propuesta para la planeaciÓn del sistema de ......2 propuesta para la planeaciÓn del sistema de...
TRANSCRIPT
PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE
RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA
FEBOR ENTIDAD COOPERATIVA
JEINY PIEDAD ESPITIA HERRAN
UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA INDUSTRIAL ALTERNATIVA PRÁCTICA EMPRESARIAL
BOGOTÁ, D.C. 2019
2
PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE
RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA
FEBOR ENTIDAD COOPERATIVA
JEINY PIEDAD ESPITIA HERRÁN
Trabajo de Grado para Optar al Título de Ingeniero Industrial
Director
ALBERTO GONZÁLEZ ACHURY
Ingeniero Industrial
UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA INDUSTRIAL ALTERNATIVA PRÁCTICA EMPRESARIAL
BOGOTÁ, D.C. 2019
3
4
Nota de Aceptación
Aprobado por el comité de grado en cumplimiento de los requisitos exigidos por la Facultad de Ingeniería y la Universidad Católica de Colombia para optar al título de ingeniero Industrial.
________________________________ Director
________________________________
Jurado 1
________________________________ Jurado 2
________________________________ Revisor Metodológico
Bogotá, 27, Noviembre de 2019
5
DEDICATORIA
El presente trabajo esta ́ dedicado
a mi familia por haber sido mi
apoyo a lo largo de toda mi
carrera universitaria y a lo largo de
mi vida. A mi novio, y a todas las
personas especiales que me
acompañaron en esta etapa,
aportando a mi formación tanto
profesional y como ser humano.
6
AGRADECIMIENTOS
En primer lugar quiero expresar un sincero agradecimiento a Dios por brindarme salud, fortaleza y capacidad para concluir mi objetivo, de manera especial a mi tutor de trabajo de grado, por haberme guiado durante el desarrollo del tema; también hago extenso este reconocimiento a todos los maestros de mi educación superior, quienes me han dado las pautas para mi formación profesional; y por último a todos quienes conforman la comunidad de Febor Entidad Cooperativa, por haberme abierto las puertas, permitiendo la accesibilidad a los diferentes documentos.
7
CONTENIDO
Pág. INTRODUCCIÓN 15 1. GENERALIDADES 16 1.1 ANTECEDENTES 16 1.2 PLANTEAMIENTO DEL PROBLEMA 17 1.2.1 Descripción del Problema 17 1.2.2 Formulación del Problema 17 1.3 OBJETIVOS 17 1.3.1 Objetivo General 17 1.3.2 Objetivos Específicos 17 1.4 JUSTIFICACIÓN 18 1.5 DELIMITACIÓN 18 1.5.1 Espacio 18 1.5.2 Tiempo 18 1.5.3 Contenido 18 1.5.4 Alcance 18 1.6 MARCO REFERENCIAL 19 1.6.1 Marco Teórico 19 1.6.1.1 Riesgo 19 1.6.1.2 Gestión del riesgo 20 1.6.1.3 Planeación de los procesos con enfoque en gestión del Riesgo 22 1.6.1.4 Proceso para la Gestión del Riesgo 23 1.6.1.5 Establecimiento del Contexto 24 1.6.1.6 Análisis de Riesgos 25 1.6.1.7 Evaluación del Riesgo 26 1.6.1.8 Tratamiento del Riesgo 27 1.6.1.9 Comunicación y consulta 27 1.6.1.10 Seguimiento y Revisión 27 1.6.1.11 Beneficios de un sistema de gestión de riesgos 28 1.6.1.12 Herramientas para la gestión del riesgo 28 1.6.2 Marco Conceptual 32 1.6.2.1 Aceptación del riesgo 32 1.6.2.2 Activos de información 32 1.6.2.3 Administración del riesgo 32 1.6.2.4 Amenaza 32 1.6.2.5 Análisis cualitativo 32 1.6.2.6 Análisis cuantitativo 32 1.6.2.7 Análisis de riesgo 32 1.6.2.8 Auditoria 32 1.6.2.9 Causa 33 1.6.2.10 Comunicación y Consulta 33 1.6.2.11 Consecuencia 33 1.6.2.12 Control 33 1.6.2.13 Evaluación del riesgo 33
8
1.6.2.14 Evento 33 1.6.2.15 Fuente de riesgo 33 1.6.2.16 Gestión del riesgo 33 1.6.2.17 Identificación del riesgo 33 1.6.2.18 Impacto 33 1.6.2.19 Mapa de riesgos 33 1.6.2.20 Parte interesada 33 1.6.2.21 Política para la gestión del riesgo 34 1.6.2.22 Probabilidad 34 1.6.2.23 Riesgo 34 1.6.2.24 Riesgo de crédito 34 1.6.2.25 Riesgo de mercado 34 1.6.2.26 Riesgo Operativo 34 1.6.2.28 Riesgo de crédito 35 1.6.2.29 Riesgos estratégicos o sistemáticos 35 1.6.2.30 Riesgos financieros 35 1.6.2.31 Riesgos de negocios 35 1.6.2.32 Riesgos políticos 36 1.6.2.33 Riesgo de liquidez 36 1.6.2.34 Riesgos ambientales 36 1.7 METODOLOGÍA 37 1.7.1 Tipo de Estudio 37 1.7.1.1 Fuentes de Información 37 1.7.1.2 Primaria 37 1.8 DISEÑO METODOLÓGICO 37 1.8.1 Fases del proyecto 37 1.8.1.1 Fase I 37 1.8.1.2 Fase II 37 1.8.1.3 Fase III 37 1.8.1.4 Fase IV 37
2. 2. DIAGNÓSTICO DE LA GESTIÓN Y EVALUACIÓN DEL RIESGO PERATIVO DE LA SITUACIÓN ACTUAL DE FEBOR ENTIDAD COOPERATIVA
38
2.1 CONTEXTO GENERAL DE LA ORGANIZACIÓN 38 2.1.1 Historia Febor Entidad Cooperativa 38 2.1.2 Misión 41 2.1.3 Visión 41 2.1.4 Estructura Organizacional 41 2.1.5 Principios y Valores corporativos 42 2.1.6 Resultados de Análisis DOFA organizacional 43 2.2 GESTIÓN POR PROCESOS 44 2.2.1 Mapa de Procesos 44 2.2.2 Alcance de cada uno de los Macro procesos 44 2.2.3 Caracterización del proceso de GRI-gestión de riesgos Operativo 46 2.3 RESPONSABLES DE LOS PROCESOS 46 2.3.1 Responsables 46 2.3.2 Política de gestión del Riesgo 46
9
2.3.3 Generalidades de la Gestión Documental de la organización 47 2.3.4 Gestión documental asociada a la gestión del riesgo operativo 49 2.3.5 Listado maestro de documentos 50 3. IDENTIFICACIÓN DE LOS RIESGOS EN FEBOR ENTIDAD COOPERATIVA 51 3.1 RIESGOS OPERATIVOS EN LOS PROCESOS 51 3.1.1 Análisis de los riesgos en Febor Entidad Cooperativa 51 3.1.2 Valoración de los riesgos de Febor Entidad Cooperativa 53 3.1.3 Análisis y valoración de los riesgos de Febor Entidad Cooperativa 54 3.1.4 Evaluación de controles para los riesgos de Febor Entidad Cooperativa 54 3.1.5 Tratamiento de los riesgos 55 3.1.6 Registro de los riesgos identificados 56 3.1.7 A continuación, se presenta la matriz de riesgos 4. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO EN FEBOR ENTIDAD COOPERATIVA
57
4.1 METODOLOGÍAS DE ANÁLISIS DEL RIESGO 57 4.1.1 Metodologías para la gestión del riesgo 57 4.1.1.1 Administración de Riesgos (AS/NZS 4360) 57 4.1.1.2 Administración del Riesgo Operacional. 57 4.2 PRESENTACIÓN DE LA METODOLOGÍA 58 4.2.1Estructura de la propuesta 58 4.2.1.1 Identificación de los riesgos 59
4.2.1.2 Componentes de la identificación del riesgo. 59
4.2.1.3 Análisis de los riesgos 62
4.2.1.4 Identificación de controles 64 4.2.1.5 Evaluación de los controles 65 4.2.1.6 Tratamiento de los riesgos 66 4.2.1.7 Seguimiento y revisión 68 4.2.1.8 Registro e informe 69 59 5. CONCLUSIONES 70 6. RECOMENDACIONES 71 BIBLIOGRAFÍA 72 ANEXOS 76
10
LISTA DE CUADROS
Pág.
Cuadro 1. Evaluación de Riesgos 26
Cuadro 2. Principios y Valores Corporativos 41
Cuadro 3. Análisis DOFA 41
Cuadro 4. Alcance Macro Procesos 43
Cuadro 5. Responsabilidades política gestión de procesos 46
Cuadro 6. Documentación existente 47
Cuadro 7. Documentos asociados al riesgo Operativo 48
Cuadro 8. Listado maestro de Documentos 49
Cuadro 9. Identificación de riesgos en Febor Entidad Cooperativa 50
Cuadro 10. Niveles de probabilidad de ocurrencia 51
Cuadro 11. Niveles de impacto 52
Cuadro 12. Nivel de severidad del riesgo 52
Cuadro 13. Valoración del riesgo en términos de probabilidad e impacto 52
Cuadro 14. Análisis y valoración de los riesgos en Febor Entidad Cooperativa 53
Cuadro 15. Evaluación de controles para los riesgos de Febor Entidad Cooperativa 54
Cuadro 16. Medidas de tratamiento después de los controles aplicados a los riesgos 55
Cuadro 17. Matriz de riesgos Febor Entidad Cooperativa 56
Cuadro 19. Clasificación de los riesgos 60
Cuadro 20. Formato practico para la identificación de los riesgos 61
Cuadro 21. Ejemplo del 01FPIR Formato práctico para la identificación de los riesgos 61
Cuadro 22. Formato DPAR-001 Análisis de riesgos 62
Cuadro 23. Formato diligenciado DPAR-001 Análisis de riesgos 63
Cuadro 24. Características mínimas para la definición de controles 63
Cuadro 25. Formato EDCPR-001 Evaluación de controles para el riesgo 64
Cuadro 26. Formato EDCPR-001 Evaluación de controles para el riesgo 65
Cuadro 27. Lista de priorización de los riesgos 65
Cuadro 28. Escala de valoración del riesgo 66
Cuadro 29. Resumen plan de tratamiento del riesgo 66
Cuadro 30. Formato FPDTDL-R001 Plan de tratamiento de los riesgos 67
11
LISTA DE FIGURAS Pág.
Figura 1. Ubicación Geográfica Febor Entidad Cooperativa 18
Figura 2. Concepto del riesgo 20
Figura 3. Tratamiento del riesgo 21
Figura 4. Etapas de la planeación de los procesos 22
Figura 5. Planeación con enfoque de gestión del riesgo 22
Figura 6. Esquema del proceso para la gestión del Riesgo 23
Figura 7. Identificación de Riesgos 24
Figura 8. Diagrama de Pareto 28
Figura 9. Diagrama Causa y Efecto 29
Figura 10. Árbol de problemas 29
Figura 11. Organigrama Estructura Organizacional 40
Figura 12. Mapa de procesos Febor Entidad Cooperativa 43
Figura 13. Caracterización proceso GRI-Gestión del Riesgo 45
Figura 14. Administración del riesgo operacional 58
Figura 15. Estructura de la metodología para la gestión del riesgo 58
Figura 16. Componentes para la identificación del riesgo 59
Figura 17. Análisis de causas (Espina de pescado) 59
Figura 18. Descripción de las clases de controles 64
12
LISTA DE ANEXOS Pág.
Anexo A. Caracterización proceso GRI-Gestión del Riesgo 45 Anexo B. Listado maestro de Documentos 48 Anexo C. Matriz de Riesgos en Febor Entidad Cooperativa 49
13
PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE
RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA
FEBOR ENTIDAD COOPERATIVA
Resumen
Febor es la Entidad Cooperativa de los empleados y pensionados del Banco de la República, se caracteriza por la honestidad, respeto y compromiso que a lo largo del tiempo ha brindado a sus asociados, es una entidad de interés privado que trabaja bajo la supervisión de la Superintendencia de la Economía Solidaria. Febor cuenta con aproximadamente 4771 asociados y aunque su manejo administrativo y económico la ubica en un lugar privilegiado en el sector cooperativo, la Entidad no cuenta con certificaciones otorgadas por organismos competentes, lo que ocasiona retrasos en el logro de los objetivos, además de generar impactos negativos en la credibilidad e imagen corporativa, es por ello que el sistema de gestión de riesgos se presenta como una herramienta para la identificación, análisis y evaluación de los riesgos que se pueden presentar, con el fin de prevenir, reducir o controlar los riesgos identificados. Para el desarrollo de la propuesta se hace un estudio descriptivo, se utilizan fuentes primaria y secundarias, se lleva a cabo mediante fases de levantamiento de información, diagnóstico que permitió reconocer el alcance de los macro procesos de la organización, la documentación asociada y el nivel de conocimiento general sobre la presencia de los riesgos, identificación y análisis de los riesgos mediante una matriz de riesgos, donde se expresan de manera clara las causas y consecuencias y los controles aplicables a cada riesgo, documentación de la metodología, diseñada para la evaluación y el análisis de los riesgos.
PALABRAS CLAVE: Riesgos, Proceso, Probabilidad, Impacto, Controles, Tratamiento.
14
Febor is the Cooperative Entity of employees and pensioners of the Bank of the Republic is characterized by the honesty, respect and commitment that it has given to its associates over time; it is an entity of private interest that works under the supervision of the Superintendence of the Solidarity Economy. Febor has approximately 4771 associates and although its administrative and economic management places it in a privileged place in the cooperative sector, the Entity does not have certifications granted by competent bodies, which causes delays in achieving the objectives, in addition to generating impacts negative in the credibility and corporate image, that is why the risk management system is presented as a tool for the identification, analysis and evaluation of the risks that may arise, in order to prevent, reduce or control the identified risks . For the development of the proposal a descriptive study is made, primary and secondary sources are used, it is carried out through phases of information gathering, diagnosis that allowed to recognize the scope of the macro processes of the organization, the associated documentation and the level of general knowledge about the presence of risks, identification and analysis of risks through a risk matrix, where the causes and consequences and the controls applicable to each risk are clearly expressed, documentation of the methodology, designed for the evaluation and The risk analysis. KEY WORDS: Risks, Process, Probability, Impact, Controls, Treatment.
15
INTRODUCCIÓN Los procesos de gestión del riesgo en las organizaciones tienen alta importancia dado que permiten atender aquellas fluctuaciones de los procesos que pueden llegar a alterar la continuidad del negocio, para el caso de estudio de este proyecto en Febor Entidad Cooperativa, el sistema de gestión se convierte en una herramienta practica que conlleva prevenir o mitigar los riesgos derivados de las actividades desarrolladas dentro de la entidad. De esta manera se pueden realizar acciones e implementar controles eficaces ante la presencia de un riesgo, para ello es importante que las personas que hacen parte de la entidad, adopten una cultura que potencialice el sentido de pertenencia hacia la organización y el enfoque para la disminución de los riesgos operativos. No gestionar los riesgos genera impactos negativos en la entidad, tales como pérdida de imagen, incumplimiento de objetivos estratégicos, recursos financieros, sanciones legales, entre otros. Por tanto, en primer lugar, se realiza un diagnóstico institucional que identifique las particularidades que existen en torno a la gestión de procesos y de gestión del riesgo asociado, teniendo en cuenta tanto factores internos como externos, de igual forma se integra la caracterización de proceso a fin de reconocer entradas, actividades y salidas, se incluyen principios y valores de la entidad, responsables de los procesos. En segundo lugar bajo la metodología de la norma ISO 31000:2018 de gestión del riesgo, se establecen valores cualitativos para medir la probabilidad y el impacto, se realiza la matriz de riesgos donde se efectúa la identificación de los riesgos operativos por cada procedimiento, a fin de reconocer por cada riesgo el análisis cualitativo de las consecuencias relacionando proporcionalmente la ocurrencia de dicho evento y de esta manera determinar su tipología, con la cual se establecen los controles y el tratamiento correspondiente. A esto se suma, la necesidad de contar con un plan de manejo de los riesgos, con el fin de considerar el tratamiento del riesgo, recomendar acciones, asignar roles y responsables, implementar controles y disponer mecanismos de monitoreo permanente, teniendo en cuenta que los riesgos siempre se encontrarán inmersos en los procesos y actividades que se realizan en el día a día. Finalmente, se documenta una metodología para la identificación y gestión de los riesgos en la organización, esto incluye la incorporación de herramientas, mecanismos y técnicas que permiten el análisis general de los riesgos.
