FOGACOOP FONDO DE GARANTIAS DE ENTIDADES COOPERATIVAS NIT 830.053.319-2 CIRCULAR INTERNA 005 DE 2007 ( 19 JUL. 2007 ) PARA: TODOS LOS FUNCIONARIOS DE: DIRECCIÓN ASUNTO: MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO - SARO Mediante la presente Circular se da a conocer el Manual del Sistema de Administración del Riesgo Operativo aprobado por la Junta Directiva del Fondo en su sesión del 26 de junio de 2007 (Acta 114), teniendo en cuenta lo previsto en las Circulares Externas 048 y 049 de 2006 de la Superintendencia Financiera. Allí se implementa el sistema de medición y control de riesgo operativo. El manual aprobado, el cual se anexa a la presente circular, es de obligatorio cumplimiento para todos los funcionarios de la entidad. La presente Circular rige desde su expedición. Cordialmente, JORGE BERMÚDEZ SALGAR Director Carrera11 No. 93 – 46 Piso 6 Teléfonos: 6355868– 018000-919723 Fax: 6357210 Bogotá D.C. – Colombia www.fogacoop.gov.co - e-mail: fogacoop@fogacoop.gov.co MANUAL DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO OPERATIVO SARO MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 2 de 12 CONTENIDO Introducción 1. Metodología para la identificación, medición, control y monitoreo de los riesgos operativos definiciones 2. Procedimiento para la identificación, medición, control y monitoreo de los riesgos operativos 3. Estructura organizacional del SARO 4. Informes 5. Estrategias de capacitación y divulgación del SARO 6. Anexos 1, 2 y 3 VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 3 de 12 INTRODUCCIÓN Mediante las circulares 048 y 049 de 2006 la Superfinanciera fijó las bases y los lineamientos mínimos que deben ser implementados por las entidades sometidas a su supervisión y vigilancia, para el desarrollo de un Sistema de Administración del Riesgo Operativo – SARO. En línea con ese requerimiento FOGACOOP desarrolla el presente manual, teniendo en cuenta a su vez, como igualmente lo señalan las mencionadas circulares, su estructura, tamaño, objeto social y actividades de apoyo. En este sentido, la definición y ámbito de los riesgos operativos para el SARO se toman de los que la entidad tiene definidos y descritos en el documento denominado “Mapa de Riesgos”, el cual fue desarrollado en cumplimiento de lo establecido en la Ley 87 de 1993, en la Ley 2145 de 1999 y en el Decreto 1537 de 2001. Teniendo en cuenta que en el mencionado mapa de riesgos ya elaborado, se han definido e identificado los riesgos para la mayoría de los procesos y se han establecido los controles para mitigar los mismos, el presente manual se desarrolla con base en lo allí descrito, complementándolo en lo pertinente a fin de adecuarlo a los requerimientos metodológicos establecidos en las circulares 048 y 049 ya comentadas. Políticas: Impulsar la cultura en materia de riesgo operativo. Prevenir la pérdida de recursos monetarios mediante la debida y permanente identificación y control de los riesgos asociados Asegurar el cumplimiento de normas internas y externas. Prevenir y resolver posibles conflictos de interés en la recolección de información en las diferentes etapas del SARO, especialmente para el registro de eventos de Riesgo Operativo. Identificar los cambios en los controles y los factores de riesgo operativo. Desarrollar e implementar un plan de continuidad del negocio. VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 4 de 12 1. Metodología para la Identificación, Medición, Control y Monitoreo de los Riesgos Operativos a. Identificación: La identificación de los riesgos operativos se realiza a través de la aplicación de una encuesta a las áreas responsables de los diferentes procesos, la cual constará de un formato de preguntas y respuestas en los que se deje registrado para cada proceso enunciado, la siguiente información: los riesgos operacionales que identifica cada área y los factores de riesgo para cada uno (deficiencias o fallas en el recurso humano, en el proceso, en la tecnología asociada, en la infraestructura o por la ocurrencia de acontecimientos externos.Los controles existentes y si fuere el caso, enunciar los que en su opinión deben implementarse de manera adicional o sustitutiva, así como los responsables del control. Los eventos de riesgo que se hayan presentado para cada uno de los riesgos identificados. b. Medición: Los criterios para efectuar la medición de los riesgos son los siguientes: VERSIÓN 2.0 Probabilidad de ocurrencia: El horizonte de tiempo para establecerla es de un año y la unidad de medida será: Alta, Media, Baja. Para establecer la probabilidad de ocurrencia, se deberá tener en cuenta si se han presentado eventos de riesgo de manera permanente, esporádica o recurrente. Impacto: La unidad de Medida para el impacto será igualmente: Alto, Medio, Bajo y se califica teniendo en cuenta sus efectos económicos, reputacionales y legales. Una vez se realice la medición de la probabilidad y el impacto para los riesgos de cada proceso por las áreas