INFORME DE RIESGO OPERATIVO Código:
Página 1 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
Bogotá, 28 de enero de 2015 INFORME SEMESTRAL DE RIESGO OPERATIVO En cumplimiento de la norma legal establecida por las Superintendencia Financiera de Colombia en su circular externa 041 de 2007, se presenta el informe de gestión del Sistema de Administración de Riesgo Operativo SARO, correspondiente al periodo comprendido entre julio y diciembre de 2014. 1. RESULTADO MEDICIÓN RIESGOS POTENCIALES 1.1
Evolución Perfil de Riesgo Operativo:
Se efectuó la actualización del perfil de riesgo operativo de la entidad, de acuerdo a las actividades programadas, el proceso fue ejecutado mediante la generación de formularios con la información correspondiente a los riesgos y controles, los cuales fueron trabajados en conjunto con los líderes de proceso con el fin de realizar la recalificación de estos, para actualizar el perfil de riesgo de la entidad, en donde se evidencian fallas generadas por diferentes factores de riesgos como son los procesos, el Recurso Humano, la tecnología, la infraestructura y factores externos. Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas, esta clasificación y definición es suministrada por la Superintendencia financiera en la normativa aplicable al Sistema de Administración de Riesgo Operativo. En los términos de la normatividad expedida por la Superintendencia Financiera de Colombia todas las entidades deben construir un registro de eventos de riesgo operativo y mantenerlo actualizado. A si mismo este registro debe contener todos los eventos de riesgo operativo ocurridos, que generen pérdidas y afecten el estado de resultados, generen pérdidas y no afecten el estado de resultados o no generen pérdidas y por lo tanto no afecten el estado de resultados de la organización, esto con la finalidad de desarrollar un adecuado análisis de causalidad y definir acciones de mejora que permitan administrar los eventos materializados con el objetivo de evitar recurrencias o mitigar impactos en caso que vuelva a materializarse. Por lo anterior para este semestre se tuvo en cuenta la calificación del semestre anterior de los riesgos potenciales buscando determinar: 1.
La calificación asignada de acuerdo con la información reportada en la base de datos de eventos de pérdida en su probabilidad de ocurrencia y el impacto económico que estos eventos hayan tenido.
INFORME DE RIESGO OPERATIVO Código:
Página 2 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
2.
Detectar nuevos riesgos no identificados por el líder de procedimiento en las anteriores mediciones de ajuste al perfil de riesgo operativo.
Para efectuar este proceso se definieron los siguientes supuestos, para que estuviera ajustado con la metodología de medición de riesgo operativo aprobada y descrita en el Manual de Administración de Riesgo Operativo: Se envió formulario con los nuevos riesgos identificados a los líderes de proceso y se realizó un trabajo conjunto con la Gerencia de Riesgos de recalificación de estos. Si un riesgo potencial identificado, no presenta eventos asociados, la calificación se mantiene con la definida por el líder de procedimiento o experto asignado. La calibración de los riesgos en cuanto a su impacto financiero se determinó de acuerdo con la escala de medición de Impacto. La probabilidad del riesgo fue evaluada con la frecuencia de eventos registrados en el periodo establecido, alineado a la metodología del manual SARO en donde se establece un rango de evaluación de materialización de riesgo, anual, mensual, semanal o que nunca ha ocurrido. Como resultado de 48 procedimientos documentados en la matriz de riesgo operativo el 60% tiene asociado eventos materializados reportados por los funcionarios y el 40% restante correspondiente a 21 procedimientos que no cuenta con algún evento de pérdida histórico registrado. A continuación se relaciona los procedimientos con mayor número de eventos reportados al área de riesgos: PROCEDIMIENTO Pagos Compra y Venta de Inversiones Ingresos Facturación y Cartera Escrituración de Unidades Resultantes de Proyectos Inmobiliarios Alistamiento del Negocio Administración de Servidores
TOTAL % Particip 131 27% 62 13% 45 9% 36 7% 34 7% 17 3% 16 3%
Se evidencia por la tabla anterior que el 70% de la base histórica de eventos reportados corresponde a siete procedimientos de los 29 asociados a algún tipo de caso de riesgo operativo materializado en la entidad. 1.1.1 Riesgo Inherente Este riesgo es denominado inherente porque está unido de tal forma a las actividades de la Fiduciaria que no es posible separarlo de ellas, y debe ser visto bajo el supuesto de la inexistencia de controles para su mitigación.
