manual para la gestiÓn de riesgos del...

MANUAL PARA LA GESTIÓN DE RIESGOS DEL NEGOCIO

Aprobó:

Junta Directiva Acta 557

Revisó:

Comité de Auditoría Acta 132

Elaboró:

Luis Eduardo Moreno Rojas Gerente de Riesgo del Negocio

Código: VR-MA-MGIR-15

Fecha:

04/12/2014

Pág. de 1 de 97



Aprobó:


Revisó:


Elaboró:



Fecha:

04/12/2014

Pág. de 2 de 97

TABLA DE CONTENIDO

INTRODUCCIÓN ………………………………………………………………………………………….9

CAPITULO I .................................................................................................................................... 10

1. CONSIDERACIONES GENERALES PARA LA GESTIÓN DE RIESGOS DEL NEGOCIO 10

1.1. OBJETIVO GENERAL ....................................................................................................... 10

1.2. OBJETIVOS ESPECÍFICOS .............................................................................................. 10

1.3. ALCANCE DE LA GESTIÓN DE RIESGOS DEL NEGOCIO ........................................... 10

1.4. MARCO LEGAL APLICABLE............................................................................................ 11

1.5. PRINCIPIOS DE LA GESTIÓN DE RIESGOS DEL NEGOCIO ........................................ 11

1.5.1. Principio de estandarización ....................................................................................... 11

1.5.2. Principio de Independencia ......................................................................................... 11

1.5.3. Principio de Calidad ...................................................................................................... 11

1.5.4. Principio de información .............................................................................................. 11

1.5.5. Principio de gestión ...................................................................................................... 12

1.6. SISTEMAS DE GESTIÓN DE RIESGOS DEL NEGOCIO EN POSITIVA COMPAÑÍA DE

SEGUROS S.A. .............................................................................................................................. 12

1.7. ETAPAS DEL PROCESO DE GESTIÓN DE RIESGOS DEL NEGOCIO ......................... 12

1.7.1. Establecer el contexto .................................................................................................. 13

1.7.2. Identificación de riesgos .............................................................................................. 13

1.7.3. Análisis de riesgos........................................................................................................ 13

1.7.4. Evaluación de riesgos .................................................................................................. 13

1.7.5. Tratamiento de riesgos ................................................................................................. 13

1.7.6. Monitoreo y revisión ..................................................................................................... 14

1.7.7. Comunicación y Consulta ............................................................................................ 14

1.8. NIVEL DE RIESGO ACEPTABLE ..................................................................................... 14

1.9. ESTRUCTURA ORGANIZACIONAL- FUNCIONES Y RESPONSABILIDADES ............. 14

1.9.1. Junta Directiva ............................................................................................................... 14

1.9.2. Comité de Auditoria ...................................................................................................... 15

1.9.3. Presidente ...................................................................................................................... 15

1.9.4. Comité de Riesgos del Negocio .................................................................................. 16

1.9.4.1. Naturaleza del Comité ............................................................................................... 16

1.9.4.2. Alcance del Comité.................................................................................................... 16

1.9.4.3. Conformación del Comité ......................................................................................... 17

1.9.4.4. Presidente del Comité ............................................................................................... 17


CODIGO: VR-MA-MGIR-15 PAG. 3 de 97

1.9.4.5. Secretario del Comité ................................................................................................ 17

1.9.4.6. Sesiones del Comité.................................................................................................. 17

1.9.4.7. Quorum del Comité ................................................................................................... 18

1.9.4.8. Funciones del Comité ............................................................................................... 18

1.9.5. Vicepresidencia de Riesgos ......................................................................................... 19

1.9.6. Gerencia de Riesgos del Negocio ............................................................................... 19

1.9.7. Gestores De Riesgos .................................................................................................... 20

1.9.8. Todos Los Funcionarios de Positiva Compañía De Seguros ................................... 20

1.9.9. Órganos De Control ...................................................................................................... 21

1.9.9.1. Revisoría Fiscal ......................................................................................................... 21

1.9.9.2. Oficina De Control Interno ........................................................................................ 21

1.10. DIVULGACIÓN DE INFORMACIÓN .............................................................................. 22

1.11. CAPACITACIÓN ............................................................................................................. 22

1.11.1. Alcance del programa de capacitación: .................................................................. 22

1.11.2. Objetivos del programa de capacitación: ............................................................... 22

1.11.3. Herramientas .............................................................................................................. 22

1.11.4. Control y Evaluación ................................................................................................. 23

1.12. PREVENCIÓN Y RESOLUCIÓN DE CONFLICTOS DE INTERES ............................... 23

1.13. PROCEDIMIENTOS ........................................................................................................ 23

1.14. DOCUMENTACIÓN ........................................................................................................ 23

1.15. PLATAFORMA TECNOLÓGICA ................................................................................... 24

CAPITULO II ................................................................................................................................... 25

2 SISTEMA ESPECIAL DE ADMINISTRACION DE RIESGOS EN SEGUROS SEARS........ 25

2.1 DEFINICIONES .................................................................................................................. 25

2.2 CLASES DE RIESGOS ...................................................................................................... 25

2.2.1 Riesgo Suscripción ....................................................................................................... 25

2.2.1.1 Etapas de la administración del Riesgo de Suscripción ....................................... 26

a. Identificación y Medición Riesgo de Concentración ........................................................ 26

b. Control del Riesgo de Concentración ................................................................................ 26

2.2.1.2.1 Identificación y Medición de Riesgo de Tarifación ............................................ 26

2.2.1.2.2 Control del Riesgo de Tarifación .......................................................................... 26

2.2.1.3.1 Identificación y Medición del Riesgo de Diferencias en Condiciones ............. 27

2.2.1.3.2 Control del Riesgo de Diferencias en Condiciones ............................................... 27

2.2.2 Riesgo De Insuficiencia De Reservas ......................................................................... 28

2.2.3 Riesgo Legal En Seguros ............................................................................................. 28



2.2.4 Riesgo Estratégico En Seguros ................................................................................... 28

2.2.5 Riesgo Reputacional En Seguros ................................................................................ 28

2.3 ESTRATEGIAS DE CUBRIMIENTO DE RIESGOS SEARS ............................................. 28

2.3.1 Riesgo Suscripción ....................................................................................................... 28

2.3.2 Riesgo Legal .................................................................................................................. 29

3. SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO .................................. 30

3.1 DEFINICIONES ............................................................................................................... 30

3.1.1. Riesgo ......................................................................................................................... 30

3.1.2. Causas del riesgo operativo ..................................................................................... 30

3.1.3. Consecuencia del riesgo .......................................................................................... 31

3.1.4. Control ........................................................................................................................ 31

3.1.5. Nivel de Riesgo .......................................................................................................... 31

3.1.6. Plan de tratamiento ................................................................................................... 31

3.1.7. Evento de Riesgo ....................................................................................................... 32

3.1.8. Frecuencia o probabilidad de ocurrencia ............................................................... 32

3.1.9. Impacto ....................................................................................................................... 32

3.1.10. Sistema de Administración de Riesgo Operativo (SARO) ................................. 32

3.2 POLÍTICA PARTICULAR DEL SARO ........................................................................... 32

3.2.1. Estandarización ......................................................................................................... 32

3.2.2. Gestión de Calidad .................................................................................................... 33

3.2.3. Gobernabilidad de los mapas de riesgos operativos ............................................ 33

3.2.4. Continuidad del Negocio .......................................................................................... 33

3.3 ETAPAS DE LA GESTIÓN DE RIESGO OPERATIVO ................................................. 33

3.3.1. Establecimiento del contexto estratégico .............................................................. 33

3.3.2. Identificación del riesgo ........................................................................................... 34

3.3.2.1. Entendimiento de Proceso .................................................................................... 34

3.3.2.2. Levantamiento de riesgos operativos ................................................................. 34

3.3.2.3. Clasificación del riesgo operativo ........................................................................ 35

3.3.2.4. Identificación de causas del riesgo ..................................................................... 35

3.3.3. Análisis de riesgo ...................................................................................................... 36

3.3.3.1. Calificación de riesgos .......................................................................................... 36

3.3.3.1.1. Criterios para la calificación de la probabilidad de ocurrencia ..................... 36

3.3.3.1.2. Criterios para la calificación del impacto de materialización ........................ 37

3.3.3.2. Estimación del nivel de riesgo inherente ............................................................ 40

3.3.3.3. Identificación de controles ................................................................................... 40



3.3.3.4. Calificación de la eficiencia de los controles ..................................................... 40

3.3.3.5. Estimación del Nivel de riesgo residual .............................................................. 41

3.3.3.6. Matriz de riesgos .................................................................................................... 42

3.3.4. Evaluación de riesgos ............................................................................................... 42

3.3.5. Tratamiento de riesgos ............................................................................................. 42

3.3.6. Monitoreo y revisión.................................................................................................. 43

3.3.7. Comunicación y consulta ......................................................................................... 44

3.4 REGISTRO DE EVENTOS DE RIESGO (RER) ............................................................. 44

4. SISTEMA DE ADMINISTRACION DEL RIESGO DE LAVADO DE ACTIVOS Y

FINANCIACIÓN DEL TERRORISMO SARLAFT .......................................................................... 46

4.1. MARCO CONCEPTUAL .................................................................................................... 46

4.1.1. Riesgo de Lavado de Activos y Financiación del Terrorismo. ................................. 46

4.1.2. Lavado de activos (LA). ................................................................................................ 46

4.1.3. Financiación del Terrorismo (FT). ............................................................................... 47

4.1.4. Cliente. ........................................................................................................................... 47

4.1.5. Factores de riesgo. ....................................................................................................... 47

4.1.6. Producto. ........................................................................................................................ 47

4.1.7. Riesgos asociados al LA/FT. ....................................................................................... 47

4.1.8. Riesgo reputacional. ..................................................................................................... 47

4.1.9. Riesgo legal. .................................................................................................................. 47

4.1.10. Riesgo operativo. ....................................................................................................... 48

4.1.11. Riesgo de contagio.................................................................................................... 48

4.1.12. Riesgo inherente. ....................................................................................................... 48

4.1.13. Riesgo residual o controlado. .................................................................................. 48

4.1.14. Segmentación. ........................................................................................................... 48

4.1.15. Usuarios. .................................................................................................................... 48

4.1.16. Personas Públicamente Expuestas (PEP´s) ........................................................... 48

4.2. OBJETIVO DEL PRESENTE CAPÍTULO .......................................................................... 48

4.3. OBJETIVOS DEL SARLAFT ............................................................................................. 48

4.4. POLÍTICA PARTICULAR DEL SARLAFT ......................................................................... 49

4.4.1. Estandarización ............................................................................................................. 49

4.4.2. Gobernabilidad del mapa de riesgos de LA/FT .......................................................... 49

4.4.3. Capacitación .................................................................................................................. 49

4.4.4. Lanzamiento de nuevos productos ............................................................................. 50

4.4.5. Conocimiento de Clientes ............................................................................................ 50



4.4.6. Calidad ........................................................................................................................... 50

4.4.7. Reporte de Información ................................................................................................ 50

4.4.8. Exoneración ................................................................................................................... 50

4.5. ESTRUCTURA ORGANIZACIONAL ................................................................................. 51

4.5.1. Junta Directiva ............................................................................................................... 51

4.5.2. Presidente ...................................................................................................................... 51

4.5.3. Oficial de Cumplimiento ............................................................................................... 51

4.6. ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO DE LAVADO DE ACTIVOS

Y FINANCIACIÓN DEL TERRORISMO......................................................................................... 52

4.6.1. Identificación ................................................................................................................. 52

4.6.1.1. Segmentación de los Factores de Riesgo. ............................................................. 52

4.6.1.1.1. Segmentación por Producto ................................................................................. 52

4.6.1.1.2. Segmentación por cliente ..................................................................................... 55

4.6.1.1.3. Segmentación por Jurisdicción ........................................................................... 58

4.6.1.1.4. Segmentación por Canal de Distribución ........................................................... 61

4.6.2. Medición ......................................................................................................................... 62

4.6.3. Control ............................................................................................................................ 62

4.6.4. Monitoreo ....................................................................................................................... 62

4.7. MECANISMOS ESPECIALES DEL SARLAFT ................................................................. 63

4.7.1. Conocimiento del Cliente ............................................................................................. 63

4.7.1.1. Diligenciamiento del formulario ............................................................................... 63

4.7.1.2. Realización de entrevistas ........................................................................................ 63

4.7.1.3. Verificación de información ..................................................................................... 64

4.7.1.4. Actualización de Información ................................................................................... 64

4.7.2. Personas Públicamente Expuestas (PEP´s) ............................................................... 65

4.7.3. Identificación y análisis de operaciones inusuales ................................................... 65

4.7.4. Determinación y reporte de operaciones sospechosas ........................................... 66

4.8. INSTRUMENTOS ESPECIALES DEL SARLAFT ............................................................. 66

4.8.1. Señales De Alerta .......................................................................................................... 66

4.8.1.1. Señales de Alerta Cualitativas: ................................................................................ 66

4.8.1.2. Señales de Alerta Cuantitativas: .............................................................................. 68

4.8.2. Seguimiento de Operaciones ....................................................................................... 69

4.8.3. Consolidación de operaciones .................................................................................... 69

4.9. REPORTES DE SARLAFT ................................................................................................ 69

4.9.1. Reportes Internos .......................................................................................................... 69



4.9.2. Reportes Externos ........................................................................................................ 69

4.10. PRÁCTICA INSEGURA .................................................................................................. 70

Anexo I ........................................................................................................................................... 90

CAPITULO V .................................................................................................................................. 71

5 SISTEMA DE ADMINISTRACIÓN DEL RIESGO CREDITICIO (SARC) .............................. 71

5.1 MARCO CONCEPTUAL Y NORMATIVO .......................................................................... 71

5.1.1 Definición riesgo de crédito (RC) ................................................................................ 71

5.1.2 Sistema de Administración del Riesgo Crediticio - SARC........................................ 71

5.2 ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO CREDITICIO ............... 71

5.3 POLÍTICAS PARTICULARES AL SARC .......................................................................... 71

5.4 ESTRUCTURA ORGANIZACIONAL PARTICULAR AL SARC ....................................... 72

5.5 ETAPAS DE LA ADMINISTRACION DE RIESGO CREDITICIO ...................................... 72

5.5.1 Otorgamiento de crédito .............................................................................................. 73

5.5.2 Seguimiento y control del riesgo de crédito .............................................................. 73

5.5.2.1 Límites de exposición crediticia para créditos educativos .................................. 73

5.5.2.2 Garantías para créditos educativos......................................................................... 74

5.5.3 Recaudo y recuperación de los créditos .................................................................... 74

5.5.3.1 Recaudo de la cartera ............................................................................................... 74

5.5.3.2 Condonación de créditos educativos ...................................................................... 74

5.6 MONITOREO DE LA GESTIÓN DE RIESGO DE CRÉDITO. ........................................... 75

CAPITULO VI ................................................................................................................................. 76

6 ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCION ........................................... 76

6.1 JUSTIFICACIÓN ................................................................................................................ 76

6.2 OBJETIVOS DEL ESQUEMA ............................................................................................ 76

6.3 DEFINICIONES .................................................................................................................. 76

6.4 ALCANCE DEL ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCIÓN ............. 77

6.5 PRINCIPIOS DEL ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCIÓN ......... 78

6.5.1 Cero tolerancia al fraude .............................................................................................. 78

6.5.2 Presunción de Buena Fe .............................................................................................. 78

6.5.3 Ausencia de Represalias .............................................................................................. 78

6.5.4 Confidencialidad. .......................................................................................................... 78

6.5.5 Canales de comunicación. ........................................................................................... 78

6.5.6 Cumplimiento de la Ley. ............................................................................................... 78

6.5.7 Régimen Sancionatorio. ............................................................................................... 79

6.5.8 Capacitación permanente ............................................................................................ 79



6.6 ESTRUCTURA ORGANIZACIONAL PARA EL ESQUEMA DE PREVENCIÓN DE

FRAUDE Y CORRUPCIÓN ............................................................................................................ 79

6.6.1 Junta Directiva ............................................................................................................... 79

6.6.2 Presidente y/o Representante Legal ........................................................................... 79

6.6.3 Comité de Ética ............................................................................................................. 80

6.6.3.1 Naturaleza ................................................................................................................... 80

6.6.3.2 Conformación ............................................................................................................ 80

6.6.3.2.1 Presidente ............................................................................................................... 81

6.6.3.2.2 Secretario del Comité ............................................................................................ 81

6.6.3.3 Sesiones ..................................................................................................................... 81

6.6.3.4 Quorum ....................................................................................................................... 82

6.6.3.5 Funciones ................................................................................................................... 82

6.6.4 Oficial de Ética ............................................................................................................... 82

6.6.5 Gerencia de Riesgos del Negocio ............................................................................... 83

6.6.6 Todos los empleados de Positiva ............................................................................... 83

6.7 FACTORES DE RIESGO DE FRAUDE Y CORRUPCIÓN ................................................ 83

6.7.1 La Oportunidad .............................................................................................................. 84

6.7.2 La Necesidad ................................................................................................................. 84

6.7.3 La Justificación ............................................................................................................. 84

6.8 CLASIFICACIÓN DEL FRAUDE ....................................................................................... 85

6.9 ACCIONES QUE PODRÍAN CONSTITUIRSE EN FRAUDE ............................................ 85

6.10 ACTIVIDADES DE PREVENCIÓN DEL FRAUDE Y LA CORRUPCIÓN ...................... 86

6.10.1 Identificación del Riesgo .............................................................................................. 86

6.10.2 Análisis del Riesgo ....................................................................................................... 86

6.10.3 Evaluación del Riesgo .................................................................................................. 87

6.10.4 Tratamiento del Riesgo ................................................................................................ 87

6.10.5 Monitoreo de materialización de riesgos y efectividad de controles ...................... 87

6.11 PROCESO DE MONITOREO Y REVISIÓN DE DENUNCIAS DE FRAUDE Y

CORRUPCIÓN ............................................................................................................................... 87

6.11.1 Captura ........................................................................................................................... 88

6.11.2 Filtro................................................................................................................................ 88

6.11.3 Planeación ..................................................................................................................... 88

6.11.4 Investigación ................................................................................................................. 89

6.11.5 Resolución ..................................................................................................................... 89



INTRODUCCIÓN Positiva Compañía de Seguros es una entidad aseguradora, organizada como sociedad anónima que, como consecuencia de la participación mayoritaria del estado colombiano en su capital, a través del Ministerio de Hacienda y Crédito Público, tiene el carácter de entidad descentralizada indirecta del nivel nacional, con personería jurídica, autonomía administrativa y capital independiente. Está vigilada por la Superintendencia Financiera de Colombia La conciencia que hay de los numerosos aspectos que comprometen la competitividad y la rentabilidad de las entidades es cada vez mayor, situaciones como escándalos financieros, volatilidad en los mercados financieros, deficiencias en el servicio a los clientes, inseguridad ante las nuevas tecnologías, catástrofes naturales, terrorismo, cambios normativos, son aspectos que se convierten en riesgos potenciales y amenazan la estabilidad de las entidades. Es por esto, que se estructura el proceso de administración de riesgos para identificar y evaluar los mismos que afectan las compañías, a fin de determinar planes, acciones y tratamientos que permitan minimizar y controlar el impacto de dichas circunstancias en las empresas. Las recomendaciones planteadas por el comité de supervisión Bancaria de Basilea en el documento conocido como ”Acuerdo de Basilea” y su adaptación para el sector asegurador a través del proyecto “Solvencia II”, buscan establecer un esquema sólido, fundamentado en los pilares de estadística y medición, el de supervisión y el de transparencia de mercado para contribuir a establecer políticas, criterios y parámetros para la gestión de sus diferentes tipos de Riesgo, en aras de aportar a la eficiencia de los procesos, como naturaleza del negocio y como herramienta de gestión, para el cumplimiento de los objetivos planteados.



CAPITULO I

1. CONSIDERACIONES GENERALES PARA LA GESTIÓN DE RIESGOS DEL NEGOCIO

1.1. OBJETIVO GENERAL

La Gestión de Riesgos del Negocio en Positiva Compañía de Seguros S.A. tiene como objetivo que la Entidad cuente con un proceso sistemático, ejecutado por todos los niveles de la Compañía (a partir de la Junta Directiva y de forma descendente) que permita identificar eventos potenciales que puedan afectarla y gestionar sus riesgos dentro de niveles permitidos y aceptables.

1.2. OBJETIVOS ESPECÍFICOS

Teniendo como marco general el objetivo mencionado, se puede afirmar que la Gestión de Riesgos del Negocio en Positiva Compañía de Seguros S.A. tiene los siguientes objetivos específicos:

Alinear el nivel de riesgo aceptado con la estrategia de negocio.

Reducir los eventos sorpresivos y las pérdidas operativas.

Mejorar la respuesta de la Compañía ante la materialización de riesgos.

Fomentar la Cultura de Gestión de riesgos.

Cumplir con los requerimientos normativos de la Superintendencia Financiera de Colombia y demás órganos de control.

Generar información útil para la toma de decisiones basada en riesgos.

Brindar a los funcionarios, así como a los terceros contratados; el conocimiento y las herramientas para gestionar los riesgos, facilitando el mejoramiento continuo de los procesos.

Soportar el desarrollo y operación de nuevos productos y/o servicios.

Mejorar continuamente los procesos y los sistemas de control para minimizar los riesgos.

1.3. ALCANCE DE LA GESTIÓN DE RIESGOS DEL NEGOCIO

La Gestión de riesgos tiene un alcance Institucional, abarca todos los procesos de la Compañía y es una obligación de todos los funcionarios. En Positiva se ha adoptado una estructura organizacional para la gestión de riesgos; en este sentido, la Vicepresidencia de Riesgos está conformada por: La Gerencia de Riesgos de Inversión y la Gerencia de Riesgos del Negocio. La Gerencia de Riesgos de Inversión se ocupa del análisis y evaluación del riesgo asociado a la administración del portafolio de Inversiones de la Compañía. La Gerencia de Riesgos del Negocio tiene bajo su responsabilidad dirigir la gestión y evaluación de los riesgos del negocio, incluyendo: Riesgo Operacional Riesgo de Lavado de Activos y Financiación del Terrorismo Riesgo de crédito Riesgos especiales del negocio asegurador.



1.4. MARCO LEGAL APLICABLE

Las actividades que deben desarrollarse para cumplir con las disposiciones de ley relacionadas a los riesgos del negocio, se encuentran reglamentadas en los siguientes documentos:

a. Constitución Política de Colombia. Art. 209 y 269, referentes a los Sistemas de Control Interno de las Entidades Públicas.

b. Ley 872 de 2003, referente a la creación del Sistema de Gestión de la Calidad. c. Decreto 1537 de 2001, referente a la reglamentación de algunos elementos técnicos y

administrativos que fortalecen el sistema de control interno de las entidades y organismos del Estado.

d. Decreto 1599 de 2005, referente a la adopción del MECI por parte de las entidades públicas.

e. Decreto 943 de 2014, referente a la actualización del MECI. f. Artículo 73 de la Ley 1474 de 2011, referente al mapa de riesgos de corrupción de las

entidades públicas. g. Capítulo V del Título VI y Capítulo XI del Título I de la Circular Básica Jurídica (C.E.

007 de 1996), referentes al SEARS y SARLAFT, respectivamente. h. Capítulos II y XXIII de la Circular Básica Contable y Financiera (C.E. 100 de 1995),

referentes al SARC y SARO, respectivamente i. Numeral 7, Capítulo IX del Título I de la Circular Básica Jurídica (C.E. 007 de 1996),

referente al Sistema de Control Interno.

1.5. PRINCIPIOS DE LA GESTIÓN DE RIESGOS DEL NEGOCIO

La Gestión de Riesgos del Negocio en Positiva está sustentada en los siguientes principios:

1.5.1. Principio de estandarización

La gestión de riesgos cumple con los lineamientos generales y particulares dados por la Superintendencia Financiera de Colombia y busca alinearse con las mejores prácticas y estándares nacionales e internacionales.

1.5.2. Principio de Independencia

Tanto la Vicepresidencia de Riesgos como la Gerencia de Riesgos del Negocio, y sus funcionarios son independientes, tanto a nivel funcional como organizacional, de las áreas encargadas de las funciones comerciales, de operaciones, financieras, administrativas y de las técnicas en seguros.

1.5.3. Principio de Calidad

Positiva Compañía de Seguros S.A. está organizada por procesos. Por lo anterior, todas las funciones y actividades realizadas por sus funcionarios son ejecutadas con estricta sujeción a los documentos que soportan las políticas, procesos y procedimientos previamente definidos y divulgados.

Bajo este principio, se contará con la participación de los gestores, dueños o responsables de los procesos para desarrollar la gestión de riesgos en toda la Compañía.

1.5.4. Principio de información

El proceso de gestión de riesgos garantiza que los resultados de la calificación y/o medición de riesgos del negocio de la entidad serán conocidos por los grupos de interés de la Compañía.



1.5.5. Principio de gestión

La gestión de riesgos se basa en la auto-gestión, lo que significa que cada funcionario tiene un rol dentro de los procesos que se ejecutan, siendo responsable directo de la adecuada gestión de los riesgos que asume en su labor diaria.

1.6. SISTEMAS DE GESTIÓN DE RIESGOS DEL NEGOCIO EN POSITIVA COMPAÑÍA DE

SEGUROS S.A.

Con base en el alcance mencionado, la gestión riesgos del negocio en la Compañía se compone de los siguientes sistemas:

Sistema de Administración de Riesgo Operativo (SARO)

Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo

(SARLAFT)

Sistema de Administración de Riesgo de Crédito (SARC)

Sistema Especial de Administración de Riesgos de Seguros (SEARS)

Cada uno de los Sistemas mencionados contemplan el conjunto de políticas, procedimientos, documentación, estructura organizacional, órganos de control, infraestructura tecnológica, herramientas de divulgación de información y herramientas de capacitación, mediante los cuales se cumple con cada una de las etapas del proceso de gestión de riesgos.

En Positiva Compañía de Seguros S.A., de los anteriores elementos que componen un sistema; la estructura organizacional, los órganos de control, la infraestructura tecnológica, las herramientas de divulgación de información y las herramientas de capacitación son comunes a los cuatro subsistemas mencionados. Por lo anterior, de acuerdo al riesgo, se cuenta con políticas, procedimientos de medición y seguimiento y documentos específicos por tipo de riesgo.

1.7. ETAPAS DEL PROCESO DE GESTIÓN DE RIESGOS DEL NEGOCIO

La gestión de riesgos del negocio se desarrolla considerando 7 etapas tal como se muestra a continuación:



1.7.1. Establecer el contexto

Esta etapa tiene como objetivo alinear la gestión de riesgos del negocio con la estrategia corporativa (misión, visión, objetivos estratégicos, estrategias y líneas de negocio).

1.7.2. Identificación de riesgos

El propósito de esta fase es generar una lista exhaustiva de riesgos a través de las respuestas a cuatro preguntas: ¿QUE?, ¿COMO?, ¿PORQUE? Y ¿DONDE? se originan o se pueden originar eventos de riesgo que afecten negativamente el cumplimiento de los objetivos de la Compañía, de un proceso, de un área, un producto, un nuevo producto, un contrato o un proyecto.