16
1. GENERALIDADES 1.1 ANTECEDENTES Febor es la Entidad Cooperativa de los empleados y pensionados del Banco de la República que a lo largo del tiempo ha brindado bienestar a sus asociados y a sus familias a través del ahorro, el crédito y la intermediación de bienes y servicios. Creada el 1 de septiembre de 1936 por 28 empleados del Banco encabezados por el señor Julio Caro Gerente General en ese entonces. El 24 de noviembre de 1938 el Ministerio de Gobierno, reconoció la personería jurídica de dicha entidad. Trabaja bajo la supervisión de la Superintendencia de la Economía Solidaria, A través del tiempo Febor ha demostrado a sus asociados honestidad, respeto y compromiso. Su manejo administrativo y económico la ubica en un lugar privilegiado en el sector cooperativo. La entidad trabaja diariamente con el fin de brindar servicios ágiles y oportunos que beneficien a los asociados y sus familias. Se preocupa por celebrar y mantener convenios comerciales con diferentes empresas, facilitándoles la adquisición de bienes y servicios.1 Febor Entidad Cooperativita, aunque posee un sistema de gestión de calidad, no se encuentra certificado como tal, no lo ven como un requerimiento prioritario en este momento, además no se evidencia un sistema de gestión de riesgos, considerando los múltiples factores que se pueden presentar en el desarrollo de cada una de las actividades a las que se dedica la organización. A lo largo de los años Febor Entidad Cooperativa se ha visto inmerso en diferentes oportunidades, a riesgos que han afectado el rendimiento financiero de la organización, teniendo en cuenta lo anterior se considera importante la implementación de la NTC ISO 31000: 2018, que permita identificar sus riesgos, valorarlos y generar tratamientos para reducir o eliminar efectos y probabilidades de ocurrencia.
1 FEBOR ENTIDAD COOPERATIVA. Acontecimientos [en línea]. Bogotá: La empresa [citado 20 de agosto, 2019]. Disponible en internet: URL< http://www.febor.coop/institucional/resenahistorica/resena-historica >
17
1.2 PLANTEAMIENTO DEL PROBLEMA 1.2.1 Descripción del Problema. En el sector financiero colombiano se presentan numerosos problemas originarios de una mala gestión del riesgo operativo, como fraudes internos y externos, fallas tecnológicas, incumplimiento regulatorio, exposición a pérdidas por causa de procesos inadecuados, cambios en la demanda, oferta o posición competitiva en el sector, entre otros. Aunque hasta ahora no se le ha dado la importancia debida, en este sentido, toma valor que las empresas cuenten con una gestión sistemática de los riesgos, enfocados en la disminución y prevención desde todos los frentes posibles, de aquellos eventos que generen pérdidas en caso de materializarse. Si bien existen los documentos de gestión de los procesos los cuales están soportados en un repositorio documental, la entidad no cuenta con certificaciones otorgadas por organismos competentes. Lo que ocasiona retrasos en el logro de sus objetivos, se han presentado perdidas por operaciones fallidas en el sistema, además de generar un impacto negativo en la credibilidad e imagen corporativa afectando seriamente sus intereses y los de sus asociados, dado que a la fecha se presentan diariamente en promedio 5 PQRSF por inconformidades, además se han retirado en el último año el 1.5 % de los asociados con los que contaba la entidad. 1.2.2 Formulación del Problema. ¿Qué beneficios traería para Febor Entidad Cooperativa la estructuración del sistema de gestión del riesgo? 1.3 OBJETIVOS 1.3.1 Objetivo General. Realizar una propuesta para la planeación del sistema de gestión de riesgo operativo, con base en la norma NTC-ISO 31000:2018 para Febor Entidad Cooperativa. 1.3.2 Objetivos Específicos. A continuación, se mencionan los objetivos específicos
Realizar un diagnóstico de la gestión y evaluación del riesgo operativo de la situación actual de la entidad.
Identificar los riesgos operativos en los procesos que garanticen el cumplimiento de los requisitos establecidos por la NTC ISO 31000:2018.
Documentar la metodología de la gestión del riesgo para Febor Entidad Cooperativa
18
1.4 JUSTIFICACIÓN
Los Sistemas de Gestión de riesgos operativos permiten a las organizaciones mejorar su desempeño a nivel global y proporcionar una base como iniciativa de desarrollo sostenible, además ofrecen la posibilidad de evitar situaciones que podrían causar pérdidas inesperadas y no planificadas en la organización. Con esta finalidad las entidades se ven obligadas a establecer lineamientos encaminados al control y gestión de los recursos, brinda la oportunidad del cumplimiento de las metas y la continuidad de la organización; razón por la cual surgen diversas herramientas que ayudan al desarrollo de una buena gestión. Febor Entidad Cooperativa como garante del desarrollo nacional y de los intereses privados, debe priorizar todas aquellas actividades que contribuyan al cumplimiento de sus propósitos a nivel operativo, financiero, talento humano y demás componentes de la organización, acogiendo los lineamientos establecidos por el Gobierno Nacional, Superintendencia de la Economía Solidaria y los principios básicos para una buena gestión.
1.5 DELIMITACIÓN 1.5.1 Espacio. El presente trabajo se llevará a cabo en las instalaciones de Febor Entidad Cooperativa Calle 42 # 8A – 80 en la ciudad de Bogotá. (véase la Figura 1). Figura 1. Ubicación Geográfica Febor Entidad Cooperativa
Fuente. GOOGLE MAPS. Aplicación satelital [en línea]. Bogotá: [citado 21 de agosto, 2019]. Disponible en internet :<URL https://www.google.com/maps/place/Febor/@4.6297592,- 74.0688726,17z/data=!4m5!3m4!1s0x8e3f9a2892ba9f8b:0x95db3e8986b2b1d8!8m2!3d4.6297592!4d-74.0666839>
19
1.5.2 Tiempo. El tiempo previsto para el desarrollo del presente trabajo es de aproximadamente 3 meses comprendidos entre julio y noviembre de 2019. 1.5.3 Contenido. El primer capítulo contiene los lineamientos básicos para el desarrollo del trabajo, el segundo, tercero y cuatro capitulo hacen referencia al avance de los objetivos planteados, por último, se encuentran las conclusiones, recomendaciones, bibliografía y anexos requerido durante el desarrollo del mismo. 1.5.4 Alcance. El presente documento abarca el establecimiento de, análisis de contexto, enfoque, identificación, análisis, evaluación y tratamiento de los riesgos, comunicación y consulta para el desarrollo de la propuesta del Sistema de Gestión de Riesgos Operativos. 1.6 MARCO REFERENCIAL 1.6.1 Marco Teórico. A continuación, se presenta el marco teórico.
Riesgo. Se consideran los riesgos asociados a las decisiones, pero ¿Qué es el riesgo?, existen muchas definiciones las cuales se pueden detallar:
El comité de Basilea define al riesgo operacional como riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos. Es el riesgo que incurre un banco por su operatoria, que no está ya clasificado como riesgo de crédito o de mercado o los otros ya tradicionales, y que ha cobrado gran notoriedad dada la mayor participación de operatorias tercerizadas, sistemas tecnológicos complejos, productos derivados y estructurados y una mayor diversidad de negocios financieros2.
Greenfacts lo define como "Daño potencial que puede surgir por un proceso presente o suceso futuro".
Kaplan y Garrick han discutido una infinidad de posibles definiciones de riesgo". Así, “Riesgo es una combinación de incertidumbre y daño”, “Riesgo es una relación de peligros y medidas de seguridad”.
Para Philippe Jorion el riesgo puede ser definido como "la volatilidad que los flujos financieros no esperados, generalmente derivada del valor de los activos y pasivos".
2 Operational risk management in financial institutions: A dead-end journey. [en línea].Bogotá. [citado 25 de septiembre, 2019]. Disponible en internet: URL<https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85025450026&origin=resultslist&sort=plf-f&src=s&st1=Basilea+Committee&st2=&sid=375fa77cabbb4a30bfee808f47620dc8&sot=b&sdt=b&sl=32&s=TITLE-ABS-KEY%28Basilea+Committee%29&relpos=5&citeCnt=0&searchTerm=
20
En ese sentido, según la bibliografía revisada se considera que el análisis de riesgo es inevitable en los procesos de toma de decisiones en general y en las decisiones de inversión en particular. El beneficio de tomar una decisión o de realizar una acción cualquiera, necesariamente debe asociarse con el riesgo inherente a esa decisión o acción. En finanzas, el concepto de riesgo está relacionado con el grado de incertidumbre de rendimientos esperados en el futuro. La medición efectiva y cuantitativa del riesgo está dada por la probabilidad asociada a una pérdida potencial. Por ello, la gestión de riesgos consiste en medir esas probabilidades en contextos de incertidumbre.3
Gestión del riesgo. El objetivo principal de implementar la gestión del riesgo
radica principalmente en la identificación de riesgo de las actividades, definición de
responsabilidades y competencias, criterios de análisis, controles del riesgo y
actividades de verificación y monitoreo, para ello se debe tener claro el enfoque de
riesgo tomándolo como una relación entre consecuencias y ocurrencia de un evento.
(véase la Figura 2).
Figura 2. Concepto del riesgo
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 64 p. De forma más extensa se interpreta que cualquier consecuencia puede generar un impacto positivo o negativo, la ocurrencia depende principalmente de los controles que se tengan establecidos haciendo que el riesgo tome unos valores bajos o muy altos. Sin embargo aunque se llegasen a obtener algunos controles básicos y no se puedan adoptar otros más robustos por su complejidad o inversión económica, se deben generar planes de contingencia a lo que en relación el autor Francisco José López
3 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>
21
Carrizosa destaca4. “la implementación de controles o acciones de contingencia o transferencia del riesgo, buscan modificar el nivel de riesgo inherente de cualquier actividad y a esto se le llama tratamiento del riesgo”. Dichos tratamientos o controles que se tienen para los riesgos luego de ser aplicados nos llevan a un riesgo residual. (véase la Figura 3). No siempre los controles deben ser ejecutados ya que dependen principalmente del riesgo inherente identificado, si tuviéramos que organizar el método de actuar ante un riesgo, en primer lugar, es analizar el nivel del riesgo, en segundo lugar, la ejecución de los controles y en tercer lugar si los controles no fueran suficientes se iniciaría el plan de contingencia. Figura 3. Tratamiento del riesgo
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 65 p.
Planeación de los procesos con enfoque en gestión del Riesgo. La planeación de los procesos para el área de Gestión del riesgo puede observarse como un reajuste de los procesos ya implicados, sin embargo debe establecerse de acuerdo con la norma NTC-ISO 9001:20085, en el numeral 4.1 de requisitos generales donde consiste en la definición de métodos de operación y control, recursos, el seguimiento y medición de los procesos y su mejora continua. Para ello es importante adoptar unas etapas que se muestran a continuación (véase la Figura 4).
4 LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p. 5 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Sistemas de gestión de la calidad. Requisitos: Requisitos Generales. NTC-ISO 9001. Bogotá D.C: El Instituto, 2008. 2 p.
22
Figura 4. Etapas de la planeación de los procesos
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 63 p. A continuación, se observará un esquema basado en el ciclo PHVA de cómo debe ser
la planeación de los procesos con enfoque en gestión del riesgo. (véase la Figura 5).
Figura 5. Planeación con enfoque de gestión del riesgo
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 63 p.
Proceso para la Gestión del Riesgo. El proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. El proceso para la gestión del riesgo se ilustra en (véase la Figura 6)
23
Figura 6. Esquema del proceso para la gestión del Riesgo
Fuente. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Norma técnica colombiana NTC-ISO 31000:2018. Gestión del riesgo. Directrices. 16 p.
Establecimiento del Contexto. Para la determinación del contexto es importante establecer los criterios frente a los cuales se evaluará los riesgos del área de Gestión del Riesgo Operativo, así como las condiciones para la aplicación considerando como lo describe el autor Francisco José López Carrizosa6. “identificación de partes interesadas y sus expectativas, objetivos del proceso con relación a las partes interesadas, criterios para la gestión del riesgo, criterios de análisis y evaluación de riesgos, estructura para la gestión del riesgo”. El contexto estratégico se define de acuerdo a la NTC 5254 de gestión del riesgo como “la relación entre la organización y su entorno. El contexto incluye los aspectos financieros, operacionales, competitivos, políticos (percepciones, imagen del público), sociales, del cliente, culturales y legales de las funciones de una organización”7, para el contexto organizacional se define en la misma norma como “el comprender la organización y sus capacidades, lo mismo que sus metas y objetivos, y las estrategias implementadas para lograrlos”8, mientras que para el contexto de la gestión del riesgo menciona como el “decidir los procesos contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios
6 LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p. 7 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 8 p. 8 Ibid., p. 9.
24
u otros. Con frecuencia, estos dependen de la política interna de una organización, sus metas, objetivos y los interesas de las partes interesadas”9. Para esto se puede utilizar la hoja de análisis o formulario de planificación de Juran, tal
como lo menciona el autor Francisco José López Carrizosa10. “el propósito de esta hoja
de análisis es comparar y calificar relaciones entre ítems; en este caso, las expectativas
del cliente y la sociedad contra las metas de la organización y de las partes
interesadas”.
“El objetivo de la identificación del riesgo es desarrollar una lista amplia de las fuentes de riesgos y eventos que podrían tener impacto en el logro de cada uno de los objetivos o elementos identificados en el contexto”11. La identificación del riesgo puede contemplar los componentes de un riesgo como lo son la fuente del riesgo, causas, eventos, consecuencias y controles actuales. (véase la Figura 7). Figura 7. Identificación de Riesgos
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con
enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto
Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 80 p.
9 TITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 10 p. 10 LOPEZ CARRIZOSA, Francisco José. Planificación estratégica de la calidad. En: ISO 9000 y la planificación de la calidad - Guía para la planificación de la calidad con orientación en la gestión por procesos. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2004. 21 p. 11 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Manual de directrices de gestión del riesgo: complementa la NTC 5254:2006. Bogotá D.C: El instituto, 2008. 41 p.
25
Análisis de Riesgos. Consiste en el desarrollo de la comprensión del riesgo, siendo este el material de entrada para la valoración del riesgo y la toma de decisiones donde se determina si es necesario tratar o no el riesgo; por otro lado de acuerdo con la NTC 5254 indica que analizar riesgos es12. “Determinar los controles existentes y analizar los riesgos en términos de consecuencia y posibilidad en el contexto de estos controles. El análisis debe considerar la gama de consecuencias potenciales y la posibilidad de que estas ocurran. Se pueden combinar la consecuencia y la posibilidad para producir un nivel estimado del riesgo”. Pueden existir diversas técnicas de valoración del riesgo, sin embargo de acuerdo a la NTC.IEC/ISO 31010 se encuentra que13: “la valoración del riesgo se puede emprender en grados diversos de profundidad y detalle y utilizando uno o muchos métodos que van desde lo sencillo hasta lo complejo. La forma de valoración y sus resultados deberían ser consistentes con los criterios del riesgo desarrollados como parte del establecimiento del contexto”. La técnica con enfoque semicuantitativa posee escalas tanto cualitativas como cuantitativas, el objetivo radica en producir una clasificación más alta que la que se obtiene en un análisis cuantitativo; mientras que el análisis cuantitativo puede emplear datos provenientes de diferentes fuentes que pueden acercar más a una exactitud y validez que los demás modelos. Sin embargo si los datos adquiridos en la medición cuantitativa sin imprecisos es necesario la realización de un análisis de sensibilidad para determinar el cambio de los respetivos datos14.
Evaluación del Riesgo. La evaluación de un riesgo consiste principalmente en la determinación de un estado aceptable o de tratamiento, por eso es importante determinar un monitoreo para aquellos riesgos que lo requieran, es decir tras cada revisión verificar si el riesgo merece tal control o puede reducirse a un menor nivel de aceptabilidad15. Los objetivos de la organización y el grado de oportunidad que pudiera resultar de asumir el riesgo.