responsables, se debe realizar la medición consolidada para la entidad, determinando el perfil de Riesgo Inherente. Nota: No obstante que la medición que se va a realizar es cualitativa, se deberán usar los siguientes rangos al establecer la calificación alta, media o baja. FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 5 de 12 Guía para calificar la probabilidad y el impacto de un evento de Operativo Baja(o) Media(o) Riesgo Alta(o) Probabilidad Entre 0 y 5% Entre 5 y 10% Mas de 10% Impacto Menos del 0.1% del patrimonio del Fondo Entre el 0.1% y el 1% del Patrimonio del Fondo Más del 1% del Patrimonio del Fondo c. Control: Las medidas de control que se definan, deben considerar el costo de su implementación frente al impacto esperado con base en la probabilidad de ocurrencia de cada riesgo. Una vez se implementen los controles, se debe revisar la medición de la probabilidad y el impacto por parte de las áreas responsables para los riesgos de los procesos modificados, determinando el perfil de Riesgo Residual (después de controles) en esos casos y el nuevo perfil de riesgo consolidado. d. Monitoreo: Semestralmente se realizará un seguimiento por parte de la Auditoria Interna, con el fin de evaluar el cumplimiento a los controles establecidos y medir la eficiencia de dichos controles a través del seguimiento a los eventos de riesgo que se presenten. 2. Procedimiento para la Identificación, Medición, Control y Monitoreo de los Riesgos Operativos Paso1: Identificar por parte de las áreas responsables de los procesos, todos y cada uno de los riesgos asociados. Identificar los controles existentes y si fuere del caso, los que deberían implementarse y establecer la probabilidad e impacto de cada riesgo, antes y después de los controles, con base en la metodología definida. Anexo No. 1 y 2 Paso 2: Una vez diligenciada la correspondiente encuesta por parte de las áreas responsables, se remitirá a la Unidad de Riesgo Operativo, la cual consolidará los resultados, evaluará lo descrito y conceptuará sobre la VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 6 de 12 racionalidad del riesgo o los riesgos identificados. El resultado debe ser consignado en el formato establecido. Paso 3: Con base en los resultados obtenidos de los pasos 1 y 2, la Unidad de Riesgo Operativo establecerá el perfil de riesgo inherente y residual consolidado de la entidad. Paso 4: Las áreas responsables de los procesos en los cuales se han identificado riesgos operativos, deberán al momento de ocurrir un evento, reportarlo a la Unidad de Riesgo Operativo, según formato descrito en el Anexo No.3. La Unidad de Riesgo Operativo es responsable de mantener actualizados los registros relativos a los reportes y evaluará la necesidad de efectuar actualizaciones y/o modificaciones a los procedimientos y planes de acción relativos al SARO. Paso 5: Semestralmente e independientemente a si se han presentado eventos de riesgo, la Unidad de Riesgo Operativo revisará los riesgos, sus controles y mediciones con el fin de identificar los posibles cambios en el perfil de riesgo de la entidad. Paso 6: La Auditoria Interna, con base en los seguimientos que realice de manera periódica e independiente y en la información resultante de los pasos 4 y 5 que le será suministrada por la Unidad de Riesgo Operativo, procederá a determinar las deficiencias en el SARO y proponer posibles soluciones. Paso 7: Para dar cumplimiento a lo establecido sobre la Revelación contable de los eventos, con base en sí los mismos generan pérdidas y afectan el PyG de la entidad, éstos deberán registrarse de la manera establecida en el Numeral 3.2.8.3. de la Circular Externa No. 049 de 2006 de la Superfinanciera. 3. Estructura organizacional del SARO La estructura organizacional que apoya el SARO será la siguiente: La Junta Directiva con las funciones definidas en las circulares 048 y 049 de 2006. VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 7 de 12 El Director con las funciones establecidas para el Representante Legal en las circulares 048 y 049 de 2006. La Gerencia de Asuntos Estratégicos tendrá asignadas las funciones de la Unidad de Riesgo Operativo previstas en las circulares 048 y 049 de 2006. El Auditor Interno deberá evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y proponer posibles soluciones. Informar los resultados de la evaluación al Representante Legal y a la Unidad de Riesgo Operativo y realizar una revisión periódica del registro de eventos e informar al Representante Legal sobre el cumplimiento de las condiciones señaladas para estos registros. El Revisor Fiscal deberá elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO y poner en conocimiento del R.L. los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva. 4. INFORMES Tipo de Informe Periodicidad Registro de eventos de riesgo Según se presenten Informe de resultados de la Semestral evaluación del SARO Informe de evolución del Semestral riesgo, controles y monitoreo