1.7.3. Análisis de riesgos

En esta etapa se establece la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, así como los controles existentes y su calificación en términos de su eficiencia como mitigadores del riesgo. La calificación del impacto y de la probabilidad de ocurrencia se combinan para producir un nivel de riesgo estimado.

1.7.4. Evaluación de riesgos

Esta etapa comprende la comparación del nivel de riesgo estimado con el nivel de riesgo aceptado, con el fin de priorizar y asignar recursos de manera eficiente para la gestión de riesgos.

1.7.5. Tratamiento de riesgos

Esta etapa tiene como fin identificar, registrar, evaluar y elegir el conjunto de actividades a ejecutarse para mitigar el riesgo y ajustar de esta manera el nivel de riesgo al máximo aceptable.



1.7.6. Monitoreo y revisión

El objetivo de esta etapa es asegurar la retroalimentación requerida para garantizar la mejora continua del proceso de gestión de riesgos, considerando que los riesgos no son estáticos, por lo que éstos y la efectividad de sus controles necesitan ser monitoreados continuamente.

1.7.7. Comunicación y Consulta

El objetivo de esta etapa es proveer y compartir información, así como comprometer a los grupos de interés de la Compañía en relación con la administración de riesgos.

1.8. NIVEL DE RIESGO ACEPTABLE

El nivel de riesgo aceptable por Positiva Compañía de Seguros S.A. está definido como aquel nivel de riesgo que puede seguir siendo administrado por cada líder de proceso. Así, los riesgos que después del control se ubiquen en los niveles bajo y/o moderado, harán parte del nivel de riesgo aceptable. Para los riesgos que después del control se ubiquen en los niveles distintos a los mencionados deberán implementarse planes de tratamiento dirigidos a reducir su nivel de riesgo.

1.9. ESTRUCTURA ORGANIZACIONAL- FUNCIONES Y RESPONSABILIDADES

Con el fin de garantizar la independencia y un adecuado esquema de Gobierno Corporativo, la Gestión de riesgos del negocio en Positiva Compañía de Seguros S.A. cuenta con la siguiente estructura organizacional:

1.9.1. Junta Directiva

La Junta Directiva sin perjuicio de las funciones asignadas en otras disposiciones, debe asegurar la existencia de los recursos e infraestructura necesaria para garantizar la eficaz administración y gestión del riesgo, acorde a la naturaleza, complejidad y volumen de los negocios, operaciones y actividades. En referencia a la gestión del riesgo sus funciones son:

a. Conocer y comprender los riesgos que asume la entidad. b. Definir y aprobar las políticas relativas a la Gestión del Riesgo del Negocio de la entidad. c. Aprobar los manuales, procedimientos, metodologías y disposiciones en materia de

Gestión de Riesgo y sus actualizaciones. d. Emitir un concepto frente al perfil de riesgo consolidado de la Compañía y por clase de

riesgo. e. Establecer el nivel de riesgo aceptable. f. Establecer las medidas relativas al perfil de riesgo v/s el nivel de riesgo aceptable. g. Emitir un concepto frente a las evaluaciones e informes que presente el Representante

Legal y los órganos de control relacionados con la Gestión de Riesgos del Negocio. h. Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos

que se le presenten en materia de Gestión del Riesgos del Negocio. i. Aprobar los recursos técnicos y humanos y el presupuesto necesarios para implementar y

mantener en funcionamiento los Sistemas de Gestión de Riesgos. j. Adoptar el código de ética en relación con el SARLAFT k. Designar al Oficial de Cumplimiento y su respectivo suplente. l. Aprobar el procedimiento para la vinculación de los clientes que pueden exponer en mayor

grado a la entidad al riesgo de LA/FT, así como las instancias responsables, atendiendo que las mismas deben involucrar funcionarios de la alta gerencia.

m. Analizar y pronunciarse acerca de los informes que presente el Oficial de Cumplimiento respecto de las labores realizadas para evitar que la entidad sea utilizada como



instrumento para la realización de actividades delictivas, evaluar la efectividad de los controles implementados y de las recomendaciones formuladas para su mejoramiento. Del pronunciamiento respectivo, debe dejar constancia en la respectiva acta.

n. Pronunciarse sobre los informes presentados por la Revisoría Fiscal y la Oficina de Control Interno o quien ejecute funciones similares o haga sus veces acerca del funcionamiento de los Sistemas de Administración de Riesgos, y hacer seguimiento a las observaciones o recomendaciones adoptadas, dejando la expresa constancia en la respectiva acta.

o. Aprobar los criterios objetivos y establecer los procedimientos y las instancias responsables de la determinación y reporte de las operaciones sospechosas.

p. Establecer y hacer seguimiento a las metodologías para la realización de entrevistas no presenciales y/o la realización de entrevistas por personal que no tenga la condición de empleado de la entidad.

q. Designar la instancia responsable del diseño de las metodologías, modelos, indicadores cualitativos y /o cuantitativos de reconocido valor técnico para la oportuna detección de las operaciones inusuales.

r. Analizar el proceso de gestión de riesgo existente y adoptar las medidas necesarias para fortalecerlo en aquellos aspectos que así lo requieran.

s. Efectuar seguimiento en sus reuniones ordinarias a través de informes periódicos que le presente el Comité de Auditoria, sobre la gestión de riesgos en la entidad y las medidas adoptadas para el control o mitigación de los riesgos más relevantes, por lo menos cada seis meses, o con una frecuencia mayor si así resulta procedente.

1.9.2. Comité de Auditoria

El Comité de Auditoría, en materia de Gestión de Riesgo, tendrá como mínimo las siguientes funciones, sin perjuicio de lo dispuesto en la normatividad aplicable al mismo:

a. Proponer a la Junta directiva programas y controles para prevenir, detectar y responder adecuadamente a los riesgos de fraude y mala conducta.

b. Efectuar seguimiento sobre los niveles de exposición de riesgo, sus implicaciones para la Compañía y las medidas adoptadas para su control o mitigación, por lo menos cada seis (6) meses, o con una frecuencia mayor si así resulta procedente, y presentar a la Junta Directiva un informe sobre los aspectos más importantes de la gestión realizada.

c. Analizar informes que presente el Oficial de Cumplimiento.

1.9.3. Presidente

El Presidente de Positiva Compañía de Seguros, sin perjuicio de las funciones asignadas en otras disposiciones, es responsable de:

a. Presentar y someter a aprobación de la Junta Directiva el Manual para la Gestión de riesgos del negocio, así como sus actualizaciones.

b. Desarrollar y velar por que se implementen las estrategias, con el fin de fortalecer el cambio cultural de la gestión del riesgo al interior de la Compañía.

c. Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y eficiente los Sistemas de Gestión de Riesgos del Negocio.

d. Velar por el cumplimiento efectivo de las políticas aprobadas por la Junta Directiva frente a la implementación de los sistemas de administración de los riesgos del negocio.

e. Adelantar un seguimiento permanente de las etapas y elementos que constituyen los Sistemas de Gestión de Riesgos del Negocio.

f. Designar el área o cargo que actuará como responsable de la implementación y seguimiento de los Sistemas de Gestión de Riesgos del Negocio.



g. Adoptar las medidas adecuadas, relativas al perfil de riesgo de la entidad, como resultado de la medición al mismo y de su seguimiento.

h. Velar por la correcta aplicación de los controles de riesgo inherente. i. Recibir los informes presentados por la Vicepresidencia de Riesgos o La Gerencia de

Riesgos del Negocio, así como pronunciarse en relación con los mismos. j. Velar porque las etapas y elementos de los Sistemas de Gestión de Riesgos del Negocio

cumplan con las disposiciones legales pertinentes. k. Velar porque se implementen los procedimientos para la adecuada administración del

riesgo a que se vea expuesta la entidad en desarrollo de su actividad. l. Aprobar los planes de contingencia y de continuidad del Negocio y disponer de los

recursos necesarios para su oportuna ejecución. m. Adelantar un seguimiento permanente del cumplimiento de las funciones del área o unidad

de gestión de riesgo y de sus funcionarios y mantener informada a la junta directiva. n. Realizar monitoreo y revisión de las funciones del auditor interno y del contralor normativo. o. Hacer seguimiento y pronunciarse respecto de los informes que presente el revisor fiscal. p. Establecer un procedimiento para alimentar el Registro de Eventos de Riesgo Operativo y

velar porque el registro de eventos del riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

q. Prestar efectivo, eficiente y oportuno apoyo al Oficial de Cumplimiento. r. Garantizar que los registros utilizados en el SARLAFT cumplan con los criterios de

integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí contenida.

s. Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos relevantes de los sistemas de Gestión de Riesgos del Negocio, incluyendo acciones preventivas y correctivas implementadas o por implementar y el área responsable.

v. Garantizar que las bases de datos y la plataforma tecnológica cumplan los criterios y requisitos establecidos en la Norma.

w. Reportar los casos de fraude al Comité de Auditoria.

1.9.4. Comité de Riesgos del Negocio

Teniendo en cuenta que la gestión de riesgos del negocio requieren una atención especial por parte de la Alta Dirección de la Compañía se crea el Comité de Riesgos del Negocio, el cual funcionará con base en los siguientes parámetros:

1.9.4.1. Naturaleza del Comité

El Comité de Riesgos del Negocio de Positiva Compañía de Seguros S.A. tendrá como función asesorar al Presidente en la formulación de políticas y la gestión de los riesgos del negocio que debe administrar la empresa.

1.9.4.2. Alcance del Comité

El Comité de Riesgos del Negocio de Positiva Compañía de Seguros S.A. tendrá como alcance los siguientes sistemas de administración de riesgos:

Sistema de Administración de Riesgo Operativo

Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo

Sistema de Especial de Administración de Riesgos en Seguros

Sistema de Administración de Riesgo de Crédito



1.9.4.3. Conformación del Comité

El Comité de Riesgos del Negocio de Positiva Compañía de Seguros S.A. estará integrado por los funcionarios que ocupen los siguientes cargos, quienes concurrirán con voz y voto y serán miembros permanentes:

Presidencia de Positiva Compañía de Seguros S.A

Secretaría General

Vicepresidencia de Riesgos

Vicepresidencia de Inversiones

Vicepresidencia Financiera y Administrativa

Vicepresidencia Técnica

Vicepresidencia Comercial

Vicepresidencia de Promoción y Prevención

Vicepresidencia de Operaciones

Vicepresidencia de Tecnología

Jefe de la Oficina de Planeación El Jefe de la Oficina de Control Interno y el Gerente de Riesgos del Negocio serán invitados permanentes al Comité con voz pero sin voto. Adicionalmente podrá asistir como invitado cualquier funcionario de la Compañía, quien participará con voz pero sin voto.

1.9.4.4. Presidente del Comité

Actuará en calidad de Presidente del Comité, la Presidencia de Positiva Compañía de Seguros S.A.

1.9.4.5. Secretario del Comité

El Secretario del Comité será el Gerente de Riesgos del Negocio, quien tendrá como función principal organizar, asistir y velar por el cumplimiento de las decisiones adoptadas por el Comité, conforme a las siguientes funciones específicas:

Convocar y citar a los miembros e invitados.

Elaborar el orden del día para cada sesión.

Elaborar las actas de cada sesión

Verificar el cumplimiento de las decisiones adoptadas por el Comité.

Las demás que les sean asignadas por el Comité.

1.9.4.6. Sesiones del Comité

El Comité de Riesgos del Negocio de Positiva Compañía de Seguros S.A. sesionará de manera ordinaria una vez cada tres (3) meses, en los siguientes meses enero, abril, julio y octubre. Adicionalmente, el Comité podrá sesionar de manera extraordinaria en el lugar, día y hora que informe el Presidente de la Compañía o la Vicepresidencia de Riesgos, cuando a juicio de dichas instancias, las circunstancias así lo ameriten.



1.9.4.7. Quorum del Comité

Para deliberar sobre cualquier asunto, se requiere la asistencia de siete de sus miembros permanentes. Para decidir sobre cualquier asunto se requiere mayoría simple, esto es, la mayoría de los votos de los miembros presentes en la sesión.

1.9.4.8. Funciones del Comité

Siempre dentro de los sistemas de administración de riesgos mencionados en el numeral 1.9.4.2 del presente capítulo, serán funciones del Comité de Riesgos del Negocio de Positiva Compañía de Seguros S.A. las siguientes:

a. Evaluar las propuestas de políticas, metodologías y modelos para identificar, analizar, medir, controlar y monitorear los distintos tipos de riesgo, que serán sometidas a aprobación de la Junta Directiva.

b. Conocer y evaluar los niveles de tolerancia o aceptación de los distintos riesgos que se pondrán a consideración del Comité de Auditoria, para su evaluación y recomendación a Junta Directiva para su aprobación.

c. Evaluar los cambios o modificaciones al Manual de Gestión de Riesgos que se someterán a consideración del Comité de Auditoria, para su análisis y recomendación a Junta Directiva para su aprobación.

d. Conocer los perfiles de riesgo sobre los cuales se pronunciará el Comité de Auditoria y la Junta Directiva.

e. Conocer el informe periódico a presentar al Comité de Auditoría y la Junta Directiva sobre la evolución del perfil de riesgo de la Compañía, así como los aspectos relevantes de los sistemas de riesgos mencionados en el alcance.

f. Revisar, ajustar y recomendar modificaciones a las matrices de riesgo de los procesos. g. Sugerir mecanismos de generación de cultura de gestión de riesgo corporativo a nivel

nacional. h. Realizar seguimiento a la implementación de los planes de tratamiento de los riesgos que

se encuentren fuera de los niveles de tolerancia definidos por la Junta Directiva. i. Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva. j. Conocer el comportamiento y efectividad de los controles definidos en los procesos para la

mitigación de riesgos. k. Asegurar que las áreas de negocio o dueños de procesos ejecuten correctamente la

estrategia de gestión de riesgo aprobada. l. Velar por la implementación efectiva y oportuna de las acciones correctivas para subsanar

las deficiencias de la administración de riesgos en la Compañía. m. Adelantar un seguimiento permanente de las etapas y elementos constitutivos de los

sistemas de gestión de riesgos mencionados en el alcance. n. Evaluar las estrategias y los planes relacionados con la Continuidad del Negocio. o. Aprobar el plan anual de ejercicios relacionados con el esquema de continuidad del

negocio. p. Aprobar el plan de sensibilización, divulgación y capacitación en gestión de riesgos y

continuidad del negocio; así como conocer los resultados de dichos planes de forma periódica con el fin de implementar las medidas que sean requeridas.

q. Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y



confidencialidad de la información allí contenida, así como su efectiva alineación con el SARO.

r. Las demás que por su naturaleza le sean afines.

1.9.5. Vicepresidencia de Riesgos

La Vicepresidencia de Riesgos es la líder funcional de la gestión de riesgos en Positiva Compañía de Seguros. Independientemente de sus demás funciones, es responsable de:

a. Proponer y presentar los manuales de administración de riesgos para aprobación de la Junta Directiva de la Compañía

b. Direccionar la evaluación de riesgos para la participación en nuevos productos y mercados financieros.

c. Coordinar la elaboración y publicación de informes para dar a conocer la evolución de los riesgos y rendir los informes de gestión y los que le sean solicitados por organismos externos con la oportunidad y periodicidad requerida.

d. Proponer los instrumentos, políticas, límites, metodologías y procedimientos para que la Compañía administre efectivamente los diferentes tipos de riesgo, en concordancia con los lineamientos normativos previstos en el sistema de administración de riesgos.

e. Proponer las áreas de riesgo sobre las cuales se debe priorizar tratamiento, atendiendo a los mapas de riesgos de cada proceso de la Compañía.

f. Hacer seguimiento y control a la administración de la información de eventos de riesgo, de acuerdo con las disposiciones establecidas por los entes reguladores

g. Participar en el proceso de identificación, medición y control de riesgos relacionados con los procesos que se desarrollan en el área.

h. Garantizar que los procesos de la Vicepresidencia respondan a los lineamientos establecidos en el sistema integrado de gestión.

i. Las demás funciones asignadas por la autoridad competente de acuerdo con el nivel jerárquico y la naturaleza de la dependencia.

1.9.6. Gerencia de Riesgos del Negocio

La Gerencia de Riesgos del Negocio es el área responsable de la implementación y seguimiento a los sistemas de administración de riesgos del negocio mencionados en el alcance y de asumir las funciones de la URO (Unidad de Riesgo Operativo) Es responsable de las siguientes funciones:

a. Participar en el diseño de las políticas, estrategias, planes, programas, instrumentos, metodologías y procedimientos relacionados con la gestión de los riesgos del negocio, de acuerdo con las directrices de la Compañía y la normatividad vigente.

b. Adelantar en coordinación con la Vicepresidencia de Riesgos el diseño, implementación y evaluación de los programas destinados a desarrollar una cultura de prevención de los riesgos del negocio involucrando a todos los niveles de la Compañía.

c. Coordinar la identificación, análisis y evaluación de los riesgos existentes en los procesos y su impacto, atendiendo la metodología establecida y la información recolectada.

d. Administrar los sistemas de riesgo de la operación del negocio (SARO), continuidad del negocio (SGCN), lavado de activos (SARLAFT), esquema antifraude, especial de la administración del riesgo asociado al negocio de seguros (SEARS).



e. Garantizar la implementación y desarrollo del Sistema de Gestión de Continuidad del Negocio.

f. Formular y ejecutar en coordinación con la Gerencia de Talento Humano, el programa de capacitación para todas las áreas de la compañía relacionado con los sistemas de riesgo de la operación del negocio y los demás requeridos para adelantar los procedimientos de la gerencia.

g. Orientar y asesorar a todas las áreas de la compañía, a nivel Central, Regional y Sucursal en los procedimientos y temas relativos a la gerencia.

h. Garantizar que los procesos de la gerencia respondan a los lineamientos establecidos en el Sistema Integral de Gestión –SIG- de la Compañía.

i. Participar en el proceso de identificación, medición y control de riesgos operativos relacionados con los procesos que se desarrollan en la Gerencia de Riesgos del Negocio y verificar las acciones, tratamientos y controles implementados.

j. Cumplir lo establecido en la normatividad vigente relacionado con las “normas comunes a entidades aseguradoras y entidades de capitalización” en lo pertinente a la parte de riesgos financieros.

k. Las demás funciones asignadas por la autoridad competente, de acuerdo con el nivel, la naturaleza y el área de desempeño del cargo.

1.9.7. Gestores De Riesgos

La gestión del riesgo cuenta con delegados, dueños de los procesos que participan en los diferentes sistemas, quienes estarán encargados de describir, analizar, evaluar, autoevaluar y monitorear los diferentes tipos de riesgos que se presentan en los procesos de Positiva Compañía de Seguros. Sin perjuicio de las funciones asignadas en otras disposiciones los designados como gestores o representantes de los procesos dentro del sistema deberán:

a. Participar y representar el proceso que desarrolla a nivel Nacional, en la implementación y mantenimiento del Sistema de Gestión de Riesgos del Negocio a través de todas sus etapas.

b. Generar la información necesaria para desarrollar, implementar y mantener el Sistema de Gestión de Riesgos de Negocio con las contribuciones necesarias de los procesos que representa.

c. Desarrollar las diferentes etapas del sistema al interior del proceso, abarcándolo en su totalidad y representando el proceso a nivel nacional, regional y sucursal.

d. Sustentar la aplicación metodológica del Sistema de Gestión de Riesgos del Negocio en su proceso, en caso de requerirlo.

e. Asistir a las capacitaciones relacionadas con el tema en la Compañía. f. Cumplir con las directrices dispuestas por la Vicepresidencia de Riesgo y/o la Gerencia de

Riesgos del Negocio. 1.9.8. Todos Los Funcionarios de Positiva Compañía De Seguros

Sin perjuicio de las funciones asignadas en otras disposiciones, los funcionarios de la Compañía deberán:

a. Participar activamente del Sistema Integral de Gestión del Riesgo, en torno a las actividades desarrolladas que lo involucren.

b. Cumplir con la directriz de identificar medir y controlar los riesgos relacionados en el área a la que pertenece y los procesos en los que participa.



c. Asistir a las capacitaciones relacionadas con el tema, que sean coordinadas por la Gerencia de Riesgos del Negocio o por la Gerencia de Recursos Humanos.

d. Ajustar los mapas de riesgo del negocio con las sugerencias dadas por la Gerencia de Riesgos del Negocio.

e. Ejecutar los controles dispuestos por la Gerencia de Riesgos del Negocio, así como suministrar al Oficial de Cumplimiento información susceptible de análisis.

1.9.9. Órganos De Control

1.9.9.1. Revisoría Fiscal

La Revisoría Fiscal tiene por función frente a los Sistemas de Administración de Riesgo del Negocio elaborar reportes de cumplimiento e informar a la Presidencia y a la Junta Directiva los incumplimientos.

Sin perjuicio de las funciones asignadas en otras disposiciones la Revisoría Fiscal deberá:

a. Elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre los diferentes Sistemas de Administración del Riesgo implementados al interior de Positiva Compañía de Seguros.

b. Para el sistema SARLAFT debe elaborar un reporte trimestral dirigido a la Junta Directiva, el cual debe incluir las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el mencionado sistema.

c. Además, debe poner en conocimiento del Oficial de Cumplimiento, las inconsistencias y fallas detectadas en el SARLAFT, y en general, todo incumplimiento detectado a las disposiciones que regulan la gestión integral del riesgo en la compañía.

d. Poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva.

1.9.9.2. Oficina De Control Interno

La oficina de Control Interno tiene por función evaluar periódicamente el cumplimiento y efectividad de los Sistemas de Administración del Riesgo a través de las etapas y elementos definidos para los mismos, determinando las oportunidades de mejora y posibles soluciones. Así mismo, debe informar los resultados al Presidente de la Compañía, al Oficial de Cumplimiento y a la Vicepresidencia de Riesgos.

Sin perjuicio de las funciones asignadas en otras disposiciones la Oficina de Control Interno deberá:

a. Evaluar anualmente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del Sistema de Gestión Integral del Riesgo con el fin de determinar las deficiencias y posibles soluciones.

b. Informar los resultados de la evaluación a la Vicepresidencia de Riesgos, al Oficial de Cumplimiento, al Representante Legal y a la Junta Directiva.

c. Evaluar el cumplimiento en la implementación de los diferentes reportes relacionados y en el Registro de Eventos de Riesgo RER.

d. Velar por la correcta implementación de todas las metodologías y procedimientos, así como por el cumplimiento de todos los límites y controles adoptados por la junta directiva.



e. Informar al Representante Legal sobre el incumplimiento del Registro de Eventos de Riesgo Operativo.

1.10. DIVULGACIÓN DE INFORMACIÓN

Positiva Compañía de Seguros S.A. utiliza comunicados, reportes e informes de interés general y particular permitiendo mantener a los colaboradores informados en lo referente los sistemas de Gestión de Riesgos, perfiles de riesgo, mapas de riesgo e informes y reportes internos y externos.

De acuerdo a lo anterior, la Compañía implementa una serie de reportes por cada sistema de riesgos, de tal forma que se garantice el funcionamiento adecuado de sus procedimientos, su cumplimiento de requisitos normativos y el adecuado conocimiento de las políticas, sus límites, los excesos presentados a los mismos, el nivel de exposición y su perfil de riesgo. Así mismo, implementa la publicación a través de la intranet de la información correspondiente a los procedimientos y procesos desarrollados en la organización, y sus mapas de riesgo correspondientes; reportes, como mínimo semestrales, que permitan establecer el perfil de riesgo de la entidad; la publicación en el Informe de gestión anual de los avances obtenidos en materia de riesgos en los diferentes sistemas de administración de riesgos y reportes periódicos de la Vicepresidencia de Riesgos sobre el cumplimiento de las políticas, límites y nivel de exposición a los distintos riesgos asumidos.

1.11. CAPACITACIÓN

Positiva Compañía de Seguros, a través de la Vicepresidencia de Riesgos y la Gerencia de Talento Humano diseña y coordina anualmente los programas de capacitación referentes a los sistemas de Administración de Riesgos de Negocio. Estos planes están dirigidos a todos los colaboradores de la organización, incluyendo terceros que presten servicios críticos a la Compañía.

1.11.1. Alcance del programa de capacitación:

El programa de capacitación tiene un cubrimiento nacional y está dirigido a todos los funcionarios y colaboradores de la Compañía.

1.11.2. Objetivos del programa de capacitación:

Contribuir a la construcción de cultura frente a la administración de riesgos a través de la generación de conciencia en los colaboradores haciendo énfasis en el autocontrol y la autogestión.

Servir de herramienta de gestión para el mejoramiento continuo de Positiva Compañía de Seguros.

Fortalecer la imagen y solidez de la Compañía frente al mercado.

Garantizar el cumplimiento de los objetivos institucionales para cada uno de los procesos.

Formar colaboradores capaces de identificar y resolver los retos de la Gestión de riesgos.

Asegurar un conocimiento amplio y suficiente por parte de todos los colaboradores.

1.11.3. Herramientas

El programa de capacitación diseñado para cada año podrá contar con las siguientes herramientas:

Sesiones presenciales o virtuales.



Ayudas audiovisuales que son compartidas como material de consulta.

Cuestionarios de medición de conocimientos y percepciones del tema.

Envío de correo electrónico, videos, presentaciones entre otros.

1.11.4. Control y Evaluación

Positiva implementará un esquema de evaluación obligatorio para sus colaboradores, que tendrá una calificación mínima del 80%. En caso de que la evaluación sea reprobada, el colaborador deberá presentar nuevamente su evaluación.

1.12. PREVENCIÓN Y RESOLUCIÓN DE CONFLICTOS DE INTERES

En cuanto a la prevención y resolución de conflictos de interés, en la recolección de información en las diferentes etapas del SARO, especialmente para el registro de eventos de riesgo operativo; Positiva Compañía de Seguros S.A. cuenta con un Código de Ética y Buen Gobierno, donde se establecen las políticas frente a los grupos de interés; y el compromiso frente a los Conflictos de Interés, los deberes del equipo humano relacionados con los Conflictos de Interés, las prohibiciones para los servidores sobre Conflictos de Interés y el procedimiento de resolución y divulgación de Conflictos de Intereses. El código se encuentra publicado en el manual de calidad de la ISO – NET, numeral 1.5 título III.

Por lo anterior, Positiva Compañía de Seguros S.A. declara que los conflictos de interés que se presenten dentro del proceso de gestión de riesgos serán solucionados siguiendo los lineamientos mencionados en el Código de Ética y Buen Gobierno.

Adicionalmente, los programas de capacitación implementados, en lo referente al Registro de Eventos de Riesgo Operativo, harán énfasis en los potenciales conflictos y la manera como deben prevenirse y solucionarse.

1.13. PROCEDIMIENTOS

Para cada uno de los Sistemas de Administración del Riesgos, se desarrolla de forma particular en el Capítulo correspondiente la descripción de los procedimientos aplicables a cada sistema, con el respectivo desarrollo de sus etapas y elementos.

1.14. DOCUMENTACIÓN

A partir del desarrollo de las etapas de los diferentes Sistemas de Administración de Riesgos, la Gerencia de Riesgos del Negocio documentará y custodiará la información que soporta su implementación. Los cambios o modificaciones de esta información estructural deben ser solicitados formalmente a esta Gerencia.

La documentación de los Sistemas de Administración de Riesgo, tiene por objetivo:

Demostrar que el proceso se realiza en forma apropiada.