12 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Elementos Principales. NTC 5254. Bogotá D.C.: El Instituto, 2004. 7 p. 13 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Técnicas de valoración del riesgo. NTC-IEC/ISO 31010. Bogotá D.C.: El Instituto, 2013. 16 p. 14 Managing uncertainty, mitigating risk: Tackling the unknown in financial risk assessment and decision making. [en linea]. Bogota. [citado 23 de agosto, 2019]. Disponible en internet: URL< https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85029704773&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=dff34c90778be88a13278ca968a11429&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28PROBLEM+TREE%29&relpos=12&citeCnt=0&searchTerm=> 15 Ibid., 15 p.
26
La evaluación se puede realizar con niveles de riesgos enfocados en el nivel de ocurrencia de un evento de acuerdo con criterios preestablecidos y su nivel de consecuencias de la ocurrencia de un evento, siendo este la entrada para las directrices generales de tratamiento (véase el Cuadro 1). Cuadro 1. Evaluación de Riesgos
Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 79 p.
Tratamiento del Riesgo. Tomando como base el análisis previo en cuanto a los riesgos inherentes, el tratamiento del riesgo se puede separar en dos direcciones; la primera por medio de las acciones (controles) y la segunda que ayude a mitigar su impacto (planes de contingencia). Sin embargo la NTC-ISO 31000 permite profundizar un poco más en el tema en cuanto a las medidas que se pueden adoptar dentro de las cuales se tienen16: a) Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo. b) Aceptar o aumentar el riesgo en busca de una oportunidad. c) Eliminar la fuente del riesgo. d) Modificar la probabilidad. e) Compartir el riesgo. f) Retener el riesgo con base en una decisión informada.
Comunicación y consulta. El propósito de la comunicación y consulta es asistir a las partes interesadas pertinentes a comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. La comunicación busca promover la toma de conciencia y la comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. Una coordinación cercana entre ambas debería facilitar un intercambio de información basado en hechos, oportuno, pertinente, exacto y comprensible, teniendo en cuenta la confidencialidad e integridad de la información, así como el derecho a la privacidad de las personas17.
16 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo directrices: selección de las opciones para el tratamiento del riesgo. UNE-ISO 31000:2018. Bogotá D.C: Disponible en internet, 2018. 22 p. 17 Ibid., p. 17.
27
Dentro de Febor Entidad Cooperativa es importante una buena comunicación en el desarrollo de una “cultura” en la que reconozcan y valoren los impactos del riesgo ya sean positivos o negativos. La comunicación acerca del riesgo ayuda a una organización a establecer su actitud hacia el riesgo y una mejor planificación sobre sus procesos.
Seguimiento y Revisión. El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas18. El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación. Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.
Beneficios de un sistema de gestión de riesgos. Su uso puede generar una mayor eficacia, Estos son los principales beneficios de contar con un sistema de gestión de riesgos operativos:
Permite a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.
Facilita la toma de decisiones.
Soporta las actividades de planificación estratégica y fortalece el ambiente de control interno.
Permite cumplir con nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.
Fomenta que la administración de riesgos sea un pilar dentro de la cultura de la organización.19
Herramientas para la gestión del riesgo. A continuación, se presentan
algunas herramientas que son necesarias para la gestión del riesgo. Diagrama de Pareto. El diagrama de Pareto es una herramienta utilizada para priorizar los problemas o las causas que lo genera. El nombre de Pareto fue dado por el
18 Ibid., p. 23. 19 GESTION INTEGRAL DEL RIESGO. [en línea] Bogotá. [citado 22 de agosto, 2019]. Disponible en internet: URL: < https://www.pwc.com/co/es/advisory/assets/4-gestion-integral-de-riesgos.pdf>
28
Dr. Juran en honor del economista italiano VILFREDO PARETO (1848-1923). (véase la Figura 8). Figura 8. Diagrama de Pareto
Fuente. Herramientas para la mejora de la calidad. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 30 p. Diagrama Causa y Efecto de ISHIKAWA. El diagrama de Ishikawa es un método gráfico que se usa para efectuar un diagnóstico de las posibles causas que provocan ciertos efectos, los cuales pueden ser controlables. El diagrama de causas-efecto de Ishikawa, así llamado en reconocimiento a Kaouru Ishikawa ingeniero japonés que lo introdujo y popularizó con éxito en el análisis de problemas en 1943 en la Universidad de Tokio durante una de sus sesiones de capacitación a ingenieros de una empresa metalúrgica explicándoles que varios factores pueden agruparse para interrelacionarlos. Este diagrama es también conocido bajo las denominaciones de cadena de causas-consecuencias, diagrama de espina de pescado o “fish-bone”. El diagrama de Ishikawa permite apreciar, fácilmente y en perspectiva, todos los factores que pueden ser controlados usando distintas metodologías. Al mismo tiempo permite ilustrar las causas que afectan una situación dada, clasificando e interrelacionando las mismas.20
20 HERRAMIENTAS PARA LA MEJORA DE LA CALIDAD. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 22 p. [en línea]. Bogotá. [citado 07 de octubre, 2019]. Disponible en internet. URL< https://qualitasbiblo.files.wordpress.com/2013/01/libro-herramientas-para-la-mejora-de-la-calidad-curso-unit.pdf>
29
El diagrama de Ishikawa es un método gráfico que se usa para efectuar un diagnóstico de las posibles causas que provocan ciertos efectos, los cuales pueden ser controlables. (véase la Figura 9). Figura 9. Diagrama Causa y Efecto
Fuente. Herramientas para la mejora de la calidad. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 23 p. Árbol de Problemas. El árbol de problemas es una técnica que se emplea para identificar una situación negativa (problema central), la cual se intenta solucionar analizando relaciones de tipo causa-efecto21. Para ello, se debe formular el problema central de modo tal que permita diferentes alternativas de solución, en lugar de una solución única., esta herramienta nos permite mapear o diagramar el problema. La estructura de un árbol de problemas es: En las raíces se encuentran las causas del problema El tronco representa el problema principal En las hojas y ramas están los efectos o consecuencias
Es una forma de representar el problema logrando de un vistazo entender qué es lo que está ocurriendo (problema principal), por qué está ocurriendo (causas) y que es lo que esto está ocasionando (los efectos o consecuencias), lo que nos permite hacer diversas cosas en la planificación del proyecto, como verás a continuación en las ventajas. (véase la Figura 10). Figura 10. Árbol de problemas
21 UNESCO. Expresiones culturales. [en línea]. Bogotá. [citado 16 de octubre, 2019]. Disponible en internet. URL<http://www.unesco.org/new/es/culture/themes/%20cultural-diversity/diversity-of-cultural%20expressions/tools/policy-guide/planificar/diagnosticar/arbol-de-problemas/>
30
Fuente. El Autor Los Cinco Por Qués (Five Whys). Los Cinco Por Qués, es una técnica sistemática de preguntas utilizada durante la fase de análisis de problemas para buscar posibles causas principales de un problema. Durante esta fase, los miembros del equipo pueden sentir que tienen suficientes respuestas a sus preguntas. Lo anterior, podría resultar en una falla al identificar las causas principales más probables del problema, debido a que el equipo ha fallado en buscar con suficiente profundidad. La técnica requiere que el equipo pregunte “Por Qué” al menos cinco veces, o trabaje a través de cinco niveles de detalle. Una vez que sea difícil para el equipo responder al “Por Qué”, la causa más probable habrá sido identificada.
¿Por qué se averió la máquina?… El fusible se quemó debido a una sobrecarga.
¿Por qué se sobrecargó?… Los cojinetes no contaban con suficiente lubricación.
¿Por qué no tenían suficiente lubricación?… La bomba de lubricación no estaba haciendo circular suficiente aceite
¿Por qué la bomba no estaba circulando suficiente aceite?… La bomba se encontraba obstruida con virutas de metal
¿Por qué se encontraba obstruida con virutas de metal?… Porque la bomba no cuenta con filtro.
Así pues, una suciedad en la bomba debido a la ausencia de filtro generó una sobrecarga en el fusible lo que finalmente ocasionó la avería de la máquina. En este ejemplo cada causa trae su propio efecto, por lo que actuando sobre el quinto porqué, debería solucionar el problema de raíz.22
22 CONSULTORES. Serie técnicas de resolución de problemas. Los 5 por qué´s OP-SG-201401. [en línea] Bogotá. [citado 07 de octubre, 2019]. Disponible en internet. URL< http://www.5consultores.com/wp-content/uploads/2014/06/WP-T%C3%A9cnicas-Resoluci%C3%B3n-de-Problemas-5-Por-Qu%C3%A9.pdf>
EFECTOS
PROBLEMA CENTRAL
CAUSAS
31
1.6.2 Marco Conceptual. A continuación, se presentan una serie de conceptos, argumentos e ideas que se han desarrollado en relación con el tema de gestión de riesgos. 1.6.2.1 Aceptación del riesgo. Decisión generada por la entidad de aceptar las consecuencias y probabilidad de un riesgo en particular, sin adelantar acciones de reducción y control. La aceptación del riesgo también se deriva del nivel de riesgo o umbral en el cual Colciencias acepta el riesgo. 1.6.2.2 Activos de información. Se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización. 1.6.2.3 Administración del riesgo. Es la disciplina que combina los recursos financieros, humanos, materiales y técnicos de una empresa, para identificar o evaluar los riesgos potenciales y establecer acciones que permitan el manejo de los diferentes eventos que afectan negativamente los procesos de la empresa. 1.6.2.4 Amenaza. Es la intención y la capacidad de afectar adversamente un sistema, ocasionando daños o alteraciones. 1.6.2.5 Análisis cualitativo. Consiste en evaluar cuál es el impacto y la probabilidad de ocurrencia de cada uno de los riesgos identificados.
1.6.2.6 Análisis cuantitativo. Análisis probabilístico de los diferentes riesgos para mejorar las oportunidades y reducir las amenazas de la empresa. 1.6.2.7 Análisis de riesgo. Uso sistemático de la información disponible para valorar los riesgos en función de las causas o agentes que los generan, las consecuencias generadas por un incidente y/o evento, su severidad y la posibilidad de ocurrencia del mismo, con el fin de estimar la zona de riesgo inicial (riesgo inherente). 1.6.2.8 Auditoria. Proceso sistemático, documentado para obtener “evidencia de la auditoria” y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoria. 1.6.2.9 Causa. Medios, circunstancias, situaciones o agentes generadores del riesgo. Algunas fuentes de riesgos son: el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. 1.6.2.10 Comunicación y Consulta. Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes interesadas, con respecto a la gestión del riesgo.
32
1.6.2.11 Consecuencia. Resultado de un efecto que afecta a los objetivos 1.6.2.12 Control. Medida que mantiene y/o modifica un riesgo 1.6.2.13 Evaluación del riesgo. Consiste en la clasificación de los resultados de los riesgos con criterios definidos para establecer el grado de exposición de la empresa entre los diferentes riesgos. 1.6.2.14 Evento. Ocurrencia o cambio de un conjunto particular de circunstancias 1.6.2.15 Fuente de riesgo. Son factores o circunstancias del trabajo que pueden generar uno o varios riesgos aisladamente o por su combinación. 1.6.2.16 Gestión del riesgo. La gestión del riesgo es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgos23.
1.6.2.17 Identificación del riesgo. Determinar los riesgos que afectan a la empresa para el cumplimiento de los objetivos. 1.6.2.18 Impacto. Consecuencias de los riesgos que pueden afectar de diferentes formas a la empresa en caso de materialización. 1.6.2.19 Mapa de riesgos. Es una herramienta, basada en los distintos sistemas de información, que pretende identificar las actividades o procesos sujetos a riesgo 1.6.2.20 Parte interesada. Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. 1.6.2.21 Política para la gestión del riesgo. Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo. 1.6.2.22 Probabilidad. Posibilidad de que algo suceda 1.6.2.23 Riesgo. Efecto de la incertidumbre sobre los objetivos24.
23 Operational risk management and customer complaints the role of product complexity as a moderator [en línea]. Bogotá. [citado 25 de septiembre, 2019] Disponible en internet: URL <http://apps.webofknowledge.com.bdigital.udistrital.edu.co:8080/full_record.do?product=WOS&search_mode=GeneralSearch&qid=2&SID=6D56VwaXMvhlTQ4hQKQ&page=1&doc=1> 24NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. Bogotá. [citado 22 de agosto, 2019]. Disponible en internet: URL< https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf>
33
1.6.2.24 Riesgo de crédito. El riesgo crediticio es la posibilidad de que una entidad incurra en pérdidas y se disminuya el valor de sus activos, como consecuencia del incumplimiento de las obligaciones de un deudor o contraparte25. 1.6.2.25 Riesgo de mercado. El riesgo de mercado, o también conocido como riesgo sistemático, es el riesgo que existe a que se den pérdidas de valor de un activo asociado a la fluctuación de su precio en el mercado. O lo que es lo mismo, el riesgo de mercado es el riesgo a que el valor de un activo disminuya debido a las fluctuaciones en las condiciones del mercado como por ejemplo la variación del precio de los valores, del tipo de interés o del tipo de cambio, así como las fluctuaciones en los precios de las materias primas.26 1.6.2.26 Riesgo Operativo. El riesgo operativo es la posibilidad de ocurrencia de pérdidas financieras, financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos. Esta definición incluye el riesgo legal, pero excluye los riesgos sistemáticos y de reputación, así también no se toma en cuenta las pérdidas ocasionadas por cambios en el entorno político, económico y social. Las pérdidas asociadas a este tipo de riesgo pueden originarse en fallas de los procesos, en la tecnología, en la actuación de los operarios, y también, debido a la ocurrencia de eventos extremos externos27. 1.6.2.27 Riesgo de crédito. El riesgo de crédito se presenta cuando las contrapartes están poco dispuestas o imposibilitadas para cumplir sus obligaciones contractuales. Su efecto se mide por el costo de la reposición del flujo de efectivo si la otra parte incumple. En términos generales, el riesgo de crédito también puede conducir a pérdidas cuando los deudores son clasificados con un mayor nivel de riesgo por las agencias crediticias, generando con ello una caída en el valor de mercado de sus obligaciones. El riesgo de crédito es realmente crítico, ya que el incumplimiento simultáneo de un pequeño número de clientes corporativos puede ocasionar fuertes
25 Finanzas y Política Económica: Valoración y riesgo crediticio en Colombia. [en línea] Bogotá. [citado 20 de agosto, 2019]. Disponible en internet: URL: <https://www.redalyc.org/pdf/3235/323527256006.pdf > 26 Optimization of risk control in financial markets based on particle swarm optimization algorithm [en línea]¨. Bogota [citado 24 de septiembre,2019]. Disponible en internet: URL<https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85073474030&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=6501c493e15db44ea68306cb2a790659&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28risk+management%29&relpos=6&citeCnt=0&searchTerm=> 27 JPMorgan Chase Bank N.A., Sucursal Buenos Aires. Riesgo estratégico. [en línea]. Buenos Aires. [citado 23 de agosto, 2019]. Disponible en internet: URL: < https://www.jpmorgan.com/jpmpdf/1320694345279.pdf>
34
pérdidas, e incluso la total insolvencia de la entidad o fondo de inversión. En la gestión de este riesgo juega un papel importante la normativa interna sobre la diversificación28. 1.6.2.28 Riesgos estratégicos o sistemáticos. El riesgo estratégico se define como el impacto actual y futuro en los ingresos y el capital que podría surgir de las decisiones adversas de negocios, la aplicación indebida de las decisiones, o la falta de capacidad de respuesta a los cambios de la industria29. 1.6.2.29 Riesgos financieros. Son todos aquellos relacionados con la gestión financiera de las empresas. Es decir, aquellos movimientos, transacciones y demás elementos que tienen influencia en las finanzas empresariales: inversión, diversificación, expansión, financiación, entre otros. En esta categoría es posible distinguir algunos tipos: – Riesgo de crédito – Riesgo de tasas de interés– Riesgo de mercado-– Riesgo gestión-– Riesgo de liquidez-– Riesgo de cambio.30 1.6.2.30 Riesgos de negocios. Los riesgos de negocio provienen de las decisiones estratégicas sobre los productos y servicios o sobre la propia organización. También se puede decir que un riesgo de negocio es una circunstancia o factor que puede tener un impacto negativo sobre el funcionamiento o la rentabilidad de una empresa determinada. 31. 1.6.2.31 Riesgos políticos. Este riesgo puede derivarse de cualquier circunstancia política del entorno en el que operen las empresas. Los hay de dos tipos: gubernamentales, legales y extralegales. En el primer caso se engloban todos aquellos que son el resultado de acciones que han sido llevadas a cabo por las instituciones del lugar, por ejemplo, un cambio de gobierno o una modificación en las políticas comerciales. En el segundo caso, se sitúan actos al margen de la ley como acciones terroristas, revoluciones o sabotajes.32
28 Identification and prioritization of factors influencing organization risk tolerance level. [en linea]. Bogota. [citado 23 de agosto, 2019]. Disponible en internet: URL <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0- 85063997102&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=9672b7c6b92271f108847198fe3df1bf&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29&relpos=6&citeCnt=0&searchTerm=> 29 Ibid., p.1. 30 BLOG CALIDAD Y XCELENCIA. Definición del riesgo empresarial y principales tipos. [En línea]. Bogotá [citado 22 de agosto, 2019]. Disponible en internet: URL:< https://www.isotools.org/2019/08/12/definicion-del-riesgos-empresariales-y-principales-tipos/> 31 AEC. Asociación Española para la Calidad. [en línea]. Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: URL: <https://www.aec.es/web/guest/centro-conocimiento/riesgos-de-negocio> 32 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL:
35
1.6.2.32 Riesgo de liquidez. Se refiere a la incapacidad de conseguir obligaciones de flujos de efectivo necesarios, lo cual puede forzar a una liquidación anticipada. Transformando en consecuencia las perdidas en papel en pérdidas realizadas33. 1.6.2.33 Riesgos ambientales. Son aquellos a los que están expuestas las empresas cuando el entorno en el que operan es especialmente hostil o puede llegar a serlo. Tienen dos causas básicas: naturales o sociales. En el primer grupo podemos mencionar elementos como la temperatura, la altitud, la presión atmosférica, las fallas geológicas, entre otros. En el segundo, cuestiones como los niveles de violencia y la desigualdad. Sea como sea, lo cierto es que son riesgos que no dependen de las empresas y que, por tanto, su gestión requiere de planes preventivos más eficaces. 1.7 METODOLOGÍA 1.7.1 Tipo de Estudio. Para llevar a cabo el desarrollo de la propuesta de planeación del sistema de gestión de riesgos operativos en Febor Entidad Cooperativa, corresponde a un estudio descriptivo, logrando así las descripciones necesarias de los riesgos en los procesos y las actividades que se desarrollan, identificando el objeto principal del estudio, centrándose en la recolección de información que permita establecer el estado actual de los procesos, para un posterior análisis de la información.
