de! control, las cuales son atendidas por él responsable del proceso.
No- Se refiere a que no existen observaciones, este cálculo se basa en el diseño del control y el análisis del conjunto de controles que permitan mitigar el riesgo.
Evaluación de la Ejecución del Control:
Este criterio sé califica de acuerdo con las definiciones dadas por los responsables dé los procesos, y periódicamente a partir de los resultados de los informes de los entes de control al proceso y mide en qué medida el control es ejecutado de acuerdo con las variables definidas en el diseño del control.
- Fuerte: El control siempre se ejecuta de acuerdo a las variables del diseño del control y no existen observaciones de la Oficina de Control Interno y/o otros entes de control con relación a la ejecución del control.
- Moderado: El control no se ejecuta permanentemente como fue diseñado y/o existen observaciones de la Oficina de Control Interno u otros entes de control con relación a que a veces sí se ejecuta el control y otras veces no.
- Débil: El control no se ejecuta como está diseñado y/o existen informes de auditoría que así lo establecen.
Solidez individual del Control:
La combinación entre el diseño y la ejecución del control determina la solidez individual del control con los siguientes resultados posibles:
- Fuerte: El control está bien diseñado y se ejecuta adecuadamente.
- Moderado: El control puede tener oportunidades de mejora en el diseño y/o en la ejecución dél control,
- Débil: El control no está bien diseñado o no se ejecuta.
Solidez del Conjunto de Controles:
Esta variable se determina promediando la calificación individual de la solidez de los controles establecidos para mitigar las tarifas y causas asociadas a cada riesgo con los siguientes resultados posibles:
- Fuerte – El 80% o más de los controles asociados al proceso para mitigar el riesgo son controles fuertes que están bien diseñados y operando adecuadamente
- Moderado - Entre el 60% y 79% de los controles asociados al proceso son moderados para mitigar los riesgos, sin embargo, existen algunas oportunidades de mejora en el diseño y/o en la ejecución del control.
- Débil: El 59% de los controles o menos son controles débiles que no están bien diseñados o no se ejecutan adecuadamente por los dueños de los procesos.
Disminución de probabilidad e impacto:
Una vez calificados el conjuntó dé controles frente a cada riesgo, se determina sí los controles definidos mitigan la probabilidad y/o el impacto del riesgo con los siguientes resultados:
Probabilidad:
- fuerte: Existen controles diseñados específicamente a mitigar la probabilidad de que el riesgo se materialice (controles que Vari directamente a disminuir la probabilidad).
- Moderado: Existen controles que están mitigando la probabilidad de que el riesgo se materialice, pero de una maneta indirecta.
- Débil: Los controles asociados para mitigar el riesgo no están mitigando el impacto que pueda conllevara la disminución del riesgo o son muy débiles para su mitigación.
Impacto:
- Fuerte; Existen controles diseñados específicamente a mitigar el impacto en caso que el riesgo se materialíce de una manera directa.
- Moderado: Existen controles que están mitigando el impactó en casó que el riesgo se materialice, pero de una manera indirecta.
- Débil: Los controles asociados para mitigar el riesgo no están mitigando el impacto en caso que el riesgo se materialice.
Efectividad del control;
Una vez aplicada la metodología del proceso de monitoreo y control operativo, se determinan los procesos a priorizar para efectos de evaluar la efectividad de los controles. Posteriormente, se realiza un análisis para determinar qué controles son sujetos de evaluación considerando diferentes variables, cuyo resultado permite establecer categorías para Nevar a cabo la evaluación de los controles que lo ameritan. Las categorías son: "Clave", " Relevante", "Estándar" e "Indiferente". Los resultados de la evaluación "Clave" y " Relevante" deberán ser sujetos de evaluación.
De acuerdo con el resultado anterior, aplicando la metodología de la efectividad del control que considera la evaluación del diseño, la ejecución y solidez del control, sé califica como " Fuerte", "Necesita Mejorar" ó " Débil".