INFORME DE RIESGO OPERATIVO Código:
Página 3 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
Es importante mencionar que el perfil de riesgo inherente, fue modificado en el proceso de re-calibración del perfil de riesgo de la entidad de acuerdo con la calificación de riesgos realizada en conjunto con los líderes de proceso y la inclusión de los nuevos riesgos identificados correspondientes a SARLAFT y a Fraude tanto interno como externo. Niveles de Severidad de Riesgo Inherente
PERFIL DE RIESGO INHERENTE EXTREMO 5% BAJO 27%
ALTO 28%
MODERADO 40%
Tabla de datos:
NIVEL INHERENTE EXTREMO ALTO MODERADO BAJO TOTAL
RIESGOS 11 58 85 57 211
Participación 5% 27% 40% 27% 100%
El mayor número de riesgos identificados se concentra en un nivel moderado con 85 riesgos identificados ocupando una participación porcentual del 40%, seguido del 27% por parte del nivel alto y bajo con un total de 58 y 57 riesgos identificados respectivamente.
INFORME DE RIESGO OPERATIVO Código:
Página 4 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
1.2 Riesgo Residual En esta etapa la Fiduciaria debe tomar medidas de control que tiendan a reducir los riesgos identificados y medidos, concentrándose en los riesgos que presenten un mayor impacto en caso que se llegaran a materializar. Dichos controles también deben ser evaluados teniendo en cuenta la manera en que reducen el riesgo en su aplicación. La parte o porción del riesgo que no alcanza a ser cubierta por los controles y en la medida en que dicho riesgo sea muy alto, la Fiduciaria debe tomar las medidas necesarias para su reducción, mejorando los controles que tiene dispuestos para mitigarlo. Los controles identificados que permiten mitigar el riesgo inherente se clasifican por su tipo o naturaleza, y se evalúan teniendo en cuenta los siguientes aspectos: Controles Preventivos: Son aquellos ejecutados con el fin de reducir la probabilidad de ocurrencia, es decir previniendo su materialización. Controles Detectivos: Son aquellos ejecutados al finalizar un procedimiento o actividad, para verificar si cumplió o no con los parámetros establecidos. Pueden reducir tanto el impacto como la probabilidad de ocurrencia, dentro de la metodología establecida por la Fiduciaria reducirán solamente la probabilidad de ocurrencia. Controles Correctivos: Son aquellos diseñados para mitigar el impacto de un evento, una vez que el mismo ha ocurrido. Orientado a reducir la pérdida una vez esta se ha materializado.1
1
MANUAL ADMINISTRACION DE RIESO OPERATIVO SARO/ FIDUCIARIA CENTRAL S.A.
INFORME DE RIESGO OPERATIVO Código:
Página 5 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
1.2.1 Niveles de Severidad de Riesgo Residual
PERFIL DE RIESGO RESIDUAL
BAJO 46%
ALTO 9%
MODERADO 45%
Tabla de datos
NIVEL RESIDUAL ALTO MODERADO BAJO TOTAL
RIESGOS 19 95 97 211
Participación 9% 45% 46% 100%
El perfil de riesgo residual se encuentra con una concentración en el nivel bajo con un 46% de participación, para un total de 97 riesgos, el nivel moderado con 45% de participación para un total de 95 riesgos, y el nivel alto con 9% de participación para un total de 19 riesgos.