Fuentes de Información. A continuación, se presentan las diferentes fuentes de información.
Primaria. Se utilizan fuentes primarias como Formatos, Procedimientos y documentos de Febor Entidad Cooperativa.
Secundaria. Se utilizan herramientas de investigación como Normas Técnicas Colombianas NTC ISO 31000, artículos, páginas web y libros relacionados con la Planificación del SGRO.
https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html> 33 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>
36
1.8 DISEÑO METODOLÓGICO 1.8.1 Fases del proyecto. El presente proyecto se realiza mediante las siguientes fases. 1.8.1.1 Fase I. Se realiza el levantamiento de información concerniente a los procesos que se estudian en Febor Entidad Cooperativa. 1.8.1.2 Fase II. Realizar un diagnóstico general mediante un análisis interno y externo que permita gestionar el riesgo operativo, el cual permitirá establecer la situación actual de la entidad. 1.8.1.3 Fase III. Identificar y evaluar los riesgos operativos en los procesos con el fin de verificar que cumplan con los parámetros establecidos por la norma. 1.8.1.4 Fase IV. Documentar la metodología de la gestión del riesgo para Febor Entidad Cooperativa
37
2. DIAGNÓSTICO DE LA GESTIÓN Y EVALUACIÓN DEL RIESGO OPERATIVO
DE LA SITUACIÓN ACTUAL DE FEBOR ENTIDAD COOPERATIVA
2.1 CONTEXTO GENERAL DE LA ORGANIZACIÓN
2.1.1 Historia Febor Entidad Cooperativa. A continuación, se presentan los principales hechos históricos que permiten contextualizar la historia de Febor Entidad Cooperativa.
El 1 de septiembre de 1936, 28 empleados del Banco de la República encabezados por Julio Caro, gerente general de ese entonces, constituyeron formalmente el Fondo de Empleados del Banco de la República. El patrimonio inicial del Fondo fue de $85. 960. El 24 de noviembre de 1938, el Ministerio de Gobierno reconoció la personería jurídica de dicha entidad. En 1950, las utilidades de Febor ascendieron a la suma de $64.792.68. Varios años después, en la década de los cincuenta, el Fondo abrió supermercados en Bogotá con el fin de beneficiar a sus afiliados con la política de precios favorables, y en 1962, atendiendo la directriz del presidente de la República, Guillermo León Valencia, los servicios de los almacenes se abrieron al público. Entre 1967 y 1968, gracias al crecimiento del Fondo, se adquirieron dos grandes inmuebles: el primero, un edificio ubicado en la calle 16 con carrera 63, y el segundo, un lote en la carrera 13 con calle 47. Para esta misma época, el 4 de octubre de 1968, la Superintendencia Nacional de Cooperativas estipuló la nueva razón social del Fondo, quedando establecida como Fondo de Empleados del Banco de la República, Febor. Febor se consolidó como una institución de servicio, ya que tenía prestado a sus asociados más del 90% del capital social, y la rentabilidad de los almacenes se dedicaba a mantener los auxilios y servicios, razón por la cual recibió elogios de diferentes sectores del país. En 1975 contaba con cinco almacenes en Bogotá, doce almacenes privados en diferentes regiones del país, y más de 400 empleados. No obstante, durante ese año enfrentó una crisis económica que se prolongó por algún tiempo. En 1979, año en que la junta directiva aprobó el reglamento interno que incluía funciones, composición, reelección de la junta y del comité ejecutivo, entre otros, fue inaugurado un gran almacén en la localidad de Kennedy, el cual brindó a los residentes del sector excelentes alternativas en productos y precios. Debido a la crisis de los años anteriores, se llevó a cabo en 1980 un estudio de las actividades de Febor, el cual concluyó que debía reorganizarse en tres áreas: Administrativa-Comercial-Servicios. El área comercial orientó sus esfuerzos en mejorar la variedad de productos, con la ampliación de la sección de electrodomésticos. También se ampliaron los almacenes de Marly, San Diego, Chicó y Restrepo, y se adquirió una bodega de 5.000 metros cuadrados para el mejoramiento de la distribución interna. Adicionalmente, los empleados recibieron programas de formación sobre servicio al cliente para mejorar la atención a los asociados.
38
Con motivo del cuadragésimo cuarto aniversario de Febor, en 1980, se creó el concurso La Tómbola Febor, en todos los almacenes se rifaban numerosos artículos, lo cual incrementó significativamente las ventas. Pero en noviembre, una fuerte granizada afectó la sucursal de la Avenida Caracas, entre calles 47 y 48, ocasionando el deterioro de mercancías por $10.315.000, valor que fue cubierto por la compañía de seguros. Al cierre de 1980, los ahorros voluntarios de los asociados sumaban $664.052.000 y a partir de 1981, la junta directiva aumentó sus aportes: por cada empleado $15 y por cada socio $40, es decir: $55 mensuales. El primer computador de Febor, comprado a Proexpo, originó la creación del Departamento de Sistemas, con un director y un analista quienes tenían como función ejecutar el proyecto de mecanización. Durante los siguientes años, el fondo se recuperó de la crisis y consiguió hacer mejoras en los almacenes de la Avenida Jiménez y del Restrepo. También se abrieron nuevas sucursales, destacándose el supermercado y droguería de Chapinero, ubicado en la carrera 13 entre calles 56 y 57. En 1983, el área de Recursos Humanos se fortaleció y el número de asociados llegó a 4.448, de los cuales 2.682 se encontraban en Bogotá y 1.766 en el resto del país. Al año siguiente se estableció el Departamento de Promoción Social cuyo fin era capacitar a los afiliados en la creación de microempresas, de modo que en 1985 se otorgaron 14.750 préstamos por valor de $454.187.926, suma que representó un gran crecimiento en programas de crédito. Dicha estabilidad generó confianza, a tal punto que ingresaron 792 nuevos socios, al finalizar dicho año, el número total de asociados fue de 6.059. Febor también se solidarizó con la tragedia de Armero: los empleados de la Cooperativa donaron un día de sueldo con destino a los damnificados, por valor de $292.285. La cooperativa por su parte aportó un auxilio de $500.000 y participó en algunas campañas con el suministro de medicamentos. En los cincuenta años del Fondo, la celebración contempló cerca de 56 actividades enfocadas a la educación, la recreación y el turismo, entre otras. Luego, en 1987, los asociados decidieron convertir el Fondo en cooperativa, y en mayo el Departamento Administrativo Nacional de Cooperativas, Dancoop, aprobó dicha transformación, adoptando la sigla Febor. La buena gestión de la Cooperativa la hizo merecedora, por tres años consecutivos (1991-1993), del premio de excelencia otorgado por Colgate Palmolive, hecho que se destacó en los diferentes medios de comunicación de todo el país. En 1995 empezó a cambiar el panorama, pues el área de mercadeo arrojaba resultados negativos debido al incremento de la competencia. Almacenes como Éxito, Pomona, Olímpica y Makro, eran cada vez más fuertes. El incendio del almacén modelo en 1995 también produjo cuantiosas pérdidas ya que era un punto con gran proyección. Así mismo se presentó la pérdida de mercado en el área de medicamentos por menores ventas institucionales, entre otras razones por el efecto de la Ley 100 de 1993, cuya repercusión negativa en la gestión comercial incidió en dicha línea, con ventas inferiores a las esperadas, en una cifra cercana a los $2.500.000. Por otra parte la Cooperativa sufrió las consecuencias por la aplicación de nuevas políticas de manejo de la Entidad y de tecnología moderna, por lo que Dancoop ordenó utilizar el nuevo Plan Único de Cuentas que obligó al rediseño e implementación de un nuevo sistema de información contable, el cual ocasionó inconvenientes en el registro de las operaciones, con el consecuente atraso de la información.
39
Al cumplir sus 60 años, Febor tenía dificultades para competir eficazmente dentro del sector cooperativo y se reconoció que la Cooperativa no estaba preparada para enfrentar a la competencia, pues aquello demandaba una inversión de miles de millones de pesos. A su vez aseguró, que la Entidad tenía fortalezas que debían ser consideradas antes de una decisión de política comercial. A todo esto se sumaba la actualización tecnológica que debía tenerse en cuenta para poder continuar en el mercado. En 1996, la Cooperativa analizó las debilidades, oportunidades, fortalezas y amenazas, se plantearon entonces varias estrategias de enfoque, crecimiento y reflotamiento para sacarla adelante. Esta última opción planteaba un proceso de mejoramiento, reubicación de algunos puntos de venta e impulso de las estrategias publicitarias y de comunicación, pero lamentablemente los resultados no fueron los esperados; por el contrario, se generó un fuerte decrecimiento de asociados. A pesar de los esfuerzos realizados, Febor no logró recuperarse y en 2002 entró en su peor crisis, por lo que la Asamblea de Delegados tomó la decisión de poner en venta el área de consumo. A finales de ese año, la cadena de supertiendas Olímpica presentó ante la Superintendencia de Industria y Comercio la solicitud de autorización para la compra de los supermercados, siendo aprobada el 21 de diciembre cuando comenzaron a operar los almacenes que la Cooperativa tenía en Bogotá. En julio de 2004 fue el cierre definitivo del negocio de compraventa de la unidad de mercadeo. Después de la venta de los supermercados, la entidad se concentró en la prestación de servicios de crédito, ahorro e intermediación de bienes y servicios para los cooperados. La Superintendencia de la Economía Solidaria intervino a la Cooperativa mediante la toma de posesión para administrar los bienes, haberes y negocios, en razón de las dificultades económicas en las que estaba inmersa, ya que las pérdidas acumuladas ascendían a $19.500 millones, aproximadamente. Durante su intervención, el agente especial de ese momento, Andrés Ordoñez Plata, presentó el Plan de Reactivación Económica de la Cooperativa, pero fue Enrique Valencia Montoya, agente asignado por la Superintendencia de Economía Solidaria el encargado de ejecutarla y superar las dificultades por la que estaba atravesando la Cooperativa, en él recaía toda la responsabilidad. Su buena gestión permitió que Febor saliera a flote y no se liquidara como sucedía generalmente con cualquier entidad que era intervenida. El pasado queda enmarcado en los 75 años de historia de Febor y junto a ellos, los más de 8 años de intervención forzosa que ejecutó la Superintendencia de la Economía Solidaria hasta febrero de 2011. Gracias a esa intervención, hoy la Cooperativa vive un presente exitoso y avizora un futuro promisorio donde toda la familia que hace parte de la Entidad le apuesta al desarrollo y al crecimiento de la institución. La tarea no fue fácil: adecuación y ajuste del nuevo esquema de administración, confección de reglamentos, ajuste de los mismos a las necesidades de la Cooperativa, proceso que debió ajustarse dadas las nuevas exigencias y condiciones en que debe basarse el nuevo modelo: primero, sin intervención y adicionalmente su transición a Cooperativa de ahorro y Crédito34.
34 FEBOR ENTIDAD COOPERATIVA. Reseña histórica [en línea]. Bogotá. La empresa [citado
27 de agosto, 2019]. Disponible en internet: <URL: http://www.febor.coop/institucional/resenahistorica/resena-historica>
40
2.1.2 Misión. Somos Febor una entidad cooperativa, de empleados y pensionados del Banco de la República, especializada en ahorro y crédito, que satisface las necesidades económicas, sociales y culturales de sus asociados, familias comunidad, de manera integral para el mejoramiento de su calidad de vida. 2.1.3 Visión. En 2021 nos consolidaremos como la primera opción de solución a las necesidades educativas, sociales, culturales y económicas de nuestros asociados, siendo una cooperativa innovadora y referente del sector, con énfasis en la cohesión y formación solidaria, a través del uso de recursos tecnológicos, operativos y humanos calificados”35. 2.1.4 Estructura Organizacional. A continuación, se presenta la estructura organizacional de Febor Entidad Cooperativa. (véase la Figura 11). Figura 11. Organigrama Estructura Organizacional
Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Organigrama estructura organizacional
35 EBOR ENTIDAD COOPERATIVA. Misión y visión [en línea]. Bogotá. La empresa [citado 26 de agosto, 2019]. Disponible en internet: <URL: http://www.febor.coop/institucional/misionyvision>
41
2.1.5 Principios y Valores corporativos. Febor Entidad Cooperativa se rige por
principios y valores los cuales se sustentan a continuación. (véase el cuadro 2).
Cuadro 2. Principios y Valores Corporativos
PRINCIPIOS VALORES
Adhesión libre y voluntaria Sentido de pertenencia
Gestión Democrática por parte de los asociados
Autoayuda
Participación económica de los asociado Democracia
Autonomía e Independencia Equidad
Educación, Formación e Información Solidaridad
Cooperación entre Cooperativas Trabajo en equipó
Interés por la Comunidad Compromiso
Fuente. El Autor
2.1.6 Resultados de Análisis DOFA organizacional. A continuación, se presenta un
ejercicio realzado en el año 2017 por la alta dirección donde se reconocen las
principales fortalezas y oportunidades para la organización en torno a la gestión
administrativa, De esto es importante señalar que una de las oportunidades principales
se identificó la necesidad de disponer de un Sistema de gestión del riesgo operativo.
(véase el cuadro 3).
Cuadro 3. Análisis DOFA
ANÁLISIS DOFA - DEBILIDADES - OPORTUNIDAES - FORTALEZAS Y AMENAZAS
FACTORES EXTERNOS
OPORTUNIDADES AMENAZAS
O1. Segmentación del mercado (identificación del asociado por diferente variables) para desarrollo de atención personalizada - Desarrollo CRM Administración basada en la relación con los clientes - Convenios regionales (que apliquen en otras ciudades diferentes a Bogotá)
A1. Disminución de base social por fallecimiento
O2. Fortalecer los requerimientos y mejoras tecnológicas - mejoramiento en sistema de seguridad de la información
A2. Normatividad Supersolidaria - Ley de libranza - competencia basada en tasas inferiores a las de la cooperativa
42
Cuadro 3. (Continuación)
O3. Generar políticas basadas en el enfoque cooperativo con el apoyo de las agremiaciones
A3. Disminución capacidad de ahorro y endeudamiento
O4. Aumentar la base social - Promover permanentemente la cultura cooperativa
A4. Programas sustitutos que den atención y servicios de acuerdo a las necesidades de los asociados y que la cooperativa no detecta a tiempo
O5. Desarrollo de CRM - Administración basada en la relación con los clientes
A5. Otras entidades tienen una fuerza comercial muy competitiva la cual tienen información a la mano y capturan al cliente en poco tiempo, vinculándolo de manera integral.