Proporcionar evidencia de un enfoque sistemático.



Ofrecer un registro de los eventos de riesgo, y desarrollar la base de datos del conocimiento de Positiva Compañía de Seguros.

Facilitar el monitoreo continuo y la revisión.

Ofrecer un rastro o registro de auditoría.

Compartir y comunicar la información.

Los informes para la Junta Directiva, para el Representante Legal, el Oficial de Cumplimiento y los órganos de control con referencia a los Sistemas de Administración de riesgos, tienen los mismos criterios de guarda y conservación establecidos por la Compañía para los documentos en las tablas de retención documental, de cada una de las áreas que intervienen en dichos sistemas.

1.15. PLATAFORMA TECNOLÓGICA

Es el conjunto de herramientas tecnológicas o Software que permiten a Positiva Compañía de Seguros S.A. administrar la información relacionada con los sistemas de administración de riesgos.

A través del aplicativo ERA (Enterprise Risk Assessor), la Gerencia de Riesgos del Negocio de Riesgos administrar la información generada en el desarrollo de las etapas y elementos de los sistemas de administración de riesgos del negocio. De igual forma se cuenta con herramientas automáticas para la consulta de bases de datos relacionadas con actividades ilícitas, tales como la lista OFAC.



CAPITULO II

2 SISTEMA ESPECIAL DE ADMINISTRACION DE RIESGOS EN SEGUROS SEARS

2.1 DEFINICIONES

Toda entidad aseguradora debe diseñar y adoptar su propio Sistema Especial de Administración de Riesgos de Seguros (SEARS) que le permita realizar una adecuada gestión de los riesgos propios de su actividad. Al igual que todo Sistema de Administración de Riesgos, el SEARS debe contar con los siguientes elementos, los cuales, en función de las características, tamaño y complejidad de las operaciones realizadas por cada entidad, pueden adoptarse independientemente o formar parte del sistema general a. Políticas sobre asunción de riesgos b. Infraestructura adecuada para la gestión de los riesgos de seguros c. Metodologías especiales para la medición de los riesgos de seguros d. Procesos de Control de Riesgos e. Mecanismos de control de los procesos. 2.2 CLASES DE RIESGOS

2.2.1 Riesgo Suscripción

Se entiende por riesgo de suscripción la posibilidad de incurrir en pérdidas como consecuencia de políticas y prácticas inadecuadas en el diseño de productos o en la colocación de los mismos. Dicha categoría de riesgo se puede clasificar en los siguientes tipos:

Riesgos de Tarifación: Corresponde a la probabilidad de pérdida como consecuencia de errores en el cálculo de primas al punto que resulten insuficientes para cubrir los siniestros actuales y futuros, los gastos administrativos y la rentabilidad esperada.

Riesgo de Descuento sobre primas: Corresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia del otorgamiento inadecuado de descuentos sobre primas.

Riesgo de Concentración: Corresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia de una inadecuada diversificación de los riesgos asumidos.

Riesgo de Diferencia en condiciones: Corresponde a la probabilidad de pérdida que se genera como consecuencia de diferencias entre las condiciones originalmente aceptadas de los tomadores de pólizas y las aceptadas a su vez por los reaseguradores de la entidad.



2.2.1.1 Etapas de la administración del Riesgo de Suscripción

a. Identificación y Medición Riesgo de Concentración

En la cuantificación del riesgo de concentración la Vicepresidencia de Riesgos analiza los siguientes aspectos: Análisis por zonas geográficas: Se realiza un análisis de la concentración de producción por

Sucursales y Regionales a nivel nacional, utilizado para la toma de decisiones por parte de la Compañía.

Análisis por tipo de producto: Se realiza un estudio por producto para evaluar cómo está la

distribución por ramo de la producción de la aseguradora, con el objeto de determinar en qué productos se concentra la producción.

Análisis por principales asegurados: Se hace un estudio de los principales asegurados que

tiene la compañía, de acuerdo con su participación en primas emitidas, para evaluar en cuántos clientes se está concentrando la producción a nivel nacional y por sucursal.

b. Control del Riesgo de Concentración

Dentro de los elementos de cubrimiento y control del riesgo de concentración con que cuenta la compañía actualmente, se encuentran: Estudio trimestral de la concentración de producción por zonas geográficas, por tipo de

producto y por principales clientes, a partir de la información de primas emitidas de la Compañía.

Informes de producción por sucursal y ramo a nivel nacional. Políticas de retención de riesgos que no superen los límites previstos en las normas legales

sobre asunción de riesgos por cuenta propia.

2.2.1.2.1 Identificación y Medición de Riesgo de Tarifación

La tasa técnica comercial es igual a la tasa pura de riesgo adicionada con los gastos de adquisición y administración y los márgenes para desviación y utilidad esperada. Cuando no se cumple esta ecuación en el diseño del producto o cuando en el desarrollo del negocio las variables se comportan de manera diferente a lo previsto, resultará un déficit, como riesgo de tarifación, el cual queda cuantificado por la diferencia entre el resultado obtenido y el resultado esperado. El riesgo en tarifación se presenta para los ramos de vida. En el caso de ARP, las tasas dependen del riesgo de cada actividad y se fijan por decreto.

2.2.1.2.2 Control del Riesgo de Tarifación

Para el cubrimiento de este riesgo se deben tener en cuenta los siguientes aspectos:

Tasa pura de riesgo: En la etapa de diseño del producto, el cálculo de la tasa pura deberá estar fundamentado en el estudio estadístico de una base de datos suficientemente representativa, y



homogénea preferentemente del mercado objetivo de la aseguradora, o del mercado en general, si ello no fuese factible. Se debe cumplir con el requisito de equidad y suficiencia.

En el curso del año se hace el seguimiento mensual del resultado de la aplicación de las tarifas desde el punto de vista de la suficiencia de ellas y del comportamiento del mercado. El proceso de indemnizaciones es de la mayor importancia y por consiguiente debe ser monitoreado permanentemente, con el fin de controlar situaciones que puedan influir negativamente en el resultado técnico, tales como:

Fraudes o intentos de fraude, cometidos por Asegurados, Intermediarios, Proveedores de

Servicios, Ajustadores o Empleados Desfase en los costos de los servicios con relación a los supuestos de la tarifa, con el fin de

buscar reducciones mediante renegociación con los proveedores o la sustitución de ellos. Aumento de la severidad y frecuencia esperadas en determinados tipos de riesgo, con el fin de

ajustar las políticas de suscripción y de tarifación. Objeciones infundadas en determinado tipo de siniestros Costos administrativos: Al calcular los costos administrativos asociados a un producto de

seguros se debe calcular con razonable precisión el costo administrativo teniendo en consideración los gastos de administración, comisión de intermediación y utilidad esperada por la entidad. Así mismo, en la nota técnica se deben incorporar los porcentajes por reconocimiento de bonificaciones y participación de utilidades.

Sujeto a la definición de prioridades, Positiva Compañía de Seguros S.A. debe disponer de un modelo, con la información disponible, que le permita monitorear permanentemente el resultado de cada tipo de negocio, de manera que pueda analizarse el comportamiento de cada una de las variables que inciden en el Riesgo de Tarifación, lo anterior para el caso de los ramos de Vida.

2.2.1.3.1 Identificación y Medición del Riesgo de Diferencias en Condiciones

Está constituido por el valor reasegurado de los negocios sujetos a este riesgo.

2.2.1.3.2 Control del Riesgo de Diferencias en Condiciones

Siendo el reaseguro una transacción comercial de carácter internacional, lleva asociado consigo el riesgo de diferencia en condiciones, el cual puede originarse por los siguientes hechos: La póliza original incluye una combinación de ramos que en el mercado internacional operan

como negocios separados, y tal circunstancia no es manifestada y, explícita o implícitamente, aceptada al hacerse el acuerdo de reaseguro.

La legislación en el país de origen del reasegurador difiere de la del país donde se aplicará la póliza, en temas tales como: carga de la prueba, demostración del siniestro y plazo de pago de la indemnización, intereses moratorios, obligaciones en caso de siniestro, etc.

La póliza incluye condiciones particulares, las cuales usualmente no se incluyen en las condiciones estándar del mercado.

Las costumbres de mercado son diferentes. El error humano. Para el cubrimiento del riesgo de diferencia en condiciones se recomienda la abundancia de información hacia el reasegurador en el momento de suscribir el contrato automático o realizar la cesión facultativa, y obtener de él su consentimiento explícito, buscando que la cesión de



reaseguro sea una copia fiel de la póliza original. Idealmente, para minimizar el riesgo, se buscará que el contrato de reaseguro automático, o la nota de cesión y la nota de cobertura en el riesgo facultativo incluyan las siguientes provisiones: Incorporar en la nota de cobertura el clausulado de la póliza otorgada al asegurado, e incluir

los textos de las cláusulas (las cuales también se deben incluir en la póliza del asegurado) El reaseguro sigue en un todo las condiciones de la póliza original. La legislación del país donde se rige la póliza es la legislación aplicable para todos los efectos

de reaseguro y el reasegurador sigue en todo dicha legislación En caso de diferencias surgidas de una traducción de la póliza, prima la versión en idioma

original. 2.2.2 Riesgo De Insuficiencia De Reservas

Corresponde a la probabilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales. (Participación de utilidades, pago de beneficios garantizados, etc.)

2.2.3 Riesgo Legal En Seguros

Se entiende por riesgo legal en seguros a la posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas en cualquier jurisdicción en la cual opere la entidad aseguradora. Así mismo, el riesgo legal puede derivar de situaciones de orden legal que puedan afectar la titularidad de los activos o la efectiva recuperación de su valor.

2.2.4 Riesgo Estratégico En Seguros

Corresponde a la probabilidad de pérdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios.

2.2.5 Riesgo Reputacional En Seguros

Corresponde a la probabilidad de perdida como consecuencia de incurrir en pérdidas derivadas de la celebración de contratos de seguros y reaseguros con personas y entidades que generen un bajo nivel de confianza para sus asegurados por su nivel de solvencia o la conducta de sus funcionarios o por la celebración de acuerdos sobre los cuales recaiga una publicidad negativa, así como la realización de prácticas que puedan derivar en demandas legales y pérdida de credibilidad del público. 2.3 ESTRATEGIAS DE CUBRIMIENTO DE RIESGOS SEARS

2.3.1 Riesgo Suscripción



Todo producto que comercialice la Compañía tendrá una Nota Técnica y un manual de políticas de suscripción. La tasa pura de riesgo deberá estar fundamentada en el estudio estadístico de una base de datos suficientemente representativa, y homogénea. La determinación del precio responderá a criterios técnicos, y a la consideración de los gastos administrativos y de comercialización del producto. Las políticas de suscripción fijarán cuotas tope de participación en el portafolio de negocios. Análisis de concentración por ramo, Jurisdicción, Intermediarios y clase de riesgo en Riesgos Profesionales. Para la aprobación de apertura de nuevos ramos se identificarán y valorarán los riesgos inherentes. Positiva tendrá una adecuada política de reaseguros, de excesos de pérdida operativo y catastrófico, y proporcionales según el caso. La aseguradora hará un seguimiento permanente de su margen de solvencia por ramo y total Compañía.

2.3.2 Riesgo Legal

La Secretaría General divulgará dentro de la Compañía, toda la normatividad aplicable a la actividad aseguradora, así como de la jurisprudencia sobre hechos conocidos en el mercado. La Gerencia Jurídica mantendrá actualizado un normograma dentro del Manual de Calidad SIG, que será de consulta permanente. Se hará una evaluación de las contingencias que se originan en litigios, que no se encuentran respaldadas en los contratos de seguros, y un seguimiento de los procesos judiciales para la evaluación periódica de las contingencias.



CAPITULO III

3. SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO

3.1 DEFINICIONES

3.1.1. Riesgo

Cualquier situación o circunstancia que de llegar a ocurrir podría impedir el cumplimiento de los objetivos de Positiva, de uno de sus procesos o de una de sus áreas. De acuerdo a lo anterior, y para efectos del presente capítulo, entendemos riesgo operativo como cualquier situación o circunstancia que de llegar a ocurrir podría impedir el cumplimiento de los objetivos de un proceso. Por otro lado, se destaca que en el Capítulo XXIII de la Circular Básica Financiera expedida por la Superintendencia Financiera de Colombia, se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye los riesgos legal y reputacional, asociados a tales factores. El riesgo se clasifica en inherente y residual. Como RIESGO INHERENTE debemos entender el riesgo que Positiva, uno de sus procesos o áreas asume en ausencia de cualquier acción que la gerencia pudiera tomar para cambiar la probabilidad o impacto del riesgo. El RIESGO RESIDUAL O CONTROLADO se define como el riesgo remanente una vez aplicados los controles existentes.

3.1.2. Causas del riesgo operativo

Son los medios, circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Las causas del riesgo se clasifican en: Recurso Humano, Procesos, Tecnología, Infraestructura y Factores Externos.

Recurso Humano

Se clasifican como causas relacionadas con el recurso humano la falta de capacitación, el error al ingreso de datos, el incumplir procesos, los comportamientos inadecuados o en contra de las políticas de la organización, entre otros.

Procesos

Se clasifican como causas relacionadas con los procesos las debilidades en los mismos, tales como falta de procesos, procesos mal definidos o no divulgados.

Tecnología

Inadecuada asignación de perfiles, niveles de seguridad deficientes, ausencia de logs de auditoría en los software, instalación de software no permitido, debilidades en controles, daños en equipo de cómputo no generados por usuarios.



Infraestructura

Inadecuados espacios de trabajo, conexiones eléctricas en mal estado, fallas en estudios en elaboración de planos, fallas estudios de terrenos para construcción de edificaciones.

Factores externos

Fuerzas de la naturaleza (terremotos, inundaciones, incendios no provocados). Incumplimiento o mala calidad de servicios contratados con proveedores, terrorismo etc.

3.1.3. Consecuencia del riesgo

Resultado de un evento que afecta los objetivos; o la afectación directa del objetivo de un proceso. También se pueden definir como las pérdidas en las que incurre la organización como producto de la materialización de un riesgo. Se clasifican en cuantitativas y cualitativas.

3.1.4. Control

Se define control como cualquier acción que incremente la probabilidad que Positiva, uno de sus procesos o áreas logre sus objetivos, a través de la mitigación o administración de los riesgos. Se clasifican en preventivos y detectivos.

Control preventivo

Es aquel que se desarrolla antes o durante las actividades con el fin de evitar la materialización de un riesgo.

Control detectivo

Es aquel que detecta la aparición de un riesgo. Supone que éste ya se ha materializado, por lo que su aplicación no corrige o mitiga el riesgo.

3.1.5. Nivel de Riesgo

Es el grado de exposición al riesgo (severidad). Surge como resultado de relacionar la probabilidad de ocurrencia de un riesgo y el impacto de su materialización. Permite establecer la importancia relativa del riesgo y de esa manera clasificarlo con el fin de priorizar su gestión a través de planes de tratamiento.

3.1.6. Plan de tratamiento

Es el conjunto de actividades definidas cuyo objetivo es modificar el riesgo hasta reducirlo al nivel tolerable definido por la organización, el área o el proceso. Existen diversas estrategias de tratamiento: Frente a un riesgo; éste se puede EVITAR; es decir la estrategia consiste en NO realizar la actividad que genera el riesgo.



También se puede MITIGAR; esta estrategia consiste en implementar un plan de tratamiento que busque reducir o controlar su frecuencia o el impacto de su materialización. Generalmente, una vez implementados se convierten en CONTROLES. Otra estrategia es TRANSFERIR su impacto financiero. Un ejemplo típico de esto es la contratación de un Seguro de daños; a través del cual en caso de la materialización del riesgo, la pérdida financiera o patrimonial es asumida por la Compañía de Seguros. Por último podemos asumir una estrategia de RETENCIÓN del riesgo; la cual consiste en asumirlo. Generalmente esta estrategia es válida cuando el costo de implementar estrategias diferentes es mayor a la pérdida obtenida en caso de la materialización del riesgo.

3.1.7. Evento de Riesgo

Un incidente o suceso REAL, que ocurrió en un determinado lugar, durante un determinado período y que tuvo una consecuencia negativa para la Compañía, proceso o área en términos del cumplimiento de sus objetivos. En otras palabras, se puede definir como la materialización de un riesgo.

3.1.8. Frecuencia o probabilidad de ocurrencia

Número de veces que se repite un hecho, acción o actividad por unidad de tiempo.

3.1.9. Impacto

Efecto del riesgo sobre la Compañía, un proceso o área, en términos de la afectación del objetivo trazado. El impacto puede adoptar varias formas: reducción de ingresos, pérdidas financieras, afectación de la reputación, reducción del número de clientes, entre otros.

3.1.10. Sistema de Administración de Riesgo Operativo (SARO)

Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

3.2 POLÍTICA PARTICULAR DEL SARO

Además de las políticas, directrices y principios mencionados en el Capítulo I del presente manual, el Sistema de Administración de Riesgo Operativo de Positiva Compañía de Seguros S.A. se enmarca en las siguientes políticas:

3.2.1. Estandarización

El SARO, además de cumplir con los lineamientos dados por la Superintendencia Financiera en el capítulo XXIII de la Circular Básica Financiera, se implementa y desarrolla teniendo en cuenta la Norma Técnica Colombiana NTC ISO 31000.



3.2.2. Gestión de Calidad

El SARO se desarrolla por proceso, teniendo en cuenta los lineamientos y en particular el mapa de procesos vigente en Positiva.

3.2.3. Gobernabilidad de los mapas de riesgos operativos

La Gerencia de Riesgos del Negocio es el área encargada de la administración y custodia de los mapas de riesgo operativo de cada proceso. El líder de cada proceso en el dueño de la información que allí reposa. La información contenida en el mapa de riesgos de un proceso puede ser modificada, eliminada o adicionada por decisión del Líder del Proceso o la Gerencia de Riesgos del Negocio.

3.2.4. Continuidad del Negocio

Positiva asegura la existencia de un proceso independiente, enmarcado dentro de la Gestión de Riesgos Operativos, que vele por la existencia e implementación de estrategias necesarias para proporcionar la continuidad al negocio.

3.3 ETAPAS DE LA GESTIÓN DE RIESGO OPERATIVO

Como se mencionó en el numeral 1.7 del Capítulo I del presente Manual, la gestión de riesgos operativos se desarrolla considerando 7 etapas, las cuales se describen a continuación:

3.3.1. Establecimiento del contexto estratégico

En esta etapa se busca contextualizar la gestión de riesgos desde 3 dimensiones: Contexto externo: Se refiere a la definición del ambiente externo en el cual Positiva realiza su actividad y busca alcanzar los objetivos propuestos. Las partes interesadas (stakeholders), la forma como se interrelaciona Positiva con su ambiente externo, sus amenazas y oportunidades, son elementos importantes en esta definición. Contexto interno: Se refiere a la definición del ambiente interno en el cual Positiva realiza su actividad y busca alcanzar los objetivos propuestos. Consiste en realizar un análisis de lo que se tiene en una organización o área determinada. Para ello es relevante tener claro con que se cuenta y en que se tienen deficiencias. En otras palabras, es el conocimiento que tenemos de la organización o proceso (estructura, capacidades, recursos), en el cual identificamos sus debilidades y fortalezas. Contexto específico: Consiste en establecer el contexto de cada uno de los procesos de Positiva Compañía de Seguros S.A. Teniendo en cuenta que la Compañía adelanta un enfoque de operación basado en procesos, para cada uno de ellos se deben tener en cuenta los siguientes aspectos:

o Nombre del proceso al cual se le van administrar los riesgos. o Definir el responsable o los responsables del proceso. o Establecer el objetivo general del proceso, de acuerdo a las definiciones

contenidas en el manual del mismo.



o Indicadores de desempeño del proceso, metas. o Delimitar el proceso a través de la identificación de la actividad en la que inicia y

finaliza el proceso. La etapa de establecimiento del contexto es ejecutada por la Junta Directiva y el Comité de Presidencia cada vez que modifica, cambia o define un nuevo plan estratégico.

3.3.2. Identificación del riesgo

El objetivo específico de esta etapa, es identificar los riesgos inherentes a los procedimientos de cada proceso. Para la identificación de los riesgos se tendrá como criterio básico el aporte de los colaboradores involucrados en la ejecución de cada procedimiento, aporte que será generado a través de la realización de reuniones en las cuales participan un representante de la Gerencia de Riesgos del Negocio, el líder o dueño del proceso, el gestor de riesgo del proceso y opcionalmente el (los) colaborador(es) que el líder del proceso considere necesario(s). Para la adecuada identificación de los riesgos de un proceso, la Gerencia de Riesgos del Negocio, aparte de la experiencia de los colaboradores, se apoya en la regulación aplicable, los soportes documentales que proporcionen el área de Control Interno y la Revisoría Fiscal a través de sus informes y la información histórica consignada en el registro de eventos de riesgo operativo. La identificación de riesgos de cada proceso se debe llevar a cabo mínimo una vez al año y abarca la totalidad de los procesos y sus procedimientos, conforme al mapa de procesos vigente en la compañía. Esta etapa de identificación de riesgos comprende los siguientes pasos:

3.3.2.1. Entendimiento de Proceso

Para efectuar una adecuada identificación de riesgos se debe partir de la definición y conocimiento claro del objetivo del proceso y de cada uno de sus procedimientos, por lo anterior es importante que la documentación se encuentre actualizada y sea conocida por los miembros del equipo de trabajo que llevarán a cabo la identificación de riesgos.

3.3.2.2. Levantamiento de riesgos operativos

En esta etapa se identifican todas aquellas situaciones que se han materializado en el proceso o que podrían llegar a ocurrir afectando el logro de los objetivos del mismo. Para hacer el levantamiento de riesgos operativos se deben tener en cuenta los siguientes parámetros:

o Si no afecta el objetivo, NO ES UN RIESGO. o La ausencia de un control, NO ES UN RIESGO. o El incumplimiento del objetivo, NO ES UN RIESGO. o La redacción adecuada de un riesgo cumple con:

Verbo en infinitivo+ descripción de la acción. Adjetivo + acción que se ve afectada.

o Evite las negaciones para describir el riesgo.



3.3.2.3. Clasificación del riesgo operativo

Una vez identificado y descrito el riesgo, se procede a su clasificación. Para tal fin, todos los riesgos operativos deben encontrarse en una de las siguientes categorías:

Fraude Interno: Cualquier tipo de actuación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales en las que se encuentra implicado, al menos, un empleado o administrador de la entidad, en beneficio propio o de un tercero.

Fraude Externo: Cualquier tipo de actuación o situación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales por parte de una persona externa a la entidad, en beneficio propio o de un tercero.

Relaciones Laborales y Seguridad en el puesto de trabajo: Actuaciones o situaciones incompatibles con la legislación laboral, los acuerdos internos de trabajo en general, la legislación vigente sobre la materia o el pago de reclamaciones por daños personales.

Prácticas con clientes, productos y negocios: actuaciones que conlleven el incumplimiento negligente o involuntario de las obligaciones frente a los clientes, de prácticas comerciales o de obligaciones relacionadas con el diseño de un producto o servicio.

Daños a Activos físicos: actuaciones que conlleven daños o perjuicios a activos físicos de la entidad.

Ejecución y administración de procesos: Actuaciones o situaciones que implican errores en la ejecución y administración de los procesos.

Fallos en sistemas y/o Tecnología: Actuaciones o situaciones asociadas con la capacidad de la compañía para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.

Cumplimiento o Conformidad Legal: Actuaciones o situaciones que impliquen que la compañía pueda ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales; de igual forma se entiende por riesgo legal actuaciones o situaciones que afecten la formalización o ejecución de contratos o transacciones.

Afectación de la reputación o buen nombre: Cualquier actuación o situación que conlleve al desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la Compañía y sus prácticas de negocio.

3.3.2.4. Identificación de causas del riesgo

A continuación, para cada riesgo identificado y clasificado, se procede a su respectivo análisis de causas. Para tal fin, es válido el uso de cualquier de las distintas metodologías conocidas, tales



como lluvia de ideas, espina de pescado o causa-efecto, 5 por que´s, 5W2H1 o cualquier otra

metodología mencionada en el “Instructivo de Análisis de causas” publicado en la ISONET (numeral 2.1.5). La(s) causa(s) raíz(es) identificada(s) debe ser descrita y clasificada en una de las siguientes categorías, conforme a las definiciones mencionadas en el numeral 3.1.2 del presente Manual:

o Recurso Humano o Procesos o Tecnología o Infraestructura o Factores externos

3.3.3. Análisis de riesgo

El análisis del riesgo busca establecer la calificación del riesgo en términos de su probabilidad de ocurrencia y el impacto de sus consecuencias, con el fin de estimar el nivel de riesgo inherente, así como determinar los controles existentes y su eficiencia para estimar el nivel de riesgo residual. Como nivel de riesgo inherente debemos entender el nivel de riesgo que Positiva, uno de sus procesos o áreas asume en ausencia de cualquier acción que la gerencia pudiera tomar para cambiar la probabilidad o impacto del riesgo. El nivel de riesgo residual se define como el nivel de riesgo remanente una vez aplicados los controles existentes. Para efectos de realizar el análisis del riesgo, se deben seguir los siguientes pasos:

3.3.3.1. Calificación de riesgos

Al igual que en la etapa de identificación, la calificación de riesgos tiene como criterio básico para su ejecución, el aporte de los colaboradores involucrados en el proceso y/o procedimiento analizado, por lo que la determinación de la probabilidad o frecuencia del riesgo y su impacto se realiza a través de las mismas reuniones mencionadas en el numeral 3.3.2. La calificación riesgos de cada proceso se debe llevar a cabo mínimo una vez al año y abarca la totalidad de los procesos y sus procedimientos, conforme al mapa de procesos vigente. Es importante mencionar que para riesgos ya identificados, el Comité de Riesgos y la Gerencia de Riesgos del Negocio tienen la potestad de modificar su probabilidad de ocurrencia y su impacto si evidencian argumentos suficientes para hacerlo. De igual forma dichos criterios pueden ser modificados por sugerencia de los Órganos de Control Interno (Oficina de Control Interno o Revisoría Fiscal).

3.3.3.1.1. Criterios para la calificación de la probabilidad de ocurrencia

Positiva utiliza una metodología que combina aspectos cuantitativos y cualitativos para calificar la probabilidad de ocurrencia de los riesgos, éstos se deben aplicar en virtud de la disponibilidad de información. Los dos posibles criterios son:

1 5W2H: Nombre dado a una metodología de identificación de causas por sus siglas en inglés: 5W + 2H. Las “W” hacen

referencia a: What, When, Who, Where y Why. Las “H” hacen referencia a: How y How much.



Probabilidad matemática: Número de casos en los que se materializa el riesgo dividido por el número de casos posibles en los que se puede materializar el riesgo.

Utilizar este criterio exige la existencia de una base de datos de eventos de riesgo materializados. Es la primera opción para calificar la probabilidad de un riesgo.

Posibilidad: Corresponde a una definición basada en la experiencia del equipo de trabajo que lleva a cabo la calificación. Supone la inexistencia de datos que soporten la calificación otorgada o en el mejor de los casos, la existencia de algunos datos e información cuantitativa no verificable o estadísticamente no válida para el cálculo de una probabilidad.