Determinación del Riesgo Residual
El riesgo residual es el resultado del desplazamiento del riesgo inherente por la aplicación de los controles considerando la probabilidad y el impacto.
Teniendo en cuenta que en la metodología de administración integral de riesgos de Colpensiones, los controles juegan un papel importante en el desplazamiento en el mapa de riesgos, a continuación se presenta en detalle los resultados de los posibles desplazamientos de la probabilidad y el impacto del riesgo.
7.5.3 Implementación de Planes de Acción
Se establecen planes de acción con el objetivo de reducir el nivel de riesgo residual obtenido de los riesgos identificados en las etapas anteriores, bajo el siguiente:criterio:
En dichos planes se describen las acciones necesarias para el diseño e impleméntación de los mismos en un tiempo determinado.
Se da prioridad de implementación a los planes que reducen riesgos de nivel "Alto" y "Medio Alto", así como planes que se generen de eventos materializados que hayan originado un impacto económico Mayor o Crítico. En ese sentido, los responsables de los procesos informan a la Gerencia de Riesgos y Seguridad de la Información los planes de acción definidos, para su seguimiento.
Los planes de acción consideran el nivel de riesgo, la complejidad del plan, recursos y otros factores determinados por el responsable. Así mismo, se podrán definir oportunidades dé mejora destinados a mitigar riesgos con nivel residual Medio Bajo.
El seguimiento de la implementación de los planes de acción será realizado por la Gerencia de Riesgos y Seguridad de la información y el responsable del proceso.
Los planes de acción tienen como mínimo los siguientes elementos:
- Proceso: Proceso en el que se identificó el riesgo asociado al plan de acción definido.
- Riesgo asociado: Descripción del riesgo que se encuentra en un nivel no aceptable por la entidad y para el cual se definieron planes de acción,
- Descripción del plan de acción: Descripción general del plán de acción a implementar.
- Responsable: Responsable de la implementación del plan de acción.
- Fecha de inicio del plan: Es la fecha en la cual se estima iniciar la impleméntación del plan.
- Fecha fin del plan: Es la fecha en la cual se estima estarán diseñadas e implémentadas las medidas para mitigar Ios riesgos.
- Actividades: Son las actividades que sumadas dan el plan de acción.
- Estado del plan: Estado que se le da al plan de acción de acuerdo a su nivel de avance. Estos pueden ser: En proceso o Terminado.
7.5.4 Resultados de la etapa de Tratamientos de Riesgos
a. Matriz de Riesgos
b. Planes de acción definidos para el fortalecimiento dé los controles que mitigan los riesgos.
La etapa de control establecida por la Circular Externa 041 de 2007 expedida por la Superintendencia Financiera de Colombia está inmersa én las etapas de tratamiento de riesgos descrita en el numeral 7,5 del presente manual.
7.6 COMUNICACIÓN Y CONSULTA
La Vicepresidencia de Seguridad y Riesgos Empresariales a través de la Gerencia de Riesgos y Seguridad de la Información adelanta las actividades necesarias para garantizar que la información correspondiente al sistema integral de administración de riesgos se encuentre disponible y sea divulgado periódica y adecuadamente asegurando el funcionamiento de sus propios procedimientos y él cumplimiento dejos requerimientos normativos.
Reportes internos
La Vicepresidencia de Seguridad y Riesgos Empresariales y el Oficial dé Cumplimiento presentan a la Presidencia y Junta Directiva, los siguientes informes según sea el caso.
- informe de Riesgo de Mercado con periodicidad mensual y riesgo operativo con periodicidad semestral, previa presentación a los comités respectivos.
- Informe generado de la gestión dei Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo.
Reportes Externos
A través del informé de Gestión Anual, se incluye Una sección relacionada con la gestjón adelantada en materia de administración integral de Riesgos, la cual es publicada a través de la pagina web de Colpensiones.
De igual manera, a través de las notas a los Estados Financieros se contemplan los temas relacionados con el sistema integral de administración de riesgos.