O6. Desarrollo de sistema de gestión de riesgos, sistema de gestión de calidad, sistema de gestión de seguridad y salud en el trabajo
A6. La Ley de Cooperativas ha sufrido modificaciones pero aún mantiene vacíos legales y no hay un texto único ordenado vigente.
O7. Participación sectorial - Agremiaciones interesadas en reforzar y proponer políticas adecuadas al sector
A7. Limitada participación de las entidades locales y regionales en el desarrollo cooperativo, principalmente en zonas rurales.
O8. Desarrollo de mayor número de actividades que involucren directamente al asociado (ferias, campañas y promociones, convenios que enfaticen en sus necesidades)
A8. Débil aprovechamiento de las tecnologías de la comunicación por parte de la cooperativa.
O9. Gestión basada en la Responsabilidad social.
A9. Faltan mejores canales de comunicación.
FACTORES INTERNOS
FORTALEZAS DEBILIDADES
F1. Solidez financiera – alta liquidez D1. Falta de comunicación asertiva con los asociados
F2. Control permanente y seguimiento a indicadores financieros
D2. No hay agilidad en respuestas ni tramites
F3. Reconocimiento y compromiso de los asociados - Referente en el sector
D3. Poca promoción y divulgación de servicios
F4. Buenas tasas de interés en ahorro y crédito
D4. Falta de análisis de información y calidad de la información (asociados)
F5. Permanencia en el tiempo - estabilidad D5. Falta de planeación - apropiación de los procesos
F6. Participación activa e influyente de órganos de control
D6. Falta mayor desarrollo del talento humano, capacitación y medición por competencias
F7. Desarrollo de plataforma para educación cooperativa
D7. Falta de medición y análisis de indicadores financieros y sociales
Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Matriz DOFA
43
2.2 GESTIÓN POR PROCESOS 2.2.1 Mapa de Procesos. En Febor entidad cooperativa se han identificado 10 procesos relevantes para el cumplimiento en la atención a los asociados y que se identifican así. (véase la Figura 12). Figura 12. Mapa de procesos Febor Entidad Cooperativa
Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Mapa de procesos 2.2.2 Alcance de cada uno de los Macro procesos. A continuación, se presenta el alcance de cada uno de los macro procesos de la entidad. (véase el cuadro 4). Cuadro 4. Alcance Macro Procesos
PROCESO ALCANCE
PR
OC
ES
OS
ES
TR
AT
ÉG
ICO
S DE
Dirección Estratégica
Planeación de los procesos, productos y servicios hasta la revisión del desempeño de cada área de la Cooperativa para generar y delegar acciones de mejoramiento.
GCA Gestión de
Calidad
Desde el análisis de las directrices establecidas en materia de la gestión de calidad determinadas por la alta dirección hasta la identificación e implementación de mejoras en los diferentes procesos de la Entidad.
44
Cuadro 4. (Continuación) P
RO
CE
SO
S
MIS
ION
AL
ES
SAS Servicio al Asociado
Desde la primera asesoría para el asociado y/o vinculación del asociado potencial hasta el otorgamiento de productos y servicios, procesos de recaudo, fidelización del asociado o retiro del mismo.
GSO Gestión Social
Desde la divulgación de beneficios y programas en el ámbito social y de bienestar hasta la ejecución de las actividades incluidas en los programas.
PR
OC
ES
OS
DE
AP
OY
O
COM Comunicaciones
Desde la gestión de canales de información, transformación y dominio de la comunicación interna y externa hasta la adecuada logística que involucra la identidad e imagen de la Cooperativa.
ATH Administración y Talento Humano
Desde la recepción de necesidades referentes a temas administrativos y de talento hasta garantizar plenamente la disposición de éstos recursos.
CYF Contabilidad y
Finanzas
Desde la identificación y captura de información Contabilidad y Finanzas de los hechos económicos hasta el análisis e interpretación del resultado de los estados financieros, la planeación y seguimiento al presupuesto anual de la Cooperativa
TI Tecnologías de la
información
Todos los requerimientos tecnológicos desde la identificación hasta la solución e implementación del mismo.
JUR Gestión Jurídica
Desde la asesoría y acompañamiento de todos los trámites legales de la Cooperativa a partes interesadas internas y externas, la gestión de recuperación de cartera y seguimiento a los procesos jurídicos de la Cooperativa
GRI Gestión de
Riesgos
Desde el análisis de los riesgos identificados hasta la identificación e implementación de controles y planes de acción
Fuente. El Autor 2.2.3 Caracterización del proceso de GRI-gestión de riesgos Operativo. Como parte de la planificación del Sistema de Gestión de riesgos, Febor Entidad Cooperativa desarrolla un modelo de procesos del área mediante caracterización donde se puedan visualizar las diferentes entradas y salidas del proceso con un enfoque de PHVA e interacción entre procesos (véase el Anexo A).
45
Figura 13. Caracterización proceso GRI-Gestión del Riesgo
Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Caracterización de procesos 2.3 RESPONSABLES DE LOS PROCESOS 2.3.1 Responsables. A continuación, se presentan las responsabilidades que tienen los diferentes cargos asociados con la gestión del riesgo operativo dentro de la entidad, estos están compuestos de acuerdo con el nivel y alcance de cada uno de sus procesos. 2.3.2 Política de gestión del Riesgo. La política de gestión de riesgos trazada por la dirección, establece los principales protagonistas del proceso, y sus responsabilidades, las cuales van encaminadas al cumplimiento de los objetivos. (véase el cuadro 5).
46
Cuadro 5. Responsabilidades política gestión de procesos
CARGO RESPONSABILIDADES
Coordinador Gestión del riesgo
Implementar, actualizar y consultar la política de gestión de riesgos
Orientar a la construcción y actualización de los procesos de la entidad
Identificar los riesgos que se puedan presentar en los procesos intervenidos
Identificar y acompañar la implementación de oportunidades de mejora en los procesos
Dueños de proceso (jefe de
área)
Asegurar que todos los procedimientos, políticas y documentos asociados a los procesos del área se encuentren vigentes en el sistema de gestión de riesgos operativos.
Participar activamente en las sesiones de validación y aprobación de los procesos a fin de gestionar la aprobación de los documentos.
Revisar y aprobar o rechazar los procesos enviados por el área de gestión de riesgos en un tiempo no superior a 10 días hábiles.
Garantizar para todos los miembros del área, el acceso a la consulta de los documentos asociados a los procesos.
Gestor de Riesgos y Calidad
Gestionar bajo la metodología del sistema de gestión de riesgos operativos (SGI) la documentación, aprobación y publicación de los procedimientos de su área.
Realizar la evaluación de conocimiento, enviada por el área de gestión del riesgo, para evidenciar el entendimiento del mismo con respecto al contenido de los procesos divulgados.
Fuente. El Autor
2.3.3 Generalidades de la Gestión Documental de la organización. Febor Entidad Cooperativa soporta la realización de nuevos lineamientos mediante los documentos contemplados a continuación. (véase el cuadro 6).
47
Cuadro 6. Documentación existente
TIPO DE DOCUMENTOS
HALLAZGOS DESCRIPCIÓN
Políticas Febor cuenta con registro de políticas de calidad
Declaración de intenciones
Manuales
Manual de atención al asociado
Manual de calidad
Manual de gestión documental
Manual de seguridad de la información
Manual Riesgo de Liquidez
Manual de compras
Manual SARLAFT
Para cada uno de estos procesos existe un manual que se presenta como guía de instrucciones que sirve para el establecimiento de procedimientos de trabajo.
Formatos
Febor cuenta con formatos estipulados para cada procedimiento, por ejemplo formatos de tesorería como formato de libranza, formato de declaración de fuente de fondos, formatos de autorización de descuento de nómina, formatos de solicitud de continuidad como asociado, formatos de solicitud de tarjetas débito etc.
Formatos para guiarse en los datos requeridos más no son válidos para uso legal, debe acercarse a la Cooperativa para diligenciarlos.
Procedimientos Todos los procesos cuentan con procedimientos
Es el conjunto de acciones u operaciones que tienen que realizarse de la misma forma, para obtener siempre el mismo resultado bajo las mismas circunstancias.
Cartillas
Febor cuenta con cartillas didácticas para que sus asociados puedan entender con facilidad lo que en ellas se propone
se presentan de forma informativa
Formularios Se tienen formularios para el 50% de los procedimientos
Se presentan como requisito para inscripción a programas o solicitud de créditos
Fuente. El Autor
48
2.3.4 Gestión documental asociada a la gestión del riesgo operativo. Una vez reconocida la tipología de documentos que se manejan en la organización, a continuación, se presentan los documentos que tienen directa relación con el proceso de gestión del riesgo operativo. (véase el cuadro 7). Cuadro 7. Documentos asociados al riesgo Operativo
PROCEDIMIENTOS
CÓDIGO NOMBRE
GRI-PR-01 Procedimiento de conocimiento Asociado-Proveedor-Colaborador
GRI-PR-02 Procedimiento Manejo de listas Vinculantes y Restrictivas
GRI-PR-03 Procedimiento Manejo de Documentación-Actualización y Conservación
GRI-PR-04 Procedimiento Para Requerimiento y Reserva de información
GRI-PR-05 Procedimiento Manejo de Efectivo
GRI-PR-06 Procedimiento Operación inusual y sospechosa
GRI-PR-07 Procedimiento para Identificación, medición y monitoreo de Riesgos LAFT
GRI-PR-08 Procedimiento para la generación de reportes
GRI-PR-09 Procedimiento de segmentación
GRI-PR-10 Procedimiento de países de mayor riesgo
GRI-PR-11 Procedimiento sobre nuevos productos y mercados
MANUALES
GRI-MA-001
Manual de políticas SARLAFT
GRI-MA-002
Manual de políticas riesgo de liquidez
GRI-MA-001
Manual de políticas para manejo de inversiones
Fuente. El Autor
49
2.3.5 Listado maestro de documentos. El listado maestro de documentos y registros es el índice de documentos establecidos por Febor Entidad Cooperativa que apoyan el control y la operación de los procesos garantizando su actualización, disponibilidad y su uso (véase el Anexo B). Cuadro 8. Listado maestro de Documentos
Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. Listado maestro de Documentos.
50
3. IDENTIFICACIÓN DE LOS RIESGOS EN FEBOR ENTIDAD COOPERATIVA
3.1 RIESGOS OPERATIVOS EN LOS PROCESOS A continuación se realiza el proceso de identificación de riesgo operativo en Febor Entidad Cooperativa, teniendo en cuenta los parámetros establecidos en la norma ISO 9001:2018, para éste caso los riesgos se identifican por áreas teniendo en cuenta el proceso y subproceso, vale la pena mencionar que se ilustra un apartado de la totalidad de la matriz específicamente para el procesos de servicio al asociado, la totalidad de los procesos y subprocesos para la identificación de los 114 riesgos de la entidad se encuentran en (véase el Anexo C). Cuadro 9. Identificación de riesgos en Febor Entidad Cooperativa
Fuente. El Autor 3.1.1 Análisis de los riesgos en Febor Entidad Cooperativa. A partir de la información recolectada y los riesgos identificados en la etapa anterior, para determinar la probabilidad de ocurrencia y los niveles de impacto se utilizan los siguientes parámetros:
51
Es importante mencionar que los riesgos operativos en cada uno de los procesos y el establecimiento de las escalas de probabilidad de ocurrencia, impacto y nivel de severidad fueron definidas a partir de un modelo predefinido36. (véase el cuadro 10). Cuadro 10. Niveles de probabilidad de ocurrencia
PROBABILIDAD DE OCURRENCIA
Nivel Probabilidad
Criterios Probabilidad Matemática
Frecuencia
Cierto
El evento se espera que ocurra en la mayoría de las circunstancias, ya que hay una historia de ocurrencia regular en la entidad o empresas similares.
Mayor al 80%
El evento ocurra una
vez por semana
Probable
Existe una fuerte posibilidad de que ocurra el evento, ya que hay una
historia de ocurrencia frecuente en la entidad o empresas similares.
Entre el 50% y el 80%
El evento ocurra una
vez por mes
Posible
El evento puede ocurrir en algún momento ya que hay un historial de
ocurrencia casual en la entidad o empresas similares.
entre el 15% y el 50%
El evento curra una vez cada 6 meses
Improbable No se espera, pero hay una posibilidad
leve de que puede ocurrir en algún momento.
Entre el 5% y el 15%
El evento ocurra una vez cada 9
meses
Excepcional
Muy improbable, pero puede ocurrir en circunstancias excepcionales. Podría
suceder, pero probablemente nunca lo hará.
Menor al 5% El evento
ocurra una vez por año
Fuente. El Autor
36 Activa Conocimiento. Progreso Personal y Profesional en Gestión y Liderazgo. [en línea]. Bogotá [citado 04 de octubre, 2019]. Disponible en internet: URL:< http://activaconocimiento.es/matriz-probabilidad-impacto/>
52
Cuadro 11. Niveles de impacto
IMPACTO
Nivel Impacto Criterios
Catastrófico Ocurrirá con alto nivel de certeza
Crítico Muy posible que ocurra en un año
Moderado Es posible que ocurra en un año
Marginal Poco probable que ocurra en un año
Despreciable Prácticamente imposible que ocurra en un año
Fuente. El Autor
3.1.2 Valoración de los riesgos de Febor Entidad Cooperativa. La valoración respectiva se realiza atendiendo la siguiente información. (véase el cuadro 11). Cuadro 12. Nivel de severidad del riesgo
Fuente. El Autor Cuadro 13. Valoración del riesgo en términos de probabilidad e impacto
Fuente. El Autor
Nivel de Severidad
Extremo
Alto
Moderado
Bajo
IMPACTO
PR
OB
AB
ILID
AD
Despreciable Marginal Moderado Crítico Catastrófico
Cie
rto
Moderado Alto Extremo Extremo Extremo
Probable
Moderado Alto Extremo Extremo Extremo
Posible
Bajo Moderado Alto Extremo Extremo
Improbable
Bajo Moderado Moderado Alto Alto
Excepcional
Bajo Bajo Bajo Moderado Moderado
53
3.1.3 Análisis y valoración de los riesgos de Febor Entidad Cooperativa. A continuación, se presenta el análisis de los riesgos en Febor Entidad Cooperativa. (véase el cuadro 14). Cuadro 14. Análisis y valoración de los riesgos en Febor Entidad Cooperativa
Fuente. El Autor Teniendo en cuenta los parámetros de la norma ISO 9001:2018 donde la valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecido para determinar cuándo se requiere una acción, la valoración conduce a tomar las siguientes decisiones. • No hacer nada más; • Considerar opciones para el tratamiento del riesgo; • Realizar un análisis adicional para comprender mejor el riesgo; • Mantener los controles existentes; • Reconsiderar los objetivos. Es necesario que las decisiones cuenten con un contexto más amplio y detallado sobre las consecuencias reales consideradas por las partes interesadas externas e internas. 3.1.4 Evaluación de controles para los riesgos de Febor Entidad Cooperativa. A continuación, se presenta la respectiva valoración a cada uno de los riesgos identificados. (véase el cuadro 15).
VALORACIÓN
CÓDIGO
DEL
RIESGO
PROBABILIDAD
INHERENTE
IMPACTO
INHERENTE
SEVERIDAD DEL
RIESGO INHERENTE
R17 Improbable Moderado Moderado
R18 Posible Crítico Extremo
R19 Improbable Despreciable Bajo
R20 Posible Despreciable Bajo
R21 Probable Despreciable Moderado
ANÁLISIS
54
Cuadro 15. Evaluación de controles para los riesgos de Febor Entidad Cooperativa
Fuente. El Autor 3.1.5 Tratamiento de los riesgos. Una vez se cuenta con los resultados obtenidos en la etapa de evaluación de riesgos es pertinente realizar el tratamiento del riesgo enfocado a las acciones a tomar, a definir, a conservar o mejorar en los controles impuestos respecto a los riesgos. De igual forma, es importante establecer los responsables de las acciones y contar con mecanismos de supervisión y monitoreo, y de esta manera garantizar una adecuada gestión de riesgos. De acuerdo con lo establecido en la norma ISO 31000:2018, dentro de las opciones más apropiadas para el tratamiento del riesgo que debe contemplar la organización están: • Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el
riesgo; • Aceptar o aumentar el riesgo en busca de una oportunidad; • Eliminar la fuente de riesgo; • Modificar la probabilidad; • Modificar las consecuencias; • Compartir el riesgo (por ejemplo: a través de contratos, compra de seguros); • Retener el riesgo con base en una decisión informada.