En la siguiente tabla se describen los niveles de probabilidad aplicables en Positiva y sus criterios de calificación:

NIVEL

PROBABILIDAD MATEMATICA

POSIBILIDAD VALOR

CASI CIERTO Mayor al 80%

En el último año, el riesgo ha ocurrido la mayoría de las veces

que se ejecuta el proceso o la actividad. La información existente

indica que se presenta máximo cada 2 operaciones.

5

PROBABLE Mayor que 60% y menor que 80%

En el último año, el riesgo se ha materializado en varias ocasiones. La información existente permite señalar que se presenta máximo

cada 10 operaciones.

4

POSIBLE Mayor que 40% y menor que 60%

En el último año, el riesgo se ha materializado en contadas

ocasiones, bajo circunstancias normales La información existente

permite señalar que se presenta máximo cada 100 operaciones.

3

IMPROBABLE Mayor que 20% y menor que 40%

En el último año, el riesgo se ha materializado en contadas

ocasiones, bajo circunstancias excepcionales. La información

disponible permite inferir que se puede presentar máximo cada

1000 operaciones.

2

RARO Menor que 20% En el último año, el riesgo NO se

ha materializado. No existe información al respecto.

1

3.3.3.1.2. Criterios para la calificación del impacto de materialización

La determinación del impacto de la materialización de un riesgo en Positiva se realiza mediante dos tipos de evaluaciones:

Evaluación cuantitativa: a través de la definición del impacto financiero de la materialización del riesgo.



Por impacto financiero se entiende el valor histórico de la máxima pérdida financiera que haya tenido la compañía por efecto de la materialización de un riesgo. Por pérdida financiera debemos entender: multas, sanciones, indemnizaciones, reducción de ingresos o cualquier afectación del estado de pérdidas y ganancias atribuible a la materialización de un riesgo.

En la siguiente tabla se describen los niveles de impacto aplicables en Positiva en caso de utilizar la evaluación cuantitativa y sus criterios de calificación:

EVALUACIÓN CUANTITATIVA

TIPO DE IMPACTO PERDIDAS ECONOMICAS VALOR

CATASTROFICO Pérdidas > 1.000 SMLV 5

MAYOR 700 SMLV < Pérdidas <=1.000 SMLV 4

MODERADO 400 SMLV < Pérdidas <= 700 SMLV 3

MENOR 100 SMLV < Pérdidas <= 400 SMLV 2

INSIGNIFICANTE Pérdidas <100 SMLV 1

Evaluación cualitativa: Basada en el conocimiento de los expertos en el proceso o procedimiento para el cual se esté analizando riesgos.

La calificación obtenida a través de esta metodología combina la evaluación de los siguientes impactos:

o IMPACTO LEGAL entendido como la actuación del Supervisor, de cualquier otra

entidad reguladora o una rama del poder judicial, a través de una posible sanción, multa, llamado de atención, acción administrativa o sentencia judicial entre otros.

o IMPACTO REPUTACIONAL entendido como el desprestigio, mala imagen o publicidad negativa para la Compañía.

o IMPACTO OPERATIVO entendido como la afectación en los niveles de servicio o atención al cliente por requerir de un tiempo de reparación o recuperación.

o IMPACTO DE GOBERNABILIDAD entendido como la necesidad de escalar la atención y búsqueda de una solución exitosa a la situación presentada.

o IMPACTO COMERCIAL entendido como la reducción del número de clientes de la Compañía y su efecto sobre variables de participación en mercado.

En la siguiente tabla se describen los niveles de impacto aplicables en Positiva en caso de utilizar la evaluación cualitativa y sus criterios de calificación:



EVALUACIÓN CUALITATIVA

TIPO DE IMPACTO

IMPACTO LEGAL

IMPACTO REPUTACIONAL

IMPACTO OPERATIVO

IMPACTO DE GOBERNABILIDAD

IMPACTO COMERCIAL

VALOR

CATASTROFICO

La materialización

del riesgo genera la Intervención de la

Compañía por parte de la

Superintendencia Financiera

La materialización del riesgo Afecta la

Imagen de Positiva a nivel Nacional e

Internacional

La materialización del riesgo implica un retraso de más

de 3 horas en la prestación del

servicio al cliente final

La materialización del riesgo implica la

intervención de la Junta Directiva en la

búsqueda de una solución

La materialización del riesgo implica una reducción en

el número de clientes mayor al

10%

5

MAYOR

La materialización

del riesgo genera el pago de multas o

sanciones institucionales y/o

posibles indemnizaciones

La materialización del riesgo afecta la Imagen a nivel de

Nacional

La materialización del riesgo implica un retraso entre 2

y 3 horas en la prestación del


La materialización del riesgo implica la

intervención de la Presidencia de la Compañía en la

búsqueda de una solución


el número de clientes entre el

7% y el 10%

4

MODERADO

La materialización del riesgo genera

acciones administrativas,

apertura de pliego de cargos o

investigaciones de la Superintendencia

Financiera o cualquier otro

órgano de control

La materialización del riesgo afecta de la Imagen a nivel de

una regional o sucursal

La materialización del riesgo implica un retraso entre 1

y 2 horas en la prestación del


La materialización del riesgo implica la intervención de

alguna o algunas de las Vicepresidencias

La materialización del riesgo implica una reducción en el número entre

el 3% y el 7%

3

MENOR


glosas en los informes de visita de los Órganos de

Control y Vigilancia

La materialización del riesgo afecta la Imagen a nivel de

una vicepresidencia.

La materialización del riesgo implica

un retraso de menos de 1 hora en la prestación

del servicio al cliente final

La materialización del riesgo obliga a la toma de decisiones a nivel de las Gerencias, en

busca de una solución


el número de clientes menor al

3%

2

INSIGNIFICANTE


solicitudes de información

preliminar por parte de los

Órganos de Control y Vigilancia

La materialización del riesgo afecta la Imagen a Nivel de

un Área o Gerencia

La materialización del riesgo NO

afecta el nivel de servicio prestado

al cliente final

La materialización del riesgo implica ajustar actividades del día a día que no necesitan

aprobación de niveles superiores

La materialización del riesgo NO

genera la pérdida de clientes.

1



3.3.3.2. Estimación del nivel de riesgo inherente

Una vez definida la probabilidad y el impacto se procede a calcular el nivel de riesgo inherente, multiplicando el valor asignado a la probabilidad por el valor asignado al impacto.

3.3.3.3. Identificación de controles

Como se mencionó al comienzo del presente capítulo, se define como control cualquier acción encaminada a mitigar o administrar el riesgo e incrementar la probabilidad de que la compañía o un proceso logre sus metas y objetivos. De esta forma los controles se pueden entender como los procesos, dispositivos, prácticas u otras acciones que actúan para eliminar o minimizar los riesgos. En esta sub-etapa del análisis de riesgos se busca conocer todos y cada uno de los controles con que cuenta el proceso o procedimiento analizado para mitigar los riesgos que asume. La identificación de controles tiene como criterio básico para su ejecución, el aporte de los colaboradores involucrados en el proceso y/o procedimiento analizado, por lo que se realiza a través de las reuniones mencionadas en el numeral 3.3.2. Para la adecuada identificación de los controles de un proceso, la Gerencia de Riesgos del Negocio, aparte de la experiencia de los colaboradores, se apoya en los soportes documentales que proporcionen el área de Control Interno y la Revisoría Fiscal a través de sus informes. La identificación de controles, se debe llevar a cabo mínimo dos veces al año, en los meses de junio y diciembre, y abarca la totalidad de los procesos y sus procedimientos, conforme al mapa de procesos vigente.

3.3.3.4. Calificación de la eficiencia de los controles

Corresponde a la determinación del nivel de eficiencia del control o controles establecidos para mitigar un riesgo. Para la calificación de los controles, Positiva utiliza un esquema de auto-evaluación a cargo de cada uno de los líderes o dueños de proceso. Esta calificación se debe llevar a cabo mínimo dos

PROBABILIDAD: (Posibilidad de

ocurrencia)

IMPACTO: (Magnitud de los

efectos)

NIVEL DE RIESGO INHERENTE

(Severidad)



veces al año, en los meses de junio y diciembre, y abarca la totalidad de los procesos y sus procedimientos, conforme al mapa de procesos vigente. Esta actividad estará coordinada por la Gerencia de Riesgos del Negocio, con el apoyo de todos los funcionarios de la Compañía, a través del proceso de captura de información definido para tal fin. Es importante mencionar que el Comité de Riesgos y la Gerencia de Riesgos del Negocio tienen la potestad de modificar la calificación de un control si evidencian argumentos suficientes para hacerlo. De igual forma dicha calificación puede ser modificada por sugerencia de los Órganos de Control Interno (Oficina de Control Interno o Revisoría Fiscal). En Positiva, el nivel de eficiencia de un control está en función de dos variables:

o COBERTURA: es decir si el mismo está orientado a prevenir el impacto o a reducir la probabilidad de ocurrencia y la mitigación de las causas que generan el riesgo.

o EFECTIVIDAD: que comprende del diseño del control en aspectos tales como documentación, indicadores de monitoreo, forma de aplicación, responsable y tipo de control.

3.3.3.5. Estimación del Nivel de riesgo residual

El Nivel de riesgo inherente afectado por la eficiencia del control(es) identificado(s) se denomina Nivel de Riesgo Residual.

NIVEL DE RIESGO

INHERENTE EFICIENCIA

DEL CONTROL

NIVELDE RIESGO

RESIDUAL

COBERTURA

EFECTIVIDAD

EFICIENCIA DEL

CONTROL



3.3.3.6. Matriz de riesgos

El nivel de riesgo o severidad, tanto inherente como residual, se representa gráficamente en una matriz de riesgos, tal como se muestra en la siguiente gráfica.

3.3.4. Evaluación de riesgos

Esta etapa comprende la comparación del nivel de riesgo residual o controlado contra el apetito de riesgo establecido por la Junta Directiva de la compañía, con el fin de determinar el grado de exposición de Positiva al riesgo operativo. La evaluación permite establecer los riesgos a los que se les debe dar prioridad para efecto de definir los planes de tratamiento respectivos. El grado de exposición de Positiva al riesgo operativo y su comparación con el apetito de riesgo definido se realizará como mínimo trimestralmente y será una responsabilidad de la Gerencia de Riesgos del Negocio.

3.3.5. Tratamiento de riesgos

Esta etapa comprende identificar, registrar, evaluar y elegir el conjunto de opciones para mitigar el riesgo o mejorar el control existente, hasta llevarlo el nivel de riesgo aceptable. Todos aquellos riesgos cuyo nivel de riesgo residual o controlado se encuentre ubicado en los niveles ALTO Y EXTREMO, según la matriz de riesgos explicada en el numeral 3.3.3.6 del presente capítulo, requieren obligatoriamente el diseño e implementación de un plan de tratamiento.

Para el caso de los niveles de riesgo MODERADO Y BAJO es decisión de los líderes o dueños de proceso, así como de los gestores de riesgo, la implementación de planes de tratamiento.

A continuación se encuentran las opciones de tratamiento de riesgos:

5 CASI CIERTO 5 10 15 20 25

4 PROBABLE 4 8 12 16 20 EXTREMO

3 POSIBLE 3 6 9 12 15 ALTO

2 IMPROBABLE 2 4 6 8 10 MODERADO

1 RARO 1 2 3 4 5 BAJO

1 INSIGNIFICANTE 2 MENOR 3 MODERADO 4 MAYOR 5 CATASTRÓFICO

NIVEL DE RIESGO

PR

OB

AB

ILID

AD

IMPACTO


Aprobó:


Revisó:


Elaboró:



Fecha:

04/12/2014

Pág. de 43 de 97

EVITAR No realizar la actividad que genera el riesgo

REDUCIR

Implica tomar medidas encaminadas a disminuir la probabilidad y/o el impacto del riesgo a través del tratamiento de las causas que lo generan. A nivel de ejemplo se encuentran las siguientes posibilidades: Para disminuir la probabilidad:

Auditoría o programas de verificación de cumplimiento. Cambio de condiciones contractuales. Revisión formal de especificaciones, requerimientos y diseño. Inspección y procesos de control. Mantenimiento Correctivo. Aseguramiento de Calidad, Gestión y normalización. Investigación y desarrollo Tecnológico. Supervisión. Ensayos. Disposiciones organizacionales. Técnicas de control.

Para disminuir el impacto:

Planes de contingencia. Arreglos contractuales. Condiciones contractuales. Planes de recuperación de desastres. Planes de control de fraudes. Reducción de exposición a causas de riesgo. Políticas de control de precios. Separación o reubicación de una actividad o de recursos.

TRANSFERIR

Reduce el impacto de la materialización del riesgo, a través del traspaso de las pérdidas a otras organizaciones; como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los Contratos de riesgo compartido.

RETENER

Después de reducir o transferir el riesgo, hay parte del riesgo que se ha retenido. Deben implementarse planes para manejar sus consecuencias e identificar la fuente de financiación. La retención de un riesgo también puede ocurrir, si se ha fallado en su identificación.

Los planes de tratamiento definidos para ajustar el nivel de riesgo residual o controlado se constituyen en ACCIONES PREVENTIVAS Y/O CORRECTIVAS del Sistema Integral de Gestión (SIG), por lo que su seguimiento y monitoreo se regirá por las directrices dadas en el SIG.

3.3.6. Monitoreo y revisión

Pocos riesgos permanecen estáticos, por lo tanto, los riesgos y la efectividad de sus medidas de control necesitan ser monitoreados continuamente, para asegurar que circunstancias cambiantes del entorno no generan nuevos riesgos o los modifican.



Por lo anterior, Positiva monitorea trimestralmente su perfil de riesgo a través del indicador denominado “Nivel de Riesgos controlado SARO”. Dicho indicador hace parte del Balanced Scorecard de la Compañía como un indicador corporativo. Su objetivo es monitorear el cumplimiento del nivel de riesgo operativo establecido por la Junta Directiva a nivel institucional. Adicionalmente, dicho indicador será estimado por proceso y comunicado trimestralmente a los dueños de los mismos. De igual manera, y para algunos riesgos identificados en procesos críticos, la Gerencia de Riesgos del Negocio establecerá indicadores descriptivos que le faciliten al dueño del proceso el seguimiento efectivo de los riesgos. El Comité de riesgos, en sus reuniones periódicas, monitorea la evolución del nivel de riesgo de la Compañía y de los procesos.

3.3.7. Comunicación y consulta

En cumplimiento del lineamiento general establecido sobre la divulgación de información en el numeral 1.10 del presente Manual, Positiva ha diseñado un sistema de reportes que garantiza el funcionamiento de sus propios procedimientos y el cumplimiento de sus obligaciones. Para cumplir con lo anterior, como mínimo se implementará:

o Publicación a través de la intranet de la información correspondiente a los procedimientos y procesos desarrollados en la organización, así como los mapas de riesgo operativos correspondientes.

o Reportes a la Junta Directiva, como mínimo semestrales, que permitan dar a conocer el perfil de riesgo de Positiva.

o Publicación en el Informe de gestión anual de la gestión adelantada en materia de administración de riesgos operativos.

o Reportes periódicos de la Gerencia de Riesgos del Negocio sobre el cumplimiento de las políticas, límites y nivel de exposición a los distintos riesgos del negocio asumidos.

3.4 REGISTRO DE EVENTOS DE RIESGO (RER)

El Registro de Eventos de Riesgo (RER) es un mecanismo a través del cual se registran y administran ordenadamente todos los eventos de riesgo operativo materializados en la Compañía y que:

o Generen pérdidas y afecten el estado de resultados. o Generen pérdidas y NO afecten el estado de resultados o No generen pérdidas y por lo tanto no afecten el estado de resultados.

El objetivo de este registro es construir una base de eventos de riesgo que permita adelantar un análisis cualitativo y cuantitativo acerca de la probabilidad e impacto de la materialización de los riesgos. El RER será construido a partir de la información recibida por parte de los Vicepresidentes, Jefes de Oficina y Gerentes, quienes serán los responsables de reportar de forma mensual los eventos presentados en su área, regional o sucursal, dentro de los tres primeros días hábiles de cada mes. De no presentarse eventos durante el mes a reportar, se deberá informar tal hecho a través de comunicación formal por correo electrónico.



El análisis y depuración previos a la consolidación y cargue de los eventos de riesgo está a cargo de los profesionales de la Gerencia de Riesgos de Negocio, área que podrá sugerir las medidas de control inmediatas a que haya lugar. La información contenida en el RER, está sujeta a la aplicación integral de las políticas aprobadas en la Compañía relacionadas con seguridad de la información. La Gerencia de Riesgos de Negocio podrá consultar y obtener de fuentes alternas de información; datos que le permitan identificar eventos de riesgo no reportados por las áreas de la compañía. Posterior a estas indagaciones, y previo análisis de la relevancia en los datos obtenidos, procederá a levantar el respectivo evento de riesgo, el cual será cargado en la base de información consolidada de eventos de riesgo. Se entenderá como fuentes de información alternas, para la detección de eventos de riesgo, todos aquellos informes generados por parte de los entes de control, tanto internos como externos; las bases de información administradas o generadas por los aplicativos que utilizan las áreas de la compañía, el reporte de provisiones administrativas realizadas para procesos judiciales, las sanciones impuestas a la compañía por las diferentes instancias que la vigilan, entre otras. Los campos mínimos del RER en Positiva serán los mencionados en el numeral 3.2.5.1 del Capítulo XXIII de la Circular Básica Financiera expedida por la Superintendencia Financiera de Colombia.



CAPITULO IV

4. SISTEMA DE ADMINISTRACION DEL RIESGO DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO SARLAFT

La Junta Directiva de Positiva Compañía de Seguros S.A. consciente de la amenaza que para el sector asegurador constituyen el Lavado de Activos y la Financiación del Terrorismo, así como de la importancia y urgencia en combatirlos, crea políticas de administración de estos riesgos, mediante la aprobación del presente Capítulo del Manual para la Gestión de Riesgos del Negocio, el cual debe ser de estricto cumplimiento por parte de todos los funcionarios, proveedores e intermediarios de la Compañía. El Código de Ética y Buen Gobierno de la Compañía incorpora las políticas y establece que la inobservancia de las normas que regulan el Sistema de Administración de Riesgos de Lavado de Activos y de la Financiación del Terrorismo, en adelante SARLAFT, se considera falta grave en materia disciplinaria. El SARLAFT se compone de dos fases a saber, la primera que corresponde a la prevención del riesgo, cuyo objetivo es evitar que se introduzcan a la Entidad recursos provenientes de actividades relacionadas con el lavado de activos y/o la financiación del terrorismo. La segunda etapa corresponde al control, cuyo propósito consiste en detectar y reportar las operaciones que se pretendan realizar o se hayan realizado, para intentar dar apariencia de legalidad a operaciones vinculadas al lavado de activos y/o la financiación del terrorismo. 4.1. MARCO CONCEPTUAL

4.1.1. Riesgo de Lavado de Activos y Financiación del Terrorismo.

Es la posibilidad de pérdida o daño que puede sufrir la entidad por su propensión a ser utilizada directamente o a través de sus operaciones como instrumento para el lavado de activos y/o canalización de recursos hacia la realización de actividades terroristas, o cuando se pretenda el ocultamiento de activos provenientes de dichas actividades. El riesgo de lavado de activos y financiación del terrorismo se materializa a través de los riesgos asociados, estos son: riesgo legal, reputacional, operativo y de contagio a los que se expone la entidad, con el consecuente efecto económico negativo que ello puede representar para su estabilidad financiera cuando es utilizada para tales actividades.

4.1.2. Lavado de activos (LA).

Mecanismo a través del cual se oculta el verdadero origen de bienes muebles, inmuebles o dinero proveniente de actividades ilícitas, tales como:

Tráfico de migrantes

Tráfico de personas

Enriquecimiento Ilícito

Secuestro Extorsivo

Financiamiento del Terrorismo

Tráfico de Armas *Tráfico de drogas, estupefacientes

Rebelión

Extorsión



Su fin es vincular los recursos obtenidos de dichas actividades a actividades legales dentro del sistema económico del país.

4.1.3. Financiación del Terrorismo (FT).

Es un delito que busca destinar bienes o dinero de origen lícito o ilícito para financiar actividades terroristas, que intimidan a la población u obligan a un gobierno o a una organización internacional a realizar o abstenerse de realizar un determinado acto por medio de la amenaza de violencia.

4.1.4. Cliente.

Es la persona natural o jurídica con quien POSITIVA establece relaciones de origen legal o contractual para el suministro de productos o servicios en desarrollo de su objeto social. En el contexto del SARLAFT se entienden como clientes:

Tomadores de seguros

Beneficiarios en el pago de siniestros.

Proveedores

Intermediarios

Funcionarios

4.1.5. Factores de riesgo. Corresponde a los agentes generadores del riesgo de LA/FT. Para efectos del SARLAFT se identifican los siguientes:

Productos

Clientes/usuarios

Jurisdicciones

Canales de distribución

4.1.6. Producto. Son las operaciones legalmente autorizadas que puede adelantar POSITIVA mediante la celebración de un contrato (Pólizas de seguro, compra venta de valores, etc.)

4.1.7. Riesgos asociados al LA/FT. Son los riesgos a través de los cuales se materializa el riesgo de LA/FT. Estos son: reputacional, legal, operativo y de contagio.

4.1.8. Riesgo reputacional. Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

4.1.9. Riesgo legal. Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. Surge también como consecuencia de fallas en los contratos y transacciones, derivadas de



actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

4.1.10. Riesgo operativo. Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

4.1.11. Riesgo de contagio.

Es la posibilidad de pérdida que una entidad puede sufrir, directa o indirectamente, por una acción o experiencia de un vinculado. El vinculado es el relacionado o asociado e incluye personas naturales o jurídicas que tienen posibilidad de ejercer influencia sobre la entidad.

4.1.12. Riesgo inherente. Es el nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

4.1.13. Riesgo residual o controlado. Es el nivel resultante del riesgo después de aplicar los controles.

4.1.14. Segmentación. Proceso por medio del cual se lleva a cabo la separación de elementos en grupos homogéneos al interior de ellos y heterogéneos entre ellos. La separación se fundamenta en el reconocimiento de diferencias significativas en sus características (variables de segmentación).

4.1.15. Usuarios. Son aquellas personas naturales o jurídicas a las que, sin ser clientes, la entidad les presta un servicio.

4.1.16. Personas Públicamente Expuestas (PEP´s) Como Persona Públicamente Expuesta (PEP) se entiende a personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público. 4.2. OBJETIVO DEL PRESENTE CAPÍTULO El presente capítulo tiene como objetivo dar a conocer a todos los funcionarios e intermediarios de la Aseguradora, la política, los procedimientos, la estructura organizacional y las funciones y responsabilidades de quienes participan en la administración del riesgo de LA/FT.

4.3. OBJETIVOS DEL SARLAFT El SARLAFT en POSITIVA tiene dos objetivos:



Prevenir que POSITIVA sea utilizada para la introducción a la Economía de recursos provenientes de actividades relacionadas con el lavado de activos y/o la financiación del terrorismo.

Detectar y reportar las operaciones que se pretendan realizar o se hayan realizado a través de POSITIVA, para intentar dar apariencia de legalidad a operaciones vinculadas con el LA/FT.

4.4. POLÍTICA PARTICULAR DEL SARLAFT Además de las políticas, directrices y principios mencionados en el Capítulo I del presente manual, el Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo de POSITIVA adopta los siguientes principios:

4.4.1. Estandarización

El SARLAFT en POSITIVA acoge las etapas del proceso de gestión de riesgos mencionadas en el numeral 1.7 del presente Manual.

4.4.2. Gobernabilidad del mapa de riesgos de LA/FT El Oficial de Cumplimiento es el encargado de la administración y custodia del mapa de riesgos de LA/FT. La información contenida en el mapa de riesgos de LA/FT solo puede ser modificada, eliminada o adicionada con la autorización del Oficial de Cumplimiento y la aprobación de la Junta Directiva.

4.4.3. Capacitación POSITIVA brinda un esquema de capacitación permanente a todos los colaboradores, intermediarios y proveedores respecto al Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo SARLAFT. El esquema de capacitación tendrá como mínimo cuatro componentes:

Proceso de inducción de funcionarios. El cual consiste en brindar una capacitación e instrucción respecto al Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo SARLAFT a los nuevos colaboradores. Esta capacitación se realiza durante el primer mes de ingreso de cada colaborador y es una responsabilidad de la Gerencia de Talento Humano.

Proceso de reinducción de funcionarios. El cual se debe realizar como mínimo 1 vez al año. A través de él se busca que todos los colaboradores de POSITIVA se mantengan actualizados respecto de las modificaciones del Sistema que permanentemente se adoptan para fortalecerlo. Este componente es una responsabilidad compartida entre la Gerencia de Talento Humano y la Gerencia de Riesgos del Negocio.

Capacitación a intermediarios. La cual se debe realizar como mínimo 1 vez al año y en todo caso a los intermediarios nuevos antes de los dos meses posteriores a su vinculación. Este componente es una responsabilidad de la Gerencia de Canales.

Capacitación a proveedores. La cual está destinada a proveedores que tengan contacto directo con clientes en funciones de afiliación, venta de productos, auditoria médica y gestores de promoción y prevención, entre otros. Esta capacitación debe realizarse mínimo 1 vez al año y en todo caso a los proveedores nuevos con dichas funciones, antes de los dos meses posteriores a su vinculación. Este componente es una responsabilidad del Supervisor del respectivo contrato y de la Gerencia de Compras y Contratación.



4.4.4. Lanzamiento de nuevos productos En POSITIVA es obligatorio realizar un análisis de riesgo de Lavado de Activos y Financiación de Terrorismo frente a:

El lanzamiento de cualquier producto.

La modificación de sus características.

La incursión en un nuevo mercado.

La apertura de operaciones en nuevas jurisdicciones.

El lanzamiento o modificación de los canales de distribución. Frente a cualquiera de las situaciones descritas anteriormente, el área respectiva (mercadeo, canales, entre otras) debe incluir dentro de su análisis la evaluación de riesgos, particularmente los asociados a LA/FT, para lo cual cuentan con el apoyo del Oficial de Cumplimiento y la Gerencia de Riesgos de Negocio.

4.4.5. Conocimiento de Clientes En POSITIVA es obligatorio el adecuado conocimiento de nuestros clientes: Tomadores de pólizas, Beneficiarios de pólizas, Intermediarios, Proveedores y Funcionarios. Para cumplir con esta política se requiere el diligenciamiento del formato de vinculación y la respectiva entrevista en todos los casos, salvo las excepciones descritas en el numeral 4.2.2.2.1.6 del Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica. La responsabilidad de las áreas que mantienen relaciones con clientes es conocer adecuadamente el prospecto de cliente antes de adelantar cualquier tipo de vinculación. Dicho conocimiento inicia con el diligenciamiento del formulario de forma completa y con información veraz y confiable; continúa con la realización de una entrevista cuya evidencia queda consignada en el respectivo formulario. Posteriormente, el superior inmediato de quien realiza la vinculación, tiene a cargo la validación de la información y es un punto de control obligatorio.

4.4.6. Calidad Todos los controles establecidos en el desarrollo del SARLAFT deben estar documentados conforme a los lineamientos dados por el Sistema Integrado de Gestión.

4.4.7. Reporte de Información Es responsabilidad de todos los funcionarios de POSITIVA reportar al Oficial de Cumplimiento la información que consideren importante respecto a la detección de operaciones inusuales o sospechosas.

