Story Transcript
SISTEMA INTEGRAL DE RIESGOS
Julio 10, de 2012
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012
INDICE
I.
Estructura Organizacional........................................................................................... 1
II.
Funciones de Junta Directiva en materia de gestión de riesgos.................................. 2
III. Funciones de la Administración en materia de gestión de riesgos. ............................. 2 IV. Comité de Riesgos...................................................................................................... 2 V.
Administración de Riesgos. ........................................................................................ 3 1.
Función de Administración de Riesgos ................................................................... 3
2.
Sistemas de información gerencial.......................................................................... 3
VI. Etapas del proceso continuo para la evaluación de Riesgos....................................... 3 1.
Identificación: .......................................................................................................... 3
2.
Medición.................................................................................................................. 3
3.
Mitigación................................................................................................................ 4
4.
Control .................................................................................................................... 4
5.
Monitoreo ................................................................................................................ 4
6.
Divulgación ............................................................................................................. 4
VII. Definiciones y Conceptos principales.......................................................................... 4 VIII. Clasificación de los riesgos operativos........................................................................ 6 IX. Divulgación del Sistema Integral de Riesgos .............................................................. 7 X.
Aprobación y Vigencia ................................................................................................ 7
i
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012
Sistema Integral de Riesgos Base Legal: Letra d) del Art. 35 de la Ley de Supervisión y Regulación del Sistema Financiero, establece como obligación de los directores, gerentes y demás funcionarios que ostenten cargos de dirección o de administración en los integrantes del sistema financiero, lo siguiente: “d) La adopción y actualización de políticas y mecanismos para la gestión de riesgos, debiendo entre otras acciones, identificarlos, evaluarlos, mitigarlos y revelarlos acordes a las mejores prácticas internacionales. En dichas políticas se deberán incluir las medidas que se adoptarán para prevenir posibles incumplimientos a requerimientos regulatorios y las que adoptarán en el evento de que haya incurrido en ellos, debiendo definir en ambas situaciones los parámetros que orientarán la actuación y los responsables de implementarlas;”.
I.
Estructura Organizacional
CEDEVAL ha establecido una estructura organizacional que le permite una adecuada gestión integral del riesgo, con la debida segregación de funciones y niveles jerárquicos de áreas de soporte operativo, negocios y control que participan en el proceso, así como los niveles de dependencia, de conformidad con el perfil de riesgos, el tamaño y la naturaleza de sus operaciones.
1
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012
II.
Funciones de Junta Directiva en materia de gestión de riesgos.
La Junta Directiva de CEDEVAL es la responsable de velar por una adecuada gestión integral de riesgos teniendo entre sus funciones, en materia de riesgos, las siguientes: 1. Tener conocimiento y comprender todos los riesgos inherentes a los negocios que desarrolla la institución, su evolución y sus efectos en los niveles patrimoniales; así como las metodologías para la gestión de los mismos; 2. Crear el Comité de Riesgos, designar a sus miembros y procurar su carácter de independencia; 3. Aprobar las estrategias, políticas y límites de exposición para la gestión integral de cada uno de los riesgos asumidos por la entidad y de las excepciones a las mismas, así como los planes de contingencias y revisar su vigencia al menos una vez al año;
III.
Funciones de la Administración en materia de gestión de riesgos.
El Gerente General y los dos gerentes de áreas, quiénes son responsables del cumplimiento de las políticas emanadas para la gestión de los riesgos del negocio En materia de riesgos sus funciones son: 1. Establecer las condiciones necesarias a nivel de toda la organización para propiciar un ambiente adecuado que procure el desarrollo del proceso de la gestión integral de riesgos; 2. Conformar la Unidad Funcional delegada al Oficial de Cumplimiento y asegurar su carácter de independencia, así como dotarle los recursos necesarios para su funcionamiento 3. Establecer procedimientos que aseguren un adecuado flujo, calidad y oportunidad de la información, entre las Unidades de Negocio y la Unidad funcional de Riesgos, a fin de que ésta última desarrolle apropiadamente su función; 4.
Gestionar mecanismos de divulgación de la cultura de gestión integral de riesgos, en todos los niveles de la estructura organizacional; y
5. Implementar planes de contingencia para los riesgos que enfrenta la entidad.
IV.
Comité de Riesgos
El Comité de Riesgos está constituido por el Presidente, un miembro de la Junta Directiva y el Gerente General. Éste Comité es el responsable del seguimiento de la gestión integral de riesgos y velar por el cumplimiento de las políticas aprobadas. 2
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012
V.
Administración de Riesgos.
1. Función de Administración de Riesgos CEDEVAL , ha incorporado una función al Oficial de Cumplimiento, con el propósito de desarrollar la metodología de evaluación de Riesgos. Los principales riesgos que se gestionarán, de acuerdo a la estructura, tamaño, negocios y recursos, son los siguientes riesgos: Tipo de Riesgo
Justificación
Riesgo Operacional Inherente a las operaciones Riesgo Tecnológico. Asociado a la finalidad o actividad principal Riesgo de Contagio Subsidiaria Sistémico Reputacional
Actividades de Subsidiaria Dependencia del mercado Imagen del mercado
Gobierno Corporativo
Inherente a toda organización
Riesgo de Mercado
Actividades de inversión de tesorería
2. Sistemas de información gerencial La entidad debe contar con información gerencial para la toma de decisiones y verificación del cumplimiento de control interno. El diseño y actualización de los reportes es responsabilidad de cada unidad organizativa. Los informes serán coordinados por el encargado de riesgos.