Las selecciones de las opciones para el tratamiento de los riesgos deben realizarse de acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos
CÓDIGO
DEL
RIESGO
CÓDIGO DEL
CONTROL NOMBRE DEL CONTROL DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL REDUCE ESTADO DEL CONTROL
R17 C17 Manual de funciones
Febor cuenta con un manual de funciones que es
asignado a todos los colaboradores, se debe revisar
permanentemente
Preventivo-Detectivo Probabilidad Documentado
R18 C18 Evaluación de desempeño
Los líderes de cada proceso deben realizar evaluaciones
periódicas a los colaboradores y establecer acciones
correctivas en caso de que se este afectando la
operación - retroalimentar y notificar todos los cambios
o procesos implementados
Correctivo Impacto Parcialmente Documentado
R19 C19 Sistemas de protección de datos
Crear un sistema de gestión documental, en el cual
repose toda la documentación digital, y crear copias
periódicamente.
Preventivo Probabilidad Documentado
R20 C20Crear alertas de pagos próximos a
vencer
Se deberán elaborar, conservar y revisar regularmente
los registros acerca de actividades a realizar,
excepciones, fallas y eventos de seguridad de la
información.
Preventivo Probabilidad Parcialmente Documentado
R21 C21 Control de redesLas redes se deberían gestionar y controlar para
proteger la información en sistemas y aplicaciones.Preventivo Probabilidad No Documentado
EVALUACIÓN DE CONTROLES PARA EL RIESGO
55
disponibles, por lo que es importante contar con la participación de todas las partes interesadas externas e internas en la toma de decisiones y en la elaboración del plan de manejo de riesgos. (véase el cuadro 16). Cuadro 16. Medidas de tratamiento después de los controles aplicados a los riesgos
Fuente. El Autor 3.1.6 Registro de los riesgos identificados. A continuación, se presenta la matriz de riesgos. (véase el cuadro 17).
Cuadro 17. Matriz de riesgos Febor Entidad Cooperativa
Fuente. El Autor
IDENTIFICACIÓN DE RIESGOS VALORACIÓN
PROCESO PROCEDIMIENTO
CÓDIGO
DEL
RIESGO
RIESGO CAUSAS CONSECUENCIAS RESPONSABLES DEL
RIESGO
PROBABILIDAD
INHERENTE
IMPACTO
INHERENTE
SEVERIDAD DEL
RIESGO
INHERENTE
CÓDIGO
DEL
CONTROL
NOMBRE DEL CONTROL DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL REDUCE ESTADO DEL CONTROL PROBABILIDA
D RESIDUAL
IMPACTO
RESIDUAL
SEVERIDAD DEL
RIESGO
RESIDUAL
OPCIÓN DE TRATAMIENTO
PRINCIPAL
(ISO 31000:2018)
RESPONSABLES
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR1
Ingreso de recursos ilícitos a la
Entidad
No tener controles previos durante la vinculación de los asociados
vinculación de personas que hayan obtenido sus recursos a través de la
ejecución de actividades delictivas
Por la entrega de datos o documentos falsos o por errores en el
diligenciamiento del formulario de vinculación
Exposición a acciones civiles,
administrativas, disciplinarias y/o penales
por parte de la supersolidaria
Pérdida de imagen y credibilidad
Director SAS Improbable Moderado Moderado C1 Base de datos Banco de la República
Mantener la base de datos actualizada con la
información de empleados y pensionados del Banco de
la República y el registro histórico
Preventivo-Detectivo Probabilidad Parcialmente Documentado Improbable Despreciable Bajo Evitar el riesgo Coordinador Comercial
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR2
Incumplimiento de los requisitos
legales
Vincular personas catalogadas como PEPS (Personas expuestas publica o
políticamente) sin la debida diligencia, por no realizar proceso de
verificación de documentos y consulta en centrales de riesgo debido a
desconocimiento de normatividad relacionada con PEPS
Sanciones disciplinarias, acciones
constitucionales en contra de la entidad
Pérdida de imagen y credibilidad Director SAS Improbable Moderado Moderado C2 Consulta en listas
El Servicio al Asociado al momento de la vinculación,
debe realizar la consulta en listas de las personas que
quieren vincularse a la Cooperativa y dejar evidencia de
la consulta
Preventivo-Detectivo Probabilidad Documentado Posible Marginal Moderado Modificar la probabilidad Coordinador Operativo
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR3
Recibir dineros provenientes de
actividades ilícitas
No verificar procedencia de los dineros, se pueden presentar casos en los
cuales algunos asociados abren cuentas de ahorro con dineros ilícitos.Pérdida de credibilidad.
Deterioro de la imagen institucional.Director SAS Improbable Crítico Alto C3
Verificación diaria de movimientos de
ahorros
El oficial de cumplimiento diariamente verifica
movimientos cuando estos superan los $10,000,000 y
los canales a través de los cuales ingresa el dinero
Preventivo Probabilidad Documentado Improbable Marginal Moderado Evitar el riesgo Oficial de cumplimiento
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOS
SAS-PR-02 AHORRO
R4 Inadecuadas salidas de dinero
Consignación de dineros a personas cuya documentación no es real.
Suplantación de identidad de asociados por facilidad en acceso a bases de
datos por parte de funcionarios
Pérdida de recursos Director SAS Posible Marginal Moderado C4 Llamadas de verificación de identidadAntes de realizar el traslado de un ahorro se establece
comunicación con el asociado para confirmar procesoPreventivo-Detectivo Probabilidad Documentado Posible Despreciable Bajo Modificar la probabilidad Asesor comercial
Servicio al
Asociado
SAS
SAS-MA-01 MANUAL DE
ATENCIÓN Y CALIDAD
DEL SERVICIO AL
ASOCIADO
R5
Reclamaciones y/o demandas de
un cliente por extravío de
información
Debido a fallas en el manejo de la comunicación y cumplimiento de tiempos
de entrega de productos y serviciosAumento de las PQRSF Director SAS Posible Moderado Alto C5 Seguimiento a actividades de servicio
La Dirección de SAS realiza diariamente un seguimiento
a las metas y requerimientos de asociadosPreventivo Probabilidad Documentado y Divulgado Improbable Moderado Moderado Aceptar o aumentar el riesgo Director SAS
Servicio al
Asociado
SAS
SAS-PR-05 CRÉDITO R6Malversación de los activos de la
compañía
Debido a hurto de dinero a través de medios electrónicos para beneficio
propio del empleado o un tercero
Pérdida de imagen Institucional
Sanciones disciplinarias y legales
Investigaciones a Funcionarios y despidos
Jefatura Operativa Posible Marginal Moderado C6
Seguimiento diario de movimientos,
manejo de firmas y niveles de
autorización
En Febor existen diferentes niveles de autorización para
garantizar el control de las operacionesPreventivo-Detectivo Probabilidad Documentado y Divulgado Improbable Marginal Moderado Modificar la probabilidad Gerencia - Sistemas
Servicio al
Asociado
SAS
SAS-MA-01 MANUAL DE
ATENCIÓN Y CALIDAD
DEL SERVICIO AL
ASOCIADO
R7
Manipulación o incumplimiento
voluntario de los términos
establecidos para atender una
PQRS (Petición, Queja, Reclamo,
Omisión en la atención y respuesta de PQRSF dentro de los tiempos
establecidos Debido a no priorizar estas condiciones que afectan de manera
directa a la entidad
Insatisfacción de los usuarios Director de Riesgos - Director SASProbable Despreciable Moderado C7 Archivo drive PQRSF
Todos los casos que llegan de PQRSF se canalizan a
través de un correo, se tiene designados responsables
de la atención y seguimiento
Detectivo-Correctivo Impacto Documentado y Divulgado Excepcional Marginal Bajo Aceptar o aumentar el riesgoDirector SAS
Director de Riesgos
Servicio al
Asociado
SAS
SAS-PR-05 CRÉDITO R8
Errores Humanos al momento de
diligenciar la solicitud y la
información para el otorgamiento
de crédito
Falta de capacitación
Distracción por parte de l responsable de la operación
Desconocimiento del formato
Pérdida de clientes
Altos costos operativos
Reclamaciones por incumplimiento
Demora en el desembolso de los créditos
Coordinador de Gestión Social Posible Despreciable Bajo C8 Verificar información
Llevar a cabo la verificación de los datos del asociado
en el momento de hacer la consignación, y así evitar
reprocesos y perdidas para la entidad
Preventivo-Detectivo Probabilidad Parcialmente Documentado Posible Despreciable Bajo Modificar la probabilidad Jefe de gestión social
Servicio al
Asociado
SAS
CYF-PR-01 CAJA
CYF-PR-04 FONDO DE
LIQUIDEZ E
INVERSIONES
R9Falta de disponibilidad
presupuestal
Debido a la inadecuada planeación estratégica y presupuestal de la
Entidad.
Pérdida de oportunidad para el desarrollo
de la entidadCoordinador de Gestión Social Probable Moderado Extremo C9 Contabilidad controle los gastos
Llevar una revisión periódica de los gastos de la
Entidad, para saber con cuanto dinero dispone y poder
limitar los gastos según el presupuesto
Preventivo-Detectivo Probabilidad Documentado Posible Marginal Moderado Modificar la consecuencia Jefe de gestión social
Servicio al
Asociado
SAS
TODOS LOS
PROCEDIMIENTOS SASR10
Daños o modificaciones en los
datos o programas
Manipulación inadecuada de la información
Sabotaje Informático
Filtración de información.
Eliminación o modificación de los sistemas
de información y tecnológicos
Coordinador de Gestión Social Probable Despreciable Moderado C10Ubicación y protección de la
información
Se deberán controlar los puntos de acceso tales como
áreas de documentación, y otros puntos en donde
pueden entrar personas no autorizadas, para evitar el
acceso no autorizado.
Preventivo Probabilidad Parcialmente Documentado Improbable Despreciable Bajo Modificar la probabilidad Jefe de gestión social
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR11 Perdida de Asociados
Retiro de asociados Debido a la falta de conocimiento y atención por parte
de los asesores
Inadecuada prestación de los servicios y atención a los asociados
Emisión de información errónea
Pérdidas económicas para la entidad Coordinador de Gestión Social Posible Marginal Moderado C11
Revisión de la información
suministrada en los informes
presentados por las áreas
Sensibilizar al personal vinculado a las áreas de
comunicación y gestión social frente al uso adecuado de
la información que se debe suministrar
Preventivo Probabilidad Documentado Improbable Marginal Moderado Modificar la consecuencia Jefe de gestión social
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR12
Pérdida de un requerimiento
realizado por un ciudadano /
usuario
Entrega de requerimientos sin ser radicado en el control de PQRSF
Desconocimiento de los procesos de la entidad
Demora en los tiempos de respuesta
Incumplimiento de términos de ley
Sanciones Demandas
Coordinador de Gestión Social Posible Moderado Alto C12 Revisión de PQRSF
Revisión constante de los PQRS radicadas en la entidad
Lineamientos y socialización de las funciones y procesos
en la entidad al responsable del proceso
Preventivo Probabilidad Parcialmente Documentado Posible Marginal Moderado Modificar la probabilidad Jefe de gestión social
Servicio al
Asociado
SAS
SAS-PR-01 AFILIACIÓN Y
RETIRO DE ASOCIADOSR13
Migración de asociados Perdida histórica de contenidos en la página virtual, por la no actualización
en el programa Moodle por la falta de claridad en el objeto del contrato por
no tener establecido el soporte técnico
Perdida de imagen y credibilidad Coordinador de Gestión Social Improbable Marginal Moderado C13 Actualizar programa Moodle Realizar actualización periódica del programa Moodle Preventivo Probabilidad Parcialmente Documentado Excepcional Moderado Bajo Modificar la probabilidad Jefe de gestión social
ComunicacionesTODOS LOS
PROCEDIMIENTOS R14
Pérdida de posicionamiento de
imagen por comunicar información
inexacta o errónea
Entrega de insumos no confiables por parte de los procesos o una mala
interpretación por parte del responsable del área de comunicaciones
Falta de compromiso de los asesores comerciales que son los encargados de
proporcionar la información a los asociados
Insatisfacción en los clientes Jefe de comunicaciones Posible Marginal Moderado C14Verificación de comunicados antes de
publicar
Los comunicados son revisados y aprobados en la
Jefatura de ComunicacionesPreventivo-Detectivo Probabilidad Documentado Improbable Marginal Moderado Modificar la probabilidad
Comunicaciones
Sistemas
ComunicacionesPROCEDIMIENTOS DE
COMUNICACIONES R15
Detrimento de la imagen de la
entidad
Poca comunicación entre los dirigentes de la entidad se trasladan las
decisiones y comunicaciones
Desarticulación de las comunicaciones entre dirigentes y directivos, y entre
directivos y colaboradores
Pérdida de credibilidad y posicionamiento
de la entidad.
Mayor desconocimiento de la ciudadanía de
la oferta de la entidad.
Pérdida de veracidad de la información
Consejo de
administración,
Gerencia,
Direcciones,
Jefaturas,
Posible Moderado Alto C15 Comités de gerencia y de áreasMensualmente y cada vez que se requiere se realiza el
comité y se levanta el acta de la mismaPreventivo-Detectivo Probabilidad Parcialmente Documentado Excepcional Moderado Bajo Modificar la probabilidad Lideres de procesos
ComunicacionesPROCEDIMIENTOS DE
COMUNICACIONES R16
Falta de posicionamiento en la
mente de los pensionados
Empleados y dirigentes del Banco de la República, ya sean asociados o no
ya que no se establece una comunicación cercana
Debido a la falta de acercamiento por parte de la Cooperativa al Banco.
Dejar de tener oportunidades de nuevos
socios y nuevos proveedores.
Pérdida de alcance geográfico
Gerencia, comunicaciones Posible Moderado Alto C16Cronograma de actividades Febor -
Banrep - Reuniones
Febor realiza acercamientos con el Banco de la
República a fin de acompañar y apoyar las actividades
que este realiza
Preventivo-Detectivo Probabilidad Parcialmente Documentado Improbable Moderado Moderado Modificar la probabilidadComunicaciones
Gerencia
Gestión
administrativa y
del talento
humano
PROCEDIMIENTOS DE
GESTIÓN
ADMINISTRATIVA Y DE
TALENTO HUMANO
R17 Fallas operativas
Debido a las acciones de la gestión diaria
Descarga de documentos inadecuados
bases de datos con alto contenido
Daños en el sistema Lideres de procesos Improbable Moderado Moderado C17 Manual de funciones
Febor cuenta con un manual de funciones que es
asignado a todos los colaboradores, se debe revisar
permanentemente
Preventivo-Detectivo Probabilidad Documentado Excepcional Marginal Bajo Modificar la consecuencia Jefe Talento Humano
Gestión
administrativa y
del talento
humano
PROCEDIMIENTOS DE
GESTIÓN
ADMINISTRATIVA Y DE
TALENTO HUMANO
R18 Atraso operativo y reprocesos
Debilidad a no ejercer con responsabilidad y compromiso el cambio de
metodologías Resistencia del personal al cambio y actualización de
procesos, negligencia en la realización de actividades
Incumplimiento de metas estratégicas
Ineficiencia en la operación
Perdida de las Certificaciones del Sistema
No alineación estratégica
Jefe de Talento Humano Posible Crítico Extremo C18 Evaluación de desempeño
Los líderes de cada proceso deben realizar evaluaciones
periódicas a los colaboradores y establecer acciones
correctivas en caso de que se este afectando la
operación - retroalimentar y notificar todos los cambios
o procesos implementados
Correctivo Impacto Parcialmente Documentado Posible Marginal Moderado Modificar la probabilidadLideres de procesos
Talento Humano
Gestión
administrativa y
del talento
humano
PROCEDIMIENTOS DE
GESTIÓN
ADMINISTRATIVA Y DE
TALENTO HUMANO
R19Perdida parcial o total en la
infraestructura de la Entidad
Se refiere a las ocurrencias que se pueden presentar en las instalaciones
generando pérdida total de soportes documentales debido a Catástrofes,
terremotos, incendios o inundaciones.
Pérdida de información Desastres Naturales Improbable Despreciable Bajo C19 Sistemas de protección de datos
Crear un sistema de gestión documental, en el cual
repose toda la documentación digital, y crear copias
periódicamente.