4.4.8. Exoneración Las políticas establecidas en el presente capítulo son de estricto cumplimiento. En el caso particular de aquellas relacionadas con el conocimiento de clientes, ningún funcionario de la Compañía está autorizado para exonerar clientes del cumplimiento de los requisitos exigidos para su vinculación y la actualización de su información durante su relación con la Compañía. En el Ramo de Vida Individual, cuando el asegurado y/o beneficiario sea una persona diferente al tomador, deberá diligenciar el “Formato de Solicitud de Vinculación de Clientes” al momento en que



se individualice; es decir tal información debe recaudarse al momento de la presentación de la solicitud o reclamación.

4.5. ESTRUCTURA ORGANIZACIONAL

4.5.1. Junta Directiva Además de las funciones mencionadas en el numeral 1.9 del presente Manual, la Junta Directiva es quien designa la instancia autorizada para exonerar clientes del diligenciamiento de los formularios de conocimiento al cliente y operaciones en efectivo.

4.5.2. Presidente Además de las funciones mencionadas en el numeral 1.9 del presente Manual, la Presidencia deberá aprobar los criterios, metodologías y procedimientos de selección, seguimiento y cancelación de los contratos celebrados con terceros para la realización de aquellas funciones relacionadas con el SARLAFT que pueden realizarse por éstos.

4.5.3. Oficial de Cumplimiento El Oficial de cumplimiento de POSITIVA tendrá las siguientes funciones:

Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el SARLAFT.

Presentar, en forma trimestral, informes presenciales y escritos a la Junta Directiva en los cuales debe referirse como mínimo a los siguientes aspectos:

Resultados de la gestión desarrollada. Cumplimiento que se ha dado en relación con el envío de los reportes a las

diferentes autoridades. Evolución individual y consolidada de los perfiles de riesgo de los factores

de riesgo y los controles adoptados, así como de los riesgos asociados. La efectividad de los mecanismos e instrumentos establecidos por la

Compañía en el presente Capítulo, así como las medidas adoptadas para corregir las fallas en el SARLAFT.

Resultados de los correctivos ordenados por la Junta Directiva. Documentos y pronunciamientos emanados de las entidades de control y

de la Unidad de Información y Análisis Financiero – UIAF.

Promover la adopción de correctivos al SARLAFT.

Coordinar el desarrollo de programas internos de capacitación.

Proponer a la Administración la actualización del presente capítulo y velar por su divulgación a los funcionarios.

Colaborar con la instancia designada por la Junta Directiva en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos para la oportuna detección de las operaciones inusuales.

Evaluar los informes presentados por la Oficina de Control Interno y por el Revisor Fiscal, y adoptar las medidas del caso frente a las deficiencias informadas.

Diseñar las metodologías de segmentación, identificación, medición y control del SARLAFT.

Elaborar y someter a la aprobación de la Junta Directiva, los criterios objetivos para la determinación de las operaciones sospechosas, así como aquellos para determinar



cuáles de las operaciones efectuadas por usuarios serán objeto de consolidación, monitoreo y análisis de inusualidad.

4.6. ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO DE LAVADO DE ACTIVOS Y

FINANCIACIÓN DEL TERRORISMO

4.6.1. Identificación La identificación de riesgos de LA/FT se basa en los factores de riesgo: producto, cliente, canal de distribución y jurisdicción. Para una adecuada identificación se entenderá como riesgo de LA/FT toda aquella situación, hecho o circunstancia que impida prevenir que POSITIVA sea utilizada para la introducción a la Economía de recursos provenientes de actividades relacionadas con el lavado de activos y/o la financiación del terrorismo. La identificación de riesgos está basada en la segmentación por factores de riesgo que se describe a continuación.

4.6.1.1. Segmentación de los Factores de Riesgo. En el presente numeral POSITIVA describe la segmentación utilizada para la adecuada identificación de riesgos de LA/FT. La actualización de la segmentación por factores de riesgo debe ser revisada mínimo cada dos años.

4.6.1.1.1. Segmentación por Producto Se efectúa tomando como base cuatro tipologías de LA/FT identificadas por GAFI

2 y la UIAF

3.

En la siguiente tabla se describe cada una de las tipologías utilizadas.

2 El GAFI ó Grupo de Acción Financiera sobre Blanqueo de Capitales es un organismo intergubernamental creado en 1989 por el Grupo de

los siete (G7). Actualmente el GAFI está integrado por miembros de 34 jurisdicciones y 2 organizaciones regionales (el Consejo de Cooperación del Golfo y la Comisión Europea).

3

La UIAF o Unidad de Información y Análisis Financiero es un organismo gubernamental con dependencia del Ministerio de Hacienda y Crédito Público, cuya misión es proteger la defensa y seguridad nacional en el ámbito económico, mediante inteligencia estratégica y operativa sustentada en tecnología e innovación, en un marco de respeto a los Derechos Fundamentales, al Derecho Internacional de los Derechos Humanos y al Derecho Internacional Humanitario, con el objeto de prevenir y detectar actividades asociadas con los delitos de Lavado de Activos, sus delitos fuente, la Financiación del Terrorismo y proveer información útil en las Acciones de Extinción de Dominio.

http://www.fatf-gafi.org/pages/0,2987,en_32250379_32235720_1_1_1_1_1,00.html



Tabla 1 Tipologías de Lavado de Activos y Financiación del Terrorismo

Teniendo en cuenta dichas tipologías y las características de diseño de cada producto, se procede a realizar un análisis de vulnerabilidad de los mismos, cuyos resultados se encuentran en la Tabla 2.

ENTIDAD TIPOLOGIA

1

Obtención de recursos a través de la triangulación de pagos para LA/FT.

Pago por parte de la compañía de seguros a un tercero o personas que no hacen parte de un contrato de prestación de servicios. La comapñía de seguros mantiene una

relación contractual con un proveedor, que presta susu servicios para atender a los asegurados, sin embargo al momento de realizar la facturación, el proveedor cede los

derechos a un tercero no vinculado en la negociación inicial.

2

Utilización de canales de distribución masivos para la suscripción de seguros de vida.

Miembros de organizaciones criminales utilizan los productos financieros para adquirir varios seguros de vida a nombre de una o varias personas. Estas personas al poco tiempo

fallecen (generalmente por muerte violenta), haciendo efectiva la reclamación ante las diferentes compañías de seguro, por parte de los beneficiarios designados al momento

de la suscripción.

3

Delegación de conocimiento de clientes en Intermediarios.

Clientes de varios países recurrieron a los servicios de un intermediario para adquirir pólizas de seguro. Se solicitó la identificación del cliente mediante un documento de

identidad, pero estos datos no pudieron ser aclarados por la institución aseguradora por ser un extranjero. La Aseguradora confió en que los procedimientos de verificación

realizados por el intermediario habían sido adecuados.

La póliza se puso en vigor y el intermediario realizó los pagos correspondientes a la institución. A continuación, transcurridos unos pocos meses, la institución recibiría una

notificación del cliente indicando que se había producido un cambio en las circunstancias, y que debía cancelar la póliza incurriendo en las pérdidas que correspondiese, y por

lo tanto, solicitaban un reembolso del dinero pagado (un cheque).

En otros casos, se dejaba en vigor la póliza por un par de años antes de cancelarla solicitando que el pago se hiciera a un tercero. Con frecuencia, la institución financiera local

procesaba el cheque de reembolso sin cuestionar nada ya que el pago provenía de otra institución local de probada reputación.

4

Uso de productos con componente de ahorro.

EL CRIMEN ORGANIZADO LAVA DINERO MEDIANTE PÓLIZAS DE SEGURO DE VIDA Funcionarios aduaneros del País X iniciaron una investigación que descubrió que una

organización de tráfico de estupefacientes utilizaba el sector de seguros para lavar los fondos obtenidos. Como resultado de los esfuerzos de investigación realizados por

autoridades encargadas de la aplicación de la ley y judiciales se determinó que los narcotraficantes lavaban dinero a través de la Compañía de Seguros Z ubicada en jurisdicción

de otro país.

La Compañía de Seguros Z ofrece productos de inversión similares a los fondos mutuos de inversión. La tasa de retorno de la inversión dependía de los índices de los principales

mercados de valores del mundo de modo que las pólizas pudieran ser consideradas como inversiones. Los titulares de las cuentas colocaban dinero en exceso dentro de las

pólizas, aportando y retirando capitales del fondo con el único costo de un retiro anticipado. Luego los fondos se cobraban en la forma de una transferencia electrónica o un

cheque de una compañía de seguros, todo aparentemente limpio y lícito.

Hasta la fecha, la investigación descubrió que se lograron lavar más de 29 millones de dólares estadounidenses mediante esta maniobra, de los cuales se incautaron más de 9

millones. Además, en base a los esfuerzos investigativos conjuntos del País Y (el país de origen de los estupefacientes) y los funcionarios aduaneros del País Z, se ejecutaron

varias órdenes de allanamiento y de arresto relacionadas con las actividades de lavado de activos de ciertos individuos asociados con la Compañía de Seguros Z.

UIAF

GAFI



Tabla 2

Análisis de vulnerabilidades por producto

TIPOLOGIA VULNERABILIDADPositiva Vida

Anual

Seguro

Temporal Anual

Creciente o

Constante

Positiva Vida

Constructores

Ocupaciones

Especiales

Positiva Vida

Conductores

Inversión

Positiva 60 o 65

Años

Inversión

Positiva 15 o 20

Años

Largo Plazo

Inversión 60 o

65 Años

Positiva/

Ahorro y Vida

5,10, 15 o 20

años

Desconocimiento de la composición accionaria de la persona jurídica

que presta el servicio.

Realizar pagos en cheque sin restricciones.

Realizar pagos a un tercero diferente al prestador del servicio.

Cesión de derechos de pago por el servicio prestado a un tercero.

No existe relación tomador - asegurado - beneficiario X X X X X X X X X

No existe mínimo de permanencia exigido para la indemnización por

muerte violenta o suicidio

Falta de conocimiento de los beneficiarios, o beneficiario de varios

productos diferentes CompañíasX X X X X X X X X

Permitir Tomadores o beneficiarios en el exterior X X X X X X X X X

Controles laxos para los canales de distribución X X X X X X X X X

Permitir montos altos de primas, o no existe relación entre prima e

ingresosX X X X

Insuficiencia de información del Tomador

Existencia de un producto con características de componente de

ahorro, rescate o devolución de primaX X X X

Terminación anticipada de la póliza X X X X

Realizar pagos a terceros del valor de rescate o primas X X X X

Permitir cambios de beneficiario sin existir relación con el asegurado X X X X

Realizar pagos en cheque sin restricciones X X X X

Permitir Incremento en primas de ahorro X X X X

Realizar pagos a terceros del ahorro X X X X

Falta de análisis de información financiera X X X X

Terminación anticipada de la póliza para recuperar valor rescate X X X X

Falta de relación ahorro - prima X X X X

Permitir cambios de beneficiario sin existir relación con el asegurado X X X X X X X X X

Realizar pagos a terceros del siniestro X X X X X X X X X

Insuficiencia de información del beneficiario

No existe relación tomador - beneficiario - asegurado

TIPOLOGÍA 1

TIPOLOGÍA 2

TIPOLOGÍA 3

TIPOLOGÍA 4

TIPOLOGÍA 5

TIPOLOGIA VULNERABILIDAD Vida GrupoVida Grupo

Convenio USO

Vida Grupo

Deudores

Vida Grupo

Elección

Popular

Accidentes

Personales

Generación

Positiva

Accidentes

Personales

Colectivo

Accidentes

Personales

Corto Plazo

Accidentes

Personales

Individual

Riesgos

Laborales

Gastos Médicos

por

Complicaciones

en Cirugías

Seguro de

Renta Vitalicia

Inmediata

Seguro de

Renta Vitalicia

Diferida

Seguro de

Pensiones con

Conmutación

Pensional.

Desconocimiento de la composición accionaria de la persona jurídica

que presta el servicio.X X X X X X X X X X

Realizar pagos en cheque sin restricciones. X X X X X X X X X

Realizar pagos a un tercero diferente al prestador del servicio. X X X X X X X X X

Cesión de derechos de pago por el servicio prestado a un tercero. X X X X X X X X X

No existe relación tomador - asegurado - beneficiario X X X X

No existe mínimo de permanencia exigido para la indemnización por

muerte violenta o suicidioX X X X X X

Falta de conocimiento de los beneficiarios, o beneficiario de varios

productos diferentes CompañíasX X X X X X X X

Permitir Tomadores o beneficiarios en el exterior X X X X X X X X X X X X X

Controles laxos para los canales de distribución X X X X X X X X

Permitir montos altos de primas, o no existe relación entre prima e

ingresos

Insuficiencia de información del Tomador X

Existencia de un producto con características de componente de

ahorro, rescate o devolución de prima

Terminación anticipada de la póliza

Realizar pagos a terceros del valor de rescate o primas

Permitir cambios de beneficiario sin existir relación con el asegurado

Realizar pagos en cheque sin restricciones

Permitir Incremento en primas de ahorro

Realizar pagos a terceros del ahorro

Falta de análisis de información financiera

Terminación anticipada de la póliza para recuperar valor rescate

Falta de relación ahorro - prima

Permitir cambios de beneficiario sin existir relación con el asegurado X X X X X X X X

Realizar pagos a terceros del siniestro X X X X X X X X

Insuficiencia de información del beneficiario X X X

No existe relación tomador - beneficiario - asegurado X X X X X X X X

TIPOLOGÍA 1

TIPOLOGÍA 2

TIPOLOGÍA 3

TIPOLOGÍA 4

TIPOLOGÍA 5



A partir de dicho análisis, los productos se agrupan en tres segmentos (ALTO, MEDIO y BAJO) en función de la cantidad de vulnerabilidades identificadas, tal como se define en la siguiente tabla.

Tabla 3 Segmentación por Producto

4.6.1.1.2. Segmentación por cliente

Conforme a la definición de cliente mencionada en el numeral 4.1.4 del presente Manual, se identifican 5 tipos de clientes con los que actualmente la Compañía tiene una relación de origen legal o contractual:

Tomadores de seguros

Beneficiarios en el pago de siniestros.

Intermediarios

Proveedores

Funcionarios

A partir de la tipificación de clientes, se procede a analizar las características de cada uno de ellos, segmentándolos de la siguiente manera:



Tabla 4- Segmentación por Cliente

Tomadores y/o beneficiarios de pólizas

Los tomadores y/o beneficiarios se clasifican en dos grupos: Personas Jurídicas y Personas Naturales y se segmentan con base en su actividad económica.

Para efecto de la segmentación de las personas jurídicas se toma como base la información publicada por GAFISUD en el documento “Actividades y Profesiones No Financieras Designadas”

4

relacionada con las actividades económicas más utilizadas para el lavado de activos. Los dos segmentos identificados son: CRÍTICO y NO CRÍTICO. Dentro del segmento crítico se incluyen aquellas actividades mencionadas en el documento de GAFISUD y en el segmento no crítico aquellas actividades no mencionadas en dicho documento, tal como se observa en la Tabla 5:

Tabla 5 - Segmentación por cliente: tomadores y/o beneficiarios Personas Jurídicas

4 GAFISUD: Actualmente denominado GAFILAT es una organización intergubernamental de base regional que agrupa a 12 países de

América del Sur, Centroamérica y América de Norte para combatir el lavado de dinero y la financiación del terrorismo, a través del compromiso de mejora continua de las políticas nacionales contra ambos temas y la profundización en los distintos mecanismos de cooperación entre los países miembros. (http://www.gafisud.info/pdf/TipologasAPNFD.pdf)



Proveedores Los proveedores se clasifican en dos grupos: Personas Jurídicas y Personas Naturales. Cada uno de estos grupos se segmenta con base en su actividad económica, utilizando las mismas categorías mencionadas en la tabla 5 para tomadores o beneficiarios personas jurídicas.

Intermediarios Teniendo en cuenta el modelo de negocio utilizado por POSITVA, el cual implica que nuestros canales de distribución de productos son los intermediarios; la segmentación de éstos últimos se explica en el numeral del presente capítulo, en el cual hacemos referencia a la segmentación por Factor Canal de distribución.

Funcionarios

Los funcionarios se agrupan en dos segmentos, denominados CRÍTICO y NO CRÍTICO, en función del nivel de vulnerabilidad percibido para cada área de la Compañía en los siguientes aspectos:

Contacto con clientes externos: entre mayor sea el contacto del área con clientes externos, mayor es la vulnerabilidad del área y de sus funcionarios.

Plan de contratación: entre mayor sea el valor o monto del plan de contratación, mayor es la vulnerabilidad del área y de sus funcionarios.

Alto: Más de 10.000 SMMLV Medio: Entre 2.000 y 9.999 SMMLV Bajo: Menos de 2.000 SMMLV

Administración de recursos monetarios: Si el área administra y puede tomar decisiones relacionadas con el movimiento de los recursos monetarios de la Compañía, mayor es su vulnerabilidad y la de sus funcionarios.

Un área crítica es aquella que tenga dos de las tres vulnerabilidades evaluadas en nivel “ALTO”. Adicionalmente, la Presidencia, Vicepresidencias y Secretaría General se consideran áreas críticas. A continuación se describe el resultado por área, del análisis de las vulnerabilidades mencionadas, así como su segmentación:

Tabla 6 - Segmentación por cliente: Funcionarios



4.6.1.1.3. Segmentación por Jurisdicción Para la segmentación por este factor se toma como base la división política administrativa del País; es decir se dividió el País en 33 departamentos, así como las variables relacionadas en la siguiente tabla, la cual indica además la fuente de información utilizada.

Tabla 7 - Variables de segmentación para el factor Jurisdicción

La relación entre cada variable mencionada y el nivel de exposición a riesgo de LA/FT es directa; es decir entre mayor sea la variable mayor percepción de riesgo de LA/FT; excepto con la variable

VICEPRESIDENCIA GERENCIAContacto con

cliente externo

Alto presupuesto

de contratación

Administración del

portafolio de recursos

líquidos de la Compañía

Critico No critico

PRESIDENCIA ALTO ALTO ALTO X

VICEPRESIDENCIA DE RIESGOS ALTO BAJO MEDIO X

GERENCIA DE RIESGOS DE NEGOCIO BAJO BAJO BAJO X

GERENCIA DE RIESGOS DE INVERSIONES BAJO BAJO MEDIO X

OFICINA DE ESTRATEGIA Y DESARROLLO BAJO BAJO BAJO X

SECRETARIA GENERAL ALTO MEDIO BAJO X

GERENCIA DE TALENTO HUMANO MEDIO MEDIO BAJO X

GERENCIA JURIDICA MEDIO BAJO BAJO X

VICEPRESIDENCIA DE NEGOCIOS ALTO ALTO BAJO X

GERENCIA DE CANALES ALTO ALTO BAJO X

GERENCIA DE SERVICIO AL CLIENTE BAJO BAJO BAJO X

GERENCIA DE PRODUCTO VIDA ALTO MEDIO BAJO X

GERENCIA DE MERCADEO BAJO MEDIO BAJO X

GERENTE DE PRODUCTOS ARL ALTO BAJO BAJO X

OFICINA DE CONTROL INTERNO BAJO BAJO BAJO X

OFICINA DE CONTROL DISCIPLINARIO BAJO BAJO BAJO X

VICEPRESIDENCIA DE PROMOCIÓN Y

PREVENCIÓN ALTO ALTO ALTO X

GERENCIA DE ADMINISTRACIÓN DEL RIESGO ALTO ALTO BAJO X

GERENCIA DE INVESTIGACIÓN Y CONTROL DEL

RIESGO MEDIO ALTO BAJO X

VICEPRESIDENCIA DE INVERSIONES ALTO BAJO ALTO X

GERENCIA DE INVERSIONES ALTO BAJO ALTO X

GERENCIA DE ESTRATEGIA DE INVERSIONES ALTO BAJO ALTO X

VICEPRESIDENCIA FINANCIERA ALTO ALTO ALTO X

GERENCIA DE GESTIÓN FINANCIERA MEDIO BAJO BAJO X

GERENCIA DE LOGISTICA ALTO ALTO BAJO X

GERENCIA DE COMPRAS Y CONTRATACIÓN ALTO BAJO BAJO X

GERENCIA OPERACIONES FINANCIERAS ALTO BAJO ALTO X

VICEPRESIDENCIA TÉCNICA ALTO ALTO BAJO X

GERENCIA DE ACTUARIA BAJO BAJO BAJO X

GERENCIA MEDICA ALTO ALTO BAJO X

GERENCIA DE INDEMNIZACIONES ALTO BAJO ALTO X

GERENCIA TÉCNICA DE VIDA ALTO BAJO BAJO X

VICEPRESIDENCIA DE OPERACIONES ALTO BAJO BAJO X

GERENCIA DE AFILIACIONES Y NOVEDADES ALTO BAJO BAJO X

GERENCIA DE TESORERIA MEDIO BAJO ALTO X

GERENCIA DE RECAUDO Y CARTERA ALTO BAJO BAJO X

GERENCIA DE PENSIONES MEDIO BAJO BAJO X

VICEPRESIDENCIA TIC`S ALTO ALTO BAJO X

GERENCIA DE INFRAESTRUCTURA DE

TECNOLOGIA INFORMATICA MEDIO ALTO BAJO X

GERENCIA DE SOLUCIONES TIC`S MEDIO ALTO BAJO X

REGIONALES GERENCIA ALTO ALTO BAJO X

SUCURSALES GERENCIA ALTO ALTO BAJO X

Varibale FuenteTasa anual de homicidios por cada 100.000

habitantes“Informe comportamiento del homicidio en Colombia 2013” de FORENSIS.

Tasa anual de secuestros por cada 1.000

habitantes

Base de secuestros pública, descargada del Centro Nacional de Memoria

Histórica. Corresponde al número de secuestros ocurridos entre 1970 y

2010.

Exposición al conflicto armado

“Informe especial del Conflicto Armado en Colombia” presentado en el año

2012 por el Centro de Investigación y Educación Popular – Programa por la

Paz CINEP.

Tasa de población desplazada por cada 1.000

habitantes

“Informe de acción social sobre desplazamiento forzado” durante el período

2007 a 2010, presentado por el Observatorio Nacional de Desplazamiento

Forzado.

Casos de parapolítica por cada 1.000 habitantes “Balance Político”, Corporación Nuevo Arco Iris, período 2002 a 2009.

Índice de Transparencia Departamental“Informe sobre el Índice de Transparencia Departamental” para los años 2008

y 2009. Corporación Transparencia por Colombia.



del Índice de Transparencia Departamental, la cual tiene una relación inversa, entre menor sea el índice mayor es la percepción de riesgo de LA/FT. En la tabla 8 se relacionan los datos de cada variable para cada departamento.

Tabla 8 - Variables utilizadas para calificar el Nivel de Riesgo de LA/FT

Con la información mencionada se procede a calificar el nivel de riesgo de LA/FT de cada departamento conforme a cada una de las variables mencionadas. Para lo anterior se utilizó un análisis de la distribución de frecuencia de cada variable. En la tabla 9 se encuentra la calificación por departamento y variable.

Tabla 9 - Nivel de riesgo por Departamento y variable

DEPARTAMENTO

Tasa de homicidios

por cada 100.000

habitantes

Tasa de Secuestros

por cada 1.000

habitantes

Exposición al

Conflicto Armado

Tasa de Población

desplazada por cada

1.000 habitantes

No. De casos de

parapolítcia por cada

1.000 habitantes

Indice de

tranasparencia

departamental

Amazonas 8.05 0.1477 BAJA 0.0295 - 47.10

Antioquia 41.64 1.2122 MEDIA 0.6702 0.00440 71.70

Arauca 60.81 2.4600 ALTA 5.7643 - 71.40

Atlántico 21.47 0.1417 MEDIA 0.0175 0.01293 77.90

Bogotá, D.C. 16.72 0.3759 MEDIA 0.0042 - 78.20

Bolívar 18.84 0.8079 MEDIA 0.2310 0.00905 67.90

Boyacá 7.62 0.5672 MEDIA 0.0382 0.01195 80.30

Caldas 26.93 0.7587 MEDIA 0.1166 0.01032 81.70

Caquetá 46.40 2.1007 MEDIA 6.0689 0.00476 67.00

Casanare 22.96 2.9490 MEDIA 0.2810 0.02709 64.00

Cauca 28.79 1.1711 ALTA 2.1569 0.00630 65.20

Cesar 25.20 2.8994 MEDIA 0.3033 0.01107 51.40

Chocó 34.88 1.4206 MEDIA 2.0703 0.02423 49.20

Córdoba 16.95 0.3086 MEDIA 0.9210 0.01090 70.90

Cundinamarca 19.40 0.6574 MEDIA 0.0351 0.00921 78.20

Guainía - 0.2271 BAJA 2.0153 - 53.70

Guaviare 41.69 2.8676 MEDIA 5.9968 0.12559 40.10

Huila 23.35 0.8938 MEDIA 1.3031 - 66.40

La Guajira 19.28 1.0461 MEDIA 0.3331 0.00293 57.20

Magdalena 28.41 1.0462 MEDIA 0.3774 - 69.50

Meta 35.36 2.0289 MEDIA 1.3714 0.01405 66.80

Nariño 27.15 0.5928 ALTA 2.2861 0.00195 76.80

Norte de Santander 36.25 1.1608 MEDIA 0.3923 0.00482 77.70

Putumayo 46.88 1.0770 ALTA 4.5916 0.00645 51.50

Quindio 45.08 0.3648 MEDIA 0.1609 - 78.30

Risaralda 37.93 0.7599 ALTA 0.0301 0.00446 78.40

San Andres 22.62 - MEDIA - - 64.00

Santander 16.41 1.0195 MEDIA 0.2891 0.00715 84.00

Sucre 18.32 1.1179 MEDIA 0.1127 0.02332 65.30

Tolima 16.57 0.9851 MEDIA 1.4084 0.01318 68.20

Valle del Cauca 75.79 0.6536 MEDIA 0.3160 0.00384 73.10

Vaupés - 2.6477 BAJA 0.5856 - 49.60

Vichada 17.50 1.2708 MEDIA 2.0762 0.01790 54.80



Tabla 10 - Resumen de los resultados por departamento

No. De variables por Nivel

Para efecto de evaluar la consistencia relativa entre las calificaciones obtenidas en cada una de las variables consideradas para la medición del nivel de exposición a riesgo de LA/FT, se corrió la prueba de Alpha Cronbach

5 obteniendo como resultado un Alpha de 0,617, el cual evidencia que

5 Alpha de Cronbach: Índice que se emplea para medir la consistencia interna de una escala. Es un instrumento para la medición de la

homogeneidad interna de una variable, mirada globalmente. Generalmente varía entre 0 y 1. Entre más cercano a 1 mayor es el nivel de consistencia interna de la escala.