7.7 MONITOREO DE RIESGOS
En esta etapa se desarrolla un proceso que permite la oportuna detección y corrección de las deficiencias presentadas; validando que los riesgos residuales se encuentren en los niveles establecidos por Colpensiones.
El monitoreo permanente de los procedimientos y planes de acción relacionados con el sistema integral dé administración de riesgos, conlleva a realizar las correspondientes actualizaciones y modificaciones en el mapa de riesgos y por ende del perfil de riesgos de la entidad.
En esta etapa cada tipología de riesgo (Riesgo de mercado; Riesgo operativo. Plan de continuidad del negocio, Riesgo de lavado de activos y financiación del terrorismo, Seguridad de la información, Riesgo dé corrupción y de fraude), realiza de manera independiente el monitoreo de los riesgos que afectan el cumplimiento de los objetivos de la entidad, lo cual se contempla en los documentos que hace parte integral del presente manual.
Para el monitoreo de riesgo operativo, se cuenta con un instructivo que establece el procedimiento para gestionar los eventos de riesgo de acuerdo con la normatividad vigente,
Adicionalmente, los indicadores de gestión de los procesos són insumo para: llevar a cabo el monitoreo.
Dentro de los indicadores establecidos para Colpensiones se encuentran:
indicador Descriptivo: Perfil dé riesgo y nivel de madurez por procesos y de la entidad y exposición a la pérdida (riesgo de mercado).
Indicadores de Riesgo: Estos indicadores son los indicadores de gestión definidos en la Entidad, de tal forma que se entiende al indicador de riesgo como el incumplimiento o tendencia negativa en el resultado del indicador del proceso, conllevando a realizar el análisis y adopción de acciones tanto correctivas, como preventivas, para minimizarla exposición o impacto del riesgo.
Los indicadores de riesgo se contemplan dentro los indicadores de gestión, administrados bajo el esquema y metodología establecida en el Sistema Integrado de Gestión - SIG.
8. DOCUMENTACIÓN Y REGISTRO
Colpensiones cuenta con la documentación correspondiente a la definición, implementación y monitoreo de los elementos y etapas del sistema de administración de riesgos, contemplados en el presénte Manual y cada una de sus partes, así como, con los registros que se originen de la gestión del sistema integral de administración de riesgos.
9. PLATAFORMA TECNOLÓGICA
La gestión de riesgos, sus procedimientos y metodologías se desarrollan a través de diferentes herramientas tecnológicas, que los soportan y permiten su administración, acorde con las necesidades de cada uno de los sistemas.
El aplicativo definido por Colpensiones para la administración integral de los riesgos, está diseñado para una gestión de riesgos por procesos y permite la construcción de los mapas de riesgo, la documentación de controles, la valoración del riesgo inherente y residual, y sus respectivos reportes, el registro de los eventos sobre los que se definen planes de acción que son gestionados y documentados en el aplicativo.
La herramienta tecnológica es una solución integral para la administración de riesgos que incorpora una estructura jerárquica y de perfiles parametrizable, permitiendo una razonable seguridad sobre la información allí registrada.
10. CAPACITACIÓN
La Vicepresidencia de Seguridad y Riesgos Empresariales y el Oficial de Cumplimiento, en Coordinación con la Vicepresidencia de Gestión Corporativa son responsables del diseño y programación del plan anual de capacitación del sistema integral de administración de riesgos, así como, de su revisión y actualización, y de la evaluación de los resultados, la cual está dirigida a todos los servidores públicos y colaboradores de la Entidad, con el fin de generar conciencia sobre la importancia de dar cumplimiento á las políticas y procedimientos establecidos en materia de gestión de riesgos y prevención y control del lavado de activos y financiación del terrorismo.
Los programas podrán ser contratados con terceros bajo la supervisión de la Vicepresidencia de Seguridad y Riesgos Empresariales y/o el Oficial de Cumplimiento.
El programa de capacitación incluyela inducción a ios nuevos servidores públicos y colaboradores de la entidad, como complemento al programa institucional de ingreso y a los: terceros siempre que exista una relación contractual y desempeñen Funciones criticas de la Entidad.