Preventivo Probabilidad Documentado Improbable Despreciable Bajo Compartir el riesgo Jefe Talento Humano
Gestión
administrativa y
del talento
humano
PROCEDIMIENTOS DE
GESTIÓN
ADMINISTRATIVA Y DE
TALENTO HUMANO
R20Sanciones por no pago de
parafiscales
Debido a la alta carga laboral o negligencia.
No cumplimiento en el pago de seguridad social.
Olvido de afiliación inicial del funcionario a la EPS o ARL.
Pérdida de imagen por el no pago de los
parafiscales Jefe de Talento Humano Posible Despreciable Bajo C20
Crear alertas de pagos próximos a
vencer
Se deberán elaborar, conservar y revisar regularmente
los registros acerca de actividades a realizar,
excepciones, fallas y eventos de seguridad de la
información.
Preventivo Probabilidad Parcialmente Documentado Excepcional Marginal Bajo Aceptar o aumentar el riesgo Jefe Talento Humano
Gestión
administrativa y
del talento
humano
PROCEDIMIENTOS DE
GESTIÓN
ADMINISTRATIVA Y DE
TALENTO HUMANO
R21Perdida temporal o definitiva de
información física o magnética
Debido al mal manejo de bases de datos que disponen de alto contenido o
perdida de información por manejo inadecuado de la información, mal
manejo de virus informático o sobrecarga
Daños a terceros y sus respectivas
consecuencias legales y fiscales
Deterioro de la confianza de los servidores
en la Entidad
Apertura de investigaciones y posibles
sanciones
Jefe de Talento
Humano
Jefe de Sistemas
Probable Despreciable Moderado C21 Control de redesLas redes se deberían gestionar y controlar para
proteger la información en sistemas y aplicaciones.Preventivo Probabilidad No Documentado Improbable Moderado Moderado Modificar la probabilidad Jefe Talento Humano
DATOS DEL RIESGO MEDIDAS DE TRATAMIENTO DESPUES DE LOS
CONTROLES DEL RIESGO EVALUACIÓN DE CONTROLES PARA EL RIESGO
MATRIZ DE RIESGO OPERATIVO
ANÁLISIS
4. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO EN FEBOR ENTIDAD
COOPERATIVA
4.1 METODOLOGÍAS DE ANÁLISIS DEL RIESGO Dado que los riesgos no tienen el mismo origen ni la misma naturaleza, se pueden utilizar varias herramientas para su gestión. Sin embargo, otros factores que inciden significativamente son el tamaño de las empresas, su número de integrantes, su estructura, la actividad de producción y el sector en el que operan. Esto ha propiciado que se desarrollen metodologías de análisis propias de un sector o especialidad. Su objetivo es la identificación, evaluación, tratamiento y monitorización de los riesgos asociados a una actividad, función o proceso. Es decir, es lo que da forma a la implementación del sistema de gestión en sí mismo.37 4.1.1 Metodologías para la gestión del riesgo. Son aquellos documentos que están orientados a la identificación, evaluación y el posterior tratamiento de los riesgos derivados de una actividad. Entre ellas esta, la norma ISO 31000:2019 y 2018, también se encuentran otros estándares, por ejemplo AS/NZS 4360:1999 Estándar Australiano de Administración de Riesgos, método del ARO (Administración del Riesgo Operacional).
4.1.1.1 Administración de Riesgos (AS/NZS 4360). Este Estándar provee una guía genérica para el establecimiento e implementación el proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. La administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones38.
37 METODOLOGÍAS PARA LA GESTIÓN DEL RIESGO [en línea]. Bogotá. [citado 30 de septiembre, 2019]. Disponible en internet: <URL: https://capacitacioncgr.jovenclub.cu/wp-content/uploads/2018/05/Metodologia-para-la-Gestion-del-Riesgo.pdf> 38 ADMINISTRACIÓN DE RIESGOS. AS/NZS 4360: 1999. Estándar Australiano [en línea]. Bogotá. [citado 30 de septiembre, 2019]. Disponible en internet: URL< https://www.edesaesp.com.co/wp-content/uploads/2013/05/ASNZ-4360-de-1999.pdf>
58
4.1.1.2 Administración del Riesgo Operacional. Método de análisis inductivo para identificar peligros asociados a tareas y actividades no rutinarias o eventuales. Esto permite establecer los sistemas de eliminación, control o barrera necesarios para el desempeño de un trabajo en condiciones seguras para los trabajadores, ambiente y el entorno. (Véase la figura 14). Figura 14. Administración del riesgo operacional
Fuente. El Autor
4.2 PRESENTACIÓN DE LA METODOLOGÍA
Básicamente la metodología busca mejorar la gestión de los riesgos de los procesos en Febor Entidad Cooperativa, lo que traerá a la empresa mayores posibilidades de éxito. 4.2.1 Estructura de la propuesta. La metodología que se propone para la gestión de los riesgos está estructurada de la siguiente manera. (véase la figura 15). Figura 15. Estructura de la metodología para la gestión del riesgo
Fuente. El Autor
Identificación de los riesgos
Análisis de riesgos
Evaluación del riesgo
Valoración de los riesgos
Identificación de controles
Evaluación de controles
Tratamiento de los riesgos
Seguimiento y revisión
Registro e informe
AR
O Materiales Equipos o
herramienta
Personas y
acciones
Condiciones
ambientales
59
4.2.1.1 Identificación de los riesgos. Este proceso se hace con el fin de conocer los eventos potenciales, ya sea que estén o no bajo el control de la entidad, y que de una u otra manera ponen en riesgo el logro de los objetivos, para lo cual se establecen las causas y las consecuencias, adicionalmente se realiza la clasificación del riesgo. (véase la figura 16). Figura 16. Componentes para la identificación del riesgo
Fuente. El Autor
4.2.1.2 Componentes de la identificación del riesgo. A continuación, se mencionan detalladamente los componentes para la identificación de riesgos en Febor Entidad Cooperativa. Causa del riesgo. Las causas son uno de los aspectos a mitigar o eliminar con el fin de que el riesgo no se materialice, la definición de controles efectivos hace que esto se consiga, para realizar el análisis de las causas se utiliza la técnica que será expuesta a continuación. Diagrama Causa-Efecto (Espina de pescado). Este método permite visualizar de manera estructurada todas las causas posibles del riesgo. (véase la figura 17). Figura 17. Análisis de causas (Espina de pescado)
Fuente. El Autor
Causas
Son los medios o
circunstancias que
generan riesgos
Riesgo
Evento que tendrá
un impacto sobre
los objetivos
institucionales o
del proceso
Consecuencias
Efectos que se
pueden presentar
cuando un riesgo
se materializa
Clasificación
De acuerdo con
las características
del riesgo, se
clasifica según las
clases
establecidas
Identificación
del riesgo
Descripción
adecuada de los
60
Consecuencias. Las consecuencias son los efectos que se generan o pueden generarse en caso de que el riesgo se llegue a materializar; generalmente se dan sobre los bienes materiales, sanciones, pérdidas económicas, de la información, de bienes, de credibilidad y confianza, interrupción del servicio y pérdida de imagen. Las consecuencias del riesgo para este caso se determinan en orden descendente; definiendo cual podría ser el efecto mayor que puede causar la materialización del riesgo hasta llegar al efecto menor generado. Clasificación de los riesgos. Para este caso en la etapa de identificación, se lleva a cabo la clasificación de los riesgos, según sus características, con el fin de orientar la formulación de un tratamiento adecuado que posibilite la mitigación del riesgo para Febor Entidad Cooperativa. Vale la pena mencionar que para esta metodología se identifican riesgos de tipo operativo, pero la estructura es la misma en caso de querer identificar todas las clases de riesgos. (véase el cuadro 18). Cuadro 19. Clasificación de los riesgos
CLASES DE RIESGO
DEFINICIÓN
Estratégico Son los riesgos relacionados con la misión y el cumplimiento de los objetivos estratégicos, la definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
Operativo Relacionados con el funcionamiento y operatividad de los sistemas de información de la entidad: definición de procesos, estructura de la entidad, articulación entre dependencias.
Financieros Relacionados con el manejo de los recursos de la entidad: ejecución presupuestal, elaboración estados financieros, pagos, manejos de excedentes de tesorería y manejo de los bienes.
Cumplimiento Capacidad de cumplir requisitos legales, contractuales, ética pública y compromiso con la comunidad.
Tecnología Capacidad para que la tecnología disponible satisfaga las necesidades actuales y futuras y el cumplimiento de la misión.
Imagen Tienen que ver con la credibilidad, confianza y percepción de los usuarios de la entidad.
Fuente. El Autor Desarrollo practico de Identificación de riesgos. Se deben tener en cuenta las ideas establecidas para cada uno de los factores internos y externos de la entidad, las cuales se utilizarán para determinar las causas de los riesgos identificados, de igual forma se debe mencionar el riesgo y las posibles consecuencias de su materialización. (véase el cuadro 19).
61
Cuadro 20. Formato practico para la identificación de los riesgos
FORMATO PRÁCTICO PARA LA IDENTIFICACIÓN DE RIESGOS
PROCESO:
OBJETIVO:
FECHA:
CODIGO DEL RIESGO
PUEDE OCURRIR QUE
(riesgo)
DEBIDO A (una o más causas)
LO QUE PODRÍA GENERAR (uno o más
consecuencias)
Fuente. El Autor A continuación, se presenta un ejemplo de diligenciamiento del 01FPIR Formato práctico para la identificación de los riesgos. (véase el cuadro 20). Cuadro 21. Ejemplo del 01FPIR Formato práctico para la identificación de los riesgos
FORMATO PRÁCTICO PARA LA IDENTIFICACIÓN DE RIESGOS
PROCESO: Gestión administrativa y del talento humano
OBJETIVO: Identificar todos los riesgos que se pueden presentar en el proceso de gestión administrativa y talento humano
FECHA: 03 de octubre de 2019
CODIGO DEL RIESGO
PUEDE OCURRIR
QUE (riesgo)
DEBIDO A (una o más causas)
LO QUE PODRÍA GENERAR (uno o más
consecuencias)
R17 Atraso operativo y reproceso
-Debilidad a no ejercer con responsabilidad y compromiso el cambio de metodologías -Resistencia del personal al cambio y actualización de procesos -Negligencia en la realización de actividades
-Incumplimiento de metas estratégicas -Ineficiencia en la operación -Pérdida de las Certificaciones del Sistema
R18
Pérdida parcial o total en la infraestructura de la Entidad
Ocurrencias que se pueden presentar en la instalación generando pérdida total de soportes documentales debido a Catástrofes, terremotos, incendios o inundaciones
-Pérdida de información
Fuente. El Autor 4.2.1.3 Análisis de los riesgos. Mediante el análisis del riesgo se busca establecer la probabilidad de ocurrencia y sus consecuencias, calificándolos y evaluándolos con el fin de obtener información y con ella poder establecer el nivel del riesgo.
62
Para la presente metodología se han establecido dos aspectos importantes a tener en cuenta en el análisis de riesgos identificados, los cuales son la probabilidad y el impacto. Se entiende como probabilidad como la posibilidad de ocurrencia del riesgo; la cual puede ser medida con criterios de frecuencia, y el impacto que son las consecuencias que puede generar a la Entidad la materialización del riesgo. Esta etapa se divide en:
Calificación del riesgo. La calificación del riesgo se logra mediante la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Es importante mencionar que la primera se refiere al número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda hace referencia a la magnitud de los efectos que pueden presentarse39. Para determinar la calificación del riesgo, con base a la probabilidad y el impacto se debe tener en cuenta. (véase Cuadro 8. Niveles de probabilidad y ocurrencia). Valoración de los riesgos. Permite comparar los resultados de la calificación, mediante los criterios definidos para implantar medianamente el grado de exposición al riesgo, de esta forma se define la zona de ubicación del riesgo antes de la asignación de controles. Dicha evaluación se realiza con base a variables cuantitativas o cualitativas. (véase el Cuadro 11. Valoración del riesgo en términos de probabilidad e impacto). Desarrollo práctico – Análisis. En Febor Entidad Cooperativa, se establece el formato DPAR-001 Análisis de riesgos, donde se debe relacionar la siguiente información. (véase el cuadro 21).
Cuadro 22. Formato DPAR-001 Análisis de riesgos
ANÁLISIS DEL RIESGO
PROCESO:
OBJETIVO:
FECHA:
Riesgo Calificación Clasificación del
riesgo
Valoración
Probabilidad Impacto
Fuente. El Autor
A continuación, se presenta un ejemplo de diligenciamiento del formato DPAR-001 Análisis de riesgos. (véase el cuadro 22).
39 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. República de Colombia. Guía de Administración del Riesgo. [En línea]. Bogotá. [citado 23 de septiembre, 2019]. Disponible en internet: URL<http://www.Guia-Administración-Del-Riesgo-DAFP(7).pdf-AdobeAcrobatReaderDC>
63
Cuadro 23. Formato diligenciado DPAR-001 Análisis de riesgos
ANÁLISIS DEL RIESGO
PROCESO: Gestión administrativa y del talento humano
OBJETIVO: Identificar todos los riesgos que se pueden presentar en el proceso de gestión administrativa y talento humano
FECHA: 03 de octubre de 2019
Riesgo Calificación Clasificación
del riesgo Valoración
Probabilidad Impacto
Atraso operativo y reproceso
Posible Critico Operativo Zona de riesgo
Extrema
Pérdida parcial o total en la
infraestructura de la Entidad
Improbable Despreciable Operativo Zona de riesgo Baja
Fuente. El Autor
4.2.1.4 Identificación de controles. Los controles son acciones que orientan a la organización a minimizar la probabilidad de ocurrencia o el impacto de los riesgos, dichas acciones deben estar directamente relacionadas con las causas o las consecuencias y de esta manera poder eliminarlas o mitigarlas, la administración del riesgo contribuirá a la gestión de Febor Entidad Cooperativa, en la medida en que los controles se identifiquen, documenten, apliquen y sean efectivos para prevenir o mitigar los riesgos. A continuación, se presentan las características mínimas que se deben tener en cuenta para la definición de los controles. (véase el cuadro 23).
Cuadro 24. Características mínimas para la definición de controles CARACTERÍSTICA DESCRIPCIÓN
Objetivos No dependen del criterio de quien lo define y/o ejecute, sino de los resultados que se esperan obtener
Pertinentes Están directamente orientados a atacar las causas o consecuencias del riesgo
Realizables Se deben definir controles que la entidad o el proceso esté en capacidad de llevar a cabo
Medibles Permiten el establecimiento de indicadores para verificar el cumplimiento de su aplicación y/o efectividad
Periódicos Tienen frecuencia de aplicación en el tiempo
Efectivos Eliminan o mitigan las causas o consecuencias y evitan la materialización del riesgo
Asignables tienen responsables definidos para su ejecución
Fuente. El Autor
64
Se deben describir todos los controles pertinentes, existentes y por definir, los cuales deben estar orientados a combatir las causas y consecuencias del riesgo, una vez se hayan identificado y descrito se debe determinar la clase de control, un control puede ser de tipo preventivo o correctivo, como se puede visualizar a continuación. (véase la figura 18). Figura 18. Descripción de las clases de controles
Fuente. El Autor
4.2.1.5 Evaluación de los controles. Dicha evaluación permite establecer en qué medida los controles están aportando para disminuir los niveles de probabilidad e impacto del riesgo, Se evalúan de la siguiente manera. (véase el cuadro 25). Cuadro 25. Formato EDCPR-001 Evaluación de controles para el riesgo
Fuente. El Autor
PROCESO:
FECHA:
CÓDIGO DEL
CONTROL
NOMBRE
DEL
CONTROL
DESCRIPCIÓN
DEL CONTROL
TIPO DE CONTROL
(Preventivo
Preventivo-Detectivo
Detectivo-Correctivo
Correctivo )
REDUCE
(Probabilidad
o Impacto)
ESTADO DEL CONTROL
(Documentado
Documentado y divulgado
Parcialmente documentado
No documentado)
EVALUACIÓN DE CONTROLES PARA EL RIESGO
Preventivo
Acción o conjunto de
acciones que eliminan
o mitigan las causas
del riesgo
Orientado a disminuir
la probabilidad de
ocurrencia del riesgo
Clases
de
controles
Orientado a disminuir
el nivel de impacto del
riesgo
Acción o conjunto de
acciones que eliminan
o mitigan las
consecuencias del
riesgo
Correctivo
65
A continuación, se presenta un ejemplo de diligenciamiento del formato EDCPR-001 Evaluación de controles para el riesgo. (véase el cuadro 26). Cuadro 26. Formato EDCPR-001 Evaluación de controles para el riesgo
Fuente. El Autor
4.2.1.6 Tratamiento de los riesgos. Con base en la valoración del riesgo se
determinan las medidas a tener en cuenta, a continuación, se relacionan.