DEPARTAMENTO

Tasa de homicidios

por cada 100.000

habitantes

Tasa de Secuestros por

cada 1.000 habitantes

Exposición al

Conflicto Armado

Tasa de Población

desplazada por cada

1.000 habitantes

No. De casos de

parapolítcia por cada 1.000

habitantes

Indice de tranasparencia

departamental

Amazonas BAJA BAJA BAJA BAJA BAJA ALTA

Antioquia MEDIA MEDIA MEDIA BAJA BAJA BAJA

Arauca ALTA ALTA ALTA ALTA BAJA BAJA

Atlántico BAJA BAJA MEDIA BAJA BAJA BAJA

Bogotá, D.C. BAJA BAJA MEDIA BAJA BAJA BAJA

Bolívar BAJA BAJA MEDIA BAJA BAJA MEDIA

Boyacá BAJA BAJA MEDIA BAJA BAJA BAJA

Caldas MEDIA BAJA MEDIA BAJA BAJA BAJA

Caquetá MEDIA ALTA MEDIA ALTA BAJA MEDIA

Casanare BAJA ALTA MEDIA BAJA BAJA MEDIA

Cauca MEDIA MEDIA ALTA MEDIA BAJA MEDIA

Cesar BAJA ALTA MEDIA BAJA BAJA ALTA

Chocó MEDIA MEDIA MEDIA MEDIA BAJA ALTA

Córdoba BAJA BAJA MEDIA BAJA BAJA BAJA

Cundinamarca BAJA BAJA MEDIA BAJA BAJA BAJA

Guainía BAJA BAJA BAJA BAJA BAJA ALTA

Guaviare MEDIA ALTA MEDIA ALTA ALTA ALTA

Huila BAJA BAJA MEDIA BAJA BAJA MEDIA

La Guajira BAJA MEDIA MEDIA BAJA BAJA MEDIA

Magdalena MEDIA MEDIA MEDIA BAJA BAJA BAJA

Meta MEDIA ALTA MEDIA BAJA BAJA MEDIA

Nariño MEDIA BAJA ALTA MEDIA BAJA BAJA

Norte de Santander MEDIA MEDIA MEDIA BAJA BAJA BAJA

Putumayo MEDIA MEDIA ALTA ALTA BAJA ALTA

Quindio MEDIA BAJA MEDIA BAJA BAJA BAJA

Risaralda MEDIA BAJA ALTA BAJA BAJA BAJA

San Andres BAJA BAJA MEDIA BAJA BAJA MEDIA

Santander BAJA MEDIA MEDIA BAJA BAJA BAJA

Sucre BAJA MEDIA MEDIA BAJA BAJA MEDIA

Tolima BAJA MEDIA MEDIA BAJA BAJA MEDIA

Valle del Cauca ALTA BAJA MEDIA BAJA BAJA BAJA

Vaupés BAJA ALTA BAJA BAJA BAJA ALTA

Vichada BAJA MEDIA MEDIA MEDIA BAJA MEDIA

Departamento BAJA MEDIA ALTA TOTAL

Amazonas 5 0 1 6

Antioquia 3 3 0 6

Arauca 2 0 4 6

Atlántico 5 1 0 6

Bogotá, D.C. 5 1 0 6

Bolívar 4 2 0 6

Boyacá 5 1 0 6

Caldas 4 2 0 6

Caquetá 1 3 2 6

Casanare 3 2 1 6

Cauca 1 4 1 6

Cesar 3 1 2 6

Chocó 1 4 1 6

Córdoba 5 1 0 6

Cundinamarca 5 1 0 6

Guainía 5 0 1 6

Guaviare 0 2 4 6

Huila 4 2 0 6

La Guajira 3 3 0 6

Magdalena 3 3 0 6

Meta 2 3 1 6

Nariño 3 2 1 6

Norte de Santander 3 3 0 6

Putumayo 1 2 3 6

Quindio 4 2 0 6

Risaralda 4 1 1 6

San Andres 4 2 0 6

Santander 4 2 0 6

Sucre 3 3 0 6

Tolima 3 3 0 6

Valle del Cauca 4 1 1 6

Vaupés 4 0 2 6

Vichada 2 4 0 6



existe consistencia relativa entre las calificaciones dadas por cada variable a cada departamento (Anexo I-a). Comprobada la consistencia se realizó el análisis de 5 escenarios de segmentación, combinando las calificaciones individuales obtenidas con cada variable y se midió la concordancia

6 en cada uno

de los escenarios (Anexo I, literales b y c). A partir de la metodología descrita en los literales b y c del anexo I se obtuvo la segmentación por jurisdicción que se muestra a continuación:

Tabla 12 - Segmentación por Jurisdicción

4.6.1.1.4. Segmentación por Canal de Distribución En POSITIVA utilizamos dos canales de distribución: intermediarios y fuerza de ventas directa. Dentro de los intermediarios se consideran: Agentes, Agencias y Corredores de Seguros. Por las características propias de cada uno de ellos se afirma que son homogéneos a su interior y heterogéneos entre sí. De acuerdo a lo anterior se procede a calificar de forma cualitativa y en tres niveles las siguientes variables, para cada uno de los canales mencionados:

Tabla 13 - Variables de calificación por Canal de Distribución

6 La concordancia se midió a través del Coeficiente de Kappa. Este Coeficiente es utilizado para medir el grado de acuerdo entre varios

métodos o evaluadores que clasifican a un sujeto(s) o al resultado de una observación, según una serie de posibilidades (categorías) mutuamente excluyentes. Su resultado oscila entre -1 y 1; siendo 1 una concordancia perfecta.

Categoría Baja Categoría Media Categoría Alta

Amazonas Antioquia Arauca

Atlántico Bolívar Guaviare

Bogotá, D.C. Caldas Putumayo

Boyacá Caquetá

Córdoba Casanare

Cundinamarca Cauca

Guainía Cesar

Chocó

Huila

La Guajira

Magdalena

Meta

Nariño

Norte de Santander

Quindio

Risaralda

San Andres

Santander

Sucre

Tolima

Valle del Cauca

Vaupés

Vichada



En la tabla se muestran los resultados por tipo de canal de distribución:

Tabla 14 - Segmentación por Canal de Distribución

Agentes Agencias Corredores Fuerza de venta directa

Nivel de supervisión Bajo Bajo Alto Bajo

Esquema de Gobierno Corporativo Bajo Medio Alto Medio

Solvencia patrimonial Bajo Medio Alto Medio

Nivel de riesgo Alto Medio Bajo Medio

4.6.2. Medición En esta etapa se determina el nivel de riesgo inherente al cual está expuesta la entidad, teniendo en cuenta los criterios de probabilidad de ocurrencia e impacto de los riesgos identificados. La medición de la probabilidad y el impacto se realiza de acuerdo con lo señalado en los numerales 3.3.3.1 y 3.3.3.2 del presente Manual.

4.6.3. Control En esta etapa se identifican y califican los efectos mitigadores de los controles establecidos para los riesgos relacionados con el Sistema de Administración del Riesgo de Lavado de Activos y/o Financiación del Terrorismo. Lo anterior se realiza conforme a lo establecido en el numeral 3.3.3.4 del presente Manual. Una vez calificados los controles se procede a estimar el perfil de riesgo residual o controlado mediante la aplicación de la metodología descrita en el numeral 3.3.3.5 del presente Manual

4.6.4. Monitoreo Esta etapa comprende la determinación del grado de exposición de POSITIVA al riesgo de lavado de activos y financiación de terrorismo, así como la comparación del nivel de riesgo residual o controlado contra el apetito de riesgo aprobado por la Junta Directiva de la compañía. El grado de exposición de POSITIVA al riesgo de LA/FT y su comparación con el apetito de riesgo definido se realizará como mínimo semestralmente y será una responsabilidad de la Gerencia de Riesgos del Negocio. Para efectos de la determinación del grado de exposición a riesgo de LA/FT al final de cada semestre, cada dueño de proceso, en el que se encuentren ubicados los controles, deberá auto-

Variable Nivel Descripción

Alto Vigilado por Superfinanciera

Bajo No vigilado

Alto Se evidencia estructura como empresa.

Medio La estructura empresarial depende del tamaño

Bajo No existe estructura empresarial

Alto Exigencia mínima de capital.

Medio Sin exigencia de capital. Interés por presentar solvencia patrimonial por el tamaño del negocio.

Bajo Sin exigencia mínima de capital. Respaldo patrimonio personal.

Supervisión

Gobierno

Solvencia patrimonial



evaluar la eficiencia de los mismos siguiendo la metodología establecida en el numeral 3.3.3.4 del presente Manual.

4.7. MECANISMOS ESPECIALES DEL SARLAFT

4.7.1. Conocimiento del Cliente Para garantizar el adecuado conocimiento de los clientes, los funcionarios directamente involucrados en los procesos de vinculación de los mismos están en la obligación de hacer diligenciar el formulario de vinculación por parte del cliente, realizar la respectiva entrevista previa a su vinculación, verificar la información entregada por el cliente y realizar las acciones necesarias para actualizar, como mínimo anualmente, los datos suministrados en el formulario de vinculación. Para facilitar esta labor, los dueños de los procesos que vinculen clientes deben documentar los respectivos procedimientos dejando explícita la obligación del diligenciamiento del formulario y su renovación anual, así como la obligatoriedad de verificar la información y la realización de la respectiva entrevista.

4.7.1.1. Diligenciamiento del formulario Es responsabilidad de todos los colaboradores de la compañía, sean intermediarios o funcionarios, adelantar el proceso de conocimiento del cliente a partir del diligenciamiento del formulario diseñado para tal fin, así como de su actualización anual, en relación con aquella información que sea susceptible de variación. Las únicas excepciones a la obligación de diligenciar el formulario de conocimiento del cliente son las contenidas en el numeral 4.2.2.2.1.6 del capítulo IV, del título IV de la Parte I de la Circular Básica Jurídica. Para efectos del diligenciamiento se debe atender el “Instructivo de diligenciamiento y verificación del formulario de conocimiento del cliente”, disponible en la ISONET para consulta permanente.

4.7.1.2. Realización de entrevistas Previo a la vinculación de un cliente es obligatoria la realización de la entrevista. De dicha entrevista debe dejarse constancia documental en el respectivo formulario de vinculación. La realización de la misma es una responsabilidad de:

Tomadores de seguros: Canal de distribución (agentes, agencias, corredores o fuerza de venta directa), Gerencia de Regional y Gerencia de Sucursal.

Beneficiario: Gerencia de indemnizaciones.

Proveedores: Área que selecciona al proveedor.

Intermediarios: Gerencia de Canales y/o Gerencia de Sucursal o Regional.

Funcionarios: Gerencia de Talento Humano. Cualquier anomalía identifica en la entrevista deberá ser reportada al Oficial de Cumplimiento de forma inmediata. Podrán emplearse entrevistas no presenciales o por personal que no tenga la condición de empleado de la entidad, en los siguientes casos: No presenciales:



Cuando la ubicación geográfica del cliente así lo requiera.

Cuando el cliente se encuentre clasificado como NO CRÍTICO o de bajo o medio nivel de riesgo, según los resultados de la segmentación.

Cuando el producto se encuentre calificado de bajo o medio riesgo según los resultados de la segmentación.

Por personal que no tenga la condición de empleado de la entidad:

Cuando la vinculación del cliente se haya realizado a través de un Intermediario de Seguros, o convenio de comercialización.

Cuando el proceso de entrevista y verificación de información sea contratado con personal bajo la modalidad de empleado temporal.

Cuando la vinculación del cliente involucre factores de riesgo calificados como de alto riesgo o críticos, las entrevistas deben ser presenciales y por personal que tenga la condición de empleado de la Compañía.

4.7.1.3. Verificación de información La verificación de la información debe ser realizada por el superior jerárquico inmediato a quien realiza la vinculación. Para tomadores de pólizas de seguro vinculados a través de intermediarios, la verificación de la información debe ejecutarla el Gerente y/o Líder comercial de la respectiva Regional y/o Sucursal. En cualquier caso, y sobre el respectivo formulario, quien efectúe la verificación de la información debe darle una calificación de acuerdo con lo establecido a continuación:

O.K. Si todo está en regla.

D.F. Datos faltantes

D.N.C. Dato no confirmado.

D.I. Dato Inexacto.

D.N.S. Dato no suministrado

En caso de que la calificación sea diferente a O.K. se suspende el proceso de vinculación y se debe informar inmediatamente al Oficial de Cumplimiento.

4.7.1.4. Actualización de Información

La actualización de información debe realizarse como mínimo anualmente, de forma particular los datos suministrados en el formulario de solicitud de vinculación de clientes que por su naturaleza puedan variar (dirección, teléfono, actividad, origen de los recursos etc.) La actualización de la información de aquellos clientes clasificados como “inactivos”, se puede realizar cuando cese dicha condición. La actualización de la información es una responsabilidad de:

Tomadores de seguros: Gerencia Técnica de Vida

Proveedores: Área usuaria del Servicio y/o producto contratado.

Intermediarios: Gerencia de Canales y/o Gerencia de Sucursal o Regional



Funcionarios: Gerencia de Talento Humano

4.7.2. Personas Públicamente Expuestas (PEP´s) Como Persona Públicamente Expuesta (PEP) se entiende a personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público. El estudio y aprobación de la vinculación de tales clientes es responsabilidad de las siguientes Gerencias:

Tomadores de seguros: Gerencia Técnica de Vida.

Beneficiarios: Gerencia de indemnizaciones.

Proveedores: Gerencia de Compras y Contratación.

Intermediarios: Gerencia de Canales.

Funcionarios: Gerencia de Talento Humano. Las áreas de Gerencia Técnica de Vida, Gerencia de Talento Humano, Gerencia de Compras y Contratación, Gerencia de Canales y las Gerencias Regionales y de Sucursal deben remitir al Oficial de Cumplimiento una comunicación escrita de forma mensual y dentro de los 3 primeros días hábiles del mes siguiente, en la cual reportan las PEP´s vinculadas como clientes.

La Gerencia de Riesgos de Negocio deberá adelantar actividades a fin de identificar y analizar los clientes que poseen esta connotación e informará periódicamente a las respectivas áreas.

4.7.3. Identificación y análisis de operaciones inusuales Todos y cada uno de los funcionarios o colaboradores de POSITIVA están en la obligación de reportar al Oficial de Cumplimiento cualquier operación, actividad o actuación que según su percepción tenga características de inusual o sospechosa. Las áreas de Gerencia Técnica de Vida, Gerencia de Talento Humano, Gerencia de Compras y Contratación, Gerencia de Canales, y las Gerencias Regionales y de Sucursal, deben remitir al Oficial de Cumplimiento una comunicación escrita de forma mensual y dentro de los 3 primeros días hábiles del mes siguiente, en la cual indican si las áreas a su cargo identificaron o no operaciones inusuales. Si se identificaron operaciones de esta naturaleza, se debe adjuntar el resultado del análisis de las mismas. El reporte es de obligatorio cumplimiento y contará con un indicador de medición de cumplimiento mensual. En caso de no cumplir dicho reporte, bien fuere positivo o negativo, dentro del plazo establecido en el presente numeral se harán los llamados de atención correspondientes por parte del Oficial de Cumplimiento con copia a la hoja de vida. Para efectos de determinar si una operación es inusual se deben tener en cuenta como mínimo los siguientes aspectos:

Operaciones cuya cuantía o características no guardan relación con la actividad económica del cliente.

Operaciones que por su cantidad, por los valores asegurados o por sus características particulares, no tienen relación con los parámetros de comportamiento del cliente.



Sucesos conocidos y que puedan afectar el buen nombre de los clientes vinculados a la Compañía.

Información difundida por los medios de comunicación, relacionada con presuntos vínculos de personas en actividades de LA/FT y en general actividades ilícitas.

Alertas generadas por cambios significativos en la información financiera de los tomadores de pólizas de seguro de vida, al momento de actualizar su información.

Presunto uso indebido de identidades, por ejemplo: uso de números de identificación inexistentes, números de identificación de personas fallecidas, suplantación de personas, alteración de nombres, entre otros.

Presentación de documentos o datos presuntamente falsos.

Actuación en nombre de terceros y uso de empresas aparentemente de fachada.

Relación con personas vinculadas o presuntamente vinculadas a actividades delictivas.

Relación con bienes de presunto origen ilícito.

Cruces positivos de clientes contra listas vinculantes. El colaborador que reporte una operación inusual al Oficial de Cumplimiento deberá documentar debidamente su análisis y el resultado del mismo. Dicha información debe ser reportada al Vicepresidente del área respectiva y al Oficial de Cumplimiento sin excepción alguna.

4.7.4. Determinación y reporte de operaciones sospechosas

El Oficial de Cumplimiento, con base en la información suministrada por las sucursales, regionales o áreas respectivas, realizará un análisis que le permita determinar si la operación se puede calificar como sospechosa. El soporte de dicho análisis debe hacer parte del expediente del caso.

La determinación del reporte de operaciones sospechosas a la UIAF, se encuentra en cabeza del Oficial de Cumplimiento. Por lo tanto, es el único autorizado por la Compañía para realizar el Reporte a la Unidad de Información y Análisis Financiero (UIAF). El Oficial de Cumplimiento será el custodio de dichos archivos documentales los cuales reposarán en la Gerencia de Riesgos de Negocio, en calidad de información confidencial. Se podrán considerar como sospechosas aquellas operaciones del cliente que a pesar de mantenerse dentro de los parámetros de su perfil financiero, a partir del análisis y buen criterio de la respectiva área, se estima que son irregulares o extrañas, a tal punto que sea algo más que inusual.

4.8. INSTRUMENTOS ESPECIALES DEL SARLAFT

4.8.1. Señales De Alerta Son los hechos, situaciones, eventos, cuantías, indicadores cuantitativos y cualitativos, razones financieras y demás información determinada por la entidad como relevante, a partir de los cuales se puede inferir oportuna y/o prospectivamente la posible existencia de un hecho o situación que escapa a lo que se ha determinado como normal.

4.8.1.1. Señales de Alerta Cualitativas: Las siguientes son conductas y/o aspectos que pueden sugerir señales de alerta en los diferentes procesos de la Aseguradora y que requieren una suficiente y adecuada supervisión:



Generales a cualquier tipo de cliente

Clientes que se muestran renuentes o molestos al solicitárseles una adecuada identificación o el suministro de información sobre sus operaciones.

Clientes que se niegan a diligenciar el “Formato de Solicitud de Vinculación de Clientes”.

Cuando como resultado de la entrevista o visita previa a la celebración del contrato, se encuentren irregularidades o inexactitudes en los datos suministrados.

Información suministrada por el cliente que no pueda confirmarse. Suministro de información inexacta. Clientes con actividad económica indeterminada. Clientes del sector agrícola, en el cual exista una marcada influencia del

narcotráfico. Cuando el NIT o número de identificación del cliente o uno de sus

accionistas con una participación mayor al 5% de su capital, se encuentre incluido en las listas vinculantes (ONU, CLINTON, entre otras).

Cuando se produzcan cambios permanentes de residencia o de sitio de trabajo.

Cuando el cliente trate de sobornar a los funcionarios para evitar los controles.

Cuando la información no sea actualizada o una vez actualizada no pueda confirmarse.

Tomadores

Anexos contemplados en el Manual de Suscripción del ramo aparentemente alterados, imprecisos o vencidos o cuando éstos se hallen incompletos.

Solicitud de suscripción de pólizas sin documentos reglamentarios, con identificación insuficiente o mínima información y que no puede ser verificada.

Solicitud de varias pólizas de seguros con diferentes tomadores y/o asegurados y un mismo beneficiario.

Costo o prima de seguros cuya cuantía no se ajusta a su nivel de vida, actividad económica y/o ingresos del cliente.

Valores asegurados que no guardan relación con los niveles que usualmente maneja el mercado.

Valores de ahorro excesivos respecto del valor asegurado. Cuando dentro de una misma vigencia el cliente cambia los valores

asegurados siempre pretendiendo incrementarlos. Cancelaciones de pólizas de seguros, que exigen la devolución del valor

de las primas y de los ahorros, por importes muy significativos, sin una finalidad concreta o justificación lógica.

Solicitud de una póliza por parte de un potencial cliente desde un lugar geográfico distante, cuando cerca de su domicilio podría conseguir un contrato de similares características, o cuando trata de contratar una póliza por diferentes Sucursales.

El cliente no parece estar preocupado por el precio de la póliza, o por la conveniencia del producto para sus necesidades.

El cliente busca pre-pagar la prima del seguro, sin justificación alguna. Clientes que buscan efectuar pagos en efectivo por cuantías significativas.



El cliente revela interés respecto de las condiciones de cancelación anticipada.

El cliente contrata una póliza por un importe muy significativo y luego de un corto período de tiempo requiere el reembolso de los fondos, solicitando que se abonen a un tercero, sin importarle las consecuencias financieras de la cancelación anticipada o de la devolución anticipada de los ahorros.

Cuando no existe ningún vínculo entre el asegurado y el beneficiario, en pólizas de vida individual.

Cuando la reclamación corresponda a un siniestro prematuro.

Proveedores

Cuando los bienes o servicios ofrecidos o suministrados por el proveedor no correspondan a su actividad económica normal.

Cuando las condiciones de precio ofrecidas por el bien o servicio se encuentran fuera de los parámetros normales de mercado.

Funcionarios Cambios repentinos en su estilo de vida. Resistencia a tomar vacaciones.

4.8.1.2. Señales de Alerta Cuantitativas:

Con base en la segmentación de factores de riesgo y la información disponible en las bases de

datos de la Compañía, el Oficial de Cumplimiento determinará señales de alerta de tipo

cuantitativo, que involucren aspectos tales como:

Tomadores:

La relación entre el valor asegurado y el Patrimonio del cliente. La relación entre el valor de la Prima y los Ingresos del cliente.

Proveedores:

Desviaciones significativas de sus indicadores financieros frente a los indicadores del sector al cual pertenece.

Intermediarios:

Cambios significativos en la producción. Las anteriores señales de alerta tienen como finalidad ilustrar posibles operaciones y/o actuaciones que se salen de los parámetros normales de los clientes actuales y potenciales y no sustituyen la obligación de las distintas áreas de la Compañía de lograr el adecuado conocimiento del cliente. Los funcionarios de la Compañía o los intermediarios deben abstenerse de celebrar el negocio cuando se detecte alguna de las anteriores señales de alerta y no puedan ser aclaradas o justificadas.



4.8.2. Seguimiento de Operaciones POSITIVA realiza seguimiento a las operaciones de los clientes a través de las siguientes actividades:

Certificaciones emitidas por los Gerentes Regionales, de Sucursal, Gerencia Técnica de Vida, Gerencia de Indemnizaciones, Gerencia de Talento Humano y Gerencia de Compras y Contratación, sobre la detección o ausencia de operaciones inusuales en la oficina o áreas correspondientes.

Controles automáticos en los sistemas que permiten:

Identificar cambios significativos en la información financiera de los tomadores de pólizas de seguro de vida, al momento de actualizar su información.

Cruce contra las listas vinculantes al momento de la creación de un cliente. Bloqueo preventivo en caso de cruces positivos contra listas vinculantes

de clientes al momento de la creación. En el caso de ARL, al momento de la vinculación de un afiliado se realiza

el cruce contra listas vinculantes generando una alerta no bloqueante.

La Gerencia de Riesgos de Negocio se encarga de revisar los registros positivos generados por los controles automáticos, así como de su depuración como señales tempranas de alerta.

4.8.3. Consolidación de operaciones

La Gerencia de Riesgos del Negocio consolida mensualmente las operaciones efectuadas por los clientes con el fin de identificar operaciones relevantes y que puedan exponer a POSITIVA a un mayor nivel de riesgo.

4.9. REPORTES DE SARLAFT

4.9.1. Reportes Internos Los reportes internos son de uso exclusivo de POSITIVA. Como canal para la recepción de reportes de operaciones inusuales, sospechosas o cualquier información que un funcionario considere relevante, se ha dispuesto el correo electrónico [email protected]. Adicionalmente se definieron los siguientes reportes periódicos de distintas áreas de la Compañía hacia el Oficial de Cumplimiento:

NOMBRE DEL REPORTE RESPONSABLE PERIODICIDAD

OPERACIONES INUSUALES Ver numeral 4.7.3 Mensual

VINCULACIÓN DE PEP´s Ver numeral 4.7.2 Mensual

OPERACIONES EN EFECTIVO Gerencia de Recaudo y Cartera Mensual

REPORTES DE MONITOREO Gerencia de Riesgos del Negocio Mensual

4.9.2. Reportes Externos

POSITIVA reporta a la UIAF la siguiente información, conforme a lo mencionado en el numeral 4.2.7.2 del Capítulo IV del Título IV de la Parte I de la Circular Básica Jurídica.

mailto:[email protected]



NOMBRE DEL REPORTE PERIODICIDAD

OPERACIONES SOSPECHOSAS Mensual

REPORTE TRANSACCIONES EN EFECTIVO Mensual

REPORTE DE CLIENTES EXONERADOS Trimestral

REPORTE SOBRE PRODUCTOS OFRECIDOS POR LAS ENTIDADES VIGILADAS

Mensual

REPORTE DE CAMPAÑAS POLÍTICAS Mensual

En relación con el reporte de clientes exonerados, POSITIVA por política no exonera del reporte de transacciones en efectivo a ningún cliente que haya adquirido productos del ramo de Vida Individual, Vida Grupo, Accidentes Personales o Exequias.

4.10. PRÁCTICA INSEGURA La realización de operaciones sin el cumplimiento de las instrucciones contenida en el presente capítulo es considerada como práctica insegura y no autorizada, conforme lo establecido en el literal a del numeral 5° del artículo 326 del EOSF.



CAPITULO V

5 SISTEMA DE ADMINISTRACIÓN DEL RIESGO CREDITICIO (SARC)

5.1 MARCO CONCEPTUAL Y NORMATIVO

5.1.1 Definición riesgo de crédito (RC)

El RC es la posibilidad de que una entidad incurra en pérdidas y se disminuya el valor de sus

activos, como consecuencia de que un deudor incumpla sus obligaciones.

5.1.2 Sistema de Administración del Riesgo Crediticio - SARC

Siguiendo los lineamientos contenidos en el numeral 2.5.3 del Capítulo II de la Circular Básica

Contable y Financiera de la Superintendencia Financiera de Colombia, las aseguradoras y las

sociedades de capitalización deben mantener una adecuada administración del RC mediante

la adopción de un SARC que contenga los elementos definidos en dicho capítulo, salvo la

adopción de la metodología para el cálculo de las pérdidas esperadas.

El presente capítulo del Manual para la Gestión de Riesgos del Negocio contiene los

elementos necesarios para conocer los criterios y la forma mediante la cual Positiva evalúa,

asume, controla y cubre el RC.

5.2 ALCANCE DEL SISTEMA DE ADMINISTRACIÓN DE RIESGO CREDITICIO

Conforme a lo establecido en el numeral 2.5.3 del Capítulo II de la Circular Básica Contable y

Financiera de la Superintendencia Financiera de Colombia, el SARC de una Aseguradora se

debe desarrollar “…únicamente sobre operaciones que generan RC, que a su vez, originan

partidas contables correspondientes a cartera de créditos (cuenta PUC 14, exceptuando los

préstamos sobre títulos de capitalización y sobre pólizas de seguros), cuentas por cobrar

correspondientes a remuneración de intermediación (cuenta PUC 1611) y créditos a

empleados y agentes (cuenta PUC 1950)”

Dentro de los términos señalados en el Capítulo II de la Circular Básica Contable y Financiera,

y considerando las actividades y estrategias diseñadas para el desarrollo del objeto social, en

Positiva solo se asume RC en los créditos otorgados a los Trabajadores Oficiales, a través de

operaciones de mutuo que se registran en la cuenta PUC 1950 y que se originan en los

acuerdos firmados, entre la Compañía y dichos Trabajadores, en virtud del Pacto Colectivo

suscrito el 7 de marzo de 2012 cuya vigencia es hasta el 31 de marzo de 2015.