Informe de evolución y Semestral aspectos relevantes del SARO Informe de conclusiones sobre el cumplimiento de normas e Anual instructivos del SARO VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 Responsable Destino Dirección, Unidad de Riesgo Profesional responsable Operativo y Auditoria Interna Dirección, Unidad de Riesgo Auditor Interno Operativo y Junta Directiva Auditor Interno Unidad de Riesgo Operativo Director Director Junta Directiva Revisor Fiscal Director y Junta Directiva REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 8 de 12 5. ESTRATEGIAS DE CAPACITACIÓN Y DIVULGACIÓN DEL SARO Expedir un acto administrativo por medio del cual se implemente el sistema de medición y control del riesgo operativo y se establezca la obligatoriedad de la aplicación. Publicar a través de los medios internos disponibles todos los aspectos relacionados con los mecanismos de identificación, medición, control y monitoreo del SARO. Capacitar de manera oportuna acerca de cada una de las actualizaciones o eventos asociados al SARO. Establecer las herramientas necesarias para dar a conocer a los entes relacionados directa o indirectamente con la operación del Fondo, las medidas y políticas establecidas por el Fondo relacionadas con el SARO. 6. ANEXO 1 La encuesta se debe diligenciar en un cuadro, en el cual consignará sus respuestas a las siguientes preguntas, con respecto al proceso en particular para el cual la encuesta se lleva a cabo: Para el proceso enunciado, cuál o cuáles son los riesgos operacionales qué Usted identifica. Para el o los riesgos por Usted identificados anteriormente, indique en cada caso sí la pérdida que se pueda producir en caso de incurrir en el mismo, tiene efecto en términos económicos y/o reputacionales y/o legales. Para el o los riesgos identificados establezca el factor de riesgo de cada uno. Lo anterior sugiere establecer sí el riesgo se produce por deficiencias o fallas en el recurso humano, en el proceso, en la tecnología asociada, en la infraestructura o por la ocurrencia de acontecimientos externos. Para cada riesgo describa los controles existentes y si fuere el caso, enuncie los que en su opinión deberían implementarse de manera adicional o sustitutiva. Mencione para cada riesgo identificado las acciones que se han seguido y las que deberían adoptarse cuando se presenten eventos de riesgos y el resultado de los controles aplicados si fuere el caso. VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 9 de 12 Para cada riesgo identificado deberá, con base en la metodología descrita en el presente Manual, medirse su probabilidad de ocurrencia e impacto sobre los criterios económicos, reputacionales y legales, sin tener en cuenta el o los controles. Repita el mismo ejercicio de medición descrito en este Numeral, pero ahora posterior a los controles. ANEXO 2 SISTEMA DE ADMINISTRACION DE RIESGOS OPERATIVOS ENCUESTA DE RIESGOS POR PROCESO VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva ECONÒMICO LEGAL REPUTACIONAL PROBABILIDAD DE OCURRENCIA CON ONTROLES RESPONSABLE DEL CONTROL IMPACTO EVENTO Y FORMATO DE CONTROL ECONÒMICO LEGAL REPUTACIONAL PROBABILIDAD DE OCURRENCIA SIN ONTROLES FACTOR de RIESGO RIESGO PROCESO IMPACTO MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 10 de 12 ANEXO 3 Todos los responsables de los procesos para los cuales se han identificado riesgos deberán al momento de ocurrir un evento de riesgo operativo, reportarlo a la Unidad de Riesgo Operativo. El correspondiente reporte deberá hacerse en un formato en Excel que contendrá la siguiente información: - Riesgo al que se hace referencia - Fecha de inicio del evento - Fecha de finalización del evento - Fecha del descubrimiento - Fecha en que se registra contablemente la pérdida por el evento - Cuantía de la pérdida - Cuantía total recuperada por acción directa de la Entidad (incluye cuantías recuperadas por seguros) - Cuantía recuperada por seguros - Clase de evento (fraude interno, fraude externo, clientes, daños a activos físicos, fallas tecnológicas, ejecución, administración de procesos) - Producto o servicio afectado - Cuenta o cuentas PUC afectadas - Proceso afectado - Tipo de pérdida (con efecto sobre PyG, sin efecto sobre PyG, no genera pérdida) VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: Página 11 de 12 - Descripción detallada del evento - Línea operativa HISTORIAL DE CAMBIOS FECHA 7 de Julio de 2007 21 de Junio 2012 VERSIÓN 2.0 NUMERAL VERSIÓN 3y4 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 CAMBIOS 1.0 Documento inicial 2.0 Ajuste de responsabilidades (cargos, dependencias, unidades), con base en la nueva estructura organizacional. Cambios aprobados por la Junta Directiva – acta 170 REVISA Unidad de Riesgo Operativo APRUEBA Junta Directiva MANUAL DEL SISTEMA DE ADMINISTRACIÓN DEL SISTEMA DE RIESGO OPERATIVO “SARO” CÓDIGO: VERSIÓN 2.0 FECHA DE ACTUALIZACIÓN 21 de Junio de 2012 REVISA Unidad de Riesgo Operativo Página 12 de 12 APRUEBA Junta Directiva