Priorizar riesgos según valoración individual
Determinar lista de priorización de los riesgos A continuación, se indica propuesta de lista de priorización de los riesgos y escala definida de valoración. (véase el cuadro 27). Cuadro 27. Lista de priorización de los riesgos
LISTA DE PRIORIZACIÓN DE LOS RIESGOS POR ÁREA
Riesgos de baja prioridad
Riesgos que requieren respuesta a mediano
plazo
Riesgos que requieren respuesta
a corto plazo
Riesgos que requieren respuesta
inmediata
Fuente. El Autor
PROCESO:
FECHA:
17
Evaluación
de
desempeño
Los líderes de cada proceso deben
realizar evaluaciones periódicas a
los colaboradores y establecer
acciones correctivas en caso de
que se esté afectando la
operación
Retroalimentar y notificar todos
los cambios o procesos
implementados
Correctivo ImpactoParcialmente
Documentado
EVALUACIÓN DE CONTROLES PARA EL RIESGO
04 de Octubre de 2019
Gestión administrativa y del talento humano
66
Cuadro 28. Escala de valoración del riesgo
COLOR ZONA DE RIESGO OPCIONES DE MANEJO
E Zona de riesgo extrema
Eliminar la fuente de riesgo Evitar el riesgo
Compartir el riesgo
A Zona de riesgo alta
Reducir el riesgo Evitar el riesgo
Compartir o transferir el riesgo
M Zona de riesgo moderada
Aceptar o aumentar el riesgo Modificar la probabilidad
Modificar las consecuencias
B Zona de riesgo baja Aceptar o aumentar el riesgos Retener el riesgo
Fuente. El Autor Se debe elaborar tabla de tratamiento de los riesgos teniendo en cuenta la lista de
priorización indicando todas las características de los riesgos por procesos. (véase el
cuadro 29).
Cuadro 29. Resumen plan de tratamiento del riesgo
Fuente. El Autor
Códig
o
Rie
sgo
Cla
sific
ació
n
Causas
Pro
babili
dad
Impacto
Rie
sgo R
esid
ual
Opción
manejo Actividad Control Soporte Responsable Tratamiento del riesgo
FORMATO PLAN DE TRATAMIENTO DE LOS RIESGOS
FECHA:
OBJETIVO:
PROCESO:
67
A continuación, se presenta un ejemplo de diligenciamiento del formato FPDTDL-R001 Formato plan de tratamiento de los riesgos. (véase el cuadro 30). Cuadro 30. Formato FPDTDL-R001 Plan de tratamiento de los riesgos
Fuente. El Autor
Códig
o
Rie
sgo
Cla
sific
ació
n
Causas
Pro
babilid
ad
Impacto
Rie
sgo R
esid
ual
Opción
manejo Actividad Control Soporte Responsable Tratamiento del riesgo
Desactualiza
ción de la
base de
datos
Reducir
Adquirir software
para mantener
actualizada la base
de datos de
proveedores
Contrato y
factura
software
Jefe de
Sistemas
Aceptar o aumentar el
riesgo
Modificar la probabilidad
Modificar las
consecuencias
Insuficiente
capacitación
del personal
de contratos
Reducir
Realizar convenios
con entidades para
capacitar al
personal
Convenios
firmados
Jefe Talento
Humano
Aceptar o aumentar el
riesgo
Modificar la probabilidad
Modificar las
consecuencias
Cambios en
la regulación
contable y
presupuestal
Reducir
Establecer mayor
frecuencia de
reuniones para
actualizar al
personal ante los
cambios normativos
Actas de
inducción
Jefe Talento
Humano
Aceptar o aumentar el
riesgos
Retener el riesgo
Hackeo Reducir
Fortalecer los
Firewall en la red de
la organización para
detectar posibles
incursiones
Reporte
cumplimient
o firewall
fortalecido
Jefe de
Sistemas
Reducir el riesgo
Evitar el riesgo
Compartir o transferir el
riesgo
Ausencia de
comités
Acción de
contingencia
Convocar de forma
extraordinaria un
comité institucional
de coordinación de
control interno para
analizar y aplicar
medidas inmediatas
que, dentro de la
legalidad, permitan
el reabastecimiento
inmediato de bienes
y servicios
Acta de
comité de la
entidad de
control
interno
firmado
Jefe
financiero
Aceptar o aumentar el
riesgo
Modificar la probabilidad
Modificar las
consecuencias
FORMATO PLAN DE TRATAMIENTO DE LOS RIESGOS
FECHA:
OBJETIVO:
PROCESO:
Opera
tivo
Impro
bable
Mayor
Modera
do
1
Desabaste
cim
iento
de b
ienes y
serv
icio
s r
equeridos p
or
la e
ntidad
68
4.2.1.7 Seguimiento y revisión. El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.40 Febor Entidad Cooperativa, debe realizar como mínimo una vez al año, el seguimiento y revisión del plan de administración de los riesgos, con el fin de asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. La finalidad de este seguimiento es aplicar y sugerir los correctivos y ajustes necesarios
para asegurar un efectivo manejo del riesgo. La oficina de Gestión del riesgo y calidad
asesorará, comunicará y presentará luego del seguimiento y evaluación sus resultados
y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
Los responsables de llevar a cabo el seguimiento y la revisión son los líderes de
procesos y oficina de gestión de riesgo y calidad, y de esta manera hacer el informe de
seguimiento y la actualización del mapa de riesgos.
4.2.1.8 Registro e informe. Es necesario que Febor Entidad Cooperativa realice un
informe con el fin de incrementar las medidas de control para la prevención del riesgo,
se plasma en un documento práctico que debe contener como mínimo:
Que actividades se hicieron Procesos involucrados Resultados y hallazgos Riesgos existentes Nuevos riesgos encontrados Actividades de mejora
Todas estas pautas deben contener el informe que se deberá entregar consolidado cada año por los líderes de cada proceso y debe ser de pleno cumplimiento para el mejoramiento de la entidad, el mismo deberá ser reportado a la Gerencia.
40 NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. Bogotá. [citado 07 de octubre, 2019]. Disponible en internet: URL< https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf>
69
5. CONCLUSIONES
El diagnóstico desarrollado permitió reconocer el alcance de los macro procesos de la organización, la tipificación básica de los riesgos, la documentación asociada que soporta la gestión del riesgo y los responsables generales que intervienen tanto en los procesos como en la gestión del riesgo, esto conllevó a identificar el nivel de conocimiento general que existe sobre la presencia de los riesgos en Febor Entidad Cooperativa.
Al realizar la matriz de riesgos asociada a los procesos de Febor Entidad Cooperativa, permitió determinar de manera clara las causas, consecuencias y los controles que se pueden aplicar a los riesgos identificados. Esto fue base fundamental para poder adoptar las escalas de valoración de probabilidad, impacto y severidad del riesgo, y constituir las directrices básicas para las mediciones de los riesgos en la empresa. De los riesgos identificados se estima que aproximadamente el 70 % de los riesgos son de carácter operativo, los cuales se presentan debido a la mala gestión en los procesos.
La metodología diseñada para la evaluación y análisis de riesgos se convierte en una herramienta de reconocimiento clara, que genera oportunidad para elevar los niveles de cultura en torno a los riesgos, mejorar la percepción individual y de grupo y el comportamiento que determina como la organización identifica, entiende, habla y actúa sobre el riesgo.
70
6. RECOMENDACIONES
Realizar un ejercicio que fortalezca el diagnóstico de la gestión documental que soporta los procesos de gestión del riesgo, para identificar posibles falencias o necesidades de actualización que se requieran a fin de mantener actualizado el soporte documental de dicha gestión y ser valor agregado para el manejo de la organización.
Evaluar periódicamente el alcance de los procesos establecidos en la organización, para realizar una lectura completa del sistema, establecer como fuente de capacitación, inducción y retroalimentación para personal nuevo y antiguo del área, los procedimientos generados y los riesgos contemplados a través de cada uno de ellos, con el ánimo de concientizar al personal, conducir a la identificación de nuevos riesgos en la operación y que no sean previstos a simple vista lo cual podría llevar a influir de manera negativa. Considerar la implementación del manual de riesgos, a modo de guía para que las áreas de la entidad tengan conocimiento de los posibles riesgos y peligros, a los cuales está expuesta la Entidad. Es importante mantener la participación de todas las partes interesadas externas e internas de la entidad para que en el momento de la toma de decisiones se haga aún más pertinente el tratamiento a los riesgos identificados y que en la elaboración del plan de manejo de riesgos se incluya de forma coherente el alcance de los objetivos de la entidad, los criterios del riesgo y los recursos disponibles.
71
BIBLIOGRAFÍA
ACTIVA CONOCIMIENTO. Progreso Personal y Profesional en Gestión y Liderazgo. [en línea]. < http://activaconocimiento.es/matriz-probabilidad-impacto/> [citado 04 de octubre, 2019].
ADMINISTRACIÓN DE RIESGOS. AS/NZS 4360: 1999. Estándar Australiano [en línea] < https://www.edesaesp.com.co/wp-content/uploads/2013/05/ASNZ-4360-de-1999.pdf> [citado 30 de septiembre, 2019].
AEC. Asociación Española para la Calidad. [en línea]. <https://www.aec.es/web/guest/centro-conocimiento/riesgos-de-negocio> [citado 23 de agosto, 2019].
BLOG CALIDAD Y XCELENCIA. Definición del riesgo empresarial y principales tipos. [En línea]< https://www.isotools.org/2019/08/12/definicion-del-riesgos-empresariales-y-principales-tipos/> [citado 22 de agosto, 2019].
CONSULTORES. Serie técnicas de resolución de problemas. Los 5 por qué´s OP-SG-201401. [en línea]. http://www.5consultores.com/wp-content/uploads/2014/06/WP-T%C3%A9cnicas-Resoluci%C3%B3n-de-Problemas-5-Por-Qu%C3%A9.pdf> [citado 07 de octubre, 2019].
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. República de Colombia. Guía de Administración del Riesgo. [En línea]. URL<http://www.Guia-Administración-Del-Riesgo-DAFP(7).pdf-AdobeAcrobatReaderDC> [citado 23 de septiembre, 2019].
FEBOR ENTIDAD COOPERATIVA. Acontecimientos [en línea]. http://www.febor.coop/institucional/resenahistorica/resena-historica>[citado 20 de agosto, 2019].
FEBOR ENTIDAD COOPERATIVA. Misión y visión [en línea]. http://www.febor.coop/institucional/misionyvision> [citado 26 de agosto, 2019].
FEBOR ENTIDAD COOPERATIVA. Reseña histórica [en línea]. http://www.febor.coop/institucional/resenahistorica/resena-historica> [citado 27 de agosto, 2019].
FINANZAS Y POLÍTICA ECONÓMICA: Valoración y riesgo crediticio en Colombia. [en línea] Bogotá. <https://www.redalyc.org/pdf/3235/323527256006.pdf > [citado 20 de agosto, 2019].
72
GESTION INTEGRAL DEL RIESGO. [en línea] https://www.pwc.com/co/es/advisory/assets/4-gestion-integral-de-riesgos.pdf> [citado 22 de agosto, 2019].
HERRAMIENTAS PARA LA MEJORA DE LA CALIDAD. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 22 p. [en línea] < https://qualitasbiblo.files.wordpress.com/2013/01/libro-herramientas-para-la-mejora-de-la-calidad-curso-unit.pdf> [citado 07 de octubre, 2019].
IDENTIFICATION AND PRIORITIZATION OF FACTORS INFLUENCING ORGANIZATION RISK TOLERANCE LEVEL. [en linea]. <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85063997102&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=9672b7c6b92271f108847198fe3df1bf&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29&relpos=6&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Sistemas de gestión de la calidad. Requisitos: Requisitos Generales. NTC-ISO 9001. Bogotá D.C: El Instituto, 2008. 2 p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 8 p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Manual de directrices de gestión del riesgo: complementa la NTC 5254:2006.Bogotá D.C: El instituto, 2008. 41 p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Elementos Principales. NTC 5254. Bogotá D.C.: El Instituto, 2004. 7 p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Técnicas de valoración del riesgo. NTC-IEC/ISO 31010. Bogotá D.C.: El Instituto, 2013. 16 p.
INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo directrices: selección de las opciones para el tratamiento del riesgo. UNE-ISO 31000:2018. Bogotá D.C: Disponible en internet, 2018. 22 p.
73
JPMORGAN CHASE BANK N.A., SUCURSAL BUENOS AIRES. RIESGO ESTRATÉGICO. [en línea] < https://www.jpmorgan.com/jpmpdf/1320694345279.pdf> [citado 23 de agosto, 2019].
LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos con enfoque de gestión de riesgos En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p.
LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos con enfoque de gestión de riesgos En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p.
LOPEZ CARRIZOSA, Francisco José. Planificación estratégica de la calidad. En: ISO 9000 y la planificación de la calidad - Guía para la planificación de la calidad con orientación en la gestión por procesos. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2004. 21 p.
MANAGING UNCERTAINTY, MITIGATING RISK: TACKLING THE UNKNOWN IN FINANCIAL RISK ASSESSMENT AND DECISION MAKING. [en línea].< https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85029704773&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=dff34c90778be88a13278ca968a11429&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28PROBLEM+TREE%29&relpos=12&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].
METODOLOGÍAS PARA LA GESTIÓN DEL RIESGO [en línea]. https://capacitacioncgr.jovenclub.cu/wp-content/uploads/2018/05/Metodologia-para-la-Gestion-del-Riesgo.pdf> [citado 30 de septiembre, 2019].
NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf> [citado 22 de agosto, 2019].
NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. <https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf> [citado 07 de octubre, 2019].
OPERATIONAL RISK MANAGEMENT IN FINANCIAL INSTITUTIONS: A DEAD-END JOURNEY. [en linea].https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-
74
85025450026&origin=resultslist&sort=plf-f&src=s&st1=Basilea+Committee&st2=&sid=375fa77cabbb4a30bfee808f47620dc8&sot=b&sdt=b&sl=32&s=TITLE-ABS-KEY%28Basilea+Committee%29&relpos=5&citeCnt=0&searchTerm= [citado 25 de septiembre, 2019].
OPERATIONAL RISK MANAGEMENT AND CUSTOMER COMPLAINTS THE ROLE OF PRODUCT COMPLEXITY AS A MODERATOR [en línea]. <http://apps.webofknowledge.com.bdigital.udistrital.edu.co:8080/full_record.do?product=WOS&search_mode=GeneralSearch&qid=2&SID=6D56VwaXMvhlTQ4hQKQ&page=1&doc=1> [citado 25 de septiembre, 2019].
OPTIMIZATION OF RISK CONTROL IN FINANCIAL MARKETS BASED ON PARTICLE SWARM OPTIMIZATION ALGORITHM [en linea] <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85073474030&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=6501c493e15db44ea68306cb2a790659&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28risk+management%29&relpos=6&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].
STANDARDS AUSTRALIA/STANDARDS NEW ZEALAND. Risk Management: Main Elements. AS/NZS 4360:2004. 3 ed. Sidney, Australia: Standards Australia Internacional Ltd, 2004. 9 p.
THE IMPACT OF OPERATIONAL RISK INCIDENTS AND MODERATING INFLUENCE OF CORPORATE GOVERNANCE ON CREDIT RISK AND FIRM PERFORMANCE. [en línea] https://www.emerald.com/insight/content/doi/10.1108/IJAIM-05-2017-0070/full/html [citado 25 de septiembre, 2019].
TITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 10 p.
UNESCO. Expresiones culturales. [en línea] <http://www.unesco.org/new/es/culture/themes/%20cultural-diversity/diversity-of-cultural%20expressions/tools/policy-guide/planificar/diagnosticar/arbol-de-problemas/> [citado 16 de octubre, 2019].
UNIVERSIDAD NACIONAL. Metodología para la gestión del riesgo operativo. [en línea] https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>[citado 23 de agosto, 2019].
75
UNIVERSIDAD NACIONAL. Metodología para la gestión del riesgo operativo. [en línea] Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html> [citado 23 de agosto, 2019].
76
ANEXOS