5.3 POLÍTICAS PARTICULARES AL SARC

Con el fin de realizar una adecuada gestión del riesgo de crédito descrito, Positiva Compañía

de Seguros S.A. ha adoptado las siguientes políticas:



Los empleados sujetos de crédito serán aquellos que ostenten la calidad de Trabajadores

Oficiales.

Las condiciones para el otorgamiento de los créditos están contenidas en el Pacto

Colectivo.

La Gerencia de Talento Humano es el área responsable de evaluar la capacidad de pago

de los Trabajadores Oficiales que soliciten crédito; y en general de que se cumplan las

condiciones necesarias para el otorgamiento de un crédito.

La Gerencia de Talento Humano es la encargada de las condonaciones a los créditos

educativos del pacto colectivo, cuando se cumplan las condiciones mencionadas en el

mismo.

La Gerencia de Talento Humano es la encargada del seguimiento y recaudo de la cartera.

La Gerencia de Riesgos del Negocio es la responsable de realizar el seguimiento a los

riesgos y controles involucrados en los respectivos procesos, con el fin de mitigar la

probabilidad e impacto de las situaciones que se puedan presentar, las cuales disminuyan

el valor de los activos de Positiva.

5.4 ESTRUCTURA ORGANIZACIONAL PARTICULAR AL SARC

En los numerales 1.6.7 y 1.6.8 del presente Manual se encuentran descritas las funciones y

responsabilidades que tienen la Junta Directiva, La Presidencia, La Gerencia de Riesgos del

Negocio, Los Órganos de Control y en general todos los colaboradores de Positiva

Compañía de Seguros S.A., a la luz de la Gestión de riesgos.

La Gerencia de Talento Humano tendrá las siguientes responsabilidades a la luz del

Sistema de Administración de Riesgo de Crédito:

Analizar las solicitudes de créditos educativos.

Evaluar la capacidad de pago del trabajador.

Mantener un registro actualizado del comportamiento histórico de los créditos.

Realizar la liquidación de los créditos educativos de los Trabajadores Oficiales.

Estudiar y evaluar el cumplimiento de requisitos necesarios para la condonación de

créditos educativos; de acuerdo a las condiciones previstas en el Pacto Colectivo.

Presentar un informe semestral a la Presidencia acerca del comportamiento de los

créditos a Trabajadores Oficiales.

Asegurar el cumplimiento de los límites de riesgo establecidos en el Pacto Colectivo.

5.5 ETAPAS DE LA ADMINISTRACION DE RIESGO CREDITICIO

Para la adecuada gestión del riesgo de crédito se identifican tres grandes etapas:

Otorgamiento: Esta etapa consiste en la presentación, estudio, aprobación y desembolso de

una solicitud de crédito presentada por un Trabajador Oficial.

Seguimiento y control: Esta etapa corresponde al seguimiento periódico que realiza la

Gerencia de Talento Humano sobre los créditos desembolsados. De igual manera, incluye



las actividades desarrolladas para controlar el cumplimiento de los límites máximos e

individuales previstos en el Pacto Colectivo.

Recaudo y recuperación: Esta etapa incluye las actividades que desarrolla la Gerencia de

Talento Humano para el recaudo a través del descuento por nómina de las cuotas

acordadas para el pago de los créditos desembolsados, así como el monitoreo de los

requisitos necesarios para la condonación de la deuda.

La Gerencia de Talento Humano garantiza que dentro del Sistema Integral de Gestión se

encuentre la documentación detallada y necesaria para cada una de las etapas aquí

mencionadas.

5.5.1 Otorgamiento de crédito

En esta etapa, la Gerencia de Talento Humano realiza una evaluación de la capacidad de pago de los trabajadores, de acuerdo a lo establecido en el Artículo 59 del código sustantivo del trabajo y en el artículo 3 de la ley 1527 del 27 de abril de 2012, normas según las cuales el descuento de nómina mensual que se haga al trabajador, una vez aprobado el crédito, no debe superar el 50% del neto del salario, después de los descuentos de ley. En los casos en que se evidencie que el trabajador no cuenta con la capacidad de pago necesaria para acceder al monto de crédito solicitado, la Gerencia de Talento Humano podrá aprobar un monto inferior, acorde a la capacidad de pago del empleado. Una vez evaluada la capacidad de pago del trabajador, la Gerencia de Talento Humano verifica que se cumplan las políticas y requisitos mencionados en el parágrafo segundo de la Cláusula Quinta del Pacto Colectivo; así como, el cumplimiento del reglamento de crédito (Resolución 231 de 2013)

5.5.2 Seguimiento y control del riesgo de crédito

5.5.2.1 Límites de exposición crediticia para créditos educativos

Los límites de exposición crediticia están determinados en la Cláusula Quinta del Pacto Colectivo denominada “Fondo de Préstamos para matrículas de los Trabajadores Oficiales y sus Hijos”. Para la vigencia actual, los límites definidos son los siguientes:

Límite máximo de exposición a RC: $450.000.000 del año 2012 actualizados anualmente

con el IPC del año inmediatamente anterior, certificado por el DANE. De dicho monto,

máximo el 80% corresponderá a créditos para matrículas de estudios que adelanten los

Trabajadores Oficiales y el 20% para matrículas de estudios que adelanten los hijos de

Trabajadores Oficiales.

Monto máximo por trabajador: Para estudios de pregrado hasta cuatro (4) salarios mínimos

mensuales legales vigentes por semestre. Para estudios de especialización y/o maestría

hasta un máximo de seis (6) salarios mínimos mensuales legales vigentes.

Monto máximo por hijo de trabajador: Para estudios de primaria hasta un monto máximo de

dos (2) salarios mínimos mensuales legales vigentes y para estudios de bachillerato

máximo tres (3) salarios mínimos mensuales legales vigentes por año.



5.5.2.2 Garantías para créditos educativos

La garantía de los créditos educativos está conformada por las prestaciones sociales del trabajador producto de su contrato laboral con Positiva Compañía de Seguros S.A..

5.5.3 Recaudo y recuperación de los créditos

5.5.3.1 Recaudo de la cartera

El recaudo de las cuotas periódicas de la cartera de crédito educativo para Trabajadores Oficiales de Positiva Compañía de Seguros S.A. se realiza mediante el descuento directo de nómina. Si por algún motivo excepcional, la cuota mensual no se puede descontar en un 100% a través del descuento de nómina, la Gerencia de Talento Humano debe solicitar al trabajador que el pago faltante sea realizado en efectivo a través de consignación en la cuenta corriente y/o de ahorros que la Gerencia de Talento humano indique.

5.5.3.2 Condonación de créditos educativos

De acuerdo a lo establecido en el Pacto Colectivo vigente, Positiva Compañía de Seguros S.A. condonará el valor de los préstamos de acuerdo con las siguientes condiciones académicas mínimas:

PROMEDIO DE CALIFICACIONES DEL ULTIMO SEMESTRE CURSADO

PORCENTAJE DE CONDONACION

Mayor o igual a 4.5 en la escala de 0 a 5.0 70%

Mayor o igual a 4.0 y menor a 4.5 en la escala de 0 a 5.0

50%


30%

Menor de 3.5 en la escala de 0 a 5.0 No habrá condonación

Los préstamos de estudio de los hijos de Trabajadores Oficiales se condonarán de acuerdo con las siguientes condiciones académicas:

PROMEDIO DE CALIFICACIONES DEL ULTIMO SEMESTRE CURSADO

PORCENTAJE DE CONDONACION

Mayor o igual a 4.5 en la escala de 0 a 5.0 50%


40%

Menor de 4.0 en la escala de 0 a 5.0 No habrá condonación

El Trabajador Oficial debe presentar a la Gerencia de Talento Humano la solicitud formal de la condonación del crédito junto con la certificación original del promedio de notas obtenido en el semestre cursado.



5.6 MONITOREO DE LA GESTIÓN DE RIESGO DE CRÉDITO.

La Gerencia de Riesgos del Negocio verifica, de acuerdo a la condiciones del Pacto Colectivo vigente, que los valores de los créditos aprobados estén en función de la capacidad de pago del Trabajador Oficial. Adicionalmente verificará el cumplimiento de las condiciones requeridas para la condonación de créditos educativos.



CAPITULO VI

6 ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCION

6.1 JUSTIFICACIÓN

La Junta Directiva y la Presidencia de la Compañía, tienen la responsabilidad de promover entre sus servidores, clientes, proveedores y demás grupos de interés que interactúan con Positiva, las más altas conductas éticas. Por esta razón, Positiva ha implementado un esquema de prevención de fraude, basado en los modelos de administración de riesgos.

Positiva Compañía de Seguros S.A, alineada con las políticas y directrices nacionales en materia de prevención de fraude y corrupción en las entidades públicas, enmarcadas en el Decreto Ley 1474 de 2011 y la Circular Externa 038 de 2009 emitida por la Superintendencia Financiera de Colombia, ha implementado un esquema metodológico para la prevención y mitigación en materia de fraude y corrupción al interior de la compañía. Así mismo, el Código de Ética y Buen Gobierno de la Compañía incorpora las directrices y establece el marco regulatorio propio para la Aseguradora, siendo deber de todos los colaboradores de la Compañía conocer y acatar las disposiciones allí contenidas.

El esquema de prevención de fraude y corrupción busca evaluar y fortalecer el modelo de prevención y respuesta a fraude al interior de la entidad; de igual manera, busca identificar oportunidades de fortalecimiento del modelo, establecer e identificar situaciones de riesgo que puedan materializarse y promover la prevención, detección, disuasión y respuesta a posibles eventos de fraude. Mantener un esquema de prevención y respuesta efectiva a eventos de fraude al interior de la compañía, que garantice las más altas conductas éticas entre los servidores, clientes, proveedores y demás grupos de interés que interactúan con Positiva; alineado con los sistemas de administración de riesgos, a través de las etapa de identificación, medición, control, evaluación y monitoreo de las situaciones de riesgo. 6.2 OBJETIVOS DEL ESQUEMA

El esquema de prevención de fraude y corrupción diseñado e implementado por Positiva tiene como objetivo identificar y formalizar el proceso de prevención, detección y respuesta a todos aquellos actos contrarios a la verdad y a la rectitud, que perjudican a Positiva y/o a las personas que interactúan con ella.

6.3 DEFINICIONES

Fraude: Se define como cualquier acto, omisión, actividad o comportamiento intencional o doloso, con el fin de apropiarse, aprovecharse o hacer uso indebido de los activos de la Compañía, sean materiales o intangibles, para beneficio propio o de un tercero, a través del engaño, falsificación u otros medios ilegales.



Corrupción: Para Transparencia por Colombia7 la corrupción se define como el “abuso de

posiciones de poder o de confianza, para beneficio particular en detrimento del interés colectivo, realizado a través de ofrecer o solicitar, entregar o recibir, bienes en dinero o en especie, en servicios o beneficios, a cambio de acciones, decisiones u omisiones”.

8

Activos de la Organización: Todos aquellos bienes cuya propiedad o custodia se encuentran bajo la administración de Positiva Compañía de Seguros S.A., incluidos entre otros: información, patentes, secretos industriales, maquinaria y equipo, inventario propio o en consignación, muebles y enseres, licencias de operación, vehículos, insumos, dinero en efectivo, medios de pago, títulos valores, instalaciones físicas, etc. Uso indebido o inadecuado de activos: Utilización de los activos de la Organización en actividades innecesarias, no relacionadas con el objeto de negocio para el cual ha sido adquirido, o para beneficio personal o de terceros. Lavado de activos: Cualquier actividad tendiente a dar apariencia de legalidad a recursos originados por actividades ilícitas, así como adquirir, resguardar, invertir, transformar, transportar, custodiar o administrar bienes ilícitos. Financiación del terrorismo: Actividades que directa o indirectamente provean, recolecten, entreguen, reciban, administren, aporten, custodien o guarden fondos, bienes o recursos, o realicen cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos armados al margen de la ley o a sus integrantes, o a grupos terroristas nacionales o extranjeros o a actividades terroristas. Infracción de propiedad intelectual: Copia, distribución, uso o usufructo ilegal de mercancías falsas presentándose violación de patentes o derechos reservados de autor.

6.4 ALCANCE DEL ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCIÓN

Los lineamientos, políticas y demás elementos contenidos en el Esquema de prevención de fraude y corrupción aplican a miembros de Junta Directiva, funcionarios, proveedores, contratistas, y en general cualquier tercero que mantenga o desee mantener en el futuro una relación con Positiva Compañía de Seguros S.A. Los Vicepresidentes y Gerentes deben implementar las medidas necesarias en los procesos y áreas a su cargo con el fin de prevenir la materialización de eventos de fraude.

7 Transparencia por Colombia. Es una organización sin ánimo de lucro creada en 1998, cuya misión es "liderar desde la

sociedad civil la lucha integral contra la corrupción y por la transparencia, en lo público y en lo privado, para promover una ciudadanía activa, fortalecer las instituciones y consolidar nuestra democracia". "¿Qué es la corrupción?", sitio web "Transparencia por Colombia", consultado el20/03/2012. URL: http://www.transparenciacolombia.org.co/LACORRUPCION/tabid/62/language/es-ES/Default.aspx

8 Transparencia Internacional define la corrupción como el mal uso del poder encomendado para obtener beneficios privados. Esta definición incluye tres elementos: el mal uso del poder, un poder encomendado, es decir, puede estar en el sector público o privado; un beneficio privado, que no necesariamente se limita a beneficios personales para quien hace mal uso del poder, sino que puede incluir a miembros de su familia o amigos.



6.5 PRINCIPIOS DEL ESQUEMA DE PREVENCION DE FRAUDE Y CORRUPCIÓN

El principal atributo de un esquema de prevención de fraude y corrupción es la confianza. Por tal razón el esquema en Positiva tendrá como principios de actuación los enumerados más adelante, cuyo objetivo es generar confianza basada en la transparencia, integrando los diferentes sistemas desarrollados para la prevención, detección, disuasión y respuesta al fraude y manteniendo los canales adecuados para favorecer la comunicación en la Compañía.

6.5.1 Cero tolerancia al fraude

Positiva Compañía de Seguros S.A. no tolera el fraude y toma todas las medidas necesarias para combatirlo; por ello, implementa mecanismos, sistemas y controles adecuados que permiten la prevención, detección y tratamiento de estas actividades ilícitas.

6.5.2 Presunción de Buena Fe

Cuando un funcionario o tercero presenta una denuncia sobre un fraude o sospecha de fraude o corrupción, se presume que lo hace de buena fe y con base en indicios o elementos reales.

6.5.3 Ausencia de Represalias

El funcionario o tercero que denuncie la comisión o posible comisión de un acto fraudulento, no será objeto de represalias, amenazas, medidas discriminatorias o sanciones de tipo alguno. No obstante, cuando se compruebe que el denunciante actuó de forma mal intencionada y con base en hechos falsos, con el fin de perjudicar al denunciado, el Comité de Ética aplicará las medidas y sanciones que la Ley y las políticas internas de Positiva Compañía de Seguros S.A. tengan previsto para tales actos.

6.5.4 Confidencialidad.

La Junta Directiva así como los miembros del Comité de Ética y de la Gerencia de Riesgos del Negocio, para cada caso de posible fraude, están obligados a dar un tratamiento de confidencialidad a toda la información recibida y la identidad de las personas involucradas (denunciante(s), denunciados(s), cómplices, entre otros) y necesarias para llevar a cabo la investigación. Los resultados de la investigación no se divulgan o discuten con nadie que no tenga la legítima necesidad de saberlo. Los destinatarios de los informes derivados del proceso de investigación y análisis transaccional o de procesos, son determinados por el Comité de Ética de acuerdo con la criticidad de cada caso.

6.5.5 Canales de comunicación.

Positiva cuenta con canales de comunicación abiertos y permanentes para recibir las potenciales denuncias relacionadas con eventos de riesgo de fraude y/o corrupción.

6.5.6 Cumplimiento de la Ley.

Las actividades de prevención, disuasión y detección, así como los procesos de investigación y levantamiento de evidencias se desarrollan en pleno cumplimiento del marco regulatorio aplicable a



Positiva Compañía de Seguros S.A, la regulación laboral vigente y la Constitución Política de Colombia.

6.5.7 Régimen Sancionatorio.

Todos los directivos y trabajadores de Positiva Compañía de Seguros S.A que incurran en conductas fraudulentas, serán sancionados de acuerdo con lo previsto en la Ley 734 de 2002 o Código Único Disciplinario y/o la normatividad aplicable. Esto incluye el actuar con negligencia o dolo frente a situaciones de riesgo y debilidades en el sistema de control interno, así como el encubrir cualquier acto incorrecto u ocultar cualquier tipo de información, realizar denuncias falsas o malintencionadas, censurar a compañeros que denuncien actos incorrectos, obstruir investigaciones u omitir de manera deliberada la implementación de los planes de acción que buscan mitigar los riesgos de fraude. Los eventos de fraude con confirmación de responsabilidad de un proveedor o empleado de los mismos, serán sometidos al análisis del Comité de Ética para determinar la terminación de la relación contractual con dicha entidad y se ejecutarán las sanciones que se establezcan en los respectivos contratos.

6.5.8 Capacitación permanente

Positiva incluirá dentro de sus planes anuales de capacitación programas que sensibilicen y comuniquen de manera permanente a todos los servidores de la Compañía las actualizaciones y herramientas asociadas a la prevención del fraude; lo anterior con el fin de crear una cultura de prevención del mismo.

6.6 ESTRUCTURA ORGANIZACIONAL PARA EL ESQUEMA DE PREVENCIÓN DE FRAUDE

Y CORRUPCIÓN

6.6.1 Junta Directiva

Además de las mencionadas en el capítulo I del presente Manual, la Junta Directiva debe:

Pronunciarse sobre los temas relacionados con eventos de fraude que fueran puestos en su conocimiento.

6.6.2 Presidente y/o Representante Legal

Además de las mencionadas en el capítulo I del presente Manual, el Presidente de Positiva Compañía de Seguros debe:

Prestar apoyo efectivo, eficiente y oportuno al Oficial de Ética y el Comité de Ética.

Pronunciarse sobre los temas relacionados con eventos de fraude que se presenten en la entidad.

Establecer mecanismos para la recepción de denuncias que faciliten a quienes detecten eventuales irregularidades ponerlas en conocimiento de los Órganos competentes.

Definir políticas y un programa antifraude, para mitigar los riesgos de una defraudación en la entidad.



6.6.3 Comité de Ética

Órgano permanente para el estudio, análisis y asesoría en temas antifraude y anticorrupción, el cual funcionará con base en los siguientes parámetros:

6.6.3.1 Naturaleza

El Comité de Ética de Positiva Compañía de Seguros S.A. será la instancia administrativa encargada de conocer y tomar las decisiones referentes a las investigaciones relacionadas con posibles casos de fraude y/o corrupción.

6.6.3.2 Conformación

El Comité de Ética de Positiva Compañía de Seguros S.A. estará integrado de la siguiente manera, dependiendo de los cargos involucrados en las posibles señales de alerta:

NIVEL

CARGO

INVOLUCRADO

INTEGRANTE DEL COMITÉ

FUNCION DEL INTEGRANTE DEL

COMITÉ Y TIPO DE PARTICIPACION

Comité de Ética Nivel I

Junta Directiva Presidente

Vicepresidentes Jefe de Oficina

Tres Miembros de Junta Directiva

que a su vez son miembros del Comité de Auditoria

Uno de ellos será nombrado como Presidente del Comité. Todos con

voz y voto.

Oficial de Ética

Miembro con voz pero sin voto.

Comité de Ética Nivel II

Gerentes Coordinadores Profesionales

Técnicos Asistentes Servidores

Contratistas y otros

Oficial de Ética Presidente del Comité; con voz y voto

Vicepresidente de Riesgos

Miembro con voz y voto.

Gerente Jurídico


Gerente de Talento Humano


Gerente de Riesgos del Negocio




La participación en el presente Comité es indelegable. Podrán asistir al Comité en calidad de invitados, los funcionarios y/o personas que por su condición o conocimientos puedan dar soporte, asesoría, validación o aportes para el esclarecimiento de situaciones específicas y/o eventos tratados por el Comité. Cuando el Comité deba conocer y tomar decisiones referentes a investigaciones relacionadas con algún miembro del Comité del nivel II, se citará al Comité de nivel I.

6.6.3.2.1 Presidente

Actuará en calidad de Presidente del Comité de nivel II el Oficial de Ética de Positiva Compañía de Seguros S.A. Para el nivel I, la Presidencia será ejercida por uno de sus miembros elegido en la respectiva reunión. La Presidencia del Comité tendrá las siguientes funciones:

1. Aprobar el Orden del día de cada sesión del Comité. 2. Moderar las discusiones al interior del Comité. 3. Aprobar y firmar las actas de cada sesión.

6.6.3.2.2 Secretario del Comité

El Secretario del Comité de nivel II será el Gerente Jurídico, quien tendrá como función principal organizar, asistir y velar por el cumplimiento de las decisiones adoptadas por el Comité, conforme a las siguientes funciones específicas:

1. Convocar y citar a los miembros e invitados. 2. Elaborar el orden del día para cada sesión. 3. Elaborar las actas de cada sesión 4. Verificar el cumplimiento de las decisiones adoptadas por el Comité. 5. Las demás que les sean asignadas por el Comité.

El Secretario del Comité de Nivel I será el Oficial de Ética, quien asumirá las funciones mencionadas en el presente artículo.

6.6.3.3 Sesiones

El Comité de Ética de Nivel II sesionará de manera ordinaria mínimo una vez cada tres meses en el lugar, día y hora que se determine en la citación. El Comité se reunirá en forma extraordinaria cuando sea convocado por solicitud de alguno de sus miembros. En la convocatoria para reuniones extraordinarias se especificarán los asuntos sobre los que se deliberará y decidirá. La convocatoria a las reuniones deberá hacerse mediante citación por medios electrónicos indicando expresamente el orden del día a tratar, con una antelación no menor de un (1) día.



6.6.3.4 Quorum

Para deliberar sobre cualquier asunto, se requiere la asistencia de la mitad más uno de los integrantes del Comité con voz y voto. Para decidir sobre cualquier asunto se requiere mayoría simple, esto es, la mayoría de los votos de los miembros presentes en la sesión.

6.6.3.5 Funciones

Serán funciones del Comité de Ética de Positiva Compañía de Seguros S.A. las siguientes:

1. Conocer, analizar y decidir sobre las alertas de fraude reportadas al Comité por la Gerencia de riesgos del Negocio o el Oficial de Ética.

2. Analizar la necesidad y autorizar la realización de investigaciones para las señales de alerta reportadas.

3. Aprobar excepciones, ajustes, modificaciones al alcance o terminación anticipada de las investigaciones autorizadas.

4. Tomar las decisiones que se requieran sobre los resultados de las investigaciones. 5. Dar traslado al área competente, de los casos en los cuales se ha comprobado la

responsabilidad dentro de un evento de fraude o corrupción, solicitando tomar las medidas correspondientes recomendadas por el Comité.

Además de las anteriores, serán funciones exclusivas del Comité de Ética de Positiva Compañía de Seguros S.A. del nivel II, las siguientes:

1. Conocer y sugerir mejoras respecto del perfil de riesgo antifraude y anticorrupción. 2. Conocer y sugerir mejoras respecto de los eventos de riesgo relacionados con fraude y

corrupción en el caso de que se presenten. 3. Promover programas y controles antifraude y anticorrupción que contribuyan a

prevenir, detectar y disuadir el fraude y la corrupción en la Compañía. 4. Promover la implementación de un programa efectivo de ética, que sea probado

periódicamente. 5. Velar por el adecuado funcionamiento y fortalecimiento de los mecanismos y/o canales

a través de los cuales se conocen los posibles eventos de fraude y/o corrupción.

6.6.4 Oficial de Ética

Serán funciones del Oficial de Ética de Positiva Compañía de Seguros S.A. las siguientes:

Velar por el efectivo, eficiente y oportuno funcionamiento de las etapas que conforman el modelo para la prevención de fraude al interior de la compañía.

Promover la adopción de correctivos en materia de detección y prevención de fraude.

Coordinar con el área de Talento Humano el desarrollo de programas internos de capacitación.

Proponer a la Administración la actualización del Esquema Antifraude y Anticorrupción y velar por su divulgación a los funcionarios.



Colaborar en el diseño de las metodologías, modelos e indicadores cualitativos y/o cuantitativos para la oportuna detección de las operaciones fraudulentas, perpetradas en contra de la compañía.

Evaluar los informes presentados por la Oficina de Control Interno y por el Revisor Fiscal, y adoptar las medidas del caso frente a las deficiencias informadas.

6.6.5 Gerencia de Riesgos del Negocio

Además de las mencionadas en el capítulo I del presente Manual, la Gerencia de Riesgos del Negocio de Positiva Compañía de Seguros debe:

Desarrollar y mantener modelos de prevención de fraude al interior de la compañía.

Capturar y filtrar la información relacionada con conductas de fraude al interior y exterior de la compañía, que sean puesta en su conocimiento a través de los canales dispuestos para esta actividad.

6.6.6 Todos los empleados de Positiva

Sin perjuicio de las funciones asignadas en otras disposiciones, los servidores, trabajadores y particulares de la Compañía deberán:

Conocer, comprender y aplicar el Esquema Antifraude y Anticorrupción.

Ejecutar los controles antifraude a su cargo y dejar evidencia de su cumplimiento.

Reportar acciones sospechosas o incidentes relacionados con fraude.

Cooperar en las investigaciones de denuncias relacionadas con fraude, que adelanten las autoridades competentes.

Asistir a las capacitaciones relacionadas con el tema, que sean coordinadas por el Oficial de Ética, la Vicepresidencia de Riesgos, o la Gerencia de Talento Humano.

6.7 FACTORES DE RIESGO DE FRAUDE Y CORRUPCIÓN



Siguiendo la Teoría del “Tríangulo del Fraude”9, se identifican tres factores de riesgo, a saber:

6.7.1 La Oportunidad

Definida como la alta probabilidad, conveniencia y percepción que tiene el defraudador de que al realizar un acto de fraude no será descubierto. La oportunidad de fraude se incrementa si existe:

Exceso de confiabilidad por parte de los supervisores o Jefes hacia ciertos empleados que le responden directamente, sin ningún tipo de supervisión, responsabilidad y rendición de cuentas.

Acceso privilegiado a empleados para ingresar a lugares exclusivos, como archivos confidenciales, base de datos, registro de firmas, etc., que les permite tener una gran fuente de información.

Un amplio conocimiento del lugar de trabajo. Es tarea de empleados deshonestos, observar el movimiento administrativo, operacional y financiero de las actividades propias de la entidad, con el fin de calcular sus riesgos, orientando sus actividades a lo ilícito.

Faltas, fallas, desconocimientos, ignorancia, incompetencia y debilidades de control interno.

Ausencia de controles de seguridad física, tales como personal de seguridad, archivos y puertas sin llaves, registros de entrada, ausencia de cámara en lugares críticos y alarmas.