INFORME DE RIESGO OPERATIVO Código:
Página 6 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
Nivel de Severidad Riesgo Residual por Riesgo Operativo (Top 10)
MAPA DE RIESGOS RESIDUALES
Muy Alta
0
0
0
0
0
Alta
0
0
0
0
0
Moderada
0
0
0
0
0
Baja
0
0
0
0
0
Muy Baja
0
0
0
6
4
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Tabla de datos Número Riesgo
Nombre del Riesgo
Impacto Probalidad Impacto Probabilidad Nivel Riesgo Inherente Inherente Residual Residual Inherente
Nivel Riesgo Residual
Procedimiento
11
Pérdida por dobles pagos realizados
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
Pagos
101
Perdidas por incumplimiento de la normatividad
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
Monitoreo SARLAFT
132
Pérdidas por error en el traslado de una suma de dinero de un cheque devuelto
Muy Alto
Moderada
Muy Alto
Muy Baja
Extremo
Alto
Ingresos
135
Pérdidas por la adición a un encargo que no corresponde o a un encargo de un negocio diferente
Muy Alto
Moderada
Muy Alto
Muy Baja
Extremo
Alto
Ingresos
136
Pérdida de tiempo por errores del sistema en el registro de operaciones (no figuran en algunos de los módulos correspondientes cuando se hace la adición)
Muy Alto
Moderada
Muy Alto
Muy Baja
Extremo
Alto
Ingresos
138
Pérdidas por dobles adiciones en los encargos fiduciarios.
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
Ingresos
139
Pérdidas por error en la determinación del monto a trasladar por descuento en la devolución de cheques o gastos bancarios.
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
Ingresos
150
Pérdida de clientes o demandas por error en la verificación de los ingresos reales requeridos para proceder con la autorización para el desembolso de los recursos
Muy Alto
Baja
Muy Alto
Muy Baja
Extremo
Alto
Liberación de recursos
198
Vinculación de Clientes involucrados en actividades ilícitas
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
Vinculaciones
199
Ingreso de Recursos de orígen ilícito
Alto
Moderada
Alto
Muy Baja
Extremo
Alto
ingresos
INFORME DE RIESGO OPERATIVO Código:
Página 7 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
En la tabla anterior se pueden observar los 10 riesgos con mayor calificación residual, los cuales se encuentran procedimientos en los procesos de Monitoreo SARLAFT, Ingresos, Pagos, Liberación de Recursos y Pagos, los cuales obtuvieron su calificación de acuerdo a la criticidad y afectación que pueden tener ante una materialización. Se puede observar como los riesgos poseen unos controles que disminuyen su probabilidad de ocurrencia ubicándolos en el nivel muy bajo de probabilidad, pero teniendo en cuenta que en el caso que llegasen a ocurrir el impacto sería alto o muy alto, estos riesgos quedan calificados como altos. Es de anotar que los controles aplicados son efectivos teniendo en cuenta que estos riesgos sin controles se encontraban calificados como extremos.
1.3 Comparativo Perfil de riesgo Semestre 2014
1.3.1
Primer Semestre 2014 vs Segundo
Comparativo Nivel de severidad de riesgo Inherente y Residual
Para este segundo semestre de 2014 como resultado de la calificación de los riesgos por parte de los líderes de proceso y la inclusión de nuevos riesgos, se realizó una revisión de los impactos presentados de acuerdo a la escala aprobada, de acuerdo a lo anterior y luego de realizar un ejercicio completo de revisión se mantiene el promedio a un nivel Moderado de los riesgos más significativos, esto se debe a que el 72 % de los controles ejecutados en la Fiduciaria son de tipo preventivo, el 23% de tipo detectivo y 6% de tipo correctivo, teniendo en cuenta lo anterior se puede deducir que la matriz de riesgos posee unos controles adecuados.
A continuación se muestra el mapa de riesgos del periodo 2014-I y 2014-II respectivamente.
INFORME DE RIESGO OPERATIVO Código:
Página 8 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
Mapa de Riesgo 2014-I
Inherente
Residual
INFORME DE RIESGO OPERATIVO Código:
Página 9 de 9
Correspondiente al periodo de: Julio – Diciembre 2014
Mapa de Riesgo 2014-II
Inherente
Residual