Para llevar a cabo el programa de capacitación se utilizan como medios de difusión masiva, el correo corporativo, las capacitaciones presenciaies y virtuales, tanto en las áreas, como en las oficinas
10.1 Metodologías de Capacitación
Las metodologías para la capacitación son:
a. Capacitación de inducción para todos los servidores públicos y colaboradores que ingresan nuevos a la Entidad,
b. Capacitación virtual dirigida: a todos los servidores públicos y colaboradores de Colpensionés.
c. Capacitación presencial específica para todos los funcionarios que hacen parte de Ios equipos de Administración del Plan de Continuidad.
d. Capacitación presencial o virtual para todos los funcionarios que hacen parte de las pruebas del Plan de Continuidad.
10.2. Alcance de los Programas de Capacitación
Los programas de capacitación y entrenamiento son elaborados por la Gerencia de Riesgos y Seguridad de la Información, constan por escrito y desarrollan como mínimo los siguientes temas:
- Las responsabilidades de las áreas de Colpensiones encargadas de ejecutar los mecanismos e instrumentos de riesgos.
- Los cargos responsables de supervisar el cumplimiento dé los procedimientos en cada área.
- El régimen de responsabilidades por el incumplimiento de los deberes que obligan a una adecuada aplicación y gestión de riesgos.
- Los programas de capacitación se revisan, actualizan y evalúan anualmente y se adoptan los mecanismos pertinentes para corregir sus defícientias.
- Procedimientos para la evaluación de las capacitaciones
- Las capacitaciones dictadas son evaluadas mediante una prueba escrita, lo que permite determinar:
- El entendimiento de los temas.
- El rendimiento y conocimiento del facilitador.
- La efectividad de los programas.
- El alcance de los objetivos propuestos.
Todo funcionario debe obtener la mitad más uno de las respuestas correctas en la evaluación. En el evento que la calificación obtenida es inferior, se presenta una nueva evaluación y si no aprueba la segunda evaluación, el caso es estudiado por Iá Gerencia de Riesgos y Seguridad de la Información junto con la Gerencia de Talento Humano y Relaciones Laborales.
El responsable de verificar el cumplimiento en la realización de las evaluaciones así como la eficacia de los programas de capacitación es la Gerencia de Talento Humano y Relaciones Laborales.
- La capacitación se cita por medio electrónico y va dirigida al grupo a capacitar, dejando constancia de recibo del correo,
- Se llevan registros de asistencia por cada capacitación realizada, mediante una planilla qué diligencian todos los asistentes.
Para los funcionarios que no asisten a la capacitación, se solícita a Gerencia de Talento Humano y Relaciones Laborales la Inclusión de los funcionarios en la programación dé la siguiente sesión.
11. GLOSARÍO
Acción correctiva: Acción para eliminar la causa de una no conformidad y evitar que vuelva a ocurrir.
Acciones preventivas; Acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencial no deseable.
Apetito de riesgo: El nivel de variación que la empresa está dispuesta a asumir en caso de desviación de los objetivos corporativos trazados.
Aspecto Ambiental: Elementos de las actividades productos o servicios de una organización que intefactúa o puede interactuar con él medio ambiente
Corrección: Acción para eliminar una no conformidad detectada.
Corrupción: Uso del poder para desviar la gestión de lo publico hacia el beneficio privado.
Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operativo a la entidad.
Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras dé riesgos que pueden o no generar pérdidas.
Fraude: Es la posibilidad de incurrir en actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o, incumplir normas o leyes,
Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Manual de Riesgo: Es el documento que contiene las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, smpiementación y seguimiento del Sistema de Administración de Riesgos.
Pérdida: Cuantificación económica de la ocurrencia de un evento, así como los gastos derivados de su atención.
Perfil de riesgo: Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad,
Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.
Plan dé continuidad del negocio: Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.
Riesgo: Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de los objetivos.
Riesgo de corrupción: Conductas realizadas con el fin de obtener un beneficio particular, valiéndose del poder, los recursos e información disponibles en razón o con ocasión del cargo o función.