VI.
Etapas del proceso continuo para la evaluación de Riesgos
1. Identificación: Consiste en identificar los riesgos internos y externos que pueden afectar las diferentes actividades de cada uno de los procesos que se desarrollan en CEDEVAL. En esta etapa participan todos los funcionarios y empleados, liderados por el Gerente de Administración que desarrolla la función (Esta actividad ya se realizó) 2. Medición Los riesgos identificados deben ser evaluados considerando su probabilidad de ocurrencia y su impacto en caso de materializarse.
3
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012 3. Mitigación El encargado de riesgos, debe analizar las incidencias o factores de riesgo y las respuestas para evitarlos, aceptarlos, reducirlos, o trasladarlos, alineándolos con la tolerancia al riesgo definida por la institución. En todo caso, la implementación de los mitigantes corresponde a cada una de las unidades operativas. 4. Control Consiste en evaluar cada uno de los controles o mitigantes establecidos determinando su efectividad así como la necesidad de mejora o establecimiento de nuevos controles. Se mide tomando en cuenta la eficiencia del control frente al costo y la fluidez de los procesos. 5. Monitoreo Actividad que se lleva a cabo a través de la verificación, evaluación y administración del sistema para una adecuada retroalimentación. De esta etapa se desprenden continuos ajustes al sistema para mejorarlo y en ello participa activamente el Comité de Riesgo y la Administración. 6. Divulgación Como consecuencia de un adecuado registro de los eventos, esta etapa permite comunicar en forma oportuna a cada funcionario en todos los niveles los riesgos identificados, la evaluación de los mismos, los riesgos inherentes, los controles y los propósitos para llevarlos a unos niveles mínimos que no afecten las operaciones de CEDEVAL. La unidad funcional presentará informes al Comité de Riesgos en forma periódica
VII.
Definiciones y Conceptos principales
Se entenderán en el presente documento las siguientes definiciones y conceptos aplicables a los procesos de Compensación, Liquidación y Administración de Valores: a) Riesgos: posibles eventos de carácter aleatorio que afectan el cumplimiento de los objetivos de la empresa, los cuales pueden ser generados por factores internos y externos. b) Riesgos Operativos: posibilidad de obtener perdidas por fallas, deficiencias en recursos humanos, recurso tecnológico, procesos, infraestructura o por factores externos. Se incluye dentro del Riesgo operativo el Riesgo de Reputación y el Riesgo Legal. c) Riesgo de Reputación: es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, respecto de la institución y sus 4
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012 prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales. d) Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar por daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la ejecución de contratos o transacciones. 1. Factores de riesgo Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas. Dichos factores se deben clasificar en continuación:
internos o externos, según se indica a
a) Factores Externos: procesos o circunstancias que no pueden ser controladas por la empresa que afectan la operatividad de los procesos o los recursos de la empresa. b) Factores Internos: procesos o circunstancias que pueden ser controladas por la empresa que afectan la operatividad de los procesos o los recursos de la empresa. 2. Factores de Riesgos Internos 1) Recurso Humano Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad, lo cuales pueden estar contratados directamente por la empresa o brindar un servicio contratado por la misma con otra empresa. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo. 2) Procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad. 3) Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.
5
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012 4) Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 3. Factores de Riesgo Externos Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad.
VIII.
Clasificación de los riesgos operativos
Los Riesgos Operativos se clasifican de la siguiente manera: 1) Fraude Interno Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad. Dentro de esta clasificación tenemos las siguientes tipologías: a) Clientes Fallas causadas por negligencia o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. b) Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad, ocasionadas por desastres naturales o actos de vandalismo. c) Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas, causadas por problemas de software o hardware, deficiencias en la comunicación y también por intencionalidad humana. d) Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y gestión de los procesos. 2) Fraude Externo Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
6
JD-07/2012 Aprobación: 10/07/2012
SISTEMA INTEGRAL DE RIESGO
Vigencia: 20/07/2012
IX.
Divulgación del Sistema Integral de Riesgos
Los Funcionarios y Empleados deberán manifestar por escrito que han recibido y leído copia del presente documento del Sistema Integral de Riesgos, y que se comprometen a realizar sus labores dando cumplimiento a lo allí establecido. El Gerente General será el responsable del cumplimiento de esta disposición, antes de que estas enteren en vigencia.
X.
Aprobación y Vigencia
El presente documento de Sistema Integral de Riesgos entrará en vigencia 10 días después de la fecha de la sesión en que la Junta Directiva las aprueba.
Aprobado en sesión de Junta Directiva de CEDEVAL No. JD-07/2012, celebrada el 10 de julio de 2012, con vigencia a partir del 20 de julio de 2012
7