6.7.2 La Necesidad

Definida como el deseo material o psicológico, que tiene el defraudador para cometer un acto ilícito. En la mayoría de los casos, la motivación principal es el afán de lucro; sin embargo existen casos aislados en los que el defraudador realiza su acción motivado por necesidades legítimas o circunstanciales (enfermedades, vicios entre otros). La necesidad de defraudar se incrementa si existe:

Un estilo de vida extravagante, mal manejo de presupuesto personal y descontento por su nivel salarial. Los elementos mencionados conllevan al defraudador a involucrarse en actividades ilícitas para compensar sus necesidades económicas.

Circunstancias fortuitas y que no se encuentran bajo el control del defraudador tales como enfermedades de la familia o ser víctimas de secuestro o extorsión entre otros. Estas personas se ven impulsadas a buscar la menor oportunidad para cometer fraude a la entidad.

6.7.3 La Justificación

Es la percepción que tiene el defraudador que su actividad ilícita, es la correcta. La percepción de justificación se incrementa si existe

Motivo ideológico, “quitarle a los ricos para darle a los pobres”.

Sentimiento de injusticia y revanchismo, que surge por un supuesto trato injusto, abuso de poder, desigualdad, incentivos no cumplidos, falsas expectativas de progreso y falta de capacitación entere otros.

9 Libro escrito por Donald Cressey, famoso crimonólogo estadounidense, autor de diversos libros sobre el fraude. Entre

ellos se destacan: Principios de Crimonología y Robo de la Nación.



6.8 CLASIFICACIÓN DEL FRAUDE

En Positiva el Fraude se clasifica en cuatro grandes Grupos a saber: Corrupción: Abuso de posiciones de poder o de confianza, para beneficio particular en detrimento del interés colectivo, realizado a través de ofrecer o solicitar, entregar o recibir, bienes en dinero o en especie, en servicios o beneficios, a cambio de acciones, decisiones u omisiones. Malversación de activos: Se entiende por malversación de activos el robo o uso indebido de recursos de la compañía para obtener un beneficio no autorizado o irregular. Fraude Financiero: Alteración, modificación o manipulación de información contable y financiera de la Compañía con el propósito de reflejar una situación económica o financiera equivocada o engañosa. Crimen Cibernético: Actividades ilícitas que se llevan a cabo para robar, alterar, manipular, enajenar, o destruir información o activos de la Compañía; utilizando para tal fin un medio informático o componentes electrónicos.

6.9 ACCIONES QUE PODRÍAN CONSTITUIRSE EN FRAUDE

Positiva Compañía de Seguros S.A ha identificado algunas acciones que podrían constituirse como faltas a la ética y aquellas que podrían considerarse como eventos de fraude:

Cualquier acto, omisión o intención dolosa que busca un beneficio propio o de terceros (material o inmaterial).

Ejecutar actividades o tomar decisiones cuando existe relación no declarada, entre un funcionario y un ente externo que interactúa con Positiva Compañía de Seguros S.A., o en determinados casos entre empleados de la Compañía, entre quienes se desarrollan actividades incompatibles entre sí, o que afectan la independencia del empleado para la toma de decisiones,

Ejecutar actividades o tomar decisiones cuando tengan el potencial de crear conflictos con sus obligaciones con la Compañía.

Dar o recibir pagos ilegales, sobornos, gratitudes o regalos a oficiales de gobierno o entes de control con el fin de obtener una contraprestación.

Participar de forma activa o pasiva, por acción u omisión, en la manipulación de procesos de contratación y/o negociaciones en las cuales, la Compañía actúe como proveedor o cliente (relaciones con el Estado o terceros en general).

Falsificar, alterar o manipular documentos, información o reportes de uso interno o externo, a título personal o de la Compañía.

Usar indebidamente, destruir, adulterar o falsificar información interna o confidencial (Propiedad intelectual, información privilegiada).

Apropiarse, destruir, remover o utilizar indebidamente bienes de cualquier naturaleza de propiedad de Positiva Compañía de Seguros S.A o de terceros que estén bajo custodia.

Ejecutar o apoyar la ejecución de actividades relacionadas con lavado de activos o financiación del terrorismo.

Suplantación de identidad, información, falsedad ideológica o cualquier tipo de violación, malversación, usufructo no autorizado o abuso de propiedad intelectual o piratería.

Retención o jineteo en la emisión de primas u obtención de negocios en beneficio propio o para beneficio de terceros.

Cualquier acto deshonesto que impida reflejar la realidad de la compañía en la información



financiera y no financiera.

Irregularidades en el manejo de información o dinero o transacciones financieras.

Revelación de información confidencial de la Compañía.

Aceptar o solicitar cualquier elemento de valor material de los intermediarios, agentes, contratistas, proveedores o prestadores de servicios.

Alteración o manipulación indebida de los ingresos creando la apariencia de que la Compañía tuvo un desempeño que no corresponde a la realidad.

Alteración o manipulación indebida de los gastos para evadir impuestos, distribuir menos utilidades, manipular la utilidad, presentar un mejor desempeño, entre otros.

Ajustar de forma indebida y no consistente las provisiones o reservas para manipular la utilidad neta y de esta manera, distribuir dividendos o presentar un mejor desempeño, entre otros.

Realizar ajustes de forma indebida en los libros contables (tales como la destrucción, mutilación, ocultamiento, falsificación de los registros contables) con el fin de esconder entre otros sobornos, faltantes o realizar fraudes para el beneficio personal o de terceros.

Registrar en la contabilidad gastos que no están soportados con documentos formales.

Auto-préstamos o uso indebido y no justificado de la caja menor.

Contratación inadecuada de personal con el fin de favorecer intereses propios o de terceros.

Cualquier irregularidad similar o relacionada con los hechos anteriormente descritos y los definidos en el Código de Ética y Buen Gobierno.

Todas aquellas faltas contenidas en la Ley 1474 de 2011 y las subsiguientes normas o decretos que la modifiquen, remplacen o complementen.

6.10 ACTIVIDADES DE PREVENCIÓN DEL FRAUDE Y LA CORRUPCIÓN

Las actividades de prevención del fraude y la corrupción definidas por Positiva Compañía de Seguros S.A. están enmarcadas en el desarrollo del proceso de gestión de riesgos.

6.10.1 Identificación del Riesgo

En esta etapa se busca identificar los riesgos que se van a gestionar. La identificación es una responsabilidad del dueño del respectivo proceso, con el acompañamiento de la Gerencia de Riesgos del Negocio. Mínimo una vez al año, todos los procesos de Positiva llevarán a cabo una identificación de los riesgos de fraude y corrupción inmersos en sus procesos, asegurando la identificación de todos, sea que estén o no bajo el control de la organización.

6.10.2 Análisis del Riesgo

El nivel de riesgo se mide de forma cualitativa teniendo como referencia una escala de 5 niveles para la probabilidad (eje y) y 5 para el impacto (eje x), calificaciones que nos permiten ubicar en la matriz o mapa de riesgos un perfil de riesgo inherente para cada uno de los riesgos identificados, de acuerdo a la metodología utilizada en el Capítulo III correspondiente a SARO del presente manual. Manteniendo los principios para valorar el impacto de materializaciones de riesgo y la probabilidad de ocurrencia de las situaciones de riesgo. La etapa de análisis de riesgo debe ser llevada a cabo por todos los procesos de Positiva, mínimo una vez cada año, junto con la etapa de identificación de riesgos.



6.10.3 Evaluación del Riesgo

En esta etapa se busca identificar y valorar el efecto mitigador de los controles establecidos para los riesgos relacionados con el esquema de prevención de fraude y corrupción, y de esa manera determinar el nivel de riesgo de Positiva. Es desarrollada mínimo una vez al año por la Gerencia de Riesgos del Negocio quien será la encargada de recomendar el establecimiento de nuevos controles al modelo de prevención de fraude, así como de realizar los seguimientos correspondientes a los riesgos identificados.

6.10.4 Tratamiento del Riesgo

Conforme al nivel de riesgo aceptado, mencionado en el Capítulo I del presente Manual, para los riesgos que después del control se ubiquen en los niveles distintos a bajo y moderado deberán implementarse planes de tratamiento dirigidos a reducir su nivel de riesgo.

6.10.5 Monitoreo de materialización de riesgos y efectividad de controles

A continuación se enuncian algunas actividades que apoyan el monitoreo del riesgo de fraude y corrupción:

Supervisión continua: Actividades llevadas a cabo por la Revisoría Fiscal y la Oficina de Control Interno en el curso normal de sus planes de actuación.

Autoevaluaciones: Tanto los ejecutores de control como los líderes de proceso deberán evaluar los controles bajo su responsabilidad, entre los cuales se encuentran los controles antifraude de sus procesos.

Divulgación: La Gerencia de Talento Humano capacitará y publicará el Código de Buen Gobierno, Código de Ética y Conducta, Manual para el Conflicto de Interés y el Esquema antifraude y anticorrupción, siendo su responsabilidad que los funcionarios manifiesten de forma escrita que han recibido, leído y comprendido estos documentos.

Grabación de llamadas: Se grabaran las llamadas de los funcionarios cuyas actividades estén relacionadas con la gestión financiera del portafolio de inversiones de la Compañía.

6.11 PROCESO DE MONITOREO Y REVISIÓN DE DENUNCIAS DE FRAUDE Y CORRUPCIÓN

El proceso para el monitoreo y revisión de denuncias de Fraude y Corrupción, contempla las actividades y responsables que se muestran a continuación:



6.11.1 Captura

Consiste en la recepción de todas las denuncias tanto internas como externas, reportadas a través de los diferentes medios de notificación dispuestos por la Compañía (Línea Ética, Correo Ético y página web). Esta etapa estará bajo la responsabilidad de la Gerencia de Riesgos del Negocio quien archivará y custodiará todos los formatos y documentación de alertas recibidas por canal formal y canales informales, así como las pruebas documentales que se alleguen como soporte de los posibles actos de fraude perpetrados contra la compañía, a favor propio o de terceros. De igual forma, se llevará un registro histórico y seguimiento a alertas recibidas, así como la administración de base de datos de eventos de fraude.

6.11.2 Filtro

Esta etapa está a cargo del Oficial de Ética, con el apoyo de la Gerencia de Riesgos del Negocio. Consiste en realizar un análisis preliminar de la razonabilidad de la alerta que fue recibida en el momento de la captura. Todas las alertas recibidas deberán ser presentadas al Comité de Ética para su evaluación.

6.11.3 Planeación

Esta etapa está a cargo del Comité de Ética y consiste en realizar la validación del alcance y expectativas de las investigaciones que se requieran realizar con el propósito de evaluar las denuncias recibidas y filtradas por el Oficial de Ética. El proceso de planeación debe ser muy ágil, con el fin de asignar los recursos necesarios y asegurar la información en los casos que aplique. La priorización de las investigaciones se hará con base en la criticidad de las alertas de fraude.

CAPTURA FILTRO PLANEACIÓN INVESTIGACIÓN RESOLUCIÓN

GERENCIA RIESGO DEL

NEGOCIO

OFICIAL DE ÉTICA

COMITÉ DE ÉTICA

OFICINA DE CONTROL INTERNO

COMITÉ DE ÉTICA



En esta etapa se determinará la estimación del presupuesto asignado para las investigaciones, se Identificarán los recursos que participan (internos, áreas de soporte, externo), se seleccionará y asignará el equipo investigador.

6.11.4 Investigación

Esta etapa podrá estar a cargo de la Oficina de Control Interno o de un equipo externo de investigadores, conforme a la decisión que adopte el Comité de Ética al respecto. En esta etapa se busca el aseguramiento de información crítica, el levantamiento de evidencias y análisis de información, la confirmación de hipótesis y la construcción de papeles de trabajo y reporte de resultados. Se debe tener en cuenta que en el proceso de investigación se respetará la presunción de inocencia, los principios de privacidad y los derechos fundamentales de las personas relacionadas, directa o indirectamente, con dichas denuncias. Para finalizar el esquema de prevención de fraude, todos los resultados de las investigaciones relacionadas a eventos de fraude, serán remitidos por el equipo investigador al Oficial de Ética y éste los someterá a consideración del Comité de Ética, que es la instancia encargada de resolver los casos presentados con base en los resultados de las investigaciones realizadas.

6.11.5 Resolución

Esta etapa se encuentra a cargo del Comité de Ética. En ella se toman las decisiones alrededor de los resultados de la investigación; los cuales se remiten a las instancias competentes para los efectos legales, laborales, disciplinarios, fiscales y penales a que haya lugar, se actualiza la información en la base de datos de eventos de fraude y se definen los planes de acción para el cierre de brechas identificadas.



Anexo I

Resultado de pruebas de consistencia y concordancia y escenarios de segmentación para el Factor JURISDICCIÓN

a) Resultados de Alpha de Cronbach - variables de segmentación Entrada automática: Archivo de trabajo: D:\Users\79506649\Documentos\LEMR\SISTEMAS DE ADMINISTRACION DE RIESGOS\SARLAFT\JURISDICCIÓN.xlsx\Tabla: ALFA CALCULOS Variables o ítems: Homicidio, Secuestro, Conflicto Armado, Población desplazada, Parapolítica, Indice de transparencia departamental. Datos:

Número de ítems: 6 (variables seleccionadas para calificar nivel

de riesgo de LA/FT)

Numero de observaciones: 33 (Departamentos) Resultados:

Alpha de Cronbach: 0,6173

Covarianza media: 0,0880

Item eliminado Alpha de Cronbach:

1 0,5907

2 0,5042

3 0,6268

4 0,3811

5 0,5829

6 0,6763



b) Escenarios de segmentación por Jurisdicción Los escenarios evaluados fueron los siguientes:

Escenario 1 de segmentación: Participación relativa del número de variables por nivel.

X= No. De variables que califica un departamento en el nivel de exposición BAJA. Y= No. De variables que califica un departamento en el nivel de exposición ALTA. T= Total de variables

Si X/T >= 50%; entonces el departamento es de exposición BAJA. Si X/T < 50% y Y/T > 30%; entonces el departamento es de exposición ALTA. Aquellos que no cumplan las reglas mencionadas se clasificarán como de exposición MEDIA.

Escenario 2 de segmentación: Segmentación por cuartiles. Para cada categoría de calificación se llevó a cabo una distribución de las observaciones de la tabla IV en cuartiles.

X= No. De variables que califica un departamento en un nivel dado. Si X se encuentra en el 3 o 4 cuartil; entonces el departamento es de exposición ALTA. Si X se encuentra en 1 cuartil; entonces el departamento es de exposición BAJA. Si X se encuentra en el 2 cuartil; entonces el departamento es de exposición MEDIA.

Escenario 3 de segmentación: Puntuación ponderada. Sea Baja 1 punto, Media 2 puntos y Alta 3 puntos, se procedió a calcular el número de puntos promedio de cada departamento ponderado por el número de variables que califican al departamento en cada categoría.

Escenarios 4 y 5 de segmentación: Combinación de escenarios. En el escenario 4, para aquellos casos en donde los escenarios 1,2 y3 coinciden, se asigna la respectiva categoría; para aquellos casos en donde no coinciden se toma la categoría mayor. En el escenario 5, para aquellos casos en donde los escenarios 1,2 y3 coinciden, se asigna la respectiva categoría; para aquellos casos en donde no coinciden se toma la categoría que más se repita. En la tabla 11 se resumen los resultados de los escenarios de segmentación.



Tabla 11 - Resumen de los escenarios de segmentación

A los resultados expuestos en la tabla anterior se les aplica una prueba de concordancia, Coeficiente de Kappa (k)

10 con el fin de verificar si entre sí los escenarios son estadísticamente

distintos. El resultado de dicha prueba arrojó un K de 0,6431 concluyendo que los resultados de las 5 segmentaciones utilizadas, son estadísticamente concordantes (Anexo II). Frente a dicho resultado, y con el fin de seleccionar la mejor opción de segmentación, se aplicó la prueba del Alpha de Cronbach a cada categoría en cada segmentación, obteniendo los siguientes resultados:

Tabla 12 - Resultados de la Prueba Alpha de Cronbach por segmentación

Al analizar los resultados de la prueba, se concluye que el escenario que presenta una mayor consistencia al interior de cada categoría es el número 4.

c) Resultados de Coeficiente de Kappa – escenarios de segmentación

Entrada automática:

10

Coeficiente de Kappa: Coeficiente utilizado para medir el grado de acuerdo entre varios métodos o evaluadores que clasifican a un sujeto(s) o al resultado de una observación, según una serie de posibilidades (categorías) mutuamente excluyentes. Su resultado oscila entre -1 y 1; siendo 1 una concordancia perfecta.

Departamento Escenario 1 Escenario 2 Escenario 3 Escenario 4 Escenario 5

Amazonas BAJA BAJA BAJA BAJA BAJA

Antioquia MEDIA MEDIA MEDIA MEDIA MEDIA

Arauca ALTA MEDIA MEDIA ALTA MEDIA

Atlántico BAJA BAJA BAJA BAJA BAJA

Bogotá, D.C. BAJA BAJA BAJA BAJA BAJA

Bolívar BAJA MEDIA BAJA MEDIA BAJA

Boyacá BAJA BAJA BAJA BAJA BAJA

Caldas BAJA MEDIA BAJA MEDIA BAJA

Caquetá MEDIA MEDIA MEDIA MEDIA MEDIA

Casanare MEDIA MEDIA MEDIA MEDIA MEDIA

Cauca MEDIA MEDIA MEDIA MEDIA MEDIA

Cesar MEDIA MEDIA MEDIA MEDIA MEDIA

Chocó MEDIA MEDIA MEDIA MEDIA MEDIA

Córdoba BAJA BAJA BAJA BAJA BAJA

Cundinamarca BAJA BAJA BAJA BAJA BAJA

Guainía BAJA BAJA BAJA BAJA BAJA

Guaviare ALTA ALTA ALTA ALTA ALTA

Huila BAJA MEDIA BAJA MEDIA BAJA

La Guajira MEDIA MEDIA MEDIA MEDIA MEDIA

Magdalena MEDIA MEDIA MEDIA MEDIA MEDIA

Meta MEDIA MEDIA MEDIA MEDIA MEDIA

Nariño MEDIA MEDIA MEDIA MEDIA MEDIA

Norte de Santander MEDIA MEDIA MEDIA MEDIA MEDIA

Putumayo ALTA ALTA MEDIA ALTA ALTA

Quindio BAJA MEDIA BAJA MEDIA BAJA

Risaralda BAJA BAJA MEDIA Media BAJA

San Andres BAJA MEDIA BAJA MEDIA BAJA

Santander BAJA MEDIA BAJA MEDIA BAJA

Sucre MEDIA MEDIA MEDIA MEDIA MEDIA

Tolima MEDIA MEDIA MEDIA MEDIA MEDIA

Valle del Cauca BAJA BAJA MEDIA Media BAJA

Vaupés BAJA BAJA MEDIA Media BAJA

Vichada MEDIA MEDIA MEDIA MEDIA MEDIA

Alpha

No. De

departamentos Alpha

No. De

departamentos Alpha

No. De

departamentos Alpha

No. De

departamentos Alpha

No. De

departamentos

Baja 44.64% 16 62.50% 10 62.50% 13 100% 7 44.64% 16

Media 100% 14 83.16% 21 86.54% 19 79.37% 23 62.50% 15

Alta 71.43% 3 N.A. 2 83.33% 1 83.33% 3 N.A. 2

Total departamentos 33 33 33 33 33

Escenario 4Escenario 3Escenario 2Escenario 1 Escenario 5

Categoria



Archivo de trabajo: D:\Users\79506649\Documentos\LEMR\SISTEMAS DE ADMINISTRACION DE RIESGOS\SARLAFT\JURISDICCIÓN.xlsx\Hoja4 Variables o categorías: BAJA, MEDIA, ALTA Datos:

Numero de sujetos: 33 (Departamentos)

Numero de categorías: 3 (nivel de riesgo)

Numero de observadores: 5 (Segmentos)

Nivel de confianza: 95,0% Resultados:

Categoría Kappa IC (95,0%) Estadístico Z Valor p

BAJA 0,6512 0,4536 0,8483 11,8295 0,0000

MEDIA 0,6069 0,4079 0,8054 11,0250 0,0000

ALTA 0,7565 0,2974 1,2119 13,7424 0,0000

Kappa global 0,6431 0,4601 0,8257 13,8048 0,0000



Anexo 2 Indicadores SARLAFT

Cumplimiento de reporte del ROS INDICADOR

numerador denominador

Oficinas que reportaron dentro de la fecha establecida / Número de Oficinas que deben reportar

Oficinas que reportaron después de la fecha establecida / Número de oficinas que deben reportar

Alertas ROS evaluadas frente a reportadas INDICADOR


Número total de alertas evaluadas

Número total de alertas reportadas / Número de alertas evaluadas

Diligenciamiento de formulario para renovaciones INDICADOR


Número Total Pólizas Renovadas

Número de formularios de renovación pendientes

Número de formularios de renovación devueltos

Pólizas Canceladas por desistimiento

Número de formularios de actualización recibidos / Número de Pólizas Renovadas

Solicitud de expedición frente a devolución por mal diligenciamiento

INDICADOR


Número Total de Pólizas Expedidas

Número Total de Devoluciones por mal diligenciamiento

Número Total de Devoluciones por mal diligenciamiento / Número Total de Pólizas Expedidas

Expedición rechazadas frente a solicitadas INDICADOR


Solicitudes de expedición rechazadas por estar en lista Clinton

Número total de solicitudes de pólizas

Expediciones rechazadas por estar en lista Clinton / Número total de solicitudes de pólizas

Activación de clientes relacionados en listas vinculantes por necesidad del pago

INDICADOR


Número de clientes desactivados por creación de proveedor


Aprobó:


Revisó:


Elaboró:



Fecha:

04/12/2014

Pág. de 95 de 97

Anexo 3 Indicadores SARO

PROCESO CLASE DE

INDICADOR CLASE DE RIESGO

NOMBRE DE INDICADOR

INDICADOR

Promoción y Prevención

Rendimiento Clientes Desatención PyP No. de empresas desatentidas mes/No. de empresas para

atender mes.

Rendimiento Clientes Desafiliación PyP No. de empresas desafiliadas por falta de PyP mes./No. total de

empresas desafiliadas mes.

Afiliaciones

Descriptivo Clientes Desafiliación de

empresas No. de empresas desafiliadas mes/No. de empresas afiliadas

total.

Clave de Control

Fraude Evasión/elusión No. de empresas bloqueadas mes/No. de empresas afiliadas

Novedades Rendimiento Clientes Oportunidad en

Novedades No. de novedades no aplicadas mes/ No. de novedades

solicitadas mes

Recaudo y Cartera

Descriptivo Ejecución y

Administración de procesos

Recaudo Mes Total recaudado mes/ total facturado mes.



Cartera del mes Total saldo a cartera mes/total facturado mes.

Recobros

Clave de Control

Ejecución y Administración de

procesos Recobros por RO No. de recobros de RO mes/No. de recobros solicitados mes.

Rendimiento Ejecución y


Recobro gestión No de recobros emitidos mes/Numero de recobros realizados

efectivos mes.

Recepción, verificación y

calificación del siniestro



Modificación en calificación

No. de modificaciones calificación mes/No. de calificaciones origen profesional mes.

Autorizaciones



autorizaciones para origen común

No de autorizaciones para origen común mes/Número total de autorizaciones mes.

Descriptivo Clientes Autorizaciones

gestión No. de autorizaciones negadas mes/ No. de autorizaciones

realizadas mes



Prestaciones asistenciales



prestaciones para origen común

No de prestaciones origen común mes/Número total de prestaciones mes.

Rendimiento Clientes Prestaciones

gestión No de solicitudes de prestación recibidas mes / No de

solicitudes no atendidas mes

Prestaciones económicas



prestaciones económicas para

origen común

No de prestaciones económicas origen común mes/Número total de prestaciones económicas mes.

Rendimiento Clientes Prestaciones

económicas gestión No de solicitudes de prestación económicas recibidas mes / No

de solicitudes prestaciones económicas no atendidas mes

Suscripción y Expedición

Rendimiento Ejecución y


Oportunidad en suscripción

Tiempo de respuesta promedio mes/ tiempo de respuesta establecido

Reconocimiento Rendimiento Clientes Oportunidad en reconocimiento

Tiempo de respuesta promedio mes/ tiempo de respuesta establecido

Cálculo de reservas



Calculo Manual No de casos ajustados manualmente para vida individual reservas mes/No de casos reserva vida individual mes.

Servicio al cliente

Rendimiento Clientes Quejas No. de quejas no atendidas mes/No de quejas atendidas mes.

Tesorería Descriptivo Clientes Pagos Rechazados Numero de pagos rechazados mes/número de pagos realizados

mes

Gestión tecnológica

Descriptivo Fallas Tecnológicas Caída de Red Indicador de conectividad

Rendimiento Fallas Tecnológicas Indisponibilidad de

sistemas No de casos de indisponibilidad SISE y SIARP mes / No de

casos atendidos de indisponibilidad SISE y SIARP mes

Rendimiento Fallas Tecnológicas Soporte Técnico No de casos atendido en Operador Helpdesk /No de casos

reportados

Gestión Jurídica Rendimiento Ejecución y


Atención Tutelas No. de tutelas atendidas mes /No. de tutelas recibidas mes

Recursos humanos

Descriptivo Relaciones Laborales Rotación Personal No de personas desvinculadas mes/No de empleados total mes

Servicios Generales

Rendimiento Daños a Activos

Físicos Atención servicios

Generales No de casos atendido en Aranda/No. de casos reportados en

Aranda


Aprobó:


Revisó:


Elaboró:



Fecha:

04/12/2014

Pág. de 97 de 97

Control de Cambios

N° Descripción del Cambio Fecha del Cambio

Quien Aprueba el Cambio

Versión Anterior

1

Exclusión del capítulo SARM, por el proceso de reestructuración de Positiva, en el cual se involucra la creación de la Vicepresidencia de Inversiones.

15/11/2013 Junta Directiva 10

2

El Manual para la Gestión de Riesgos del Negocio sustituye el anterior Manual para la Gestión Integral de Riesgo. A los capítulos I, II, III, IV y VI se les realiza ajustes de forma, actualizándolos a la estructura organizacional vigente. Modificación del Capítulo V SARC, re-definición del riesgo de crédito, ajustándolo a los requerimientos del Capítulo II de la Circular Básica Contable. Se limitó a crédito a trabajadores oficiales. Modificación del Capítulo I; se adiciona al numeral 1.6.1 ajustando la política de prevención y solución de conflictos de interés.


3 Modificación del Capítulo VI: “ESQUEMA DE PREVENCIÓN DE FRAUDE Y CORRUPCIÓN”, incluyendo la creación del Comité de Ética.


4

Modificación del Capítulo I: “CONSIDERACIONES GENERALES PARA LA GESTIÓN DE RIESGOS DEL NEGOCIO. Se incluye: Alcance, Nivel de riesgo aceptable, consolidación de funciones, modificación del Comité de Riesgos Modificación del Capítulo III: “SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO SARO. Se incluye: modificación de metodología de valoración de impacto, ajuste de colorimetría de la matriz de riesgos.

27/06/2014 Junta Directiva

Acta 550 13

5 Modificación del Capítulo IV: “SARLAFT”, Se incluye: modificación de metodología de segmentación.

04/12/2014 Junta Directiva

Acta 557 14

manual para la gestiÓn de riesgos del...

Documents