Riesgo de Fraude: Cualquier conducta cometida intendonalmente para obtener un provecho económico ilícito, en detrimento de los intereses de la entidad o de un tercero,
Riesgo de lavado de activos y financiación del terrorismo: Posibilidad de pérdida o daño que puede sufrir la entidad por su propensión a ser utilizada directamente o a través de Sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de áctivos provenientes de dichas actividades.
Riesgo de mercado: Es la posibilidad de que las entidades incurran en pérdidas asociadas a la disminución dél valor de sus portafolios, las caídas del valor de los fondos que administran, por efecto de cambios en el precio de: los instrumentos financieros en los cuales se mantienen posiciones dentro o fuera del balance.
Riesgo de seguridad de la información: El potencial dé que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos en cuanto a la confidencialidad, integridad o disponibilidad, causando pérdida o daño a la organización.
Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los Controles. El riesgo inherente puede reducirse de acuerdo a la gestión operativa de la entidad, lo cual se hace a través de la adopción de políticas, procesos, procedimientos, y definición dé perfiles de los funcionarios previo a su contratación entre otros.
Riesgo de Contagio: Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.
Riesgo legal: Es la posibilidad de pérdida en qué incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la fórmalizadón o ejecución de contratos o transacciones.
Riesgo operativo: Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano los procesos, la tecnología, la infraestructura o por la ocurrencia dé acontecimientos externos. Esta definición incluye el riesgo legal y reputaciónal, asociados a tales factores.
Riesgo reputaciónal: Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta q no, respecto de la institución y sus prácticas de negocios, que causé pérdida de clientes, disminución de ingresos o procesos judiciales.
Riesgo residual: Es el nivel resultante del riesgo después dé aplicar los controles.
Tratamiento al riesgo: Es la acción que la entidad toma para prevenir o mitigar los impactos de eventos qué afectaría el logro dé objetivos, mediante una apropiada definición e implementarión de controles, de manera que los riesgos se sitúen en un nivel tolerable por la institución
12. ANEXOS
PARTE I Sistema de Gestión de la Continuidad del Negocio - SGCN
PARTE II Sistema dé Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo - SARLAFT.<Ver modifcaciones a esta parte directamente en el Acuerdo 126 de 2017>
PARTE III Gestión de Riesgo de Fraude y Corrupción
PARTE IV Sistema de Administración de Riesgo de Mercado - SARM
13. CONTROL DE CAMBIOS DEL DOCUMENTO
| FECHA | VERSIÓN | MODIFICACIÓN |
| 30/01/2012 | 1.0 | Acuerdo No, 021 de 2012. Por el cual se aprueba el Manual de Administración de Riesgo Operativo de la Administradora Colombiana de Pensiones Colpensiones. |
| 17/05/2017 | 2.0 | Acuerdo No. 114 de 2017. Aprueba el Manual del Sistema Integral de Administración de Riesgos. El cual integra los diferentes manuales de administración de riesgos aplicables a: Colpensiopes así: PARTE I Sistema de Gestión de la Continuidad del Negocio - SGCN PARTE II Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo - SARLAFT PARTE ll| Gestión de Riesgo de Fraude y Corrupción PARTE IV Sistema de Administración de Riesgo de Mercado -SARM |
NOTAS AL FINAL:
1. Los mecanismos puedes ser: Comités primarios. Análisis de los indicadores del proceso, Análisis de bs eventos de riesgo presentados, Grupos de calidad, entre otros.
2. Ver Plan Estratégico Institucional de Colperisiones - Guía de Díreccionamiento Estratégico;
3. SFC- Actividades Institucionales: Actividades que no pueden ser catalogados en ninguno línea operativa de las señaladas y que están relacionadas con el funcionamiento administrativo y/o de apoyo de la Entidad.
"Normograma - Colpensiones - Administradora Colombiana de Pensiones"
ISSN [2256-1633 (En linea)]
Última actualización: 5 de febrero de 2021 - Diario Oficial No. 51567 - Enero 24 de 2021
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.